VERANSTALTUNGEN

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

MCC Fachkonferenz CyberSecurity für die Energiewirtschaft
24.10.18 - 25.10.18
In Köln

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

mikado ag beschreibt die wesentlichen Elemente der Vorgehensmethodik zur Risikoanalyse als Basis für ein wirkungsvolles IT-Risikomanagement.

Obwohl ein Pflichtprogramm der Unternehmen, werden mögliche Gefährdungen der Informationstechnik nicht kontinuierlich ermittelt. Nach den Beobachtungen der mikado ag finden solche Risikoanalysen häufig nur punktuell oder ohne klare Systematik statt. Dabei ist eine präzise Kenntnis des Gefährdungspotenzials die Grundlage für ein bedarfsgerechtes Risikomanagement. Robert Hellwig, IT-Security-Analyst des Beratungshauses, hat Eckpunkte einer systematischen Risikoanalyse zusammengestellt:

Kenntnis der rechtlichen Anforderungen:

Die rechtlichen Bedingungen im Zusammenhang mit der IT sind heutzutage sehr vielfältig. Sie reichen vom Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) über das Bundesdatenschutzgesetz und die EU-Richtlinien zu den Datenschutzbedingungen bis zu Sarbanes-Oxley Act (SOX) und Basel III. Hinzu kommen branchenspezifische oder standesrechtliche Regelungen, die es zu beachten gilt. Auch Fragen der Vertragsregelungen wie etwa Vertraulichkeitsvereinbarungen mit Mitarbeitern oder Regelungen für den Datenschutz beim Outsourcing gehören dazu.

Kritikalitätsstufen der Unternehmensprozesse bewerten: 

Nicht alle internen Abläufe erzeugen bei einem Ausfall ein hohes wirtschaftliches Sicherheitsrisiko, manche können bei gravierenden Störungen jedoch zu weitreichenden Konsequenzen führen. Dazu zählen beispielsweise viele marktnahe Prozesse, die bei einem Ausfall erhebliche Umsatzeinbußen oder Imageschäden bewirken können. Deshalb gilt es, sie nach Risikostufen wie „gering“, „mittel“ und „hochkritisch“ einzuordnen. Auf Basis dieser Kategorisierung sollten sowohl die Risikovorsorge als auch die Maßnahmen für das Business Continuity Management in Problemfällen geplant werden.

Daten nach ihren Informationswerten kategorisieren: 

In ähnlicher Weise wie die Kritikalitätsbewertung der Prozesse ist auch eine Analyse der Daten vorzunehmen. Ihr jeweiliger Informationswert und Verfügbarkeitsbedarf kann in einem Fall sehr elementar für das Unternehmen sein, in anderen Fällen sind die Folgen eines Datenverlustes relativ gering. Beispielsweise haben die Konstruktionspläne eines Produktherstellers einen hohen Informationswert, weil sie vermarktungsstarke Innovationen in sich bergen. Dagegen sind Informationen aus dem operativen Alltag einer Organisation häufig deutlich weniger sicherheitsrelevant.

Kritische IT-Infrastrukturkomponenten identifizieren: 

Die erhebliche Abhängigkeit der Geschäftsprozesse von der IT verlangt eine hohe Verfügbarkeit der Anwendungen und Verarbeitungssysteme. Für ein Risikomanagement ist es deshalb wichtig zu wissen, welche Komponenten bei einem Ausfall den Geschäftsbetrieb oder wesentliche Teile der Organisation tiefgreifend beeinträchtigen. Deshalb gehört es zu den Grundlagen eines Risikomanagements, dass sie ebenfalls in die Kritikalitätsstufen „gering“, „mittel“ und „hochkritisch“, bei Bedarf auch differenzierter, eingeteilt werden.

Eine Bedrohungs- und Schwachstellenanalyse vornehmen: 

Für eine Vorbereitung auf mögliche Probleme bedarf es einer systematischen Betrachtung, welche Bedrohungs- und Katastrophen-Szenarien denkbar sind und welche Folgen damit verbunden wären. Zudem ist es erforderlich zu untersuchen, welche Schwachstellen bei den Infrastrukturkomponenten und Prozessen denkbar sind, die sich im Problemfall in weitreichender Weise negativ auswirken können. Sowohl die Eintrittswahrscheinlichkeit der Bedrohungs- und Katastrophen-Szenarien als auch die Wahrscheinlichkeit, dass dann die Schwachstellen davon betroffen sein können, müssen einschließlich der damit verbundenen Schadenshöhe kalkuliert werden.

Gefährdungsprofil in den Methoden des IT-Risikomanagements abbilden: 

Durch die ermittelte Definition des konkreten Schutzbedarfs können gezielte Initiativen zur Risikominderung eingeleitet werden. Dies gehört zur Kernfunktion des IT-Risikomanagements als Königsdisziplin in der Informationssicherheit. Sie zielen darauf ab, mögliche Gefahren bereits in den Ansätzen zu erkennen und dort wo nötig vorbeugende Maßnahmen zu ergreifen.

 www.mikado.de

GRID LIST
Hacker Security Breach

Sicherheitsvorfälle im Finanzwesen 2018 auf Rekordniveau

Die Zahl der Sicherheitsvorfälle im Finanzwesen ist 2018 auf ein Rekordniveau gestiegen.…
Funny Selfie

Die Top 5 Smartphones in Deutschland

Das P20 Lite des chinesischen Herstellers Huawei war hierzulande im Juli mit einem…
Justitia

Urteil: eine fehlende Datenschutzerklärung ist ein Fehler!

Nach einer Entscheidung des Landgerichts Würzburg sind fehlende Datenschutzerklärungen…
Google Chrome

Automatischer Login bei Google Chrome V69 - Einfachheit steht vor Privatsphäre

Erneut sieht sich Suchmaschinenriese Google heftiger Kritik ausgesetzt: Der Login auf…
Tb W190 H80 Crop Int 840e629d6e54e687b501af2d697f26f7

DSAG-Kongress: Zusammenspiel von Blockchain, AI und Co.

Camelot Innovative Technologies Lab (Camelot ITLab) wird auf dem diesjährigen…
Social Media

Personaler schnüffeln gezielt in Sozialen Netzwerken

Viele Personaler in Unternehmen überprüfen nicht nur die eingereichten Unterlagen,…
Smarte News aus der IT-Welt