Standardisierte Kataloge

Das Grundproblem für kleine und mittelständische Unternehmen ist damit jedoch noch nicht gelöst, weil der Aufwand für die Entwicklung individueller Fragenkataloge und das dazu erforderliche Know-how erheblich sind. Einige auf IT-Sicherheit spezialisierte Beratungsunternehmen haben allerdings standardisierte Kataloge erstellt, die sie entweder als Basis für eine individuelle Methodik oder im Rahmen von Quick Checks am Markt anbieten.

Um Vollständigkeit zu gewährleisten, sollten sich die Kataloge an Standards wie ISO 27001 beziehungsweise 27002 oder 27005 orientieren. Dadurch ist gewährleistet, dass sämtliche technischen und organisatorischen Aspekte der IT-Sicherheit betrachtet werden. Die vereinfachte Risikoanalyse basiert meist auf einem Katalog von Fragen zur Abschätzung des Schadens sowie zur Bewertung von Bedrohungen und bestehenden Schwachstellen, aus denen dann die Eintrittswahrscheinlichkeit abgeleitet wird.

Den Schaden abschätzen

Diese Fragen zielen darauf ab, die Kritikalität des Untersuchungsgegenstands (etwa eines Systems) zu bestimmen - unabhängig davon, welche Schwachstellen oder Bedrohungen auf ihn wirken. In der Regel wird der potenzielle Schaden anhand der Verletzung unterschiedlicher Schutzziele (etwa Vertraulichkeit, Integrität und Verfügbarkeit) abgeschätzt. Eine Frage zur Vertraulichkeit könnte beispielsweise lauten:

Welche Auswirkungen hat eine Preisgabe der Informationen auf das Kundenvertrauen oder Image?

• Nur intern bekannter Zwischenfall (1).

• Kurze Erregung regionalen Interesses (2).

• Diskussion in der Öffentlichkeit (überregional) (3).

• Gravierende Umsatzeinbußen durch Kundenverlust (4).

Jede Antwortmöglichkeit korreliert mit einer bestimmten Schadensklasse: Auswahl 1 beispielsweise mit einem sehr geringen, Auswahl 4 hingegen mit einem sehr hohen Schaden. Bei mehreren Fragen zum gleichen Schutzziel entscheidet das Maximumprinzip.