Database Reference
In-Depth Information
Abb. 5.14
Zusammenhänge der Begriffe in der Risikoanalyse
Datenschutz“) [36]), die dann als Richtwert dienen können oder über eine länderüber-
greifende Studie des Ponemon Institutes [35, 37]. Es gibt verschiedene Arten von Schäden:
•
Der Betroffene selbst wird durch einen Datenschutzvorfall geschädigt.
•
Das Unternehmen erleidet einen Vermögensschaden, z.B. ein Bußgeld.
•
Das Unternehmen erleidet einen Nichtvermögensschaden, z.B. Reputationsschäden.
Um diese Schadenspotentiale ermitteln zu können, sollten realitätsnahe Szenarien
durchgespielt werden. Abbildung
5.14
zeigt, wie sich aus den § 42a-BDSG-Daten schwe-
re Schäden ergeben könnten, wenn das Unternehmen beispielsweise aufgrund einer
Social-Engineering-Attacke diese Daten ungerechtfertigt einem Dritten preisgibt und
damit den Rechtsfolgen des BDSG (Bußgelder, hier insbesondere auch die Pflicht zur
Bekanntmachung des Vorfalls den Betroffenen gegenüber) ausgesetzt wäre.
Der nächste wichtige Faktor bei der Risikoidentifizierung ist die Ermittlung der
Eintrittswahrscheinlichkeit
. Die Eintrittswahrscheinlichkeit ergibt sich aus 3 Faktoren:
1. Bedrohungen schaffen die Möglichkeit, dass dem Unternehmen Schäden entstehen.
Eine Bedrohung kann gleichzeitig auf mehrere Risikoobjekte einwirken. Für die
Ermittlung der Bedrohungen lassen sich wesentliche Aspekte aus der ISO 27005 heran-
ziehen, insbesondere die Klassifizierung der Bedrohungsarten aus dem Annex C. Die
wichtigsten Bedrohungen sind:
- Menschliches Fehlverhalten
- Gezielte Angriffe von außen
- Technische Fehlfunktionen
Search WWH ::
Custom Search