IT Risk Assessment

Risikobewertungen: Maßnahmen und Tipps zur Priorisierung von Risiken

19.02.2018, München, Netwrix | Autor: Herbert Wieler

Risiken identifizieren, schätzen und priorisieren

Um eine möglichst hohe Effizienz bei den eingesetzten Sicherheitslösungen erzielen zu können, ist eine regelmäßige Risikobewertung der Vermögenswerte eines Unternehmens unerlässlich.

Risikobewertungen werden dazu verwendet, um die potentiellen Risiken bei einer möglichen Sicherheitsbedrohung für Unternehmen und deren Vermögenswerte, im Vorfeld zu identifizieren, zu schätzen und zu priorisieren.

Durch den Betrieb und der sich ändernden Nutzung von Informationssystemen ergeben sich immer wieder neue Schwachstellen in der IT-Infrastruktur, die man in Bezug auf einen potentiellen Verlust von Geld, im Auge behalten sollte.

Unternehmen sollten zuerst darüber nachdenken, auf welchen Wegen der Umsatz generiert wird, wie sich die Mitarbeiter und die Vermögenswerte auf die Rentabilität des Unternehmens auswirken und welche Risiken zu großen monetären Verlusten für das Unternehmen führen könnten. Danach sollte man darüber nachdenken, wie die IT-Infrastruktur verbessert werden könnte, um die Risiken eines finanziellen Verlustes zu reduzieren.

Die grundlegende Risikobewertung bezieht sich eigentlich nur auf drei Hauptfaktoren: die Wichtigkeit der gefährdeten Vermögenswerte, wie kritisch die Bedrohung ist und wie anfällig das System für diese Bedrohung ist.

Anhand dieser Faktoren können Sie das Risiko einschätzen, wie hoch die Wahrscheinlichkeit eines Geldverlusts sein könnte. Obwohl bei der Risikobewertung logische Konstrukte und keine Zahlen verwendet werden, ist es sinnvoll, sie als Formel darzustellen:

Risiko = Asset x Bedrohung x Sicherheitslücke

Denken Sie jedoch daran, dass bereits bei einer Null, das Ergebnis auch zu Null führt. Wenn beispielsweise der Bedrohungsfaktor hoch und die Sicherheitslücke hoch ist, aber die Wichtigkeit des Vermögens gleich Null ist (mit anderen Worten, es ist Ihnen kein Geld wert), wird Ihr Risiko Geld zu verlieren auch Null sein. Daher dürfte der Einsatz einer Null nicht wirklich realistisch sein.

Wenn beispielsweise Ihre Systeme ausfallen würden, wie viel Geld würde Ihr Unternehmen aufgrund von Ausfallzeiten verlieren? Die Schwere eines gegebenen Risikos hängt somit auch von den Besonderheiten der Organisation ab.

In diesem Beitrag werden zwei Ansätze zur Priorisierung von Risiken untersucht, die Qualitative und die Quantitative.

Hier sind einige der wichtigsten Risiken in der Informationssicherheit, die Sie beachten sollten:

Angreifer können elektronische Daten verändern, stehlen oder missbrauchen oder einen Computer oder ein System rechtswidrig benutzen. Beispielsweise, wenn jemand erfolgreich, betrügerische Daten verwendet, um ein Produkt von Ihrem Online-Shop zu kaufen, wird Ihr Unternehmen Geld verlieren. Daher müssen Sie einen Prozess oder eine Lösung implementieren, die den Betrug verhindern oder zumindest das Betrugsrisiko verringern kann.
Rechtsfragen – Viele Arten von Vorfällen können zu kostspieligen rechtlichen Problemen führen. Wenn sich beispielsweise jemand in Ihr System einhakt und Daten aus Ihrer Datenbank stiehlt, kann Ihre Organisation, selbst wenn die gestohlenen Informationen nicht besonders wertvoll sind, rechtliche Konsequenzen einleiten, da sie keine ausreichende Datenbanksicherheit bieten. Dies gilt insbesondere, wenn Sie HIPAA, PCI-DSS oder anderen Compliance-Vorschriften unterliegen. Die EU-DSGVO lässt grüßen.
Datenmissbrauch – Wenn Ihre Geschäftsgeheimnisse gestohlen werden, könnten Sie gegen Ihre Konkurrenten verlieren.
Systemausfälle – Wenn Systeme ihre Hauptfunktionen nicht erfüllen, sind Ihre Mitarbeiter möglicherweise nicht in der Lage zu arbeiten, und Ihre Kunden können möglicherweise keine Waren von Ihrer Website kaufen.

Sie sollten also zuerst die IT-Security-Risiken identifizieren und dann priorisieren, damit Sie entsprechende Ressourcen zur Verbesserung der IT-Sicherheit sinnvoll zuweisen können. Dabei können Sie entweder einen qualitativen oder einen quantitativen Ansatz wählen:

Qualitative Methoden bewerten Risiken auf der Basis nicht-numerischer Kategorien oder Ebenen (z. B. niedrig, mittel und hoch). Qualitative Ansätze sind im Allgemeinen einfacher zu handeln als quantitative Techniken, insbesondere wenn dies Ihre erste Risikobewertung ist. Dies ist oft der bessere Ansatz für kleine und mittlere Unternehmen.
Quantitative Techniken beinhalten die Zuordnung von numerischen Werten zur Risikowahrscheinlichkeit und zum monetären Verlust basierend auf einer Matrix. Quantitative Ansätze erfordern im Allgemeinen mehr Zeit und Geld als qualitative Methoden, aber die Ergebnisse sind für detaillierte Kosten-Nutzen-Analysen effektiver. Daher ist dieser Ansatz für größere Organisationen geeigneter.

Qualitative Risiko-Priorisierung

Eine qualitative Priorisierung des Risikos beginnt mit der Bestimmung von zwei Dingen für jedes Risiko:

Wie viel Geld verliert Ihr Unternehmen, wenn das Risiko eintritt?
Die Wahrscheinlichkeit, dass dieses Risiko eintritt

Dazu könnte man eine Tabelle wie die folgende einsetzen, um jedem dieser Faktoren einen Schweregrad zuzuordnen.

Verwenden Sie dann die Werte für diese beiden Faktoren, um die Risiken zu priorisieren. Wenn zum Beispiel Systemausfallzeiten zu sehr hohen finanziellen Verlusten führen und die Wahrscheinlichkeit von Ausfallzeiten hoch ist, hat dieses Risiko eine hohe Priorität. Wenn jedoch die Ausfallzeit zu einem geringen Geldverlust führt und die Ausfallwahrscheinlichkeit hoch ist, hat dieses Risiko eine moderate Priorität.

Hier ist ein Beispiel für eine sehr einfache Risikopriorisierungstabelle:

Quantitative Risiko-Priorisierung

Bei quantitativen Bewertungen wird das Risiko anhand von Zahlen bewertet, wobei die Bedeutung und Proportionalität der Werte von der Organisation aufrechterhalten wird. Diese Art der Bewertung unterstützt am besten die Kosten-Nutzen-Analyse. Die Vorteile quantitativer Bewertungen können in einigen Fällen durch die Kosten für den Zeit- und Arbeitsaufwand von Experten und durch die mögliche Einführung und Verwendung von Tools, die für solche Bewertungen erforderlich sind, aufgewogen werden.

Beginnen Sie erneut mit der Einschätzung der Wahrscheinlichkeit, dass das Risiko eintritt und wie viel Geld Ihr Unternehmen dabei verlieren würde. Dann weisen Sie jedem dieser Faktoren einen numerischen Wert zu, indem Sie eine Tabelle wie folgt verwenden:

Multiplizieren Sie die RL- und ML-Werte miteinander und verwenden Sie eine Tabelle wie die folgende, um die Priorität für jedes Risiko zu berechnen:

Verwenden Sie die Risiko-Priorisierungsergebnisse

Sobald Sie Ihre Risiken identifiziert und priorisiert haben, sollten Sie einen Risikomanagementplan aufstellen – und ihn von der obersten Leitung Ihres Unternehmens genehmigen lassen, damit Sie ein Budget für die Implementierungen erhalten. Der detaillierte Risikomanagementplan bietet eine konkrete Einschätzung für die Notwendigkeit einer Finanzierung. Es ist nicht genug zu sagen "unsere Systeme könnten gehackt werden"; Sie müssen zeigen, welchen Einfluss dieses Risiko auf das gesamte Geschäftsergebnis hätte. Sie können damit den ROI für Maßnahmen zur Risikominimierung aufzeigen. Unabhängig davon, ob man nun einen qualitativen oder einen quantitativen Ansatz für die IT-Risikobewertung und -priorisierung wählt, beides bildet die Grundlage für eine effiziente Umsetzung der IT-Sicherheitsstrategien im Unternehmen und schützt vor Überraschungen.

Wie Ihnen Netwrix bei der Risikobewertung helfen kann erfahren Sie hier .

object(WP_Post)#2295 (24) { ["ID"]=> int(14424) ["post_author"]=> string(1) "4" ["post_date"]=> string(19) "2018-02-11 09:48:03" ["post_date_gmt"]=> string(19) "2018-02-11 08:48:03" ["post_content"]=> string(5645) "##Active-Directory-Audit-Software Netwrix Auditor for Active Directory liefert Sicherheits-Analysen über das, was in der Active Directory und in den Gruppenrichtlinien vor sich geht. Die Active Directory-Änderungsprüfung ist entscheidend für die Aufrechterhaltung der Netzwerksicherheit und den Nachweis der Compliance. [link text="Netwrix Auditor for Active Directory" url="https://www.netwrix.com/active_directory_auditing.html?cID=7010g000001YTc9&utm_source=advertising&utm_medium=dach-infopoint-security&utm_campaign=all"] automatisiert die Active-Directory-Änderungsnachverfolgungs- und Berichterstattung, vermindert das Risiko des Privilegien-Missbrauchs und hilft Unternehmen, interne Sicherheitsrichtlinien und gesetzliche oder branchenspezifische Bestimmungen einzuhalten. Nutzen Sie diese Daten, um das Risiko des Missbrauchs von Privilegien zu verringern, belegen Sie die Einhaltung von IT-Compliance und vereinfachen Sie das Beheben von Fehlern. [videoplayer typ="youtube" id="95AGmIEErGE"] ##Funktionalitäten ###Interaktive Google-ähnliche Suche Ermöglicht das schnelle Sortieren von Prüfdaten und die Feinabstimmung der Suchkriterien, bis Sie die benötigten Informationen finden. ###Vergleich aktueller und früherer Konfigurationen Speichert Momentaufnahmen von Active-Directory- und Gruppenrichtlinienkonfigurationen, so dass Sie die aktuelle Konfiguration problemlos mit einem beliebigen Punkt in der Vergangenheit vergleichen können. ###Benachrichtigungen Benachrichtigt IT-Mitarbeiter über kritische Active-Directory-Änderungen, so dass Sie nicht autorisierte oder bösartige Änderungen sowie einfache Fehler, die die IT-Umgebung gefährden, schnell beheben können. ###Prüfberichte und Dashboards Hält alle Beteiligten mit leicht verständlichen, vordefinierten Prüfberichten und Dashboards auf dem Laufenden. Nutzer können die Audit-Daten filtern, sortieren und exportieren, sowie Berichte per E-Mail abonnieren. ###Anmelde-Prüfung Meldet sowohl fehlgeschlagene als auch erfolgreiche Anmeldungen und ermöglicht es Ihnen, die vollständige Anmeldungshistorie eines verdächtigen Mitarbeiters anzusehen. ###Active-Directory-Compliance Bietet Out-of-the-Box Berichte, ausgerichtet auf die Kontrolle einer breiten Palette von Standards wie PCI DSS, HIPAA, SOX, FISMA/NIST800-53, ISO/IEC 27001 und viele mehr. ###Kennwortablaufwarnung und Aufspüren inaktiver Nutzer Verbessert die Sicherheit, indem es automatisch inaktive Nutzerkonten deaktiviert und AD-Nutzer daran erinnert, ihre Passwörter zu ändern, bevor diese ablaufen. [videoplayer typ="vimeo" id="190103829"] ###Rollback und Objektwiederherstellung Stellt die Geschäftskontinuität sicher, indem Sie Änderungen rückgängig machen können, ohne dass es dabei zu Ausfallzeiten kommt oder Sie Daten aus einem Backup wiederherstellen müssen. ###Agentenlose Architektur Funktioniert ohne Agenten, so dass niemals die Leistung beeinträchtigt wird oder Ausfallzeiten verursacht werden. [zitat]Netwrix Auditor hilft uns dabei, Active-Directory-Berichte über geänderte Attribute zu erstellen und ermöglicht es uns so, schnell auf Ereignisse zu reagieren, die das Potenzial haben könnten, unsere Einhaltung der Compliance zu stören[/zitat] *Ofer Amrami, Director, Infrastructure and Operations, American Career College* ###Kontinuierliche Active Directory-Überwachung [bild float="ja" lightbox="ja" id="14427"] Finden Sie schnell Antworten auf Fragen von internen und externen Prüfern, beispielsweise, was sich in der Enterprise-Admin-Group im vergangenen Jahr geändert hat und wer jede dieser Änderungen vorgenommen hat. Die unanfechtbaren Prüfdaten können in einem zweistufigen AuditArchive™ (dateibasiert + SQL-Datenbank) für mehr als 10 Jahre gespeichert werden. ###Unerwünschte Active-Directory-Änderungen beheben und Audit-Berichte [bild float="ja" lightbox="ja" id="14426"] Die Netwrix-Active-Directory-Audit-Software überwindet die Einschränkungen herkömmlicher Audit-Tools, indem sie zeitaufwendige und fehleranfällige manuelle Prozesse für die Datenkonsolidierung, Analyse und Berichterstattung beseitigt. IT-Administratoren können den wichtigsten Beteiligten die notwendigen Informationen über Änderungen an AD-Objekten, Gruppenrichtlinienkonfigurationen, Verzeichnispartitionen und vieles mehr schnell bereitstellen. Und sie können sogar unerwünschte Änderungen wieder zurücknehmen, ohne den Geschäftsablauf zu stören. [zitat]Sobald wir Netwrix Auditor implementiert hatten, erhielten wir eine sehr einfach zu bedienende Lösung, die uns detailliert über das Wer, Was, Wann und Wo aller Active-Directory-Änderungen informiert. Das spart uns jedes Mal, wenn wir herausfinden müssen, wer eine spezifische Änderung vorgenommen hat, Stunden der investigativen Arbeit[/zitat]*Jeff Salisbury, Director, Global IT Operations, Belkin International, Inc.* ###Erkennen und Untersuchen von nicht autorisierten Änderungen privilegierter Nutzer [bild float="ja" lightbox="ja" id="14425"] Verwenden Sie vordefinierte Änderungs- und Konfigurationsüberwachungsberichte, Echtzeit-Benachrichtigungen und Dashboards, um verdächtige Änderungen, die Sicherheitsrisiken verursachen könnten, zu identifizieren. Wenn Sie eine Änderung entdecken, die nicht mit der Sicherheitsrichtlinie Ihres Unternehmens übereinstimmt, können Sie die interaktive Suche verwenden, um herauszufinden, wie es dazu kommen konnte und können Maßnahmen ergreifen, mit denen Sie in Zukunft ähnliche Vorkommnisse verhindern. [service]" ["post_title"]=> string(36) "Netwrix Auditor for Active Directory" ["post_excerpt"]=> string(293) "Netwrix Auditor für Active Directory automatisiert die Active-Directory-Änderungsnachverfolgungs- und Berichterstattung, vermindert das Risiko des Privilegien-Missbrauchs und hilft Unternehmen, interne Sicherheitsrichtlinien und gesetzliche oder branchenspezifische Bestimmungen einzuhalten." ["post_status"]=> string(7) "publish" ["comment_status"]=> string(6) "closed" ["ping_status"]=> string(6) "closed" ["post_password"]=> string(0) "" ["post_name"]=> string(36) "netwrix-auditor-for-active-directory" ["to_ping"]=> string(0) "" ["pinged"]=> string(0) "" ["post_modified"]=> string(19) "2018-10-20 15:03:18" ["post_modified_gmt"]=> string(19) "2018-10-20 13:03:18" ["post_content_filtered"]=> string(0) "" ["post_parent"]=> int(0) ["guid"]=> string(42) "https://www.infopoint-security.de//p14424/" ["menu_order"]=> int(5) ["post_type"]=> string(7) "produkt" ["post_mime_type"]=> string(0) "" ["comment_count"]=> string(1) "0" ["filter"]=> string(3) "raw" }