VERANSTALTUNGEN

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

mikado ag beschreibt die wesentlichen Elemente der Vorgehensmethodik zur Risikoanalyse als Basis für ein wirkungsvolles IT-Risikomanagement.

Obwohl ein Pflichtprogramm der Unternehmen, werden mögliche Gefährdungen der Informationstechnik nicht kontinuierlich ermittelt. Nach den Beobachtungen der mikado ag finden solche Risikoanalysen häufig nur punktuell oder ohne klare Systematik statt. Dabei ist eine präzise Kenntnis des Gefährdungspotenzials die Grundlage für ein bedarfsgerechtes Risikomanagement. Robert Hellwig, IT-Security-Analyst des Beratungshauses, hat Eckpunkte einer systematischen Risikoanalyse zusammengestellt:

Kenntnis der rechtlichen Anforderungen:

Die rechtlichen Bedingungen im Zusammenhang mit der IT sind heutzutage sehr vielfältig. Sie reichen vom Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) über das Bundesdatenschutzgesetz und die EU-Richtlinien zu den Datenschutzbedingungen bis zu Sarbanes-Oxley Act (SOX) und Basel III. Hinzu kommen branchenspezifische oder standesrechtliche Regelungen, die es zu beachten gilt. Auch Fragen der Vertragsregelungen wie etwa Vertraulichkeitsvereinbarungen mit Mitarbeitern oder Regelungen für den Datenschutz beim Outsourcing gehören dazu.

Kritikalitätsstufen der Unternehmensprozesse bewerten: 

Nicht alle internen Abläufe erzeugen bei einem Ausfall ein hohes wirtschaftliches Sicherheitsrisiko, manche können bei gravierenden Störungen jedoch zu weitreichenden Konsequenzen führen. Dazu zählen beispielsweise viele marktnahe Prozesse, die bei einem Ausfall erhebliche Umsatzeinbußen oder Imageschäden bewirken können. Deshalb gilt es, sie nach Risikostufen wie „gering“, „mittel“ und „hochkritisch“ einzuordnen. Auf Basis dieser Kategorisierung sollten sowohl die Risikovorsorge als auch die Maßnahmen für das Business Continuity Management in Problemfällen geplant werden.

Daten nach ihren Informationswerten kategorisieren: 

In ähnlicher Weise wie die Kritikalitätsbewertung der Prozesse ist auch eine Analyse der Daten vorzunehmen. Ihr jeweiliger Informationswert und Verfügbarkeitsbedarf kann in einem Fall sehr elementar für das Unternehmen sein, in anderen Fällen sind die Folgen eines Datenverlustes relativ gering. Beispielsweise haben die Konstruktionspläne eines Produktherstellers einen hohen Informationswert, weil sie vermarktungsstarke Innovationen in sich bergen. Dagegen sind Informationen aus dem operativen Alltag einer Organisation häufig deutlich weniger sicherheitsrelevant.

Kritische IT-Infrastrukturkomponenten identifizieren: 

Die erhebliche Abhängigkeit der Geschäftsprozesse von der IT verlangt eine hohe Verfügbarkeit der Anwendungen und Verarbeitungssysteme. Für ein Risikomanagement ist es deshalb wichtig zu wissen, welche Komponenten bei einem Ausfall den Geschäftsbetrieb oder wesentliche Teile der Organisation tiefgreifend beeinträchtigen. Deshalb gehört es zu den Grundlagen eines Risikomanagements, dass sie ebenfalls in die Kritikalitätsstufen „gering“, „mittel“ und „hochkritisch“, bei Bedarf auch differenzierter, eingeteilt werden.

Eine Bedrohungs- und Schwachstellenanalyse vornehmen: 

Für eine Vorbereitung auf mögliche Probleme bedarf es einer systematischen Betrachtung, welche Bedrohungs- und Katastrophen-Szenarien denkbar sind und welche Folgen damit verbunden wären. Zudem ist es erforderlich zu untersuchen, welche Schwachstellen bei den Infrastrukturkomponenten und Prozessen denkbar sind, die sich im Problemfall in weitreichender Weise negativ auswirken können. Sowohl die Eintrittswahrscheinlichkeit der Bedrohungs- und Katastrophen-Szenarien als auch die Wahrscheinlichkeit, dass dann die Schwachstellen davon betroffen sein können, müssen einschließlich der damit verbundenen Schadenshöhe kalkuliert werden.

Gefährdungsprofil in den Methoden des IT-Risikomanagements abbilden: 

Durch die ermittelte Definition des konkreten Schutzbedarfs können gezielte Initiativen zur Risikominderung eingeleitet werden. Dies gehört zur Kernfunktion des IT-Risikomanagements als Königsdisziplin in der Informationssicherheit. Sie zielen darauf ab, mögliche Gefahren bereits in den Ansätzen zu erkennen und dort wo nötig vorbeugende Maßnahmen zu ergreifen.

 www.mikado.de

GRID LIST
Hacker

So schützen Sie Ihre Online-Konten vor Fremdzugriffen

Immer wieder greifen Hacker Nutzerkonten bei Google, Facebook, Instagram und anderen…
Smart Home

Sicherheitslücke in IoT-Steckdose entdeckt

Das Forscherteam von McAfee hat eine Sicherheistlücke im Wemo Insight Smart Plug, einer…
Smartphone

Kostenlose Apps verlangen übermäßigen Zugriff auf persönliche Daten

Wie viele persönliche Daten sammeln Ihre Apps? Die 60 bis 90 Apps, die der…
David Helfer

David Helfer ist neuer Vertriebsleiter in Europa bei F5

F5 Networks hat David Helfer zum neuen Senior Vice President of Sales für Großbritannien,…
Matroschka

Malware-Matroschka: Windows-Wurm in Android-Backdoor eingebettet

Im vergangenen Monat erregte eine Android-Backdoor das Aufsehen der Virenanalysten von…
Firmenübernahme

Orange schließt Übernahme der Basefarm Holding ab

Orange gab bekannt, dass die Übernahme von 100% von Basefarm durch die…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security