Hinzufügen von Risikoszenarien zu Assets oder Asset-Gruppen

In diesem Artikel zeigen wir Ihnen, wie Sie Risikozenarien zu Assets oder Asset-Gruppen hinzufügen können. Dabei klären wir auch den Unterschied zwischen den beiden Szenario-Typen: Szenario eines Assets und Szenario einer betroffenen Person. Dieses Wissen hilft Ihnen, die richtigen Szenarien an den passenden Stellen einzusetzen.

Was ist ein Szenario eines Assets?

Ein Szenario eines Assets beschreibt ein potenzielles Risiko, das speziell mit einem bestimmten Asset oder einer Gruppe von Assets verbunden ist. Asset-Szenarien werden verwendet, um Sicherheitsmassnahmen und Schwachstellen in Bezug auf die IT- oder physische Infrastruktur zu bewerten. Hierbei werden immer die Auswirkungen auf das Unternehmen betrachtet.

Beispiele:

• Hardware: Wartungsmängel an Routern oder Sicherheitskameras ermöglichen Angreifern die Sabotage dieser Geräte, was zu einem Verlust der Vertraulichkeit, Integrität und Verfügbarkeit der Unternehmensdaten führen kann.
• Software: Fehlfunktionen einer Firewall oder eines VPN-Dienstes aufgrund von Konfigurationsfehlern oder ausbleibenden Updates könnten Schwachstellen schaffen, die Angreifer ausnutzen, um unautorisierten Zugriff auf Unternehmenssysteme zu erhalten.
• Daten: Verlust oder Diebstahl sensibler Dateien durch unsichere Speicherlösungen kann schwerwiegende rechtliche und wirtschaftliche Konsequenzen nach sich ziehen.

Was ist ein Szenario einer betroffenen Person?

Szenarien einer betroffenen Person beziehen sich auf Risiken, die personenbezogene Daten und deren Verarbeitung betreffen, also den Datenschutz. Die Risikoszenarien sind speziell für die Erstellung und Pflege des Verzeichnisses der Verarbeitungstätigkeiten (VVT) vorgesehen. Sie beschreiben die Risiken für betroffene Personen und dienen der Einhaltung rechtlicher Vorschriften. Hierbei werden immer die Auswirkungen auf die betroffene Person betrachtet.

Beispiele:

• Datenschutzverletzung: Unbefugter Zugriff auf Kundendaten, beispielsweise durch Cyberangriffe oder interne Fehlkonfigurationen, kann zu einem Verlust der Vertraulichkeit führen und die betroffenen Personen finanziellen oder reputativen Risiken aussetzen.
• Fehlende Einwilligung: Die Verarbeitung personenbezogener Daten ohne die erforderliche Zustimmung der betroffenen Personen stellt einen Verstoss gegen die Datenschutz-Grundverordnung (DSGVO) dar und kann zu rechtlichen Konsequenzen und Vertrauensverlust führen.
• Weitergabe: Die unzulässige Weiterleitung personenbezogener Daten an Dritte, sei es durch menschliches Versagen oder unzureichende technische Kontrollen, gefährdet die Privatsphäre der betroffenen Personen und kann Schadensersatzforderungen nach sich ziehen.

Unterschiede der Szenario-Typen

Hinzufügen von Asset-Szenarien

Sie haben bereits Ihr Asset erfasst und zu einer oder mehreren Gruppen hinzugefügt, und das Asset in den Geltungsbereich einer oder mehrerer Normen aufgenommen. Wenn Sie das assetspezifische Risikomanagement für das Asset aktiviert haben, können Sie zusätzlich zu den Gruppenparametern assetspezifische Risikoparameter hinzufügen. Falls Sie für diese Schritte weitere Erklärungen benötigen, besuchen Sie bitte den Artikel über das Verzeichnis der Assets.

• Wählen Sie zunächst, ob Sie die Risikoszenarien für eine Assetgruppe oder ein einzelnes Asset hinzufügen möchten. Nutzen Sie den Umschalter unterhalb des Standards, um zwischen Gruppe und Asset zu wechseln.
• Gehen Sie nun zur Registerkarte Szenarien.
• Klicken Sie auf Hinzufügen.
• Alle hier aufgeführten Szenarien beziehen sich auf Assets. Sie können die Suchfunktion verwenden, um vorhandene Risikoszenarien zu finden, oder neue erstellen, indem Sie auf Erstellen klicken.
• Fügen Sie die gewünschten Szenarien durch einen Klick auf Zur Liste hinzufügen hinzu.

Nachdem Sie alle relevanten Szenarien zugefügt haben, können Sie in den nachfolgenden Registerkarten die Risikoszenarien beurteilen, TOMs hinzufügen sowie Behandlungspläne erstellen. Das Vorgehen entnehmen sie dem entsprechenden Artikel.