Die Zeiten, in der man sich in der Informatiksicherheit mit einem Virenscanner und einer Firewall sicher fühlen konnte, sind schon seit längerer Zeit vorbei. Die Thematik ist über die Jahre komplexer geworden und man sieht sich als Unternehmen vielerlei Gefahren ausgesetzt. IT-Risk Management ist eine unterstützende Massnahme, um Gefahren zu erkennen und ihnen proaktiv gegenüber zu treten.

In den letzten Jahren haben sich verschieden Frameworks verbreitet, um die Unternehmen in diesem Bereich zu unterstützen. Diese Frameworks unterscheiden sich zwar immer ein wenig, doch haben sie auch immer gemeinsame Nenner. Dieser Artikel soll eine Übersicht über den Bereich IT-Risk Management geben und die wichtigsten Aspekte herausleuchten. Angefangen bei der Gefahr bis hin zu den Risiken und wie man die selbigen behandeln kann.

Die Gefahren

An erster Stellekommt die Erkennung der Gefahren denen man gegenüber steht. Jedes Unternehmen ist den ähnlichen Gefahren ausgesetzt sobald man eine IT-Infrastruktur betreibt und diese noch an das Internet angebunden hat.

Die Gefahr geht immer von jemandem aus. Sei dies ein interner Mitarbeiter oder eine Hacktivisten-Gruppe wie Anonymous. Nun gilt es den Angreifer zu charakterisieren. Hier helfen zum Beispiel Fragen wie:

• Wie mächtig ist der Angreifer?
• Wie motiviert ist er um sein Ziel zu erreichen?
• Wie fundiert ist sein Wissen?

Als nächstes kommt die Tätigkeit. Also was macht der Angreifer. Hier wird werden Tätigkeiten gesucht, die ein Angreifer ausführen kann. Stiehlt er etwas oder geht es ihm um eine sinnlose Zerstörung.

Und der wichtigste Punkt ist herauszufinden, was in einem Unternehmen alles in Gefahr sein kann. Für eine Schweizer Bank sind wohl die Kundendaten von erhöhter Priorität. Bei einem Unternehmen welches aktiv Forschung betreibt, werden wohl diese Forschungsergebnisse als das wichtigste Gut betrachtet.

Zum Schluss möchte ich zwei mögliche Gefahren als Beispiele aufführen, die wir in den vergangenen Jahren in den Medien mehrmals gesehen haben:

1. Ein interner Mitarbeiter stiehlt Kundendaten (z.B. Bei einer Bank werden Kundeninformationen gestohlen und im Ausland zum Kauf angeboten)
2. Eine kriminelle Organisation stiehlt geheime Informationen (z.B. Bei RSA wurde ins Netzwerk eingebrochen und sensitive Informationen über ihre RSA-Tokens entwendet)

Gefahrenszenarien

Das Szenario beschreibt, wie die Gefahr eintreten kann. Trojaner, die Daten und Passwörter ausspähen, gehören in diesen Bereich, wie auch das Social Engineering, wo Mitarbeiter angegangen werden, um an Informationen zu kommen. Die Palette von Angriffs-Vektoren ist sehr vielfältig. Um den Rahmen hier nicht zu sprengen, fahre ich mit den beiden Gefahrenbeispielen fort und bilde je ein mögliches Szenario:

1. Ein interner Mitarbeiter stiehlt Kundendaten, indem er unerlaubterweise eine Daten-CD brennt.
2. Eine kriminelle Organisation stiehlt geheime Informationen, indem sie einen Trojaner im Netzwerk einschleust.

Das Risiko

Um das Risiko zu bewerten, muss man die zuvor kreierten Szenarien herbeiziehen und sie mit den vorhandenen Massnahmen vergleichen.

1. Ein interner Mitarbeiter stiehlt Kundendaten, indem er unerlaubterweise eine Daten-CD brennt. ⇒ Jeder PC ist mit einem Brenner ausgestattet und auch das schreiben auf USB Sticks ist nicht eingeschränkt. Fazit: Es besteht ein erhöhtes Risiko, dass Daten unbemerkt aus dem Unternehmen entwendet werden.
2. Eine kriminelle Organisation stiehlt geheime Informationen, indem sie einen Trojaner im Netzwerk einschleust. ⇒ Alle Systeme sind mit einem Antiviren Scanner ausgestattet. Zusätzlich ist eine Lösung im Einsatz, welche die Ausführung von unerlaubtem Code unterbindet (z.B. Whitelisting). Fazit: Es besteht ein geringes Risiko, dass dieser Fall eintritt.

Die Mitigierungsmassnahmen

Wenn man sich der Risiken bewusst ist, hat man zwei Möglichkeiten. Man kann das Risiko akzeptieren oder man kann proaktiv das Risiko minimieren. Vor allem sollte man als erstes die hohen Risiken auf einen vertretbaren Stand bringen. Hier nehme ich das erhöhte Risiko:

• Ein interner Mitarbeiter stiehlt Kundendaten indem er unerlaubterweise eine Daten-CD brennt. ⇒ Massnahmen: Das Brennen von CDs und das beschreiben von Wechseldatenträger im Unternehmen wird unterbunden und überwacht. Fazit: Das Risiko wird massiv verringert.

Fazit

IT-Risk Management hilft allen Unternehmen frühzeitig die Gefahren zu erkennen und Risiken zu minimieren. Ebenfalls dient es dazu, um den Sicherheits-Zustand eines Unternehmens zu erfassen und um den Verantwortlichen Personen den Status aufzuzeigen. Es sollte aber vor allem ein integraler Bestandteil des IT-Sicherheitskonzepts jedes Unternehmens sein.

Über den Autor