Vortrag vom 22.10.2014

Vortragende: Daniela Simic-Draws, AG IT-Risk Management

Titel: Vorgehensmodell für die Durchführung einer prozessorientierten IT-Sicherheitsanalyse unter Berücksichtigung divergierender Interessenlagen der Prozessbeteiligten.

Abstract:

In Ergänzung und zur Vertiefung bestehender Verfahren zur Durchführung von IT-Sicherheitsanalyse wird ein Vorgehen vorgestellt und begründet, bei dem (Geschäfts-) Prozesse und die daran beteiligten Akteure im Vordergrund stehen.

Die Prozesse können einerseits immer granularer aufgeschlüsselt werden, indem diese soweit zerlegt werden, bis dass einzelne Handlungsanweisungen – die sog. Aktivitäten – sichtbar werden. Die Aktivitäten bilden die Grundlage für die Analyse, indem die zugrundliegenden Ablaufregeln unter Berücksichtigung der beteiligten Akteure und unterstützenden IKT untersucht werden. Die divergierenden Interessenlagen der Akteure bilden hierbei die Basis für die hergeleiteten IT-Sicherheitsanforderungen.

Ein wesentliches Element dieser Vorgehensweise ist die Möglichkeit, Anwender - etwa aus KMUs zur Einrichtung ihrer Sicherheitsmaßnahmen - in den Analyseprozess einzubeziehen. Der Mensch wird hierbei also nicht nur als Sicherheitsrisiko, sondern auch als Kenntnis- und Sicherheitsträger wahrgenommen.