Security Risk Management
Kostenbetrachtung bei der Untersuchung von IT-Risiken
©2004
Diplomarbeit
103 Seiten
Zusammenfassung
Inhaltsangabe:Zusammenfassung:
Die sich ständig verändernden Gefahrenpotentiale für die Informationstechnologie eines Unternehmens machen es sehr schwer, eine aktuelle Einschätzung der IT-Risikolage zu treffen.
Dies ist aber zwingend erforderlich um den gesetzlichen (KonTraG) und institutionellen (Basel II Rating) Anforderungen an das Risikomanagement entsprechen zu können.
Das durch diese Arbeit entwickelte Security Risk Management Prozessmodell erlaubt es, ein Security Risk Audit zur Identifikation und Analyse von vorhandenen IT-Risiken unter Kostenaspekten im Unternehmenskontext durchzuführen. Das Ergebnis dieses Audits ermöglicht eine genaue Einschätzung der aktuellen IT-Risikolage eines Unternehmens und der damit verbundenen Kostenstruktur. Zusätzlich können Strategien zur Risikobehandlung entwickelt und umgesetzt werden.
Dafür wurden entsprechende IT-Prozesse definiert und unterstützende Arbeitsmaterialien zur effektiven Auditierung entwickelt. Durch die enge Zusammenarbeit mit der SerCon GmbH (IBM) konnte die hohe Praxisrelevanz der Arbeit sichergestellt werden.
Der Autor hat zwischenzeitlich mehrere SRM-Risikoaudits im Mittelstand durchgeführt und konnte damit zu einer signifikanten Verbesserung deren Unternehmenssicherheit beitragen.
Die in der Studie erwähnte CD ist nicht im Lieferumfang enthalten, da sie nicht öffentliche Daten enthält.
Inhaltsverzeichnis:Inhaltsverzeichnis:
Vorwort5
1.Einführung7
1.1Motivation7
1.2Abgrenzung8
1.3Begriffsdefinition9
2.Grundlegendes zu Kosten und IT-Sicherheit11
2.1Das Firewall-Paradoxon in der IT-Sicherheit11
2.2IT-Sicherheitsprobleme bei Netzwerkstrukturen14
2.3IT-Sicherheit als wichtiger Unternehmensprozess17
2.4IT-Sicherheit bei E-Business-Anwendungen19
3.Das IT-Risikomanagement22
3.1Überblick IT-Risikomanagement22
3.2Die Elemente des IT-Risikomanagement-Systems24
3.3Der IT-Risikomanagement-Prozess27
3.3.1Risikoidentifikation30
3.3.2Risikoanalyse30
3.3.3Risikosteuerung31
3.3.4Risikoüberwachung32
4.Strategien und Probleme der IT-Risikobehandlung33
4.1Mögliche Risikotypen im Unternehmen3
4.2Darstellung des Lösungsansatzes Total Cost of Risk34
4.3Die Problematik der Kostenreduktion36
4.4Strategien der IT-Risikobehandlung38
5.Untersuchung der Kosten von IT-Risiken40
5.1Darstellung relevanter Kostenarten bei IT-Risiken40
5.1.1Einmalige / kontinuierliche Kosten42
5.1.2Offene / verdeckte […]
Die sich ständig verändernden Gefahrenpotentiale für die Informationstechnologie eines Unternehmens machen es sehr schwer, eine aktuelle Einschätzung der IT-Risikolage zu treffen.
Dies ist aber zwingend erforderlich um den gesetzlichen (KonTraG) und institutionellen (Basel II Rating) Anforderungen an das Risikomanagement entsprechen zu können.
Das durch diese Arbeit entwickelte Security Risk Management Prozessmodell erlaubt es, ein Security Risk Audit zur Identifikation und Analyse von vorhandenen IT-Risiken unter Kostenaspekten im Unternehmenskontext durchzuführen. Das Ergebnis dieses Audits ermöglicht eine genaue Einschätzung der aktuellen IT-Risikolage eines Unternehmens und der damit verbundenen Kostenstruktur. Zusätzlich können Strategien zur Risikobehandlung entwickelt und umgesetzt werden.
Dafür wurden entsprechende IT-Prozesse definiert und unterstützende Arbeitsmaterialien zur effektiven Auditierung entwickelt. Durch die enge Zusammenarbeit mit der SerCon GmbH (IBM) konnte die hohe Praxisrelevanz der Arbeit sichergestellt werden.
Der Autor hat zwischenzeitlich mehrere SRM-Risikoaudits im Mittelstand durchgeführt und konnte damit zu einer signifikanten Verbesserung deren Unternehmenssicherheit beitragen.
Die in der Studie erwähnte CD ist nicht im Lieferumfang enthalten, da sie nicht öffentliche Daten enthält.
Inhaltsverzeichnis:Inhaltsverzeichnis:
Vorwort5
1.Einführung7
1.1Motivation7
1.2Abgrenzung8
1.3Begriffsdefinition9
2.Grundlegendes zu Kosten und IT-Sicherheit11
2.1Das Firewall-Paradoxon in der IT-Sicherheit11
2.2IT-Sicherheitsprobleme bei Netzwerkstrukturen14
2.3IT-Sicherheit als wichtiger Unternehmensprozess17
2.4IT-Sicherheit bei E-Business-Anwendungen19
3.Das IT-Risikomanagement22
3.1Überblick IT-Risikomanagement22
3.2Die Elemente des IT-Risikomanagement-Systems24
3.3Der IT-Risikomanagement-Prozess27
3.3.1Risikoidentifikation30
3.3.2Risikoanalyse30
3.3.3Risikosteuerung31
3.3.4Risikoüberwachung32
4.Strategien und Probleme der IT-Risikobehandlung33
4.1Mögliche Risikotypen im Unternehmen3
4.2Darstellung des Lösungsansatzes Total Cost of Risk34
4.3Die Problematik der Kostenreduktion36
4.4Strategien der IT-Risikobehandlung38
5.Untersuchung der Kosten von IT-Risiken40
5.1Darstellung relevanter Kostenarten bei IT-Risiken40
5.1.1Einmalige / kontinuierliche Kosten42
5.1.2Offene / verdeckte […]
Leseprobe
Inhaltsverzeichnis
ID 8005
Laszlo, Marc: Security Risk Management
Kostenbetrachtung bei der Untersuchung von IT-Risiken
Hamburg: Diplomica GmbH, 2004
Zugl.: Fachhochschule Darmstadt, Diplomarbeit, 2004
Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte, insbesondere die
der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von Abbildungen und Tabellen,
der Funksendung, der Mikroverfilmung oder der Vervielfältigung auf anderen Wegen und der
Speicherung in Datenverarbeitungsanlagen, bleiben, auch bei nur auszugsweiser Verwertung,
vorbehalten. Eine Vervielfältigung dieses Werkes oder von Teilen dieses Werkes ist auch im
Einzelfall nur in den Grenzen der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der
Bundesrepublik Deutschland in der jeweils geltenden Fassung zulässig. Sie ist grundsätzlich
vergütungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des
Urheberrechtes.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem
Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche
Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten
wären und daher von jedermann benutzt werden dürften.
Die Informationen in diesem Werk wurden mit Sorgfalt erarbeitet. Dennoch können Fehler nicht
vollständig ausgeschlossen werden, und die Diplomarbeiten Agentur, die Autoren oder
Übersetzer übernehmen keine juristische Verantwortung oder irgendeine Haftung für evtl.
verbliebene fehlerhafte Angaben und deren Folgen.
Diplomica GmbH
http://www.diplom.de, Hamburg 2004
Printed in Germany
Inhaltsverzeichnis Seite
2
Inhaltsverzeichnis
Vorwort ... 5
1
Einführung ... 7
1.1 Motivation ... 7
1.2 Abgrenzung ... 8
1.3 Begriffsdefinition ... 9
2
Grundlegendes zu Kosten und IT-Sicherheit...11
2.1 Das ,,Firewall-Paradoxon" in der IT-Sicherheit ...11
2.2 IT-Sicherheitsprobleme bei Netzwerkstrukturen ...14
2.3 IT-Sicherheit als wichtiger Unternehmensprozess ...17
2.4 IT-Sicherheit bei E-Business-Anwendungen ...19
3
Das IT-Risikomanagement...22
3.1 Überblick IT-Risikomanagement...22
3.2 Die Elemente des IT-Risikomanagement-Systems ...24
3.3 Der IT-Risikomanagement-Prozess...27
3.3.1
Risikoidentifikation ... 30
3.3.2
Risikoanalyse ... 30
3.3.3
Risikosteuerung ... 31
3.3.4
Risikoüberwachung ... 32
4
Strategien und Probleme der IT-Risikobehandlung ...33
4.1 Mögliche Risikotypen im Unternehmen...33
4.2 Darstellung des Lösungsansatzes "Total Cost of Risk" ...34
4.3 Die Problematik der Kostenreduktion ...36
4.4 Strategien der IT-Risikobehandlung...38
Inhaltsverzeichnis
Seite
3
5
Untersuchung der Kosten von IT-Risiken ...40
5.1 Darstellung relevanter Kostenarten bei IT-Risiken ...40
5.1.1
Einmalige / kontinuierliche Kosten ... 42
5.1.2
Offene / verdeckte Kosten ... 43
5.1.3
Wiederherstellungskosten ... 44
5.1.4
Vorsorgekosten... 44
5.2 Prozesskosten und IT-Komponenten...45
5.3 Kostenstruktur komplexer IT-Bedrohungen ...49
5.4 Neue Geschäftsfelder durch Kontrolle von IT-Risiken ...51
5.5 Grenzen bei der Kostenbewertung von IT-Risiken...52
6
Methode zur detaillierten Analyse von IT-Risiken ...53
6.1 Kategorisierung von IT-Risiken ...53
6.1.1
BS 7799 / ISO 17799 ... 55
6.1.2
IT-Grundschutzhandbuch des BSI... 58
6.2 Die Problematik der Eintrittswahrscheinlichkeit ...59
6.3 Potenzielle Schäden durch IT-Risiken...60
6.3.1
Schadensarten... 60
6.3.2
Schadensmesspunkte ... 61
6.4 Gegenmaßnahmen bei IT-Risiken...62
6.4.1
Arten von Maßnahmen... 62
6.4.2
Maßnahmenmesspunkte... 63
6.5 Ein Lösungsmodell für das ,,IT-Risiko Audit"...64
6.5.1
IT-Schadensklassen... 65
6.5.2
IT-Risikoklassen... 65
6.5.3
Der ,,Security Risk Factor" ... 66
6.5.4
Das "Corporate Risk Rating" ... 67
6.5.5
Der IT-Risikobewertungsprozess ... 68
Inhaltsverzeichnis
Seite
4
6.6 Vorschläge für Arbeitsmaterialien zum "IT-Risiko Audit" 70
6.6.1
Die SRM-Risikotabelle ... 70
6.6.2
Beispiel ... 72
6.6.3
Der SRM-Fragebogen... 73
6.6.4
Beispiel ... 75
6.6.5
Der SRM-Bewertungsbogen ... 76
6.6.6
Beispiel ... 79
6.6.7
Die SRM-Auswertungsmatrix... 81
6.6.8
Beispiel ... 83
7
Zusammenfassung und Ausblick...84
A Glossar ...87
B Abbildungsverzeichnis ...90
C Tabellenverzeichnis ...90
D Literaturverzeichnis ...91
E Anhang ...93
E.1 Digitale Version der Arbeit ...93
E.2 Die SRM-Risikotabelle ...93
E.3 Der SRM-Fragebogen ...93
E.4 Die SRM-Auswertungsmatrix ...93
E.5 Projektplan...93
E.6 Mögliche Risikotypen in Unternehmen ...93
Vorwort
Seite 5
Vorwort
Durch meine Arbeit bei einem der weltweit führenden System-
integratoren und in der IT-Consulting Firma meines Vaters wurde ich
schnell mit der Problematik von Wirtschaftlichkeit, Investitions-
sicherheit und technisch sinnvollen Strukturen im Bereich der IT-
Sicherheit konfrontiert. Es war für mich immer sehr unbefriedigend,
nur hypothetische Aussagen über die Kosten treffen zu können, die
dem Kunden durch das Auftreten von IT-Risiken in seinem
Unternehmen entstehen können. Da sich diese Kosten aus vielen
unterschiedlichen Teilkostenarten zusammensetzen und die mögliche
Eintrittswahrscheinlichkeit des IT-Risikos, ein nur schwer exakt
berechenbarer Kernfaktor für die Gesamtkostenermittlung, von
zentraler Bedeutung ist, gestaltet sich eine solche Risikokosten-
berechnung sehr schwierig und zeitaufwändig. Diese wird aber
zwingend benötigt, um bei Investitionsvorhaben in diesem Bereich
betriebswirtschaftlich fundiert gegenüber Kunden oder den
betrieblichen Budgetverantwortlichen argumentieren zu können.
Der Reiz, meine Bachelorarbeit über dieses Thema zu schreiben,
bestand für mich darin, dass ich mein technisches Wissen über IT-
Sicherheit und meine praktischen Erfahrungen mit einer
betriebswirtschaftlichen Fragestellung aus meinem Studien-
schwerpunkt verbinden konnte, ohne dabei die darunter liegenden
technischen Aspekte gänzlich vernachlässigen zu müssen.
Diese Arbeit verfolgt den Ansatz, die etablierten und bekannten
Bereiche IT-Sicherheit und IT-Risikomanagement über eine neue
Schnittmenge zu verbinden, um dadurch eine Möglichkeit zu
entwickeln, Schadenspotenziale in der Informationstechnologie für
Firmen kostenmäßig erfassbar und somit bewertbar zu machen.
Es wird in Zukunft von zentraler Bedeutung für jeden IT-Budget-
Verantwortlichen sein, die finanziellen Auswirkungen von Risiken der
IT-Sicherheit auf seine IT-Komponenten möglichst genau zu kennen
und damit bewertbar zu machen. Durch die Identifikation und
Bewertung der IT-Risiken lassen sich entsprechende Strategien für
jedes Risiko entwickeln, um dessen geschäftsschädigende Wirkung
möglichst zu minimieren. Zu betrachten sind dabei die direkten
Kosten des Schadens sowie die daraus resultierenden Folgekosten bei
Unternehmensprozessen und die Kosten, die durch Wiederherstellung
Vorwort
Seite
6
des Zustandes vor Schadenseintritt verursacht werden. Eventuelle
Kosten zur Risikovorsorge werden dabei gesondert behandelt.
Des Weiteren entstehen aus den Bereichen Corporate Governance
12
und Unternehmenscontrolling Fragestellungen mit IT-Sicherheits-
relevanz. Durch neue und verschärfte Vorgaben des Gesetzgebers
3
und Anforderungen des Kapitalmarktes
4
entstehen zusätzliche
Anforderungen an das IT-Sicherheits- sowie das IT-Risiko-
management.
Die Einführung setzt sich mit allgemeinen und übergeordneten
Fragestellungen zur IT-Sicherheit in Unternehmensnetzwerken
auseinander. Diese werden wie in diesem Zusammenhang nur so
detailliert dargestellt wie notwendig, um dem Leser die benötigten
Grundlagen vermitteln zu können, die er für das Verständnis dieser
Arbeit benötigt. Die folgenden Kapitel beschäftigen sich mit wichtigen
Aspekten des klassischen IT-Risikomanagements und stellen einen
bereits existierenden Lösungsansatz zur IT-Risikobewertung vor.
Im Kern der vorliegenden Arbeit werden die durch IT-Risiken
potenziell entstehenden Kosten und deren Abhänigkeiten im
Unternehmens-kontext betrachtet. Des Weiteren werden die
entscheidenden Kernelemente und Funktionen des entwickelten
Modells für ein ,,Security Risk Audit" anhand von speziell dafür
erarbeiteten Arbeitsmaterialien konkretisiert und erläutert.
Mein Dank geht an dieser Stelle an meinen fachlichen Betreuer, Herrn
Dr. Gerald Spiegel, der sich bei der SerCon GmbH seit einigen Jahren
mit dieser Problemstellung und verwandten Themen beschäftigt, dazu
diverse Vorträge gehalten sowie mehrere Publikationen verfasst hat.
Marc Laszlo im Winter 2003/2004
1
Vgl. Macharzina (2003) S.140 ff
2
Siehe Glossar unter ,,C"
3
Durch Gesetze zur Risikokontrolle in der Unternehmensführung (z.B. KonTraG)
4
z.B. durch Basel II (Eigenkapitalvorsorge zur Risikominimierung bei der
Kreditvergabe im Bankgewerbe)
1 Einführung
Seite 7
Motivation
1 Einführung
1.1 Motivation
Angesichts immer wiederkehrender Wurm- und Virenwarnungen
sowie anderer Gefährdungen fällt Firmenchefs ein Bekenntnis zur IT-
Sicherheit zwar immer leichter, doch in Zeiten sinkender IT-Budgets
fällt niemand mehr auf der emotionalen Basis von Unsicherheit und
Angst eine kostenintensive Investitionsentscheidung. Deshalb
versuchen immer mehr Unternehmen die Kosten von IT-Risiken statt
auf Basis von Angstszenarien über den rationalen Ansatz einer
Kosten-Nutzen-Analyse zu ermitteln.
Der dazu entwickelte Ansatz einer Return on Security Investment
Rechnung (ROSI)
5
stellt angelehnt an die aus dem Unternehmens-
controlling bereits bekannte Return on Investment Rechnung (ROI)
Entwicklungs-, System- und Organisationskosten den Erträgen
gegenüber, die erst durch eine Erhöhung der IT-Sicherheit und der
daraus resultierenden Minimierung der Schadensauswirkungen von
IT-Risiken möglich werden. Das Neue an diesem Ansatz ist, dass
Sicherheitstechnologie in der Bilanz nicht nur als Kostenfaktor in
Erscheinung tritt, sondern sich positiv bemerkbar machen kann,
indem es beispielsweise neue Geschäftsmöglichkeiten
6
eröffnet. Die
Frage ist hier also nicht primär, wie hoch die finanziellen Folgen des
Risikos sind, sondern wie wirtschaftlich eine Investition zur
Minimierung der Schäden des untersuchten IT-Risikos ist.
Momentan gibt es noch keine etablierten Wege und Methoden, um die
durch das potenzielle Auftreten von IT-Risiken entstehende Kosten-
struktur im Unternehmen detailliert zu erfassen. Es ist aber unbedingt
erforderlich, die neu identifizierten IT-Risiken und ihre finanziellen
Auswirkungen auf die etablierten Unternehmensprozesse genau
bewerten und klassifizieren zu können. Als Ergebnis muss sich daraus
für jedes analysierte Risiko eine adäquate Risikokontrollstrategie
ableiten lassen. Das in dieser Arbeit vorgestellte ,,Security Risk Audit"
-Modell und die dafür entwickelten Arbeitsmaterialien können diesen
Anforderungen gerecht werden.
5
Entwicklung der Universität von Idaho (2001)
6
Siehe dazu Kapitel 5.4: ,,Neue Geschäftsfelder durch IT-Risiken"
1 Einführung
Seite 8
Abgrenzung
1.2 Abgrenzung
Jedes Ergebnis eines IT-Risikomanagement-Systems kann nur so gut
sein, wie die dabei zugrunde liegende Datenbasis. Es würde den
Umfang dieser Arbeit sprengen, die verschiedenen Arten der
Beschaffung und die exakte finanzmathematische Zusammensetzung
dieses Zahlenmaterials zu beschreiben. Die genaue Höhe dieser
Kosten wird während der Durchführung eines Security Risk Audit
ermittelt, und muss deshalb als im Unternehmen bereits bekannt
vorausgesetzt werden.
Es werden keine neuen Strategien oder Arten der IT-Risiko-
behandlung durch diese Arbeit entwickelt. Die Möglichkeiten der
Behandlung von Risiken sind bereits hinreichend untersucht worden.
Der vorgestellte Lösungsansatz in Kapitel 4 dieser Arbeit beschäftigt
sich deshalb detailliert mit allen möglichen Arten des Umgangs von
IT-Risiken im Unternehmenskontext.
Als Ergebnis dieser Arbeit wird kein Leitfaden für die Erstellung oder
Einführung eines kompletten Security Risk Management Systems
7
in
einem Unternehmen stehen. Auch wird kein Schwerpunkt auf
Anforderungen und Schnittstellenbeschaffenheit eines Tools zur
Abbildung und Automatisierung der benötigten Prozessschritte liegen.
Vielmehr soll eine Hilfestellung zur Identifikation und Analyse der
durch Sicherheitsprobleme in der Informationstechnologie
entstehenden Risiken gegeben werden. Die Sensibilisierung für
Schadensauswirkungen und Kostenstrukturen von IT-Risiken steht
dabei im Vordergrund. Diese können dann anhand des erarbeiteten
Vorgehensmodells für ein Security Risk Audit sowie durch die dafür
entwickelten Arbeitsmaterialien detailliert analysiert und bewertet
werden.
Das Unternehmen soll durch ein Security Risk Audit in die Lage
versetzt werden, seine IT-Risikostruktur und die damit verbundenen
Kosten genau einschätzen zu können.
7
Weiterführende Informationen zum Einsatz von Risikomanagement-Systemen
http://www.rmisweb.com/ [Stand 5.01.2004]
1 Einführung
Seite 9
Begriffsdefinition
1.3 Begriffsdefinition
In diesem Kapitel wird eine genaue Definition
8
und detaillierte
Abgrenzung einiger in dieser Arbeit verwendeten Begriffe gegeben.
Diese Begriffsdefinition soll dem grundlegenden Verständnis der
Arbeit dienen. Weitere Fachbegriffe werden in den entsprechenden
Kapiteln im fachlichen Kontext erläutert.
IT-Risiko
Unter IT-Risiko für ein schützenswertes Gut versteht man die
Wahrscheinlichkeit, mit der eine Bedrohung innerhalb eines
definierten Zeitraums oder im Rahmen konkreter Ereignisse zu einem
Schaden an diesem Gut führt. Ein IT-Risiko kann quantitativ (Wert
zwischen 0 und 1) oder qualitativ (z.B. in den Kategorien hoch,
mittel, gering) angegeben werden.
Beispiel: Das IT-Risiko für ein unternehmensinternes Netzwerk-
system, innerhalb eines Jahres durch einen Hacker Schaden zu
erleiden, ist gering (aber größer als 0!), wenn eine sachgerecht
konfigurierte und gewartete Firewall im Einsatz ist.
Gefahr
Eine Gefahr ist eine abstrakte Beschreibung von Umständen,
Sachverhalten und Ereignissen, die negative Auswirkungen für ein
schützenswertes Gut (z.B. Personen, Institutionen, Umwelt,
Informationen, Ansehen, Systeme) haben. Die negativen Aus-
wirkungen werden als Schaden bezeichnet. Das Maß für die negativen
Auswirkungen wird als Schadenshöhe bezeichnet. Gefahren werden in
Gefahrenkatalogen
9
kategorisiert und können den folgenden
Kategorien zugeordnet werden:
· Höhere Gewalt
· Vorsätzliche Handlungen
· Menschliches Versagen
· Technisches Versagen
· Organisatorische Mängel
8
Definitionen von Spiegel (2003)
9
z.B. IT-Grundschutzhandbuch des Bundesministeriums für Informationssicherheit
1 Einführung
Seite 10
Begriffsdefinition
Beispiele: Feuer, Blitzschlag, Tod, Verbrechen, Insolvenz
Bedrohung
Eine Bedrohung ist eine Gefahr mit einem zeitlichen, örtlichen,
persönlichen, institutionellen oder materiellen Bezug, gegebenenfalls
unter der Voraussetzung spezifischer Randbedingungen. Da
Bedrohungen aus Gefahren abgeleitet werden, können sie in gleicher
Weise wie diese kategorisiert werden.
Beispiel: Ein Hacker ist eine Bedrohung für Unternehmen, die eine
physikalische Verbindung zwischen dem internen und einem
öffentlichen Netzwerk implementiert haben, und zwar unabhängig
davon, ob das Unternehmen eine Firewall einsetzt oder nicht.
Schwachstelle
Eine Schwachstelle ist eine Eigenschaft eines Systems (Hardware,
Software, Organisation), welche ursächlich für das erhöhte IT-Risiko
eines Schadenseintritts bei einem schützenswerten Gut ist.
Beispiel: Bei einem Datei-Server wurde der Gast-Account nicht
deaktiviert. Dadurch erhalten beliebige Personen Zugriff auf den
Server und haben somit einen Angriffspunkt für die auf dem Server
befindlichen Informationen. Wird eine Verbindung in das Internet
aufgebaut und ist der Rechner gleichzeitig mit dem internen Netzwerk
verbunden, so wird ein ungeschützter Zugriff vom Internet in das
interne Netzwerk möglich.
Schaden
Ein Schaden entsteht durch die Ausnutzung einer Schwachstelle eines
beliebigen Systems. Schäden können unterschiedliche Ausprägungen
haben (materiell, kostenmäßig, auf Datenbestände oder auf logische
Funktionalitäten eines betrachteten Systems bezogen).
Beispiele: Das durch einen Blitzeinschlag ausgebrochene Feuer
verursacht materielle Schäden im Unternehmen. Der Angriff eines
Hackers auf einen Webserver kann die Nichtverfügbarkeit des
Serverdienstes als Schaden zur Folge haben.
2 Grundlegendes zu Kosten und IT-Sicherheit
Seite 11
Das ,,Firewall-Paradoxon" in der IT-Sicherheit
2 Grundlegendes zu Kosten und IT-
Sicherheit
2.1 Das ,,Firewall-Paradoxon" in der IT-Sicherheit
Unternehmen benötigen heute einen effektiv bezahlbaren Schutz und
dafür umsetzbare Richtlinien für alle Aspekte der IT-Sicherheit und
die angemessene Nutzung des Internets. Obwohl dieser Schutz
gewährleistet sein muss, darf er auf keinen Fall die Geschäfts-
produktivität und die damit verbundenen Unternehmensprozesse
behindern. Für maximalen Schutz sollten entsprechende IT-Systeme
sowohl über umfassende Protokoll-Filtertechnologien als auch über
strenge Überwachungsfunktionen für Virensignaturen und anderen
bösartigen Code verfügen, die ein schnelles Erkennen und Beheben
gewährleisten. Hierbei ist besonders zu beachten, dass die neuesten
Virengenerationen anders als die bisherigen Viren speziell dafür
entwickelt wurden, sich die Verteilungsmöglichkeiten
10
in Netzwerken
und über das Internet zunutze zu machen.
Allgemein bekannt gewordene Viren wie beispielsweise ,,Melissa" oder
,,LoveLetter" haben das Potenzial von Bedrohungen, die sich in
Minutenschnelle im gesamten Netzwerk ausbreiten können, in der
letzten Zeit eindrucksvoll unter Beweis gestellt. Das enorme
finanzielle Ausmaß der mit der Schadensbeseitigung verbundenen
Aufwände lässt sich vorher kaum exakt analysieren, da man nicht
genau abschätzen kann, welche Auswirkungen auf IT-Systeme und
Komponenten zu erwarten sind.
11
Deshalb sollten entsprechende Sicherheitskonzepte, die sich zum
Beispiel am IT-Grundschutzhandbuch
12
des Bundesministeriums für
Sicherheit in der Informationstechnik orientieren können, zur
Grundsicherung eines jeden Unternehmens gehören. Die Gebäude-
sicherheit, eine durchdachte IT-Systemarchitektur, die Ausfall-
sicherheit der Systeme, Backup- und Notfallstrategien, Lizenzrecht
und Datenschutz sind dabei als die klassischen Kernaufgaben der IT-
Sicherheit anzusehen.
10
z.B. X.500 basierende Verzeichnisse und lokale Adressbücher der E-Mailclients
11
Vgl. Bott / Siechert (2002), Teil B, Kapitel: 8-13
12
Siehe http://www.bsi.de/gshb/deutsch/menue.htm [Stand: 25.11.2003]
2 Grundlegendes zu Kosten und IT-Sicherheit
Seite 12
Das ,,Firewall-Paradoxon" in der IT-Sicherheit
Die internetgestützten Geschäftsabläufe des 21. Jahrhunderts haben
Schutzbedarf und Aufgabenvielfalt von Unternehmensnetzwerken
jedoch tief greifend verändert. Unternehmen müssen in
zunehmendem Maße eine immer größere Zahl von Anwendungen für
ihre Geschäftsprozesse (z.B. Vertrieb, Produktion, Personal usw.)
bereitstellen und effektiv überwachen können. Mit jeder zusätzlichen
neuen Anwendung erhöht sich das Risiko durch systemspezifische
Sicherheitslücken. Jeder neue Benutzer bedeutet ein zusätzlich
erhöhtes Risiko, dass Daten manipuliert oder missbraucht werden
könnten bzw. absichtlich oder durch Unachtsamkeit in die falschen
Hände gelangen.
Dabei müssen Unternehmen aber nicht nur überwachen können, wer
auf geschäftskritische Informationen hinter der Firewall zugreifen
kann, sondern müssen auch feststellen können, welche Informationen
wann und von wem abgerufen werden. Ein Angriff bzw. das
Eindringen in das System kann sowohl von innerhalb als auch von
außerhalb der traditionellen Unternehmensstrukturen erfolgen.
Statistiken zeigen aber, dass zahlreiche IT-Sicherheitsverletzungen
durch die Mitarbeiter des Unternehmens selbst verursacht werden -
so dass die ,,teure" Firewall davor keinen effektiven Schutz leisten
kann.
Obwohl Firewalls den Export von Informationen durch Protokoll-
blockierung erschweren können, ist es trotzdem möglich, dass diese
Beschränkung durch die Verwendung von Mechanismen zum
Tunneling
13
von Protokollen umgangen werden kann. Außerdem sind
die meisten produktiv in Unternehmen eingesetzten Firewalls im
Allgemeinen nicht in der Lage, Inhaltskontrollen auszuführen, die
detaillierte genug sind, um den unautorisierten Export von Infor-
mationen sowie den unautorisierten Zugriff zu überwachen und
gegebenenfalls zu blockieren. Ältere Firewalls unterstützen
normalerweise auch keine Antivirenprogramme oder granulare
Überwachungsfunktionen, die auf Dateien mit mobilem Code, wie
beispielsweise ,,Java-Applets" oder ,,ActiveX", und Codeanalyse in
Echtzeit abzielen. Solche Dateien können jedoch extrem schädliche
Inhalte einschleusen, mit denen Unternehmensnetzwerken ein
erheblicher finanzieller Schaden zugefügt werden kann.
Deshalb ist zu bedenken, dass in einer hoch komplexen und weit
vernetzten Geschäftsumgebung Firewalls allein keinen ausreichenden
13
Siehe Glossar unter ,,T"
2 Grundlegendes zu Kosten und IT-Sicherheit
Seite 13
Das ,,Firewall-Paradoxon" in der IT-Sicherheit
Schutz
14
mehr für die breit gefächerten IT-Sicherheitsanforderungen
der Unternehmenskommunikation bieten können.
15
Eine teure Firewall-Lösung darf deshalb nicht automatisch als gleich-
bedeutend mit einer signifikanten Erhöhung der IT-Sicherheit gelten.
Es ist daher wenig sinnvoll, hohe Investitionen für solche IT-Systeme
zu tätigen, dabei aber die anderen ,,Problemzonen" im Netzwerk-
bereich und bei anderen IT-Komponenten zu vernachlässigen.
Schäden in diesen Bereichen ziehen meist noch höhere finanzielle
Aufwendungen im Schadensfall nach sich als die Kosten für eine
unternehmensweit implementierte IT-Sicherheitslösung. Der weit
verbreitete Gedankengang in den Köpfen vieler IT-Sicherheits-
verantwortlicher ,,Firewall = Sicherheit" ist deshalb bei komplexen IT-
Strukturen nicht mehr zutreffend.
16
Router, Switches, Hosts, Netzwerke, Anwendungen, Informationen,
Management Tools alle IT-Komponenten können heute zum Ziel
von Angriffen werden. Es entstehen ständig neue Angriffsarten, die
durch ein einzelnes Gerät nicht mehr abgefangen werden können. IT-
Sicherheit muss deshalb auf mehreren Ebenen ansetzen und im
gesamten Netzwerk wirken (siehe Abbildung 1).
Abbildung 1: Ebenen der IT-Sicherheit
14
Gemeint sind hier beispielsweise Dienste wie HTTP, SMMTP oder FTP, die bei
Firewallsystemen auf Portebene gesperrt werden können, um deren Nutzung zu
unterbinden
15
siehe dazu auch Kapitel 2.4: ,,IT-Sicherheit von E-Businessanwendungen"
16
Vgl. Strobel (2003), Kapitel: 4, 5, 7, 11
2 Grundlegendes zu Kosten und IT-Sicherheit
Seite 14
IT-Sicherheitsprobleme bei Netzwerkstrukturen
2.2 IT-Sicherheitsprobleme bei Netzwerkstrukturen
Bei der Betrachtung von IT-Sicherheitsaspekten in Netzwerkinfra-
strukturen gibt es eine Vielzahl unterschiedlicher Angriffsarten die alle
eine ernst zu nehmende Auswirkung auf die Verfügbarkeit von
Anwendungen und damit auf die Kostenstruktur des Unternehmens
haben. Die folgenden Angriffsarten werden nicht detailliert
vorgestellt, der Leser soll in diesem Zusammenhang nur einen kurzen
Überblick über einige mögliche Angriffsarten und die dabei
entstehenden Kosten bekommen. Es ist nicht Intention dieser Arbeit,
die technischen Aspekte der IT-Sicherheit
17
, detailliert zu be-
schreiben.
18
Abbildung 2 dient zur Visualisierung für die im Folgenden
beschriebenen Angriffsarten auf IT-Infrastrukturkomponenten.
Abbildung 2: Verschiedene Netzwerkangriffsarten
17
Vgl. Laszlo (2003)
18
Vgl. Klein (2001), Kapitel: 9-24
2 Grundlegendes zu Kosten und IT-Sicherheit
Seite 15
IT-Sicherheitsprobleme bei Netzwerkstrukturen
Routing Protokoll Injection
Darunter versteht man die Verwendung von Mechanismen zur
unbefugten Veränderung der Routingtabellen
19
von Gateway-
systemen
20
durch falsche Routinginformationen.
21
Beispiel: Durch ein verändertes Routingprotokollupdate wird dem
Firmenrouter eine andere Route für die IP-Adresse des VPN-Gateways
der Bank vorgetäuscht. In Verbindung mit IP-Spoofing und einem
schwachen Authentifizierungspasswort kann der Angreifer eine VPN-
Verbindung aufbauen, von der angenommen wird, der Angreifer wäre
das gewünschte Kreditinstitut.
Denial-of-Service-Angriffe
DoS-Angriffe unterscheiden sich insofern von den meisten anderen
Angriffsarten, dass sie in der Regel nicht darauf abzielen, dem
Angreifer Zugang zum Netzwerk oder den darin enthaltenen Daten zu
verschaffen. Vielmehr besteht ihr einziger Zweck darin, einen Dienst
für den normalen Gebrauch unbenutzbar zu machen.
Beispiel: Die begrenzten physikalischen Speicherressourcen eines
Webservers werden durch ständige irreguläre Verbindungsanfragen
bis zum Systemstillstand überlastet und lassen so eine reguläre
Verbindungsanfrage nicht mehr zu.
IP-Spoofing-Angriffe
Bei dieser Art von Angriffen werden unter Vortäuschung einer
falschen IP-Adresse Aktionen gegen fremde Systeme gestartet. Durch
diese Art der Identitätsverschleierung ist es oft sehr schwierig, den
tatsächlichen Verursacher zeitnah zu identifizieren und zu verfolgen.
Beispiel: Der Authentifizierungsmechanismus eines E-Shop-Systems,
der auf einer Überprüfung der IP-Adressen basiert, kann so effektiv
getäuscht werden.
19
Vgl. Halabi (1998) Kapitel: 5, 7, 8, 10, 11
20
IT-System zur Verbindung von Unternehmensnetzwerk mit dem Internet
21
Informationen, durch welche Router die Wegewahl für das weitere Versenden von
IP-Paketen bestimmen
2 Grundlegendes zu Kosten und IT-Sicherheit
Seite 16
IT-Sicherheitsprobleme bei Netzwerkstrukturen
Password-Cracking-Angriffe
Hierbei handelt es sich um die wohl gebräuchlichste Form von
Angriffen auf ein Computersystem. Dabei wird versucht aktive
Accounts
22
auf dem Zielsystem und die zugehörigen Passwörter zu
ermitteln.
Beispiel: Das aus dem Internet zugängliche Webmail-Interface der
Firma wird aufgrund des Ausspionierens der Zugangsdaten des
Administrator Accounts kompromittiert
23
. Dadurch ist es dem
Angreifer möglich, das System vollständig nach seinen Wünschen zu
manipulieren, um z.B. E-Mails unter falschem Namen zu versenden.
Man-in-the-middle-Angriffe
Angriffsart auf eine sich initialisierende Kommunikationsbeziehung,
bei der sich der Angreifer logisch genau zwischen den
Kommunikationspartnern ,,befindet". Es wird dem Angreifer so
möglich, Daten mitzulesen, manipuliert weiterzuleiten oder ganz
abzufangen. Die Sicherheit kann in diesem Zusammenhang erhöht
werden, wenn sich beide Kommunikationspartner einer starken
Authentifizierung beim Verbindungsaufbau unterziehen müssen.
Beispiel: Bei einem beginnenden Verbindungsaufbau zwischen 2
Kommunikationspartnern übernimmt ein unbefugter Dritter durch
geschickte Manipulation der Verbindung die Identität von einem der
Partner. Der eigentliche Kommunikationspartner erhält nur eine
wenig aussagekräftige Fehlermeldung und der Angreifer kann durch
die übernommene Verbindung an seiner Stelle beliebige Aktionen
ausführen.
Wenn man sich die Folgekosten der bei den verschiedenen Angriffs-
arten möglichen Schadensszenarien überlegt, wird schnell das große
Risikopotenzial klar, das sich hinter dem Begriff ,,Infrastruktur-
sicherheit" verbirgt. Es ist ebenso ersichtlich, dass IT-Sicherheit dabei
nicht als punktuelle Maßnahme gesehen werden kann, sondern als
kontinuierlicher Prozess auf mehreren Ebenen betrachtet werden
muss.
22
Siehe Glossar unter ,,A"
23
Siehe Glossar unter ,,K"
2 Grundlegendes zu Kosten und IT-Sicherheit
Seite 17
IT-Sicherheit als wichtiger Unternehmensprozess
2.3 IT-Sicherheit als wichtiger Unternehmensprozess
Bei der Betrachtung von IT-Sicherheit als Unternehmensprozess ist es
wichtig zu verstehen, dass keine einzelnen IT-Sicherheitsmaßnahmen
zu einem definierten Sicherheitsniveau im Unternehmen führen
können, sondern dass nur eine durchgängige Sicherheitsarchitektur
dies gewährleisten kann. Dieses Framework muss flexibel sein und
durch einen kontinuierlichen Prozess an die sich dynamisch
verändernde Unternehmenslandschaft angepasst werden können.
24
Nur so kann die optimale Balance zwischen IT-Sicherheitsniveau und
den dafür aufzuwendenden Kosten gewährleistet werden (siehe
Abbildung 3).
Abbildung 3: IT-Sicherheit als Unternehmensprozess
24
Vgl. dazu ,,SAFE: Ein Sicherheitsframework für Unternehmensnetzwerke" von
Cisco Systems
http://wwwsearch.cisco.com/global/DE/solutions/ent/anwenderberichte/
ent_berichte/safe_home.shtml [Stand 28.12.2003]
2 Grundlegendes zu Kosten und IT-Sicherheit
Seite 18
IT-Sicherheit als wichtiger Unternehmensprozess
Die folgenden Punkte sind mit dafür verantwortlich, dass der IT-
Sicherheitsprozess als solcher in vielen Unternehmen nicht
konsequent verbessert und angewendet wird:
· Der iterative IT-Sicherheitsprozess ist ein erheblicher
Kostenfaktor und wird meist nur dem IT-Budget angelastet
· IT-Sicherheit ist kompliziert und aufwändig zu implementieren
· IT-Sicherheit kann nicht ad hoc implementiert werden, sondern
erfordert ein durchdachtes Konzept und eine detaillierte
Vorgehensweise ohne Tabuthemen
· Jede zusätzliche Internet-und Intranetverbindung erhöht das
IT-Sicherheitsrisiko des Gesamtsystems
Bei einer Umfrage antworteten 78% der teilnehmenden Firmen, dass
sie innerhalb von 2 Jahren einen finanziellen Verlust durch ein zu
geringes Sicherheitsniveau in der Informationstechnologie erlitten
hätten, einige davon über 1 Million USD pro IT-Sicherheitsvorfall.
25
Als Gründe für diese Verluste wurden angegeben:
· Computerviren: 76 %
· Böswillige Aktivitäten von intern: 42 %
· Böswillige Aktivitäten von extern: 25 %
Mit zunehmender Bedeutung des E-Business muss der Betrachtung
des IT-Sicherheitsprozesses eine zentrale Stellung im Unternehmen
zukommen. Das Kerngeschäft verlagert sich mehr und mehr zu
technisch außerordentlich komplexen Vorgängen, deren IT-Risiken
und Kosten nur noch mit Expertenhilfe analysiert und bewertet
werden können.
26
25
Quelle: Ernst & Young Information Security Survey (1999)
26
Vgl. Müller (2003) Kapitel: 9-11
2 Grundlegendes zu Kosten und IT-Sicherheit
Seite 19
IT-Sicherheit bei E-Business-Anwendungen
2.4 IT-Sicherheit bei E-Business-Anwendungen
Aufgrund ihrer exponierten Stellung in der Struktur des Internets und
wegen den dort öffentlich angebotenen Diensten gelten Webserver
heute unter Hackern als die Eingangsportale zu Firmennetzwerken.
Gleichzeitig aber steigt die Bedeutung dieser Server je nach
Geschäftsmodell des betrachteten Unternehmens enorm. Einzelne
Reiseveranstalter und Versandhäuser wickeln bereits über 50 % der
Anfragen über das Internet ab, ganz zu schweigen von reinen E-
Business-Anbietern wie zum Beispiel Amazon
27
(siehe Abbildung 4).
Abbildung 4: Gefährdungspotenzial durch E-Business-Anwendungen
27
http://www.amazon.com [Stand 27.11.2003]
2 Grundlegendes zu Kosten und IT-Sicherheit
Seite 20
IT-Sicherheit bei E-Business-Anwendungen
Die eigentlichen Gefahren und die dabei entstehenden Kosten, die
von einem schlecht gesicherten E-Business-System ausgehen,
werden häufig von den Verantwortlichen gar nicht als solche
wahrgenommen. Denn bei oberflächlicher Betrachtung besteht der
Schaden nur im Verlust des Webauftritts oder E-Shops und eventuell
öffentlicher Daten auf den betroffenen Servern.
28
Was in diesem Zusammenhang aber oft unterschätzt wird, sind die
vielfältigen Kommunikationsbeziehungen der Web- bzw. E-Shop-
Server zu internen Systemen. Denn gerade ein modernes E-Business-
System zeichnet sich durch einen hohen Interaktionsgrad mit
mehreren Servern und Datenbanken oder Mainframe-Systemen aus.
Aus der eher isoliert betrachteten Frage nach der IT-Sicherheit eines
Webservers bzw. E-Shop-Systems wird dadurch sofort die Frage nach
der gesamten IT-Sicherheit der internen Netzwerkstrukturen, aller
darin operierenden Server und ihren Datenbeständen. Damit wird das
enorme Schadenspotenzial von ,,gehackten" E-Business-Systemen für
die gesamte IT-Sicherheit von Unternehmen ersichtlich. Eine einfache
Visualisierung dieses Sachverhalts bietet die Abbildung 5 auf der
folgenden Seite.
Diese Risiken erfordern es zwingend, dem IT-Sicherheitsaspekt beim
Einsatz von E-Business-Systemen besondere Aufmerksamkeit zu
widmen. Die bisherigen Schutzmechanismen bieten keinen
ausreichenden Schutz mehr bei den modernen Angriffsmöglichkeiten
auf diese Systeme. Die Auswirkungen von Schäden auf die
vielschichtigen Kommunikationsbeziehungen der produktiven IT-
Systeme sind aber für das Unternehmen sehr kostenintensiv.
28
Vgl. Strobel (2003), Kapitel: 12
2 Grundlegendes zu Kosten und IT-Sicherheit
Seite 21
IT-Sicherheit bei E-Business-Anwendungen
Abbildung 5: E-Security in Kommunikationsbeziehungen
3 Das IT-Risikomanagement
Seite 22
Überblick IT-Risikomanagement
3 Das IT-Risikomanagement
3.1 Überblick IT-Risikomanagement
,,IT-Risikomanagement bedeutet, durch den bewussten
Umgang mit IT-Risiken die Unternehmenssicherheit und damit
den allgemeinen Unternehmenswert zu steigern"
29
Spätestens seit In-Kraft-Treten des Gesetzes zur Kontrolle und
Transparenz im Unternehmensbereich (KonTraG) am 1. Mai 1998
sind Vorstandsmitglieder und Geschäftsführer explizit angehalten, zur
Erfüllung ihrer allgemeinen Sorgfaltspflicht ein Risikomanagement-
System im Unternehmen einzurichten.
30
Dadurch muss die
Beherrschung von IT-Risiken über ein IT-Risikomanagement-System
integraler Bestandteil der Unternehmenssteuerung werden. Das
Wachstumspotenzial des Unternehmens kann so über das IT-
Risikomanagement zusätzlich optimiert und gesteuert werden.
31
Unter IT-Risiko versteht man die Gefahr, dass Ereignisse oder
Handlungen ein Unternehmen daran hindern, seine operativen Ziele
zu erreichen bzw. seine Geschäftsstrategien erfolgreich umzusetzen.
IT-Risiken sind deshalb Bestandteil der Geschäftstätigkeit, aber auch
eine Voraussetzung für den weiteren unternehmerischen Erfolg. Der
Schlüssel zum erfolgreichen Umgang mit IT-Risiken setzt eine
angemessene Kontrollstruktur voraus, die einerseits hilft, finanzielle
Verluste zu verhindern, und andererseits genügend Freiraum für die
unternehmerische Weiterentwicklung lässt. Da das Erwirtschaften
risikoloser Gewinne für Unternehmen über einen längeren Zeitraum
nicht möglich sein wird, macht es diese Tatsache für gewinn-
orientierte Unternehmen unumgänglich, im Rahmen ihrer Geschäfts-
tätigkeit bestimmte IT-Risiken bewusst einzugehen.
29
Teile der Kapitel 3.1 und 3.2 basieren auf Grundlagen von KPMG (1998 und
2000), die für den Bereich ,,IT-Risikomanagement" angepasst wurden
30
Kapitalgesellschaften müssen ,,auch auf die Risiken der zukünftigen
Unternehmensentwicklung eingehen" (§ 289 Abs. 1 HGB)
31
Vgl. http://www.rmce.de/1_2.asp ,,Definition von Risikomanagement und der
Nutzen für Unternehmen" [Stand: 28.12.2003]
Details
- Seiten
- Erscheinungsform
- Originalausgabe
- Jahr
- 2004
- ISBN (eBook)
- 9783832480059
- ISBN (Paperback)
- 9783838680057
- DOI
- 10.3239/9783832480059
- Dateigröße
- 5.2 MB
- Sprache
- Deutsch
- Institution / Hochschule
- Evangelische Hochschule Darmstadt, ehem. Evangelische Fachhochschule Darmstadt – Informatik
- Erscheinungsdatum
- 2004 (Mai)
- Note
- 1,7
- Schlagworte
- it-management it-security risikomanagement it-prozesse it-risiken
