02/12/18

Risikomanagement

Für ein vollumfängliches Risikomanagement müssen alle potentiellen Gefahren ermittelt werden um deren Eintrittswahrscheinlichkeit zu verringern und so den daraus resultierenden Schaden einzudämmen. Hierbei sind die technischen sowie sozialen Möglichkeiten für einen Angriff zu berücksichtigen. Einfache Beispiele sind hier:
  • Laptops
    • durch Verlust oder Diebstahl können interne, sensible Daten an Dritte fallen, sodass Schadensersatzansprüche
  • Server - Webserver (Apache2, Nginx, Tomcat), Mailserver (z.B. Exchange, Postfix, Dovecot, Courier)
    • nicht aktualisierte und gegen Angriffe geschützte Server bieten ein leichtes Einfalltor um an weitere Daten zu gelangen
  • Mitarbeiter - Social Hacking
    • nicht geschulte Mitarbeiter können leicht dazu manipuliert werden Schadcode auszuführen oder sensible Daten per Telefon raus zu geben
  • und viele mehr
Ziel des Risikomanagements ist die aktive Verringerung der Eintrittswahrscheinlichkeit und Angriffsfläche - des sogenannten Angriffsvektors - von negativen Ereignissen. Hierbei ist der zu erwartende Schadens sinnvoll zu bewerten um nicht übermäßig viel Geld für Sicherheitsmaßnahmen auszugeben. Ein kleines Beispiel:
  • In der Newsletter-Datenbank auf dem Webserver sind 10.000 Kombinationen von Namen und E-Mail-Adressen gespeichert.
  • Auf Basis der "neuen" EU-DSGVO (ab 27.05.2018) hat jede Person das Rechts auf Schadensersatzansprüche (siehe Artikel 82 EU-DSGVO) auch wenn diese nur immateriell sind.
  • Wird der Server gehackt und die Daten geklaut kann hier schnell ein Schaden von 20 Mio. € entstehen (nimmt man einen Schadensersatz von 2000€ pro Person an). Dies setzt zwar voraus, dass alle Newsletter-Empfänger Schadensersatz fordern - Sie hätten aber das Recht dazu.
Hier gibt es verschiedene Möglichkeiten, das Szenario zu umgehen. Gerne unterstützen wie Sie bei der Erstanalyse und der Umsetzung der daraus folgenden Sicherheitsmaßnahmen.