Wie kann man Security-Risiken, Bedrohungen und Schwachstellen messen?

Security-Risiken, Bedrohungen und Schwachstellen für die Unternehmens-IT zu bewerten, ist nicht einfach. Wir erklären, worauf Sie achten sollten.

Im Allgemeinen lassen sich Risiken nur schwer quantifizieren oder in Zahlen ausdrücken. Bevor ich nun Millionen an Dingen nenne, die sich messen lassen, sollten Sie etwas mehr zum Thema Risiko verstehen. Das gilt vor allen Dingen, wenn wir von Security sprechen. Bei TruSecure (nun Cyber Trust), hat CTO Peter Tippet Risiken mithilfe einer einfachen Gleichung definiert:

Risiko = Bedrohung x Verwundbarkeit (Schwachstelle) x Kosten

Bedrohung ist die Frequenz widriger Ereignisse. Verwundbarkeit ist die Wahrscheinlichkeit, dass ein bestimmter Angriff erfolgreich ist. Die Kosten sind die kompletten ökonomischen Auswirkungen eines erfolgreichen Angriffs. Anwender und Branchenkenner haben unterschiedliche Auffassungen, auf welche Weise man Risiken quantifiziert. Investoren, Versicherungs-Statistiker und Security-Profis sind bei diesem Thema unterschiedlicher Meinung. Allerdings ist diese Definition einfach und plausibel genug. Deswegen halten wir im Moment daran fest.

Sie müssen Ihre Security-Umgebung quantifizieren. Wir sprechen an dieser Stelle von Bedrohungen und Schwachstellen. Im Anschluss kalkulieren Sie die Kosten anhand des Risiko-Niveaus. In der Realität könnten Sie Ihr restliches Leben damit verbringen, einen ausgeklügeltes Modell erschaffen zu wollen und dennoch falsch liegen. Genau genommen nehmen Sie etwas an, das auf Annahmen basiert, dem wiederum Annahmen zu Grunde liegen.

Ich schlage vor, dass man qualitativ an die Sache herangeht, um alles rund um das Thema Security zu quantifizieren. Sie finden viele Informationen dazu in meinem Buch The Pragmatic CSO. Nachfolgend stelle ich Ihnen die gekürzte Fassung zur Verfügung.

Konzentrieren Sie sich zu Beginn auf die relevanten Sachen und fokussieren Sie sich auf die Kosten. Welche Business-Systeme sind für Ihr Unternehmen am Wichtigsten? Wer benutzt diese? Wie viel ist ihre Zeit wert? Sobald Sie einen Überblick hinsichtlich der wichtigsten Systeme haben, finden Sie heraus, wodurch diese am ehesten bedroht sind. Sind sie anfällig für Cross-Site-Scripting-Angriffe? Könnte ihnen ein DDoS-Angriff Schaden zufügen? Benutzen Sie diese Informationen, um realistisch zu kalkulieren, wie wahrscheinlich so ein Angriff ist. Außerdem sollten Sie sich damit befassen, ob ein erfolgreiches Kompromittieren das System in einem unbrauchbaren Zustand hinterlassen könnte.

Unterm Strich sollten Sie herausfinden, ob es sich lohnt, einen neuen Prozess zu implementieren oder ein neues Produkt zu installieren. Versuchen Sie dabei herauszufinden, welche Komponenten das spezifische Produkt beeinflusst. Würde die Installation einer Web-Applikations-Firewall die Wahrscheinlichkeit eines XSS-Angriffs auf der wichtigen Plattform verringern? Wenn ja, zu welchem Grad? Versuchen Sie, das einzuschätzen. Würde es die Frequenz der Angriffe eindämmen? Natürlich nicht. Die einzige Methode, dies zu realisieren, würde ein Offline-Nehmen des Systems bedeuten. Diese Zahl bleibt in dem Fall eine Konstante. Gehen Sie wie oben beschrieben an die Geschichte heran, vergleichen Sie Äpfel mit Äpfel. Somit wissen Sie, welche verschiedenen Optionen am ehesten helfen, die Risiken so gut wie möglich einzudämmen.

Ich bin kein Fan davon, einfach Dinge zu zählen. Mit der hier beschriebenen Methode können Sie bestimmte Entscheidungen gegen andere abwägen, indem Sie die einzig wichtige Metrik zu Rate ziehen: Das Risiko für das jeweilige Business-System.

 

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close