Quantitative Ansätze zur IT-Risikoanalyse

Im Bereich der Risikoanalyseverfahren für kritische IT-Systeme werden primär qualitative Analyseverfahren eingesetzt, welche auf einer Expertenschätzung des Risikos beruhen. Dieses Vorgehen birgt ein hohes Risiko für Fehleinschätzungen durch den Analysten, welches im schlimmsten Fall zu einem unbrauchbaren Sicherheitskonzept führen kann, da die Sicherheitsarchitektur entsprechend der anfänglichen Risikoanalyse gestaltet wird. Diese Arbeit stellt ein erweitertes Verfahren vor, welches durch feingranulare Schätzungen von einzelnen Faktoren die Wahrscheinlichkeit eines Fehlers minimiert und auf diese Weise einen weiteren Schritt in Richtung quantitative Methoden zur IT-Risikoanalysen beschreitet. Zu diesem Zweck kommen Bewertungsskalen zum Einsatz, welche eine spätere Berechnung von Scores ermöglichen. Hierfür wird auf den Assets der jeweiligen Domäne beginnend eine systematische Analyse von möglichen Zielen, Angreifergruppen, Angreifermitteln und denkbaren Schwachstellen durchgeführt. Die Angreifergruppen sowie die möglichen Mittel werden feingranular modelliert und in einer abschließenden Bewertung auf ihr potentielles Risiko für das System überprüft.