Information Technology Reference
In-Depth Information
Risikoanalyse für einen Flugzeugabsturz durchzuführen, weil er das Risiko anders
einschätzt.
Da Thomas nichts von Phishing weiß, hat er auch keine Angst davor und folglich
auch kein Programm zur Verfügung, mit dem er bei jeder E-Mail, die etwas mit
Zugangsdaten zu tun hat, eine Extrarunde für eine Risikoanalyse einlegt. Das ist
bei vielen Sicherheits-Profis anders. Sie haben für praktisch jedes Risiko ein
Programm parat, dass sie abspulen, weil sie so viele Risiken kennen. Bei manchem
kann das in eine ziemliche Paranoia ausarten.
Diese Art von automatischen Risikoanalysen möchte ich „drive-by“ -Risikoanalysen
nennen. Sie werden nicht nach einem ausgeklügelten Vorgehensmodell
durchgeführt, sie bestehen vielmehr aus mehreren Komponenten, mit denen Sie in
der Vergangenheit programmiert worden sind. Nur eine davon entspricht den
Sicherheitsrichtlinien des Unternehmens oder der Behörde (vgl. Abbildung 3-18).
Hier muss sich zeigen, was aus den Flyern und den jährlichen
Informationsveranstaltungen hängen geblieben ist. An der Komponente des
aktuellen Gemütszustands und der Bindung ans Unternehmen lässt sich wenig
ändern: Wer gut aufgelegt ist oder unter Stress steht, geht eben leichter mal ein
Risiko ein und wem das Unternehmen egal ist sowieso. Bei den Komponenten
Risiko-Fachwissen, persönliche Bindung und Umgang mit Fehlern können die
Sicherheitsexperten jedoch noch einiges verbessern.
Abbildung 3-18:
„drive-by“-Risikoanalyse: Sicherheitsrichtlinien und persönliche
Bindung zum Sicherheits-Team müssen sich ergänzen
Search WWH ::




Custom Search