Threat Analysis and Risk Assessment

Methode zur Identifizierung, Bewertung und Bewältigung von Bedrohungen und Risiken in der IT-Sicherheit und im Risikomanagement

Threat Analysis and Risk Assessment, kurz TARA ist eine Methode zur Identifizierung, Bewertung und Bewältigung von Bedrohungen und Risiken in der IT-Sicherheit und im Risikomanagement und ist in Anhang 15 des internationalen Standards ISO/SAE 21434 definiert.[1] Die TARA-Methode hilft Organisationen, die Sicherheit ihrer Systeme, Netzwerke und Daten zu verbessern, indem sie potenzielle Schwachstellen und Risiken identifiziert und entsprechende Gegenmaßnahmen vorschlägt.[2]

Der TARA-Prozess besteht aus mehreren Schritten, die in einer strukturierten Reihenfolge durchgeführt werden.[3] Diese Schritte umfassen:

  1. System- und Informationsmodellierung: Identifizierung und Darstellung der Systeme, Netzwerke und Informationen, die geschützt werden sollen.
  2. Bedrohungsidentifikation: Identifizierung möglicher Bedrohungen und Schwachstellen in den Systemen, Netzwerken und Informationen.
  3. Risikobewertung: Bewertung der identifizierten Bedrohungen und Schwachstellen hinsichtlich ihrer Wahrscheinlichkeit und potenziellen Auswirkungen.
  4. Risikobehandlung: Auswahl und Implementierung geeigneter Gegenmaßnahmen, um die identifizierten Risiken zu reduzieren oder zu eliminieren.
  5. Überwachung und Überprüfung: Fortlaufende Überwachung und Überprüfung der Wirksamkeit der implementierten Gegenmaßnahmen und Anpassung bei Bedarf.

Anwendungsbereiche

Bearbeiten

Die TARA-Methode findet Anwendung in verschiedenen Bereichen, einschließlich:

  • IT-Sicherheit: Identifizierung und Behandlung von Bedrohungen und Risiken, die sich aus dem Einsatz von Informationstechnologie ergeben.
  • Risikomanagement: Bewertung und Behandlung von Risiken, die sich aus Geschäftsprozessen, Projekten und Entscheidungen ergeben.
  • Compliance: Überprüfung der Einhaltung von Sicherheitsstandards, gesetzlichen Vorschriften und Best Practices.

Vorteile

Bearbeiten

Die Anwendung der TARA-Methode bietet Organisationen eine Reihe von Vorteilen, darunter:

  • Systematische Identifizierung und Bewertung von Bedrohungen und Risiken, die die Sicherheit von Systemen, Netzwerken und Informationen beeinträchtigen können.
  • Unterstützung bei der Auswahl und Implementierung von Gegenmaßnahmen, die auf die spezifischen Bedrohungen und Risiken abgestimmt sind.
  • Erhöhung der IT-Sicherheit und des Risikomanagements durch kontinuierliche Überwachung und Verbesserung der implementierten Gegenmaßnahmen.
  • Unterstützung bei der Einhaltung von Sicherheitsstandards, gesetzlichen Vorschriften und Best Practices.

Beispiele

Bearbeiten

Einige Beispiele für TARA-Anwendungen sind:

  • Bewertung der Sicherheitsrisiken bei der Einführung neuer Technologien oder Anwendungen in einem Unternehmen.
  • Analyse der Risiken, die sich aus der Zusammenarbeit mit externen Partnern oder Dienstleistern ergeben.
  • Bewertung der Auswirkungen von Naturkatastrophen, technischen Ausfällen oder menschlichen Fehlern auf die IT-Infrastruktur und den Geschäftsbetrieb.
  • Identifizierung von Schwachstellen in der Netzwerksicherheit und Vorschläge für geeignete Gegenmaßnahmen zur Vermeidung von Cyber-Angriffen.
  • Überprüfung der Einhaltung von Datenschutzbestimmungen und anderen gesetzlichen Vorschriften im Zusammenhang mit der Verarbeitung und Speicherung von personenbezogenen Daten.

Werkzeuge

Bearbeiten

Es gibt verschiedene Software-Werkzeuge, die bei der Durchführung einer Threat Analysis and Risk Assessment (TARA) gemäß ISO/SAE 21434 unterstützen können:

Kritik und Herausforderungen

Bearbeiten

Obwohl die TARA-Methode viele Vorteile bietet, gibt es auch einige Herausforderungen und Kritikpunkte:

Die Qualität der TARA-Ergebnisse hängt stark von der Expertise und Erfahrung der Personen ab, die den Prozess durchführen. Unzureichendes Fachwissen kann zu einer unvollständigen oder fehlerhaften Identifizierung von Bedrohungen und Risiken führen. Die TARA-Methode erfordert einen kontinuierlichen Überwachungs- und Überprüfungsprozess, um die Wirksamkeit der implementierten Gegenmaßnahmen sicherzustellen. Dies kann zeitaufwändig und ressourcenintensiv sein, insbesondere für kleinere Organisationen. Die TARA-Methode kann in manchen Fällen zu einer Überbewertung von Risiken führen, was zu übermäßigen Sicherheitsmaßnahmen und unnötigen Kosten für die Organisation führen kann.

Siehe auch

Bearbeiten

ISO/IEC 27005: Informationssicherheits-Risikomanagement NIST SP 800-30: Guide for Conducting Risk Assessments OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) FAIR (Factor Analysis of Information Risk)

Literatur

Bearbeiten
  • Andreas Puder, Jacqueline Sax, Eric Henle: Threat Assessment and Risk Analysis (TARA) for Interoperable Medical Devices in the Operating Room Inspired by the Automotive Industry. MPDI, Basel 2023, S. 28, doi:10.5445/IR/1000157846 (englisch).
  • Georg Macher, Eric Armengaud, Eugen Brenner, and Christian Kreiner: A Review of Threat Analysis and Risk Assessment Methods in the Automotive Contex. 2016, S. 28, doi:10.1007/978-3-319-45477-1_11 (englisch).
Bearbeiten

Einzelnachweise

Bearbeiten
  1. ISO/SAE 21434, Anhang H. International Organization for Standardization, abgerufen am 26. April 2023 (englisch).
  2. Cybersecurity als Herausforderung im Produktlebenszyklus von Autos. all-electronics, abgerufen am 27. April 2023.
  3. Threat Assessment and Remediation Analysis (TARA) Overview. (PDF) Mitre Corporation, abgerufen am 27. April 2023 (englisch).