Szenario-basiertes Risikomanagement

Können Sie sich 100%ig vor Cyber Risiken schützen? Wir meinen Nein und stellen für das Risikomanagement der Informationssicherheit den szenario-basierten Ansatz vor.

In der Informationssicherheit dreht sich alles um die bekannten Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit. Der klassische, kontroll-basierte Ansatz geht von einem Rahmenwerk wie ISO27001/5 oder dem BSI Grundschutz aus und versucht damit die Schutzziele möglichst vollständig abzubilden.

Doch ist dies heute mit der zunehmenden Digitalisierung, Virtualisierung, Vernetzung und Nutzung von Cloud-Diensten überhaupt noch möglich? Ist ein 100% Schutz vor den heutigen Cyber- oder Informationssicherheits-Risiken erreichbar?

Wäre es nicht sinnvoller, wir würden das Risikomanagement unserer Informationssicherheit basierend auf Szenarien aufbauen?

Wir sind der Meinung Ja.

Wenn wir die Zusammenhänge bildlich darstellen, sehen wir beispielhaft das Szenario 1 «Verlust Mobilgerät».

 

Verschiedene Bedrohungen (z. B. Diebstahl aus Auto oder Zug) können dieses Szenario auslösen. Nebst dem finanziellen Risiko können sich je nach Schwachstellen des Mobilgerätes (z. B. keine Verschlüsselung, kein oder schwaches Passwort) weitere Risiken wie ein Datenverlust wichtiger Firmendaten oder eine Verletzung des Datenschutzgesetzes ergeben.

Mit Massnahmen wie einer Verschlüsselung und einem starken Passwort (2-Faktor-Authentisierung) können die Auswirkungen des Risikos stark reduziert werden.

Meistens verbleiben Restrisiken wie bspw. ein Fehlverhalten des Benutzers («kreatives» Umgehen von Sicherheitsregelungen).

Mit dem szenario-basierten Ansatz bilden wir unsere Risiken mit prozess- und service-orientierten Szenarien ab und definieren dazu gleich die wichtigsten (Gegen-)Massnahmen (analog Business Continuity Management BCM).

Versuchen Sie es doch gleich selbst!

  • Welches (Risiko-)Szenario sehen Sie, wenn Ihre Mitarbeitende Firmendaten mit externen Partnern mittels Cloudspeicher (z.B. Dropbox) austauschen?
  • Welches sind die Bedrohungen für Ihre Firmendaten?
  • Welche Schwachstellen vermuten Sie bei der Nutzung von Cloudspeicher?
  • Welche Assets/Werte Ihrer Firma sind betroffen?
  • Welche Risiken können für Ihre Firma entstehen?
  • Und wie – mit welchen Massnahmen – reduzieren Sie diese?
  • Welche Restrisiken bleiben?

Gerne können Sie Ihre Antworten zu den obigen Fragen an uns senden oder gemeinsam mit unseren Sicherheits-Experten besprechen und griffige Gegenmassnahmen entwickeln, definieren und einführen. Wenden Sie sich doch einfach an uns und wir stellen uns gemeinsam den Risiken der Cyber-Welt.

Dieser Beitrag wurde von Daniel Hartmann erstellt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.