Was ist ein Risikomanagement-Rahmenwerk?

Ein Risikomanagement-Rahmenwerk ist ein sequenziell strukturierter, regelbasierter und dokumentierter Ansatz, der dabei unterstützt, Risiken innerhalb einer Organisation zu untersuchen, zu reduzieren und zu überwachen. Organisationen entscheiden sich für standardisierte Rahmenwerke oder erstellen eigene, anstatt Risiken mit Ad-hoc-Prozessen anzugehen. Durch die Verwendung eines Rahmenwerks können Sie mehr Vertrauen haben, dass Sie im Falle eines unerwarteten Ereignisses bessere Ergebnisse erzielen und schneller reagieren können.

Das Risikomanagement ist eine Funktion des Geschäftsbereichs Governance, Risk und Compliance (GRC) und wird häufig in der Cybersicherheits- oder Compliance-Abteilung angesiedelt. Die Art und Weise, wie Ihr Unternehmen mit Risiken umgeht, kann für die Geschäftskontinuität, den Betrieb, die Einhaltung gesetzlicher Vorschriften und den Ruf entscheidend sein. Risikomanagement-Frameworks helfen Ihnen dabei, Risiken im gesamten Unternehmen zu identifizieren, zu bewerten, zu mindern und zu verfolgen. 

Risiken können sich auf die Organisation, die Geschäftsbereiche und die Vermögenswerte des Unternehmens auswirken. Dazu gehören operative, geschäftliche, Compliance-, Cybersicherheits-, rechtliche, Fusions- und Übernahmrisiken sowie Risiken in Bezug auf Datenschutz, Hardware, Software und Verträge. Während sich Unternehmen häufig auf Cyberrisiken konzentrieren, ist es ebenfalls wichtig, andere Arten von Risiken nicht zu vernachlässigen. Dieses Dokument befasst sich hauptsächlich mit operativen, geschäftlichen und Compliance-Risiken, soweit sie für die Cloud relevant sind.

Operative Risiken beziehen sich auf die Verfügbarkeit, Zuverlässigkeit, Leistung und Sicherheit der Infrastruktur. Diese Risikokategorie ist für den täglichen Betrieb von größter Bedeutung.

Geschäftliche Risiken beziehen sich auf die Reputation, die Wettbewerbsfähigkeit und die Marktbedingungen. Diese Art von Risiko hat einen größeren Umfang als das operative Risiko und kann insgesamt erhebliche Auswirkungen auf das Unternehmen haben.

Das Compliance-Risiko bezieht sich auf die Wahrscheinlichkeit, dass der Geschäftsbetrieb die erforderlichen regulatorischen Compliance-Standards nicht erfüllt. Diese Art von Risiko kann zu Geldstrafen, Sanktionen, rechtlichen Konsequenzen oder erhöhten Anforderungen an die Prüfung und Berichterstattung führen. Compliance-Ziele werden von Branchenstandards, Bundesbehörden und anderen Aufsichtsbehörden vorgegeben.

Zu den gängigen Risikomanagement-Frameworks gehören:

• Das Risikomanagement-Framework (RMF) des National Institute of Standards and Technology (NIST) für Informationssysteme und Organisationen
• COBIT
• ISO/IEC 31000 Risikomanagement – Leitlinien
• ISO/IEC 27005:2022 Informationssicherheit, Cybersicherheit und Datenschutz – Leitfaden zum Management von Informationssicherheitsrisiken
• Faktoranalyse von Informationsrisiken

Es ist ratsam, ein bekanntes und regelmäßig aktualisiertes Risikomanagement-Framework zu verwenden, um mit den Best Practices für das Risikomanagement auf dem neuesten Stand zu bleiben.

Ein solides Risikomanagement-Framework unterstützt das Management aller Arten von Risiken innerhalb des Unternehmens.

Risikoidentifizierung

Identifizieren Sie alle Vermögenswerte, Bedrohungen und Schwachstellen innerhalb der Unternehmensarchitektur. Ein Risiko ist eine Bedrohung für einen Vermögenswert, die aus einer Schwachstelle entsteht. Die Identifizierung potenzieller Risiken kann ein langwieriger Prozess sein, der mehrere Unternehmensvektoren und Geschäftsziele umfasst.

Sie können Risiken in Bereiche wie Technik, Mitarbeiter, Prozesse, Finanzen oder Dritte einteilen. Sie können jede dieser übergeordneten Kategorien auch weiter unterteilen, beispielsweise die Kategorie „Mitarbeiter“ in die Bereiche Fähigkeiten, manuelle Fehler und Wissenssilos.

Auswirkungsanalyse

Durch die Analyse Ihrer Vermögenswerte, Bedrohungen und Schwachstellen können Sie die Wahrscheinlichkeit und das Ausmaß der Auswirkungen eines potenziellen Risikos bestimmen. Die Analyse und Risikobewertung umfasst qualitative und quantitative Maßnahmen. Beispielsweise können Sie alle Details zu einer bestimmten Art von Risiko sammeln oder Risikowertungstafeln entwickeln, um Risiken zu kategorisieren, wodurch die Folgen und Strategien zur Risikominderung bestimmt werden. Diese Kategorien können je nach Wahrscheinlichkeit eines Ereignisses und dessen erwarteten Auswirkungen niedrige, mittlere, hohe und sehr hohe Risikowerteungen umfassen.

Strategien zur Risikominderung

Im Folgenden werden vier Strategien zur Risikominderung vorgestellt, mit denen Sie jedes spezifische Risiko angehen können:

• Minderung: Implementieren Sie Kontrollen, um das Risiko zu beseitigen oder zu reduzieren
• Akzeptanz: Akzeptieren Sie das Risiko in seiner jetzigen Form und beobachten Sie gleichzeitig sorgfältig, ob sich die Wahrscheinlichkeit oder Schwere des Risikos ändert
• Vermeiden: Beseitigen Sie das Risiko und konfigurieren Sie die Systeme neu
• Übertragen: Lagern Sie die risikobehaftete Funktion aus, schaffen Sie vertragliche Risikominderungsmaßnahmen oder versichern Sie sich gegen das Ereignis

Neben der Kritikalität und Wahrscheinlichkeit eines Risikos kann auch die Risikobereitschaft des Unternehmens dabei helfen, die geeignete Strategie zu bestimmen.

Implementierung der Lösung

Je nach der gewählten Risikominderungsstrategie können Sie Kontrollen anwenden, Systemänderungen vornehmen, Überwachungslösungen einführen und das Risiko auslagern. Kontrollen können administrativer, physischer oder technischer Natur sein. In dieser Stufe können mehrere Systeme, Geschäftsbereiche, Stakeholder und Schritte erforderlich sein, um das gewünschte Ergebnis zu erzielen.

Eine Lösung zur Risikominderung kann Eskalationsprozesse, Risikoverantwortliche und die Zusammenarbeit mit Incident-Response-Teams zur Entwicklung von Plänen für die Zeit nach einem Vorfall umfassen.

Nach der Implementierung der Lösung berechnen Sie das Restrisiko. Die meisten Lösungen können das Risiko nicht vollständig beseitigen, sodass ein Restrisiko besteht. Dieses Restrisiko kann sich je nach den sich ändernden Bedingungen verändern.

Governance und kontinuierliche Überwachung

Nach der Implementierung der Risikominderungslösung müssen Sie die Risiken bei Bedarf überwachen, verfolgen, analysieren und prüfen. Sie müssen eine Berichterstattung in den Risikoverfolgungsprozess für Risikoverantwortliche, GRC-Teams und die Unternehmensleitung integrieren.

Innerhalb des Governance-Rahmens sollte es einen bedarfsorientierten und regelmäßig stattfindenden Prozess geben, um neue und eskalierende Risiken für das Unternehmen zu identifizieren. Sie sollten Richtlinien zum Risikomanagement und zur Häufigkeit der Neubewertung des aktuellen Prozesses festlegen und die entsprechenden Teammitglieder schulen. Implementieren Sie Integritätsschutz, um automatisch zu verhindern, dass sich dieselben Arten von Risiken wiederholen.

Dieser Leitfaden zeigt Ihnen, wie Sie eine AWS-Pipeline implementieren, die auf die Phasen eines typischen Risikomanagement-Frameworks abgestimmt ist.

In jeder Phase des Risikomanagementprozesses werden drei wichtige AWS-Services zur Unterstützung eingesetzt:

• AWS Audit Manager zur kontinuierlichen Überprüfung Ihrer AWS-Nutzung, um die Risiko- und Compliance-Beurteilung zu vereinfachen
• AWS Config, um die Konfigurationen Ihrer Ressourcen zu bewerten, zu überprüfen und zu evaluieren
• AWS Security Hub, um Ihre kritischen Sicherheitsprobleme durch automatisierte Korrelation und erweiterten Risikokontext sowie Berichte zur Sicherheitslage und mehr zu priorisieren

1. Planung

Die Planungsphase stellt sicher, dass das Unternehmen über eine solide Grundlage für die Entwicklung von Best-Practice-Risikomanagementprozessen verfügt.

Planen Sie die Durchführung von Best-Practice-Risikomanagementaktivitäten mit den folgenden Diensten:

• AWS CloudTrail, um die Aktivitäten der Benutzer und die Verwendung von APIs zu verfolgen
• AWS Control Tower, um Ihre sichere AWS-Umgebung mit mehreren Konten einzurichten und zu verwalten
• AWS Identity and Access Management, um Identitäten und das Zugreifen auf Ihre AWS-Services und -Ressourcen sicher zu verwalten
• AWS IAM Access Manager zum Identifizieren externer, interner und ungenutzter Zugriffe auf Ihre AWS-Ressourcen
• AWS Organizations für die richtlinienbasierte Verwaltung über mehrere AWS-Konten hinweg
• AWS Secrets Manager zur Verwaltung des Zugriffs auf Geheimnisse in Ihrem gesamten Unternehmen
• AWS Systems Manager für automatische Patches und Compliance

2. Erkennung

In der Erkennungsphase werden Ihre Assets, Ressourcen und Dienste erkannt und gekennzeichnet.

Verwenden Sie die folgenden AWS-Services, um Ihre Assets zu erkennen und zu kategorisieren:

• Amazon Macie zum Erkennen und Schützen Ihrer sensiblen Daten
• AWS CloudFormation zum Einführen von Infrastructure as Code (IaC)
• AWS Resource Explorer zum Suchen und Erkennen relevanter Ressourcen in AWS
• AWS Systems Manager Inventory für Transparenz in Ihrer AWS-Datenverarbeitungsumgebung
• AWS-Well-Architected-Tool zum Bewerten Ihrer Cloud-Architektur anhand von Best Practices.

3. Auswahl von Kontrollen und Regeln

In der Auswahlphase werden Kontrollen und Regeln zum Schutz vor den identifizierten Risiken eingeführt.

Wählen Sie Kontrollen aus vordefinierten Best-Practice-Regeln in den folgenden AWS-Services aus:

• AWS Config Managed Rules für vordefinierte, anpassbare Regeln, mit denen AWS Config bewertet, ob Ihre AWS-Ressourcen den gängigen Best Practices entsprechen
• AWS Control Tower und AWS Security Hub für Sicherheitskontrollen sowie AWS Audit Manager für Kontrollen zur Einhaltung von Richtlinien.
• AWS Systems Manager Compliance ist ein Tool in AWS Systems Manager, mit dem Sie Ihre eigenen Compliance-Typen und -Definitionen basierend auf Ihren IT- oder Geschäftsanforderungen erstellen können

4. Implementierung

Die Implementierung stellt sicher, dass die Kontrollen konsistent auf alle gewünschten Assets und Umgebungen angewendet werden.

Sie können die folgenden Tools zur Implementierung von Kontrollen für AWS-Services verwenden:

• AWS CloudFormation für die Bereitstellung von Einbettung von Kontrollen in Kombination mit AWS Service Catalog , um Ihre kuratierten IaC-Vorlagen zu erstellen, zu teilen, zu organisieren und zu verwalten
• AWS Config für Kontrollregeln und nächste Schritte
• AWS Security Hub für die Implementierung von Sicherheitsregeln
• AWS Systems Manager für die Einhaltung von Richtlinien über Ressourcen und Services hinweg

5. Beurteilung

Die Beurteilung misst, wie gut die angewandten Kontrollen in der Praxis funktionieren.

Mit der folgenden Kombination von AWS-Services können Sie bewerten, wie gut Ihr Unternehmen Risiken verwaltet:

• AWS Audit Manager für nachvollziehbare Bewertungen
• AWS Config zur Überprüfung der Einhaltung von Compliance-Regeln
• Amazon Detective zur Analyse und Visualisierung von Sicherheitsdaten, um potenzielle Sicherheitsprobleme zu untersuchen
• Amazon GuardDuty zur kontinuierlichen Überwachung von AWS-Konten, Workloads und Daten auf Bedrohungen
• AWS Inspector zur automatisierten Beurteilung von Schwachstellenrisiken
• AWS Security Hub für ständig aktive Sicherheitsrisikobewertungen

AWS Trusted Advisor ist eine weitere Option für Unternehmen, die ihr Risikomanagement-Framework einrichten möchten. Der AWS Trusted Advisor-Service bietet Überprüfungen hinsichtlich Kostenoptimierung, Leistung, Sicherheit, Fehlertoleranz, Servicegrenzen und operativer Exzellenz. Über das Dashboard können Sie Warnmeldungen, empfohlene Maßnahmen und zusätzliche Ressourcen einsehen. AWS-Kunden können über die folgende Adresse auf das Tool zugreifen:https://console.aws.amazon.com/trustedadvisor/home.

6. Autorisierung

Die Autorisierungsfunktion formalisiert den Ansatz, die vorherigen Schritte und die Akzeptanz von Restrisiken sowie die Überwachung.

Nutzen Sie die folgenden AWS-Services für eine Autorisierung mit Vertrauen:

• AWS Artifact erstellt AWS- und ISV-Sicherheits- und Compliance-Berichte
• AWS Audit Manager bietet Berichte für Entscheidungsträger
• AWS Config enthält detaillierte Compliance-Berichte und Nachverfolgungsfunktionen
• AWS Security Hub bietet eine Echtzeitansicht des Zustands der Systemsicherheit und Berichte

7. Überwachung

Eine kontinuierliche Überwachung stellt sicher, dass der Risikomanagementprozess auf dem neuesten Stand bleibt und neue und sich ändernde Risiken berücksichtigt werden.

Nutzen Sie die folgenden AWS-Services für eine kontinuierliche Überwachung:

• AWS CloudWatch zur Überwachung von Anwendungen, zur Warnung bei Anomalien und zur Bereitstellung von Insight in den Betriebszustand für die Compliance
• AWS Config für die kontinuierliche Compliance-Überwachung
• Amazon EventBridge zum Erstellen automatischer Reaktionen basierend auf Triggern in anderen AWS-Services
•  AWS Security Hub für die kontinuierliche Sicherheitsüberwachung
• AWS Systems Manager für die Überwachung von Patches und Konfigurationen

Unternehmen, die ihre organisatorische Widerstandsfähigkeit und Leistung verbessern möchten, sollten ein Risikomanagement-Framework implementieren. Risikomanagement-Frameworks tragen dazu bei, Risiken für das Unternehmen zu verringern und zu verstehen, wodurch diese Unwägbarkeiten wesentlich besser beherrschbar werden.

Die Wahl eines standardisierten Rahmens und dessen Weiterentwicklung ist ein guter Ansatzpunkt, und AWS bietet Dienste, die die Implementierung von Rahmenwerken erleichtern. In Kombination mit dem AWS-Well-Architected-Framework können Sie eine solide Grundlage für Governance, Risiko und Compliance in AWS schaffen.

Beginnen Sie noch heute mit dem Aufbau Ihrer Risikomanagementprozesse in AWS, indem Sie ein kostenloses Konto erstellen.