Skript/Grundschutz/Vorgehen
Geltungsbereich festlegen
Informationsverbund - Ein im IT-Grundschutz betrachteter Bereich
Beschreibung
IT-Sicherheitsanalyse und IT-Sicherheitskonzeption
- Informationstechnik ist durch vernetzte IT-Systeme geprägt
- Gesamte IT betrachten
- Nicht einzelne IT-Systeme
- Teilverbünde definieren
Teile und Herrsche
- Um diese Aufgabe bewältigen zu können, ist es sinnvoll
- IT-Struktur in logisch getrennte Teile zerlegen
- Jeweils einen Teil (Informationsverbund) getrennt betrachten
- Ausprägungen
Informationsverbund
- gesamte IT einer Institution
- einzelne Bereiche
- Gliederung
- Organisatorische Strukturen
- z. B. Abteilungsnetz
- Gemeinsame IT-Anwendungen
- z. B. Personalinformationssystem
- IT-Strukturanalyse
- Detaillierte Informationen über die Struktur des Informationsverbundes
- Voraussetzung für die Anwendung des IT-Grundschutz-Kompendiums
- Komponenten
| Komponente | Beschreibung |
|---|---|
| Infrastruktur | |
| Organisation | |
| Personen | |
| Technik |
Festlegung eines Informationsverbundes
Größe
- Sinnvolle Mindestgröße
- Für eine umfassende Sicherheit ist die gesamte Institution zu betrachten
- Größeren Institutionen
Insbesondere bei größeren Institutionen und dann, wenn Sicherheitsmaßnahmen bislang eher punktuell und ohne ein zugrunde liegendes systematisches Konzept vorgenommen wurden, ist es allerdings oft praktikabler sich (zunächst) auf Teilbereiche zu konzentrieren.
Teilbereiche
- Gut abgrenzbar
- organisatorischen Strukturen
- Anwendungen
- Wesentliche Aufgaben und Geschäftsprozesse der Institution umfassen
- Sinnvolle Teilbereiche
- Organisationseinheiten
- Geschäftsprozesse/Fachaufgaben
- Einzelne Clients, Server oder Netzverbindungen sind als Untersuchungsgegenstand ungeeignet
Schnittstellen
- Bei der Definition des Informationsverbundes müssen Schnittstellen genau beschrieben werden
- Insbesondere bei der Zusammenarbeit mit externer Partnern.
Erstaufnahme des Informationsverbundes
- In der initialen Phase des Sicherheitsprozesses ist es nicht erforderlich, Anwendungen und -Infrastruktur detailliert zu beschreiben.
- Zunächst geht es vielmehr darum, besonders wichtige Geschäftsprozesse, die im Geltungsbereich des Konzepts angesiedelt sind, hinsichtlich ihrer Anforderungen an die Informationssicherheit zu charakterisieren.
- Dabei reicht es zu wissen, welche Prozesse sehr hohe, hohe oder lediglich normale Schutzanforderungen haben.
- Erstaufnahme des Informationsverbundes
Auf dieser Basis wird dann eine Erstaufnahme des Informationsverbundes angefertigt
- Folgende Informationen und Detailangaben müssen dabei strukturiert ( tabellarisch) zusammengetragen werden
- Geschäftsprozesse im Informationsverbund (Name, Beschreibung, fachverantwortliche Stelle),
- Anwendungen in diesen Prozessen (Name und Beschreibungen),
- -Systeme und -Komponenten (Name, Systemplattform und eventuell Aufstellungsort),
- für den Informationsverbund wichtige Räume wie Rechenzentrum oder Serverräume (Art, Raumnummer und Gebäude) sowie
- virtuelle Systeme (entsprechend gekennzeichnet und benannt).
Ein grafischer Netzplan ist eine hilfreiche Ergänzung zur tabellarischen Zusammenstellung der -Systeme
- Die ermittelten Komponenten, wie auch der Informationsverbund als Ganzes, sind Zielobjekte des Sicherheitskonzepts
- Bereits vor dessen eigentlicher Entwicklung sollten Sie einschätzen, welches Schutzniveau für die verschiedenen Zielobjekte erforderlich ist, die Sie bei der Erstaufnahme identifiziert haben.
Absicherung-Varianten
topic - Kurzbeschreibung
Beschreibung
- Unterschiedliche Institutionen haben auch unterschiedliche Voraussetzungen und Ausgangspunkte für eine ganzheitliche Umsetzung von Informationssicherheit.
- So haben insbesondere kleinere und mittelgroße Institutionen oft nicht die personellen und finanziellen Ressourcen für eine umfassende Absicherung in einem Schritt.
- Für sie kann es daher zielführender sein, sich zunächst auf die Umsetzung elementarer Sicherheitsmaßnahmen oder die gezielte Absicherung besonders schützenswerter Bereiche zu konzentrieren.
- Die im Standard 200-2 beschriebene Grundschutz-Methodik sieht daher drei Varianten vor, mit denen eine Institution ein ihren Anforderungen und Gegebenheiten gemäßes Sicherheitsniveau erreichen kann:
| Option | Beschreibung |
|---|---|
| Basis | Die Basis-Varianten bietet einen einfachen Einstieg in das systematische Management der Informationssicherheit und zeigt, wie eine Institution ohne differenzierte Bewertungen des Schutzbedarfs und ergänzende Risikoanalysen ihr Sicherheitsniveau durch die Erfüllung besonders wichtiger Basis-Anforderungen signifikant erhöhen kann.
|
| Standard | Mit Hilfe der Standard-Absicherung kann eine Institution ausgehend von einer systematischen Erfassung der verschiedenen Komponenten, die im Sicherheitskonzept zu berücksichtigen sind, und der Bewertung ihres Schutzbedarfs mit Hilfe des -Grundschutz-Kompendiums und mit in Einzelfällen zusätzlich erforderlichen Risikoanalysen eine umfassende Absicherung erreichen. |
| Kern | Die Kern-Absicherung umfasst alle Schritte der Standard-Absicherung, konzentriert sich dabei aber auf ausgewählte, besonders wichtige Bereiche (die „Kronjuwelen“) einer Institution. |
- Organisatorische Grundlagen
Die Entscheidung für eine dieser Vorgehensweisen und ihre Anwendung setzt voraus, dass eine Institution gewisse organisatorische Grundlagen geschaffen hat.
- Abbildungen
Strukturanalyse
Strukturanalyse - Struktur der vorliegenden Informationstechnik analysieren und dokumentieren
Beschreibung
Für die Erstellung eines IT-Sicherheitskonzepts und insbesondere für die Anwendung des IT-Grundschutz-Kompendiums ist es erforderlich, die Struktur der vorliegenden Informationstechnik zu analysieren und zu dokumentieren.
- Netztopologieplan
Ausgangsbasis
- Aufgrund der heute üblichen starken Vernetzung von IT-Systemen bietet sich ein Netztopologieplan als Ausgangsbasis für die Analyse an.
- Aspekte
- Infrastruktur
- Organisatorischen und personellen Rahmenbedingungen
- Eingesetzte vernetzte und nicht vernetzte IT-Systeme
- Kommunikationsverbindungen zwischen den IT-Systemen und nach außen
- Betriebene IT-Anwendungen
- Arbeitsschritte
| Arbeitsschritt | Beschreibung |
|---|---|
| Geltungsbereich | Grundschutz/Informationsverbund |
| Geschäftsprozesse | Grundschutz/Strukturanalyse/Geschäftsprozesse |
| Netzplan | Grundschutz/Strukturanalyse/Netzplan |
| Gruppierung | Grundschutz/Strukturanalyse/Gruppierung |
| Anwendungen | Grundschutz/Strukturanalyse/Anwendungen |
| Systeme | Grundschutz/Strukturanalyse/Systeme |
| Räume | Grundschutz/Strukturanalyse/Räume |
Zielobjekte
Schutzbedarf
Schutzbedarfsfeststellung
Beschreibung
- Welcher Schutz benötigen der Informationsverbund und seine Zielobjekte?
- Welche Zielobjekte benötigen mehr Sicherheit, bei welchen genügt es, Standard-Anforderungen zu erfüllen?
- Begründeten und nachvollziehbaren Einschätzung des Schutzbedarfs
- Ziel der Schutzbedarfsfeststellung ist es, diese Fragen zu klären
- und damit die Festlegung der Sicherheitsanforderungen und die Auswahl angemessener Sicherheitsmaßnahmen für die einzelnen Zielobjekte des betrachteten Informationsverbundes zu steuern.
- Arbeitsschritte
- Schadensszenarien und Schutzbedarfskategorien definieren
- Sinnvolle Reihenfolge
- Schutzbedarf der Zielobjekt-Typen eines Informationsverbundes feststellen
- Abhängigkeiten
- wie sich Abhängigkeiten zwischen den Zielobjekten auf die Ergebnisse der Schutzbedarfsfeststellung auswirken sowie
- Schlussfolgerungen
- welche Schlussfolgerungen aus den Ergebnissen der Schutzbedarfsfeststellung gezogen werden können.
- Basis-Absicherung
Schutzbedarfsfeststellung nicht erforderlich
Bei der Basis-Absicherung sind für den Informationsverbund nur die Basis-Anforderungen verpflichtend.
- Daher ist eine Schutzbedarfsfeststellung bei dieser Variante der IT-Grundschutz-Methodik nicht erforderlich.
- Bei der Schutzbedarfsfeststellung ist danach zu fragen
Welcher Schaden kann entstehen, wenn für ein Zielobjekt die Grundwerte verletzt werden.
- Dies wäre der Fall, wenn
- vertrauliche Informationen unberechtigt zur Kenntnis genommen oder weitergegeben werden (Verletzung der Vertraulichkeit),
- die Korrektheit der Informationen und der Funktionsweise von Systemen nicht mehr gegeben ist (Verletzung der Integrität),
- autorisierte Benutzer am Zugriff auf Informationen und Systeme behindert werden (Verletzung der Verfügbarkeit).
- Drohender Schaden
- Der Schutzbedarf eines Objekts bezüglich eines dieser Grundwerte orientiert sich an dem Ausmaß des bei Verletzungen jeweils drohenden Schadens.
- Da dessen Höhe in der Regel vorab nicht genau bestimmt werden kann, sollten Sie eine für Ihren Anwendungszweck passende Anzahl von Kategorien definieren, anhand derer Sie den Schutzbedarf unterscheiden.
- Schutzbedarfskategorien
Die IT-Grundschutz-Methodik empfiehlt hierfür drei Schutzbedarfskategorien
| Schutzbedarfskategorie | Beschreibung |
|---|---|
| normal | Schadensauswirkungen begrenzt und überschaubar |
| hoch | Schadensauswirkungen beträchtlich |
| sehr hoch | Schadensauswirkungen können existenzbedrohend sein, katastrophales Ausmaß |
- Schadensszenarien
Der Schaden, der von einer Verletzung der Grundwerte ausgehen kann, kann sich auf verschiedene Schadensszenarien beziehen:
| Schadensszenario |
|---|
| Verstöße gegen Gesetze, Vorschriften oder Verträge |
| Beeinträchtigungen des informationellen Selbstbestimmungsrechts |
| Beeinträchtigungen der persönlichen Unversehrtheit |
| Beeinträchtigungen der Aufgabenerfüllung |
| negative Innen- oder Außenwirkung |
| finanzielle Auswirkungen |
- Bedeutung der Szenarien
Wie wichtig ein Szenario jeweils ist, unterscheidet sich von Institution zu Institution.
- Unternehmen schauen beispielsweise besonders intensiv auf die finanziellen Auswirkungen eines Schadens, da diese bei einer entsprechenden Höhe existenzgefährdend sein können.
- Für eine Behörde kann es hingegen besonders wichtig sein, das öffentliche Ansehen zu wahren und daher negative Außenwirkungen zu vermeiden.
Schutzbedarfskategorien
Schutzbedarfskategorien
Beschreibung
- Wann hat ein Objekt einen normalen, wann einen hohen und wann einen sehr hohen Schutzbedarf?
- Eine allgemeingültige Antwort auf diese Frage ist nicht bei allen Schadensszenarien möglich.
- Eine erste Abgrenzung der Kategorien finden Sie in Kapitel 8.2.1 des -Standards 200-2: -Grundschutz-Methodik.
- Die dort angeführten, relativ allgemein gehaltenen Definitionen können Sie als Ausgangspunkt nehmen, an die besonderen Gegebenheiten Ihrer Institution anpassen und gegebenenfalls ergänzen.
Beispielsweise finden Sie dort für die Schutzbedarfskategorie „normal“ und das Schadensszenario „Finanzielle Auswirkungen“ die Festlegung:
- „Der finanzielle Schaden bleibt für die Institution tolerabel.“
- Was ist „tolerabel“?
- Für ein sehr großes Unternehmen spielen einige Millionen Euro mehr oder weniger vielleicht keine große Rolle, kleinere und mittlere Unternehmen kann ein Schaden in dieser Höhe dagegen zur Insolvenz führen.
- Bei der Abgrenzung der Schadenskategorien müssen Sie also die Besonderheiten der betrachteten Institution berücksichtigen, zum Beispiel
- in Bezug auf das Szenario „finanzielle Auswirkungen“ die Höhe des Umsatzes oder des Gewinns eines Unternehmens oder die Höhe des bewilligten Budgets einer Behörde,
- in Bezug auf das Szenario „Beeinträchtigung der Aufgabenerfüllung“ das Vorhandensein von Ausweichverfahren bei einem Ausfall eines Verfahrens.
Beispiel
Für RECPLAST wurde festgelegt
- Schadensszenarien
- „finanzielle Auswirkungen“
- „Beeinträchtigung der Aufgabenerfüllung“
| Schutzbedarf | Beschreibung |
|---|---|
| Normal |
|
| Hoch |
|
| Sehr hoch |
|
Schutzbedarfsfeststellung
- Zweck der Schutzbedarfsfeststellung
Ist es zu ermitteln, welcher Schutz für die Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist.
- Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet
- die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können.
- Wichtig ist dabei auch eine realistische Einschätzung der möglichen Folgeschäden
- Bewährt hat sich eine Einteilung in die drei Schutzbedarfskategorien „normal“, „hoch“ und „sehr hoch“[1].
- Bei der Vertraulichkeit wird häufig auch „öffentlich“, „intern“ und „geheim“ verwendet.
- Der Schutzbedarf für einen Server richtet sich nach den Anwendungen, die auf ihm laufen.
- Hierbei ist zu beachten, dass auf einem IT-System mehrere IT-Anwendungen laufen können, wobei die Anwendung mit dem höchsten Schutzbedarf die Schutzbedarfskategorie des IT-Systems bestimmt (sogenanntes Maximumprinzip).
- Es kann sein, dass mehrere Anwendungen auf einem Server laufen, die einen niedrigen Schutzbedarf haben – mehr oder weniger unwichtige Anwendungen.
- In ihrer Summe sind diese Anwendungen jedoch mit einem höheren Schutz zu versehen (Kumulationseffekt).
- Umgekehrt ist es denkbar, dass eine IT-Anwendung mit hohem Schutzbedarf diesen nicht automatisch auf das IT-System überträgt, da dieses redundant ausgelegt ist oder da auf diesem nur unwesentliche Teile laufen (Verteilungseffekt).
- Dies ist z. B. bei Clustern der Fall.
Vorgehen und Vererbung
- Objekte im Informationsverbund werden eingesetzt, um Geschäftsprozesse und Anwendungen zu unterstützen
- Daher hängt der Schutzbedarf eines Objekts vom Schutzbedarf derjenigen Geschäftsprozesse und Informationen ab, für deren Bearbeitung es benötigt wird.
- Zunächst wird deshalb der Schutzbedarf der Geschäftsprozesse und zugehörigen Informationen bestimmt.
- Deren Schutzbedarf vererbt sich auf den der Anwendungen, Systeme, Räume und Kommunikationsverbindungen.
- Vererbung
- Es lassen sich, folgende Fälle unterscheiden
- Beispiel
- Systeme
| Option | Beschreibung |
|---|---|
| Maximumprinzip | In vielen Fällen lässt sich der höchste Schutzbedarf aller Anwendungen, die das System benötigen, übernehmen
|
| Kumulationseffekt | Der Schutzbedarf des Systems kann höher sein als der Schutzbedarf der einzelnen Anwendungen.
|
| Verteilungseffekt | Der Schutzbedarf kann niedriger sein als der Schutzbedarf der zugeordneten Anwendungen, wenn eine Anwendung mit hohem Schutzbedarf auf mehrere Systeme verteilt ist und auf dem betreffenden System nur weniger wichtige Teile dieser Anwendung ausgeführt werden.
|
Zielobjekte
Modellierung
IT-Grundschutz-Modellierung - Zuordnung von Grundschutz-Bausteinen zu Zielobjekte
Beschreibung
- IT-Grundschutz-Modell für einen Informationsverbund erstellen
- Sicherheitsanforderungen für Zielobjekte bestimmen
- Abhängigkeiten berücksichtigen
- Entwicklung des Grundschutz-Modells
- Auf Basis des IT-Grundschutz-Kompendiums
- Modellierung
Anwendung der Bausteine IT-Grundschutz-Kompendiums auf die Komponenten eines Informationsverbundes
- IT-Grundschutz-Modell
| Ergebnis | Beschreibung |
|---|---|
| Prüfplan | Bestehende Systeme und Verfahren |
| Entwicklungskonzept | Geplante Teile des Informationsverbundes
|
Vorarbeiten
| Arbeitsschritte | Beschreibung |
|---|---|
| Informationsverbund | Definition des Geltungsbereiches des Sicherheitskonzeptes |
| Strukturanalyse | Identifikation der Zielobjekte |
| Schutzbedarfsfeststellung | Schutzbedarf für Zielobjekte bestimmen |
Vorgehen
Auswahl Grundschutz-Bausteine
- Festlegung, welche Bausteine anzuwenden sind
Für die Sicherheit des Informationsverbundes
- Schichten
- Zielobjekte
- Ideal
- Alle Zielobjekte des Informationsverbundes werden angemessen durch Grundschutz-Bausteine abgebildet
Kein passender Baustein für Zielobjekt
- Risikoanalyse erforderlich
- Gefährdungen und Sicherheitsanforderungen identifizieren
- Dokumentation in einem Benutzerdefinierten Baustein
Abgrenzung von Bausteinen
- Nicht jeder Baustein ist relevant
- Beispiele
- Baustein CON.7 Informationssicherheit auf Auslandsreisen
- nur anzuwenden, wenn solche Reisen im Informationsverbund vorkommen
- Technischer Bausteine
- Nur anzuwenden, wenn diese IT-Systemen eingesetzt werden
- z.B. SYS.2.2.2 Clients unter Windows 8.1
- Hinreichende Begründung
- Geben Sie in solchen Fällen eine hinreichende Begründung für die Nichtanwendung eines Bausteins an
- Kurz und aussagekräftig
Prozessorientierte Bausteine
- Technischen Aspekten übergeordnet
- Einheitlich Regelung je Informationsverbund
- Anwendung
- Einmal pro Informationsverbund
- Wichtige Bausteine
- Informationssicherheitsmanagement
- Organisation des IT-Betriebs
- Schulung und Sensibilisierung des Personals
- Detektion und Reaktion auf Sicherheitsvorfälle
Systemorientierte Bausteine
Anwendung
- Technische Objekte
- Auf jedes System (Gruppe) einmal anwenden, das im Baustein adressiert wird
- Mögliche Objekte
- Anwendungen
- IT-Systeme (z.B. Client, Server oder mobile Geräte)
- Objekte aus dem Bereich der industriellen IT
- Netze
- Infrastrukturobjekte (Räume, Rechenzentrum, Verkabelung)
Mehrere Bausteine
- Meist sind für IT-Systeme mehrere Bausteine anzuwenden
- Alle Sicherheitsanforderungen angemessen berücksichtigen
- Betriebssystemunabhängige Bausteine
Grundsätzliche Sicherheitsanforderungen
- SYS.2.1 Allgemeiner Client
- SYS.1.1 Allgemeiner Server
- Betriebssystemspezifische Bausteine
Anforderungen für einzelne Betriebssysteme
- SYS.2.2.3 Client unter Windows 10
- SYS.1.2.2 Windows Server 2012
- ...
- Beispiel: Webserver
Webserver mit Unix
- SYS.1.1 Allgemeiner Server
- SYS.1.3 Server unter Unix
- APP.3.2 Webserver
Virtuelle Systeme
- Virtuelle Systeme werden modelliert wie physische Systeme
- System
- Betriebssystem
- Anwendungen
- Dienste
- Beispiel
Wird ein Unix-Server als Virtualisierungsserver betrieben, so sind folgende Bausteine anzuwenden
- SYS.1.1 Allgemeiner Server
- SYS.1.3 Server unter Unix und
- SYS.1.5 Virtualisierung
- Physischen Server
Zusätzlich sind für jeden auf diesem physischen Server bereitgestellten virtuellen Server die üblichen Bausteine für Server anzuwenden.
- Bare Metal Server
Für auf spezieller Hardware beruhende Virtualisierungsserver (sogenannte Bare Metal Server) gibt es keinen passenden Grundschutz-Baustein.
- Solche IT-Systeme sind daher für eine Risikoanalyse vorzumerken
Dokumentation
- Beispiel
- In der Spalte Relevanz vermerken Sie, ob Bausteine für den Informationsverbund von Bedeutung sind oder nicht.
- Diese Entscheidung können Sie unter Begründung näher erläutern.
- Baustein nicht relevant
- Hinreichende Begründung unabdingbar!
- Dokumentation der Modellierung
| Baustein | Zielobjekte | Relevanz | Begründung | Ansprechpartner |
|---|---|---|---|---|
| APP.5.2 Microsoft Exchange/Outlook | Ja | IT-Betrieb | ||
| INF.1 Allgemeines Gebäude | Ja | Haustechnik | ||
| INF.2 Rechenzentrum sowie Serverraum | Ja | IT-Betrieb | ||
| INF.4 IT-Verkabelung | Informationsverbund | Ja | ||
| INF.7 Büroarbeitsplatz | bis | Ja | ||
| INF.8 Häuslicher Arbeitsplatz | Ja | Die Vertriebsbüros werden wie Home Offices behandelt. | ||
| IND.2.2 Speicherprogrammierbare Steuerung (SPS) | Ja | |||
| SYS.1.5 Virtualisierung | Ja | IT-Betrieb | ||
| SYS.3.1 Laptops | bis | Ja | IT-Betrieb | |
| OPS.3.1 Outsourcing für Dienstleister | Nein | Solche Dienste werden nicht angeboten. |
Siehe auch Modellierung für die RECPLAST
Anforderungen anpassen
- Grundschutz-Bausteine beschreiben Anforderungen
MUSS / SOLLTE
- was zu geschehen ist
- nicht aber, wie dies zu erfolgen hat
- Sicherheitsmaßnahmen
- Für die Ausarbeitung von Sicherheitskonzepten
- wie auch für ein Prüfkonzept
- ist es notwendig
- zu den einzelnen Anforderungen
- Geeignete Sicherheitsmaßnahmen formulieren
- Umsetzungshinweise
- Als Hilfsmittel hierfür gibt es zu den meisten Bausteinen des Grundschutz-Kompendiums Umsetzungshinweise
- Angemessene Maßnahmen
| Bewertung | Beschreibung |
|---|---|
| wirksam | Vor möglichen Gefährdungen schützen und den festgelegten identifizierten Schutzbedarf abdecken |
| geeignet | Tatsächlich umsetzbar sein, ohne
|
| praktikabel | Leicht verständlich, einfach anzuwenden und wenig fehleranfällig |
| akzeptabel | Barrierefrei, niemanden diskriminieren oder beeinträchtigen |
| wirtschaftlich | Eingeführt und betrieben werden können, der mit ihrer Umsetzung verbundene Aufwand also in einem angemessenen Verhältnis zu den zu schützenden Werten steht. |
Standard-Absicherung
- Vorgehensweise Standard-Absicherung
- Neben verpflichtenden Basis-Anforderungen
- SOLLTEN in der Regel auch alle Standard-Anforderungen eines Bausteins erfüllt werden
- Ausnahmen
In Einzelfällen sind Ausnahmen möglich
- Wenn eine Anforderung nicht relevant ist
- Ihre Erfüllung mit der Erfüllung anderer Anforderungen im Widerspruch steht
Dies ist auch bei Basis-Anforderungen möglich
- Abweichungen sollten nachvollziehbar begründet werden
- Aufwand
- Für relevante, aber mit vertretbarem Aufwand nicht erfüllbare Anforderungen sollten Ersatzlösungen gefunden werden
IT-Grundschutz-Check
Grundschutz-Check - Soll-Ist-Vergleich zwischen geforderten und erfüllten Anforderungen
Beschreibung
- Soll-Ist-Vergleich
Der Grundschutz-Check ist ein Soll-Ist-Vergleich der Anforderungen an einen Informationsverbund oder eine seiner Komponenten mit den umgesetzten Maßnahmen
- Umgesetzte Sicherheitsmaßnahmen mit den Anforderungen des entwickelten Grundschutz-Modells vergleichen
- Erreichtes Sicherheitsniveau identifizieren
- Verbesserungsmöglichkeiten aufzeigen
- Motivation
- Sind Informationen und Informationstechnik hinreichend geschützt?
- Was bleibt zu tun?
Grundlage des Grundschutz-Checks ist das in der Modellierung aufgrund der vorhandenen Zielobjekte und ihres Schutzbedarfs zusammengestellte Grundschutz-Modell des Informationsverbundes
- In diesem Modell ist festgelegt, welche Bausteine und damit Anforderungsbündel für die einzelnen Zielobjekte des Informationsverbundes anzuwenden sind
- Anforderungen
- Basisanforderungen
- Standardanforderungen
- Anforderungen für den erhöhten Schutzbedarf
- Vorgehensweise
Welche dieser Anforderungen Sie im Grundschutz-Check berücksichtigen, hängt von der Vorgehensweise der IT-Grundschutz-Methodik ab:
- Bei der Vorgehensweise Basis-Absicherung prüfen Sie lediglich die Erfüllung der Basis-Anforderungen
- Bei den Vorgehensweisen Standard-Absicherung und Kern-Absicherung berücksichtigen Sie zusätzlich die Standard-Anforderungen
- Die Anforderungen für den erhöhten Schutzbedarf haben Beispielcharakter und können im Bedarfsfall durch andere Maßnahmen mit starker Schutzwirkung ersetzt oder ergänzt werden
- Sie prüfen diese Anforderungen also nur dann, wenn sie als Ergebnis einer Risikoanalyse in das Grundschutz-Modell aufgenommen wurden, also Bestandteil des Sicherheitskonzepts geworden sind
- siehe Risikoanalyse
- Basis für den IT-Grundschutz-Check sind die Anforderungen aus dem IT-Grundschutz-Kompendium
- Aus der Strukturanalyse und der anschließenden Modellierung geht ein Modell des Informationsverbundes hervor, das alle relevanten Objekte mit den zugehörigen Bausteinen des IT-Grundschutz-Kompendiums enthält
- Aufgrund der nun vorliegenden Bausteine wird für jedes Objekt ermittelt, wie hoch der Erfüllungsgrad der in den Bausteinen enthaltenen Anforderungen ist
- Dies geschieht großenteils durch Interviews mit den Verantwortlichen der jeweiligen Bereiche
- Der IT-Grundschutz-Check ist somit ein Organisationsinstrument, welches einen gebündelten Überblick über das vorhandene IT-Sicherheitsniveau bietet
- Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Anforderung der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist
- Durch die Identifizierung von nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt
- Der IT-Grundschutz-Check gibt Auskunft über die noch fehlenden Maßnahmen (Soll/Ist-Abgleich)
- Daraus folgt, was noch zu tun ist, um das angestrebte Maß an Sicherheit zu erlangen
- Die Grundschutz-Methodik unterscheidet hier die Basis-, Standard- oder Kern-Absicherung
- Die Anforderungen des Kompendiums sind für die jeweilige Absicherungsmethode gekennzeichnet (Basis, Standard und für erhöhten Schutzbedarf)
- Für Systeme mit hohem/sehr hohem Schutzbedarf werden mitunter auch auf einer Risikoanalyse basierende [[Informationssicherheits-Konzepte wie nach ISO/IEC 27001 angewandt
Vorarbeiten
| Arbeitsschritt | Beschreibung |
|---|---|
| Grundschutz/Strukturanalyse | Ermittlung der relevanten Zielobjekte des Informationsverbundes |
| Grundschutz/Schutzbedarfsfeststellung | Festlegung des Schutzbedarfs für die ermittelten Zielobjekte |
| Grundschutz/Modellierung | Anwendung der Grundschutz-Bausteine auf die Zielobjekte |
Damit wurde ein Prüfplan („Grundschutz-Modell“) für den Informationsverbund und dessen Zielobjekte zusammengestellt
- Prüfplan anwenden (Grundschutz-Check)
Je Zielobjekt prüfen
- inwieweit relevante Anforderungen erfüllt sind
- durch technische oder organisatorische Maßnahmen
Vorgehen
| Arbeitsschritt | |
|---|---|
| 1 | Vorbereitungen |
| 2 | Durchführung |
| 3 | Dokumentation |
Vorbereitung
- Umsetzungsgrad ermitteln und dokumentieren
Den Umsetzungsgrad der einzelnen Maßnahmen für das jeweilige Zielobjekt ermitteln und dokumentieren Sie beim Grundschutz-Check in Interviews mit den zuständigen Mitarbeitern und Überprüfungen vor Ort, durch Begehung von Serverräumen oder Kontrolle von Konfigurationseinstellungen
- Qualität der Ergebnisse
Die Qualität der Ergebnisse der Interviews und Begehungen hängt auch von einer guten Vorbereitung und der Beachtung einiger Regeln bei der Durchführung ab
- Kompendium
Zunächst die wichtigste Regel
- Die Informationstechnik ändert sich kontinuierlich, sodass regelmäßig geprüft werden muss, ob die eingeführten Sicherheitsmaßnahmen noch einen angemessenen Schutz bieten
- Deswegen wird das Grundschutz-Kompendium fortlaufend angepasst und um neue Bausteine ergänzt
- Benutzen Sie bitte für den Grundschutz-Check die aktuelle Version des Grundschutz-Kompendiums, da nur diese eine dem Stand der Technik entsprechende Sicherheit unterstützt
- Dokumente
- Die vorhandenen Dokumente über sicherheitsrelevante Abläufe, Regelungen und Sachverhalte enthalten bereits viele Informationen, die Ihnen bei der Ermittlung des Erfüllungsgrads der Anforderungen helfen können
- Sichten Sie diese Papiere daher bereits vorab
- Ansprechpartner
- Wählen Sie geeignete Ansprechpartner aus
- Klären Sie in diesem Zusammenhang auch, ob externe Stellen hinzuzuziehen sind, Fremdfirmen, an die Teilaufgaben des Informationsverbundes delegiert wurden
Ansprechpartner ergeben sich direkt aus den im genannten Rollen sowie oft aus dem sachlichen Zusammenhang
- So können Mitarbeiter der Personalabteilung oder Benutzerbetreuer gute Ansprechpartner für den Baustein Personal sein
- Während es sich anbietet, für die Systembausteine zu Netzen, -Systemen oder Anwendungen die jeweils zuständigen Administratoren und Anwendungsbetreuer zu befragen
Durchführung
- Arbeitsteilung
- Vier Augen und Ohren sehen und hören mehr als zwei
- Führen Sie die Interviews nach Möglichkeit daher nicht alleine durch
- Es empfiehlt sich eine Arbeitsteilung: Einer führt das Gespräch und stellt die Fragen, ein anderer protokolliert die Ergebnisse
- Selbstverständlich sollten Sie bei der Befragung den Inhalt der Anforderungsbeschreibungen sowie die zugehörigen Umsetzungsempfehlungen kennen
- Gegebenenfalls können stichpunktartige Zusammenfassungen zu einzelnen Anforderungen sowie möglichen Maßnahmen, mit denen sie erfüllt werden können, nützlich sein
- Chancen nutzen
- Der Grundschutz-Check ist eine Chance, die Informationssicherheit zu verbessern, kein Verhör
- Sorgen Sie für ein entspanntes Klima, sowohl beim Gespräch als auch bei Begehungen und Überprüfungen vor Ort
Dokumentation
Erfüllungsgrad der Grundschutz-Anforderungen dokumentieren
| Erfüllungsgrad | Beschreibung |
|---|---|
| ja | wenn die Anforderung durch geeignete Maßnahmen vollständig, wirksam und angemessen erfüllt wird |
| teilweise | wenn die Anforderung nur teilweise erfüllt wird |
| nein | wenn die Anforderung nicht erfüllt wird, geeignete Maßnahmen also größtenteils noch nicht umgesetzt sind |
| entbehrlich | wenn die Erfüllung einer Anforderung nicht notwendig ist, da den möglichen Gefährdungen mit mindestens gleichwertigen Ersatzmaßnahmen entgegengewirkt wird ( erübrigen sich Passwortregeln, wenn Chipkarten zusätzlich für die Authentisierung eingesetzt werden) oder wenn die Empfehlungen für den betrachteten Einsatzzweck nicht relevant sind (so ist die Anforderung zur Absicherung von Fernwartung nur dann bedeutsam, wenn tatsächlich auch Systeme von entfernten Standorten aus gewartet werden) |
- Entbehrlich
- Wird die Erfüllung einer Anforderung auf „entbehrlich“ gesetzt, weil Alternativmaßnahmen ergriffen wurden, muss nachgewiesen werden, dass diese Maßnahmen die bestehenden Risiken angemessen minimieren
- Identifizieren Sie hierfür über die Kreuzreferenztabelle des jeweiligen Bausteins die zugehörigen elementaren Gefährdungen
- Wurden Alternativmaßnahmen ergriffen, begründen Sie, dass diese das von den relevanten Gefährdungen ausgehende Risiko angemessen verringern
- Generell gilt, dass Risiken aufgrund der Nichterfüllung von Basis-Anforderungen nicht übernommen werden können
- Anforderungen dürfen darüber hinaus nicht quasi automatisch durch pauschale Akzeptanz oder pauschalen Ausschluss einer elementaren Gefährdung als „entbehrlich“ eingestuft werden
- Nachvollziehbarkeit
Damit die Ergebnisse des Grundschutz-Checks später und auch von Dritten nachvollzogen und überprüft werden können, ist es wichtig, dass Sie diese sorgfältig dokumentieren
- Begründungen
- Vergessen Sie nicht, bei Anforderungen, die Sie als entbehrlich, nur teilweise oder überhaupt nicht erfüllt eingestuft haben, in der Dokumentation Ihre Begründung hierfür anzugeben
- Formale Angaben
Zur Dokumentation gehören auch formale Angaben.
- Bei jedem Interview angeben
- Zielobjekt
- Datum
- Wer es durchgeführt hat
- Wer befragt wurde
Checklisten
- Dokumentation des Grundschutz-Checks mit Hilfsmitteln vereinfachen
- So finden Sie unter den Hilfsmitteln zum Grundschutz entsprechende Checklisten für alle Bausteine (zum Download)
Tool-Unterstützung
Der Grundschutz-Check wird auch durch eine Reihe an Tools unterstützt, die auf die Grundschutz-Methodik zugeschnitten sind
- Bei Verwendung eines solchen Werkzeugs haben Sie den zusätzlichen Vorteil, dass die Daten der Strukturanalyse für die Dokumentation des Grundschutz-Checks konsistent übernommen werden
Sowohl die Formulare in den Hilfsmitteln zum Grundschutz als auch die Masken in den Grundschutz-Werkzeugen bieten Felder an, in die Sie Angaben zur Umsetzung der als fehlend erkannten Maßnahmen eintragen können (Umsetzungsfristen, Verantwortliche, voraussichtliche Kosten)
- Diese Angaben sind für die Realisierungsplanung wichtig
- Beim Grundschutz-Check ist es noch nicht erforderlich, diese Felder auszufüllen
Beispiel
Als Beispiel für die Dokumentation des Grundschutz-Checks zeigt der folgende Auszug dieser Überprüfung für die RECPLAST die Ergebnisse für drei Basis-Anforderungen und eine Standard-Anforderung des Bausteins ISMS.1 Sicherheitsmanagement
- Dieser Baustein ist für den gesamten Informationsverbund anzuwenden, im Beispiel also für das gesamte Unternehmen
Eine ausführliche Dokumentation des Grundschutz-Checks zu diesem Baustein und zu weiteren ausgewählten Bausteinen finden Sie in Kapitel 6 des Beispieldokuments
- Dokumentation des Grundschutz-Checks
| Anforderung | Verantwortung | Status | Umsetzung |
|---|---|---|---|
| ISMS.1.A1 | Institutionsleitung | erfüllt | Die Geschäftsführung hat die Erstellung der Leitlinie initiiert
|
| ISMS.1.A5 | Institutionsleitung | entbehrlich | Der Informationssicherheitsbeauftragte ist ein Mitarbeiter der RECPLAST |
| ISMS.1.A7 | () | teilweise | Alle Mitarbeiter, die Maßnahmen im Sinne der Informationssicherheit umsetzen, sind verpflichtet, diese zu dokumentieren und dem per E-Mail zuzusenden
|
| ISMS.1.A11 | () | erfüllt | Alle Dokumente und Prozesse werden einmal jährlich einem internen Audit unterzogen
|
Beispiel
- Bewertung des Status einer Anforderung
Einige Anforderungen aus
- Prozess-Baustein ISMS.1 Sicherheitsmanagement
- System-Baustein SYS.2.1 Allgemeiner Client
Umsetzungsgrad
| Umsetzungsgrad |
|---|
| Vollständig |
| Entbehrlich |
| Teilweise |
| Nicht |
Vollständig
- Baustein.1 enthält unter anderem die Basis-Anforderung
- A1: Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene
- mit insgesamt sechs durch das Verb MUSS als verpflichtend gekennzeichneten Teilanforderungen
- „Die Leitungsebene MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen, sodass dies für alle Beteiligten deutlich erkennbar ist
- Die Leitungsebene der Institution MUSS den Sicherheitsprozess initiieren, steuern und kontrollieren
- Die Leitungsebene MUSS Informationssicherheit vorleben.
Die Behörden- bzw. Unternehmensleitung MUSS die Zuständigkeiten für Informationssicherheit festlegen und die zuständigen Mitarbeiter mit den erforderlichen Kompetenzen und Ressourcen ausstatten
- Die Leitungsebene MUSS sich regelmäßig über den Status der Informationssicherheit informieren lassen, insbesondere MUSS sie sich über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen.“
Entbehrlich
Unter Umständen, etwa bei unzureichendem Know-how innerhalb einer Institution, kann es sich für eine Institution anbieten, Sicherheitsaufgaben an einen externen Informationssicherheitsbeauftragten zu delegieren
- Dies enthebt sie allerdings nicht ihrer grundsätzlichen Verantwortung für Informationssicherheit
- Rechte und Pflichten des externen sind daher vorab festzulegen und vertraglich zu fixieren
- In.1.A5 Vertragsgestaltung bei Bestellung eines externen Informationssicherheitsbeauftragten wird diese Basis-Anforderung näher spezifiziert
- Wird die Rolle des durch einen eigenen Mitarbeiter wahrgenommen, ist die Erfüllung dieser Anforderung selbstverständlich entbehrlich
Teilweise
Der Baustein SYS.2.1 Allgemeiner Client, dessen Anwendung für jede Gruppe von Clients in einem Informationsverbund verbindlich ist, enthält unter anderem die Basis-Anforderung SYS.2.1.A2: Rollentrennung mit Vorgaben für die Beschränkung der Benutzerrechte
Sie lautet wie folgt
- „Der Client MUSS so eingerichtet werden, dass normale Tätigkeiten nicht mit Administrationsrechten erfolgen
- Nur Administratoren DÜRFEN Administrationsrechte erhalten
- Es DÜRFEN nur Administratoren die Systemkonfiguration ändern, Anwendungen installieren bzw. entfernen oder Systemdateien modifizieren bzw. löschen können
- Benutzer DÜRFEN ausschließlich lesenden Zugriff auf Systemdateien haben.
Ablauf, Rahmenbedingungen und Anforderungen an administrative Aufgaben sowie die Aufgabentrennungen zwischen den verschiedenen Rollen der Benutzer des IT-Systems SOLLTEN in einem Benutzer- und Administrationskonzept festgeschrieben werden.“
Wird bei der Überprüfung der Umsetzung dieser Anforderung für eine gegebene Gruppe von Clients festgestellt, dass die Systeme so eingerichtet sind, dass übliche Benutzeraktivitäten nur mit entsprechend eingeschränkten Rechten ausgeübt werden und Systemzugriffe Administratoren vorbehalten sind, so ist zumindest ein Teil der Anforderung erfüllt
- Das Fehlen eines expliziten Benutzer- und Administrationskonzepts, ohne dass hierfür ein stichhaltiger Grund vorliegt, führt jedoch zu der Einstufung, dass diese Anforderung nur teilweise erfüllt ist
Nicht erfüllt
Die Anforderung SYS.2.1.A2: Rollentrennung des Bausteins SYS.2.1 Allgemeiner Client wäre hingegen nicht erfüllt, wenn zwar ein solches Konzept vorliegt, dieses aber die Vorgaben dieser Basis-Anforderung nur bedingt widerspiegelt, und insbesondere die geprüften Clients deutliche Abweichungen von den verpflichtenden Anforderungen aufweisen
Es kann Gründe dafür geben, dass einzelne Systeme auch von Benutzern, die ansonsten keine derartigen Berechtigungen haben, mit Administrationsrechten benutzt werden können, beispielsweise weil eine benötigte Spezialsoftware ansonsten nicht funktionieren würde
- In diesem Fall müsste das aus der Nichterfüllung dieser Basis-Anforderung resultierende Risiko mit zusätzlichen Maßnahmen begrenzt werden
Risikoanalyse
Risikoanalyse - Risk Analysis
- Im Rahmen des Risikomanagements
- Analyse der durch Risikoidentifikation ermittelten Risiken von unterschiedlichen Sachverhalten und Gefahrensituationen
Beschreibung
- Die Risikoanalyse (risk analysis) ist im Rahmen des Risikomanagements die Analyse der durch Risikoidentifikation ermittelten Risiken von unterschiedlichen Sachverhalten und Gefahrensituationen.
- Die Risikoanalyse ist Teil des Risikomanagements, das sich aus der Risikobeurteilung, Risikobewältigung und Risikokommunikation zusammensetzt, wobei die Risikobeurteilung in die Teilbereiche Risikoidentifikation, Risikoanalyse und Risikobewertung untergliedert ist.
- Ziel der Risikobeurteilung ist die Identifikation und Quantifizierung (Bewertung) von Risiken, um Transparenz über Art und Umfang von bestehenden Risiken zu schaffen, z. B. um Risiken durch Präventionsmaßnahmen zu vermeiden oder zu reduzieren.
- Des Weiteren werden ihre Ergebnisse für die Risikokommunikation verwendet, um z. B. die Risikowahrnehmung zu fördern.
- Das Risiko kann auch durch ein Risikomaß ausgedrückt werden.
- Zu beachten ist, dass der Prozess der Risikoanalyse ganz entscheidend von der individuellen Risikowahrnehmung geprägt ist.
- Dass Risiken überhaupt erkannt werden, hängt auch davon ab, dass verschiedene Risikoträger ein existierendes Risiko unterschiedlich oder gar nicht wahrnehmen.
- Erfolgt die Risikowahrnehmung fehlerhaft als selektive Wahrnehmung, so werden nur bestimmte Risiken wahrgenommen, andere vorhandene dagegen ausgeblendet.
- Eine mangelhafte Risikowahrnehmung wirkt sich negativ auf die nachfolgenden Phasen des Risikomanagements aus.
- Aspekte der Risikoanalyse finden auch Eingang in die Arbeitsanalyse, Bilanzanalyse, Finanzanalyse, Marktanalyse oder Schwachstellenanalyse.
Prozessablauf
- Die Risikoanalyse wird in drei Schritten durchgeführt
- Identifikation der Gefahren (Risikoidentifikation), die das System verletzen oder zerstören können.
- Analyse der Ursachen der identifizierten Gefahrenereignisse (deduktive Ursachenanalyse / Fehlerbaumanalyse) und Ermittlung deren Häufigkeiten.
- Analyse der Schadensauswirkungen der identifizierten Gefahrenereignisse, die von dem System ausgehen können (induktive Analyse / Ereignisbaumanalyse) und Ermittlung deren Wahrscheinlichkeiten.
Für die Risikoanalyse kommen unterschiedlichste wissenschaftliche Analysetechniken zur Anwendung, wie Arbeitsanalyse, Elementaranalyse, Finanzanalyse, qualitative Analyse, quantitative Analyse, Portfolio-Analyse, Schwachstellenanalyse oder Szenarioanalyse.
Das quantitative Risiko ergibt sich aus der Multiplikation der Schadenshöhe mit der Eintrittswahrscheinlichkeit bzw. der Gefährdungsrate, je nachdem, ob es sich um ein zeitlich begrenztes Wagnis oder um ein Risiko handelt, summiert über die verschiedenen Gefährdungen (Risikoquantifizierung).
Die Gefahrenidentifizierung sollte so weit wie möglich auf quantitativen (historisch, statistisch) Daten beruhen.
- Auch qualitative Methoden, wie z. B. Expertenmeinungen, Checklisten sollten zur Anwendung kommen.
- Ziel der Analyse ist es, alle wahrscheinlichen Gefahren zu finden und zu erfassen.
Bei der Risikoanalyse sind auch die mit der Analyse verbundenen Unsicherheiten zu berücksichtigen (Daten- als auch Modellunsicherheiten) und die Unsicherheitsquellen sind soweit möglich zu identifizieren (siehe auch Entscheidung unter Unsicherheit).
Anwendungsgebiete
Risikoanalyse im Bevölkerungsschutz
- Die deutsche Bundesregierung hat 2009 die Risikoanalyse im Zivilschutz- und Katastrophenhilfegesetz (ZSKG) gesetzlich verankert.
- Im Sinne des § 18 ZSKG vom 2. April 2009 führt der Bund im Zusammenwirken mit den Ländern eine bundesweite, ressortübergreifende Risikoanalyse im Bevölkerungsschutz durch und unterrichtet den Deutschen Bundestag über die Ergebnisse der Risikoanalyse ab 2010 jährlich.
- Die Risikoanalyse ist zentraler Bestandteil des Risikomanagements im Bevölkerungsschutz.
- Sie liefert belastbare Informationen über Gefahren, Risiken und über vorhandene Fähigkeiten im Umgang mit Risiken auf deren Grundlage angemessen entschieden werden kann.
- Die Methode orientiert sich am internationalen Standard des Risikomanagements ISO 31000 und 31010.
- Seit 2012 wurden folgende Gefahren einer Risikoanalyse unterzogen und die Ergebnisse in den entsprechenden Bundestagsberichten veröffentlicht
- Extremes Schmelzhochwasser aus den Mittelgebirgen (2012),
- Pandemie durch Virus Modi-SARS (2012),
- Wintersturm (2013),
- Sturmflut (2014),
- Freisetzung radioaktiver Stoffe aus einem Kernkraftwerk (2015),
- Freisetzung chemischer Stoffe (2016),
- Dürre (2018).
Ergebnisse der Analysen sind die Eintrittswahrscheinlichkeiten und Schadensauswirkungen der untersuchten Ereignisse sowie Erkenntnisse und Handlungsempfehlungen, die im Sinne eines ganzheitlichen Risiko- und Krisenmanagements von Bedeutung sind. Vorlage:Hauptartikel
Risikenanalysen in Unternehmen
- Risikenanalysen in Unternehmen haben Bedeutung
- als gesetzliche Vorschrift den Jahresabschluss eines Unternehmens um einen Lage- oder Risikobericht zu ergänzen (vgl. Gesetz zur Kontrolle und Transparenz im Unternehmensbereich);
- als Aufgabe in der Projektplanung („Projektrisikoanalyse“) oder Investitionsrechnung;
- bei der Beurteilung der Risikosituation von Unternehmen (z. B. als Grundlage für Unternehmensbewertung oder Strategiebewertung);
- in Kreditinstituten zur Bestimmung von risikobehafteten Kundensegmenten, zur Steuerung des Kreditrisikos oder der Kreditentscheidungen oder zur Bestimmung der Eigenmittelanforderungen nach Basel III (Kreditwürdigkeitsprüfung aller Kreditnehmer, Kontrahenten und Gegenparteien);
- bei der Identifikation von Risiken neuer Technologien oder gesellschaftlicher Entwicklungen;
- bei der Identifikation und Bewertung von Produktrisiken, insbesondere bei der Markteinführung neuer Produkte bzw. Abschluss von Produkthaftpflichtversicherungen;
- für die Feststellung durch dolose Handlungen (Untreue, Unterschlagung, Betrug, Verrat von Dienst- oder Geschäftsgeheimnissen, Korruption usw.) gefährdeter Arbeitsabläufe in Verwaltungen und Betrieben und zur Überprüfung und Weiterentwicklung der bestehenden internen Kontrollsysteme.
Risikoanalyse ist in der Betriebswirtschaftslehre die Identifikation und Quantifizierung von Risiken durch Abschätzung der Eintrittswahrscheinlichkeit und der möglichen, meist unsicheren Auswirkungen (z. B. auf die Kosten).
- Sie ist die Grundlage für die Ermittlung der Höhe kalkulatorischer Wagniskosten (siehe Risikokosten) und notwendig für die Bestimmung erwartungstreuer Planwerte (z. B. bei der Unternehmensbewertung durch das Risikomanagement).
- Teilschritte
- Risikoidentifikation: Mit welchen Risiken ist mein Unternehmen konfrontiert?
- Risikoanalyse und -evaluation: Wie wahrscheinlich ist ihr Eintritt und welche Risikohöhe weisen sie auf?
- Risikobearbeitung und -dämpfung: Mit welchen Maßnahmen kann ich vorbeugen bzw. den Schaden im Falle des Eintritts des Risikos begrenzen?
- Risiko-Monitoring und -Review: Wie verändert sich die Risikosituation und mit welchen Mitteln kann ich ihre Entwicklung beobachten?
Mit dem letzten Schritt schließt sich der Kreis, falls neue Risiken ausgemacht werden?
Soweit möglich basiert eine Risikoanalyse auf einer statistischen Datenanalyse: Es werden die in den verschiedenen Jahren (sogenannte Produktionsjahre) neu abgeschlossenen Verträge (sogenannte Produktion) in Segmente unterteilt.
- Innerhalb jedes Segments und pro Produktionsjahr werden die in Zahlungsschwierigkeiten geratenen Verträge ermittelt.
- Die Segmente, bei denen für viele Produktionsjahre der jeweilige Anteil an in Zahlungsschwierigkeiten geratenen Verträgen in Prozent höher ist als der Anteil in den Produktionsjahren, werden als riskant betrachtet.
- Es sei darauf aufmerksam gemacht, dass zum einen die Anzahl Verträge ein hinreichend großes Volumen erreichen muss und zum anderen, dass das Ergebnis der Analyse stets nach inhaltlicher Stichhaltigkeit überprüft werden muss, um eine sachlich begründete Aussage zu liefern.
- Insbesondere ist die Frage zu beantworten, ob die erkannten Zusammenhänge auch in der Zukunft stabil bleiben.
Technisch bedingte betriebswirtschaftliche Risiken können z. B. durch Fehlerbaumanalyse, Failure Mode and Effects Analysis oder Fehler-Ursachen-Analyse aufgedeckt und quantifiziert werden.
Bei anstehenden strategischen Entscheidungen und Planungen hinsichtlich der Unternehmensentwicklung kommen die deterministische Szenarioanalyse zur Anwendung, bei der ausgewählte Szenarien untersucht werden, sofern die Wahrscheinlichkeit des Auftretens der Risiken und ihrer Einflussrichtung hinlänglich bekannt sind.
- Ist dies nicht der Fall, sind also die Bestimmungsfaktoren des Risikos zufallsverteilt, kann die stochastische Szenarioanalyse herangezogen werden, etwa in Form der Monte-Carlo-Simulation oder einer PERT-Analyse mit stochastischen Knoten.
Ein Problem der klassischen betriebswirtschaftlichen Risikoanalyse besteht darin, dass in internationalen Kontexten und Lieferketten schwer quantifizierbare und auch stochastisch schwer beschreibbare länderspezifische makroökonomische und politische Risiken durch Terror, Kriminalität, Korruption, Staatsbankrotte, Währungskrisen, Embargos, Handelssanktionen, rechtliche Änderungen sowie infolge von Risiken des Geldtransfers eine zunehmende Rolle spielen.
Risikoanalyse in anderen Bereichen
Risikoanalysen werden heute in allen Industriebereichen mit einem Risikopotential, wie der Kerntechnik, Luftfahrt, Eisenbahn, Schifffahrt, Chemie, Petrochemie und Staudämme oder sonstige technische Anlagen durchgeführt, wobei die Methoden der probabilistischen Sicherheitsanalyse (PSA) zur Anwendung kommen.
- Bei Großveranstaltungen wird – der unterschiedlichen Gefahrenneigung Rechnung tragend – zur Berechnung der Stärke der Einsatzkräfte des Sanitätswachdienstes das Maurer-Schema angewandt.
- Bei Feuerwehren wird ein Brandschutzbedarfsplan in einigen Bundesländern vorgeschrieben, um mit diesem Instrument der Risiko- und Gefahrenanalyse zur Erreichung der Schutzziele innerhalb der Hilfsfrist zu gewährleisten.
- Im Arbeitsschutz heißt die Risikoanalyse Gefährdungsbeurteilung.
- In der Toxikologie und Ökotoxikologie.
- Umweltrisikoanalyse im Rahmen des Umweltrisikomanagements.
- Für Siedlungen im Gebirge und bei Großbauten sind die möglichen Naturgefahren (Bergrutsche, Lawinen, Muren, Setzungen, Sackungen etc.) abzuschätzen.
- Neben Methoden der Geotechnik wird oft auch die Geoseismik angewandt.
- Bei der Maschinen- und Anlagekonstruktion werden die von der Maschine / Anlage ausgehende Gefahr bestimmt und die Gegenmaßnahmen bestimmt anhand der Norm ISO 12100 Sicherheit von Maschinen – Allgemeine Gestaltungsleitsätze – Risikobeurteilung und Risikominderung (siehe auch Sicherheitssystem).
- In der Medizinwirtschaft und bei der Entwicklung von Medizinprodukten muss gemäß den Vorgaben der EN ISO 14971 und den Regelungen des Medizinproduktegesetzes ein Risikomanagementprozess fortlaufend geführt und dokumentiert werden.
- Im Bereich Elektrotechnik führt die europäische Norm EN 62305-2 (siehe Blitzschutz) zur Notwendigkeit einer Risikoanalyse (betreffend Gefährdung durch Blitzschlag und Überspannung) bei der Errichtung elektrischer Anlagen.
- Zur Evaluierung von Bahnübergängen können Risikoanalysen eingesetzt werden, um die benötigte Sicherheitsanforderungsstufe zu bestimmen, sodass eine angemessene Sicherung z. B. durch ein Warnsystem vorgesehen wird.
- Für Risiken rund um Informationen, IT-Systeme und IT-Dienstleistungen werden Risikomanagementprozesse aufgesetzt.
- Für die Lebensmittelsicherheit findet das Konzept Gefahrenanalyse und kritische Kontrollpunkte (HACCP) Anwendung.
Konsolidierung
Beschreibung
- Zusätzlichen Maßnahmen
Als Abschluss der Risikoanalyse sind die zusätzlichen Maßnahmen, deren Umsetzung beschlossen wurde, in das vorhandene Sicherheitskonzept zu integrieren
- Konsolidierung des Sicherheitskonzepts
- Darauf aufbauend ist der Sicherheitsprozess fortsetzen
- Prüfung zusätzlichen Sicherheitsmaßnahmen
| Option | Beschreibung |
|---|---|
| Eignung | |
| Angemessenheit | |
| Benutzerfreundlichkeit | |
| Zusammenwirken | mit anderen Maßnahmen |
- Änderungen
Diese Konsolidierung des Sicherheitskonzepts kann sowohl zu Anpassungen bei den zusätzlich ausgewählten Maßnahmen als auch zu Änderungen im bestehenden Konzept führen.
- Weitere Informationen
Weitere Informationen zur Konsolidierung von Sicherheitsmaßnahmen finden Sie in der nächsten Lektion.
- Konsolidierung
- Sind die Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet?
- Wirken die Sicherheitsmaßnahmen sinnvoll zusammen?
- Welche Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
- Sind die Sicherheitsmaßnahmen benutzerfreundlich?
- Sind die Sicherheitsmaßnahmen angemessen?
- Verpacken der neu gefundenen Gefährdungen und Anforderungen in einem benutzerdefinierten Baustein
- Ggf. Ergänzung bestehender Bausteine um aus der Risikobewertung ermittelten Anforderungen
- Konsolidierung des Sicherheitskonzepts
Falls bei der Behandlung von verbleibenden Gefährdungen ergänzende Maßnahmen zu den bereits im Sicherheitskonzept beschriebenen Sicherheitsmaßnahmen hinzugefügt wurden, muss das Sicherheitskonzept anschließend konsolidiert werden.
Konkret bedeutet dies, dass die Sicherheitsmaßnahmen für jedes Zielobjekt anhand folgender Kriterien überprüft werden:
- Eignung der Sicherheitsmaßnahmen zur Abwehr der Gefährdungen
- Werden alle Aspekte der relevanten Gefährdungen vollständig abgedeckt?
- Stehen die getroffenen Gegenmaßnahmen im Einklang mit den Sicherheitszielen?
- Zusammenwirken der Sicherheitsmaßnahmen
- Unterstützen sich die Maßnahmen bei der Abwehr der relevanten Gefährdungen?
- Ergibt sich durch das Zusammenwirken der Maßnahmen ein wirksames Ganzes?
- Stehen die Maßnahmen nicht im Widerspruch zueinander?
- Benutzerfreundlichkeit der Sicherheitsmaßnahmen
- Sind die getroffenen Maßnahmen tolerant gegenüber Bedienungs- und Betriebsfehlern?
- Sind die getroffenen Maßnahmen für die Mitarbeiter und andere Betroffene transparent?
- Ist für die Betroffenen ersichtlich, wenn eine Maßnahme ausfällt?
- Können die Betroffenen die Maßnahme nicht zu leicht umgehen?
- Angemessenheit/Qualitätssicherung der Sicherheitsmaßnahmen
- Sind die getroffenen Maßnahmen für die jeweiligen Gefährdungen angemessen?
- Stehen die Kosten und der Aufwand für die Umsetzung in einem sachgerechten Verhältnis zum
Schutzbedarf der betroffenen Zielobjekte?
- Auf dieser Grundlage sollte das Sicherheitskonzept bereinigt und konsolidiert werden
- Ungeeignete Sicherheitsmaßnahmen sollten verworfen und nach eingehender Analyse durch wirksame Maßnahmen ersetzt werden.
- Widersprüche oder Inkonsistenzen bei den Sicherheitsmaßnahmen sollten aufgelöst und durch einheitliche und aufeinander abgestimmte Mechanismen ersetzt werden.
- Sicherheitsmaßnahmen, die von den Betroffenen nicht akzeptiert werden, sind wirkungslos. Es sollten praktikable Lösungen erarbeitet werden, die die Betroffenen möglichst wenig einschränken oder behindern.
- Zu aufwendige oder zu teure Sicherheitsmaßnahmen sollten entweder überarbeitet oder verworfen und durch angemessene Schutzmaßnahmen ersetzt werden. Allerdings gefährden zu schwache Maßnahmen die Informationssicherheit. Auch sie sollten überarbeitet oder ersetzt werden.
- Integration der Inhalte
- Bei Zielobjekten, die bereits im IT-Grundschutz-Kompendium enthalten sind, kann es sich als sinnvoll erweisen, bestehende Bausteine um aus der Risikoeinstufung ermittelte Anforderungen zu ergänzen.
- Bei Zielobjekten, die nicht hinreichend mit dem bestehenden IT-Grundschutz abgebildet werden können, kann überlegt werden, die neu gefundenen Gefährdungen und Anforderungen (siehe
Beispiele zur Smart-Meter-Gateway-Administration, Kapitel 4 und 5) in einem benutzerdefinierten Baustein zusammenzufassen.
- Beispiel (Auszug)
Bei der Konsolidierung des Sicherheitskonzepts für die RECPLAST GmbH wurde unter anderem Folgendes festgestellt:
- Zwei Jahre zuvor wurde entschieden, dass der Einsatz von Verschlüsselung zur Netzkommunikation entbehrlich ist. Eine gemeinsame Projektgruppe mit dem Auftraggeber ist zu dem Ergebnis gekommen, dass diese Entscheidung nicht mehr dem Stand der Technik entspricht.
Die Vorgaben zur Konfiguration der Router werden deshalb kurzfristig überarbeitet und an die aktuellen Bedürfnisse angepasst.
- Sowohl der Client C1 als auch der Switch N3 werden im Fertigungsbereich eingesetzt. Im Rahmen der Risikoanalyse wurde festgestellt, dass die größten Gefahren für C1 von Luftverunreinigungen, Spritzwasser und Vibrationen ausgehen. Im Rahmen eines Brainstormings ist deshalb beschlossen worden, anstelle eines handelsüblichen PCs einen Industrie-PC einsetzen, der besonders gegen physische Gefahren geschützt ist. Der Industrie-PC muss für den Einbau in
Standard-19-Zoll-Schränke geeignet sein. Ebenso muss er über ein integriertes oder ausklappbares Display sowie einen leicht auswechselbaren Luftfilter verfügen und gegen Spritzwasser und Vibrationen schützen.
- Oben genannte Anforderungen tragen den besonderen infrastrukturellen Rahmenbedingungen des Clients C1 Rechnung. Im Fertigungsbereich wird außer diesem Client noch weitere
Informationstechnik betrieben, die zwar nicht Gegenstand der Risikoanalyse ist, die aber dennoch angemessen geschützt werden muss. Das Unternehmen nimmt die Erfüllung obiger Anforderungen zum Anlass, eine Richtlinie für den sicheren Betrieb von Informationstechnik im Fertigungsbereich zu erarbeiten, usw.
- Beispiel (Auszug)
Bei der Konsolidierung des Sicherheitskonzepts für die Administration des Smart Meter Gateways ist entschieden worden, die im Rahmen der Risikoeinstufung und -behandlung ermittelten Gefährdungen
- G 0.18 Fehlplanung oder fehlende Anpassungen,
- G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen,
- G 0.43 Einspielen von Nachrichten usw. und die Sicherheitsanforderungen und Maßnahmen
- geeignete Netzsegmentierung
- Einsatz eines angemessenen Rollen- und Rechtekonzepts usw. in einem benutzerdefinierten Baustein zusammenzufassen
Umsetzung
Umsetzung der Maßnahmen