Skip to main content
main-content

Tipp

Weitere Kapitel dieses Buchs durch Wischen aufrufen

2017 | OriginalPaper | Buchkapitel

10. Methoden und Werkzeuge für das Informations-Risikomanagement

verfasst von : Hans-Peter Königs

Erschienen in: IT-Risikomanagement mit System

Verlag: Springer Fachmedien Wiesbaden

share
TEILEN

Überblick

Das Buch soll in erster Linie die Risiken und speziell die Informationssicherheits-, IT und Cyber-Risiken aus der Perspektive des Unternehmens und seiner Governance behandeln. Wie die individuellen Anforderungen für die einzelnen Risikobereiche sind auch die Methoden und Hilfsmittel verschieden. Deshalb werden in diesem Kapitel einige ausgesuchte Methoden behandelt, die an verschiedenen Stellen des Risikomanagement-Prozesses zur systematischen Bearbeitung der Aufgaben eingesetzt werden können. So wird beispielsweise die praktische Umsetzung des gesamten Risikomanagement-Prozesses anhand des Aufbaus und der Erstellung eines Sicherheitskonzepts für ein IT-System oder für einen anderen Teilbereich der IT gezeigt. Eine andere Möglichkeit, wie ein Informationssicherheits-Prozess mittels einer entsprechenden Software durchgeführt werden kann, ist an der sogenannten CRAMM-Methode veranschaulicht. Für die Lösung einzelner Probleme des Informations-Risikomanagements, wie die der Risiko-Identifikation oder Risiko-Analyse, bestehen verschiedene Vorgehensweisen (z. B. Bottom-up und Top-down-Methoden oder Vorwärts- und Rückwärts-Suchmethoden). Solche Methoden werden in diesem Buch-Kapitel beispielhaft an den Methoden „Fehlermöglichkeits- und Einfluss-Analyse“ (FMEA), „Fehlerbaum-Analyse“ (FTA) sowie „Ereignisbaum-Analyse“ (ETA) in ihren wesentlichen Eigenschaften werden. Neben den in diesem Kapitel ausführlich behandelten Methoden und Werkzeugen, können für den konkreten Anwendungsfall viele weitere in Frage kommen. Für deren Beschreibung, Auswahl und Einsatzweise sei an dieser Stelle auf die zu diesem Thema weitergehende Literatur ([Knol14], S. 155–202) hingewiesen.
Fußnoten
1
Vgl. NIST Special Publication 800-18 [NIST 800-18]: Darin besteht ein IT-System aus einer definiert abgegrenzten Anzahl von Prozessen, Kommunikationen, Speicherungen und damit zusammenhängenden Ressourcen (einer Architektur).
 
2
Risikoobjekte-Liste auch unter dem Begriff Asset-Register bekannt.
 
3
CRAMM (= Centre for Information Systems Risk Analysis und Management Method); CRAMM has been produced in consultation with the Security Service and CESG, who are UK Government national security authorities.
 
4
Insight Consulting: Broschüre „CRAMM 3 Overview“.
 
5
Der „Enduser Service“ bestimmt die Art, wie die anderen Risikoobjekte als „unterstützende Risikoobjekte“ (z. B. Hardware) die „primären Informations-Risikoobjekte“ unterstützen.
 
6
Die Wahrscheinlichkeiten an den Gabelungspunkten des Ereignisbaums sind „Bedingte Wahrscheinlichkeiten“. Diese dürfen dann multipliziert werden, wenn die Ereignisse an den Gabelungspunkten voneinander unabhängig sind. Diese Eigenschaft wird beim Arbeiten mit Ereignisbäumen im Allgemeinen vorausgesetzt.
 
Literatur
[Eber03]
Zurück zum Zitat Eberhardt, Otto: Gefährdungsanalyse mit FMEA: Die Fehler-Möglichkeits- und Einfluss-Analyse gemäss VDA-Richtlinie, 1. Auflage. Renningen: Expert Verlag, 2003. Eberhardt, Otto: Gefährdungsanalyse mit FMEA: Die Fehler-Möglichkeits- und Einfluss-Analyse gemäss VDA-Richtlinie, 1. Auflage. Renningen: Expert Verlag, 2003.
[Knol14]
Zurück zum Zitat Knoll, Matthias: Praxisorientiertes IT-Risikomanagement. Heidelberg: dpunkt.Verlag, 2014. Knoll, Matthias: Praxisorientiertes IT-Risikomanagement. Heidelberg: dpunkt.Verlag, 2014.
[Leve95]
Zurück zum Zitat Leveson, Nancy G.: Safeware, System Safety and Computers. New York: Addison-Wesley, 1995. Leveson, Nancy G.: Safeware, System Safety and Computers. New York: Addison-Wesley, 1995.
[Stor96]
Zurück zum Zitat Storey, Neil: Safety Critical Computer Systems. London: Prentice Hall, 1996. Storey, Neil: Safety Critical Computer Systems. London: Prentice Hall, 1996.
[Vese81]
Zurück zum Zitat Vesely, W.E. et al.: Systems and Reliability Research Office of Nuclear Regulatory Research, U.S. Nuclear Regulatory Commission: Fault Tree Handbook. Washington, D.C.: U.S. Government Printing Office, 1981. Vesely, W.E. et al.: Systems and Reliability Research Office of Nuclear Regulatory Research, U.S. Nuclear Regulatory Commission: Fault Tree Handbook. Washington, D.C.: U.S. Government Printing Office, 1981.
[Witb06]
Zurück zum Zitat Witt, Bernhard C.: IT-Sicherheit kompakt und verständlich. Edition <kes>, Wiesbaden: Vieweg, 2006. Witt, Bernhard C.: IT-Sicherheit kompakt und verständlich. Edition <kes>, Wiesbaden: Vieweg, 2006.
Metadaten
Titel
Methoden und Werkzeuge für das Informations-Risikomanagement
verfasst von
Hans-Peter Königs
Copyright-Jahr
2017
DOI
https://doi.org/10.1007/978-3-658-12004-7_10

Premium Partner