Risikoanalyse und Auswahl von Maßnahmen zur Gewährleistung der IT-Sicherheit

Zur Gewährleistung der IT-Sicherheit in einem Unternehmen sind zunächst die Anforderungen zu spezifizieren, der erreichte Sicherheitsstand zu beurteilen und anschließend diejenigen Sicherheitsmaßnahmen zu ermitteln, deren Umsetzung eine Optimierung des Sicherheitsniveaus bewirkt. Wurden im Rahmen der Schutzbedarfsfeststellung IT-Komponenten mit hohem oder sehr hohem Schutzbedarf identifiziert, so sind zusätzliche Analysen zur Einschätzung der Risiken erforderlich. Mit diesem Beitrag wird eine Methode vorgestellt, wie zum einen das Risiko einzelner IT-Komponenten evaluiert werden kann und zum anderen konkrete Maßnahmen hinsichtlich ihres Beitrags zur Steigerung des Sicherheitsniveaus eines Unternehmens bewertet werden können. Dies schafft die Basis für die Auswahl optimaler Maßnahmen zur Gewährleistung der ITSicherheit. Die Ermittlung des Risikos und die Auswahl der Maßnahmen unter gegebenen Restriktionen werden mit einem auf der Fuzzy-Sets-Theorie basierenden Ansatz durchgeführt.