Interaktive Portale

Fit gegen Angriffe aus dem Internet

| Autor / Redakteur: Björn Kibbel* / Stephan Augsten

1. Schutzbedarfsermittlung

Um die eigenen Schutzziele zu ermitteln, werden die BSI-Standards 100-2 zur Vorgehensweise im IT-Grundschutz herangezogen. Sie teilen den Schutzbedarf in drei Grundwerte ein: Verfügbarkeit, Vertraulichkeit und Integrität.

Jeder dieser drei Grundwerte ist mit einer von drei sogenannten Schutzbedarfskategorien bewertet:

Normal: Das schwerwiegendste Schadensszenario wirkt sich nur auf einzelne Externe oder Mitarbeiter aus.

Hoch: Das schwerwiegendste Schadensszenario wirkt sich auf Teilbereiche der nationalen Öffentlich aus oder hat im eigenen Bereich nur schwerwiegende Auswirkungen.

Sehr hoch: Das schwerwiegendste Schadensszenario wirkt sich auf eine breite deutsche Öffentlichkeit aus und/oder hat im eigenen Bereich existenzbedrohende Auswirkungen.

Die vermeintliche Schlichtheit des Schemas mag dazu verführen, alle drei Grundwerte mit der Bedarfskategorie „sehr hoch“ zu bewerten. Mit Blick auf die daraus resultierenden Projektkosten ist jedoch eine sehr sorgfältige Betrachtung ratsam, bedenkt man, dass hinter einer sehr hohen Verfügbarkeit weltweit verteilte Servercluster stehen können.

Die Bedarfskategorie „sehr hoch“ sollte in diesem Zusammenhang eher Firmen wie Google oder Amazon sollte in diesem Zusammenhang vorbehalten bleiben. Zur sorgfältigen Bewertung sind für jede Schutzbedarfskategorie die möglichen Schadensszenarien zu betrachten – wie „Verstoß gegen Gesetze und Vorschriften“ oder „negative Innen- und Außenwirkung“ – und die möglichen Auswirkungen zu ermitteln.

2. Identifikation von Bedrohungen

Spätestens an diesem Punkt sollten sich die Verantwortlichen externe Unterstützung ins Projekt holen, sofern intern keine ausgewiesenen Experten zur Verfügung stehen. Auf Sicherheitsaspekte spezialisierte IT-Dienstleister ermitteln für das gegebene IT-Szenario mögliche Bedrohungen.

Hier werden Begriffe wie Spoofing (Verwendung fremder Identitäten), Tampering (unbefugtes Verändern von Informationen) oder Information Disclosure (Zugriff auf vertrauliche Informationen) genannt. Die Bedrohungen werden nach Wahrscheinlichkeiten sortiert und dabei Bewertungskriterien wie notwendiger Skill-Level (Wissenstand), Motivation, Gelegenheit und Größe des Angriffs bewertet.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43806441 / Risk Management)