Kurz gefasst
Bei der Definition des Kontextes für Risikomanagement müssen Basiskriterien festgelegt werden, welche sowohl zur Analyse der Risiken, wie auch zum Vorschlagen der Maßnahmen dienen.
Die Bedrohungen
Eine Methode, Basiskriterien für Bedrohungen festzulegen, besteht darin, eine kontextabhängige Wahrscheinlichkeitstabelle zu erstellen, wie hier angeführt:
| Niveau | Kommentar | Periodizität |
|---|---|---|
| 1 | sehr unwahrscheinlich niemals vorgekommen, setzt ein professionelles Gutachten voraus, und ist wahrscheinlich teuer in der Umsetzung | > 30 Jahre |
| 2 | Unwahrscheinlich: Kann schon vorgekommen sein, seltenes Phänomen, erfordert ein hohes Maß an Know-how, teuer in der Umsetzung | > 10 Jahre |
| 3 | kann von Zeit zu Zeit vorkommen | > 5 Jahre |
| 4 | Sehr wahrscheinlich, einfach zu implementieren, keine Investition notwendig, kein spezielles Know-how benötigt | wenigstens einmal pro Jahr |
Die Schwachstellen
Basiskriterien für Schwachstellen geben die Leichtigkeit für die Ausnutzung von Schwachstellen durch Bedrohungen an.
| Niveau | Kommentar |
|---|---|
| 0 | kleine Schwachstelle, wirksame Maßnahmen aktiv |
| 1 | Mittlere Schwachstelle, Maßnahmen existieren, sind aber eventuell unzureichend |
| 2 | Große Schwachstelle, keine wirksame Schutzmaßnahme aktiv, bzw. schlecht angepasst |
Die Auswirkungen
Bezüglich der Basiskriterien für Auswirkungen bedient man sich der verschiedenen Niveaus von Auswirkungen Diese Kriterien können auch durch Sicherheitsziele, wie Vertraulichkeit, Integrität oder Verfügbarkeit der Werte einer Organisation bestimmt werden. Siehe auch Klassifizierung der Werte mit verschiedenen Maßstäben. Es liegt an der Organisation, eine Vorgehensweise für das Risikomanagement zu wählen. Je erfahrener eine Organisation ist, desto genauer können die Maßstäbe sein.
| Niveau | Bezeichnung | finanzieller Verlust (k€) | juristisch | Imageverlust | sozial, Privatleben | Kommentar |
|---|---|---|---|---|---|---|
| 1 | unwesentliche Auswirkung | < 1 | innere Probleme für die Organisation | Gelegentliche Beschwerden | Preisgabe wenig sensibler persönlicher Daten | Geringe interne Unkosten, außerhalb der Organisation nicht bemerkbar |
| 2 | geringe Auswirkung | 1-10 | Klagen | Gelegentliche Kritik in den Medien | Kurzzeitige negative Auswirkung auf den Ruf | Hohe Kosten, von außen sichtbar |
| 3 | erste Auswirkung | 10 - 100 | Verurteilung der Organisation | Schwere Kritik in den Medien | Ernsthafter Integritäts- oder Imageschaden | Erhebliche Kosten sind mit der Behebung verbunden |
| 4 | vitale Auswirkung | > 100 | Internationale Verurteilung der Behörde | Bleibender Schaden | Verlust von Leben / Schwere Rufschädigung | Erhebliche Störungen für den Bürger, aber es besteht keine Gefahr für das Überleben der Organisation |
Das Risiko
Basiskriterien des Risikos:
| Bedrohung + Schwachstelle | |||||||
| 1 | 2 | 3 | 4 | 5 | 6 | ||
| A U S W I R K U N G E N | 1 | 1 | 2 | 3 | 4 | 5 | 6 |
| 2 | 2 | 4 | 6 | 8 | 10 | 12 | |
| 3 | 3 | 6 | 9 | 12 | 15 | 18 | |
| 4 | 4 | 8 | 12 | 16 | 20 | 24 | |
Hier wird ein wichtiges Risiko definiert, mit einem Wert zwischen 6 und 11 (orangefarbener Bereich) Diese Risiken sollten behandelt werden.
Kritische Risiken mit einem Wert über 12 (roter Bereich), müssen behandelt werden.
Falls eine Organisation unterschiedliche Risikoakzeptanzkriterien bezüglich Vertraulichkeit, Integrität oder Verfügbarkeit aufweist, kann sie verschiedene Risikoakzeptanzniveaus pro Sicherheitsziel definieren.