Читать книгу IT-Sicherheit für Dummies - Rainer W. Gerling - Страница 47

Am Anfang der Informationssicherheit und der technisch-organisatorischen Maßnahmen im Datenschutz steht eine sorgfältige Analyse des Risikos. Bei einer Risikoanalyse werden Schwachstellen und Bedrohungen ermittelt. Dazu müssen Sie zuerst eine Gefährdungsübersicht erstellen. Im BSI-Standard 200-3 »Risikoanalyse auf der Basis von IT-Grundschutz« werden 47 elementare Gefährdungen der Schutzziele Vertraulichkeit, Verfügbarkeit und Unversehrtheit beschrieben. Es handelt sich sowohl um Naturgefahren wie Feuer und Wasser als auch um spezielle IT-Bedrohungen wie Verlust von IT-Geräten, Schadsoftware und Social Engineering. Nehmen Sie diese Liste als Einstieg in eine Risikobewertung. Die Gefährdungen werden dann nach »direkt relevant«, »indirekt relevant« und »nicht relevant« klassifiziert. Eventuell identifizieren Sie auch noch eine oder mehre weitere Gefährdungen. Für die weitere Risikobetrachtung beschäftigen Sie sich nur noch mit den direkt relevanten Gefährdungen.

Für jede direkt relevante Gefährdung erfolgt dann die Risikoeinstufung, indem Sie die resultierende Schadenshöhe für Ihr Unternehmen und die Eintrittswahrscheinlichkeit der Gefährdung betrachten. Bei der Klassifizierung von Schadenshöhe und Eintrittswahrscheinlichkeit sollten Sie nicht auf »Heller und Pfennig« den Schaden bestimmen, sondern nur mit so wenigen qualitativen Klassifizierungen wie möglich arbeiten. Nur dann ist die Klassifizierung in der Durchführung für Sie machbar. Mit diesem Argument sollten Sie eigentlich nur drei Klassen nehmen. Die Psychologie empfiehlt eine Einteilung in vier Klassen. Mehr Klassen sollten es aber auf keinen Fall sein.