Risikomanagement
RECHTSGRUNDLAGE
§30 Abs. 2 Nr. 1 BSIG – Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
Informationssicherheitspolitik
Die BAUER GROUP betreibt ein Informationssicherheits-Managementsystem (ISMS), das die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität abdeckt. Die Informationssicherheitspolitik wird jährlich durch die Geschäftsleitung überprüft und freigegeben.
Systematische Risikoanalyse
Die Risikoanalyse erfolgt nach einem standardisierten Prozess:
| Schritt | Beschreibung | Intervall |
|---|---|---|
| Asset-Identifikation | Erfassung aller kritischen Systeme, Daten und Prozesse | Laufend |
| Bedrohungsanalyse | Identifikation relevanter Bedrohungsszenarien | Jährlich |
| Schwachstellenbewertung | Technische und organisatorische Schwachstellen | Jährlich + anlassbezogen |
| Risikobewertung | Eintrittswahrscheinlichkeit × Auswirkung | Jährlich |
| Risikobehandlung | Vermeiden, Vermindern, Übertragen, Akzeptieren | Nach Bewertung |
Risikobehandlungsoptionen
| Option | Beschreibung | Anwendung |
|---|---|---|
| Vermeiden | Risikoursache beseitigen | Wenn wirtschaftlich vertretbar |
| Vermindern | Technische/organisatorische Maßnahmen | Standardvorgehen |
| Übertragen | Versicherung, Outsourcing an qualifizierten Dienstleister | Für Restrisiken |
| Akzeptieren | Bewusste Inkaufnahme mit Dokumentation | Nur bei niedrigem Restrisiko, Geschäftsleitungsfreigabe |
Asset-Inventar
Alle informationstechnischen Systeme, Komponenten und Prozesse werden in einem zentralen Inventar erfasst:
- Serversysteme – Physische und virtuelle Server mit Standort, Zweck und Verantwortlichem
- Netzwerkkomponenten – Firewalls, Switches, Router mit Firmware-Versionen
- Anwendungen – Eigenentwicklungen und Drittanbieter-Software mit Lizenz- und Supportstatus
- Datenbestände – Klassifizierung nach Schutzbedarf (normal, hoch, sehr hoch)
- Cloud-Dienste – Externe Dienste mit Anbieter, Standort und Vertragsstatus
Normenorientierung
Die Umsetzung orientiert sich an:
- ISO/IEC 27001:2022 – Informationssicherheits-Managementsysteme
- BSI IT-Grundschutz – Methodischer Rahmen für Risikoanalyse
- Durchführungsverordnung (EU) 2024/2690 – Detaillierte technische Anforderungen zu NIS2