ISMS und IT-Risikoanalyse

Die IT-Risikoanalyse ist eine zentrale Tätigkeit in Ihrem ISMS und bei der ISO 27001 Umsetzung. Erfahren Sie hier mehr über die Risikoanalyse und wie Sie diese elementare Aufgabe smarter erledigen.

ISMS Risikoanalyse

Kostenlosen Demo-Termin für die ISMS- und IT-Risikomanagement-Software AdiRisk vereinbaren.

  • IT-Risikomanagement Grundlagen- und Expertenwissen

  • 6 wichtige Gründe für das IT-Risikomanagement

  • Der Nutzen von IT-Risikomanagement

  • Wie Sie Ihre IT-Risiken smart und zeitsparend managen

  • Excel Vorlage für die Risikoanalyse als Download

Jetzt kostenlos anmelden
Klinikum Frankfurt Höchst
Rems-Murr-Kliniken
Klinikum Lippe

Das Kernstück eines ISMS nach ISO 27001 ist das Risikomanagement mit der IT-Risikoanalyse als Hauptaufgabe. Viele IT Risikoanalysen erfolgen heute noch mit Tabellenkalkulations-Programmen wie z.B. Excel. Bei umfangreichen Risikoanalysen stoßen Anwender dabei schnell an die Grenzen. Die Tabellen werden zu unübersichtlich und verlieren schließlich die Konsistenz. Die Datenintegrität geht einfach verloren.

Mit der ISMS- und IT-Risikomanagement-Software AdiRisk gehören Dateninkonsistenz, verloren gegangene Risikoanalysen oder zeitfressende Recherchen der Vergangenheit an. Melden Sie sich gleich zum kostenlosen Demo-Termin an und erfahren Sie mehr über IT-Risikomanagement, ISO 27001 und ISO 27005 sowie über B3S.

Risikoanalyse Definition: Die Risikoanalyse ist Teil des Risikomanagements und beinhaltet die Identifikation und Abschätzung von Risiken. Das Ziel der IT-Risikoanalyse ist es, die Bedrohungen und die Schwachstellen zu erfassen, welche die Schutzziele der Informationssicherheit – Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität – verletzen. Die Risikoabschätzung kann prinzipiell quantitativ oder qualitativ erfolgen. Das Ergebnis der Risikoanalyse ist eine Übersicht über die bestehenden Risiken mit ihren Schadenswirkungen und Eintrittswahrscheinlichkeiten und wird oft in einer Risikomatrix dargestellt. Dadurch ist eine Risikobewertung (Priorisierung) möglich.

Wie oben beschrieben werden im Rahmen der Risikoanalyse die Risiken identifiziert und abgeschätzt. Die Risikoidentifikation enthält z.B. die Bestimmung von Assets, Bedrohungen und Schwachstellen. Danach stehen unterschiedlich detaillierte Ansätze für die Abschätzung der Risiken zur Verfügung. Wie bereits erwähnt kann ein qualitativer oder auch ein quantitativer Ansatz gewählt werden. Auch eine Mischform aus beiden Methoden ist denkbar.

Bei der qualitativen Analyse sind im Vorfeld Skalen für das Schadensausmaß und die Eintrittswahrscheinlichkeit bzw. die Häufigkeit zu bestimmen. Mögliche Stufen sind z.B. „niedrig, mittel, hoch“. Die Bedrohungen und Schwachstellen sind demnach in ihrem Ausmaß und mit ihrer Wahrscheinlichkeit, wie sie auf ein Asset wirken können, abzuschätzen. Dadurch ergibt sich in aller Regel die Risikomatrix. Der Risikokatalog oder das Risikoregister sind dagegen listenbasierte Darstellungen der Risiken.

Vereinbaren Sie einen Live-Demo-Termin und erfahren Sie, wie die Risikoanalyse Schritt für Schritt erfolgt.

Die ISO/IEC 27005 ist eine internationale Norm und enthält Richtlinien für das Risikomanagement in der Informationssicherheit. Die Norm unterstützt die ISO 27001 und die darin beschriebenen allgemeinen Konzepte zum Risikomanagement. Damit bildet sie die Grundlage für alle Organisationen, die einen tieferen Einblick in die Informationssicherheits-Risikobewertung und Risikobehandlung bekommen und die Risiken managen möchten.

Melden Sie sich einfach kostenlos zur Live-Demo an und erhalten Sie den Download-Link für die Excel-Vorlage zur Risikoanalyse.

Die IT-Risiken im Gesundheitswesen, speziell in der Krankenhaus IT, zielen vor allem auf Verwaltungs- und Medizingerätedaten ab. Die Schutzziele können dabei aber durchaus unterschiedliche Schwerpunkte haben. Patientendaten haben per se einen sehr hohen Anspruch auf Vertraulichkeit. Während die Verfügbarkeit bei einem Röntgengerät im Vordergrund steht, ist wiederum bei einem Laborgerät die Datenintegrität für den weiteren Behandlungserfolg eines Patienten mitunter von lebenswichtiger Bedeutung. Deshalb ist hier von besonderer Bedeutung, dass die Aspekte Patientensicherheit und Behandlungseffektivität bei der Risikoanalyse berücksichtigt werden.

Für die Betreiber kritischer Infrastrukturen (KRITIS) bestehen in aller Regel sog. branchenspezifische Sicherheitsstandards (B3S). Für Krankenhäuser z.B. der „Branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus“.

Das darin beschriebene Prozessmodell enthält die folgenden sieben Schritte:

  • Werte (Risikoobjekte) und Verantwortliche (Risiko-Eigentümer) ermitteln
  • Kritikalität der Werte festlegen
  • Risikokriterien festlegen
  • Bedrohungen und Schwachstellen identifizieren (potenzielle und vorhandene)
  • Risiken bewerten (Eintrittswahrscheinlichkeit und Schadenspotenzial)
  • Risiken behandeln (akzeptieren, vermeiden, transferieren oder reduzieren)
  • Risiken kommunizieren und überwachen

Darin sind 36 Detailanforderungen  an das Risikomanagement definiert.

Neben den Schutzzielen Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität erfordert der B3S zusätzlich, dass bei der Bewertung der Schutzziele die Faktoren Patientensicherheit und Behandlungseffektivität mit einzubeziehen sind.

Bei der B3S-konformen Risikoanalyse, unterstützt Sie AdiRisk durch Berücksichtigung der Aspekte Patientensicherheit und Behandlungseffektivität optimal.

IT-Risikomanagement mit AdiRisk

IT-Risikomanagement mit AdiRisk

Jetzt einen kostenlosen Termin für Ihre AdiRisk-Demo vereinbaren und die Vorteile entdecken.

Nehmen Sie jetzt an der kostenlosen Demo teil und erfahren Sie in nur 45 Minuten, wie Sie Ihr IT-Risikomanagement optimieren können.

  • IT-Risikomanagement Grundlagen- und Expertenwissen

  • 6 wichtige Gründe für das IT-Risikomanagement

  • Der Nutzen von IT-Risikomanagement

  • Wie Sie Ihre IT-Risiken smart und zeitsparend managen

  • Excel Vorlage für die Risikoanalyse als Download

Jetzt kostenlos anmelden