:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/74/8d744322f5404e58e35ede9a656bd8f6/0111572445.jpeg "Der API Protection Report befasst sich mit den größten Bedrohungen für Programmierschnittstellen. (Bild: Cequence Security)")
:quality(80)/p7i.vogel.de/wcms/16/70/1670e0b2f524899b0af813ce4105f882/0111866524.jpeg "Die Forscher des 32Guards-Research-Teams registrierten besonders im Juli 2022 und Ende Oktober 2022 ein erhöhtes Spam-Aufkommen. Besonders ruhig war es dagegen – wie auch in den Vorjahren – in den ersten beiden Januarwochen. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/66/5966e482c8ce497f3ce78aac4e0f9200/0112150345.jpeg "Abwägungssache – unsere OSINT-Tipps bleiben online. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/c1/87/c187643f818e4cb0ac1204bd3695e8c0/0111925819.jpeg "Die praktische Umsetzung der Orientierungshilfe für die Implementierung von Systemen zu Angriffserkennung des BSI offenbart an vielen Stellen schnell große Herausforderungen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/b7/ebb733db7b47d492e23de27663d5d722/0111892587.jpeg "Wie gehen Angreifer vor, um Unternehmen in Microsoft 365 zu attackieren und was sollten Unternehmen als Schutz dagegen tun? (Bild: Amgun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/cd/23cd04136e527ec8ac226206f27f54f1/0112178275.jpeg "Der 365 Permission Manager ermöglicht Unternehmen die einfache Überwachung interner und externer Richtlinien für die Freigabe von Sites, Dateien und Ordnern. (Bild: Terablete - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/44/3044359115a16f7460b28117e9a3604a/0112178091.jpeg "GitLab 16 bringt eine breite Palette neuer Funktionen in den Bereichen Sicherheit, Compliance, KI/ML und Wertstromanalyse, um Software schneller bereitzustellen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/c5/53c5fc5c6538b26c4a0cdd08c7ed66d5/0111572686.jpeg "Beyond-Identity-Studie zeigt: Das Vertrauen in Passwörter ist trotz Sicherheitsrisiken und Nutzerfrustration ungebrochen vorhanden. (Bild: FAMILY STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/4a/a94a6bb011745090ce53140a6ed498eb/0111343516.jpeg "Die EU will im Kampf gegen Kindesmissbrauch digitale Datenaustauschdienste lückenlos überwachen – und verstößt damit nach Expertenmeinung gegen das deutsche Recht auf informationelle Selbstbestimmung. (Bild: rolffimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/d0/e8d089e2fef18a46c1dba398f3895447/0111885922.jpeg "Warum die Kombination von Cyber-Sicherheit und Cyber-Versicherung unerlässlich ist, erklären Vincent Weafer, CTO und Oliver Delvos, Head of International, bei Corvus Insurance. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/3f/623fb0e26fafb675966311f8f170b3fd/0111189652.jpeg "Unter Security-as-a-Service (SECaaS) versteht man die Verlagerung von Sicherheitsprozessen in die Cloud mit Sicherheitslösungen als Service einer Cloud-Plattform. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition Risikoanalyse im IT-Umfeld Was ist Risikoanalyse in der IT?
Die Risikoanalyse verfolgt einen systematischen Ansatz zur Identifikation und Bewertung von Risiken. Im IT-Umfeld befasst sich die Risikoanalyse mit Risiken rund um die IT-Systeme, IT-Anwendungen und Daten. Beispielrisiken sind Daten- oder Funktionsverlust.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die Risikoanalyse, im Englischen threat and risk assessment, kann in verschiedensten Bereichen zum Einsatz kommen. Sie identifiziert und bewertet die möglichen Risiken in Unternehmen und Organisationen. Im Umfeld der Informationstechnik befasst sie sich mit methodischen und strukturierten Verfahren, um Gefahren und Bedrohungen zu benennen und zu bewerten, denen die informationsverarbeitenden Systeme ausgesetzt sind oder die durch sie verursacht werden.
Im Rahmen der Analyse lassen sich Schwachstellen ausfindig machen, die technischen oder menschlichen Ursprungs sind. Die methodischen Verfahren der Risikoanalyse liefern quantitative oder qualitative Wahrscheinlichkeiten für Ausfälle und Gefährdungen. In Unternehmen stehen bei der Risikoanalyse die möglichen Kosten und Konsequenzen, die ein Ausfall der IT oder ein Datenverlust verursachen, im Fokus. Ziel ist es, durch die Identifikation der Risiken und ihrer Einordnung Maßnahmen zu entwickeln, die Wahrscheinlichkeit ihres Eintretens zu minimieren und die möglichen Auswirkungen auf das Unternehmen oder die Organisation zu reduzieren. Hierfür werden eigene Risikomanagementprozesse aufgesetzt, für die die Risikoanalyse einen wesentlichen Teil einnimmt und wichtige Ergebnisse liefert.
Die Phasen der Risikoanalyse
Bei der Risikoanalyse werden mehrere Phasen nacheinander durchlaufen. Diese Phasen sind:
- 1. die Identifikation der Risiken
- 2. die Beurteilung der Eintrittswahrscheinlichkeiten
- 3. die Abschätzung der Folgen und konkreten Schäden
- 4. die Aggregation von Risiken zur Bestimmung des Gesamtumfangs
Nachdem ein Risiko identifiziert ist, wird anschließend die Eintrittswahrscheinlichkeit für das Risiko näher bestimmt. Im nächsten Schritt geht es darum, die möglichen Auswirkungen und Folgen für das Unternehmen oder die Organisation zu ermitteln. Diese Auswirkungen können beispielsweise durch den Verlust der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit der Daten oder durch Verlust wichtiger Systemfunktionen eintreten. Mögliche Auswirkungen sind die Schädigung des Unternehmensrufs, Imageverlust, Kosten für Reparaturen, rechtliche Auseinandersetzungen, Strafgebühren, Verlust von Marktanteilen, Umsatz- und Gewinneinbrüche, eine demotivierte Belegschaft oder hohe Personalfluktuation.
Das tatsächliche Risiko ergibt sich aus dem Ergebnis der Multiplikation von Eintrittswahrscheinlichkeit und Höhe des Schadens. Als letzte Phase kann sich die Bestimmung des Gesamtumfangs durch die Aggregation von mehreren Risiken anschließen.
Unterschiede zwischen qualitativer und quantitativer Risikobewertung
Bei der Bewertung von Risiken kann grundsätzlich zwischen qualitativer und quantitativer Bewertung unterschieden werden. Die quantitative Risikobewertung nutzt eine numerische Skala zur Klassifikation. Mit Hilfe dieser numerischen Werte kann das tatsächliche Risiko sehr einfach durch die Multiplikation mit der Eintrittswahrscheinlichkeit ermittelt werden. Die qualitative Bewertung versucht eher einen Gesamteindruck über ein bestimmtes Risiko zu gewinnen. Das Verfahren verwendet daher keine numerischen Werte, sondern subjektive Einteilungen wie hoch, mittel oder niedrig.
Die Risikoanalyse und der IT-Grundschutz des BSI
Der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sieht keine individuelle Risikoanalyse vor. Zur Umsetzung der Standard-Sicherheit in der IT genügen in der Regel die Maßnahmen für die in den BSI-Standards und IT-Grundschutzkatalogen beschriebenen typischen Risiken von IT-Systemen. Erfordert die IT jedoch einen besonderen Schutz oder sind die Risiken nicht in den Standard-Dokumenten beschrieben, bietet der BSI-Standard 100-3 eine Risikoanalyse auf der Basis von IT-Grundschutz.
Die Risikoanalyse schließt sich in diesem Fall nahtlos der IT-Grundschutzanalyse an und richtet sich an Anwender der Informationstechnik wie Sicherheitsverantwortliche oder Sicherheitsbeauftragte oder an externe Berater und Sicherheitsexperten. In vielen Fällen ist es empfehlenswert, die Risikoanalyse durch externe Experten durchführen zu lassen. In einer Ergänzung zum BSI-Standard 100-3 beschreibt der BSI, wie die elementaren Gefährdungen bei der Risikoanalyse zu verwenden sind. Die Risikoanalyse im Rahmen des IT-Grundschutzes des BSI ist zu verwenden, wenn erhöhte Sicherheitsanforderungen bestehen, Anwendungen oder Systeme betrieben werden, die nicht in den IT-Grundschutzkatalogen behandelt sind oder Szenarien zum Einsatz kommen, die im IT-Grundschutz nicht vorgesehen sind.
(ID:44895097)
:quality(80)/images.vogel.de/vogelonline/bdb/1945100/1945176/original.jpg "Das IT-Risikomanagement ist als ein aktiv einzusetzendes Instrumentarium zur Unternehmenssteuerung anzusehen, das Firmen wettbewerbsfähig hält. (peshkov - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1933800/1933872/original.jpg "Compliance als Rahmenwerk gesetzlicher- regulatorischer- und sonstigen externen Anforderungen. (Murrstock - stock.adobe.com)")