Risiko/Management/tmp: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
Zeile 5: | Zeile 5: | ||
* essenzieller Bestandteil unternehmerischen Handelns | * essenzieller Bestandteil unternehmerischen Handelns | ||
Risiken nicht nur als Gefahr ansehen | ; Risiken nicht nur als Gefahr ansehen | ||
* Chance und notwendige Voraussetzung für die Zielerreichung | * Chance und notwendige Voraussetzung für die Zielerreichung | ||
* Risiken nicht rein negativ beurteilen | * Risiken nicht rein negativ beurteilen | ||
* mit Risiken richtig umgehen | * mit Risiken richtig umgehen | ||
Risiken in Chancen umwandeln | ; Risiken in Chancen umwandeln | ||
* Unternehmen muss jederzeit in der Lage sein | * Unternehmen muss jederzeit in der Lage sein | ||
* unternehmensweit konsistente Ertrags- und Risikoinformationen zu ermitteln | * unternehmensweit konsistente Ertrags- und Risikoinformationen zu ermitteln | ||
Zeile 30: | Zeile 30: | ||
* „Risiko“ wird unterschiedlich beschrieben | * „Risiko“ wird unterschiedlich beschrieben | ||
* je nach Betrachtungsweise | * je nach Betrachtungsweise | ||
; Entscheidungsorientiert | ; Entscheidungsorientiert | ||
* Abweichung/Varianz von Zielgrößen und Erwartungsgrößen | * Abweichung/Varianz von Zielgrößen und Erwartungsgrößen | ||
Zeile 40: | Zeile 41: | ||
** Einfache Gleichung für das Risiko | ** Einfache Gleichung für das Risiko | ||
; Je geringer die Eintrittswahrscheinlichkeit, umso seltener | ; Je geringer die Eintrittswahrscheinlichkeit, umso seltener Auswirkungen sind ungünstige Effekte, sollte das Risiko eintreten | ||
Auswirkungen sind ungünstige Effekte, sollte das Risiko eintreten | |||
* die Gefahr | * die Gefahr | ||
* die Chance | * die Chance | ||
Zeile 75: | Zeile 75: | ||
=== Risikomanagement umfasst === | === Risikomanagement umfasst === | ||
Festlegungen von Zielen auf Basis der Definition einer Strategie | ; Festlegungen von Zielen auf Basis der Definition einer Strategie | ||
* ggf. auch Visionen der das Risikomanagement anwendenden Stelle | * ggf. auch Visionen der das Risikomanagement anwendenden Stelle | ||
* Ohne konkrete Ziele lassen sich keine Abweichungen messen | * Ohne konkrete Ziele lassen sich keine Abweichungen messen | ||
Definition von Werttreibern oder kritischen Erfolgsfaktoren zur Erreichung von Zielen | |||
; Definition von Werttreibern oder kritischen Erfolgsfaktoren zur Erreichung von Zielen | |||
* Festlegung einer Risikomanagement-Strategie | * Festlegung einer Risikomanagement-Strategie | ||
* abhängig von der Risikobereitschaft | * abhängig von der Risikobereitschaft | ||
** risikoavers, risikoneutral oder risikofreudig | ** risikoavers, risikoneutral oder risikofreudig | ||
Identifikation von Risiken | |||
Bewertung/Messung von Risiken | ; Identifikation von Risiken | ||
Bewältigung von Risiken | |||
Steuerung der Risikoabwehr | ; Bewertung/Messung von Risiken | ||
Monitoring, also Früherkennung | |||
; Bewältigung von Risiken | |||
; Steuerung der Risikoabwehr | |||
; Monitoring, also Früherkennung | |||
* Strukturierung und Dokumentation in einem Risikomanagementsystem | * Strukturierung und Dokumentation in einem Risikomanagementsystem | ||
Prozesse im Risikomanagement | |||
; Prozesse im Risikomanagement | |||
* Risikomanagementprozess | * Risikomanagementprozess | ||
** Phasen | ** Phasen | ||
Zeile 96: | Zeile 103: | ||
*** Risikokontrolle | *** Risikokontrolle | ||
*** Risikoverfolgung | *** Risikoverfolgung | ||
Informationssicherheit-Risikomanagement-Prozess | |||
; Informationssicherheit-Risikomanagement-Prozess | |||
* Risikomanagement | * Risikomanagement | ||
** Teile des Risikomanagements | ** Teile des Risikomanagements | ||
Zeile 104: | Zeile 112: | ||
*** Risiken auf akzeptable Restrisiken reduzieren | *** Risiken auf akzeptable Restrisiken reduzieren | ||
*** wichtigste Gefahrenquellen erkennen und abschwächen | *** wichtigste Gefahrenquellen erkennen und abschwächen | ||
Für jeden dieser Prozesse gilt | |||
; Für jeden dieser Prozesse gilt | |||
* In Abhängigkeit der Bedürfnisse | * In Abhängigkeit der Bedürfnisse | ||
* wird der Aufwand einer oder mehrerer Personen gefordert | * wird der Aufwand einer oder mehrerer Personen gefordert | ||
Zeile 110: | Zeile 119: | ||
* Jeder Prozess tritt in einer oder mehreren Projektphasen auf | * Jeder Prozess tritt in einer oder mehreren Projektphasen auf | ||
Überschneidung der Prozesse ist möglich | Überschneidung der Prozesse ist möglich | ||
Risikomanagement | |||
; Risikomanagement | |||
* Risikomanagement-Prozesse | * Risikomanagement-Prozesse | ||
** Risikomanagementplanung | ** Risikomanagementplanung | ||
Zeile 118: | Zeile 128: | ||
* Zuständigkeiten | * Zuständigkeiten | ||
* Checklisten | * Checklisten | ||
Risikoidentifikation | |||
; Risikoidentifikation | |||
* Identifizierung potenzieller Risiken | * Identifizierung potenzieller Risiken | ||
* Dokumentenanalyse | * Dokumentenanalyse | ||
Zeile 127: | Zeile 138: | ||
* Eintrittswahrscheinlichkeit sowie Auswirkung | * Eintrittswahrscheinlichkeit sowie Auswirkung | ||
* Priorisierung (z. B. A, B und C-Risiken) | * Priorisierung (z. B. A, B und C-Risiken) | ||
Risikomanagement | |||
; Risikomanagement | |||
* Bedeutung | * Bedeutung | ||
* Weitere Risiken | * Weitere Risiken | ||
Zeile 142: | Zeile 154: | ||
* Aufgrund der beschriebenen Problematik ist erkennbar, dass das Risikomanagement fester Bestandteil aller IT-Projekte sein sollte. | * Aufgrund der beschriebenen Problematik ist erkennbar, dass das Risikomanagement fester Bestandteil aller IT-Projekte sein sollte. | ||
Risikomanagementplanung | ; Risikomanagementplanung | ||
* Wie sollen die Aktivitäten des Risikomanagement durchgeführt werden? | * Wie sollen die Aktivitäten des Risikomanagement durchgeführt werden? | ||
* Risikomanagementplanung legt Vorgehensweise fest | * Risikomanagementplanung legt Vorgehensweise fest | ||
Zeile 164: | Zeile 176: | ||
* Prozesse im Risikomanagement | * Prozesse im Risikomanagement | ||
Risikomanagementplan | ; Risikomanagementplan | ||
* Inhalte | * Inhalte | ||
* Methodologie | * Methodologie | ||
Zeile 175: | Zeile 187: | ||
* Festlegung von Terminen für die Ausführung des Risikomanagement-Prozesses während der Projektlaufzeit | * Festlegung von Terminen für die Ausführung des Risikomanagement-Prozesses während der Projektlaufzeit | ||
Risikokategorien | ; Risikokategorien | ||
* Strukturen für die Risikoidentifikation festlegen | * Strukturen für die Risikoidentifikation festlegen | ||
* Definition der Risikowahrscheinlichkeiten und -auswirkungen | * Definition der Risikowahrscheinlichkeiten und -auswirkungen | ||
Zeile 181: | Zeile 193: | ||
* Prozesse im Risikomanagement | * Prozesse im Risikomanagement | ||
Risikoidentifikation | ; Risikoidentifikation | ||
* Für eine Beherrschung der Risiken, muss man diese zunächst kennen | * Für eine Beherrschung der Risiken, muss man diese zunächst kennen | ||
* Bestimmung von Risiken unterschiedlicher Art | * Bestimmung von Risiken unterschiedlicher Art | ||
Zeile 191: | Zeile 203: | ||
* Priorisierung mit Hilfe der Risikoanalyse | * Priorisierung mit Hilfe der Risikoanalyse | ||
Risikokategorien | ; Risikokategorien | ||
* Für eine systematische Identifizierung der Risiken ist es wichtig, die verschiedenen Kategorien von Risiken zu kennen | * Für eine systematische Identifizierung der Risiken ist es wichtig, die verschiedenen Kategorien von Risiken zu kennen | ||
* Die Unterteilung kann dabei je nach Verständnis, Betrachtungsweise und Kontext unterschiedlich sein. | * Die Unterteilung kann dabei je nach Verständnis, Betrachtungsweise und Kontext unterschiedlich sein. | ||
Zeile 202: | Zeile 214: | ||
|- | |- | ||
| [[Brainstorming]] || | | [[Brainstorming]] || | ||
|- | |- | ||
| [[Delphi-Methode]] || | | [[Delphi-Methode]] || | ||
|- | |- | ||
Zeile 211: | Zeile 223: | ||
| [[Szenariotechnik]] || Monte-Carlo-Simulation | | [[Szenariotechnik]] || Monte-Carlo-Simulation | ||
|- | |- | ||
| [[SWOT-Analyse]] || | | [[SWOT-Analyse]] || | ||
|- | |- | ||
| [[Bedrohungsbaum]] || Entscheidungsbaum, Fehleranalyse | | [[Bedrohungsbaum]] || Entscheidungsbaum, Fehleranalyse | ||
Zeile 250: | Zeile 262: | ||
; Laufender Prozess | ; Laufender Prozess | ||
Die qualitative Risikoanalyse sollte im Laufe des Projektes ständig wiederholt werden, da sich Änderungen an den Projektrisiken ergeben können. | |||
; Die qualitative Risikoanalyse sollte im Laufe des Projektes ständig wiederholt werden, da sich Änderungen an den Projektrisiken ergeben können. | |||
; Aufbauend auf qualitativer Risikoanalyse | ; Aufbauend auf qualitativer Risikoanalyse | ||
Zeile 260: | Zeile 273: | ||
=== Risikobewältigungsplanung === | === Risikobewältigungsplanung === | ||
Vorgehensweisen und Verfahren | ; Vorgehensweisen und Verfahren | ||
* Erreichen von Projektzielen | * Erreichen von Projektzielen | ||
* Gefahren vermeiden | * Gefahren vermeiden | ||
Zeile 270: | Zeile 283: | ||
* Budget, Terminplan, Einsatzmittel und Maßnahmen | * Budget, Terminplan, Einsatzmittel und Maßnahmen | ||
* Vor der Bewältigung müssen Bedeutung und Umfang eines Risikos klar sein | * Vor der Bewältigung müssen Bedeutung und Umfang eines Risikos klar sein | ||
Folgende Punkte muss jeder Beteiligte verinnerlicht haben | |||
; Folgende Punkte muss jeder Beteiligte verinnerlicht haben | |||
* kosteneffektiv | * kosteneffektiv | ||
* termingerecht | * termingerecht | ||
Zeile 293: | Zeile 307: | ||
* meist nur bei eher unbedeutenden Risiken/Bildung von Reserven | * meist nur bei eher unbedeutenden Risiken/Bildung von Reserven | ||
=== Risikoinventur === | === Risikoinventur === | ||
Risikoinventur erfasst Schäden durch Risiken | ; Risikoinventur erfasst Schäden durch Risiken | ||
* Hierbei spielen Eintrittswahrscheinlichkeit sowie Ursachen eine Rolle | * Hierbei spielen Eintrittswahrscheinlichkeit sowie Ursachen eine Rolle | ||
* Grundlagen zur strukturierten Darstellung | * Grundlagen zur strukturierten Darstellung | ||
Zeile 302: | Zeile 316: | ||
* Viele Risiken verstärken sich extrem bei ihrem Eintritt | * Viele Risiken verstärken sich extrem bei ihrem Eintritt | ||
Beispiel | ; Beispiel | ||
* Es kommt in einem Serverraum zu einem Brand, durch ein defektes Netzteil | * Es kommt in einem Serverraum zu einem Brand, durch ein defektes Netzteil | ||
* Der Schaden steigt erheblich | * Der Schaden steigt erheblich | ||
Zeile 313: | Zeile 327: | ||
* Prozesse im Risikomanagement | * Prozesse im Risikomanagement | ||
Risikocontrolling: Risikoinventur | ; Risikocontrolling: Risikoinventur | ||
Quantifizierung | |||
; Quantifizierung | |||
* Schadensausmaß richtet sich nach Eintrittswahrscheinlichkeit (starker Bezug) | * Schadensausmaß richtet sich nach Eintrittswahrscheinlichkeit (starker Bezug) | ||
Rechtzeitigkeit | ; Rechtzeitigkeit | ||
* Risiken müssen so früh wie nur irgendwie möglich erkannt werden | * Risiken müssen so früh wie nur irgendwie möglich erkannt werden | ||
* damit noch genügend Reaktionszeit bleibt | * damit noch genügend Reaktionszeit bleibt | ||
* Schaden möglichst gering zu halten | * Schaden möglichst gering zu halten | ||
Kommunikation | ; Kommunikation | ||
* Während der Bewältigungsplanung sind Akzeptanzbereiche zu bilden | * Während der Bewältigungsplanung sind Akzeptanzbereiche zu bilden | ||
* durch die die jeweiligen Risikoträger bei Eintritt informiert werden | * durch die die jeweiligen Risikoträger bei Eintritt informiert werden | ||
Verantwortung | ; Verantwortung | ||
* Risiken müssen entsprechend ihrer Art, den jeweiligen Zuständigkeitsbereichen zugeordnet sein | * Risiken müssen entsprechend ihrer Art, den jeweiligen Zuständigkeitsbereichen zugeordnet sein | ||
* nach Eintritt des Risikos muss der Zuständige dann die geplanten Maßnahmen ergreifen | * nach Eintritt des Risikos muss der Zuständige dann die geplanten Maßnahmen ergreifen | ||
=== Bewertung und Messung von Risiken === | === Bewertung und Messung von Risiken === | ||
Zwei Phasen | ; Zwei Phasen | ||
* Bruttobewertung | * Bruttobewertung | ||
* grundsätzlichen Bedrohungspotenziale werden betrachtet | * grundsätzlichen Bedrohungspotenziale werden betrachtet | ||
Zeile 347: | Zeile 362: | ||
* Worst-Case-Szenario | * Worst-Case-Szenario | ||
* klare Grenzen zwischen den einzelnen Gefahrenstufen | * klare Grenzen zwischen den einzelnen Gefahrenstufen | ||
; Ampelmodell | ; Ampelmodell | ||
Zeile 368: | Zeile 382: | ||
; Ahnungslosigkeit | ; Ahnungslosigkeit | ||
Ausbreitungsgrad des potenziellen Schadens | |||
; Ausbreitungsgrad des potenziellen Schadens | |||
* zeitlicher Ausdehnungsgrad nach Eintritt | * zeitlicher Ausdehnungsgrad nach Eintritt | ||
Möglichkeit den Ursprungszustand wiederherzustellen | |||
; Möglichkeit den Ursprungszustand wiederherzustellen | |||
* z.B durch einspielen eines Backups | * z.B durch einspielen eines Backups | ||
Verzögernde Wirkung des Schadens | |||
; Verzögernde Wirkung des Schadens | |||
* evtl. nicht direkt sichtbar | * evtl. nicht direkt sichtbar | ||
Mobilisierungspotenzial der beteiligten Mitarbeiter | |||
; Mobilisierungspotenzial der beteiligten Mitarbeiter | |||
* nach einem Schaden weiter zu machen | * nach einem Schaden weiter zu machen | ||
Ergebnis: qualitative und quantitative Bewertung von Risiken | |||
; Ergebnis: qualitative und quantitative Bewertung von Risiken | |||
* quantitativen Bewertung | * quantitativen Bewertung | ||
* Schadenshöhe/Intensität der Auswirkung | * Schadenshöhe/Intensität der Auswirkung | ||
Zeile 390: | Zeile 409: | ||
; Risikobewertung am Beispiel „Changemanagement“ | ; Risikobewertung am Beispiel „Changemanagement“ | ||
Erfahrungen bei vorrangegangenen Projekten: | |||
; Erfahrungen bei vorrangegangenen Projekten: | |||
* Änderungen während des Projekts | * Änderungen während des Projekts | ||
* z. B. Änderung der Meilensteinen | * z. B. Änderung der Meilensteinen | ||
Zeile 396: | Zeile 416: | ||
* Dies sind Risiken, die komplette Projekte bedrohen oder sogar stoppen können | * Dies sind Risiken, die komplette Projekte bedrohen oder sogar stoppen können | ||
Ein Risiko beeinträchtigt hierbei meist nicht nur eine Säule des gesamten Projekts | ; Ein Risiko beeinträchtigt hierbei meist nicht nur eine Säule des gesamten Projekts | ||
* Oft ist die Rede von einem Dreieck in dem sich ein Projektmanager bewegt | * Oft ist die Rede von einem Dreieck in dem sich ein Projektmanager bewegt | ||
* Umso mehr dieser sich auf einen Punkt fokussiert, umso mehr entfernt er sich andererseits von einem anderen | * Umso mehr dieser sich auf einen Punkt fokussiert, umso mehr entfernt er sich andererseits von einem anderen | ||
Zeile 407: | Zeile 427: | ||
* Eintrittswahrscheinlichkeit 5 – sehr hoch | * Eintrittswahrscheinlichkeit 5 – sehr hoch | ||
* Schadenswirkung 4 – hoch | * Schadenswirkung 4 – hoch | ||
Risikofaktor | |||
; Risikofaktor | |||
* Wahrscheinlichkeit (5) * Schadenswirkung (4) = Risikofaktor (20) | * Wahrscheinlichkeit (5) * Schadenswirkung (4) = Risikofaktor (20) | ||
* Mit dem errechneten Risikofaktor landet dieses Risiko im nicht tolerierbaren Bereich (Stern Abb.). | * Mit dem errechneten Risikofaktor landet dieses Risiko im nicht tolerierbaren Bereich (Stern Abb.). | ||
Zeile 634: | Zeile 655: | ||
* 8 Rückführung in den IT-Sicherheitsprozess | * 8 Rückführung in den IT-Sicherheitsprozess | ||
BSI-Standard 100-3 | ; BSI-Standard 100-3 | ||
* Ergänzende Sicherheitsanalyse | * Ergänzende Sicherheitsanalyse | ||
* Eine „Ergänzende Sicherheitsanalyse“ | * Eine „Ergänzende Sicherheitsanalyse“ | ||
Zeile 761: | Zeile 782: | ||
=== Bedrohungsanalyse === | === Bedrohungsanalyse === | ||
=== Risikograph === | === Risikograph === | ||
== Quellen und weitere Informationen == | == Quellen und weitere Informationen == | ||
# BITCOM: IT-Risiko- und Chancenmanagement im Unternehmen | # BITCOM: IT-Risiko- und Chancenmanagement im Unternehmen | ||
[[Kategorie:Tmp]] | [[Kategorie:Tmp]] |
Version vom 29. August 2023, 10:09 Uhr
Motivation
- Ziele eines Unternehmens
- Gewinnoptimierung, Marktetablierung, Existenzsicherung, ...
- Betrachtung von Risiken
- essenzieller Bestandteil unternehmerischen Handelns
- Risiken nicht nur als Gefahr ansehen
- Chance und notwendige Voraussetzung für die Zielerreichung
- Risiken nicht rein negativ beurteilen
- mit Risiken richtig umgehen
- Risiken in Chancen umwandeln
- Unternehmen muss jederzeit in der Lage sein
- unternehmensweit konsistente Ertrags- und Risikoinformationen zu ermitteln
- Effizientes Risikomanagement von strategischer Bedeutung
- wenn Risiken gesteuert und kontrolliert werden, trägt dies positiv und langfristig zu Unternehmenserfolg und Wachstum bei
- Doppelrolle der Informationstechnologie
- Voraussetzungen für die Aggregation von Daten zu aussagefähigen Ertrags- und Risikoinformationen
- Erzeugt selbst Risiken
- Standish Group im Jahre 2009 Umfrage
- Nur ein Drittel aller IT-Projekte werden im geplanten Zeit- und Budgetrahmen beendet
- fast die Hälfte diese Vorgaben nicht erfüllen
- der Rest wird abgebrochen
- IT-Projekte
Risikobegriff
- „Risiko“ wird unterschiedlich beschrieben
- je nach Betrachtungsweise
- Entscheidungsorientiert
- Abweichung/Varianz von Zielgrößen und Erwartungsgrößen
- Abweichung kann positiv oder negativ sein
- Je höher die Standardabweichung, umso größer das Risiko
- Ausfallorientiert
- negative Abweichung des realisierten Ergebnisses vom Erwartungswert
- Risiko = Eintrittswahrscheinlichkeit x Auswirkungen
- Einfache Gleichung für das Risiko
- Je geringer die Eintrittswahrscheinlichkeit, umso seltener Auswirkungen sind ungünstige Effekte, sollte das Risiko eintreten
- die Gefahr
- die Chance
- Risiken sind Teil des Geschäftes
- Einige der Risiken spielen dabei nie eine Rolle, andere können bedrohlich werden.
- Risikomanagement hilft, Risiken zu erkennen, zu analysieren, zu bewerten und mit den entsprechenden Techniken abzuschwächen.
BSI-Standard 200-3
- Risikoanalyse
Methoden
- BSI-Standard 200-3
- Risikoanalyse auf der Basis von IT-Grundschutz
- klassische Risikoanalyse
- ISO 27001, 27005, 31000, 31010
- Penetrationstest
- Differenz-Sicherheitsanalyse
Risikomanagement
- Bedeutung
- Risikomanagement gewinnt an Bedeutung
- strategischen Bedeutung von
- IT-Projekten
- IT-Projekte werden anspruchsvoller und komplexer
Gründe
- Expansion / Globalisierung der Geschäftstätigkeit
- Automatisierung von Geschäftsprozessen
- Steigende Abhängigkeit von Verfügbarkeit und Sicherheit der Datenverarbeitung
- Neuartige Geschäftsprozesse aufgrund steigender Marktdynamik durch neue Technologien
- Inhärenten Risiken bei IT-Projekten im Vergleich zu anderen Projekten
Risikomanagement umfasst
- Festlegungen von Zielen auf Basis der Definition einer Strategie
- ggf. auch Visionen der das Risikomanagement anwendenden Stelle
- Ohne konkrete Ziele lassen sich keine Abweichungen messen
- Definition von Werttreibern oder kritischen Erfolgsfaktoren zur Erreichung von Zielen
- Festlegung einer Risikomanagement-Strategie
- abhängig von der Risikobereitschaft
- risikoavers, risikoneutral oder risikofreudig
- Identifikation von Risiken
- Bewertung/Messung von Risiken
- Bewältigung von Risiken
- Steuerung der Risikoabwehr
- Monitoring, also Früherkennung
- Strukturierung und Dokumentation in einem Risikomanagementsystem
- Prozesse im Risikomanagement
- Risikomanagementprozess
- Phasen
- Risikoanalyse
- Risikobewertung
- Risikominimierung
- Risikokontrolle
- Risikoverfolgung
- Phasen
- Informationssicherheit-Risikomanagement-Prozess
- Risikomanagement
- Teile des Risikomanagements
- Erkennung und Bewertung von Risiken
- Erarbeitung und Umsetzung von Maßnahmen
- optimale Lösung finden
- Risiken auf akzeptable Restrisiken reduzieren
- wichtigste Gefahrenquellen erkennen und abschwächen
- Teile des Risikomanagements
- Für jeden dieser Prozesse gilt
- In Abhängigkeit der Bedürfnisse
- wird der Aufwand einer oder mehrerer Personen gefordert
- Jeder Prozess wird mindestens einmal durchlaufen
- Jeder Prozess tritt in einer oder mehreren Projektphasen auf
Überschneidung der Prozesse ist möglich
- Risikomanagement
- Risikomanagement-Prozesse
- Risikomanagementplanung
- Wie wird das Risikomanagement organisiert?
- Wie viel Risikomanagement ist nötig?
- Haben wir Erfahrungswerte in dieser Projektart?
- Zuständigkeiten
- Checklisten
- Risikoidentifikation
- Identifizierung potenzieller Risiken
- Dokumentenanalyse
- Brainstorming
- SWOT-Analyse
- Ursache-Wirkungs-Analysen
- Qualitative Risikoanalyse
- Eintrittswahrscheinlichkeit sowie Auswirkung
- Priorisierung (z. B. A, B und C-Risiken)
- Risikomanagement
- Bedeutung
- Weitere Risiken
- IT-Operations (Risiken aus dem laufenden Betrieb)
- Administrative Fehler
- Systemausfall
- IT-Security (Sicherheitsrisiken)
- Unzureichende Sicherheits- und Schutzmaßnahmen für IT-Systeme
- Fehlende Autorisierung und Authentifizierung für Datenzugriff und -austausch
- Nicht näher spezifizierte Risiken
- Fehlende Akzeptanz / Ablehnung der Anwender gegenüber neuer Software
Konzeptionierungsfehler
- Aufgrund der beschriebenen Problematik ist erkennbar, dass das Risikomanagement fester Bestandteil aller IT-Projekte sein sollte.
- Risikomanagementplanung
- Wie sollen die Aktivitäten des Risikomanagement durchgeführt werden?
- Risikomanagementplanung legt Vorgehensweise fest
- Planung soll sicherstellen
- Risikomanagement ist in Bezug auf Risiken und der Bedeutung des Projektes angemessen
- Es stehen ausreichende Ressourcen für die Aktivitäten zur Verfügung
- Erfolgschancen erhöhen
- gut strukturierte und sorgfältig vorbereitete Planung
- erleichtert Durchführung der anderen Risikomanagement-Prozesse
- Erstellung eines Risikomanagementplans
- Zusammenarbeit mit
- Projektleitern und -mitgliedern
- Stakeholdern
- für das Risikomanagement im Unternehmen zuständige Mitarbeiter
- Auswirkungen haben dabei Risikobereitschaft und Risikotoleranz
- des Unternehmens und
- der Projektbeteiligten
- Hilfreich zur Erstellung
- bereits definierte Ansätze und Konzepte für das Risikomanagement im Unternehmen
- allgemein oder aus vorangegangenen Projekten
- Prozesse im Risikomanagement
- Risikomanagementplan
- Inhalte
- Methodologie
- Ansätze, Werkzeuge und Datenquellen für das Risikomanagement
- Rollen und Verantwortlichkeiten
- Organisation des Projektteams, Hierarchien
- Budgetierung
- Kostenschätzung, benötigte Einsatzmittel
- Zeitliche Planung
- Festlegung von Terminen für die Ausführung des Risikomanagement-Prozesses während der Projektlaufzeit
- Risikokategorien
- Strukturen für die Risikoidentifikation festlegen
- Definition der Risikowahrscheinlichkeiten und -auswirkungen
- als Unterstützung der Risikoanalyse
- Prozesse im Risikomanagement
- Risikoidentifikation
- Für eine Beherrschung der Risiken, muss man diese zunächst kennen
- Bestimmung von Risiken unterschiedlicher Art
- Kontinuierliche Durchführung und Bestimmung
- einzelne Risiken sind zu Beginn nicht absehbar
- es entwickeln sich neue oder übersehene Risiken
- Projektteam sollte in den Prozess einbezogen werden, damit es sich für die Risiken und die entsprechenden Risikobewältigungs- maßnahmen zuständig und verantwortlich fühlt.
- Nach Identifizierung von Risiken
- Priorisierung mit Hilfe der Risikoanalyse
- Risikokategorien
- Für eine systematische Identifizierung der Risiken ist es wichtig, die verschiedenen Kategorien von Risiken zu kennen
- Die Unterteilung kann dabei je nach Verständnis, Betrachtungsweise und Kontext unterschiedlich sein.
- Im betriebswirtschaftlichen Sinne gibt es z. B. die Unterscheidung von externen, internen, finanziellen und operativen Risiken.
Methoden der Risikoidentifikation
Option | Beschreibung |
---|---|
Brainstorming | |
Delphi-Methode | |
Post-Mortem-Analyse | |
Fehlermöglichkeits- und Einflussanalyse | FMEA |
Szenariotechnik | Monte-Carlo-Simulation |
SWOT-Analyse | |
Bedrohungsbaum | Entscheidungsbaum, Fehleranalyse |
Aufbereitung identifizierter Risiken
- Identifizierte Risiken müssen aufbereitet werden
- damit diese den anderen Prozesse des Risikomanagement zur Verfügung stehen
- Hierfür eignet sich die Erstellung folgender Komponenten
Risikoregister
- Ursprungswerte aus der Risikoidentifikation
- später gefüllt mit den Ergebnissen der anderen Prozesse
- Liste identifizierter Risiken und mögliche Folgen
- Liste der möglichen Bewältigungsmaßnahmen, sofern bereits identifiziert
- Liste der Grundursachen identifizierter Risiken
- Liste der Risikokategorien
Qualitative Risikoanalyse
- Schnelle und kosteneffektive Vorgehensweise
- Methoden zur Priorisierung der identifizierten Risiken
- Grundstein für die quantitative Risikoanalyse
- trägt zur Risikobewältigungsplanung bei
- bezieht Informationen aus der Risikomanagementplanung und der Risikoidentifikation
- Konzentration auf Risiken mit hoher Priorität
- Prioritäten identifizierter Risiken bewerten
- Anhand der Eintrittswahrscheinlichkeit
- daraus resultierenden Auswirkungen auf die gesteckten Ziele
- Zeitrahmen
- Risikotoleranz
- Budgetkosten
- Umfang und Qualität
- Bedeutung eines Risikos besser zu verstehen
- qualitative Bewertung der verfügbaren Informationen
- Risikobezogene Maßnahmen sind oftmals sehr zeitkritisch und können somit die Bedeutung oder Auswirkung eines Risikos stark erhöhen.
- Laufender Prozess
- Die qualitative Risikoanalyse sollte im Laufe des Projektes ständig wiederholt werden, da sich Änderungen an den Projektrisiken ergeben können.
- Aufbauend auf qualitativer Risikoanalyse
- durchgeführte Priorisierung der Risiken
- einige Risikomanager führen sie gerne direkt nach der Risikoidentifikation durch
- Auswirkungen werden analysiert
- numerische Einstufung der Risiken
- Somit wird gleichzeitig ein erster Ansatz für die Entscheidungsfindung erstellt
Risikobewältigungsplanung
- Vorgehensweisen und Verfahren
- Erreichen von Projektzielen
- Gefahren vermeiden
- Aufbauend auf Risikoanalyse
- qualitativ und /oder quantitativ
- Risikoverantwortliche bestimmen
- welche Maßnahmen zur Risikobewältigung übernehmen
- Orientiert sich an ermittelten priorisierten Risiken
- Budget, Terminplan, Einsatzmittel und Maßnahmen
- Vor der Bewältigung müssen Bedeutung und Umfang eines Risikos klar sein
- Folgende Punkte muss jeder Beteiligte verinnerlicht haben
- kosteneffektiv
- termingerecht
- realistisch
Vorgaben an das Risikomanagement
- von betriebsinternen Projektmitgliedern
- von Vertragspartnern, Behörden, Gesetzgeber
- Vertragspartner (meist zeitliche, aber auch Qualitätsvorgaben)
- Gesetzgeber (Auflagen bzgl. des Datenschutzes und der Aufbewahrung von z.B E-Mails)
- Behörden (häufig sind dies Vorgaben bzgl. des Budgets, da bei Verzögerungen oder Mehrkosten diese erst genehmigt werden müssen)
- Prozesse im Risikomanagement
Risikobewältigungsplanung
- Wie gehen wir Risiko um?
- Vermeiden/Minimieren
- z.B durch Verbesserung der Kommunikation innerhalb des Projektteams und den Vertragspartnern
- Vermindern
- z.B durch Änderungen an der Organisation um Projektziele oder Meilensteine nicht zu gefährden
- Abwälzen/Übertragen
- z.B an den Auftraggeber oder Lieferanten durch entsprechende Vertragsklauseln etc.
- Selbstübernehmen/Akzeptieren
- meist nur bei eher unbedeutenden Risiken/Bildung von Reserven
Risikoinventur
- Risikoinventur erfasst Schäden durch Risiken
- Hierbei spielen Eintrittswahrscheinlichkeit sowie Ursachen eine Rolle
- Grundlagen zur strukturierten Darstellung
- Vollständigkeit
- alle Risiken
- die erfolgreichen Abschluss eines Projektes gefährden können
- Abhängigkeiten (Interdependenzen)
- Viele Risiken verstärken sich extrem bei ihrem Eintritt
- Beispiel
- Es kommt in einem Serverraum zu einem Brand, durch ein defektes Netzteil
- Der Schaden steigt erheblich
- überfällige Wartung des Brandbekämpfungssystems
- langanhaltende Betriebsunterbrechung
- Hardware muss getauscht und ein Backup eingespielt werden
- Eine Gefährdung für die gesamte Produktion ist die Folge
- Der Schaden entsteht nicht durch Verlust der Hardware oder deren (Brandschutzversicherung)
- eigentlicher kaum messbare Schaden: Betriebsunterbrechung (keine Versicherung)
- Prozesse im Risikomanagement
- Risikocontrolling
- Risikoinventur
- Quantifizierung
- Schadensausmaß richtet sich nach Eintrittswahrscheinlichkeit (starker Bezug)
- Rechtzeitigkeit
- Risiken müssen so früh wie nur irgendwie möglich erkannt werden
- damit noch genügend Reaktionszeit bleibt
- Schaden möglichst gering zu halten
- Kommunikation
- Während der Bewältigungsplanung sind Akzeptanzbereiche zu bilden
- durch die die jeweiligen Risikoträger bei Eintritt informiert werden
- Verantwortung
- Risiken müssen entsprechend ihrer Art, den jeweiligen Zuständigkeitsbereichen zugeordnet sein
- nach Eintritt des Risikos muss der Zuständige dann die geplanten Maßnahmen ergreifen
Bewertung und Messung von Risiken
- Zwei Phasen
- Bruttobewertung
- grundsätzlichen Bedrohungspotenziale werden betrachtet
- wo liegen Schwerpunkte der Risikosteuerung
- Nettobewertung
- Risiken bereits bestehenden Steuerungs- und Kontrollmaßnahmen gegenüberstellen
- Aktuelle Risikolage
- Wir ermittelt
- Eignung und Angemessenheit bestehender Maßnahmen feststellen
- Maßstäbe eingrenzen
- Vor einer Bewertung der Risiken
- Maßstab für Schadensausmaß und Eintrittswahrscheinlichkeit eingrenzen
- Schätzungen oder Erfahrungswerten durch die Verantwortlichen
- Worst-Case-Szenario
- klare Grenzen zwischen den einzelnen Gefahrenstufen
- Ampelmodell
- besonders geeignet
- Akzeptanzlinie
- Rote Linie zwischen akzeptablen und kritischem Bereich
- Toleranzgrenze
- Rote Linie zwischen Grenzbereich und inakzeptablem Bereich
- Risiken, unterhalb dieser Linie, gelten als tolerierbar
- wenn es möglich ist
- durch Maßnahmen diese unter Kontrolle zu halten
- oder sogar in den akzeptablen Bereich zu bringen
- Festlegung der Grenzen wird durch Verantwortliche vorgenommen
- Kriterien
- Ungewissheit
- Unsicherheit
- Abschätzungssicherheit
- Ahnungslosigkeit
- Ausbreitungsgrad des potenziellen Schadens
- zeitlicher Ausdehnungsgrad nach Eintritt
- Möglichkeit den Ursprungszustand wiederherzustellen
- z.B durch einspielen eines Backups
- Verzögernde Wirkung des Schadens
- evtl. nicht direkt sichtbar
- Mobilisierungspotenzial der beteiligten Mitarbeiter
- nach einem Schaden weiter zu machen
- Ergebnis
- qualitative und quantitative Bewertung von Risiken
- quantitativen Bewertung
- Schadenshöhe/Intensität der Auswirkung
- Eintrittswahrscheinlichkeit
- qualitative Bewertung
- Aggregation (Zusammenlegung) von Risiken im Hinblick auf die Erreichung von Zielen
- Bewertung und Messung von Risiken
- Bewertung und Messung von Risiken
- Berechnung des Faktors eines Risikos
- Eintrittswahrscheinlichkeit * Schadenshöhe = Risikofaktor
- Berechnung des Faktors eines Risikos
- Risikobewertung am Beispiel „Changemanagement“
- Erfahrungen bei vorrangegangenen Projekten
- Änderungen während des Projekts
- z. B. Änderung der Meilensteinen
- oder im schlimmsten Fall am eigentlichen Projektziel
- Dies sind Risiken, die komplette Projekte bedrohen oder sogar stoppen können
- Ein Risiko beeinträchtigt hierbei meist nicht nur eine Säule des gesamten Projekts
- Oft ist die Rede von einem Dreieck in dem sich ein Projektmanager bewegt
- Umso mehr dieser sich auf einen Punkt fokussiert, umso mehr entfernt er sich andererseits von einem anderen
- Changemanagement hat großen Einfluss auf zeitlichen Rahmen und das Projektbudget
- Warum besteht das Risiko?
- Kein klar definiertes Ziel
- Mangelhaftes Anforderungsmanagement während des Planungsprozesses, ergeben stetig neue Projektänderungen
- Oftmals wird der Benutzer nicht in die Planung mit einbezogen
- Wie wahrscheinlich ist das Risiko?
- Eintrittswahrscheinlichkeit 5 – sehr hoch
- Schadenswirkung 4 – hoch
- Risikofaktor
- Wahrscheinlichkeit (5) * Schadenswirkung (4) = Risikofaktor (20)
- Mit dem errechneten Risikofaktor landet dieses Risiko im nicht tolerierbaren Bereich (Stern Abb.).
- Bewertung und Messung von Risiken
- Berechnung des Faktors eines Risikos
- Beispiele für weitere Risiken (Gefahrenbereiche)
- Einsatz neuer Technologien
- W(4) * S(5) = RF(20)
- Implementierungen ohne Entwurf
- W(4) * S(4) = RF(16)
- Unmotivierte Mitarbeiter
- W(3) * S(5) = RF(15)
- Mitarbeiterfluktuation
- W(2) * S(4) = RF(8)
- Machtkämpfe
- W(1) * S(2) = RF(2)
- Unzureichende Reviews
- W(3) * S(4) = RF(12)
- Legende:
- W = Wahrscheinlichkeit S = Schadenswirkung RF = Risikofaktor
- Qualität des IT-Managements
- Kernpunkte
- Planung und Organisation
- Sind IT-Strategie und Geschäftsstrategie aufeinander abgestimmt?
- Kann das Unternehmen seine IT-Ressourcen optimal nutzen?
- Sind die Ziele der IT von allen Mitarbeitern verstanden?
- Sind die IT-Risiken erkannt, verstanden und unter Kontrolle?
- Ist die Qualität der IT-Systeme angemessen für die geschäftlichen Anforderungen?
- Beschaffung und Einführung neuer Systeme
- Liefern neue Projekte voraussichtlich Lösungen, die den geschäftlichen Anforderungen genügen?
- Werden neue Projekte voraussichtlich im vorgesehenen Zeit- und Kostenrahmen abgeschlossen?
- Können neue Systeme eine ordnungsgemäße Verarbeitung nach der Einführung sicherstellen?
- Können Änderungen an IT-Systemen durchgeführt werden ohne die Geschäftsprozesse zu behindern?
- Betrieb und Unterstützung
- Werden IT-Dienstleistungen entsprechend der geschäftlichen Prioritäten ausgeführt?
- Sind die Kosten optimiert?
- Können die Mitarbeiter mit den IT-Systemen effektiv und sicher umgehen?
- Ist eine angemessene Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet?
- Überwachung
- Kann die IT-Performance gemessen werden?
- Können IT-Probleme rechtzeitig erkannt werden?
- Risikokommunikation und -berichterstattung
- Ständige Kommunikation innerhalb und außerhalb eines IT-Projektes
- vielleicht wichtigster Punkt für erfolgreiches Risikomanagement
- Evaluierung und Modifizierung während eines Projektes nicht ausgeschlossen werden
- Meetings abhalten
- Effektivität der Risikoevaluierung und des Risikomanagements einordnen
- Feedback verwenden, um den Prozess zu verbessern
- Die wichtigsten Aspekte
- Kommunikation der Risikoinformationen an alle Stakeholder
- Motivation zum freien Informationsfluss über alle Risiken
- Regelmäßige Updates für alle Teammitglieder
- Einfache Kommunikationsformen untereinander
- Allen Teammitgliedern muss ständiger Zugriff zu den Risikoinformationen zur Verfügung stehen
- Standardberichtsformat hat sich Zeit bewährt
- Inhalt dieses Berichts ist der aktuelle Stand des gesamten Risikomanagementplans
- Bericht umfasst folgende Punkte
- Wann wurde die letzte Risikoinventur durchgeführt?
- Ist die Risikoanalyse aktuell?
- Welche Risiken sind hinzugekommen, welche evtl. aufgelöst worden?
- Ist ein Trend abzusehen?
- Bewertung der getroffenen Maßnahmen zur Risikobewältigung
- Erfolg wird durch Beeinflussung der ergriffenen Maßnahmen messbar
- Überwachung von Maßnahmen
- Fragen
- Wer Überwacht die Maßnahmen?
- Wer setzt diese eigentlich um?
- RASCI Methode
- Überwachung befasst sich zum größten Teil mit folgenden Fragen
- Responsible (R)
- Wer ist verantwortlich?
- Approved/Accountable (A)
- Wer hat es abgesegnet?
- Supports (S)
- Wer setzt es um?
- Consults (C)
- Wer hilft bei der Umsetzung („Experte“)?
- Informed (I)
- Wer muss benachrichtigt werden?
- Bewertung
- Risikomanagement sollte nicht als lästige Pflicht angesehen werden
- sondern als eine Chance
- IT-Prozesse optimieren
- Risikoverständnis und Sicherheitsniveau im Unternehmen verbessern
- Wirtschaftlicher Nutzen des Risikomanagement
- Je nach der Größe und Bedeutung eines Projektes
- kann das Risikomanagement in seinem Umfang unterschiedlich ausgelegt werden.
- Bei kleineren Projekten
- erscheint es unter Umständen weniger sinnvoll, aufwendige Analysen wie z. B. die FMEA durchzuführen
- Hier kann mit einfachen Mitteln bereits ein adäquates Risikomanagement betreiben werden
- Brainstorming
- guter Dokumentation
- Kommunikation der Risiken
- Risiken können nicht immer vollständig eliminiert werden
- aber durch das Risikomanagement beherrschbar bleiben
- Bedrohungsanalyse
- Risikoanalyse (risk assessment)
- Risikobewertung anhand Wahrscheinlichkeiten
- Eintreten verschiedener Bedrohungen
- potentieller Schadenshöhe
- Bewertung der Eintrittswahrscheinlichkeit
- Geschätzter Aufwand zur Angriffsdurchführung
- Anzahl der Angriffsschritte
- Komplexität Angriffsschritte
- Nutzen für den Angreifer
- finanziell
- politisch
- Reputation
- Motive des Angreifers, Angreifertyp
- Script Kiddie
- Hacker
- Mitarbeiter
- Wirtschaftsspion
- politische Aktivisten
- Ressourcen / Kenntnisse des Angreifers
- Know How
- Werkzeuge
- Zugänge
- Bedrohungsanalyse
- Angriffsbäume
- Systematische Ermittlung potentieller Ursachen für Bedrohungen
- organisatorisch
- technisch
- benutzerbedingt
- Vorteile von Angriffsbäume
- Bedrohungsmodelle werden besser verstanden
- Bedrohungen besser erkennbar
- Schutzmaßnahmen besser erkennbar
- Berechnungen der Sicherheit
- Sicherheit verschiedener Systeme vergleichbar
- Visualisierung über Bedrohungs-/Angriffsbäume (attack tree)
- Wurzel definiert mögliches Angriffsziel
- Zeichenziele zur Erreichung des Gesamtziels ergeben die nächste Ebene
- Verwendung von UND- und ODER-Knoten, um Bedingungen zu formulieren
- Bedeutung des Erreichens von Zeichenzielen
- Äste verknüpfen Zwischenziele mit höheren Zielen
- Blätter des Baumes beschreiben einzelne Angriffsschritte
Bedrohungsbaum
- Maskierungsangriff
Bedrohungsanalyse
Bedrohungsmatix
Bedrohungsanalyse
Risikoberechnung
Schlussfolgerung
- Auch bei einfachem Angreifermodell sehr hohes Risiko
- Passworte sollten nur verschlüsselt übertragen werden!
- Zeitliche Entwicklung beachten
Konstruktion sicherer Systeme
- Konstruktion sicherer Systeme
- Entwicklungsprozess
- Dezidierte Methoden bislang kaum entwickelt
- allgemeine methodische in der Regel
- top-down Vorgehensweise aus Software-Engineering
- Schwierig, da Angreifer viele Möglichkeiten hat
Allgemeine Prinzipien
- 1975 Saltzer und Schröder
- Heute noch gültig
Allgemeine Konstruktionsprinzipien
- Erlaubnis-Prinzip
- Vollständigkeits-Prinzip
- Need-To-Know-Prinzip
- Prinzip der Benutzerakzeptanz
Erlaubnis (fail-safe defaults)
- Grundsätzlich jeder Zugriff verboten (default deny)
- nur durch explizite Erlaubnis wird Zugriffsrecht gewährt.
- Configfiles
- Apache
- SMB
Vollständigkeit (complete mediation)
- Jeder Zugriff ist auf Zulässigkeit zu prüfen!
- System, das nur beim Öffnen Erlaubnis prüft, nicht bei jedem Schreiben, verletzt das Prinzip
- Rechte können sich zwischendurch verändert haben.
Need-to-Know
- Prinzip der minimalen Rechte
- Jedes Subjekt bekommt nur genau die Zugriffsrechte, die es zur Erfüllung seiner Aufgaben benötigt.
- System, in dem ein Admnistratoren unbeschränkte Rechte hat, verstößt gegen dieses Prinzip.
- AppAmor
- SELinux
- Rollenbasierte Rechte
- Akzeptanz (economy of mechanism)
Benutzerakzeptanz
- Sicherheitsmechanismen müssen einfach zu nutzen sein
- routinemäßig und automatisch angewandt werden
Offener Entwurf (open design)
- Sicherheit eines Systems darf nicht von der Geheimhaltung spezieller Verfahren abhängig sein
- Verwendete Verfahren und Mechanismen, die beim Entwurf des Systems verwendet werden, müssen offen gelegt werden
- No security through obscurity
- Sicherheit kryptografischer Verfahren sollte nicht darauf basieren, dass Verschlüsselungsverfahren nicht bekannt ist.
- „Schlüssel unter der Fußmatte“
KISS - Prinzip
Modellierung
Validierung / Evaluierung
- Testen
- Methodisches Testen des implementierten Systems
- Verifizierung der sicherheitsrelevanten Funktionen
- Testziele, -pläne, -verfahren festlegen, dokumentieren.
- Vollständigkeit der Tests
- Code Review
- Evaluierung durch Dritte
Sicherheitsgrundfunktionen
BSI-Standard 100-3
- Inhalte
- 1 Einleitung
- 2 Vorarbeiten
- 3 Erstellung der Gefährdungsübersicht
- 4 Ermittlung zusätzlicher Gefährdungen
- 5 Gefährdungsbewertung
- 6 Behandlung von Risiken
- 7 Konsolidierung des IT-Sicherheitskonzepts
- 8 Rückführung in den IT-Sicherheitsprozess
- BSI-Standard 100-3
- Ergänzende Sicherheitsanalyse
- Eine „Ergänzende Sicherheitsanalyse“
- ist durchzuführen, wenn:
- hoher oder sehr hoher Schutzbedarf
- zusätzlicher Analysebedarf
- für bestimmte Aspekte kein geeigneter Grundschutz-Katalog
- Risikoanalyse
- Zweistufiges BSI-Modell
- (1) Für normalern Schutzbedarf
- übliche Einsatzszenarien
- existierende Bausteine
- qualitative Methode zur Risikoanalyse und -bewertung in der IT-Grundschutz-Vorgehensweise enthalten
- beim Einsatz ähnlicher IT-Umgebungen und vergleichbarer Umfeldbedingungen meistens vergleichbare Bedrohungen
- (2) Für höheren Schutzbedarf
- unübliche Einsatzszenarien
- unzureichende Abdeckung mit Bausteinen
- durch Management festgestellten Bedarf
- vereinfachte Risikoanalyse und -bewertung nach BSI-Standard 100-3
- Vorarbeiten
- Vor einer Risikoanalyse, sollten folgende Vorarbeiten abgeschlossen sein
- Initiierung des Informationssicherheitsprozess
- Definition des Geltungsbereiches für die Sicherheitskonzeption
- Strukturanalyse
- Schutzbedarfsfeststellung
- Modellierung
- Basis-Sicherheitscheck
- ergänzende Sicherheitsanalyse
- Erstellung der Gefährdungsübersicht
- Erstellung der Gefährdungsübersicht
- Vorgehen
- Ausgangspunkt
- relevante Gefährdungen au den IT-Grundschutz-Katalogen
- für betrachtete Zielobjekte
- Bedrohungen, Schwachstellen und Risiken werden nicht separat untersucht
- Ziel
- Übersicht der Gefährdungen, die auf die betrachteten Zielobjekte wirken
- Vorgehen
- Reduzierung des Informationsverbundes auf die betrachteten Komponenten
- Zielobjekte streichen, für die kein Bedarf einer Risikoanalyse besteht
- Bausteine streichen, für die kein Zielobjekt mehr übrig ist
- in der Regel nur in den Schichten 2 bis 5
- Erstellung der Gefährdungsübersicht
- Vorgehen
- Bausteine der IT-Grundschutz-Katalogen verweisen auf Gefährdungen
- Je Zielobjekt werden Nummer und Titel dieser Gefährdungen aus den Bausteinen zusammengetragen
- und dem jeweiligen Zielobjekt zugeordnet
- Gefährdungen aus den Bausteinen der Schichten 1 separat behandeln
- spezielles Zielobjekt „gesamter Informationsverbund“
- Ergebnis
- Tabelle, die jedem Zielobjekt eine Liste mit relevanten Gefährdungen zuordnet
- doppelte oder mehrfach genannten Gefährdungen entfernen
- Gefährdungen pro Zielobjekt thematisch sortieren
- Einige Gefährdungen der Grundschutz-Kataloge
- behandeln ähnliche Sicherheitsprobleme oder
- unterschiedliche Ausprägungen der gleichen Bedrohung
- Beispiel
- G 1.2 Ausfall des IT-Systems und G 4.31 Ausfall oder Störung von Netzkomponenten
- Erstellung der Gefährdungsübersicht
- Vorgehen
- Zur Analyse in der Tabelle pro Zielobjekt Schutzbedarf vermerken
- Grundwerte
- Vertraulichkeit
- Integrität
- Verfügbarkeit
- Für übergeordnetes Zielobjekt
- gesamter Informationsverbund
- kann Zuordnung entfallen
- Ergebnis
- Gefährdungsübersicht für
- die betrachteten Zielobjekte
- dient als Ausgangspunkt
- für die nachfolgende Ermittlung
- zusätzlicher Gefährdungen.
- Ermittlung zusätzlicher Gefährdungen
- Ermittlung zusätzlicher Gefährdungen
- Moderiertes Brainstorming
- klarer Auftrag und Zeitbegrenzung
- Gefährdungen, die nicht in den Grundschutzkatalogen aufgeführt sind
- Realistische Gefährdungen mit nennenswerten Schäden
- Grundwerte berücksichtigen
- Schichtenmodell beachten
- Höhere Gewalt
- organisatorische Mängel
- menschliche Fehlhandlungen
- technisches Versagen
- Außen-/Innentäter
- Externe Quellen zu Rate ziehen
- Gefährdungsbewertung
- Gefährdungsbewertung
- Eignung
- Sind die IT-Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet?
- Zusammenwirken
- Wirken die IT-Sicherheitsmaßnahmen sinnvoll zusammen?
- Benutzerfreundlichkeit
- Sind die IT-Sicherheitsmaßnahmen einfach anzuwenden?
- Angemessenheit
- Sind die IT-Sicherheitsmaßnahmen angemessen?
- Gefährdungsbewertung
- Sind die vorgesehenen IT-Sicherheitsmaßnahmen ausreichend?
- Prüfung der identifizierten Gefährdungen pro Zielobjekt
- Prüfkriterien
- Vollständigkeit
- Mechanismenstärke
- Zuverlässigkeit
- Ergebnis: OK = Ja/Nein
- Maßnahmenauswahl
- Risikosteuerungsstrategien
- Risikosteuerungsstrategien
- Risikovermeidung
- Risikoverminderung
- Risikobegrenzung
- Risikoüberwälzung
- Risikoakzeptanz
- Konsolidierung der Maßnahmen
Prozesse im Risikomanagement
Leitbild für das IT-Management
- Angesichts der immer weiter steigenden Bedeutung der IT (Informationstechnologie) und den damit verbundenen Anforderungen, sowie einer Komplexität an IT-Infrastruktur Projekten, erfordert dies eine reibungslose Integration in die bestehenden Geschäftsprozesse.
- Um dies sicherzustellen, wurde die sogenannte IT-Governance, eine Weiterentwicklung der Corporate Governance, entworfen.
- Die IT-Governance richtet sich nach den Kernpunkten des COBIT Modells für das IT-Management.
- Das Modell ist generell anwendbar, international akzeptiert und lehnt sich besonders an die IT-Prozesse und die bestehenden Kontrollziele an.
- In einem Unternehmen sollten diese Kontrollziele nach Möglichkeit erreicht werden, um eine verlässliche Anwendung der IT zu gewährleisten.
- COBIT beschäftigt sich mit der Organisation von Daten, Anwendungen, Anlagen, der Technologie und dem Personal, um die gestellten Anforderungen an die Geschäftsprozesse zu erfüllen.
Bedrohungsanalyse
Risikograph
Quellen und weitere Informationen
- BITCOM: IT-Risiko- und Chancenmanagement im Unternehmen