Risk Management

Question 1

Risikomanagementprozess nach BSI

Answer 1

• Erstellung einer Gefährdungsübersicht
  -> Zusammenstellung der Gefährdungen
  -> Prüfung der Relevanz pro Asset-Typ
• Risikoeinstufung
  -> Festlegung der Eintrittswahrscheinlichkeit
  -> Festlegung der Auswirkungen
  -> Risikobewertung (Risikokategorie festlegen)
• Risikobehandlung
  -> Umgang mit Restrisiko
• Konsolidierung des Sicherheitskonzepts
  -> Integration der (zusätzlich identifizierten) Maßnahmen in das Konzept
  -> Fortwährende Beobachtungen

Question 2

Methoden Risikobehandlung

Answer 2

• Risikoakzeptanz
• Risikovermeidung
• Risikoreduktion
• Risikotransfer

Question 3

Risikoakzeptanz

Answer 3

• Keine Maßnahmen werden ergriffen
• Verantwortlichkeit muss festgelegt werden

Question 4

Risikovermeidung

Answer 4

• Risikoursache wird vollständig ausgeschlossen
• Sinnvoll, wenn alle Gegenmaßnahmen zu teuer sind

Question 5

Risikoreduktion

Answer 5

• Sicherheitsmaßnahmen senken das Risiko
• meist wird die Eintrittswahrscheinlichkeit verringert

Question 6

Risikotransfer

Answer 6

• Risiko wird an eine externe Partei ausgelagert
• Unternehmen ist dennoch weiterhin verantwortlich für das Risiko
• Sinnvoll, wenn Schaden rein finanzieller Art
• Versicherung oder Outsourcing

Question 7

Festlegung des Kontexts (ISO)

Answer 7

Dokumentation der Informationssicherheitsrisikomanagementmethodik
-> Definition der Kriterien zur Bewertung von Risiken
-> Ablauf des Risikomanagementprozesses
-> Festlegung der Akzeptanzkriterien (Risikoappetit) durch Management (abhängig von Größe, Branche, Komplexität)
-> Festlegung der Rollen und Verantwortlichkeiten

Question 8

Risikoidentifikation (ISO)

Answer 8

• Auffinden, Erkennen und Beschreiben von Risiken (Identifizierung von Risikoquellen und -ereignissen)
  -> Ereignisbasierter Ansatz: Identifizierung strategischer Szenarien, Betrachtung der Risikoquellen, Betrachtung der Art und Weise, wie sie Angreifer nutzen
  -> Asset-basierter Ansatz: Identifizierung operativer Szenarien, Bezug auf Assets, Bedrohungen und Schwachstellen

Question 9

Risikoanalyse (ISO)

Answer 9

• Ziel: Höhe des Risikos bestimmen
• qualitativ: z.B. normal/hoch/gering
• quantitativ: numerisch
• halbquantitativ: qualitative Skalen mit zugewiesenen Werten

Question 10

Risikoanalyse: Erhebung des Schadens

Answer 10

Sicherheitsvorfall -> Verlust der Vertraulichkeit, Integrität, Verfügbarkeit -> weitere Folgen für die Organisation und ihre Ziele
- Folgeanalyse:
-> Schätzung der Verluste (Zeit oder Daten)
-> Schätzung/Einschätzung der Schwere der (monetären) Folgen
-> Wiederherstellungskosten

Question 11

Risikoanalyse: Erhebung der Wahrscheinlichkeit

Answer 11

• Wahrscheinlichkeitsanalyse: Wie häufig treten Risikoquellen auf? Wie leicht werden sie ausgenutzt?
  -> Problem: Risiken, durch die noch nie ein Schaden entstanden ist
• Erhöhung der Zuverlässigkeit der Schätzung:
  -> Teameinschätzungen
  -> Verwendung externer Quellen
  -> Verwendung von angemessenen Quellen
  -> eindeutige Kategorien
  -> Szenario in kleinere Ereignisse unterteilen und diese schätzen

Question 12

Risikobewertung/Priorisierung (ISO)

Answer 12

• Anwendung der Risikoakzeptanzkriterien
• Entscheidungskriterien zur Bewertung, Priorisierung und Behandlung: Schadenshöhe/Auswirkungen, Eintrittswahrscheinlichkeit, kumulative Wirkung, (initale) Kosten und Aufwand, Wirksamkeit der Maßnahmen

Question 13

Risikokommunikation (ISO)

Answer 13

• Verteilung notwendiger Informationen über Risiken und Maßnahmen
• Regelmäßige Information an Management: Verantwortlich als höchster Risk Owner, Feedback an ISO
• Beachtung des Need-to-know Prinzips: Angreifer können bekannte Risiken/Schwachstellen ausnutzen

Question 14

Techniken zum Risikomanagement (Gruppierungen)

Answer 14

• Einholung von Meinungen von Interessengruppen und Experten
• Identifizierung von Risiken
• Ermittlung von Risikoquellen, -ursachen und -treibern
• Analyse von Maßnahmen
• Verständnis von Wahrscheinlichkeit und Auswirkungen
• Analyse von Abhängigkeiten und Interaktionen
• Techniken zur Messung von Risiken
• Bewertung der Signifikanz von Risiken
• Auswahl von Maßnahmen
• Dokumentation und Kommunikation

Question 15

Risikoidentifikation - Brainstorming

Answer 15

Gruppendiskussion mit unterschiedlichen Teilnehmern (ISO, Fachbereich, Management)
- Moderator regt durch fachliche Fragen das Gespräch an

Question 16

Risikoidentifikation - Brainstorming - Vor- und Nachteile

Answer 16

+ fördert Fantasie und Kreativität
+ trägt bei, neue Risiken und Lösungen zu finden
- Vollständigkeit schwierig sicherzustellen
- Gruppendynamik kann zu dominierenden Sprechern führen

Question 17

Risikoidentifikation - Gap Analyse

Answer 17

Risiken aus nicht vollständig erfüllten Anforderungen

Question 18

Risikoidentifikation - Gap Analyse - Vor- und Nachteile

Answer 18

+ Vollständigkeit basiert auf der Vollständigkeit der Anforderungen (Richtlinien)
- kann sehr aufwendig werden

Question 19

Risikoidentifikation - Szenarioanalyse

Answer 19

Definition und Durcharbeitung eines konkreten Szenarios
- Extrapolation von Ereignissen aus der Vergangenheit
- Entwicklung eines imaginären Szenarios

Question 20

Risikoidentifikation - Szenarioanalyse - Vor- und Nachteile

Answer 20

+ Identifikation von zuvor unbekannten Szenarien/Risiken
- Daten können spekulativ sein
- Ereignisse können unrealistisch sein

Question 21

Risikoanalyse - Ereignisbaumanalyse

Answer 21

Grafische Technik zur Darstellung sich gegenseitig ausschließender Abfolgen zur Quantifizierung der Wahrscheinlichkeiten
- Beginnt mit auslösendem Ereignis
- Maßnahme wird Erfolgs- und Misserfolgswahrscheinlichkeit zugeordnet
- Bedingte Wahrscheinlichkeiten

Question 22

Risikoanalyse - Markov-Analyse

Answer 22

Quantitatives Verfahren, das auf Systeme angewandt werden kann, die durch eine Reihe von diskreten Zuständen und Übergängen zwischen diesen beschrieben werden können (vorausgesetzt, die Entwicklung des aktuellen Zustands hängt nicht von seinem Zustand in der Vergangenheit ab)

Question 23

Risikoanalyse - Monte Carlo Simulation

Answer 23

Simulation von Ereignissen mithilfe von Zufallsstichproben:
- Ziehen von Zufallsstichproben
- Berechnung des Ergebniswerts
- Iterarive Wiederholung

Question 24

Risikoanalyse - Hergeleitete Risikoanalyse

Answer 24

Möglichkeit, Risikowert anhand einzelner Kriterien herzuleiten, um Einheitlichkeit zu ermöglichen
(Eintrittswahrscheinlichkeit einer Bedrohung + Ausnutzbarkeit von Schwachstellen + Schadenshöhe)

Question 25

Risikobewertung - Risikomatrix

Answer 25

Verrechnung von Eintrittswahrscheinlichkeit und Schadenshöhe

Question 26

Risikoanalyse - Kosten-Nutzen-Analyse

Answer 26

Vergleich der Kosten und Nutzen von Maßnahmen
- kann qualitative und quantitative Elemente beinhalten
- Kosten können tatsächliche Ausgaben oder Ressourcen sein
- Nutzen kann materiell oder immateriell sein

Question 27

Risikobehandlung - Entscheidungsbaum-Analyse

Answer 27

Modellierung möglicher Pfade von Entscheidungen und Wahrscheinlichkeiten zur Berechnung von Erwartungswerten
- Pfade ausgehend von initialer Entscheidung
- Pfad mit bestem Erwartungswert enthält gesuchte Information

Question 28

Dokumentierte Informationen - Risiko-Register

Answer 28

Dokumentation sämtlicher Risiken im Unternehmen
- Begründungen und Herleitungen wichtig für Nachvollziehbarkeit
- Aggregation von Risiken möglich

Question 29

Standards Risikomanagement

Answer 29

• ISO 27005: Allgemeiner Rahmen für Risikomanagement im Bereich IS
• ISO 31000: Allgemeiner Rahmen für Risikomanagement

Question 30

Konsolidierung des Sicherheitskonzepts

Answer 30

• Integration der Maßnahmen in das Konzept
  -> Maßnahmen werden im Sicherheitskonzept dokumentiert
  -> Festlegung der Eignung der Maßnahmen zur Abwehr der Gefährdungen
• Fortwährende Beobachtung:
  -> Risiken können sich ändern
  -> regelmäßige Überprüfung der Risikobewertung und -behandlung

Question 31

Risikomanagementprozess nach ISO 27005

Answer 31

• Festlegung des Kontexts
• Risikoassessment:
  -> Risikoidentifikation
  -> Risikoanalyse
  -> Risikobewertung/Priorisierung
• Risikobehandlung
• Dokumentierte Information
• Währenddessen:
  -> Risikokommunikation
  -> Risikoüberwachung und -überprüfung

Question 32

Risikobehandlung: Festlegung der Behandlungsmaßnahmen (ISO)

Answer 32

• Restrisikoakzeptanz
  -> Hohe Eintrittswahrscheinlichkeit, geringe Auswirkungen: Vorfall: Verwaltung durch die Prozesse des Vorfallmanagements
  -> Niedrige Eintrittswahrscheinlichkeit, hohe Auswirkungen: Katastrophe: Verwaltung durch die Prozesse des BCM
• Reduktion, Akzeptanz, Vermeidung oder Übertragung
• Behandlungsplan erstellen

Question 33

Risikoüberwachung und -überprüfung

Answer 33

• Regelmäßige Überprüfung der Risiken
  -> Risikomethode, Schwachstellen, Bedrohungen, Auswirkungen, Risikoakzeptanzkriterien, Wahrscheinlichkeiten, Behandlungen, Periodisierungen, Maßnahmen

Question 34

Dokumentierte Informationen

Answer 34

• Dokumentation aller Entscheidungen und Prozesse (z.B. für Zertifizierungsstelle)
  -> Risikomanagementmethodik, Bedrohungs- und Schwachstellenkataloge, Begründungen zur Risikobewertung, Begründungen zur Risikobehandlung, Maßnahmennachverfolgung, Kommunikation

Question 35

Risikomanagement Ziel

Answer 35

Organisation in die Lage versetzen, bestehende Risiken überhaupt identifizieren und bewerten zu können, um sie zu behandeln und und passende Maßnahmen für verbleibende Restrisiken auswählen zu können

Question 36

Risikomanagement Definition

Answer 36

Koordinierte Aktivitäten zur Lenkung und Steuerung einer Organisation in Bezug auf Risiken