Auswirkungen
 

Kurz gefasst

Die "Auswirkung" ist das Resultat der Ausnutzung einer Schwachstelle durch eine Bedrohung. Das während der Risikobewertung berechnete Risiko berücksichtigt diese drei Faktoren.

Die Auswirkung wird pro kompromittiertem Wert berechnet, also die Auswirkung aufgrund des Verlusts von Vertraulichkeit, Integrität oder Verfügbarkeit des Werts. Aus der befürchteten Auswirkung im Fall einer Kompromittierung eines Wertes wird die Klassifizierung des Werts ermittelt, jeweils für die Vertraulichkeit, Integrität und Verfügbarkeit.

Es ist wichtig, seinen Computer zu schützen - die Gründe dafür sind vielfältig.

Man muss jedoch zischen Auswirkung und Schaden unterscheiden. Der Schaden ist das negative Ergebnis eines Ereignisses. Die Auswirkung ist die Einschätzung der von den unmittelbaren Schäden verursachten Beschädigung.

Beispiel

  • Ein "stand alone"-Server fällt aus: Der Schaden ist reell da er repariert werden muss. Die Auswirkung eines Werts (z.B.  E-Mail) ist auch reell, da der Dienst nicht mehr zur Verfügung steht.

  • Ein Server eines ganzen "clusters" fällt aus: Der Schaden ist noch immer reell, aber es gibt keine Auswirkung auf den E-Mail-Dienst, da alle anderen Server des Clusters den Dienst weiterhin aufrechterhalten.

Kategorisierung der Auswirkungen

Finanzielle Auswirkungen

Fast alle Auswirkungen werden letztendlich auf einer finanziellen Basis gemessen. In dieser Kategorie sind jedoch die direkten finanziellen Auswirkungen, wie beispielsweise Verdienstausfälle im Zusammenhang mit einer e-Business-Anwendung im Fall einer Internet-Dienstunterbrechung, zusammengefasst. Diese Kategorie umfasst ebenfalls die Veruntreuung und Unterschlagung von Geldern mittels einer Änderung durch Softwareprogramme, Diebstahl von Kreditkartendaten und anderer gleichartiger Fälle.

Rechtliche Auswirkungen

Die Nutzung bestimmter gestohlener Daten kann zu gerichtlichen Verfolgungen seitens der betroffenen Personen führen; der Verlust der Daten kann auch zum Verletzen bestehender Verträge führen. Die Übernahme der Kontrolle über ein EDV-System mit dem Ziel, Attacken (verteilte Attacken, Spamming etc.) auf andere Privatanwender/Unternehmen/Verwaltungen auszuführen, kann als unterlassene Sorgfaltspflicht betrachtet werden und zu einer Verurteilung führen.

Auswirkungen auf den Ruf

Unter dieser Gruppe werden alle Auswirkungen in Bezug auf den Ruf der Organisation angeführt. Da das Vertrauen der Kunden und Lieferanten entscheidend für den Erfolg eines Unternehmens ist, liegt es auf der Hand, dass jeglicher Vorfall schnell finanzielle Auswirkungen haben kann.

Auswirkungen auf das Know-How

Die Industrie- oder Handelsspionage, deren Ziel es ist, sich Fabrikationsgeheimnisse, Kundendaten oder andere persönliche Daten einer Privatperson, eines Unternehmens oder einer Verwaltung zu bemächtigen, ist in dieser Kategorie zusammengefasst, deren Auswirkungen sich aber nur schwer finanziell einschätzen lassen. Der Wegfall der Möglichkeit der Berufsausübung infolge der Zerstörung von EDV-Geräten (Brand, Überschwemmung usw.) fällt ebenfalls in diese Kategorie.

Auswirkung auf die "Zeit"

Zeit ist insbesondere für Unternehmen ein sehr entscheidender Faktor. Die verlorene Zeit hätte gewinnbringender in andere Arbeiten investiert werden können.