Interaktive Portale

Fit gegen Angriffe aus dem Internet

Seite: 2/3

Anbieter zum Thema

1. Schutzbedarfsermittlung

Um die eigenen Schutzziele zu ermitteln, werden die BSI-Standards 100-2 zur Vorgehensweise im IT-Grundschutz herangezogen. Sie teilen den Schutzbedarf in drei Grundwerte ein: Verfügbarkeit, Vertraulichkeit und Integrität.

Jeder dieser drei Grundwerte ist mit einer von drei sogenannten Schutzbedarfskategorien bewertet:

Normal: Das schwerwiegendste Schadensszenario wirkt sich nur auf einzelne Externe oder Mitarbeiter aus.

Hoch: Das schwerwiegendste Schadensszenario wirkt sich auf Teilbereiche der nationalen Öffentlich aus oder hat im eigenen Bereich nur schwerwiegende Auswirkungen.

Sehr hoch: Das schwerwiegendste Schadensszenario wirkt sich auf eine breite deutsche Öffentlichkeit aus und/oder hat im eigenen Bereich existenzbedrohende Auswirkungen.

Die vermeintliche Schlichtheit des Schemas mag dazu verführen, alle drei Grundwerte mit der Bedarfskategorie „sehr hoch“ zu bewerten. Mit Blick auf die daraus resultierenden Projektkosten ist jedoch eine sehr sorgfältige Betrachtung ratsam, bedenkt man, dass hinter einer sehr hohen Verfügbarkeit weltweit verteilte Servercluster stehen können.

Die Bedarfskategorie „sehr hoch“ sollte in diesem Zusammenhang eher Firmen wie Google oder Amazon sollte in diesem Zusammenhang vorbehalten bleiben. Zur sorgfältigen Bewertung sind für jede Schutzbedarfskategorie die möglichen Schadensszenarien zu betrachten – wie „Verstoß gegen Gesetze und Vorschriften“ oder „negative Innen- und Außenwirkung“ – und die möglichen Auswirkungen zu ermitteln.

2. Identifikation von Bedrohungen

Spätestens an diesem Punkt sollten sich die Verantwortlichen externe Unterstützung ins Projekt holen, sofern intern keine ausgewiesenen Experten zur Verfügung stehen. Auf Sicherheitsaspekte spezialisierte IT-Dienstleister ermitteln für das gegebene IT-Szenario mögliche Bedrohungen.

Hier werden Begriffe wie Spoofing (Verwendung fremder Identitäten), Tampering (unbefugtes Verändern von Informationen) oder Information Disclosure (Zugriff auf vertrauliche Informationen) genannt. Die Bedrohungen werden nach Wahrscheinlichkeiten sortiert und dabei Bewertungskriterien wie notwendiger Skill-Level (Wissenstand), Motivation, Gelegenheit und Größe des Angriffs bewertet.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Artikelfiles und Artikellinks

(ID:43806441)