Gina Sanders - stock.adobe.com
Risikobewertung vs. Bedrohungsmodellierung: Die Unterschiede
Risikobewertungen und Bedrohungsmodellierung befassen sich beide mit potenziellen Risiken. Sie unterscheiden sich jedoch darin, wie sie beim Schutz von Systemen und Daten helfen.
Mit Hilfe von Risikobewertungen und Bedrohungsmodellen können Unternehmen herausfinden, wie gefährdet sie bei einem erfolgreichen Angriff sind. Beide Ansätze sind wichtig, aber um die Unterschiede zwischen Risikobewertung und Bedrohungsmodellierung zu verstehen, müssen Unternehmen wissen, was ein Risiko und was eine Bedrohung ist. Und das erfordert eine Definition von Anfälligkeit.
Eine Sicherheitslücke ist ein Fehler, eine Schwäche oder ein Makel in einem System. Sie kann in der IT-Infrastruktur, der Hardware oder der Software vorhanden sein, aber auch in einem Prozess, zum Beispiel beim Patchen, oder in der Art und Weise, wie eine Kontrolle in einem System implementiert oder eingesetzt wurde. Um eine Schwachstelle auszunutzen, muss eine Bedrohung vorhanden sein. Diese Bedrohung kann viele Formen annehmen - beispielsweise Malware oder ein böswilliger Insider -, aber solange sie die Fähigkeit des Systems beeinträchtigt, Daten sicher zu halten oder wie vorgesehen zu arbeiten, ist sie eine Bedrohung.
Schwachstellen setzen ein System daher Bedrohungen aus. Das Risiko hingegen stellt den potenziellen finanziellen Verlust und Schaden dar, der entstehen kann, wenn die Bedrohung eintritt. Je mehr Schwachstellen in einem System vorhanden sind, desto größer ist die Zahl der möglichen Bedrohungen und desto höher ist das Risiko.
Grund genug Risikobewertungen und Bedrohungsmodellierung einmal näher zu betrachten. Beide identifizieren und stufen Bedrohungen ein, jedoch mit unterschiedlichen Zielen.
Was versteht man unter Risikobewertung?
Die Risikobewertung ist ein wichtiger Bestandteil des Risikomanagements. Diese Bewertungen, die in regelmäßigen Abständen durchgeführt werden sollten. Dies ermöglicht es der Unternehmensleitung, sich ein Bild von den Gefahren zu machen, denen sie ausgesetzt sind. So kann man bestimmen, welche Risiken akzeptabel sind, und Maßnahmen zu ergreifen, um die Risiken, die als am kritischsten angesehen werden, zu mindern.
Der erste Schritt besteht darin, die Informationswerte des Unternehmens - oder die Werte innerhalb eines bestimmten Bereichs - zu klassifizieren und ihren Wert zu bestimmen. Der nächste Schritt besteht darin, die Risiken zu ermitteln, das heißt die Schwachstellen und potenziellen Bedrohungen für diese Werte. Es sollten alle Risiken bewertet werden, auch solche, die nicht direkt mit einem Verstoß gegen die Cybersicherheit zusammenhängen, wie zum Beispiel das Risiko der Geschäftskontinuität, der Ausfall von Geräten oder der Mangel an qualifizierten Mitarbeitern - alles, was den Betrieb aufhalten oder unterbrechen könnte.
Nachdem diese Informationen gesammelt wurden, führen Sie eine Risikoanalyse durch. Untersuchen Sie jeden Vermögenswert, um zu ermitteln, wie gefährdet er ist. Überlegen Sie, wie wahrscheinlich es ist, dass er angegriffen wird, und wenn ja, welche Art von Schaden entstehen könnte. Setzen Sie Prioritäten bei den wichtigsten Anlagen.
Danach ist der Zeitpunkt für die Risikobewertung gekommen. Mit diesem Schritt kann die Geschäftsleitung einen Plan zur Risikobehandlung einführen, der für das Unternehmen und das regulatorische Umfeld, in dem es tätig ist, geeignet ist, um die Risiken auf ein akzeptables Niveau zu reduzieren.
Beachten Sie, dass keine zwei Unternehmen die gleichen Risiken oder die gleiche Risikobereitschaft haben. Dennoch gibt es eine Reihe von Rahmenwerken und Leitfäden, die Unternehmen bei der Durchführung einer umfassenden Risikobewertung helfen können, darunter die folgenden:
- ISO/IEC 27005:2022 Information security, cybersecurity and privacy protection -- Guidance on managing information security risks
- BSI-Standard 200-3: Risikomanagement
- BSI IT-Grundschutz, Online-Kurs IT-Grundschutz, Lektion 7: Risikoanalyse
Die Agentur der Europäischen Union für Cybersicherheit (ENISA) veröffentlicht außerdem ein kostenloses Kompendium von Rahmenwerken für das Risikomanagement.
Bei einer Risikobewertung wird zwar abgeschätzt, wie wahrscheinlich es ist, dass eine Bedrohung einen Vermögenswert gefährdet, und wie hoch der Schaden im Falle eines Angriffs ausfällt und wie hoch die Kosten sind. Es wird aber nicht untersucht, wie sich die Bedrohungen manifestieren oder wie Vermögenswerte angegriffen werden können.
Risiko ist gleich Wahrscheinlichkeit mal Auswirkung. Um die Wahrscheinlichkeit eines Angriffs einschätzen zu können, muss man die Bedrohungen kennen, die sich auf die Anlage auswirken oder auf sie abzielen können. Hier kommt die Bedrohungsmodellierung ins Spiel.
Was ist Bedrohungsmodellierung?
Bei der Bedrohungsmodellierung werden, wie bei der Risikobewertung, die Anlagen, ihre potenziellen Schwachstellen und Bedrohungen identifiziert und klassifiziert. Die einzelnen Bedrohungen werden nach Prioritäten geordnet. Während bei Risikobewertungen jedoch nur festgestellt wird, ob Gegenmaßnahmen erforderlich sind, geht die Bedrohungsmodellierung einen Schritt weiter und definiert diese Gegenmaßnahmen. Die Bedrohungsmodellierung „denkt wie ein Angreifer“ und konzentriert sich daher auf die Angriffe, die am wahrscheinlichsten Eintreten werden.
Das Verständnis der Taktiken, Techniken und Verfahren von Angreifern ermöglicht es Unternehmen, Bedrohungen effektiver zu bekämpfen. So können sie die am besten geeigneten Gegenmaßnahmen in ihre Systemarchitekturen und Programme einbauen. Je mehr Wert die Angreifer einem Vermögenswert beimessen, desto größer ist der Aufwand, den sie betreiben werden, um die Kontrolle über den Vermögenswert zu erlangen.
Unternehmen können eine Vielzahl von Berichten über Cyberbedrohungen nutzen, um festzustellen, welche Angreifer wahrscheinlich bestimmte Anlagen ins Visier nehmen werden. Diese Ressourcen zeigen auch auf, wie diese Angriffe ablaufen könnten. Mit diesen Informationen können sich Unternehmen auf, die am stärksten gefährdeten Anlagen konzentrieren und die gefährlichsten Bedrohungen angehen.
Im Folgenden werden die häufigsten Phasen der Bedrohungsmodellierung beschrieben:
- Den Umfang des Bedrohungsmodells festlegen.
- Die Bedrohungen ermitteln.
- Jede Bedrohung bewerten.
- Auswahl und Umsetzung von Abhilfemaßnahmen - zur Auswahl stehen Vermeiden, Verlagerung, Schadensbegrenzung und Akzeptieren.
- Alle Ergebnisse und Abhilfemaßnahmen dokumentieren.
Ein Beispiel: Der Zugriff auf das Profil eines Benutzers (Vermögenswert) erfordert eine Authentifizierung. Die Authentifizierung von Passwörtern unterliegt jedoch Brute-Force-Angriffen (Schwachstelle), und Hackern stehen zahlreiche Cracking-Tools zur Verfügung (Bedrohung). Um diese Arten von Angriffen abzuwehren, sollten Sie sichere Passwörter verwenden und die Zahl der Anmeldungen begrenzen (Begrenzung). Die Multifaktor-Authentifizierung ist ein weiteres nützliches Instrument. Die Wirksamkeit der Kontrollen kann bei Penetrationstests und anderen Sicherheitsüberprüfungen überprüft werden. Beim BSI finden sich zum Beispiel im IT-Grundschutz Informationen zur Bedrohungsmodellierung.
Jedes Mal, wenn ein neues System oder eine neue Anwendung entwickelt wird, sollte eine Bedrohungsmodellierung durchgeführt werden. Sie hilft bei der Festlegung der erforderlichen Sicherheitskontrollen, so dass jede Komponente so gebaut ist, dass sie einem Angriff standhält.
Risikobewertung vs. Bedrohungsmodellierung
Bei der Betrachtung von Risikobewertung und Bedrohungsmodellierung werden Sie viele Überschneidungen feststellen. Bei beiden handelt es sich um eine präventive und proaktive Übung, die sich mit potenziellen Risiken befasst. Eine Risikobewertung hat jedoch in der Regel einen größeren Umfang als eine Bedrohungsmodellierung. Risikobewertungen sollten in regelmäßigen Abständen oder immer dann durchgeführt werden, wenn sich die IT-Umgebung oder die Bedrohungslandschaft wesentlich verändert. Die anfängliche Risikobewertung dient auch als Grundlage für die Überwachung des Fortschritts bei der Risikominderung und der Wirksamkeit von Investitionen in die Sicherheit.
Die Modellierung von Bedrohungen ist spezifischer und detaillierter. Bei einer Risikobewertung werden mögliche Gegenmaßnahmen in Betracht gezogen, bei der Bedrohungsmodellierung werden sie definiert und umgesetzt. Bei der Bedrohungsmodellierung werden Schwachstellen sowie potenzielle Risiken und Abhilfemaßnahmen anhand von Szenarien ermittelt, die auf Systemeingänge und Daten sowohl im Ruhezustand als auch bei der Übertragung abzielen. Einer der langfristigen Vorteile der Bedrohungsmodellierung besteht darin, dass weniger Angriffe erfolgreich sind und daher weniger Systeme und Anwendungen neu entwickelt und aktualisiert werden müssen, um Sicherheitslücken zu schließen.
Die Modellierung von Bedrohungen ist spezifischer und detaillierter. Bei einer Risikobewertung werden mögliche Gegenmaßnahmen in Betracht gezogen, bei der Bedrohungsmodellierung werden sie definiert und umgesetzt. Bei der Bedrohungsmodellierung werden Schwachstellen sowie potenzielle Risiken und Abhilfemaßnahmen anhand von Szenarien ermittelt, die auf Systemeingangspunkte und Daten abzielen, sowohl im Ruhezustand als auch bei der Übertragung. Einer der langfristigen Vorteile der Bedrohungsmodellierung besteht darin, dass weniger Angriffe erfolgreich sind und daher weniger Systeme und Anwendungen neu entwickelt und aktualisiert werden müssen, um Sicherheitslücken zu schließen.
Jede Organisation benötigt ein Rahmenwerk für das Informationssicherheitsmanagement, das ein Verzeichnis der Informationswerte und -besitzer, ein definiertes Maß an akzeptablen Sicherheitsrisiken und einen Plan zur Risikominderung enthält. Dieser stellt sicher, dass die Risiken innerhalb akzeptabler Toleranzgrenzen liegen.
Risikobewertung und Bedrohungsmodellierung bedeuten nicht ein entweder/oder. Beide spielen komplementäre Rollen, und beide helfen Organisationen, Aktivitäten und Projekte vor inakzeptablen Risiken zu schützen.