IT-Grundschutz/Risiko/Management: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
<div style="text-align:center;">Themenfeld 8Risikoanalyse</div>
'''Themenfeld 8Risikoanalyse'''
'''Themenfeld 8Risikoanalyse'''


Zeile 16: Zeile 12:


'''Bislang'''
'''Bislang'''
 
* IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge
<div style="margin-left:0.265cm;margin-right:0cm;">IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge</div>


'''Nun'''
'''Nun'''
 
* Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-3
<div style="margin-left:0.265cm;margin-right:0cm;">Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-3</div>
* Implementation eines Risikoentscheidungsprozesses  
 
* Keine Risikoakzeptanz bei den Basis-Anforderungen  
<div style="margin-left:0.265cm;margin-right:0cm;">Implementation eines Risikoentscheidungsprozesses </div>
* Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und bei erhöhtem Schutzbedarf
 
<div style="margin-left:0.265cm;margin-right:0cm;">Keine Risikoakzeptanz bei den Basis-Anforderungen </div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und bei erhöhtem Schutzbedarf</div>




Zeile 69: Zeile 60:


'''Quellen'''
'''Quellen'''
 
* BSI-Gefährdungskataloge
<div style="margin-left:0.265cm;margin-right:0cm;">BSI-Gefährdungskataloge</div>
* Produktdokumentation
 
* Publikationen über Schwachstellen im Internet
<div style="margin-left:0.265cm;margin-right:0cm;">Produktdokumentation</div>
* Auch Schwächen eingesetzter Komponenten und Protokolle
 
* Anfrage bei Herstellern
<div style="margin-left:0.265cm;margin-right:0cm;">Publikationen über Schwachstellen im Internet</div>
* Fachliteratur
 
* Bewertungskriterien (z.B. Common Criteria)  
<div style="margin-left:0.265cm;margin-right:0cm;">Auch Schwächen eingesetzter Komponenten und Protokolle</div>
* eigene Bedrohungsanalysen
 
<div style="margin-left:0.265cm;margin-right:0cm;">Anfrage bei Herstellern</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Fachliteratur</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Bewertungskriterien (z.B. Common Criteria) </div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">eigene Bedrohungsanalysen</div>


'''Weitere InformationsquellenSecurity Mailing List Archive: seclists.org'''
'''Weitere InformationsquellenSecurity Mailing List Archive: seclists.org'''
Zeile 91: Zeile 74:


'''G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe'''
'''G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe'''
 
* Von Tätern nicht beabsichtigt Auswirkungen
<div style="margin-left:0.265cm;margin-right:0cm;">Von Tätern nicht beabsichtigt Auswirkungen</div>
* nicht die unmittelbar angegriffenen Zielobjekte betreffen oder  
 
* unbeteiligte Dritte schädigen.
<div style="margin-left:0.265cm;margin-right:0cm;">nicht die unmittelbar angegriffenen Zielobjekte betreffen oder </div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">unbeteiligte Dritte schädigen.</div>




'''Beispiele'''
'''Beispiele'''
 
* Für DDoS-Angriffe als Bots missbrauchte IT-Systeme
<div style="margin-left:0.265cm;margin-right:0cm;">Für DDoS-Angriffe als Bots missbrauchte IT-Systeme</div>
* (IoT-) Geräte, die als ein Einfallstor in Netze missbraucht werden
 
* Ransomware-Angriffe auf IT-Systeme Kritischer Infrastrukturen
<div style="margin-left:0.265cm;margin-right:0cm;">(IoT-) Geräte, die als ein Einfallstor in Netze missbraucht werden</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Ransomware-Angriffe auf IT-Systeme Kritischer Infrastrukturen</div>


'''BSI-Standard 200-3Neues Bewertungsverfahren'''
'''BSI-Standard 200-3Neues Bewertungsverfahren'''


'''Lösungsansätze'''
'''Lösungsansätze'''
 
* Die Bewertung des Risikos erfolgt durch den populären Matrix-Ansatz anhand weniger Stufen.
<div style="margin-left:0.265cm;margin-right:0cm;">Die Bewertung des Risikos erfolgt durch den populären Matrix-Ansatz anhand weniger Stufen.</div>
* Wenn das Risiko nicht akzeptabel ist, werden Maßnahmen zur Senkung, Vermeidung oder Übertragung des Risikos in Betracht gezogen.
 
* Im Sinne einer Was-Wäre-Wenn-Analyse wird dann in der Risiko-Matrix "eingezeichnet", wie sich das Risiko bei Umsetzung der jeweiligen Maßnahme ändern würde.
<div style="margin-left:0.265cm;margin-right:0cm;">Wenn das Risiko nicht akzeptabel ist, werden Maßnahmen zur Senkung, Vermeidung oder Übertragung des Risikos in Betracht gezogen.</div>
* Dadurch wird automatisch auch das Restrisiko dokumentiert.
 
* Restrisiko muss der Leitung zur Zustimmung vorgelegt werden (Risikoakzeptanz)
<div style="margin-left:0.265cm;margin-right:0cm;">Im Sinne einer Was-Wäre-Wenn-Analyse wird dann in der Risiko-Matrix "eingezeichnet", wie sich das Risiko bei Umsetzung der jeweiligen Maßnahme ändern würde.</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Dadurch wird automatisch auch das Restrisiko dokumentiert.</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Restrisiko muss der Leitung zur Zustimmung vorgelegt werden (Risikoakzeptanz)</div>


'''BSI-Standard 200-3Bewertungsverfahren'''
'''BSI-Standard 200-3Bewertungsverfahren'''
Zeile 128: Zeile 100:


'''BSI-Standard 200-3Konsolidierung'''
'''BSI-Standard 200-3Konsolidierung'''
* Sind die Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet?
* Wirken die Sicherheitsmaßnahmen sinnvoll zusammen?
* Welche Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
* Sind die Sicherheitsmaßnahmen benutzerfreundlich?
* Sind die Sicherheitsmaßnahmen angemessen?


<div style="margin-left:0.265cm;margin-right:0cm;">Sind die Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet?</div>
* Verpacken der neu gefundenen Gefährdungen und Anforderungen in einem benutzerdefinierten Baustein
 
* Ggf. Ergänzung bestehender Bausteine um aus der Risikobewertung ermittelten Anforderungen
<div style="margin-left:0.265cm;margin-right:0cm;">Wirken die Sicherheitsmaßnahmen sinnvoll zusammen?</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Welche Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Sind die Sicherheitsmaßnahmen benutzerfreundlich?</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Sind die Sicherheitsmaßnahmen angemessen?</div>
 
 
<div style="margin-left:0.265cm;margin-right:0cm;">Verpacken der neu gefundenen Gefährdungen und Anforderungen in einem benutzerdefinierten Baustein</div>
 
<div style="margin-left:0.265cm;margin-right:0cm;">Ggf. Ergänzung bestehender Bausteine um aus der Risikobewertung ermittelten Anforderungen</div>


'''Ergänzende RisikoanalyseEin Restrisiko bleibt'''
'''Ergänzende RisikoanalyseEin Restrisiko bleibt'''
Zeile 149: Zeile 114:


'''Schritt 1: Sichtung der Untersuchungsergebnisse'''
'''Schritt 1: Sichtung der Untersuchungsergebnisse'''
 
* Welche Maßnahmen sind nicht oder nur teilweise umgesetzt?
<div style="margin-left:0.265cm;margin-right:0cm;">Welche Maßnahmen sind nicht oder nur teilweise umgesetzt?</div>


'''Schritt 2: Konsolidierung der Maßnahmen'''
'''Schritt 2: Konsolidierung der Maßnahmen'''
 
* Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
<div style="margin-left:0.265cm;margin-right:0cm;">Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?</div>
* Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden?
 
<div style="margin-left:0.265cm;margin-right:0cm;">Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden?</div>


'''Schritt 3: Kosten- und Aufwandsschätzung'''
'''Schritt 3: Kosten- und Aufwandsschätzung'''
 
* Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen?
<div style="margin-left:0.265cm;margin-right:0cm;">Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen?</div>
* Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen werden und das verblei-bende Restrisiko für die Leitungsebene dokumentiert werden.
 
<div style="margin-left:0.265cm;margin-right:0cm;">Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen werden und das verblei-bende Restrisiko für die Leitungsebene dokumentiert werden.</div>


'''Schritt 4: Festlegung der Umsetzungsreihenfolge'''
'''Schritt 4: Festlegung der Umsetzungsreihenfolge'''
 
* Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden?
<div style="margin-left:0.265cm;margin-right:0cm;">Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden?</div>
* Breitenwirkung beachten!
 
<div style="margin-left:0.265cm;margin-right:0cm;">Breitenwirkung beachten!</div>


'''Schritt 5: Festlegung der Verantwortlichkeit'''
'''Schritt 5: Festlegung der Verantwortlichkeit'''
 
* Wer setzt welche Maßnahme bis wann um?
<div style="margin-left:0.265cm;margin-right:0cm;">Wer setzt welche Maßnahme bis wann um?</div>


'''Schritt 6: Realisierungsbegleitende Maßnahmen'''
'''Schritt 6: Realisierungsbegleitende Maßnahmen'''
 
* Schulung der Mitarbeiter
<div style="margin-left:0.265cm;margin-right:0cm;">Schulung der Mitarbeiter</div>
* Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen
 
<div style="margin-left:0.265cm;margin-right:0cm;">Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen</div>


'''Konsolidierung der Maßnahmen'''
'''Konsolidierung der Maßnahmen'''

Version vom 6. März 2023, 22:09 Uhr

Themenfeld 8Risikoanalyse

8.0 Grundlagen

8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten

8.2Vorgehen bei der Risikobewertung und Risikobehandlung

8.3Beispiel für die Risikobewertung

BSI-Standard 200-3Risikoanalyse auf der Basis von IT-Grundschutz

Bislang

  • IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge

Nun

  • Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-3
  • Implementation eines Risikoentscheidungsprozesses
  • Keine Risikoakzeptanz bei den Basis-Anforderungen
  • Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und bei erhöhtem Schutzbedarf


8 Überblick

Vorgehensweise nach IT-GrundschutzZusammenfassung

RisikomanagementsystemNeufassung der Risikoanalyse

RisikomanagementsystemAngemessenes Risikomanagement

RisikomanagementsystemRichtlinie zum Umgang mit Risiken

RisikomanagementsystemVorarbeiten und Priorisierung

RisikomanagementsystemListe der betrachteten Zielobjekte

Themenfeld 8Risikoanalyse

8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten

8.2Vorgehen bei der Risikobewertung und Risikobehandlung

8.3Beispiel für die Risikobewertung

RisikomanagementsystemErstellung der Gefährdungsübersicht

Themenfeld 8Risikoanalyse

8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten

8.2Vorgehen bei der Risikobewertung und Risikobehandlung

8.3Beispiel für die Risikobewertung

RisikomanagementsystemErstellung der Gefährdungsübersicht

RisikomanagementsystemErstellung der Gefährdungsübersicht

Ermittlung zusätzlicher Gefährdungen

Quellen

  • BSI-Gefährdungskataloge
  • Produktdokumentation
  • Publikationen über Schwachstellen im Internet
  • Auch Schwächen eingesetzter Komponenten und Protokolle
  • Anfrage bei Herstellern
  • Fachliteratur
  • Bewertungskriterien (z.B. Common Criteria)
  • eigene Bedrohungsanalysen

Weitere InformationsquellenSecurity Mailing List Archive: seclists.org

BSI-Standard 200-347. Elementargefährdung

G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe

  • Von Tätern nicht beabsichtigt Auswirkungen
  • nicht die unmittelbar angegriffenen Zielobjekte betreffen oder
  • unbeteiligte Dritte schädigen.


Beispiele

  • Für DDoS-Angriffe als Bots missbrauchte IT-Systeme
  • (IoT-) Geräte, die als ein Einfallstor in Netze missbraucht werden
  • Ransomware-Angriffe auf IT-Systeme Kritischer Infrastrukturen

BSI-Standard 200-3Neues Bewertungsverfahren

Lösungsansätze

  • Die Bewertung des Risikos erfolgt durch den populären Matrix-Ansatz anhand weniger Stufen.
  • Wenn das Risiko nicht akzeptabel ist, werden Maßnahmen zur Senkung, Vermeidung oder Übertragung des Risikos in Betracht gezogen.
  • Im Sinne einer Was-Wäre-Wenn-Analyse wird dann in der Risiko-Matrix "eingezeichnet", wie sich das Risiko bei Umsetzung der jeweiligen Maßnahme ändern würde.
  • Dadurch wird automatisch auch das Restrisiko dokumentiert.
  • Restrisiko muss der Leitung zur Zustimmung vorgelegt werden (Risikoakzeptanz)

BSI-Standard 200-3Bewertungsverfahren

BSI-Standard 200-3Bewertungsverfahren

BSI-Standard 200-3Risikobehandlungsoptionen

BSI-Standard 200-3Konsolidierung

  • Sind die Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet?
  • Wirken die Sicherheitsmaßnahmen sinnvoll zusammen?
  • Welche Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
  • Sind die Sicherheitsmaßnahmen benutzerfreundlich?
  • Sind die Sicherheitsmaßnahmen angemessen?
  • Verpacken der neu gefundenen Gefährdungen und Anforderungen in einem benutzerdefinierten Baustein
  • Ggf. Ergänzung bestehender Bausteine um aus der Risikobewertung ermittelten Anforderungen

Ergänzende RisikoanalyseEin Restrisiko bleibt

Realisierung von IT-Sicherheitsmaßnahmen

Schritt 1: Sichtung der Untersuchungsergebnisse

  • Welche Maßnahmen sind nicht oder nur teilweise umgesetzt?

Schritt 2: Konsolidierung der Maßnahmen

  • Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
  • Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden?

Schritt 3: Kosten- und Aufwandsschätzung

  • Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen?
  • Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen werden und das verblei-bende Restrisiko für die Leitungsebene dokumentiert werden.

Schritt 4: Festlegung der Umsetzungsreihenfolge

  • Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden?
  • Breitenwirkung beachten!

Schritt 5: Festlegung der Verantwortlichkeit

  • Wer setzt welche Maßnahme bis wann um?

Schritt 6: Realisierungsbegleitende Maßnahmen

  • Schulung der Mitarbeiter
  • Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen

Konsolidierung der Maßnahmen

Konsolidieren der Maßnahmen der IT-Grundschutz-Kataloge

zusätzlichen Maßnahmen aus der Ergänzenden Risikoanalyse


=> zu realisierende Maßnahmen

Themenfeld 8Risikoanalyse

8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten

8.2Vorgehen bei der Risikobewertung und Risikobehandlung

8.3Beispiel für die Risikobewertung