IT-Basisschutz

Die größten Risiken im Blick

06.04.2009
Von Lars Rudolff und Christian Ferstl

Bedrohungen bewerten

Hier geht es darum, die Bedrohungssituation für den Untersuchungsgegenstand sowie bestehende Schwachstellen zu bewerten. Zwei mögliche Fragen hierzu:

Wie ist das System erreichbar?

  • Sichere Zone (1).

  • Intranet (2).

  • Internet (3).

  • Wie erfolgt die Authentisierung der Benutzer?

  • Keine Authentisierung (1).

  • Benutzername/Passwort ohne Sicherstellung der Passwort-Qualität (2).

  • Benutzername/Passwort mit Sicherstellung der Passwort-Qualität (3).

  • Zwei-Faktor Authentisierung (4).

Jede Antwortmöglichkeit ist mit einem Punktewert versehen, der das Ausmaß der Bedrohung beziehungsweise der Schwachstelle angibt.

Risikoszenarien

Bedrohungen werden für konkrete Risikoszenarien - etwa Identitätsdiebstahl - ermittelt, die (für die vereinfachte Risikoanalyse) ebenfalls vordefiniert werden. Dazu ist das Szenario noch mit einem oder mehreren Schutzzielen (zur Ermittlung des möglichen Schadens) sowie den Fragen zur Bewertung von Bedrohungen und Schwachstellen (zur Ermittlung der Eintrittswahrscheinlichkeit) zu verknüpfen. Anhand der Schadensklassen und Punktewerte lässt sich damit direkt aus den Antworten das Risiko ableiten.