T-Services & Consulting T-Risikomanagement NETexpress GmbH solutions & more
Agenda Risiken bewerten Bewertung Eintrittswahrscheinlichkeit Bewertung Schadensausmaß Ablauf Analyse Beispiel Workflow Email Zusammenfassung 2015 NETexpress GmbH - Ein Unternehmen der PXEL Group - www.netexpress.de
Risiken bewerten Risikoaufteilung in 3 Bereiche l Akzeptanzbereich (grün) l Kritischer Bereich (gelb) l Gefahrenbereich (rot) Fokussierung auf die wichtigen Risiken Risikofaktor = Eintrittswahrscheinlichkeit * Schadensausmaß 2015 NETexpress GmbH - Ein Unternehmen der PXEL Group - www.netexpress.de
Score Eintrittswahrscheinlichkeit sehr hoch (Score 5) Ohne redundante Ausstattung hoch (Score 4) Mit Raid-System und USV Anbindung mittel (Score 3) Physikalischer Server mit redundanter Ausstattung oder Cold Standby niedrig (Score 2) Virtuelle Systeme mit redundanter Auslegung oder Hot Standby gering (Score 1) Software-Cluster auf virtuellen Systemen mit redundanter Auslegung 2015 NETexpress GmbH - Ein Unternehmen der PXEL Group - www.netexpress.de
Score weitere Faktoren Überwachung der Systeme (Hard-Software Monitoring) Dokumentation Redundanz nventarisierung Wartungsverträge Hotline ggf. Kostenübernahmeerklärung Dokumentation Fehlersuche Verfügbarkeit der Administratoren Downtime für Wartungsarbeiten Worklog / Ticketsystem Score 2015 NETexpress GmbH - Ein Unternehmen der PXEL Group - www.netexpress.de
Score Sicherheit Regelmäßige Systemupdates Zeitnahe Sicherheitsupdates 3 rd Party Software Protokollierung der sicherheitsrelevanten Systeme Backup / Wiederherstellung Sichere Passwörter / 2 Faktor Authentifizierung Verschlüsselte Verbindungen und Daten Score 2015 NETexpress GmbH - Ein Unternehmen der PXEL Group - www.netexpress.de
Zu erwartender monetärer Schaden Sehr hoch (5) Alle Mitarbeiter und Verbindungen sind betroffen > 100.000 Betriebsrelevante Anwendungen sind betroffen Hoch (4) Einzelne Abteilungen sind betroffen < 100.000 Einzelne Hardwarekomponenten sind betroffen Mittel (3) Nicht betriebsrelevante Anwendungen sind betroffen < 10.000 Ausfallsysteme sind betroffen Klein (2) Einzelne Mitarbeiter sind betroffen < 1.000 Gering (1) Ausfall von nicht relevanten Anwendungen = 0 2015 NETexpress GmbH - Ein Unternehmen der PXEL Group - www.netexpress.de
Ablauf Analyse Festlegen der Verfügbarkeitsanforderung Definition der weiteren Faktoren und Sicherheitsanforderungen Absprache und Festlegung der Workflows mit den Fachabteilungen Absprache der Schadenausmaßbewertung mit den Fachabteilungen und der Geschäftsleitung Erstellung der Dokumentation zu den einzelnen Workflows Bewertung der Workflows 2015 NETexpress GmbH - Ein Unternehmen der PXEL Group - www.netexpress.de
Analyse Email Workflow Client Verfügbarkeit (Score 3) Cold Standby Monitoring (Score 1) Kein Monitoring Dokumentation (Score 0) Dokumentation vorhanden Administratoren (Score 0) 8x5 verfügbar Sicherheit (Score 0) Sicherheitsanforderung wird erfüllt gesamt Score 4 2015 NETexpress GmbH - Ein Unternehmen der PXEL Group - www.netexpress.de
Analyse Email Workflow nfrastruktur Verfügbarkeit (Score 2) Hot Standby Monitoring (Score 0) Monitoring vorhanden Dokumentation (Score 0) Dokumentation vorhanden Administratoren (Score 1) nur 8x5 verfügbar Sicherheit (Score 0) Sicherheitsanforderung wird erfüllt gesamt Score 3 2015 NETexpress GmbH - Ein Unternehmen der PXEL Group - www.netexpress.de
Analyse Email Workflow Verfügbarkeit (Score 1) Virtuelles System mit Software-Cluster Monitoring (Score 0) Monitoring vorhanden Dokumentation (Score 0) Dokumentation vorhanden Administratoren (Score 1) nicht immer verfügbar Sicherheit (Score 0) Sicherheitsanforderung wird erfüllt gesamt Score 2 2015 NETexpress GmbH - Ein Unternehmen der PXEL Group - www.netexpress.de
Analyse Email Workflow nfrastruktur Server DNS -Server DHCP-Server 2015 NETexpress GmbH - Ein Unternehmen der PXEL Group - www.netexpress.de
Analyse Email Workflow Verfügbarkeit (Score 3) Cold Standby Monitoring (Score 0) Monitoring vorhanden Dokumentation (Score 0) Dokumentation vorhanden Administratoren (Score 0) 8x5 verfügbar Sicherheit (Score 0) Sicherheitsanforderung wird erfüllt gesamt Score 3 2015 NETexpress GmbH - Ein Unternehmen der PXEL Group - www.netexpress.de
Analyse Email Workflow nternet Verfügbarkeit (Score 5) ohne Redundanz Monitoring (Score 1) kein Monitoring vorhanden Dokumentation (Score 0) Dokumentation vorhanden Administratoren (Score 0) 7*24 verfügbar Sicherheit (Score 0) Sicherheitsanforderung wird erfüllt gesamt Score 6 2015 NETexpress GmbH - Ein Unternehmen der PXEL Group - www.netexpress.de
Analyse Email Workflow Client nfrastruktur Email-Server Firewall nternet Score 4 Score 3 Score 2 Score 3 Score 6 Score Verfügbarkeit 3,6 Mittelwert Score Schadensausmaß 3 Risikofaktor = 10,8 2015 NETexpress GmbH - Ein Unternehmen der PXEL Group - www.netexpress.de
Zusammenfassung Einheitliche Festlegen der Bewertungskriterien Workflows erstellen Bewertung der einzelnen Workflows Dokumentation der Risikoanalyse Präsentation der Risikoanalyse Projekte zur Verbesserung der Verfügbarkeit Regelmäßige Überprüfung der Workflows 2015 NETexpress GmbH - Ein Unternehmen der PXEL Group - www.netexpress.de
Quellen Bundesamt für Sicherheit in der nformationstechnik www.bsi.de nstitut für nternet-sicherheit - Westfälische Hochschule www.it-sicherheit.de 2015 NETexpress GmbH - Ein Unternehmen der PXEL Group - www.netexpress.de
NETexpress Network Solutions GmbH Lochhamer Schlag 17 D-82166 Gräfelfing Tel.: +49/89/8 98 68-400 Fax: +49/89/8 98 68-444 info@netexpress.de www.netexpress.de 2015 NETexpress GmbH Ein Unternehmen der PXEL Group