computerwoche.de

Security

IT-Basisschutz

Die größten Risiken im Blick

06.04.2009
Von Lars Rudolff und Christian Ferstl

Maßnahmenkatalog

Sollen zusätzlich zur Bewertung der Bedrohungen automatisiert auch Maßnahmen vorgeschlagen werden, muss sich jeder Vorschlag direkt aus den Antworten ableiten lassen. Zum Beispiel: Ist der mögliche Schaden hoch oder sehr hoch, das System aus dem Internet erreichbar und keine starke Authentisierung im Einsatz, dann definiere die Maßnahme "Starke Authentisierung".

Risikoanalyse in drei Phasen

1. Untersuchungsgegenstand abgrenzen. Hier beginnt die eigentliche Risikoanalyse. Zunächst gilt es festzulegen, was genau betrachtet werden soll. Dabei lässt sich der Untersuchungsgegenstand sehr grob (etwa das gesamte Unternehmen) oder sehr granular bestimmen (etwa ein einzelnes IT-System). Speziell kleine und mittelständische Unternehmen müssen hier einen Kompromiss zwischen Genauigkeit und Aufwand finden.

2. Analyse vornehmen. Die Analyse selbst erfordert kein Expertenwissen im Bereich der Risikoanalysemethodik mehr. Es sind jeweils die Fragen des Fragenkatalogs zu beantworten - entweder in einem Interview oder als Self Assessment durch die fachlichen beziehungsweise technischen Ansprechpartner. Die Antworten lassen sich nach dem im Fragenkatalog definierten Schema auswerten, woraus sich dann direkt das Risiko ergibt. Zur Verdeutlichung können die Ergebnisse ausschließend in einer Risikomatrix grafisch aufbereitet werden.

Tipp 1: Grundsätzlich empfiehlt es sich, die Fragen zur Abschätzung des Schadens von einem Vertreter des jeweiligen Fachbereichs beantworten zu lassen.

Tipp 2: Wird die Analyse ohne technische Unterstützung vorgenommen, kann sie trotz der hohen Standardisierung der Methodik aufwändig sein - etwa wenn Eintrittswahrscheinlichkeiten aus den hinterlegten Punktewerten zu ermitteln sind. Abhilfe schaffen kann hier die Abbildung in einer gängigen Tabellenkalkulationssoftware. Müssen jedoch viele Analysen vorgenommen und ausgewertet werden, bietet sich die Unterstützung durch datenbankgestützte Spezialsoftware an.

3. Maßnahmen definieren. Um die identifizierten und bewerteten Risiken auf ein angemessenes Maß reduzieren zu können, werden nun Maßnahmen definiert. Zwar können auch diese im Rahmen der Methodik vordefiniert sein, doch lassen sich immer auch individuelle Maßnahmen bestimmen. Welche dann tatsächlich umgesetzt werden sollen, muss jedoch stets das Management des Unternehmens entscheiden - die Risikoanalyse und der Maßnahmenkatalog können lediglich als Entscheidungshilfe dienen.

Tipp: Um zu gewährleisten, dass die Maßnahmen nachhaltig umgesetzt werden, empfiehlt es sich für Unternehmen, für jede einen Verantwortlichen sowie einen Termin festzulegen.