Zu wissen, wie gravierend eine Bedrohung ist, reicht nach Erfahrung von Security-Managern nicht aus, um Risiken zu managen. Als ebenso wichtig erachtet John Meakin, Group Head Information Security bei der Standard Chartered Bank, über folgende Aspekte im Bild zu sein: die Wahrscheinlichkeit, mit der die Bedrohung in der eigenen Umgebung ausgenutzt wird, den Wert der dadurch gefährdeten Assets sowie die voraussichtlichen Auswirkungen auf das Geschäft. Nur mit diesem Wissen lässt sich dem Security-Manager zufolge beurteilen, ob die Kosten für die Abwehr einer Bedrohung gerechtfertigt sind.
"Ein risikogetriebener Ansatz ist ungemein befreiend, denn er ermöglicht es, traditionell lang befolgte Regeln zu hinterfragen", erläutert Meakin die Vorteile dieser Herangehensweise.
Dank dieses Ansatzes kann die Standard Chartered Bank beispielsweise die Installation auch kritischer Security-Patches auf bestimmten Systemen zurückstellen, wenn sie zu dem Schluss gekommen ist, dass sich der Aufwand - gemessen an dem realen Bedrohungspotenzial - nicht lohnt. Ebenso kann es sich das Finanzinstitut erlauben, auf einige seiner internen Systeme unautorisierten Zugriff zu gewähren, da genügend kompensierende physikalische Sicherheitskontrollen implementiert sind.
Eine Kernvoraussetzung für den risikogetriebenen Ansatz ist laut Meakin aber das Wissen um die Asset-Werte. Da nicht alle IT-Systeme auf dieselbe Weise entstanden und im selben Ausmaß Bedrohungen ausgesetzt sind oder das gleiche Risiko darstellen, erachtet es der Security-Manager als zwingend erforderlich, den IT-Assets einen Geschäftswert zuzuordnen. Asset-Werte basieren auf Faktoren wie der Kritikalität von Applikationen oder Diensten, die von einem IT-System unterstützt werden, sowie dessen Wechselwirkung mit anderen Applikationen und Infrastrukturkomponenten. So sei ein Active-Directory-Server, der viele geschäftskritische Anwendungen unterstütze, im Hinblick auf Business-Continuity in der Regel ungleich wichtiger als ein Server, auf dem eine E-Mail-Applikation laufe, erklärt Meakin.
