|
|
| (56 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 3: |
Zeile 3: |
| : Abb_7_04_Schritt_1.png (Schritte bei der Risikoanalyse: Gefährdungsübersicht erstellen | | : Abb_7_04_Schritt_1.png (Schritte bei der Risikoanalyse: Gefährdungsübersicht erstellen |
| --> | | --> |
| ; Erste Schritt einer Risikoanalyse
| | Erster Schritt einer Risikoanalyse |
| Risiken identifizieren | | * Risiken identifizieren, denen ein [[Zielobjekt]] ausgesetzt ist |
| : denen ein [[Zielobjekt]] ausgesetzt ist.
| |
|
| |
|
| ; Hierfür ist zu beschreiben | | ; Beschreibung |
| * Welchen Gefährdungen das Objekt oder der Sachverhalt unterliegt | | * Welchen Gefährdungen das Objekt unterliegt |
| * Gemäß -Standard 200-3 verwenden Sie hierfür die '''elementaren Gefährdungen als Ausgangspunkt''' | | * Anhand der '''elementaren Gefährdungen als Ausgangspunkt''' |
|
| |
|
| ; Hierbei sind zwei Fälle zu unterscheiden | | === Grundschutz Bausteine === |
| * '''Es''' '''gibt''' '''für ein''' '''Zielobjekt (noch) keinen passenden Baustein.'''In diesem Fall ziehen Sie die vollständige Liste der elementaren Gefährdungen hinzu und prüfen, welche der Gefährdungen für das betreffende Zielobjekt relevant sind. | | ; Abdeckung mit Grundschutz Bausteine |
| * '''Es gibt einen passenden Baustein für das Zielobjekt.'''In diesem Fall wurde bereits vorab eine Risikoanalyse für den betreffenden Zielobjekt-Typ durchgeführt und in den Bausteinen tabellarisch dargestellt, welche elementaren Gefährdungen relevant sind und mit welchen Anforderungen diesen Gefährdungen jeweils begegnet wird. | | {| class="wikitable options" |
| * Es ist Ihre Aufgabe, zu prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können. | | |- |
| | ! Abdeckung !! Beschreibung |
| | |- |
| | | Ausreichend || Alle Aspekte des Zielobjektes können vollständig mit [[IT-Grundschutz-Baustein]]en modelliert werden |
| | * Risikoanalysen für normalen Schutzbedarf in den Bausteinen enthalten |
| | * In den Bausteinen tabellarisch dargestellt, welche elementaren Gefährdungen relevant sind und mit welchen Anforderungen diesen Gefährdungen jeweils begegnet wird |
| | |- |
| | | Unzureichend || Keine ausreichende Abdeckung durch [[IT-Grundschutz-Baustein]]e |
| | * Vollständige Liste der elementaren Gefährdungen prüfen, welche der Gefährdungen für das betreffende Zielobjekt relevant sind |
| | |} |
| | |
| | === Relevanz einer Gefährdung === |
| | Nur Gefährdungen mit direkter Relevanz in die Gefährdungsübersicht aufnehmen |
|
| |
|
| ; Die Relevanz einer Gefährdung bestimmen Sie mithilfe der möglichen Einwirkung einer Gefährdung. | | ; Einwirkungen |
| * Dabei ist zu unterscheiden, ob eine Gefährdung unmittelbar (direkt) oder nur indirekt über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkt.
| | {| class="wikitable options" |
| * Nur Gefährdungen mit direkter Relevanz nehmen Sie in die Gefährdungsübersicht auf.
| | | direkt || unmittelbar |
| | |- |
| | | indirekt || über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkend |
| | |} |
|
| |
|
| ===== Beispiel =====
| | ; Aufgabe |
| ; Für den Virtualisierungsserver S007 sind gemäß der Modellierung die folgenden drei Grundschutz-Bausteine relevant: SYS.1.1 ''Allgemeiner Server'', SYS.1.3 ''Server unter Unix'' und SYS.1.5 ''Virtualisierung''.
| | Prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können |
| | * Die Relevanz einer Gefährdung mit der möglichen Einwirkung einer Gefährdung bestimmen |
|
| |
|
| Aus den in diesen Bausteinen referenzierten elementaren Gefährdungen lässt sich die folgende auszugsweise wiedergegebene Übersicht relevanter Gefährdungen zusammenstellen:
| | === Erstellung einer Gefährdungsübersicht === |
| | === Zusätzliche Gefährdungen === |
| | Ermittlung zusätzlicher Gefährdungen |
| | [[BSI/200-3/Gefährdungsübersicht#Zusätzliche_Gefährdungen]] |
|
| |
|
| {| class="wikitable sortable options" | | ==== Beispiel ==== |
| | ; Relevante [[IT-Grundschutz-Baustein]]e für ''Virtualisierungsserver S007'' |
| | * SYS.1.1 ''Allgemeiner Server'' |
| | * SYS.1.3 ''Server unter Unix'' |
| | * SYS.1.5 ''Virtualisierung'' |
| | |
| | ; Referenzierten elementaren Gefährdungen |
| | Aus den in diesen Bausteinen referenzierten elementaren Gefährdungen lässt sich die folgende auszugsweise wiedergegebene Übersicht relevanter Gefährdungen zusammenstellen |
| | {| class="wikitable options" |
| |- | | |- |
| ! Gefährdung !! Beschreibung | | ! Gefährdung !! Beschreibung |
| |-
| |
| |- | | |- |
| | G 0.14 || Ausspähen von Informationen (Spionage) | | | G 0.14 || Ausspähen von Informationen (Spionage) |
| Zeile 64: |
Zeile 89: |
| | G 0.46 || Integritätsverlust schützenswerter Informationen | | | G 0.46 || Integritätsverlust schützenswerter Informationen |
| |} | | |} |
|
| |
| === Erstellung einer Gefährdungsübersicht ===
| |
| [[BSI/200-3/Elementaren Gefährdungen]]
| |
|
| |
| === Ermittlung zusätzlicher Gefährdungen ===
| |
| [[BSI/200-3/Gefährdungsübersicht/Zusätzliche Gefährdungen]]
| |
|
| |
| === Risikoanalyse-Meeting ===
| |
| [[Risikoanalyse-Meeting]]
| |
|
| |
|
| <noinclude> | | <noinclude> |
|
| |
|
| === Anhang ===
| | == Anhang == |
| ==== Siehe auch ====
| | === Siehe auch === |
| {{Special:PrefixIndex/{{BASEPAGENAME}}}} | | {{Special:PrefixIndex/{{BASEPAGENAME}}}} |
| ===== Links =====
| | ==== Links ==== |
| ====== Weblinks ======
| | ===== Weblinks ===== |
| | | [[Kategorie:BSI/200-3]] |
| [[Kategorie:Grundschutz/Standard/200-3]] | |
| | |
| = TMP =
| |
| == Ermittlung von elementaren Gefährdungen ==
| |
| ; Ziel der folgenden Arbeitsschritte
| |
| , als Ausgangspunkt für die Risikoanalyse eine Übersicht über die Gefährdungen zu erstellen, die auf die betrachteten Zielobjekte des Informationsverbunds einwirken.
| |
| * Als Ergebnis der Vorarbeiten (siehe Kapitel 2) liegt eine Liste von (priorisierten) Zielobjekten vor, für die eine Risikoanalyse durchgeführt werden sollte.
| |
| * Diese dient als Grundlage für die Erstellung der Gefährdungsübersicht.
| |
| * Ergänzt wird diese Liste um das übergeordnete Zielobjekt „Informationsverbund“, sofern dieses Zielobjekt nicht ohnehin bereits in der Liste enthalten ist.
| |
| * Bei der Ermittlung von Gefährdungen geht das BSI zweistufig vor.
| |
| * Zunächst werden die relevanten elementaren Gefährdungen identifiziert und darauf aufbauend werden weitere mögliche Gefährdungen (zusätzliche Gefährdungen) ermittelt, die über die elementaren Gefährdungen hinausgehen.
| |
| | |
| ; Wie bei der Ermittlung von elementaren Gefährdungen vorgegangen wird, ist davon abhängig, ob das betrachtete Zielobjekt hinreichend mit bestehenden Bausteinen des IT-Grundschutz-Kompendiums abgebildet werden kann oder nicht.
| |
| * Für bestehende Bausteine wurde bereits vorab eine Risikoanalyse durchgeführt und damit wurden für diese Bausteine bereits die relevanten elementaren Gefährdungen ermittelt, die als Ausgangspunkt der Gefährdungsanalyse verwendet werden können.
| |
| * Für jedes Zielobjekt werden Nummer und Titel dieser Gefährdungen zusammengetragen und dem jeweiligen Zielobjekt zugeordnet.
| |
| * Darüber hinaus wird die Liste der elementaren Gefährdungen herangezogen und es wird geprüft, ob weitere elementare Gefährdungen für das Zielobjekt relevant sind, also prinzipiell zu einem nennenswerten Schaden führen können.
| |
| | |
| ; Dafür ist jede weitere elementare Gefährdung dahingehend zu bewerten, ob diese direkt, indirekt oder gar nicht auf das Zielobjekt einwirken kann:
| |
| * „Direkt relevant“ bedeutet hier, dass die jeweilige Gefährdung auf das betrachtete Zielobjekt einwirken kann und deshalb im Rahmen der Risikoanalyse behandelt werden muss.
| |
| * „Indirekt relevant“ meint hier, dass die jeweilige Gefährdung zwar auf das betrachtete Zielobjekt einwirken kann, in ihrer potenziellen Wirkung aber nicht über andere (allgemeinere) Gefährdungen hinausgeht.
| |
| ** In diesem Fall muss die jeweilige Gefährdung für dieses Zielobjekt nicht gesondert im Rahmen der Risikoanalyse behandelt werden.
| |
| * „Nicht relevant“heißt hier, dass die jeweilige Gefährdung nicht auf das betrachtete Zielobjekt einwirken kann und deshalb für dieses Zielobjekt im Rahmen der Risikoanalyse nicht behandelt werden muss.
| |
| | |
| Gefährdungen, die für ein bestimmtes Zielobjekt nur „indirekt relevant“ oder „nicht relevant“ sind, können aber natürlich für andere Zielobjekte im selben Informationsverbund durchaus „direkt relevant“ sein.
| |
| | |
| In der Praxis hat der Typ des jeweiligen Zielobjekts einen wesentlichen Einfluss darauf, welche elementaren Gefährdungen überhaupt darauf anwendbar sind.
| |
| * So wird die Gefährdung G 0.28 Software-Schwachstellen oder -Fehler nur selten für einen Büroraum relevant sein, sondern eher für die darin betriebenen Clients.
| |
| * Gefährdungen, die sich nicht auf konkrete technische Komponenten beziehen, beispielsweise G 0.29 Verstoß gegen Gesetze oder Regelungen, eignen sich meist für Zielobjekte vom Typ Anwendung, Geschäftsprozess oder Informationsverbund.
| |
| | |
| ; Beispiel
| |
| Wird ein spezifisches Server-Betriebssystem betrachtet, ist beispielsweise die elementare Gefährdung G 0.25 Ausfall von Geräten oder Systemen eine relevante Gefährdung, gegen die unter Umständen spezifische Sicherheitsmaßnahmen zu ergreifen sind. Dagegen ist die elementare Gefährdung G 0.1 Feuer für ein spezifisches Server-Betriebssystem irrelevant. Ein Betriebssystem bietet keine spezifischen Schutzmaßnahmen gegen Feuer, es würden durch die Betrachtung von G 0.1 Feuer keine neuen Aspekte gegenüber G 0.25 Ausfall von Geräten oder Systemen entstehen.
| |
| | |
| Gefährdung
| |
| G 0.1 Feuer
| |
| Grundwerte
| |
| Verfügbarkeit
| |
| G 0.9 Ausfalloder Störungvon Kommunikationsnetzen
| |
| Verfügbarkeit,
| |
| Integrität
| |
| G 0.25 Ausfall von Geräten oder Systemen Verfügbarkeit
| |
| G 0.26 Fehlfunktion vonGeräten oderSystemen
| |
| Vertraulichkeit,
| |
| Verfügbarkeit,
| |
| Integrität
| |
| Wirkung und
| |
| Relevanz
| |
| Indirekte Wir
| |
| kung/
| |
| nicht
| |
| relevant
| |
| Indirektekung/
| |
| nicht
| |
| relevant
| |
| Wir
| |
| Direkte
| |
| Wirkung/
| |
| relevant
| |
| Direkte
| |
| Wirkung/
| |
| relevant
| |
| Kommentar
| |
| Die Gefährdung für ein Betriebssystem durch
| |
| Feuer ist irrelevant, es würden durch die Be
| |
| trachtung von G 0.1 Feuer keine neuen Aspekte
| |
| gegenüber G 0.25 Ausfall von Geräten oder Sys
| |
| temen abgedeckt.
| |
| Die Gefährdung für ein Betriebssystem durch
| |
| Ausfall oder Störung von Kommunikationsnet
| |
| zen ist indirekt, es würden durch die Betrachtung
| |
| von G 0.9 keine neuen Aspekte gegenüber G
| |
| 0.26 Fehlfunktionen von Geräten oder Systemen
| |
| entstehen. Ein Betriebssystem bietet keine spezi
| |
| fischen Schutzmaßnahmen gegen G 0.9, die Ge
| |
| fährdung ist somit hier nicht relevant. Es sind kei
| |
| ne spezifischen Maßnahmen erforderlich.
| |
| Die Gefährdung durch G 0.25 Ausfall von Gerä
| |
| ten oder Systemen wirkt direkt auf ein Betriebs
| |
| system ein. Daher sind Maßnahmen gegen G
| |
| 0.25 Ausfall von Geräten und Systemen zu prü
| |
| fen.
| |
| Die Gefährdung durch G 0.26 Fehlfunktionen
| |
| von Geräten oder Systemen wirkt direkt auf ein
| |
| Betriebssystem ein. Daher sind Maßnahmen ge-
| |
| gen G 0.26 Fehlfunktionen von Geräten und
| |
| Systemen zu prüfen.
| |
| | |
| Tabelle 2: Beispiel zur Ermittlung elementarer Gefährdungen für ein Server-Betriebssystem
| |
| | |
| Kann das betrachtete Zielobjekt nicht hinreichend mit bestehenden Bausteinen des IT-Grundschutz-Kompendiums abgebildet werden, da es sich um Themenbereiche handelt, die bisher im IT-Grundschutz-Kompendium noch nicht oder nicht ausreichend abgedeckt sind, um den betrachteten Informationsverbund modellieren zu können, dann wird die Liste der 47 elementaren Gefährdungen herangezogen und für jedes Zielobjekt jeweils geprüft, welche Gefährdungen relevant sind. Hierbei kann dieselbe Vorgehensweise wie weiter oben beschrieben angewandt werden.
| |
| | |
| Als Ergebnis der vorangegangenen Schritte liegt eine Tabelle vor, in der jedem Zielobjekt eine Liste mit relevanten elementaren Gefährdungen zugeordnet ist. Um die nachfolgende Analyse zu erleichtern, sollte in der Tabelle für jedes Zielobjekt der Schutzbedarf vermerkt werden, der im Rahmen der Schutzbedarfsfeststellung in den drei Grundwerten Vertraulichkeit, Integrität und Verfügbarkeit ermittelt wurde. Für das übergeordnete Zielobjekt Informationsverbund kann diese Zuordnung entfallen.
| |
| Im Folgenden wird anhand der beiden Beispiele dargestellt, wie die Gefährdungsübersicht anhand von elementaren Gefährdungen erstellt werden kann.
| |
| | |
| ; Beispiel 1
| |
| Die RECPLAST GmbH betreibt an ihrem Standort in Bad Godesberg ein zentral administriertes Netz mit 130 angeschlossenen Arbeitsplätzen. Die Arbeitsplatzrechner sind mit den üblichen Büroanwendungen (Standardsoftware für Textverarbeitung, Tabellenkalkulation und Präsentation) und Client-Software für die Nutzung von E-Mails und Internet ausgestattet. Zusätzlich gibt es je nach Aufgabengebiet auf verschiedenen Arbeitsplatzrechnern Spezialsoftware.
| |
| | |
| Im Rahmen der Schutzbedarfsfeststellung ist für folgende Zielobjekte (siehe Tabelle 3) ein hoher bzw. sehr hoher Schutzbedarf in mindestens einem der drei Grundwerte (Vertraulichkeit, Integrität oder Verfügbarkeit) festgestellt worden.
| |
| * Firewall N1
| |
| * Switches N2, N3 und N4,
| |
| * Virtualisierungsserver S1, virtuelle Maschinen S2 und S3, DBMS-Server (S5) und Datenbankmanagementsystem A1 (kurz: Datenbank A1),
| |
| * Laptops C3 und Clients C1
| |
| | |
| Somit müssen diese einer Risikoanalyse unterzogen werden.
| |
| | |
| Im Folgenden findet sich ein Auszug aus der Modellierung der RECPLAST GmbH, Teilnetz A.
| |
| | |
| Nummer
| |
| Titel des Bausteins
| |
| Zielobjekt
| |
| ISMS.1, ORP.1 usw.
| |
| Sicherheitsmanagement, Organisation IV
| |
| usw.
| |
| INF.2
| |
| Rechenzentrum
| |
| R.005, R.006
| |
| INF.7
| |
| Bfroraum
| |
| R.007
| |
| NET.3.2
| |
| Firewall
| |
| N1
| |
| NET.3.1
| |
| Router und Switches
| |
| N2, N4
| |
| NET.3.1
| |
| Router und Switches
| |
| N3
| |
| SYS.1.5
| |
| Virtualisierung
| |
| S1
| |
| APP.5.1
| |
| Groupware
| |
| S2 (VM1)
| |
| APP.3.3
| |
| Fileserver
| |
| S3 (VM2)
| |
| SYS.1.2.2
| |
| Windows Server 2012
| |
| S5
| |
| APP.4.3
| |
| Relationale Datenbanksysteme
| |
| A1
| |
| SYS.2.2
| |
| Windows-Clients
| |
| C1
| |
| SYS.2.3
| |
| Clients unter Unix (Laptops)
| |
| C3
| |
| | |
| Tabelle 3: Liste der betrachteten Zielobjekte (Auszug)
| |
| | |
| ; Beispiel 2
| |
| Bei der Modellierung des Informationsverbundes, der der Smart-Meter-Gateway-Administration zugrunde liegt, ist festgestellt worden, dass dem Zielobjekt „Smart-Meter-Gateway-Administration Zx“ kein IT-Grundschutz-Baustein zugeordnet werden kann. Dieses muss daher ebenfalls einer Risikoanalyse unterzogen werden.
| |
| | |
| (Auszug Smart-Meter-Gateway-Administration)
| |
| Nummer
| |
| Titel des Bausteins
| |
| Zielobjekt
| |
| –
| |
| –
| |
| Smart-Meter-Gateway-Administration Zx
| |
| Tabelle 4: Liste der betrachteten Zielobjekte (Auszug)
| |
| Die nachfolgenden Tabellen stellen eine Übersicht von relevanten elementaren Gefährdungen für die
| |
| betrachteten Zielobjekte (Virtualisierungsserver S1, Datenbank A1) und Smart-Meter-Gateway-Ad
| |
| ministration Zx dar. Sie dienen als Ausgangspunkt für die nachfolgende Ermittlung zusätzlicher Ge
| |
| fährdungen.
| |
| VirtualisierungsserverVertraulichkeit: hoch
| |
| Integrität: hoch
| |
| Verfügbarkeit: hoch
| |
| S1
| |
| G 0.14 Ausspähen von Informationen/Spionage
| |
| G 0.15 Abhören
| |
| G 0.18 Fehlplanung oder fehlende Anpassung
| |
| G 0.19 Offenlegung schftzenswerter Informationen
| |
| G 0.21 Manipulation von Hard- oder Software
| |
| G 0.22 Manipulation von Informationen
| |
| G 0.23 Unbefugtes Eindringen in IT-Systeme
| |
| G 0.25 Ausfall von Geräten oder Systemen
| |
| G 0.26 Fehlfunktion von Geräten oder Systemen
| |
| G 0.28 Software-Schwachstellen oder -Fehler
| |
| G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen
| |
| G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen
| |
| G 0.32 Missbrauch von Berechtigungen
| |
| G 0.40 Verhinderung von Diensten (Denial of Service)
| |
| G 0.43 Einspielen von Nachrichten
| |
| G 0.45 Datenverlust
| |
| G 0.46 Integritätsverlust schftzenswerter Informationen
| |
| Tabelle 5: Gefährdungsfbersicht ffr das Zielobjekt S1 (Auszug)
| |
| | |
| | |
| Datenbank A1
| |
| Vertraulichkeit: hoch
| |
| Integrität: hoch
| |
| Verfügbarkeit: hoch
| |
| G 0.14 Ausspähen von Informationen/Spionage
| |
| G 0.15 Abhören
| |
| G 0.18 Fehlplanung oder fehlende Anpassung
| |
| G 0.19 Offenlegung schftzenswerter Informationen
| |
| G 0.20 Informationen aus unzuverlässiger Quelle
| |
| G 0.21 Manipulation von Hard- und Software
| |
| G 0.22 Manipulation von Informationen
| |
| G 0.23 Unbefugtes Eindringen in IT-Systeme
| |
| G 0.25 Ausfall von Geräten oder Systemen
| |
| G 0.26 Fehlfunktion von Geräten oder Systemen
| |
| G 0.27 Ressourcenmangel
| |
| G 0.28 Software-Schwachstellen oder -fehler
| |
| G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen
| |
| G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen
| |
| G 0.32 Missbrauch von Berechtigungen
| |
| G 0.37 Abstreiten von Handlungen
| |
| G 0.39 Schadprogramme
| |
| G 0.40 Verhinderung von Diensten (Denial of Service)
| |
| G 0.43 Einspielen von Nachrichten
| |
| G 0.45 Datenverlust
| |
| G 0.46 Integritätsverlust schftzenswerter Informationen
| |
| | |
| Tabelle 6: Gefährdungsfbersicht für das Zielobjekt A1 (Auszug)
| |
| | |
| Smart-Meter-Gateway-Administration
| |
| Vertraulichkeit: hoch
| |
| Integrität: hoch
| |
| Verfügbarkeit: hoch
| |
| Zx
| |
| G 0.18 Fehlplanung oder fehlende Anpassungen
| |
| G 0.21 Manipulation von Hard- oder Software
| |
| G 0.22 Manipulation von Informationen
| |
| G 0.23 Unbefugtes Eindringen in IT-Systeme
| |
| G 0.25 Ausfall von Geräten oder Systemen
| |
| G 0.26 Fehlfunktion von Geräten oder Systemen
| |
| G 0.28 Software-Schwachstellen oder -fehler
| |
| G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen
| |
| G 0.43 Einspielen von Nachrichten
| |
| usw.
| |
| | |
| Tabelle 7: Gefährdungsübersicht für das Zielobjekt Zx (Auszug)
| |
| | |
| [[Kategorie:Grundschutz/Standard/200-3]]
| |
| | |
|
| |
|
| </noinclude> | | </noinclude> |