Transformation World
19.10.17 - 20.10.17
In Heidelberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

mikado ag beschreibt die wesentlichen Elemente der Vorgehensmethodik zur Risikoanalyse als Basis für ein wirkungsvolles IT-Risikomanagement.

Obwohl ein Pflichtprogramm der Unternehmen, werden mögliche Gefährdungen der Informationstechnik nicht kontinuierlich ermittelt. Nach den Beobachtungen der mikado ag finden solche Risikoanalysen häufig nur punktuell oder ohne klare Systematik statt. Dabei ist eine präzise Kenntnis des Gefährdungspotenzials die Grundlage für ein bedarfsgerechtes Risikomanagement. Robert Hellwig, IT-Security-Analyst des Beratungshauses, hat Eckpunkte einer systematischen Risikoanalyse zusammengestellt:

Kenntnis der rechtlichen Anforderungen:

Die rechtlichen Bedingungen im Zusammenhang mit der IT sind heutzutage sehr vielfältig. Sie reichen vom Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) über das Bundesdatenschutzgesetz und die EU-Richtlinien zu den Datenschutzbedingungen bis zu Sarbanes-Oxley Act (SOX) und Basel III. Hinzu kommen branchenspezifische oder standesrechtliche Regelungen, die es zu beachten gilt. Auch Fragen der Vertragsregelungen wie etwa Vertraulichkeitsvereinbarungen mit Mitarbeitern oder Regelungen für den Datenschutz beim Outsourcing gehören dazu.

Kritikalitätsstufen der Unternehmensprozesse bewerten: 

Nicht alle internen Abläufe erzeugen bei einem Ausfall ein hohes wirtschaftliches Sicherheitsrisiko, manche können bei gravierenden Störungen jedoch zu weitreichenden Konsequenzen führen. Dazu zählen beispielsweise viele marktnahe Prozesse, die bei einem Ausfall erhebliche Umsatzeinbußen oder Imageschäden bewirken können. Deshalb gilt es, sie nach Risikostufen wie „gering“, „mittel“ und „hochkritisch“ einzuordnen. Auf Basis dieser Kategorisierung sollten sowohl die Risikovorsorge als auch die Maßnahmen für das Business Continuity Management in Problemfällen geplant werden.

Daten nach ihren Informationswerten kategorisieren: 

In ähnlicher Weise wie die Kritikalitätsbewertung der Prozesse ist auch eine Analyse der Daten vorzunehmen. Ihr jeweiliger Informationswert und Verfügbarkeitsbedarf kann in einem Fall sehr elementar für das Unternehmen sein, in anderen Fällen sind die Folgen eines Datenverlustes relativ gering. Beispielsweise haben die Konstruktionspläne eines Produktherstellers einen hohen Informationswert, weil sie vermarktungsstarke Innovationen in sich bergen. Dagegen sind Informationen aus dem operativen Alltag einer Organisation häufig deutlich weniger sicherheitsrelevant.

Kritische IT-Infrastrukturkomponenten identifizieren: 

Die erhebliche Abhängigkeit der Geschäftsprozesse von der IT verlangt eine hohe Verfügbarkeit der Anwendungen und Verarbeitungssysteme. Für ein Risikomanagement ist es deshalb wichtig zu wissen, welche Komponenten bei einem Ausfall den Geschäftsbetrieb oder wesentliche Teile der Organisation tiefgreifend beeinträchtigen. Deshalb gehört es zu den Grundlagen eines Risikomanagements, dass sie ebenfalls in die Kritikalitätsstufen „gering“, „mittel“ und „hochkritisch“, bei Bedarf auch differenzierter, eingeteilt werden.

Eine Bedrohungs- und Schwachstellenanalyse vornehmen: 

Für eine Vorbereitung auf mögliche Probleme bedarf es einer systematischen Betrachtung, welche Bedrohungs- und Katastrophen-Szenarien denkbar sind und welche Folgen damit verbunden wären. Zudem ist es erforderlich zu untersuchen, welche Schwachstellen bei den Infrastrukturkomponenten und Prozessen denkbar sind, die sich im Problemfall in weitreichender Weise negativ auswirken können. Sowohl die Eintrittswahrscheinlichkeit der Bedrohungs- und Katastrophen-Szenarien als auch die Wahrscheinlichkeit, dass dann die Schwachstellen davon betroffen sein können, müssen einschließlich der damit verbundenen Schadenshöhe kalkuliert werden.

Gefährdungsprofil in den Methoden des IT-Risikomanagements abbilden: 

Durch die ermittelte Definition des konkreten Schutzbedarfs können gezielte Initiativen zur Risikominderung eingeleitet werden. Dies gehört zur Kernfunktion des IT-Risikomanagements als Königsdisziplin in der Informationssicherheit. Sie zielen darauf ab, mögliche Gefahren bereits in den Ansätzen zu erkennen und dort wo nötig vorbeugende Maßnahmen zu ergreifen.

 www.mikado.de

GRID LIST
Voreingestelltes Bild

Censhare vertieft Zusammenarbeit mit noris network

Censhare AG, Anbieter von Universal Smart Content Management Software, migriert seine…
Tb W190 H80 Crop Int 0cf4a773c66d0064bd23c48050b77e0a

Puppet Discovery macht hybride Infrastrukturen sichtbar

Puppet hat im Rahmen der PuppetConf Puppet Discovery angekündigt. Puppet Discovery ist…
Tb W190 H80 Crop Int 99bc64c1fdc62752dc87f6ee6738e755

Bitkom zur Sicherheitslücke in WLAN-Verschlüsselung

Zu den Berichten über eine kritische Schwachstelle in der sogenannten…
Tb W190 H80 Crop Int 091423f173037e673ad0bce0c17c2477

WiFi-Schwachstelle „Krack“ belegt Bedeutung von Netzwerktransparenz | Statement

Das illegale Abfangen von Daten im WLAN ist seit langer Zeit ein Thema, das nun durch die…
Tb W190 H80 Crop Int 8f35ebcda3e59dc7ac91c6ea9a677193

Kritische Schwachstellen in WLAN-Verschlüsselung

Der Sicherheitsstandard WPA2, der insbesondere zur Verschlüsselung von WLAN-Netzwerken…
Tb W190 H80 Crop Int 95f65aac1ce34feb926ea874f51d1356

BNP Paribas und Tata Consultancy Services bündeln Kräfte

BNP Paribas Securities Services und Tata Consultancy Services (TCS) schaffen gemeinsam…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet