Quantitative Ansätze zur IT-Risikoanalyse

Im Bereich der Risikoanalyseverfahren für kritische IT-Systeme werden primär qualitative Analyseverfahren eingesetzt, welche auf einer Expertenschätzung des Risikos beruhen. Dieses Vorgehen birgt ein hohes Risiko für Fehleinschätzungen durch den Analysten, welches im schlimmsten Fall zu einem unbrauchbaren Sicherheitskonzept führen kann, da die Sicherheitsarchitektur entsprechend der anfänglichen Risikoanalyse gestaltet wird. Diese Arbeit stellt ein erweitertes Verfahren vor, welches durch feingranulare Schätzungen von einzelnen Faktoren die Wahrscheinlichkeit eines Fehlers minimiert und auf diese Weise einen weiteren Schritt in Richtung quantitative Methoden zur IT-Risikoanalysen beschreitet. Zu diesem Zweck kommen Bewertungsskalen zum Einsatz, welche eine spätere Berechnung von Scores ermöglichen. Hierfür wird auf den Assets der jeweiligen Domäne beginnend eine systematische Analyse von möglichen Zielen, Angreifergruppen, Angreifermitteln und denkbaren Schwachstellen durchgeführt. Die Angreifergruppen sowie die möglichen Mittel werden feingranular modelliert und in einer abschließenden Bewertung auf ihr potentielles Risiko für das System überprüft.

Tews, Erik; Schlehuber, Christian (2014): Quantitative Ansätze zur IT-Risikoanalyse. Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit. Bonn: Gesellschaft für Informatik e.V.. PISSN: 1617-5468. ISBN: 978-3-88579-622-0. pp. 293-303. Regular Research Papers. Wien, Österreich. 19.-21. März 2014

Sammlungen

P228 - Sicherheit 2014 - Sicherheit, Schutz und Zuverlässigkeit

Komplettanzeige

Quantitative Ansätze zur IT-Risikoanalyse

Volltext URI

Dokumententyp

Dateien

Zusatzinformation

Datum

Autor:innen

Zeitschriftentitel

ISSN der Zeitschrift

Bandtitel

Quelle

Verlag

Zusammenfassung

Beschreibung

Schlagwörter

Zitierform

DOI

Tags

Sammlungen