Was sind die zentralen Merkmale der Risikostrategien?
Risikovermeidung
Die Ursache des Risikos komplett entfernen.
Einen unsicheren Online-Dienst komplett abschalten.
Risikoreduktion
Die Wahrscheinlichkeit oder den Schaden senken.
Eine Firewall installieren oder ein Backup einrichten.
Risikotransfer
Die finanziellen Folgen an einen Dritten abgeben.
Eine Cyber-Versicherung abschließen.
Risikoakzeptanz
Das Risiko bewusst und dokumentiert eingehen.
Auf eine Maßnahme verzichten, weil sie teurer ist als der mögliche Schaden.
Ein Fachinformatiker berät eine große deutsche Stadtverwaltung. Welches Rahmenwerk muss er bei seinen Empfehlungen höchstwahrscheinlich als verbindliche Grundlage betrachten?
a) Nur die allgemeinen Empfehlungen für Privatkunden.
b) Den BSI IT-Grundschutz.
c) Ausschließlich die DSGVO, da keine Kundendaten verarbeitet werden.
d) Gar keins, da Behörden selbst entscheiden dürfen.
Welcher Schritt der Risikoanalyse nach BSI 200-3 befasst sich mit der Bewertung von Eintrittswahrscheinlichkeit und Schadenshöhe?
a) Erstellung einer Gefährdungsübersicht
b) Risikoeinstufung
c) Risikobehandlung
d) Konsolidierung und Dokumentation
Ein Unternehmen entscheidet sich, die Kosten für eine teure Sicherheitsmaßnahme zu sparen und stattdessen das finanzielle Risiko eines Schadensfalls durch den Abschluss einer Versicherung an einen Dritten abzugeben. Wie nennt man diese Strategie?
a) Risikovermeidung
b) Risikoreduktion
c) Risikotransfer
d) Risikoakzeptanz
Für welche Kundengruppe steht die grundlegende "Cyber-Hygiene" (starke Passwörter, 2FA, Backups) im Vordergrund der Beratung?
a) Für Betreiber Kritischer Infrastrukturen.
b) Für Behörden.
c) Für gewerbliche Kunden mit hochsensiblen Daten.
d) Für Privatkunden.
Ordnen Sie die folgenden praktischen Tätigkeiten der korrekten Phase des Risikoanalyse-Prozesses nach BSI 200-3 zu.
(Risikobehandlung):
Die Akzeptanz ist eine der vier Behandlungsoptionen.
(Risikoeinstufung):
Die Bewertung von Wahrscheinlichkeit und Schadenshöhe ist die Definition der Risikoeinstufung.
(Gefährdungsübersicht):
Das Erstellen einer Liste von Bedrohungen ist der erste Schritt.
Die Implementierung einer Maßnahme ist eine Form der Risikoreduktion.
(Konsolidierung):
Das Dokumentieren der Ergebnisse ist der letzte Schritt.
Ein mittelständischer Online-Shop verarbeitet täglich tausende von Kundendaten (Namen, Adressen, Zahlungsinforationen). Der Geschäftsführer fragt Sie als externen Berater, welche Sicherheitsaspekte für ihn besonders wichtig sind.
Aufgabe:
a. Welcher der drei Kundentypen aus dem Skript trifft auf den Online-Shop zu?
b. Welches Gesetz ist für diesen Kunden von zentraler und existenzieller Bedeutung?
c. Der Geschäftsführer möchte das Risiko eines Datenlecks behandeln. Erklären Sie ihm kurz den Unterschied zwischen der Risikoreduktion und dem Risikotransfer als mögliche Handlungsoptionen für dieses spezifische Risiko.
Es handelt sich um einen gewerblichen Kunden MIT Verarbeitung personenbezogener Daten Dritter.
Die Datenschutz-Grundverordnung (DSGVO) ist von zentraler Bedeutung, da die Verarbeitung von Kundendaten ihr Kerngeschäft ist und ein Verstoß zu hohen Bußgeldern und Reputationsschäden führen kann.
Unterschied der Optionen:
Risikoreduktion bedeutet, dass das Unternehmen aktiv technische und organisatorische Maßnahmen ergreift, um die Wahrscheinlichkeit eines Datenlecks zu senken. Beispiele wären die Implementierung einer starken Verschlüsselung für die Kundendatenbank und die Einführung von Multi-Faktor-Authentifizierung für alle Administrator-Zugänge.
Risikotransfer bedeutet, dass das Unternehmen eine Cyber-Versicherung abschließt. Diese Versicherung würde im Falle eines Datenlecks für die finanziellen Schäden (z.B. Kosten für Forensik, Anwälte, eventuelle Bußgelder) aufkommen. Sie verhindert den Angriff selbst aber nicht.
Das wichtigste von Praktische Sicherheitsberatung und Risikomanagement
Kernkompetenz IT-Sicherheitsberatung für Fachinformatiker
Beratung zu IT-Sicherheit und Datenschutz ist zentrale Kompetenz gemäß IHK-Rahmenplan
Wichtig: kundenorientierte, bedarfsgerechte Beratung – keine reine Produktberatung
Unterscheidung nach Kundengruppen
Privatkunden: normaler Schutzbedarf, Fokus auf Privatsphäre und Malware-Schutz
Gewerbliche Kunden (KMU bis Großunternehmen): hoher Schutzbedarf, abhängig von Branche/Daten, unterliegen DSGVO
Behörden: sehr hoher Schutzbedarf, BSI IT-Grundschutz ggf. verbindlich
Sicherheitsprozess: Risikoanalyse nach BSI 200-3
1. Gefährdungsübersicht
Identifikation aller relevanten Bedrohungen für Assets (Daten, Systeme, Prozesse)
Basis: IT-Grundschutz-Kompendium + branchenspezifische Risiken
2. Risikoeinstufung
Bewertung jeder Gefährdung anhand:
Eintrittswahrscheinlichkeit (sehr gering – sehr hoch)
Schadenshöhe (vernachlässigbar – existenzbedrohend)
Ergebnis: Risikostufe (niedrig – sehr hoch) → Priorisierung
3. Risikobehandlung
Strategien:
Risikovermeidung: Risiko wird vollständig ausgeschlossen, z. B. durch Abschaffung der risikobehafteten Tätigkeit oder Technik.
Risikominderung: Risiko wird reduziert durch technische oder organisatorische Maßnahmen.
Risikotransfer: Risiko wird finanziell an Dritte abgegeben, z. B. über Versicherungen.
Risikoakzeptanz: Risiko wird bewusst in Kauf genommen, wenn Maßnahmen zu teuer oder nicht sinnvoll wären.
4. Konsolidierung & Dokumentation
Einbindung in Sicherheitskonzept
Lückenlose Dokumentation
Regelmäßige Wiederholung zur Anpassung an neue Bedrohungen und Rahmenbedingungen
Last changeda month ago