BSI/200-3/Risikobehandlung: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Keine Bearbeitungszusammenfassung
Zeile 2: Zeile 2:
: Image:Abb_7_09_Schritt3.png?__blob=normal&v=1Bild20.png|top|alt="Risikoanalyse - Risiken behandeln (Bild hat eine Langbeschreibung)"
: Image:Abb_7_09_Schritt3.png?__blob=normal&v=1Bild20.png|top|alt="Risikoanalyse - Risiken behandeln (Bild hat eine Langbeschreibung)"


In der Regel wird die Gefährdungsbewertung aufzeigen, dass nicht alle Gefährdungen durch das vorhandene Sicherheitskonzept ausreichend abgedeckt sind.
; In der Regel wird die Gefährdungsbewertung aufzeigen, dass nicht alle Gefährdungen durch das vorhandene Sicherheitskonzept ausreichend abgedeckt sind
* In diesem Fall müssen Sie überlegen, wie angemessen mit den verbleibenden Gefährdungen umgegangen werden kann, und eine begründete Entscheidung hierzu treffen.
* In diesem Fall müssen Sie überlegen, wie angemessen mit den verbleibenden Gefährdungen umgegangen werden kann, und eine begründete Entscheidung hierzu treffen.


Zeile 13: Zeile 13:
| A || Risikovermeidung durch Umstrukturierung der Geschäftsprozesse || Die Risiken können vermieden werden, indem der Informationsverbund so umstrukturiert wird, dass die Gefährdung nicht mehr wirksam werden kann. Dies bietet sich beispielsweise an, wenn Gegenmaßnahmen zwar möglich sind, aber einen zu hohen Aufwand bedeuten und gleichzeitig das Risiko nicht akzeptiert werden kann.
| A || Risikovermeidung durch Umstrukturierung der Geschäftsprozesse || Die Risiken können vermieden werden, indem der Informationsverbund so umstrukturiert wird, dass die Gefährdung nicht mehr wirksam werden kann. Dies bietet sich beispielsweise an, wenn Gegenmaßnahmen zwar möglich sind, aber einen zu hohen Aufwand bedeuten und gleichzeitig das Risiko nicht akzeptiert werden kann.
|-
|-
| B || Risikoreduktion/Risikomodifikation durch weitere Sicherheitsmaßnahmen || Die Risiken können durch zusätzliche, höherwertige Sicherheitsmaßnahmen verringert werden. Sofern es für das Zielobjekt, das Sie in der Risikoanalyse betrachtet haben, bereits einen Baustein im Grundschutz-Kompendium gibt, finden Sie in den dort genannten Anforderungen für den erhöhten Schutzbedarf und den zugehörigen Umsetzungs-empfehlungen erste Hinweise auf geeignete Maßnahmen. Weitere Quellen sind beispielsweise Produktdokumentationen, Standards zur Informationssicherheit und Fachveröffentlichungen.
| B || Risikoreduktion/Risikomodifikation durch weitere Sicherheitsmaßnahmen || Die Risiken können durch zusätzliche, höherwertige Sicherheitsmaßnahmen verringert werden. Sofern es für das Zielobjekt, das Sie in der Risikoanalyse betrachtet haben, bereits einen Baustein im Grundschutz-Kompendium gibt, finden Sie in den dort genannten Anforderungen für den erhöhten Schutzbedarf und den zugehörigen Umsetzungsempfehlungen erste Hinweise auf geeignete Maßnahmen. Weitere Quellen sind beispielsweise Produktdokumentationen, Standards zur Informationssicherheit und Fachveröffentlichungen.
|-
|-
| C || Risikotransfer || Die Risiken werden verlagert. Durch Abschluss von Versicherungen oder durch Auslagerung der risikobehafteten Aufgabe an einen externen Dienstleister kann zum Beispiel ein möglicher finanzieller Schaden (zumindest teilweise) auf Dritte abgewälzt werden. Achten Sie bei dieser Lösung auf eine sachgerechte, eindeutige Vertragsgestaltung!
| C || Risikotransfer || Die Risiken werden verlagert. Durch Abschluss von Versicherungen oder durch Auslagerung der risikobehafteten Aufgabe an einen externen Dienstleister kann zum Beispiel ein möglicher finanzieller Schaden (zumindest teilweise) auf Dritte abgewälzt werden. Achten Sie bei dieser Lösung auf eine sachgerechte, eindeutige Vertragsgestaltung!
|-
|-
| D || Risikoakzeptanz ||Die Risiken können akzeptiert werden, sei es, weil die Gefährdung nur unter äußerst speziellen Bedingungen zu einem Schaden führen könnte, sei es, weil keine hinreichend wirksamen Gegenmaßnahmen bekannt sind oder aber weil der Aufwand für mögliche Schutzmaßnahmen unangemessen hoch ist. Ein Risiko kann nur dann akzeptiert werden, wenn das (z. B. nach Umsetzung von Schutzmaßnahmen verbleibende) '''Restrisiko''' von der Institution getragen werden kann, sich also im Einklang mit den festgelegten Risikoakzeptanzkriterien befindet.
| D || Risikoakzeptanz || Die Risiken können akzeptiert werden, sei es, weil die Gefährdung nur unter äußerst speziellen Bedingungen zu einem Schaden führen könnte, sei es, weil keine hinreichend wirksamen Gegenmaßnahmen bekannt sind oder aber weil der Aufwand für mögliche Schutzmaßnahmen unangemessen hoch ist. Ein Risiko kann nur dann akzeptiert werden, wenn das (z. B. nach Umsetzung von Schutzmaßnahmen verbleibende) '''Restrisiko''' von der Institution getragen werden kann, sich also im Einklang mit den festgelegten Risikoakzeptanzkriterien befindet.
|}
|}


Zeile 24: Zeile 24:
; Restrisiko bleibt
; Restrisiko bleibt
; Risiken unter Beobachtung
; Risiken unter Beobachtung
Manche Risiken können zwar vorübergehend in Kauf genommen werden, es ist aber damit zu rechnen, dass sich die Gefährdungslage in Zukunft verändern wird und die Risiken dann nicht mehr akzeptiert werden können.  
Manche Risiken können zwar vorübergehend in Kauf genommen werden, es ist aber damit zu rechnen, dass sich die Gefährdungslage in Zukunft verändern wird und die Risiken dann nicht mehr akzeptiert werden können.
* In solchen Fällen empfiehlt es sich, die Risiken unter Beobachtung zu stellen und von Zeit zu Zeit zu prüfen, ob nicht doch ein Handlungsbedarf besteht.  
* In solchen Fällen empfiehlt es sich, die Risiken unter Beobachtung zu stellen und von Zeit zu Zeit zu prüfen, ob nicht doch ein Handlungsbedarf besteht.
* Es ist zudem sinnvoll, bereits im Vorfeld geeignete Schutzmaßnahmen auszuarbeiten, so dass eine rasche Inbetriebnahme möglich ist, sobald die Risiken nicht mehr akzeptabel sind.
* Es ist zudem sinnvoll, bereits im Vorfeld geeignete Schutzmaßnahmen auszuarbeiten, so dass eine rasche Inbetriebnahme möglich ist, sobald die Risiken nicht mehr akzeptabel sind.


; Beschlüsse müssen vom Management getragen werden
; Beschlüsse müssen vom Management getragen werden
* Es muss dazu bereit sein, die Kosten für die Reduktion oder den Transfer von Risiken wie auch die Verantwortung für die in Kauf genommenen Risiken zu übernehmen.  
* Es muss dazu bereit sein, die Kosten für die Reduktion oder den Transfer von Risiken wie auch die Verantwortung für die in Kauf genommenen Risiken zu übernehmen.
* Binden Sie daher die Leitungsebene angemessen in die Beratungen ein.  
* Binden Sie daher die Leitungsebene angemessen in die Beratungen ein.
* Dokumentieren Sie die Entscheidungen so, dass sie von Dritten (z. B. Auditoren) nachvollzogen werden können, und lassen Sie dieses Schriftstück '''vom Management unterschreiben'''.
* Dokumentieren Sie die Entscheidungen so, dass sie von Dritten (z. B. Auditoren) nachvollzogen werden können, und lassen Sie dieses Schriftstück '''vom Management unterschreiben'''.


Zeile 38: Zeile 38:


; Behandlung der Risiken
; Behandlung der Risiken
{| class="wikitable sortable options"  
{| class="wikitable sortable options"
|-  
|-
!| Gefährdung
!| Gefährdung
!| Titel
!| Titel
Zeile 45: Zeile 45:
!| Behandlung
!| Behandlung
!| Beschreibung
!| Beschreibung
|-  
|-
|| G 0.15
|| G 0.15
|| Abhören
|| Abhören
Zeile 53: Zeile 53:
(Risikoübernahme ohne zusätzliche Sicherheitsmaßnahme)
(Risikoübernahme ohne zusätzliche Sicherheitsmaßnahme)
Auf das Live-Migration-Netz dürfen nur befugte Administratoren zugreifen. Diesen wird vertraut. Das bestehende Restrisiko wird von der RECPLAST als vertretbar eingeschätzt und übernommen.
Auf das Live-Migration-Netz dürfen nur befugte Administratoren zugreifen. Diesen wird vertraut. Das bestehende Restrisiko wird von der RECPLAST als vertretbar eingeschätzt und übernommen.
|-  
|-
|| G 0.25
|| G 0.25
|| Ausfall von Geräten oder Systemen
|| Ausfall von Geräten oder Systemen
Zeile 59: Zeile 59:
|| B: Reduktion
|| B: Reduktion
|| (hier Ausfall des Virtualisierungsservers)
|| (hier Ausfall des Virtualisierungsservers)
Ergänzende Sicherheitsmaßnahme: Der Server ist redundant ausgelegt, damit ist sichergestellt, dass bei einem Ausfall die virtuelle Infrastruktur weiterhin problemlos betrieben wird.  
Ergänzende Sicherheitsmaßnahme: Der Server ist redundant ausgelegt, damit ist sichergestellt, dass bei einem Ausfall die virtuelle Infrastruktur weiterhin problemlos betrieben wird.
Das System wird so konfiguriert, dass bei Ausfall automatisch auf einen Ersatzrechner innerhalb des Clusters umgeschaltet und dadurch die Ausfallzeit verkürzt wird. <br> Mit ergänzenden Maßnahmen: '''gering'''
Das System wird so konfiguriert, dass bei Ausfall automatisch auf einen Ersatzrechner innerhalb des Clusters umgeschaltet und dadurch die Ausfallzeit verkürzt wird. <br> Mit ergänzenden Maßnahmen: '''gering'''
|-
|}
|}


=== Risikobehandlungsoptionen ===
=== Risikobehandlungsoptionen ===
Wie bereits in Kapitel 5 dargestellt, sind je nach Risikoappetit einer Institution unterschiedliche Risi­
Wie bereits in Kapitel 5 dargestellt, sind je nach Risikoappetit einer Institution unterschiedliche Risikoakzeptanzkriterien möglich. Im Folgenden wird davon ausgegangen, dass eine Institution „geringe“ Risiken grundsätzlich akzeptiert, „mittlere“, „hohe“ und „sehr hohe“ Risiken jedoch nur in Ausnahmefällen.
koakzeptanzkriterien möglich. Im Folgenden wird davon ausgegangen, dass eine Institution „gerin­
In der Praxis ergeben sich im Rahmen der Risikoeinstufung meist mehrere Gefährdungen, aus denen sich Risiken in den Stufen „mittel“, „hoch“ oder „sehr hoch“ ergeben.
ge“ Risiken grundsätzlich akzeptiert, „mittlere“, „hohe“ und „sehr hohe“ Risiken jedoch nur in Aus­
Es muss entschieden werden, wie mit diesen verbleibenden Risiken umgegangen wird. Es müssen also geeignete Risikobehandlungsoptionen ausgewählt werden. Risiken können
nahmefällen.
In der Praxis ergeben sich im Rahmen der Risikoeinstufung meist mehrere Gefährdungen, aus denen
sich Risiken in den Stufen „mittel“, „hoch“ oder „sehr hoch“ ergeben.
Es muss entschieden werden, wie mit diesen verbleibenden Risiken umgegangen wird. Es müssen also
geeignete Risikobehandlungsoptionen ausgewählt werden. Risiken können
* vermieden werden, indem beispielsweise die Risikoursache ausgeschlossen wird,
* vermieden werden, indem beispielsweise die Risikoursache ausgeschlossen wird,
* reduziert werden, indem die Rahmenbedingungen, die zur Risikoeinstufung beigetragen haben,
* reduziert werden, indem die Rahmenbedingungen, die zur Risikoeinstufung beigetragen haben, modifiziert werden,
modifiziert werden,
* transferiert werden, indem die Risiken mit anderen Parteien geteilt werden,
* transferiert werden, indem die Risiken mit anderen Parteien geteilt werden,
* akzeptiert werden, beispielsweise weil die mit dem Risiko einhergehenden Chancen wahrgenom­
* akzeptiert werden, beispielsweise weil die mit dem Risiko einhergehenden Chancen wahrgenommen werden sollen.
men werden sollen.
Im Folgenden werden die Risikobehandlungsoptionen der Vermeidung, Reduktion und des Transfers näher betrachtet. Darauf aufbauend, muss eine Institution Risikoakzeptanzkriterien festlegen und die
Im Folgenden werden die Risikobehandlungsoptionen der Vermeidung, Reduktion und des Transfers
Risikobehandlung darauf abbilden. Bei der Entscheidung, wie mit den identifizierten Risiken umgegangen wird, muss auf jeden Fall die Leitungsebene beteiligt werden, da sich aus der Entscheidung unter Umständen erhebliche Schäden ergeben oder zusätzliche Kosten entstehen können.
näher betrachtet. Darauf aufbauend, muss eine Institution Risikoakzeptanzkriterien festlegen und die
Für jede Gefährdung in der vervollständigten Gefährdungsübersicht mit Risikokategorie „mittel“, „hoch“ oder „sehr hoch“ müssen folgende Fragen beantwortet werden:
Risikobehandlung darauf abbilden. Bei der Entscheidung, wie mit den identifizierten Risiken umge­
A: Risikovermeidung: Ist es sinnvoll, das Risiko durch eine Umstrukturierung des Geschäftsprozesses oder des Informationsverbunds zu vermeiden?
gangen wird, muss auf jeden Fall die Leitungsebene beteiligt werden, da sich aus der Entscheidung
unter Umständen erhebliche Schäden ergeben oder zusätzliche Kosten entstehen können.
Für jede Gefährdung in der vervollständigten Gefährdungsübersicht mit Risikokategorie „mittel“,
„hoch“ oder „sehr hoch“ müssen folgende Fragen beantwortet werden:
A: Risikovermeidung: Ist es sinnvoll, das Risiko durch eine Umstrukturierung des Geschäftsprozesses
oder des Informationsverbunds zu vermeiden?
Gründe für diesen Ansatz können beispielsweise sein:
Gründe für diesen Ansatz können beispielsweise sein:
* Alle wirksamen Gegenmaßnahmen sind mit hohem Aufwand verbunden und damit sehr teuer, die
* Alle wirksamen Gegenmaßnahmen sind mit hohem Aufwand verbunden und damit sehr teuer, die verbleibende Gefährdung kann aber trotzdem nicht hingenommen werden.
verbleibende Gefährdung kann aber trotzdem nicht hingenommen werden.
* Die Umstrukturierung bietet sich ohnehin aus anderen Gründen an, z.&nbsp;B.&nbsp;zur Kostensenkung.
* Die Umstrukturierung bietet sich ohnehin aus anderen Gründen an, z.&nbsp;B.&nbsp;zur Kostensenkung.
* Es kann einfacher und eleganter sein, die vorhandenen Abläufe zu ändern, als sie durch Hinzufü­
* Es kann einfacher und eleganter sein, die vorhandenen Abläufe zu ändern, als sie durch Hinzufügen von Sicherheitsmaßnahmen komplexer zu machen.
gen von Sicherheitsmaßnahmen komplexer zu machen.
* Alle wirksamen Gegenmaßnahmen würden erhebliche Einschränkungen für die Funktion oder den
* Alle wirksamen Gegenmaßnahmen würden erhebliche Einschränkungen für die Funktion oder den
Komfort des Systems mit sich bringen.
Komfort des Systems mit sich bringen.
B: Risikoreduktion (Risikomodifikation): Ist es sinnvoll und möglich, das Risiko durch weitere Sicher­
B: Risikoreduktion (Risikomodifikation): Ist es sinnvoll und möglich, das Risiko durch weitere Sicherheitsmaßnahmen zu reduzieren?
heitsmaßnahmen zu reduzieren?
Das Risiko durch die verbleibende Gefährdung kann möglicherweise gesenkt werden, indem eine oder mehrere ergänzende Sicherheitsmaßnahmen erarbeitet und umgesetzt werden, die der Gefähr­dung entgegenwirken. Als Informationsquellen über ergänzende Sicherheitsmaßnahmen kommen beispielsweise folgende infrage:
Das Risiko durch die verbleibende Gefährdung kann möglicherweise gesenkt werden, indem eine
* die Dokumentation und der Service des Herstellers, wenn es sich bei dem betroffenen Zielobjekt um ein Produkt handelt,
oder mehrere ergänzende Sicherheitsmaßnahmen erarbeitet und umgesetzt werden, die der Gefähr­dung entgegenwirken. Als Informationsquellen über ergänzende Sicherheitsmaßnahmen kommen
* Standards und Best Practices, wie sie beispielsweise von Gremien im Bereich der Informationssicherheit erarbeitet werden,
beispielsweise folgende infrage:
* andere Veröffentlichungen und Dienstleistungen, die beispielsweise im Internet oder von spezialisierten Unternehmen angeboten werden,
* die Dokumentation und der Service des Herstellers, wenn es sich bei dem betroffenen Zielobjekt
* Erfahrungen, die innerhalb der eigenen Institution oder bei Kooperationspartnern gewonnen wurden.
um ein Produkt handelt,
Der hypothetische Aufwand und mögliche Kosten für gegebenenfalls erforderliche Sicherheitsmaßnahmen und Informationen über bereits vorhandene Sicherheitsmechanismen sind wichtige Entscheidungshilfen.
* Standards und Best Practices, wie sie beispielsweise von Gremien im Bereich der Informationssi­
C: Risikotransfer (Risikoteilung): Ist es sinnvoll, das Risiko an eine andere Institution zu übertragen, beispielsweise durch den Abschluss eines Versicherungsvertrags oder durch Outsourcing?
cherheit erarbeitet werden,
* andere Veröffentlichungen und Dienstleistungen, die beispielsweise im Internet oder von speziali­
sierten Unternehmen angeboten werden,
* Erfahrungen, die innerhalb der eigenen Institution oder bei Kooperationspartnern gewonnen wur­
den.
Der hypothetische Aufwand und mögliche Kosten für gegebenenfalls erforderliche Sicherheitsmaß­
nahmen und Informationen über bereits vorhandene Sicherheitsmechanismen sind wichtige Ent­
scheidungshilfen.
C: Risikotransfer (Risikoteilung): Ist es sinnvoll, das Risiko an eine andere Institution zu fbertragen,
beispielsweise durch den Abschluss eines Versicherungsvertrags oder durch Outsourcing?
Gründe für diesen Ansatz können beispielsweise sein:
Gründe für diesen Ansatz können beispielsweise sein:
* Die möglichen Schäden sind rein finanzieller Art.
* Die möglichen Schäden sind rein finanzieller Art.
Zeile 119: Zeile 94:
* Der Vertragspartner ist aus wirtschaftlichen oder technischen Gründen besser in der Lage, mit dem
* Der Vertragspartner ist aus wirtschaftlichen oder technischen Gründen besser in der Lage, mit dem
Risiko umzugehen.
Risiko umzugehen.
Wenn im Rahmen der Risikobehandlung zusätzliche Sicherheitsanforderungen identifiziert werden,
Wenn im Rahmen der Risikobehandlung zusätzliche Sicherheitsanforderungen identifiziert werden, muss die Risikoeinstufung (siehe nachfolgende Beispiele) für die betroffenen Zielobjekte entspre­
muss die Risikoeinstufung (siehe nachfolgende Beispiele) für die betroffenen Zielobjekte entspre­
chend angepasst werden. Zu beachten ist dabei, dass neue Anforderungen unter Umständen nicht nur Auswirkungen auf das jeweils analysierte Zielobjekt haben, sondern auch auf andere Zielobjekte.
chend angepasst werden. Zu beachten ist dabei, dass neue Anforderungen unter Umständen nicht
nur Auswirkungen auf das jeweils analysierte Zielobjekt haben, sondern auch auf andere Zielobjekte.
Die zusätzlichen Anforderungen und die daraus resultierenden Sicherheitsmaßnahmen werden im
Die zusätzlichen Anforderungen und die daraus resultierenden Sicherheitsmaßnahmen werden im
Sicherheitskonzept dokumentiert.
Sicherheitskonzept dokumentiert.
Wenn im Rahmen der Risikobehandlung Änderungen an den Geschäftsprozessen oder am Informa­
Wenn im Rahmen der Risikobehandlung Änderungen an den Geschäftsprozessen oder am Informationsverbund vorgenommen wurden, etwa durch Risikovermeidung oder Risikotransfer, müssen diese insgesamt im Sicherheitskonzept berücksichtigt werden. Dies betrifft im Allgemeinen auch Arbeitsschritte, die in der IT-Grundschutz-Vorgehensweise gemäß BSI-Standard 200-2 dargestellt sind, beginnend bei der Strukturanalyse. Selbstverständlich kann dabei aber auf die bisher erarbeiteten Informationen und Dokumente zurückgegriffen werden.
tionsverbund vorgenommen wurden, etwa durch Risikovermeidung oder Risikotransfer, müssen diese
Beim Risikotransfer ist die sachgerechte Vertragsgestaltung einer der wichtigsten Aspekte. Besonders bei Outsourcing-Vorhaben sollte hierzu auf juristischen Sachverstand zurückgegriffen werden. Die
insgesamt im Sicherheitskonzept berücksichtigt werden. Dies betrifft im Allgemeinen auch Arbeits­
schritte, die in der IT-Grundschutz-Vorgehensweise gemäß BSI-Standard 200-2 dargestellt sind, be­
ginnend bei der Strukturanalyse. Selbstverständlich kann dabei aber auf die bisher erarbeiteten Infor­
mationen und Dokumente zurückgegriffen werden.
Beim Risikotransfer ist die sachgerechte Vertragsgestaltung einer der wichtigsten Aspekte. Besonders
bei Outsourcing-Vorhaben sollte hierzu auf juristischen Sachverstand zurückgegriffen werden. Die
Entscheidung wird von der Leitungsebene getroffen und nachvollziehbar dokumentiert.
Entscheidung wird von der Leitungsebene getroffen und nachvollziehbar dokumentiert.
D: Risikoakzeptanz: Können die Risiken auf Basis einer nachvollziehbaren Faktenlage akzeptiert werden?
D: Risikoakzeptanz: Können die Risiken auf Basis einer nachvollziehbaren Faktenlage akzeptiert werden?
Die Schritte der Risikoeinstufung und Risikobehandlung werden so lange durchlaufen, bis die Risiko­
Die Schritte der Risikoeinstufung und Risikobehandlung werden so lange durchlaufen, bis die Risikoakzeptanzkriterien der Institution erreicht sind und das verbleibende Risiko („Restrisiko“) somit im
akzeptanzkriterien der Institution erreicht sind und das verbleibende Risiko („Restrisiko“) somit im
Einklang mit den Zielen und Vorgaben der Institution steht.
Einklang mit den Zielen und Vorgaben der Institution steht.
Das Restrisiko muss anschließend der Leitungsebene zur Zustimmung vorgelegt werden (Risikoak­
Das Restrisiko muss anschließend der Leitungsebene zur Zustimmung vorgelegt werden (Risikoakzeptanz). Damit wird nachvollziehbar dokumentiert, dass die Institution sich des Restrisikos bewusst
zeptanz). Damit wird nachvollziehbar dokumentiert, dass die Institution sich des Restrisikos bewusst
34
34


6 Behandlung von Risiken
6 Behandlung von Risiken ist. Idealerweise akzeptiert eine Institution nur Risiken der Stufe „gering“. In der Praxis ist dies aber nicht immer zweckmäßig. Gründe, auch höhere Risiken zu akzeptieren, können beispielsweise sein:
ist. Idealerweise akzeptiert eine Institution nur Risiken der Stufe „gering“. In der Praxis ist dies aber
nicht immer zweckmäßig. Gründe, auch höhere Risiken zu akzeptieren, können beispielsweise sein:
* Die entsprechende Gefährdung führt nur unter ganz speziellen Voraussetzungen zu einem Schaden.
* Die entsprechende Gefährdung führt nur unter ganz speziellen Voraussetzungen zu einem Schaden.
* Gegen die entsprechende Gefährdung sind derzeit keine wirksamen Gegenmaßnahmen bekannt
* Gegen die entsprechende Gefährdung sind derzeit keine wirksamen Gegenmaßnahmen bekannt und sie lässt sich in der Praxis auch kaum vermeiden.
und sie lässt sich in der Praxis auch kaum vermeiden.
* Aufwand und Kosten für wirksame Gegenmaßnahmen überschreiten den zu schützenden Wert.
* Aufwand und Kosten für wirksame Gegenmaßnahmen überschreiten den zu schützenden Wert.
Hinweis:
 
Auch diejenigen IT-Grundschutz-Anforderungen, die im IT-Grundschutz-Kompendium als Anfor­
; Hinweis
derungen bei erhöhtem Schutzbedarf aufgeffhrt sind sowie die zugehörigen Maßnahmen, kön­
Auch diejenigen IT-Grundschutz-Anforderungen, die im IT-Grundschutz-Kompendium als Anforderungen bei erhöhtem Schutzbedarf aufgeführt sind sowie die zugehörigen Maßnahmen, können als Anhaltspunkte ffr weiterführende Sicherheitsmaßnahmen im Rahmen einer Risikoanalyse herangezogen werden. Dabei handelt es sich um Beispiele, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und in der Praxis häufig angewandt werden. Zu beachten ist jedoch, dass Anforderungen bei erhöhtem Schutzbedarf grundsätzlich empfehlenswert sind, aber auch bei hohen Sicherheitsanforderungen nicht automatisch verbindlich werden. Somit müssen sie auch nicht zwingend in eine Risikoanalyse einbezogen werden.
nen als Anhaltspunkte ffr weiterffhrende Sicherheitsmaßnahmen im Rahmen einer Risikoanalyse
herangezogen werden. Dabei handelt es sich um Beispiele, die fber das dem Stand der Technik
entsprechende Schutzniveau hinausgehen und in der Praxis häufig angewandt werden. Zu be­
achten ist jedoch, dass Anforderungen bei erhöhtem Schutzbedarf grundsätzlich empfehlens­
wert sind, aber auch bei hohen Sicherheitsanforderungen nicht automatisch verbindlich werden.
Somit mfssen sie auch nicht zwingend in eine Risikoanalyse einbezogen werden.


=== Risiken unter Beobachtung ===
=== Risiken unter Beobachtung ===
Bei der Risikoanalyse können unter Umständen Gefährdungen identifiziert werden, aus denen Risiken
Bei der Risikoanalyse können unter Umständen Gefährdungen identifiziert werden, aus denen Risiken resultieren, die zwar derzeit akzeptabel sind, in Zukunft jedoch voraussichtlich steigen werden. Dies bedeutet, dass sich in der weiteren Entwicklung ein Handlungsbedarf ergeben könnte. In solchen Fällen ist es sinnvoll und üblich, bereits im Vorfeld ergänzende Sicherheitsmaßnahmen zu erarbeiten und vor­
resultieren, die zwar derzeit akzeptabel sind, in Zukunft jedoch voraussichtlich steigen werden. Dies
bedeutet, dass sich in der weiteren Entwicklung ein Handlungsbedarf ergeben könnte. In solchen Fällen
ist es sinnvoll und üblich, bereits im Vorfeld ergänzende Sicherheitsmaßnahmen zu erarbeiten und vor­
zubereiten, die in Betrieb genommen werden können, sobald die Risiken inakzeptabel werden.
zubereiten, die in Betrieb genommen werden können, sobald die Risiken inakzeptabel werden.
Diese ergänzenden Sicherheitsmaßnahmen sind zu dokumentieren und vorzumerken. Die Risiken
Diese ergänzenden Sicherheitsmaßnahmen sind zu dokumentieren und vorzumerken. Die Risiken werden beobachtet und sobald sie nicht mehr akzeptabel sind, werden die vorgemerkten ergänzen­
werden beobachtet und sobald sie nicht mehr akzeptabel sind, werden die vorgemerkten ergänzen­
den Sicherheitsmaßnahmen überprüft, gegebenenfalls aktualisiert und in das Sicherheitskonzept übernommen. Die Risikoeinstufung wird gemäß Kapitel 5 entsprechend angepasst. Nachdem die Ri­
den Sicherheitsmaßnahmen überprüft, gegebenenfalls aktualisiert und in das Sicherheitskonzept
sikobehandlung für die verbleibenden Risiken abgeschlossen ist und die Restrisiken von der Leitungsebene akzeptiert wurden, kann das Sicherheitskonzept für den betrachteten Informationsverbund fertiggestellt werden.
übernommen. Die Risikoeinstufung wird gemäß Kapitel 5 entsprechend angepasst. Nachdem die Ri­
Generell sollten jedoch alle Risiken beobachtet werden, also nicht nur solche, die in Zukunft voraussichtlich steigen werden. Um die Beobachtung der Risiken und Anpassung der Maßnahmen bzw.&nbsp;
sikobehandlung für die verbleibenden Risiken abgeschlossen ist und die Restrisiken von der Leitungs­
Handlungsalternativen zu dokumentieren, ist es in der Praxis üblich, hierfür Risikoregister oder Risikoverzeichnisse anzulegen.
ebene akzeptiert wurden, kann das Sicherheitskonzept für den betrachteten Informationsverbund
Für benutzerdefinierte Bausteine müssen die Gefährdungen in regelmäßigen Zeitabständen überprüft und neu bewertet werden. Da die Zielobjekte, die mit benutzerdefinierten Bausteinen abgedeckt werden, den normalen Anwendungsfall des IT-Grundschutz-Kompendiums überschreiten, müssen die hier beschriebenen Aktivitäten zur Beobachtung von Risiken in jedem Fall berücksichtigt werden.
fertiggestellt werden.
Generell sollten jedoch alle Risiken beobachtet werden, also nicht nur solche, die in Zukunft voraus­
sichtlich steigen werden. Um die Beobachtung der Risiken und Anpassung der Maßnahmen bzw.&nbsp;
Handlungsalternativen zu dokumentieren, ist es in der Praxis üblich, hierfür Risikoregister oder Risi­
koverzeichnisse anzulegen.
Für benutzerdefinierte Bausteine müssen die Gefährdungen in regelmäßigen Zeitabständen überprüft
und neu bewertet werden. Da die Zielobjekte, die mit benutzerdefinierten Bausteinen abgedeckt
werden, den normalen Anwendungsfall des IT-Grundschutz-Kompendiums überschreiten, müssen
die hier beschriebenen Aktivitäten zur Beobachtung von Risiken in jedem Fall berücksichtigt werden.
Beispiel (Auszug):
Beispiel (Auszug):
Ffr die in Kapitel 5 mit Risikokategorie „mittel“ oder „hoch“ identifizierten Gefährdungen wurden
Ffr die in Kapitel 5 mit Risikokategorie „mittel“ oder „hoch“ identifizierten Gefährdungen wurden folgende Entscheidungen getroffen:
folgende Entscheidungen getroffen:
 


Virtualisierungsserver S1
Virtualisierungsserver S1
Vertraulichkeit: hoch
Vertraulichkeit: hoch
Integrität: hoch
Integrität: hoch
Verfügbarkeit: hoch
Verfügbarkeit: hoch
Gefährdung
Gefährdung
Risikokategorie
Risikokategorie
Risikobehandlungsoption
Risikobehandlungsoption
G 0.15 Abhören
G 0.15 Abhören
(hier mittel
(hier mittel
Live-Migration)
Live-Migration)
D: Risikoakzeptanz (Risikoübernahme ohne zu­
D: Risikoakzeptanz (Risikoübernahme ohne zu­
sätzliche Maßnahmen)
sätzliche Maßnahmen)
Auf das Live-Migration-Netz dürfen nur befugte
Auf das Live-Migration-Netz dürfen nur befugte
Administratoren zugreifen. Diesen wird vertraut.
Administratoren zugreifen. Diesen wird vertraut.
Das bestehende Restrisiko wird von der RECPLAST
Das bestehende Restrisiko wird von der RECPLAST
als vertretbar eingeschätzt und übernommen.
als vertretbar eingeschätzt und übernommen.
G 0.25 Ausfall von Geräten mittel
G 0.25 Ausfall von Geräten mittel
B: Risikoreduktion
B: Risikoreduktion
oder Systemen
oder Systemen
Ergänzende Sicherheitsmaßnahme:
Ergänzende Sicherheitsmaßnahme:
mit ergänzender(hier Ausfall des zentralen Der zentrale Verwaltungsserver wird redundant
mit ergänzender(hier Ausfall des zentralen Der zentrale Verwaltungsserver wird redundant
Maßnahme:
Maßnahme:
Verwaltungsservers)
Verwaltungsservers)
ausgelegt, damit sichergestellt ist, dass bei einem
ausgelegt, damit sichergestellt ist, dass bei einem
gering
gering
Ausfall die virtuelle Infrastruktur weiterhin pro­
Ausfall die virtuelle Infrastruktur weiterhin pro­
blemlos betrieben wird. Das System wird so konfi­
blemlos betrieben wird. Das System wird so konfi­
guriert, dass bei Ausfall des Verwaltungsservers
guriert, dass bei Ausfall des Verwaltungsservers
automatisch auf einen Ersatzrechner innerhalb
automatisch auf einen Ersatzrechner innerhalb
des Clusters umgeschaltet wird.
des Clusters umgeschaltet wird.
Datenbank A1
Datenbank A1
Vertraulichkeit: hoch
Vertraulichkeit: hoch
Integrität: hoch
Integrität: hoch
Verfügbarkeit: hoch
Verfügbarkeit: hoch
Gefährdung
Gefährdung
G 0.28
G 0.28
Software-Schwachstellen
Software-Schwachstellen
oder -Fehler
oder -Fehler
Risikokategorie
Risikokategorie
hoch
hoch
mit ergänzen-der Maßnahme:gering
mit ergänzen-der Maßnahme:gering
Risikobehandlungsoption
Risikobehandlungsoption
B: Risikoreduktion
B: Risikoreduktion
Ergänzende Sicherheitsmaßnahme:
Ergänzende Sicherheitsmaßnahme:
Die manuelle Erfassung und Freigabe der Arbeits­
Die manuelle Erfassung und Freigabe der Arbeits­
stunden würde einen erheblichen Mehraufwand sei­
stunden würde einen erheblichen Mehraufwand sei­
tens der Abteilungsleiter und der Personalabteilung
tens der Abteilungsleiter und der Personalabteilung
darstellen, der aktuell nicht geleistet werden kann.
darstellen, der aktuell nicht geleistet werden kann.
Bis die Webanwendung durch eine neue Anwen­
Bis die Webanwendung durch eine neue Anwen­
dung abgelöst wird, setzt man eine Datenbank-Fire­
dung abgelöst wird, setzt man eine Datenbank-Fire­
wall ein, um das bestehende Risiko zu reduzieren.
wall ein, um das bestehende Risiko zu reduzieren.
Hierfür erstellen die Datenbankadministratoren ei­
Hierfür erstellen die Datenbankadministratoren ei­
nen geeigneten Satz an Regeln, die verhindern, dass
nen geeigneten Satz an Regeln, die verhindern, dass
an der Webanwendung eingeschleuste SQL-Anfra­
an der Webanwendung eingeschleuste SQL-Anfra­
gen auf der Datenbank ausgeführt werden. Der Per­
gen auf der Datenbank ausgeführt werden. Der Per­
formance-verlust, der dadurch entsteht, dass eine
formance-verlust, der dadurch entsteht, dass eine
Datenbank-Firewall eingesetzt werden muss, wird
Datenbank-Firewall eingesetzt werden muss, wird
für die Webanwendung als tolerabel eingeschätzt.
für die Webanwendung als tolerabel eingeschätzt.


Datenbank A1
Datenbank A1
Vertraulichkeit: hoch
Vertraulichkeit: hoch
Integrität: hoch
Integrität: hoch
Verfügbarkeit: hoch
Verfügbarkeit: hoch
Gefährdung
Gefährdung
G 0.32 Missbrauch von
G 0.32 Missbrauch von
Berechtigungen
Berechtigungen
Risikokategorie
Risikokategorie
Risikobehandlungsoption
Risikobehandlungsoption
mittel
mittel
B: Risikoreduktion
B: Risikoreduktion
Ergänzende Sicherheitsmaßnahme:
Ergänzende Sicherheitsmaßnahme:
mit ergänzenderUm das bestehende Risiko zu reduzieren, wird ein
mit ergänzenderUm das bestehende Risiko zu reduzieren, wird ein
Maßnahme:
Maßnahme:
zusätzliches Modul des Datenbankmanagement­
zusätzliches Modul des Datenbankmanagement­
gering
gering
systems beschafft, mittels dessen administrative
systems beschafft, mittels dessen administrative
Zugriffe auf kritische Daten in Datenbanken ver­
Zugriffe auf kritische Daten in Datenbanken ver­
hindert werden. Zudem werden Aktionen von Ad­
hindert werden. Zudem werden Aktionen von Ad­
ministratorkennungen sicher protkolliert und aus­
ministratorkennungen sicher protkolliert und aus­
gewertet, sodass versuchte Verstöße frühzeitig er­
gewertet, sodass versuchte Verstöße frühzeitig er­
kannt werden können.
kannt werden können.
Smart-Meter-Gateway-Administration Zx
Smart-Meter-Gateway-Administration Zx
Vertraulichkeit: hoch
Vertraulichkeit: hoch
Integrität: hoch
Integrität: hoch
Verfügbarkeit: hoch
Verfügbarkeit: hoch
Gefährdung
Gefährdung
Risikokategorie
Risikokategorie
Risikobehandlungsoption
Risikobehandlungsoption
G 0.18 Fehlplanung oder
G 0.18 Fehlplanung oder
hoch
hoch
B: Risikoreduktion
B: Risikoreduktion
fehlende Anpassung
fehlende Anpassung
Ergänzende Sicherheitsmaßnahme:
Ergänzende Sicherheitsmaßnahme:
mit ergänzender(hier: fehlende oder unzu- Um das bestehende Risiko zu reduzieren, wird die
mit ergänzender(hier: fehlende oder unzu- Um das bestehende Risiko zu reduzieren, wird die
Maßnahme:
Maßnahme:
reichende Netzsegmentie­ Smart-Meter-Gateway-Infrastruktur geeignet seg­
reichende Netzsegmentie­ Smart-Meter-Gateway-Infrastruktur geeignet seg­
gering
gering
rung)
rung)
mentiert. Hierbei werden IT-Systeme, auf denen
mentiert. Hierbei werden IT-Systeme, auf denen
die Benutzeroberfläche einer SMGW-Admin-Soft­
die Benutzeroberfläche einer SMGW-Admin-Soft­
ware betrieben wird, in einem eigenen Teilnetz be­
ware betrieben wird, in einem eigenen Teilnetz be­
trieben. Dieses ist so konzipiert, dass es gegenüber
trieben. Dieses ist so konzipiert, dass es gegenüber
anderen Teilnetzen nur die minimal notwendigen
anderen Teilnetzen nur die minimal notwendigen
und zu begründenden Netzkoppelungen und
und zu begründenden Netzkoppelungen und
Kommunikationsbeziehungen aufweist.
Kommunikationsbeziehungen aufweist.
Um Netzsegmente logisch voneinander zu tren­
Um Netzsegmente logisch voneinander zu tren­
nen, werden Firewalls eingesetzt.
nen, werden Firewalls eingesetzt.




Smart-Meter-Gateway-Administration Zx
Smart-Meter-Gateway-Administration Zx
Vertraulichkeit: hoch
Vertraulichkeit: hoch
Integrität: hoch
Integrität: hoch
Verfügbarkeit: hoch
Verfügbarkeit: hoch
G 0.32 Missbrauch von Be­ hoch
G 0.32 Missbrauch von Be­ hoch
rechtigungen
rechtigungen
mit ergänzenderMaßnahme:
mit ergänzenderMaßnahme:
gering
gering
usw.
usw.
B: Risikoreduktion
B: Risikoreduktion
Ergänzende Sicherheitsmaßnahme:
Ergänzende Sicherheitsmaßnahme:
Um das bestehende Risiko zu reduzieren, wird ein
Um das bestehende Risiko zu reduzieren, wird ein
Rollen- und Rechtekonzept umgesetzt und doku­
Rollen- und Rechtekonzept umgesetzt und doku­
mentiert, das den Grundsätzen einer Funktions­
mentiert, das den Grundsätzen einer Funktions­
trennung genügt und nur Berechtigten einen Zu­
trennung genügt und nur Berechtigten einen Zu­
griff erlaubt. Im Konzept ist auch auf eine geeigne­
griff erlaubt. Im Konzept ist auch auf eine geeigne­
te Rollentrennung geachtet worden. Zudem deckt
te Rollentrennung geachtet worden. Zudem deckt
das Konzept auch Zutritts-, Zugangs- und Zugriffs­
das Konzept auch Zutritts-, Zugangs- und Zugriffs­
berechtigungen ab.
berechtigungen ab.
38
38




Version vom 12. September 2023, 11:30 Uhr

Risikobehandlungsoptionen

Image:Abb_7_09_Schritt3.png?__blob=normal&v=1Bild20.png|top|alt="Risikoanalyse - Risiken behandeln (Bild hat eine Langbeschreibung)"
In der Regel wird die Gefährdungsbewertung aufzeigen, dass nicht alle Gefährdungen durch das vorhandene Sicherheitskonzept ausreichend abgedeckt sind
  • In diesem Fall müssen Sie überlegen, wie angemessen mit den verbleibenden Gefährdungen umgegangen werden kann, und eine begründete Entscheidung hierzu treffen.
Image:Abb_7_09_RisikenBehandeln.png?__blob=normal&v=1Bild21.png|top|alt="Risikobehandlung (Bild hat eine Langbeschreibung)"
Möglichkeiten (Risikooptionen) mit Risiken umzugehen
Option Beschreibung Erläuterung
A Risikovermeidung durch Umstrukturierung der Geschäftsprozesse Die Risiken können vermieden werden, indem der Informationsverbund so umstrukturiert wird, dass die Gefährdung nicht mehr wirksam werden kann. Dies bietet sich beispielsweise an, wenn Gegenmaßnahmen zwar möglich sind, aber einen zu hohen Aufwand bedeuten und gleichzeitig das Risiko nicht akzeptiert werden kann.
B Risikoreduktion/Risikomodifikation durch weitere Sicherheitsmaßnahmen Die Risiken können durch zusätzliche, höherwertige Sicherheitsmaßnahmen verringert werden. Sofern es für das Zielobjekt, das Sie in der Risikoanalyse betrachtet haben, bereits einen Baustein im Grundschutz-Kompendium gibt, finden Sie in den dort genannten Anforderungen für den erhöhten Schutzbedarf und den zugehörigen Umsetzungsempfehlungen erste Hinweise auf geeignete Maßnahmen. Weitere Quellen sind beispielsweise Produktdokumentationen, Standards zur Informationssicherheit und Fachveröffentlichungen.
C Risikotransfer Die Risiken werden verlagert. Durch Abschluss von Versicherungen oder durch Auslagerung der risikobehafteten Aufgabe an einen externen Dienstleister kann zum Beispiel ein möglicher finanzieller Schaden (zumindest teilweise) auf Dritte abgewälzt werden. Achten Sie bei dieser Lösung auf eine sachgerechte, eindeutige Vertragsgestaltung!
D Risikoakzeptanz Die Risiken können akzeptiert werden, sei es, weil die Gefährdung nur unter äußerst speziellen Bedingungen zu einem Schaden führen könnte, sei es, weil keine hinreichend wirksamen Gegenmaßnahmen bekannt sind oder aber weil der Aufwand für mögliche Schutzmaßnahmen unangemessen hoch ist. Ein Risiko kann nur dann akzeptiert werden, wenn das (z. B. nach Umsetzung von Schutzmaßnahmen verbleibende) Restrisiko von der Institution getragen werden kann, sich also im Einklang mit den festgelegten Risikoakzeptanzkriterien befindet.

Risikoverfolgung

Restrisiko

Restrisiko bleibt
Risiken unter Beobachtung

Manche Risiken können zwar vorübergehend in Kauf genommen werden, es ist aber damit zu rechnen, dass sich die Gefährdungslage in Zukunft verändern wird und die Risiken dann nicht mehr akzeptiert werden können.

  • In solchen Fällen empfiehlt es sich, die Risiken unter Beobachtung zu stellen und von Zeit zu Zeit zu prüfen, ob nicht doch ein Handlungsbedarf besteht.
  • Es ist zudem sinnvoll, bereits im Vorfeld geeignete Schutzmaßnahmen auszuarbeiten, so dass eine rasche Inbetriebnahme möglich ist, sobald die Risiken nicht mehr akzeptabel sind.
Beschlüsse müssen vom Management getragen werden
  • Es muss dazu bereit sein, die Kosten für die Reduktion oder den Transfer von Risiken wie auch die Verantwortung für die in Kauf genommenen Risiken zu übernehmen.
  • Binden Sie daher die Leitungsebene angemessen in die Beratungen ein.
  • Dokumentieren Sie die Entscheidungen so, dass sie von Dritten (z. B. Auditoren) nachvollzogen werden können, und lassen Sie dieses Schriftstück vom Management unterschreiben.

Beispiel

Entscheidungen zur Risikobehandlung
  • Gefährdungen für einen Virtualisierungsserver
Behandlung der Risiken
Gefährdung Titel Kategorie Behandlung Beschreibung
G 0.15 Abhören mittel D: Akzeptanz (hier bei Live-Migration)

(Risikoübernahme ohne zusätzliche Sicherheitsmaßnahme) Auf das Live-Migration-Netz dürfen nur befugte Administratoren zugreifen. Diesen wird vertraut. Das bestehende Restrisiko wird von der RECPLAST als vertretbar eingeschätzt und übernommen.

G 0.25 Ausfall von Geräten oder Systemen mittel B: Reduktion (hier Ausfall des Virtualisierungsservers)

Ergänzende Sicherheitsmaßnahme: Der Server ist redundant ausgelegt, damit ist sichergestellt, dass bei einem Ausfall die virtuelle Infrastruktur weiterhin problemlos betrieben wird. Das System wird so konfiguriert, dass bei Ausfall automatisch auf einen Ersatzrechner innerhalb des Clusters umgeschaltet und dadurch die Ausfallzeit verkürzt wird.
Mit ergänzenden Maßnahmen: gering

Risikobehandlungsoptionen

Wie bereits in Kapitel 5 dargestellt, sind je nach Risikoappetit einer Institution unterschiedliche Risikoakzeptanzkriterien möglich. Im Folgenden wird davon ausgegangen, dass eine Institution „geringe“ Risiken grundsätzlich akzeptiert, „mittlere“, „hohe“ und „sehr hohe“ Risiken jedoch nur in Ausnahmefällen. In der Praxis ergeben sich im Rahmen der Risikoeinstufung meist mehrere Gefährdungen, aus denen sich Risiken in den Stufen „mittel“, „hoch“ oder „sehr hoch“ ergeben. Es muss entschieden werden, wie mit diesen verbleibenden Risiken umgegangen wird. Es müssen also geeignete Risikobehandlungsoptionen ausgewählt werden. Risiken können

  • vermieden werden, indem beispielsweise die Risikoursache ausgeschlossen wird,
  • reduziert werden, indem die Rahmenbedingungen, die zur Risikoeinstufung beigetragen haben, modifiziert werden,
  • transferiert werden, indem die Risiken mit anderen Parteien geteilt werden,
  • akzeptiert werden, beispielsweise weil die mit dem Risiko einhergehenden Chancen wahrgenommen werden sollen.

Im Folgenden werden die Risikobehandlungsoptionen der Vermeidung, Reduktion und des Transfers näher betrachtet. Darauf aufbauend, muss eine Institution Risikoakzeptanzkriterien festlegen und die Risikobehandlung darauf abbilden. Bei der Entscheidung, wie mit den identifizierten Risiken umgegangen wird, muss auf jeden Fall die Leitungsebene beteiligt werden, da sich aus der Entscheidung unter Umständen erhebliche Schäden ergeben oder zusätzliche Kosten entstehen können. Für jede Gefährdung in der vervollständigten Gefährdungsübersicht mit Risikokategorie „mittel“, „hoch“ oder „sehr hoch“ müssen folgende Fragen beantwortet werden: A: Risikovermeidung: Ist es sinnvoll, das Risiko durch eine Umstrukturierung des Geschäftsprozesses oder des Informationsverbunds zu vermeiden? Gründe für diesen Ansatz können beispielsweise sein:

  • Alle wirksamen Gegenmaßnahmen sind mit hohem Aufwand verbunden und damit sehr teuer, die verbleibende Gefährdung kann aber trotzdem nicht hingenommen werden.
  • Die Umstrukturierung bietet sich ohnehin aus anderen Gründen an, z. B. zur Kostensenkung.
  • Es kann einfacher und eleganter sein, die vorhandenen Abläufe zu ändern, als sie durch Hinzufügen von Sicherheitsmaßnahmen komplexer zu machen.
  • Alle wirksamen Gegenmaßnahmen würden erhebliche Einschränkungen für die Funktion oder den

Komfort des Systems mit sich bringen. B: Risikoreduktion (Risikomodifikation): Ist es sinnvoll und möglich, das Risiko durch weitere Sicherheitsmaßnahmen zu reduzieren? Das Risiko durch die verbleibende Gefährdung kann möglicherweise gesenkt werden, indem eine oder mehrere ergänzende Sicherheitsmaßnahmen erarbeitet und umgesetzt werden, die der Gefähr­dung entgegenwirken. Als Informationsquellen über ergänzende Sicherheitsmaßnahmen kommen beispielsweise folgende infrage:

  • die Dokumentation und der Service des Herstellers, wenn es sich bei dem betroffenen Zielobjekt um ein Produkt handelt,
  • Standards und Best Practices, wie sie beispielsweise von Gremien im Bereich der Informationssicherheit erarbeitet werden,
  • andere Veröffentlichungen und Dienstleistungen, die beispielsweise im Internet oder von spezialisierten Unternehmen angeboten werden,
  • Erfahrungen, die innerhalb der eigenen Institution oder bei Kooperationspartnern gewonnen wurden.

Der hypothetische Aufwand und mögliche Kosten für gegebenenfalls erforderliche Sicherheitsmaßnahmen und Informationen über bereits vorhandene Sicherheitsmechanismen sind wichtige Entscheidungshilfen. C: Risikotransfer (Risikoteilung): Ist es sinnvoll, das Risiko an eine andere Institution zu übertragen, beispielsweise durch den Abschluss eines Versicherungsvertrags oder durch Outsourcing? Gründe für diesen Ansatz können beispielsweise sein:

  • Die möglichen Schäden sind rein finanzieller Art.
  • Es ist ohnehin aus anderen Gründen geplant, Teile der Geschäftsprozesse auszulagern.
  • Der Vertragspartner ist aus wirtschaftlichen oder technischen Gründen besser in der Lage, mit dem

Risiko umzugehen. Wenn im Rahmen der Risikobehandlung zusätzliche Sicherheitsanforderungen identifiziert werden, muss die Risikoeinstufung (siehe nachfolgende Beispiele) für die betroffenen Zielobjekte entspre­ chend angepasst werden. Zu beachten ist dabei, dass neue Anforderungen unter Umständen nicht nur Auswirkungen auf das jeweils analysierte Zielobjekt haben, sondern auch auf andere Zielobjekte. Die zusätzlichen Anforderungen und die daraus resultierenden Sicherheitsmaßnahmen werden im Sicherheitskonzept dokumentiert. Wenn im Rahmen der Risikobehandlung Änderungen an den Geschäftsprozessen oder am Informationsverbund vorgenommen wurden, etwa durch Risikovermeidung oder Risikotransfer, müssen diese insgesamt im Sicherheitskonzept berücksichtigt werden. Dies betrifft im Allgemeinen auch Arbeitsschritte, die in der IT-Grundschutz-Vorgehensweise gemäß BSI-Standard 200-2 dargestellt sind, beginnend bei der Strukturanalyse. Selbstverständlich kann dabei aber auf die bisher erarbeiteten Informationen und Dokumente zurückgegriffen werden. Beim Risikotransfer ist die sachgerechte Vertragsgestaltung einer der wichtigsten Aspekte. Besonders bei Outsourcing-Vorhaben sollte hierzu auf juristischen Sachverstand zurückgegriffen werden. Die Entscheidung wird von der Leitungsebene getroffen und nachvollziehbar dokumentiert. D: Risikoakzeptanz: Können die Risiken auf Basis einer nachvollziehbaren Faktenlage akzeptiert werden? Die Schritte der Risikoeinstufung und Risikobehandlung werden so lange durchlaufen, bis die Risikoakzeptanzkriterien der Institution erreicht sind und das verbleibende Risiko („Restrisiko“) somit im Einklang mit den Zielen und Vorgaben der Institution steht. Das Restrisiko muss anschließend der Leitungsebene zur Zustimmung vorgelegt werden (Risikoakzeptanz). Damit wird nachvollziehbar dokumentiert, dass die Institution sich des Restrisikos bewusst 34

6 Behandlung von Risiken ist. Idealerweise akzeptiert eine Institution nur Risiken der Stufe „gering“. In der Praxis ist dies aber nicht immer zweckmäßig. Gründe, auch höhere Risiken zu akzeptieren, können beispielsweise sein:

  • Die entsprechende Gefährdung führt nur unter ganz speziellen Voraussetzungen zu einem Schaden.
  • Gegen die entsprechende Gefährdung sind derzeit keine wirksamen Gegenmaßnahmen bekannt und sie lässt sich in der Praxis auch kaum vermeiden.
  • Aufwand und Kosten für wirksame Gegenmaßnahmen überschreiten den zu schützenden Wert.
Hinweis

Auch diejenigen IT-Grundschutz-Anforderungen, die im IT-Grundschutz-Kompendium als Anforderungen bei erhöhtem Schutzbedarf aufgeführt sind sowie die zugehörigen Maßnahmen, können als Anhaltspunkte ffr weiterführende Sicherheitsmaßnahmen im Rahmen einer Risikoanalyse herangezogen werden. Dabei handelt es sich um Beispiele, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und in der Praxis häufig angewandt werden. Zu beachten ist jedoch, dass Anforderungen bei erhöhtem Schutzbedarf grundsätzlich empfehlenswert sind, aber auch bei hohen Sicherheitsanforderungen nicht automatisch verbindlich werden. Somit müssen sie auch nicht zwingend in eine Risikoanalyse einbezogen werden.

Risiken unter Beobachtung

Bei der Risikoanalyse können unter Umständen Gefährdungen identifiziert werden, aus denen Risiken resultieren, die zwar derzeit akzeptabel sind, in Zukunft jedoch voraussichtlich steigen werden. Dies bedeutet, dass sich in der weiteren Entwicklung ein Handlungsbedarf ergeben könnte. In solchen Fällen ist es sinnvoll und üblich, bereits im Vorfeld ergänzende Sicherheitsmaßnahmen zu erarbeiten und vor­ zubereiten, die in Betrieb genommen werden können, sobald die Risiken inakzeptabel werden. Diese ergänzenden Sicherheitsmaßnahmen sind zu dokumentieren und vorzumerken. Die Risiken werden beobachtet und sobald sie nicht mehr akzeptabel sind, werden die vorgemerkten ergänzen­ den Sicherheitsmaßnahmen überprüft, gegebenenfalls aktualisiert und in das Sicherheitskonzept übernommen. Die Risikoeinstufung wird gemäß Kapitel 5 entsprechend angepasst. Nachdem die Ri­ sikobehandlung für die verbleibenden Risiken abgeschlossen ist und die Restrisiken von der Leitungsebene akzeptiert wurden, kann das Sicherheitskonzept für den betrachteten Informationsverbund fertiggestellt werden. Generell sollten jedoch alle Risiken beobachtet werden, also nicht nur solche, die in Zukunft voraussichtlich steigen werden. Um die Beobachtung der Risiken und Anpassung der Maßnahmen bzw.  Handlungsalternativen zu dokumentieren, ist es in der Praxis üblich, hierfür Risikoregister oder Risikoverzeichnisse anzulegen. Für benutzerdefinierte Bausteine müssen die Gefährdungen in regelmäßigen Zeitabständen überprüft und neu bewertet werden. Da die Zielobjekte, die mit benutzerdefinierten Bausteinen abgedeckt werden, den normalen Anwendungsfall des IT-Grundschutz-Kompendiums überschreiten, müssen die hier beschriebenen Aktivitäten zur Beobachtung von Risiken in jedem Fall berücksichtigt werden. Beispiel (Auszug): Ffr die in Kapitel 5 mit Risikokategorie „mittel“ oder „hoch“ identifizierten Gefährdungen wurden folgende Entscheidungen getroffen:

Virtualisierungsserver S1 

Vertraulichkeit: hoch
Integrität: hoch
Verfügbarkeit: hoch
Gefährdung
Risikokategorie
Risikobehandlungsoption
G 0.15 Abhören
(hier mittel
Live-Migration)
D: Risikoakzeptanz (Risikoübernahme ohne zu­
sätzliche Maßnahmen)
Auf das Live-Migration-Netz dürfen nur befugte
Administratoren zugreifen. Diesen wird vertraut.
Das bestehende Restrisiko wird von der RECPLAST
als vertretbar eingeschätzt und übernommen.
G 0.25 Ausfall von Geräten mittel
B: Risikoreduktion
oder Systemen
Ergänzende Sicherheitsmaßnahme:
mit ergänzender(hier Ausfall des zentralen Der zentrale Verwaltungsserver wird redundant
Maßnahme:
Verwaltungsservers)
ausgelegt, damit sichergestellt ist, dass bei einem
gering
Ausfall die virtuelle Infrastruktur weiterhin pro­
blemlos betrieben wird. Das System wird so konfi­
guriert, dass bei Ausfall des Verwaltungsservers
automatisch auf einen Ersatzrechner innerhalb
des Clusters umgeschaltet wird.

Datenbank A1 

Vertraulichkeit: hoch
Integrität: hoch
Verfügbarkeit: hoch
Gefährdung
G 0.28
Software-Schwachstellen
oder -Fehler
Risikokategorie
hoch
mit ergänzen-der Maßnahme:gering
Risikobehandlungsoption
B: Risikoreduktion
Ergänzende Sicherheitsmaßnahme:
Die manuelle Erfassung und Freigabe der Arbeits­
stunden würde einen erheblichen Mehraufwand sei­
tens der Abteilungsleiter und der Personalabteilung
darstellen, der aktuell nicht geleistet werden kann.
Bis die Webanwendung durch eine neue Anwen­
dung abgelöst wird, setzt man eine Datenbank-Fire­
wall ein, um das bestehende Risiko zu reduzieren.
Hierfür erstellen die Datenbankadministratoren ei­
nen geeigneten Satz an Regeln, die verhindern, dass
an der Webanwendung eingeschleuste SQL-Anfra­
gen auf der Datenbank ausgeführt werden. Der Per­
formance-verlust, der dadurch entsteht, dass eine
Datenbank-Firewall eingesetzt werden muss, wird
für die Webanwendung als tolerabel eingeschätzt.

Datenbank A1 

Vertraulichkeit: hoch
Integrität: hoch
Verfügbarkeit: hoch
Gefährdung
G 0.32 Missbrauch von
Berechtigungen
Risikokategorie
Risikobehandlungsoption
mittel

B: Risikoreduktion 

Ergänzende Sicherheitsmaßnahme:
mit ergänzenderUm das bestehende Risiko zu reduzieren, wird ein
Maßnahme:
zusätzliches Modul des Datenbankmanagement­
gering
systems beschafft, mittels dessen administrative
Zugriffe auf kritische Daten in Datenbanken ver­
hindert werden. Zudem werden Aktionen von Ad­
ministratorkennungen sicher protkolliert und aus­
gewertet, sodass versuchte Verstöße frühzeitig er­
kannt werden können.
Smart-Meter-Gateway-Administration Zx
Vertraulichkeit: hoch
Integrität: hoch
Verfügbarkeit: hoch
Gefährdung
Risikokategorie
Risikobehandlungsoption
G 0.18 Fehlplanung oder
hoch

B: Risikoreduktion 

fehlende Anpassung
Ergänzende Sicherheitsmaßnahme:
mit ergänzender(hier: fehlende oder unzu- Um das bestehende Risiko zu reduzieren, wird die
Maßnahme:
reichende Netzsegmentie­ Smart-Meter-Gateway-Infrastruktur geeignet seg­
gering
rung)
mentiert. Hierbei werden IT-Systeme, auf denen
die Benutzeroberfläche einer SMGW-Admin-Soft­
ware betrieben wird, in einem eigenen Teilnetz be­
trieben. Dieses ist so konzipiert, dass es gegenüber
anderen Teilnetzen nur die minimal notwendigen
und zu begründenden Netzkoppelungen und
Kommunikationsbeziehungen aufweist.
Um Netzsegmente logisch voneinander zu tren­
nen, werden Firewalls eingesetzt.


Smart-Meter-Gateway-Administration Zx 

Vertraulichkeit: hoch
Integrität: hoch
Verfügbarkeit: hoch
G 0.32 Missbrauch von Be­ hoch
rechtigungen
mit ergänzenderMaßnahme:
gering
usw.
B: Risikoreduktion
Ergänzende Sicherheitsmaßnahme:
Um das bestehende Risiko zu reduzieren, wird ein
Rollen- und Rechtekonzept umgesetzt und doku­
mentiert, das den Grundsätzen einer Funktions­
trennung genügt und nur Berechtigten einen Zu­
griff erlaubt. Im Konzept ist auch auf eine geeigne­
te Rollentrennung geachtet worden. Zudem deckt
das Konzept auch Zutritts-, Zugangs- und Zugriffs­
berechtigungen ab.
38


Anhang

Siehe auch

Dokumentation

Links

Projekt
Weblinks
Abgerufen von „https://wiki.foxtom.de/index.php?title=BSI/200-3/Risikobehandlung&oldid=78839