Es gibt immer wieder mal die Situation, in der ich jemandem erklären muss, was IT Risk Management ist. Wenn ich dann das Gespräch beginne und sage, dass jeder von uns jeden Tag Risk Management betreibt, ernte ich meist ungläubige Blicke. Wir sehen uns jeden Tag zig Gefahren ausgesetzt. Sei es beim Überqueren der Strasse, beim Autofahren, im Sport, selbst zuhause.

Nur – im Gegensatz zur Informatik – kennen die meisten Leute die alltäglichen Gefahren. So braucht jemand beim Überqueren der Strasse nur seine Erfahrung abzurufen, um dann sogleich zu erkennen, ob es sicher ist loszulaufen. Das passiert meist sogar unbewusst, solange wir keine Anomalien um uns erkennen. Wenn aber nun die Unfallrate bei Fussgängern beim Überqueren der Strasse drastisch ansteigen und dementsprechend auch die mediale Berichterstattung zunehmen würde, würden wir uns zweimal überlegen, ob wir nun über die Strasse laufen. Im IT Risk Management beginnt auch alles mit der Erkennung der Gefahren, was ich in diesem Labs Artikel gerne etwas näher betrachte.

Was will man schützen?

Als erstes muss man wissen, was denn überhaupt in Gefahr ist. Bei dem in der Einleitung verwendeten Beispiel mit der Strassenüberquerung ist meine Gesundheit in Gefahr. Auf die Informatik übertragen, stellt sich hier die Frage, was für Wertbestände (Assets) in einem Unternehmen vorhanden sind und in Gefahr sein könnten. Diese Frage muss vom Business beantwortet werden. Als ehemaliger System Engineer weiss ich, dass man als Informatiker manchmal Annahmen trifft, die nicht immer von allen Abteilungen geteilt werden.

Am besten stellt man sich eine Liste mit den Wertbeständen zusammen. Wichtig ist, dass wir uns im IT Risk Management nur auf Dinge konzentrieren, die auch in irgendeiner Verbindung mit der Informatik stehen. Sei dies die Steuerung eines Roboters oder gespeicherte Kundeninformationen.

Hat man eine solche Liste zusammen, kann man die Wertbestände in Gruppen aufteilen. Zum Beispiel: Kundendaten, Forschungsergebnisse, Geld etc. Wichtig ist auch, welche Wertbestände welchen Stellenwert für das Unternehmen haben (Priorisierung) und was für ein Verlust daraus resultieren könnte.

Die Gefahr selbst

Als erstes greife ich wieder das Beispiel mit der Strassenüberquerung auf. Die Frage stellt sich nämlich, wie denn meine Gesundheit in Gefahr ist. Bei diesem Beispiel eine relativ einfach zu beantwortende Frage: Ich könnte angefahren werden – Die ganze Gefahr lautet also “Ich (meine Gesundheit) werde angefahren”.

Und nun zurück in die Informatik. Was kann alles mit meinen Wertbeständen passieren? Daten können gestohlen, Geld kann ertrogen und Steuerungen manipuliert werden. Wenn man das mit allen Wertbeständen durchspielt, kriegt man als Ergebnis eine Liste mit den Gefahren, denen das Unternehmen gegenübersteht.

Von wem geht die Gefahr aus?

Hier scheiden sich die Geister. Muss man wissen von wem eine Gefahr ausgeht? Bei meinem Beispiel der Strassenüberquerung ist für mich der Fall klar. Mich interessiert es nicht, ob ich von einem Bus, Auto oder Motorrad angefahren werde. Ich möchte gar nicht angefahren werden, also interessiert mich nur die Gefahr selbst.

In der Informatik kann es aber unter Umständen interessant sein zu wissen, von wem eine Gefahr ausgeht. Eine ganz simple Frage ist zum Beispiel, ob die Gefahr von Intern oder Extern ausgeht. Auch ist sehr interessant, über was für Mittel und Wissen ein Angreifer verfügt. Und wie stark man im Fokus des jeweiligen Angreifers als Unternehmen steht.

Threat Modeling

Hier ist der Punkt, wo sich die vielen Threat Management Ansätze unterscheiden und doch meistens eine Gemeinsamkeit aufweisen: Man möchte die grössten Gefahren gegen sein Unternehmen herausfinden. Die Ansätze, wie man das rausfindet, können sehr verschieden sein. Ich kann zum Beispiel eine Liste kreieren, bei der die Wertbestände in einen monetären Schätzwert gewandelt werden und dementsprechend priorisiert werden. Andere Modelle haben mathematische Ansätze, welche das Gefahrenpotenzial errechnen. Für welchen Ansatz und Modell man sich auch immer entscheiden mag, wichtig erachte ich, dass man sich überhaupt für eines entscheidet.

Als ein möglicher Ideengeber oder Leitfaden kann ich hier den Risk Management Guide for Information Technology Systems vom National Institute of Standards and Technology (NIST) empfehlen. Viele IT Risk Management Frameworks enthalten Elemente, welche in diesem Guide beschrieben werden oder sie sind sogar gänzlich auf diesem Guide aufgebaut.

Fazit

Threat Management ist ein wichtiger Bestandteil von IT Risk Management. Welches Modell man verfolgt, spielt eine sekundäre Rolle. Wichtig finde ich, dass wir uns bewusst sind, was wir schützen wollen und müssen. Wenn man sich den Gefahren bewusst ist, kann man sich auch besser absichern. Sei diese durch technische Massnahmen oder durch Schulung, wie man sich solchen Gefahren gegenüber verhält.

Links

• http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf