Gerade im Bereich der IT halten externe Berater (und auch Mitarbeiter) sich oft mehr oder weniger an den Vorgaben der Aufsicht fest. So manch einer hat keine Ahnung, ob das eigentlich zielfĂŒhrend ist - und von was redet der Techniker am anderen Ende des Tisches da eigentlich?!?!!!??? Garniert mit eigenen Anekdoten, kleinen fiktiven Beispielen und absolut tauglich fĂŒr AnfĂ€nger: Informationssicherheit & IT-Risikomanagement am Beispiel der Bank B! Zum AufwĂ€rmen: Datenschutz und Informationssicherheit. Wo ist der Unterschied? Dann die drei Schutzziele Vertrautlichkeit / IntegritĂ€t / VerfĂŒgbarkeit am Anfang des Regelkreises zur Informationssicherheit: welchen Schutzbedarf haben meine Informationen? Welche Prozesse wirken darauf ein? Auf welchem Server liegen die Informationen eigentlich? Hat meine Anwendung eine Schnittstelle? Warum stellen diese Leute immer so viele Fragen? Bisher ist doch auch nichts passiert? Dann mach ich halt mal was.... spĂ€testens an dieser Stelle atme ich normalerweise tief durch. Dann kommt nĂ€mlich der Part, an dem erklĂ€rt wird: nö, ist nicht. Wenn dann weiĂer Rauch aufsteigt, und alle irgendwie zufrieden sind, kommt das Restrisiko. Wie, noch mehr zu tun?! Ja! Dann werden Risiken eingestellt, bewertet, und "gemanaged", berichtet, abgelehnt, verloren, wiedergefunden, mitigiert und irgendwie zu einem eigenen SĂŒppchen gekocht. Dabei könnte es so schön sein (vollstĂ€ndiges, adressatengerechtes Reporting *hĂŒstel*). Der zweite Teil beinhaltet dann also die Risikoanalyse. Ăber die KlĂ€rung, was eigentlich ein Risiko und eine Bedrohung ist, quantifizierter vs. qualifiziertes Ansatz, Risikobehandlung, Eintrittswahrscheinlichkeit & Schadenshöhe. about this event: https://fahrplan.chaos-west.de/35c3chaoswest/talk/RDVAAZ