Vous êtes sur la page 1sur 6

Risiko, Bedrohung und Verletzbarkeit

IT-Grundbedrohungen: Hhere Gewalt (auch: Elementarereignisse) Organisatorische Mngel Menschliche Fehlhandlungen Vorstziche Handlungen Technisches Versagen

Laut einer Umfrage in der Schweiz, Deutschland und sterreich sind folgende Bedrohungen von Bedeutung: Rang 1 2 3 4 5 Gefahrenbereich Irrtum und Nachlssigkeit eigener Mitarbeiter Malware (Viren, trojanische Pferde, ...) Unbefugte Kenntnisnahme, Informationsdiebstahl, Wirtschaftsspionage Software-Mngel / -Defekte Hacking (Vandalismus, Probing, Missbrauch, ...)

Verletzbarkeit von Informationen Bei der Beurteilung bezglich Verletzrkeitvon Informationen sind folgende Kriterien in Betracht zu ziehen (gemss COBIT): Vertraulichkeit (Personaldaten, Kundendaten) Integritt (falsche, gelschte, manipulierte Geschftsdaten) Verfgbarkeit (Stammdaten, Bewegungsdaten) Zuverlssigkeit und Verbindlichkeit der Informationen (u.a. Bereitstellung und Einhaltung rechtlicher Erfordernisse)

Der Zusammenhang zwischen Risiko, Bedrohung, Verletzbarkeit lsst sich grafisch wie folgt darstellen: Risiken ermitteln

Schaden, Eintrittswahrscheinlichkeit und Schadenausmass Um ein Risiko zu versichern, muss der potenzielle Schaden mit einem Geldbetrag angegeben werden. Um IT-Schden zu qualifizieren wurden folgende Schadenskategorien geschaffen: Direkte Schden (z.B. an Maschinen, Programmen, Datentrgern oder Daten) Indirekte Schden (z.B. Kosten fr die Rekonstruktion von Daten oder Programmen) Folgekosten (z.B. entgangener Gewinn durch einen Betriebsunterbruch, Nichterfllung von Dienstleistungen bzw. Vertrgen, Versptete oder fehlende Informationen)

Neben dem bewerteten Schaden braucht es zur Risikoqualifizierung auch die Eintrittswahrscheinlichkeit. Dies ist die Annahme ber die Wahrscheinlichkeit, mit der ein mgliches Ereignis eintrifft. Subjektive Gefhle wie Angst oder Unsicherheit stellen ein taugliches Frhwarnsystem dar, da oft schon vor dem Eintreten eines Ereignisses/Schadens wargenommen werden kann, ob etwas in der Luft liegt. Objektive Wahrscheinlichkeit messbar bzw. Kalkulierbar Subjektive Wahrscheinlichkeit nicht messbar bzw. Geschtzt

Berechnung des Schadenausmasses:

R=E*A
Risiko(R) = Eintrittswahrscheinlichkeit(E)*Auswirkung pro Ereignis(A /=Schaden in CHF)

Massnahmen um Risiken zu vermeiden bzw. vermindern: IT-Ressourcen Personal Anwendungen Technologie Anlagen Daten Mgliche Massnahmen Information, Kommunikation, Ausbildung/Schulung, Richtliniern/Weisungen Zugriffsprotokolle, Kennwrter, Transaktionsprotokolle Zugriffsverfahren, Backup, Betriebskontrollen Zutrittsschutz, abschliessbare Behltnisse Datenschutz, Datenschutzprozedere

Ebenen und Phasen des Risikomanagements:

Risikoanalyse
Risikoanalyse stellt einen zentralen Subprozess im Rahmen des Risikomanagements dar und kann zu verschiedenen Zeitpunkten in einer Unternehmung durchgefhrt werden. Die Vorgehensweise ist grundstzlich jeweils die Gleiche. Zweck: Zweck ist es, die fr das Unternehmen relevante Risiken systematisch zu ermitteln und zu bewerten. Die Risikoanalyse lsst sich in folgende Phasen und Aktivitten gliedern:

Bewertungstabelle: Fr die Bewertungstabelle sind Bewertungskategorien zu definieren, die einen Rckschluss auf die Relevanz der Risiken im Untersuchungsbereich zulassen. Nachfolgende ein Beispiel einer Bewertungstabelle fr eine IT-Abteilung Nr 1 Bewertungskategorie Charakter der Geschftsaktivitten Skala fr das Risikoniveau Strategische Bedeutung = 4-5 Kernfunktion = 2-3 Untersttzende Funktion =1 >500 000 = 4-5 100 000-500 000 =2-3 <100 000 =1 >26 = 5 16-25 =4 8-15=3 Risikoniveau 4 Relevanz 8 Wert 32 Max. 40

Hhe der Informatikkosten in CHF Anzahl Mitarbeiter (inkl. Externe)

20

25

12

15

Anzahl Applikationen

3-7=2 <2=1 >25=5 16-25=4 5-16=3 <5=2 1=1

18

30

Etc

Etc...

Erluterngen zur Tabelle: Spalte Bewirtschaftungskategorie: Die Bewirtschaftungskategorien knnen je nach Untersuchungbereich variieren. Spalte Skala fr das Risikoniveau: Die Skalierung der aufgelisteten Bewertungskategorien kann je nach Grsse des Unternehmens und Komplexitt der eingesetzten IT-Ressourcen variieren. Spalte Relevanz: Die Relevanz umfasst eine Skala von 1 (=tief) bis 10 (=hoch) und gewichtet die entsprechende Bewertungskategorie sowie das Ziel und den Umfang der durchzufhrenden Risikoanalyse. Spalte Wert: Der Wert einer Bewertungskategorie entspricht dem Produkt aus dem Wert in der Spalte Risikoniveau und dem Wert in der Spalte Relevanz. Spalte Max: Der Maximalwert einer Bewertungskategorie entspricht dem Produkt aus dem hchsten Wert in der Spalte Skala fr das Risikoniveau und dem Wert in der Spalte Relevanz.

Akzeptieren

Begrenzen

Reduzieren

Vermeiden

Dort wo ein grosses Schadensausmass und eine grosse Eintretenswahrscheinlichkeit besteht, dort ist scheinbar ein akutes Problem, welches dringend behoben oder untersucht werden kann. Risiken bleiben auf der Riskmap jedoch nicht immer auf der gleichen Position, sie kommen, gehen, sind akut oder eher nicht so dringend. Wichtig dabei ist aber, dass die Risiken auch berwacht werden. Sie mssen getrackt, terminiert und einer verantwortlichen Person zugeteilt werden. Wie stark ein Unternehmen im Risikomanagement ist, oder wie die Risiken eines Unternehmens bewertet werden, dies hngt vom Unternehmen selbst ab, und von dessen Risikostrategie und Vision. Nicht fr jedes Unternehmen ist zum Beispiel ein Verlust von 1.Mio Schweizer Franken schlimm, fr andere jedoch ist es Existenz bedrohend. Risikovermeidung Eine Vermeidung eines Risikos ist fast unmglich und auch nicht unbedingt

Risikoverminderung Risikoakzeptanz Risikoberwlzung

immer das Ziel, will man ein Risiko komplett vermeiden, muss man die Aktivitt aufgeben, welche mit dem Risiko in Zusammenhang steht. Hier wird versucht, das Risiko so weit zu vermindern, dass man beim Eintretens fall damit leben kann. Man kann das Risiko auch akzeptieren, muss sich jedoch ber die Konsequenzen im klaren sein Hier wird das Risiko mittels Vertrge ausgelagert. Zum Beispiel durch Versicherungen

Risiken beurteilen

Unternehmen
Risiken definieren

Risikopolitik Risikokultut Strategisches Konzept Prozesse, Management Strukturen, Architekur


Risiken berwachen Risiken vermindern

Eine Ursache kann mehrere Gefahren mit sich bringen. Eine Gefahr mehrere Risiken generieren. Allgemein: Gefahr Ich: Risiko
Bedrohung: Kundendossiers enthalten falsche Daten wegen Erfassungsfehlern Kategorie: Menschliches Fehlverhalten Schaden: Kosten fr manuelle Korrektur von Daten Bedrohung: Zugriff durch Unbefugte (Hacker) von aussen auf unser System, mit dem Ziel Daten zerstren Verletzbarkeit: Unsere Firewall ist nicht aktuell. Im Falle des Eindringens knnte Verfgbarkeit und Integritt betroffen sein. mglicher Schaden: Aufgrund Datenzerstrung kann Tagesgeschft der Krankenkasse nicht mehr abgewickelt werden Effekte: verrgerte Kunden, Image- und Kundenverlust 1. Risikoidentifikation Risiko Ursache / Schwachstelle Wiederholt verrgende Fehlende Risiko- und Kunden, KundenSicherheitspolitik Verluste Arbeitszeitverlust, Mangelde Policy betreffend Datenverluste Spielen und Viren

Eintretenswahrscheinlichkeit 7

Auswirkung 8

Schadenausmass 56

24

2. Risikobewertung Fr die Risikobewertung braucht man immer eine Bewertungsskala: Skalen Hoch Mittel Gering E * A = Schadensausmann Eintretenswahrscheinlichkeit 6-8 4-5 2-3 Auswirkung 6-8 4-5 2-3 Schadenausmass 36-64 16-35 4-15

3. Risikobeurteilung Das Risiko mit dem grssten Schadensausmass wird herausgenommen. Risikobewertung (Risiko-Katalog und Risiko-Profil) Eintretungswahrscheinlichkeit: Level A B C D E F Schadenskatalog Description Frequent Moderate Occasional Remote Unlikely Almost Ipossible Definition Regelmssig Oft Gelegentlich Selten Unwahrscheinlich Nahezu unmglich Werte 1x am Tag 1x Woche 1x halbes jahr 1x pro 2 Jahre 1x pro 5 Jahre 1x pro 10 Jahre

Level Definition Wert 1 Katastrophal 80-100% Verlust 2 Kritisch 50-70% Verlust 3 Marginal 20-30% Verlust 4 Unbedeutend 0-10% Verlust Risiko-Katalog: Eintretenswahrscheinlichkeit und Schadenausmass werden Beurteilt z.B E1, F2, A3 usw. Risiko-Profil: Wrfel erstellen. Linke Achse: Eintretenswahrscheinlichkeit, unten Schadenswirkung. Refresher1 Welche Kategorien von Bedrohungen mssen bei der Analyse von Risiken bercksichtigt werden? Hhere Gewalt, Organisatorische Mngel, Menschliche Fehlhandlungen, Vorstzliche Handlungen, Technisches Versagen. Welche Bedrohungen sind gemss Statistiken, Studien und Umfragen am meisten fr Schden verantwortlich? 1, Irrtum und Nachlssigkeit eigener Mitarbeiter 2. Maleware (Viren, Wrmer, Troj.) 3. Unbefugte Kenntnisnahme, Spionage Was versteht man unter Verletzbarkeit eines Schutzobjekts? Vertraulichkeit, Integritt, Verfgbarkeit und Zuverlssigkeit. Mgliche Auslser fr eine Risikoanalyse: Gesetzliche Anforderungen, Interne Richtlinien und Weisungen, Expliziter Auftrag durch verantwortliche Person (CIO)

Bedrohung Kundendossiers enthalten falsche Daten wegen Erfassungsfehlern PCs strzen ab oder fallen ganz aus Der Schrank ist nicht feuerfest. Bei Brand wrden Bnder zerstrt werden Das Onlinesystem ist nicht verfgbar Aufgrund des fehlenden Feuerlschers im Druckraum knnte ein Feuer unbemerkt ausbrechen. Technische Hilfsgerte arbeiten fehlerhaft. Sie sind zum Teil nicht lesbar. (z.B. Tapestation)

Kategorie MV TV OU OU OU

TV

Schaden Es entstehen Kosten fr die manuelle Korrektur der Daten Teure Arbeitsausflle. Mitarbeitende knnen ihre Arbeit nicht ausfhren. Ein Restore wre nicht mglich. Datenverlust garantiert bei Brandfall Die Mitarbeiter knnen ihre Arbeit nicht ausfhren. Imageschaden fr Kunden. Das Feuer wrde grossen Schaden an Material und Gerte ausrichten. Produktion wrde z.T.ausfallen. Gelschte Daten knnen trotz Backup nicht restored werden. Datenverlust. Teuer.

Vorbeugende Massnahme (Softwareverteilung) Terminalserver Feuerfester Schrank besorgen Onlinesystem redundant aufbauen

Korrigierte Massnahme (aktueller Stand) PC neu aufsetzten keine So schnell wie mglich wider zum laufen bringen.