Vereinfachte Risikoanalyse: Die größten Risiken im Blick Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


07.04.2011 Christian Ferstl*, Lars Rudolff*

Vereinfachte Risikoanalyse: Die größten Risiken im Blick

Risikoanalysen sind ein effektiver Weg für Unternehmen um ein angemessenes Sicherheitsniveau zu erreichen und das Budget optimal einzusetzen.

Vorrangiges Ziel der Analyse ist, bestehende Risiken zu überblicken, um dann entsprechende Maßnahmen einleiten zu können. Das Management profitiert von höherer Transparenz und Entscheidungsprozesse lassen sich objektivieren. Das klingt in der Theorie recht einfach, entpuppt sich aber in der Praxis als Weg voller Stolpersteine.

Dennoch überwiegen die Vorteile. Ohne eine umfassende und individuelle Risikobewertung kann es passieren, dass mögliche Gefahren nicht beachtet werden oder dass das Security-Budget nach dem Gießkannenprinzip in ein unangemessen hohes Sicherheitsniveau fließt.

Für ein Risiko sind üblicherweise die folgenden beiden Größen von Belang: Die Höhe des Schadens, der beim Eintritt eines Ereignisses entsteht, und die Wahrscheinlichkeit, mit der dieser Schaden eintritt. Bei IT-Sicherheit liegen für die Betrachtung von Risiken im Unterschied zu Bereichen wie Versicherungen nur sehr selten Zahlen aus der Vergangenheit vor. Dies liegt einerseits daran, dass viele Vorfälle gar nicht publik werden. Andererseits haben die Rahmenbedingungen in jedem Unternehmen einen erheblichen Einfluss auf das Risiko, sodass sich selbst die wenigen verfügbaren Daten nicht ohne Weiteres auf die individuelle Situation übertragen lassen.

Der international anerkannte Standard ISO/IEC 27005 beschreibt recht ausführlich verschiedene Ansätze zur Abschätzung von Risiken, die alle eines gemeinsam haben: Analysen erfordern viel Erfahrung und ein fundiertes Wissen im Bereich der IT-Sicherheit, um nachvollziehbare, vergleichbare und vor allem belastbare Ergebnisse zu erhalten. Darüber hinaus sind Einschätzungen oft von persönlichen Erlebnissen oder Vorfällen in der jüngeren Vergangenheit beeinflusst. Nicht zuletzt ist das Verfahren recht aufwendig und bindet Ressourcen aus unterschiedlichen Bereichen eines Unternehmens.

Aus all diesen Gründen greifen kleine und mittelständische Unternehmen nur selten zum Instrument der Risikoanalyse, um IT-Sicherheit zu steuern, obwohl sie auch bei diesen ihre Stärken voll ausspielen könnte.

AUS WISSEN WIRD METHODE Beim Vergleich vieler Risikoanalysen fällt folgendes auf: Die Fragen, die zur Einschätzung des Risikos den jeweiligen Ansprechpartnern gestellt werden, kehren immer wieder und aus diesen Fragen werden die Risiken immer in ähnlicher Weise abgeleitet. Könnte man damit nicht die Risikoanalyse methodisch so vereinfachen, dass der Aufwand signifikant sinkt und dass sie als Self Assessment direkt von den jeweiligen Ansprechpartnern durchgeführt werden kann?

Viele Unternehmen haben diese Frage für sich mit "Ja" beantwortet und die relevanten Fragen in standardisierte Fragenkataloge überführt. Auf deren Basis lassen sich automatisiert Risiken ableiten. Damit wandert das benötigte Know-How in die Methodik. Diese stellt darüber hinaus die Nachvollziehbarkeit und Vergleichbarkeit der Ergebnisse sicher. Ein geringer Verlust an Individualität wird dabei in Kauf genommen.

Wie bereits erwähnt, ergibt sich eine Abschätzung für das Risiko aus der Wahrscheinlichkeit eines Ereignisses und dem daraus resultierenden Schaden. Bei der Eintrittswahrscheinlichkeit sind zwei weitere Aspekte zu klären: Besteht eine Bedrohung, dass ein Ereignis eintritt, das einen Schaden auslösen kann? Wie anfällig ist das System für diese Bedrohung? Das bedeutet, wie groß ist die Wahrscheinlichkeit, dass dieses Ereignis auch zu einem Schaden führt?

Das folgende vereinfachte Beispiel soll die Zusammenhänge veranschaulichen: Das Risiko für das Szenario Identitätsdiebstahl hängt unter anderem von der Erreichbarkeit des Systems (zum Beispiel aus dem Internet) und von den Authentifizierungsmechanismen ab. Wenn man diese Aspekte kennt, kann man daraus die Wahrscheinlichkeit für einen solchen Identitätsdiebstahl ableiten. Die Daten im System zeigen, wie groß ein möglicher Schaden sein könnte. Aus diesen beiden Größen ergibt sich nun eine Abschätzung für das Risiko, das dann grafisch in einer Risikomatrix (Abbildung) dargestellt werden kann.

Es ist sogar möglich, in Abhängigkeit von Bedrohung, Schwachstelle und Schaden standardisierte Gegenmaßnahmen einzuleiten. In obigem Beispiel könnte eine Lösung so aussehen: Für ein aus dem Internet erreichbares System, das lediglich eine Authentifizierung mit Benutzernamen/Passwort bietet und vertrauliche Daten verarbeitet, würde eine 2-Faktor-Authentifizierung vorgeschlagen werden.

Das Grundproblem für kleine und mittelständische Unternehmen ist jedoch immer noch nicht gelöst, da der Aufwand für die Entwicklung individueller Fragenkataloge und das dafür benötigte Know-How nicht unerheblich sind. Einige Beratungsunternehmen im Bereich der IT-Sicherheit haben standardisierte Kataloge entwickelt, die sie entweder als Basis für eine individuelle Methodik oder im Rahmen von Quick Checks am Markt anbieten.

DIE RICHTIGEN FRAGEN STELLEN Die vereinfachte Risikoanalyse basiert üblicherweise auf einem Fragenkatalog. Er umfasst Fragen zur Abschätzung des Schadens sowie Fragen zur Bewertung von Bedrohungen und bestehenden Schwachstellen, aus denen dann die Eintrittswahrscheinlichkeit abgeleitet wird.

Um die Vollständigkeit der Kataloge zu gewährleisten, sollten sich Unternehmen an Standards wie ISO 27001 beziehungsweise 27002 oder 27005 orientieren. Dadurch wird sichergestellt, dass alle Aspekte der IT-Sicherheit - sowohl technische als auch organisatorische - zur Geltung kommen.

Abschätzung des Schadens Diese Fragen sollen zeigen, wie kritisch ein Untersuchungsgegenstand (zum Beispiel ein System) einzuschätzen ist, unabhängig davon, welche Schwachstellen oder Bedrohungen auf ihn wirken. Dabei wird der mögliche Schaden für unterschiedliche Schutzziele abgeschätzt (zum Beispiel Vertraulichkeit, Integrität und Verfügbarkeit).

Am Beispiel der Vertraulichkeit könnte eine Frage etwa lauten:

Welche Auswirkungen hat eine Bekanntgabe der Informationen auf das Kundenvertrauen oder Image?

1. Nur intern bekannter Zwischenfall 2. Kurze Erregung von regionalem Interesse 3. Diskussion in der Öffentlichkeit (überregional) 4. Gravierende Umsatzeinbußen durch Kundenverlust

Jede Antwortmöglichkeit korreliert mit einer bestimmten Schadensklasse. Auswahl 1 beispielsweise verursacht sehr geringen Schaden, Auswahl 4 sehr hohen Schaden. Bei mehreren Fragen zum selben Schutzziel entscheidet das Maximumprinzip.

Bewertung von Bedrohungen und Schwachstellen Diese Fragen helfen, die Bedrohungssituation für den Untersuchungsgegenstand sowie bestehende Schwachstellen zu bewerten. Zwei Fragen zur Bewertung von Bedrohungen und Schwachstellen könnten dabei lauten:

Wie ist das System erreichbar?

1. Sichere Zone 2. Intranet 3. Internet

Wie erfolgt die Authentifizierung der Benutzer?

1. Keine Authentifizierung 2. Benutzername Passwort ohne Sicherstellung der Passwortqualität 3. Benutzername Passwort mit Sicherstellung der Passwortqualität 4. 2-Faktor Authentifizierung

Jede Antwortmöglichkeit ist dabei mit einem Punktewert versehen, der das Ausmaß der Bedrohung beziehungsweise der Schwachstelle angibt.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema


Hosted by:    Security Monitoring by: