DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Wissen, wie IT-Risiken iden­ti­fi­ziert und bewertet werden

Risikoanalyse Teil 2

Wie schätzen Sie als Unter­nehmer oder Unter­neh­merin Risiken ein und wie iden­ti­fi­zieren Sie IT-Risiken? Wie können Sie diese bewerten, damit Sie ein­schätzen können, wie rea­lis­tisch die Gefährdung ist? Der 2. Teil der Bei­trags­serie ver­an­schau­licht dies an einem Bei­spiel.

 

 

Im ersten Teil zur IT-Risi­ko­analyse habe ich dar­gelegt, wie Sie metho­disch vor­gehen können, um IT-Risiken zu iden­ti­fi­zieren. In der Praxis stellt sich nun die Frage, wie die Methode genau umzu­setzen ist? Dies wird anhand der am Ende des Bei­trags zu fin­denden Excel-Vorlage ver­deut­licht. Dabei wird Wert auf eine pra­xisnahe Methode gelegt.

Risiko vor Sicher­heits­maß­nahmen

Eine detail­lierte IT-Risi­ko­analyse iden­ti­fi­ziert bestehende Risiken und ermittelt die Höhe des Risikos, wenn Sie kei­nerlei Maß­nahmen ergreifen. (vgl. Abbildung 1, die ein Auszug aus dem Excel-Bei­spiel ist).

Abbildung 1 IT-Risikoanlyse Teil 2
Abbildung 1: Risi­ko­iden­ti­fi­kation

Schritt 1: Asset
Hier werden sämt­liche IT-Systeme oder schüt­zens­werte Objekte ein­ge­tragen, die im Rahmen der IT-Risi­ko­analyse zu betrachten sind. Je nach Größe des Unter­nehmens oder des Ana­ly­se­be­reichs bietet es sich an, gleich­artige Objekte zusam­men­zu­fassen. In unserem Fall ist das zu betrach­tende Objekt eine Datenbank.

Schritt 2: Bekannte oder erwartete Risiken
Gemeinsam mit der Fach­ab­teilung werden hier gemeinsam, z. B. durch ein Brain­storming wesent­liche Risiken ein­ge­tragen. Damit das Rad nicht immer neu erfunden werden muss, bietet sich ein Blick auf die Grund­schutz­ka­taloge des BSI an. In unserem Bei­spiel haben wir die Risiken Hacking, unzu­rei­chende Daten­qua­lität und Social Engi­neering iden­ti­fi­ziert.

Schritt 3: Bekannte oder erwartete Schwach­stellen
Im nächsten Schritt werden bekannte oder erwartete Schwach­stellen auf­ge­listet. Damit Risiken ein­treten können, müssen Schwach­stellen vor­handen sein, da andern­falls die Wahr­schein­lichkeit des Ein­tritts eines Risikos immer bei Null liegen wird.

Schritt 4: Wahr­schein­lichkeit des Ein­tritts
Im nächsten Schritt muss ein Unter­nehmen nun beur­teilen, wie wahr­scheinlich der Ein­tritt des iden­ti­fi­zierten Risikos ist. Hier kann nur dazu geraten werden, eine pra­xis­taug­liche Ein­teilung vor­zu­nehmen, wie z. B. (eine andere Ein­teilung wie etwa eine 3-teilige ist selbst­ver­ständlich auch möglich):

  • ver­nach­läs­sigbar: pas­siert nie = 0
  • sehr gering: 2–3 mal in 5 Jahren = 1
  • gering: 1 mal im Jahr = 2
  • medium: alle halbe Jahre = 3
  • hoch: 1 mal im Monat = 4
  • sehr hoch: mehr als 1 mal im Monat = 5

Die Ein­schätzung erfolgt gemeinsam mit den Fach­ab­tei­lungen.

Schritt 5: Scha­dens­ausmaß
Nachdem nun ermittelt ist, wie wahr­scheinlich der Ein­tritt ist, stellt sich anschließend die Frage, welcher Schaden für das Unter­nehmen ent­stehen wird. Auch hier sollte eine pra­xis­taug­liche Ein­teilung vor­ge­nommen werden, wie z. B.:

  • unbe­deutend: keine Aus­wir­kungen = 0
  • gering: kleiner Aufwand zur Kor­rektur = 1
  • signi­fikant: Aus­wir­kungen auf den Betrieb, Extra­aufwand für Kor­rektur = 2
  • beein­flussend: starker Ein­fluss auf den Betrieb und das Image = 3
  • gra­vierend: massive Aus­wir­kungen auf den Gewinn; hoher Daten­verlust = 4
  • extrem: Existenz des Unter­nehmens steht auf dem Spiel = 5

Schritt 6: Risiko vor Sicher­heits­maß­nahmen
Das nun ermit­telte Risiko ist die Mul­ti­pli­kation von Scha­dens­ausmaß und Ein­tritts­wahr­schein­lichkeit. Aber beachten Sie bitte, dass wir hier davon aus­gehen, dass keine Sicher­heits­maß­nahmen ergriffen werden. In wei­teren Schritten muss ermittelt werden, wie das Risiko real aus­sieht, da bereits Maß­nahmen ergriffen werden.

Risi­ko­be­wertung

In der Risi­ko­be­wertung wird dann fest­ge­halten, wie wahr­scheinlich der Ein­tritt eines Risikos in der kon­kreten Situation ist (d.h. mit even­tuell vor­han­denen Sicher­heits­maß­nahmen) und es erfolgt eine Aggre­gation für das zu betrach­tende Objekt (vgl. Abbildung 2, die ein Auszug aus dem Excel-Bei­spiel ist).

Abbildung 2 IT-Risikoanalyse Teil 2Abbildung 2: Risi­ko­be­wertung

Schritt 7: Vor­handene Sicher­heits­maß­nahmen
Ermitteln Sie gemeinsam mit den Fach­ab­tei­lungen, welche Sicher­heits­maß­nahmen bereits vor­handen sind. Seien es orga­ni­sa­to­rische Rege­lungen, Einsatz spe­zi­eller Systeme wie Firewall oder Intrusion Detection Systeme oder Kon­trolle wie Aus­wertung von Log-Files.

Schritt 8: Risi­ko­ein­tritt unbe­merkt
Anschließend wird fest­ge­halten, wie wahr­scheinlich es ist, dass das Risiko ent­deckt werden kann, da Sicher­heits­maß­nahmen vor­handen sind bzw. ergriffen werden. Auch hier sollte wie­derum eine pra­xis­taug­liche Ein­teilung vor­ge­nommen werden, wie z. B.:

  • extrem hoch: extrem einfach zu ent­decken = 1
  • hoch: sehr einfach zu ent­decken = 2
  • medium: kann ent­deckt werden, Aufwand not­wendig = 3
  • gering: geringe Wahr­schein­lichkeit der Ent­de­ckung, trotz Maß­nahmen = 4
  • sehr gering: sehr schwierig oder fast unmöglich zu ent­decken = 5

Schritt 9: Risi­ko­level
Der Risi­ko­level gibt nun an, wie wahr­scheinlich der Ein­tritt eines Risikos ist, obwohl Sicher­heits­maß­nahmen ergriffen worden sind. Hier wird eine Mul­ti­pli­kation von Risiko vor Sicher­heits­maß­nahmen mit Risi­ko­ein­tritt unbe­merkt vor­ge­nommen. Hierbei geht man davon aus, dass die Summe von Sicher­heits­maß­nahmen das Risiko beein­flusst und nicht eine ein­zelne Maß­nahme.

Schritt 10: Risi­ko­durch­schnitt
Der Risi­ko­durch­schnitt ist ein Mit­telwert aller Risi­ko­level zu einem Asset bzw. Objekt. Dabei ist 0 der kleinste Wert, 125 der Maxi­malwert. Hier bietet es sich an, eine Unter­teilung vor­zu­nehmen, wie z. B.:

  • 0–25: Risiko kann akzep­tiert werden für das Objekt
  • 26–75: Im Ein­zelfall muss geprüft werden, ob das Risiko getragen werden kann
  • 76–125: Risiko kann auf keinen Fall getragen werden. Durch weitere Maß­nahmen muss das Risi­ko­niveau gesenkt werden

Schritte nach der IT-Risi­ko­analyse

Führen Sie die Schritte oben für alle Assets bzw. Objekte durch, die aus Ihrer Sicht schüt­zenswert sind. Nachdem dies durch­ge­führt wurde, stellt sich die Frage, welche Schlüsse zieht ein Unter­nehmen aus den Ergeb­nissen?

  1. Zeigt es einem Unter­nehmen, welche Assets einem besonders hohen Risiko unter­liegen. Trotz feh­lender Sicher­heits­maß­nahmen?
  2. Sollte dies Aus­gangs­punkt für einen Risi­ko­be­hand­lungsplan dar­stellen. In wei­teren Schritten sollte geprüft werden, ob es nicht sinnvoll ist, mit wei­teren Sicher­heits­maß­nahmen das Risiko für ein­zelne oder mehrere Assets zu redu­zieren.

Last but not least: Die IT-Risi­ko­analyse muss selbst­ver­ständlich in regel­mä­ßigen Abständen wie­derholt werden. Denn Risiken und Schwach­stellen ändern sich im Laufe der Zeit und nur auf Grundlage einer aktu­ellen Risi­ko­analyse können fun­dierte Ent­schei­dungen getroffen werden.

Bild: © LaCa­trina — Fotolia.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Thomas Lohre, DATEV eG

Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwer­punkt­mäßig mit dem Infor­ma­ti­ons­si­cher­heits- und Not­fall­ma­nagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unter­schied­lichen Themen tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.