Beim Umgang mit informationstechnischen Systemen  gibt es vielfältige Gefahren. Um entscheiden zu können, welche Maßnahmen für euch sinnvoll sind, müsst ihr euch folgendes im Vorfeld überlegen: Was wollt ihr beschützen und vor wem? Erstellt euch euer eigenes Threat Model (Risikoanalyse) und entscheidet anhand dieses Modells, welche Schritte ihr unternehmen müsst, um euch zu schützen.

Threat Modeling (Risikoanalyse) – 5 Fragen für eine schnelle Bewertung

1. Was möchtet ihr Schützen?

Ihr möchtet natürlich eure Daten schützen, doch welche davon sind besonders schützenswert? Hier ein paar Beispiele:

  • E-Mails
  • Adressbuch
  • Instant-Messenger Nachrichten
  • Bilder
  • Videos
  • Dokumente

Macht euch eine Liste und schreibt auf, welche Daten ihr besitzt und wo ihr sie gespeichert habt (Laptop, Handy, Cloud-Speicher). Überlegt euch, wer vielleicht Zugriff auf diese Daten haben könnte und welche Maßnahmen bereits bestehen, um den Zugriff zu erschweren.

2. Vor wem wollt ihr diese Daten schützen?

Jetzt überlegt euch, wer euer Gegner ist, der an eure Daten ran will. Hier wieder ein paar Beispiele:

  • Chef oder Arbeitskollegen
  • Hacker
  • Regierung und Regierungsorgane
  • Firmen (Datenkraken) wie Google, Facebook und Co.

Schreibt auf eure Liste, wer Interesse an euren Daten haben könnte — das sind eure Gegner. Doch seid nicht voreilig, es gibt viele Wege, eure Daten ab- oder anzugreifen, auf die ihr nicht so leicht kommt. Deswegen überlegt euch auch, welche Motive euer Gegner haben könnte. Vielleicht möchte er eure Daten löschen oder manipulieren, statt sie nur zu stehlen.

3. Wie wahrscheinlich ist es, dass ihr eure Daten schützen müsst?

Jetzt müsst ihr entscheiden, wie hoch das Risiko ist, dass die Gefahren, die ihr euch bis jetzt aufgeschrieben habt, eintreten. Unterscheidet zwischen hohem, mittlerem und niedrigem Risiko.

4. Welche Konsequenzen müsst ihr fürchten, falls eure Schutzmaßnahmen versagen?

Diese Risikoanalyse ist ziemlich persönlich und subjektiv. Nicht jeder hat die gleichen Prioritäten und jeder schätzt Gefahren anders ein. Manche Konsequenzen könnten so schlimm sein, dass ihr sie um jeden Preis verhindern wollt, egal wie gering das Risiko ist, dass sie tatsächlich eintreten.

5. Wie viel Aufwand seid ihr bereit zu betreiben, um diese Konsequenzen zu vermeiden?

Jetzt geht es um eine Kosten-Nutzen-Analyse. Der Aufwand euer Schutzmaßnahme ist möglicherweise auch mit Kosten verbunden. Damit ist nicht unbedingt Geld gemeint, Einschränkung, Entbehrung und Mehraufwand sind auch Preise, die ihr bezahlen müsst. Doch denkt dabei immer an euer zu schützendes Gut, viele Kosten kommen euch dann lächerlich klein vor.

Einfaches Beispiel

Wenn ihr euer Haus und euren Besitz, der sich darin befindet, schützen wollt, müsst ihr euch folgende Fragen stellen:

  • Schließt ihr eure Tür ab?
  • Welches Schloss solltet ihr verwenden?
    • Braucht ihr vielleicht sogar ein Sicherheitssystem?
  • Was möchtet ihr schützen?
    • Eure Privatsphäre, denn Fremde haben in eurem Haus nichts verloren.
    • Die Gegenstände in eurem Haus.
  • Welche Gefahr gibt es?
    • Jemand könnte einbrechen.
  • Wie groß ist das Risiko?

Wenn ihr diese Fragen beantwortet habt, könnt ihr euch überlegen, welche Maßnahmen ihr treffen wollt. Wenn ihr wertvolle Gegenstände in eurem Haus habt, aber das Risiko, dass jemand einbricht, gering ist, dann werdet ihr wahrscheinlich kein Geld für ein Sicherheitssystem ausgeben, sondern nur ein normales Schloss kaufen. Ist das Risiko aber hoch, werdet ihr ein Schloss und sogar ein Sicherheitssystem kaufen.

 

Dieser Beitrag basiert auf dem englischsprachigen Artikel „An Introduction to Threat Modeling“ der Electronic Frontier Foundation.

– Eure Datenschutzhelden


Quellen:

https://ssd.eff.org/en/module/introduction-threat-modeling