Willkommen zurück zu unserer Serie über die “Risiko Rumba” in der Informationssicherheit!
Nachdem wir uns zuletzt allgemein mit Risiken beschäftigt haben, wollen wir heute tiefer in die Materie eintauchen und konkreter werden.
Dabei betrachten wir die Beziehung zwischen Risiko, Schwachstelle, Bedrohung, Auswirkung und Eintrittswahrscheinlichkeit.
Was ist ein Risiko?
Ein Risiko entsteht, wenn eine Schwachstelle auf eine Bedrohung trifft.
Stell dir vor, du parkst dein Auto in einer unsicheren Gegend.
Die Schwachstelle ist das Fehlen einer Alarmanlage, und die Bedrohung ist die Möglichkeit, dass jemand dein Auto stiehlt.
Das Risiko ist die Wahrscheinlichkeit, dass dein Auto tatsächlich gestohlen wird, kombiniert mit den möglichen Folgen dieses Diebstahls.
Schwachstellen erkennen
Schwachstellen sind die Schwachpunkte in deinem System, die von Bedrohungen ausgenutzt werden können.
Ein Beispiel aus dem realen Leben wäre ein Haus mit ungesicherten Fenstern und Türen.
In der Informationssicherheit können das veraltete Software, ungesicherte Netzwerke oder unzureichende Sicherheitsrichtlinien sein.
Eintrittswahrscheinlichkeit bewerten
Die Eintrittswahrscheinlichkeit ist die Chance, dass eine Bedrohung tatsächlich eine Schwachstelle ausnutzt.
In unserem Autobeispiel wäre das die Wahrscheinlichkeit, dass jemand dein Auto stiehlt, wenn es keine Alarmanlage hat.
Diese Wahrscheinlichkeit kann durch verschiedene Faktoren beeinflusst werden, wie die Kriminalitätsrate in der Gegend oder wie oft du dein Auto dort parkst.
Beispiele aus der Informationssicherheit
- Phishing-Angriffe: Eine Schwachstelle könnte ein Mitarbeiter sein, der nicht ausreichend über Phishing-Angriffe informiert ist. Die Eintrittswahrscheinlichkeit ist hoch, wenn keine regelmäßigen Schulungen stattfinden und keine technischen Maßnahmen wie E-Mail-Filter implementiert sind.
- Veraltete Software: Eine Schwachstelle könnte eine veraltete Softwareversion sein, die bekannte Sicherheitslücken aufweist. Die Eintrittswahrscheinlichkeit, dass diese Schwachstelle ausgenutzt wird, steigt, wenn keine regelmäßigen Updates durchgeführt werden. Auch spielt es eine Rolle ob das System “von aussen” erreichbar ist oder nicht.
Auswirkungen bestimmen
Angenommen dein Auto wird gestohlen? Die “Auswirkung” wäre ein Totalverlust und somit der aktuelle Zeitwert des Fahrzeuges.
Im Moment ignorieren wir die bestehende Versicherung, die den Schaden vielleicht übernehmen würde. Die Versicherung ist nämlich eine Massnahme zur Risikominimierung und darum geht es noch nicht.
In der Informationssicherheit ist es deutlich schwerer den “Schaden” bzw. die Auswirkung zu bestimmen.
Angenommen ein Mitarbeiter würde durch einen Ransomware Angriff betroffen. Zunächst ist also sein Computer nicht mehr nutzbar.
Er hat das zu spät bemerkt und der Angreifer konnte auch Daten im Netzwerk erreichen und verschlüsseln – jetzt haben wir eine deutlich größere Auswirkung.
Eventuell führt das dazu, dass ein komplettes Unternehmen nicht mehr arbeiten kann – vielleicht für mehrere Wochen? Jetzt wird es kritisch.
In so einem Fall könnte man verschiedene Risiken definieren:
Erfolgreicher Ransomware Angriff auf einen Mitarbeiter – Verschlüsselung von Netzwerkdaten – vollständiger Ausfall der IT.
An Stelle von Lösungen ist in diesem Schritt manchmal auch Erfahrung und Spürsinn von Nöten.
Risiken bestimmen
Um Risiken zu managen, musst du zunächst die Schwachstellen identifizieren und prüfen welcher Bedrohung diese ausgesetzt sind.
Im nächsten Schritt benötigen wir eine systematische Vorgehensweise um das Risiko bewerten und dann mit anderen Risiken vergleichen zu können.
Der primäre Sinn beim “Risikomanagement” liegt u.a. darin, die hohen Risiken gegenüber geringeren Risiken priorisieren zu können.
Ein möglicher Ansatz ist sowohl für die Eintrittshäufigkeit als auch für die Schadensauswirkungen verschiedene “Stufen” zu definieren.
Ich selbst verwende eine 5×5 Matrix. Aber man kann auch dem bsi folgen und eine 4×4 Matrix nutzen.
Klassifizierung der Eintrittshäufigkeit (nach bsi)
| Eintrittshäufigkeit | Beschreibung |
|---|---|
| selten (1) | Das Ereignis könnte nach heutigem Kenntnisstand höchstens alle fünf Jahre auftreten. |
| mittel (2) | Das Ereignis tritt einmal alle fünf Jahre bis einmal im Jahr ein. |
| häufig (3) | Das Ereignis tritt einmal im Jahr bis einmal pro Monat ein. |
| Sehr häufig (4) | Das Ereignis tritt mehrmals im Monat ein. |
Klassifizierung der Schadensauswirkungen (nach bsi)
| Schadenshöhe | Schadensauswirkungen |
|---|---|
| vernachlässigbar (1) | Die Schadensauswirkungen sind gering und können vernachlässigt werden. |
| begrenzt (2) | Die Schadensauswirkungen sind begrenzt und überschaubar. |
| beträchtlich (3) | Die Schadensauswirkungen können beträchtlich sein. |
| existenzbedrohend (4) | Die Schadensauswirkungen können ein existenziell bedrohliches, katastrophales Ausmaß annehmen. |
Das Management freut sich übrigens immer auch, wenn man den Schaden bzw. das Risiko in “Münzen” darstellen kann 😉
Risiken bewerten
Wenn ich sowohl die Eintrittswahrscheinlichkeit als auch die Schadensauswirkung bestimmt habe, ergibt sich das Risiko dann in einer “Risikomatrix”.
Ich selbst vergebe dafür Zahlen (z.B. von 1 bis 4 oder 1 bis 5) und multipliziere diese.
Nehmen wir eine “mittlere Häufigkeit” = 2 und eine “beträchtliche Auswirkung” = 3 dann hätten wir ein Risiko von 2 x 3 = 6.
Das kann man auch in einem Bild (Quelle: bsi.bund.de) darstellen:
Es würde sich also ein “mittleres” Risiko ergeben.
Damit sind wir nun in der Lage unterschiedliche Risiken zu vergleichen.
Fazit
Die “Risiko Rumba” zeigt uns, dass das Verständnis und Management von Risiken ein dynamischer Prozess ist, der auch ständige Aufmerksamkeit und Anpassung erfordert.
Indem du die Schwachstellen in deinem System erkennst und die Eintrittswahrscheinlichkeit als auch die möglichen Auswirkungen bewertest, kannst du proaktive Maßnahmen ergreifen, um die Sicherheit deines Unternehmens zu gewährleisten.
Damit sind wir natürlich noch nicht fertig. Wenn wir nun aber unsere Risiken kennen und diese auch bewertet haben können wir auch daran arbeiten die Risiken kleiner zu machen.
Wie das geht besprechen wir im nächsten Teil der Serie.
Also – bleib dran für den nächsten Schritt in unserer “Risiko Rumba”!
The post emphasizes the importance of understanding and managing risks to ensure the security of an organization.
- Risk Definition: A risk arises when a vulnerability meets a threat. For example, parking a car in an unsafe area without an alarm system increases the risk of theft.
- Identifying Vulnerabilities: Vulnerabilities are weak points in a system that threats can exploit, such as outdated software or unsecured networks.
- Evaluating Likelihood: The likelihood of a threat exploiting a vulnerability depends on various factors, like the frequency of exposure to the threat.
- Assessing Impact: The impact of a risk can range from negligible to existential, depending on the severity of the consequences.