Von der Pflicht zur Kür: Sicherheit als Prozess aufsetzen
Risikobewertung
Ein ernstzunehmendes Risiko besteht für ein Unternehmen insbesondere, wenn zusätzlich eine Prozesskomponente eine Schwachstelle aufweist. Das können zum Beispiel Sicherheitslücken im Betriebssystem, eine unverschlüsselte Verbindung oder ein Bug in einer Anwendung sein. Unter Berücksichtigung all dieser Einflussgrößen, ergibt sich für die Berechnung des Risikos folgende Gleichung:
Risiko = Gefährdung x Schwachstelle x Wert
Bezogen auf das vorhergehende Beispiel kann nun für Firma A und B folgende Risikomatrix erstellt werden.
|
Faktor |
Bewertung |
Begründung |
|
Gefährdung |
1 |
Die Gefährdung durch Diebstahl ist irrelevant, da der Code für jeden Interessierten zugänglich ist. |
|
Schwachstelle |
1 |
Der Quellcode ist weltweit über Community-Mirrors verfügbar. Hier eine Schwachstelle zu definieren, macht keinen Sinn. |
|
Wert |
2 |
Der monetäre Wert ist gering. Auch bei „Diebstahl“ entsteht der Firma kein Schaden. |
|
Risiko |
2 |
Bei einem Risikowert von 2 müssen für den Quellcode keine gesonderten Maßnahmen ergriffen werden. |
|
Faktor |
Bewertung |
Begründung |
|
Gefährdung |
4 |
Die Gefährdung durch Diebstahl, Veröffentlichung oder Weitergabe des Quellcodes ist gegeben, muss aber nicht zu hoch bewertet werden. |
|
Schwachstelle |
5 |
Der Quellcode an sich verfügt über keine Schwachstelle. Er ist jedoch auf einem CVS-Server abgelegt, auf dem ein ungepatchter Web-Service läuft. Ein Angreifer könnte bei Ausnutzung dieser Schwachstelle root-Rechte erlangen. |
|
Wert |
5 |
Der Schaden, den Firma B durch Diebstahl des Quellcodes erleiden würde, ist als sehr hoch einzustufen. |
|
Risiko |
100 |
Ein Risikowert von 100 ist bei einem Maximum von 125 als hoch zu bewerten. Für den CVS-Server sind spezielle Schutzmaßnahmen zu ergreifen. |