Inhalte

Nr	Themenfeld	Gewichtung
	Information Security Management System
02	Normen und Standards	2
04	Vorgehensweise	2
05	Kompendium	2
08	Risikoanalyse	1
10	Aufrechterhaltung und Verbesserung	1
12	IT-Grundschutz-Profile	2
13	Audit-Vorbereitung	2
14	Vorfallbehandung	2
15	Business Continuity Management	2
	Zertifizierung zum Grundschutz-Berater

Information Security Management System

Information Security Management System (ISMS) - Managementsystem für Informationssicherheit

Beschreibung

Begriff

IT-Sicherheitsmanagement stammt aus dem Bereich der Informationstechnik

• Beschreibt einen fortlaufenden Prozess innerhalb einer Unternehmung oder Organisation zur Gewährleistung der IT-Sicherheit

Aufgaben des IT-Sicherheitsmanagements

Die Aufgabe des IT-Sicherheitsmanagements ist die systematische Absicherung eines informationsverarbeitenden IT-Verbundes

• Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden
• Die Auswahl und Umsetzung von IT-Sicherheitsmaßnahmen für die jeweiligen Geschäftsprozesse eines Unternehmens zählt zu den Tätigkeiten des IT-Sicherheitsmanagements
• Eine normierte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht

Begriffsherkunft

Der Begriff des IT-Sicherheitsmanagements taucht erstmals mit der Veröffentlichung der Green Books im Jahre 1989 auf

• Aus einem Teil der Green Books entwickelte sich die BS-7799-Norm für Informationssicherheit
• Gleichwohl wurden bereits von amerikanischen Behörden in den 1970er-Jahren Methoden für ein strukturiertes Vorgehen zur Absicherung gegen Bedrohungen der Informationssicherheit verwendet
• In den 1980er-Jahren folgten im englischsprachigen Bereich einige Studien und Aufsätze zum Thema computer abuse and security und wie eine effektive Informationssicherheit durch organisatorische Maßnahmen in einem Unternehmen erreicht werden konnte

Sicherheitstechnik

Institutionen nutzt Sicherheitstechnik

Beispielsweise um sich vor Gefahren aus dem Internet abzusichern

• Virenschutzprogramme
• Spamfilter
• gestaffelte Firewalls
• Software zur Angriffserkennung

Sicherheitsorganisation

Organisatorische Maßnahme

Richtlinien

• Benutzung mobiler Systeme erlassen oder die ihre Mitarbeiter über Gefahren im Internet informieren

Fehlende Konzeption

• Sowohl die Anwendung von Technik als auch die Einführung organisatorischer Maßnahmen erfolgt oft jedoch ohne Konzept und Erfolgskontrolle

Isolierte Maßnahmen

Für eine angemessene Informationssicherheit ist die isolierte Umsetzung einzelner technischer oder organisatorischer Maßnahmen erfahrungsgemäß, allerdings weder effektiv noch effizient

• Vielmehr ist ein Rahmen erforderlich, der dafür sorgt, dass alle Maßnahmen zielgerichtet gesteuert und überwacht werden

Ein solches Managementsystem für Informationssicherheit (ISMS) besteht aus folgenden Komponenten

• Managementprinzipien,etwa der Vorgabe von Zielen in der Organisation, der Erstellung von Kommunikationsgrundsätzen oder Regelungen für Kosten-Nutzen-Analysen,
• Ressourcen und Mitarbeitern,dies umfasst die Steuerung des Einsatzes von Technik und Personal sowie
• der Beschreibung eines Sicherheitsprozesses

Worauf sollten Sie beim Aufbau und Betrieb eines ISMS achten?

Antworten hierzu finden Sie im -Standard 200-1: Managementsysteme für Informationssicherheit ()

• Die dort genannten Empfehlungen werden im -Standard 200-2: -Grundschutz-Methodik konkretisiert
• In den Kapiteln 3 und 4 erfahren Sie dort beispielsweise, worauf bei der Initiierung und Organisation des Sicherheitsprozesses zu achten ist

Aspekte des Managements von Informationssicherheit gemäß IT-Grundschutz

Aspekt	Beschreibung
Sicherheitsprozess
Managementprinzipien
Sicherheitsorganisation
Sicherheitsleitlinie
Sicherheitskonzept
Dokumentation

Aufgabe

Systematische Absicherung eines Informationsverbunds

• Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden
• Die Auswahl und Umsetzung von IT-Sicherheitsstandards zählt zu den Aufgaben des IT-Sicherheitsmanagements

Standards

IT-Grundschutz des BSI

• Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen
• Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren
• Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor

ISO/IEC 27001

Norm für Informationssicherheitsmanagementsysteme (ISMS)

ISO/IEC 27002

Leitfaden für das Informationssicherheitsmanagement

Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm

Standards

Folgende Standards werden dem IT-Sicherheitsmanagement zugerechnet

Weltweit am stärksten verbreitet ist die ISO/IEC-27001-Norm

IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI)	Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel)
Für Systeme mit hohem Schutzbedarf	geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren
Die Grundschutz-Kataloge sind primär in Deutschland bekannt	liegen allerdings auch englischsprachig vor
ISO/IEC 27001	Norm für Informationsicherheitsmanagementsysteme (ISMS)
ISO/IEC 27002	Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005)
BS 7799-1 und BS 7799-2	Vorgänger der ISO/IEC 27002 und ISO/IEC 27001

Weitere Standards mit IT-Sicherheitsaspekten

ITIL	Best-Practices-Sammlung für das IT-Servicemanagement
ISO/IEC 20000	die ISO/IEC-Norm für IT-Servicemanagement
BS 15000	Britischer Standard für IT-Servicemanagement
COBIT	IT-Governance-Framework
ISO/IEC 13335	Ehemalige Normenreihe zum Sicherheitsmanagement in der Informations- und Kommunikationstechnik
EN ISO 27799	Medizinische Informatik – Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 (speziell für den Gesundheitsbereich)
VdS 10005	Richtlinie für IT-Sicherheit im kleinen Mittelstand
Payment Card Industry Data Security Standard (PCI-DSS)	Regelwerk für die Abwicklung von Kreditkartentransaktionen
Benchmarks des Center for Internet Security
Federal Information Processing Standards (FIPS)	weitere des US National Institute of Standards and Technology (NIST)

Verfahren und Regeln innerhalb einer Organisation

Informationssicherheit

• definieren
• steuern
• kontrollieren
• aufrechterhalten
• fortlaufend verbessern

Begriff wird im Standard ISO/IEC 27002 definiert

• ISO/IEC 27001 beschreibt ein ISMS

Deutscher Anteil an dieser Normungsarbeit

• DIN NIA-01-27 IT-Sicherheitsverfahren

Informationssicherheit und Datenschutz

Überschneidende Zuständigkeiten

Informationssicherheitsbeauftragte (ISB) und Datenschutzbeauftragter (DSB)

• Sollten personell getrennt wahrgenommen werden

ISO/IEC 27701

Mit der ISO/IEC 27701 wird das klassische Informationssicherheitsmanagementsystem um Datenschutzaspekte erweitert

• Sodass beide Beauftragte über das gleiche Dokumentenwerk gegenseitig zuarbeiten können

Allgemeine Ansätze

Ansatz	Beschreibung
Verankerung in der Organisation	Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt) Alternativ kann sich die Organisation auch eines externen Dienstleisters bedienen, der den ISB stellt
Verbindliche Ziele	Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben.
Richtlinien	Verabschiedung von Sicherheitsrichtlinien (Security Policy), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management
Personalmanagement	Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.
Aktualität des Wissens	Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt.
Qualifikation und Fortbildung	Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist.
Adaptive Sicherheit	Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst (Kontinuierlicher Verbesserungsprozess)
Vorbereitung	Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet

Zertifizierung

IT-Grundschutz/Zertifizierung

Normen und Standards

BSI-Standards - vom BSI veröffentlichte Standards

Beschreibung

Standards
200-1	Anforderungen an ein ISMS
200-2	Umsetzung der Anforderungen
200-3	Risikoanalyse
200-4	Business Continuity Management
Kompendium
Kapitel 1	IT-Grundschutz/Kompendium/Vorspann
Kapitel 2	Schichtenmodell / Modellierung
Elementare Gefährdungen	Elementare Gefährdungen
Schichten	Prozesse Systeme

• IT-Grundschutz (ISMS)
• Business Continuity Management (BCMS)
• IT-Sicherheit (IT-Grundschutz/Kompendium)

Version 200

Standard	Titel	Status	Beschreibung
200-1	Managementsysteme für Informationssicherheit	Standard	Information Security Management System
200-2	IT-Grundschutz-Methodik	Standard	Vorgehensweise
200-3	Risikomanagement	Standard	Risikoanalyse
200-4	Business Continuity Management	Standard	Notfallmanagement

ISO 27000

ISO/IEC 27000 - Informationstechnik - Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Überblick und Terminologie

Beschreibung

• Informativer Standard
• Einführung in ISO 27000 ff.

Definition relevanter Begriffe

• Beschreibt Begriffe nicht abschließend
• Nicht alle Begriffe der ISO 27000 ff.

Umsetzung des ISMS

• Grundsätze
• Generelle Aussagen zur Anwendung, Bedeutung und Wirkung der ISO 27000 ff.
• Aufzählung der wesentlichen Schritte für die Umsetzung des ISMS

ISO/IEC 2700X/270XX

• Internationale Standard Familie
• Baut auf ISO 17799 und dem British Standard BS 7799 auf
• Diese Standards unterliegen häufigen Änderungen

Über 20 Normen zu Informationssicherheit

• Best-Practice-Lösungen
• Kriterienkataloge

Aspekte

Regeln und Richtlinien zur Informationssicherheit
Organisation von Sicherheitsmaßnahmen und Managementprozessen
Personelle Sicherheit
Asset-Management
Physikalische Sicherheit und Zugangsdienste
Zugriffskontrolle (Access Control)
Umgang mit sicherheitstechnischen Vorfällen
Systementwicklung und deren Wartung
Planung einer Notfallvorsorge
Einhaltung gesetzlicher Vorgaben
Überprüfung durch Audits

Standards zur Informationssicherheit

• International Organization for Standardization (ISO)
• International Electrotechnical Commission (IEC)

Zusammenarbeit von ISO und IEC

• Standards zur Informationssicherheit unter dem Nummernkreis 2700x Information technology – Security techniques zusammengefasst
• Der deutsche Anteil an dieser Normungsarbeit wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut
• Für die Evaluierung und Zertifizierung von IT-Produkten und -systemen existiert der Standard ISO/IEC 15408 (Common Criteria).

ISMS

• Information Security Management System
• Best-Practice-Empfehlungen zur Organisation der Informationssicherheit

Übersicht

ISO/IEC 27000

Scope	Geltungsbereich
Asset	Wert/Schutzobjekt
SOA	Statement of Applicability
RTP	Risk Treatment Plan
BCP	Business Continuity-Plan
Logs	Log Files

Quelle

Normen

Informationssicherheits-Managementsysteme (2700X)

ISO/IEC	Beschreibung
27000	Übersicht und Vokabular	Begriffe und Definitionen
27001	Anforderungen	Anforderungen an ein ISMS
27002	Code of practice	Kontrollmechanismen für Informationssicherheit
27003	Implementation Guidelines	Leitfaden zur Umsetzung der ISO/IEC 27001
27004	Measurements	Information Security Management Measurement
27005	Information security risk management	IS-Risikomanagement
27006	Informationstechnik - Sicherheitstechniken - Anforderungen	Kriterien der Auditierung und Zertifizierung
27007	Informationstechnik - Sicherheitstechniken - Leitfaden	Leitfaden für die Auditierung
27008	Informationstechnik - Sicherheitstechniken - Leitfaden für Auditoren	Kontrolle eines ISMS

Fachspezifische Subnormen (270XX)

ISO/IEC	Beschreibung
27010	Informationssicherheitsmanagement für sektor- und organisationsübergreifende Kommunikation
27011	Informationssicherheitsmanagement-Richtlinien für Telekommunikationsorganisationen
27013	Leitfaden zur integrierten Implementierung von ISO/IEC 20000-1 und ISO/IEC 27001
27014	Governance der Informationssicherheit
27015	Information security management guidelines for financial services (zurückgezogen)
27016	Auditing und Überprüfungen
27017	Sicherheitstechniken - Verhaltenskodex Informationssicherheitskontrollen für Cloud-Computing-Dienste
27018	Sicherheitstechniken - Verhaltenskodex Kontrollen zum Schutz personenbezogener Daten, die in öffentlichen Cloud-Computing-Diensten verarbeitet werden
27019	Leitfaden für das Informationssicherheitsmanagement basierend auf ISO/IEC 27002 für Prozessleitsysteme speziell für die Energiewirtschaft
27031	Geschäftskontinuität
27032	Richtlinien für Cybersecurity
27033
27034	Richtlinien für Anwendungssicherheit
27035	Management von Informationssicherheitsvorfällen

Weitere

ISO/IEC	Beschreibung
15408
22301
27799	Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002
31000

Vorgehensweise

IT-Grundschutz-Vorgehen

1	Geltungsbereich festlegen
2	Absicherungsvariante festlegen
3	Strukturanalyse durchführen
4	Schutzbedarf bestimmen
5	Modellierung durchführen
6	IT-Grundschutz-Check durchführen
7	Risikoanalysen durchführen
8	Umsetzung der Maßnahmen

Geltungsbereich

Informationsverbund - Im IT-Grundschutz betrachteter Bereich

Beschreibung

IT-Sicherheitsanalyse und IT-Sicherheitskonzeption

• Informationstechnik ist durch vernetzte IT-Systeme geprägt

Gesamte IT betrachten

• Nicht einzelne IT-Systeme

Teilverbünde definieren

Teile und Herrsche

• Um diese Aufgabe bewältigen zu können, ist es sinnvoll
• IT-Struktur in logisch getrennte Teile zerlegen
• Jeweils einen Teil (Informationsverbund) getrennt betrachten

Ausprägungen

Informationsverbund

• gesamte IT einer Institution
• einzelne Bereiche

Gliederung

• Organisatorische Strukturen

z. B. Abteilungsnetz

• Gemeinsame IT-Anwendungen

z. B. Personalinformationssystem

IT-Strukturanalyse

• Detaillierte Informationen über die Struktur des Informationsverbundes
• Voraussetzung für die Anwendung des IT-Grundschutz/Kompendiums

Komponenten

Komponente	Beschreibung
Infrastruktur
Organisation
Personen
Technik

Festlegung eines Informationsverbundes

Größe

Sinnvolle Mindestgröße

• Für eine umfassende Sicherheit ist die gesamte Institution zu betrachten

Größeren Institutionen

Insbesondere bei größeren Institutionen und dann, wenn Sicherheitsmaßnahmen bislang eher punktuell und ohne ein zugrunde liegendes systematisches Konzept vorgenommen wurden, ist es allerdings oft praktikabler sich (zunächst) auf Teilbereiche zu konzentrieren.

Teilbereiche

Gut abgrenzbar

• organisatorischen Strukturen
• Anwendungen
• Wesentliche Aufgaben und Geschäftsprozesse der Institution umfassen

Sinnvolle Teilbereiche

• Organisationseinheiten
• Geschäftsprozesse/Fachaufgaben

Einzelne Clients, Server oder Netzverbindungen sind als Untersuchungsgegenstand ungeeignet

Schnittstellen

Bei der Definition des Informationsverbundes müssen Schnittstellen genau beschrieben werden

• Insbesondere bei der Zusammenarbeit mit externer Partnern

Erstaufnahme des Informationsverbundes

In der initialen Phase des Sicherheitsprozesses ist es nicht erforderlich, Anwendungen und -Infrastruktur detailliert zu beschreiben.

• Zunächst geht es vielmehr darum, besonders wichtige Geschäftsprozesse, die im Geltungsbereich des Konzepts angesiedelt sind, hinsichtlich ihrer Anforderungen an die Informationssicherheit zu charakterisieren.
• Dabei reicht es zu wissen, welche Prozesse sehr hohe, hohe oder lediglich normale Schutzanforderungen haben.

Erstaufnahme des Informationsverbundes

Auf dieser Basis wird dann eine Erstaufnahme des Informationsverbundes angefertigt

Folgende Informationen und Detailangaben müssen dabei strukturiert ( tabellarisch) zusammengetragen werden

• Geschäftsprozesse im Informationsverbund (Name, Beschreibung, fachverantwortliche Stelle),
• Anwendungen in diesen Prozessen (Name und Beschreibungen),
• -Systeme und -Komponenten (Name, Systemplattform und eventuell Aufstellungsort),
• für den Informationsverbund wichtige Räume wie Rechenzentrum oder Serverräume (Art, Raumnummer und Gebäude) sowie
• virtuelle Systeme (entsprechend gekennzeichnet und benannt).

Ein grafischer Netzplan ist eine hilfreiche Ergänzung zur tabellarischen Zusammenstellung der -Systeme

Die ermittelten Komponenten, wie auch der Informationsverbund als Ganzes, sind Zielobjekte des Sicherheitskonzepts

• Bereits vor dessen eigentlicher Entwicklung sollten Sie einschätzen, welches Schutzniveau für die verschiedenen Zielobjekte erforderlich ist, die Sie bei der Erstaufnahme identifiziert haben.

Absicherung

Absicherung-Varianten - Einstiegswege in den IT-Grundschutz

Absicherung-Varianten

Absicherung	Beschreibung
Basis	Einfachen Einstieg Keine differenzierte Bewertungen Nur besonders wichtige Anforderungen
Standard	Systematische Erfassung Bewertung des Schutzbedarfs Risikoanalysen Umfassende Absicherung
Kern	Nur besonders wichtige Bereiche Alle Schritte der Standard-Absicherung Ausgewählte, besonders wichtige Bereiche („Kronjuwelen“)

Voraussetzungen, Ausgangspunkte und Ziele

Sicherheitsniveau gemäß

• Institution
• Anforderungen
• Gegebenheiten

Unterschiedliche Institutionen haben auch unterschiedliche Voraussetzungen und Ausgangspunkte für eine ganzheitliche Umsetzung von Informationssicherheit

• So haben insbesondere kleinere und mittelgroße Institutionen oft nicht die personellen und finanziellen Ressourcen für eine umfassende Absicherung in einem Schritt
• Für sie kann es daher zielführender sein, sich zunächst auf die Umsetzung elementarer Sicherheitsmaßnahmen oder die gezielte Absicherung besonders schützenswerter Bereiche zu konzentrieren

Organisatorische Grundlagen

Die Entscheidung für eine dieser Vorgehensweisen und ihre Anwendung setzt voraus, dass eine Institution gewisse organisatorische Grundlagen geschaffen hat

Basis

Basis-Absicherung - Einstieg in das Management der Informationssicherheit

Beschreibung

Einfacher Einstieg in das systematische Management der Informationssicherheit

• Ohne differenzierte Bewertungen des Schutzbedarfs und ergänzende Risikoanalysen Sicherheitsniveau signifikant erhöhen
• Erfüllung besonders wichtiger Basis-Anforderungen

Leitfaden zur Basis-Absicherung

Drei Schritten zur Informationssicherheit

• Kompakter und übersichtlicher Einstieg
• Für kleine und mittlere Unternehmen und Behörden

Vorgehen

Standard

Standard-Absicherung - Beschreibung

Umfassende Absicherung

• Systematische Strukturanalyse
• Erfassung der verschiedenen Komponenten
• Festlegung des Informationsverbundes (Scope)
• Bewertung des Schutzbedarfs
• Zusätzliche Risikoanalysen

Vorgehen

Kern

Kern-Absicherung - Konzentration auf Kronjuwelen

Umfasst alle Schritte der Standard-Absicherung

Konzentriert sich auf

• ausgewählte
• besonders wichtige Bereiche
• Kronjuwelen

Strukturanalyse

Strukturanalyse - Struktur der vorliegenden Informationstechnik analysieren und dokumentieren

Beschreibung

Für die Erstellung eines IT-Sicherheitskonzepts und insbesondere für die Anwendung des IT-Grundschutz/Kompendiums ist es erforderlich, die Struktur der vorliegenden Informationstechnik zu analysieren und zu dokumentieren.

Netztopologieplan

Ausgangsbasis

• Aufgrund der heute üblichen starken Vernetzung von IT-Systemen bietet sich ein Netztopologieplan als Ausgangsbasis für die Analyse an.

Aspekte

• Infrastruktur
• Organisatorischen und personellen Rahmenbedingungen
• Eingesetzte vernetzte und nicht vernetzte IT-Systeme
• Kommunikationsverbindungen zwischen den IT-Systemen und nach außen
• Betriebene IT-Anwendungen

Arbeitsschritte

Arbeitsschritt	Beschreibung
Geltungsbereich	IT-Grundschutz/Informationsverbund
Geschäftsprozesse	IT-Grundschutz/Strukturanalyse/Geschäftsprozesse
Netzplan	IT-Grundschutz/Strukturanalyse/Netzplan
Gruppierung	IT-Grundschutz/Strukturanalyse/Gruppierung
Anwendungen	IT-Grundschutz/Strukturanalyse/Anwendungen
Systeme	IT-Grundschutz/Strukturanalyse/Systeme
Räume	IT-Grundschutz/Strukturanalyse/Räume

Zielobjekte

Schutzbedarf

IT-Grundschutz/Schutzbedarf - Festlegung der Sicherheitsanforderungen

Beschreibung

Ziele

Festlegung der Sicherheitsanforderungen

• Grundlage für die Auswahl angemessener Sicherheitsmaßnahmen

Schutzbedarf für Zielobjekte

Begründete und nachvollziehbare Einschätzung des Schutzbedarfs

Welche Zielobjekte

• Benötigen mehr Sicherheit?
• Bei welchen genügen die Standard-Anforderungen?

Arbeitsschritte

Schritt	Titel	Beschreibung
1	Definitionen	Schadensszenarien und Schutzbedarfskategorien festlegen
2	Schutzbedarf festlegen	Schutzbedarf Zielobjekte ermitteln/festlegen
3	Abhängigkeiten berücksichtigen	Auswirkung von Abhängigkeiten zwischen den Zielobjekten auf die Ergebnisse der Schutzbedarfsfeststellung
4	Schlussfolgerungen	Schlussfolgerungen aus den Ergebnissen der Schutzbedarfsfeststellung

Basis-Absicherung

Schutzbedarfsfeststellung nicht erforderlich

Bei der Basis-Absicherung sind für den Informationsverbund nur die Basis-Anforderungen verpflichtend

• Daher ist eine Schutzbedarfsfeststellung bei dieser Variante der IT-Grundschutz-Methodik nicht erforderlich

Fragen bei der Schutzbedarfsfeststellung

Welcher Schaden kann entstehen, wenn für ein Zielobjekt die Grundwerte verletzt werden

Vertraulichkeit	Vertrauliche Informationen werden unberechtigt zur Kenntnis genommen oder weitergegeben
Integrität	Korrektheit der Informationen oder die Funktionsweise von Systemen ist nicht mehr gegeben
Verfügbarkeit	Autorisierte Benutzer werden am Zugriff auf Informationen und Systeme behindert

Drohender Schaden

• Der Schutzbedarf eines Objekts bezüglich eines dieser Grundwerte orientiert sich an dem Ausmaß des bei Verletzungen jeweils drohenden Schadens
• Da dessen Höhe in der Regel vorab nicht genau bestimmt werden kann, sollten Sie eine für Ihren Anwendungszweck passende Anzahl von Kategorien definieren, anhand derer Sie den Schutzbedarf unterscheiden

Schutzbedarfskategorien

Die IT-Grundschutz-Methodik empfiehlt hierfür drei Schutzbedarfskategorien

Schutzbedarfskategorie	Beschreibung
normal	Schadensauswirkungen begrenzt und überschaubar
hoch	Schadensauswirkungen beträchtlich
sehr hoch	Schadensauswirkungen können existenzbedrohend sein, katastrophales Ausmaß

Schadensszenarien

Der Schaden, der von einer Verletzung der Grundwerte ausgehen kann, kann sich auf verschiedene Schadensszenarien beziehen

Schadensszenario
Verstöße gegen Gesetze, Vorschriften oder Verträge
Beeinträchtigungen des informationellen Selbstbestimmungsrechts
Beeinträchtigungen der persönlichen Unversehrtheit
Beeinträchtigungen der Aufgabenerfüllung
negative Innen- oder Außenwirkung
finanzielle Auswirkungen

Bedeutung der Szenarien

Wie wichtig ein Szenario jeweils ist, unterscheidet sich von Institution zu Institution

• Unternehmen schauen beispielsweise besonders intensiv auf die finanziellen Auswirkungen eines Schadens, da diese bei einer entsprechenden Höhe existenzgefährdend sein können
• Für eine Behörde kann es hingegen besonders wichtig sein, das öffentliche Ansehen zu wahren und daher negative Außenwirkungen zu vermeiden

Schutzbedarfskategorien

IT-Grundschutz/Schutzbedarf/Kategorien

Schutzbedarfsfeststellung

Zweck

Ermittlung, welcher Schutz für die Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist

• Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet
• die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können

Realistische Einschätzung

Wichtig ist dabei auch eine realistische Einschätzung der möglichen Folgeschäden

• Bewährt hat sich eine Einteilung in die drei Schutzbedarfskategorien „normal“, „hoch“ und „sehr hoch“^[1]
• Bei der Vertraulichkeit wird häufig auch „öffentlich“, „intern“ und „geheim“ verwendet

Schutzbedarf für Server

Der Schutzbedarf für einen Server richtet sich nach den Anwendungen, die auf ihm laufen

• Hierbei ist zu beachten, dass auf einem IT-System mehrere IT-Anwendungen laufen können, wobei die Anwendung mit dem höchsten Schutzbedarf die Schutzbedarfskategorie des IT-Systems bestimmt (sogenanntes Maximumprinzip)

Es kann sein, dass mehrere Anwendungen auf einem Server laufen, die einen niedrigen Schutzbedarf haben – mehr oder weniger unwichtige Anwendungen

• In ihrer Summe sind diese Anwendungen jedoch mit einem höheren Schutz zu versehen (Kumulationseffekt)

Umgekehrt ist es denkbar, dass eine IT-Anwendung mit hohem Schutzbedarf diesen nicht automatisch auf das IT-System überträgt, da dieses redundant ausgelegt ist oder da auf diesem nur unwesentliche Teile laufen (Verteilungseffekt)

• Dies ist z. B. bei Clustern der Fall

Vorgehen und Vererbung

Objekte im Informationsverbund werden eingesetzt, um Geschäftsprozesse und Anwendungen zu unterstützen

• Daher hängt der Schutzbedarf eines Objekts vom Schutzbedarf derjenigen Geschäftsprozesse und Informationen ab, für deren Bearbeitung es benötigt wird

Zunächst wird deshalb der Schutzbedarf der Geschäftsprozesse und zugehörigen Informationen bestimmt

• Deren Schutzbedarf vererbt sich auf den der Anwendungen, Systeme, Räume und Kommunikationsverbindungen

Vererbung

• Es lassen sich, folgende Fälle unterscheiden

Beispiel

Systeme

Option	Beschreibung
Maximumprinzip	In vielen Fällen lässt sich der höchste Schutzbedarf aller Anwendungen, die das System benötigen, übernehmen Wenn eine Anwendung auf die Ergebnisse einer anderen Anwendung angewiesen ist, überträgt sich ihr Schutzbedarf auf diese liefernde Anwendung Werden diese beiden Anwendungen auf verschiedenen Systemen ausgeführt, dann muss auch der Schutzbedarf des einen auf das liefernde System übertragen werden (Betrachtung von Abhängigkeiten)
Kumulationseffekt	Der Schutzbedarf des Systems kann höher sein als der Schutzbedarf der einzelnen Anwendungen Dies ist der Fall, wenn auf einem Server mehrere Anwendungen mit normalem Schutzbedarf betrieben werden Der Ausfall einer dieser Anwendungen könnte überbrückt werden. Wenn aber alle Anwendungen gleichzeitig ausfallen, kann ein hoher Schaden entstehen
Verteilungseffekt	Der Schutzbedarf kann niedriger sein als der Schutzbedarf der zugeordneten Anwendungen, wenn eine Anwendung mit hohem Schutzbedarf auf mehrere Systeme verteilt ist und auf dem betreffenden System nur weniger wichtige Teile dieser Anwendung ausgeführt werden Bei Anwendungen, die personenbezogene Daten verarbeiten, sind Komponenten weniger kritisch, in denen die Daten nur in pseudonymisierter Form verwendet werden

Zielobjekte

Zielobjekt	Beschreibung
IT-Grundschutz/Schutzbedarf/Geschäftsprozesse
IT-Grundschutz/Schutzbedarf/Anwendungen
IT-Grundschutz/Schutzbedarf/Systeme
IT-Grundschutz/Schutzbedarf/Kommunikationsverbindungen
IT-Grundschutz/Schutzbedarf/Netzwerke
IT-Grundschutz/Schutzbedarf/Räume

Modellierung

IT-Grundschutz Modellierung - Zuordnung von Grundschutz-Bausteinen zu Zielobjekte

Beschreibung

IT-Grundschutz-Modell für einen Informationsverbund erstellen

• Sicherheitsanforderungen für Zielobjekte bestimmen
• Abhängigkeiten berücksichtigen

Entwicklung des Grundschutz-Modells

Auf Basis des IT-Grundschutz/Kompendiums

Modellierung

Anwendung der Bausteine IT-Grundschutz/Kompendiums auf die Komponenten eines Informationsverbundes

IT-Grundschutz-Modell

Ergebnis	Beschreibung
Prüfplan	Bestehende Systeme und Verfahren
Entwicklungskonzept	Geplante Teile des Informationsverbundes Berücksichtigung der Informationssicherheit bei Einführung neuer Elemente

Vorarbeiten

Arbeitsschritte	Beschreibung
Informationsverbund	Definition des Geltungsbereiches des Sicherheitskonzeptes
Strukturanalyse	Identifikation der Zielobjekte
Schutzbedarfsfeststellung	Schutzbedarf für Zielobjekte bestimmen

Vorgehen

Grundschutz-Bausteine

Auswahl Grundschutz-Bausteine

Welche Bausteine sind anzuwenden?

• Schichten
• Zielobjekte

Ideal

• Alle Zielobjekte des Informationsverbundes werden angemessen durch Grundschutz-Bausteine abgebildet

Kein passender Baustein

Kein passender Baustein für Zielobjekt

Risikoanalyse erforderlich

• Gefährdungen und Sicherheitsanforderungen identifizieren
• Dokumentation in einem Benutzerdefinierten Baustein

Abgrenzung von Bausteinen

Nicht jeder Baustein ist relevant

Beispiele

1. Baustein CON.7 Informationssicherheit auf Auslandsreisen

   nur anzuwenden, wenn solche Reisen im Informationsverbund vorkommen

2. Technischer Bausteine
   • Nur anzuwenden, wenn diese IT-Systemen eingesetzt werden
   • z.B. SYS.2.2.2 Clients unter Windows 8.1

Hinreichende Begründung

• Geben Sie in solchen Fällen eine hinreichende Begründung für die Nichtanwendung eines Bausteins an
• Kurz und aussagekräftig

Prozessorientierte Bausteine

Technischen Aspekten übergeordnet

• Einheitlich Regelung je Informationsverbund

Anwendung

• Einmal pro Informationsverbund

Wichtige Bausteine

• Informationssicherheitsmanagement
• Organisation des IT-Betriebs
• Schulung und Sensibilisierung des Personals
• Detektion und Reaktion auf Sicherheitsvorfälle

Systemorientierte Bausteine

Anwendung

Technische Objekte

• Auf jedes System (Gruppe) einmal anwenden, das im Baustein adressiert wird

Mögliche Objekte

• Anwendungen
• IT-Systeme (z.B. Client, Server oder mobile Geräte)
• Objekte aus dem Bereich der industriellen IT
• Netze
• Infrastrukturobjekte (Räume, Rechenzentrum, Verkabelung)

Mehrere Bausteine

Meist sind für IT-Systeme mehrere Bausteine anzuwenden

• Alle Sicherheitsanforderungen angemessen berücksichtigen

Betriebssystemunabhängige Bausteine

Grundsätzliche Sicherheitsanforderungen

• SYS.2.1 Allgemeiner Client
• SYS.1.1 Allgemeiner Server

Betriebssystemspezifische Bausteine

Anforderungen für einzelne Betriebssysteme

• SYS.2.2.3 Client unter Windows 10
• SYS.1.2.2 Windows Server 2012
• ...

Beispiel: Webserver

Webserver mit Unix

• SYS.1.1 Allgemeiner Server
• SYS.1.3 Server unter Unix
• APP.3.2 Webserver

Virtuelle Systeme

Virtuelle Systeme werden modelliert wie physische Systeme

• System
• Betriebssystem
• Anwendungen
• Dienste

Beispiel

Wird ein Unix-Server als Virtualisierungsserver betrieben, so sind folgende Bausteine anzuwenden

• SYS.1.1 Allgemeiner Server
• SYS.1.3 Server unter Unix und
• SYS.1.5 Virtualisierung

Physischen Server

Zusätzlich sind für jeden auf diesem physischen Server bereitgestellten virtuellen Server die üblichen Bausteine für Server anzuwenden.

Bare Metal Server

Für auf spezieller Hardware beruhende Virtualisierungsserver (sogenannte Bare Metal Server) gibt es keinen passenden Grundschutz-Baustein.

• Solche IT-Systeme sind daher für eine Risikoanalyse vorzumerken

Dokumentation

Beispiel

• In der Spalte Relevanz vermerken Sie, ob Bausteine für den Informationsverbund von Bedeutung sind oder nicht.
• Diese Entscheidung können Sie unter Begründung näher erläutern.

Baustein nicht relevant

• Hinreichende Begründung unabdingbar!

Dokumentation der Modellierung

Baustein	Zielobjekte	Relevanz	Begründung	Ansprechpartner
APP.5.2 Microsoft Exchange/Outlook		Ja		IT-Betrieb
INF.1 Allgemeines Gebäude		Ja		Haustechnik
INF.2 Rechenzentrum sowie Serverraum		Ja		IT-Betrieb
INF.4 IT-Verkabelung	Informationsverbund	Ja
INF.7 Büroarbeitsplatz	bis	Ja
INF.8 Häuslicher Arbeitsplatz		Ja	Die Vertriebsbüros werden wie Home Offices behandelt.
IND.2.2 Speicherprogrammierbare Steuerung (SPS)		Ja
SYS.1.5 Virtualisierung		Ja		IT-Betrieb
SYS.3.1 Laptops	bis	Ja		IT-Betrieb
OPS.3.1 Outsourcing für Dienstleister		Nein	Solche Dienste werden nicht angeboten.

Siehe auch Modellierung für die RECPLAST

Anforderungen anpassen

Grundschutz-Bausteine beschreiben Anforderungen

MUSS / SOLLTE

• was zu geschehen ist
• nicht aber, wie dies zu erfolgen hat

Sicherheitsmaßnahmen

• Für die Ausarbeitung von Sicherheitskonzepten
• wie auch für ein Prüfkonzept
• ist es notwendig
• zu den einzelnen Anforderungen
• Geeignete Sicherheitsmaßnahmen formulieren

Umsetzungshinweise

• Als Hilfsmittel hierfür gibt es zu den meisten Bausteinen des Grundschutz-Kompendiums Umsetzungshinweise

Angemessene Maßnahmen

Bewertung	Beschreibung
wirksam	Vor möglichen Gefährdungen schützen und den festgelegten identifizierten Schutzbedarf abdecken
geeignet	Tatsächlich umsetzbar sein, ohne Organisationsabläufe unverhältnismäßig zu behindern Andere Sicherheitsmaßnahmen einzuschränken
praktikabel	Leicht verständlich, einfach anzuwenden und wenig fehleranfällig
akzeptabel	Barrierefrei, niemanden diskriminieren oder beeinträchtigen
wirtschaftlich	Eingeführt und betrieben werden können, der mit ihrer Umsetzung verbundene Aufwand also in einem angemessenen Verhältnis zu den zu schützenden Werten steht.

Standard-Absicherung

Vorgehensweise Standard-Absicherung

• Neben verpflichtenden Basis-Anforderungen
• SOLLTEN in der Regel auch alle Standard-Anforderungen eines Bausteins erfüllt werden

Ausnahmen

In Einzelfällen sind Ausnahmen möglich

• Wenn eine Anforderung nicht relevant ist
• Ihre Erfüllung mit der Erfüllung anderer Anforderungen im Widerspruch steht

Dies ist auch bei Basis-Anforderungen möglich

• Abweichungen sollten nachvollziehbar begründet werden

Aufwand

• Für relevante, aber mit vertretbarem Aufwand nicht erfüllbare Anforderungen sollten Ersatzlösungen gefunden werden

IT-Grundschutz-Check

Grundschutz-Check - Soll-Ist-Vergleich zwischen geforderten und erfüllten Anforderungen

Beschreibung

Motivation

Sind Informationen und Informationstechnik hinreichend geschützt?

• Was bleibt zu tun?

Soll-Ist-Vergleich

• Anforderungen mit den umgesetzten Sicherheitsmaßnahmen
• Informationsverbund oder Komponente
• Umgesetzte Sicherheitsmaßnahmen mit den Anforderungen des entwickelten Grundschutz-Modells vergleichen
• Bestehendes Sicherheitsniveau identifizieren
• Verbesserungsmöglichkeiten aufzeigen

Grundschutz-Modell

Grundlage des Grundschutz-Checks

• ist das in der Modellierung aufgrund der vorhandenen Zielobjekte und ihres Schutzbedarfs zusammengestellte Grundschutz-Modell des Informationsverbundes
• In diesem Modell ist festgelegt, welche Bausteine und damit Anforderungsbündel für die einzelnen Zielobjekte des Informationsverbundes anzuwenden sind

Anforderungen

• Basisanforderungen
• Standardanforderungen
• Anforderungen für den erhöhten Schutzbedarf

Vorgehensweise

Welche dieser Anforderungen Sie im Grundschutz-Check berücksichtigen, hängt von der Vorgehensweise der IT-Grundschutz-Methodik ab

• Bei der Vorgehensweise Basis-Absicherung prüfen Sie lediglich die Erfüllung der Basis-Anforderungen
• Bei den Vorgehensweisen Standard-Absicherung und Kern-Absicherung berücksichtigen Sie zusätzlich die Standard-Anforderungen
• Die Anforderungen für den erhöhten Schutzbedarf haben Beispielcharakter und können im Bedarfsfall durch andere Maßnahmen mit starker Schutzwirkung ersetzt oder ergänzt werden
• Sie prüfen diese Anforderungen also nur dann, wenn sie als Ergebnis einer Risikoanalyse in das Grundschutz-Modell aufgenommen wurden, also Bestandteil des Sicherheitskonzepts geworden sind
• siehe Risikoanalyse

Anforderungen

Basis für den IT-Grundschutz-Check sind die Anforderungen aus dem IT-Grundschutz/Kompendium

• Aus der Strukturanalyse und der anschließenden Modellierung geht ein Modell des Informationsverbundes hervor, das alle relevanten Objekte mit den zugehörigen Bausteinen des IT-Grundschutz/Kompendiums enthält
• Aufgrund der nun vorliegenden Bausteine wird für jedes Objekt ermittelt, wie hoch der Erfüllungsgrad der in den Bausteinen enthaltenen Anforderungen ist
• Dies geschieht großenteils durch Interviews mit den Verantwortlichen der jeweiligen Bereiche

Überblick über das vorhandene IT-Sicherheitsniveau

Der IT-Grundschutz-Check ist somit ein Organisationsinstrument, welches einen gebündelten Überblick über das vorhandene IT-Sicherheitsniveau bietet

• Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Anforderung der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist
• Durch die Identifizierung von nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt

Soll/Ist-Abgleich

Der IT-Grundschutz-Check gibt Auskunft über die noch fehlenden Maßnahmen (Soll/Ist-Abgleich)

• Daraus folgt, was noch zu tun ist, um das angestrebte Maß an Sicherheit zu erlangen
• Die Grundschutz-Methodik unterscheidet hier die Basis-, Standard- oder Kern-Absicherung
• Die Anforderungen des Kompendiums sind für die jeweilige Absicherungsmethode gekennzeichnet (Basis, Standard und für erhöhten Schutzbedarf)

Hoher/sehr hoher Schutzbedarf

Für Systeme mit hohem/sehr hohem Schutzbedarf werden mitunter auch auf einer Risikoanalyse basierende [[Informationssicherheits-Konzepte wie nach ISO/IEC 27001 angewandt

Vorarbeiten

Arbeitsschritt	Beschreibung
IT-Grundschutz/Strukturanalyse	Ermittlung der relevanten Zielobjekte des Informationsverbundes
IT-Grundschutz/Schutzbedarfsfeststellung	Festlegung des Schutzbedarfs für die ermittelten Zielobjekte
IT-Grundschutz/Modellierung	Anwendung der Grundschutz-Bausteine auf die Zielobjekte

Damit wurde ein Prüfplan („Grundschutz-Modell“) für den Informationsverbund und dessen Zielobjekte zusammengestellt

Prüfplan anwenden (Grundschutz-Check)

Je Zielobjekt prüfen

• inwieweit relevante Anforderungen erfüllt sind
• durch technische oder organisatorische Maßnahmen

Vorgehen

Schritt	Bezeichnung	Beschreibung
1	Vorbereitungen
2	Durchführung
3	Dokumentation

Vorbereitung

Umsetzungsgrad ermitteln und dokumentieren

Umsetzungsgrad einzelner Maßnahmen für das jeweilige Zielobjekt ermitteln und dokumentieren

• Interview der zuständigen Mitarbeiter
• Überprüfungen vor Ort
• Begehung von Serverräumen
• Kontrolle von Konfigurationseinstellungen

Qualität der Ergebnisse

Die Qualität der Ergebnisse der Interviews und Begehungen hängt auch von einer guten Vorbereitung und der Beachtung einiger Regeln bei der Durchführung ab

Aktuelles Grundschutz-Kompendium

• Dort wird der Stand der Technik entsprechende Sicherheit beschrieben
• Die Informationstechnik ändert sich kontinuierlich, sodass regelmäßig geprüft werden muss, ob die eingeführten Sicherheitsmaßnahmen noch einen angemessenen Schutz bieten
• Das Grundschutz-Kompendium wird fortlaufend angepasst und um neue Bausteine ergänzt

Sichten der Dokumente

• Die vorhandenen Dokumente über sicherheitsrelevante Abläufe, Regelungen und Sachverhalte enthalten bereits viele Informationen, die Ihnen bei der Ermittlung des Erfüllungsgrads der Anforderungen helfen können
• Sichten Sie diese Papiere daher bereits vorab

Ansprechpartner auswählen

• Wählen Sie geeignete Ansprechpartner aus
• Klären Sie in diesem Zusammenhang auch, ob externe Stellen hinzuzuziehen sind, Fremdfirmen, an die Teilaufgaben des Informationsverbundes delegiert wurden

Ansprechpartner ergeben sich direkt aus den im genannten Rollen sowie oft aus dem sachlichen Zusammenhang

• So können Mitarbeiter der Personalabteilung oder Benutzerbetreuer gute Ansprechpartner für den Baustein Personal sein
• Während es sich anbietet, für die Systembausteine zu Netzen, -Systemen oder Anwendungen die jeweils zuständigen Administratoren und Anwendungsbetreuer zu befragen

Durchführung

Arbeitsteilung

Vier Augen und Ohren sehen und hören mehr als zwei

• Führen Sie die Interviews nach Möglichkeit daher nicht alleine durch
• Es empfiehlt sich eine Arbeitsteilung: Einer führt das Gespräch und stellt die Fragen, ein anderer protokolliert die Ergebnisse
• Selbstverständlich sollten Sie bei der Befragung den Inhalt der Anforderungsbeschreibungen sowie die zugehörigen Umsetzungsempfehlungen kennen
• Gegebenenfalls können stichpunktartige Zusammenfassungen zu einzelnen Anforderungen sowie möglichen Maßnahmen, mit denen sie erfüllt werden können, nützlich sein

Chancen nutzen

Der Grundschutz-Check ist eine Chance, die Informationssicherheit zu verbessern, kein Verhör

• Sorgen Sie für ein entspanntes Klima, sowohl beim Gespräch als auch bei Begehungen und Überprüfungen vor Ort

Dokumentation

Umsetzungsgrad

Erfüllungsgrad der Grundschutz-Anforderungen dokumentieren

Umsetzungsgrad	Beschreibung
Vollständig	Alle (Teil)-Anforderung durch geeignete Maßnahmen vollständig, wirksam, angemessen erfüllt
Entbehrlich	Erfüllung einer Anforderung nicht notwendig
Teilweise	Anforderung wird teilweise erfüllt
Nicht	Anforderung ist nicht erfüllt wird, geeignete Maßnahmen wurden größtenteils nicht umgesetzt

Entbehrlich

Wird die Erfüllung einer Anforderung auf „entbehrlich“ gesetzt, weil Alternativmaßnahmen ergriffen wurden, muss nachgewiesen werden, dass diese Maßnahmen die bestehenden Risiken angemessen minimieren

• Identifizieren Sie hierfür über die Kreuzreferenztabelle des jeweiligen Bausteins die zugehörigen elementaren Gefährdungen
• Wurden Alternativmaßnahmen ergriffen, begründen Sie, dass diese das von den relevanten Gefährdungen ausgehende Risiko angemessen verringern

Generell gilt, dass Risiken aufgrund der Nichterfüllung von Basis-Anforderungen nicht übernommen werden können

• Anforderungen dürfen darüber hinaus nicht quasi automatisch durch pauschale Akzeptanz oder pauschalen Ausschluss einer elementaren Gefährdung als „entbehrlich“ eingestuft werden

Da den möglichen Gefährdungen mit mindestens gleichwertigen Ersatzmaßnahmen entgegengewirkt wird ( erübrigen sich Passwortregeln, wenn Chipkarten zusätzlich für die Authentisierung eingesetzt werden) oder wenn die Empfehlungen für den betrachteten Einsatzzweck nicht relevant sind (so ist die Anforderung zur Absicherung von Fernwartung nur dann bedeutsam, wenn tatsächlich auch Systeme von entfernten Standorten aus gewartet werden)

Nachvollziehbarkeit

Damit die Ergebnisse des Grundschutz-Checks später und auch von Dritten nachvollzogen und überprüft werden können, ist es wichtig, dass Sie diese sorgfältig dokumentieren

Begründungen

• Vergessen Sie nicht, bei Anforderungen, die Sie als entbehrlich, nur teilweise oder überhaupt nicht erfüllt eingestuft haben, in der Dokumentation Ihre Begründung hierfür anzugeben

Formale Angaben

Bei jedem Interview angeben

• Zielobjekt
• Datum
• Wer es durchgeführt hat
• Wer befragt wurde

Hilfsmittel

Checklisten

Dokumentation mit Checklisten

Tool-Unterstützung

Der Grundschutz-Check wird auch durch eine Reihe an Tools unterstützt, die auf die Grundschutz-Methodik zugeschnitten sind

• Bei Verwendung eines solchen Werkzeugs haben Sie den zusätzlichen Vorteil, dass die Daten der Strukturanalyse für die Dokumentation des Grundschutz-Checks konsistent übernommen werden

Sowohl die Formulare in den Hilfsmitteln zum Grundschutz als auch die Masken in den Grundschutz-Werkzeugen bieten Felder an, in die Sie Angaben zur Umsetzung der als fehlend erkannten Maßnahmen eintragen können (Umsetzungsfristen, Verantwortliche, voraussichtliche Kosten)

• Diese Angaben sind für die Realisierungsplanung wichtig
• Beim Grundschutz-Check ist es noch nicht erforderlich, diese Felder auszufüllen

Risikoanalyse

BSI-Standard 200-3 - Risikoanalyse auf der Basis von IT-Grundschutz

Beschreibung

Verfahren zur Risikoanalyse

Prüfen, ob Basis- und Standard-Anforderungen eine ausreichende Sicherheit bieten

Kapitel	Beschreibung
1	Einleitung
2	Vorarbeiten
3	Elementaren Gefährdungen
4	Gefährdungsübersicht
5	Risikoeinstufung
6	Risikobehandlung
7	Konsolidierung
8	Rückführung
9	Anhang

Umsetzung

Grundschutz/Umsetzungsplanung - Lücken im Sicherheitskonzept schließen

Einleitung

Umsetzung von IT-Sicherheitsmaßnahmen

Schritt		Beschreibung
1	Sichtung der Untersuchungsergebnisse	Welche Maßnahmen sind nicht oder nur teilweise umgesetzt?
2	Konsolidierung der Maßnahmen	Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt? Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden?
3	Kosten- und Aufwandsschätzung	Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen? Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen und verbleibende Restrisiko für die Leitungsebene dokumentiert werden
4	Festlegung der Umsetzungsreihenfolge	Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden? Breitenwirkung beachten!
5	Festlegung der Verantwortlichkeit	Wer setzt welche Maßnahme bis wann um?
6	Realisierungsbegleitende Maßnahmen	Schulung der Mitarbeiter Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen

Gewünschtes Sicherheitsniveau

• Alle Basis- und Standard-Anforderungen sind erfüllt
• Risikoanalysen haben ergeben, dass auch Zielobjekte mit erhöhtem Schutzbedarf angemessen geschützt sind

IT-Grundschutz-Check

IT-Grundschutz-Check und zusätzliche Risikoanalysen führen oft zu anderen Ergebnissen

Verbesserung

Fokus auf Aufrechterhaltung und Verbesserung

Defizite gibt es immer

Typische Defizite

• Lücken in den vorhandenen organisatorischen Regelungen
• Mangelnde Kontrolle der geltenden Regeln
• Fehlende Sicherheitstechnik
• Unzureichender baulicher Schutz gegen Feuer, Wasser oder Diebstahl

Lücken wirksam und effizient schließen

Bei der Umsetzungsplanung geht es darum, diese Lücken wirksam und effizient zu schließen

Systematisches Vorgehen

Wenn viele Einzelmaßnahmen umzusetzen sind ​

Aufwand

Aufwände schätzen

Budgets

Angesichts des in der Regel begrenzten Budgets für Informationssicherheit ist ein Überblick über die voraussichtlichen fixen und variablen Kosten der einzelnen Maßnahmen nötig

• Daher schätzen Sie im nächsten Schritt, welcher einmalige und wiederkehrende finanzielle und personelle Aufwand durch die Umsetzung der einzelnen geplanten Maßnahmen entsteht

Personal und Finanzmittel

Der Einsatz von Personal und Finanzmitteln muss vom Management getragen werden

• Dies gilt insbesondere dann, wenn die bewilligten Finanzmittel nicht für die sofortige Umsetzung sämtlicher Maßnahmen ausreichen und entschieden werden muss, ob das Budget aufgestockt oder das Risiko in Kauf genommen werden soll, das verbleibt, wenn Maßnahmen nicht umgesetzt werden

Managemententscheidung

Zur Vorbereitung einer Managemententscheidung über die Einführung von Sicherheitsmaßnahmen sollten Sie

• einen Vorschlag für die Verteilung des Budgets erarbeiten
• kostengünstigere Ersatzmaßnahmen erwägen, falls der Aufwand für die Umsetzung einzelner Maßnahmen das voraussichtliche Budget übersteigt
• die Restrisiken, die aus der Nichterfüllung von Sicherheitsanforderungen entstehen, dem Management bewusst machen (als Argumentationshilfe können Sie die Kreuzreferenztabellen verwenden, die Sie am Ende eines jeden -Grundschutz-Bausteins finden und in denen dargestellt ist, gegen welche Gefährdungen eine Anforderung gerichtet ist) und
• dafür sorgen, dass das Management bei der Entscheidung über das Budget durch Unterschrift dokumentiert, dass es bereit ist, die Restrisiken zu tragen

Beachten Sie, dass die Erfüllung der relevanten Basis-Anforderungen das Mindest-Sicherheitsniveau gemäß IT-Grundschutz ist

• Risiken, die aus der Nichterfüllung solcher Anforderungen erwachsen, sollten daher nicht akzeptiert werden

Begleitende Maßnahmen

Begleitende Maßnahmen festlegen

Schulung
Sensibilisierung
Akzeptanz

Erfolg von Maßnahmen

Hängt wesentlich davon ab, wie diese von den Mitarbeitern akzeptiert und angewandt werden

Einführung neuer Sicherheitsmaßnahmen

Betroffene Mitarbeiter ausreichend schulen

• Für mögliche Probleme sensibilisieren

Schulung

Planen Sie Schulungsmaßnahmen ein

Die Einführung neuer Sicherheitsmaßnahmen erfordert

• Aufgaben- und produktbezogene Schulungen
• Für die betroffenen Mitarbeiter

Beispiel

Was nützt etwa ein neu angeschaffter Feuerlöscher, wenn die Mitarbeiter im Brandfall nicht sachgerecht mit ihm umgehen können?

Beispiele für zweckmäßige Schulungen

Bereich	Beschreibung
Sicherheitsmanagement	Wenn Sie einem Mitarbeiter besondere Aufgaben im Sicherheitsmanagement übertragen, etwa als IT-Informationssicherheitsbeauftragter, benötigt er vielfältige und kontinuierlich zu aktualisierende Kenntnisse zu methodischen, organisatorischen und technischen Aspekten seines Aufgabengebiets Der hierfür erforderliche Zeitaufwand ist bereits vor der Einführung dieser Verantwortlichkeit und der Ernennung des hierfür ausgewählten Mitarbeiters zu berücksichtigen
Firewall	Wenn die Schnittstelle zum Internet durch eine Firewall geschützt werden soll, benötigt der zuständige Netzadministrator Kenntnisse über deren sichere Installation, Konfiguration und Administration
Verschlüsselung	Der Einsatz von Verschlüsselungssoftware zum Schutz der Vertraulichkeit personenbezogener oder unternehmenskritischer Daten erfordert nicht nur den Aufbau von Know-how zu dem eingesetzten Produkt, sondern auch Regeln für dessen Anwendung: Welche Nachrichten oder Dateien sind zu verschlüsseln? Wie ist der private Schlüssel zu schützen? Wie sichert man, dass im Bedarfsfall berechtigte Vertreter Zugriff auf die verschlüsselten Daten erhalten? Die auf diese und andere Fragen gefundenen Lösungen müssen den Mitarbeitern verständlich gemacht werden

Sensibilisierung

Sensibilisierung betroffener Mitarbeiter

Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten

Dauerhafte Wirksamkeit von Sicherheitsmaßnahmen

Mitarbeiter einbeziehen

• Für Informationssicherheit sensibilisieren
• Bereitschaft schaffen, die erforderlichen Maßnahmen umzusetzen
  • Notwendige Verhaltensregeln zu beachten
  • Auch Unbequemlichkeiten zu akzeptieren
• Feedback aufnehmen

Negative Beispiele

Bereich	Beschreibung
Brandschutz	Brandschutztüren verlieren ihre Schutzwirkung, wenn sie mit Holzkeilen offen gehalten werden, weil den Mitarbeitern das ständige Öffnen der Türen zu umständlich ist
E-Mail-Verschlüsselung	Der Kauf von Software zur E-Mail-Verschlüsselung wird zur Fehlinvestition, wenn die Mitarbeiter diese nicht benutzen, weil sie sich der Gefährdungen der Vertraulichkeit nicht bewusst sind und ihre E-Mails weiterhin unverschlüsselt versenden, auch solche mit vertraulichem Inhalt
Passwörter	Passwörter bedeuten immer einen zusätzlichen Arbeitsschritt vor der eigentlichen Aufgabe Regeln für sichere Passwörter wie periodischer Wechsel oder die Verwendung unterschiedlicher Passwörter für unterschiedliche Systeme erhöhen die Unbequemlichkeit
Lästige Pflicht	Wenn die Mitarbeiter diese Anforderungen lediglich als lästige Pflicht betrachten, werden Sie dazu neigen, sie zu umgehen, indem sie unsichere Passwörter wählen oder Zettel mit den Passwörtern in der Nähe des Rechners platzieren
Netzadministrator	Ein Netzadministrator, der seine Probleme bei der Installation eines Sicherheitsgateways unter Angabe seiner dienstlichen Adresse in einem Internet-Forum diskutiert, gefährdet die Schutzwirkung der Software, um deren Installation er sich bemüht

Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form

Akzeptanz

Überprüfen Sie die Akzeptanz der Maßnahmen

Maßnahmen, die von den Mitarbeitern nicht akzeptiert werden, drohen zu scheitern.

Überprüfen Sie daher nach Einführung der Sicherheitsmaßnahmen, ob diese tatsächlich von den Mitarbeitern angenommen werden

• Sollte dies nicht oder nur eingeschränkt der Fall sein, so versuchen Sie, die Ursachen dafür zu ermitteln, und leiten Sie bei Bedarf zusätzliche Maßnahmen zur Sensibilisierung ein

Konsolidierung

Maßnahmen konsolidieren - Beschreibung

Beschreibung

Ergebnisse des IT-Grundschutz-Checks

Im ersten Schritt sind aus den Ergebnissen des IT-Grundschutz-Checks und eventuell durchgeführter Risikoanalysen diejenigen Anforderungen herauszufiltern, die nicht oder nur teilweise erfüllt sind

Übersichtliche Dokumentation

Eine übersichtliche Dokumentation erhalten Sie, wenn Sie die unzureichend erfüllten Anforderungen tabellarisch zusammenstellen und dabei nach den betroffenen Zielobjekten gruppieren, etwa nach dem gesamten Informationsverbund oder bestimmten Räumen und IT-Systemen

Maßnahmen festlegen

Legen Sie anschließend Maßnahmen fest, mit denen Sie diese Sicherheitslücken schließen können

• Als Hilfsmittel hierfür können Sie die Umsetzungshinweise zu den einzelnen IT-Grundschutz-Bausteinen verwenden

Zusammenhang prüfen

Anschließend betrachten Sie die Maßnahmen im Zusammenhang und prüfen

• Ob einzelne Maßnahmen überflüssig werden, weil andere zu realisierende Maßnahmen einen mindestens gleichwertigen Schutz für das jeweilige Zielobjekt bewirken
• welche Maßnahmen noch konkretisiert und an die individuellen Gegebenheiten der Institution angepasst werden müssen und
• ob die Maßnahmen tatsächlich geeignet und angemessen sind, sie also genügend Schutz bieten, ohne die Arbeitsabläufe zu behindern oder die Schutzwirkung anderer Maßnahmen zu beeinträchtigen

Streichung überflüssiger Maßnahmen

Ziel ist es, durch Streichung der überflüssigen und Konkretisierung der verbleibenden Maßnahmen den erforderlichen finanziellen und personellen Realisierungsaufwand auf das notwendige Maß zu begrenzen

Ergebnisse

Das Ergebnis dieses Schritts ist eine auf die jeweilige Institution zugeschnittene und konkretisierte Liste von Maßnahmen

• Erleichtern Sie die spätere Nachvollziehbarkeit der Entscheidungen, die Sie bei dem Abgleich und der Anpassung der Maßnahmen getroffen haben, indem Sie die Begründungen dokumentieren

Beispiele

Fragen und Lösungen bei der Konsolidierung von Maßnahmen

Authentisierung

Wenn eine Risikoanalyse ergab, dass für eine Gruppe von IT-Systemen eine Authentisierung über ein Chipkarten- oder tokenbasiertes Verfahren angewandt werden sollte, können unter Umständen Maßnahmen zur Gewährleistung einer hohen Passwortgüte entfallen

Gebäudeplanung

Fehler bei der Gebäudeplanung lassen sich nachträglich oft nur mit einem unverhältnismäßig hohen Aufwand korrigieren

• Wenn die vollständige Erfüllung von Anforderungen wie die Vermeidung wasserführender Leitungen aufgrund der baulichen Gegebenheiten wirtschaftlich nicht vertretbar ist, sollten zumindest Ersatzmaßnahmen getroffen werden
• Beispielsweise können unter den vorhandenen Leitungen wasserableitende Bleche installiert werden, die von einem Wassermelder mit einer im ständig besetzten Pförtnerraum hörbaren Alarmsirene überwacht werden
• Dadurch können Wasserschäden zumindest frühzeitig erkannt und in den Auswirkungen begrenzt werden

Zugangsschutz

Maßnahmen zum Zugangsschutz versperren unter Umständen im Brandfall mögliche Fluchtwege

• Hier empfiehlt sich gegebenenfalls die Rücksprache mit Brandschutzexperten, der Feuerwehr, um sowohl dem Zugangs- als auch dem Brandschutz gleichermaßen gerecht zu werden

Verschlüsselung

Verschlüsselung unternehmenskritischer Informationen

Die Verschlüsselung unternehmenskritischer Informationen zum Schutz ihrer Vertraulichkeit ist ein Beispiel für eine Maßnahme, die mit anderen Schutzzielen kollidieren kann, und bei der daher eine sorgfältige Abwägung der Vor- und Nachteile und unter Umständen ergänzende Maßnahmen nötig sind:

• Verschlüsselte E-Mails können den zentralen Virenschutz auf einem Server unterlaufen und so zur Infiltration eines Netzes mit Schadsoftware führen
• Bei unzureichendem Schlüssel-Management oder fehlerhafter Anwendung kann Verschlüsselung ferner die Verfügbarkeit wichtiger Daten auch für berechtigte Personen gefährden

Reihenfolge

Umsetzungsreihenfolge und Verantwortlichkeit

Umsetzungsreihenfolge

Wenn Budget oder Personal nicht ausreichen, alle wünschenswerten Sicherheitsmaßnahmen unmittelbar umzusetzen, ist eine sinnvolle Reihenfolge festzulegen

Dabei sollten Sie sich an folgenden Regeln orientieren

• Einen ersten Indikator zur Umsetzungsreihenfolge liefern die Kennzeichnungen R1, R2 und R3 bei den Modellierungshinweisen in Kapitel 2.2 des IT-Grundschutz-Kompendiums
• Anforderungen aus mit „R1“ gekennzeichneten Bausteinen (z. B. ISMS.1 Sicherheitsmanagement und die Bausteine der Schicht ORP Organisation und Personal) sollten vorrangig erfüllt werden
• Anschließend sind Anforderungen aus den mit „R2“ gekennzeichneten Bausteinen zu erfüllen und erst zum Schluss solche aus Bausteinen, die mit dem Kürzel „R3“ versehen sind
• Grundsätzlich sind ferner zunächst diejenigen Maßnahmen umzusetzen, mit denen Basis-Anforderungen erfüllt werden, dann diejenigen zur Erfüllung von Standard-Anforderungen und erst zuletzt die zur Gewährleistung eines höheren Schutzbedarfs
• Berücksichtigen Sie ferner auch die sachlogischen Zusammenhänge der einzelnen Maßnahmen: So sind diejenigen Maßnahmen vorzuziehen, deren Umsetzung eine Voraussetzung für die Realisierung weiterer Maßnahmen ist

Insbesondere sollten Sie Ihr Augenmerk darauf legen, welche Wirkung die Umsetzung der einzelnen Maßnahmen auf das Sicherheitsniveau des Informationsverbundes hat

Setzen Sie vorrangig solche Maßnahmen um, die

• Komponenten mit höherem Schutzbedarf betreffen (sollten Server vor Clients abgesichert werden)
• eine große Breitenwirkung entfalten (z. B. zentrale Maßnahmen wie der Einsatz von Netz- und Systemmanagement-Werkzeugen) oder
• Bereiche betreffen, in denen auffallend viele Sicherheitsmaßnahmen fehlen

Dokumentieren Sie auch Ihre Entscheidungen zur Umsetzungsreihenfolge und deren Begründungen sorgfältig, damit nachvollziehbar und verständlich wird, warum Sie die aus der zeitlich nachgeordneten Umsetzung bestimmter Maßnahmen resultierenden Restrisiken in Kauf genommen haben

• Dies kann insbesondere bei eventuell möglichen juristischen Streitfällen als Nachweis wichtig sein, dass die notwendige Sorgfaltspflicht beachtet wurde

Verantwortlichkeit

Aufgaben und Verantwortlichkeiten

Maßnahmen werden meist nur dann fristgerecht umgesetzt, wenn geklärt wird, wer bis zu welchem Termin für deren Umsetzung zuständig ist

• Der nächste Schritt besteht daher darin, diejenigen Personen zu bestimmen, welche die Umsetzung initiieren und durchführen sollen
• Auch diese Entscheidungen sollten mit dem Management abgestimmt sein

Achten Sie darauf, dass die für die Umsetzung Zuständigen ausreichende Kenntnisse und Kompetenzen besitzen und ihnen die erforderlichen Ressourcen zur Verfügung gestellt werden

• Planen Sie erforderliche Fortbildungen ein

Umsetzungsplan

Dokumentation

Auszug Realisierungsplan

Zielobjekt: Printserver S003

Maßnahmen, Entscheidungen, Termine, Kosten, Verantwortlichkeiten

Umsetzungsplan

Anforderung	Maßnahme	Termin	Kosten	Umsetzung
SYS.1.1.A3 Restriktive Rechtevergabe	Gruppenberechtigungen auflösen	3. Quartal 2023	Keine	IT-Betrieb Michael Schmitt
SYS.1.1.A4 Rollentrennung	Separate Benutzerkennungen für jeden Administrator	31. Juli 2023	Keine	IT-Betrieb Michael Schmitt
SYS.1.1.A8 Regelmäßige Datensicherung	Externes Backup-System Datensicherungen jetzt Bändern im Serverraum gelagert	1. Quartal 2024	Anschaffung: €15.000 Betrieb: verhandeln	Einkauf Tanja Meyer

Kompendium

IT-Grundschutz-Kompendium - Arbeitsinstrument und Nachschlagewerk zur Informationssicherheit

Beschreibung

Sammlung von Dokumenten (Bausteine)

IT-Grundschutz-Bausteine

• Aspekte der Informationssicherheit
• Typische Gefährdungen
• Typische Sicherheitsanforderungen

Einführung eines Information Security Management Systems (ISMS)

• Schrittweise
• Praxisnah
• Reduzierter Aufwand
• Thematische Schichten
• Unterschiedliche Aspekte

Gegenstand eines Bausteins

Übergeordnete Themen

• Informationssicherheitsmanagement
• Notfallmanagement

Spezielle technische Systeme

• Üblicherweise in Unternehmen und Behörden im Einsatz, etwa
  • Clients
  • Server
  • Mobile Systeme
  • Industrielle Steuerungen

Aktualisierung und Erweiterung

• Kontinuierlich
• Berücksichtigung von Anwenderwünschen
• Anpassung an die Entwicklung der zugrunde liegenden Standards
• Anpassung an die Gefährdungslage

Schichten

Schichtenmodell der Grundschutz-Bausteine

• Komplexität reduzieren
• Redundanzen vermeiden
• Zuständigkeiten bündeln
• Einzelaspekte aktualisieren, ohne andere Teile zu beeinflussen

Gliederung des IT-Grundschutz Kompendiums - Aufbau und Inhalte

Gliederung

Kapitel	Beschreibung
Einführung	Vorwort/Dankesworte Neuerungen IT-Grundschutz - Basis für Informationssicherheit
Schichtenmodell und Modellierung
Rollen
Glossar
Elementare Gefährdungen
Bausteine

Übersicht

Schichten und Bausteine

Schicht	Beschreibung
Prozess-Bausteine
System-Bausteine

Prozess-Bausteine

Kürzel	Titel
ISMS	Sicherheitsmanagement
ORP	Organisation und Personal
CON	Konzeption und Vorgehensweise
OPS	Betrieb
DER	Detektion und Reaktion

System-Bausteine

Kürzel	Titel
APP	Anwendungen
SYS	IT-Systeme
IND	Industrielle IT
NET	Netze und Kommunikation
INF	Infrastruktur

Rollen

Rollen - Definitionen und Zuständigkeiten

Übersicht

Rolle	Aufgabe
Auditteamleitung	Leitung des Auditteams
Auditteam	Fachlich Unterstützung der Auditteamleitung
Bauleitung	Umsetzung von Baumaßnahmen
Benutzende	Informationstechnische Systeme nutzen
Bereichssicherheitsbeauftragte	Sicherheitsbelange der Geschäftsprozesse, Anwendungen und IT-Systeme in ihren Bereichen
Beschaffungsstelle	Initiiert und überwacht Beschaffungen
Brandschutzbeauftragte	Brandschutz
Datenschutzbeauftragte	Gesetzeskonformen Umgang mit personenbezogenen Daten
Compliance-Beauftragte	Vorgaben identifizieren und deren Einhaltung zu prüfen
Entwickelnde	Planung, Entwicklung oder Pflege von Software, Hardware oder ganzen Systemen
Errichterfirma	Unternehmen, das Gewerke oder aber auch Gebäude errichtet
Fachabteilung	Teil einer Behörde beziehungsweise eines Unternehmens, das fachspezifische Aufgaben zu erledigen hat
Fachverantwortliche	Inhaltlich für ein oder mehrere Geschäftsprozesse oder Fachverfahren zuständig
Haustechnik	Infrastruktur in Gebäuden und Liegenschaften
ICS-Informationssicherheitsbeauftragte	Sicherheit von ICS-Systemen
Informationssicherheitsbeauftragte (ISB)	Informationssicherheitsbeauftragte sind von der Institutionsleitung ernannte Personen, die im Auftrag der Leitungsebene die Aufgabe Informationssicherheit koordinieren und innerhalb der Behörde beziehungsweise des Unternehmens vorantreiben.
ISMS Management-Team
Institution	Mit dem Begriff Institution werden im IT-Grundschutz Unternehmen, Behörden und sonstige öffentliche oder private Organisationen bezeichnet.
Institutionsleitung	Dies bezeichnet die Leitungsebene der Institution beziehungsweise der betrachteten Organisationseinheit.
IS-Revisionsteam	Das IS-Revisionsteam besteht aus IS-Revisoren und IS-Revisorinnen sowie Fachleuten, die die verantwortliche Leitung für die IS-Revision insbesondere fachlich während der IS-Revision unterstützen.
IT-Betrieb	Als IT-Betrieb wird die Organisationseinheit bezeichnet, die die interne IT einrichtet, betreibt, überwacht und wartet. Die Rolle IT-Betrieb schließt die zuständige Leitung der Organisationseinheit mit ein. Mitarbeitende Die Mitarbeitenden sind Teil einer Institution.
Notfallbeauftragte	Notfallbeauftragte steuern alle Aktivitäten rund um das Notfallmanagement. Sie sind für die Erstellung, Umset- zung, Pflege und Betreuung des institutionsweiten Notfallmanagements und der zugehörigen Dokumente, Rege- lungen und Maßnahmen zuständig. Sie analysieren den Gesamtablauf der Notfallbewältigung nach einem Scha- densereignis.
OT-Betrieb (Operational Technology, OT)	Der OT-Betrieb ist für Einrichtung, Betrieb, Überwachung und Wartung der ICS-Systeme zuständig.
OT-Leitung	Die OT-Leitung bezeichnet die Leitung des Bereichs Produktion und Fertigung beziehungsweise die verantwortliche Person für die industriellen Steuerungssysteme (ICS), die von der Institution eingesetzt werden. Die OT-Leitung ist dafür zuständig, Risiken aus der Informationssicherheit für die Integrität der SIS (Safety Instru- mented Systems) zu beurteilen und dem Stand der Technik entsprechende Maßnahmen zu ergreifen. Insbesondere ist die OT-Leitung dafür zuständig, die Belegschaft für die Belange der Informationssicherheit zu schulen
Personalabteilung
Planende	Mit dem allgemeinen Begriff Planende werden Rollen zur Planung unterschiedlicher Aspekte zusammengefasst. Gemeint sind also Personen, die für die Planung und Konzeption bestimmter Aufgaben zuständig sind.
Risikomanager	Person, die alle Aufgaben des Risikomanagements wahrnimmt.
Testende	Testende sind Personen, die gemäß einem Testplan nach vorher festgelegten Verfahren und Kriterien eine neue oder veränderte Software beziehungsweise Hardware testen und die Testergebnisse mit den erwarteten Ergebnissen vergleichen.
Vorgesetzte	Mitarbeitenden einer Institution bezeichnet, die gegenüber anderen, ihnen zugeordnetungspersonal
Wartungspersonal	Mitarbeitende von Dienstleistenden, die mit der Wartung von technischen Systemen (etwa ICS- oder IT-Systeme) im Informationsverbund beauftragt wurden. Hierbei ist es in der Regel notwendig, dass das Wartungspersonal Zugriff auf die betroffenen Systeme erhält.
Zentrale Verwaltung	Die Rolle bezeichnet die Organisationseinheit, die den allgemeinen Betrieb regelt und überwacht sowie alle Verwaltungsdienstleistungen plant, organisiert und durchführt. Die Rolle Zentrale Verwaltung schließt die zuständige Leitung der Organisationseinheit mit ein

Grundschutz-Check

Grundschutz-Check - Soll-Ist-Vergleich zwischen geforderten und erfüllten Anforderungen

Beschreibung

Motivation

Sind Informationen und Informationstechnik hinreichend geschützt?

• Was bleibt zu tun?

Soll-Ist-Vergleich

• Anforderungen mit den umgesetzten Sicherheitsmaßnahmen
• Informationsverbund oder Komponente
• Umgesetzte Sicherheitsmaßnahmen mit den Anforderungen des entwickelten Grundschutz-Modells vergleichen
• Bestehendes Sicherheitsniveau identifizieren
• Verbesserungsmöglichkeiten aufzeigen

Grundschutz-Modell

Grundlage des Grundschutz-Checks

• ist das in der Modellierung aufgrund der vorhandenen Zielobjekte und ihres Schutzbedarfs zusammengestellte Grundschutz-Modell des Informationsverbundes
• In diesem Modell ist festgelegt, welche Bausteine und damit Anforderungsbündel für die einzelnen Zielobjekte des Informationsverbundes anzuwenden sind

Anforderungen

• Basisanforderungen
• Standardanforderungen
• Anforderungen für den erhöhten Schutzbedarf

Vorgehensweise

Welche dieser Anforderungen Sie im Grundschutz-Check berücksichtigen, hängt von der Vorgehensweise der IT-Grundschutz-Methodik ab

• Bei der Vorgehensweise Basis-Absicherung prüfen Sie lediglich die Erfüllung der Basis-Anforderungen
• Bei den Vorgehensweisen Standard-Absicherung und Kern-Absicherung berücksichtigen Sie zusätzlich die Standard-Anforderungen
• Die Anforderungen für den erhöhten Schutzbedarf haben Beispielcharakter und können im Bedarfsfall durch andere Maßnahmen mit starker Schutzwirkung ersetzt oder ergänzt werden
• Sie prüfen diese Anforderungen also nur dann, wenn sie als Ergebnis einer Risikoanalyse in das Grundschutz-Modell aufgenommen wurden, also Bestandteil des Sicherheitskonzepts geworden sind
• siehe Risikoanalyse

Anforderungen

Basis für den IT-Grundschutz-Check sind die Anforderungen aus dem IT-Grundschutz/Kompendium

• Aus der Strukturanalyse und der anschließenden Modellierung geht ein Modell des Informationsverbundes hervor, das alle relevanten Objekte mit den zugehörigen Bausteinen des IT-Grundschutz/Kompendiums enthält
• Aufgrund der nun vorliegenden Bausteine wird für jedes Objekt ermittelt, wie hoch der Erfüllungsgrad der in den Bausteinen enthaltenen Anforderungen ist
• Dies geschieht großenteils durch Interviews mit den Verantwortlichen der jeweiligen Bereiche

Überblick über das vorhandene IT-Sicherheitsniveau

Der IT-Grundschutz-Check ist somit ein Organisationsinstrument, welches einen gebündelten Überblick über das vorhandene IT-Sicherheitsniveau bietet

• Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Anforderung der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist
• Durch die Identifizierung von nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt

Soll/Ist-Abgleich

Der IT-Grundschutz-Check gibt Auskunft über die noch fehlenden Maßnahmen (Soll/Ist-Abgleich)

• Daraus folgt, was noch zu tun ist, um das angestrebte Maß an Sicherheit zu erlangen
• Die Grundschutz-Methodik unterscheidet hier die Basis-, Standard- oder Kern-Absicherung
• Die Anforderungen des Kompendiums sind für die jeweilige Absicherungsmethode gekennzeichnet (Basis, Standard und für erhöhten Schutzbedarf)

Hoher/sehr hoher Schutzbedarf

Für Systeme mit hohem/sehr hohem Schutzbedarf werden mitunter auch auf einer Risikoanalyse basierende [[Informationssicherheits-Konzepte wie nach ISO/IEC 27001 angewandt

Vorarbeiten

Arbeitsschritt	Beschreibung
IT-Grundschutz/Strukturanalyse	Ermittlung der relevanten Zielobjekte des Informationsverbundes
IT-Grundschutz/Schutzbedarfsfeststellung	Festlegung des Schutzbedarfs für die ermittelten Zielobjekte
IT-Grundschutz/Modellierung	Anwendung der Grundschutz-Bausteine auf die Zielobjekte

Damit wurde ein Prüfplan („Grundschutz-Modell“) für den Informationsverbund und dessen Zielobjekte zusammengestellt

Prüfplan anwenden (Grundschutz-Check)

Je Zielobjekt prüfen

• inwieweit relevante Anforderungen erfüllt sind
• durch technische oder organisatorische Maßnahmen

Vorgehen

Schritt	Bezeichnung	Beschreibung
1	Vorbereitungen
2	Durchführung
3	Dokumentation

Vorbereitung

Umsetzungsgrad ermitteln und dokumentieren

Umsetzungsgrad einzelner Maßnahmen für das jeweilige Zielobjekt ermitteln und dokumentieren

• Interview der zuständigen Mitarbeiter
• Überprüfungen vor Ort
• Begehung von Serverräumen
• Kontrolle von Konfigurationseinstellungen

Qualität der Ergebnisse

Die Qualität der Ergebnisse der Interviews und Begehungen hängt auch von einer guten Vorbereitung und der Beachtung einiger Regeln bei der Durchführung ab

Aktuelles Grundschutz-Kompendium

• Dort wird der Stand der Technik entsprechende Sicherheit beschrieben
• Die Informationstechnik ändert sich kontinuierlich, sodass regelmäßig geprüft werden muss, ob die eingeführten Sicherheitsmaßnahmen noch einen angemessenen Schutz bieten
• Das Grundschutz-Kompendium wird fortlaufend angepasst und um neue Bausteine ergänzt

Sichten der Dokumente

• Die vorhandenen Dokumente über sicherheitsrelevante Abläufe, Regelungen und Sachverhalte enthalten bereits viele Informationen, die Ihnen bei der Ermittlung des Erfüllungsgrads der Anforderungen helfen können
• Sichten Sie diese Papiere daher bereits vorab

Ansprechpartner auswählen

• Wählen Sie geeignete Ansprechpartner aus
• Klären Sie in diesem Zusammenhang auch, ob externe Stellen hinzuzuziehen sind, Fremdfirmen, an die Teilaufgaben des Informationsverbundes delegiert wurden

Ansprechpartner ergeben sich direkt aus den im genannten Rollen sowie oft aus dem sachlichen Zusammenhang

• So können Mitarbeiter der Personalabteilung oder Benutzerbetreuer gute Ansprechpartner für den Baustein Personal sein
• Während es sich anbietet, für die Systembausteine zu Netzen, -Systemen oder Anwendungen die jeweils zuständigen Administratoren und Anwendungsbetreuer zu befragen

Durchführung

Arbeitsteilung

Vier Augen und Ohren sehen und hören mehr als zwei

• Führen Sie die Interviews nach Möglichkeit daher nicht alleine durch
• Es empfiehlt sich eine Arbeitsteilung: Einer führt das Gespräch und stellt die Fragen, ein anderer protokolliert die Ergebnisse
• Selbstverständlich sollten Sie bei der Befragung den Inhalt der Anforderungsbeschreibungen sowie die zugehörigen Umsetzungsempfehlungen kennen
• Gegebenenfalls können stichpunktartige Zusammenfassungen zu einzelnen Anforderungen sowie möglichen Maßnahmen, mit denen sie erfüllt werden können, nützlich sein

Chancen nutzen

Der Grundschutz-Check ist eine Chance, die Informationssicherheit zu verbessern, kein Verhör

• Sorgen Sie für ein entspanntes Klima, sowohl beim Gespräch als auch bei Begehungen und Überprüfungen vor Ort

Dokumentation

Umsetzungsgrad

Erfüllungsgrad der Grundschutz-Anforderungen dokumentieren

Umsetzungsgrad	Beschreibung
Vollständig	Alle (Teil)-Anforderung durch geeignete Maßnahmen vollständig, wirksam, angemessen erfüllt
Entbehrlich	Erfüllung einer Anforderung nicht notwendig
Teilweise	Anforderung wird teilweise erfüllt
Nicht	Anforderung ist nicht erfüllt wird, geeignete Maßnahmen wurden größtenteils nicht umgesetzt

Entbehrlich

Wird die Erfüllung einer Anforderung auf „entbehrlich“ gesetzt, weil Alternativmaßnahmen ergriffen wurden, muss nachgewiesen werden, dass diese Maßnahmen die bestehenden Risiken angemessen minimieren

• Identifizieren Sie hierfür über die Kreuzreferenztabelle des jeweiligen Bausteins die zugehörigen elementaren Gefährdungen
• Wurden Alternativmaßnahmen ergriffen, begründen Sie, dass diese das von den relevanten Gefährdungen ausgehende Risiko angemessen verringern

Generell gilt, dass Risiken aufgrund der Nichterfüllung von Basis-Anforderungen nicht übernommen werden können

• Anforderungen dürfen darüber hinaus nicht quasi automatisch durch pauschale Akzeptanz oder pauschalen Ausschluss einer elementaren Gefährdung als „entbehrlich“ eingestuft werden

Da den möglichen Gefährdungen mit mindestens gleichwertigen Ersatzmaßnahmen entgegengewirkt wird ( erübrigen sich Passwortregeln, wenn Chipkarten zusätzlich für die Authentisierung eingesetzt werden) oder wenn die Empfehlungen für den betrachteten Einsatzzweck nicht relevant sind (so ist die Anforderung zur Absicherung von Fernwartung nur dann bedeutsam, wenn tatsächlich auch Systeme von entfernten Standorten aus gewartet werden)

Nachvollziehbarkeit

Damit die Ergebnisse des Grundschutz-Checks später und auch von Dritten nachvollzogen und überprüft werden können, ist es wichtig, dass Sie diese sorgfältig dokumentieren

Begründungen

• Vergessen Sie nicht, bei Anforderungen, die Sie als entbehrlich, nur teilweise oder überhaupt nicht erfüllt eingestuft haben, in der Dokumentation Ihre Begründung hierfür anzugeben

Formale Angaben

Bei jedem Interview angeben

• Zielobjekt
• Datum
• Wer es durchgeführt hat
• Wer befragt wurde

Hilfsmittel

Checklisten

Dokumentation mit Checklisten

Tool-Unterstützung

Der Grundschutz-Check wird auch durch eine Reihe an Tools unterstützt, die auf die Grundschutz-Methodik zugeschnitten sind

• Bei Verwendung eines solchen Werkzeugs haben Sie den zusätzlichen Vorteil, dass die Daten der Strukturanalyse für die Dokumentation des Grundschutz-Checks konsistent übernommen werden

Sowohl die Formulare in den Hilfsmitteln zum Grundschutz als auch die Masken in den Grundschutz-Werkzeugen bieten Felder an, in die Sie Angaben zur Umsetzung der als fehlend erkannten Maßnahmen eintragen können (Umsetzungsfristen, Verantwortliche, voraussichtliche Kosten)

• Diese Angaben sind für die Realisierungsplanung wichtig
• Beim Grundschutz-Check ist es noch nicht erforderlich, diese Felder auszufüllen

Risikomanagement

BSI-Standard 200-3 - Risikoanalyse auf der Basis von IT-Grundschutz

Inhalt

BSI/200-3/Einleitung

BSI/200-3/Vorarbeiten

BSI/200-3/Elementaren Gefährdungen

BSI/200-3/Gefährdungsübersicht

BSI/200-3/Risikoeinstufung

BSI/200-3/Risikobehandlung

BSI/200-3/Konsolidierung

BSI/200-3/Rückführung

BSI/200-3/Anhang

Einleitung

Beschreibung

Vereinfachte Risikoanalysen

Notwendig, wenn es fraglich ist, ob Basis- und Standard-Anforderungen eine ausreichende Sicherheit bieten

Anforderungen

Basis- und Standard-Anforderungen

Grundschutz-Bausteine bieten einen angemessenen und ausreichenden Schutz

• Normalen Schutzbedarf
• Typische Informationsverbünde
• Anwendungsszenarien
• Anforderungen

Hierfür wurde geprüft

• Welchen Gefährdungen die in den Bausteinen behandelten Sachverhalte üblicherweise ausgesetzt sind
• Wie den daraus resultierenden Risiken zweckmäßig begegnet werden kann

Grundschutzansatz

Festlegung erforderlicher Sicherheitsmaßnahmen

Weniger aufwendigen Untersuchungen

• in der Regel
• für den weitaus größten Teil eines Informationsverbundes

Zusätzlicher Analysebedarf

Hoher/sehr hoher Schutzbedarf	In mindestens einem der drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit
Keine hinreichenden Bausteine	Kein hinreichend passender Baustein im Grundschutz-Kompendium
Einsatzumgebung untypisch	Es gibt zwar einen geeigneten Baustein, die Einsatzumgebung des Zielobjekts ist allerdings für den Grundschutz untypisch

Risikoanalyse

Untersuchung von Sicherheitsgefährdungen und deren Auswirkungen

• BSI-Standard 200-3: Risikomanagement bietet hierfür eine effiziente Methodik

Zielgruppe

Mit dem Management oder der Durchführung von Risikoanalysen für die Informationssicherheit betraute

• Sicherheitsverantwortliche
• Sicherheitsbeauftragte
• Sicherheitsexperten
• Sicherheitsberater

BSI 200-3 bietet sich an, wenn

• bereits erfolgreich mit der IT-Grundschutz-Methodik gemäß BSI-Standard 200-2 gearbeitet wird
• möglichst direkt eine Risikoanalyse an die IT-Grundschutz-Analyse folgen soll

Je nach Rahmenbedin­gungen und Art des Informationsverbunds

• kann es jedoch zweckmäßig sein
• alternativ zum BSI-Standard 200-3 ein anderes etabliertes Verfahren oder eine angepasste Methodik für die Analyse von Informationsrisiken zu verwenden

BSI 200-3 beschreibt eine Methodik zur Analyse von Risiken

• IT-Grundschutz-Sicherheitskonzept ergänzen

Elementaren Gefährdungen

• Dabei wird die im IT-Grundschutz/Kompendium enthaltene Liste von elementaren Gefährdungen als Hilfsmittel verwendet
• Es wird empfohlen, die in den Kapiteln 2 bis 8 dargestellte Methodik Schritt für Schritt durchzuarbeiten

Notfallmanagement

Im BSI-Standard 100-4 Notfallmanagement ist für besonders kritische Ressourcen der Geschäftsprozesse der Institution ebenfalls eine Risikoanalyse vorgesehen, die sich von der hier beschriebenen nur in einigen Begriffen unterscheidet

• Beide Risikoanalysen können effizient aufeinander abgestimmt werden
• Es ist sinnvoll, dass sich alle Rollen in einer Institution, die sich mit Risikomanagement für einen spezifischen Bereich beschäftigen, miteinander abstimmen und vergleichbare Vorgehensweisen wählen

Überblick

BSI-Standard 200-3 - Risikoanalyse auf der Basis von IT-Grundschutz

• Bündelung aller risikobezogenen Arbeitsschritte in BSI-Standard 200-3
• Implementation eines Risikoentscheidungsprozesses
• Keine Risikoakzeptanz bei den Basis-Anforderungen
• Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und bei erhöhtem Schutzbedarf

Risikomanagementsystem

• Angemessenes Risikomanagement
• Richtlinie zum Umgang mit Risiken
• Vorarbeiten und Priorisierung

Normen

Zusammenspiel mit ISO/IEC 31000 und ISO/IEC 27005

ISO/IEC 31000	ISO-Norm zum Risikomanagement
ISO/IEC 27005	Risikomanagement in der Informationssicherheit

Einordnung IT-Grundschutz

Wann MUSS eine Risikoanalyse durchgeführt werden?

In bestimmten Fällen muss explizit eine Risikoanalyse durchgeführt werden Beispielsweise, wenn der Informationsverbund Zielobjekte enthält, die

• einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulich­keit, Integrität oder Verfügbarkeit haben oder
• mit den existierenden Bausteinen des IT-Grundschutzes nicht hinreichend abgebildet (modelliert) werden können oder
• in Einsatzszenarien (Umgebung, Anwendung) betrieben werden, die im Rahmen des IT-Grund­schutzes nicht vorgesehen sind

In diesen Fällen stellen sich folgende Fragen

• Welchen Gefährdungen für Informationen ist durch die Umsetzung der relevanten IT-Grund­schutz-Bausteine noch nicht ausreichend oder sogar noch gar nicht Rechnung getragen?
• Müssen eventuell ergänzende Sicherheitsmaßnahmen, die über das IT-Grundschutz-Modell hin­ausgehen, eingeplant und umgesetzt werden?

BSI 200-3

• Beschreibt, wie für bestimmte Zielobjekte festgestellt werden kann, ob und in welcher Hinsicht über den IT-Grundschutz hinaus Handlungsbedarf besteht, um Informationssicherheitsrisiken zu reduzieren
• Hierzu werden Risiken, die von elementaren Gefährdungen ausgehen, eingeschätzt und anhand einer Matrix bewertet
• Die Einschätzung erfolgt über die zu erwartende Häufigkeit des Eintretens und die Höhe des Schadens, der bei Eintritt des Schadensereignisses entsteht
• Aus diesen beiden Anteilen ergibt sich das Risiko

Zweistufige Risikoanalyse

1. In einem ersten Schritt wird die in Kapitel 4 erstellte Gefährdungsübersicht systematisch abgearbeitet
2. Dabei wird für jedes Zielobjekt und jede Gefährdung eine Bewertung unter der Annahme vorgenommen, dass bereits Sicherheitsmaßnahmen umgesetzt oder geplant worden sind (siehe Beispiele in Kapitel 5)

In der Regel wird es sich hierbei um Sicherheitsmaßnahmen handeln, die aus den Basis- und Standard-Anforderungen des IT-Grundschutz/Kompendiums abgeleitet worden sind

• An die erste Bewertung schließt sich eine erneute Bewertung an, bei der die Sicherheitsmaßnahmen zur Risikobehandlung betrachtet werden (siehe Beispiele in Kapitel 6)
• Durch einen Vorher-Nachher-Vergleich lässt sich die Wirksamkeit der Sicherheitsmaßnahmen prüfen, die zur Risikobehandlung eingesetzt worden sind

Risiken und Chancen

Chancen und Risiken sind die häufig auf Berechnungen beruhenden Vorhersagen eines möglichen Nutzens im positiven Fall bzw. Schadens im negativen Fall

• Was als Nutzen oder Schaden aufgefasst wird, hängt von den Wertvorstellungen einer Institution ab

BSI 200-3 konzentriert sich auf die Betrachtung der negativen Auswirkungen von Risiken, mit dem Ziel, adäquate Maßnahmen zur Risikominimierung aufzuzeigen

• In der Praxis werden im Rahmen des Risikomanagements meistens nur die negativen Auswirkungen betrachtet
• Ergänzend hierzu sollten sich Institutionen jedoch auch mit den positiven Auswirkungen befassen

Risikoanalyse

Als Risikoanalyse wird IT-Grundschutz der komplette Prozess bezeichnet

• Risiken beurteilen (identifizieren, einschätzen und bewerten) und behandeln

ISO 31000 und ISO 27005

Risikoanalyse bezeichnet aber nach den einschlägigen ISO-Normen ISO 31000 (siehe [31000]) und ISO 27005 (siehe [27005]) nur einen Schritt im Rahmen der Risikobeurteilung, die aus den folgenden Schritten besteht

• Identifikation von Risiken (Risk Identification)
• Analyse von Risiken (Risk Analysis)
• Evaluation oder Bewertung von Risiken (Risk Evaluation)

Deutscher Sprachgebrauch

Begriff „Risikoanalyse“ für den kompletten Pro­zess der Risikobeurteilung und Risikobehandlung etabliert

• Daher wird im IT-Grundschutz weiter der Begriff „Risikoanalyse“ für den umfassenden Prozess benutzt

Internationalen Normen

In den internationalen Normen, insbesondere der ISO 31000, werden einige Begriffe anders belegt, als es im deutschen Sprachraum üblich ist

• Daher findet sich im Anhang eine Tabelle, in der die wesent­lichen Begriffe aus ISO 31000 und dem 200-3 gegenübergestellt werden (siehe Tabelle 11)

Zielsetzung

Informationssicherheitsrisiken steuern

• Anerkanntes Vorgehen
• Angemessen
• Zielgerichtet
• Leicht anwendbar

Elementare Gefährdungen

Vorgehen basiert auf Elementaren Gefährdungen

• Im IT-Grundschutz/Kompendium beschrieben
• Basis für die Erstellung der IT-Grundschutz-Bausteine

Risikobewertung

In der Vorgehensweise nach IT-Grundschutz wird bei der Erstellung der IT-Grundschutz-Bausteine implizit eine Risikobewertung für Bereiche mit normalem Schutzbedarf vom BSI durchgeführt

• Hierbei werden nur solche Gefährdungen betrachtet, die eine so hohe Eintrittshäufigkeit oder so einschneidende Auswirkungen haben, dass Sicherheitsmaßnahmen ergriffen werden müssen
• Typische Gefährdungen, gegen die sich jeder schützen muss, sind z. B. Schäden durch Feuer, Wasser, Einbrecher, Schadsoftware oder Hardware-Defekte
• Dieser Ansatz hat den Vorteil, dass Anwender des IT-Grundschutzes für einen Großteil des Informationsverbundes keine individuelle Bedrohungs- und Schwachstellenanalyse durchführen müssen, weil diese bereits vorab vom BSI durchgeführt wurde

Übersicht

Schritte Risikoanalyse nach BSI-Standard 200-3

Integration der Risikoanalyse in den Sicherheitsprozess

	Arbeitsschitt	200-3	Beschreibung
1	Gefährdungen ermitteln	Kapitel 4	Zusammenstellung einer Liste von möglichen elementaren Gefährdungen Ermittlung zusätzlicher Gefährdungen, die über die elementaren Gefährdungen hinausgehen und sich aus dem spezifischen Einsatzszenario ergeben
2	Risikoeinstufung	Kapitel 5	Risikoeinschätzung (Ermittlung von Eintrittshäufigkeit und Schadenshöhe) Risikobewertung (Ermittlung der Risikokategorie)
3	Risikobehandlung	Kapitel 6	Risikovermeidung Risikoreduktion (Ermittlung von Sicherheitsmaßnahmen) Risikotransfer Risikoakzeptanz
4	Konsolidierung	Kapitel 7	Konsolidierung des Sicherheitskonzepts Integration der aufgrund der Risikoanalyse identifizierten zusätzlichen Maßnahmen in das Sicherheitskonzept

Vorarbeiten

Vorarbeiten zur Risikoanalyse

BSI-Standard 200-2

Arbeitsschitt	Beschreibung
Informationssicherheitsprozess	Systematischer Informationssicherheitsprozess muss initiiert worden sein. Aktivitäten im Bereich der Informationssicherheit strukturiert steuern und abarbeiten. Beispielsweise müssen geeignete Rollen und Aufgaben definiert werden.
IT-Grundschutz/Geltungsbereich	Geltungsbereich für die Sicherheitskon­zeption muss definiert worden sein. Dieser Geltungsbereich wird im Folgenden als Informationsverbund bezeichnet.
Strukturanalyse	Für den Informationsverbund sollte eine Strukturanalyse gemäß Kapitel 8.1 der IT-Grund­schutz-Methodik durchgeführt worden sein. Dadurch werden die wichtigsten Informationen über den Informationsverbund ermittelt, z. B. Geschäftsprozesse, der Netzplan sowie eine Liste der wichtigsten Anwendungen mit Abhängigkeit von den IT-Systemen.
Schutzbedarfsfeststellung	Anschließend sollte eine Schutzbedarfsfeststellung gemäß Kapitel 8.2 der IT-Grundschutz-Metho­dik durchgeführt worden sein. Als Ergebnis liegen der Schutzbedarf der Geschäftsprozesse, An­wendungen, IT-Systeme, genutzten Räume sowie eine Liste der kritischen Kommunikationsverbin­dungen vor. Der Schutzbedarf bezieht sich jeweils auf die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit und wird nach IT-Grundschutz normalerweise in den Stufen normal, hoch und sehr hoch festgelegt.
Modellierung	Es sollte eine Modellierung gemäß Kapitel 8.3 der IT-Grundschutz-Methodik und Kapitel 2 des IT-Grundschutz/Kompendiums durchgeführt worden sein. Dabei wird für jedes Zielobjekt im Infor­mationsverbund festgelegt, ob es passende IT-Grundschutz-Bausteine gibt und wie diese anzu­wenden sind. Die in den einzelnen Bausteinen genannten Sicherheitsanforderungen und die dar­aus abgeleiteten Sicherheitsmaßnahmen bilden die Basis für das IT-Grundschutz-Sicherheitskon­zept des betrachteten Informationsverbundes.
IT-Grundschutz-Check	Es sollte vor der Risikoanalyse ein IT-Grundschutz-Check gemäß Kapitel 8.4 der IT-Grund­schutz-Methodik durchgeführt werden. Dadurch wird festgestellt, welche Basis- und Standard-Si­cherheitsanforderungen für den vorliegenden Informationsverbund bereits erfüllt sind und wo noch Defizite bestehen.

Ergebnis

Liste der Zielobjekte, für die eine Risikoanalyse durchgeführt werden sollte („betrachtete Zielobjekte“)

Priorisierung

Viele Zielobjekte

Falls trotz Gruppenbildung viele Zielobjekte einer Risikoanalyse unterzogen werden müssen, sollte eine geeignete Priorisierung vorgenommen werden:

• Falls für den IT-Grundschutz die Vorgehensweise „Standard-Absicherung“ gewählt wurde, sollten vorrangig die übergeordneten Zielobjekte bearbeitet werden (insbesondere Geschäftsprozesse, Teilverbünde und gesamter Informationsverbund).
• Aus diesen Arbeiten ergeben sich oft wertvolle Anhaltspunkte für die Risikoanalysen der untergeordneten technischen Zielobjekte.
• Falls für den IT-Grundschutz die Vorgehensweise „Kern-Absicherung“ gewählt wurde, sollten vorrangig die Zielobjekte mit dem höchsten Schutzbedarf bearbeitet werden.
• Falls für den IT-Grundschutz die Vorgehensweise „Basis-Absicherung“ gewählt wurde, werden zunächst keine Risikoanalysen durchgeführt, sondern es werden als Erstes nur die Basis-Anforde­rungen umgesetzt.

Abweichende Vorgehensweisen

Von der beschriebenen Vorgehensweise kann abgewichen werden

• Unter Umständen bietet es sich an, eine Risikoanalyse erst nach Erfüllung der IT-Grundschutz-Anforderungen durchzuführen.
• Dies kann beispielsweise bei Zielobjekten sinnvoll sein, die bereits im Einsatz sind und die hinreichend durch IT-Grundschutz-Bausteine dargestellt werden können.
• Als Entscheidungshilfe dazu, nach wel­chem Schritt eine Risikoanalyse sinnvoll ist, findet sich eine Zusammenstellung der Vor- und Nachteile der möglichen Zeitpunkte in Kapitel 8.5 der IT-Grundschutz-Methodik im BSI-Standard 200-2.

Risikoanalyse auf Geschäftsprozessebene

• Bei den betrachteten Zielobjekten muss es sich nicht zwangsläufig um systemorientierte Zielob­jekte (z. B. Anwendungen, IT-Systeme oder -Räume) handeln.
• Vielmehr kann die Risikoanalyse auch auf Geschäftsprozessebene durchgeführt werden.

Voraussetzungen

Zu den Vorarbeiten gehört auch, dass die Grundvoraussetzungen für die Risikoanalyse von der Insti­tutionsleitung vorgegeben werden.

Richtlinie zum Umgang mit Risiken

Hierzu muss die Leitungsebene eine Richtlinie zum Umgang mit Risiken verabschieden. Diese sollte unter anderem folgende Aspekte umfassen:

• Unter welchen Voraussetzungen muss in jedem Fall eine Risikoanalyse durchgeführt werden?
• Welche Methodik beziehungsweise welcher Standard wird dazu eingesetzt, um die Risiken zu identifizieren, einzuschätzen, zu bewerten und zu behandeln?
• Wie wird die gewählte Methodik auf die speziellen Belange der Institution angepasst?
• Was sind die Risikoakzeptanzkriterien?
• Welche Organisationseinheiten sind für welche Teilaufgaben der Risikoanalyse verantwortlich? Sind Risiken den jeweiligen Risikoeigentümern zugeordnet?
• Auf welche Weise werden Risikoanalysen in den Sicherheitsprozess integriert, geschieht dies bei­spielsweise vor oder nach Umsetzung der IT-Grundschutz-Anforderungen?
• Welche Berichtspflichten bestehen im Rahmen von Risikoanalysen?
• In welchem Zeitrahmen muss die Risikoanalyse vollständig aktualisiert werden?

Risikoakzeptanzkriterien

• Da die Risikoakzeptanzkriterien einer Institution in entscheidendem Maße von deren Risikoneigung (Risikoappetit) abhängen, kann es sinnvoll sein, auch die Risikoneigung (siehe Kapitel 9) in der Richt­linie zu beschreiben.
• Möglicherweise ist sich eine Institution ihrer eigenen Risikoneigung nicht be­wusst oder hat ungenaue Vorstellungen von diesem Begriff. In diesem Fall sollte die Leitungsebene eine Klärung und Entscheidung herbeiführen, gegebenenfalls sollte die Institution hierfür auf externe Experten zurückgreifen.

Richtlinie zur Risikoanalyse

• Die in der Richtlinie zur Risikoanalyse beschriebenen Vorgaben der Leitungsebene müssen konse­quent umgesetzt werden, wenn Risiken bewertet und behandelt werden.
• Zweifelsfälle können auftreten, beispielsweise wenn es bei einem bestimmten Risiko nicht sinnvoll erscheint, die festgelegte Risikoneigung anzuwenden.
• Solche Ausnahmefälle sollten abgestimmt und dokumentiert werden.

Die Richtlinie zur Risikoanalyse sollte gemäß den Vorgaben des Informationssicherheitsmanagementsystems (siehe BSI-Standard 200-2 IT-Grundschutz Methodik [BSI2]) erstellt werden.

• Sie muss in re­gelmäßigen Abständen oder anlassbezogen auf ihre Aktualität hin überprüft und gegebenenfalls orientiert an den Zielen der Institution angepasst werden.
• Insbesondere sollte auch die eingesetzte Vorgehensweise zur Risikoanalyse regelmäßig überprüft werden.
• Die Richtlinie zur Risikoanalyse muss durch die Institutionsleitung freigegeben werden.

Zielobjekte

Voraussetzung für die Durchführung von Risikoanalysen im Rahmen der Standard-Absicherung

bei der Strukturanalyse die Zielobjekte des Informationsverbundes

• zusammengestellt sind
• deren Schutzbedarf festgestellt ist und
• ihnen bei der Modellierung soweit möglich passende Grundschutz-Bausteine zugeordnet wurden.

Risikoanalyse für Zielobjekte

• Hoher oder sehr hoher Schutzbedarf
  • In einem der drei Grundwerte (Vertraulichkeit, Integrität, Verfügbarkeit)
• Für die es keinen passenden Grundschutz-Baustein gibt
• Die in Einsatzszenarien betrieben werden, die für den Grundschutz untypisch sind.

Priorisierung

Bei einer großen Zahl an Zielobjekten, die eines diese Kriterien erfüllen, sollten Sie eine geeignete Priorisierung vornehmen.

• Bei der Vorgehensweise Standard-Absicherung bietet es sich an, zunächst übergeordnete Zielobjekte zu betrachten, etwa den gesamten Informationsverbund, bestimmte Teile des Informationsverbundes oder wichtige Geschäftsprozesse.
• Bei der Kern-Absicherung sollten Sie vorrangig diejenigen Zielobjekte mit dem höchsten Schutzbedarf untersuchen.

Betrachteten Zielobjekte

Richtlinie

Richtlinie zum Umgang mit Risiken

Bevor Sie mit der Durchführung von Risikoanalysen beginnen, sollte die Leitung Ihrer Institution grundlegende Aspekte hierfür in einer Richtlinie zum Umgang mit Risiken festlegen:

• Unter welchen Voraussetzungen ist eine Risikoanalyse erforderlich?
• Mit welchem Verfahren werden Risiken identifiziert, eingeschätzt, bewertet und behandelt und wie ist dieses Verfahren an die Gegebenheiten der Institution angepasst und in den Sicherheitsprozess integriert?
• Welche Organisationseinheiten sind für die verschiedenen Teilaufgaben des Risikomanagements zuständig?
• Wie sind die Berichtspflichten geregelt?
• Welche Kriterien müssen erfüllt sein, damit Risiken akzeptiert werden?
• In welchen zeitlichen Intervallen und bei welchen Ereignissen müssen Risikoanalysen aktualisiert werden?

Diese Richtlinie und die zugehörigen organisatorischen Umsetzungen sollten regelmäßig auf ihre Aktualität und Angemessenheit geprüft werden.

Elementaren Gefährdungen

Elementaren Gefährdungen - Hilfsmittel für Risikoanalysen

Beschreibung

Hilfsmittel für Risikoanalysen

• Grundschutz-Kompendium enthält eine Liste 47 elementaren Gefährdungen
• Kompatibel mit vergleichbaren Zusammenstellungen in internationalen Standards und Normen

Verwendung bei der Risikoanalyse

• Elementare Gefährdungen sind für die Verwendung bei der Risikoanalyse optimiert, produktneutral (immer), technikneutral (möglichst, bestimmte Techniken prägen so stark den Markt, dass sie auch die abstrahierten Gefährdungen beeinflussen), kompatibel mit vergleichbaren internationalen Katalogen und Standards und nahtlos in den IT-Grundschutz integriert.

Effiziente Durchführung von Risikoanalysen

Da die elementaren Gefährdungen hauptsächlich die effiziente Durchführung von Risikoanalysen ermöglichen sollen, wurde der Fokus darauf gerichtet, tatsächliche Gefahren zu benennen.

• Gefährdungen, die überwiegend die fehlende oder unzureichende Umsetzung von Sicherheitsmaßnahmen thematisieren und somit auf indirekte Gefahren verweisen, wurden bewusst nicht benannt.
• Bei der Erarbeitung der Übersicht der elementaren Gefährdungen wurde mit betrachtet, welcher Grundwert der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) durch die jeweilige Gefährdung beschädigt würde.https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/Elementare_Gefaehrdungen.pdf?__blob=publicationFile&v=4
• Da diese Information bei verschiedenen Schritten der Sicherheitskonzeption von Interesse ist, wird sie in der folgenden Tabelle mit aufgeführt.
• Nicht alle elementaren Gefährdungen lassen sich auf genau einen Grundwert abbilden, gleichwohl betreffen verschiedene Gefährdungen mehrere Grundwerte.
• Dabei ist dies so zu interpretieren, dass durch die jeweilige Gefährdung die dazu aufgeführten Grundwerte direkt beeinträchtigt werden.
• Bei vielen Gefährdungen lässt sich diskutieren, inwieweit alle drei Grundwerte betroffen sein könnten, weil sich auch indirekte Auswirkungen ableiten lassen.
• So wird z. B. zu G 0.1 Feuer als einziger betroffener Grundwert „Verfügbarkeit“ genannt.
• Natürlich könnte ein Feuer einen Datenträger auch so beschädigen, dass die abgespeicherten Informationen zwar noch vorhanden wären, aber deren Integrität verletzt wäre.
• Ein anderes Szenario könnte sein, dass bei einem Brand vertrauliche Unterlagen durch Rettungsmaßnahmen für Unbefugte zugänglich wären.
• Dies wären zwar indirekte Auswirkungen auf die Grundwerte Vertraulichkeit und Integrität, aber nur die Verfügbarkeit wäre unmittelbar beeinträchtigt.

Gefährdungsübersicht

Beschreibung

Erster Schritt einer Risikoanalyse

• Risiken identifizieren, denen ein Zielobjekt ausgesetzt ist

Beschreibung

• Welchen Gefährdungen das Objekt unterliegt
• Anhand der elementaren Gefährdungen als Ausgangspunkt

Grundschutz Bausteine

Abdeckung mit Grundschutz Bausteine

Abdeckung	Beschreibung
Ausreichend	Alle Aspekte des Zielobjektes können vollständig mit IT-Grundschutz-Bausteinen modelliert werden Risikoanalysen für normalen Schutzbedarf in den Bausteinen enthalten In den Bausteinen tabellarisch dargestellt, welche elementaren Gefährdungen relevant sind und mit welchen Anforderungen diesen Gefährdungen jeweils begegnet wird
Unzureichend	Keine ausreichende Abdeckung durch IT-Grundschutz-Bausteine Vollständige Liste der elementaren Gefährdungen prüfen, welche der Gefährdungen für das betreffende Zielobjekt relevant sind

Relevanz einer Gefährdung

Nur Gefährdungen mit direkter Relevanz in die Gefährdungsübersicht aufnehmen

Einwirkungen

direkt	unmittelbar
indirekt	über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkend

Aufgabe

Prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können

• Die Relevanz einer Gefährdung mit der möglichen Einwirkung einer Gefährdung bestimmen

Erstellung einer Gefährdungsübersicht

Zusätzliche Gefährdungen

Ermittlung zusätzlicher Gefährdungen BSI/200-3/Gefährdungsübersicht#Zusätzliche_Gefährdungen

Beispiel

Relevante IT-Grundschutz-Bausteine für Virtualisierungsserver S007

• SYS.1.1 Allgemeiner Server
• SYS.1.3 Server unter Unix
• SYS.1.5 Virtualisierung

Referenzierten elementaren Gefährdungen

Aus den in diesen Bausteinen referenzierten elementaren Gefährdungen lässt sich die folgende auszugsweise wiedergegebene Übersicht relevanter Gefährdungen zusammenstellen

Gefährdung	Beschreibung
G 0.14	Ausspähen von Informationen (Spionage)
G 0.15	Abhören
G 0.18	Fehlplanung oder fehlende Anpassung
G 0.19	Offenlegung schützenswerter Informationen
G 0.21	Manipulation von Hard- oder Software
G 0.22	Manipulation von Informationen
G 0.23	Unbefugtes Eindringen in IT-Systeme
G 0.25	Ausfall von Geräten oder Systemen
G 0.26	Fehlfunktion von Geräten oder Systemen
G 0.28	Software-Schwachstellen oder -Fehler
G 0.30	Unberechtigte Nutzung oder Administration von Geräten und Systemen
G 0.31	Fehlerhafte Nutzung oder Administration von Geräten und Systemen
G 0.32	Missbrauch von Berechtigungen
G 0.40	Verhinderung von Diensten (Denial of Service)
G 0.43	Einspielen von Nachrichten
G 0.45	Datenverlust
G 0.46	Integritätsverlust schützenswerter Informationen

Risikoeinstufung

Häufigkeit und Auswirkungen

Häufigkeit und Auswirkungen einschätzen

Die Höhe eines Risikos ergibt sich aus der Häufigkeit einer Gefährdung und der drohenden Schadenshöhe

• Ein Risiko ist umso größer, je häufiger eine Gefährdung ist, umgekehrt sinkt es, je geringer der mögliche Schaden ist

Grundsätzlich können beide Größen sowohl quantitativ, also mit genauen Zahlenwerten, als auch qualitativ, also mit Hilfe von Kategorien zur Beschreibung der Größenordnung, bestimmt werden

• Erfahrungsgemäß sind jedoch hinreichend verlässliche quantitative Angaben, insbesondere zur Häufigkeit von Schadensereignissen im Bereich der Informationssicherheit, so gut wie nicht vorhanden und auch dort, wo es verlässliche Statistiken gibt, sind daraus abgeleitete exakte Prognosen auf zukünftige Ereignisse problematisch, wenn nicht gar unmöglich
• Daher empfiehlt sich ähnlich wie bei der Schutzbedarfsfeststellung ein qualitativer Ansatz mit einer begrenzten Anzahl an Kategorien

Die Anzahl der Kategorien, mit denen Sie Eintrittshäufigkeit und Schadenshöhe beschreiben, und deren Definition sollten auf die konkreten Gegebenheiten Ihrer Institution angepasst sein

• Im Allgemeinen genügen maximal fünf Stufen zur Abgrenzung von Häufigkeiten und Auswirkungen
• Wenn bei Ihnen ein übergeordnetes Risikomanagement bereits eingeführt ist, empfiehlt es sich zudem, Informationssicherheitsrisiken in Übereinstimmung mit den dort verwendeten Systemen zur Bewertung und Klassifikation von Risiken zu verwenden

Nachfolgend als Beispiel ein Vorschlag aus dem -Standard 200-3 für ein mögliches vierstufiges Klassifikationsschema zur Bewertung von Eintrittshäufigkeiten

Klassifikation von Häufigkeiten

Eintrittshäufigkeit	Beschreibung
selten	Das Ereignis könnte nach heutigem Kenntnisstand höchstens alle fünf Jahre auftreten
mittel	Das Ereignis tritt einmal alle fünf Jahre bis einmal im Jahr ein
häufig	Das Ereignis tritt einmal im Jahr bis einmal pro Monat ein
Sehr häufig	Das Ereignis tritt mehrmals im Monat ein

Auch für die Klassifikation möglicher Schadensauswirkungen enthält der -Standard als Beispiel ein vierstufiges Klassifikationsschema

Klassifikation von Schadensauswirkungen

Schadenshöhe	Schadensauswirkungen
vernachlässigbar	Die Schadensauswirkungen sind gering und können vernachlässigt werden
begrenzt	Die Schadensauswirkungen sind begrenzt und überschaubar
beträchtlich	Die Schadensauswirkungen können beträchtlich sein
existenzbedrohend	Die Schadensauswirkungen können ein existenziell bedrohliches, katastrophales Ausmaß annehmen

Berücksichtigen Sie bei der Definition der Kategorien zur Bewertung der Auswirkungen einer Gefährdung auch die bei Ihnen vorgenommene Definition der Schutzbedarfskategorien

• Beide Systeme sollten in einer Institution zueinander passend definiert werden

Risikobewertung und Risikobehandlung

Nachdem Sie die Eintrittshäufigkeiten und Schadensauswirkungen einer Gefährdung eingeschätzt haben, können Sie das aus beiden Faktoren resultierende Risiko bewerten

• Es ist auch hierfür zweckmäßig, eine nicht zu große Anzahl an Kategorien zu verwenden, drei bis fünf sind üblich, oft werden auch nur zwei Kategorien verwendet
• Der -Standard 200-3 enthält ein Beispiel mit vier Stufen, das Sie an die Gegebenheiten und Erfordernisse Ihrer Institution anpassen können

Risikoklassifikation

Risikokategorie	Definition
gering	Die bereits umgesetzten oder zumindest im Sicherheitskonzept vorgesehenen Maßnahmen bieten einen ausreichenden Schutz
mittel	Die bereits umgesetzten oder zumindest im Sicherheitskonzept vorgesehenen Maßnahmen reichen möglicherweise nicht aus
hoch	Die bereits umgesetzten oder zumindest im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen bieten keinen ausreichenden Schutz vor der jeweiligen Gefährdung. Das Risiko kann mit einer großen Wahrscheinlichkeit nicht akzeptiert werden
sehr hoch	Die bereits umgesetzten oder zumindest im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen bieten keinen ausreichenden Schutz vor der jeweiligen Gefährdung. Das Risiko kann mit einer sehr großen Wahrscheinlichkeit nicht akzeptiert werden

Risikomatrix

Zur Darstellung von Eintrittshäufigkeiten, Schadensauswirkungen und Risiken ist eine Risikomatrix ein gebräuchliches und sehr anschauliches Instrument

• Auch hierzu enthält der BSI-Standard 200-3 einen Vorschlag, den Sie an die Festlegungen Ihrer Institution zur Risikobewertung anpassen können

Die Risikobewertung nehmen Sie vor, um begründete Entscheidungen zum Umgang mit möglichen Gefährdungen treffen zu können

• Eine solche Entscheidung kann sein, durch zusätzliche Maßnahmen die Eintrittshäufigkeit und/oder die Auswirkungen einer Gefährdung zu verringern
• Mithilfe der Risikomatrix können Sie auch verdeutlichen, wie sich die Umsetzung solcher Maßnahmen auf ein Risiko auswirken würde

Beispiel

• Risikomanagementsystem
• Erstellung der Gefährdungsübersicht

Ermittlung zusätzlicher Gefährdungen

Quellen

• BSI-Gefährdungskataloge
• Produktdokumentation
• Publikationen über Schwachstellen im Internet
• Auch Schwächen eingesetzter Komponenten und Protokolle
• Anfrage bei Herstellern
• Fachliteratur
• Bewertungskriterien (z. B. Common Criteria)
• eigene Bedrohungsanalysen

Weitere Informationsquellen

• Security Mailing List Archive: seclists.org

47. Elementargefährdung

G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe

• Von Tätern nicht beabsichtigt Auswirkungen
• nicht die unmittelbar angegriffenen Zielobjekte betreffen oder
• unbeteiligte Dritte schädigen

Beispiele

• Für DDoS-Angriffe als Bots missbrauchte IT-Systeme
• (IoT-) Geräte, die als ein Einfallstor in Netze missbraucht werden
• Ransomware-Angriffe auf IT-Systeme Kritischer Infrastrukturen

Lösungsansätze

• Die Bewertung des Risikos erfolgt durch den populären Matrix-Ansatz anhand weniger Stufen
• Wenn das Risiko nicht akzeptabel ist, werden Maßnahmen zur Senkung, Vermeidung oder Übertragung des Risikos in Betracht gezogen
• Im Sinne einer Was-Wäre-Wenn-Analyse wird dann in der Risiko-Matrix "eingezeichnet", wie sich das Risiko bei Umsetzung der jeweiligen Maßnahme ändern würde
• Dadurch wird automatisch auch das Restrisiko dokumentiert
• Restrisiko muss der Leitung zur Zustimmung vorgelegt werden (Risikoakzeptanz)

Bewertungsverfahren

Beispiel

Als Beispiel für die Risikobewertung werden zwei Gefährdungen für den Virtualisierungsserver S007 bei der RECPLAST betrachtet

• Die Risiken werden mit Hilfe der zuvor beschriebenen Kategorien für Häufigkeiten, Auswirkungen und resultierendem Risiko bewertet

Risikobewertung für die Gefährdung G 0.15 Abhören

Das Risiko besteht, weil zu Wartungszwecken die auf dem Server S007 betriebenen virtuellen Maschinen von Zeit zu Zeit auf einen zweiten Virtualisierungsserver verschoben werden

• Bei dieser Live-Migration werden folglich die aktuelle Speicherinhalte der virtuellen Maschinen zwischen beiden Servern übertragen
• Da wegen der damit verbundenen Performance-Verluste darauf verzichtet wurde, die Daten zu verschlüsseln, können die übertragenen Informationen grundsätzlich mitgelesen werden
• Dies gilt auch für Datenübertragungen vom Virtualisierungsserver S007 zu den angeschlossenen zentralen Speichersystemen

Bei der Bewertung werden die Eintrittshäufigkeit und die möglichen Auswirkungen betrachtet

• Die Eintrittshäufigkeit wird auch ohne zusätzliche Maßnahmen als selten bewertet
• Diese Entscheidung wurde getroffen, weil durch eine geeignete Netzsegmentierung und Konfiguration dafür gesorgt wurde, dass die Datenübertragungen bei der Live-Migration wie auch zu den Speichersystemen in abgetrennten, von außen nicht zugänglichen Teilnetzen stattfinden, auf die nur die berechtigten und als vertrauenswürdig eingeschätzten Administratoren Zugriff haben
• Gleichwohl handelt es sich bei den übertragenen Daten um solche, bei denen Verletzungen der Vertraulichkeit beträchtliche negative Folgen haben könnten
• Die Auswirkungen bei Eintreten der Gefährdung werden daher als beträchtlich eingestuft

Aus diesen Einschätzungen ergibt sich gemäß sich der festgelegten Kriterien für die Risikobewertung ein insgesamt mittleres Risiko

"Risikomatrix mit eingetragener Gefährdung. (Bild hat eine Langbeschreibung)"

Risikobewertung für die Gefährdung G 0.25 Ausfall von Geräten oder Systemen

Der BSI-Standard 200-3 enthält in Kapitel 5.2 verschiedene Beispiele dafür, wie eine Risikobewertung tabellarisch dokumentiert werden kann

• Da oftmals eine Vielzahl an Gefährdungen zu berücksichtigen sind, kann auf ausführliche Erläuterungen zu den vorgenommenen Bewertungen verzichtet werden
• Die folgende Tabelle zeigt anhand der Gefährdung G 0.25 eine hinreichende Dokumentation der Risikobewertung

Risikobewertung

Virtualisierungsserver S007

Vertraulichkeit	hoch
Integrität	hoch
Verfügbarkeit	hoch

Gefährdung G 0.25 Ausfall von Geräten oder Systemen

Beeinträchtigte Grundwerte	Verfügbarkeit
Eintrittshäufigkeit ohne zusätzliche Maßnahmen	mittel
Auswirkungen ohne zusätzliche Maßnahmen	beträchtlich
Risiko ohne zusätzliche Maßnahmen	mittel

Risikobehandlung

Risikoakzeptanzkriterien

Risikoappetit

Je nach Risikoappetit sind unterschiedliche Risikoakzeptanzkriterien möglich

• Kapitel 5

Im Folgenden wird davon ausgegangen

• „geringe“ Risiken grundsätzlich akzeptiert werden
• „mittlere“, „hohe“ und „sehr hohe“ Risiken jedoch nur in Ausnahmefällen

In der Praxis ergeben sich im Rahmen der Risikoeinstufung meist mehrere Gefährdungen, aus denen sich Risiken in den Stufen „mittel“, „hoch“ oder „sehr hoch“ ergeben

• Es muss entschieden werden, wie mit diesen verbleibenden Risiken umgegangen wird
• Es müssen geeignete Risikobehandlungsoptionen ausgewählt werden

Risikobehandlung

Option	Beschreibung
Vermeiden	Risikoursache ausschließen
Reduzieren	Rahmenbedingungen, die zur Risikoeinstufung beigetragen haben, modifizien
Transfer	Risiken mit anderen Parteien teilen
Akzeptanz	Weil die mit dem Risiko einhergehenden Chancen wahrgenommen werden sollen

Vermeidung - Reduktion - Transfer

Im Folgenden werden die Risikobehandlungsoptionen der Vermeidung, Reduktion und des Transfers näher betrachtet.

• Darauf aufbauend, muss eine Institution Risikoakzeptanzkriterien festlegen und die Risikobehandlung darauf abbilden.
• Bei der Entscheidung, wie mit den identifizierten Risiken umgegangen wird, muss auf jeden Fall die Leitungsebene beteiligt werden, da sich aus der Entscheidung unter Umständen erhebliche Schäden ergeben oder zusätzliche Kosten entstehen können.

Für jede Gefährdung in der vervollständigten Gefährdungsübersicht mit Risikokategorie „mittel“, „hoch“ oder „sehr hoch“ müssen folgende Fragen beantwortet werden: A: Risikovermeidung: Ist es sinnvoll, das Risiko durch eine Umstrukturierung des Geschäftsprozesses oder des Informationsverbunds zu vermeiden?

Gründe für diesen Ansatz können etwa sein

• Alle wirksamen Gegenmaßnahmen sind mit hohem Aufwand verbunden und damit sehr teuer, die verbleibende Gefährdung kann aber trotzdem nicht hingenommen werden.
• Die Umstrukturierung bietet sich ohnehin aus anderen Gründen an, z. B. zur Kostensenkung.
• Es kann einfacher und eleganter sein, die vorhandenen Abläufe zu ändern, als sie durch Hinzufügen von Sicherheitsmaßnahmen komplexer zu machen.
• Alle wirksamen Gegenmaßnahmen würden erhebliche Einschränkungen für die Funktion oder den

Komfort des Systems mit sich bringen. B: Risikoreduktion (Risikomodifikation): Ist es sinnvoll und möglich, das Risiko durch weitere Sicherheitsmaßnahmen zu reduzieren?

Das Risiko durch die verbleibende Gefährdung kann möglicherweise gesenkt werden, indem eine oder mehrere ergänzende Sicherheitsmaßnahmen erarbeitet und umgesetzt werden, die der Gefähr­dung entgegenwirken.

• Als Informationsquellen über ergänzende Sicherheitsmaßnahmen kommen beispielsweise folgende infrage:
• die Dokumentation und der Service des Herstellers, wenn es sich bei dem betroffenen Zielobjekt um ein Produkt handelt,
• Standards und Best Practices, wie sie beispielsweise von Gremien im Bereich der Informationssicherheit erarbeitet werden,
• andere Veröffentlichungen und Dienstleistungen, die beispielsweise im Internet oder von spezialisierten Unternehmen angeboten werden,
• Erfahrungen, die innerhalb der eigenen Institution oder bei Kooperationspartnern gewonnen wurden.

Der hypothetische Aufwand und mögliche Kosten für gegebenenfalls erforderliche Sicherheitsmaßnahmen und Informationen über bereits vorhandene Sicherheitsmechanismen sind wichtige Entscheidungshilfen. C: Risikotransfer (Risikoteilung): Ist es sinnvoll, das Risiko an eine andere Institution zu übertragen, beispielsweise durch den Abschluss eines Versicherungsvertrags oder durch Outsourcing? Gründe für diesen Ansatz können beispielsweise sein:

• Die möglichen Schäden sind rein finanzieller Art.
• Es ist ohnehin aus anderen Gründen geplant, Teile der Geschäftsprozesse auszulagern.
• Der Vertragspartner ist aus wirtschaftlichen oder technischen Gründen besser in der Lage, mit dem

Risiko umzugehen. Wenn im Rahmen der Risikobehandlung zusätzliche Sicherheitsanforderungen identifiziert werden, muss die Risikoeinstufung (siehe nachfolgende Beispiele) für die betroffenen Zielobjekte entspre­chend angepasst werden.

• Zu beachten ist dabei, dass neue Anforderungen unter Umständen nicht nur Auswirkungen auf das jeweils analysierte Zielobjekt haben, sondern auch auf andere Zielobjekte.

Die zusätzlichen Anforderungen und die daraus resultierenden Sicherheitsmaßnahmen werden im Sicherheitskonzept dokumentiert. Wenn im Rahmen der Risikobehandlung Änderungen an den Geschäftsprozessen oder am Informationsverbund vorgenommen wurden, etwa durch Risikovermeidung oder Risikotransfer, müssen diese insgesamt im Sicherheitskonzept berücksichtigt werden.

• Dies betrifft im Allgemeinen auch Arbeitsschritte, die in der IT-Grundschutz-Vorgehensweise gemäß BSI-Standard 200-2 dargestellt sind, beginnend bei der Strukturanalyse.
• Selbstverständlich kann dabei aber auf die bisher erarbeiteten Informationen und Dokumente zurückgegriffen werden.

Beim Risikotransfer ist die sachgerechte Vertragsgestaltung einer der wichtigsten Aspekte.

• Besonders bei Outsourcing-Vorhaben sollte hierzu auf juristischen Sachverstand zurückgegriffen werden.
• Die Entscheidung wird von der Leitungsebene getroffen und nachvollziehbar dokumentiert.

D: Risikoakzeptanz: Können die Risiken auf Basis einer nachvollziehbaren Faktenlage akzeptiert werden? Die Schritte der Risikoeinstufung und Risikobehandlung werden so lange durchlaufen, bis die Risikoakzeptanzkriterien der Institution erreicht sind und das verbleibende Risiko („Restrisiko“) somit im Einklang mit den Zielen und Vorgaben der Institution steht. Das Restrisiko muss anschließend der Leitungsebene zur Zustimmung vorgelegt werden (Risikoakzeptanz).

• Damit wird nachvollziehbar dokumentiert, dass die Institution sich des Restrisikos bewusst ist.
• Idealerweise akzeptiert eine Institution nur Risiken der Stufe „gering“.
• In der Praxis ist dies aber nicht immer zweckmäßig.
• Gründe, auch höhere Risiken zu akzeptieren, können beispielsweise sein:
• Die entsprechende Gefährdung führt nur unter ganz speziellen Voraussetzungen zu einem Schaden.
• Gegen die entsprechende Gefährdung sind derzeit keine wirksamen Gegenmaßnahmen bekannt und sie lässt sich in der Praxis auch kaum vermeiden.
• Aufwand und Kosten für wirksame Gegenmaßnahmen überschreiten den zu schützenden Wert.

Hinweis

Auch diejenigen IT-Grundschutz-Anforderungen, die im IT-Grundschutz/Kompendium als Anforderungen bei erhöhtem Schutzbedarf aufgeführt sind sowie die zugehörigen Maßnahmen, können als Anhaltspunkte ffr weiterführende Sicherheitsmaßnahmen im Rahmen einer Risikoanalyse herangezogen werden.

• Dabei handelt es sich um Beispiele, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und in der Praxis häufig angewandt werden.
• Zu beachten ist jedoch, dass Anforderungen bei erhöhtem Schutzbedarf grundsätzlich empfehlenswert sind, aber auch bei hohen Sicherheitsanforderungen nicht automatisch verbindlich werden.
• Somit müssen sie auch nicht zwingend in eine Risikoanalyse einbezogen werden.

Risikobereitschaft

Risikobereitschaft

Risikobehandlungsoptionen

In der Regel wird die Gefährdungsbewertung aufzeigen, dass nicht alle Gefährdungen durch das vorhandene Sicherheitskonzept ausreichend abgedeckt sind

• In diesem Fall müssen Sie überlegen, wie angemessen mit den verbleibenden Gefährdungen umgegangen werden kann, und eine begründete Entscheidung hierzu treffen.

Option	Beschreibung	Erläuterung
A	Risikovermeidung	Umstrukturierung Umstrukturierung der Geschäftsprozesse Die Risiken können vermieden werden, indem der Informationsverbund so umstrukturiert wird, dass die Gefährdung nicht mehr wirksam werden kann. Dies bietet sich beispielsweise an, wenn Gegenmaßnahmen zwar möglich sind, aber einen zu hohen Aufwand bedeuten und gleichzeitig das Risiko nicht akzeptiert werden kann.
B	Risikoreduktion/Risikomodifikation	Sicherheitsmaßnahmen Die Risiken können durch zusätzliche, höherwertige Sicherheitsmaßnahmen verringert werden. Sofern es für das Zielobjekt, das Sie in der Risikoanalyse betrachtet haben, bereits einen Baustein im Grundschutz-Kompendium gibt, finden Sie in den dort genannten Anforderungen für den erhöhten Schutzbedarf und den zugehörigen Umsetzungsempfehlungen erste Hinweise auf geeignete Maßnahmen. Weitere Quellen sind beispielsweise Produktdokumentationen, Standards zur Informationssicherheit und Fachveröffentlichungen.
C	Risikotransfer	Risiken verlagern Durch Abschluss von Versicherungen oder durch Auslagerung der risikobehafteten Aufgabe an einen externen Dienstleister kann zum Beispiel ein möglicher finanzieller Schaden (zumindest teilweise) auf Dritte abgewälzt werden. Achten Sie bei dieser Lösung auf eine sachgerechte, eindeutige Vertragsgestaltung!
D	Risikoakzeptanz	Risiken sind akzeptabel Weil die Gefährdung nur unter äußerst speziellen Bedingungen zu einem Schaden führen könnte Weil keine hinreichend wirksamen Gegenmaßnahmen bekannt sind oder Weil der Aufwand für mögliche Schutzmaßnahmen unangemessen hoch ist Ein Risiko kann nur dann akzeptiert werden, wenn das (z. B. nach Umsetzung von Schutzmaßnahmen verbleibende) Restrisiko von der Institution getragen werden kann, sich also im Einklang mit den festgelegten Risikoakzeptanzkriterien befindet.

Risikoverfolgung

Risiken unter Beobachtung

Bei der Risikoanalyse können unter Umständen Gefährdungen identifiziert werden, aus denen Risiken resultieren, die zwar derzeit akzeptabel sind, in Zukunft jedoch voraussichtlich steigen werden.

• Dies bedeutet, dass sich in der weiteren Entwicklung ein Handlungsbedarf ergeben könnte.
• In solchen Fällen ist es sinnvoll und üblich, bereits im Vorfeld ergänzende Sicherheitsmaßnahmen zu erarbeiten und vor­

zubereiten, die in Betrieb genommen werden können, sobald die Risiken inakzeptabel werden. Diese ergänzenden Sicherheitsmaßnahmen sind zu dokumentieren und vorzumerken.

• Die Risiken werden beobachtet und sobald sie nicht mehr akzeptabel sind, werden die vorgemerkten ergänzen­

den Sicherheitsmaßnahmen überprüft, gegebenenfalls aktualisiert und in das Sicherheitskonzept übernommen.

• Die Risikoeinstufung wird gemäß Kapitel 5 entsprechend angepasst.
• Nachdem die Ri­sikobehandlung für die verbleibenden Risiken abgeschlossen ist und die Restrisiken von der Leitungsebene akzeptiert wurden, kann das Sicherheitskonzept für den betrachteten Informationsverbund fertiggestellt werden.

Generell sollten jedoch alle Risiken beobachtet werden, also nicht nur solche, die in Zukunft voraussichtlich steigen werden.

• Um die Beobachtung der Risiken und Anpassung der Maßnahmen bzw. 

Handlungsalternativen zu dokumentieren, ist es in der Praxis üblich, hierfür Risikoregister oder Risikoverzeichnisse anzulegen. Für benutzerdefinierte Bausteine müssen die Gefährdungen in regelmäßigen Zeitabständen überprüft und neu bewertet werden.

• Da die Zielobjekte, die mit benutzerdefinierten Bausteinen abgedeckt werden, den normalen Anwendungsfall des IT-Grundschutz/Kompendiums überschreiten, müssen die hier beschriebenen Aktivitäten zur Beobachtung von Risiken in jedem Fall berücksichtigt werden.

Beispiel

Für die in Kapitel 5 mit Risikokategorie „mittel“ oder „hoch“ identifizierten Gefährdungen wurden folgende Entscheidungen getroffen (Auszug)

Virtualisierungsserver S1

Vertraulichkeit: hoch
Integrität: hoch
Verfügbarkeit: hoch
Gefährdung
Risikokategorie
Risikobehandlungsoption

G 0.15 Abhören

(hier mittel Live-Migration)
D: Risikoakzeptanz (Risikoübernahme ohne zusätzliche Maßnahmen)
Auf das Live-Migration-Netz dürfen nur befugte Administratoren zugreifen. Diesen wird vertraut. Das bestehende Restrisiko wird von der RECPLAST als vertretbar eingeschätzt und übernommen.

G 0.25 Ausfall von Geräten mittel

B: Risikoreduktion
oder Systemen
Ergänzende Sicherheitsmaßnahme:
mit ergänzender(hier Ausfall des zentralen Der zentrale Verwaltungsserver wird redundant
Maßnahme:
Verwaltungsservers)
ausgelegt, damit sichergestellt ist, dass bei einem
gering
Ausfall die virtuelle Infrastruktur weiterhin problemlos betrieben wird. 
Das System wird so konfiguriert, dass bei Ausfall des Verwaltungsservers automatisch auf einen Ersatzrechner innerhalb des Clusters umgeschaltet wird.

Datenbank A1

Vertraulichkeit: hoch
Integrität: hoch
Verfügbarkeit: hoch
Gefährdung
G 0.28
Software-Schwachstellen
oder -Fehler
Risikokategorie
hoch
mit ergänzen-der Maßnahme:gering
Risikobehandlungsoption
B: Risikoreduktion
Ergänzende Sicherheitsmaßnahme:
Die manuelle Erfassung und Freigabe der Arbeits­
stunden würde einen erheblichen Mehraufwand sei­
tens der Abteilungsleiter und der Personalabteilung
darstellen, der aktuell nicht geleistet werden kann.
Bis die Webanwendung durch eine neue Anwen­
dung abgelöst wird, setzt man eine Datenbank-Fire­
wall ein, um das bestehende Risiko zu reduzieren.
Hierfür erstellen die Datenbankadministratoren ei­
nen geeigneten Satz an Regeln, die verhindern, dass
an der Webanwendung eingeschleuste SQL-Anfra­
gen auf der Datenbank ausgeführt werden. 

• Der Per­

formance-verlust, der dadurch entsteht, dass eine
Datenbank-Firewall eingesetzt werden muss, wird
für die Webanwendung als tolerabel eingeschätzt.

Datenbank A1

Vertraulichkeit: hoch
Integrität: hoch
Verfügbarkeit: hoch
Gefährdung
G 0.32 Missbrauch von
Berechtigungen
Risikokategorie
Risikobehandlungsoption
mittel

B: Risikoreduktion

Ergänzende Sicherheitsmaßnahme:
mit ergänzenderUm das bestehende Risiko zu reduzieren, wird ein
Maßnahme:
zusätzliches Modul des Datenbankmanagement­
gering
systems beschafft, mittels dessen administrative
Zugriffe auf kritische Daten in Datenbanken verhindert werden. 
Zudem werden Aktionen von Administratorkennungen sicher protkolliert und aus gewertet, sodass versuchte Verstöße frühzeitig erkannt werden können.
Smart-Meter-Gateway-Administration Zx
Vertraulichkeit: hoch
Integrität: hoch
Verfügbarkeit: hoch
Gefährdung
Risikokategorie
Risikobehandlungsoption

G 0.18 Fehlplanung oder

hoch

B: Risikoreduktion

fehlende Anpassung
Ergänzende Sicherheitsmaßnahme:
mit ergänzender(hier: fehlende oder unzu- Um das bestehende Risiko zu reduzieren, wird die
Maßnahme:
reichende Netzsegmentie­ Smart-Meter-Gateway-Infrastruktur geeignet seg­
gering
rung)
mentiert. 

• Hierbei werden IT-Systeme, auf denen

die Benutzeroberfläche einer SMGW-Admin-Soft­
ware betrieben wird, in einem eigenen Teilnetz be­
trieben. 

• Dieses ist so konzipiert, dass es gegenüber

anderen Teilnetzen nur die minimal notwendigen
und zu begründenden Netzkoppelungen und
Kommunikationsbeziehungen aufweist.
Um Netzsegmente logisch voneinander zu tren­
nen, werden Firewalls eingesetzt.

Smart-Meter-Gateway-Administration Zx

Vertraulichkeit: hoch
Integrität: hoch
Verfügbarkeit: hoch
G 0.32 Missbrauch von Be­ hoch
rechtigungen
mit ergänzenderMaßnahme:
gering
usw.
B: Risikoreduktion
Ergänzende Sicherheitsmaßnahme:
Um das bestehende Risiko zu reduzieren, wird ein
Rollen- und Rechtekonzept umgesetzt und doku­
mentiert, das den Grundsätzen einer Funktions­
trennung genügt und nur Berechtigten einen Zu­
griff erlaubt. 

• Im Konzept ist auch auf eine geeigne­

te Rollentrennung geachtet worden. 

• Zudem deckt

das Konzept auch Zutritts-, Zugangs- und Zugriffs­
berechtigungen ab.
38

Restrisiko

Restrisiko bleibt

Risiken unter Beobachtung

Manche Risiken können zwar vorübergehend in Kauf genommen werden, es ist aber damit zu rechnen, dass sich die Gefährdungslage in Zukunft verändern wird und die Risiken dann nicht mehr akzeptiert werden können.

• In solchen Fällen empfiehlt es sich, die Risiken unter Beobachtung zu stellen und von Zeit zu Zeit zu prüfen, ob nicht doch ein Handlungsbedarf besteht.
• Es ist zudem sinnvoll, bereits im Vorfeld geeignete Schutzmaßnahmen auszuarbeiten, so dass eine rasche Inbetriebnahme möglich ist, sobald die Risiken nicht mehr akzeptabel sind.

Beschlüsse müssen vom Management getragen werden

• Es muss dazu bereit sein, die Kosten für die Reduktion oder den Transfer von Risiken wie auch die Verantwortung für die in Kauf genommenen Risiken zu übernehmen.
• Binden Sie daher die Leitungsebene angemessen in die Beratungen ein.
• Dokumentieren Sie die Entscheidungen so, dass sie von Dritten (z. B. Auditoren) nachvollzogen werden können, und lassen Sie dieses Schriftstück vom Management unterschreiben.

Konsolidierung

Beschreibung

Zusätzlichen Maßnahmen

Als Abschluss der Risikoanalyse sind die zusätzlichen Maßnahmen, deren Umsetzung beschlossen wurde, in das vorhandene Sicherheitskonzept zu integrieren

• Konsolidierung des Sicherheitskonzepts
• Darauf aufbauend ist der Sicherheitsprozess fortsetzen

Prüfung zusätzlichen Sicherheitsmaßnahmen

Option	Beschreibung
Eignung
Angemessenheit
Benutzerfreundlichkeit
Zusammenwirken	mit anderen Maßnahmen

Änderungen

Diese Konsolidierung des Sicherheitskonzepts kann sowohl zu Anpassungen bei den zusätzlich ausgewählten Maßnahmen als auch zu Änderungen im bestehenden Konzept führen.

Weitere Informationen

Weitere Informationen zur Konsolidierung von Sicherheitsmaßnahmen finden Sie in der nächsten Lektion.

Konsolidierung

• Sind die Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet?
• Wirken die Sicherheitsmaßnahmen sinnvoll zusammen?
• Welche Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
• Sind die Sicherheitsmaßnahmen benutzerfreundlich?
• Sind die Sicherheitsmaßnahmen angemessen?
• Verpacken der neu gefundenen Gefährdungen und Anforderungen in einem benutzerdefinierten Baustein
• Ggf. Ergänzung bestehender Bausteine um aus der Risikobewertung ermittelten Anforderungen

Konsolidierung des Sicherheitskonzepts

Falls bei der Behandlung von verbleibenden Gefährdungen ergänzende Maßnahmen zu den bereits im Sicherheitskonzept beschriebenen Sicherheitsmaßnahmen hinzugefügt wurden, muss das Sicher­heitskonzept anschließend konsolidiert werden.

Konkret bedeutet dies, dass die Sicherheitsmaßnahmen für jedes Zielobjekt anhand folgender Kriterien überprüft werden:

Eignung der Sicherheitsmaßnahmen zur Abwehr der Gefährdungen

• Werden alle Aspekte der relevanten Gefährdungen vollständig abgedeckt?
• Stehen die getroffenen Gegenmaßnahmen im Einklang mit den Sicherheitszielen?

Zusammenwirken der Sicherheitsmaßnahmen

• Unterstützen sich die Maßnahmen bei der Abwehr der relevanten Gefährdungen?
• Ergibt sich durch das Zusammenwirken der Maßnahmen ein wirksames Ganzes?
• Stehen die Maßnahmen nicht im Widerspruch zueinander?

Benutzerfreundlichkeit der Sicherheitsmaßnahmen

• Sind die getroffenen Maßnahmen tolerant gegenüber Bedienungs- und Betriebsfehlern?
• Sind die getroffenen Maßnahmen für die Mitarbeiter und andere Betroffene transparent?
• Ist für die Betroffenen ersichtlich, wenn eine Maßnahme ausfällt?
• Können die Betroffenen die Maßnahme nicht zu leicht umgehen?

Angemessenheit/Qualitätssicherung der Sicherheitsmaßnahmen

• Sind die getroffenen Maßnahmen für die jeweiligen Gefährdungen angemessen?
• Stehen die Kosten und der Aufwand für die Umsetzung in einem sachgerechten Verhältnis zum

Schutzbedarf der betroffenen Zielobjekte?

Auf dieser Grundlage sollte das Sicherheitskonzept bereinigt und konsolidiert werden

• Ungeeignete Sicherheitsmaßnahmen sollten verworfen und nach eingehender Analyse durch wirksame Maßnahmen ersetzt werden.
• Widersprüche oder Inkonsistenzen bei den Sicherheitsmaßnahmen sollten aufgelöst und durch einheitliche und aufeinander abgestimmte Mechanismen ersetzt werden.
• Sicherheitsmaßnahmen, die von den Betroffenen nicht akzeptiert werden, sind wirkungslos. Es sollten praktikable Lösungen erarbeitet werden, die die Betroffenen möglichst wenig einschränken oder behindern.
• Zu aufwendige oder zu teure Sicherheitsmaßnahmen sollten entweder überarbeitet oder verworfen und durch angemessene Schutzmaßnahmen ersetzt werden. Allerdings gefährden zu schwache Maßnahmen die Informationssicherheit. Auch sie sollten überarbeitet oder ersetzt werden.

Integration der Inhalte

• Bei Zielobjekten, die bereits im IT-Grundschutz/Kompendium enthalten sind, kann es sich als sinnvoll erweisen, bestehende Bausteine um aus der Risikoeinstufung ermittelte Anforderungen zu ergänzen.
• Bei Zielobjekten, die nicht hinreichend mit dem bestehenden IT-Grundschutz abgebildet werden können, kann überlegt werden, die neu gefundenen Gefährdungen und Anforderungen (siehe

Beispiele zur Smart-Meter-Gateway-Administration, Kapitel 4 und 5) in einem benutzerdefinierten Baustein zusammenzufassen.

Beispiel (Auszug)

Bei der Konsolidierung des Sicherheitskonzepts für die RECPLAST GmbH wurde unter anderem Folgendes festgestellt:

• Zwei Jahre zuvor wurde entschieden, dass der Einsatz von Verschlüsselung zur Netzkommunikation entbehrlich ist. Eine gemeinsame Projektgruppe mit dem Auftraggeber ist zu dem Ergebnis gekommen, dass diese Entscheidung nicht mehr dem Stand der Technik entspricht.

Die Vorgaben zur Konfiguration der Router werden deshalb kurzfristig überarbeitet und an die aktuellen Bedürfnisse angepasst.

• Sowohl der Client C1 als auch der Switch N3 werden im Fertigungsbereich eingesetzt. Im Rahmen der Risikoanalyse wurde festgestellt, dass die größten Gefahren für C1 von Luftverunreinigungen, Spritzwasser und Vibrationen ausgehen. Im Rahmen eines Brainstormings ist deshalb beschlossen worden, anstelle eines handelsüblichen PCs einen Industrie-PC einsetzen, der besonders gegen physische Gefahren geschützt ist. Der Industrie-PC muss für den Einbau in

Standard-19-Zoll-Schränke geeignet sein. Ebenso muss er über ein integriertes oder ausklappbares Display sowie einen leicht auswechselbaren Luftfilter verfügen und gegen Spritzwasser und Vibrationen schützen.

• Oben genannte Anforderungen tragen den besonderen infrastrukturellen Rahmenbedingungen des Clients C1 Rechnung. Im Fertigungsbereich wird außer diesem Client noch weitere

Informationstechnik betrieben, die zwar nicht Gegenstand der Risikoanalyse ist, die aber dennoch angemessen geschützt werden muss. Das Unternehmen nimmt die Erfüllung obiger An­forderungen zum Anlass, eine Richtlinie für den sicheren Betrieb von Informationstechnik im Fertigungsbereich zu erarbeiten, usw.

Beispiel (Auszug)

Bei der Konsolidierung des Sicherheitskonzepts für die Administration des Smart Meter Gateways ist entschieden worden, die im Rahmen der Risikoeinstufung und -behandlung ermittelten Ge­fährdungen

• G 0.18 Fehlplanung oder fehlende Anpassungen,
• G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen,
• G 0.43 Einspielen von Nachrichten usw. und die Sicherheitsanforderungen und Maßnahmen
• geeignete Netzsegmentierung
• Einsatz eines angemessenen Rollen- und Rechtekonzepts usw. in einem benutzerdefinierten Baustein zusammenzufassen

Rückführung

Beschreibung

Nach der Konsolidierung des Sicherheitskonzepts

Nächste Schritten

Zweiter Grundschutz-Check

Dies bedeutet insbesondere, dass in einem erneuten Grundschutz-Check

• Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen
• prüfen und dokumentieren

  https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/Zertifizierte-Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-Grundschutz/Lektion_6_IT-Grundschutz-Check/Lektion_6_node.html

Zweiter Grundschutz-Check

Erforderlich!

• Da sich in der Regel durch die Risikoanalyse das Sicherheitskonzept geändert hat und der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen ist.

Rückführung in den Sicherheitsprozess

• Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik beschrieben ist, fortgesetzt werden.

Arbeitsschritte

Ergänztes Sicherheitskonzept als Basis für folgende Arbeitsschritte

IT-Grundschutz-Check

• siehe Kapitel 8.4 der IT-Grundschutz-Methodik
• Im Rahmen der Vorar­beiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt.
• Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekom­menen oder geänderten Anforderungen zu prüfen.
• Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden.

Umsetzung der Sicherheitskonzeption

• Kapitel 9 der IT-Grundschutz-Methodik
• Die im Sicher­heitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden.
• Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können.
• Dies umfasst unter anderem eine Kosten- und Auf­wandsschätzung sowie die Festlegung der Umsetzungsreihenfolge.

Überprüfung des Informationssicherheitsprozesses in allen Ebenen

• siehe Kapitel 10.1 der IT-Grundschutz-Methodik
• Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Infor­mationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungen und die Eignung der Sicherheitsstrategie überprüft werden.
• Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein.

Informationsfluss im Informationssicherheitsprozess

• siehe Kapitel 5.2 der IT-Grund­schutz-Methodik
• Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein.
• Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse.
• Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden.

ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz

• siehe Kapitel 11 der IT-Grund­schutz-Methodik
• In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicher­heit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unterneh­men transparent zu machen.
• Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.
• Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.

Anhang

Kapitel	Titel	Beschreibung
9.1	Risikobereitschaft
9.2	Risikoanalyse/Meeting	Risikoanalyse-Meeting
9.3	BSI/200-3/Gefährdungsübersicht#Zusätzlicher Gefährdungen
9.4	Zusammenspiel mit ISO/IEC 31000

Aufrechterhaltung und Verbesserung

IT-Grundschutz Verbesserungsprozess - Aufrechterhaltung und Verbesserung

Beschreibung

Verfahren	Beschreibung
Informationssicherheitsprozess prüfen
Umsetzung prüfen
Sicherheitsrevision
Sicherheitszielen prüfen	Aktualität von Sicherheitszielen
Übernahme der Ergebnisse	in den Informationssicherheitsprozess
Informationsfluss
Zertifizierung
Effizienz und Effektivität der Vorkehrungen

Informationssicherheit prüfen

• Abarbeitung einfacher Checklisten
• Punktuelle Prüfung der Netzsicherheit mittels Penetrationstests

Umfassenden Prüfung

• Angemessenheit und Wirksamkeit umgesetzter Schutzmaßnahmen (technisch und organisatorisch)

Regelmäßige Intervalle

Grundsätzlich gilt, dass umfassende Prüfungen in regelmäßigen Intervallen (jährlich bis maximal drei Jahre) durchgeführt werden sollten.

Sicherheitsvorfall

• Aber auch fallweise Prüfungen sind zweckmäßig, beispielsweise bei der Änderung von Geschäftsprozessen und insbesondere nach Sicherheitsvorfällen.

Sicherheitsvorfälle

• sollten immer ein Anlass sein, die Sicherheitskonzeption zu hinterfragen
• Dies sollte offen und sorgfältig geschehen, um Schwachstellen, die einen Vorfall begünstigt haben, identifizieren und beseitigen zu können

Zweckmäßige Verfahren

Zwei zweckmäßige Verfahren, mit den Sie Ihr Sicherheitskonzept und das erreichte Schutzniveau prüfen können, sind die -Revision und der Cyber-Sicherheits-Check:

• Mit einer Informationssicherheitsrevision (-Revision) können Sie nach einem festgelegten Verfahren und von kompetenten Revisoren überprüfen lassen, ob das Sicherheitskonzept Ihrer Institution wie beabsichtigt umgesetzt ist und es nach wie vor den aktuellen Anforderungen gerecht wird.
• Die -Revision liefert sowohl den Verantwortlichen für Informationssicherheit als auch der Leitung einer Institution belastbare Informationen über den aktuellen Zustand der Informationssicherheit.

Kurz-, Querschnitts- und Partialrevision

• Neben einer umfassenden Prüfung, die auf die vollständige und vertiefte Überprüfung der Informationssicherheit in einer Institution abhebt, gibt es mit der Kurz-, Querschnitts- und Partialrevision Varianten, bei denen Tiefe und Umfang der Prüfung begrenzt sind.

Cyber-Sicherheits-Check

Wenn Sie noch wenig Erfahrung mit diesem Thema haben, kann der Cyber-Sicherheits-Check eine wichtige Hilfe bei der Überprüfung des Sicherheitsniveaus Ihrer Institution sein.

• Er gibt ihnen Hinweise zur Anfälligkeit gegen Cyberangriffe und ist so angelegt, dass die regelmäßige Durchführung das Risiko verringert, zum Opfer solcher Angriffe zu werden.

Vorgehensmodell IT-Revision

Für die Durchführung der IT-Revision hat das BSI ein eigenes Vorgehensmodell entwickelt, das im Leitfaden -Revision beschrieben ist.

• Dort erfahren Sie auch mehr zu Prüfumfang und -tiefe sowie Einsatzzweck der unterschiedlichen Varianten des Verfahrens.

Geschäftsprozess

• Name
• Prozess-Owner
• Trigger

Vorarbeiten

Realisierungsplan enthält Maßnahmen des Sicherheitskonzepts

• Bis wann werden Maßnahmen von wem wie umgesetzt
• Erforderliche Ressourcen
• Zwischentermine
• Begleitende Maßnahmen

Regelmäßige Kontrollen

• Sicherstellen, dass alles wie geplant umgesetzt ist und funktioniert

Stetiger Prozess

Informationssicherheit ist kein einmalig herzustellender und anschließend stabiler Zustand, sondern ein stetiger Prozess, der immer wieder an sich wandelnde und neue Herausforderungen angepasst werden muss.

Angemessenheit und Wirksamkeit der technischen und organisatorischen Maßnahmen für Informationssicherheit in Ihrer Institution kontinuierlich überwachen und verbessern

• Umsetzungsstand der im Sicherheitskonzept vorgesehenen Maßnahmen prüfen
• Vorgehen bei der Überprüfung der Wirksamkeit von Maßnahmen
• Erkenntnisse der Prüfungen in Maßnahmen zur Verbesserung Ihres Informationssicherheitsmanagements überführen
• Kennzahlen können bei der Bewertung einzelner Aspekte der Informationssicherheit helfen
• Reifegradmodell nutzen
• Sicherheitsniveau nachweisen (27001-Zertifikat auf Basis von IT-Grundschutz)

Leitfragen

Leitfragen für die Überprüfung

Um sicherzustellen, dass die Maßnahmen des Sicherheitskonzepts immer den Anforderungen entsprechen, müssen sie kontinuierlich überprüft werden.

Überprüfungen sollten sich an folgenden Leitfragen orientieren

Frage	Beschreibung
Welche Ziele der Informationssicherheit sind aktuell vordringlich?	Die Bedeutung von Sicherheitszielen kann sich im Zeitablauf verändern So kann es wichtiger werden, die Vertraulichkeit von Informationen zu schützen, wenn sich gesetzliche Rahmenbedingungen ändern oder aber die Institution mit Daten arbeitet, die dies verstärkt erfordern. Alle Maßnahmen zur Erhaltung der Vertraulichkeit müssen daher besonders sorgfältig geprüft werden. Eine weitere wichtige Frage ist, ob die gewählten Sicherheitsmaßnahmen noch der Gefährdungslage entsprechen. Auch ist zu prüfen, ob neue technische Verfahren einen effizienteren und wirksameren Schutz bieten können.
Wer ist verantwortlich für die Überwachung des Informationssicherheitsprozesses?	Häufig ist die Institution so komplex, dass der nicht alle Überprüfungen leiten und durchführen kann. Dann ist es wichtig, dass für verschiedene Bereiche Personen benannt sind, die diese Maßnahmen konzipieren, umsetzen, Ergebnisse dokumentieren sowie Verbesserungen planen und steuern. Bei einer solchen verteilten Verantwortung ist eine gute Zusammenarbeit mit dem wichtig, der über alle Schritte informiert werden muss.
Wie häufig sind die Verfahren zu überprüfen?	Für weniger wichtige Schutzmechanismen kann eine Überprüfung seltener erfolgen als für kritische Prozesse. Mindestens einmal pro Jahr muss das Sicherheitskonzept darauf überprüft werden, ob es noch effektiv ist, also den Zielen der Informationssicherheit im Unternehmen oder der Behörde entspricht. Wenn es einen Sicherheitsvorfall gegeben hat, sollte dies Anlass für eine zusätzliche Prüfung sein.

Umsetzungshinweise

ISMS.1.M11: Aufrechterhaltung der Informationssicherheit

• Empfehlungen zur Vorgehensweise bei der Überprüfung des Sicherheitsprozesses

Informationssicherheitsprozess

Überprüfung des Informationssicherheitsprozesses ist unabdingbar

• Fehler und Schwachstellen erkennen und abstellen
• Effizienz des IS-Prozesses optimieren

Verbesserung der Praxistauglichkeit

• Strategie
• Maßnahmen
• Organisatorische Abläufe

Methoden zur Überprüfung

Zur Effizienzprüfung und Verbesserung sollten Verfahren und Mechanismen eingerichtet werden

• Realisierung der beschlossenen Maßnahmen prüfen
• deren Wirksamkeit und Effizienz überprüfen

Informationssicherheitsstrategie sollte Leitaussagen zur Messung der Zielerreichung machen

Grundlagen für Messungen

• Detektion, Dokumentation und Auswertung von Sicherheitsvorfällen
• Durchführung von Übungen und Tests zur Simulation von Sicherheitsvorfällen
  • Auswertung der Ergebnisse
• interne und externe Audits, Datenschutzkontrollen
• Zertifizierung nach festgelegten Sicherheitskriterien

Internen Audits zur Erfolgskontrolle der umgesetzten Maßnahmen

• nicht durch denjenigen durchführen, der die Sicherheitskonzeption entwickelt hat
• Externe Experten mit der Durchführung solcher Prüfungsaktivitäten beauftragen

Aufwand von Audits

• hängt von der Komplexität und Größe des Informationsverbunds ab
• Anforderungen auch für kleine Institutionen geeignet

Kleinen Einrichtungen

In kleinen Institutionen eventuell ausreichend

• Jährlicher technischer Check von IT-Systemen
• Vorhandene Dokumentationen auf Aktualität prüfen
• Probleme und Erfahrungen mit dem Sicherheitskonzept in Workshop besprechen

Überprüfung der Umsetzung

Realisierungsplan prüfen

• Aufgabenliste und zeitliche Planung
• Ob und inwieweit dieser eingehalten wurde

Angemessene Ressourcenplanung

• Voraussetzung für die Einhaltung geplanter Sicherheitsmaßnahmen
• Wurden ausreichende finanzielle und personelle Ressourcen zur Verfügung gestellt?

Die Überprüfung dient auch

• Rechtzeitiger Wahrnehmung von Planungsfehlern
• Anpassung der Sicherheitsstrategie, wenn sich diese als unrealistisch erweist

Benutzer-Akzeptanz

Nach Einführung neuer Sicherheitsmaßnahmen

Akzeptanz bei Nutzern prüfen

• Werden neuen Maßnahmen nicht akzeptiert, ist ein Misserfolg vorprogrammiert

• Ursachen herauszuarbeiten und abstellen

• Oft reicht eine zusätzliche Aufklärung der Betroffenen

• Alternativen prüfen

Sicherheitsrevision

Revision der Informationssicherheit anhand der IT-Grundschutz-Sicherheitsmaßnahmen

• Gleiche Vorgehensweise wie beim Basis-Sicherheitscheck

Arbeitsökonomisch

Angepasste Checkliste erstellen

• für jeden Baustein der IT-Grundschutz-Kataloge
• anhand der Maßnahmentexte
• erleichtert die Revision
• verbessert die Reproduzierbarkeit der Ergebnisse

Aktualität von Sicherheitszielen

Rahmenbedingungen und Sicherheitskonzeption

In längeren Perspektiven prüfen

• gesetzte Sicherheitsziele
• Rahmenbedingungen

Anpassung der Sicherheitsleitlinie und der Sicherheitsstrategie

• in schnelllebigen Branchen von elementarer Bedeutung
• Betriebliche Änderungen schon bei ihrer Planungsphase in die Sicherheitskonzeption einbeziehen
• Einsatz neuer IT-Systeme
• Umzug
• organisatorische Änderungen (z. B. Outsourcing)
• Änderungen gesetzlicher Anforderungen

Nach jeder relevanten Änderung aktualisieren

• Sicherheitskonzeption
• dazugehörigen Dokumentation

Im Änderungsprozess der Institution berücksichtigen

• Informationssicherheitsprozess in das Änderungsmanagement der Institution integrieren

Wirtschaftlichkeitsbetrachtung

Wirtschaftlichkeit sollte unter konstanter Beobachtung bleiben

• Sicherheitsstrategie
• spezifische Sicherheitsmaßnahmen

Kosten für Informationssicherheit sind schwer zu ermitteln

• oft hilfreich, für die weitere Planung: Prüfen, ob
  • tatsächlich angefallene Kosten den geplanten entsprechen
  • ressourcenschonendere Sicherheitsmaßnahmen eingesetzt werden können

Nutzen herausarbeiten

Ebenso wichtig: Regelmäßig den Nutzen der vorhandenen Sicherheitsmaßnahmen herausarbeiten

Rückmeldungen

Rückmeldungen von Internen und Externen

Rückmeldungen über Fehler und Schwachstellen in den Prozessen

• Informationssicherheitsorganisation
• Revision

auch von

• Mitarbeitern
• Geschäftspartnern
• Kunden oder Partnern

Wirksame Vorgehensweise festlegen

• Beschwerden und anderen Rückmeldungen von Internen und Externen verwerten

Beschwerden

• von Kunden oder Mitarbeitern können dabei ein Indikator für Unzufriedenheit sein

Bereits entstehender Unzufriedenheit entgegenwirken!

• bei unzufriedenen Mitarbeitern/Kunden
• Gefahr von Handlungen die den Betrieb stören können
  • fahrlässig
  • vorsätzlich

Rückmeldungen von Internen und Externen

Umgang mit Beschwerden

• klar definiertes Verfahren
• eindeutig festgelegte Kompetenzen
• für den Umgang mit Beschwerden und für die Rückmeldung von Problemen an die zuständige Instanz

Beschwerden schnellstmöglich beantworten

• damit die Hinweisgeber sich ernst genommen fühlen

Gemeldeten Probleme bewerten

• Handlungsbedarf eingeschätzten
• angemessene Korrekturmaßnahmen zur Beseitigung der Ursachen von Fehlern ergreifen
• erneutes Auftreten verhindern

Informationsfluss

Informationsfluss im Informationssicherheitsprozess

Im Rahmen der Überprüfung und Verbesserung entstehen

• Berichte
• Audit-Reports
• Ergebnisse von Sicherheitstests
• Meldungen über sicherheitsrelevante Ereignisse
• weitere Dokumente zur Informationssicherheit

Dokumente müssen

• aussagekräftig
• für die jeweilige Zielgruppe verständlich sein

Nicht alle Informationen sind für die Leitungsebene geeignet

• es ist eine Aufgabe des IT-Sicherheitsmanagements, diese Informationen
  • zu sammeln
  • zu verarbeiten
  • kurz und übersichtlich aufzubereiten

Berichte

Berichte an die Leitungsebene

Leitung benötigt Eckpunkte über den Stand der Informationssicherheit

• richtige Entscheidungen bei der Steuerung und Lenkung des Informationssicherheitsprozesses Eckpunkte in Management-Berichten aufbereiten
• Ergebnisse von Audits und Datenschutzkontrollen
• Berichte über Sicherheitsvorfall* Berichte über bisherige Erfolge und Probleme beim Informationssicherheitsprozess IS-Organisation informiert Leitungsebene regelmäßig in angemessener Form
• Ergebnisse der Überprüfungen
• Status des IS-Prozesses
• Probleme
• Erfolge
• Verbesserungsmöglichkeiten

Leitungsebene nimmt Management-Berichte zur Kenntnis und veranlasst notwendige Maßnahmen

Berichte an die Leitungsebene

Dokumentation

Dokumentation im Informationssicherheitsprozess

Entscheidend für Erfolg

Dokumentation des IS-Prozesses auf allen Ebenen

Nur durch ausreichende Dokumentation

• werden getroffene Entscheidungen nachvollziehbar
• sind Prozesse wiederholbar und standardisierbar
• können Schwächen und Fehler erkannt und zukünftig vermieden werden

Abhängig vom Gegenstand und vom Verwendungszweck der Dokumentation

• Technische Dokumentation und Dokumentation von Arbeitsabläufen
• Anleitungen für Mitarbeiter
• Aufzeichnung von Management-Entscheidungen
• Gesetze und Regelungen

Technische Dokumentation Arbeitsabläufen

Zielgruppe

Experten

Aktuellen Stand beschreiben

• Geschäftsprozessen
• damit verbundener IT-Systeme und Anwendungen

Detaillierungsgrad technischer Dokumentationen

• andere Personen mit vergleichbarer Expertise sollen die Dokumentation nachvollziehen können
• Ein Administrator soll zwar auf sein Wissen, aber nicht auf sein Gedächtnis angewiesen sein, um die Systeme und Anwendungen wiederherzustellen

Dazu gehörten z.B.

• Installations- und Konfigurationsanleitungen
• Anleitungen für den Wiederanlauf nach einem Sicherheitsvorfall
• Dokumentation von Test- und Freigabeverfahren
• Anweisungen für das Verhalten bei Störungen und Sicherheitsvorfällen

Bei Sicherheitsübungen und bei Behandlung von Sicherheitsvorfällen

• Qualität der vorhandenen Dokumentationen bewerten
• gewonnene Erkenntnisse zur Verbesserung nutzen

Anleitungen für Mitarbeiter

Zielgruppe: Mitarbeiter

Sicherheitsmaßnahmen in Form von Richtlinien dokumentieren

• für die Mitarbeiter verständlich

Mitarbeiter müssen informiert und geschult sein

• Existenz und Bedeutung dieser Richtlinien

Dazu gehört

• Arbeitsabläufe und organisatorische Vorgaben
• Richtlinien zur Nutzung des Internets
• Verhalten bei Sicherheitsvorfällen

Entscheidungen aufzeichnen

• Informationssicherheitsprozess
• Sicherheitsstrategie
• jederzeit verfügbar
• nachvollziehbar
• wiederholbar

Gesetze und Regelungen

Zielgruppe: Leitungsebene

Für Informationsverarbeitung sind viele unterschiedliche relevant

• Gesetze
• Regelungen
• Anweisungen
• Verträge

Besondere Anforderungen sollten dokumentiert werden

• welche konkreten Konsequenzen ergeben sich daraus
  • Geschäftsprozesse
  • IT-Betrieb
  • Informationssicherheit

Aktuellen Stand der Dokumentationen sicherstellen

• Dafür muss die Dokumentation in den Änderungsprozess einbezogen werden

Informationsfluss und Meldewege

Richtlinie zum Informationsfluss und Meldewegen

Grundsätzliche Festlegungen

• Hol- und Bringschuld

Kommunikationsplan

• Wer? Wem? Was? Wann? Bis wann? Form? Feedback bis?
• von der Leitungsebene verabschieden lassen

Aktualisierung der Meldewege

• Festlegungen für den Informationsfluss
• Zeitnahe Aktualisierung von elementarer Bedeutung für die Aufrechterhaltung des Informationssicherheitsprozesses Verbesserung des Informationsflusses
• Ergebnisse aus Übungen, Tests und Audits sind nützliche Grundlage für die Verbesserung des Informationsflusses

Synergieeffekten für den Informationsfluss

Oft sind bereits Prozesse für den IT-Support definiert Synergieeffekte nutzen

Meldewege für IT-Sicherheitsvorfälle können in den IT-Support integriert werden

• Kapazitätsplanung um Aspekte der Notfallvorsorge erweitert werden
• Viele Informationen, die aus Sicherheitsgründen erhoben werden, können auch zu anderen Zwecken genutzt werden Sicherheitsmaßnahmen haben positive Nebeneffekte
• besonders Optimierung von Prozessen ist für viele Bereiche relevant
  • Bestimmung von Informationseigentümern
  • Einstufung von Informationen nach einheitlichen Bewertungskriterien Überblick über die Abhängigkeit
• der Geschäftsprozesse von IT-Systemen und Anwendungen
• ist nicht nur für das Sicherheitsmanagement sinnvoll
• exakte Zuordnung von IT-Kosten, auf einzelne Geschäftsprozesse

IT-Grundschutz-Zertifizierung

IT-Grundschutz/Zertifizierung

IT-Grundschutz-Profile

IT-Grundschutz-Profile - Schablonen für die Informationssicherheit

Beschreibung

Definition

Ein IT-Grundschutz-Profil ist eine Schablone für ein ausgewähltes Szenario (Informationsverbund oder Geschäftsprozess), mit dem ein konkretes Beispiel für die Umsetzung der IT-Grundschutz-Vorgehensweise Schritt für Schritt exemplarisch durchgeführt wird.

Ziel

Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.

Anwenderspezifische Empfehlungen

• Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
• Berücksichtigt Möglichkeiten und Risiken der Institution
• Profile beziehen sich auf typische IT-Szenarien
• Profile werden durch Dritte (Verbände, Branchen, ...) erstellt, nicht durch das BSI

Keine BSI-Vorgabe

• Diskussion: Nachweis für Umsetzung (z. B. Testat)
• Anerkennung ausgewählter Profile durch BSI

Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile

Aufbau

Inhalt	Beschreibung
Formale Aspekte
Management Summary
Geltungsbereich
Referenzarchitektur
Umsetzungshinweise
Anwendungshinweise

Formale Aspekte

• Titel
• Autor
• Verantwortlich
• Registrierungsnummer
• Versionsstand
• Revisionszyklus
• Vertraulichkeit
• Status der Anerkennung durch das BSI

Management Summary

• Kurzzusammenfassung der Zielgruppe
• Zielsetzung und Inhalte des IT-Grundschutz-Profils

Geltungsbereich

• Zielgruppe
• Angestrebter Schutzbedarf
• Zugrundeliegende IT-Grundschutz-Vorgehensweise
• ISO 27001-Kompatibilität
• Rahmenbedingungen
• Abgrenzung
• Bestandteile des IT-Grundschutz-Profils
• Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte
• Verweise auf andere IT-Grundschutz-Profile

Referenzarchitektur

• Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
• Informationsverbund mit
• Prozessen,
• Infrastruktur
• Netz-Komponenten
• IT-Systemen
• Anwendungen
• Textuell und grafisch mit eindeutigen Bezeichnungen
• Wenn möglich, Gruppenbildung
• Umgang bei Abweichungen zur Referenzarchitektur.

Umsetzungshinweise

Umzusetzende Anforderungen und Maßnahmen

• Zuordnung von Prozess- und System-Bausteinen auf Untersuchungsgegenstand.

Umsetzungsvorgabe

• „Auf geeignete Weise“
• „Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
• „Durch Umsetzung von [...]“

Auswahl der umzusetzenden Anforderungen eines Bausteins

• Verzicht auf (einzelne) Standardanforderungen
• Verbindliche Erfüllung von Anforderungen für erhöhten Schutzbedarf

Zusätzliche Anforderungen

• Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
• Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
• [...]

Anwendungshinweise

Zusätzliche Informationen zur Anwendung und Integration in das Gesamtsicherheitskonzept

Risikobehandlung

• Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen.

Unterstützende Informationen

• Hinweise, wo vertiefende Informationen zu finden sind

Anhang

• Glossar
• Zusätzliche Bausteine
• ...

Business Continuity Management

Business Continuity Management (BCM) - Betriebskontinuitätsmanagement (BKM)

Beschreibung

Sicherstellung des Fortbestands von Einrichtungen

• Bei Risiken mit hohem Schadensausmaß

Strategien, Plänen und Handlungen

BCMS etablieren	Rahmenbedingungen, Aufbau- und Ablauforganisation
Kritische Prozesse ermitteln	Prozesse mit ernsthafte Schäden oder vernichtenden Verlusten bei Unterbrechung
Kritische Prozesse absichern	Schützen und alternative Abläufe ermöglichen

Sicherstellung des Fortbestands

Sicherstellung des Fortbestands einer Einrichtung

Im Sinne ökonomischer Nachhaltigkeit im Angesicht von Risiken mit hohem Schadensausmaß

Begriffe

• Betriebskontinuitätsmanagement
• Managementmethode
• Lebenszyklus-Modell
• Fortführung der Geschäftstätigkeit unter Krisenbedingungen absichern
• Verwandtschaft mit Risikomanagement

Good Practice Guide

Methode und Rahmen des BKM sind im Good Practice Guid veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird

• Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden

Bundesamt für Sicherheit in der Informationstechnik

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Standard BSI 100-4 „Notfallmanagement“ als Ergänzung zum IT-Grundschutz entwickelt

• Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger BSI 200-4 gearbeitet

Incident Management

Um bei Vorfällen (siehe auch Incident Management) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können (Business Continuity) müssen Analysen und Planungen vorgenommen werden

Primär Fragen

• Welche Prozesse müssen unbedingt aufrechterhalten werden?
• Welche Maßnahmen sind dafür notwendig?

Prioritäten und Ressourcen

• Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden
• Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das Disaster Recovery dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen

Business Continuity Management

Organisationseinheit eines Unternehmens

• Aufbau und Betrieb eines Notfall- und Krisenmanagements
• Systematischer Vorbereitung auf die Bewältigung von Schadenereignissen

Ziele

Wichtige Geschäftsprozesse selbst in

• kritischen Situationen und Notfällen
• nicht oder nur temporär
• unterbrochen werden
• die wirtschaftliche Existenz des Unternehmens trotz Schadenereignis gesichert bleibt

Ziel

• Generierung und Proklamation von Prozessdefinitionen und Dokumentation
• Betriebsbereiter dokumentierter Notfallvorsorgeplan
• Exakt auf die Organisation abgestimmt
• Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“

BSI-Standard 200-4

Business Continuity Management - BCM (2023)

• ersetzt BSI-Standard 100-4 - Notfallmanagement (2008)

Etablierung eines Business Continuity Management

ISMS nach BSI IT-Grundschutz

• Grundlage zur Nutzung von Synergieeffekten
• Auf bereits dokumentierte Informationen zurückgreifen

Business Impact Analyse

• Zeitkritischen Geschäftsprozesse und Abhängigkeiten
• Parameter für Normal- und Notbetrieb

Risikoanalyse

• Methodik nach BSI-Standard 200-3
• kann aus dem ISMS adaptiert werden

Hinweise

• Die Etablierung eines Business Continuity Managements setzt umfangreiche Kenntnisse der Organisation voraus
• Eine Umsetzung eines ISMS impliziert keine Umsetzung eines Business Continuity Managements
• siehe auch DER.4 Notfallmanagement

ISO 22301

Mit dem Best-Practice Standard 200-4 des BSI kann eine Zertifizierung nach der ISO 22301 erreicht werden

Notfallmanagement

Notfallmanagement

• Schäden vermeiden und eindämmen
• Notfälle verhindern und bewältigen

Klassisches Notfallmanagement

• Brandschutz
• Arbeits- und Unfallschutz
• ...

Business Continuity Management

• Wiederanlauf des Geschäftsbetriebs
• Modernere Begriff zur Bewältigung der heute relevanten Risikoszenarien

Business Continuity Management System

Rahmenwerk für ein Business Continuity Management System (BCMS)

Management von Notfällen und Krisen

• technisch
• nicht-technisch

Relevanz

Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung

Gravierende Risiken

• frühzeitig erkennen
• Maßnahmen dagegen etablieren
• Überleben der Einrichtung sichern
• Organisationen beliebiger Art, Größe und Branche

Synergieeffekte

• Zahlreiche Synergieeffekte zum IT-Grundschutz
• Ressourcen schonen
• Zusammenhänge und Wechselwirkungen berücksichtigen

Einbettung in die Organisationsstruktur

Geplantes und organisiertes Vorgehen

• Widerstandsfähigkeit (zeit-) kritischer Geschäftsprozesse steigern
• Auf Schadensereignisse angemessen reagieren
• Geschäftstätigkeiten schnellstmöglich wiederaufnehmen

Business Continuity Management System (BCMS)

Aufrechterhaltung der Betriebsfähigkeit einer Organisation

• systematische, geplante und organisierte Vorgehensweise
• das Erreichen der Ziele der Organisation für ein angemessenes Business Continuity Niveau

BCMS ist kein Bestandteil eines ISMS

• Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen

Aufbauorganisation

Rollen/Verantwortung

Allgemeine Aufbauorganisation

Allgemeine Aufbauorganisation (AAO)

• Etablierte organisationsweite Hierarchie und Führungsstruktur

Besondere Aufbauorganisation

Besondere Aufbauorganisation (BAO)

• Zielgerichtete und zweckmäßige Gruppierung, um bei Zwischenfällen zeitgerecht zu agieren

Stufenmodell

Stufenmodell für Vorgehensweisen

Option	Beschreibung
Reaktiv	Schnelle Fähigkeit zur Notfallbewältigung
Aufbau	Schrittweiser, ressourcenschonender Aufbau
Standard	Vollständige Absicherung, Resilienz der Institution

Reaktiv

Basis-Niveau

Schnelle Fähigkeit zur Notfallbewältigung

• Spart Ressourcen
• Wenn keine „Notfälle“ eintreten würden
• Lücken in der Absicherung
• Nicht alle Bereiche werden betrachtet

Aufbau

Schrittweiser, ressourcenschonender Aufbau

• Kann für einen kleineren Teil des Scope gezielt eingesetzt
• Bereiche, die in der Absicherung der Organisation nicht werden betrachtet werden

Standard

Vollständige Absicherung/Resilienz der Institution

• Konformität ISO-22301
• Möglichkeit zur Zertifizierung nach ISO 22301
• Erhöhter Ressourcenbedarf gegenüber den Einstiegsstufen

Organisationsspezifisches BCMS

Planung eines organisationsspezifischen BCMS

Vorgehensweisen

• Reaktiv
• Aufbau
• Standard

Aufgabenbereiche

• Planung und Umsetzung
• Überwachung
• kontinuierlichen Verbesserung

BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert

• Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden
  

Szenarien

Art von Ereignissen (Incidents)

• IT/System-Ausfall
• Gebäudeausfall
• Ausfall von Personal (Pandemie, ...)
• Ausfall von Lieferanten/Partnern

Notfallszenario

Je nach Ereignis wird das Unternehmen mit einem spezifischen Notfallszenario reagieren

• Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal
• Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken
• Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln
• Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen

Business Impact Analyse

Grundlage für eine Sicherheitsstrategie für Notfälle und Krisen

• Zusammen mit Risikoanalysen

Ermittlung

• Prozesse mit hohem Schadenspotential
• Zugrundeliegende Ressourcen
• Abhängigkeiten zwischen Prozessen
• Auswirkungen von Ausfällen
• Wiederanlaufpläne

siehe BCMS/Business Impact Analyse

Dokumentation

Referenzdokumente

Präventiv

Dokumente zur Vorsorge

• Anforderungen an das BCMS
• Elemente des BCMS
• Teil der Notfallvorsorge

Beispiele

• Leitlinie zum Business Continuity Management
• Notfallvorsorgekonzept
• Prozessbeschreibungen und Anweisungen
• Hilfsmittel

Reaktiv

Dokumente zur Reaktion

• Notfallbewältigung

Beispiel

• Notfallhandbuch

Tests und Übungen

Tests und Übungen sind im Business Continuity Management besonders wichtig

• Hohen Stellenwert in BSI-Standard 200-4

Planung von Übungen und Tests

Besondere Widrigkeiten im eigenen Geschäftsbetrieb

• Wichtiges Kriterium für die Planung von Übungen und Tests

ISB und Business Continuity Beauftragte

Sollten die Organisation dabei unterstützen, einen umfassenden Übungsplan zu erstellen

• Verfahren zu mindestens folgenden Übungsarten ausarbeiten

Übungsarten

Übung	Beschreibung
Planbesprechung	Besprechung von Maßnahmenplänen
Stabsübung	BCM-Prozess Beteiligte simulieren einen Notfall
Stabsrahmenübung	Auch externe Stellen werden an der Simulation beteiligt
Alarmierungsübung	Testen der vorgesehenen Alarmierungsketten
Funktionstest	Funktion von relevanten Funktionen testen (z. B. Restore oder Notstrom)

Synergien

Business Continuity Management

Die Notwendigkeit eines Business Continuity Management Systems(BCMS) ist oft leichter ersichtlich, als beim Informationssicherheitssystems (ISMS)

Prozessual gesteuerte Kommunikation

• zwischen der IT, dem ISB und dem Business Continuity Beauftragten
• verbindliche Festlegungen einer Verbesserung des BCMS und des ISMS

Beispiel

Jeder IT-Notfall muss an den ISB kommuniziert werden, da es sich wahrscheinlich um einen meldepflichtigen IT-Sicherheitsvorfall handeln kann

Synergien

BCMS und ISMS

IT-Grundschutz

• Strukturanalyse
• Schutzbedarfsfeststellung
• Modellierung

Weitere Managementsysteme

• Datenschutzmanagement
• IT-Service-Continuity-Management
• IT-Risikomanagement

Baustein DER.4 Notfallmanagement

DER.4 Notfallmanagement

Audit

Grundschutz-Audit - Untersuchung des ISMS, ob es gesetzte Anforderungen erfüllt und wirksam ist

Beschreibung

Planung und Vorbereitung

• Rollen und Verantwortlichkeiten
• Unabhängigkeit
• Auditplan

Kombination von Audits

Zum Beispiel mit einem Datenschutzaudit in Zusammenarbeit mit dem Datenschutzbeauftragen

Synergieeffekte

• Abgleich der Dokumente und Datengrundlagen

Auditprozess-Aktivitäten

• Zusammenstellung eines Team
• Dokumente vorbereiten
• Planung des Vor-Ort-Audits
• Umgang mit Nichtkonformitäten

Berichtswesen

Inhalt und Aufbau eines Auditberichtes

• Muster Auditbericht

• Genehmigung und Verteilung
• Aufbewahrung und Vertraulichkeit

Folgemaßnahmen

• Korrekturmaßnahmen

Vorfallbehandung

Sicherheitsvorfallbehandung - BSI-Leitfaden

Beschreibung

Inhalte

Nr	Themenfeld	Praktiker	Experte
1	Einführung in das Cyber-Sicherheitsnetzwerk	X	X
2	Verhalten am Telefon und nicht technische Maßnahmen	X	-
3	Gefährdungen und Angriffsformen	X	-
4	Angriffsszenarien und Gegenmaßnahmen	-	X
5	Ablauf des Standardvorgehens	X	X
6	Behandlung von speziellen IT-Sicherheitsvorfällen	X	X
7	Remote-Unterstützung	X	-
8	Vorfallsbearbeitung bei IT-Systemen „abseits der üblichen Büroanwendung“	X	X
9	Vor-Ort-Unterstützung: Überblick verschaffen	-	X
10	Vor-Ort-Unterstützung: Vorfallbearbeitung	-	X
11	Nach einem Vorfall ist vor einem Vorfall	X	X

Zertifizierung zum Grundschutz-Berater

Grundschutz-Berater/Zertifizierung - Personenzertifizierung durch das BSI

Beschreibung

Das BSI bietet eine Personenzertifizierung zum IT-Grundschutz-Berater an.

• Dazu hat das BSI ein Curriculum für Schulungsanbieter erstellt, das eine zweistufige Weiterbildung ermöglicht.

1. Im ersten Schritt können Teilnehmer eine IT-Grundschutz-Basisschulung mit anschließender Prüfung zum IT-Grundschutz-Praktiker absolvieren.
2. Im nächsten Schritt können sie die Zertifizierung zum IT-Grundschutz-Berater angehen.

Aufgaben

IT-Grundschutz-Berater können Behörden und Unternehmen bei folgenden Vorhaben begleiten und unterstützen:

• Einführung eines Managementsystems zur Informationssicherheit (ISMS)
• Entwicklung von Sicherheitskonzepten
• Definition und Umsetzung geeigneter Maßnahmen
• Fachkundige Unterstützung bei der Einführung von Prozessen
• Auch bei der Vorbereitung eines ISO 27001-Audits auf Basis von IT-Grundschutz kann ein IT-Grundschutz-Berater unterstützen.

Zertifizierung

Um sich als IT-Grundschutz-Berater zertifizieren zu lassen, ist u.a. die Teilnahme an verschiedenen Schulungen erforderlich.

Nach Teilnahme an der Aufbauschulung können Interessierte eine Zertifizierung als IT-Grundschutz-Berater durch das BSI erlangen.

• Hierzu ist es erforderlich, einen Antrag zu stellen.
• Nach Antragstellung können Interessierte die Prüfung zum IT-Grundschutz-Berater beim BSI absolvieren.
• Neben den oben genannten Schulungen sind noch weitere Zulassungsvoraussetzungen zu erfüllen, die dem "Programm IT-Grundschutz-Berater" zu entnehmen sind.
• Deren Nachweise sind vollständig mit Antragstellung einzureichen.
• Antrag und Programm sind unten im Kasten "Weitere Informationen" verlinkt.

Wurden alle erforderlichen Nachweise erbracht und die Prüfung erfolgreich bestanden, erfolgt die Personenzertifizierung.