Überblick
Das Buch soll in erster Linie die Risiken und speziell die Informationssicherheits-, IT und Cyber-Risiken aus der Perspektive des Unternehmens und seiner Governance behandeln. Wie die individuellen Anforderungen für die einzelnen Risikobereiche sind auch die Methoden und Hilfsmittel verschieden. Deshalb werden in diesem Kapitel einige ausgesuchte Methoden behandelt, die an verschiedenen Stellen des Risikomanagement-Prozesses zur systematischen Bearbeitung der Aufgaben eingesetzt werden können. So wird beispielsweise die praktische Umsetzung des gesamten Risikomanagement-Prozesses anhand des Aufbaus und der Erstellung eines Sicherheitskonzepts für ein IT-System oder für einen anderen Teilbereich der IT gezeigt. Eine andere Möglichkeit, wie ein Informationssicherheits-Prozess mittels einer entsprechenden Software durchgeführt werden kann, ist an der sogenannten CRAMM-Methode veranschaulicht. Für die Lösung einzelner Probleme des Informations-Risikomanagements, wie die der Risiko-Identifikation oder Risiko-Analyse, bestehen verschiedene Vorgehensweisen (z. B. Bottom-up und Top-down-Methoden oder Vorwärts- und Rückwärts-Suchmethoden). Solche Methoden werden in diesem Buch-Kapitel beispielhaft an den Methoden „Fehlermöglichkeits- und Einfluss-Analyse“ (FMEA), „Fehlerbaum-Analyse“ (FTA) sowie „Ereignisbaum-Analyse“ (ETA) in ihren wesentlichen Eigenschaften werden. Neben den in diesem Kapitel ausführlich behandelten Methoden und Werkzeugen, können für den konkreten Anwendungsfall viele weitere in Frage kommen. Für deren Beschreibung, Auswahl und Einsatzweise sei an dieser Stelle auf die zu diesem Thema weitergehende Literatur ([Knol14], S. 155–202) hingewiesen.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Notes
- 1.
Vgl. NIST Special Publication 800-18 [NIST 800-18]: Darin besteht ein IT-System aus einer definiert abgegrenzten Anzahl von Prozessen, Kommunikationen, Speicherungen und damit zusammenhängenden Ressourcen (einer Architektur).
- 2.
Risikoobjekte-Liste auch unter dem Begriff Asset-Register bekannt.
- 3.
CRAMM (= Centre for Information Systems Risk Analysis und Management Method); CRAMM has been produced in consultation with the Security Service and CESG, who are UK Government national security authorities.
- 4.
Insight Consulting: Broschüre „CRAMM 3 Overview“.
- 5.
Der „Enduser Service “ bestimmt die Art, wie die anderen Risikoobjekte als „unterstützende Risikoobjekte“ (z. B. Hardware) die „primären Informations-Risikoobjekte“ unterstützen.
- 6.
Die Wahrscheinlichkeiten an den Gabelungspunkten des Ereignisbaums sind „Bedingte Wahrscheinlichkeiten“. Diese dürfen dann multipliziert werden, wenn die Ereignisse an den Gabelungspunkten voneinander unabhängig sind. Diese Eigenschaft wird beim Arbeiten mit Ereignisbäumen im Allgemeinen vorausgesetzt.
Literatur
Eberhardt, Otto: Gefährdungsanalyse mit FMEA: Die Fehler-Möglichkeits- und Einfluss-Analyse gemäss VDA-Richtlinie, 1. Auflage. Renningen: Expert Verlag, 2003.
Knoll, Matthias: Praxisorientiertes IT-Risikomanagement. Heidelberg: dpunkt.Verlag, 2014.
Leveson, Nancy G.: Safeware, System Safety and Computers. New York: Addison-Wesley, 1995.
Storey, Neil: Safety Critical Computer Systems. London: Prentice Hall, 1996.
Vesely, W.E. et al.: Systems and Reliability Research Office of Nuclear Regulatory Research, U.S. Nuclear Regulatory Commission: Fault Tree Handbook. Washington, D.C.: U.S. Government Printing Office, 1981.
Witt, Bernhard C.: IT-Sicherheit kompakt und verständlich. Edition <kes>, Wiesbaden: Vieweg, 2006.
Author information
Authors and Affiliations
Rights and permissions
Copyright information
© 2017 Springer Fachmedien Wiesbaden GmbH
About this chapter
Cite this chapter
Königs, HP. (2017). Methoden und Werkzeuge für das Informations-Risikomanagement. In: IT-Risikomanagement mit System. Edition <kes>. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-12004-7_10
Download citation
DOI: https://doi.org/10.1007/978-3-658-12004-7_10
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-12003-0
Online ISBN: 978-3-658-12004-7
eBook Packages: Computer Science and Engineering (German Language)