|
Eigentlich interessiert es - außer einer kleinen Gemeinde - niemanden, ob
Computersysteme sicher sind, oder überhaupt sicher gemacht werden können.
Andererseits stützen wir vielfältige Arbeitsabläufe in Industrie und
Verwaltung zunehmend auf IT-Systeme ab, und ob diese Arbeitsabläufe,
und damit der Bestand von Unternehmen und die Wahrnehmung öffentlicher
Aufgaben, ausreichend sicher sind - dies interessiert sehr wohl.
Und so stellen sich den Verantwortlichen folgende Fragen, auf die der
Vortrag Antworten vorschlägt:
- Wieviel Sicherheit braucht Ihr Unternehmen?
- Was muß geschützt werden?
- Vor welchen Bedrohungen?
- Wieviel Sicherheit ist wirtschaftlich?
- Wie erfüllen Sie die Forderungen des KonTraG?
- Wie kann aus verwundbaren und überwindbaren Komponenten eine
verläßliche Sicherheitsarchitektur entstehen?
Vorgestellt wird ein praxisorientiertes Verfahren, um die Abhängigkeiten
Ihrer Organisation von ihrer IT und die daraus resultierenden Risiken
systematisch zu erfassen. Diese Einzelrisiken werden quantifiziert und
in verschiedenen Dimensionen zu Risikokennzahlen verdichtet.
Unter Risikoinventar ("assets") werden dabei all diejenigen Daten- und
Funktionsbestände der IT-Systeme verstanden, die im Rahmen der
Geschäftsprozesse für die Organisation selbst oder einen Dritten
wertvoll sind, oder deren Missbrauch für die Organisation oder Dritte
einen materiellen oder immateriellen Schaden zur Folge haben könnten.
Die Inventarisierung betrachtet hierzu die verschiedene Aspekte der
Organisation, um das Risikoinventar möglichst vollständig zu
identifizieren: Werte, sicherheitsrelevante Prozeßwirkungen sowie
rechtliche und vertragliche Schadenspotentiale. Zur Klassifikation
materieller und immaterieller Schadenspotentiale wird ein Verfahren
vorgeschlagen.
Im nächsten Schritt werden aus diesem Risikoinventar an Hand der
Schadensklassen Schutzbedürfnisse und Schutzziele abgeleitet, und das
Risikoinventar auf IT-Komponenten lokalisiert. Auf Basis des
Expositionsgrads und des Sicherheitsniveaus der Komponenten wird eine
Risikoklassifikation gewonnen.
Sie erhalten damit eine Datenbasis, welche kontinuierlich weiter gepflegt
werden kann, und Ihnen automatisiert jederzeit Überblick gibt über
- die aktuelle IT-Risikolage des Unternehmens aus Sicht der
Geschäftsprozesse und der Technik
- die Dringlichkeit des Handlungsbedarfs in einzelnen Bereichen
- die Angemessenheit Ihres IT-Sicherheitsbudgets und der
Sicherheitsmaßnahmen
- die Auswirkungen einer konkreten Sicherheitskrise
Gleichzeitig dient sie als Werkzeug, um verschiedene Sicherheitsarchitekturen
und -maßnahmen vor der Realisierung hinsichtlich ihrer Wirkung und
Kosteneffizienz zu untersuchen und zu vergleichen. Weiterhin läßt sich die
potentielle Wirkung neuer Bedrohungsszenarien genauso untersuchen, wie die
Risikolage neuer Geschäftsprozesse oder die Auswirkungen von
IT-Umstrukturierungen.
|
![[ Auf sicheren Webserver umschalten (SSL) ]](../../../img/icons/lock-open.png "Auf sicheren Webserver umschalten (SSL)"){kind=icon}
![[ Druckversion anzeigen ]](../../../img/icons/media-screen.png "Druckversion anzeigen"){kind=icon}
![[ Hilfe ]](../../../img/icons/help.png "Hilfe"){kind=icon}
Home
Nicht angemeldet 