Magazin als PDF - Bites, Bytes and my 5 cents - portfolio
Magazin als PDF - Bites, Bytes and my 5 cents - portfolio
Magazin als PDF - Bites, Bytes and my 5 cents - portfolio
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Diese Option kombiniert die Vorteile des Grundschutz-<br />
und des Risikoanalyseansatzes, da alle IT-<br />
Systeme mit hohem Schutzbedarf wirksam und angemessen<br />
geschützt werden. Maßnahmen können für die<br />
<strong>and</strong>eren Systeme mit Hilfe des Grundschutzes schnell<br />
und effektiv ausgewählt werden. Diese Methode stellt in<br />
den meisten Einsatzumgebungen eine empfehlenswerte<br />
Strategie zur Risikoanalyse dar.<br />
Zu den einzelnen Kriterien, die festgelegt werden<br />
müssen gehören u.a.<br />
��� �������������������������������<br />
��� ���������������������������������<br />
��� �������������������������<br />
��� �������������������������������������<br />
Risikobewertung<br />
Die Risikobewertung gliedert sich in die beiden Vorgänge<br />
Risikoanalyse und der Priorisierung der Risiken.<br />
Die Risikoanalyse ist sicherlich der schwierigste und<br />
aufwendigste Teil, müssen doch zunächst die Risiken<br />
������������������������������������������������������sets“<br />
des Unternehmens wird folgender Prozess durchlaufen:<br />
��� �������������������<br />
��� ��������������<br />
��� �������������������������������<br />
��� ���������������������<br />
��� ����������������������<br />
Dieser Prozess wird für alle Assets wiederholt. Ein Asset<br />
im Sinne der ISO 27005 ist alles, was einen Wert<br />
für die Organisation besitzt und daher schützenswert<br />
����������������������������������������������������������<br />
Rahmenbedingungen den zu betrachtenden Rahmen<br />
zunächst eng zu fassen. Er kann später immer noch<br />
erweitert werden. Die Norm unterteilt hierbei in primäre<br />
Assets (Geschäftsprozesse und –aktivitäten, Informationen)<br />
und unterstützende Assets (Hard- und Software,<br />
Netzwerk, Personal, Infrastruktur, etc.). Eine de-<br />
����������� ������������ �������� ����� ��� ������� �� ����<br />
Norm.<br />
Aus dem beschriebenen Prozess erfolgt eine Analyse<br />
und Auflistung der Konsequenzen und letztendlich eine<br />
Risikoeinschätzung.<br />
��������������������������������������������������-<br />
�������������������������������������������������wertung<br />
nach Zeitwert, nach Wiederbeschaffungswert,<br />
nach dem Wert für einen potenziellen Angreifer oder<br />
nach dem Schaden für die Organisation aus einem Verlust<br />
des Assets. Immaterielle Werte werden i.d.R. nach<br />
dem Wert für einen potenziellen Angreifer oder nach dem<br />
Schaden für die Organisation aus einem Verlust des Assets<br />
bewertet. Bei der Bewertung ist zu beachten, dass<br />
Wertekombinationen häufig nicht der Summe der Einzel-<br />
IT-Risikomanagement – Wozu brauche ich das?<br />
werte entsprechen, da sich die Werte in Kombination ergänzen<br />
und einen höheren Wert darstellen.<br />
Die zu schützenden Werte sind vielfältigen Bedrohungen<br />
ausgesetzt. Im Rahmen der Risikoanalyse<br />
ist nun die Eintrittswahrscheinlichkeit abzuschätzen.<br />
Bedrohungen sind charakterisiert durch:<br />
��� ������������������������������<br />
��� �����������������������������������������������vorteile,<br />
Rache)<br />
��� ����������������������������<br />
��� ���� ������ ���� ���������� ���� ������ ������ �����hung<br />
verursacht werden kann.<br />
�������������������������������������������������ben,<br />
Blitzschlag, ...) liegen statistische Daten vor, die<br />
für die Einschätzung hilfreich sein können.<br />
Die Bedrohungsanalyse umfasst im Einzelnen:<br />
��� ���������������������������������������<br />
��� ������������������������������������������������<br />
Bedrohungen können unterteilt werden in:<br />
��� ������������������������������������������������sonalausfall)<br />
��� ����������������� ������� ���������� ����� �������chende<br />
Dokumentation)<br />
��� ������������ ��������������� ������������� ������nutzung<br />
oder -administration, Nichtbeachtung von<br />
Sicherheitsmaßnahmen)<br />
��� ������������������������������������������������tenträger)<br />
��� ������������� ����������� �������������������������<br />
von Geräten, Manipulation an Daten oder Software,<br />
Viren, trojanische Pferde)<br />
Es ist wichtig, alle wesentlichen Bedrohungen zu erfassen,<br />
da <strong>and</strong>ernfalls Sicherheitslücken bestehen<br />
bleiben können. Im Anhang C der Norm ist eine umfangreiche<br />
Listung von Bedrohungen vorh<strong>and</strong>en, jedoch<br />
kann keine derartige Liste vollständig sein. Darüber<br />
hinaus sind auch Bedrohungen einem ständigen<br />
W<strong>and</strong>el und einer ständigen Weiterentwicklung unterworfen.<br />
Nachdem Werte und Bedrohungen erfasst wurden,<br />
muss nun die Eintrittswahrscheinlichkeit zugeordnet<br />
werden. Es ist <strong>als</strong>o zu bestimmen, mit welcher Wahrscheinlichkeit<br />
eine Bedrohung im betrachteten Umfeld<br />
eintreten wird.<br />
Auch die Eintrittswahrscheinlichkeit kann quantitativ<br />
oder qualitativ bewertet werden. Da eine quantita-<br />
����� ���������� ��� ������� ������� ����� ������������ ���täuschen<br />
könnte, ist in den letzten Jahren ein Trend in<br />
Richtung qualitativer Bewertung zu erkennen.<br />
hakin9.org/de 33
Change language