Mit dem Wachstum der technischen Hilfsmittel, steigt auch die Anzahl von Schwachstellen und somit das Risiko, Ziel eines Cyberangriffs zu sein. Dies hat das Unternehmen selbst auch schon am eigenen Leib erleben müssen. Aufgrund des grossen Schadenspotentials durch einen Cyberangriff, hat das Unternehmen eine Cyber-Versicherung bei einem Schweizer Versicherer abgeschlossen. Die Versicherung setzte eine Risikoanalyse des Unternehmens voraus, weshalb diese Arbeit entstanden ist. Neben der Erfüllung der Cyber-Versicherung ist das Ziel, sämtliche EDV-Geräte, Software und Webseiten in die Risikoanalyse aufzunehmen, potentielle Bedrohungen zu beschreiben und Gegenmassnahmen vorzuschlagen, um entscheiden zu können, welche Massnahmen umgesetzt werden sollen.

Für das praktische Vorgehen sind die im Bereich der IT-Security anerkanntesten Risikoframeworks durchleuchtet und verglichen worden, um für das Unternehmen das passende Risikoframework anwenden zu können. Der Entscheid ist auf das Risikoframework des Bundesamt für Sicherheit in der Informationstechnik gefallen, welches vor allem seine Vorteile in der Beschreibung der Bedrohungen und der konkreten Massnahmen hat. Der Prozess der Risikoidentifikation und Bewertung ist leicht angepasst worden, um den Wünschen des Unternehmens nach zu kommen.

Der Nutzen der Arbeit ist, eine Cyber-Risikoanalyse zu erstellen, um bei Ausfällen im Bereich EDV entsprechend reagieren zu können. Die Cyber-Risikoanalyse beinhaltet folgende Punkte: • Festhalten der zentralen Risiken, die sich im Bereich EDV anhand gegebener Infoquellen erheben lassen • Klassifizieren der eruierten Risiken anhand einer Risikomatrix • Bewerten der Auswirkungen beim Eintreffen der Risiken • Eruieren möglicher Gegenmassnahmen, um Risiken entgegenzuwirken • Definieren des weiteren Vorgehens Um die oben erwähnte Punkte erfüllen zu können, muss zuerst mithilfe geeigneter Informationsquellen eine IST-Analyse durchgeführt werden. Dafür werden Beobachtungen, Interviews und Dokumentationen verwendet. Aus den dabei gewonnenen Informationen werden Bestandesaufnahmen der EDV-Geräten und Softwares, Räume, Geschäftsprozessen und Kontaktlisten der Lieferanten festgehalten und erstellt.