Cryptoshop Help! Cryptoshop Contact! Cryptoshop Memo! Cryptoshop Shopping Cart! Place your order! Change to german site!
+ Products
· · · · · · · · · · · · · · · · · · · · · · ·
+ Solution
· · · · · · · · · · · · · · · · · · · · · · ·
+ Knowledge Base
  Security Targets  
  Security Governance  
  Security Economics  
  Risk Management  
  Certification  
  Cryptography  
  Technology  
  Smart Card applications  
  Authentication  
  PKI  
  How to  
· · · · · · · · · · · · · · · · · · · · · · ·
+ Service
· · · · · · · · · · · · · · · · · · · · · · ·
     
Management
· · · · · · · · · · · · · · · · · · · · · · ·
Security Officer
· · · · · · · · · · · · · · · · · · · · · · ·
System Engineer
· · · · · · · · · · · · · · · · · · · · · · ·
Purchasing
· · · · · · · · · · · · · · · · · · · · · · ·
Maintenance
· · · · · · · · · · · · · · · · · · · · · · ·
 
 
Please note, that the Knowledge Base isn't translated to english completely at the moment. You will still find some german texts - we are translating permanently the outstanding parts! Thank you for understanding!

Risk Management
 
INVESTMENT
 
Bei Risikomanagement geht es um die Bewertung schützenswerter Objekte einerseits und der Bewertung von Bedrohungen, Schwächen und Vulnerabilities - der Risiko-Analyse andererseits.

Die Bewertung der Verlustmöglichkeit, der Quantifizierung des möglichen Schadens durch Produktivitätseinbußen, wie Ausfall, Wiederherstellung, Untersuchungen und Nachbesserungsmaßnahmen, oder durch Pönale und andere konkrete finanzielle Verluste, sowie Imageschäden oder resultierenden Konflikte mit Gesetzen, mit Kosten für das Verfahren, Strafzahlungen oder gar persönliche Haftung, kann in einem konkretem Wert dem "Exposure Faktor" im Verhältnis zu schützenswerten Daten angegeben werden.


Diese Daten sollen die Entscheidung des Risikomanagement fundieren, ob das Risiko akzeptiert wird, oder welche Maßnahme getroffen wird. Wird kein Risikomanagement durchgeführt wird Risiko ignoriert und das läuft schlussendlich auf Risikoakzeptanz hinaus - was natürlich auch eine Entscheidung ist, aber ob man weiß was man tut?

Eine weitere Möglichkeit besteht darin, Risiko auf eine Versicherung zu übertragen. Wenn man sich die Risikoprämie nicht leisten kann, sollte man sich doch überlegen, wie man das Risiko anders mindern könnte. Risikominderung besteht im Verhindern oder Verkleinern von Bedrohungen und Schwächen bzw. implizit deren Auswirkungen, an der Verkürzung der Zeit zur Erkennung von Vorfällen und setzen von angemessenen Aktionen und Vorkehrungen zum optimalen Ablauf, sowie der Wiederherstellung eines sicheren Zustandes.

Ein brauchbarer Ansatz ist auch die Kombination der Minderung, Übertragung und Akzeptanz eines Restrisikos.

ROI
Der Return on Investment (ROI) für IT-Investitionen ist oft schwer zu berechnen, da Einkünfte oder Kostenersparnis nicht trivial zu quantifizieren sind. Die Kosten hingegen sind einfacher zusammenzufassen, deshalb ist der Total Cost of Ownership (TCO) eine wichtige Kennzahl.

Investitionen in die Sicherheit können mit Best Practises oder mit Industriestandards begründet werden, ein genaueres Bild vom Nutzen einer Sicherheitsinvestition bietet eine Betrachtung durch die "Versicherungsbrille". Das setzt aber schon eine Analyse von Bedrohungen, Verwundbarkeiten sowie den vorhandenen Werten, um die Auswirkung einer Maßnahme auf den zu erwartenden jährlichen Schaden (Annual Loss Expectancy) bzw. die Risikominderung quantifizieren zu können, voraus - womit man schon mitten im klassischen Bereich des Risikomanagements ist.

... und ROSI
Das Modell des Return on Security Investment (ROSI) zieht zusätzlich zum Versicherungsmodell auch zusätzliche Erträge und Kosteneinsparungen in Rechnung, was der Sichtweise, das IT-Sicherheit ein "Business Enabler" ist, besser entspricht.

Quantifizierter Schaden den ein Ereignis bewirkt (Ausfall, Wiederherstellung, Image,...) x Anzahl der Ereignisse (annualisiert) = Verlusterwartung (Annual Loss Expectancy)

Der Wert einer Sicherheitsmaßnahme kann durch den Prozentsatz der Risikominderung (durch Verhindern, Erkennen, schnellerem Wiederherstellen,...) und der Verlusterwartung ermittelt werden.

Verlusterwartung x Risikominderung = Wert der Maßnahme

Dieser Wert inklusive zusätzliche Erträge oder Kosteneinsparungen durch ermöglichte Geschäftsprozesse vervollständigen den Return on Security Investment.

Sicherheit vs. Komfort
Sicherheit und Komfort befinden sich meist in einem Trade-Off - Gewinn an Sicherheit wird mit einem Verlust an Komfort erkauft und umgekehrt. Zur Umsetzung von Sicherheitsmaßnahmen gehört auch die Schaffung von Akzeptanz für die Sicherheitsmaßnahmen - dies kann nur über ein Bewusstseinsbildungsprogramm (Awareness-Schaffung) erfolgen.

Sicherheitslösungen sollten also möglichst bequem für den Anwender gestaltet werden, damit reduziert sich der Aufwand für notwendige Awareness und manche Maßnahmen wirken sogar selbst bewusstseinsbildend - die Verwendung von Security Token wie Smart Cards hat soziologische Implikationen - man passt einfach mehr auf.


ARTICLE
 

Linkstipps
Crisis and Network (CRN) auf http://www.crn.ethz.ch/



Compliance


KonTraG


Basel II


From KontraG to Basel II


Back to previous page!Top of page!To the startpage of Cryptoshop.com!
  Compliance  
  KonTraG  
  Basel II  
  From KontraG to Basel II  
 
  Special offer of the month!  
  Cryptoshop Bundles!  
 
  ISO 17799 / ISO 27002  
  BSI - Baseline Security Handbook  
  ITIL  
  CobiT-system security with PKI  
  ROI of a PKI  
  Authentication with PKI  
  Smart Card  
  Security Targets  
 
Legal notice Terms and Condtitions Consumer notice Privacy Newsletter Copyright © 2004 CRYPTAS. All rights reserved