Die Risikoanalyse besteht darin, Angriffsszenarien zu identifizieren, welche die gravierendsten Auswirkungen haben und eine Behandlung vorzuschlagen, um die daraus folgenden Konsequenzen abzuschwächen.
Die Schwierigkeit besteht dabei in der Notwendigkeit, möglichst vollständig und exakt zu sein. Versäumnisse im Bereich der Werte oder Fehleinschätzungen, die Wahrscheinlichkeit der Bedrohungen oder die Ausnutzung der Schwachstellen und Auswirkungen betreffend, würden zu Fehlschlüssen führen… und zu den falschen Sicherheitsmaßnahmen.
Im besten Fall könnten die getroffenen Maßnahmen lediglich zu streng sein, schlimmstenfalls aber könnten sie unnütz sein. Um eine effiziente Risikoanalyse durchzuführen, muss also vorerst eine Evaluierung der Primärwerte der Organisation stattgefunden haben ; man muss die vitalen Businessprozesse, die Informationen und ihre Werte genau kennen.
Die Risikoanalyse ist leider für alle kleinen Strukturen eine sehr schwierige Übung, wenn sie nicht dazu in der Lage sind, sie mit den vorhandenen Mitteln durchzuführen. Einige Firmen scheitern an der Komplexität und an den Kosten der Risikoanalyse.
Allerdings hat sich bei der Risikoanalyse von kleinen Strukturen wie KMUs, Gemeinden oder kleinen Verwaltungen gezeigt, dass die Businessprozesse, die behandelten Informationen und die benutzten Vermögenswerte sich von Struktur zu Struktur sehr ähneln. In dieser Feststellung gründet eine pragmatische und simple Lösung. In ein und demselben Sektor kann der Aufwand der Risikoanalyse gebündelt werden, so dass sie auch den kleinsten Strukturen zugänglich ist, ohne an Qualität einzubüßen.
Wenn man zum Beispiel die Geschäftsverfahren der Gemeinden vergleicht, kann man feststellen, dass alle Gemeinden im wesentlichen die selben 46 Prozesse anwenden und die gleiche Art von Daten behandeln. Schaut man sich das Ganze noch näher an, so stellt man fest, dass sie alle mehr oder weniger die gleichen Sekundärwerte (mit den gleichen Schwachstellen) benutzen und also den gleichen Risiken ausgesetzt sind. Sogar die potentiellen Auswirkungen sind ähnlich und hauptsächlich von juristischer und rufschädigender Art.
So kam es zur Idee, kontextuelle Modelle zu kreieren, die folgendes beschreiben :
-
Die vitalen Businessprozesse,
-
Informationen
-
Potentielle Auswirkungen und
-
Angriffsszenarien in diesem Zusammenhang...
Die Verantwortlichen der verschiedenen Strukturen brauchen diese Übung nicht einzeln zu machen, sondern können Zugriff auf ein spezifisches Modell erhalten, das ihrem Kontext entspricht. Alles was sie noch tun müssen, ist, ihre Eigentümlichkeiten zu identifizieren und sie in das Modell einzufügen.
Die Wahrscheinlichkeit von Bedrohungen außerhalb der Organisationen, wird dem Kontext entsprechend abgewogen. Diese Einschätzung beruht in der Regel auf den Erfahrungswerten der luxemburgischen Experten auf dem Gebiet der Informationssicherheit, also den CERTs. Die Organismen brauchen lediglich die Wahrscheinlichkeit spezifischer Bedrohungen, (wie zum Beispiel gezielte Angriffe aus diversen Gründen, wie etwa Rache) mitzuteilen.
In den meisten Fällen kann die Einschätzung, wie einfach die vorhandenen Schwachstellen ausgenutzt werden können, auf eine ganze Gruppe von Organismen gleichwertig angewandt werden. Experten für diese Metriken sind meist die Anbieter der betreffenden Werte-Träger. Diese veröffentlichen regelmäßig Warnungen, um auf neu entdeckte Schwachstellen in ihren Produkten aufmerksam zu machen. Da auch die luxemburgischen CERTs die informatischen Schwachstellen im Auge behalten, können sie den verschiedenen Kontexten reale Maßstäbe zur Verfügung stellen. Natürlich gibt es auch einige Schwachstellen (z.B. Überalterung eines Gebäudes), die ganz spezifisch für bestimmte Strukturen sind, und aus diesem Grund von den Organismen selber mitgeteilt werden müssen, beziehungsweise durch Experten, welche die Organismen bei dieser Vorgehensweise begleiten .
Die
Auswirkungen sind auch oft dem Kontext entsprechend spezifisch. Die Auswirkungen können von einer zentralen Instanz (einem Regulator) vorgegeben sein. Im Fall von Vertraulichkeitsverlust in Dateien von Bürgern zum Beispiel, ist die rechtliche Konsequenz für die Gemeinde A die gleiche wie für die Gemeinde B. Sogar die verschiedenen Auswirkungen können also auf mutualistische Weise verwaltet werden.
Die Mutualisierung dieser Herangehensweise macht die Risikoanalyse nicht bloß objektiver und korrekter, sondern auch für Nicht-Experten zugänglich. Die Mutualisierung erlaubt es, konsequent Kosten zu senken durch die Implementierung von effizienten Sicherheitsvorkehrungen, welche gleichzeitig finanzielle Ersparnisse und die Sicherstellung eines akzeptablen Sicherheitsniveaus bedeuten.
Die Mutualisierung reduziert auch das juristische Risiko (siehe legale Aspekte) für die Organisationen, denn diese Herangehensweise bezeugt, dass die Organisation die Informationssicherheit entsprechend ihrer Sorgfaltspflicht verwaltet hat, indem sie "state of the art" -Methoden und Werkzeuge benutzt hat, wie sie vom Gesetz des 2. August 2002 zum Schutz der personenbezogenen Daten vorgesehen sind.
Außerdem darf diese Herangehensweise an die Risikoanalyse kein " one shot " sein. Um effizient zu sein, muss die Entwicklung der Bedrohungen, der Schwachstellen und der Auswirkungen mit einkalkuliert werden. Die Risikoanalyse muss wiederholt werden, sobald einer dieser Parameter sich verändert.
Das Gesetz vom 2. August 2002 zum Schutz der personenbezogenen Daten ist ein gutes Beispiel für die Veränderung der Auswirkungen. Das Gesetz hat viele neue Anforderungen hinsichtlich der Sicherheit bei der Behandlung von persönlichen Daten eingeführt. Viele Betriebe haben dieses Gesetz noch nicht berücksichtigt und sind sich seiner Auswirkungen noch nicht einmal bewusst. Die geplante neue europäische Verordnung wird die Anforderungen sogar noch intensivieren und und die potentiellen rechtlichen Konsequenzen entsprechend verschärfen.