Risiken bewerten und klassifizieren

Bei der Identifizierung und Aussortierung von mehrfach vorhandenen Assets half ein Informations-Sicherheits-Management-System (ISMS), das die ISO-Methodik abbildet. In diese ISMS-Toolbox von Anbieter Integralis flossen alle Beschreibungen der Geschäftsprozesse und IT-Elemente ein. Dabei bringt das Prozessbeschreibungs-Tool nicht nur Assets mit Geschäftsprozessen in Beziehung, sondern verbindet auch die Risiken von Assets und Sicherheitssystemen mit den Sicherheitszielen.

Bevor die ISMS-Toolbox ihre Arbeit aufnehmen konnte, definierte die IT zunächst zusammen mit der Geschäftsführung zehn Sicherheitsziele und ordnete sie nach ihrer Bedeutung. „Zwar gab es Geschäftsziele, doch die Sicherheitsziele daran auszurichten erwies sich als schwieriger als erwartet“, erinnert sich Hoppe. Anschließend baute SEW eine Klassifikation für die Risikoanalyse auf. Die Bewertung des Risikos eines Assets ergibt sich dabei aus der Multiplikation der drei Faktoren „potenzieller Schaden“, „Bedrohung“ und „Schwachstelle“:
1. Unter potenziellem Schaden versteht die IT, wie sich ein Asset-Ausfall auf die zehn Sicherheitsziele auswirkt. Der Schaden durch den Ausfall eines Assets wird hoch eingestuft, wenn eines der drei ersten Sicherheitsziele wie „Schutz der Innovationen“ betroffen ist.
2. Unter Bedrohung versteht die IT, wie wahrscheinlich ein Ausfall eines Assets ist.
3. Der Faktor „Schwachstelle“ bewertet die vorhandenen Sicherheitsmaßnahmen. Die Bewertung erfolgte nach den Kriterien, wie stark die Sicherheitseinrichtungen ausgeprägt sind, die den einzelnen Assets zugeordnet wurde: Gibt es beispielsweise nur eine Sicherheitskopie eines Assets, oder ist es redundant ausgelegt?

Alle drei Faktoren belegte die IT mit Kategorien von eins für „gering“ und drei für „hoch“. Wenn also die Faktoren „potenzieller Schaden“, Bedrohung“ und „Schwachstelle“ als hoch, also mit „Kategorie 3“, eingestuft werden, ergibt sich aus der Rechnung 3 x 3 x 3 der Risikowert „27“. Beispiel: Fällt ein Asset wie das Produktionssteuerungssystem zur Jobsteuerung aus, so erhält der Vorfall als potenzieller Schaden den Wert „3“. Es ist der höchste Gefahrenwert, weil der Ausfall das erste Sicherheitsziel betrifft: Kontinuität des Geschäftsbetriebs.