Planung und Management professioneller Sicherheitsüberprüfungen - Teil 3

Wertigkeiten und Verwundbarkeiten definieren, IT-Sicherheit quantifizieren

29.01.2009 | Autor / Redakteur: Marko Rogge / Peter Schmitz

Wenn man nicht weiß welche Teile der IT schützenswert sind, weiß man auch nicht wo man prüfen muss.
Wenn man nicht weiß welche Teile der IT schützenswert sind, weiß man auch nicht wo man prüfen muss.

Sicherheitsüberprüfungen und Penetrationstests dienen immer dazu, mehr Sicherheit für ein Unternehmen zu schaffen. Um aber beurteilen zu können ob und wenn ja wieviel „mehr“ an Sicherheit geschaffen wird muss IT-Security zu einem gewissen Grad messbar sein. Messbarkeit in der IT-Sicherheit hängt direkt mit der individuellen Bedeutung der einzelnen Assets des Unternehmens zusammen und erfordert als erstes eine genaue Analyse.

In den ersten beiden Artikeln zum Thema Planung und Management professioneller Sicherheitsüberprüfungen haben wir aufgezeigt, was man bei der vorbereitenden Planung beachten muss (Teil 1) und wie man eine fundierte Notfallplanung macht (Teil 2). In diesem, dritten Teil geht es nun vor allem darum, wie Sie die Wertigkeit und Wichtigkeit Ihrer zu schützenden IT-Infrastruktur richtig einschätzen, um Sicherheitsstufen und Testprioritäten richtig festlegen zu können.

Gerade bei Sicherheitsüberprüfungen taucht oftmals die Frage der Wertigkeit eines IT-Verbundes auf. Diese sollte so genau wie nur möglich beleuchtet werden, um auch entsprechende Prioritäten vergeben zu können. Auch die Vorsicht bei der Vorgehensweise während professioneller Sicherheitsüberprüfungen kann sich nach der Wertigkeit richten.

Für eine Erfassung der Wertigkeit gilt es, eine entsprechende Modellierung vorzunehmen. Bauen Sie dabei auf die Grundbausteine der VIV auf; Verfügbarkeit, Integrität und Vertraulichkeit (V-I-V). Welche Wertigkeit daraus zu ziehen ist, das entscheiden schlussendlich die beteiligten Personen und die Geschäftsleitung. Je höher eine Bewertung ausfällt, umso intensiver sollte die Sicherheitsüberprüfung erfolgen.

Die Intensität richtet sich nach dem Schutzbedarf und der zugewiesenen Wertigkeit. Schlussendlich müssen beteiligte Personen festlegen, welche Wertigkeit der Schutz von Kundendaten hat, oder wie hoch die Wertigkeit einer Firewall zu betrachten ist.

Vertraulichkeit: Keine Daten können von einer dritten Person unbefugt eingesehen werden.

Integrität: Eine Manipulation kann absolut ausgeschlossen werden.

Verfügbarkeit: Wenn der erforderliche und erwünschte Betriebszustand gewährleistet ist.

Es gilt bei der Festlegung von Wertigkeiten immer zu berücksichtigen, welche Folgen das Unternehmen zu erwarten hat, wenn ein Schadensfall eintreten würde, und somit die Grundbausteine V-I-V nicht mehr gegeben wären.

Seite 2: Sicherheitsbewertung am Beispiel

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2019065 / Security-Testing)