Ist die Geschäftskontinuität nicht Teil der Sicherheit?
Andrea Covello
Die Zeiten, in der man sich in der Informatiksicherheit mit einem Virenscanner und einer Firewall sicher fühlen konnte, sind schon seit längerer Zeit vorbei. Die Thematik ist über die Jahre komplexer geworden und man sieht sich als Unternehmen vielerlei Gefahren ausgesetzt. IT-Risk Management ist eine unterstützende Massnahme, um Gefahren zu erkennen und ihnen proaktiv gegenüber zu treten.
In den letzten Jahren haben sich verschieden Frameworks verbreitet, um die Unternehmen in diesem Bereich zu unterstützen. Diese Frameworks unterscheiden sich zwar immer ein wenig, doch haben sie auch immer gemeinsame Nenner. Dieser Artikel soll eine Übersicht über den Bereich IT-Risk Management geben und die wichtigsten Aspekte herausleuchten. Angefangen bei der Gefahr bis hin zu den Risiken und wie man die selbigen behandeln kann.
An erster Stellekommt die Erkennung der Gefahren denen man gegenüber steht. Jedes Unternehmen ist den ähnlichen Gefahren ausgesetzt sobald man eine IT-Infrastruktur betreibt und diese noch an das Internet angebunden hat.
Die Gefahr geht immer von jemandem aus. Sei dies ein interner Mitarbeiter oder eine Hacktivisten-Gruppe wie Anonymous. Nun gilt es den Angreifer zu charakterisieren. Hier helfen zum Beispiel Fragen wie:
Als nächstes kommt die Tätigkeit. Also was macht der Angreifer. Hier wird werden Tätigkeiten gesucht, die ein Angreifer ausführen kann. Stiehlt er etwas oder geht es ihm um eine sinnlose Zerstörung.
Und der wichtigste Punkt ist herauszufinden, was in einem Unternehmen alles in Gefahr sein kann. Für eine Schweizer Bank sind wohl die Kundendaten von erhöhter Priorität. Bei einem Unternehmen welches aktiv Forschung betreibt, werden wohl diese Forschungsergebnisse als das wichtigste Gut betrachtet.
Zum Schluss möchte ich zwei mögliche Gefahren als Beispiele aufführen, die wir in den vergangenen Jahren in den Medien mehrmals gesehen haben:
Das Szenario beschreibt, wie die Gefahr eintreten kann. Trojaner, die Daten und Passwörter ausspähen, gehören in diesen Bereich, wie auch das Social Engineering, wo Mitarbeiter angegangen werden, um an Informationen zu kommen. Die Palette von Angriffs-Vektoren ist sehr vielfältig. Um den Rahmen hier nicht zu sprengen, fahre ich mit den beiden Gefahrenbeispielen fort und bilde je ein mögliches Szenario:
Um das Risiko zu bewerten, muss man die zuvor kreierten Szenarien herbeiziehen und sie mit den vorhandenen Massnahmen vergleichen.
Wenn man sich der Risiken bewusst ist, hat man zwei Möglichkeiten. Man kann das Risiko akzeptieren oder man kann proaktiv das Risiko minimieren. Vor allem sollte man als erstes die hohen Risiken auf einen vertretbaren Stand bringen. Hier nehme ich das erhöhte Risiko:
IT-Risk Management hilft allen Unternehmen frühzeitig die Gefahren zu erkennen und Risiken zu minimieren. Ebenfalls dient es dazu, um den Sicherheits-Zustand eines Unternehmens zu erfassen und um den Verantwortlichen Personen den Status aufzuzeigen. Es sollte aber vor allem ein integraler Bestandteil des IT-Sicherheitskonzepts jedes Unternehmens sein.
Unsere Spezialisten kontaktieren Sie gern!
Andrea Covello
Michèle Trebo
Lucie Hoffmann
Yann Santschi
Unsere Spezialisten kontaktieren Sie gern!