Zweiter Schritt: Maßnahmendefinition:

Zu den im Schritt 1 ausgewählten Risiken überlegt man sich Maßnahmen, wie das Risiko gemindert oder ausgeschlossen werden kann.

Grundsätzlich gibt es hierbei immer drei Lösungswege:

a) ein konkret selbst tragbares Risiko übernehmen und eingehen,
b) das Risiko mit technischen und organisatorischen Maßnahmen minimieren und möglichst eliminieren,

oder

c) das Risiko wirtschaftlich transferieren, d. h., vor allem bei unternehmens- und existenzgefährdenden Risiken, sich gegen den wirtschaftlichen Schaden daraus zu versichern.

Lösung a) Die maximale Schadenhöhe nur schätzen und abwarten. Wenn das Risiko irgendwann eintritt, gilt es den Schaden, wenn möglich, selbst zu begleichen. Danach wird man sicherlich erneut prüfen müssen, ob ein anderer Lösungsweg doch geeigneter ist, vor allem wenn der Schaden zu einer wirtschaftlichen „Unzeit“ eintritt.

Für die Lösung b) gibt es die unterschiedlichsten Maßnahmen. Einige typische technische und organisatorische Maßnahmen sind:

• Infrastruktur: bauliche Schutz-Maßnahmen, intern wie extern
• Organisation: Zuständigkeiten klären, Dokumentationen und Arbeitsanweisungen erstellen, einführen und Einhaltung kontrollieren
• Personal: Vertretungsregelung, Schulung, Bewusstseinsförderung
• Hardware/Software: Passwortgebrauch, Protokollierung, Vergabe von Berechtigungen
• Elektronische Kommunikation: Konfiguration, Datenübertragung, E-Mail-Verschlüsselung, SSL, Firewall
• Notfallvorsorge: Notfallpläne erstellen, Datensicherung planen und durchführen, weitere Vorsorgemaßnahmen treffen

Gerade der MENSCHLICHE Faktor ist nicht zu vernachlässigen. Dieser Punkt gehört zwar hauptsächlich zu den organisatorischen Maßnahmen, jedoch ist es sehr wichtig, diesen explizit mit zu bedenken:

• Bei Menschen fehlt meistens das Verständnis für noch nicht erfahrene, selbst erlebte Risiken. Dieses mangelnde Verständnis führt häufig zu Unachtsamkeit und zu Fehleinschätzung, welche die Risiken sogar begünstigen.
• In Situationen, die selten vorkommen, reagieren die Mitarbeiter ungeübt und deswegen womöglich falsch. Deshalb ist es wichtig, Notfallübungen durchführen. Bestes Beispiel dafür sind Feuerwehrübungen.
• Viele Menschen haben ein nahezu grenzenloses Vertrauen in die Technik und gehen davon aus, dass der Computer immer Recht hat. Computerexperten wissen, dass dieses Vertrauen zu einem hohen Prozentsatz ungerechtfertigt ist.
• Unbequemlichkeiten werden von Menschen abgelehnt. Sicherheit und Risiken entstehen und wirken im Verborgenen. Dieses Wissen sollte bei der Auswahl der Maßnahmen berücksichtigt werden.
• Enttäuschte und böswillige Mitarbeiter (Insider) können sehr hohe Schäden verursachen, gegen die kaum eine der oben genannten Maßnahmen greift. Diese Mitarbeiter sind im Gebäude, haben die Berechtigung die Software zu nutzen usw. Echten Schutz bieten neben persönlichen Gesprächen zum Verständnis und zur Prävention eigentlich nur das wirtschaftliche Auffangen des Schaden durch eine Versicherung, die auch einen begangenen Vertrauensschaden mit berücksichtigt.
• Angriffe durch „Social Engineering“: Experten wissen, dass es einfacher ist, einen Berechtigten dazu zu bringen, den Angriff durchzuführen, als sich selbst die entsprechende Mühe machen zu müssen.