Quantitative Ansätze zur IT-Risikoanalyse
暂无分享,去创建一个
Im Bereich der Risikoanalyseverfahren fur kritische IT-Systeme werden primar qualitative Analyseverfahren eingesetzt, welche auf einer Expertenschatzung des Risikos beruhen. Dieses Vorgehen birgt ein hohes Risiko fur Fehleinschatzungen durch den Analysten, welches im schlimmsten Fall zu einem unbrauchbaren Sicherheitskonzept fuhren kann, da die Sicherheitsarchitektur entsprechend der anfanglichen Risikoanalyse gestaltet wird. Diese Arbeit stellt ein erweitertes Verfahren vor, welches durch feingranulare Schatzungen von einzelnen Faktoren die Wahrscheinlichkeit eines Fehlers minimiert und auf diese Weise einen weiteren Schritt in Richtung quantitative Methoden zur IT-Risikoanalysen beschreitet. Zu diesem Zweck kommen Bewertungsskalen zum Einsatz, welche eine spatere Berechnung von Scores ermoglichen. Hierfur wird auf den Assets der jeweiligen Domane beginnend eine systematische Analyse von moglichen Zielen, Angreifergruppen, Angreifermitteln und denkbaren Schwachstellen durchgefuhrt. Die Angreifergruppen sowie die moglichen Mittel werden feingranular modelliert und in einer abschliesenden Bewertung auf ihr potentielles Risiko fur das System uberpruft.
[1] Bruce Schneier,et al. MODELING SECURITY THREATS , 1999 .
[2] A. Tversky,et al. Prospect theory: an analysis of decision under risk — Source link , 2007 .