Risikoanalyse

Die Risikoanalyse wurde/wird nach BSI-Standard 200-3 durchgeführt ¹. Bei der Gestaltung des System wurden im Wesentlichen folgende elementaren Gefährdungen betrachtet ²:

• Abhören [G 0.15]
• Diebstahl von Geräten, Datenträgern oder Dokumenten [G 0.16]
• Verlust von Geräten, Datenträgern oder Dokumenten [G 0.17]
• Fehlplanung oder fehlende Anpassung [G 0.18]
• Offenlegung schützenswerter Informationen [G 0.19]
• Informationen oder Produkte aus unzuverlässiger Quelle [G 0.20]
• Manipulation von Hard- oder Software [G 0.21]
• Unbefugtes Eindringen in IT-Systeme [G 0.23]
• Zerstörung von Geräten oder Datenträgern [G 0.24]
• Ausfall von Geräten oder Systemen [G 0.25]
• Fehlfunktion von Geräten oder Systemen [G 0.26]
• Ressourcenmanagel [G 0.27]
• Software-Schwachstellen oder -Fehler [G 0.28]
• Verstoß gegen Gesetze oder Regelungen [G 0.29]
• Unberechtigte Nutzung oder Administration von Geräten und Systemen [G 0.30]
• Fehlerhafte Nutzung oder Administration von Geräten und Systemen [G 0.31]
• Missbrauch von Berechtigungen [G 0.32]
• Personalausfall [G 0.33]
• Identitätsdiebstahl [G 0.36]
• Abstreiten von Handlungen [G 0.37]
• Missbrauch personenbezogener Daten [G 0.38]
• Schadprogramme [G 0.39]
• Verhinderung von Diensten [G 0.40]
• Sabotage [G 0.41]
• Social Engineering [G 0.42]
• Einspielen von Nachrichten [G 0.43]
• Datenverlust [G 0.45]
• Integritätsverlust schützenswerter Informationen [G 0.46]
• Schädliche Seiteneffekte IT-gestützter Angriffe [G 0.47]

Assets

Die folgenden Assets wurden für die Risikoanalyse betrachtet:

• Daten von Nutzern, Ärzten, Vermittlern, Daten von Terminen und Buchungen sowie relevaten Hilfsdaten (z.B. Postleitzahlinformationen).
• Nicht-öffentliche Informationen für die Terminvermittlung, insbesondere Geheimnisse (z.B. kryptographische Schlüssel, TLS-Zertifikate, ...)

Bedrohungsszenarien

Folgende Bedrohungsszenarien

Risikobewertung

Ausstehend.

Maßnahmenbeschreibung

Ausstehend.

Unvorhergesehene Risiken

Ausstehend.

Literatur