Bewertung und Messung von Risiken: Unterschied zwischen den Versionen
K Textersetzung - „Kategorie:Informationssicherheit“ durch „Kategorie:ISMA“ |
K Textersetzung - „Kategorie:ISMA“ durch „Kategorie:ISMS“ |
||
Zeile 239: | Zeile 239: | ||
===== Weblinks ===== | ===== Weblinks ===== | ||
[[Kategorie: | [[Kategorie:ISMS/Risikoanalyse]] | ||
</noinclude> | </noinclude> |
Version vom 17. September 2024, 09:54 Uhr
topic - Kurzbeschreibung
Beschreibung
Bewertung und Messung von Risiken
- Zwei Phasen
- Bruttobewertung
- grundsätzlichen Bedrohungspotenziale werden betrachtet
- wo liegen Schwerpunkte der Risikosteuerung
- Nettobewertung
- Risiken bereits bestehenden Steuerungs- und Kontrollmaßnahmen gegenüberstellen
- Aktuelle Risikolage
- Wir ermittelt
- Eignung und Angemessenheit bestehender Maßnahmen feststellen
- Maßstäbe eingrenzen
- Vor einer Bewertung der Risiken
- Maßstab für Schadensausmaß und Eintrittswahrscheinlichkeit eingrenzen
- Schätzungen oder Erfahrungswerten durch die Verantwortlichen
- Worst-Case-Szenario
- klare Grenzen zwischen den einzelnen Gefahrenstufen
- Ampelmodell
- besonders geeignet
- Akzeptanzlinie
- Rote Linie zwischen akzeptablen und kritischem Bereich
- Toleranzgrenze
- Rote Linie zwischen Grenzbereich und inakzeptablem Bereich
- Risiken, unterhalb dieser Linie, gelten als tolerierbar
- wenn es möglich ist
- durch Maßnahmen diese unter Kontrolle zu halten
- oder sogar in den akzeptablen Bereich zu bringen
- Festlegung der Grenzen wird durch Verantwortliche vorgenommen
- Kriterien
- Ungewissheit
- Unsicherheit
- Abschätzungssicherheit
- Ahnungslosigkeit
- Ausbreitungsgrad des potenziellen Schadens
- zeitlicher Ausdehnungsgrad nach Eintritt
- Möglichkeit den Ursprungszustand wiederherzustellen
- z.B durch einspielen eines Backups
- Verzögernde Wirkung des Schadens
- evtl. nicht direkt sichtbar
- Mobilisierungspotenzial der beteiligten Mitarbeiter
- nach einem Schaden weiter zu machen
- Ergebnis
- qualitative und quantitative Bewertung von Risiken
- quantitativen Bewertung
- Schadenshöhe/Intensität der Auswirkung
- Eintrittswahrscheinlichkeit
- qualitative Bewertung
- Aggregation (Zusammenlegung) von Risiken im Hinblick auf die Erreichung von Zielen
- Bewertung und Messung von Risiken
- Bewertung und Messung von Risiken
- Berechnung des Faktors eines Risikos
- Eintrittswahrscheinlichkeit * Schadenshöhe = Risikofaktor
- Berechnung des Faktors eines Risikos
- Risikobewertung am Beispiel „Changemanagement“
- Erfahrungen bei vorrangegangenen Projekten
- Änderungen während des Projekts
- z. B. Änderung der Meilensteinen
- oder im schlimmsten Fall am eigentlichen Projektziel
- Dies sind Risiken, die komplette Projekte bedrohen oder sogar stoppen können
- Ein Risiko beeinträchtigt hierbei meist nicht nur eine Säule des gesamten Projekts
- Oft ist die Rede von einem Dreieck in dem sich ein Projektmanager bewegt
- Umso mehr dieser sich auf einen Punkt fokussiert, umso mehr entfernt er sich andererseits von einem anderen
- Changemanagement hat großen Einfluss auf zeitlichen Rahmen und das Projektbudget
- Warum besteht das Risiko?
- Kein klar definiertes Ziel
- Mangelhaftes Anforderungsmanagement während des Planungsprozesses, ergeben stetig neue Projektänderungen
- Oftmals wird der Benutzer nicht in die Planung mit einbezogen
- Wie wahrscheinlich ist das Risiko?
- Eintrittswahrscheinlichkeit 5 – sehr hoch
- Schadenswirkung 4 – hoch
- Risikofaktor
- Wahrscheinlichkeit (5) * Schadenswirkung (4) = Risikofaktor (20)
- Mit dem errechneten Risikofaktor landet dieses Risiko im nicht tolerierbaren Bereich (Stern Abb.).
- Bewertung und Messung von Risiken
- Berechnung des Faktors eines Risikos
- Beispiele für weitere Risiken (Gefahrenbereiche)
- Einsatz neuer Technologien
- W(4) * S(5) = RF(20)
- Implementierungen ohne Entwurf
- W(4) * S(4) = RF(16)
- Unmotivierte Mitarbeiter
- W(3) * S(5) = RF(15)
- Mitarbeiterfluktuation
- W(2) * S(4) = RF(8)
- Machtkämpfe
- W(1) * S(2) = RF(2)
- Unzureichende Reviews
- W(3) * S(4) = RF(12)
- Legende:
- W = Wahrscheinlichkeit S = Schadenswirkung RF = Risikofaktor
- Qualität des IT-Managements
- Kernpunkte
- Planung und Organisation
- Sind IT-Strategie und Geschäftsstrategie aufeinander abgestimmt?
- Kann das Unternehmen seine IT-Ressourcen optimal nutzen?
- Sind die Ziele der IT von allen Mitarbeitern verstanden?
- Sind die IT-Risiken erkannt, verstanden und unter Kontrolle?
- Ist die Qualität der IT-Systeme angemessen für die geschäftlichen Anforderungen?
- Beschaffung und Einführung neuer Systeme
- Liefern neue Projekte voraussichtlich Lösungen, die den geschäftlichen Anforderungen genügen?
- Werden neue Projekte voraussichtlich im vorgesehenen Zeit- und Kostenrahmen abgeschlossen?
- Können neue Systeme eine ordnungsgemäße Verarbeitung nach der Einführung sicherstellen?
- Können Änderungen an IT-Systemen durchgeführt werden ohne die Geschäftsprozesse zu behindern?
- Betrieb und Unterstützung
- Werden IT-Dienstleistungen entsprechend der geschäftlichen Prioritäten ausgeführt?
- Sind die Kosten optimiert?
- Können die Mitarbeiter mit den IT-Systemen effektiv und sicher umgehen?
- Ist eine angemessene Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet?
- Überwachung
- Kann die IT-Performance gemessen werden?
- Können IT-Probleme rechtzeitig erkannt werden?
- Risikokommunikation und -berichterstattung
- Ständige Kommunikation innerhalb und außerhalb eines IT-Projektes
- vielleicht wichtigster Punkt für erfolgreiches Risikomanagement
- Evaluierung und Modifizierung während eines Projektes nicht ausgeschlossen werden
- Meetings abhalten
- Effektivität der Risikoevaluierung und des Risikomanagements einordnen
- Feedback verwenden, um den Prozess zu verbessern
- Die wichtigsten Aspekte
- Kommunikation der Risikoinformationen an alle Stakeholder
- Motivation zum freien Informationsfluss über alle Risiken
- Regelmäßige Updates für alle Teammitglieder
- Einfache Kommunikationsformen untereinander
- Allen Teammitgliedern muss ständiger Zugriff zu den Risikoinformationen zur Verfügung stehen
- Standardberichtsformat hat sich Zeit bewährt
- Inhalt dieses Berichts ist der aktuelle Stand des gesamten Risikomanagementplans
- Bericht umfasst folgende Punkte
- Wann wurde die letzte Risikoinventur durchgeführt?
- Ist die Risikoanalyse aktuell?
- Welche Risiken sind hinzugekommen, welche evtl. aufgelöst worden?
- Ist ein Trend abzusehen?
- Bewertung der getroffenen Maßnahmen zur Risikobewältigung
- Erfolg wird durch Beeinflussung der ergriffenen Maßnahmen messbar
- Überwachung von Maßnahmen
- Fragen
- Wer Überwacht die Maßnahmen?
- Wer setzt diese eigentlich um?
- RASCI Methode
- Überwachung befasst sich zum größten Teil mit folgenden Fragen
- Responsible (R)
- Wer ist verantwortlich?
- Approved/Accountable (A)
- Wer hat es abgesegnet?
- Supports (S)
- Wer setzt es um?
- Consults (C)
- Wer hilft bei der Umsetzung („Experte“)?
- Informed (I)
- Wer muss benachrichtigt werden?
- Bewertung
- Risikomanagement sollte nicht als lästige Pflicht angesehen werden
- sondern als eine Chance
- IT-Prozesse optimieren
- Risikoverständnis und Sicherheitsniveau im Unternehmen verbessern
- Wirtschaftlicher Nutzen des Risikomanagement
- Je nach der Größe und Bedeutung eines Projektes
- kann das Risikomanagement in seinem Umfang unterschiedlich ausgelegt werden.
- Bei kleineren Projekten
- erscheint es unter Umständen weniger sinnvoll, aufwendige Analysen wie z. B. die FMEA durchzuführen
- Hier kann mit einfachen Mitteln bereits ein adäquates Risikomanagement betreiben werden
- Brainstorming
- guter Dokumentation
- Kommunikation der Risiken
- Risiken können nicht immer vollständig eliminiert werden
- aber durch das Risikomanagement beherrschbar bleiben
- Bedrohungsanalyse
- Risikoanalyse (risk assessment)
- Risikobewertung anhand Wahrscheinlichkeiten
- Eintreten verschiedener Bedrohungen
- potentieller Schadenshöhe
- Bewertung der Eintrittswahrscheinlichkeit
- Geschätzter Aufwand zur Angriffsdurchführung
- Anzahl der Angriffsschritte
- Komplexität Angriffsschritte
- Nutzen für den Angreifer
- finanziell
- politisch
- Reputation
- Motive des Angreifers, Angreifertyp
- Script Kiddie
- Hacker
- Mitarbeiter
- Wirtschaftsspion
- politische Aktivisten
- Ressourcen / Kenntnisse des Angreifers
- Know How
- Werkzeuge
- Zugänge
- Bedrohungsanalyse
- Angriffsbäume
- Systematische Ermittlung potentieller Ursachen für Bedrohungen
- organisatorisch
- technisch
- benutzerbedingt
- Vorteile von Angriffsbäume
- Bedrohungsmodelle werden besser verstanden
- Bedrohungen besser erkennbar
- Schutzmaßnahmen besser erkennbar
- Berechnungen der Sicherheit
- Sicherheit verschiedener Systeme vergleichbar
- Visualisierung über Bedrohungs-/Angriffsbäume (attack tree)
- Wurzel definiert mögliches Angriffsziel
- Zeichenziele zur Erreichung des Gesamtziels ergeben die nächste Ebene
- Verwendung von UND- und ODER-Knoten, um Bedingungen zu formulieren
- Bedeutung des Erreichens von Zeichenzielen
- Äste verknüpfen Zwischenziele mit höheren Zielen
- Blätter des Baumes beschreiben einzelne Angriffsschritte