GUUG e.V.
Antonienallee 1
45279 Essen
kontakt@guug.de
Impressum

Autor Thomas Maus
Titel Inventarisierung und Bewertung von IT-Risiken
Paper
PDF: ffg2003-maus.pdf (661825 Bytes)
PDF: ffg2003-maus-a.pdf (256601 Bytes)
Folien
PDF: ffg2003-maus-f.pdf (143167 Bytes)
Abstract

Eigentlich interessiert es - außer einer kleinen Gemeinde - niemanden, ob Computersysteme sicher sind, oder überhaupt sicher gemacht werden können. Andererseits stützen wir vielfältige Arbeitsabläufe in Industrie und Verwaltung zunehmend auf IT-Systeme ab, und ob diese Arbeitsabläufe, und damit der Bestand von Unternehmen und die Wahrnehmung öffentlicher Aufgaben, ausreichend sicher sind - dies interessiert sehr wohl.

Und so stellen sich den Verantwortlichen folgende Fragen, auf die der Vortrag Antworten vorschlägt:

  • Wieviel Sicherheit braucht Ihr Unternehmen?
  • Was muß geschützt werden?
  • Vor welchen Bedrohungen?
  • Wieviel Sicherheit ist wirtschaftlich?
  • Wie erfüllen Sie die Forderungen des KonTraG?
  • Wie kann aus verwundbaren und überwindbaren Komponenten eine verläßliche Sicherheitsarchitektur entstehen?

Vorgestellt wird ein praxisorientiertes Verfahren, um die Abhängigkeiten Ihrer Organisation von ihrer IT und die daraus resultierenden Risiken systematisch zu erfassen. Diese Einzelrisiken werden quantifiziert und in verschiedenen Dimensionen zu Risikokennzahlen verdichtet.

Unter Risikoinventar ("assets") werden dabei all diejenigen Daten- und Funktionsbestände der IT-Systeme verstanden, die im Rahmen der Geschäftsprozesse für die Organisation selbst oder einen Dritten wertvoll sind, oder deren Missbrauch für die Organisation oder Dritte einen materiellen oder immateriellen Schaden zur Folge haben könnten.

Die Inventarisierung betrachtet hierzu die verschiedene Aspekte der Organisation, um das Risikoinventar möglichst vollständig zu identifizieren: Werte, sicherheitsrelevante Prozeßwirkungen sowie rechtliche und vertragliche Schadenspotentiale. Zur Klassifikation materieller und immaterieller Schadenspotentiale wird ein Verfahren vorgeschlagen.

Im nächsten Schritt werden aus diesem Risikoinventar an Hand der Schadensklassen Schutzbedürfnisse und Schutzziele abgeleitet, und das Risikoinventar auf IT-Komponenten lokalisiert. Auf Basis des Expositionsgrads und des Sicherheitsniveaus der Komponenten wird eine Risikoklassifikation gewonnen.

Sie erhalten damit eine Datenbasis, welche kontinuierlich weiter gepflegt werden kann, und Ihnen automatisiert jederzeit Überblick gibt über

  • die aktuelle IT-Risikolage des Unternehmens aus Sicht der Geschäftsprozesse und der Technik
  • die Dringlichkeit des Handlungsbedarfs in einzelnen Bereichen
  • die Angemessenheit Ihres IT-Sicherheitsbudgets und der Sicherheitsmaßnahmen
  • die Auswirkungen einer konkreten Sicherheitskrise

Gleichzeitig dient sie als Werkzeug, um verschiedene Sicherheitsarchitekturen und -maßnahmen vor der Realisierung hinsichtlich ihrer Wirkung und Kosteneffizienz zu untersuchen und zu vergleichen. Weiterhin läßt sich die potentielle Wirkung neuer Bedrohungsszenarien genauso untersuchen, wie die Risikolage neuer Geschäftsprozesse oder die Auswirkungen von IT-Umstrukturierungen.

Über den Autor

Thomas Maus -25 Jahre IT- und IT-Security-Erfahrung, Diplom-Informatiker (Uni) mit Schwerpunkt IT-Sicherheitsfragen, seit über 10 Jahren selbstständiger IT-Sicherheitsberater

Veranstaltungen
FFG2017
Frühjahrsfachgespräch 2017
21. bis 24. März 2017 an der TU Darmstadt
Kalender
19.November 2017
KWMoDiMiDoFrSaSo
45  6 7 8 9 10 11 12
46  13 14 15 16 17 18 19
47  20 21 22 23 24 25 26
48  27 28 29 30 1 2 3
49  4 5 6 7 8 9 10
50  11 12 13 14 15 16 17
GUUG News