Der Erfolg der Aktivitäten des ISB und der umgesetzten Informationssicherheitsrichtlinie ist ein nicht eingetretenes Ereignis. Das macht es auch so schwierig, den betriebenen Aufwand zu werten. Daher ist eine grundsätzliche Akzeptanz für die Umsetzung von Sicherheitsmaßnahmen notwendig, damit nicht einerseits gegen Angriffe von außen und andererseits gegen innere Hindernisse angegangen werden muss. Sich erst Gedanken zu machen wenn bereits Schaden entstanden ist, ist die falsche Strategie.
Anhand eines Risikoberichtes lassen sich Aufwand und Nutzen gegeneinander abwiegen und daraus ergeben sich die notwendigen Schritte zur Umsetzung eines seriösen Sicherheitsprozesses. Ein Risiko-Management verwendet man, um die Gefahrenstellen zu isolieren und um die notwendigen Maßnahmen für den Fall eines erfolgreichen Angriffs festzulegen (Maßnahmenkatalog). Das Sicherheitskonzept basiert auf einem systematischen Prozess, der Risiken identifiziert, analysiert, kontrolliert und kommuniziert.
Eine moderne Risikoanalyse (Risiko ist das Produkt aus Eintrittswahrscheinlichkeit und Schadenshöhe - um das Risiko zu minimieren muss also mindestens einer der beiden Faktoren minimiert werden) setzt sich also aus folgenden Schritten zusammen, die zyklisch immer wieder durchzuführen sind:
Dies alles ist natürlich sehr arbeitsintensiv, insbesondere bei der erstmaligen Einführung aber auch die ständige Systeminventur und das Monitoring sowie das Nahebringen der Sicherheitsvorkehrungen zu dem Mitarbeitern ist sehr aufwendig.
Vor dem Einsatz bestimmter Techniken sind natürlich genaue Sicherheitsregeln für ein sicheres Netzwerk und Richtlinien für die Mitarbeiter zu erstellen. Diese legen die Verwendung der eingesetzen Tools sowie der Verantwortlichkeiten und der Handlungsabläufe fest. Die Rollen der beteiligten Personen müssen dabei klar und eindeutig definiert sein.
