Skip to main content
SpringerLink
Log in

Cyber-Risikomanagement

  • Chapter
  • First Online:
IT-Risikomanagement mit System

Part of the book series: Edition <kes> ((EDKES))

  • 13k Accesses

Überblick

Was sind die Gründe für die tagtäglichen Nachrichten über Cyber-Risiken und deren Abwehr? Was ist bei Cyber-Risiken anders, als bei den herkömmlichen Informationssicherheits-Risiken. Inwiefern gilt das für Informationssicherheits-Risiken in diesem Buch dargestellte Risikomanagement auch für die Cyber-Risiken? Diese Fragen und die möglichen Lösungsansätze, die dem Umgang mit Cyber-Risiken gerecht werden können, werden in diesem Kapitel von aktuellen Fällen abgeleitet, untersucht und gemäss dem heutigen Stand und der für den Praxiseinsatz geeigneten Konzepte und Methoden behandelt. Nachdem in einigen Kapiteln dieses Buches die Grundlagen, Anforderungen, Methoden und Werkzeuge des Informationssicherheits- und des IT-Risikomanagement im Unternehmen behandelt wurden, stellt sich zunächst die Frage, was die Cyber-Risiken beispielsweise von den Informationssicherheits-Risiken unterscheidet. Zur Beantwortung dieser Frage werden am Anfang des Kapitels einige Definitionen vorgenommen, die verschiedenen Quellen entnommen wurden. So sind die „Cyber-Risiken“ genau diejenigen Risiken, die durch „Cyber-Bedrohungen“ verursacht werden. Für diese Definition ist natürlich wiederum eine Definition notwendig, was als „Cyber-Bedrohungen“ gelten soll. Das Assessment solcher Cyber-Risiken wird sodann anhand eines Risikomodells vorgenommen, welches sich vor allem für die „absichtlich“ verursachten Cyber-Risiken eignet. Dieses Risikomodell wird in etwas vereinfachter Form in diesem Buch auch bereits für die herkömmlichen Informationssicherheits-Risiken verwendet. Gerade bei den Cyber-Risiken treten die schützenswerten Objekte (z. B. Identitätsmerkmale, kritische Infrastrukturen) mit den von den Cyber-Bedrohungen ausnutzbaren Schwachstellen in den Vordergrund. Die teilweise sehr komplizierten durch die „Bedrohungsquellen“ ausgeführten Angriffe werden in den wesentlichen Vorkommensweisen charakterisiert, worunter auch die sogenannten „Advanced Persistent Threat“ (APT) fallen. Hilfen beim Assessment der IT-Risiken bieten einige frei verfügbaren „Schwachstellen Standards“, die kurz beschrieben werden. Auf ein durchgeführtes Risiko-Assessment folgt die Risiko-Behandlung. Wie sich aus dem Ergebnis einer Risiko-Identifikation wahrscheinlich herausstellt, besteht bei den möglichen Cyber-Risiken ein hohes Mass an „Ungewissheit“. Entsprechend können die notwendigen Massnahmen auch komplex und aufwändig sein. Viele Massnahmen sollten aufgrund einer entsprechenden „Risiko-Exponierung“ eines Unternehmens auch quasi als „Grundschutz“ eingerichtet werden. Natürlich erfordert ein solcher Grundschutz eine ständige Betreuung und Umsetzung anhand von Policies und Prozessen. Darunter fallen auch die Schulung und die Förderung des Risikobewusstseins sowie Tests und Übungen für die involvierten Mitarbeiter. Für spezifisch grosse Cyber-Risiken eines Unternehmens (z. B. Exponierung gegenüber Datendiebstahl), sollte die Auswahl der zum Teil aufwändigen Massnahmen aufgrund eines entsprechend sogfältig durchgeführten Risiko-Assessments erfolgen. Kann beispielsweise ein aus dem Assessment hervorgehendes grosses Betriebs-Ausfallrisiko infolge einer „Denial of Service“-Attacke nicht gänzlich bewältigt werden, so sind am Ende des Kapitels Vorkehrungen und Massnahmen gezeigt, mit denen auch solche Risiken erheblich gemildert werden können.

This is a preview of subscription content, log in via an institution to check access.

Access this chapter

Log in via an institution
Chapter
USD 29.95
Price excludes VAT (USA)
  • Available as PDF
  • Read on any device
  • Instant download
  • Own it forever
eBook
USD 69.99
Price excludes VAT (USA)
  • Available as EPUB and PDF
  • Read on any device
  • Instant download
  • Own it forever

Tax calculation will be finalised at checkout

Purchases are for personal use only

Institutional subscriptions

Notes

  1. 1.

    McAfee: Net Losses: Estimating the Global Cost of Cybercrime [Mcaf14].

  2. 2.

    Symantec: Internet Security Threat Report (ISTR) 2014 [Syma16].

  3. 3.

    Der Standard ISO/IEC 27032:2012: Guidelines for Cybersecurity ([Isof12], S. 4, 10) fokussiert den Begriff Cyberspace auf das Internet, wobei das Internet als globales System von miteinander verbundener Systeme im öffentlichen Bereich bezeichnet wird.

  4. 4.

    Copyright© 2003–2014 The OWASP Foundation, Creative Commons Attribution ShareAlike 3.0 Lizenz.

  5. 5.

    Die „Social Security Number“ (SSN) ist in den USA ein wichtiges persönliches, allgemein vertraulich zu behandelndes Identitäts-Merkmal. Die Nummer wird zur der Identifikation der Person für die Sozialsysteme, beispielsweise auch zur Identifikation bei der Eröffnung von Bankkonten, bei Kreditanträgen oder für Steuervergütungen verwendet.

  6. 6.

    S. Kurzbeschreibung eines DDOS-Angriffs im Anhang A.2.

  7. 7.

    Der Standard kann im Internet kostenfrei heruntergeladen werden.

Literatur

  1. Bussa, Toby, Kelly M. Kavanagh and Oliver Rochford: Use SIEM for Targeted Attack Detection. Gartner Research, June 2016. URL: https://www.gartner.com/technology/media-products/newsletters/AccelOps/1-322HWS1/gartner.html. Zugegriffen am 03.09.2016.

  2. ISACA: Transforming Cybersecurity: Using COBIT 5. Rolling Meadows: Information Systems Audit and Control Association, 2013.

    Google Scholar 

  3. FCW: Exclusive: The OPM breach details you haven’t seen. FCW magazine, April 21, 2015. URL: https://fcw.com/articles/2015/08/21/opm-breach-timeline.aspx. Zugegriffen am 15.08.2016.

  4. FIRST: Common Vulnerability Scoring System v3.0: Specification Document. FIRST.org, Inc., 2016. https://www.first.org/cvss/specification-document#i9. Zugegriffen am 17.08.2016.

  5. Green, Andy: Lessons from OPM: Turning Security Inside Out With User Behavior Analytics. Varonis, 2015. URL: https://blog.varonis.com/lessons-from-opm-turning-security-inside-out-with-user-behavior-analytics/. Zugegriffen am 18.08.2016.

  6. Hewlett Packard Enterprise: HPE Security Research — Cyber Risk Report 2016, 2016. URL: http://techbeacon.com/sites/default/files/gated_asset/hpe-cyber-risk-report-2016.pdf. Zugegriffen am 12.08.2016.

  7. ISO/IEC 27032:2012: Guidelines for cybersecurity. International Organization for Standardization, 2012.

    Google Scholar 

  8. Jurgens, Rick: A Year Later, Impact of Anthem Data Breach Still Debated. Valley News, February 24, 2016. Url: http://www.vnews.com/Archives/2016/02/a1-anthembreach-rj-vn-022116. Zugegriffen am 12.08.2016.

  9. McAfee: Net Losses: Estimating the Global Cost of Cybercrime. McAfee, Inc., 2014. URL: http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime2.pdf, http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime2-summary.pdf. Zugegriffen am 30.09.2016.

  10. Melde-und Analysestelle Informationssicherung MELANI: Massnahmen gegen DDoS-Attacken. MELANI/GovCERT.ch, Mai 2015. URL: https://www.melani.admin.ch/melani/de/home/dokumentation/checklisten-und-anleitungen/massnahmen-gegen-ddos-attacken.html. Zugegriffen am 06.09.2016.

  11. Mitre: Common Vulnerabilities and Exposures — The Standard for Information Security Vulnerability Names, August 02, 2016. URL: https://cve.mitre.org/. Zugegriffen am 16.08.2016.

  12. NIST: Guide for Conducting Risk Assessment, NIST Special Publication 800–30, Revision 1. Washington DC: U.S. Department of Commerce, 2012.

    Google Scholar 

  13. NIST: Managing Information Security, SP 800–39. Washington DC: U.S. Department of Commerce, 2011.

    Google Scholar 

  14. NIST: Official Common Platform Enumeration (CPE) Dictionary, 8/16/2016. URL: https://nvd.nist.gov/cpe.cfm. Zugegriffen am 16.08.2016.

  15. NIST: National Vulnerability Database, 8/16/2016. URL: https://nvd.nist.gov/. Zugegriffen am 16.08.2016.

  16. National Public Radio: One Year After OPM Data Breach, What Has The Government Learned?, NPR, June 6, 2016. URL: http://www.npr.org/sections/alltechconsidered/2016/06/06/480968999/one-year-after-opm-data-breach-what-has-the-government-learned. Zugegriffen am 12.08.2016.

  17. OWASP: Die 10 häufigsten Sicherheitsrisiken für Webanwendungen. Creative Commons Attribution ShareAlike 3.0, OWASP German Chapter, 2014.

    Google Scholar 

  18. Refdal, Atle et al: Cyber-Risk Management. Heidelberg: Vieweg, 2015.

    Google Scholar 

  19. Reuters: China’s Xinhua says U.S. OPM hack was not state-sponsored. Technolgy News: December 2, 2015. URL: http://www.reuters.com/article/us-china-usa-cybersecurity-idUSKBN0TL0F120151202#dZk1fXJZmkx22AXh.97. Zugegriffen am 15.08.2016.

  20. Rudavsky, Shari: Anthem data breach could be ‚lifelong battle‘ for customers. Indianapolis Star, February 7, 2015. URL: http://www.indystar.com/story/news/2015/02/05/anthem-data-breach-lifelong-battle-customers/22953623/. Zugegriffen am 04.08.2016.

  21. Suhl, Holger: DDoS-Attacken: Folgen, Trends und Schutzmassnahmen. iT-dayly.net, Dezember 2015. URL: https://www.it-daily.net/it-sicherheit/cyber-defence/11817-ddos-attacken-folgen-trends-und-schutzmassnahmen-3. Zugegriffen am 06.09.2016.

  22. Symantec: 2016 Internet Security Threat Report, Volume 21, April 2016. URL: https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf. Zugegriffen am 12.08.2016.

  23. Wired: The Massive OPM Hack Actually Hit 21 Million People, Wired, 7.9.2015. URL: https://www.wired.com/2015/07/massive-opm-hack-actually-affected-25-million/. Zugegriffen am 12.08.2016.

Download references

Author information

Authors and Affiliations

  1. Olsberg, Schweiz

    Hans-Peter Königs

Authors
  1. Hans-Peter Königs
    View author publications

    You can also search for this author in PubMed Google Scholar

Rights and permissions

Reprints and permissions

Copyright information

© 2017 Springer Fachmedien Wiesbaden GmbH

About this chapter

Cite this chapter

Königs, HP. (2017). Cyber-Risikomanagement. In: IT-Risikomanagement mit System. Edition <kes>. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-12004-7_17

Download citation

Publish with us

Policies and ethics

Search

Navigation