Der IT Security Manager

3 Entstehung und Auswirkungen von Risiken (S. 21-22)

In diesem Kapitel erörtern wir, welche Faktoren zusammenwirken müssen, damit ein Risiko entsteht – auf diese Weise werden auch die Ansatzpunkte für risikomindernde Maßnahmen ersichtlich. Außerdem gehen wir der Frage nach, wie aus einem Risiko ein Schaden entsteht und welche Zusammenhänge bei den Auswirkungen bestehen.

3.1 Schwachstelle
Ausgangspunkt und Voraussetzung für ein IT-Risiko ist eine Schwachstelle. Wenn keinerlei Schwachstellen existieren, ist die Informationstechnik sicher und damit risikofrei. Dieser Zustand ist in der Praxis aber nicht anzutreffen.

Schwachstellen sind Eigenschaften von Objekten im Umfeld der Informationstechnik, die zu sicherheitsrelevanten Ereignissen führen können. Sie können technischer, organisatorischer, prozessualer oder personeller Natur sein.

Beispiele:

Ungenügend gemanagte Software-Puffer

In Software-Anwendungen werden Eingaben und übertragene Daten meist in einem Speicherbereich zwischengespeichert. Wenn mehr Daten als vorgesehen eintreffen und nicht abgefangen werden, dann überschreiben die überschüssigen Daten den an den Puffer grenzenden Speicherbereich, was zum „Absturz" der Anwendung führen kann.

Unterdimensionierte Klimatisierung

In Serverräumen und Rechenzentren werden viele IT-Systeme auf kleinem Raum gebündelt. Kann die Klimatisierung des Raums die entstehende Wärme nicht kompensieren, nehmen die Systeme möglicherweise Schaden.

Kein Sperren des Arbeitsplatzrechners bei Abwesenheit

Sperren die Mitarbeiter ihre Arbeitsplatzrechner nicht, wenn sie z.B. in die Mittagspause gehen, besteht die Möglichkeit des Missbrauchs während ihrer Abwesenheit. Schwachstellen kann es in allen Bereichen der Realität geben,1 und täglich kommen neue hinzu. Es ist in der Praxis fast unmöglich, auf jeden Fall aber wirtschaftlich nicht vertretbar, alle Schwachstellen zu kennen bzw. ermitteln zu wollen.

3.2 Angriffspfad

Die Existenz von Schwachstellen allein reicht zum Entstehen eines Risikos nicht aus, sie müssen auch zum Tragen kommen können. Man sagt, zur Schwachstelle muss ein Angriffspfad existieren.

Beispiel: Das Risiko, dass ein nicht gesperrter Arbeitsplatzrechner während der Abwesenheit des Benutzers von einer anderen Person missbraucht wird, kann nur entstehen, wenn eine andere Person Zugang zu dem Arbeitsplatzrechner erlangt. Ist der Raum für eine andere Person nicht zugänglich, dann existiert zwar die Schwachstelle des nicht gesperrten Rechners, doch kann sie nicht ausgenutzt werden.

In diesem Beispiel deckt die äußere Sicherheit des Raumes die innere Unsicherheit des Rechners ab. Das Beispiel zeigt auf, dass die Sicherheit des Rechners auf verschiedene Art und Weise erreicht werden kann. Entweder die Schwachstelle wird beseitigt, oder es wird dafür gesorgt, dass es keinen Angriffspfad auf die Schwachstelle gibt. Das Letztere ist besonders wichtig für den Fall, dass es nicht möglich ist, eine Schwachstelle zu beseitigen.

Genau wie es technische, organisatorische, prozessuale und personelle Schwachstellen gibt, bestehen auch technische, organisatorische und personelle Angriffspfade. Ein Beispiel für einen personellen Angriffspfad ist das „Social Engineering", bei dem man versucht, Personen dazu zu bringen, vertrauliche Informationen preiszugeben. Die (personelle) Schwachstelle ist in diesem Fall die unkritische Auskunftsbereitschaft bzw. menschliche Schwächen. Zu einer Schwachstelle kann es mehrere Angriffspfade geben. Damit die Schwachstelle nicht zum Tragen kommen kann, müssen alle Angriffspfade eliminiert werden. Nicht immer sind die Angriffspfade offensichtlich. Bei der erwähnten Schwachstelle „unterdimensionierte Klimatisierung" etwa ist der Angriffspfad die Zeit, denn die Schwachstelle kommt über die langsam steigende Temperatur zum Tragen.

3.3 Auslöser

Schwachstellen und Angriffspfade sind passive Elemente. Ihre alleinige Existenz richtet noch keinen Schaden an, und somit besteht bis zu diesem Punkt auch noch kein Risiko. Um ein negatives Ereignis stattfinden zu lassen, bedarf es zusätzlich eines aktiven Elements, welches das negative Ereignis auslöst, d.h. eine Schwachstelle über einen Angriffspfad zum Tragen bringt. Dieses aktive Element wird als Auslöser bezeichnet.