Risikomanagement/tmp: Unterschied zwischen den Versionen

Motivation

Ziele eines Unternehmens

• Gewinnoptimierung, Marktetablierung, Existenzsicherung, ...
• Betrachtung von Risiken
• essenzieller Bestandteil unternehmerischen Handelns

Risiken nicht nur als Gefahr ansehen

• Chance und notwendige Voraussetzung für die Zielerreichung
• Risiken nicht rein negativ beurteilen
• mit Risiken richtig umgehen

Risiken in Chancen umwandeln

• Unternehmen muss jederzeit in der Lage sein
• unternehmensweit konsistente Ertrags- und Risikoinformationen zu ermitteln
• Effizientes Risikomanagement von strategischer Bedeutung
• wenn Risiken gesteuert und kontrolliert werden, trägt dies positiv und langfristig zu Unternehmenserfolg und Wachstum bei

Doppelrolle der Informationstechnologie

• Voraussetzungen für die Aggregation von Daten zu aussagefähigen Ertrags- und Risikoinformationen
• Erzeugt selbst Risiken

Standish Group im Jahre 2009 Umfrage

• Nur ein Drittel aller IT-Projekte werden im geplanten Zeit- und Budgetrahmen beendet
• fast die Hälfte diese Vorgaben nicht erfüllen
• der Rest wird abgebrochen

IT-Projekte

Risikobegriff

• „Risiko“ wird unterschiedlich beschrieben
• je nach Betrachtungsweise

Entscheidungsorientiert

• Abweichung/Varianz von Zielgrößen und Erwartungsgrößen
• Abweichung kann positiv oder negativ sein
• Je höher die Standardabweichung, umso größer das Risiko

Ausfallorientiert

• • negative Abweichung des realisierten Ergebnisses vom Erwartungswert
  • Risiko = Eintrittswahrscheinlichkeit x Auswirkungen
  • Einfache Gleichung für das Risiko

Je geringer die Eintrittswahrscheinlichkeit, umso seltener

Auswirkungen sind ungünstige Effekte, sollte das Risiko eintreten

• die Gefahr
• die Chance

Risiken sind Teil des Geschäftes

• Einige der Risiken spielen dabei nie eine Rolle, andere können bedrohlich werden.
• Risikomanagement hilft, Risiken zu erkennen, zu analysieren, zu bewerten und mit den entsprechenden Techniken abzuschwächen.

BSI-Standard 200-3

• Risikoanalyse

Methoden

• BSI-Standard 200-3
• Risikoanalyse auf der Basis von IT-Grundschutz
• klassische Risikoanalyse
• ISO 27001, 27005, 31000, 31010
• Penetrationstest
• Differenz-Sicherheitsanalyse

Risikomanagement

• Bedeutung
• Risikomanagement gewinnt an Bedeutung
• strategischen Bedeutung von
• IT-Projekten
• IT-Projekte werden anspruchsvoller und komplexer

Gründe

• Expansion / Globalisierung der Geschäftstätigkeit
• Automatisierung von Geschäftsprozessen
• Steigende Abhängigkeit von Verfügbarkeit und Sicherheit der Datenverarbeitung
• Neuartige Geschäftsprozesse aufgrund steigender Marktdynamik durch neue Technologien
• Inhärenten Risiken bei IT-Projekten im Vergleich zu anderen Projekten

Risikomanagement umfasst

Festlegungen von Zielen auf Basis der Definition einer Strategie

• ggf. auch Visionen der das Risikomanagement anwendenden Stelle
• Ohne konkrete Ziele lassen sich keine Abweichungen messen

Definition von Werttreibern oder kritischen Erfolgsfaktoren zur Erreichung von Zielen

• Festlegung einer Risikomanagement-Strategie
• abhängig von der Risikobereitschaft
  • risikoavers, risikoneutral oder risikofreudig

Identifikation von Risiken Bewertung/Messung von Risiken Bewältigung von Risiken Steuerung der Risikoabwehr Monitoring, also Früherkennung

• Strukturierung und Dokumentation in einem Risikomanagementsystem

Prozesse im Risikomanagement

• Risikomanagementprozess
  • Phasen
    • Risikoanalyse
    • Risikobewertung
    • Risikominimierung
    • Risikokontrolle
    • Risikoverfolgung

Informationssicherheit-Risikomanagement-Prozess

• Risikomanagement
  • Teile des Risikomanagements
    • Erkennung und Bewertung von Risiken
    • Erarbeitung und Umsetzung von Maßnahmen
    • optimale Lösung finden
    • Risiken auf akzeptable Restrisiken reduzieren
    • wichtigste Gefahrenquellen erkennen und abschwächen

Für jeden dieser Prozesse gilt

• In Abhängigkeit der Bedürfnisse
• wird der Aufwand einer oder mehrerer Personen gefordert
• Jeder Prozess wird mindestens einmal durchlaufen
• Jeder Prozess tritt in einer oder mehreren Projektphasen auf

Überschneidung der Prozesse ist möglich Risikomanagement

• Risikomanagement-Prozesse
  • Risikomanagementplanung
• Wie wird das Risikomanagement organisiert?
• Wie viel Risikomanagement ist nötig?
• Haben wir Erfahrungswerte in dieser Projektart?
• Zuständigkeiten
• Checklisten

Risikoidentifikation

• Identifizierung potenzieller Risiken
• Dokumentenanalyse
• Brainstorming
• SWOT-Analyse
• Ursache-Wirkungs-Analysen
• Qualitative Risikoanalyse
• Eintrittswahrscheinlichkeit sowie Auswirkung
• Priorisierung (z. B. A, B und C-Risiken)

Risikomanagement

• Bedeutung
• Weitere Risiken
• IT-Operations (Risiken aus dem laufenden Betrieb)
• Administrative Fehler
• Systemausfall
• IT-Security (Sicherheitsrisiken)
• Unzureichende Sicherheits- und Schutzmaßnahmen für IT-Systeme
• Fehlende Autorisierung und Authentifizierung für Datenzugriff und -austausch
• Nicht näher spezifizierte Risiken
• Fehlende Akzeptanz / Ablehnung der Anwender gegenüber neuer Software

Konzeptionierungsfehler

• Aufgrund der beschriebenen Problematik ist erkennbar, dass das Risikomanagement fester Bestandteil aller IT-Projekte sein sollte.

Risikomanagementplanung

• Wie sollen die Aktivitäten des Risikomanagement durchgeführt werden?
• Risikomanagementplanung legt Vorgehensweise fest
• Planung soll sicherstellen
• Risikomanagement ist in Bezug auf Risiken und der Bedeutung des Projektes angemessen
• Es stehen ausreichende Ressourcen für die Aktivitäten zur Verfügung
• Erfolgschancen erhöhen
• gut strukturierte und sorgfältig vorbereitete Planung
• erleichtert Durchführung der anderen Risikomanagement-Prozesse
• Erstellung eines Risikomanagementplans
• Zusammenarbeit mit
• Projektleitern und -mitgliedern
• Stakeholdern
• für das Risikomanagement im Unternehmen zuständige Mitarbeiter
• Auswirkungen haben dabei Risikobereitschaft und Risikotoleranz
• des Unternehmens und
• der Projektbeteiligten
• Hilfreich zur Erstellung
• bereits definierte Ansätze und Konzepte für das Risikomanagement im Unternehmen
• allgemein oder aus vorangegangenen Projekten
• Prozesse im Risikomanagement

Risikomanagementplan

• Inhalte
• Methodologie
• Ansätze, Werkzeuge und Datenquellen für das Risikomanagement
• Rollen und Verantwortlichkeiten
• Organisation des Projektteams, Hierarchien
• Budgetierung
• Kostenschätzung, benötigte Einsatzmittel
• Zeitliche Planung
• Festlegung von Terminen für die Ausführung des Risikomanagement-Prozesses während der Projektlaufzeit

Risikokategorien

• Strukturen für die Risikoidentifikation festlegen
• Definition der Risikowahrscheinlichkeiten und -auswirkungen
• als Unterstützung der Risikoanalyse
• Prozesse im Risikomanagement

Risikoidentifikation

• Für eine Beherrschung der Risiken, muss man diese zunächst kennen
• Bestimmung von Risiken unterschiedlicher Art
• Kontinuierliche Durchführung und Bestimmung
• einzelne Risiken sind zu Beginn nicht absehbar
• es entwickeln sich neue oder übersehene Risiken
• Projektteam sollte in den Prozess einbezogen werden, damit es sich für die Risiken und die entsprechenden Risikobewältigungs- maßnahmen zuständig und verantwortlich fühlt.
• Nach Identifizierung von Risiken
• Priorisierung mit Hilfe der Risikoanalyse

Risikokategorien

• Für eine systematische Identifizierung der Risiken ist es wichtig, die verschiedenen Kategorien von Risiken zu kennen
• Die Unterteilung kann dabei je nach Verständnis, Betrachtungsweise und Kontext unterschiedlich sein.
• Im betriebswirtschaftlichen Sinne gibt es z. B. die Unterscheidung von externen, internen, finanziellen und operativen Risiken.

Methoden der Risikoidentifikation

Option	Beschreibung
Brainstorming
Delphi-Methode
Post-Mortem-Analyse
Fehlermöglichkeits- und Einflussanalyse	FMEA
Szenariotechnik	Monte-Carlo-Simulation
SWOT-Analyse
Bedrohungsbaum	Entscheidungsbaum, Fehleranalyse

Aufbereitung identifizierter Risiken

• Identifizierte Risiken müssen aufbereitet werden
• damit diese den anderen Prozesse des Risikomanagement zur Verfügung stehen
• Hierfür eignet sich die Erstellung folgender Komponenten

Risikoregister

• Ursprungswerte aus der Risikoidentifikation
• später gefüllt mit den Ergebnissen der anderen Prozesse
• Liste identifizierter Risiken und mögliche Folgen
• Liste der möglichen Bewältigungsmaßnahmen, sofern bereits identifiziert
• Liste der Grundursachen identifizierter Risiken
• Liste der Risikokategorien

Qualitative Risikoanalyse

Schnelle und kosteneffektive Vorgehensweise

• Methoden zur Priorisierung der identifizierten Risiken
• Grundstein für die quantitative Risikoanalyse
• trägt zur Risikobewältigungsplanung bei
• bezieht Informationen aus der Risikomanagementplanung und der Risikoidentifikation
• Konzentration auf Risiken mit hoher Priorität

Prioritäten identifizierter Risiken bewerten

• Anhand der Eintrittswahrscheinlichkeit
• daraus resultierenden Auswirkungen auf die gesteckten Ziele
• Zeitrahmen
• Risikotoleranz
• Budgetkosten

Umfang und Qualität

• Bedeutung eines Risikos besser zu verstehen
• qualitative Bewertung der verfügbaren Informationen
• Risikobezogene Maßnahmen sind oftmals sehr zeitkritisch und können somit die Bedeutung oder Auswirkung eines Risikos stark erhöhen.

Laufender Prozess

Die qualitative Risikoanalyse sollte im Laufe des Projektes ständig wiederholt werden, da sich Änderungen an den Projektrisiken ergeben können.

Aufbauend auf qualitativer Risikoanalyse

• durchgeführte Priorisierung der Risiken
• einige Risikomanager führen sie gerne direkt nach der Risikoidentifikation durch
• Auswirkungen werden analysiert
• numerische Einstufung der Risiken
• Somit wird gleichzeitig ein erster Ansatz für die Entscheidungsfindung erstellt

Risikobewältigungsplanung

Vorgehensweisen und Verfahren

• Erreichen von Projektzielen
• Gefahren vermeiden
• Aufbauend auf Risikoanalyse
• qualitativ und /oder quantitativ
• Risikoverantwortliche bestimmen
• welche Maßnahmen zur Risikobewältigung übernehmen
• Orientiert sich an ermittelten priorisierten Risiken
• Budget, Terminplan, Einsatzmittel und Maßnahmen
• Vor der Bewältigung müssen Bedeutung und Umfang eines Risikos klar sein

Folgende Punkte muss jeder Beteiligte verinnerlicht haben

• kosteneffektiv
• termingerecht
• realistisch

Vorgaben an das Risikomanagement

• von betriebsinternen Projektmitgliedern
• von Vertragspartnern, Behörden, Gesetzgeber
• Vertragspartner (meist zeitliche, aber auch Qualitätsvorgaben)
• Gesetzgeber (Auflagen bzgl. des Datenschutzes und der Aufbewahrung von z.B E-Mails)
• Behörden (häufig sind dies Vorgaben bzgl. des Budgets, da bei Verzögerungen oder Mehrkosten diese erst genehmigt werden müssen)
• Prozesse im Risikomanagement

Risikobewältigungsplanung

• Wie gehen wir Risiko um?
• Vermeiden/Minimieren
• z.B durch Verbesserung der Kommunikation innerhalb des Projektteams und den Vertragspartnern
• Vermindern
• z.B durch Änderungen an der Organisation um Projektziele oder Meilensteine nicht zu gefährden
• Abwälzen/Übertragen
• z.B an den Auftraggeber oder Lieferanten durch entsprechende Vertragsklauseln etc.
• Selbstübernehmen/Akzeptieren
• meist nur bei eher unbedeutenden Risiken/Bildung von Reserven

Risikoinventur

Risikoinventur erfasst Schäden durch Risiken

• Hierbei spielen Eintrittswahrscheinlichkeit sowie Ursachen eine Rolle
• Grundlagen zur strukturierten Darstellung
• Vollständigkeit
• alle Risiken
• die erfolgreichen Abschluss eines Projektes gefährden können
• Abhängigkeiten (Interdependenzen)
• Viele Risiken verstärken sich extrem bei ihrem Eintritt

Beispiel

• Es kommt in einem Serverraum zu einem Brand, durch ein defektes Netzteil
• Der Schaden steigt erheblich
• überfällige Wartung des Brandbekämpfungssystems
• langanhaltende Betriebsunterbrechung
• Hardware muss getauscht und ein Backup eingespielt werden
• Eine Gefährdung für die gesamte Produktion ist die Folge
• Der Schaden entsteht nicht durch Verlust der Hardware oder deren (Brandschutzversicherung)
• eigentlicher kaum messbare Schaden: Betriebsunterbrechung (keine Versicherung)
• Prozesse im Risikomanagement

Risikocontrolling: Risikoinventur Quantifizierung

• Schadensausmaß richtet sich nach Eintrittswahrscheinlichkeit (starker Bezug)

Rechtzeitigkeit

• Risiken müssen so früh wie nur irgendwie möglich erkannt werden
• damit noch genügend Reaktionszeit bleibt
• Schaden möglichst gering zu halten

Kommunikation

• Während der Bewältigungsplanung sind Akzeptanzbereiche zu bilden
• durch die die jeweiligen Risikoträger bei Eintritt informiert werden

Verantwortung

• Risiken müssen entsprechend ihrer Art, den jeweiligen Zuständigkeitsbereichen zugeordnet sein
• nach Eintritt des Risikos muss der Zuständige dann die geplanten Maßnahmen ergreifen

Bewertung und Messung von Risiken

Zwei Phasen

• Bruttobewertung
• grundsätzlichen Bedrohungspotenziale werden betrachtet
• wo liegen Schwerpunkte der Risikosteuerung
• Nettobewertung
• Risiken bereits bestehenden Steuerungs- und Kontrollmaßnahmen gegenüberstellen
• Aktuelle Risikolage
• Wir ermittelt
• Eignung und Angemessenheit bestehender Maßnahmen feststellen
• Maßstäbe eingrenzen

Vor einer Bewertung der Risiken

• Maßstab für Schadensausmaß und Eintrittswahrscheinlichkeit eingrenzen
• Schätzungen oder Erfahrungswerten durch die Verantwortlichen
• Worst-Case-Szenario
• klare Grenzen zwischen den einzelnen Gefahrenstufen

Ampelmodell

• besonders geeignet
• Akzeptanzlinie
• Rote Linie zwischen akzeptablen und kritischem Bereich

Toleranzgrenze

• Rote Linie zwischen Grenzbereich und inakzeptablem Bereich
• Risiken, unterhalb dieser Linie, gelten als tolerierbar
• wenn es möglich ist
• durch Maßnahmen diese unter Kontrolle zu halten
• oder sogar in den akzeptablen Bereich zu bringen
• Festlegung der Grenzen wird durch Verantwortliche vorgenommen

Kriterien

• Ungewissheit
• Unsicherheit
• Abschätzungssicherheit

Ahnungslosigkeit

Ausbreitungsgrad des potenziellen Schadens

• zeitlicher Ausdehnungsgrad nach Eintritt

Möglichkeit den Ursprungszustand wiederherzustellen

• z.B durch einspielen eines Backups

Verzögernde Wirkung des Schadens

• evtl. nicht direkt sichtbar

Mobilisierungspotenzial der beteiligten Mitarbeiter

• nach einem Schaden weiter zu machen

Ergebnis: qualitative und quantitative Bewertung von Risiken

• quantitativen Bewertung
• Schadenshöhe/Intensität der Auswirkung

Eintrittswahrscheinlichkeit

• qualitative Bewertung
• Aggregation (Zusammenlegung) von Risiken im Hinblick auf die Erreichung von Zielen
• Bewertung und Messung von Risiken
• Bewertung und Messung von Risiken
• Berechnung des Faktors eines Risikos
• Eintrittswahrscheinlichkeit * Schadenshöhe = Risikofaktor
• Berechnung des Faktors eines Risikos

Risikobewertung am Beispiel „Changemanagement“

Erfahrungen bei vorrangegangenen Projekten:

• Änderungen während des Projekts
• z. B. Änderung der Meilensteinen
• oder im schlimmsten Fall am eigentlichen Projektziel
• Dies sind Risiken, die komplette Projekte bedrohen oder sogar stoppen können

Ein Risiko beeinträchtigt hierbei meist nicht nur eine Säule des gesamten Projekts

• Oft ist die Rede von einem Dreieck in dem sich ein Projektmanager bewegt
• Umso mehr dieser sich auf einen Punkt fokussiert, umso mehr entfernt er sich andererseits von einem anderen
• Changemanagement hat großen Einfluss auf zeitlichen Rahmen und das Projektbudget
• Warum besteht das Risiko?
• Kein klar definiertes Ziel
• Mangelhaftes Anforderungsmanagement während des Planungsprozesses, ergeben stetig neue Projektänderungen
• Oftmals wird der Benutzer nicht in die Planung mit einbezogen
• Wie wahrscheinlich ist das Risiko?
• Eintrittswahrscheinlichkeit 5 – sehr hoch
• Schadenswirkung 4 – hoch

Risikofaktor

• Wahrscheinlichkeit (5) * Schadenswirkung (4) = Risikofaktor (20)
• Mit dem errechneten Risikofaktor landet dieses Risiko im nicht tolerierbaren Bereich (Stern Abb.).
• Bewertung und Messung von Risiken
• Berechnung des Faktors eines Risikos
• Beispiele für weitere Risiken (Gefahrenbereiche)
• Einsatz neuer Technologien
• W(4) * S(5) = RF(20)
• Implementierungen ohne Entwurf
• W(4) * S(4) = RF(16)
• Unmotivierte Mitarbeiter
• W(3) * S(5) = RF(15)
• Mitarbeiterfluktuation
• W(2) * S(4) = RF(8)
• Machtkämpfe
• W(1) * S(2) = RF(2)
• Unzureichende Reviews
• W(3) * S(4) = RF(12)

• Legende:
• W = Wahrscheinlichkeit S = Schadenswirkung RF = Risikofaktor
• Qualität des IT-Managements

Kernpunkte

• Planung und Organisation
• Sind IT-Strategie und Geschäftsstrategie aufeinander abgestimmt?
• Kann das Unternehmen seine IT-Ressourcen optimal nutzen?
• Sind die Ziele der IT von allen Mitarbeitern verstanden?
• Sind die IT-Risiken erkannt, verstanden und unter Kontrolle?
• Ist die Qualität der IT-Systeme angemessen für die geschäftlichen Anforderungen?
• Beschaffung und Einführung neuer Systeme
• Liefern neue Projekte voraussichtlich Lösungen, die den geschäftlichen Anforderungen genügen?
• Werden neue Projekte voraussichtlich im vorgesehenen Zeit- und Kostenrahmen abgeschlossen?
• Können neue Systeme eine ordnungsgemäße Verarbeitung nach der Einführung sicherstellen?
• Können Änderungen an IT-Systemen durchgeführt werden ohne die Geschäftsprozesse zu behindern?
• Betrieb und Unterstützung
• Werden IT-Dienstleistungen entsprechend der geschäftlichen Prioritäten ausgeführt?
• Sind die Kosten optimiert?
• Können die Mitarbeiter mit den IT-Systemen effektiv und sicher umgehen?
• Ist eine angemessene Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet?

Überwachung

• Kann die IT-Performance gemessen werden?
• Können IT-Probleme rechtzeitig erkannt werden?
• Risikokommunikation und -berichterstattung
• Ständige Kommunikation innerhalb und außerhalb eines IT-Projektes
• vielleicht wichtigster Punkt für erfolgreiches Risikomanagement
• Evaluierung und Modifizierung während eines Projektes nicht ausgeschlossen werden
• Meetings abhalten
• Effektivität der Risikoevaluierung und des Risikomanagements einordnen
• Feedback verwenden, um den Prozess zu verbessern
• Die wichtigsten Aspekte
• Kommunikation der Risikoinformationen an alle Stakeholder
• Motivation zum freien Informationsfluss über alle Risiken
• Regelmäßige Updates für alle Teammitglieder
• Einfache Kommunikationsformen untereinander
• Allen Teammitgliedern muss ständiger Zugriff zu den Risikoinformationen zur Verfügung stehen
• Standardberichtsformat hat sich Zeit bewährt
• Inhalt dieses Berichts ist der aktuelle Stand des gesamten Risikomanagementplans
• Bericht umfasst folgende Punkte
• Wann wurde die letzte Risikoinventur durchgeführt?
• Ist die Risikoanalyse aktuell?
• Welche Risiken sind hinzugekommen, welche evtl. aufgelöst worden?
• Ist ein Trend abzusehen?
• Bewertung der getroffenen Maßnahmen zur Risikobewältigung
• Erfolg wird durch Beeinflussung der ergriffenen Maßnahmen messbar
• Überwachung von Maßnahmen
• Fragen
• Wer Überwacht die Maßnahmen?
• Wer setzt diese eigentlich um?
• RASCI Methode
• Überwachung befasst sich zum größten Teil mit folgenden Fragen
• Responsible (R)
• Wer ist verantwortlich?
• Approved/Accountable (A)
• Wer hat es abgesegnet?
• Supports (S)
• Wer setzt es um?
• Consults (C)
• Wer hilft bei der Umsetzung („Experte“)?
• Informed (I)
• Wer muss benachrichtigt werden?
• Bewertung
• Risikomanagement sollte nicht als lästige Pflicht angesehen werden
• sondern als eine Chance
• IT-Prozesse optimieren
• Risikoverständnis und Sicherheitsniveau im Unternehmen verbessern
• Wirtschaftlicher Nutzen des Risikomanagement
• Je nach der Größe und Bedeutung eines Projektes
• kann das Risikomanagement in seinem Umfang unterschiedlich ausgelegt werden.
• Bei kleineren Projekten
• erscheint es unter Umständen weniger sinnvoll, aufwendige Analysen wie z. B. die FMEA durchzuführen
• Hier kann mit einfachen Mitteln bereits ein adäquates Risikomanagement betreiben werden
• Brainstorming
• guter Dokumentation
• Kommunikation der Risiken
• Risiken können nicht immer vollständig eliminiert werden
• aber durch das Risikomanagement beherrschbar bleiben

• Bedrohungsanalyse
• Risikoanalyse (risk assessment)
• Risikobewertung anhand Wahrscheinlichkeiten
• Eintreten verschiedener Bedrohungen
• potentieller Schadenshöhe
• Bewertung der Eintrittswahrscheinlichkeit
• Geschätzter Aufwand zur Angriffsdurchführung
• Anzahl der Angriffsschritte
• Komplexität Angriffsschritte
• Nutzen für den Angreifer
• finanziell
• politisch
• Reputation
• Motive des Angreifers, Angreifertyp
• Script Kiddie
• Hacker
• Mitarbeiter
• Wirtschaftsspion
• politische Aktivisten
• Ressourcen / Kenntnisse des Angreifers
• Know How
• Werkzeuge
• Zugänge
• Bedrohungsanalyse
• Angriffsbäume
• Systematische Ermittlung potentieller Ursachen für Bedrohungen
• organisatorisch
• technisch
• benutzerbedingt
• Vorteile von Angriffsbäume
• Bedrohungsmodelle werden besser verstanden
• Bedrohungen besser erkennbar
• Schutzmaßnahmen besser erkennbar
• Berechnungen der Sicherheit
• Sicherheit verschiedener Systeme vergleichbar
• Visualisierung über Bedrohungs-/Angriffsbäume (attack tree)
• Wurzel definiert mögliches Angriffsziel
• Zeichenziele zur Erreichung des Gesamtziels ergeben die nächste Ebene
• Verwendung von UND- und ODER-Knoten, um Bedingungen zu formulieren
• Bedeutung des Erreichens von Zeichenzielen
• Äste verknüpfen Zwischenziele mit höheren Zielen
• Blätter des Baumes beschreiben einzelne Angriffsschritte

Bedrohungsbaum

• Maskierungsangriff

Bedrohungsanalyse

Bedrohungsmatix

Bedrohungsanalyse

Risikoberechnung

Schlussfolgerung

• Auch bei einfachem Angreifermodell sehr hohes Risiko
• Passworte sollten nur verschlüsselt übertragen werden!
• Zeitliche Entwicklung beachten

Konstruktion sicherer Systeme

• Konstruktion sicherer Systeme
• Entwicklungsprozess
• Dezidierte Methoden bislang kaum entwickelt
• allgemeine methodische in der Regel
• top-down Vorgehensweise aus Software-Engineering
• Schwierig, da Angreifer viele Möglichkeiten hat

Allgemeine Prinzipien

• 1975 Saltzer und Schröder
• Heute noch gültig

Allgemeine Konstruktionsprinzipien

• Erlaubnis-Prinzip
• Vollständigkeits-Prinzip
• Need-To-Know-Prinzip
• Prinzip der Benutzerakzeptanz

Erlaubnis (fail-safe defaults)

• Grundsätzlich jeder Zugriff verboten (default deny)
• nur durch explizite Erlaubnis wird Zugriffsrecht gewährt.
• Configfiles
• Apache
• SMB

Vollständigkeit (complete mediation)

• Jeder Zugriff ist auf Zulässigkeit zu prüfen!
• System, das nur beim Öffnen Erlaubnis prüft, nicht bei jedem Schreiben, verletzt das Prinzip
• Rechte können sich zwischendurch verändert haben.

Need-to-Know

• Prinzip der minimalen Rechte
• Jedes Subjekt bekommt nur genau die Zugriffsrechte, die es zur Erfüllung seiner Aufgaben benötigt.
• System, in dem ein Admnistratoren unbeschränkte Rechte hat, verstößt gegen dieses Prinzip.
• AppAmor
• SELinux
• Rollenbasierte Rechte
• Akzeptanz (economy of mechanism)

Benutzerakzeptanz

• Sicherheitsmechanismen müssen einfach zu nutzen sein
• routinemäßig und automatisch angewandt werden

Offener Entwurf (open design)

• Sicherheit eines Systems darf nicht von der Geheimhaltung spezieller Verfahren abhängig sein
• Verwendete Verfahren und Mechanismen, die beim Entwurf des Systems verwendet werden, müssen offen gelegt werden
• No security through obscurity
• Sicherheit kryptografischer Verfahren sollte nicht darauf basieren, dass Verschlüsselungsverfahren nicht bekannt ist.
• „Schlüssel unter der Fußmatte“

KISS - Prinzip

Keep it simple, stupid

Modellierung

Modellierung

Validierung / Evaluierung

Testen

• Methodisches Testen des implementierten Systems
• Verifizierung der sicherheitsrelevanten Funktionen

Testziele, -pläne, -verfahren festlegen, dokumentieren.

• Vollständigkeit der Tests
• Code Review
• Evaluierung durch Dritte

Sicherheitsgrundfunktionen

Sicherheitsgrundfunktionen

BSI-Standard 100-3

• Inhalte
• 1 Einleitung
• 2 Vorarbeiten
• 3 Erstellung der Gefährdungsübersicht
• 4 Ermittlung zusätzlicher Gefährdungen
• 5 Gefährdungsbewertung
• 6 Behandlung von Risiken
• 7 Konsolidierung des IT-Sicherheitskonzepts
• 8 Rückführung in den IT-Sicherheitsprozess

BSI-Standard 100-3

• Ergänzende Sicherheitsanalyse
• Eine „Ergänzende Sicherheitsanalyse“
• ist durchzuführen, wenn:
• hoher oder sehr hoher Schutzbedarf
• zusätzlicher Analysebedarf
• für bestimmte Aspekte kein geeigneter Grundschutz-Katalog
• Risikoanalyse
• Zweistufiges BSI-Modell
• (1) Für normalern Schutzbedarf
• übliche Einsatzszenarien
• existierende Bausteine
• qualitative Methode zur Risikoanalyse und -bewertung in der IT-Grundschutz-Vorgehensweise enthalten
• beim Einsatz ähnlicher IT-Umgebungen und vergleichbarer Umfeldbedingungen meistens vergleichbare Bedrohungen
• (2) Für höheren Schutzbedarf
• unübliche Einsatzszenarien
• unzureichende Abdeckung mit Bausteinen
• durch Management festgestellten Bedarf
• vereinfachte Risikoanalyse und -bewertung nach BSI-Standard 100-3
• Vorarbeiten
• Vor einer Risikoanalyse, sollten folgende Vorarbeiten abgeschlossen sein
• Initiierung des Informationssicherheitsprozess
• Definition des Geltungsbereiches für die Sicherheitskonzeption
• Strukturanalyse
• Schutzbedarfsfeststellung
• Modellierung
• Basis-Sicherheitscheck
• ergänzende Sicherheitsanalyse
• Erstellung der Gefährdungsübersicht
• Erstellung der Gefährdungsübersicht
• Vorgehen
• Ausgangspunkt
• relevante Gefährdungen au den IT-Grundschutz-Katalogen
• für betrachtete Zielobjekte
• Bedrohungen, Schwachstellen und Risiken werden nicht separat untersucht
• Ziel
• Übersicht der Gefährdungen, die auf die betrachteten Zielobjekte wirken
• Vorgehen
• Reduzierung des Informationsverbundes auf die betrachteten Komponenten
• Zielobjekte streichen, für die kein Bedarf einer Risikoanalyse besteht
• Bausteine streichen, für die kein Zielobjekt mehr übrig ist
• in der Regel nur in den Schichten 2 bis 5
• Erstellung der Gefährdungsübersicht
• Vorgehen
• Bausteine der IT-Grundschutz-Katalogen verweisen auf Gefährdungen
• Je Zielobjekt werden Nummer und Titel dieser Gefährdungen aus den Bausteinen zusammengetragen
• und dem jeweiligen Zielobjekt zugeordnet
• Gefährdungen aus den Bausteinen der Schichten 1 separat behandeln
• spezielles Zielobjekt „gesamter Informationsverbund“

• Ergebnis
• Tabelle, die jedem Zielobjekt eine Liste mit relevanten Gefährdungen zuordnet
• doppelte oder mehrfach genannten Gefährdungen entfernen
• Gefährdungen pro Zielobjekt thematisch sortieren
• Einige Gefährdungen der Grundschutz-Kataloge
• behandeln ähnliche Sicherheitsprobleme oder
• unterschiedliche Ausprägungen der gleichen Bedrohung
• Beispiel
• G 1.2 Ausfall des IT-Systems und G 4.31 Ausfall oder Störung von Netzkomponenten
• Erstellung der Gefährdungsübersicht
• Vorgehen
• Zur Analyse in der Tabelle pro Zielobjekt Schutzbedarf vermerken
• Grundwerte
• Vertraulichkeit
• Integrität
• Verfügbarkeit
• Für übergeordnetes Zielobjekt
• gesamter Informationsverbund
• kann Zuordnung entfallen
• Ergebnis
• Gefährdungsübersicht für
• die betrachteten Zielobjekte
• dient als Ausgangspunkt
• für die nachfolgende Ermittlung
• zusätzlicher Gefährdungen.
• Ermittlung zusätzlicher Gefährdungen
• Ermittlung zusätzlicher Gefährdungen
• Moderiertes Brainstorming
• klarer Auftrag und Zeitbegrenzung
• Gefährdungen, die nicht in den Grundschutzkatalogen aufgeführt sind
• Realistische Gefährdungen mit nennenswerten Schäden
• Grundwerte berücksichtigen
• Schichtenmodell beachten
• Höhere Gewalt
• organisatorische Mängel
• menschliche Fehlhandlungen
• technisches Versagen
• Außen-/Innentäter
• Externe Quellen zu Rate ziehen
• Gefährdungsbewertung
• Gefährdungsbewertung
• Eignung
• Sind die IT-Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet?
• Zusammenwirken
• Wirken die IT-Sicherheitsmaßnahmen sinnvoll zusammen?
• Benutzerfreundlichkeit
• Sind die IT-Sicherheitsmaßnahmen einfach anzuwenden?
• Angemessenheit
• Sind die IT-Sicherheitsmaßnahmen angemessen?
• Gefährdungsbewertung
• Sind die vorgesehenen IT-Sicherheitsmaßnahmen ausreichend?
• Prüfung der identifizierten Gefährdungen pro Zielobjekt
• Prüfkriterien
• Vollständigkeit
• Mechanismenstärke
• Zuverlässigkeit
• Ergebnis: OK = Ja/Nein
• Maßnahmenauswahl
• Risikosteuerungsstrategien
• Risikosteuerungsstrategien
• Risikovermeidung
• Risikoverminderung
• Risikobegrenzung
• Risikoüberwälzung
• Risikoakzeptanz
• Konsolidierung der Maßnahmen

Prozesse im Risikomanagement

Leitbild für das IT-Management

• Angesichts der immer weiter steigenden Bedeutung der IT (Informationstechnologie) und den damit verbundenen Anforderungen, sowie einer Komplexität an IT-Infrastruktur Projekten, erfordert dies eine reibungslose Integration in die bestehenden Geschäftsprozesse.
• Um dies sicherzustellen, wurde die sogenannte IT-Governance, eine Weiterentwicklung der Corporate Governance, entworfen.
• Die IT-Governance richtet sich nach den Kernpunkten des COBIT Modells für das IT-Management.
• Das Modell ist generell anwendbar, international akzeptiert und lehnt sich besonders an die IT-Prozesse und die bestehenden Kontrollziele an.
• In einem Unternehmen sollten diese Kontrollziele nach Möglichkeit erreicht werden, um eine verlässliche Anwendung der IT zu gewährleisten.
• COBIT beschäftigt sich mit der Organisation von Daten, Anwendungen, Anlagen, der Technologie und dem Personal, um die gestellten Anforderungen an die Geschäftsprozesse zu erfüllen.

Bedrohungsanalyse

Risikograph

Quellen und weitere Informationen

1. BITCOM: IT-Risiko- und Chancenmanagement im Unternehmen