Risiko/Management/tmp: Unterschied zwischen den Versionen

Aus Foxwiki
Zeile 24: Zeile 24:
  Ziele eines Unternehmens
  Ziele eines Unternehmens
  Gewinnoptimierung, Marktetablierung, Existenzsicherung, ...
  Gewinnoptimierung, Marktetablierung, Existenzsicherung, ...
  Betrachtung von Risiken  
  Betrachtung von Risiken
  essenzieller Bestandteil unternehmerischen Handelns
  essenzieller Bestandteil unternehmerischen Handelns
  Risiken nicht nur als Gefahr ansehen
  Risiken nicht nur als Gefahr ansehen
  Chance und notwendige Voraussetzung für die Zielerreichung  
  Chance und notwendige Voraussetzung für die Zielerreichung
  Risiken nicht rein negativ beurteilen
  Risiken nicht rein negativ beurteilen
  mit Risiken richtig umgehen  
  mit Risiken richtig umgehen
  Risiken in Chancen umwandeln
  Risiken in Chancen umwandeln
  Unternehmen muss jederzeit in der Lage sein  
  Unternehmen muss jederzeit in der Lage sein
  unternehmensweit konsistente Ertrags- und Risikoinformationen zu ermitteln
  unternehmensweit konsistente Ertrags- und Risikoinformationen zu ermitteln
  Effizientes Risikomanagement von strategischer Bedeutung
  Effizientes Risikomanagement von strategischer Bedeutung
Zeile 39: Zeile 39:
  Erzeugt selbst Risiken
  Erzeugt selbst Risiken
=== Motivation ===
=== Motivation ===
  Standish Group im Jahre 2009 Umfrage  
  Standish Group im Jahre 2009 Umfrage
  Nur ein Drittel aller IT-Projekte werden im geplanten Zeit- und Budgetrahmen beendet  
  Nur ein Drittel aller IT-Projekte werden im geplanten Zeit- und Budgetrahmen beendet
  fast die Hälfte diese Vorgaben nicht erfüllen  
  fast die Hälfte diese Vorgaben nicht erfüllen
  der Rest wird abgebrochen  
  der Rest wird abgebrochen
=== Motivation ===
=== Motivation ===
  IT-Projekte
  IT-Projekte
Zeile 55: Zeile 55:
  negative Abweichung des realisierten Ergebnisses vom Erwartungswert
  negative Abweichung des realisierten Ergebnisses vom Erwartungswert
  Risiko = Eintrittswahrscheinlichkeit x Auswirkungen
  Risiko = Eintrittswahrscheinlichkeit x Auswirkungen
  Einfache Gleichung für das Risiko  
  Einfache Gleichung für das Risiko
=== Je geringer die Eintrittswahrscheinlichkeit, umso seltener ===
=== Je geringer die Eintrittswahrscheinlichkeit, umso seltener ===
  die Gefahr  
  die Gefahr
  die Chance
  die Chance
  Auswirkungen sind ungünstige Effekte, sollte das Risiko eintreten
  Auswirkungen sind ungünstige Effekte, sollte das Risiko eintreten
=== Risiken sind Teil des Geschäftes ===
=== Risiken sind Teil des Geschäftes ===
  Einige der Risiken spielen dabei nie eine Rolle, andere können bedrohlich werden.  
  Einige der Risiken spielen dabei nie eine Rolle, andere können bedrohlich werden.
  Risikomanagement hilft, Risiken zu erkennen, zu analysieren, zu bewerten und mit den entsprechenden Techniken abzuschwächen.  
  Risikomanagement hilft, Risiken zu erkennen, zu analysieren, zu bewerten und mit den entsprechenden Techniken abzuschwächen.
=== BSI-Standard 200-3 ===
=== BSI-Standard 200-3 ===
  Risikoanalyse
  Risikoanalyse
Zeile 68: Zeile 68:
  BSI-Standard 200-3
  BSI-Standard 200-3
  Risikoanalyse auf der Basis von IT-Grundschutz
  Risikoanalyse auf der Basis von IT-Grundschutz
  klassische Risikoanalyse  
  klassische Risikoanalyse
  ISO 27001, 27005, 31000, 31010
  ISO 27001, 27005, 31000, 31010
  Penetrationstest
  Penetrationstest
Zeile 75: Zeile 75:
  Bedeutung
  Bedeutung
  Risikomanagement gewinnt an Bedeutung
  Risikomanagement gewinnt an Bedeutung
  strategischen Bedeutung von  
  strategischen Bedeutung von
  IT-Projekten  
  IT-Projekten
  IT-Projekte werden anspruchsvoller und komplexer  
  IT-Projekte werden anspruchsvoller und komplexer
=== Gründe ===
=== Gründe ===
  Expansion / Globalisierung der Geschäftstätigkeit
  Expansion / Globalisierung der Geschäftstätigkeit
  Automatisierung von Geschäftsprozessen
  Automatisierung von Geschäftsprozessen
  Steigende Abhängigkeit von Verfügbarkeit und Sicherheit der Datenverarbeitung
  Steigende Abhängigkeit von Verfügbarkeit und Sicherheit der Datenverarbeitung
  Neuartige Geschäftsprozesse aufgrund steigender Marktdynamik durch neue Technologien  
  Neuartige Geschäftsprozesse aufgrund steigender Marktdynamik durch neue Technologien
  Inhärenten Risiken bei IT-Projekten im Vergleich zu anderen Projekten
  Inhärenten Risiken bei IT-Projekten im Vergleich zu anderen Projekten
=== Risikomanagement umfasst ===
=== Risikomanagement umfasst ===
Zeile 90: Zeile 90:
  Definition von Werttreibern oder kritischen Erfolgsfaktoren zur Erreichung von Zielen
  Definition von Werttreibern oder kritischen Erfolgsfaktoren zur Erreichung von Zielen
  Festlegung einer Risikomanagement-Strategie
  Festlegung einer Risikomanagement-Strategie
  abhängig von der Risikobereitschaft  
  abhängig von der Risikobereitschaft
  risikoavers, risikoneutral oder risikofreudig
  risikoavers, risikoneutral oder risikofreudig
  Identifikation von Risiken
  Identifikation von Risiken
Zeile 98: Zeile 98:
  Monitoring, also Früherkennung
  Monitoring, also Früherkennung
  Strukturierung und Dokumentation in einem Risikomanagementsystem
  Strukturierung und Dokumentation in einem Risikomanagementsystem
  Prozesse im Risikomanagement  
  Prozesse im Risikomanagement
  Prozesse im Risikomanagement  
  Prozesse im Risikomanagement
  Risikomanagementprozess
  Risikomanagementprozess
  Phasen
  Phasen
Zeile 121: Zeile 121:
  Jeder Prozess wird mindestens einmal durchlaufen
  Jeder Prozess wird mindestens einmal durchlaufen
  Jeder Prozess tritt in einer oder mehreren Projektphasen auf
  Jeder Prozess tritt in einer oder mehreren Projektphasen auf
  Überschneidung der Prozesse ist möglich  
  Überschneidung der Prozesse ist möglich
  Risikomanagement
  Risikomanagement
  Risikomanagement-Prozesse
  Risikomanagement-Prozesse
  Risikomanagementplanung  
  Risikomanagementplanung
  Wie wird das Risikomanagement organisiert?
  Wie wird das Risikomanagement organisiert?
  Wie viel Risikomanagement ist nötig?
  Wie viel Risikomanagement ist nötig?
  Haben wir Erfahrungswerte in dieser Projektart?
  Haben wir Erfahrungswerte in dieser Projektart?
  Zuständigkeiten
  Zuständigkeiten
  Checklisten  
  Checklisten
  Risikoidentifikation  
  Risikoidentifikation
  Identifizierung potenzieller Risiken
  Identifizierung potenzieller Risiken
  Dokumentenanalyse
  Dokumentenanalyse
Zeile 144: Zeile 144:
  IT-Operations (Risiken aus dem laufenden Betrieb)
  IT-Operations (Risiken aus dem laufenden Betrieb)
  Administrative Fehler
  Administrative Fehler
  Systemausfall  
  Systemausfall
  IT-Security (Sicherheitsrisiken)
  IT-Security (Sicherheitsrisiken)
  Unzureichende Sicherheits- und Schutzmaßnahmen für IT-Systeme
  Unzureichende Sicherheits- und Schutzmaßnahmen für IT-Systeme
  Fehlende Autorisierung und Authentifizierung für Datenzugriff und -austausch  
  Fehlende Autorisierung und Authentifizierung für Datenzugriff und -austausch
  Nicht näher spezifizierte Risiken
  Nicht näher spezifizierte Risiken
  Fehlende Akzeptanz / Ablehnung der Anwender gegenüber neuer Software
  Fehlende Akzeptanz / Ablehnung der Anwender gegenüber neuer Software
=== Konzeptionierungsfehler ===
=== Konzeptionierungsfehler ===
  Aufgrund der beschriebenen Problematik ist erkennbar, dass das Risikomanagement fester Bestandteil aller IT-Projekte sein sollte.  
  Aufgrund der beschriebenen Problematik ist erkennbar, dass das Risikomanagement fester Bestandteil aller IT-Projekte sein sollte.
  Prozesse im Risikomanagement  
  Prozesse im Risikomanagement
  Risikomanagementplanung
  Risikomanagementplanung
  Wie sollen die Aktivitäten des Risikomanagement durchgeführt werden?
  Wie sollen die Aktivitäten des Risikomanagement durchgeführt werden?
  Risikomanagementplanung legt Vorgehensweise fest
  Risikomanagementplanung legt Vorgehensweise fest
  Planung soll sicherstellen
  Planung soll sicherstellen
  Risikomanagement ist in Bezug auf Risiken und der Bedeutung des Projektes angemessen  
  Risikomanagement ist in Bezug auf Risiken und der Bedeutung des Projektes angemessen
  Es stehen ausreichende Ressourcen für die Aktivitäten zur Verfügung  
  Es stehen ausreichende Ressourcen für die Aktivitäten zur Verfügung
  Erfolgschancen erhöhen
  Erfolgschancen erhöhen
  gut strukturierte und sorgfältig vorbereitete Planung  
  gut strukturierte und sorgfältig vorbereitete Planung
  erleichtert Durchführung der anderen Risikomanagement-Prozesse  
  erleichtert Durchführung der anderen Risikomanagement-Prozesse
  Erstellung eines Risikomanagementplans
  Erstellung eines Risikomanagementplans
  Zusammenarbeit mit  
  Zusammenarbeit mit
  Projektleitern und -mitgliedern
  Projektleitern und -mitgliedern
  Stakeholdern  
  Stakeholdern
  für das Risikomanagement im Unternehmen zuständige Mitarbeiter
  für das Risikomanagement im Unternehmen zuständige Mitarbeiter
  Auswirkungen haben dabei Risikobereitschaft und Risikotoleranz  
  Auswirkungen haben dabei Risikobereitschaft und Risikotoleranz
  des Unternehmens und  
  des Unternehmens und
  der Projektbeteiligten
  der Projektbeteiligten
  Hilfreich zur Erstellung  
  Hilfreich zur Erstellung
  bereits definierte Ansätze und Konzepte für das Risikomanagement im Unternehmen  
  bereits definierte Ansätze und Konzepte für das Risikomanagement im Unternehmen
  allgemein oder aus vorangegangenen Projekten
  allgemein oder aus vorangegangenen Projekten
  Prozesse im Risikomanagement  
  Prozesse im Risikomanagement
  Risikomanagementplan
  Risikomanagementplan
  Inhalte
  Inhalte
Zeile 186: Zeile 186:
  Risikokategorien
  Risikokategorien
  Strukturen für die Risikoidentifikation festlegen
  Strukturen für die Risikoidentifikation festlegen
  Definition der Risikowahrscheinlichkeiten und -auswirkungen  
  Definition der Risikowahrscheinlichkeiten und -auswirkungen
  als Unterstützung der Risikoanalyse  
  als Unterstützung der Risikoanalyse
  Prozesse im Risikomanagement  
  Prozesse im Risikomanagement
  Risikoidentifikation
  Risikoidentifikation
  Für eine Beherrschung der Risiken, muss man diese zunächst kennen
  Für eine Beherrschung der Risiken, muss man diese zunächst kennen
Zeile 196: Zeile 196:
  es entwickeln sich neue oder übersehene Risiken
  es entwickeln sich neue oder übersehene Risiken
  Projektteam sollte in den Prozess einbezogen werden, damit es sich für die Risiken und die entsprechenden Risikobewältigungs- maßnahmen zuständig und verantwortlich fühlt.
  Projektteam sollte in den Prozess einbezogen werden, damit es sich für die Risiken und die entsprechenden Risikobewältigungs- maßnahmen zuständig und verantwortlich fühlt.
  Nach Identifizierung von Risiken  
  Nach Identifizierung von Risiken
  Priorisierung mit Hilfe der Risikoanalyse
  Priorisierung mit Hilfe der Risikoanalyse
  Risikokategorien
Risikokategorien
  Für eine systematische Identifizierung der Risiken ist es wichtig, die verschiedenen Kategorien von Risiken zu kennen
  Für eine systematische Identifizierung der Risiken ist es wichtig, die verschiedenen Kategorien von Risiken zu kennen
  Die Unterteilung kann dabei je nach Verständnis, Betrachtungsweise und Kontext unterschiedlich sein.  
  Die Unterteilung kann dabei je nach Verständnis, Betrachtungsweise und Kontext unterschiedlich sein.
  Im betriebswirtschaftlichen Sinne gibt es z. B. die Unterscheidung von externen, internen, finanziellen und operativen Risiken.
  Im betriebswirtschaftlichen Sinne gibt es z. B. die Unterscheidung von externen, internen, finanziellen und operativen Risiken.
=== Prozesse im Risikomanagement ===
=== Prozesse im Risikomanagement ===
  Risikoidentifikation
  Risikoidentifikation
  Prozesse im Risikomanagement  
  Prozesse im Risikomanagement
  Methoden der Risikoidentifikation  
  Methoden der Risikoidentifikation
=== Brainstorming ===
=== Brainstorming ===
  Innerhalb einer Arbeitsgruppe Ideen sammeln
  Innerhalb einer Arbeitsgruppe Ideen sammeln
Zeile 215: Zeile 215:
=== Delphi-Methode ===
=== Delphi-Methode ===
  Befragungstechnik um eine von Experten erstellte Prognose zu erhalten
  Befragungstechnik um eine von Experten erstellte Prognose zu erhalten
  Mit Hilfe eines Fragebogens  
  Mit Hilfe eines Fragebogens
  Ideen der Teilnehmer basierend auf Ihrem fachlichen Know-how zusammengefasst
  Ideen der Teilnehmer basierend auf Ihrem fachlichen Know-how zusammengefasst
  Direkter Austausch der Experten untereinander muss unterbunden werden
  Direkter Austausch der Experten untereinander muss unterbunden werden
  Antworten sollen frei von Beeinflussungen sein  
  Antworten sollen frei von Beeinflussungen sein
  Antworten werden zur Kommentierung an die anderen Experten weitergereicht
  Antworten werden zur Kommentierung an die anderen Experten weitergereicht
  Nach einigen Durchläufen liegt ein aussagekräftiges Ergebnis vor, welches frei von Voreingenommenheiten sein sollte
  Nach einigen Durchläufen liegt ein aussagekräftiges Ergebnis vor, welches frei von Voreingenommenheiten sein sollte
Zeile 226: Zeile 226:
  systematische Erhebung aller möglichen Ausfall- und Ursachenkombinationen
  systematische Erhebung aller möglichen Ausfall- und Ursachenkombinationen
  daraus können potenzielle Risiken für das Projekt sichtbar werden
  daraus können potenzielle Risiken für das Projekt sichtbar werden
=== Prozesse im Risikomanagement ===
=== Prozesse im Risikomanagement ===
  Methoden der Risikoidentifikation  
  Methoden der Risikoidentifikation
  Fehlermöglichkeits- und Einflussanalyse (FMEA)
  Fehlermöglichkeits- und Einflussanalyse (FMEA)
  Ein System wird in einzelne Betrachtungseinheiten/Funktionsbereiche zerlegt
  Ein System wird in einzelne Betrachtungseinheiten/Funktionsbereiche zerlegt
  Auf Basis der einzelnen Funktionen werden Schwachstellen herausgebildet
  Auf Basis der einzelnen Funktionen werden Schwachstellen herausgebildet
  potentielle Fehlermöglichkeiten erkennen  
  potentielle Fehlermöglichkeiten erkennen
  Ursachen und Auswirkungen werden systematisch anhand der Funktionsbereiche ermittelt
  Ursachen und Auswirkungen werden systematisch anhand der Funktionsbereiche ermittelt
=== Szenariotechnik ===
=== Szenariotechnik ===
Zeile 238: Zeile 238:
  Ziel: Ermittlung möglicher Worst-Case Szenarien bzw. das Finden neuer möglicher Risiken
  Ziel: Ermittlung möglicher Worst-Case Szenarien bzw. das Finden neuer möglicher Risiken
=== SWOT-Analyse ===
=== SWOT-Analyse ===
  Projekt wird unter jedem der SWOT-Aspekte betrachtet  
  Projekt wird unter jedem der SWOT-Aspekte betrachtet
  erhöht die Bandbreite der betrachteten Risiken
  erhöht die Bandbreite der betrachteten Risiken
  SWOT-Analyse ist ganzheitlicher und auch positiver ausgerichtet als andere Methoden
  SWOT-Analyse ist ganzheitlicher und auch positiver ausgerichtet als andere Methoden
Zeile 244: Zeile 244:
  ermöglicht eine direkte Umsetzung von Stärken und Chancen auf strategische oder operative Vorteile
  ermöglicht eine direkte Umsetzung von Stärken und Chancen auf strategische oder operative Vorteile
  Schnittstellenrisiken zwischen Projekten und dem Unternehmen können identifiziert werden
  Schnittstellenrisiken zwischen Projekten und dem Unternehmen können identifiziert werden
=== Prozesse im Risikomanagement ===
=== Prozesse im Risikomanagement ===
  Risikoidentifikation: Aufbereitung identifizierter Risiken
  Risikoidentifikation: Aufbereitung identifizierter Risiken
  Identifizierte Risiken müssen aufbereitet werden
  Identifizierte Risiken müssen aufbereitet werden
Zeile 255: Zeile 255:
  Liste der möglichen Bewältigungsmaßnahmen, sofern bereits identifiziert
  Liste der möglichen Bewältigungsmaßnahmen, sofern bereits identifiziert
  Liste der Grundursachen identifizierter Risiken
  Liste der Grundursachen identifizierter Risiken
  Liste der Risikokategorien  
  Liste der Risikokategorien
=== Prozesse im Risikomanagement ===
=== Prozesse im Risikomanagement ===
  Risikoanalyse: Qualitative Risikoanalyse
  Risikoanalyse: Qualitative Risikoanalyse
  Schnelle und kosteneffektive Vorgehensweise
  Schnelle und kosteneffektive Vorgehensweise
  Methoden zur Priorisierung der identifizierten Risiken  
  Methoden zur Priorisierung der identifizierten Risiken
  Grundstein für die quantitative Risikoanalyse
  Grundstein für die quantitative Risikoanalyse
  trägt zur Risikobewältigungsplanung bei
  trägt zur Risikobewältigungsplanung bei
  bezieht Informationen aus der Risikomanagementplanung und der Risikoidentifikation
  bezieht Informationen aus der Risikomanagementplanung und der Risikoidentifikation
  Konzentration auf Risiken mit hoher Priorität  
  Konzentration auf Risiken mit hoher Priorität
  Prioritäten identifizierter Risiken bewerten
  Prioritäten identifizierter Risiken bewerten
  Anhand der Eintrittswahrscheinlichkeit  
  Anhand der Eintrittswahrscheinlichkeit
  daraus resultierenden Auswirkungen auf die gesteckten Ziele
  daraus resultierenden Auswirkungen auf die gesteckten Ziele
  Zeitrahmen
  Zeitrahmen
  Risikotoleranz
  Risikotoleranz
  Budgetkosten  
  Budgetkosten
  Umfang und Qualität
  Umfang und Qualität
  Bedeutung eines Risikos besser zu verstehen
  Bedeutung eines Risikos besser zu verstehen
  qualitative Bewertung der verfügbaren Informationen
  qualitative Bewertung der verfügbaren Informationen
  Risikobezogene Maßnahmen sind oftmals sehr zeitkritisch und können somit die Bedeutung oder Auswirkung eines Risikos stark erhöhen.  
  Risikobezogene Maßnahmen sind oftmals sehr zeitkritisch und können somit die Bedeutung oder Auswirkung eines Risikos stark erhöhen.
=== Laufender Prozess ===
=== Laufender Prozess ===
  Die qualitative Risikoanalyse sollte im Laufe des Projektes ständig wiederholt werden, da sich Änderungen an den Projektrisiken ergeben können.  
  Die qualitative Risikoanalyse sollte im Laufe des Projektes ständig wiederholt werden, da sich Änderungen an den Projektrisiken ergeben können.
=== Prozesse im Risikomanagement ===
=== Prozesse im Risikomanagement ===
  Risikoanalyse: Quantitative Risikoanalyse
  Risikoanalyse: Quantitative Risikoanalyse
  Aufbauend auf qualitativer Risikoanalyse  
  Aufbauend auf qualitativer Risikoanalyse
  durchgeführte Priorisierung der Risiken
  durchgeführte Priorisierung der Risiken
  einige Risikomanager führen sie gerne direkt nach der Risikoidentifikation durch
  einige Risikomanager führen sie gerne direkt nach der Risikoidentifikation durch
  Auswirkungen werden analysiert  
  Auswirkungen werden analysiert
  numerische Einstufung der Risiken
  numerische Einstufung der Risiken
  Somit wird gleichzeitig ein erster Ansatz für die Entscheidungsfindung erstellt
  Somit wird gleichzeitig ein erster Ansatz für die Entscheidungsfindung erstellt
=== Methoden ===
=== Methoden ===
  Monte-Carlo-Simulation (Szenariotechnik)  
  Monte-Carlo-Simulation (Szenariotechnik)
  Entscheidungsbaum-Analyse(Fehleranalyse)  
  Entscheidungsbaum-Analyse(Fehleranalyse)
  Ziele
  Ziele
  Wahrscheinlichkeitsbestimmung von möglichen Ergebnissen
  Wahrscheinlichkeitsbestimmung von möglichen Ergebnissen
  Identifizierung von Risiken mit der höchsten Aufmerksamkeit
  Identifizierung von Risiken mit der höchsten Aufmerksamkeit
  Realistischen Bestimmung von Kosten, Terminen und Umfangszielen
  Realistischen Bestimmung von Kosten, Terminen und Umfangszielen
  Bestimmung der besten Managemententscheidung, sollten einige Faktoren unbekannt sein  
  Bestimmung der besten Managemententscheidung, sollten einige Faktoren unbekannt sein
=== Prozesse im Risikomanagement ===
=== Prozesse im Risikomanagement ===
  Risikobewältigungsplanung
  Risikobewältigungsplanung
  Vorgehensweisen und Verfahren
  Vorgehensweisen und Verfahren
  Erreichen von Projektzielen  
  Erreichen von Projektzielen
  Gefahren vermeiden
  Gefahren vermeiden
  Aufbauend auf Risikoanalyse
  Aufbauend auf Risikoanalyse
Zeile 307: Zeile 307:
  kosteneffektiv
  kosteneffektiv
  termingerecht
  termingerecht
  realistisch  
  realistisch
=== Vorgaben an das Risikomanagement ===
=== Vorgaben an das Risikomanagement ===
  von betriebsinternen Projektmitgliedern
  von betriebsinternen Projektmitgliedern
  von Vertragspartnern, Behörden, Gesetzgeber
  von Vertragspartnern, Behörden, Gesetzgeber
  Vertragspartner (meist zeitliche, aber auch Qualitätsvorgaben)
  Vertragspartner (meist zeitliche, aber auch Qualitätsvorgaben)
  Gesetzgeber (Auflagen bzgl. des Datenschutzes und der Aufbewahrung von z.B E-Mails)
  Gesetzgeber (Auflagen bzgl. des Datenschutzes und der Aufbewahrung von z.B E-Mails)
  Behörden (häufig sind dies Vorgaben bzgl. des Budgets, da bei Verzögerungen oder Mehrkosten diese erst genehmigt werden müssen)  
  Behörden (häufig sind dies Vorgaben bzgl. des Budgets, da bei Verzögerungen oder Mehrkosten diese erst genehmigt werden müssen)
  Prozesse im Risikomanagement
  Prozesse im Risikomanagement
=== Risikobewältigungsplanung ===
=== Risikobewältigungsplanung ===
Zeile 319: Zeile 319:
  Vermeiden/Minimieren
  Vermeiden/Minimieren
  z.B durch Verbesserung der Kommunikation innerhalb des Projektteams und den Vertragspartnern
  z.B durch Verbesserung der Kommunikation innerhalb des Projektteams und den Vertragspartnern
  Vermindern  
  Vermindern
  z.B durch Änderungen an der Organisation um Projektziele oder Meilensteine nicht zu gefährden
  z.B durch Änderungen an der Organisation um Projektziele oder Meilensteine nicht zu gefährden
  Abwälzen/Übertragen  
  Abwälzen/Übertragen
  z.B an den Auftraggeber oder Lieferanten durch entsprechende Vertragsklauseln etc.
  z.B an den Auftraggeber oder Lieferanten durch entsprechende Vertragsklauseln etc.
  Selbstübernehmen/Akzeptieren  
  Selbstübernehmen/Akzeptieren
  meist nur bei eher unbedeutenden Risiken/Bildung von Reserven
  meist nur bei eher unbedeutenden Risiken/Bildung von Reserven
=== Prozesse im Risikomanagement ===
=== Prozesse im Risikomanagement ===
  Risikocontrolling: Risikoinventur
  Risikocontrolling: Risikoinventur
  Risikoinventur  
  Risikoinventur
  erfasst Schäden durch Risiken
  erfasst Schäden durch Risiken
  Hierbei spielen Eintrittswahrscheinlichkeit sowie Ursachen eine Rolle
  Hierbei spielen Eintrittswahrscheinlichkeit sowie Ursachen eine Rolle
  Grundlagen zur strukturierten Darstellung  
  Grundlagen zur strukturierten Darstellung
  Vollständigkeit
  Vollständigkeit
  alle Risiken
  alle Risiken
Zeile 338: Zeile 338:
  Beispiel
  Beispiel
  Es kommt in einem Serverraum zu einem Brand, durch ein defektes Netzteil
  Es kommt in einem Serverraum zu einem Brand, durch ein defektes Netzteil
  Der Schaden steigt erheblich  
  Der Schaden steigt erheblich
  überfällige Wartung des Brandbekämpfungssystems
  überfällige Wartung des Brandbekämpfungssystems
  langanhaltende Betriebsunterbrechung
  langanhaltende Betriebsunterbrechung
Zeile 364: Zeile 364:
  Bruttobewertung
  Bruttobewertung
  grundsätzlichen Bedrohungspotenziale werden betrachtet
  grundsätzlichen Bedrohungspotenziale werden betrachtet
  wo liegen Schwerpunkte der Risikosteuerung  
  wo liegen Schwerpunkte der Risikosteuerung
  Nettobewertung
  Nettobewertung
  Risiken bereits bestehenden Steuerungs- und Kontrollmaßnahmen gegenüberstellen
  Risiken bereits bestehenden Steuerungs- und Kontrollmaßnahmen gegenüberstellen
  Aktuelle Risikolage  
  Aktuelle Risikolage
  Wir ermittelt
  Wir ermittelt
  Eignung und Angemessenheit bestehender Maßnahmen festgestellen
  Eignung und Angemessenheit bestehender Maßnahmen festgestellen
Zeile 373: Zeile 373:
  Vor einer Bewertung der Risiken
  Vor einer Bewertung der Risiken
  Maßstab für Schadensausmaß und Eintrittswahrscheinlichkeit eingrenzen
  Maßstab für Schadensausmaß und Eintrittswahrscheinlichkeit eingrenzen
  Schätzungen oder Erfahrungswerten durch die Verantwortlichen  
  Schätzungen oder Erfahrungswerten durch die Verantwortlichen
  Worst-Case-Szenario
  Worst-Case-Szenario
  klare Grenzen zwischen den einzelnen Gefahrenstufen
  klare Grenzen zwischen den einzelnen Gefahrenstufen
  Prozesse im Risikomanagement
  Prozesse im Risikomanagement
  Bewertung und Messung von Risiken
  Bewertung und Messung von Risiken
  Ampelmodell  
  Ampelmodell
  besonders geeignet
  besonders geeignet
  Akzeptanzlinie
  Akzeptanzlinie
  Rote Linie zwischen akzeptablen und kritischem Bereich
  Rote Linie zwischen akzeptablen und kritischem Bereich
  Toleranzgrenze
  Toleranzgrenze
  Rote Linie zwischen Grenzbereich und inakzeptablem Bereich  
  Rote Linie zwischen Grenzbereich und inakzeptablem Bereich
  Risiken, unterhalb dieser Linie, gelten als tolerierbar
  Risiken, unterhalb dieser Linie, gelten als tolerierbar
  wenn es möglich ist
  wenn es möglich ist
  durch Maßnahmen diese unter Kontrolle zu halten  
  durch Maßnahmen diese unter Kontrolle zu halten
  oder sogar in den akzeptablen Bereich zu bringen
  oder sogar in den akzeptablen Bereich zu bringen
  Festlegung der Grenzen wird durch Verantwortliche vorgenommen
  Festlegung der Grenzen wird durch Verantwortliche vorgenommen
  Bewertung und Messung von Risiken
  Bewertung und Messung von Risiken
  Kriterien
  Kriterien
  Ungewissheit  
  Ungewissheit
  Unsicherheit
  Unsicherheit
  Abschätzungssicherheit
  Abschätzungssicherheit
  Ahnungslosigkeit
  Ahnungslosigkeit
  Ausbreitungsgrad des potenziellen Schadens
  Ausbreitungsgrad des potenziellen Schadens
  zeitlicher Ausdehnungsgrad nach Eintritt  
  zeitlicher Ausdehnungsgrad nach Eintritt
  Möglichkeit den Ursprungszustand wiederherzustellen  
  Möglichkeit den Ursprungszustand wiederherzustellen
  z.B durch einspielen eines Backups
  z.B durch einspielen eines Backups
  Verzögernde Wirkung des Schadens
  Verzögernde Wirkung des Schadens
  evtl. nicht direkt sichtbar
  evtl. nicht direkt sichtbar
  Mobilisierungspotenzial der beteiligten Mitarbeiter  
  Mobilisierungspotenzial der beteiligten Mitarbeiter
  nach einem Schaden weiter zu machen
  nach einem Schaden weiter zu machen
  Ergebnis: qualitative und quantitative Bewertung von Risiken
  Ergebnis: qualitative und quantitative Bewertung von Risiken
  quantitativen Bewertung  
  quantitativen Bewertung
  Schadenshöhe/Intensität der Auswirkung  
  Schadenshöhe/Intensität der Auswirkung
  Eintrittswahrscheinlichkeit
  Eintrittswahrscheinlichkeit
  qualitative Bewertung  
  qualitative Bewertung
  Aggregation (Zusammenlegung) von Risiken im Hinblick auf die Erreichung von Zielen
  Aggregation (Zusammenlegung) von Risiken im Hinblick auf die Erreichung von Zielen
  Bewertung und Messung von Risiken
  Bewertung und Messung von Risiken
Zeile 417: Zeile 417:
  Erfahrungen bei vorrangegangenen Projekten:
  Erfahrungen bei vorrangegangenen Projekten:
  Änderungen während des Projekts
  Änderungen während des Projekts
  z. B. Änderung der Meilensteinen  
  z. B. Änderung der Meilensteinen
  oder im schlimmsten Fall am eigentlichen Projektziel
  oder im schlimmsten Fall am eigentlichen Projektziel
  Dies sind Risiken, die komplette Projekte bedrohen oder sogar stoppen können
  Dies sind Risiken, die komplette Projekte bedrohen oder sogar stoppen können
Zeile 427: Zeile 427:
  Kein klar definiertes Ziel
  Kein klar definiertes Ziel
  Mangelhaftes Anforderungsmanagement während des Planungsprozesses, ergeben stetig neue Projektänderungen
  Mangelhaftes Anforderungsmanagement während des Planungsprozesses, ergeben stetig neue Projektänderungen
  Oftmals wird der Benutzer nicht in die Planung mit einbezogen  
  Oftmals wird der Benutzer nicht in die Planung mit einbezogen
  Wie wahrscheinlich ist das Risiko?
  Wie wahrscheinlich ist das Risiko?
  Eintrittswahrscheinlichkeit 5 – sehr hoch
  Eintrittswahrscheinlichkeit 5 – sehr hoch
  Schadenswirkung 4 – hoch  
  Schadenswirkung 4 – hoch
  Risikofaktor
  Risikofaktor
  Wahrscheinlichkeit (5) * Schadenswirkung (4) = Risikofaktor (20)  
  Wahrscheinlichkeit (5) * Schadenswirkung (4) = Risikofaktor (20)
  Mit dem errechneten Risikofaktor landet dieses Risiko im nicht tolerierbaren Bereich (Stern Abb.).  
  Mit dem errechneten Risikofaktor landet dieses Risiko im nicht tolerierbaren Bereich (Stern Abb.).
  Bewertung und Messung von Risiken
  Bewertung und Messung von Risiken
  Berechnung des Faktors eines Risikos
  Berechnung des Faktors eines Risikos
  Beispiele für weitere Risiken (Gefahrenbereiche)
  Beispiele für weitere Risiken (Gefahrenbereiche)
  Einsatz neuer Technologien  
  Einsatz neuer Technologien
  W(4) * S(5) = RF(20)
  W(4) * S(5) = RF(20)
  Implementierungen ohne Entwurf  
  Implementierungen ohne Entwurf
  W(4) * S(4) = RF(16)
  W(4) * S(4) = RF(16)
  Unmotivierte Mitarbeiter  
  Unmotivierte Mitarbeiter
  W(3) * S(5) = RF(15)
  W(3) * S(5) = RF(15)
  Mitarbeiterfluktuation  
  Mitarbeiterfluktuation
  W(2) * S(4) = RF(8)
  W(2) * S(4) = RF(8)
  Machtkämpfe  
  Machtkämpfe
  W(1) * S(2) = RF(2)
  W(1) * S(2) = RF(2)
  Unzureichende Reviews  
  Unzureichende Reviews
  W(3) * S(4) = RF(12)  
  W(3) * S(4) = RF(12)


  Legende:  
  Legende:
  W = Wahrscheinlichkeit S = Schadenswirkung RF = Risikofaktor  
  W = Wahrscheinlichkeit S = Schadenswirkung RF = Risikofaktor
  Qualität des IT-Managements
  Qualität des IT-Managements
  Kernpunkte
  Kernpunkte
Zeile 459: Zeile 459:
  Sind die Ziele der IT von allen Mitarbeitern verstanden?
  Sind die Ziele der IT von allen Mitarbeitern verstanden?
  Sind die IT-Risiken erkannt, verstanden und unter Kontrolle?
  Sind die IT-Risiken erkannt, verstanden und unter Kontrolle?
  Ist die Qualität der IT-Systeme angemessen für die geschäftlichen Anforderungen?  
  Ist die Qualität der IT-Systeme angemessen für die geschäftlichen Anforderungen?
  Beschaffung und Einführung neuer Systeme
  Beschaffung und Einführung neuer Systeme
  Liefern neue Projekte voraussichtlich Lösungen, die den geschäftlichen Anforderungen genügen?
  Liefern neue Projekte voraussichtlich Lösungen, die den geschäftlichen Anforderungen genügen?
  Werden neue Projekte voraussichtlich im vorgesehenen Zeit- und Kostenrahmen abgeschlossen?
  Werden neue Projekte voraussichtlich im vorgesehenen Zeit- und Kostenrahmen abgeschlossen?
  Können neue Systeme eine ordnungsgemäße Verarbeitung nach der Einführung sicherstellen?
  Können neue Systeme eine ordnungsgemäße Verarbeitung nach der Einführung sicherstellen?
  Können Änderungen an IT-Systemen durchgeführt werden ohne die Geschäftsprozesse zu behindern?  
  Können Änderungen an IT-Systemen durchgeführt werden ohne die Geschäftsprozesse zu behindern?
  Betrieb und Unterstützung
  Betrieb und Unterstützung
  Werden IT-Dienstleistungen entsprechend der geschäftlichen Prioritäten ausgeführt?
  Werden IT-Dienstleistungen entsprechend der geschäftlichen Prioritäten ausgeführt?
  Sind die Kosten optimiert?
  Sind die Kosten optimiert?
  Können die Mitarbeiter mit den IT-Systemen effektiv und sicher umgehen?
  Können die Mitarbeiter mit den IT-Systemen effektiv und sicher umgehen?
  Ist eine angemessene Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet?  
  Ist eine angemessene Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet?
  Überwachung
  Überwachung
  Kann die IT-Performance gemessen werden?
  Kann die IT-Performance gemessen werden?
  Können IT-Probleme rechtzeitig erkannt werden?
  Können IT-Probleme rechtzeitig erkannt werden?
  Risikokommunikation und -berichterstattung  
  Risikokommunikation und -berichterstattung
  Ständige Kommunikation innerhalb und außerhalb eines IT-Projektes
  Ständige Kommunikation innerhalb und außerhalb eines IT-Projektes
  vielleicht wichtigster Punkt für erfolgreiches Risikomanagement
  vielleicht wichtigster Punkt für erfolgreiches Risikomanagement
Zeile 492: Zeile 492:
  Ist die Risikoanalyse aktuell?
  Ist die Risikoanalyse aktuell?
  Welche Risiken sind hinzugekommen, welche evtl. aufgelöst worden?
  Welche Risiken sind hinzugekommen, welche evtl. aufgelöst worden?
  Ist ein Trend abzusehen?  
  Ist ein Trend abzusehen?
  Bewertung der getroffenen Maßnahmen zur Risikobewältigung  
  Bewertung der getroffenen Maßnahmen zur Risikobewältigung
  Erfolg wird durch Beeinflussung der ergriffenen Maßnahmen messbar
  Erfolg wird durch Beeinflussung der ergriffenen Maßnahmen messbar
  Überwachung von Maßnahmen  
  Überwachung von Maßnahmen
  Fragen
  Fragen
  Wer Überwacht die Maßnahmen?
  Wer Überwacht die Maßnahmen?
  Wer setzt diese eigentlich um?  
  Wer setzt diese eigentlich um?
  RASCI Methode  
  RASCI Methode
  Überwachung befasst sich zum größten Teil mit folgenden Fragen
  Überwachung befasst sich zum größten Teil mit folgenden Fragen
  Responsible (R)
  Responsible (R)
Zeile 510: Zeile 510:
  Wer hilft bei der Umsetzung („Experte“)?
  Wer hilft bei der Umsetzung („Experte“)?
  Informed (I)
  Informed (I)
  Wer muss benachrichtigt werden?  
  Wer muss benachrichtigt werden?
  Bewertung
  Bewertung
  Risikomanagement sollte nicht als lästige Pflicht angesehen werden
  Risikomanagement sollte nicht als lästige Pflicht angesehen werden
  sondern als eine Chance  
  sondern als eine Chance
  IT-Prozesse optimieren  
  IT-Prozesse optimieren
  Risikoverständnis und Sicherheitsniveau im Unternehmen verbessern
  Risikoverständnis und Sicherheitsniveau im Unternehmen verbessern
  Wirtschaftlicher Nutzen des Risikomanagement
  Wirtschaftlicher Nutzen des Risikomanagement
  Je nach der Größe und Bedeutung eines Projektes
  Je nach der Größe und Bedeutung eines Projektes
  kann das Risikomanagement in seinem Umfang unterschiedlich ausgelegt werden.  
  kann das Risikomanagement in seinem Umfang unterschiedlich ausgelegt werden.
  Bei kleineren Projekten  
  Bei kleineren Projekten
  erscheint es unter Umständen weniger sinnvoll, aufwendige Analysen wie z. B. die FMEA durchzuführen
  erscheint es unter Umständen weniger sinnvoll, aufwendige Analysen wie z. B. die FMEA durchzuführen
  Hier kann mit einfachen Mitteln bereits ein adäquates Risikomanagement betreiben werden
  Hier kann mit einfachen Mitteln bereits ein adäquates Risikomanagement betreiben werden
  Brainstorming  
  Brainstorming
  guter Dokumentation  
  guter Dokumentation
  Kommunikation der Risiken
  Kommunikation der Risiken
  Risiken können nicht immer vollständig eliminiert werden
  Risiken können nicht immer vollständig eliminiert werden
Zeile 531: Zeile 531:
  Risikoanalyse (risk assessment)
  Risikoanalyse (risk assessment)
  Risikobewertung anhand Wahrscheinlichkeiten
  Risikobewertung anhand Wahrscheinlichkeiten
  Eintreten verschiedener Bedrohungen  
  Eintreten verschiedener Bedrohungen
  potentieller Schadenshöhe
  potentieller Schadenshöhe
  Bewertung der Eintrittswahrscheinlichkeit
  Bewertung der Eintrittswahrscheinlichkeit
Zeile 586: Zeile 586:
  Entwicklungsprozess
  Entwicklungsprozess
  Dezidierte Methoden bislang kaum entwickelt
  Dezidierte Methoden bislang kaum entwickelt
  allgemeine methodische in der Regel  
  allgemeine methodische in der Regel
  top-down Vorgehensweise aus Software-Engineering
  top-down Vorgehensweise aus Software-Engineering
  Schwierig, da Angreifer viele Möglichkeiten hat
  Schwierig, da Angreifer viele Möglichkeiten hat
=== Allgemeine Prinzipien ===
=== Allgemeine Prinzipien ===
  1975 Saltzer und Schröder
  1975 Saltzer und Schröder
  Heute noch gültig
Heute noch gültig
=== Allgemeine Konstruktionsprinzipien ===
=== Allgemeine Konstruktionsprinzipien ===
  Erlaubnis-Prinzip
  Erlaubnis-Prinzip
Zeile 616: Zeile 616:
  Rollenbasierte Rechte
  Rollenbasierte Rechte
  Akzeptanz (economy of mechanism)
  Akzeptanz (economy of mechanism)
=== Benutzerakzeptanz ===
=== Benutzerakzeptanz ===
  Sicherheitsmechanismen müssen einfach zu nutzen sein  
  Sicherheitsmechanismen müssen einfach zu nutzen sein
  routinemäßig und automatisch angewendet werden
  routinemäßig und automatisch angewendet werden
=== Offener Entwurf (open design) ===
=== Offener Entwurf (open design) ===
Zeile 628: Zeile 628:
  Keep it simple, stupid.
  Keep it simple, stupid.
  „Halte es einfach, Dummkopf!“; sinngemäß: Mach's so einfach wie möglich
  „Halte es einfach, Dummkopf!“; sinngemäß: Mach's so einfach wie möglich
  Keep it simple [and] stupid  
  Keep it simple [and] stupid
  „Halte es einfach und [dumm=] beschränkt“
  „Halte es einfach und [dumm=] beschränkt“
  sinngemäß: „Mit einfachsten Mitteln verständlich und bewältigbar.“
  sinngemäß: „Mit einfachsten Mitteln verständlich und bewältigbar.“
Zeile 634: Zeile 634:
  „Gestalte es kurz und einfach“
  „Gestalte es kurz und einfach“
  aus dem Bereich des Marketing
  aus dem Bereich des Marketing
  Keep it simple and smart  
  Keep it simple and smart
  „Mach es einfach und schlau“
  „Mach es einfach und schlau“
  Keep it simple and straightforward  
  Keep it simple and straightforward
  „Gestalte es einfach und überschaubar“
  „Gestalte es einfach und überschaubar“
  Keep it safe and sound
  Keep it safe and sound
  „Halte es sicher und stimmig“
  „Halte es sicher und stimmig“
  Keep it sweet and simple  
  Keep it sweet and simple
  „Gestalte es gefällig und einfach“
  „Gestalte es gefällig und einfach“
  KISS-Prinzip
  KISS-Prinzip
Zeile 656: Zeile 656:
  entwerfe Düsentriebwerk, dass
  entwerfe Düsentriebwerk, dass
  mit wenigen einfachen Werkzeugen
  mit wenigen einfachen Werkzeugen
  von einem durchschnittlichen Ingenieur  
  von einem durchschnittlichen Ingenieur
  im Felde unter Kampfbedingungen  
  im Felde unter Kampfbedingungen
  mit nur diesen Werkzeugen reparierbar ist
  mit nur diesen Werkzeugen reparierbar ist
  „stupid"  
  „stupid"
  zielt auf die Beziehung zwischen der Art und Weise, wie Dinge zu Bruch gehen, und deren Ausgereiftheit bezüglich der Reparatur
  zielt auf die Beziehung zwischen der Art und Weise, wie Dinge zu Bruch gehen, und deren Ausgereiftheit bezüglich der Reparatur
  Es soll ein möglichst einfacher und „beschränkter“ Ansatz sein
  Es soll ein möglichst einfacher und „beschränkter“ Ansatz sein
Zeile 665: Zeile 665:
  Hintergründe
  Hintergründe
  Verbreitet ist das KISS-Prinzip in
  Verbreitet ist das KISS-Prinzip in
  den United States Air Force  
  den United States Air Force
  der Softwareentwicklung
  der Softwareentwicklung
  Designprinzip  
  Designprinzip
  beschreibt es im Gegensatz zu einer Problemlösung in der Form einer Fehlerumgehung ("workaround")  
  beschreibt es im Gegensatz zu einer Problemlösung in der Form einer Fehlerumgehung ("workaround")
  die möglichst einfache, minimalistische und leicht verständliche Lösung eines Problems
  die möglichst einfache, minimalistische und leicht verständliche Lösung eines Problems
  Beispiel ist die TCP/IP-Protokollfamilie
  Beispiel ist die TCP/IP-Protokollfamilie
Zeile 674: Zeile 674:
  obwohl sie für ein kleines Netzwerksystem entwickelt wurden
  obwohl sie für ein kleines Netzwerksystem entwickelt wurden
  Forschungszentren der DARPA
  Forschungszentren der DARPA
  KISS-Prinzip immer häufiger im allgemeinen Zusammenhang mit komplexen Planungsaufgaben  
  KISS-Prinzip immer häufiger im allgemeinen Zusammenhang mit komplexen Planungsaufgaben


  „Keep It Short and Simple“-Version an englischen Schulen und Universitäten
  „Keep It Short and Simple“-Version an englischen Schulen und Universitäten
Zeile 682: Zeile 682:
=== Modellierung, Entwurf und Betrieb (I) ===
=== Modellierung, Entwurf und Betrieb (I) ===
  Vergleich
  Vergleich
  Soll-Zustand  
  Soll-Zustand
  beschreibt Schutzbedarf
  beschreibt Schutzbedarf
  Ist-Zustand
  Ist-Zustand
  beschreibt Bedrohungs- und Risikoanalyse  
  beschreibt Bedrohungs- und Risikoanalyse
  Ergebnis
  Ergebnis
  Maßnahmen zur Abwehr der Bedrohungen
  Maßnahmen zur Abwehr der Bedrohungen
Zeile 693: Zeile 693:
  Aufwand
  Aufwand
=== Modellierung, Entwurf und Betrieb (II) ===
=== Modellierung, Entwurf und Betrieb (II) ===
  Erfassung der erforderlichen Maßnahmen  
  Erfassung der erforderlichen Maßnahmen
  zur Erfüllung des Schutzbedarfs in Sicherheitsstrategie (security policy)
  zur Erfüllung des Schutzbedarfs in Sicherheitsstrategie (security policy)
  informell oder präzise formalisiert
  informell oder präzise formalisiert
Zeile 700: Zeile 700:
  Kriterienkataloge definieren Funktionsklassen für Anwendungsszenarien
  Kriterienkataloge definieren Funktionsklassen für Anwendungsszenarien
  europäische ITSEC
  europäische ITSEC
  internationale Common Criteria  
  internationale Common Criteria
  Anwender sollte klären  
  Anwender sollte klären
  ob seine Sicherheitsanforderungen bereits von einer dieser Klassen abgedeckt wird
  ob seine Sicherheitsanforderungen bereits von einer dieser Klassen abgedeckt wird
  welche Kombination von Grundfunktionen er braucht
  welche Kombination von Grundfunktionen er braucht
Zeile 753: Zeile 753:
=== Sicherheitsgrundfunktionen (III) ===
=== Sicherheitsgrundfunktionen (III) ===
  Baukasten
  Baukasten
  Rechteverwaltung
Rechteverwaltung
  Basis zur Abwehr von Bedrohung der Integrität und Vertraulichkeit
  Basis zur Abwehr von Bedrohung der Integrität und Vertraulichkeit
  Sicherheitsanforderungen legen Rechte für zu schützende Objekte fest
  Sicherheitsanforderungen legen Rechte für zu schützende Objekte fest
Zeile 824: Zeile 824:
  BSI-Standard 100-3
  BSI-Standard 100-3
  Ergänzende Sicherheitsanalyse
  Ergänzende Sicherheitsanalyse
  Eine „Ergänzende Sicherheitsanalyse“  
  Eine „Ergänzende Sicherheitsanalyse“
  ist durchzuführen, wenn:  
  ist durchzuführen, wenn:
  hoher oder sehr hoher Schutzbedarf
  hoher oder sehr hoher Schutzbedarf
  zusätzlicher Analysebedarf
  zusätzlicher Analysebedarf
  für bestimmte Aspekte kein geeigneter Grundschutz-Katalog
  für bestimmte Aspekte kein geeigneter Grundschutz-Katalog
  Risikoanalyse  
  Risikoanalyse
  Zweistufiges BSI-Modell
  Zweistufiges BSI-Modell
  (1) Für  
  (1) Für
  normalern Schutzbedarf
  normalern Schutzbedarf
  übliche Einsatzszenarien
  übliche Einsatzszenarien
  existierende Bausteine
  existierende Bausteine
  qualitative Methode zur Risikoanalyse und -bewertung in der IT-Grundschutz-Vorgehensweise enthalten
  qualitative Methode zur Risikoanalyse und -bewertung in der IT-Grundschutz-Vorgehensweise enthalten
  beim Einsatz ähnlicher IT-Umgebungen und vergleichbarer Umfeldbedingungen meistens vergleichbare Bedrohungen  
  beim Einsatz ähnlicher IT-Umgebungen und vergleichbarer Umfeldbedingungen meistens vergleichbare Bedrohungen
  (2) Für  
  (2) Für
  höheren Schutzbedarf
  höheren Schutzbedarf
  unübliche Einsatzszenarien
  unübliche Einsatzszenarien
Zeile 846: Zeile 846:
  Vor einer Risikoanalyse, sollten folgende Vorarbeiten abgeschlossen sein
  Vor einer Risikoanalyse, sollten folgende Vorarbeiten abgeschlossen sein
  Initiierung des Informationssicherheitsprozess
  Initiierung des Informationssicherheitsprozess
  Definition des Geltungsbereiches für die Sicherheitskonzeption  
  Definition des Geltungsbereiches für die Sicherheitskonzeption
  Strukturanalyse
  Strukturanalyse
  Schutzbedarfsfeststellung  
  Schutzbedarfsfeststellung
  Modellierung  
  Modellierung
  Basis-Sicherheitscheck  
  Basis-Sicherheitscheck
  ergänzende Sicherheitsanalyse
  ergänzende Sicherheitsanalyse
  Erstellung der Gefährdungsübersicht
  Erstellung der Gefährdungsübersicht
Zeile 857: Zeile 857:
  Ausgangspunkt
  Ausgangspunkt
  relevante Gefährdungen au den IT-Grundschutz-Katalogen
  relevante Gefährdungen au den IT-Grundschutz-Katalogen
  für betrachtete Zielobjekte  
  für betrachtete Zielobjekte
  Bedrohungen, Schwachstellen und Risiken werden nicht separat untersucht
  Bedrohungen, Schwachstellen und Risiken werden nicht separat untersucht
  Ziel
  Ziel
  Übersicht der Gefährdungen, die auf die betrachteten Zielobjekte wirken
  Übersicht der Gefährdungen, die auf die betrachteten Zielobjekte wirken
  Vorgehen
  Vorgehen
  Reduzierung des Informationsverbundes auf die betrachteten Komponenten  
  Reduzierung des Informationsverbundes auf die betrachteten Komponenten
  Zielobjekte streichen, für die kein Bedarf einer Risikoanalyse besteht
  Zielobjekte streichen, für die kein Bedarf einer Risikoanalyse besteht
  Bausteine streichen, für die kein Zielobjekt mehr übrig ist
  Bausteine streichen, für die kein Zielobjekt mehr übrig ist
Zeile 869: Zeile 869:
  Vorgehen
  Vorgehen
  Bausteine der IT-Grundschutz-Katalogen verweisen auf Gefährdungen
  Bausteine der IT-Grundschutz-Katalogen verweisen auf Gefährdungen
  Je Zielobjekt werden Nummer und Titel dieser Gefährdungen aus den Bausteinen zusammengetragen  
  Je Zielobjekt werden Nummer und Titel dieser Gefährdungen aus den Bausteinen zusammengetragen
  und dem jeweiligen Zielobjekt zugeordnet
  und dem jeweiligen Zielobjekt zugeordnet
  Gefährdungen aus den Bausteinen der Schichten 1 separat behandeln
  Gefährdungen aus den Bausteinen der Schichten 1 separat behandeln
Zeile 875: Zeile 875:


  Ergebnis
  Ergebnis
  Tabelle, die jedem Zielobjekt eine Liste mit relevanten Gefährdungen zuordnet  
  Tabelle, die jedem Zielobjekt eine Liste mit relevanten Gefährdungen zuordnet
  doppelte oder mehrfach genannten Gefährdungen entfernen
  doppelte oder mehrfach genannten Gefährdungen entfernen
  Gefährdungen pro Zielobjekt thematisch sortieren
  Gefährdungen pro Zielobjekt thematisch sortieren
  Einige Gefährdungen der Grundschutz-Kataloge
  Einige Gefährdungen der Grundschutz-Kataloge
  behandeln ähnliche Sicherheitsprobleme oder  
  behandeln ähnliche Sicherheitsprobleme oder
  unterschiedliche Ausprägungen der gleichen Bedrohung
  unterschiedliche Ausprägungen der gleichen Bedrohung
  Beispiel
  Beispiel
Zeile 888: Zeile 888:
  Grundwerte
  Grundwerte
  Vertraulichkeit
  Vertraulichkeit
  Integrität  
  Integrität
  Verfügbarkeit  
  Verfügbarkeit
  Für übergeordnetes Zielobjekt  
  Für übergeordnetes Zielobjekt
  gesamter Informationsverbund  
  gesamter Informationsverbund
  kann Zuordnung entfallen
  kann Zuordnung entfallen
  Ergebnis
  Ergebnis
  Gefährdungsübersicht für  
  Gefährdungsübersicht für
  die betrachteten Zielobjekte
  die betrachteten Zielobjekte
  dient als Ausgangspunkt  
  dient als Ausgangspunkt
  für die nachfolgende Ermittlung  
  für die nachfolgende Ermittlung
  zusätzlicher Gefährdungen.
  zusätzlicher Gefährdungen.
  Ermittlung zusätzlicher Gefährdungen
  Ermittlung zusätzlicher Gefährdungen
Zeile 942: Zeile 942:


=== Quellen und weitere Informationen ===
=== Quellen und weitere Informationen ===
  BITCOM: IT-Risiko- und Chancenmanagement im Unternehmen
BITCOM: IT-Risiko- und Chancenmanagement im Unternehmen


; Prozesse im Risikomanagement  
=== Prozesse im Risikomanagement ===
  Leitbild für das IT Management
  Leitbild für das IT Management
  Angesichts der immer weiter steigenden Bedeutung der IT (Informationstechnologie) und den damit verbundenen Anforderungen, sowie einer Komplexität an IT-Infrastruktur Projekten, erfordert dies eine reibungslose Integration in die bestehenden Geschäftsprozesse.  
  Angesichts der immer weiter steigenden Bedeutung der IT (Informationstechnologie) und den damit verbundenen Anforderungen, sowie einer Komplexität an IT-Infrastruktur Projekten, erfordert dies eine reibungslose Integration in die bestehenden Geschäftsprozesse.
  Um dies sicherzustellen, wurde die sogenannte IT-Governance, eine Weiterentwicklung der Corporate Governance, entworfen.  
  Um dies sicherzustellen, wurde die sogenannte IT-Governance, eine Weiterentwicklung der Corporate Governance, entworfen.
  Die IT-Governance richtet sich nach den Kernpunkten des COBIT Modells für das IT-Management.  
  Die IT-Governance richtet sich nach den Kernpunkten des COBIT Modells für das IT-Management.
  Das Modell ist generell anwendbar, international akzeptiert und lehnt sich besonders an die IT-Prozesse und die bestehenden Kontrollziele an.  
  Das Modell ist generell anwendbar, international akzeptiert und lehnt sich besonders an die IT-Prozesse und die bestehenden Kontrollziele an.
  In einem Unternehmen sollten diese Kontrollziele nach Möglichkeit erreicht werden, um eine verlässliche Anwendung der IT zu gewährleisten.  
  In einem Unternehmen sollten diese Kontrollziele nach Möglichkeit erreicht werden, um eine verlässliche Anwendung der IT zu gewährleisten.
  COBIT beschäftigt sich mit der Organisation von Daten, Anwendungen, Anlagen, der Technologie und dem Personal um die gestellten Anforderungen an die Geschäftsprozesse zu erfüllen.
  COBIT beschäftigt sich mit der Organisation von Daten, Anwendungen, Anlagen, der Technologie und dem Personal um die gestellten Anforderungen an die Geschäftsprozesse zu erfüllen.


; Bedrohungsanalyse
=== Bedrohungsanalyse ===


; Risikograph
=== Risikograph ===


[[Kategorie:Tmp]]
[[Kategorie:Tmp]]

Version vom 8. Juni 2023, 22:21 Uhr

topic - Kurzbeschreibung

Beschreibung

Anhang

Siehe auch

Sicherheit

Dokumentation

RFC
Man-Pages
Info-Pages

Links

Einzelnachweise
Projekt
Weblinks

TMP

IT-Risikomanagement

Motivation

Ziele eines Unternehmens
Gewinnoptimierung, Marktetablierung, Existenzsicherung, ...
Betrachtung von Risiken
essenzieller Bestandteil unternehmerischen Handelns
Risiken nicht nur als Gefahr ansehen
Chance und notwendige Voraussetzung für die Zielerreichung
Risiken nicht rein negativ beurteilen
mit Risiken richtig umgehen
Risiken in Chancen umwandeln
Unternehmen muss jederzeit in der Lage sein
unternehmensweit konsistente Ertrags- und Risikoinformationen zu ermitteln
Effizientes Risikomanagement von strategischer Bedeutung
wenn Risiken gesteuert und kontrolliert werden, trägt dies positiv und langfristig zu Unternehmenserfolg und Wachstum bei
Doppelrolle der Informationstechnologie
Voraussetzungen für die Aggregation von Daten zu aussagefähigen Ertrags- und Risikoinformationen
Erzeugt selbst Risiken

Motivation

Standish Group im Jahre 2009 Umfrage
Nur ein Drittel aller IT-Projekte werden im geplanten Zeit- und Budgetrahmen beendet
fast die Hälfte diese Vorgaben nicht erfüllen
der Rest wird abgebrochen

Motivation

IT-Projekte
Risikobegriff
„Risiko“ wird unterschiedlich beschrieben
je nach Betrachtungsweise
Entscheidungsorientiert
Abweichung/Varianz von Zielgrößen und Erwartungsgrößen
Abweichung kann positiv oder negativ sein
Je höher die Standardabweichung, umso größer das Risiko
Ausfallorientiert
negative Abweichung des realisierten Ergebnisses vom Erwartungswert
Risiko = Eintrittswahrscheinlichkeit x Auswirkungen
Einfache Gleichung für das Risiko

Je geringer die Eintrittswahrscheinlichkeit, umso seltener

die Gefahr
die Chance
Auswirkungen sind ungünstige Effekte, sollte das Risiko eintreten

Risiken sind Teil des Geschäftes

Einige der Risiken spielen dabei nie eine Rolle, andere können bedrohlich werden.
Risikomanagement hilft, Risiken zu erkennen, zu analysieren, zu bewerten und mit den entsprechenden Techniken abzuschwächen.

BSI-Standard 200-3

Risikoanalyse

Methoden

BSI-Standard 200-3
Risikoanalyse auf der Basis von IT-Grundschutz
klassische Risikoanalyse
ISO 27001, 27005, 31000, 31010
Penetrationstest
Differenz-Sicherheitsanalyse

Risikomanagement

Bedeutung
Risikomanagement gewinnt an Bedeutung
strategischen Bedeutung von
IT-Projekten
IT-Projekte werden anspruchsvoller und komplexer

Gründe

Expansion / Globalisierung der Geschäftstätigkeit
Automatisierung von Geschäftsprozessen
Steigende Abhängigkeit von Verfügbarkeit und Sicherheit der Datenverarbeitung
Neuartige Geschäftsprozesse aufgrund steigender Marktdynamik durch neue Technologien
Inhärenten Risiken bei IT-Projekten im Vergleich zu anderen Projekten

Risikomanagement umfasst

Festlegungen von Zielen auf Basis der Definition einer Strategie
ggf. auch Visionen der das Risikomanagement anwendenden Stelle
Ohne konkrete Ziele lassen sich keine Abweichungen messen
Definition von Werttreibern oder kritischen Erfolgsfaktoren zur Erreichung von Zielen
Festlegung einer Risikomanagement-Strategie
abhängig von der Risikobereitschaft
risikoavers, risikoneutral oder risikofreudig
Identifikation von Risiken
Bewertung/Messung von Risiken
Bewältigung von Risiken
Steuerung der Risikoabwehr
Monitoring, also Früherkennung
Strukturierung und Dokumentation in einem Risikomanagementsystem
Prozesse im Risikomanagement
Prozesse im Risikomanagement
Risikomanagementprozess
Phasen
Risikoanalyse
Risikobewertung
Risikominimierung
Risikokontrolle
Risikoverfolgung
Informationssicherheit-Risikomanagement-Prozess
Informationssicherheit-Risikomanagement-Prozess
Risikomanagement
Teile des Risikomanagements
Erkennung und Bewertung von Risiken
Erarbeitung und Umsetzung von Maßnahmen
optimale Lösung finden
Risiken auf akzeptable Restrisiken reduzieren
wichtigste Gefahrenquellen erkennen und abschwächen
Für jeden dieser Prozesse gilt
In Abhängigkeit der Bedürfnisse
wird der Aufwand einer oder mehrerer Personen gefordert
Jeder Prozess wird mindestens einmal durchlaufen
Jeder Prozess tritt in einer oder mehreren Projektphasen auf
Überschneidung der Prozesse ist möglich
Risikomanagement
Risikomanagement-Prozesse
Risikomanagementplanung
Wie wird das Risikomanagement organisiert?
Wie viel Risikomanagement ist nötig?
Haben wir Erfahrungswerte in dieser Projektart?
Zuständigkeiten
Checklisten
Risikoidentifikation
Identifizierung potenzieller Risiken
Dokumentenanalyse
Brainstorming
SWOT-Analyse
Ursache-Wirkungs-Analysen
Qualitative Risikoanalyse
Eintrittswahrscheinlichkeit sowie Auswirkung
Priorisierung (z. B. A, B und C-Risiken)
Risikomanagement
Bedeutung
Weitere Risiken
IT-Operations (Risiken aus dem laufenden Betrieb)
Administrative Fehler
Systemausfall
IT-Security (Sicherheitsrisiken)
Unzureichende Sicherheits- und Schutzmaßnahmen für IT-Systeme
Fehlende Autorisierung und Authentifizierung für Datenzugriff und -austausch
Nicht näher spezifizierte Risiken
Fehlende Akzeptanz / Ablehnung der Anwender gegenüber neuer Software

Konzeptionierungsfehler

Aufgrund der beschriebenen Problematik ist erkennbar, dass das Risikomanagement fester Bestandteil aller IT-Projekte sein sollte.
Prozesse im Risikomanagement
Risikomanagementplanung
Wie sollen die Aktivitäten des Risikomanagement durchgeführt werden?
Risikomanagementplanung legt Vorgehensweise fest
Planung soll sicherstellen
Risikomanagement ist in Bezug auf Risiken und der Bedeutung des Projektes angemessen
Es stehen ausreichende Ressourcen für die Aktivitäten zur Verfügung
Erfolgschancen erhöhen
gut strukturierte und sorgfältig vorbereitete Planung
erleichtert Durchführung der anderen Risikomanagement-Prozesse
Erstellung eines Risikomanagementplans
Zusammenarbeit mit
Projektleitern und -mitgliedern
Stakeholdern
für das Risikomanagement im Unternehmen zuständige Mitarbeiter
Auswirkungen haben dabei Risikobereitschaft und Risikotoleranz
des Unternehmens und
der Projektbeteiligten
Hilfreich zur Erstellung
bereits definierte Ansätze und Konzepte für das Risikomanagement im Unternehmen
allgemein oder aus vorangegangenen Projekten
Prozesse im Risikomanagement
Risikomanagementplan
Inhalte
Methodologie
Ansätze, Werkzeuge und Datenquellen für das Risikomanagement
Rollen und Verantwortlichkeiten
Organisation des Projektteams, Hierarchien
Budgetierung
Kostenschätzung, benötigte Einsatzmittel
Zeitliche Planung
Festlegung von Terminen für die Ausführung des Risikomanagement-Prozesses während der Projektlaufzeit
Risikokategorien
Strukturen für die Risikoidentifikation festlegen
Definition der Risikowahrscheinlichkeiten und -auswirkungen
als Unterstützung der Risikoanalyse
Prozesse im Risikomanagement
Risikoidentifikation
Für eine Beherrschung der Risiken, muss man diese zunächst kennen
Bestimmung von Risiken unterschiedlicher Art
Kontinuierliche Durchführung und Bestimmung
einzelne Risiken sind zu Beginn nicht absehbar
es entwickeln sich neue oder übersehene Risiken
Projektteam sollte in den Prozess einbezogen werden, damit es sich für die Risiken und die entsprechenden Risikobewältigungs- maßnahmen zuständig und verantwortlich fühlt.
Nach Identifizierung von Risiken
Priorisierung mit Hilfe der Risikoanalyse
Risikokategorien
Für eine systematische Identifizierung der Risiken ist es wichtig, die verschiedenen Kategorien von Risiken zu kennen
Die Unterteilung kann dabei je nach Verständnis, Betrachtungsweise und Kontext unterschiedlich sein.
Im betriebswirtschaftlichen Sinne gibt es z. B. die Unterscheidung von externen, internen, finanziellen und operativen Risiken.

Prozesse im Risikomanagement

Risikoidentifikation
Prozesse im Risikomanagement
Methoden der Risikoidentifikation

Brainstorming

Innerhalb einer Arbeitsgruppe Ideen sammeln
ermöglicht die Identifikation von Risiken in kurzer Zeit
Quantität geht (zunächst) vor Qualität
wie im Brainstorming üblich, ohne Äußerung von Kritik
Auswertungsphase
anschließend werden die Vorschläge bewertet und genauer definiert

Delphi-Methode

Befragungstechnik um eine von Experten erstellte Prognose zu erhalten
Mit Hilfe eines Fragebogens
Ideen der Teilnehmer basierend auf Ihrem fachlichen Know-how zusammengefasst
Direkter Austausch der Experten untereinander muss unterbunden werden
Antworten sollen frei von Beeinflussungen sein
Antworten werden zur Kommentierung an die anderen Experten weitergereicht
Nach einigen Durchläufen liegt ein aussagekräftiges Ergebnis vor, welches frei von Voreingenommenheiten sein sollte

Post-Mortem-Analyse

Analyse vorangegangener Projekte
Analyse vorangegangener Projekte, welche die Ziele oder Erwartungen nicht erfüllt haben
systematische Erhebung aller möglichen Ausfall- und Ursachenkombinationen
daraus können potenzielle Risiken für das Projekt sichtbar werden

Prozesse im Risikomanagement

Methoden der Risikoidentifikation
Fehlermöglichkeits- und Einflussanalyse (FMEA)
Ein System wird in einzelne Betrachtungseinheiten/Funktionsbereiche zerlegt
Auf Basis der einzelnen Funktionen werden Schwachstellen herausgebildet
potentielle Fehlermöglichkeiten erkennen
Ursachen und Auswirkungen werden systematisch anhand der Funktionsbereiche ermittelt

Szenariotechnik

künftige Entwicklungen bzw. Szenarien anhand von definierten Risiken durchspielen
Auswirkungen bestimmter Konstellationen von Einzelrisiken auf das Gesamtrisiko betrachten und ausgewerten
Ziel: Ermittlung möglicher Worst-Case Szenarien bzw. das Finden neuer möglicher Risiken

SWOT-Analyse

Projekt wird unter jedem der SWOT-Aspekte betrachtet
erhöht die Bandbreite der betrachteten Risiken
SWOT-Analyse ist ganzheitlicher und auch positiver ausgerichtet als andere Methoden
Risiken werden nicht nur als negativer Aspekt betrachtet werden, sondern ebenso die Stärken und Chancen
ermöglicht eine direkte Umsetzung von Stärken und Chancen auf strategische oder operative Vorteile
Schnittstellenrisiken zwischen Projekten und dem Unternehmen können identifiziert werden

Prozesse im Risikomanagement

Risikoidentifikation: Aufbereitung identifizierter Risiken
Identifizierte Risiken müssen aufbereitet werden
damit diese den anderen Prozesse des Risikomanagement zur Verfügung stehen
Hierfür eignet sich die Erstellung folgender Komponenten

Risikoregister

Ursprungswerte aus der Risikoidentifikation
später gefüllt mit den Ergebnissen der anderen Prozesse
Liste identifizierter Risiken und mögliche Folgen
Liste der möglichen Bewältigungsmaßnahmen, sofern bereits identifiziert
Liste der Grundursachen identifizierter Risiken
Liste der Risikokategorien

Prozesse im Risikomanagement

Risikoanalyse: Qualitative Risikoanalyse
Schnelle und kosteneffektive Vorgehensweise
Methoden zur Priorisierung der identifizierten Risiken
Grundstein für die quantitative Risikoanalyse
trägt zur Risikobewältigungsplanung bei
bezieht Informationen aus der Risikomanagementplanung und der Risikoidentifikation
Konzentration auf Risiken mit hoher Priorität
Prioritäten identifizierter Risiken bewerten
Anhand der Eintrittswahrscheinlichkeit
daraus resultierenden Auswirkungen auf die gesteckten Ziele
Zeitrahmen
Risikotoleranz
Budgetkosten
Umfang und Qualität
Bedeutung eines Risikos besser zu verstehen
qualitative Bewertung der verfügbaren Informationen
Risikobezogene Maßnahmen sind oftmals sehr zeitkritisch und können somit die Bedeutung oder Auswirkung eines Risikos stark erhöhen.

Laufender Prozess

Die qualitative Risikoanalyse sollte im Laufe des Projektes ständig wiederholt werden, da sich Änderungen an den Projektrisiken ergeben können.

Prozesse im Risikomanagement

Risikoanalyse: Quantitative Risikoanalyse
Aufbauend auf qualitativer Risikoanalyse
durchgeführte Priorisierung der Risiken
einige Risikomanager führen sie gerne direkt nach der Risikoidentifikation durch
Auswirkungen werden analysiert
numerische Einstufung der Risiken
Somit wird gleichzeitig ein erster Ansatz für die Entscheidungsfindung erstellt

Methoden

Monte-Carlo-Simulation (Szenariotechnik)
Entscheidungsbaum-Analyse(Fehleranalyse)
Ziele
Wahrscheinlichkeitsbestimmung von möglichen Ergebnissen
Identifizierung von Risiken mit der höchsten Aufmerksamkeit
Realistischen Bestimmung von Kosten, Terminen und Umfangszielen
Bestimmung der besten Managemententscheidung, sollten einige Faktoren unbekannt sein

Prozesse im Risikomanagement

Risikobewältigungsplanung
Vorgehensweisen und Verfahren
Erreichen von Projektzielen
Gefahren vermeiden
Aufbauend auf Risikoanalyse
qualitativ und /oder quantitativ
Risikoverantwortliche bestimmen
welche Maßnahmen zur Risikobewältigung übernehmen
Orientiert sich an ermittelten priorisierten Risiken
Budget, Terminplan, Einsatzmittel und Maßnahmen
Vor der Bewältigung müssen Bedeutung und Umfang eines Risikos klar sein
Folgende Punkte muss jeder Beteiligte verinnerlicht haben
kosteneffektiv
termingerecht
realistisch

Vorgaben an das Risikomanagement

von betriebsinternen Projektmitgliedern
von Vertragspartnern, Behörden, Gesetzgeber
Vertragspartner (meist zeitliche, aber auch Qualitätsvorgaben)
Gesetzgeber (Auflagen bzgl. des Datenschutzes und der Aufbewahrung von z.B E-Mails)
Behörden (häufig sind dies Vorgaben bzgl. des Budgets, da bei Verzögerungen oder Mehrkosten diese erst genehmigt werden müssen)
Prozesse im Risikomanagement

Risikobewältigungsplanung

Wie gehen wir Risiko um?
Vermeiden/Minimieren
z.B durch Verbesserung der Kommunikation innerhalb des Projektteams und den Vertragspartnern
Vermindern
z.B durch Änderungen an der Organisation um Projektziele oder Meilensteine nicht zu gefährden
Abwälzen/Übertragen
z.B an den Auftraggeber oder Lieferanten durch entsprechende Vertragsklauseln etc.
Selbstübernehmen/Akzeptieren
meist nur bei eher unbedeutenden Risiken/Bildung von Reserven

Prozesse im Risikomanagement

Risikocontrolling: Risikoinventur
Risikoinventur
erfasst Schäden durch Risiken
Hierbei spielen Eintrittswahrscheinlichkeit sowie Ursachen eine Rolle
Grundlagen zur strukturierten Darstellung
Vollständigkeit
alle Risiken
die erfolgreichen Abschluss eines Projektes gefährden können
Abhängigkeiten (Interdependenzen)
Viele Risiken verstärken sich extrem bei ihrem Eintritt
Beispiel
Es kommt in einem Serverraum zu einem Brand, durch ein defektes Netzteil
Der Schaden steigt erheblich
überfällige Wartung des Brandbekämpfungssystems
langanhaltende Betriebsunterbrechung
Hardware muss getauscht und ein Backup eingespielt werden
Eine Gefährdung für die gesamte Produktion ist die Folge
Der Schaden entsteht nicht durch Verlust der Hardware oder deren (Brandschutzversicherung)
eigentlicher kaum messbare Schaden: Betriebsunterbrechung (keine Versicherung)
Prozesse im Risikomanagement
Risikocontrolling: Risikoinventur
Quantifizierung
Schadensausmaß richtet sich nach Eintrittswahrscheinlichkeit (starker Bezug)
Rechtzeitigkeit
Risiken müssen so früh wie nur irgendwie möglich erkannt werden
damit noch genügend Reaktionszeit bleibt
Schaden möglichst gering zu halten
Kommunikation
Während der Bewältigungsplanung sind Akzeptanzbereiche zu bilden
durch die die jeweiligen Risikoträger bei Eintritt informiert werden
Verantwortung
Risiken müssen entsprechend ihrer Art, den jeweiligen Zuständigkeitsbereichen zugeordnet sein
nach Eintritt des Risikos muss der Zuständige dann die geplanten Maßnahmen ergreifen
Prozesse im Risikomanagement
Bewertung und Messung von Risiken
Zwei Phasen
Bruttobewertung
grundsätzlichen Bedrohungspotenziale werden betrachtet
wo liegen Schwerpunkte der Risikosteuerung
Nettobewertung
Risiken bereits bestehenden Steuerungs- und Kontrollmaßnahmen gegenüberstellen
Aktuelle Risikolage
Wir ermittelt
Eignung und Angemessenheit bestehender Maßnahmen festgestellen
Maßstäbe eingrenzen
Vor einer Bewertung der Risiken
Maßstab für Schadensausmaß und Eintrittswahrscheinlichkeit eingrenzen
Schätzungen oder Erfahrungswerten durch die Verantwortlichen
Worst-Case-Szenario
klare Grenzen zwischen den einzelnen Gefahrenstufen
Prozesse im Risikomanagement
Bewertung und Messung von Risiken
Ampelmodell
besonders geeignet
Akzeptanzlinie
Rote Linie zwischen akzeptablen und kritischem Bereich
Toleranzgrenze
Rote Linie zwischen Grenzbereich und inakzeptablem Bereich
Risiken, unterhalb dieser Linie, gelten als tolerierbar
wenn es möglich ist
durch Maßnahmen diese unter Kontrolle zu halten
oder sogar in den akzeptablen Bereich zu bringen
Festlegung der Grenzen wird durch Verantwortliche vorgenommen
Bewertung und Messung von Risiken
Kriterien
Ungewissheit
Unsicherheit
Abschätzungssicherheit
Ahnungslosigkeit
Ausbreitungsgrad des potenziellen Schadens
zeitlicher Ausdehnungsgrad nach Eintritt
Möglichkeit den Ursprungszustand wiederherzustellen
z.B durch einspielen eines Backups
Verzögernde Wirkung des Schadens
evtl. nicht direkt sichtbar
Mobilisierungspotenzial der beteiligten Mitarbeiter
nach einem Schaden weiter zu machen
Ergebnis: qualitative und quantitative Bewertung von Risiken
quantitativen Bewertung
Schadenshöhe/Intensität der Auswirkung
Eintrittswahrscheinlichkeit
qualitative Bewertung
Aggregation (Zusammenlegung) von Risiken im Hinblick auf die Erreichung von Zielen
Bewertung und Messung von Risiken
Bewertung und Messung von Risiken
Berechnung des Faktors eines Risikos
Eintrittswahrscheinlichkeit * Schadenshöhe = Risikofaktor
Berechnung des Faktors eines Risikos
Risikobewertung am Beispiel „Changemanagement“
Erfahrungen bei vorrangegangenen Projekten:
Änderungen während des Projekts
z. B. Änderung der Meilensteinen
oder im schlimmsten Fall am eigentlichen Projektziel
Dies sind Risiken, die komplette Projekte bedrohen oder sogar stoppen können
Ein Risiko beeinträchtigt hierbei meist nicht nur eine Säule des gesamten Projekts
Oft ist die Rede von einem Dreieck in dem sich ein Projektmanager bewegt
Umso mehr dieser sich auf einen Punkt fokussiert, umso mehr entfernt er sich andererseits von einem anderen
Changemanagement hat großen Einfluss auf zeitlichen Rahmen und das Projektbudget
Warum besteht das Risiko?
Kein klar definiertes Ziel
Mangelhaftes Anforderungsmanagement während des Planungsprozesses, ergeben stetig neue Projektänderungen
Oftmals wird der Benutzer nicht in die Planung mit einbezogen
Wie wahrscheinlich ist das Risiko?
Eintrittswahrscheinlichkeit 5 – sehr hoch
Schadenswirkung 4 – hoch
Risikofaktor
Wahrscheinlichkeit (5) * Schadenswirkung (4) = Risikofaktor (20)
Mit dem errechneten Risikofaktor landet dieses Risiko im nicht tolerierbaren Bereich (Stern Abb.).
Bewertung und Messung von Risiken
Berechnung des Faktors eines Risikos
Beispiele für weitere Risiken (Gefahrenbereiche)
Einsatz neuer Technologien
W(4) * S(5) = RF(20)
Implementierungen ohne Entwurf
W(4) * S(4) = RF(16)
Unmotivierte Mitarbeiter
W(3) * S(5) = RF(15)
Mitarbeiterfluktuation
W(2) * S(4) = RF(8)
Machtkämpfe
W(1) * S(2) = RF(2)
Unzureichende Reviews
W(3) * S(4) = RF(12)
Legende:
W = Wahrscheinlichkeit S = Schadenswirkung RF = Risikofaktor
Qualität des IT-Managements
Kernpunkte
Planung und Organisation
Sind IT-Strategie und Geschäftsstrategie aufeinander abgestimmt?
Kann das Unternehmen seine IT-Ressourcen optimal nutzen?
Sind die Ziele der IT von allen Mitarbeitern verstanden?
Sind die IT-Risiken erkannt, verstanden und unter Kontrolle?
Ist die Qualität der IT-Systeme angemessen für die geschäftlichen Anforderungen?
Beschaffung und Einführung neuer Systeme
Liefern neue Projekte voraussichtlich Lösungen, die den geschäftlichen Anforderungen genügen?
Werden neue Projekte voraussichtlich im vorgesehenen Zeit- und Kostenrahmen abgeschlossen?
Können neue Systeme eine ordnungsgemäße Verarbeitung nach der Einführung sicherstellen?
Können Änderungen an IT-Systemen durchgeführt werden ohne die Geschäftsprozesse zu behindern?
Betrieb und Unterstützung
Werden IT-Dienstleistungen entsprechend der geschäftlichen Prioritäten ausgeführt?
Sind die Kosten optimiert?
Können die Mitarbeiter mit den IT-Systemen effektiv und sicher umgehen?
Ist eine angemessene Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet?
Überwachung
Kann die IT-Performance gemessen werden?
Können IT-Probleme rechtzeitig erkannt werden?
Risikokommunikation und -berichterstattung
Ständige Kommunikation innerhalb und außerhalb eines IT-Projektes
vielleicht wichtigster Punkt für erfolgreiches Risikomanagement
Evaluierung und Modifizierung während eines Projektes nicht ausgeschlossen werden
Meetings abhalten
Effektivität der Risikoevaluierung und des Risikomanagements einordnen
Feedback verwenden, um den Prozess zu verbessern
Die wichtigsten Aspekte
Kommunikation der Risikoinformationen an alle Stakeholder
Motivation zum freien Informationsfluss über alle Risiken
Regelmäßige Updates für alle Teammitglieder
Einfache Kommunikationsformen untereinander
Allen Teammitgliedern muss ständiger Zugriff zu den Risikoinformationen zur Verfügung stehen
Standardberichtsformat hat sich Zeit bewährt
Inhalt dieses Berichts ist der aktuelle Stand des gesamten Risikomanagementplans
Bericht umfasst folgende Punkte
Wann wurde die letzte Risikoinventur durchgeführt?
Ist die Risikoanalyse aktuell?
Welche Risiken sind hinzugekommen, welche evtl. aufgelöst worden?
Ist ein Trend abzusehen?
Bewertung der getroffenen Maßnahmen zur Risikobewältigung
Erfolg wird durch Beeinflussung der ergriffenen Maßnahmen messbar
Überwachung von Maßnahmen
Fragen
Wer Überwacht die Maßnahmen?
Wer setzt diese eigentlich um?
RASCI Methode
Überwachung befasst sich zum größten Teil mit folgenden Fragen
Responsible (R)
Wer ist verantwortlich?
Approved/Accountable (A)
Wer hat es abgesegnet?
Supports (S)
Wer setzt es um?
Consults (C)
Wer hilft bei der Umsetzung („Experte“)?
Informed (I)
Wer muss benachrichtigt werden?
Bewertung
Risikomanagement sollte nicht als lästige Pflicht angesehen werden
sondern als eine Chance
IT-Prozesse optimieren
Risikoverständnis und Sicherheitsniveau im Unternehmen verbessern
Wirtschaftlicher Nutzen des Risikomanagement
Je nach der Größe und Bedeutung eines Projektes
kann das Risikomanagement in seinem Umfang unterschiedlich ausgelegt werden.
Bei kleineren Projekten
erscheint es unter Umständen weniger sinnvoll, aufwendige Analysen wie z. B. die FMEA durchzuführen
Hier kann mit einfachen Mitteln bereits ein adäquates Risikomanagement betreiben werden
Brainstorming
guter Dokumentation
Kommunikation der Risiken
Risiken können nicht immer vollständig eliminiert werden
aber durch das Risikomanagement beherrschbar bleiben
Bedrohungsanalyse
Risikoanalyse (risk assessment)
Risikobewertung anhand Wahrscheinlichkeiten
Eintreten verschiedener Bedrohungen
potentieller Schadenshöhe
Bewertung der Eintrittswahrscheinlichkeit
Geschätzter Aufwand zur Angriffsdurchführung
Anzahl der Angriffsschritte
Komplexität Angriffsschritte
Nutzen für den Angreifer
finanziell
politisch
Reputation
Motive des Angreifers, Angreifertyp
Script Kiddie
Hacker
Mitarbeiter
Wirtschaftsspion
politische Aktivisten
Ressourcen / Kenntnisse des Angreifers
Know How
Werkzeuge
Zugänge
Bedrohungsanalyse
Angriffsbäume
Systematische Ermittlung potentieller Ursachen für Bedrohungen
organisatorisch
technisch
benutzerbedingt
Vorteile von Angriffsbäume
Bedrohungsmodelle werden besser verstanden
Bedrohungen besser erkennbar
Schutzmaßnahmen besser erkennbar
Berechnungen der Sicherheit
Sicherheit verschiedener Systeme vergleichbar
Visualisierung über Bedrohungs-/Angriffsbäume (attack tree)
Wurzel definiert mögliches Angriffsziel
Zeichenziele zur Erreichung des Gesamtziels ergeben die nächste Ebene
Verwendung von UND- und ODER-Knoten, um Bedingungen zu formulieren
Bedeutung des Erreichens von Zeichenzielen
Äste verknüpfen Zwischenziele mit höheren Zielen
Blätter des Baumes beschreiben einzelne Angriffsschritte

Bedrohungsbaum

Maskierungsangriff

Bedrohungsanalyse

Bedrohungsmatix

Bedrohungsanalyse

Risikoberechnung

Schlussfolgerung

Auch bei einfachem Angreifermodell sehr hohes Risiko
Passworte sollten nur verschlüsselt übertragen werden!
Zeitliche Entwicklung beachten

Konstruktion sicherer Systeme

Konstruktion sicherer Systeme
Entwicklungsprozess
Dezidierte Methoden bislang kaum entwickelt
allgemeine methodische in der Regel
top-down Vorgehensweise aus Software-Engineering
Schwierig, da Angreifer viele Möglichkeiten hat

Allgemeine Prinzipien

1975 Saltzer und Schröder
Heute noch gültig

Allgemeine Konstruktionsprinzipien

Erlaubnis-Prinzip
Vollständigkeits-Prinzip
Need-To-Know-Prinzip
Prinzip der Benutzerakzeptanz

Erlaubnis (fail-safe defaults)

Grundsätzlich jeder Zugriff verboten (default deny)
nur durch explizite Erlaubnis wird Zugriffsrecht gewährt.
Configfiles
Apache
SMB

Vollständigkeit (complete mediation)

Jeder Zugriff ist auf Zulässigkeit zu prüfen!
System, das nur beim Öffnen Erlaubnis prüft, nicht bei jedem Schreiben, verletzt das Prinzip
Rechte können sich zwischendurch verändert haben.

Need-to-Know

Prinzip der minimalen Rechte
Jedes Subjekt bekommt nur genau die Zugriffsrechte, die es zur Erfüllung seiner Aufgaben benötigt.
System, in dem ein Admnistratoren unbeschränkte Rechte hat, verstößt gegen dieses Prinzip.
AppAmor
SELinux
Rollenbasierte Rechte
Akzeptanz (economy of mechanism)

Benutzerakzeptanz

Sicherheitsmechanismen müssen einfach zu nutzen sein
routinemäßig und automatisch angewendet werden

Offener Entwurf (open design)

Sicherheit eines Systems darf nicht von der Geheimhaltung spezieller Verfahren abhängig sein
Verwendete Verfahren und Mechanismen, die beim Entwurf des Systems verwendet werden, müssen offen gelegt werden
No security through obscurity
Sicherheit kryptografischer Verfahren sollte nicht darauf basieren, dass Verschlüsselungsverfahren nicht bekannt ist.
„Schlüssel unter der Fußmatte“

KISS - Prinzip

Keep it simple, stupid.
„Halte es einfach, Dummkopf!“; sinngemäß: Mach's so einfach wie möglich
Keep it simple [and] stupid
„Halte es einfach und [dumm=] beschränkt“
sinngemäß: „Mit einfachsten Mitteln verständlich und bewältigbar.“
Keep it short and simple 	
„Gestalte es kurz und einfach“
aus dem Bereich des Marketing
Keep it simple and smart
„Mach es einfach und schlau“
Keep it simple and straightforward
„Gestalte es einfach und überschaubar“
Keep it safe and sound 	
„Halte es sicher und stimmig“
Keep it sweet and simple
„Gestalte es gefällig und einfach“
KISS-Prinzip
Hintergründe
Grundaussage: Wähle die einfache Lösung
Wissenschaftlich
Bevorzuge die Theorie, die weniger Annahmen machen muss, um gemachte Beobachtungen zu erklären
Vergleichbar dem Prinzip der Einfachheit
Angeblich von Clarence "Kelly" Johnson geprägt
Ingenieur bei Lockheed Skunk Works (Hersteller von Militärflugzeugen)
Lange als "Keep it simple, stupid" interpretiert
Johnson: 'Keep it simple [&] stupid'
so von vielen Autoren verwendet
Aufgabe zur Verdeutlichung des Prinzips
entwerfe Düsentriebwerk, dass
mit wenigen einfachen Werkzeugen
von einem durchschnittlichen Ingenieur
im Felde unter Kampfbedingungen
mit nur diesen Werkzeugen reparierbar ist
„stupid"
zielt auf die Beziehung zwischen der Art und Weise, wie Dinge zu Bruch gehen, und deren Ausgereiftheit bezüglich der Reparatur
Es soll ein möglichst einfacher und „beschränkter“ Ansatz sein

KISS-Prinzip

Hintergründe
Verbreitet ist das KISS-Prinzip in
den United States Air Force
der Softwareentwicklung
Designprinzip
beschreibt es im Gegensatz zu einer Problemlösung in der Form einer Fehlerumgehung ("workaround")
die möglichst einfache, minimalistische und leicht verständliche Lösung eines Problems
Beispiel ist die TCP/IP-Protokollfamilie
einfacher Aufbau der Protokolle führt zu enormer Skalierbarkeit
obwohl sie für ein kleines Netzwerksystem entwickelt wurden
Forschungszentren der DARPA
KISS-Prinzip immer häufiger im allgemeinen Zusammenhang mit komplexen Planungsaufgaben
„Keep It Short and Simple“-Version an englischen Schulen und Universitäten
Schreiben von Essays, Inhaltsangaben und Interpretationen

Modellierung

Modellierung, Entwurf und Betrieb (I)

Vergleich
Soll-Zustand
beschreibt Schutzbedarf
Ist-Zustand
beschreibt Bedrohungs- und Risikoanalyse
Ergebnis
Maßnahmen zur Abwehr der Bedrohungen
Klassifizierung der Maßnahmen
Wichtigkeit
Kosten
Aufwand

Modellierung, Entwurf und Betrieb (II)

Erfassung der erforderlichen Maßnahmen
zur Erfüllung des Schutzbedarfs in Sicherheitsstrategie (security policy)
informell oder präzise formalisiert
Klassen von Anwendungen haben ähnliche Schutzbedürfnisse
deshalb können allgemeine Sicherheitsgrundfunktionen eingesetzt werden.
Kriterienkataloge definieren Funktionsklassen für Anwendungsszenarien
europäische ITSEC
internationale Common Criteria
Anwender sollte klären
ob seine Sicherheitsanforderungen bereits von einer dieser Klassen abgedeckt wird
welche Kombination von Grundfunktionen er braucht

Modellierung, Entwurf und Betrieb (III)

Systemarchitektur
Architekturgrobentwurf
Identifikation der zu schützenden Komponenten
Definition der Sicherheitskomponenten
Feinentwurf
Verfeinerung und detaillierte Spezifikation der Komponenten
präziser Rahmen für Implementierung
Wahl der nötigen Datenstrukturen, Algorithmen
Nutzung von Standardmechanismen
kryptografische Protokolle, Passwortschutz, ACLs, Protokolle zur Schlüsselverteilung,…

Validierung / Evaluierung

Testen
Methodisches Testen des implementierten Systems
Wenn möglich: Verifizierung der sicherheitsrelevanten Funktionen
Testziele, -pläne, -verfahren festlegen, dokumentieren.
Vollständigkeit der Tests
Code Review
Evaluierung durch Dritte

Sicherheitsgrundfunktionen (I)

Baukasten
Identifikation und Authentifikation
Rechteverwaltung
Rechteprüfung
Vollständigkeitsprinzip
Ausnahmen
Beweissicherung
Wiederaufbereitung
Gewährleistung der Funktionalität

Sicherheitsgrundfunktionen (II)

Baukasten
Identifikation und Authentifikation
Objekte / Subjekte müssen eindeutig identifizierbar sein
Identität nachweisen können
Abwehr von Maskierungsangriffen, unautorisierten Zugriffen
Sicherheitsanforderungen legen fest
ob und wenn ja, welche Subjekte zwar zu identifizieren, aber nicht zu authentifizieren sind.
Betriebssystem
Authentifikation nur bei Login
Gültigkeit späterer Aktionen beruhen auf Gültigkeit dieser Kontrolle
Internet-Banking
Authentifikation bei jeder relevanten Aktion (TAN)
Angabe, welche Aktionen zur Abwehr systematischer Angriffsversuche ergriffen werden
Protokollieren, Sperrung der Kennung

Sicherheitsgrundfunktionen (III)

Baukasten
Rechteverwaltung
Basis zur Abwehr von Bedrohung der Integrität und Vertraulichkeit
Sicherheitsanforderungen legen Rechte für zu schützende Objekte fest
Vergabe (UNIX: owner-Prinzip)
Wahrnehmung
Rechteprüfung
Zugriffskontrolle
Bei welchen Aktionen muss Rechteprüfung stattfinden?
Vollständigkeitsprinzip
Jeder Zugriff sollte kontrolliert werden
Oft prüfen nur beim öffnen einer Datei
Danach Konformitätsprüfung: Wenn lesen, dann weiterlesen.
File Handles
Ausnahmen
Welche Aktionen bei unautorisierten Zugriffen
permission denied
Sicherheitsgrundfunktionen (IV)
Baukasten
Beweissicherung
Nichtabstreitbarkeit
Protokollierung
Computer-Forensik
Wiederaufbereitung
Maßnahmen zur Wiederaufbereitung von gemeinsam aber exklusiv nutzbaren Betriebsmitteln
Prozessor, Register, Cache
Gewährleistung der Funktionalität
Maßnahmen zur Gewährleistung der Verfügbarkeit
Abwehr von DoS
Priorisierung von Funktionalitäten
Einfaches Modell der Datenübertragung
Passiver Angreifer: nur abhören, nicht manipulieren
Bedrohung für Vertraulichkeit
Aktiver Angreifer: abhören, ändern, löschen, duplizieren
Bedrohung für Vertraulichkeit, Integrität, Authentizität
Unterschied Authentizität/Verbindlichkeit
Authentizität: Bob ist sicher, dass Daten von Alice kommen
Verbindlichkeit: Bob kann dies gegenüber Dritten beweisen
Modell I: Sichere Kommunikation über einen unsicheren Kanal
Modell II: Schutz durch Zugangskontrolle
Bewertungskriterien
Kriterienkataloge stellen Bewertungsschema zur Verfügung
Zertifikate
Nationale internationale Kataloge
Orange Book (US)
Grünbuch (DE)
ITSEC (Europa)
Common Criteria (international)
Themenfeld 8
Risikoanalyse
8.1	Die elementaren Gefährdungen sowie andere Gefährdungsübersichten
8.2	Vorgehen bei der Risikobewertung und Risikobehandlung
8.3	Beispiel für die Risikobewertung
Bedrohungsbaum
Möglicher Angriffspfad



BSI-Standard 100-3
Inhalte
1	Einleitung
2	Vorarbeiten
3	Erstellung der Gefährdungsübersicht
4	Ermittlung zusätzlicher Gefährdungen
5	Gefährdungsbewertung
6	Behandlung von Risiken
7	Konsolidierung des IT-Sicherheitskonzepts
8	Rückführung in den IT-Sicherheitsprozess
BSI-Standard 100-3
Ergänzende Sicherheitsanalyse
Eine „Ergänzende Sicherheitsanalyse“
ist durchzuführen, wenn:
hoher oder sehr hoher Schutzbedarf
zusätzlicher Analysebedarf
für bestimmte Aspekte kein geeigneter Grundschutz-Katalog
Risikoanalyse
Zweistufiges BSI-Modell
(1) Für
normalern Schutzbedarf
übliche Einsatzszenarien
existierende Bausteine
qualitative Methode zur Risikoanalyse und -bewertung in der IT-Grundschutz-Vorgehensweise enthalten
beim Einsatz ähnlicher IT-Umgebungen und vergleichbarer Umfeldbedingungen meistens vergleichbare Bedrohungen
(2) Für
höheren Schutzbedarf
unübliche Einsatzszenarien
unzureichende Abdeckung mit Bausteinen
durch Management festgestellten Bedarf	
vereinfachte Risikoanalyse und -bewertung nach BSI-Standard 100-3
Vorarbeiten
Vor einer Risikoanalyse, sollten folgende Vorarbeiten abgeschlossen sein
Initiierung des Informationssicherheitsprozess
Definition des Geltungsbereiches für die Sicherheitskonzeption
Strukturanalyse
Schutzbedarfsfeststellung
Modellierung
Basis-Sicherheitscheck
ergänzende Sicherheitsanalyse
Erstellung der Gefährdungsübersicht
Erstellung der Gefährdungsübersicht
Vorgehen
Ausgangspunkt
relevante Gefährdungen au den IT-Grundschutz-Katalogen
für betrachtete Zielobjekte
Bedrohungen, Schwachstellen und Risiken werden nicht separat untersucht
Ziel
Übersicht der Gefährdungen, die auf die betrachteten Zielobjekte wirken
Vorgehen
Reduzierung des Informationsverbundes auf die betrachteten Komponenten
Zielobjekte streichen, für die kein Bedarf einer Risikoanalyse besteht
Bausteine streichen, für die kein Zielobjekt mehr übrig ist
in der Regel nur in den Schichten 2 bis 5
Erstellung der Gefährdungsübersicht
Vorgehen
Bausteine der IT-Grundschutz-Katalogen verweisen auf Gefährdungen
Je Zielobjekt werden Nummer und Titel dieser Gefährdungen aus den Bausteinen zusammengetragen
und dem jeweiligen Zielobjekt zugeordnet
Gefährdungen aus den Bausteinen der Schichten 1 separat behandeln
spezielles Zielobjekt „gesamter Informationsverbund“
Ergebnis
Tabelle, die jedem Zielobjekt eine Liste mit relevanten Gefährdungen zuordnet
doppelte oder mehrfach genannten Gefährdungen entfernen
Gefährdungen pro Zielobjekt thematisch sortieren
Einige Gefährdungen der Grundschutz-Kataloge
behandeln ähnliche Sicherheitsprobleme oder
unterschiedliche Ausprägungen der gleichen Bedrohung
Beispiel
G 1.2 Ausfall des IT-Systems und G 4.31 Ausfall oder Störung von Netzkomponenten
Erstellung der Gefährdungsübersicht
Vorgehen
Zur Analyse in der Tabelle pro Zielobjekt Schutzbedarf vermerken
Grundwerte
Vertraulichkeit
Integrität
Verfügbarkeit
Für übergeordnetes Zielobjekt
gesamter Informationsverbund
kann Zuordnung entfallen
Ergebnis
Gefährdungsübersicht für
die betrachteten Zielobjekte
dient als Ausgangspunkt
für die nachfolgende Ermittlung
zusätzlicher Gefährdungen.
Ermittlung zusätzlicher Gefährdungen
Ermittlung zusätzlicher Gefährdungen
Moderiertes Brainstorming
klarer Auftrag und Zeitbegrenzung
Gefährdungen, die nicht in den Grundschutzkatalogen aufgeführt sind
Realistische Gefährdungen mit nennenswerten Schäden
Grundwerte berücksichtigen
Schichtenmodell beachten
Höhere Gewalt
organisatorische Mängel
menschliche Fehlhandlungen
technisches Versagen
Außen-/Innentäter
Externe Quellen zu Rate ziehen
Gefährdungsbewertung
Gefährdungsbewertung
Eignung
Sind die IT-Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet?
Zusammenwirken
Wirken die IT-Sicherheitsmaßnahmen sinnvoll zusammen?
Benutzerfreundlichkeit
Sind die IT-Sicherheitsmaßnahmen einfach anzuwenden?
Angemessenheit
Sind die IT-Sicherheitsmaßnahmen angemessen?
Gefährdungsbewertung
Sind die vorgesehenen IT-Sicherheitsmaßnahmen ausreichend?
Prüfung der identifizierten Gefährdungen pro Zielobjekt
Prüfkriterien
Vollständigkeit
Mechanismenstärke
Zuverlässigkeit
Ergebnis: OK = Ja/Nein
Maßnahmenauswahl
Risikosteuerungsstrategien
Risikosteuerungsstrategien
Risikovermeidung
Risikoverminderung
Risikobegrenzung
Risikoüberwälzung
Risikoakzeptanz
Konsolidierung der Maßnahmen

Quellen und weitere Informationen

BITCOM: IT-Risiko- und Chancenmanagement im Unternehmen

Prozesse im Risikomanagement

Leitbild für das IT Management
Angesichts der immer weiter steigenden Bedeutung der IT (Informationstechnologie) und den damit verbundenen Anforderungen, sowie einer Komplexität an IT-Infrastruktur Projekten, erfordert dies eine reibungslose Integration in die bestehenden Geschäftsprozesse.
Um dies sicherzustellen, wurde die sogenannte IT-Governance, eine Weiterentwicklung der Corporate Governance, entworfen.
Die IT-Governance richtet sich nach den Kernpunkten des COBIT Modells für das IT-Management.
Das Modell ist generell anwendbar, international akzeptiert und lehnt sich besonders an die IT-Prozesse und die bestehenden Kontrollziele an.
In einem Unternehmen sollten diese Kontrollziele nach Möglichkeit erreicht werden, um eine verlässliche Anwendung der IT zu gewährleisten.
COBIT beschäftigt sich mit der Organisation von Daten, Anwendungen, Anlagen, der Technologie und dem Personal um die gestellten Anforderungen an die Geschäftsprozesse zu erfüllen.

Bedrohungsanalyse

Risikograph