Unabhängig von der Branche, in der ein Unternehmen tätig ist, oder dem Rahmenwerk für das Informationssicherheitsmanagement, das es verwendet, ist es höchstwahrscheinlich erforderlich, eine Risikobewertung durchzuführen. Dies ist für viele Unternehmen ein großes Problem und eine Quelle der Verwirrung, da der Begriff Risikobewertung je nach Kontext unterschiedliche Bedeutungen haben kann. Selbst das Wort "Risiko" kann für verschiedene Personen unterschiedliche Bedeutungen haben. Dieser Leitfaden klärt diese Themen und vieles mehr.
Um eine Risikobewertung durchführen zu können, ist es wichtig zu verstehen, was das Wort "Risiko" im Kontext der Informationssicherheit bedeutet. Die Begriffe Bedrohung, Schwachstelle und Risiko werden im alltäglichen Sprachgebrauch oft synonym verwendet, aber im Zusammenhang mit der Informationssicherheit haben diese Begriffe eine unterschiedliche Bedeutung. Eine Schwachstelle ist eine Schwäche in der Informationssicherheit eines Unternehmens. Eine Bedrohung ist eine Gefahr, die eine Schwachstelle ausnutzen kann. Die Parteien, die eine Bedrohung darstellen und eine Schwachstelle ausnutzen, werden gemeinhin als Bedrohungsakteure bezeichnet. Das Risiko ist die Auswirkung einer Bedrohung, die eine Schwachstelle ausnutzt, wenn man die Wahrscheinlichkeit berücksichtigt, dass dieses Ereignis eintritt. Dies kann wie folgt ausgedrückt werden:
Auswirkung eines Bedrohungsereignisses x Wahrscheinlichkeit des Auftretens des Ereignisses = Risiko
Ein Computer, auf dem eine Antiviren-Software läuft, deren Virendefinitionen veraltet sind, stellt zum Beispiel eine Schwachstelle dar, während eine Malware-Infektion eine Bedrohung ist. Wenn die Auswirkungen dieses Ereignisses als katastrophal und sehr wahrscheinlich eingeschätzt werden, handelt es sich um ein kritisches Risiko. Wenn die Auswirkungen dieses Ereignisses jedoch als minimal und nicht sehr wahrscheinlich eingeschätzt werden, handelt es sich um ein geringes Risiko.
Die Begriffe Risikobewertung und Risikoanalyse beschreiben verwandte, aber unterschiedliche Aktivitäten. Bei einer Risikobewertung werden alle Bedrohungen und Schwachstellen sowie die damit verbundenen Auswirkungen und Wahrscheinlichkeiten ermittelt. Im Wesentlichen geht es darum, dass die Organisation die Frage beantwortet: "Was kann schiefgehen?" Eine Risikoanalyse bewertet die Erkenntnisse, die bei der Risikobewertung gewonnen wurden. Typische Aktivitäten, die während einer Risikoanalyse durchgeführt werden, sind:
Es gibt viele verschiedene Arten von Bedrohungen und Schwachstellen, die eine Organisation erkennen muss. Obwohl jede Organisation in einer einzigartigen Umgebung lebt, gibt es viele gemeinsame Bedrohungen und Schwachstellen, die die meisten Organisationen betreffen.
Bedrohungen können menschlicher oder nicht-menschlicher Natur sein und von innen oder von außen kommen. Einige gängige Bedrohungen/Bedrohungsakteure sind zum Beispiel, aber nicht ausschließlich:
Wie bereits erwähnt, sind Schwachstellen Schwachstellen in einer Organisation, die ausgenutzt werden können. Es ist wichtig, dass Schwachstellen richtig erkannt werden, denn das Schwachstellenmanagement liegt in der Hand der Organisation, während sie wenig bis gar keine Kontrolle über die Bedrohungen hat, denen sie ausgesetzt ist. Häufige Schwachstellen sind unter anderem:
Zwei gängige Ansätze zur Risikoanalyse sind quantitativ und qualitativ. Bei einer quantitativen Risikoanalyse wird versucht, die Kosten für das Ausnutzen einer Schwachstelle durch einen Bedrohungsagenten zu beziffern. Eine qualitative Risikoanalyse verwendet Deskriptoren, um Risiken zu kategorisieren. So kann z. B. ein hierarchisches Schema wie hohe, mittlere und niedrige Risiken zur Priorisierung verwendet werden. Beide Methoden haben ihre Vorteile, daher muss eine Organisation entscheiden, welche Methode für ihre spezielle Situation geeignet ist.
Auch wenn es viele Möglichkeiten gibt, den mit Risiken verbundenen Geldwert zu bestimmen, gibt es einige Schlüsselkonzepte, die bei der Durchführung einer quantitativen Risikoanalyse als grundlegend gelten. Diese Schlüsselkonzepte sind:
Der SLE wird nach der folgenden Formel berechnet:
Wert des Vermögenswerts x Risikofaktor = SLE
ALE wird mit der folgenden Formel berechnet:
SLE x ARO = ALE
Wenn der Wert eines Vermögenswerts beispielsweise 10.000 US-Dollar beträgt und eine Firma davon ausgeht, dass ein bestimmtes Bedrohungsereignis 25 % des Werts des Vermögenswerts kosten wird, dann beträgt die Einzelschadenerwartung 2.500 US-Dollar. Wenn die ARO 0,5 beträgt, d.h. das Ereignis einmal alle zwei Jahre eintritt, wird die jährliche Verlusterwartung berechnet, indem man die 2.500 USD SLE mit 0,5 multipliziert, also 1.250 USD. Diese Werte sind für ein Unternehmen äußerst nützlich, da sie dazu verwendet werden können, Risiken mit hoher Auswirkung zu identifizieren, Prioritäten zu setzen und der Geschäftsführung konkrete Werte für ihre Entscheidungen an die Hand zu geben.
Diese Art der Risikoanalyse ist nützlich, da sie einen Überblick über die Risiken gibt, denen eine Organisation ausgesetzt ist. Es gibt zwar viele verschiedene Möglichkeiten, den Auswirkungen und der Wahrscheinlichkeit Werte zuzuweisen, aber ein gängiges Schema ist, jeden Faktor mit hoch, mittel und niedrig zu bewerten. Anhand dieser Werte kann eine Matrix erstellt werden, die wie folgt aussehen kann:
| Auswirkung |
|||
| Wahrscheinlichkeit |
Katastrophisch |
Schwerwiegend |
Geringfügig |
| Unmittelbar |
Hohes Risiko |
Hohes Risiko |
Mittleres Risiko |
| Wahrscheinlich |
Hohes Risiko |
Mittleres Risiko |
Geringes Risiko |
| Unwahrscheinlich |
Mittleres Risiko |
Geringes Risiko |
Minimales Risiko |
Diese Matrix kann als Entscheidungshilfe für das Management verwendet werden. Eine Organisation kann zum Beispiel sagen, dass hohe und mittlere Risiken auf irgendeine Weise angegangen werden müssen, um das Risiko auf ein akzeptables Niveau zu senken.
Es gibt zahlreiche Methoden, die veröffentlicht wurden, um eine Organisation durch den Prozess der Risikobewertung und -analyse zu führen, die sich in Bezug auf Komplexität und Umfang unterscheiden.
Diese Publikation ist eine der beliebtesten Methoden und bietet Anleitungen für die Durchführung von Risikobewertungen aller Größenordnungen. Von organisationsweiten Bewertungen bis hin zu anwendungsspezifischen Bewertungen werden in dieser Methodik Techniken zur Identifizierung von Bedrohungen und Schwachstellen, zur Analyse von Kontrollen, zur Bestimmung von Wahrscheinlichkeiten und Auswirkungen sowie zu den Anforderungen für die Berichterstattung über die Ergebnisse von Risikobewertungen beschrieben.
Diese Methodik ist hilfreich, wenn eine Organisation ein Informationssicherheitsmanagementsystem nach der Norm ISO/IEC 27001 eingeführt hat. Die ISO/IEC 27005 ist der NIST-Publikation sehr ähnlich, konzentriert sich aber mehr auf die weichere Seite der Informationssicherheit und betont die Notwendigkeit von Dokumentation, Personal und Ausbildung.
Die Risikobewertung und -analyse muss ein kontinuierlicher Prozess sein, da sich die Bedrohungsumgebung einer Organisation ständig weiterentwickelt. Auf diese Weise kann eine Organisation die Risiken auf ein akzeptables Niveau reduzieren, indem sie zusätzliche Kontrollen identifiziert, die eventuell implementiert werden müssen, oder andere Maßnahmen bestimmt, die die Organisation ergreifen kann, um das Risiko zu verringern. Die Risikobewertung und -analyse ist für die Entwicklung und Aufrechterhaltung einer sicheren Organisation von entscheidender Bedeutung, da sie Organisationen dazu zwingt, Risiken zu erkennen und anzugehen, und sie in die Lage versetzt, Ressourcen richtig zuzuweisen, um Risiken so effektiv wie möglich zu reduzieren.