Die richtigen Fragen stellen

Die vereinfachte Risikoanalyse basiert üblicherweise auf einem Fragenkatalog. Er umfasst Fragen zur Abschätzung des Schadens sowie Fragen zur Bewertung von Bedrohungen und bestehenden Schwachstellen, aus denen dann die Eintrittswahrscheinlichkeit abgeleitet wird.

Um die Vollständigkeit der Kataloge zu gewährleisten, sollten sich Unternehmen an Standards wie ISO 27001 beziehungsweise 27002 oder 27005 orientieren. Dadurch wird sichergestellt, dass alle Aspekte der IT-Sicherheit - sowohl technische als auch organisatorische - zur Geltung kommen.

Abschätzung des Schadens

Diese Fragen sollen zeigen, wie kritisch ein Untersuchungsgegenstand (zum Beispiel ein System) einzuschätzen ist, unabhängig davon, welche Schwachstellen oder Bedrohungen auf ihn wirken. Dabei wird der mögliche Schaden für unterschiedliche Schutzziele abgeschätzt (zum Beispiel Vertraulichkeit, Integrität und Verfügbarkeit).

Am Beispiel der Vertraulichkeit könnte eine Frage etwa lauten:

Welche Auswirkungen hat eine Bekanntgabe der Informationen auf das Kundenvertrauen oder Image?

1. Nur intern bekannter Zwischenfall

2. Kurze Erregung von regionalem Interesse

3. Diskussion in der Öffentlichkeit (überregional)

4. Gravierende Umsatzeinbußen durch Kundenverlust

Jede Antwortmöglichkeit korreliert mit einer bestimmten Schadensklasse. Auswahl 1 beispielsweise verursacht sehr geringen Schaden, Auswahl 4 sehr hohen Schaden. Bei mehreren Fragen zum selben Schutzziel entscheidet das Maximumprinzip.

Bewertung von Bedrohungen und Schwachstellen

Diese Fragen helfen, die Bedrohungssituation für den Untersuchungsgegenstand sowie bestehende Schwachstellen zu bewerten. Zwei Fragen zur Bewertung von Bedrohungen und Schwachstellen könnten dabei lauten:

Wie ist das System erreichbar?

1. Sichere Zone

2. Intranet

3. Internet

Wie erfolgt die Authentifizierung der Benutzer?

1. Keine Authentifizierung

2. Benutzername Passwort ohne Sicherstellung der Passwortqualität

3. Benutzername Passwort mit Sicherstellung der Passwortqualität

4. 2-Faktor Authentifizierung

Jede Antwortmöglichkeit ist dabei mit einem Punktewert versehen, der das Ausmaß der Bedrohung beziehungsweise der Schwachstelle angibt.

Risikoszenarien

Risiken verweisen auf konkrete Risikoszenarien, die für die vereinfachte Risikoanalyse ebenfalls vordefiniert werden. Ein Szenario kann dabei beispielsweise Identitätsdiebstahl sein. Um das Risiko für ein Szenario ermitteln zu können, muss dieses noch mit einem oder mehreren Schutzzielen (zur Ermittlung des möglichen Schadens) und mit den Fragen zur Bewertung von Bedrohungen und Schwachstellen (zur Ermittlung der Eintrittswahrscheinlichkeit) verknüpft sein. Anhand der Schadensklassen und der Punktewerte lässt sich aus den Antworten direkt das Risiko ableiten.

Maßnahmenkatalog

Wenn zusätzlich zur Bewertung der Risiken auch automatisiert Maßnahmen vorgeschlagen werden sollen, muss sich jeder Vorschlag direkt aus den gegebenen Antworten ableiten lassen. Beispielsweise: "Wenn der mögliche Schaden hoch oder sehr hoch ist, das System aus dem Internet erreichbar ist und keine starke Authentisierung eingesetzt wird, dann definiere die Maßnahme Starke Authentifizierung".