Risikobeurteilung

Aus DIGITALPRINZIP Inh. F. Stief
Zur Navigation springen Zur Suche springen

Jede Änderung des Zustands einer Informationsverarbeitung wird als Ereignis (Event) betrachtet. Handelt es sich um ein Ereignis, das zumindest theoretisch Auswirkungen auf die Sicherheit haben könnte, spricht man von einem Sicherheitsereignis (Security Event). Auswirkungen auf die Sicherheit liegen immer dann vor, wenn Sicherheitsziele einer Organisation beeinträchtigt werden können.
Ein Sicherheitsvorfall (Security Incident) ist ein Ereignis, bei dem eine hohe Wahrscheinlichkeit für Auswirkungen auf die Sicherheit besteht.

In der Norm wird sehr genau zwischen Events und Incidents unterschieden.
Ein (Sicherheits-)Notfall ist ein Sicherheitsvorfall mit gravierenden oder sogar katastrophalen Auswirkungen auf die Sicherheit.

In der Norm wird Risikobeurteilung als Zusammenfassung der Teilaktivitäten Risikoidentifizierung, Risikoanalyse und Risikobewertung betrachtet. Gelegentlich taucht auch der Begriff "Chance" auf, eine Chance besteht immer dann, wenn ein Ereignis mit einer gewissen Wahrscheinlichkeit einen Nutzen zur Folge haben kann.
Est wenn eine ausreichende Reduktion der Risiken vorliegt, wird man mit den vorhandenen und geplanten Maßnahmen "zufrieden" sein. Man kann dies von Risiko zu Risiko einzeln entscheiden - oder einen allgemeinen Schwellenwert für die Akzeptanz verbleibender Risiken festlegen.

Der Schwellenwert wird meist eine der festgelegten Bewertungsstufen sein: Risiken einer bestimmten Stufe (und aller Stufen darunter) werden als akzeptabel angesehen.

Definition von Risiko[Bearbeiten]

In der Informationssicherheit wird der mögliche Eintritt von Sicherheitsereignissen als Risiko angesehen. Ein Risiko wird in aller Regel als eine Kombination aus Eintrittswahrscheinlichkeit und Schadenhöhe definiert.
Sind Eintrittswahrscheinlichkeit und Schadenhöhe zahlenmäßig bestimmbar, wäre das Produkt beider Zahlen eine solche Kombination.

Risikobeurteilung in der Praxis[Bearbeiten]

In der Praxis lassen sich Risiken meist nicht auf diese Weise berechnen, weil hinreichend genaue Zahlen fehlen: Man legt deshalb für die Eintrittswahrscheinlichkeit und die Schadenhöhe jeweils Stufen fest, und betrachtet Risikoklassen als Kombination solcher Stufen.
Ein Risiko kann immer dann eintreten, wenn Schwachstellen vorhanden sind, d.h. wenn Sicherheitsmaßnahmen fehlen, ungeeignet konstruiert oder fehlerhaft angewendet werden. Bei den letzten beiden Fällen spricht man von konstruktiven bzw. operativen Schwachstellen.

Risikoidentifizierung[Bearbeiten]

Die Ermittlung (Erfassung und Benennung) von einzelnen Risiken für die Informationswerte der Organisation, soweit sie im Anwendungsbereich des ISMS liegen.
Diese Ermittlung muss im Zusammenspiel mit den Verantwortlichen (Asset Owner bzw. Risk Owner) für die einzelnen Informationswerte geschehen.

Risikanalyse[Bearbeiten]

Abschätzen bzw. Klassifizieren der Schadenhöhe und Eintrittshäufigkeit für jedes Risiko. Das Risiko wird dementsprechend festgelegt, z.B. in eine Risikoklasse.

Risikobewertung[Bearbeiten]

Feststellung, welche Auswirkungen ein Risiko auf die Organisation hat: meist geschrieht dies durch eine Bewertung der Risiken mit Stufen wie

  • Tolerabel
  • Mittel
  • Gravierend
  • Katastrophal
Abgerufen von „http://wiki.int.digitalprinzip.com/index.php?title=Risikobeurteilung&oldid=66