Bedrohungen
 

Bedrohungen nutzen Schwachstellen der Werte aus und erzeugen so Auswirkungen. Die Zusammenwirkungen zwischen Werten, Bedrohungen und Schwachstellen werden während des Risikomanagements untersucht.

Es ist für jede Organisation unmöglich, alle Bedrohungen vollständig auszuschließen. In der Sicherheit konzentriert man sich daher auf die Reduktion von Schwachstellen, welche von Bedrohungen ausgenutzt werden könnten.

Dennoch muss man in Bezug auf Bedrohungen stets auf dem Laufenden bleiben, besonders was Eintrittswahrscheinlichkeit, Funktionsweise und Motivationen der Cyberkriminellen angeht. In den vergangenen zehn Jahren haben wir eine starke Diversifizierung und Professionalisierung der Internetkriminalität feststellen müssen. Ihre Hauptmotivation hat sich von Spaß auf Gier und Macht verschoben, und sich vermehrt auf die wirtschaftlichen oder politischen Bereiche konzentriert und hierfür immer effektivere Tools und Strategien entwickelt.

Gruppen von Bedrohungen

EBIOSv2[1] schlägt einige Liste von generischen Bedrohungen vor:

Beschreibung der Bedrohungen

Die EBIOSv2 Bedrohungen können beschrieben werden entsprechend:

  • ihrer Herkunft

    • E: Umgebungsbedingt - alle nicht menschlich bedingten Vorfälle

    • D: Vorsätzlich - für alle Vorfälle, die vorsätzlich Werte gefährden

    • A: Unbeabsichtigt - für alle menschlich bedingten Vorfälle, die unbeabsichtigt Werte gefährden

  • Beeinflussung der

    • D: Verfügbarkeit

    • I: Integrität

    • C: Privatsphäre

  • ihrem Typ

    • N: Natürlich

    • H: Menschlich

    • E: Umweltbedingt

Bezug Schwachstellen / Bedrohungen / Werte

Dieser Abschnitt bezieht sich auf generische Schwachstellen des Dokuments EBIOS v2 – Kapitel 1. – Tool (Bewertung)

Identifiziert werden können:

Sicherheitsziele

Das Kapitel 2, generische Sicherheitsziele des Dokuments EBIOS v2 - Kapitel 5 - Tools (Behandlung) [4] schlägt für jeden der 7 Werte-Typen eine Liste von generischen Sicherheitszielen vor, welche die vorher ermittelten generischen Schwachstellen abdecken.


Das Kapitel 3.2 Anforderungen aus l'ISO 17799 des gleichen Dokuments EBIOS v2 – Kapitel 5 – Tools (Behandlung)[5] schlägt Sicherheitsanforderungen bezüglich jeder der ISO/IEC 17799: 2000 Checks vor (nicht etwa die 2005 veröffentlichte Fassung [ISO/IEC 27002:2005]).

EBIOS 2010

EBIOS 2010[6] schlägt eine andere Darstellung der Version 2 vor, sowohl auf der Ebene der Darstellung der Bedrohungen sowie auf der Ebene des Gesamtkonzepts.
EBIOS 2010 ist in die folgenden Bereiche unterteilt:

  • Typen von Unterstützungswerten

    • SYS: Informations- und Telekommunikationssysteme

    • ORG - Organisation

    • LOC - Gebäude

  • Auswirkungen

    • Auswirkungen auf den Betrieb

    • Auswirkungen auf den Menschen

    • Auswirkungen auf Güter

    • Andere Auswirkungen

  • Herkunft der Bedrohungen

    • Menschliche Herkunft

      • beabsichtigt böswillig

        • interne (menschliche) Herkunft

          • Schwache Kapazitäten

          • Erhebliche Kapazitäten

          • Begrenzte Kapazitäten

        • Externe (menschliche) Herkunft

          • Schwache Kapazitäten

          • Erhebliche Kapazitäten

          • Unbegrenzte Kapzitäten

      • Unbeabsichtigt, ohne böse Absicht

        • Interne (menschliche) Herkunft

          • Schwache Kapazitäten

          • Erhebliche Kapazitäten

          • Begrenzte Kapazitäten

        • Externe (menschliche) Herkunft

          • Schwache Kapazitäten

          • Erhebliche Kapazitäten

          • Begrenzte Kapazitäten

      • Nicht menschliche Herkunft

Die MEHARI-Bedrohungen nach Gruppen

  • Naturkatastrophen

    • Feuer

    • Durch Wasser verursachte Schäden

    • Naturkatastrophen

  • Katastrophen industriellen Ursprungs

    • Feuer

    • Durch Wasser verursachte Schäden

    • Katastrophen industriellen Ursprungs

    • Mechanische Verschmutzung

    • Elektromagnetische Verschmutzung

    • Physikalisch oder logisch bedingter Ausfall

    • Unterbrechung der Stromversorgung

    • Unangemessene Temperatur oder Feuchtigkeit

    • Ausfall von Kommunikationsdiensten

    • Unterbrechung von Leistungen und Leistungen von Versorgungsbetrieben

    • Störung von Informationsdatenträgern

    • Elektromagnetische Strahlung

  • Unbeabsichtigte Fehler oder Störungen

    • Benutzerfehler

    • Administratorenfehler

    • Regelfehler (log)

    • Konfigurationsfehler

    • Mängel in der Organisation

    • Verbreitung schädlicher Software

    • Re-Routingfehler

    • Fehler in der Reihenfolge

    • Ungewollte Preisgabe von Informationen

    • Änderung von Informationen

  • Einschleusen von falschen Informationen

    • Störung von Informationen

    • Zerstörung von Informationen

    • Verbreitung von Informationen

    • Schwachstellen von Programmen (Software)

    • Wartungsfehler / Aktualisierung von Programmen (Software)

    • Wartungsfehler / Aktualisierung von Geräten (Hardware)

    • Systemabsturz durch Ressourcenverbrauch

    • Materialverlust

    • Unverfügbares Personal

  • Vorsätzliche Angriffe

    • Manipulation der Konfiguration

    • Identitätsmissbrauch

    • Missbrauch von Zugriffsrechten

    • Unbeabsichtigte Verwendung

    • Verbreitung schädlicher Software

    • Weiterleitung von Nachrichten

    • Änderung der Abfolge

    • Unbefugter Zugriff

    • Analyse des Datenverkehrs

    • Ruf

    • Abfangen von Informationen (Mithören)

    • Änderung von Informationen

    • Einschleusen von falschen Informationen

    • Korruption von Informationen

    • Zerstörung von Informationen

    • Verbreitung von Informationen

    • Manipulation der Programme

    • Denial-of-Service

    • Diebstahl von Betriebsmitteln

    • Zerstörerischen Angriff

    • Feindliche Besetzung

    • Unverfügbares Personal

    • Erpressung

    • Social Engineering