Disziplinen des Risikomanagements
Unternehmensrisiko:
Strategisches Risiko
Risiko der Unternehmenswelt
Marktrisiko
Kreditrisiko
Operatives Risiko
Compliance Risiko
Risiken mit IT-Bezug
Risiko, dass Wertbeitrag der IT nicht geliefert wird
IT-Programm- und Projektrisiko
IT-Betriebs- und Serviceerbingunsrisiko
Risikomanagement: Begriffe
Schwachstelle:
Verwundbarer Punkt eines IT-Systems, durch den Sicherheitsziele umgangen werden können
Bedrohung:
Eine oder mehrere Schwachstellen eines IT-Systems nutzen, die zu Verlust der Authentizität, Verfügbarkeit, Vertraulichkeit oder Integrität führen
❗️Risikoszenario oder Gefährung: ❗️
→ Schwachstelle trifft auf Bedrohung!
Risiko
Bedrohung tifft auf eine Schwachstelle!
→ Klassifizierung: anhand der Eintrittswahrscheinlichkeit und der Schadenshöhe
Bedrohungsmodellierung
STRIDE
ursprünglich als Teil der Prozesse rund um “threat modeling” entwickelt
Erkennung von Bedrohungen für ein System
Vollständige Aufschlüsselung der Prozesse, Datenspeicher, Datenflüsse und Vertrauensgrenzen
6 Kategorien an Sicherheitsrisiken und Bedrohungen
Spoofing
Identitätsverschleierung → Bruch der integrität
Tampering
Manipulation → Bruch der Integrität
Repudiation
Abstreiten/ Verleugnung → Bruch der Nichtabstreitbarkeit/ Nachvollziehbarkeit
Information disclousure
Verletzung der Privatsphäre oder Datenspanne, Offenlegung von Informationen
→ Bruch der Vertraulichkeit
Denial of Service
Verweigerung des Dienstes → Bruch der Verfügbarkeit
Elevation of privilege
Rechteausweitung → Bruch der Autorisierung
Risikomanagement
(Schaubild, 5 Schritte)
Initialisierung
Definieren der Risikoakzeptanz
Entwickeln eines Risikobaumes
Identifizierung
Erfassen des Ist-Zustandes
Risikobewertung als Abweichung von der Zielsetzung
Beurteilung
Sammeln der Ergebnisse und Bewerten des Kostenimpacts
Steuerung
Definieren von Maßnahmen anhand eines Business Case (Kosten vs. Einsparungen)
Überwachung
Regelmäßiger Prozess mit laufender Neubewertung der Risiken und Ergreifen von Maßnahmen
Last changed6 months ago
