Die größten Risiken im Blick

11.03.2009
Von Lars Rudolff
Vor allem kleinere Firmen müssen bei der Auswahl von IT-Sicherheitsmaßnahmen zwischen Kosten und Risiken abwägen. Was aber sind die schlimmsten Bedrohungen – und was ist der sinnvollste Schutz?

Die Risikoanalyse ist der effektivste Weg für ein Unternehmen, ein angemessenes Sicherheitsniveau zu erreichen und das dafür verfügbare Budget optimal einzusetzen. Ohne umfassende und individuelle Bewertung der Risiken besteht die Gefahr, dass wesentliche Aspekte gar nicht betrachtet werden – oder die Mittel nach dem Gießkannenprinzip in ein unangemessen hohes Sicherheitsniveau investiert werden. Abgesehen davon lassen sich mittels Risiko analyse auch die Transparenz für Management und Fachbereiche verbessern sowie Entscheidungsprozesse objektivieren.

Die Herausforderungen

Es klingt verlockend: Vollständigen Überblick über bestehende Risiken haben, stets die richtigen Maßnahmen treffen und so das verfügbare Budget optimal einsetzen. In der Praxis ist das jedoch schwieriger, als es im ersten Moment erscheinen mag.

Ein Risiko wird üblicherweise anhand der folgenden beiden Größen bewertet: die Höhe des Schadens, der beim Eintritt eines Ereignisses entsteht, und die Wahrscheinlichkeit, mit der dieser Schaden eintritt. Anders als für die Betrachtung von Risiken beispielsweise im Versicherungsumfeld liegen im Bereich IT-Sicherheit allerdings nur selten belastbare Zahlen aus der Vergangenheit vor. Dies rührt einerseits daher, dass viele Vorfälle nicht publik werden. Andererseits haben die Rahmenbedingungen in jedem Unternehmen einen erheblichen Einfluss auf das Risiko, so dass sich selbst die wenigen verfügbaren Daten nicht ohne weiteres auf die individuelle Situation übertragen lassen.

Der international anerkannte Standard ISO/IEC 27005 beschreibt ausführlich verschiedene Ansätze zur Abschätzung von Risiken, die alle eines gemeinsam haben: Die Analysen erfordern Erfahrung und fundiertes Wissen über IT-Sicherheit, damit nachvollziehbare, vergleichbare und vor allem belastbare Ergebnisse herauskommen. Zudem werden Einschätzungen oft von persönlichen Erlebnissen oder Vorfällen in der jüngeren Vergangenheit beeinflusst. Darüber hinaus ist das Verfahren recht aufwändig und bindet Ressourcen aus unterschiedlichen Unternehmensbereichen. Aus diesen Gründen wird die Risikoanalyse bei kleinen und mittelständischen Unternehmen nur selten zur Steuerung der IT-Sicherheit eingesetzt. Dabei könnte sie auch hier ihre Stärken voll ausspielen.

Risikoanalyse light

Beim Vergleich von Risikoanalysen fällt auf, dass die Fragen, die den jeweiligen Ansprechpartnern zur Einschätzung der Bedrohung gestellt werden, immer wiederkehren und daraus die Risiken stets auf ähnliche Weise abgeleitet werden. Doch lässt sich dies nutzen, um die Risikoanalyse methodisch so zu vereinfachen, dass sie weniger aufwändig ist und die jeweiligen Ansprechpartner sie in Form eines Self-Assessments direkt vornehmen können?

Viele Unternehmen haben diese Frage für sich mit "ja" beantwortet und die relevanten Fragen in standardisierte Fragenkataloge überführt, auf deren Basis automatisiert Risiken abgeleitet werden können. Mit dieser vereinfachten Risikoanalyse wird das benötigte Know-how Teil der Methodik, die zudem sicherstellt, dass die Ergebnisse nachvollziehbar und vergleichbar sind. Ein geringer Verlust an Individualität wird dabei in Kauf genommen.

Risiken bewerten

Wie bereits erwähnt, lässt sich das Risiko anhand der Wahrscheinlichkeit eines Ereignisses (Risikoszenario) und dem daraus resultierenden Schaden abschätzen. Die Eintrittswahrscheinlichkeit kann dabei in zwei weitere Aspekte unterteilt werden: zum einen das Bestehen einer Bedrohung, also der Wahrscheinlichkeit, dass ein Ereignis eintritt, das einen Schaden auslösen kann; zum anderen das Ausmaß der Anfälligkeit für diese Bedrohung (Schwachstelle), sprich: die Wahrscheinlichkeit, dass dieses Ereignis auch zu einem Schaden führt.

Folgendes Beispiel veranschaulicht die Zusammenhänge: Das Risiko für das Szenario "Identitätsdiebstahl" hängt unter anderem von der Erreichbarkeit des Systems (etwa aus dem Internet) und den Authentisierungsmechanismen ab. Sind diese Aspekte bekannt, lässt sich abschätzen, wie wahrscheinlich ein solcher Identitätsdiebstahl ist. Aus den im System verarbeiteten Daten kann darüber hinaus ein möglicher Schaden abgeleitet werden. Anhand dieser beiden Größen lässt sich das Risiko abschätzen.

Auch die Ableitung von Maßnahmen lässt sich je nach Bedrohung, Schwachstelle und möglichem Schaden standardisieren. So könnte etwa für ein aus dem Internet erreichbares System, das lediglich eine Authentisierung mit Benutzernamen und Passwort bietet und in dem vertrauliche Daten verarbeitet werden, eine Zwei-Faktor-Authentisierung vorgeschlagen werden.

Standardisierte Kataloge

Das Grundproblem für kleine und mittelständische Unternehmen ist damit jedoch noch nicht gelöst, weil der Aufwand für die Entwicklung individueller Fragenkataloge und das dazu erforderliche Know-how erheblich sind. Einige auf IT-Sicherheit spezialisierte Beratungsunternehmen haben allerdings standardisierte Kataloge erstellt, die sie entweder als Basis für eine individuelle Methodik oder im Rahmen von Quick Checks am Markt anbieten.

Um Vollständigkeit zu gewährleisten, sollten sich die Kataloge an Standards wie ISO 27001 beziehungsweise 27002 oder 27005 orientieren. Dadurch ist gewährleistet, dass sämtliche technischen und organisatorischen Aspekte der IT-Sicherheit betrachtet werden. Die vereinfachte Risikoanalyse basiert meist auf einem Katalog von Fragen zur Abschätzung des Schadens sowie zur Bewertung von Bedrohungen und bestehenden Schwachstellen, aus denen dann die Eintrittswahrscheinlichkeit abgeleitet wird.

Den Schaden abschätzen

Diese Fragen zielen darauf ab, die Kritikalität des Untersuchungsgegenstands (etwa eines Systems) zu bestimmen - unabhängig davon, welche Schwachstellen oder Bedrohungen auf ihn wirken. In der Regel wird der potenzielle Schaden anhand der Verletzung unterschiedlicher Schutzziele (etwa Vertraulichkeit, Integrität und Verfügbarkeit) abgeschätzt. Eine Frage zur Vertraulichkeit könnte beispielsweise lauten:

Welche Auswirkungen hat eine Preisgabe der Informationen auf das Kundenvertrauen oder Image?

  • Nur intern bekannter Zwischenfall (1).

  • Kurze Erregung regionalen Interesses (2).

  • Diskussion in der Öffentlichkeit (überregional) (3).

  • Gravierende Umsatzeinbußen durch Kundenverlust (4).

Jede Antwortmöglichkeit korreliert mit einer bestimmten Schadensklasse: Auswahl 1 beispielsweise mit einem sehr geringen, Auswahl 4 hingegen mit einem sehr hohen Schaden. Bei mehreren Fragen zum gleichen Schutzziel entscheidet das Maximumprinzip.

Bedrohungen bewerten

Hier geht es darum, die Bedrohungssituation für den Untersuchungsgegenstand sowie bestehende Schwachstellen zu bewerten. Zwei mögliche Fragen hierzu:

• Wie ist das System erreichbar?

  • Sichere Zone (1).

  • Intranet (2).

  • Internet (3).

• Wie erfolgt die Authentisierung der Benutzer?

  • Keine Authentisierung (1).

  • Benutzername/Passwort ohne Sicherstellung der Passwort-Qualität (2).

  • Benutzername/Passwort mit Sicherstellung der Passwort-Qualität (3).

  • Zwei-Faktor Authentisierung (4).

Jede Antwortmöglichkeit ist mit einem Punktewert versehen, der das Ausmaß der Bedrohung beziehungsweise der Schwachstelle angibt.

Risikoszenarien

Bedrohungen werden für konkrete Risikoszenarien – etwa Identitätsdiebstahl – ermittelt, die (für die vereinfachte Risikoanalyse) ebenfalls vordefiniert werden. Dazu ist das Szenario noch mit einem oder mehreren Schutzzielen (zur Ermittlung des möglichen Schadens) sowie den Fragen zur Bewertung von Bedrohungen und Schwachstellen (zur Ermittlung der Eintrittswahrscheinlichkeit) zu verknüpfen. Anhand der Schadensklassen und Punktewerte lässt sich damit direkt aus den Antworten das Risiko ableiten.

Maßnahmenkatalog

Sollen zusätzlich zur Bewertung der Bedrohungen automatisiert auch Maßnahmen vorgeschlagen werden, muss sich jeder Vorschlag direkt aus den Antworten ableiten lassen. Zum Beispiel: "Ist der mögliche Schaden hoch oder sehr hoch, das System aus dem Internet erreichbar und keine starke Authentisierung im Einsatz, dann definiere die Maßnahme ‚ÄöStarke Authentisierung`."

Risikoanalyse in drei Phasen

1. Untersuchungsgegenstand abgrenzen. Hier beginnt die eigentliche Risikoanalyse. Zunächst gilt es festzulegen, was genau betrachtet werden soll. Dabei lässt sich der Untersuchungsgegenstand sehr grob (etwa das gesamte Unternehmen) oder sehr granular bestimmen (etwa ein einzelnes IT-System). Speziell kleine und mittelständische Unternehmen müssen hier einen Kompromiss zwischen Genauigkeit und Aufwand finden.

2. Analyse vornehmen. Die Analyse selbst erfordert kein Expertenwissen im Bereich der Risikoanalysemethodik mehr. Es sind jeweils die Fragen des Fragenkatalogs zu beantworten – entweder in einem Interview oder als Self Assessment durch die fachlichen beziehungsweise technischen Ansprechpartner. Die Antworten lassen sich nach dem im Fragenkatalog definierten Schema auswerten, woraus sich dann direkt das Risiko ergibt. Zur Verdeutlichung können die Ergebnisse ausschließend in einer Risikomatrix grafisch aufbereitet werden.

Tipp 1: Grundsätzlich empfiehlt es sich, die Fragen zur Abschätzung des Schadens von einem Vertreter des jeweiligen Fachbereichs beantworten zu lassen.

Tipp 2: Wird die Analyse ohne technische Unterstützung vorgenommen, kann sie trotz der hohen Standardisierung der Methodik aufwändig sein - etwa wenn Eintrittswahrscheinlichkeiten aus den hinterlegten Punktewerten zu ermitteln sind. Abhilfe schaffen kann hier die Abbildung in einer gängigen Tabellenkalkulationssoftware. Müssen jedoch viele Analysen vorgenommen und ausgewertet werden, bietet sich die Unterstützung durch datenbankgestützte Spezialsoftware an.

3. Maßnahmen definieren. Um die identifizierten und bewerteten Risiken auf ein angemessenes Maß reduzieren zu können, werden nun Maßnahmen definiert. Zwar können auch diese im Rahmen der Methodik vordefiniert sein, doch lassen sich immer auch individuelle Maßnahmen bestimmen. Welche dann tatsächlich umgesetzt werden sollen, muss jedoch stets das Management des Unternehmens entscheiden – die Risikoanalyse und der Maßnahmenkatalog können lediglich als Entscheidungshilfe dienen.

Tipp: Um zu gewährleisten, dass die Maßnahmen nachhaltig umgesetzt werden, empfiehlt es sich für Unternehmen, für jede einen Verantwortlichen sowie einen Termin festzulegen.

Fazit

Risikoanalysen machen IT-Sicherheit für Fachbereiche und Management transparent und ermöglichen es, mit wirtschaftlichen Maßnahmen ein angemessenes Sicherheitsniveau zu erzielen. Mit der vereinfachten Risikoanalyse lassen sich der Aufwand und das zur Risikoabschätzung benötigte Know-how aus der eigentlichen Analyse in die Methodik verlagern. Kleinere Firmen können sich so schnell und effizient einen Überblick über die schwerwiegendsten Risiken verschaffen, größere Unternehmen mittels Self Assessments ihre zentralen IT-Sicherheitsabteilungen entlasten. Dabei stellt die hohe Standardisierung die Vergleichbarkeit der Analysen sicher. Auf Basis dieser Informationen können Organisationen die gefährlichsten Risiken gezielt eindämmen. (kf)

Ziele der Risikoanalyse

  • Transparenz für Management und Fachbereich hinsichtlich bestehender Risiken;

  • Auswahl angemessener Schutzmaßnahmen (Budgetsteuerung);

  • Angemessene Sicherheitsniveaus.

Vorteile einfache Analyse

  • Vergleichbarkeit durch Standardisierung;

  • geringerer Aufwand bei der Analyse;

  • für Self Assessments geeignet.