BSI/200-3/Risikobehandlung: Unterschied zwischen den Versionen
K Textersetzung - „bzw.“ durch „bzw. “ |
K Textersetzung - „Grundschutz/Standard“ durch „BSI/Standard“ Markierung: Zurückgesetzt |
||
Zeile 250: | Zeile 250: | ||
38 | 38 | ||
[[Kategorie: | [[Kategorie:BSI/Standard/200-3]] |
Version vom 10. Juni 2023, 23:13 Uhr
Risikobehandlungsoptionen
Wie bereits in Kapitel 5 dargestellt, sind je nach Risikoappetit einer Institution unterschiedliche Risi koakzeptanzkriterien möglich. Im Folgenden wird davon ausgegangen, dass eine Institution „gerin ge“ Risiken grundsätzlich akzeptiert, „mittlere“, „hohe“ und „sehr hohe“ Risiken jedoch nur in Aus nahmefällen. In der Praxis ergeben sich im Rahmen der Risikoeinstufung meist mehrere Gefährdungen, aus denen sich Risiken in den Stufen „mittel“, „hoch“ oder „sehr hoch“ ergeben. Es muss entschieden werden, wie mit diesen verbleibenden Risiken umgegangen wird. Es müssen also geeignete Risikobehandlungsoptionen ausgewählt werden. Risiken können
- vermieden werden, indem beispielsweise die Risikoursache ausgeschlossen wird,
- reduziert werden, indem die Rahmenbedingungen, die zur Risikoeinstufung beigetragen haben,
modifiziert werden,
- transferiert werden, indem die Risiken mit anderen Parteien geteilt werden,
- akzeptiert werden, beispielsweise weil die mit dem Risiko einhergehenden Chancen wahrgenom
men werden sollen. Im Folgenden werden die Risikobehandlungsoptionen der Vermeidung, Reduktion und des Transfers näher betrachtet. Darauf aufbauend, muss eine Institution Risikoakzeptanzkriterien festlegen und die Risikobehandlung darauf abbilden. Bei der Entscheidung, wie mit den identifizierten Risiken umge gangen wird, muss auf jeden Fall die Leitungsebene beteiligt werden, da sich aus der Entscheidung unter Umständen erhebliche Schäden ergeben oder zusätzliche Kosten entstehen können. Für jede Gefährdung in der vervollständigten Gefährdungsübersicht mit Risikokategorie „mittel“, „hoch“ oder „sehr hoch“ müssen folgende Fragen beantwortet werden: A: Risikovermeidung: Ist es sinnvoll, das Risiko durch eine Umstrukturierung des Geschäftsprozesses oder des Informationsverbunds zu vermeiden? Gründe für diesen Ansatz können beispielsweise sein:
- Alle wirksamen Gegenmaßnahmen sind mit hohem Aufwand verbunden und damit sehr teuer, die
verbleibende Gefährdung kann aber trotzdem nicht hingenommen werden.
- Die Umstrukturierung bietet sich ohnehin aus anderen Gründen an, z. B. zur Kostensenkung.
- Es kann einfacher und eleganter sein, die vorhandenen Abläufe zu ändern, als sie durch Hinzufü
gen von Sicherheitsmaßnahmen komplexer zu machen.
- Alle wirksamen Gegenmaßnahmen würden erhebliche Einschränkungen für die Funktion oder den
Komfort des Systems mit sich bringen. B: Risikoreduktion (Risikomodifikation): Ist es sinnvoll und möglich, das Risiko durch weitere Sicher heitsmaßnahmen zu reduzieren? Das Risiko durch die verbleibende Gefährdung kann möglicherweise gesenkt werden, indem eine oder mehrere ergänzende Sicherheitsmaßnahmen erarbeitet und umgesetzt werden, die der Gefährdung entgegenwirken. Als Informationsquellen über ergänzende Sicherheitsmaßnahmen kommen beispielsweise folgende infrage:
- die Dokumentation und der Service des Herstellers, wenn es sich bei dem betroffenen Zielobjekt
um ein Produkt handelt,
- Standards und Best Practices, wie sie beispielsweise von Gremien im Bereich der Informationssi
cherheit erarbeitet werden,
- andere Veröffentlichungen und Dienstleistungen, die beispielsweise im Internet oder von speziali
sierten Unternehmen angeboten werden,
- Erfahrungen, die innerhalb der eigenen Institution oder bei Kooperationspartnern gewonnen wur
den. Der hypothetische Aufwand und mögliche Kosten für gegebenenfalls erforderliche Sicherheitsmaß nahmen und Informationen über bereits vorhandene Sicherheitsmechanismen sind wichtige Ent scheidungshilfen. C: Risikotransfer (Risikoteilung): Ist es sinnvoll, das Risiko an eine andere Institution zu fbertragen, beispielsweise durch den Abschluss eines Versicherungsvertrags oder durch Outsourcing? Gründe für diesen Ansatz können beispielsweise sein:
- Die möglichen Schäden sind rein finanzieller Art.
- Es ist ohnehin aus anderen Gründen geplant, Teile der Geschäftsprozesse auszulagern.
- Der Vertragspartner ist aus wirtschaftlichen oder technischen Gründen besser in der Lage, mit dem
Risiko umzugehen. Wenn im Rahmen der Risikobehandlung zusätzliche Sicherheitsanforderungen identifiziert werden, muss die Risikoeinstufung (siehe nachfolgende Beispiele) für die betroffenen Zielobjekte entspre chend angepasst werden. Zu beachten ist dabei, dass neue Anforderungen unter Umständen nicht nur Auswirkungen auf das jeweils analysierte Zielobjekt haben, sondern auch auf andere Zielobjekte. Die zusätzlichen Anforderungen und die daraus resultierenden Sicherheitsmaßnahmen werden im Sicherheitskonzept dokumentiert. Wenn im Rahmen der Risikobehandlung Änderungen an den Geschäftsprozessen oder am Informa tionsverbund vorgenommen wurden, etwa durch Risikovermeidung oder Risikotransfer, müssen diese insgesamt im Sicherheitskonzept berücksichtigt werden. Dies betrifft im Allgemeinen auch Arbeits schritte, die in der IT-Grundschutz-Vorgehensweise gemäß BSI-Standard 200-2 dargestellt sind, be ginnend bei der Strukturanalyse. Selbstverständlich kann dabei aber auf die bisher erarbeiteten Infor mationen und Dokumente zurückgegriffen werden. Beim Risikotransfer ist die sachgerechte Vertragsgestaltung einer der wichtigsten Aspekte. Besonders bei Outsourcing-Vorhaben sollte hierzu auf juristischen Sachverstand zurückgegriffen werden. Die Entscheidung wird von der Leitungsebene getroffen und nachvollziehbar dokumentiert. D: Risikoakzeptanz: Können die Risiken auf Basis einer nachvollziehbaren Faktenlage akzeptiert werden? Die Schritte der Risikoeinstufung und Risikobehandlung werden so lange durchlaufen, bis die Risiko akzeptanzkriterien der Institution erreicht sind und das verbleibende Risiko („Restrisiko“) somit im Einklang mit den Zielen und Vorgaben der Institution steht. Das Restrisiko muss anschließend der Leitungsebene zur Zustimmung vorgelegt werden (Risikoak zeptanz). Damit wird nachvollziehbar dokumentiert, dass die Institution sich des Restrisikos bewusst 34
6 Behandlung von Risiken ist. Idealerweise akzeptiert eine Institution nur Risiken der Stufe „gering“. In der Praxis ist dies aber nicht immer zweckmäßig. Gründe, auch höhere Risiken zu akzeptieren, können beispielsweise sein:
- Die entsprechende Gefährdung führt nur unter ganz speziellen Voraussetzungen zu einem Schaden.
- Gegen die entsprechende Gefährdung sind derzeit keine wirksamen Gegenmaßnahmen bekannt
und sie lässt sich in der Praxis auch kaum vermeiden.
- Aufwand und Kosten für wirksame Gegenmaßnahmen überschreiten den zu schützenden Wert.
Hinweis: Auch diejenigen IT-Grundschutz-Anforderungen, die im IT-Grundschutz-Kompendium als Anfor derungen bei erhöhtem Schutzbedarf aufgeffhrt sind sowie die zugehörigen Maßnahmen, kön nen als Anhaltspunkte ffr weiterffhrende Sicherheitsmaßnahmen im Rahmen einer Risikoanalyse herangezogen werden. Dabei handelt es sich um Beispiele, die fber das dem Stand der Technik entsprechende Schutzniveau hinausgehen und in der Praxis häufig angewandt werden. Zu be achten ist jedoch, dass Anforderungen bei erhöhtem Schutzbedarf grundsätzlich empfehlens wert sind, aber auch bei hohen Sicherheitsanforderungen nicht automatisch verbindlich werden. Somit mfssen sie auch nicht zwingend in eine Risikoanalyse einbezogen werden.
Risiken unter Beobachtung
Bei der Risikoanalyse können unter Umständen Gefährdungen identifiziert werden, aus denen Risiken resultieren, die zwar derzeit akzeptabel sind, in Zukunft jedoch voraussichtlich steigen werden. Dies bedeutet, dass sich in der weiteren Entwicklung ein Handlungsbedarf ergeben könnte. In solchen Fällen ist es sinnvoll und üblich, bereits im Vorfeld ergänzende Sicherheitsmaßnahmen zu erarbeiten und vor zubereiten, die in Betrieb genommen werden können, sobald die Risiken inakzeptabel werden. Diese ergänzenden Sicherheitsmaßnahmen sind zu dokumentieren und vorzumerken. Die Risiken werden beobachtet und sobald sie nicht mehr akzeptabel sind, werden die vorgemerkten ergänzen den Sicherheitsmaßnahmen überprüft, gegebenenfalls aktualisiert und in das Sicherheitskonzept übernommen. Die Risikoeinstufung wird gemäß Kapitel 5 entsprechend angepasst. Nachdem die Ri sikobehandlung für die verbleibenden Risiken abgeschlossen ist und die Restrisiken von der Leitungs ebene akzeptiert wurden, kann das Sicherheitskonzept für den betrachteten Informationsverbund fertiggestellt werden. Generell sollten jedoch alle Risiken beobachtet werden, also nicht nur solche, die in Zukunft voraus sichtlich steigen werden. Um die Beobachtung der Risiken und Anpassung der Maßnahmen bzw. Handlungsalternativen zu dokumentieren, ist es in der Praxis üblich, hierfür Risikoregister oder Risi koverzeichnisse anzulegen. Für benutzerdefinierte Bausteine müssen die Gefährdungen in regelmäßigen Zeitabständen überprüft und neu bewertet werden. Da die Zielobjekte, die mit benutzerdefinierten Bausteinen abgedeckt werden, den normalen Anwendungsfall des IT-Grundschutz-Kompendiums überschreiten, müssen die hier beschriebenen Aktivitäten zur Beobachtung von Risiken in jedem Fall berücksichtigt werden. Beispiel (Auszug): Ffr die in Kapitel 5 mit Risikokategorie „mittel“ oder „hoch“ identifizierten Gefährdungen wurden folgende Entscheidungen getroffen:
Virtualisierungsserver S1
Vertraulichkeit: hoch
Integrität: hoch
Verfügbarkeit: hoch
Gefährdung
Risikokategorie
Risikobehandlungsoption
G 0.15 Abhören
(hier mittel
Live-Migration)
D: Risikoakzeptanz (Risikoübernahme ohne zu
sätzliche Maßnahmen)
Auf das Live-Migration-Netz dürfen nur befugte
Administratoren zugreifen. Diesen wird vertraut.
Das bestehende Restrisiko wird von der RECPLAST
als vertretbar eingeschätzt und übernommen.
G 0.25 Ausfall von Geräten mittel
B: Risikoreduktion
oder Systemen
Ergänzende Sicherheitsmaßnahme:
mit ergänzender(hier Ausfall des zentralen Der zentrale Verwaltungsserver wird redundant
Maßnahme:
Verwaltungsservers)
ausgelegt, damit sichergestellt ist, dass bei einem
gering
Ausfall die virtuelle Infrastruktur weiterhin pro
blemlos betrieben wird. Das System wird so konfi
guriert, dass bei Ausfall des Verwaltungsservers
automatisch auf einen Ersatzrechner innerhalb
des Clusters umgeschaltet wird.
Datenbank A1
Vertraulichkeit: hoch
Integrität: hoch
Verfügbarkeit: hoch
Gefährdung
G 0.28
Software-Schwachstellen
oder -Fehler
Risikokategorie
hoch
mit ergänzen-der Maßnahme:gering
Risikobehandlungsoption
B: Risikoreduktion
Ergänzende Sicherheitsmaßnahme:
Die manuelle Erfassung und Freigabe der Arbeits
stunden würde einen erheblichen Mehraufwand sei
tens der Abteilungsleiter und der Personalabteilung
darstellen, der aktuell nicht geleistet werden kann.
Bis die Webanwendung durch eine neue Anwen
dung abgelöst wird, setzt man eine Datenbank-Fire
wall ein, um das bestehende Risiko zu reduzieren.
Hierfür erstellen die Datenbankadministratoren ei
nen geeigneten Satz an Regeln, die verhindern, dass
an der Webanwendung eingeschleuste SQL-Anfra
gen auf der Datenbank ausgeführt werden. Der Per
formance-verlust, der dadurch entsteht, dass eine
Datenbank-Firewall eingesetzt werden muss, wird
für die Webanwendung als tolerabel eingeschätzt.
Datenbank A1 Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch Gefährdung G 0.32 Missbrauch von Berechtigungen Risikokategorie Risikobehandlungsoption mittel B: Risikoreduktion Ergänzende Sicherheitsmaßnahme: mit ergänzenderUm das bestehende Risiko zu reduzieren, wird ein Maßnahme: zusätzliches Modul des Datenbankmanagement gering systems beschafft, mittels dessen administrative Zugriffe auf kritische Daten in Datenbanken ver hindert werden. Zudem werden Aktionen von Ad ministratorkennungen sicher protkolliert und aus gewertet, sodass versuchte Verstöße frühzeitig er kannt werden können. Smart-Meter-Gateway-Administration Zx Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch Gefährdung Risikokategorie Risikobehandlungsoption G 0.18 Fehlplanung oder hoch B: Risikoreduktion fehlende Anpassung Ergänzende Sicherheitsmaßnahme: mit ergänzender(hier: fehlende oder unzu- Um das bestehende Risiko zu reduzieren, wird die Maßnahme: reichende Netzsegmentie Smart-Meter-Gateway-Infrastruktur geeignet seg gering rung) mentiert. Hierbei werden IT-Systeme, auf denen die Benutzeroberfläche einer SMGW-Admin-Soft ware betrieben wird, in einem eigenen Teilnetz be trieben. Dieses ist so konzipiert, dass es gegenüber anderen Teilnetzen nur die minimal notwendigen und zu begründenden Netzkoppelungen und Kommunikationsbeziehungen aufweist. Um Netzsegmente logisch voneinander zu tren nen, werden Firewalls eingesetzt.
Smart-Meter-Gateway-Administration Zx
Vertraulichkeit: hoch
Integrität: hoch
Verfügbarkeit: hoch
G 0.32 Missbrauch von Be hoch
rechtigungen
mit ergänzenderMaßnahme:
gering
usw.
B: Risikoreduktion
Ergänzende Sicherheitsmaßnahme:
Um das bestehende Risiko zu reduzieren, wird ein
Rollen- und Rechtekonzept umgesetzt und doku
mentiert, das den Grundsätzen einer Funktions
trennung genügt und nur Berechtigten einen Zu
griff erlaubt. Im Konzept ist auch auf eine geeigne
te Rollentrennung geachtet worden. Zudem deckt
das Konzept auch Zutritts-, Zugangs- und Zugriffs
berechtigungen ab.
38