Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Beispiel für Risikoanalyse: Wie man Risiken bewertet

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Apr 6, 2020

Organisationen kämpfen mit Risiken auf mehreren Ebenen, einschließlich Cybersicherheit, Haftung, Investitionen und mehr. Risikoanalyse oder Risikobewertung ist der erste Schritt im Risikomanagementprozess. IT-Risikoanalyse konzentriert sich auf die Risiken, die sowohl interne als auch externe Bedrohungen für die Verfügbarkeit, Vertraulichkeit und Integrität Ihrer Daten darstellen. Während der Risikoanalyse identifiziert ein Unternehmen Risiken und das Ausmaß der Konsequenzen, wie potenzielle Verluste für das Geschäft, falls ein Vorfall eintritt.

Der Risikoanalyseprozess umfasst die Definition der gefährdeten Vermögenswerte (IT-Systeme und Daten), der Bedrohungen für jedes Asset, wie kritisch jede Bedrohung ist und wie anfällig das System für diese Bedrohung ist. Es ist ratsam, einen strukturierten und projektbasierten Ansatz für die Risikoanalyse zu wählen, wie die in NIST SP 800-30 oder ISO/IEC 27005:2018 und 31010:2019 angebotenen.

Risikoanalysen sind aus mehreren Gründen wichtig. IT-Fachleute, die für die Risikominderung in der Infrastruktur verantwortlich sind, haben oft Schwierigkeiten zu entscheiden, welche Risiken so schnell wie möglich gelöst werden müssen und welche später angegangen werden können; Risikoanalysen helfen ihnen, richtig zu priorisieren. Darüber hinaus beinhalten viele regulatorische und Compliance-Anforderungen eine security risk assessment als obligatorische Komponente.

In diesem Artikel werden wir uns ein Beispiel für eine Risikoanalyse ansehen und die Schlüsselkomponenten des IT-Risikoanalyseprozesses beschreiben.

Beispiel für Risikoanalyse

Die folgenden Abschnitte stellen die Schlüsselkomponenten eines Risikoanalyse-Dokuments dar.

Einführung

Dieser Teil erklärt, warum und wie der Bewertungsprozess gehandhabt wurde. Er beinhaltet eine Beschreibung der überprüften Systeme und legt die Zuweisung der Verantwortlichkeiten fest, die für die Bereitstellung und Sammlung der Informationen sowie deren Analyse erforderlich sind.

Zweck

In diesem Abschnitt definieren Sie den Zweck einer detaillierten Bewertung eines IT-Systems. Hier ist ein Beispiel:

Gemäß der jährlichen Unternehmensrisikobewertung wurde < system name > als potenziell hochriskantes System identifiziert. Der Zweck der Risikobewertung besteht darin, die Bedrohungen und Schwachstellen im Zusammenhang mit < system name > zu erkennen und Pläne zur Minderung dieser Risiken zu identifizieren.

Scope

In diesem Abschnitt definieren Sie den Umfang der IT-Systembewertung. Beschreiben Sie die Systemkomponenten, Benutzer und weitere Systemdetails, die bei der Risikobewertung berücksichtigt werden sollen.

Der Umfang dieser Risikobewertung besteht darin, den Einsatz von Ressourcen und Kontrollen (implementiert oder geplant) zu bewerten, um Schwachstellen zu beseitigen und/oder zu verwalten, die von internen und externen Bedrohungen für < system name > ausgenutzt werden können.

Systembeschreibung

Listen Sie die Systeme, Hardware, Software, Schnittstellen oder Daten auf, die untersucht werden und welche davon nicht im Bewertungsumfang liegen. Dies ist notwendig, um Systemgrenzen, Funktionen, System- und Datenkritikalität sowie Sensibilität weiter zu analysieren. Hier ist ein Beispiel:

< system name > besteht aus < Komponenten, Schnittstellen >, die < sensible / kritische / regulierte > Daten verarbeiten. < system name > befindet sich < Angaben zur physischen Umgebung >. Das System bietet < Kernfunktionen >.

Teilnehmer

Dieser Abschnitt enthält eine Liste der Namen der Teilnehmer und ihrer Rollen. Er sollte die Eigentümer der Vermögenswerte, die IT- und Sicherheitsteams sowie das Risikobewertungsteam umfassen.

Bewertungsansatz

Dieser Abschnitt erläutert alle Methoden und Techniken, die für die Risikobewertung verwendet werden. Zum Beispiel:

Das Risiko wird anhand eines Bedrohungsereignisses, der Wahrscheinlichkeit des Eintretens dieses Bedrohungsereignisses, bekannter Systemanfälligkeiten, abschwächender Faktoren und der Auswirkungen auf die Mission des Unternehmens bestimmt. Die Phase der Datenerhebung umfasst die Identifizierung und Befragung von Schlüsselpersonal in der Organisation sowie die Durchführung von Dokumentenprüfungen. Interviews konzentrieren sich auf die Betriebsumgebung. Dokumentenprüfungen bieten dem Risikobewertungsteam eine Grundlage für die Bewertung der Einhaltung von Richtlinien und Verfahren.

Risikoidentifikation und -bewertung

Hier beginnt der Kernbereich der information security risk Bewertung, wo Sie die Ergebnisse Ihrer Feldarbeit zusammenstellen.

Ausgewählte verwandte Inhalte:

Dateninventur

Identifizieren und definieren Sie alle wertvollen Vermögenswerte im Anwendungsbereich: Server, kritische Daten, regulierte Daten oder andere Daten, deren Offenlegung einen großen Einfluss auf den Geschäftsbetrieb hätte. Zum Beispiel:

Datentyp

Beschreibung

Sensibilitätsstufe (Hoch, Moderat, Niedrig)

Personenbezogene Daten
  • Name
  • Adresse
  • Sozialversicherungsnummer
  • Kreditkartennummer

Hoch

Finanzinformationen
  • Kreditkartennummer
  • Verifizierungscode
  • Ablaufdatum
  • Autorisierungsreferenz
  • Transaktionsreferenz

Hoch

Systembenutzer

Beschreiben Sie, wer die Systeme nutzt, mit Details über den Standort des Benutzers und das Zugriffslevel. Sie können das untenstehende Beispiel verwenden:

Systemname

Benutzerkategorie

Zugriffsebene (Lesen, Schreiben, Vollzugriff)

Anzahl der Benutzer

Heimorganisation

Geografischer Standort

<Name der Geschäftsanwendung>

Regulärer Benutzer

Lesen/Schreiben

10

ABC Group

Atlanta

Bedrohungsidentifizierung

Erstellen Sie einen Katalog von Bedrohungsquellen. Beschreiben Sie kurz Risiken, die den Betrieb der Organisation negativ beeinflussen könnten, von Sicherheitsverletzungen und technischen Fehltritten bis hin zu menschlichen Fehlern und Infrastrukturausfällen:

Bedrohungsquelle

Bedrohungsaktion

Cyberkrimineller
  • Web-Defacement
  • Social Engineering
  • Systemeindringungen (Einbrüche)
  • Identitätsdiebstahl

Bösartiger Insider
  • Durchsuchen von personenbezogenen Daten
  • Unbefugter Systemzugriff
  • Unbeabsichtigte oder unkluge Handlungen von Mitarbeitern, die unbeabsichtigte physische Schäden, Systemunterbrechungen oder Enthüllungen zur Folge haben

Mitarbeiter
  • Krankheit, Tod, Verletzung oder anderer Verlust einer Schlüsselperson

Ruf
  • Vertrauensverlust bei den Mitarbeitern
  • Schaden am Ruf des Unternehmens

Organisatorische (Planung, Zeitplanung, Schätzung, Steuerung, Kommunikation, Logistik, Ressourcen und Budget)
  • Unangemessene Maßnahmen bei Kündigung und Versetzung von Mitarbeitern

Rechtliche und administrative Maßnahmen
  • Regulatorische Strafen
  • Straf- und Zivilverfahren

Technisch
  • Bösartiger Code (z. B. Virus)
  • Systemfehler
  • Ausfall eines Computers, Geräts, einer Anwendung oder einer Schutztechnologie oder -kontrolle, der den Betrieb stört oder das System einer Gefährdung aussetzt

Umweltbezogen
  • Naturkatastrophen oder vom Menschen verursachte Katastrophen

Identifizierung von Schwachstellen

Bewerten Sie, welche Schwachstellen und Schwächen es Bedrohungen ermöglichen könnten, Ihre Sicherheit zu durchbrechen. Hier ist ein Beispiel:

Schwachstelle

Beschreibung

Schwache Passwortstärke

Die verwendeten Passwörter sind schwach. Angreifer könnten das Passwort eines Benutzers erraten, um Zugang zum System zu erhalten.

Fehlende Katastrophenwiederherstellung

Es gibt keine Verfahren, um den fortlaufenden Betrieb des Systems im Falle einer erheblichen Geschäftsunterbrechung oder eines Desasters sicherzustellen.

Risikobestimmung

Hier bewerten Sie die Wahrscheinlichkeit, dass Bedrohungen und Schwachstellen Schäden verursachen werden, und das Ausmaß dieser Konsequenzen.

Bestimmung der Risikowahrscheinlichkeit

Während dieses Schrittes konzentrieren Sie sich auf die Bewertung der Risikowahrscheinlichkeit – die Chance, dass ein Risiko eintritt.

Level

Definition der Wahrscheinlichkeit

Beispiel

Hoch

Die Bedrohungsquelle ist hochmotiviert und ausreichend fähig, und die Kontrollen, um die Ausnutzung der Schwachstelle zu verhindern, sind unwirksam.

Unbefugte böswillige Offenlegung, Veränderung oder Zerstörung von Informationen

Moderieren

Die Bedrohungsquelle ist motiviert oder fähig, aber es sind Kontrollen vorhanden, die eine erfolgreiche Ausnutzung der Schwachstelle möglicherweise behindern.

Unbeabsichtigte Fehler und Auslassungen

Niedrig

Die Bedrohungsquelle mangelt es an Motivation oder Fähigkeit, oder es sind Kontrollen vorhanden, um die Ausnutzung der Schwachstelle zu verhindern oder zumindest erheblich zu erschweren.

IT-Störungen aufgrund von Naturkatastrophen oder menschengemachten Katastrophen

Auswirkungsanalyse

Führen Sie eine Risikoauswirkungsanalyse durch, um die Folgen für das Unternehmen zu verstehen, falls ein Vorfall eintritt. Die Risikoanalyse kann qualitative Risikobewertungen umfassen, um Risiken zu identifizieren, die die größte Gefahr darstellen, wie Datenverlust, Systemausfallzeiten und rechtliche Konsequenzen. Eine quantitative Risikobewertung ist optional und wird verwendet, um die Auswirkungen in finanziellen Begriffen zu messen.

Vorfall

Konsequenz

Auswirkung

Unbefugte Offenlegung sensibler Informationen

Der Verlust der Vertraulichkeit mit erheblichem Schaden für die Vermögenswerte der Organisation.

Der Vorfall kann zu kostspieligen Verlusten von wesentlichen materiellen Vermögenswerten oder Ressourcen führen und die Mission, den Ruf oder die Interessen der Organisation erheblich verletzen, schädigen oder behindern.

Hoch

IT-Störungen aufgrund von unbefugten Änderungen am System

Der Verlust der Verfügbarkeit mit schwerwiegenden negativen Auswirkungen auf die betrieblichen Abläufe.

Die Organisation ist in der Lage, ihre Hauptfunktionen auszuführen, aber die Wirksamkeit der Funktionen ist erheblich verringert.

Medium

Nicht sensible Daten gehen durch unbefugte Änderungen an den Daten oder am System verloren

Der Verlust der Integrität mit begrenzten Auswirkungen auf betriebliche Abläufe, Vermögenswerte oder Personen.

Die Organisation ist in der Lage, ihre Hauptaufgaben zu erfüllen, aber die Wirksamkeit der Funktionen ist merklich verringert.

Niedrig

Bewertung des Risikolevels

Während dieses Schrittes werden die Ergebnisse der Risikoanalyse mit den Risikobewertungskriterien verglichen. Die Ergebnisse dienen dazu, Risiken zu priorisieren entsprechend dem Risikoniveau.

Auswirkungsgrad

Definition des Risikolevels

Hoch

Es besteht ein dringender Bedarf für Korrekturmaßnahmen. Das System kann weiterhin betrieben werden, aber ein Korrekturaktionsplan muss so schnell wie möglich umgesetzt werden.

Moderieren

Korrekturmaßnahmen sind erforderlich und ein Plan muss entwickelt werden, um diese Maßnahmen innerhalb eines angemessenen Zeitraums zu integrieren.

Niedrig

Der Eigentümer des Systems muss bestimmen, ob noch Korrekturmaßnahmen erforderlich sind oder ob das Risiko akzeptiert wird.

Ergebnisse der Risikobewertung

Listen Sie die Risiken in der Tabelle der Risikobewertungsergebnisse auf. Der Bericht sollte die Bedrohungen und Schwachstellen beschreiben, das Risiko messen und Empfehlungen für die Implementierung von Kontrollen geben.

Bedrohung

Schwachstellen

Minderung

Wahrscheinlichkeit

Auswirkung

Risiko

Hurrikan

Stromausfall

Installieren Sie Notstromaggregate

Moderieren

Niedrig

Niedrig

Fehlen eines Katastrophenwiederherstellungsplans

Disaster Recovery

Entwickeln und testen Sie einen Notfallwiederherstellungsplan

Moderieren

Hoch

Moderieren

Unbefugte Benutzer können auf den Server zugreifen und sensible Unternehmensdateien durchsuchen

Öffnen Sie den Zugang zu sensiblen Inhalten

Führen Sie Systemüberwachung und Tests zur Sicherheit durch, um sicherzustellen, dass angemessene Sicherheit für <server name> gewährleistet ist.

Moderieren

Hoch

Moderieren


Fazit

Die Risikoanalyse ermöglicht es Ihnen zu erkennen, welche Risiken oberste Priorität haben. Indem Sie kontinuierlich die Schlüsselbereiche wie Berechtigungen, Richtlinien, Daten und Benutzer überprüfen, können Sie feststellen, welche Bedrohungen das höchste Risiko für Ihr IT-Ökosystem darstellen und die notwendigen Kontrollen anpassen, um die Sicherheit und Compliance zu verbessern.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Ryan Brooks

Erfahren Sie mehr zu diesem Thema

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Das CIA-Dreieck und seine Anwendung in der realen Welt

Was ist elektronisches Records Management?

Quantitative Risikoanalyse: Jährliche Verlust Erwartung

Erstellen Sie AD-Benutzer in Massen und senden Sie deren Anmeldeinformationen per E-Mail mit PowerShell

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen