Kernpunkte einer systematischen Gefährdungsanalyse der IT
(IINews) - Obwohl ein Pflichtprogramm der Unternehmen, werden mögliche
Gefährdungen der Informationstechnik nicht kontinuierlich ermittelt.
Nach den Beobachtungen der mikado ag finden solche Risikoanalysen
häufig nur punktuell oder ohne klare Systematik statt. Dabei ist eine
präzise Kenntnis des Gefährdungspotenzials die Grundlage für ein
bedarfsgerechtes Risikomanagement. Robert Hellwig, IT-Security-
Analyst des Beratungshauses, hat Eckpunkte einer systematischen
Risikoanalyse zusammengestellt:
• Kenntnis der rechtlichen Anforderungen:
Die rechtlichen Bedingungen im Zusammenhang mit der IT sind
heutzutage sehr vielfältig. Sie reichen vom Gesetz zur Kontrolle und
Transparenz im Unternehmensbereich (KonTraG) über das
Bundesdatenschutzgesetz und die EU-Richtlinien zu den
Datenschutzbedingungen bis zu Sarbanes-Oxley Act (SOX) und Basel
III. Hinzu kommen branchenspezifische oder standesrechtliche
Regelungen, die es zu beachten gilt. Auch Fragen der
Vertragsregelungen wie etwa Vertraulichkeitsvereinbarungen mit
Mitarbeitern oder Regelungen für den Datenschutz beim Outsourcing
gehören dazu.
• Kritikalitätsstufen der Unternehmensprozesse bewerten:
Nicht alle internen Abläufe erzeugen bei einem Ausfall ein hohes
wirtschaftliches Sicherheitsrisiko, manche können bei gravierenden
Störungen jedoch zu weitreichenden Konsequenzen führen. Dazu
zählen beispielsweise viele marktnahe Prozesse, die bei einem Ausfall
erhebliche Umsatzeinbußen oder Imageschäden bewirken können.
Deshalb gilt es, sie nach Risikostufen wie „gering“, „mittel“ und
„hochkritisch“ einzuordnen. Auf Basis dieser Kategorisierung sollten
sowohl die Risikovorsorge als auch die Maßnahmen für das Business
Continuity Management in Problemfällen geplant werden.
• Daten nach ihren Informationswerten kategorisieren:
In ähnlicher Weise wie die Kritikalitätsbewertung der Prozesse ist
auch eine Analyse der Daten vorzunehmen. Ihr jeweiliger
Informationswert und Verfügbarkeitsbedarf kann in einem Fall sehr
elementar für das Unternehmen sein, in anderen Fällen sind die Folgen
eines Datenverlustes relativ gering. Beispielsweise haben die
Konstruktionspläne eines Produktherstellers einen hohen
Informationswert, weil sie vermarktungsstarke Innovationen in sich
bergen. Dagegen sind Informationen aus dem operativen Alltag einer
Organisation häufig deutlich weniger sicherheitsrelevant.
• Kritische IT-Infrastrukturkomponenten identifizieren:
Die erhebliche Abhängigkeit der Geschäftsprozesse von der IT
verlangt eine hohe Verfügbarkeit der Anwendungen und
Verarbeitungssysteme. Für ein Risikomanagement ist es deshalb
wichtig zu wissen, welche Komponenten bei einem Ausfall den
Geschäftsbetrieb oder wesentliche Teile der Organisation tiefgreifend
beeinträchtigen. Deshalb gehört es zu den Grundlagen eines
Risikomanagements, dass sie ebenfalls in die Kritikalitätsstufen
„gering“, „mittel“ und „hochkritisch“, bei Bedarf auch differenzierter,
eingeteilt werden.
• Eine Bedrohungs- und Schwachstellenanalyse vornehmen:
Für eine Vorbereitung auf mögliche Probleme bedarf es einer
systematischen Betrachtung, welche Bedrohungs- und Katastrophen-
Szenarien denkbar sind und welche Folgen damit verbunden wären.
Zudem ist es erforderlich zu untersuchen, welche Schwachstellen bei
den Infrastrukturkomponenten und Prozessen denkbar sind, die sich
im Problemfall in weitreichender Weise negativ auswirken können.
Sowohl die Eintrittswahrscheinlichkeit der Bedrohungs- und
Katastrophen-Szenarien als auch die Wahrscheinlichkeit, dass dann
die Schwachstellen davon betroffen sein können, müssen
einschließlich der damit verbundenen Schadenshöhe kalkuliert
werden.
• Gefährdungsprofil in den Methoden des IT-Risikomanagements
abbilden:
Durch die ermittelte Definition des konkreten Schutzbedarfs können
gezielte Initiativen zur Risikominderung eingeleitet werden. Dies
gehört zur Kernfunktion des IT-Risikomanagements als
Königsdisziplin in der Informationssicherheit. Sie zielen darauf ab,
mögliche Gefahren bereits in den Ansätzen zu erkennen und dort wo
nötig vorbeugende Maßnahmen zu ergreifen.
Mehr über mikado ag
Seit mehr als drei Jahrzehnten beschäftigt sich die mikado mit dem
effizienten Management und der kompromisslosen
Informationssicherheit. Bis Ende 2013 wurden hierzu über 2.800
Projekte realisiert. Möglich wurde dieser jahrzehntelange Markterfolg von
mikado durch eine kontinuierlich gelebte Strategie, auf fachlichen
Vorsprung zu setzen und dabei Sicherheitslösungen immer konsequent
aus der Blickrichtung der Kunden zu entwickeln. Eine weitere
Besonderheit stellt die Ausrichtung dar, durch Nutzung des eigenen
Frameworks miLEAN die Projekte schlanker als üblich zu realisieren.
Zum Kundenstamm gehören u. a. Bundesministerien, Volkswagen,
Investitionsbank Berlin, Total, KfW Kreditanstalt für Wiederaufbau,
Sparkassen und Volksbanken. Firmensitz der mikado ag ist Berlin.
mikado ist Mitglied bei BITKOM und dem SIBB.
Datum: 17.07.2014 - 12:55 Uhr
Sprache: Deutsch
News-ID 1085744
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Robin Heinrich
Stadt:
50354 Hürth
Telefon: 02233 6117-75
Kategorie:
Internet
Meldungsart: bitte
Versandart: Veröffentlichung
Freigabedatum: 17.07.2014
Dieser Fachartikel wurde bisher 167 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Kernpunkte einer systematischen Gefährdungsanalyse der IT"
steht unter der journalistisch-redaktionellen Verantwortung von
Robin Heinrich (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).