Risiko, Bedrohung und Verletzbarkeit

IT-Grundbedrohungen:      Höhere Gewalt (auch: Elementarereignisse) Organisatorische Mängel Menschliche Fehlhandlungen Vorsätziche Handlungen Technisches Versagen

Laut einer Umfrage in der Schweiz, Deutschland und Österreich sind folgende Bedrohungen von Bedeutung: Rang 1 2 3 4 5 Gefahrenbereich Irrtum und Nachlässigkeit eigener Mitarbeiter Malware (Viren, trojanische Pferde, ...) Unbefugte Kenntnisnahme, Informationsdiebstahl, Wirtschaftsspionage Software-Mängel / -Defekte Hacking (Vandalismus, Probing, Missbrauch, ...)

Verletzbarkeit von Informationen Bei der Beurteilung bezüglich Verletzrkeitvon Informationen sind folgende Kriterien in Betracht zu ziehen (gemäss COBIT):     Vertraulichkeit (Personaldaten, Kundendaten) Integrität (falsche, gelöschte, manipulierte Geschäftsdaten) Verfügbarkeit (Stammdaten, Bewegungsdaten) Zuverlässigkeit und Verbindlichkeit der Informationen (u.a. Bereitstellung und Einhaltung rechtlicher Erfordernisse)

Der Zusammenhang zwischen Risiko, Bedrohung, Verletzbarkeit lässt sich grafisch wie folgt darstellen: Risiken ermitteln

B. Kennwörter.B. Backup. Betriebskontrollen Zutrittsschutz. Richtliniern/Weisungen Zugriffsprotokolle. Ausbildung/Schulung. ob etwas in der Luft liegt. Objektive Wahrscheinlichkeit  messbar bzw. Kommunikation. an Maschinen. vermindern: IT-Ressourcen Personal Anwendungen Technologie Anlagen Daten Mögliche Massnahmen Information. mit der ein mögliches Ereignis eintrifft. muss der potenzielle Schaden mit einem Geldbetrag angegeben werden. entgangener Gewinn durch einen Betriebsunterbruch. Verträgen. Datenträgern oder Daten) Indirekte Schäden (z. Geschätzt Berechnung des Schadenausmasses: R=E*A Risiko(R) = Eintrittswahrscheinlichkeit(E)*Auswirkung pro Ereignis(A /=Schaden in CHF) Massnahmen um Risiken zu vermeiden bzw. Kosten für die Rekonstruktion von Daten oder Programmen) Folgekosten (z. Nichterfüllung von Dienstleistungen bzw. Dies ist die Annahme über die Wahrscheinlichkeit. Subjektive Gefähle wie Angst oder Unsicherheit stellen ein taugliches Frühwarnsystem dar. Datenschutzprozedere . Programmen. abschliessbare Behältnisse Datenschutz. Kalkulierbar Subjektive Wahrscheinlichkeit  nicht messbar bzw. Eintrittswahrscheinlichkeit und Schadenausmass Um ein Risiko zu versichern.B.Schaden. Um IT-Schäden zu qualifizieren wurden folgende Schadenskategorien geschaffen:    Direkte Schäden (z. Verspätete oder fehlende Informationen) Neben dem bewerteten Schaden braucht es zur Risikoqualifizierung auch die Eintrittswahrscheinlichkeit. Transaktionsprotokolle Zugriffsverfahren. da oft schon vor dem Eintreten eines Ereignisses/Schadens wargenommen werden kann.

Zweck: Zweck ist es. Nachfolgende ein Beispiel einer Bewertungstabelle für eine IT-Abteilung Nr 1 Bewertungskategorie Charakter der Geschäftsaktivitäten Skala für das Risikoniveau Strategische Bedeutung = 4-5 Kernfunktion = 2-3 Unterstützende Funktion =1 >500 000 = 4-5 100 000-500 000 =2-3 <100 000 =1 >26 = 5 16-25 =4 8-15=3 Risikoniveau 4 Relevanz 8 Wert 32 Max. Die Vorgehensweise ist grundsätzlich jeweils die Gleiche. die für das Unternehmen relevante Risiken systematisch zu ermitteln und zu bewerten. die einen Rückschluss auf die Relevanz der Risiken im Untersuchungsbereich zulassen. Externe) 4 5 20 25 4 3 12 15 . 40 2 3 Hähe der Informatikkosten in CHF Anzahl Mitarbeiter (inkl. Die Risikoanalyse lässt sich in folgende Phasen und Aktivitäten gliedern: Bewertungstabelle: Für die Bewertungstabelle sind Bewertungskategorien zu definieren.Ebenen und Phasen des Risikomanagements: Risikoanalyse Risikoanalyse stellt einen zentralen Subprozess im Rahmen des Risikomanagements dar und kann zu verschiedenen Zeitpunkten in einer Unternehmung durchgeführt werden.

. Sie müssen getrackt. Erläuterngen zur Tabelle: Spalte Bewirtschaftungskategorie: Die Bewirtschaftungskategorien können je nach Untersuchungbereich variieren. Risikovermeidung Eine Vermeidung eines Risikos ist fast unmöglich und auch nicht unbedingt . Spalte Skala für das Risikoniveau: Die Skalierung der aufgelisteten Bewertungskategorien kann je nach Grösse des Unternehmens und Komplexität der eingesetzten IT-Ressourcen variieren. welches dringend behoben oder untersucht werden kann. Akzeptieren Begrenzen Reduzieren Vermeiden Dort wo ein grosses Schadensausmass und eine grosse Eintretenswahrscheinlichkeit besteht. Spalte Relevanz: Die Relevanz umfasst eine Skala von 1 (=tief) bis 10 (=hoch) und gewichtet die entsprechende Bewertungskategorie sowie das Ziel und den Umfang der durchzuführenden Risikoanalyse. und von dessen Risikostrategie und Vision. sie kommen. Nicht für jedes Unternehmen ist zum Beispiel ein Verlust von 1. sind akut oder eher nicht so dringend. Spalte Wert: Der Wert einer Bewertungskategorie entspricht dem Produkt aus dem Wert in der Spalte Risikoniveau und dem Wert in der Spalte Relevanz. dass die Risiken auch überwacht werden.. gehen. Wie stark ein Unternehmen im Risikomanagement ist. für andere jedoch ist es Existenz bedrohend. Risiken bleiben auf der Riskmap jedoch nicht immer auf der gleichen Position. oder wie die Risiken eines Unternehmens bewertet werden. dies hängt vom Unternehmen selbst ab. dort ist scheinbar ein akutes Problem.4 Anzahl Applikationen 3-7=2 <2=1 >25=5 16-25=4 5-16=3 <5=2 1=1 3 6 18 30 Etc Etc.Mio Schweizer Franken schlimm. Wichtig dabei ist aber. Spalte Max: Der Maximalwert einer Bewertungskategorie entspricht dem Produkt aus dem höchsten Wert in der Spalte Skala für das Risikoniveau und dem Wert in der Spalte Relevanz. terminiert und einer verantwortlichen Person zugeteilt werden.

Architekur Risiken überwachen Risiken vermindern Eine Ursache kann mehrere Gefahren mit sich bringen.Risikoverminderung Risikoakzeptanz Risikoüberwälzung immer das Ziel. Allgemein: Gefahr Ich: Risiko Bedrohung: Kundendossiers enthalten falsche Daten wegen Erfassungsfehlern Kategorie: Menschliches Fehlverhalten Schaden: Kosten für manuelle Korrektur von Daten Bedrohung: Zugriff durch Unbefugte (Hacker) von aussen auf unser System. Management Strukturen. welche mit dem Risiko in Zusammenhang steht. Im Falle des Eindringens könnte Verfügbarkeit und Integrität betroffen sein. muss sich jedoch über die Konsequenzen im klaren sein Hier wird das Risiko mittels Verträge ausgelagert. Zum Beispiel durch Versicherungen Risiken beurteilen Unternehmen Risiken definieren Risikopolitik Risikokultut Strategisches Konzept Prozesse. KundenSicherheitspolitik Verluste Arbeitszeitverlust. dass man beim Eintretens fall damit leben kann. möglicher Schaden: Aufgrund Datenzerstörung kann Tagesgeschäft der Krankenkasse nicht mehr abgewickelt werden… Effekte: verärgerte Kunden. Image. muss man die Aktivität aufgeben. Eine Gefahr mehrere Risiken generieren. Mangelde Policy betreffend Datenverluste Spielen und Viren Eintretenswahrscheinlichkeit 7 Auswirkung 8 Schadenausmass 56 6 4 24 .und Kunden. Man kann das Risiko auch akzeptieren. will man ein Risiko komplett vermeiden. Risikoidentifikation Risiko Ursache / Schwachstelle Wiederholt verärgende Fehlende Risiko.und Kundenverlust 1. mit dem Ziel Daten zerstören Verletzbarkeit: Unsere Firewall ist nicht aktuell. das Risiko so weit zu vermindern. Hier wird versucht.

unten Schadenswirkung. Irrtum und Nachlässigkeit eigener Mitarbeiter 2.T. Troj. Teuer. Interne Richtlinien und Weisungen.2. Risiko-Profil: Würfel erstellen. Integrität. Datenverlust. Risikobewertung Für die Risikobewertung braucht man immer eine Bewertungsskala: Skalen Hoch Mittel Gering E * A = Schadensausmann Eintretenswahrscheinlichkeit 6-8 4-5 2-3 Auswirkung 6-8 4-5 2-3 Schadenausmass 36-64 16-35 4-15 3. Refresher1 Welche Kategorien von Bedrohungen müssen bei der Analyse von Risiken berücksichtigt werden? Höhere Gewalt. Technische Hilfsgeräte arbeiten fehlerhaft. Vorsätzliche Handlungen. Imageschaden für Kunden. Unbefugte Kenntnisnahme. A3 usw. Würmer. Studien und Umfragen am meisten für Schäden verantwortlich? 1. Das Feuer würde grossen Schaden an Material und Geräte ausrichten. Technisches Versagen. Vorbeugende Massnahme (Softwareverteilung) Terminalserver Feuerfester Schrank besorgen Onlinesystem redundant aufbauen Korrigierte Massnahme (aktueller Stand) PC neu aufsetzten keine So schnell wie möglich wider zum laufen bringen. F2.) 3. Produktion würde z. Expliziter Auftrag durch verantwortliche Person (CIO) Bedrohung Kundendossiers enthalten falsche Daten wegen Erfassungsfehlern PCs stürzen ab oder fallen ganz aus Der Schrank ist nicht feuerfest. Linke Achse: Eintretenswahrscheinlichkeit. Sie sind zum Teil nicht lesbar. Mitarbeitende können ihre Arbeit nicht ausführen. Tapestation) Kategorie MV TV OU OU OU TV Schaden Es entstehen Kosten für die manuelle Korrektur der Daten Teure Arbeitsausfälle. Organisatorische Mängel. Datenverlust garantiert bei Brandfall Die Mitarbeiter können ihre Arbeit nicht ausführen. Bei Brand würden Bänder zerstört werden Das Onlinesystem ist nicht verfügbar Aufgrund des fehlenden Feuerlöschers im Druckraum könnte ein Feuer unbemerkt ausbrechen.ausfallen. Mögliche Auslöser für eine Risikoanalyse: Gesetzliche Anforderungen. Maleware (Viren. Spionage Was versteht man unter Verletzbarkeit eines Schutzobjekts? Vertraulichkeit. Ein Restore wäre nicht möglich. Menschliche Fehlhandlungen. Verfügbarkeit und Zuverlässigkeit.B. . Risikobewertung (Risiko-Katalog und Risiko-Profil) Eintretungswahrscheinlichkeit: Level A B C D E F Schadenskatalog Description Frequent Moderate Occasional Remote Unlikely Almost Ipossible Definition Regelmässig Oft Gelegentlich Selten Unwahrscheinlich Nahezu unmöglich Werte 1x am Tag 1x Woche 1x halbes jahr 1x pro 2 Jahre 1x pro 5 Jahre 1x pro 10 Jahre Level Definition Wert 1 Katastrophal 80-100% Verlust 2 Kritisch 50-70% Verlust 3 Marginal 20-30% Verlust 4 Unbedeutend 0-10% Verlust Risiko-Katalog: Eintretenswahrscheinlichkeit und Schadenausmass werden Beurteilt z. (z.B E1. Welche Bedrohungen sind gemäss Statistiken. Gelöschte Daten können trotz Backup nicht restored werden. Risikobeurteilung Das Risiko mit dem grössten Schadensausmass wird herausgenommen.

Datenverlust garantiert bei Brandfall OU Die Mitarbeiter können ihre Arbeit nicht ausführen. So schnell wie möglich wider zum laufen bringen. aufbauen Bei Brand würden Bänder zerstört werden Das Onlinesystem ist nicht verfügbar Aufgrund des fehlenden Feuerlöschers im Druckraum könnte ein Feuer unbemerkt ausbrechen. OU Ein Restore wäre nicht möglich.T. Sie sind zum Teil nicht lesbar.Bedrohung Vorbeugende Massnahme Kundendossiers enthalten falsche (Softwareverteilung) Daten wegen Erfassungsfehlern Terminalserver PCs stürzen ab oder fallen ganz Feuerfester Schrank besorgen aus Onlinesystem redundant Der Schrank ist nicht feuerfest. Technische Hilfsgeräte arbeiten fehlerhaft. Teuer. OU TV Gelöschte Daten können trotz Backup nicht restored werden. Datenverlust. (z.ausfallen. Mitarbeitende können ihre Arbeit nicht ausführen. Tapestation) Kategorie Massnahme (aktueller Stand) Korrigierte Schaden MV neu aufsetzten PC Es entstehen Kosten für die manuelle Korrektur der Daten TV keine Teure Arbeitsausfälle. Das Feuer würde grossen Schaden an Material und Geräte ausrichten. Produktion würde z. Imageschaden für Kunden.B. .

Sign up to vote on this title
UsefulNot useful