Home > Sample essays > Essay 2018 06 14 000EQQ

Essay: Essay 2018 06 14 000EQQ

by

Essay details and download:

  • Subject area(s): Sample essays
  • Reading time: 5 minutes
  • Price: Free download
  • Published: 1 April 2019*
  • Last Modified: 23 July 2024
  • File format: Text
  • Words: 1,450 (approx)
  • Number of pages: 6 (approx)

Text preview of this essay:

This page of the essay has 1,450 words.



IT Risikoanalyse

Praxisprojekt 2 der H”heren Fachschule f”r Wirtschaftsinformatik Schweiz

Vorgelegt an der IFA ‘ H”here Fachschule

Couch: Sandra Rota (sandra.rota@ifa.ch)

am 15.05.2018

(Je 1 Exemplar als Druckversion, PDF und Word Dokument)

Verfasst von:

Richard Hunkeler

Geissbergstrasse 150

8200 Schaffhausen

Klasse HFWI8531_2

(Anzahl W”rter: 1868)

Die Firma Ompex AG besitzt derzeit keinen Disaster Recovery Plan, um im Notfall den Betrieb wiederherzustellen, auch eine IT Risikoanalyse wurde bisher nicht erstellt.

Nach Durchf”hrung der IT Risikoanalyse durch Richard Hunkeler, muss die Entscheidung getroffen werden, ob nun ein Disaster Recovery Plan erstellt wird oder nicht.

Falls auf die Erstellung des Disaster Recovery Plans verzichtet wird, ist damit zu rechnen, dass im Ernstfall betr”chtliche Risiken eingegangen werden. Die bestehenden Notfallpl”ne sind unzureichend dokumentiert und wurden auch seit l”ngerer Zeit nicht ”berpr”ft.

Die Alternative w”re also die Akzeptanz des Risikos, dass die bestehenden Notfallpl”ne nicht greifen und der IT-Betrieb unterbrochen und nicht wiederhergestellt werden kann.

Wenn von IT Risiken gesprochen wird, denken viele Entscheider an Cyberangriffe,

Abbildung 1, https://imgs.industriemagazin.at/m/33760_2_800-0-1.85_.jpg

nur allzu oft werden dabei aber Risiken wie Brand, technische Defekte, Diebstahl durch Mitarbeiter, usw. komplett ausseracht gelassen.

In der stattgefundenen IT Risikoanalyse werden diese Risiken aufgef”hrt und bereits teilweise geeignete Massnahmen aufgezeigt. Nun m”ssen in einem zweiten Schritt die gewonnenen Erkenntnisse in einen Disaster Recovery Plan ”berf”hrt und mit weiteren Massnahmen erg”nzt werden.

1.Einleitung

1.1.Firma / Auftraggeber

1.2.Problemstellung / Auftrag / Rolle

2.Vorgehen

2.1.Die Phasen der Risikoanalyse

2.2.Unterschiede zwischen qualitativer und quantitativer Risikobewertung

2.3.Die Risikoanalyse und der IT-Grundschutz des BSI

3.Situationsanalyse

4.Bewertung

4.1.Risikomatrix

4.2.Risikoanalyse

5.Empfehlung

5.1.Antrag

5.2.N”chste Schritte

5.3.Konsequenzen bei Nicht-Eintreten

6.Kritische W”rdigung

7.Literaturverzeichnis

8.Abbildungs- / Tabellenverzeichnis

9.Selbstst”ndigkeitserkl”rung

1. Einleitung

1.1. Firma / Auftraggeber

Die Ompex AG ist Partner der Energieversorgungsunternehmen und Grossindustrie. Sie bietet anderen Unternehmen innovative Dienstleistungen, Produkte und Optimierungen, die diese in der physischen und vor allem in der digitalisierten Welt der Energiebeschaffung und des Energievertriebs wegweisend unterst”tzen. Im Rahmen ihrer Energiedienstleistungen begleitet Ompex AG Unternehmen in allen Schritten Ihrer Prozesse und erarbeitet gemeinsam mit ihnen L”sungen f”r die liberalisierten Energiem”rkte Europas. Pers”nlich, transparent, unabh”ngig und dies an 365 Tagen im Jahr.

1.2. Problemstellung / Auftrag / Rolle

Die Firma Ompex AG m”chte einen Disaster Recovery Plan erstellen. Da das quantifizierbare Risiko bisher unbekannt ist, soll zuerst eine IT Risikoanalyse erstellt werden. Ompex AG beauftragt Richard Hunkeler mit der Erstellung einer IT Risikoanalyse.

Sicherheitsmassnahmen k”nnen keinen hundertprozentigen Schutz vor allen Bedrohungen gew”hrleisten. Bei der Risikoanalyse werden die Schwachstellen und Bedrohungen analysiert. Der Analyseprozess identifiziert die wahrscheinlichen Folgen oder Risiken, die mit den Sicherheitsl”cken verbunden sind und stellt die Grundlage f”r die Einrichtung eines kosteneffizienten Sicherheitsprogramms. Risikomanagement ist der Prozess der Implementierung und Aufrechterhaltung von Gegenmassnahmen, die die Auswirkungen reduzieren und das Risiko auf ein akzeptables Niveau senken.

Der Prozess der Risikoanalyse gibt dem Management die Informationen, die es ben”tigt um sich ein Urteil zur Informationssicherheit bilden zu k”nnen. Das Verfahren identifiziert die bestehenden Sicherheitskontrollen, bezeichnet Sicherheitsl”cken und bewertet die Auswirkungen von Bedrohungen auf jeden einzelnen Bereich der Verwundbarkeit.

In den meisten F”llen versucht das Risikoanalyseverfahren, ein wirtschaftliches Gleichgewicht zwischen den Auswirkungen von Risiken und den Kosten von Sicherheitsl”sungen zu erreichen. Grundlage f”r die Auswahl kostenwirksamer Schutzmassnahmen ist die Annahme, dass die Kosten f”r die Kontrolle eines Risikos, nicht den maximalen Verlust im Zusammenhang mit dem Risiko ”berschreiten sollten.

Zum Beispiel, wenn der potenzielle Verlust, der einem Risiko zuzuschreiben ist auf CHF 100’000.- gesch”tzt wird, sollten die Kosten der Schutzmassnahmen, die diesen Verlust verhindern sollen, diesen Betrag nicht ”berschreiten. In anderen F”llen jedoch, k”nnte die Entscheidung die Gegenmassnahmen zu implementieren (oder nicht implementieren) aus der Bedeutung des Systems oder seiner Daten ausschlaggebend sein.

In jedem Fall muss die Summe der abgewendeten Risiken ber”cksichtigt werden, wenn ein einziger Rechtsbehelf erfolgt reduzieren Sie mehrere Risiken. Der Analyst muss auch die Verwendung und Interaktion von mehreren Schutzmassnahmen ber”cksichtigen, da eine Massnahme die Wirksamkeit eines anderen verbessern oder negieren kann.

Diese ”berlegungen bilden die Grundlage f”r die Festlegung der am besten geeignetsten Schutzmassnahmen. Nachdem die Auswirkung jedes Risikos bewertet wurde, k”nnen Prognosen ”ber die Kosten gemacht werden, welche zugeteilt werden k”nnen, um die gesch”tzten j”hrlichen Risiken auf ein annehmbares Niveau zu verringern.

2. Vorgehen

2.1. Die Phasen der Risikoanalyse

Bei der Risikoanalyse werden mehrere Phasen nacheinander durchlaufen. Diese Phasen sind:

1. die Identifikation der Risiken

2. die Beurteilung der Eintrittswahrscheinlichkeiten

3. die Absch”tzung der Folgen und konkreten Sch”den

4. die Aggregation von Risiken zur Bestimmung des Gesamtumfangs

Sobald ein Risiko identifiziert ist, wird die Eintrittswahrscheinlichkeit des Risikos genauer spezifiziert. Der n”chste Schritt besteht darin, die potenziellen Auswirkungen und Konsequenzen f”r das Unternehmen oder die Organisation zu identifizieren. Diese Auswirkungen k”nnen beispielsweise durch den Verlust der Verf”gbarkeit, Integrit”t, Authentizit”t oder Vertraulichkeit der Daten oder durch den Verlust wichtiger Systemfunktionen auftreten. M”gliche Auswirkungen sind Reputationssch”den, Imageverlust, Reparaturkosten, Rechtsstreitigkeiten, Strafen, Verlust von Marktanteilen, Umsatz und Gewinn, demotivierte Mitarbeiter oder hohe Mitarbeiterfluktuation.

Das tats”chliche Risiko resultiert aus der Multiplikation der Eintrittswahrscheinlichkeit und der H”he des Schadens. Die letzte Phase kann die Bestimmung der Gesamtmenge durch Zusammenfassung mehrerer Risiken sein.

2.2. Unterschiede zwischen qualitativer und quantitativer Risikobewertung

Bei der Risikobewertung kann grunds”tzlich zwischen qualitativer und quantitativer Bewertung unterschieden werden. Die quantitative Risikobewertung verwendet eine numerische Skala f”r die Klassifizierung. Mit Hilfe dieser Zahlenwerte kann das tats”chliche Risiko sehr einfach durch Multiplikation mit der Eintrittswahrscheinlichkeit bestimmt werden. Die qualitative Bewertung erh”lt tendenziell den Gesamteindruck eines bestimmten Risikos. Das Verfahren verwendet daher keine numerischen Werte, sondern subjektive Einteilungen wie hoch, mittel oder niedrig.

2.3. Die Risikoanalyse und der IT-Grundschutz des BSI

Der IT-Grundschutz des Bundesamtes f”r Sicherheit in der Informationstechnik (BSI) sieht keine individuelle Risikoanalyse vor. Die Implementierung von Standardsicherheit in der IT erfordert in der Regel Ma”nahmen f”r die typischen Risiken von IT-Systemen, die in den BSI-Standards und IT-Grundschutzkatalogen beschrieben sind. Ben”tigt die IT jedoch einen besonderen Schutz oder sind die Risiken in den Standarddokumenten nicht beschrieben, bietet der BSI-Standard 100-3 eine Risikoanalyse auf Basis von IT-Grundschutz.

In diesem Fall integriert sich die Risikoanalyse nahtlos in die IT-Grundschutzanalyse und richtet sich an Anwender von Informationstechnologie wie Sicherheitsbeauftragte oder Sicherheitsbeauftragte oder externe Berater und Sicherheitsexperten. In vielen F”llen ist es ratsam, die Risikoanalyse von externen Experten durchf”hren zu lassen. Zus”tzlich zum BSI Standard 100-3 beschreibt das BSI, wie elementare Gefahren in der Risikoanalyse zu verwenden sind. Die Risikoanalyse im Rahmen des IT-Grundschutzes des BSI soll eingesetzt werden, wenn erh”hte Sicherheitsanforderungen, Anwendungen oder Systeme betrieben werden, die nicht im IT-Grundschutzkatalogen abgedeckt sind oder Szenarien verwendet werden, die im IT- Grundschutz nicht vorgesehen sind.

3. Situationsanalyse

Derzeit existieren bei der Firma Ompex AG diverse, einzelne Notfallpl”ne. Ob diese Pl”ne im Notfall greifen w”rden und ob die bestehenden Risiken korrekt erkannt und mit den richtigen Gegenmassnahmen erwidert werden k”nnen, ist zurzeit nicht gekl”rt.

Deshalb sollen nun im in diesem ersten Schritt die Risiken in einer IT Risikoanalyse erkannt und bewertet werden, damit in einem n”chsten Schritt ein Disaster Recovery Plan erstellt werden kann.

4. Bewertung

Die Risikomatrix visualisiert die Risikosituation in einer intuitiven Darstellung. Sie behandelt dabei nur die als Bedrohungen klassifizierten Risiken, nicht die Chancen. Die einzelnen Risiken werden in ein durch Eintrittswahrscheinlichkeit (E) und Schadensausmass (S) aufgespanntes Koordinatensystem eingetragen.

4.1. Risikomatrix

Abbildung 2 von Richard Hunkeler, M”rz 2016

4.2. Risikoanalyse

Tabelle Risikoanalyse 1 von Richard Hunkeler, M”rz 2016

5. Empfehlung

5.1. Antrag

Wie die Risikoanalyse aufzeigt, wurden die gr”ssten Risiken bereits erkannt und auch bereits teilweise Massnahmen dagegen ergriffen. Aufgrund dieser erhobenen Daten sollte nun mit der Erstellung des Disaster Recovery Plan begonnen werden. Der Verfasser dieser Analyse empfiehlt mit der Erstellung schnellst m”glichst zu beginnen.

5.2. N”chste Schritte

Auftragserteilung f”r Erstellung des Disaster Recovery Plan

5.3. Konsequenzen bei Nicht-Eintreten

Sollte der Disaster Recovery Plan nicht erstellt werden, ist damit zu rechnen, dass im Ernstfall betr”chtliche Risiken eingegangen werden. Die bestehenden Notfallpl”ne sind unzureichend dokumentiert und auch seit l”ngerer Zeit nicht ”berpr”ft worden. Im schlimmsten Fall k”nnte die Weiterf”hrung des Gesch”ftes massiv beeintr”chtigt werden.

6. Kritische W”rdigung

Zusammenfassend kann gesagt werden, dass die IT Risiken der Firma Ompex AG bereits vor der Analyse sehr gut erkannt und meist geeignete Massnahmen dagegen ergriffen wurden. W”nschenswert w”re eine bessere (ausf”hrlichere) Dokumentation dazu gewesen, um zu dies im Vorfeld auch besser zu erkennen.

Abschliessend kann gesagt werden, dass nach Erstellung des Disaster Recovery Plans, eine sehr gute Stufe der IT Sicherheit nach BSI-Standard bestehen wird.

7. Literaturverzeichnis

8. Abbildungs- / Tabellenverzeichnis

Abbildung 2, https://imgs.industriemagazin.at/m/33760_2_800-0-1.85_.jpg ……………………………………………………………………………. 2

Abbildung 3 von Richard Hunkeler, M”rz 2016 ……………………………….. 8

Tabelle Risikoanalyse 1 von Richard Hunkeler, M”rz 2016 ………………… 10

9. Selbstst”ndigkeitserkl”rung

About this essay:

If you use part of this page in your own work, you need to provide a citation, as follows:

Essay Sauce, Essay 2018 06 14 000EQQ. Available from:<https://www.essaysauce.com/sample-essays/essay-2018-06-14-000eqq/> [Accessed 16-04-26].

These Sample essays have been submitted to us by students in order to help you with your studies.

* This essay may have been previously published on EssaySauce.com and/or Essay.uk.com at an earlier date than indicated.