Inventarisierung + Bewertung von IT-Risiken

Ähnliche Dokumente
Inventarisierung + Bewertung von IT-Risiken

Inventarisierung + Bewertung von IT-Risiken

RISIKOMANAGEMENT VON PROJEKTEN IM RAHMEN DES RISIKOMANAGEMENTS VON PORTFOLIOS

Risikoorientiertes Testen und Testmanagement

Risikoanalyse. Projektrisiken... 5 Managementrisiken... 5 Umsetzungsrisiken... 5 Soziale Risiken... 5

Können Risiken aus technisch-ökonomischen Entwicklungen zuverlässig eingeschätzt werden? 1

1. IT-Grundschutz-Tag 2014

Safety and Reliability of Embedded Systems

OWASP Frankfurt, The OWASP Foundation Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen

Messbare Sicherheit?

12 Systemsicherheitsanalyse

Statistik I. Hinweise zur Bearbeitung. Aufgabe 1

Neue Trends IT-Grundschutzhandbuch

Ökonomische Analyse von Anpassungsmaßnahmen an Extremwetterereignisse im Weinbau auf einzelbetrieblicher Ebene

Co-Browsing: Neue Service-Dimension durch Telefon und Website Integration

Mathematische Ansätze im Enterprise Risk Management

Technisches Risikomanagement 2009 Matthias Herold

Professionelles Risikomanagement in der Logistik

Vorwort 11. Danksagung 15

Portfolio Management. Die Klusa Module. Aufgaben des Portfoliomanagements

Wechselwirkungen zwischen der Projektmanagementmethode PRINCE2 und den typischen juristischen Rahmenbedingungen im IT-Projekt

Fachbereich Arbeit Wirtschaft Technik Informatik Schulinterner Lehrplan: Informationstechnische Grundbildung HZ/RZ Klasse 6.

Der IT-Security Dschungel im Krankenhaus. Ein möglicher Ausweg

TÜV NORD CERT GmbH DIN EN ISO 9001:2015 und Risikomanagement Anforderungen und Umsetzung

Aufgabe 1 Einen großen Industriebetrieb verlassen aus unterschiedlichen Gründen im Durchschnitt 5 Beschäftigte pro Monat.

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

Brandschutzbeauftragter (TÜV )

Risikomanagement - Prozessmodelle im Kontext von Verträgen Nutzen und Standards

Magna Steyr Industrial Services Innovations- & Technologie Consulting

Einführung in die Stochastik mit dem GTR. Gliederung. Zufallsexperiment??? Wie geht man vor???

REVISION & RISIKOMANAGEMENT VON PROJEKTEN

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch

Die IT steuern mit Key Performance Indicators

Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit

5. Übungsblatt zur Einführung in die Stochastik

Patch-Management. Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011

Seminarvortrag Risikomanagement

Erfolg lässt sich planen

Evaluation von Risikokommunikation: Risikowahrnehmung und Verhalten

Digitale Risiken und Schadenszenarien. Die deutsche Perspektive

Aufgabe 5 Excel 2013 (Fortgeschrittene)

No risk, no fun? Risikomanagement in Doku-Projekten

IT-Einsatz in den RoMed Kliniken

Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?!

Attachmate Luminet Enterprise Fraud Management

Charakterisierung der Kinder ohne Impfdokumentation bei der Einschulungsuntersuchung und mögliche Ersetzungsmodelle für die Berechnung von Impfraten

Statistik I. Hinweise zur Bearbeitung. Aufgabe 1

Die Zukunft steuern mit CONTROL-M/Forecast 6.3. Ditzingen, Juni 2007

Name: Matr.-Nr.: Seite: Geben Sie drei Klassifizierungsmerkmale aus dem Kurstext für den Begriff

Berufsprüfung ICT System und Netzwerktechnik. Betrieb von ICT Systemen und Netzwerken planen

Werte und Ziele. die ethische Dimension der Abfallbehandlung

DIMEX Data Import/Export

Arnold Hermanns/Michael Sauter, ecommerce der Weg in die Zukunft?, München, 2001

9. Anhang: EU - Russland / Ukraine / Türkei. als Mitglieder in der EU: Utopie oder realistische Alternative?

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Grundlagen des Datenschutzes und der IT-Sicherheit

C 6 der unbekannte Korrekturfaktor?

Cyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen

ARCHIBUS IWMS Lösung vom Weltmarktführer

MARSH CYBER-RISIKO-BEFRAGUNG 2015 ERGEBNISSE DEUTSCHLAND SEPTEMBER 2015

Mathematische und statistische Methoden II

Methodik für Entwurf, Aufbau und Betrieb von Ausfallrechenzentren

Statistik III. Walter Zucchini Fred Böker Andreas Stadie

Tabellenkalkulation Excel

Graphische Darstellung einer univariaten Verteilung:

Übersicht Kompakt-Audits Vom

Wo leben wir eigentlich? Die Behörde auf Facebook?

Soll mein Auto so fahren wie ich? im Kontext des automatisierten Fahrens

IT-Sicherheit: Unternehmen betrachten die Themen zu technisch

International anerkannter Standard für IT-Sicherheit: ISO Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Neun Jahre ISO Zertifizierung. Eine Bilanz in Anlehnung an das BRZ-Reifegradmodell

Risikosimulation zur Optimierung der Finanzierungsplanung von Projekten

Fünffach stark für die Region. Regionalwirtschaftliche Effekte von EWE eine wissenschaftliche Untersuchung von CONOSCOPE

Supply Chain Risk Management - Risiken in der Logistik sicher beherrschen

Produzierendes Gewerbe

Einsatz Risikobewertung, Entscheidungsfindung und Simulation

Das BonaRes Zentrum. Konzept für ein virtuelles Forschungszentrum

VERGLEICH DER BAUWEISEN "MASSIVBAU" VS. "LEICHTBAU" HINSICHTLICH WIRTSCHAFTS- UND ARBEITSMARKTPOLITISCHER ASPEKTE

Planungsmethodik in der kommunalen Raumplanung

Vorlesung 6: Alternativen zur Erwartungsnutzentheorie

Kapitel 3: Der Projektstart

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

Ermittlung psychischer Belastungen am Arbeitsplatz

Mathematische und statistische Methoden II

Screening Gesundes Arbeiten

Erfolg lässt sich planen

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

Wirksamkeitsorientierung im Betrieblichen Gesundheitsmanagement

Einführung in die Wahrscheinlichkeitsrechnung

IT-Risikomanagement II

Elternabend zum Thema Mobbing. Dienstag, 7. Juni 2016

ISO 9001:2015 denkt risikobasiert weiter Anni Koubek, Quality Austria

ÜBUNG. Einführung in das IT-Projektmanagement Dr. The Anh Vuong WS 2016/17. Thema... 2 Projekt Struktur... 3 AUFGABEN... 5

Transkript:

Inventarisierung + Bewertung von IT-Risiken Thomas Maus Maus IT-Consulting thomas.maus@alumni.uni-karlsruhe.de GUUG Frühjahrsfachgespräch 2003 Inhalt Wo soll die Reise hingehen? Was ist eigentlich? Ein pragmatisches Modell für Die kultur Ihrer Organisation Das inventar Ihrer Organisation struktur an Beispiel-Szenarien A-Risk-Methics Aus- und Rückblick 1

Wo soll die Reise hingehen? Verstehen der eigenen Sicherheitslage Kommunikationshilfsmittel für Gespräche zwischen Management, Fachseite + Administratoren Grundlage für nachvollziehbare, objektivierbare Entscheidungen Planungshilfsmittel für Sicherheitsarchitektur Priorisierung und Wirtschaftlichkeit von Maßnahmen Was ist eigentlich? Mathematisch/Ingenieurswissenschaftlich Moralisch/Politisch Psychologisch 2

Was ist? Mathematisch/Ingenieurswissenschaftlich DIN, VDE 31000: (Schadensereignis) = (mittleres) Schadensausmaß x (mittlere) Eintrittswahrscheinlichkeit aber: wann gilt das? Schadensausmaß? Eintrittswahrscheinlichkeit? Schadensverlauf und Beherrschbarkeit??? Was ist? Mathematisch/Ingenieurswissenschaftlich Schadensausmaß Eintrittshäufigkeit 10 10 9 9 8 8 7 Wahrscheinlichkeit 6 5 4 3 2 X 7 Wahrscheinlichkeit 6 5 4 3 2 1 1 0 Mittelwert 0 Mittelwert 3

Was ist? Mathematisch/Ingenieurswissenschaftlich 10 Schadensausmaß 10 Eintrittshäufigkeit 9 9 8 8 7 Wahrscheinlichkeit 6 5 4 3 2 X 7 Wahrscheinlichkeit 6 5 4 3 2 1 1 0 Best Case Mittelwert Worst Case 0 Min Ø 99%-il Was ist? Moralisch/Politisch Beispiel: Friedliche Nutzung der Kernenergie Statistisch (BRD): 6 12 Tote/Kernkraftwerk/Jahr ~ 200 Kernkrafttote/a << ~ 5000 Verkehrstote/a Schadensfall: SuperGAU Hüllenbruch > 10 7 a 1 2 Millionen Tote 10 20 Millionen Dauergeschädigte weite Teile 100 200 Jahre unbewohnbar Akzeptabel? Welche Prävention, Reaktion? 4

Was ist? Psychologisch Beispiel: Hausbesitzer 100% Beitrag normale Gebäudeversicherung 120% Beitrag + Elementarschäden 130% Beitrag + Allgefahrenversicherung Welchen Versicherungsschutz? Begrenztes Budget: lieber Allgefahrengebäude- und kein Hausrat-V oder Normale Gebäude- und Hausrat-V? Was ist? Psychologisch Saalexperiment Was würden Sie wählen? 500 Gewinn / Münzwurf: nichts oder 1.000 Gewinn 500 Verlust / Münzwurf: nichts oder 1.000 Verlust 500 Gewinn / Würfel: 6 = 10.000 Gewinn 500 Verlust / Würfel: 6 = 10.000 Verlust 5

Was ist? Psychologisch Gedankenexperiment zur IT-Sicherheit: Stellen Sie sich Ihren persönlichen GAU vor: Unter denen Zuhörern ohne blauen Hut wird einer ausgelost den trifft sein persönlicher Gau Sie können jetzt blaue Hüte kaufen, 500. Zweite Chance: Blaue Hüte zu 2.000 Drei Hüte hab' ich noch. Gebote? -Psychologie: Was ist? Psychologisch Chancen und Risiken werden asymmetrisch wahrgenommen Tendenz zur Verlustvermeidung Auswirkung von Informationsmangel/defiziten Wahrnehmbarkeit von Risiken Verdrängung von Risiken Gruppendynamische Effekte 6

GUUG Frühjahrsfachgespräch 2003 Ein pragmatisches Modell für Anforderungen an das Modell: Politische Grundsatzentscheidungen dokumentieren und abbilden Psychologischen Effekten entgegen wirken sinnvolle -Arithmetiken ermöglichen Schadensausmaß und Eintrittswahrscheinlichkeiten handhabbar machen -Modell: Eine Klasse für sich... Vorgehensweise: Definition von Klassen für Schaden Eintrittshäufigkeit Verwendung von Liebert-Skalen Anpassung an Unternehmenssicht 7

-Modell: Eine Klasse für sich... bewertungstableaux Szenario Vorschlag: Zwei unabhängige Firewalls, funktionales Interface zur DB, Grundschut Die Eingabefelder sind blau hervorgehoben. Es sollte jeweils ein Grund für die Ent Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwische Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten techn Technisch Gesamtlage Gesamtlage Oops Oops 395 Vorsorge 395 0,00 343.200 ### 17.06.03 kultur bewertungstableaux Szenario Ist-Zustand Internet-Portal-zentr Vorschlag: Zwei unabhängige Firewalls, funktionales Interface zur DB, Grundschutz für Arbeitsplätze Die Eingabefelder sind blau hervorgehoben. Es sollte jeweils ein Grund für die Entscheidung angegeben werden. Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und geschäftlichen Bedrohungen her. Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftlichen Einzelrisiken sowie Gesamtrisiken. Technische Perspektive Gesamtlage Gesamtlage Oops Oops 395 Vorsorge 395 0,00 0,00 0,00 0,00 0,00 343.200 ### Äußere Firewall kleines Vorsorge 152.200 Managementperspektive Prognosezeitpunkt Schwachstellen in der Web-Server in der DMZ Applikationslogik Innere (Web-Portal) Firewall minimales unvermeidl. Restrisiko Vor- Managementperspektive 152.200 sorge B B B B Prognosezeitpunkt g h e i W8 W9 W6 W8 17.06.03 0,10000 0,10000 0,10000 0,00000 1,00000 1,00000 1,00000 0,00000 1,00000 1,00000 1,00000 0,00000 500,00000 500,00000 500,00000 0,00231 60.000,00000 60.000,00000 60.000,00000 0,27727 01.01.03 01.01.03 01.04.02 01.01.03 8

GUUG Frühjahrsfachgespräch 2003 Werte Image Kundendaten Geschäftsdaten Unterstützende Daten- + Funktionsbestände inventar Betriebsgeheimnisse Prozeßwirkungen Wertschöpfende Prozesse Rechtswirksame Prozesse Sonstige Prozeßwirkg. I+K-Ressourcen Produktivität Mitarbeiter inventar Rechtl.+Vertragl. Risiken Bundesdatenschutzg esetz Haftungspflichten (BGB, vertragl.) KonTraG Betriebsverfassungs gesetz Fernmeldegeheimnis Kryptoregulierungen Telekommunikations dienste-gesetze... 9

GUUG Frühjahrsfachgespräch 2003 struktur an Beispiel- Szenarien Zwei Beispielszenarien für bewertung: K-Fall-Vorsorge für ein (kleines) fiktives RZ, Vergleich verschiedener Lösungsvarianten hinsichtlich Schutz und Wirtschaftlichkeit Sicherheitsanalyse, Vergleich von Sicherheitsarchitekturen, und Wirtschaftlichkeitsbetrachtung der Sicherheitsmaßnahmen bewertungstableaux Szenario Ist-Zusta Vorschlag: Zwei unabhängige Firewalls, funktionales Interface zur DB, Grundschutz für Arbeitsplätze Die Eingabefelder sind blau hervorgehoben. Es sollte jeweils ein Grund für die Entscheidung angegeben w Beliebige Texteinträge (z.b. Entscheidungsgründe) stellen die Verbindung zwischen technischen und gesch Die Kalkulationslogik berechnet auf Grundlage der Eingaben die kumulierten technischen und geschäftliche Technische Perspektiv Gesamtlage Gesamtlage Oops Oops 395 Äußere Firewall Vorsorge 395 0,00 0,00 kleines 343.200 0,00 Vorsorge 152.200 Managementperspektive Prognosezeitpunkt B g W8 17.06.03 0,10000 10

GUUG Frühjahrsfachgespräch 2003 A-Risk-Methics Ein Blick hinter die Kulissen: Schaurige Formeln in wohlweislich versteckten Zellen Aus- und Rückblick Interview-Technik und resultierende Tabellen werden von Management und Technikern als hilfreich befunden. Viele Fragestellungen können nach Initialaufwand effizient beleuchtet werden. Graphisches Werkzeug und etwas ausführlichere mathematische Modellierung wären wünschenswert. 11

Ende Vielen Dank für Ihre Aufmerksamkeit! Für Fragen: thomas.maus@alumni.uni-karlsruhe.de 12

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback