BSI/200-3/Anhang: Unterschied zwischen den Versionen

Aus Foxwiki
K Dirkwagner verschob die Seite Grundschutz/200-3/09 Anhang nach Grundschutz/200-3/Anhang, ohne dabei eine Weiterleitung anzulegen
Keine Bearbeitungszusammenfassung
 
(52 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Risikoappetit (Risikobereitschaft) ==
{| class="wikitable options"
Risikoappetit bezeichnet die durch kulturelle, interne, externe oder wirtschaftliche Einflüsse entstan­
|-
dene Neigung einer Institution, wie sie Risiken einschätzt, bewertet und mit ihnen umgeht.
! Kapitel !! Titel !! Beschreibung
Die Neigung, innerhalb einer Institution Risiken einzugehen, wird durch eine Vielzahl von Faktoren
|-
beeinflusst, sodass eine quantitative Einstufung des Risikoappetits recht komplex werden kann. Ein
| 9.1 || [[Risikobereitschaft]] ||
Ziel dieses Kapitels ist es, die Komplexität zu verringern und eine beherrschbare Zahl von Risikonei­
|-
gungstypen zu definieren, denen Empfehlungen für einen sinnvollen Umgang mit Risiken gegeben
| 9.2 || [[Risikoanalyse/Meeting]] || Risikoanalyse-Meeting
werden können.
|-
| 9.3 || [[BSI/200-3/Gefährdungsübersicht#Zusätzlicher Gefährdungen]]
|-
| 9.4 || [[ISO/IEC_31000#Grundschutz_und_ISO/IEC_31000 | Zusammenspiel mit ISO/IEC 31000]] ||
|}


=== Einflussfaktoren ===
<noinclude>
Zu den äußeren Bedingungen, die die Risikoneigung einer Institution beeinflussen, gehören:
[[Kategorie:BSI/200-3]]
* * * * Kulturelle Einflüsse (Je nach Land und Mentalität gibt es unterschiedliche Bereitschaften, Risiken
</noinclude>
einzugehen.)
Interne Faktoren (Organisationskultur, Einstellung des Managements, Risiken als Problem oder
Chance sehen)
Konservative Institutionen neigen eher zur Risikovermeidung (z. B. Behörden oder Unternehmen,
die um ein besonders seriöses Image bemüht sind). Schnell wachsende Unternehmen sind eher
bereit, Risiken zu tragen, wohingegen etablierte Großunternehmen Risiken eher meiden. Bei Groß­
unternehmen ist es manchmal jedoch auch sinnvoll, das Risikomanagement für unterschiedliche
Unternehmensbereiche unterschiedlich aufzusetzen, je nachdem, ob es sich bei den Bereichen um
neue, technologieintensive Bereiche (mit hoher Risikoneigung) oder „Cash Cows“ (mit niedriger
Risikoneigung) handelt. Großunternehmen haben hier den Vorteil, dass sie Risiken über verschie­
dene Bereiche streuen können. Daher kann der Risikoappetit in den diversen Unternehmensteilen
auch unterschiedlich sein. Je klarer Visionen und strategische Ziele der Institution sind, desto direk­
ter ergibt sich daraus auch eine Einstellung zu Risiken.
Marktumfeld (z. B. konservatives oder innovatives Umfeld)
Das Marktumfeld und interne Faktoren stehen in einem engen Zusammenhang. Wer in neue
Märkte einsteigt, muss sich auf die dort geltenden Regeln und insbesondere auf Wettbewerb ein­
stellen, auch wenn dies eventuell der Tradition der Institution zuwiderläuft. Es ist sinnvoll, konkur­
rierende Institutionen zu beobachten und die eigene Handlungsweise (z. B. nach den Regeln der
Spieltheorie) danach auszurichten. Die Strategie kann (hier wiederum nach der Kultur innerhalb
der Institution) darauf hinauslaufen, an der Spitze des Marktes stehen zu wollen: In diesem Fall wird
Bereitschaft gezeigt werden müssen, hohe Risiken einzugehen. Im anderen Fall kann sich die In­
stitution entscheiden, als „Fast Follower“ zu agieren. Dies bedeutet, dass sie versucht, der Konkur­
renz die Risiken zu überlassen und trotzdem einen attraktiven Marktanteil zu erringen. Bei der
Entscheidung, ob eine Institution bestimmte Maßnahmen umsetzt oder nicht, spielt auch häufig
eine Rolle, was die Konkurrenz macht (sofern deren Maßnahmen bekannt sind).
Risikotragfähigkeit (Finanzierung der Institution [Haftung, Kapitaldecke usw.])
Obwohl Großunternehmen, wie schon erwähnt, eher zur Risikovermeidung neigen, haben sie üb­
licherweise eine Kapitaldecke, die es zumindest bei Teilbereichen erlaubt, Risiken zu tragen. Kleine
Unternehmen, die über eine eher geringe Kapitaldecke verfügen, aber trotzdem aus Gründen des
Marktumfeldes signifikante Risiken eingehen müssen, arbeiten aus demselben Grund manchmal
mit Risikokapitalgebern zusammen.
 
=== Quantifizierung von Risikoneigung ===
Vereinfacht dargestellt, läuft das Risikomanagement in folgenden Schritten ab. Präzise Definitionen können z. B. ISO/IEC 31000 (siehe [31000]) oder NIST SP 800-30 (siehe [NIST800-30]) entnommen
werden:
* Identifikation von Risiken
* Risikoeinschätzung (Ermittlung von Eintrittshäufigkeit und Schadenshöhe)
* Risikobewertung (Ermittlung der Risikokategorie)
* Bestimmung von Maßnahmen zur Behandlung von Risiken
* Vergleich der Kosten jeder Maßnahme mit zu erwartenden Schäden und Entscheidung für oder gegen die Umsetzung der Maßnahme
* Restrisikobetrachtung: Festlegung von Handlungsoptionen
* Abgleich mit Chancen (erwartete Einnahmen und Nutzen des Geschäftsfeldes)
* Verfolgung der Risiken und Anpassung der Maßnahmen bzw. Handlungsoptionen im laufenden Betrieb
 
In mehreren dieser Schritte kann sich die Risikoneigung einer Institution widerspiegeln.
 
; Kriterien für Risikoneigung
Beim Versuch, Kriterien für die Risikoneigung festzulegen, ergeben sich mehrere mögliche Ansätze. Es folgen einige Beispiele:
* Höchstmögliches akzeptables Risiko
* Höchstmögliche akzeptable Eintrittshäufigkeit für Risiken
* Akzeptanz von Risiken bei gleichzeitig hohen Marktchancen
* Akzeptanz von Unvorhersagbarkeit (z. B. wenn sich Risiken nur schwer einer Häufigkeit oder Schadenssumme zuordnen lassen)
* Auswahl von Behandlungsalternativen ab einem bestimmten Restrisiko
 
Nicht immer lassen sich Einstellungen gegenüber Risiken rational begründen. Ein Beispiel wäre die
pauschale Abneigung einer Institution, Risiken mit hoher Eintrittshäufigkeit einzugehen, denn wenn
mit diesen Risiken keine hohen Schäden einhergingen, müssten sie nicht unbedingt vermieden wer­
den. Eine derartige Entscheidung könnte aber trotzdem intuitiv gefällt werden, wenn die Institution
sich bei der Bestimmung der Schadenshöhe nicht ausreichend sicher ist. Ein analoges Argument träfe
bezüglich der Einstellung gegenüber einer maximal akzeptierten Schadenssumme zu. Unpräzises Da­
tenmaterial führt dazu, dass sich Institutionen in der einen oder anderen Weise entscheiden müssen.
Dabei wird die Entscheidung von der Risikoneigung stark beeinflusst.
 
; Optimale Strategie und Unsicherheit
Wenn sich alle Parameter, die in das Risikomanagement eingehen, exakt bestimmen ließen, wäre
auch ein optimaler Umgang mit diesen Risiken ermittelbar. Diese Parameter sind beispielsweise die
Eintrittshäufigkeiten und Schadenssummen (vor und nach Behandlung durch Maßnahmen), die Kos­ten von Maßnahmen, die Kosten von Behandlungsalternativen und die erwarteten Chancen, also z. B. Einnahmen aus einem Geschäft.
Risiken müssen immer gegen Chancen abgewogen werden. Typisch wäre beispielsweise bei einem
Geschäftsfeld, mit dem Risiken verbunden sind, dass risikoscheue Institutionen das Risiko vermeiden
und gleichzeitig die entsprechende Chance verpassen, während weniger risikoscheue Institutionen
das Risiko eingehen, aber damit gleichzeitig die Chance wahrnehmen.
Wenn sich die oben erwähnten Parameter alle exakt ermitteln ließen, könnte ein präziser Erwartungs­
wert für die erzielten Gewinne oder Verluste der Institution ermittelt werden, abhängig davon, ob das
Risiko eingegangen wird oder nicht. In diesem Falle gäbe es eine optimale Strategie für die Institution
und die Frage der Risikoneigung würde keine Rolle mehr spielen.
Daran wird deutlich, dass die Risikoneigung deswegen bedeutsam ist, weil die Eingangsdaten für das
Risikomanagement mit Unsicherheiten behaftet sind. Die Frage ist, wie man die Unsicherheiten be­
wertet und wie die Institution für einen hohen Schadensfall gerüstet ist.
 
; Mögliche Maßzahlen
Unabhängig von eher intuitiv begründeten Risikoneigungen, wie sie oben beschrieben wurden, soll
versucht werden, Maßzahlen für die Risikoneigung zu ermitteln. Dabei wird von den Schritten ausge­
gangen, die oben zum grundsätzlichen Vorgehen beim Risikomanagement beschrieben wurden, und
es soll eine rationale Vorgehensweise bei der Beurteilung der Risiken angestrebt werden.
Die einfachste Maßzahl orientiert sich am Erwartungswert für die Schadenshöhe, definiert als Produkt
aus der Eintrittshäufigkeit für das Risiko und der Schadenshöhe. Risiken werden oft als Matrix darge­
stellt, bei der auf der einen Achse die Eintrittshäufigkeit und auf der anderen die Schadenshöhe an­
geführt wird. Die hohen Risiken befinden sich in der Matrix in einem rot eingefärbten Bereich. Ein
„hoher Risikoappetit“ könnte also im einfachsten Falle als Bereitschaft definiert werden, auch Risiken
in diesem Bereich zu akzeptieren. Ein „niedriger Risikoappetit“ hieße Vermeidung, also möglicher­
weise gleichzeitig Verzicht auf eine Einnahmechance.
 
; Die Abbildung 4 zeigt eine beispielhafte Risikomatrix mit definierten Risikokategorien.
 
Um die Schwellwerte festzulegen, mittels derer die Eintrittshäufigkeiten und Auswirkungen als
„hoch“ eingestuft werden, orientieren sich Institutionen typischerweise an ihren finanziellen Kenn­
zahlen. Die Leitungsebene entscheidet, welche Schwellwerte sie als „hoch“ einstuft. Die Schwelle
könnte sich an den finanziellen Rücklagen orientieren, aber auch am Umsatz der Institution. So kann
die Schwelle als ein bestimmter Prozentsatz des Umsatzes festgelegt werden. Sie kann sich aber
auch daran orientieren, ob die Institution bei Eintritt eines bestimmten Risikos noch liquide wäre. Je
nach der Höhe des Risikos müssen Entscheidungen normalerweise von verschiedenen Führungs­
ebenen genehmigt werden, hohe Risiken sollten demnach nicht ohne Erlaubnis des Topmanage­
ments eingegangen werden.
 
; Abbildung 4: Beispielhafte Risikomatrix mit Risikokategorien
 
Wenn also Risiken eingeschätzt und in die oben dargestellte Risikomatrix eingetragen werden, ergibt
sich eine Darstellung wie in Abbildung 5, innerhalb derer sechs verschiedene Risiken ermittelt wurden
und als Kreise mit Nummern eingetragen sind. Hier würde eine Institution mit hohem Risikoappetit
(die obere der zwei schwarzen Linien) die Risiken 1 und 3 unterhalb der Linie noch tragen, während
eine Institution mit niedrigem Risikoappetit nur die Risiken 4, 5 und 6 tragen würde (untere Linie).
 
; Risiko 2 würde in diesem Fall keine der Institutionen tragen.
 
Wie oben schon erwähnt, gäbe es aber auch für Institutionen mit einem geringen Risikoappetit keinen
Grund, auf Chancen zu verzichten, wenn verlässliche Daten Einnahmen erwarten ließen, die die Kos­
ten durch eingetretene Risiken überträfen. Einzig und allein die Unsicherheiten bei den erhobenen
Daten sind der Grund dafür, dass Institutionen mit einem geringeren Risikoappetit in derartigen Si­
tuationen zur Risikovermeidung neigen.
Eine andere Definition für Risikoappetit besteht in der Akzeptanz von Unsicherheiten bei der Interpre­
tation des Datenmaterials. Gerade bei innovativen Branchen können Institutionen nicht auf viel vor­
handenes Datenmaterial bei der Ermittlung von Eintrittshäufigkeiten und Schadenshöhen von Risiken
zurückgreifen. Unwägbarkeiten kommen bei Risiken im Bereich der Informationssicherheit nahezu
immer ins Spiel, im Gegensatz zu statistisch gut vorhersagbaren Risiken, wie sie beispielsweise zu
Elementarschäden in der Versicherungswirtschaft vorliegen.
Die Unsicherheiten lassen sich in einem Risikodiagramm beispielsweise mit Fehlerbalken darstellen,
die die Unsicherheit der Daten repräsentieren. Auch die Längen dieser Fehlerbalken sind bei größerer
Unsicherheit nur intuitiv zu ermitteln.
 
; Abbildung 6 zeigt eine Risikomatrix mit Fehlerbalken.
 
Sie sind in diesem Beispiel vertikal ausgerichtet,
geben also eine Unsicherheit bei der Schadenshöhe an. Fehlerbalken in horizontaler Ausrichtung wä­
ren genauso denkbar. Institutionen mit einem geringen Risikoappetit würden sich in dieser Darstel­
lung eher am oberen Rand der Werte für die Eintrittshäufigkeit und Schadenshöhe orientieren, Insti­
tutionen mit einem hohen Risikoappetit in der Mitte (nicht am unteren Rand, weil das wiederum
bedeuten würde, Risiken systematisch zu unterschätzen).
Interessant ist ein Vergleich der Risiken 4 und 5: Eine Institution mit niedriger Risikoneigung würde in
dieser Situation vielleicht eher das Risiko 4 als das Risiko 5 akzeptieren, obwohl es einen höheren
Erwartungswert für den Schaden trägt. Hier ist die Unsicherheit bei der Schadenshöhe ausschlagge­
bend, die bei Risiko 5 höher liegt, gekennzeichnet durch den Fehlerbalken, der bei Risiko 5 in größere
Schadenshöhen hineinragt als der von Risiko 4.
 
; Abbildung 6: Risikomatrix mit Unsicherheiten
 
Zuletzt gibt es auch noch die Möglichkeit, Risiken in unterschiedliche Kategorien einzuteilen und ei­
nen unterschiedlichen Risikoappetit pro Kategorie zu entwickeln. Beispielsweise könnte eine Institu­
tion Rufschädigungen scheuen, aber bereit sein, hohe finanzielle Risiken einzugehen. Dadurch ändert
sich prinzipiell nichts am Vorgehen, sondern die unterschiedlichen Kategorien werden einfach geson­
dert voneinander betrachtet.
Risikotypen
In einem einfachen Modell kann man Institutionen je nach ihrem Umgang mit Risiken in verschiedene
Typen unterteilen. Eine beispielhafte Unterteilung wäre die folgende:
* „Cowboy“ – entspricht einer Institution, die Risiken prinzipiell bereitwillig in Kauf nimmt
* „Risk-Eater“ – nimmt hohe Risiken in Kauf, wenn diesen auch hohe Chancen gegenüberstehen
* „Konservativer“ – versucht, alle Risiken durch Maßnahmen so weit wie möglich zu minimieren
 
Wenn unter „Cowboy“ eine Institution verstanden wird, die Risiken einfach ignoriert, widerspricht
das den Prinzipien des Risikomanagements und verlässliche Angaben über zu erwartende Konse­
quenzen, also Schäden oder Chancen, sind schwer möglich.
Für die folgende Betrachtung soll angenommen werden, dass eine Institution ein professionelles
Risikomanagement betreibt. Auch wenn ein professionelles Risikomanagement nicht immer verhin­
dern kann, dass schlechte Entscheidungen getroffen werden, so stellt es dennoch sicher, dass diese
bewusst aufgrund vorhandener Analysen getroffen werden. Die Risikoneigung sollte keinen Ein­
fluss darauf haben, ob überhaupt eine Risikoanalyse durchgeführt wird und mit welcher Sorgfalt
dies geschieht. Sie kann allerdings Einfluss darauf haben, wie viele Ressourcen die Institution in
Risikoanalyse und -behandlung investiert. Dabei sollte es sich jedoch um eine bewusste Entschei­
dung handeln.
 
; Für den Rest dieses Kapitels werden folgende Kategorien benutzt:
* Konservativer
Der Konservative scheut Risiken, die sich in der Risikomatrix im roten (und eventuell auch gelben)
Bereich befinden (siehe Abbildung 4) und meidet diese. Die damit verbundenen Chancen sind ihm
zu unsicher, um sich auf die Gefahren einzulassen.
* Risikoaffiner
Der Risikoaffine sieht stets die Chancen, die mit hohen Risiken verbunden sind. Wenn diese viel­
versprechend ausfallen – aber auch nur dann – ist er bereit, das Risiko einzugehen. Institutionen,
die jedes Risiko eingehen, auch wenn ihnen keine gleichwertigen Chancen gegenüberstehen, han­
deln selbstzerstörerisch und werden im Folgenden nicht weiter betrachtet.
* Unsicherheitsvermeider
Der Unsicherheitsvermeider versucht, möglichst verlässliche Daten über seine Risiken zu sam­
meln. Er neigt eher zur Vermeidung von Risiken, wenn diese sich quantitativ schwer einschätzen
lassen, als wenn diese hoch, aber gut kontrollierbar und durch eine solide Finanzierung oder zu
erwartende Einnahmen abgedeckt sind. Im letzteren Punkt unterscheidet er sich vom Konserva­
tiven.
 
=== Risikoneigung als Eingangsgröße im ISMS ===
Da die Risikoanalyse ein wichtiger Bestandteil des ISMS ist, sollten die Grundvoraussetzungen dafür
vom Management der Institution vorgegeben werden. Die Leitungsebene gibt die Risikoneigung vor.
Das Sicherheitsmanagement muss die Risikoneigung kennen und sie entsprechend umsetzen.
Möglicherweise ist sich eine Institution ihrer eigenen Risikoneigung nicht bewusst oder hat ungenaue
Vorstellungen von diesem Begriff. In diesem Fall sollte das Management eine Klärung und Entschei­
dung herbeiführen, gegebenenfalls unter Beratung durch eine Fachkraft (z. B. durch den Informati­
onssicherheitsbeauftragten bzw. ISB oder Risikomanager). Dabei werden die oben genannten Ein­
flussfaktoren berücksichtigt. Die für das Anforderungsmanagement (Corporate Compliance) zustän­
dige Organisationseinheit sollte ebenfalls gehört werden.
Die vom Management vorgegebene Aussage zur Risikoneigung kann zu Beginn der Risikoanalyse
präzisiert werden, im Sinne der oben definierten Kategorien oder Maßzahlen. Wichtig ist es, diese
Vorgabe einerseits regelmäßig zu überprüfen und an den Zielen der Institution auszurichten, sie aber
bei Risikoanalysen und -behandlungen auch konsequent umzusetzen. Zweifelsfälle können auftre­
ten, beispielsweise wenn es bei einem bestimmten Risiko nicht sinnvoll erscheint, die festgelegte Ri­
sikoneigung anzuwenden. Solche Ausnahmefälle sollten abgestimmt und dokumentiert werden.
Oben wurde beschrieben, auf welche Aspekte die Risikoneigung Einfluss haben kann. Wenn Entschei­
dungen getroffen werden, die durch die Risikoneigung mit beeinflusst wurden, sollte dies dokumen­
tiert werden.
Sobald die Risiken eingeschätzt und bewertet wurden, sollte bereits aufgrund der vorgegebenen Ri­
sikoneigung über eine mögliche Behandlung dieser nachgedacht werden, bevor ergänzende Sicher­
heitsmaßnahmen ermittelt werden. Unter Umständen lohnt sich die Planung von ergänzenden Sicher­
heitsmaßnahmen nicht. Im entgegengesetzten Fall werden Sicherheitsmaßnahmen geplant und be­
wertet, um das Risiko zu verringern, und anschließend das Restrisiko ermittelt. Restrisiken müssen
behandelt werden, wenn sie das akzeptierte Risiko übersteigen. In eine Entscheidung für eine Be­
handlungsoption fließt abermals die Risikoneigung ein.
Bei der Entscheidung, ob ein Risiko selbst getragen oder transferiert werden sollte, wird der „Risiko­
affine“ tendenziell eher zur ersten, die Typen „Konservativer“ und „Unsicherheitsvermeider“ eher zur
zweiten Option neigen, obwohl pauschale Aussagen hier nicht immer zutreffen. Der „Unsicherheits­
vermeider“ wird gegebenenfalls versuchen, durch die Umsetzung von Maßnahmen unter seiner ei­
genen Kontrolle die Unsicherheit bei der Risikoeinschätzung zu verringern.
Auch bei den einzelnen Entscheidungen, die bei der Risikoanalyse und -behandlung getroffen wer­
den, empfiehlt es sich, den Einfluss der Risikoneigung auf diese Entscheidungen zu dokumentieren.
Bei einer Änderung der Risikoneigung (z. B. durch veränderte Marktbedingungen) lässt sich die Risi­
koanalyse dann leichter anpassen.
Die Risikoneigung hat zudem Einfluss auf die Aufbauorganisation einer Institution. Ein Beispiel ist die
Frage, ob es eine Organisationseinheit für das Risikomanagement gibt und wie diese zusammenge­
setzt ist, obwohl diese Entscheidung natürlich von Faktoren wie der Firmengröße mitbestimmt wird.
Generell lautet die Empfehlung: Wer sich zu einer hohen Risikoneigung bekannt hat (Typus „Risiko­
affiner“), sollte dem in seinem Risikomanagementprozess und seiner Organisationsstruktur Rechnung
tragen. Hohe Risiken verlangen eine aufmerksame Verfolgung und Kontrolle.
 
=== Auswirkung von Gesetzen und Regularien ===
Gesetze und Normen beeinflussen nicht die Risikoneigung einer Institution an sich, aber den Umgang
mit Risiken. Die Risiken nehmen durch regulatorischen Druck zu, sodass sich das Verhältnis von Risi­
koappetit zu den ursprünglichen Risiken verschieben kann. Jede Institution muss Sanktionen auf­
grund von rechtlichen oder vertraglichen Verstößen in ihr Risikokalkül mit aufnehmen.
Ein Beispiel für Gesetze, die das Risikomanagement von Unternehmen beeinflussen, sind Daten­
schutzgesetze. Bei etlichen Unternehmen gab es trotz vorbeugender Maßnahmen Datenschutzpan­
nen. Vor dem Hintergrund dieser Erfahrungen sollte dies beim Risikomanagement berücksichtigt wer­
den. Insbesondere geht es darum, die gemachten Fehler, die zu den Datenschutzverstößen führten,
zu lokalisieren und geeignete Maßnahmen abzuleiten und umzusetzen. Infrage kommen beispiels­
weise Schulungen der Mitarbeiter und Awareness-Kampagnen.
Beispiele für Regularien durch Aufsichtsstellen gibt es viele, beispielsweise im Bankenwesen. Entschei­
dungen einer Institution, Risiken auf jeden Fall zu tragen, obwohl bei seriöser Betrachtung die Kapi­
taldecke dafür nicht ausreichen würde, werden durch Vorschriften der Finanzaufsicht unterbunden
oder mit entsprechenden Sanktionen belegt.
 
== Moderation der Risikoanalyse ==
Für eine Risikoanalyse müssen Fachverantwortliche bzw. Experten für die jeweils betrachteten Zielob­
jekte miteinbezogen werden. In der Praxis hat es sich bewährt, hierzu besser mehrere kurze als eine
lange Sitzung mit allen beteiligten Mitarbeitern durchzuführen. Es sollten Informationssicherheitsbe­
auftragte, Fachverantwortliche, Administratoren und Benutzer des jeweils betrachteten Zielobjekts
und gegebenenfalls auch externe Sachverständige daran teilnehmen.
Es sollte ein Moderator benannt werden. Der Arbeitsauftrag an die Teilnehmer sollte klar formuliert
sein und die Zeit für die Sitzungen begrenzt werden.
Damit die für die jeweiligen Schritte der Risikoanalyse notwendigen Beschlüsse direkt konsolidiert
werden können, z. B. zu Risikoakzeptanz, Kosten und Umsetzbarkeit, sollte (zumindest gegen Ende)
ein Vertreter der Leitungsebene anwesend sein.
Das Team sollte nicht zu groß sein (bewährt haben sich vier bis acht Personen). Es sollte im Team eine
ausreichende Expertise für alle Aspekte des betrachteten Bereichs vorhanden sein:
* Der Moderator sollte schon an Risikoanalysen teilgenommen haben, sodass er die Vorgehensweise kennt.
* Die Besprechung sollte unter Rahmenbedingungen stattfinden, die ein ungestörtes Arbeiten er­möglichen, da eine hohe Konzentration erforderlich ist.
* Der Analysebereich sollte klar abgegrenzt werden.
* Es muss ein klarer Maßstab für die Bewertung von Risiken festgelegt werden, damit alle Risiken mit demselben Niveau behandelt werden und die ergriffenen Maßnahmen vergleichbar und nachvoll­ ziehbar sind.
 
== Ermittlung zusätzlicher Gefährdungen ==
* Alle Teilnehmer sollten den groben Rahmen der Risikoanalyse und des betrachteten Bereichs ken­
nen, sodass sie sich vorab Gedanken machen konnten über Gefährdungen, Schadensauswirkun­
gen und Maßnahmen. Dazu gehört auch, dass sie die zum betrachteten Bereich gehörenden Ob­
jekte kennen wie auch die zugehörigen Geschäftsprozesse, Hintergründe, Einbettung in die Orga­
nisation und die Technik sowie technische Grundlagen.
* * * Alle Gefährdungen, die Teilnehmern einfallen, sollten auch genannt und diskutiert werden. Es ist
Aufgabe des Moderators, dafür zu sorgen, dass bei den Diskussionen die Ergebnisfindung nicht
aus den Augen verloren wird.
Detailfragen, die eine besondere Expertise erfordern, sollten im Vorfeld vorbereitet werden. Ein­
zelne Punkte können auch im Anschluss geklärt werden.
Es sollte ein Ergebnisbericht erstellt werden. Da viele potenzielle Angriffspunkte diskutiert wurden,
sollten die Unterlagen vertraulich behandelt werden.
Für die Durchführung jeder Risikoanalyse sollte es klare zeitliche Vorgaben geben. Erfahrungen
zeigen, dass die Resultate umso besser werden, je systematischer und konzentrierter vorgegangen
wird, nicht je länger es dauert. Auch eine Risikoanalyse für komplexe Sachverhalte ist normaler­
weise an einem Tag zu schaffen. Wenn der betrachtete Bereich zu umfangreich ist, sollte er in
Teilbereiche aufgeteilt werden. Auch bei einer Risikoanalyse sollte die 80:20-Regel beachtet wer-
den. Da ohnehin nicht jeder mögliche Sachverhalt betrachtet werden kann, sollten immer die am
wahrscheinlichsten Gefährdungen und die plausibelsten Lösungen im Vordergrund stehen. Wenn
esoterische Gefährdungen diskutiert werden, also solche, die extrem selten und hochgradig un­
wahrscheinlich sind, ist das ein Zeichen, dass die erforderliche Konzentration nicht mehr gegeben
ist.
 
; Die folgenden Fragestellungen sollten bei der Ermittlung zusätzlicher Gefährdungen berücksichtigt
werden:
* Von welchen Ereignissen aus dem Bereich höhere Gewalt droht besondere Gefahr für den Infor­mationsverbund?
* Welche organisatorischen Mängel müssen vermieden werden, um die Informationssicherheit zu gewährleisten?
* Welche menschlichen Fehlhandlungen können die Sicherheit der Informationen besonders beein­trächtigen?
* Welche speziellen Sicherheitsprobleme können beim jeweils betrachteten Zielobjekt durch techni­sches Versagen entstehen?
* Welche besondere Gefahr droht durch vorsätzliche Angriffe von Außentätern? Damit sind Perso­nen gemeint, die nicht der eigenen Institution angehören und auch nicht durch besondere Verein­barungen Zugang zu oder Zugriff auf interne Ressourcen haben.
* Auf welche Weise können Innentäter durch vorsätzliche Handlungen den ordnungsgemäßen und sicheren Betrieb des jeweiligen Zielobjekts beeinträchtigen? Durch vorhandene Zugangs- und Zu­griffsberechtigungen sowie durch Insiderwissen droht hier oft besondere Gefahr.
* Drohen besondere Gefahren durch Objekte, die nicht dem betrachteten Informationsverbund zuzurechnen sind? Solche externen Objekte können beispielsweise fremde Anwendungen, IT-Syste­me oder bauliche Gegebenheiten sein. Die Definition des betrachteten Informationsverbunds dient dazu, den Untersuchungsgegenstand für die Sicherheitskonzeption festzulegen. Dies darf jedoch nicht dazu führen, dass Gefahren, die von außerhalb des betrachteten Informationsverbunds aus­ gehen, bei der Risikoanalyse vernachlässigt werden. Quellen für diese speziellen Gefährdungen sind etwa die
* Dokumentation des Herstellers
* Warn- und Informationsdienste von Computer Emergency Response Teams (CERTs), wie dem des BSI unter https://www.cert-bund.de
* Publikationen über Schwachstellen im Internet (z. B. Threat Intelligence Feeds) und eigene Bedro­hungsanalysen
 
== Zusammenspiel mit ISO/IEC 31000 ==
In den internationalen Normen zum Risikomanagement und zur Risikobeurteilung, insbesondere der
ISO/IEC 31000, werden einige Begriffe anders belegt, als es im deutschen Sprachraum üblich ist. In der
nachfolgenden Tabelle sind die wesentlichen Begriffe aus ISO/IEC 31000 und dem BSI-Standard 200-3
einander gegenübergestellt. Diese Gegenüberstellung dient der Zuordnung der Begriffe der ISO
31000 zu den Begriffen der BSI-Standards 200-2 und 200-3 (siehe Abbildung 7).
ISO/IEC 31000 und IT-Grundschutz
ISO/IEC 31000:2009
Establishing the Context, Kapitel 5.3
Risk Assessment, Kapitel 5.4
* Risk Identification
* Risk Analysis
* Risk Evaluation
Risk Identification, Kapitel 5.4.2
Risk Analysis, Kapitel 5.4.3
Risk Evaluation, Kapitel 5.4.4
Risk Treatment, Kapitel 5.5
Communication and Consultation, Kapitel5.2
IT-Grundschutz
BSI-Standard 200-1 (siehe [BSI1]),
Managementprinzipien, Kapitel 4
Planung des Sicherheitsprozesses, Kapitel 7.1
BSI-Standard 200-2
Initiierung des Sicherheitsprozesses, Kapitel 3
BSI-Standard 200-3 Risikobeurteilung, Kapitel 1
* Erstellung einer Gefährdungsübersicht
* Risikoeinschätzung
* Risikobewertung
BSI-Standard 200-3
Erstellung einer Gefährdungsübersicht, Kapitel 4
BSI-Standard 200-3
Risikoeinschätzung, Kapitel 5.1
BSI-Standard 200-3, Risikobewertung, Kapitel 5.2
BSI-Standard 200-3, Risikobehandlung, Kapitel 6
BSI-Standard 200-1, Kommunikation und Wissen,
Kapitel 4.2
BSI-Standard 200-2
Informationsfluss im Informationssicherheitsprozess,
Kapitel 5.2
 
 
ISO/IEC 31000:2009
Monitoring and Review, Kapitel 5.6
IT-Grundschutz
BSI-Standard 200-1
Aufrechterhaltung der Informationssicherheit, Kapi­
tel 7.4 Kontinuierliche Verbesserung der Informati­
onssicherheit, Kapitel 7.5
BSI-Standard 200-2
Aufrechterhaltung und kontinuierliche Verbesserung
der Informationssicherheit, Kapitel 10
BSI-Standard 200-3
Risiken unter Beobachtung, Kapitel 6.2
Tabelle 11: Gegenfberstellung der Begriffe aus ISO/IEC 31000 und dem BSI-Standard 200-3
 
== Literaturverzeichnis ==
[27005]
ISO/IEC 27005:2011, International Organization for Standardization (Hrsg.), Informati­
on technology – Security techniques – Information security risk management, ISO/IEC
JTC 1/SC 27, 2011
[31000]
ISO/IEC 31000:2009, International Organization for Standardization (Hrsg.), Risk ma­
nagement – Principles and guidelines, ISO/TC 262, 2009
[31010]
ISO 31000:2009, International Organization for Standardization (Hrsg.), Risk manage­
ment – Risk assessment techniques, ISO/TC 262, 2009
[BSI1]
Managementsysteme für Informationssicherheit (ISMS), BSI-Standard 200-1, Version
1.0, Oktober 2017, https://www.bsi.bund.de/grundschutz
[BSI2]
IT-Grundschutz-Methodik, BSI-Standard
200-2,
Version
1.0,
Oktober
2017,
https://www.bsi.bund.de/grundschutz
[BSI4]
Notfallmanagement, BSI-Standard 100-4,
Version
1.0,
November
2008,
https://www.bsi.bund.de/grundschutz
[GSK]
IT-Grundschutz-Kompendium, BSI, jährlich neu,
https://www.bsi.bund.de/grundschutz
[ISACA]
Leitfaden ISO 31000 in der IT mit Vergleich zu anderen Standards, ISACA German
Chapter e.V. und Risk Management Association e.V., Juni 2014,
https://www.isaca.de/sites/pf7360fd2c1.dev.team-wd.de/files/attache­
ments/2014_11_isaca-leitfadenanwendungderiso31000inderit.pdf
[Koenigs]
IT-Risikomanagement mit System – Praxisorientiertes Management von Informationssi­
cherheit und IT-Risiken, Hans-Peter Koenigs, Springer, 2013
[NIST800-30] Guide for Conducting Risk Assessments, NIST Special Publication 800-30, September
2012, http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf
[SHB]
IT-Sicherheitshandbuch – Handbuch für die sichere Anwendung der Informationstech­
nik, BSI, Version 1.0, März 1992, Bundesdruckerei
 
[[Kategorie:Grundschutz/200-3]]

Aktuelle Version vom 10. Oktober 2024, 08:50 Uhr