Business Impact Analyse - Einstieg

Was ist eine Risiko-Analyse (BIA)?

Eine Risiko-Analyse (Business Impact Analyse) umfasst das Identifizieren von Assets im Unternehmen, die mit Datenverarbeitung zu tun haben, und deren Kategorisierung in Risikoklassen nach VIVA, um den Schutzbedarf im Unternehmen festzustellen, Blind-Spots und Schatten-IT zu erkennen.

VIVA ?

• Verfügbarkeit
• Integrität
• Vertraulichkeit
• Authentizität

Abgrenzung zur Infrastruktur-Analyse (ISA)

Im Gegensatz zur Risiko-Analyse ist die Infrastruktur-Analyse (ISA) eine Analyse auf organisatorischer Ebene, die sich mit der systemischen Erfassung der IT-Systeme und IT-Infrastruktur befasst und organisatorische Probleme innerhalb von Richtlinien, Dokumentation und Kontrolle aufdeckt.

Notfall-Management (BCMS)

Notfall-Management wird in der Fachsprache "Business Continuity Management System" (BCMS) genannt und befasst sich mit der Erstellung eines Systems, das den fortlaufenden Betrieb im Fall eines Notfalls sicherstellt, indem organisatorische Prozesse und technische Richtlinien zur Umsetzung von technischen Maßnahmen genutzt werden; die Risiko-Analyse bildet die Grundlage für die Erarbeitung eines Notfall-Konzepts, da sie Schwachstellen identifiziert und Unternehmen zwingt, sich mit Kennzahlen und Risiken auseinanderzusetzen.

Lesen Sie unseren Beitrag zum Einstieg ins Notfall-Management

Bedeutung für die Datensicherheit

Innerhalb der Risiko-Analyse klassifiziert man Risiken eines Assets nach Vertraulichkeit und Integrität, die essentiell für die Datensicherheit sind und aus denen entsprechende Schutzmaßnahmen hervorgehen, wobei das Schutzniveau bestimmt und ein Realitätscheck durchgeführt wird, der als Nachweis dient, wenn er regelmäßig gemacht wird.

Bedeutung für den Versicherungsschutz

Cyberversicherungen werden restriktiver, da die Bedrohungslage schärfer wird, und erwarten ein Grundmaß an Sicherheitsmaßnahmen und Konzepten; im Fall eines Schadens werden Nachweise angefordert, die Fahrlässigkeit und Unterlassung nachweisen oder widerlegen.

Erste Schritte

Erstellen Sie eine einfache Tabelle, gerne in Excel, wobei Qualität vor Quantität geht: Es geht nicht darum, alle Messpunkte zu erfassen, sondern die Daten korrekt zu erfassen, die bekannt sind; pflegen Sie diese dauerhaft, und wenn kein Software-System genutzt wird, das automatisch Daten sammelt, bleiben Sie am Ball, indem Sie wichtige IT-Systeme erfassen, die für den Betrieb des Unternehmens kritisch sind und später kleinteiliger werden.

Die wichtigsten Kennzahlen

• MTPD (Maximum Tolerable Period of Disruption): Maximale tolerierbare Ausfallzeit
• RTO (Recovery Time Objective): Zielzeit für Wiederherstellung
• RPO (Recovery Point Objective): Maximal zulässiger Datenverlust

Vorlage herunterladen

Hier können Sie unsere einfache Excel-Liste herunterladen. Als Vorlage dient die ausführliche und überaus komplexe Vorlage des BSI, aber um klein anzufangen und nicht sofort überwältigt zu sein, nutzen Sie diese Vorlage.