Risikoanalyse light
Beim Vergleich von Risikoanalysen fällt auf, dass die Fragen, die den jeweiligen Ansprechpartnern zur Einschätzung der Bedrohung gestellt werden, immer wiederkehren und daraus die Risiken stets auf ähnliche Weise abgeleitet werden. Doch lässt sich dies nutzen, um die Risikoanalyse methodisch so zu vereinfachen, dass sie weniger aufwändig ist und die jeweiligen Ansprechpartner sie in Form eines Self-Assessments direkt vornehmen können?
Viele Unternehmen haben diese Frage für sich mit "ja" beantwortet und die relevanten Fragen in standardisierte Fragenkataloge überführt, auf deren Basis automatisiert Risiken abgeleitet werden können. Mit dieser vereinfachten Risikoanalyse wird das benötigte Know-how Teil der Methodik, die zudem sicherstellt, dass die Ergebnisse nachvollziehbar und vergleichbar sind. Ein geringer Verlust an Individualität wird dabei in Kauf genommen.
Ziele der Risikoanalyse
Transparenz für Management und Fachbereich hinsichtlich bestehender Risiken;
Auswahl angemessener Schutzmaßnahmen (Budgetsteuerung);
Angemessene Sicherheitsniveaus.
Risiken bewerten
Wie bereits erwähnt, lässt sich das Risiko anhand der Wahrscheinlichkeit eines Ereignisses (Risikoszenario) und dem daraus resultierenden Schaden abschätzen. Die Eintrittswahrscheinlichkeit kann dabei in zwei weitere Aspekte unterteilt werden: zum einen das Bestehen einer Bedrohung, also der Wahrscheinlichkeit, dass ein Ereignis eintritt, das einen Schaden auslösen kann; zum anderen das Ausmaß der Anfälligkeit für diese Bedrohung (Schwachstelle), sprich: die Wahrscheinlichkeit, dass dieses Ereignis auch zu einem Schaden führt.
Folgendes Beispiel veranschaulicht die Zusammenhänge: Das Risiko für das Szenario "Identitätsdiebstahl" hängt unter anderem von der Erreichbarkeit des Systems (etwa aus dem Internet) und den Authentisierungsmechanismen ab. Sind diese Aspekte bekannt, lässt sich abschätzen, wie wahrscheinlich ein solcher Identitätsdiebstahl ist. Aus den im System verarbeiteten Daten kann darüber hinaus ein möglicher Schaden abgeleitet werden. Anhand dieser beiden Größen lässt sich das Risiko abschätzen.
Auch die Ableitung von Maßnahmen lässt sich je nach Bedrohung, Schwachstelle und möglichem Schaden standardisieren. So könnte etwa für ein aus dem Internet erreichbares System, das lediglich eine Authentisierung mit Benutzernamen und Passwort bietet und in dem vertrauliche Daten verarbeitet werden, eine Zwei-Faktor-Authentisierung vorgeschlagen werden.