Risikobewertung: Cybersecurity und der Faktor Mensch

Risikobewertung: Cybersecurity und der Faktor Mensch

Es brauchte nur eine Nacht, vielleicht auch nur wenige Minuten, um einem Fensterbauer in Sorpetal einen existenzbedrohenden Schaden zuzufügen. Er wurde Opfer einer Cyber-Attacke. Wie kam es dazu? Und welche Vorsichtsmaßnahmen lassen sich speziell von kleinen und mittelständischen Unternehmen treffen, um Hackerangriffe von ihren Systemen abzuwehren?

Dieser vorliegende Fall zeigt: Cybersecurity in komplexen, vernetzten Systemlandschaften ist ein herausforderndes Thema. Vorhandene Schwachstellen sind insbesondere nicht nur technischer Natur, sondern auch durch den „Faktor Mensch“ bedingt, wie man es im Beitrag am Beispiel eines verseuchten USB-Sticks sehen kann. Daher sind strukturierte Bedrohungs- und Risikoanalysen unabdingbar. Sie bieten die Möglichkeit, bedarfsgerecht die richtigen Schutzmaßnahmen zu erkennen und durchzuführen.

Risikoanalyse und Risikobewertung

Eine gute Risikobewertungsmethode unterstützt die Bestimmung individueller Schutzziele – also derjenigen Teile eines Systems, die besonders schützenswert sind. Eine pauschale Lösung ist nicht möglich. Deshalb ist eine enge Abstimmung mit dem jeweiligen Unternehmen erforderlich, um bei der Risikoanalyse bestmöglich die spezifischen Anforderungen zu erfassen.

Es reicht nicht aus, ein Sicherheitsschloss an der Tür zu installieren, wenn die Wände fehlen. Eine weitere Voraussetzung für eine erfolgreiche Analyse ist eine strukturierte Vorgehensweise, damit alle Bereiche eines Unternehmens in die Betrachtung einfließen und nichts vergessen wird. Nur wenn das gesamte Bild betrachtet wird, können Bedrohungen und die daraus resultierenden Schäden eindeutig bestimmt und ein entsprechender auf das jeweilige System eines Unternehmens zugeschnittener Maßnahmenkatalog erstellt werden.

Wird die Ermittlung von Security-Anforderungen mit einem gut durchdachten Werkzeug durchgeführt, kann die Analyse systematisch und flexibel an Veränderungen angepasst werden, was von Beginn an zu einem sicheren Systementwurf führt (Security by Design).

Lösung: YAKINDU Security Analyst

Wir haben auf Basis einer solchen Risikobewertungsmethode unsere Werkzeuglösung YAKINDU Security Analyst entwickelt.

An unserem Standort Paderborn arbeiten wir an der Weiterentwicklung und Erweiterung des YAKINDU Security Analysten für den IT-Grundschutz und für andere Zertifizierungsverfahren.

IT-Sicherheit ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Nur durch ein einheitliches, vergleichbares und nachvollziehbares Risikomodel können fundierte und wirksame Maßnahmen abgeleitet und etabliert werden. Mit dieser Aufgabe sind jedoch kleine und mittelständische Unternehmen in der Regel überfordert.

Unser Ziel ist es, ein Werkzeug zur Verfügung zu stellen, welches diesen Anforderungen entspricht und Unternehmen beim Aufbau der Sicherheit unterstützt.

Am 21. Mai 2019 startet der 16. Deutsche IT-Sicherheitskongress, auf dem wir vertreten sind, um uns mit dem BSI und anderen Unternehmen auszutauschen und neue Impulse für den Bedarf und die Anforderungen an Werkzeuge zu sammeln.

Über Dennis Röck

Dr. Dennis Röck arbeitet als Language Engineer für die itemis AG in Paderborn. Seine Erfahrungen im Bereich des Language Engineering sammelte er während seiner Promotion in der Arbeitsgruppe „Programmiersprachen und Übersetzer” von Prof. Dr. Kastens an der Universität Paderborn. Heute arbeitet Dennis in verschiedenen Xtext- und MPS-Projekten. Darüber hinaus bringt er sein Wissen als Evaluator aus den Bereichen Zertifizierung und Sicherheit in die YAKINDU-Produktfamilie ein.