Risk Management: Lektionen aus dem Tauchen für IT Security (InfoGuard Cyber Security Blog)

Risk Management in der Praxis: Lektionen aus dem Tauchen für IT Security

Veröffentlicht am 31. Aug 2023 | von Chris Resnik | Cyberrisiken | IT-Sicherheit

Ich tauche seit 2015 und bin mittlerweile lizenzierter Tauchlehrer der Professional Assocation of Diving Instructors (PADI). Tauchen ist grundsätzlich eine sichere Freizeitaktivität, bleibt aber trotz allem ein Exkurs in eine lebensfeindliche Umgebung – Unterwasser – und birgt somit einige Risiken. Hier gibt es viele Parallelen zur IT Security, allen voran das Bereitstellen eines IT-Services im Internet. Beide Aktivitäten können unter Berücksichtigung gängiger Vorsichtsmassnahmen sicher ausgeführt werden – eine davon ist Risk Management. In diesem Blogartikel zeige ich auf, welche Komponenten Risk Management umfasst und was wir dabei vom Tauchen lernen können.

Risk Management ist der wiederkehrende Prozess, Risiken ganzheitlich zu thematisieren: ermitteln, erfassen, behandeln und beobachten. Ich werde in diesem Blogbeitrag auf die vier bekannten Risk Treatments («behandeln») eingehen. Diese sind Risk Acceptance (keine weiteren Massnahmen ergreifen), Risk Mitigation (finanziell sinnvolle Gegenmassnahmen ergreifen), Risk Transfer (zum Beispiel möglichen Schaden versichern lassen) und Risk Avoidance (die risikobehaftete Aktivität einstellen).

Im Unternehmensumfeld werden die ermittelten Risiken im sogenannten Risk Register festgehalten, priorisiert und jedem Risiko wird ein Risk Treatment zugewiesen. Das Ziel ist das langfristige Verfolgen, Festhalten und Minimieren von geschäftsrelevanten Risken innerhalb des vom Management festgelegten Risk Appetite, das für das Unternehmen akzeptabel ist (wieviel Risiko können wir akzeptieren, wieviel möchten wir wagen?).

Risk Mitigation und Risk Acceptance – ein sprichwörtlich fliessender Übergang

Beim Tauchen ist der zeitliche Rahmen für Risiken meistens kurzfristig, beispielsweise die Einschätzung der Gewässersituation hinsichtlich Wellengang und Strömung – in Schweizer Seen üblicherweise kein grosser Risikofaktor. Einige Massnahmen sind jedoch längerfristig angelegt, vor allem die Risk Mitigation.

Ich kann grundsätzlich die Risiken beim Tauchen minimieren, indem ich meine Fähigkeiten durch regelmässiges Tauchen oder Weiterbildungskurse vertiefe und meine Ausrüstung regelmässig von Fachleuten in Tauchshops warten lasse. Natürlich gibt es kurzfristigere Massnahmen im Bereich Risk Mitigation, wie beispielsweise das Reagieren auf niedrigere Wassertemperaturen, indem ich mit einem dickeren Neoprenanzug oder gar mit einem Trockenanzug tauche. Hier kann der Übergang zu Risk Acceptance fliessend sein, zum Beispiel wenn die Wassertemperatur im geplanten Tauchgang nur an der tiefsten Stelle unter den Erwartungen liegt, aber für wenige Minuten erträglich ist. Dann kann ich diese Situation akzeptieren, muss jedoch wie beim Risk Management üblich die Situation beobachten, um im Notfall reagieren zu können. Falls mein Körper durch Zittern anzeigt, dass die Temperatur zu niedrig ist, muss ich in eine seichtere Lage auftauchen, wo das Wasser wärmer ist.

Risk Avoidance – alles andere als eine Schwäche

Eine häufig falsch verstandene Art des Risk Treatments ist Risk Avoidance. Wie schon erklärt, bedeutet Risk Avoidance das Unterlassen einer Tätigkeit. Doch was bedeutet das genau? Erneut der Vergleich: Tauchen ist kein Leistungssport. Wenn sich eine Person körperlich nicht in der Lage fühlt, den geplanten Tauchgang durchzuführen, liegt es im Eigeninteresse sowie im Interesse aller Beteiligten (Tauchbuddies, Strandwache usw.), Vorsicht walten zu lassen und den Tauchgang zu unterlassen – das ist Risk Avoidance! Will heissen, ich vermeide bewusst das Risiko, beim Tauchen verletzt zu werden, indem ich einen Tauchgang aussetze, bis ich wieder fit bin. Diese Situation zu erkennen und mit der Risk-Avoidance-Strategie zu reagieren, ist keine Schwäche, sondern kann in diesem Fall lebensrettend sein.

Risikovermeidung als strategische Entscheidung

Im Geschäftsumfeld erfordert Risk Avoidance grössere Entscheidung, gegebenenfalls auf Geschäftsleitungsebene. Dies kann Auswirkungen auf die Geschäftsstrategie haben und möglicherweise auch eine Neuausrichtung von Geschäftsbereichen oder -projekten – selbst, wenn bereits Investitionen getätigt wurden – aufgrund einer geänderten Bedrohungslage.

Ein Beispiel für missverstandene Risk Avoidance, dem ich im praktischen Berufsleben schon begegnet bin, war bei einem Risk Assessment eines IT-Services:

  • Risikopunkt: Die API (Application Programming Interface) ist extern erreichbar.
  • Risiko: Aufgrund einer Vulnerability könnte die API gehackt und Kundendaten gestohlen werden.
  • Risk Treatment: Risk Avoidance
  • Massnahme: Wir wollen nicht gehackt werden.

Aufmerksamen Leser*innen wird bereits aufgefallen sein, was hier offensichtlich nicht stimmt: Abgesehen davon, dass die aufgeführte Massnahme keine wirkliche Massnahme ist, passt das Risk Treatment (Avoidance) nicht zur Massnahme. Solange eine API extern erreichbar ist, besteht immer eine Wahrscheinlichkeit, dass die API über eine Schwachstelle gehackt werden kann. Falls also Risk Avoidance tatsächlich das gewünschte Risk Treatment ist, dann wäre die Konsequenz, dass die API nicht mehr extern erreichbar sein darf. Das heisst, die API müsste entfernt werden – andere Massnahmen wie API nur über VPN erreichbar zu machen, gehören nicht mehr zur Risk Avoidance.

Risk Transfer: Eine Option in der IT Security, aber ein «Must» als Tauchlehrer 

Schlussendlich bleibt noch der Risk Transfer. Im Geschäftsleben ist es möglich, sich durch eine Versicherung oder durch eine Schadensersatzleistungsklausel in einem Vertrag vor finanziellem Schaden zu schützen – eine Option, die genau zu prüfen ist, wenn die Eintretenswahrscheinlichkeit eines Risikos klein, das Schadensausmass aber untragbar gross wäre.

Wenig überraschend ist eine Versicherung für Tauchlehrer keine Option, sondern ein «Must» und diese muss die Tauchschüler*innen ebenfalls decken.

InfoGuard – Ihr Partner im Bereich Risk Assessment und Risk Management

Wie kann InfoGuard Sie bei Risk Assessments oder beim Risk Management unterstützen?

InfoGuard verfügt über Consulting-Spezialist*innen, die zertifiziert sind in Risk Management, beispielsweise ISACA CRISC, oder besitzen langjährige Erfahrung mit Risk Frameworks wie ISO/ISE 27005. Gemäss unserem Purpose «Wir unternehmen alles, damit unser Kunde sicher ist», beraten wir Sie gerne individuell, um Ihre spezifischen Bedürfnisse und Anforderungen im Bereich Risk Management zu erfassen. Kontaktieren Sie uns für eine kostenlose Beratung!

Jetzt Kontakt aufnehmen
<< >>

Cyberrisiken , IT-Sicherheit

Chris Resnik
Über den Autor / Chris Resnik

InfoGuard AG - Chris Resnik, Senior Cyber Security Consultant

Weitere Artikel von Chris Resnik

Ähnliche Artikel
«Security Awareness, was bringt das denn?»
«Security Awareness, was bringt das denn?»
Veröffentlicht am 27. Jun 2023 | von Daniel Keller | Security Awareness |

Die Bandbreite reicht von Blaming und Hating über Verzweiflung bis hin zu Resignation: In der Cyber Security [...]
[Jobportrait] Was macht eigentlich… ein Cyber Security Consultant?
[Jobportrait] Was macht eigentlich… ein Cyber Security Consultant?
Veröffentlicht am 22. Feb 2022 | von Michelle Gehri | Cyber Security | 0 Kommentare

Haben Sie eine konkrete Vorstellung davon, wie der Joballtag eines «Cyber Security Consultants» aussieht? [...]
Cyber Risk Management – so behalten Sie Ihre Cyberrisiken im Griff!
Cyber Risk Management – so behalten Sie Ihre Cyberrisiken im Griff!
Veröffentlicht am 22. Mär 2021 | von Reinhold Zurfluh | Cyber Defence | Cyberrisiken | 0 Kommentare

Die zunehmende Cloud-Nutzung, die steigende Mobilität, das Homeoffice, die Virtualisierung, das «Internet der [...]

Spannende Artikel, aktuelle News sowie Tipps & Tricks von unseren Experten rund um Cyber Security & Defence.
Blog Updates abonnieren
Social Media
infoguard-cyber-security-ratgeber-2
Kategorien