Database Reference
In-Depth Information
Im obigen Beispielbild Abb.
5.14
wurde für einen Angriff von außen das „Social En-
gineering“ angenommen. Eine Bedrohung kann jedoch nur dann auf ein Risikoobjekt
Einfluss nehmen, wenn sie dabei eine Schwachstelle ausnutzt.
2. Schwachstellen werden von Bedrohungen ausgenutzt und ermöglichen so, dass dem
Unternehmen konkrete Schäden entstehen. Wichtige Schwachstellen sind generell:
- Das
Geschäftsmodell
im Zusammenhang mit dem untersuchten Risikoobjekt
(Marketing vs. F&E)
- Welche
Systeme
werden eingesetzt? An dieser Stelle der Identifizierung der Systeme
hilft ein Blick auf die Systemlandschaft im untersuchten Bereich.
- Welche
standortbezogenen
Parameter können Schwachstellen ergeben? Handelt es
sich beispielsweise um ein besucherfrequentiertes Gebäude oder um ein gesichertes
Rechenzentrum?
- An welcher Stelle werden
Partner
eingesetzt? Hier ergeben sich später potentielle
Schäden im Zusammenhang mit einer ADV bzw. Funktionsübertragung.
- Menschen begehen Fehler. Deswegen sind auch
Mitarbeiter
potentielle Schwach-
stellen.
Im obigen Beispiel in Abb.
5.14
wurde ein Mitarbeiter aus der Abteilung Vertrieb als
mögliche Schwachstelle identifiziert. Eine Schwachstelle alleine bedingt jedoch noch
nicht, dass sich die Bedrohung ungehindert realisieren kann. Dies ist abhängig von
den technischen und organisatorischen Maßnahmen (TOMs), die ein Ausnutzen der
Schwachstelle verhindern.
3. Grundsätzlich wird die Eintrittswahrscheinlichkeit stärker gemindert, je angemesse-
ner die dafür vorhandenen
TOMs
ausgestaltet sind. Ein vollständiges Schließen ist
jedoch nicht möglich, da sowohl Menschen als auch die Technik niemals unfehlbar
sind. Für eine Analyse der TOMs ist wiederum unterschiedliches Know-how der Be-
teiligten gefragt, gerade weil sich die Angemessenheit durch eine Abwägung zwischen
dem Schutzzweck (Schutz des Betroffenen vor dem Missbrauch seiner Daten) und dem
vertretbaren Aufwand für die Einführung einer TOM beurteilt. Dies beinhaltet v.a.
die
Bewertung der bestehenden Infrastruktur
. Spezialisten aus IT, Security, Facility
Management, der Rechtsabteilung, aber auch aus anderen Abteilungen (wie etwa in
Bezug auf ADV-Risiken die Beschaffung) werden dafür im Rahmen mehrerer Work-
shops eingebunden, um ein angemessenes Niveau der TOMs feststellen zu können.
Die Ergebnisse aus dieser umfangreichen Tätigkeit der TOM-Analyse sollten zudem in
Form von TOM-Listen (siehe Abschn. 5.2.4) dokumentiert werden. Der genaue Zu-
stand der TOMs kann auch im Rahmen einer detaillierten Prozessanalyse (siehe unten,
Abschn. 5.2.3.3) ermittelt werden. Denn es handelt sich hierbei um mit die aufwen-
digste und schwierigste Tätigkeit im gesamten DSMS, die deshalb nach Möglichkeit
auch in dieser Stufung angegangen werden sollte. Mit der Bewertung der TOMs ist das
dritte und letzte Kriterium für die Eintrittswahrscheinlichkeit ermittelt, die nun unter
Heranziehung dieser 3 Faktoren bestimmt werden kann. In Abb.
5.14
wird als TOM
die Awareness des bezeichneten Mitarbeiters dargestellt, welche sich jedoch in diesem
Fall als unzureichend herausstellt.
Search WWH ::
Custom Search