Folgende Begriffe werden oft in der IT-Sicherheit verwendet:

  • Ein Vermögenswert ist ein materieller oder immaterieller Wert, der geschützt werden muss. Es ist wichtig, die relevanten Vermögenswerte aufzulisten und ihren Wert für das Unternehmen und potentielle Angreifer zu verstehen, um die richtige Sicherheitsstufe festzulegen.
  • Eine Schwachstelle ist derjenige Ort im System, der für Angriffe genutzt werden kann, wie z.B. festkodierte Passwörter, Netzwerkdienste, die Eingaben nicht richtig überprüfen oder eigene kryptografische Algorithmen.
  • Die Exposition definiert, wie leicht ein Angreifer auf ein System zugreifen kann, um bösartige Handlungen auszuführen. In der Regel ist die Exposition hoch, wenn ein System mit dem Internet verbunden und für den Zugriff von aussen erreichbar ist.
  • Eine Bedrohung ist ein potenzieller Schaden, der durch die Ausnutzung einer Schwachstelle durch einen Angreifer wie einen Hacker, der ein festkodiertes Passwort auffinden und für den Zugriff auf das System benutzen kann, entsteht.
  • Die Auswirkung ist das Ausmass des Schadens, das bei einem IT-Sicherheitsvorfall entsteht. In manchen Fällen kann das Ausmass monetär abgeschätzt werden wie z.B. die Kosten für einen Geräteersatz. Viel häufiger handelt es sich jedoch um einen Reputationsverlust und andere schwer kalkulierbare immaterielle Werte.
  • Das Risiko ist die Wahrscheinlichkeit, dass eine Schwachstelle gefunden und ausgenutzt wird gewichtet nach der relativen Auswirkung auf das Geschäft. Ein Hacker kann z.B. das Vorgabe-Passwort für den Admin in einem Handbuch finden. Wurde das Passwort nicht während des Engineerings geändert, ist das System einem hohen Risiko ausgesetzt, da ein Hacker Schadsoftware mit Administratorrechten installieren kann.
  • Eine Kontrolle oder Gegenmassnahme dient der Eindämmung des Risikos und kann Hardware oder Software beinhalten. So kann z.B. ein System mit Vorgabepasswörtern vom Rest des Systems getrennt werden, um die Wahrscheinlichkeit eines Angriffs zu reduzieren.
Terminologie zu Risiken und Bedrohungen