16.11.2016

Datenschutz verbessern mit technischem Risikomanagement

Die Methoden des technischen Risikomanagements helfen dem Datenschutzbeauftragten dabei, den Schutzbedarf für personenbezogene Daten und die erforderlichen Schutzmaßnahmen aus technischer Sicht zu ermitteln.

Der Risikobegriff

ISO/IEC 27005 definiert das (Informationssicherheits-)Risiko recht sperrig als das Potenzial, dass eine, dem Risiko zugrundeliegende, Bedrohung eine Sicherheitsschwachstelle eines bestimmten Assets ausnutzt und so der Organisation ein Schaden zugefügt wird.

Das Risiko wird als Kombination aus Wahrscheinlichkeit eines Ereignisses und dessen Konsequenz gemessen, ohne dass die ISO genauer auf die Berechnung eingeht.

Bestandteile des Risikobegriffs

Die einzelnen Bestandteile dieser Definition sind:

  • Bedrohung:Ein Risiko basiert auf einer Bedrohung als Ursache für einen unerwünschten Vorfall mit Schadwirkung.
  • Asset:Als Asset wird in der ISO-27000-Familie alles bezeichnet, was für die verantwortliche Organisation einen Wert besitzt. Dabei handelt es sich primär um IT-Systeme, IT-Anwendungen und Daten, aber auch um immaterielle Werte wie die Reputation eines Unternehmens.
  • Sicherheitsschwachstelle:Erst eine vorhandene (Sicherheits-)Schwachstelle ermöglicht es einer Bedrohung, eine konkrete Schadwirkung auf ein Asset zu entfalten.
  • Schaden:Ein Risiko beinhaltet ein Schadenspotenzial, d.h. mit dem Eintritt der dem Risiko zugrunde liegenden Bedrohung ist ein (materieller oder immaterieller) Verlust zwingend verbunden.

 

Autor: Markus Schäffter

Sie sehen nur einen Ausschnitt aus dem Produkt „IT-Know-how für den Datenschutzbeauftragten“. Wir bieten Ihnen die Möglichkeit, „IT-Know-how für den Datenschutzbeauftragten“ 30 Minuten lang live zu testen - sofort, ohne Registrierung und mit Zugriff auf fast alle Funktionen.

„IT-Know-how für den Datenschutzbeauftragten“ jetzt 30 Minuten live testen!