IT-Risikomanamgent

• Geschäftskritische Grüne

  • Schutz der Geschäftskontinität

  • Vertrauensschutz bei den Kunden und Partner

• Rechtliche und Regulatorische Anforderungen

  • Neue Regulatoren (NIS)

  • ISO 27001/DORA

• Bedrohungslandschaft

  • Was möchte uns Schaden

  • Supplain Change Attacken

• Technisch-Operative Aspekte

  • Inzident Response

  • Krisenmanagement

  • Zugriffsrechte

• Grundsätzlich: Dient das Ebenen Modell zur Strukturieren von Elementen, Gefährdung und Maßnahmen Je ebene

• Rechtliche-Wirtschaftliche Ebene:

  • Betroffen Sind Vermögensgegenstände, Rechtsgüter, Grunderechte, verträge

  • Gefährdung von Gesetzliuchen & Vertrögliche Vorschriften

  • Maßnahmen: Versichreungen

• Organisatiorische-Soziale Ebene

  • Elemente der Ablauforgnaistation: MA, Aufgeben, Regeln

  • Gefähr: Menschlichens Fehlverhalten

  • Maßnahmen: Klarere Verantwortungsbereich

• Logische Ebene

  • Daten Programme, IT-PRosennse

  • Beispiele: Vieren, Datenspruebstal

  • Sicherungssoftwaere, virenschutz

• Physische EbBnene

  • Hardware &Gebäude

  • Naturkatstrophen

  • Brandschutz etc.

• Physische:

  • Einbruchstellen in Serverräume:

  • Einbruch von Wasser weil Leitung flasch verlegt wurde

• Natürliche Schwachstelle:

  • Erdbeben etc

• Schwachstelle von Hard oder Software:

  • Bug in Software kann zu großen Problemen führen (Siehe Flughafen von einigen Wochen)

• Natürliche Bedrohungen:

  • Alles was dem Asset schaden zufügen könnte: Feuer Wasser, Stromausfall,

• Unbeschichtet Bedrohung:

  • Falsche Bedienung der Software kann zu einer Bedrohung führen:

• Beabsichtig Bedrohung:

  • Cyberangriff, der von außen durchgeführt wird (außen und von Innen)

Abhängigkeit von Asset zur Schwachstelle und Bedrohung: In der Schnittstelle (Dreicke) ist die Gefährdung

Beispiel:

• Assat: Software zum Check In am Flughafen

• Schwachtelle: Fehler in der Software

• Bedrohung: Fehler wird duch einen Externe Bedrohung ausgenutzt

—> Gefährdung: Flughafenbetireb steht still

• Es dient zur Abschätzung der Schlimmsten Folgen bei Verlust von Vertraulichkeit, Integrität und Verfügbarkeit

• Abschätzung für Schadenskategorien bzw Schadenszenarien:

• zum Beispiel:

  • Ausenwirkung

  • Fianzeielle auswirkung

  • Proudktionsstrop

  • Gesetzliche Folgen

1.      Identifizierung: Was muss ich schützen

2.      Zusammenfassung der Assets --> Kategorien bilden

3.      Bestimmen des schlimmstenfalls: Verlust von Vertraulichkeit, Integrität und Verfügbarkeit

4.      Schutzbedarfskategoerien zuweisen: Niedrig mittel Hoch je Vertraulichkeit, Integrität und Verfügbarkeit

·         Normal -> Begrenz überschaubar,

·         Hoch: Schadensauswirklung können beträchtliche folgen haben

·         Sehr hoch: Katstrophe

·         Grundprinzipen: Klassifizierung der Assets nach den Schutzbedarf

·         Vererbung des Schutzbedarfs

·         Wir wirkt sich der Schutzbedarf des Prozess auf die Anwendungen, IT Infrastruktur

• Maximumprinzip: Das Höchste Bedarf gilt

• Betrachtung von Abhängigkeiten: Server B ist eigentlich nicht hoch weil die Datenbank nicht hoch ist, aber er wird in einem hohen Prozess benötigt

• Kommulationseffekt: Einzeln nicht hoch aber in der Kombination sehr hoch: Ein Server hat dann hohen schutzbedarf

• Verteilungseffekt; Daten sind sehr hoch, aber die Informationen werden verteilt: Nur ein Server ist hoch, da dort die Sensiblen Daten liegen

• Kontext Analyse:

  • Welche Stakeholder habe ich

  • Welche Complience Anforderung gibt es

• ISMS Scope festsetzen:

  • Geltungsbereich, Org,

  • Sicheheitsleitlinen Ziele müssen Festegellt werden

• Risikobeurteilung mussen durchgeführrt werden

• Risiko Behandlung:

  • maßnahmen müssen definiert werden

  • Wie gehe ich mit Risiken um, SOA muss erstellt werden

• Ziele und Kennzahlen müssen definiert werden

• Maßnahmen müssen Implementiert werden: Technische und Organisatorisch

• Rollen und  Verantwortlichen werden definiert: CISO, etc

• Dokumentation wird erstellt:

  • Verfahensanweisungen erstellen

  • Schulungen, Sesibilierungs Kampanien erstellen, einzelnen Gruppen müssen unterstütz werden

  • Operative Prozesse starten,

• Monitoring und Logging eingerichtet

• Ressourcen bereitstellen:

  • Budget muss freigegeben werden

  • Personel muss angestellt/bereitgestellt werden

• Überwachung und Überprüfung: KPI werden ausgewertet

• Interne Audits:

  • ISMS Audit,

  • Complience werden überprüft

• Wirksamkeits der Controlls werden geprüft

• Manamgent Check:

  • Die Performace wird analysiert ist die Strategie korrekt,

  • genügen Ressourcen

• Prüft, was in Do passiert ist, muss ich hier reagieren,

• Resikobewertung aktualisieren: neue Bedrohungen

• Compience Check:

• Korrekturmaßnamen umsetzen,

  • Findings aus dem Audits zum beispiel übernehmen

• Kontinuierliche Verbesserung: Kontrolle anpassen etc

• ISMS weiterentwicklen:

  • Neue Technologien können Anpassungen verlangen

• Manamgent entscheidungen:

  • Strategische Änderungen müssen beachteten erden,

  • neue Sicherheitsziele

• Prozesse müssen überarbeiten werden:

  • SOA,

  • Schulungsunterlagen,

  • Notfallpläne

• Organsiatorisches: Erkenntisse in die Organisation tragen: Erfahrungen weitergeben.

·         Verstehen der Organisation und ihres Kontext: Wer sind wir, was machen wir (Software Tool: wir stellen ein Tool zum Prozessmangent)

·         Verstehen der Stakeholder: Der Kunde, BAFIN, Lieferant, MA, „Bösewichte“

·         Anwendungsbereich im ISMS: Alles Systeme, die Kundendaten beinhalten

·         Implementieren: System muss erstmal erstellt werden, danach muss es besser werden

• Maßnahmen und Risiken:

  • Was sind die Größten Risiken à Randosm Angriff, Chance: Prozesse verbessern

• Einschätzung:

  • Welches Risiko ist für uns besonders gefährlich (Datenverlust

• Risikobehandlung:

  • Wie gehen wir mit dem Risiko um (vermeiden OnPrem, vermindern  Backup, Akzeptiren, Übertragen)

• Was wollen wir es erreichen und bist wann (Informationsziele):

• Planung der Änderung:

  • Schulungen müssen durchgeführt werden.

  • Software muss getestet werden, bist es funktioniert

• Resourcen: Wir müssen wissen, was wir benötigen (Geld Leute)

• Komponenten: MA müssen geschult werden, je nach der Rolle (CISO: Muss einen Speziellen Kurs machen

• Bewusstsein: Die MA müssen verstehen warum wir es machen

• Kommunikation: Transparenz First: WO stehen wir intern,

• Dokumentation: Dokumente müssen aktuell sein

1. Organisatorische Maßnahmen

   1. Sicherheitsrichtlinen Rollen und Verantwortlichketen à Die muss man machen

   2. Incident Manamgent

   3. Supplaier Manamgment

2. Personenbezogene Maßnahmen

   1. Security Awarness

   2. NDA mit Externen

   3. Remote Work Richtline

3. Physische Maßnahmen

   1. Abhängig vom Geschäftsmodell

   2. Je nachdem wir wie ich arbeite (Server alles)

4. Technische Maßnahmen

   1. Excess Kontroll

   2. Backup Manamgent

1.      Schritt: Informationsichtheitsthemen erfassen

2.      Schritt: Risko Analyse durchführen

3.      Schritt: Controlls erfassen

4.      SOA Dokument erstellen

·         Ist das Implemientierungskochbuch: Wie implementiere ich die 27001

·         Kein Informatiosnsicherheitsguide nur Umsetzung Hilfe

·         Nicht Zertifizierbar

·         Empfehlungen (Sollst), Möglichkeiten (kannst), Berechtigung (darf)

·         Ziel: Praktische Umsetzungshilfe

·         Harmonisierungsfaktor: Gleiche Struktur der Kapitel 1-10 um schnell nachschlagen zu können.

1.      Kontrollierbarkeit vs Passivität (Auto vs Flugzeug)

2.      Zeitdruck führt zu höher Risikoeinschätzung

3.      Wie Risikoavers ist man selber

4.      Erfahrungen Veränderung Einstellung zum Risiko

5.      Je weniger Transparenz ein Risko desto gefährlicher erscheint es

6.      Je mehr wissen, desto geringer das Risko erscheint es

1.      Alle Risiken erfasse Analysieren und Bewerten

2.      Veränderungen Dokumentieren und Maßnahmen einleiten

3.      Org und Technische Risiken müssen Berücksichtig werden

• Standard:

  • 31000 Internationale Norm nicht Zertizierbar, Branchen unbahängig à Rahmenwerk für ein Systematisches Rahmenwerk

  • 27005 leitet sich davon ab (Brachenstandard)

Schritte:

• Risikoidentifikation

• Risiko NAlayse

• Risikobewertung

• Risikobewätligung

Unterstützung

• Kommunikation und Konsultation

• Überwachen und Überprüfen

• Aufzeucheungen über das Risikomantementprozess

• Aktiver Dialog mit den Stakeholder: Intern und Extern

• Auswirkung und Maßnahmen im Risikomanagement für Interne und Externe

• Transparente Berichte von Ursachen (ehrliche Kommunikation first):

  • Lesson Learnd dokumentiert

• Risikowahrnehumg schwankt pro Stakeholder

  • Muss identifiziert und Dokumentiert werden.

  • Zahlen Lügen nicht

• Aufstellen einer Risikoliste (intern (MA) und extern Quellen (BSI))

• Identifizierung

  • Assets (was möchte ich Schützen)

  • Bedrohungen (Was kann und schaden)

  • Schwachstellen (wo kann es schaden)

• Analyse von Ursachen, Quellen und Auswirkungen von Risiken in einer Risko Inventur

• Strategische: Langfristige Gefährdete Risiken (Falsche IT Architektur Entscheidungen)

  • Größerer Budget muss bestehen

• Opertive:

  • Tagesbetrieb: Systemausfall/Katastrophen/ Informationsmanagement

  • Tagesabläufe optimieren

·         Relevante Assets sind im Dreieck zu finden Asset Bedrohung Schwachstelle

·         Risiko ist EIntrigswarscheinlichkeit * Schadenshöhe

·         Höhere Gewalt: Blitzschlag

·         Vorsätzliche Handlung: Manipulation

·         Menschliche Fehlverhalten: Flasche Bedienung, Passwort Sharing

·         Technische Versagen: Hardware Fehler, Stromausfall

·         Organisatorisches Mängel: Keine Backupstrategie

·         Infrastruktur

·         Hardware (EoL)

·         Software

·         Kommunikation: Fehlende Verschlüsselung

·         Umgang mit Informationen

·         Was ist der Beste Case: Wie kann ich es eindämmen

·         Was ist der Schlimmste Fall des Schaden

·         Was ist realistisch

·         Finanzieller Schaden

·         Verlust der Vertraulichkeit

·         Datenschutzverletzung

·         Verlust von Image

• Erstellen einer Übersichtstabelle

• Risiken nach

  • Klassen/

  • Risko/

  • Ursachen

  • Eintrittswascheinlichkeit

  • Auswirkung bewerten

• Ziel:

  • Priorisierung der Risiken darzustellen

  • Analyse lässt sich gut ablesen

  • Transparenz für das Management erstellen

• Risikoreduktion:

  • Schwachstellen verringern

  • Eintritt verringern/Auswirkung verringern

• Klassische Maßnahmen

  • Vorbeugen

  • Aufdecken

  • Abschreckung

  • Schadenbegrenzung

  • Wiederherstellung

  • Awareness

• Risikovermeidung

  • Eliminierung von Bedrohungen

  • Schließen von Schwachstellen

• Risikotransfer

  • Versicherung

  • Outsourcing des Systeme (Neue Risiken)

• Risikoakzeptanz

  • Risko wird erstmal akzeptiert muss aber immer wieder geprüft werden

  • Zum Beispiel zu teuer der Bewältigung

  • Eintrittswsl war sehr klein

• Neue Gesetzte, vertragliche Anforderungen, Umwelt geändert

• Haben sich Kriterien geändert: Neue Schadenskategorie wurde eingeführt

• Neue Wettbewerbsanforerungen: Neue Konkurrenten mehr Risiko muss angenommen werden

• Sind die Kosten für die Maßnahmen im geplanten Rahmen

• Sind die Ergebnisse wie erwartet

• Rückverfolgung von Risiken zur Entscheidungsbegründung zur KVP

• Geeignete Methoden zur Aufzeichnung finden

• Managend Reports aufbereiten

  • Top Risiken werden herausgearbeitet

  • Ampel einführt