Risk-Manager bewerten Gefahrenpotenzial

21.02.2006
Von Tanja Möhler

Darüber hinaus ist es möglich, die zur Korrelation benötigte Richtlinien-Engine für das Erstellen von Scripts für Reaktionen auf bestimmte Ereignisse einzusetzen. Hierbei haben Anwender ebenfalls die Möglichkeit, Prioritäten festzulegen und kritische Ressourcen zu klassifizieren. Sie haben zudem die Option, Ereignisse und Sicherheitsvorfälle mit einer Visualisierungs-Engine aus dem Ereignis-Repository zu extrahieren und anzuzeigen. So können Muster und Abweichungen festgestellt sowie mehrere Ereignisse zur besseren Verarbeitung und Verfolgung zu Vorfällen gruppiert werden. Für eine zentrale Verwaltung der Sicherheitsinfrastruktur lassen sich weitere Netz- und System-Management-Lösungen von CA anbinden.

Risiken in der Matrix

Eine dritte Kategorie von Tools deckt das komplette Risiko-Management eines Unternehmens ab, wobei die Verwaltung der IT-Risiken als Teilbereich enthalten ist. Eines dieser Werkzeuge ist der "Valuemation Risk Manager", den USU und Excelsis gemeinsam entwickelt haben. Das Tool verfügt über Schnittstellen zu Unternehmensanwendungen und lässt sich an individuelle Prozesse anpassen. Es besteht die Möglichkeit, IT-Risiken in Form einer Risikomatrix je nach der Eintrittswahrscheinlichkeit und dem potenziellen Scha- den grafisch darzustellen. Der Ergebnisbericht erfüllt die Kriterien, die im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verlangt werden, und richtet sich an das Management. (ave)

Fazit

Der Funktionsumfang der am Markt angebotenen Tools variiert sehr stark. Die Palette reicht von Checklisten für das Self- Assessment über detaillierte Fragenkataloge und zentrale Systeme für das Sicherheitsinformations-Management bis hin zu Tools, die IT-Risiken im Rahmen eines umfassenden Risiko-Managements mit abdecken. Dem Anwender bleibt zwar einerseits die Qual der Wahl, aus der Bandbreite das passende Tool auszuwählen. Andererseits ist mit der Vielfalt an Möglichkeiten auch für jedes Bedürfnis und für jede Unternehmensgröße ein passendes Werkzeug vorhanden, um nicht nur die "lästigen" gesetzlichen Anforderungen zu erfüllen, sondern die IT-Sicherheit insgesamt zu steigern.