Zusammenfassung
Bei den vielen unterschiedlichen Analysen, die im Rahmen des Sicherheitsprozesses zur Anwendung kommen können, verliert man schnell den Überblick. Falls Sie sich die Frage stellen, ob so viele Analysen notwendig sind: Unsere gesamte Sicherheitskonzeption fußt darauf, dass wir die Anforderungen und Gefahren richtig analysieren und mit den resultierenden Risiken verantwortlich umgehen; diesem Punkt gebührt deshalb extreme Aufmerksamkeit und sorgfältige Vorgehensweise.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Notes
- 1.
Beträchtlich meint, dass man Schäden nicht außer Betracht lassen, d. h. vernachlässigen darf.
- 2.
in unserem Sinne der über IT-Systeme abgewickelte Teil von Geschäftsprozessen bzw. Verwaltungsverfahren
- 3.
vgl. Abschn. 7.2 für weitere Details zur Validierung
- 4.
Aufgrund gewisser Vorgaben zur Definition eigener Bausteine kann man schließen, dass die in den Bausteinen des Grundschutzes aufgeführten Maßnahmen mit der ihnen eigenen Schutzwirkung eher „rückwärts“ den Schutzbedarf festlegen.
- 5.
In den allermeisten Fällen ist zumindest die technische Verfügbarkeit immer bedroht, und zwar durch technische Defekte oder durch Defizite in der Systemumgebung (Stromausfall, Versagen der Klimatisierung etc.).
- 6.
Schadenpotenzial für Bedrohungen vom Typ 1, Bedrohungspotenzial für Bedrohungen vom Typ 2, s. Abschn. 5.3.
- 7.
Beispiele: www.buerger-cert.de, www.cert.dfn.de, www.dcert.de, www.bsi.de (unter: CERT-Bund).
- 8.
Weitere Informationen zum Angriffspotenzial finden Sie in Abschn. 5.3.
- 9.
Gefährdungen, die kein Sicherheitsziel verletzten, sind keine Gefährdungen.
- 10.
Meint: Alle Sicherheitsziele sind betroffen.
- 11.
Für technische Defekte bei Geräten kann man z. B. die bekannte MTBF (Mean Time between Failure) nutzen, die für viele Geräte durch die Hersteller angegeben wird.
- 12.
H2 meint präzise: häufiger als H1, aber seltener als 1 × pro Quartal; analog für die anderen Stufen.
- 13.
Der Bewertungsfaktor Gelegenheit wurde hier auf die Zuarbeit von Mitarbeitern der Organisation verkürzt.
- 14.
- 15.
hier im Zusammenhang mit der Informationsverarbeitung.
- 16.
Dabei kann man auch einen Grad der Nutzung angeben, im einfachsten Fall verzichtbar oder unverzichtbar, oder erweitert um Zwischenstufen. Solche Überlegungen sind z. B. beim Notfallmanagement und der Kritikalitätsanalyse hilfreich, vgl. [9].
- 17.
etwa die Haustechnik für die Infrastruktur, die IT-Abteilung für IT-spezifische Bedrohungen, das Justiziariat rechtliche Risiken betreffend etc.
- 18.
- 19.
ENISA = European Network and Information Security Agency.
- 20.
SARP v1.8 Beta ist ein programmiertes Excel-Sheet, das unter www.enisa.europa.eu/act/rm/files/tools/sarm-2009-05-10.xls/at_download/file verfügbar ist.
Literatur
ISO/IEC 15408: Fassung von [8] als internationale Norm, www.iso.org
ISO/IEC 13335: Information Technology – Security techniques – Management of information and communications technology security(Part 1 to 5) [wirdsukzessivedurchNormen der ISO 27000 Reiheersetzt]
ISO/IEC 27005:2011 Information technology – Security techniques – Information security risk management, www.iso.org
ISO 31000:2009 Risk management – Principles and guidelines
IT-Grundschutz-Kataloge, BSI, www.bsi.de, unter: IT-Grundschutz
Risikoanalyse auf der Basis von IT-Grundschutz, BSI, www.bsi.de, unter: IT-Grundschutz
Information Technology Security Evaluation Criteria, www.bsi.de, unter: Zertifizierung und Anerkennung, Sicherheitskriterien
Common Criteria for Information Technology Security Evaluation, www.commoncriteriaportal.org
Information Technology Security Evaluation Manual, www.bsi.de, unter: Zertifizierung und Anerkennung, Sicherheitskriterien
Klett G, Schröder K.W, A (2011) IT-Notfallmanagement mit System: Notfälle bei der Informationsverarbeitung sicher beherrschen. Vieweg + Teubner, Wiesbaden
Author information
Authors and Affiliations
Corresponding author
Rights and permissions
Copyright information
© 2015 Springer Fachmedien Wiesbaden
About this chapter
Cite this chapter
Kersten, H., Klett, G. (2015). Analysen. In: Der IT Security Manager. Edition kes. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-09974-9_5
Download citation
DOI: https://doi.org/10.1007/978-3-658-09974-9_5
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-09973-2
Online ISBN: 978-3-658-09974-9
eBook Packages: Computer Science and Engineering (German Language)