Vulnerability Assessment (Schwachstellenanalyse)

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Vulnerability Assessment und Schwachstellenanalyse (Schwachstelle) sind miteinander stark verwandt, nicht aber voll identisch. Unter Vulnerability Assessment ist eine Verwundbarkeitsanalyse zu verstehen, die sich dadurch ergibt, dass man Bedrohungen der IT-Sicherheit eines Systems und die getroffenen Sicherheitsmaßnahmen zueinander in Beziehung setzt. Auf Grund dieses Vergleichs wird bewertet, mit welchem Grad an Wahrscheinlichkeit - nicht im statistischen Sinne - die betreffenden Bedrohungen durch Sicherheitsmaßnahmen "abgefangen" sind. Eine Schwachstellenanalyse sollte stärker an den Vorgaben von Normen und Standards (Grundschutz, ISO/IEC 27001) ausgerichtet werden und untersuchen, in welchem Umfang die getroffenen Maßnahmen nicht den Forderungen dieser Vorgaben entsprechen.

So verstanden, sind Schwachstellen Abweichungen von den Vorgaben der Normen, die als Repräsentanz des "State of the Art" gelten. Die Sicherheit eines IT-Systems sollte sowohl im Hinblick auf die Bedrohungen und deren Wahrscheinlichkeit des Eintreffens als auch in Bezug auf die Ausrichtung an den Forderungen der aktuellen Sicherheitsstandards gemessen werden. Zwei Beispiele sollen diesen Zusammenhang verdeutlichen: Ein Penetrationstest hat ein Ergebnis, welches zu einem "Vulnerability Assessment" führt; ein Passwortsystem, welches nicht über History, Trivialpasswort-Prüfung und Regelungen für die Konstruktion sicherer Passwörter verfügt, hat Schwachstellen. Nichtsdestoweniger ist in vielen Fällen ein klarer Unterschied nicht auszumachen.

Vulnerability Assessment muss darüber hinaus in eine Beziehung zu Risikoanalyse und Risikomanagement gesetzt werden. Verwundbarkeiten eines Systems sind nahezu immer die Folge von nicht konsequent durchgeführten Risikoanalysen und/oder nicht bewältigten Risiken. Eine größere Verwundbarkeit des Systems ergibt sich unter anderem auch dann, wenn das Restrisiko, das heißt diejenigen Risiken, mit denen das Unternehmen glaubt leben zu können, im Hinblick auf ihre Folgen nicht hinreichend transparent gemacht wurden.

Siehe übergeordnete Stichworte

Siehe auch




Diese Seite wurde zuletzt am 8. September 2011 um 14:15 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Admin und Reinhard Voßbein.

Anzeigen