IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> – Risikoanalyse<br />
Die Bedrohungs- und Risikoanalyse wird in mehreren Schritten durchgeführt. Zunächst<br />
werden alle für den Betrieb eines <strong>IT</strong>-Verfahrens benötigten Komponenten, Personen usw.<br />
(in Anlehnung an die Terminologie des BSI-Grundschutz- und Sicherheitshandbuchs „Objekte“<br />
genannt) erfasst. Anschließend werden systematisch die Risiken bzw. Bedrohungen<br />
ermittelt, die an diesen Objekten angreifen können. Die daraus resultierenden Schäden<br />
werden nach der im Kapitel 3 Schutzbedarfsanalyse verwendeten dreiteiligen Werteskala<br />
(siehe Tabelle 1, Seite 54) klassifiziert. Danach wird eine Abschät<strong>zu</strong>ng vorgenommen, bei<br />
der ermittelt werden soll, mit welcher Wahrscheinlichkeit ein Schaden in dieser Höhe <strong>zu</strong><br />
erwarten ist. Hierfür wird wiederum eine Skala mit Werten von „häufig“ bis „praktisch nie“<br />
verwendet, wobei den Werten die in der folgenden Tabelle aufgeführten Bedeutungen<br />
unterlegt werden.<br />
Bedeutung<br />
praktisch nie<br />
sehr selten<br />
selten<br />
öfter<br />
häufig<br />
Beschreibung<br />
Das Schadensereignis tritt praktisch nie auf und wird daher nicht betrachtet. (z.B. Erdbeben)<br />
Das Eintreten des Schadensereignis ist nicht aus<strong>zu</strong>schließen, tritt aber nur sehr selten<br />
auf (alle 50 bis 100 Jahre, z.B. Brand)<br />
Das Schadensereignis tritt alle paar Jahre einmal auf (z.B. Festplattenausfall)<br />
Das Schadensereignis tritt alle paar Monate einmal auf (z.B. Bandfehler bei Backup/Restore,<br />
versehentliches Löschen von Daten)<br />
Das Schadensereignis tritt alle paar Wochen einmal auf (z.B. Ausfall der Netzwerkverbindung;<br />
Eingabefehler)<br />
Tabelle 4: Häufigkeitswerte der Eintrittswahrscheinlichkeit von Schäden.<br />
Das Risiko, das aus einer Bedrohung erwächst, wird bestimmt durch die Höhe des Schadens<br />
und die relative Häufigkeit des Eintretens der Bedrohung. Mathematisch ausgedrückt<br />
ist das Risiko der Erwartungswert für den Schaden pro Zeiteinheit. Das Risiko wird also beschrieben<br />
durch das Wertepaar Schadenshöhe und Schadenshäufigkeit. Es wird unterschieden<br />
zwischen tragbaren und untragbaren Risiken.<br />
Die Zuordnung von Risiken <strong>zu</strong> einer bestimmten Kategorie erfolgt anhand der nachstehenden<br />
Tabelle 5. Dabei bedeuten<br />
Untragbar – untragbares Risiko,<br />
Tragbar – noch tragbares Risiko.<br />
Untragbare Risiken müssen durch <strong>zu</strong>sätzliche Maßnahmen auf das tragbare Maß reduziert<br />
werden. Der Verfahrensverantwortliche hat <strong>zu</strong> entscheiden, ob durch die verwirklichten<br />
Schutzmaßnahmen das Risiko tragbar und somit der Betrieb des <strong>IT</strong>-Verfahren in der vorgesehenen<br />
Form verantwortbar für die teilnehmenden Institutionen ist.<br />
60 von 75