Inventarisierung + Bewertung von IT-Risiken

26. DECUS Symposium 10.04.2003 Inventarisierung + Bewertung von IT-Risiken Thomas Maus Maus IT-Consulting thomas.maus@alumni.uni-karlsruhe.de 26. DECUS Symposium Inhalt Wo soll die Reise hingehen? Was ist eigentlich? Ein pragmatisches Modell für Die kultur Ihrer Organisation Das inventar Ihrer Organisation struktur an Beispiel-Szenarien A-Risk-Methics Aus- und Rückblick www.decus.de Thomas Maus 1

26. DECUS Symposium 10.04.2003 Wo soll die Reise hingehen? Verstehen der eigenen Sicherheitslage Kommunikationshilfsmittel für Gespräche zwischen Management, Fachseite + Administratoren Grundlage für nachvollziehbare, obektivierbare Entscheidungen Planungshilfsmittel für Sicherheitsarchitektur Priorisierung und Wirtschaftlichkeit von Maßnahmen Was ist eigentlich? Mathematisch/Ingenieurswissenschaftlich Moralisch/Politisch Psychologisch www.decus.de Thomas Maus 2

26. DECUS Symposium 10.04.2003 Was ist? Mathematisch/Ingenieurswissenschaftlich DIN, VDE 31000: (Schadensereignis) = () Schadensausmaß x (mittlere) Eintrittswahrscheinlichkeit aber: wann gilt das? Schadensausmaß? Eintrittswahrscheinlichkeit? Schadensverlauf und Beherrschbarkeit??? Was ist? Mathematisch/Ingenieurswissenschaftlich Schadensausmaß Eintrittshäufigkeit 10 10 9 9 8 8 7 Wahrscheinlichkeit 6 5 4 3 2 X 7 Wahrscheinlichkeit 6 5 4 3 2 1 1 0 Mittelwert 0 Mittelwert www.decus.de Thomas Maus 3

26. DECUS Symposium 10.04.2003 Was ist? Mathematisch/Ingenieurswissenschaftlich 10 Schadensausmaß 10 Eintrittshäufigkeit 9 9 8 8 7 Wahrscheinlichkeit 6 5 4 3 2 X 7 Wahrscheinlichkeit 6 5 4 3 2 1 1 0 Best Case Mittelwert Worst Case 0 Min Ø 99%-il Was ist? Moralisch/Politisch Beispiel: Friedliche Nutzung der Kernenergie Statistisch (BRD): 6 12 Tote/Kernkraftwerk/Jahr ~ 200 Kernkrafttote/a << ~ 5000 Verkehrstote/a Schadensfall: SuperGAU Hüllenbruch > 10 7 a 1 2 Millionen Tote 10 20 Millionen Dauergeschädigte weite Teile 100 200 Jahre unbewohnbar Akzeptabel? Welche Prävention, Reaktion? www.decus.de Thomas Maus 4

26. DECUS Symposium 10.04.2003 Was ist? Psychologisch Beispiel: Hausbesitzer 100% Beitrag normale Gebäudeversicherung 120% Beitrag + Elementarschäden 130% Beitrag + Allgefahrenversicherung Welchen Versicherungsschutz? Begrenztes Budget: lieber Allgefahrengebäude- und kein Hausrat-V oder Normale Gebäude- und Hausrat-V? Was ist? Psychologisch Saalexperiment Was würden Sie wählen? 500 Gewinn / Münzwurf: nichts oder 1.000 Gewinn 500 Verlust / Münzwurf: nichts oder 1.000 Verlust 500 Gewinn / Würfel: 6 = 10.000 Gewinn 500 Verlust / Würfel: 6 = 10.000 Verlust www.decus.de Thomas Maus 5

26. DECUS Symposium 10.04.2003 Was ist? Psychologisch Gedankenexperiment zur IT-Sicherheit: Stellen Sie sich Ihren persönlichen GAU vor: Unter denen Zuhörern ohne blauen Hut wird einer ausgelost den trifft sein persönlicher Gau Drei Hüte hab' ich noch. Gebote? -Psychologie: Was ist? Psychologisch Chancen und Risiken werden asymmetrisch wahrgenommen Tendenz zur Verlustvermeidung Auswirkung von Informationsmangel/defiziten Wahrnehmbarkeit von Risiken Verdrängung von Risiken Gruppendynamische Effekte www.decus.de Thomas Maus 6

26. DECUS Symposium 10.04.2003 Ein pragmatisches Modell für Anforderungen an das Modell: Politische Grundsatzentscheidungen dokumentieren und abbilden Psychologischen Effekten entgegen wirken sinnvolle -Arithmetiken ermöglichen Schadensausmaß und Eintrittswahrscheinlichkeiten handhabbar machen -Modell: Eine Klasse für sich... Vorgehensweise: Definition von Klassen für Schaden Eintrittshäufigkeit Verwendung von Liebert-Skalen Anpassung an Unternehmenssicht www.decus.de Thomas Maus 7

26. DECUS Symposium 10.04.2003 -Modell: Eine Klasse für sich... Häufigkeitsklassen für Schadensereignisse a a b c d unvermeidbar äußerst häufig sehr häufig häufig tritt sicher ein alle paar Tage monatlich ährlich 1,00E+000 2,00E-001 3,00E-002 2,74E-003 ### 6,60E-001 1,32E-001 1,98E-002 1,81E-003 kultur -Klassifikation-Matrix Die -Matrix definiert die klasse, die aus der Kombination bestimmter Häufigkeits- und Schadensklassen für Schadensereignisse resultiert. Häufigkeitsklassen für Schadenereignisse Schadensklassen für Schadensereignisse Klasse A B C D E F Umschreibung katastrophal großer Schaden mittlerer Schaden kleiner Schaden unbedeutend vernachlässigbar irrationales irrationales irrationales irrationales a unvermeidbar kleines irrationales irrationales b äußerst häufig großes minimales irrationales c sehr häufig großes großes kein irrationales d häufig großes kleines kein irrationales e selten großes kleines minimales kein f sehr selten großes kleines minimales kein kein g äußerst selten kleines minimales kein kein kein h eher unmöglich kleines minimales unvermeidl. Restrisiko kein kein kein i praktisch unmöglich unvermeidl. unvermeidl. Restrisiko Restrisiko kein kein kein kein www.decus.de Thomas Maus 8

26. DECUS Symposium 10.04.2003 inventar Werte Image Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen Produktivität Mitarbeiter Prozeßwirkungen Wertschöpfende Prozesse Rechtswirksame Prozesse Sonstige Prozeßwirkg. inventar Rechtl.+Vertragl. Risiken Bundesdatenschutzg esetz Haftungspflichten (BGB, vertragl.) Fernmeldegeheimnis Kryptoregulierungen Telekommunikations dienste-gesetze... KonTraG Betriebsverfassungs gesetz www.decus.de Thomas Maus 9

26. DECUS Symposium 10.04.2003 struktur an Beispiel- Szenarien Zwei Beispielszenarien für bewertung: K-Fall-Vorsorge für ein (kleines) fiktives RZ, Vergleich verschiedener Lösungsvarianten hinsichtlich Schutz und Wirtschaftlichkeit Sicherheitsanalyse, Vergleich von Sicherheitsarchitekturen, und Wirtschaftlichkeitsbetrachtung der Sicherheitsmaßnahmen bewertungstableaux Szenario Ist-Zustand Internet-Porta Vorschlag: Zwei unabhängige Firewalls, funktionales Interface zur DB, Grundschutz für Arbeitsplätze Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtris Technische Perspektive Gesamtlage Gesamtlage Oops Oops 395 Vorsorge 395 großes großes ### Vor- Managementperspektive sorge Prognosezeitpunkt Äußere Firewall 0,00 kleines B g W8 09.04.03 0,10000 www.decus.de Thomas Maus 10

26. DECUS Symposium 10.04.2003 A-Risk-Methics Ein Blick hinter die Kulissen: Schaurige Formeln in wohlweislich versteckten Zellen Aus- und Rückblick Interview-Technik und resultierende Tabellen werden von Management und Technikern als hilfreich befunden. Viele Fragestellungen können nach Initialaufwand effizient beleuchtet werden. Graphisches Werkzeug und etwas ausführlichere mathematische Modellierung wären wünschenswert. www.decus.de Thomas Maus 11

26. DECUS Symposium 10.04.2003 Ende Vielen Dank für Ihre Aufmerksamkeit! Für Fragen: thomas.maus@alumni.uni-karlsruhe.de www.decus.de Thomas Maus 12

26. DECUS Symposium -Tableauxs: Vorschlag Sec 10.4.2003 bewertungstableaux Szenario Vorschlag für Sicherheitsarchitektur Vorschlag: Zwei unabhängige Firewalls, funktionales Interface zur DB, Grundschutz für Arbeitsplätze Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel B B B B B B B B Schadensaggregation g h e i h g e e Häufigkeitsaggregation W8 W9 W6 W8 W3 W4 W4 W4 Wirksames Schutzniveau 09.04.03 0,10000 0,10000 0,10000 0,00000 0,00000 0,30000 0,50000 0,01000 Innentäter 1,00000 1,00000 1,00000 0,00000 0,00000 0,01000 0,01000 0,00500 Externe Profis 1,00000 1,00000 1,00000 0,00000 0,00000 0,00100 0,00100 0,00010 Cyber-Terroristen 500,00000 500,00000 500,00000 0,00231 0,00005 10,00000 10,00000 klass. Hacker 60.000,00000 60.000,00000 60.000,00000 0,27727 0,00557 900,00000 900,00000 Cyber-Punks schwere Betriebsstörung (löst Web-Server- x x x x e B mind. Image-Schaden, wahrscheinl. geschwächte e D schwere Betriebsstörung e E kleine Betriebsstörung x x e B Verlust von Kunden und e D Vor- Managementperspektive Gesamtlage DB-Server Interne Schwachstellen mit Kunden- Server mit in der Web-Server und Vertrags- kritischen Gesamtlage sorge Äußere in der DMZ Applikationslogik Firewall Web-Portal prozessen Arbeitsplätze Arbeitsplätze Innere daten für Geschäfts- interne Admin- Oops Oops 395 Firewall (Web-Portal) Bedrohungen Vorsorge 395 Akzeptanz-Indikator großes großes kleines minimales großes unvermeidl. minimales kleines großes großes Restrisiko -Aggregation Prognosezeitpunkt schwere Betriebsstörung (löst Web-Server- x x x e C einer Verurteilung wegen (löst Web-Server- x x ungenügender Absicherung Rechtl.+Vertragl. Bundesdatenschutzgesetz kleines e D Strafgelder... dürfte Sicherungspflichten verletzen Haftungspflichten großes e B Verurteilungen, (löst Web-Server- möglicherweise ziemlich sicher? Schadensersatz-forderungen F zahlreiche weitere rechtl. +... kein vertragl. potentiale Geschätzte Angriffe/Jahr der eweiligen Tätertypen 01.01.03 01.01.03 01.04.02 01.01.03 11.11.99 01.01.03 01.01.03 01.01.03 Letzte Aktualisierg des Schutzniveaus aggregation W'keit Schadensklasse W8 W9 W7 W8 W3 W5 W5 W5 Schutzniveau (Schätzung) Aggre Begründung vor allem gehärtet und Zugriff auf löst alle inneren vom Web-Server nur von innen Grundschutz Admin-WS sind Begründung gation Piercing-, über FW Risiken aus, aus nur fixe zugänglich, (externe Angriffe normale löst Risiken des abgeschottet über URL- angreifbar nur Funktionsaufrufe Grundschutz via Mail oder Arbeitsplätze zugänglich Web) Web-Servers Manipulationen über äußere FW inventar Ind. Klasse aus! o.ä. oder Web-Server Werte Image des Unternehmens großes d C per Definition prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf großes d C (löst Web-Server- per Definition x x Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) großes kleines minimales großes kleines Produktivität minimales e E Ausfallzeiten/Hemmnisse in der Produktion Mitarbeiter (Vertraulichkeit e C schwere BDSG-Verletzung, x x Verlust von Kernmitarbeitern der Mitarbeiterdaten) Prozeßwirkungen Wertschöpfende Proz. Internet-Portal e C Image-Schaden, Verlust von (löst Web-Server- x Kunden, schwerste Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über großes e B Gewinnausfälle (löst Web-Server- x x das Internet-Portal www.decus.de Autor: Thomas.Maus@alumni.uni-karlsruhe.de Appendix: Seite 1/12

26. DECUS Symposium -Tableauxs: Ist_Zustand Sec 10.4.2003 bewertungstableaux Szenario Ist-Zustand Internet-Portal-zentriertes Unternehmen Internet-Portal stellt den Hauptgeschäftsprozeß des Unternehmens dar. Absicherung über eine Firewall mit DMZ und Intranet. DB im Intranet. Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel B B B B B B B B Schadensaggregation g h e g h e d d Häufigkeitsaggregation W8 W9 W6 W8 W3 W3 W3 W3 Wirksames Schutzniveau 09.04.03 0,10000 0,10000 0,10000 0,10000 0,00000 0,30000 0,50000 0,01000 Innentäter 1,00000 1,00000 1,00000 1,00000 0,00000 0,01000 0,01000 0,00500 Externe Profis 1,00000 1,00000 1,00000 1,00000 0,00000 0,00100 0,00100 0,00010 Cyber-Terroristen 500,00000 500,00000 500,00000 500,00000 0,00005 10,00000 10,00000 klass. Hacker 60.000,00000 60.000,00000 60.000,00000 60.000,00000 0,00557 900,00000 900,00000 Cyber-Punks schwere Betriebsstörung (löst Web-Server- x x d B mind. Image-Schaden, wahrscheinl. geschwächte schwere Betriebsstörung d E kleine Betriebsstörung x x d B Verlust von Kunden und Vor- Managementperspektive Gesamtlage DB-Server Interne Schwachstellen mit Kunden- Server mit in der Web-Server und Vertrags- kritischen Gesamtlage sorge Äußere in der DMZ Applikationslogik Firewall Web-Portal prozessen Arbeitsplätze Arbeitsplätze Innere daten für Geschäfts- interne Admin- Oops Oops 3.618 Firewall (Web-Portal) Bedrohungen Vorsorge 3.618 Akzeptanz-Indikator kleines minimales großes kleines minimales großes -Aggregation Planungszeitpunkt schwere Betriebsstörung (löst Web-Server- x x x d C einer Verurteilung wegen (löst Web-Server- x x ungenügender Absicherung Rechtl.+Vertragl. Bundesdatenschutzgesetz kleines e D Strafgelder... dürfte Sicherungspflichten verletzen Haftungspflichten d B Verurteilungen, (löst Web-Server- möglicherweise ziemlich sicher? Schadensersatz-forderungen F zahlreiche weitere rechtl. +... kein vertragl. potentiale Geschätzte Angriffe/Jahr der eweiligen Tätertypen 01.01.03 01.01.03 01.04.02 01.01.03 11.11.99 09.10.02 01.04.00 01.04.00 Letzte Aktualisierg des Schutzniveaus aggregation W'keit Schadensklasse W8 W9 W7 W8 W3 W4 W3 W3 Schutzniveau (Schätzung) Aggre Begründung vor allem gehärtet und Zugriff auf nur eine Firewall, über SQL vom nur von innen installiert + Admin-WS sind Begründung gation Piercing-, über FW also gleiche Web-Server aus zugänglich, wird gehärtet (externe normale löst Risiken des abgeschottet über URL- Exposition, löst zugänglich! aber gepflegt Angriffe via Mail Arbeitsplätze oder Web) Web-Servers Manipulationen alle inneren inventar Ind. Klasse aus! o.ä. Risiken aus Werte Image des Unternehmens großes d C per Definition prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf großes d C (löst Web-Server- per Definition x x Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) kleines Produktivität kleines d E Ausfallzeiten/Hemmnisse in der Produktion Mitarbeiter (Vertraulichkeit großes d C schwere BDSG-Verletzung, x x Verlust von Kernmitarbeitern der Mitarbeiterdaten) Prozeßwirkungen Wertschöpfende Proz. Internet-Portal großes d C Image-Schaden, Verlust von (löst Web-Server- x Kunden, schwerste Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über d B Gewinnausfälle (löst Web-Server- x x das Internet-Portal großes www.decus.de Autor: Thomas.Maus@alumni.uni-karlsruhe.de Appendix: Seite 2/12

26. DECUS Symposium -Tableauxs: Muster_Security 10.4.2003 bewertungstableaux Szenario Muster Das -Tableaux stellt Management- und IT-technische Perspektive und in Beziehung. Technische Komponenten werden nach ihrem eweiligen Schutzniveau und dem Expositionsgrad den Angreifertypen klassifiziert, die geschäftlichen nach ihrer Schadensklasse. Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel B B B B B B B B Schadensaggregation g h e g h e d d Häufigkeitsaggregation W8 W9 W6 W8 W3 W3 W3 W3 Wirksames Schutzniveau 09.04.03 0,10000 0,10000 0,10000 0,10000 0,00000 0,30000 0,50000 0,01000 Innentäter 1,00000 1,00000 1,00000 1,00000 0,00000 0,01000 0,01000 0,00500 Externe Profis 1,00000 1,00000 1,00000 1,00000 0,00000 0,00100 0,00100 0,00010 Cyber-Terroristen 500,00000 500,00000 500,00000 500,00000 0,00005 10,00000 10,00000 klass. Hacker 60.000,00000 60.000,00000 60.000,00000 60.000,00000 0,00557 900,00000 900,00000 Cyber-Punks schwere Betriebsstörung (löst Web-Server- x x d B mind. Image-Schaden, wahrscheinl. geschwächte schwere Betriebsstörung d E kleine Betriebsstörung x x d B Verlust von Kunden und Vor- Managementperspektive Gesamtlage DB-Server Interne Schwachstellen mit Kunden- Server mit in der Web-Server und Vertrags- kritischen Gesamtlage sorge Äußere in der DMZ Applikationslogik Firewall Web-Portal prozessen Arbeitsplätze Arbeitsplätze Innere daten für Geschäfts- interne Admin- Oops Oops 3.618 Firewall (Web-Portal) Bedrohungen Vorsorge 3.618 Akzeptanz-Indikator kleines minimales großes kleines minimales großes -Aggregation Planungszeitpunkt schwere Betriebsstörung (löst Web-Server- x x x d C einer Verurteilung wegen (löst Web-Server- x x ungenügender Absicherung Rechtl.+Vertragl. Bundesdatenschutzgesetz kleines e D Strafgelder... dürfte Sicherungspflichten verletzen Haftungspflichten d B Verurteilungen, (löst Web-Server- möglicherweise ziemlich sicher? Schadensersatz-forderungen F zahlreiche weitere rechtl. +... kein vertragl. potentiale Geschätzte Angriffe/Jahr der eweiligen Tätertypen 01.01.03 01.01.03 01.04.02 01.01.03 11.11.99 09.10.02 01.04.00 01.04.00 Letzte Aktualisierg des Schutzniveaus aggregation W'keit Schadensklasse W8 W9 W7 W8 W3 W4 W3 W3 Schutzniveau (Schätzung) Aggre Begründung vor allem gehärtet und Zugriff auf nur eine Firewall, über SQL vom nur von innen installiert + Admin-WS sind Begründung gation Piercing-, über FW also gleiche Web-Server aus zugänglich, wird gehärtet (externe normale löst Risiken des abgeschottet über URL- Exposition, löst zugänglich! aber gepflegt Angriffe via Mail Arbeitsplätze oder Web) Web-Servers Manipulationen alle inneren inventar Ind. Klasse aus! o.ä. Risiken aus Werte Image des Unternehmens großes d C per Definition prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede prakt. ede Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne Sicherheitspanne schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf schädigt den Ruf großes d C (löst Web-Server- per Definition x x Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) kleines Produktivität kleines d E Ausfallzeiten/Hemmnisse in der Produktion Mitarbeiter (Vertraulichkeit großes d C schwere BDSG-Verletzung, x x Verlust von Kernmitarbeitern der Mitarbeiterdaten) Prozeßwirkungen Wertschöpfende Proz. Internet-Portal großes d C Image-Schaden, Verlust von (löst Web-Server- x Kunden, schwerste Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über d B Gewinnausfälle (löst Web-Server- x x das Internet-Portal großes www.decus.de Autor: Thomas.Maus@alumni.uni-karlsruhe.de Appendix: Seite 3/12

26. DECUS Symposium -Tableauxs: RZ neu und alt 10.4.2003 bewertungstableaux Szenario RZ an beiden Standorten Das RZ wird auf beide Standorte verteilt, die Stand-Bys stehen also an verschiedenen Standorten. Die Standorte werden über eine Laser-Richtstrecke vernetzt. Telefonie per VoIP. Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Gesamtlage Werte Gesamtlage Oops Oops 0 Bedrohungen Vorsorge 0 Akzeptanz-Indikator minimales minimales kein kein unvermeidl. Restrisiko kein minimales kein minimales -Aggregation B C B C B C B Schadensaggregation aggregation W'keit Schadensklasse i i h i h Häufigkeitsklasse (Schätzung) Aggre Begründung ausgeschlossen ausgeschlossen Bänder lagen Produktion ist eigentl. kein zb Sturm zerlegt zb Bagger Begründung gation nicht im Safe brandgefährdeter Erdbebengebiet Oberleitgsring zerreißt Kabel inventar Ind. Klasse Image des Unternehmens unvermeidl. h C per Definition offensichtliche nicht erreichbar Restrisiko Schlamperei C per Definition kein Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) Produktivität Mitarbeiter (Vertraulichkeit der Mitarbeiterdaten) kein kein kein kein kein kein kein kein h D schwere Betriebsstörung x B mind. Image-Schaden, wahrscheinl. geschwächte h D schwere Betriebsstörung x h E B h D kleine Betriebsstörung vorübergehend x schwere Betriebsstörung x h E Ausfallzeiten/Hemmnisse in der Produktion C Prozeßwirkungen Wertschöpfende Proz. Internet-Portal unvermeidl. h C Image-Schaden, Verlust von x Kunden, schwerste Restrisiko Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über B kein Gewinnausfälle das Internet-Portal Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel Rechtl.+Vertragl. Bundesdatenschutzgesetz kein kein dauerhafter Stromausfall durch Leitungszerstörg dauerhafter (t>usv) Kommunikationsausfall durch Leitungszerstörg Vor- Managementperspektive sorge C D Verlust von Kunden und schwere BDSG-Verletzung, Verlust von Kernmitarbeitern einer Verurteilung wegen ungenügender Absicherung Strafgelder... Hochwasser vernichtet nur Server, Datensicherg wird gerettet Hochwasser vernichtet Server und Datensicherungsmedien Feuer,Löschwasser oder Feuer,Löschwasser oder Kontaminatio n vernichten Kontaminatio Server und n vernichten Datensicherg nur Server Erdbeben führt zu Gebäudeeinsturz Haftungspflichten minimales h B... kein F Verurteilungen, Schadensersatz-forderungen zahlreiche weitere rechtl. + vertragl. potentiale www.decus.de Autor: Thomas.Maus@alumni.uni-karlsruhe.de Appendix: Seite 4/12

26. DECUS Symposium -Tableauxs: RZ outsourcen 10.4.2003 bewertungstableaux Szenario RZ in Outsourcing RZ-Outsourcing mit entsprechenden SLAs.. Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Gesamtlage Gesamtlage Oops Oops 119 Bedrohungen sorge Vorsorge 119 Akzeptanz-Indikator großes unvermeidl. minimales kein kein kein kein Restrisiko -Aggregation B C B C B B C B Schadensaggregation aggregation W'keit Schadensklasse i i h f i d Häufigkeitsklasse (Schätzung) inventar Aggre Begründung ausgeschlossen ausgeschlossen per SLA per SLA eigentl. kein eigentl. kein per SLA unser Begründung Ind. Klasse gation ausgeschlossen ausgeschlossen Erdbebengebiet Erdbebengebiet ausgeschlossen Kommunikationsproblem besteht! (bzw. Haftung) (bzw. Haftung) (bzw. Haftung) Werte Image des Unternehmens großes d C offensichtliche ist ungerecht, ttrifft per Definition nicht erreichbar Schlamperei uns aber trotzdem Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) Produktivität Mitarbeiter (Vertraulichkeit der Mitarbeiterdaten) kein f C per Definition x schwere Betriebsstörung x x f B mind. Image-Schaden, x wahrscheinl. geschwächte schwere Betriebsstörung x x d E kleine Betriebsstörung x vorübergehend x f B Verlust von Kunden und x schwere Betriebsstörung x x f E Ausfallzeiten/Hemmnisse in der x Produktion f C schwere BDSG-Verletzung, x Verlust von Kernmitarbeitern Prozeßwirkungen Wertschöpfende Proz. Internet-Portal großes d C Image-Schaden, Verlust von x x Kunden, schwerste Rechtswirksame Proz. Leistungszusagen über das Internet-Portal Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel kleines kleines kleines kleines Rechtl.+Vertragl. Bundesdatenschutzgesetz minimales f D Haftungspflichten f B... kein F f B Gewinnausfälle x dauerhafter Kommunikationsausfall durch Leitungszerstörg Vor- Managementperspektive Produktionsausfälle Hochwasser vernichtet Server und Datensicherungsmedien Feuer,Löschwasser oder Feuer,Lösch- Hochwasser vernichtet nur Kontaminatio wasser oder Server, n vernichten Kontaminatio Datensicherg Server und n vernichten wird gerettet Datensicherg nur Server Erdbeben führt zu Gebäudeeinsturz zusätzliche Datenspionage + -sabotage- Risiken f C einer Verurteilung wegen x ungenügender Absicherung Strafgelder... x Verurteilungen, Schadensersatz-forderungen zahlreiche weitere rechtl. + vertragl. potentiale dauerhafter Stromausfall durch Leitungszerstörg (t>usv) www.decus.de Autor: Thomas.Maus@alumni.uni-karlsruhe.de Appendix: Seite 5/12

26. DECUS Symposium -Tableauxs: RZ neu 10.4.2003 bewertungstableaux Szenario RZ in Produktionsgebäude auf dem Berg umziehen Das RZ könnte in den Produktiontrakt verlegt werden. Dieser liegt deutlich hangaufwärts. Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Gesamtlage Werte Gesamtlage Oops Oops 196 Bedrohungen Vorsorge 196 Akzeptanz-Indikator großes großes großes minimales kein kein -Aggregation B C B C B C B Schadensaggregation aggregation W'keit Schadensklasse e d h e d Häufigkeitsklasse (Schätzung) Aggre Begründung ausgeschlossen ausgeschlossen Bänder lagen Produktion ist eigentl. kein zb Sturm zerlegt zb Bagger Begründung gation nicht im Safe brandgefährdeter Erdbebengebiet Oberleitgsring zerreißt Kabel inventar Ind. Klasse Image des Unternehmens großes d C per Definition offensichtliche nicht erreichbar Schlamperei C per Definition kein Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) kein kein schwere Betriebsstörung x B mind. Image-Schaden, wahrscheinl. geschwächte schwere Betriebsstörung x d E B kleine Betriebsstörung vorübergehend x schwere Betriebsstörung x Produktivität kleines d E Ausfallzeiten/Hemmnisse in der Produktion Mitarbeiter (Vertraulichkeit C schwere BDSG-Verletzung, kein Verlust von Kernmitarbeitern der Mitarbeiterdaten) Prozeßwirkungen Wertschöpfende Proz. Internet-Portal großes d C Image-Schaden, Verlust von x Kunden, schwerste Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über B kein Gewinnausfälle das Internet-Portal Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel Rechtl.+Vertragl. Bundesdatenschutzgesetz kleines kein kein dauerhafter Kommunikationsausfall durch Leitungszerstörg Vor- Managementperspektive sorge C D Verlust von Kunden und einer Verurteilung wegen ungenügender Absicherung Strafgelder... Hochwasser vernichtet nur Server, Datensicherg wird gerettet Hochwasser vernichtet Server und Datensicherungsmedien Feuer,Löschwasser oder Feuer,Löschwasser oder Kontaminatio n vernichten Kontaminatio Server und n vernichten Datensicherg nur Server Erdbeben führt zu Gebäudeeinsturz dauerhafter Stromausfall durch Leitungszerstörg (t>usv) Haftungspflichten großes e B... kein F Verurteilungen, Schadensersatz-forderungen zahlreiche weitere rechtl. + vertragl. potentiale www.decus.de Autor: Thomas.Maus@alumni.uni-karlsruhe.de Appendix: Seite 6/12

26. DECUS Symposium -Tableauxs: RZ alt 10.4.2003 bewertungstableaux Szenario Altes RZ im Verwaltungsgebäude Das RZ liegt im Keller des Verwaltungsgebäude, hinter dem Hochwasserdech, also hochwassergefährdet.was tun? Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Gesamtlage Werte Gesamtlage Oops Oops 125 inventar Ind. Klasse Image des Unternehmens großes d C per Definition offensichtliche nicht erreichbar Schlamperei C per Definition kein Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) kein kein schwere Betriebsstörung x B mind. Image-Schaden, wahrscheinl. geschwächte schwere Betriebsstörung x d E B kleine Betriebsstörung vorübergehend x schwere Betriebsstörung x Produktivität minimales e E Ausfallzeiten/Hemmnisse in der Produktion Mitarbeiter (Vertraulichkeit C schwere BDSG-Verletzung, kein Verlust von Kernmitarbeitern der Mitarbeiterdaten) Prozeßwirkungen Wertschöpfende Proz. Internet-Portal großes d C Image-Schaden, Verlust von x Kunden, schwerste Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über B kein Gewinnausfälle das Internet-Portal Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel Rechtl.+Vertragl. Bundesdatenschutzgesetz kein kein C D Strafgelder... Hochwasser vernichtet Server und Datensicherungsmedien Hochwasser vernichtet nur Server, Datensicherg wird gerettet Feuer (und Löschwasser Feuer (und ) vernichten Löschwasser Server und ) vernichten Datensicherg nur Server Erdbeben führt zu Gebäudeeinsturz dauerhafter Stromausfall durch Leitungszerstörg (t>usv) Bedrohungen dauerhafter Kommunikationsausfall durch Leitungszerstörg Vor- Managementperspektive sorge Vorsorge 125 Akzeptanz-Indikator großes kleines kleines minimales -Aggregation B C B C B C B Schadensaggregation aggregation W'keit Schadensklasse g f f e h e d Häufigkeitsklasse (Schätzung) Aggre Begründung Jahrhunder-HW Jahrhunderthochwasser Bänder lagen Bänder sollen in eigentl. kein zb Sturm zerlegt zb Bagger Begründung gation + unglückl. nicht im Safe Safe liegen Erdbebengebiet Oberleitgsring zerreißt Kabel Umstände kleines Verlust von Kunden und einer Verurteilung wegen ungenügender Absicherung Haftungspflichten f B... kein F Verurteilungen, Schadensersatz-forderungen zahlreiche weitere rechtl. + vertragl. potentiale www.decus.de Autor: Thomas.Maus@alumni.uni-karlsruhe.de Appendix: Seite 7/12

26. DECUS Symposium -Tableauxs: Muster_Safety 10.4.2003 bewertungstableaux Szenario Muster Das -Tableaux stellt Management- und IT-technische Perspektive und in Beziehung. Die technischen Bedrohungen müssen nach ihrer eweiligen Eintrittswahrscheinlichkeit klassifiziert werden, die geschäftlichen nach ihrer Schadensklasse. Die Eingabefelder sind blau hervorgehoben. Es sollte eweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Gesamtlage Werte Gesamtlage Oops Oops 125 inventar Ind. Klasse Image des Unternehmens großes d C per Definition offensichtliche nicht erreichbar Schlamperei C per Definition kein Unterstützende Daten- + Funktionsbestände Betriebsgeheimnisse I+K-Ressourcen (Verfügbarkeit) kein kein schwere Betriebsstörung x B mind. Image-Schaden, wahrscheinl. geschwächte schwere Betriebsstörung x d E B kleine Betriebsstörung vorübergehend x schwere Betriebsstörung x Produktivität minimales e E Ausfallzeiten/Hemmnisse in der Produktion Mitarbeiter (Vertraulichkeit C schwere BDSG-Verletzung, kein Verlust von Kernmitarbeitern der Mitarbeiterdaten) Prozeßwirkungen Wertschöpfende Proz. Internet-Portal großes d C Image-Schaden, Verlust von x Kunden, schwerste Produktionsausfälle Rechtswirksame Proz. Leistungszusagen über B kein Gewinnausfälle das Internet-Portal Sonstige Prozeßwirkg. Mißbrauch der I+K als Angriffsvehikel Rechtl.+Vertragl. Bundesdatenschutzgesetz kein kein C D Strafgelder... Hochwasser vernichtet Server und Datensicherungsmedien Hochwasser vernichtet nur Server, Datensicherg wird gerettet Feuer (und Löschwasser Feuer (und ) vernichten Löschwasser Server und ) vernichten Datensicherg nur Server Erdbeben führt zu Gebäudeeinsturz dauerhafter Stromausfall durch Leitungszerstörg (t>usv) Bedrohungen dauerhafter Kommunikationsausfall durch Leitungszerstörg Vor- Managementperspektive sorge Vorsorge 125 Akzeptanz-Indikator großes kleines kleines minimales -Aggregation B C B C B C B Schadensaggregation aggregation W'keit Schadensklasse g f f e h e d Häufigkeitsklasse (Schätzung) Aggre Begründung Jahrhunder-HW Jahrhunderthochwasser Bänder lagen Bänder sollen in eigentl. kein zb Sturm zerlegt zb Bagger Begründung gation + unglückl. nicht im Safe Safe liegen Erdbebengebiet Oberleitgsring zerreißt Kabel Umstände kleines Verlust von Kunden und einer Verurteilung wegen ungenügender Absicherung Haftungspflichten f B... kein F Verurteilungen, Schadensersatz-forderungen zahlreiche weitere rechtl. + vertragl. potentiale www.decus.de Autor: Thomas.Maus@alumni.uni-karlsruhe.de Appendix: Seite 8/12

26. DECUS Symposium -Tableauxs: K 10.4.2003 klassen R1 R2 R3 R4 R5 R6 R7 R8 Klasse irrationales großes kleines minimales unvermeidl. kein Restrisiko Umschreibung inakzeptabel inakzeptabel inakzeptabel übergangsweise notfalls akzeptabel akzeptabel akzeptabel akzeptabel Akzeptabilität (Genehmigung!) (Genehmigung!) (Genehmigung CSO nötig?) -Vorsorge in inakzeptabel inakzeptabel inakzeptabel CSO-Genehmigg. CSO-Genehmigg. akzeptabel akzeptabel akzeptabel Policy-Indikator www.decus.de Autor: Thomas.Maus@alumni.uni-karlsruhe.de Appendix: Seite 9/12

26. DECUS Symposium -Tableauxs: Schaden K 10.4.2003 Schadensklassen für Schadensereignisse A A B C D E F Klasse katastrophal großer Schaden mittlerer Schaden kleiner Schaden unbedeutend vernachlässigbar Umschreibung z.b. Verlust von Großkunden z.b. Gewinnausfall, Strateg. Planung z.b. Verurteilung wegen grober Fahrlässigkeit z.b. Image- Schädigung z.b. Verurteilung wegen einfacher Fahrlässigkeit z.b. Verrat von z.b. massive Geheimnissen der Datenschutzverletzungen Vertragspartner z.b.betriebsstörg. Verärgerung von Kunden z.b. vereinzelte Datenschutzverletzungen Kriterien der Schadenskategorien 1.000.000,00 50.000,00 20.000,00 100,00 10,00 1,00 in Peanuts-Einheiten ### 660.000,00 33.000,00 13.200,00 66,00 6,60-1,00 Schwellwerte - finanzieller Schaden in - Schädigung eigener Interessen z.b. kleinere Produktionsstörungen - Pflichtverletzungen - Schädigung Dritter www.decus.de Autor: Thomas.Maus@alumni.uni-karlsruhe.de Appendix: Seite 10/12

26. DECUS Symposium -Tableauxs: Häufigkeit K 10.4.2003 Häufigkeitsklassen für Schadensereignisse a a b c d e f g h i Klasse absolut praktisch unmögliches unvermeidbar äußerst häufig sehr häufig häufig selten sehr selten äußerst selten eher unmöglich unmöglich Ereignis Umschreibung nach Expertenmeinung nach allgemeiner Kriterien der Expertenmeinung Häufigkeits- tritt sicher ein alle paar Tage monatlich ährlich > 10 Jahre > 100 Jahre > 1000 Jahre kategorien 1,00E+000 2,00E-001 3,00E-002 2,74E-003 2,74E-004 2,74E-005 2,74E-006 1,00E-009 1,00E-010 Wahrscheinlichkeit (1/Tag) ### 6,60E-001 1,32E-001 1,98E-002 1,81E-003 1,81E-004 1,81E-005 1,81E-006 6,60E-010-1,00E+000 Schwellwerte www.decus.de Autor: Thomas.Maus@alumni.uni-karlsruhe.de Appendix: Seite 11/12

26. DECUS Symposium -Tableauxs: Widerstandsmatrix 10.4.2003 Widerstand-Klassifikation-Matrix Die Widerstandswert-Matrix definiert die Wahrscheinlichkeit, mit der ein bestimmtes Schutzniveau von einem bestimmten Angreifertyp überwunden werden kann. Klasse Angreifertyp A1 A2 A3 A4 A5 Klasse Innentäter Externe Profis Cyber-Terroristen klass. Hacker Cyber-Punks Benennung von innen, weitreichende Zugangsrechte eher wenig Aufwand und Ausrüstung großes Budget, erstklassige Ausrüstung erheblicher Aufwand eher geringer und gute Ausrüstung Aufwand bei guter Ausrüstung W2 Lieferzustand 300000 unvermeidbar unvermeidbar unvermeidbar unvermeidbar sehr häufig W3 einmalig gehärtet 300000 äußerst häufig unvermeidbar sehr häufig sehr häufig häufig W4 regelmäßig gehärtet 180 häufig äußerst häufig häufig häufig selten gering: vorhandene Angriffswerkzeuge technisch oder technisch und technisch gut bis technisch gut bis technisch gering fachlich sehr gute fachlich sehr gut sehr gut sehr gut Schutzniveau Detailkenntnisse Vorteil, Sabotage, Spionage, evtl. Sabotage/Publicity eher risikoscheu und eher irrational, nicht Lebensdauer risikobewußt, evtl. Sabotage, rational + irrational, risikobereit rational risikobewußt Bezeichnung (in Tagen) irrational risikobewußt "Fame+Fun" W1 ungesichert 300000 unvermeidbar unvermeidbar unvermeidbar unvermeidbar äußerst häufig W5 Grundschutz 90 selten sehr häufig selten selten sehr selten W6 hochsicher 180 sehr selten häufig selten sehr selten äußerst selten W7 Reviewed 360 äußerst selten häufig sehr selten sehr selten eher unmöglich W8 State of the Art 180 äußerst selten selten äußerst selten äußerst selten praktisch unmöglich W9 Redundant State-o/t-Art 360 eher unmöglich sehr selten eher unmöglich eher unmöglich praktisch unmöglich - Ressourcen - Qualifikation Kriterien der Angriffskategorien koordiniert von innen eher von außen eher von außen von außen - Angriffsposition und außen - Angriffsmotivation www.decus.de Autor: Thomas.Maus@alumni.uni-karlsruhe.de Appendix: Seite 12/12