Risikomanagement HW

Teil 1 – Vermögensidentifizierung, füllen Sie Tabelle A aus.

1. Identifizieren Sie Vermögenswerte an Ihrer Universität, darunter jeweils mindestens eines
(Personen, Daten, Verfahren usw.).
2. Geben Sie für jedes Asset an, ob es kritisch, hoch, mittel oder niedrig ist (C, H, M, L).
3. Vermögensbewertung – Bestimmen Sie den numerischen Wert (1-10) der identifizierten
Vermögenswerte. Nutzen Sie Ihr persönliches Urteilsvermögen. Behalten Sie die Mission des
Unternehmens im Auge

Vermögenswert Vermögensanalyse: Zu berücksichtigende

Kritisch – eine Beeinträchtigung
der Vermögenswerte hätte
schwerwiegende Folgen und
könnte zum Verlust von
Menschenleben, schweren
Verletzungen oder zum Scheitern
der Mission führen
Hoch – eine Beeinträchtigung der
Vermögenswerte hätte
schwerwiegende Folgen, die den
Betrieb über einen längeren
Zeitraum beeinträchtigen könnten
Mittel – eine Beeinträchtigung der
Vermögenswerte hätte moderate
Folgen, die den Betrieb für einen
begrenzten Zeitraum
beeinträchtigen könnten
Niedrig – eine Beeinträchtigung
der Vermögenswerte hätte kaum
oder keine Auswirkungen auf die
Fortführung des Betriebs
Bewertungselemente:
10
● Kosten für die Herstellung des Vermögenswerts
● Wert der Informationen/Dienste auf dem freien Markt
● Kosten für die Reproduktion des Vermögenswerts bei
Zerstörung
7-9 ● Nutzen Sie den Nutzen, den die Universität der
Universität bringt, indem sie ihre Mission erfüllt und das
Lernen der Studierenden unterstützt
● Auswirkungen auf die Universität, wenn die
5-6 Informationen und Dienste nicht ohne weiteres verfügbar
wären
● Vorteil, der jemandem gewährt wird, wenn er den
Vermögenswert nutzen, verändern oder zerstören könnte
1-3 ● Kosten, wenn Informationen freigegeben, geändert oder
vernichtet werden (Rechtsstreit)
● Verlust des Vertrauens von Verwaltung, Lehrern,
Schülern, Eltern und der Gemeinschaft, wenn
Informationen nicht sicher gespeichert und verarbeitet
werden
● Verlust der allgemeinen Glaubwürdigkeit und Peinlichkeit

Tabelle A.
VERMÖGENSWERT C,H,M,L Vermögens
wert
1-10
Menschen Kim Schatzel H 8
Studenten C 10
Daten und Studentenakten (Darlehen, Noten usw.) C 10
Informationen

Verfahren Tägliche E-Mails/Ankündigungen L 3

Software Tafel M 5
Peoplesoft H 7
Hardware Universitätscomputer C 10
Labor-Ausstattung H 7
Teil 2 – Bedrohungsidentifizierung, füllen Sie Tabelle B aus
1. Nennen und identifizieren Sie 5 Bedrohungen, Beispiele:
● Akt menschlichen Versagens oder Versagens

● Kompromittierung des geistigen Eigentums

● Vorsätzliche Spionagehandlungen

● Vorsätzliche Akte der Informationserpressung

● Sabotage, Vandalismus, Diebstahl

● Software-Angriffe

● Naturgewalten

● Technische Hardwarefehler

● Softwarefehler

● Technologische Obsoleszenz
2. Bewertung: Geben Sie für jede Bedrohung an, ob sie kritisch, hoch, mittel oder niedrig ist.
Die Bedrohungsbewertung ist eine subjektive Beurteilung, die auf Existenz, Fähigkeit,
Geschichte, Absicht und Zielsetzung basiert.
3. Bedrohungsbewertung – Bestimmen Sie die numerische Bewertung jeder Bedrohung. Nutzen
Sie Ihr persönliches Urteilsvermögen. Behalten Sie die Mission des Unternehmens im
Hinterkopf

Bedrohungsbewertung
Kritisch – Es sind bekannte Aggressoren oder Gefahren vorhanden, die 10
höchstwahrscheinlich Verluste oder Schäden verursachen können. Es liegen eine
oder mehrere Schwachstellen vor. Es ist bekannt, dass die Bedrohungsquelle Absicht
und Mittel hat.
Hoch – Es sind bekannte Aggressoren oder Gefahren vorhanden, die der Schule 7-9
Verluste oder Schäden zufügen können. Eine oder mehrere Schwachstellen sind
vorhanden und es ist bekannt oder es besteht der begründete Verdacht, dass die
Angreifer Absichten und Mittel haben.
Mittel – Es sind bekannte Aggressoren oder Gefahren vorhanden, die Verluste oder 5-6
Schäden verursachen können. Möglicherweise liegen eine oder mehrere
Schwachstellen vor. Es wird jedoch nicht davon ausgegangen, dass die Angreifer
Absicht hatten.
Niedrig – Es sind nur wenige oder keine Aggressoren oder Gefahren vorhanden. Ihre 1-3
Fähigkeit, Schaden anzurichten, ist zweifelhaft.
Tabelle B.
GEFAHR C,H,M,L Bedrohungsb
ewertung 1–
10
1 Jemand stiehlt eine Fakultätskarte und verschafft sich Zugang H 9
zu allen Gebäuden und Räumen
2 Jemand hackt sich in PeopleSoft ein und erlangt die H 8
Möglichkeit, die Noten der Schüler zu ändern oder zu löschen
3 Eine konkurrierende Schule führt einen DoS-Angriff auf M 6
Blackboard durch, sodass Lehrer keine Online-Vorlesungen
abhalten können
4 Ein Hacker verschafft sich Zugriff auf den Computer des C 10
Finanzhilfebüros und löscht Studienkreditdaten
5 Ein heftiger Sturm zerstört eines oder mehrere der C 10
akademischen Gebäude auf dem Campus
Teil 3 – Schwachstellenidentifizierung, füllen Sie Tabelle C aus
1. Schwachstellen auflisten und identifizieren, Beispiele:
● Menschlich

● Betriebsbereit – unzureichende Sicherheitsverfahren

● Informationsschwachstellen

● Anlage – schwache physische und geografische Lage

● Ausrüstung
2. Bewertung: Geben Sie für jede Schwachstelle an, ob sie kritisch, hoch, mittel oder
niedrig ist. Die Schwachstellenbewertung ist eine subjektive Beurteilung, die auf
Existenz, Fähigkeit, Geschichte, Absicht und Zielsetzung basiert.
3. Schwachstellenbewertung – Bestimmen Sie die numerische Bewertung jeder
Schwachstelle. Nutzen Sie Ihr persönliches Urteilsvermögen. Behalten Sie die Mission
des Unternehmens im Hinterkopf

Schwachstellenbewertung
Kritisch: Es sind keine Gegenmaßnahmen und 10
Gegnerfähigkeiten bekannt
Hoch – Es sind keine Gegenmaßnahmen und Gegnerfähigkeiten 7-9
bekannt
Mittel – Es gibt wirksame Gegenmaßnahmen, aber Gegner 5-6
können eine Schwachstelle ausnutzen
Niedrig – es gibt mehrere Ebenen von Gegenmaßnahmen und 1-3
nur wenige oder keine Gegner könnten den Vermögenswert
ausnutzen

Tabelle C.
Verletzlichkeit C,H,M,L Schwachstellenbewe
rtung
1-10
1 Menschliches Versagen – anfällig für Social Engineering, M 5
um Zugriff auf Studentenkonten zu erhalten
2 Hintertüren zu Universitätssystemen M 5
3 Offener Campus/unbegrenzter Zugang zu akademischen H 7
Gebäuden
4 Menschliches Versagen – der Diebstahl einer Karte kann den M 5
Zugang zu Essensplänen, Schlafsälen usw. ermöglichen.
5 Schwache Passwörter für Systeme L 3
Teil 4 – Risikobewertung

Risiko = Vermögenswert x Bedrohungsbewertung x Schwachstellenbewertung

Risiko Risikobewertung
>260 Kritisch
141-260 Hoch
101-140 Mittel
1-100 Niedrig

Risikobewertung: Füllen Sie die folgende Tabelle basierend auf den oben berechneten Werten
für die Vermögens-, Bedrohungs- und Schwachstellenbewertung aus. Alle kursiven Werte
sollten durch Ihre eigenen Daten ersetzt werden. Nach Abschluss der Farbcodierung verwenden
Sie die obige Tabelle.

Tabelle D.
Bedrohung Bedrohung 2 Bedrohung 3 Bedrohung 4
1 Naturkatastroph Diebstahl Spionage e
Datenleck e identifizieren
Vermögenswert 1 Vermögensw Vermögenswert Vermögenswert* Vermögenswert
Studenten ert* * Gefahr* *
Gefahr* Gefahr* vuln = 90 Gefahr*
vuln = 630 vuln = 250 vuln = 90
Vermögensw 10
ert
Bedrohungsb 9 5 3 3
ewertung
Schwachstell 7 5 3 3
enbewertung
Vermögensw Vermögensw Vermögenswert Vermögenswert* Vermögenswert
ert 2 ert* * Gefahr* *
Schüleraufze Gefahr* Gefahr* vuln = 120 Gefahr*
ichnungen vuln = 360 vuln = 250 vuln = 90
Vermögensw 10
ert
Bedrohungsb 9 5 6 3
ewertung
Schwachstell 4 5 2 3
enbewertung
Asset 3 Vermögensw Vermögenswert Vermögenswert* Vermögenswert
Blackboard/ ert* * Gefahr* *
Peoplesoft Gefahr* Gefahr* vuln = 60 Gefahr*
vuln = 168 vuln = 24 vuln = 24
Vermögensw 6
ert
Bedrohungsb 7 4 5 2
ewertung
Schwachstell 4 1 2 2
enbewertung
Vermögensw Vermögensw Vermögenswert Vermögenswert* Vermögenswert
ert 4 ert* * Gefahr* *
Universitätsc Gefahr* Gefahr* vuln = 432 Gefahr*
omputer vuln = 200 vuln = 16 vuln = 72
Vermögensw 8
ert
Bedrohungsb 5 2 9 3
ewertung
Schwachstell 5 1 6 3
enbewertung
Vermögensw Vermögensw Vermögenswert Vermögenswert* Vermögenswert
ert 5 ert* * Gefahr* *
Aufzeichnun Gefahr* Gefahr* vuln = 360 Gefahr*
gen über vuln = 630 vuln = 20 vuln = 250
finanzielle
Unterstützun
g
Bewertung 10
des
Vermögensw
erts
Bedrohungsb 9 2 9 5
ewertung
Schwachstell 7 1 4 5
enbewertung