IT-Grundschutz/Risiko/Management: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
K Textersetzung - „Kategorie:Risikoanalyse“ durch „Kategorie:IT-Grundschutz/Risikoanalyse“ |
||
Zeile 159: | Zeile 159: | ||
[[File:100002010000037600000201A9C0E910882432F9.png | mini | 400px]] | [[File:100002010000037600000201A9C0E910882432F9.png | mini | 400px]] | ||
[[File:1000020100000276000002008EAEFE8B1F52E3F6.png | mini | 400px]] | [[File:1000020100000276000002008EAEFE8B1F52E3F6.png | mini | 400px]] | ||
[[Kategorie:Risikoanalyse]] | [[Kategorie:IT-Grundschutz/Risikoanalyse]] | ||
= TMP = | = TMP = |
Version vom 29. April 2023, 14:00 Uhr
Grundlagen
Die elementaren Gefährdungen sowie andere Gefährdungsübersichten
Vorgehen bei der Risikobewertung und Risikobehandlung
Beispiel für die Risikobewertung
TMP
BSI-Standard 200-3Risikoanalyse auf der Basis von IT-Grundschutz
Bislang
- IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge
Nun
- Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-3
- Implementation eines Risikoentscheidungsprozesses
- Keine Risikoakzeptanz bei den Basis-Anforderungen
- Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und bei erhöhtem Schutzbedarf
8 Überblick
Vorgehensweise nach IT-GrundschutzZusammenfassung
RisikomanagementsystemNeufassung der Risikoanalyse
RisikomanagementsystemAngemessenes Risikomanagement
RisikomanagementsystemRichtlinie zum Umgang mit Risiken
RisikomanagementsystemVorarbeiten und Priorisierung
RisikomanagementsystemListe der betrachteten Zielobjekte
Themenfeld 8Risikoanalyse
8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten
8.2Vorgehen bei der Risikobewertung und Risikobehandlung
8.3Beispiel für die Risikobewertung
RisikomanagementsystemErstellung der Gefährdungsübersicht
Themenfeld 8Risikoanalyse
8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten
8.2Vorgehen bei der Risikobewertung und Risikobehandlung
8.3Beispiel für die Risikobewertung
RisikomanagementsystemErstellung der Gefährdungsübersicht
RisikomanagementsystemErstellung der Gefährdungsübersicht
Ermittlung zusätzlicher Gefährdungen
Quellen
- BSI-Gefährdungskataloge
- Produktdokumentation
- Publikationen über Schwachstellen im Internet
- Auch Schwächen eingesetzter Komponenten und Protokolle
- Anfrage bei Herstellern
- Fachliteratur
- Bewertungskriterien (z.B. Common Criteria)
- eigene Bedrohungsanalysen
Weitere InformationsquellenSecurity Mailing List Archive: seclists.org
BSI-Standard 200-347. Elementargefährdung
G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe
- Von Tätern nicht beabsichtigt Auswirkungen
- nicht die unmittelbar angegriffenen Zielobjekte betreffen oder
- unbeteiligte Dritte schädigen.
Beispiele
- Für DDoS-Angriffe als Bots missbrauchte IT-Systeme
- (IoT-) Geräte, die als ein Einfallstor in Netze missbraucht werden
- Ransomware-Angriffe auf IT-Systeme Kritischer Infrastrukturen
BSI-Standard 200-3Neues Bewertungsverfahren
Lösungsansätze
- Die Bewertung des Risikos erfolgt durch den populären Matrix-Ansatz anhand weniger Stufen.
- Wenn das Risiko nicht akzeptabel ist, werden Maßnahmen zur Senkung, Vermeidung oder Übertragung des Risikos in Betracht gezogen.
- Im Sinne einer Was-Wäre-Wenn-Analyse wird dann in der Risiko-Matrix "eingezeichnet", wie sich das Risiko bei Umsetzung der jeweiligen Maßnahme ändern würde.
- Dadurch wird automatisch auch das Restrisiko dokumentiert.
- Restrisiko muss der Leitung zur Zustimmung vorgelegt werden (Risikoakzeptanz)
BSI-Standard 200-3Bewertungsverfahren
BSI-Standard 200-3Bewertungsverfahren
BSI-Standard 200-3Risikobehandlungsoptionen
BSI-Standard 200-3Konsolidierung
- Sind die Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet?
- Wirken die Sicherheitsmaßnahmen sinnvoll zusammen?
- Welche Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
- Sind die Sicherheitsmaßnahmen benutzerfreundlich?
- Sind die Sicherheitsmaßnahmen angemessen?
- Verpacken der neu gefundenen Gefährdungen und Anforderungen in einem benutzerdefinierten Baustein
- Ggf. Ergänzung bestehender Bausteine um aus der Risikobewertung ermittelten Anforderungen
Ergänzende RisikoanalyseEin Restrisiko bleibt
Realisierung von IT-Sicherheitsmaßnahmen
Schritt 1: Sichtung der Untersuchungsergebnisse
- Welche Maßnahmen sind nicht oder nur teilweise umgesetzt?
Schritt 2: Konsolidierung der Maßnahmen
- Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
- Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden?
Schritt 3: Kosten- und Aufwandsschätzung
- Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen?
- Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen werden und das verblei-bende Restrisiko für die Leitungsebene dokumentiert werden.
Schritt 4: Festlegung der Umsetzungsreihenfolge
- Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden?
- Breitenwirkung beachten!
Schritt 5: Festlegung der Verantwortlichkeit
- Wer setzt welche Maßnahme bis wann um?
Schritt 6: Realisierungsbegleitende Maßnahmen
- Schulung der Mitarbeiter
- Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen
Konsolidierung der Maßnahmen
Konsolidieren der Maßnahmen der IT-Grundschutz-Kataloge
zusätzlichen Maßnahmen aus der Ergänzenden Risikoanalyse
=> zu realisierende Maßnahmen
/home/dirkwagner/cloud.foxtom.de/daten/kurse/sicherheit/20_bsiGrundschutz/10_praktiker/10_folien/08_risikoanalyse/08-risikoanalyse/Pictures/
TMP
Risikoanalyse
Die Basis- und Standard-Anforderungen der -Grundschutz-Bausteine wurden so festgelegt, dass dazu passende Maßnahmen für normalen Schutzbedarf und für typische Informationsverbünde und Anwendungsszenarien einen angemessenen und ausreichenden Schutz bieten. Hierfür wurde vorab geprüft, welchen Gefährdungen die in den Bausteinen behandelten Sachverhalte üblicherweise ausgesetzt sind und wie den daraus resultierenden Risiken zweckmäßig begegnet werden kann. Als Anwender des -Grundschutzes benötigen Sie daher in der Regel für den weitaus größten Teil eines Informationsverbundes keine aufwändigen Untersuchungen mehr zur Festlegung erforderlicher Sicherheitsmaßnahmen.
Ein zusätzlicher Analysebedarf besteht lediglich in folgenden drei Fällen:* Ein Zielobjekt hat einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit.
- Es gibt für ein Zielobjekt keinen hinreichend passenden Baustein im -Grundschutz-Kompendium.
- Es gibt zwar einen geeigneten Baustein, die Einsatzumgebung des Zielobjekts ist allerdings für den -Grundschutz untypisch.
Das grundlegende Verfahren zur Untersuchung von Sicherheitsgefährdungen und deren Auswirkungen ist eine Risikoanalyse. Der -Standard 200-3: Risikomanagement bietet hierfür eine effiziente Methodik.
In dieser Lektion lernen Sie detailliert das Vorgehen bei einer Risikoanalyse gemäß -Standard 200-3 kennen. Im Einzelnen erfahren Sie,* welche Voraussetzungen für die Durchführung von Risikoanalysen in einer Institution gegeben sein sollten,
- wie Sie mit Hilfe der Liste elementarer Gefährdungen des -Grundschutz-Kompendiums eine Gefährdungsübersicht für ein gegebenes Zielobjekt zusammenstellen,
- wie Sie die aus den Gefährdungen resultierenden Risiken ermitteln und bewerten,
- wie Sie zweckmäßige Entscheidungen zur Behandlung von Risiken treffen sowie
- wie Sie die Ergebnisse der Risikoanalyse in den Sicherheitsprozess zurückführen.
Rahmenbedingungen
Bevor Sie mit der Durchführung von Risikoanalysen beginnen, sollte die Leitung Ihrer Institution grundlegende Aspekte hierfür in einer Richtlinie zum Umgang mit Risiken festlegen:* Unter welchen Voraussetzungen ist eine Risikoanalyse erforderlich?
- Mit welchem Verfahren werden Risiken identifiziert, eingeschätzt, bewertet und behandelt und wie ist dieses Verfahren an die Gegebenheiten der Institution angepasst und in den Sicherheitsprozess integriert?
- Welche Organisationseinheiten sind für die verschiedenen Teilaufgaben des Risikomanagements zuständig?
- Wie sind die Berichtspflichten geregelt?
- Welche Kriterien müssen erfüllt sein, damit Risiken akzeptiert werden?
- In welchen zeitlichen Intervallen und bei welchen Ereignissen müssen Risikoanalysen aktualisiert werden?
Diese Richtlinie und die zugehörigen organisatorischen Umsetzungen sollten regelmäßig auf ihre Aktualität und Angemessenheit geprüft werden.
Beispiel: RECPLAST
In der RECPLAST wurde beschlossen, das Risikomanagement gemäß -Grundschutz auszurichten und eine Sicherheitskonzeption gemäß Standard-Absicherung zu entwickeln. Für Objekte mit normalem Schutzbedarf erfolgt die Risikobehandlung mithilfe der Basis- und Standard-Anforderungen des -Grundschutz-Kompendiums. Als Methode für unter Umständen erforderliche Risikoanalysen wurde der -Standard 200-3 festgelegt. In einer Richtlinie zur Behandlung von Risiken wurde ferner formuliert, dass Risiken, die aus der Nichterfüllung von Basis-Anforderungen folgen, nicht akzeptiert werden können. Risiken sollen darüber hinaus unter Betrachtung der Kosten möglicher Maßnahmen und ihres Beitrags zur Risikominimierung behandelt werden.
Die Verantwortlichkeit für die Durchführung der Risikoanalyse obliegt dem , der hierfür spezialisierte Teams bildet. Deren Zusammensetzung hängt vom jeweiligen Sachverhalt ab: Anwendungsverantwortliche wirken bei der Bewertung möglicher Schadensfolgen mit; erfordert die Bewertung der Risiken einen hohen technischen Sachverstand, werden kompetente Mitarbeiter der -Abteilung beteiligt.
Die durchgeführten Risikoanalysen werden dokumentiert, die Ergebnisse und die Vorschläge zur Risikobehandlung der Geschäftsführung berichtet und mit ihr abgestimmt. Aktualität und Angemessenheit der Risikoanalysen sollen jährlich geprüft werden.
Wie sieht es in Ihrem Unternehmen oder Ihrer Behörde aus: Gibt es einen festgelegten Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken? Werden bei Ihnen Risikoanalysen durchgeführt und falls ja, mit welchem Verfahren? Wer ist für die Durchführung der Analysen verantwortlich? Wer erfährt die Ergebnisse und wie werden Konsequenzen gezogen?
Zielobjekte
Voraussetzung für die Durchführung von Risikoanalysen im Rahmen der Standard-Absicherung ist, dass bei der Strukturanalyse die Zielobjekte des Informationsverbundes zusammengestellt sind, deren Schutzbedarf festgestellt ist und ihnen bei der Modellierung soweit möglich passende -Grundschutz-Bausteine zugeordnet wurden.
Eingangs der Lektion wurde dargestellt, dass eine Risikoanalyse für solche Zielobjekte erfolgen sollte,* die einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit haben oder
- für die es keinen passenden -Grundschutz-Baustein gibt oder
- die in Einsatzszenarien betrieben werden, die für den -Grundschutz untypisch sind.
Bei einer großen Zahl an Zielobjekten, die eines diese Kriterien erfüllen, sollten Sie eine geeignete Priorisierung vornehmen. Bei der Vorgehensweise Standard-Absicherung bietet es sich an, zunächst übergeordnete Zielobjekte zu betrachten, etwa den gesamten Informationsverbund, bestimmte Teile des Informationsverbundes oder wichtige Geschäftsprozesse. Bei der Kern-Absicherung sollten Sie vorrangig diejenigen Zielobjekte mit dem höchsten Schutzbedarf untersuchen.
Beispiel
Bei der RECPLAST wurde aufgrund der Schutzbedarfsfeststellung und der Modellierung eine Reihe von Zielobjekten ermittelt, für die eine Risikoanalyse durchzuführen ist. Dazu gehören unter anderem die folgenden Komponenten:* die Anwendung A002 Lotus Notes, die einen hohen Bedarf an Vertraulichkeit und einen sehr hohen Bedarf an Verfügbarkeit hat,
- die Netzkopplungselemente N001 Router Internet-Anbindung und N002 Firewall Internet-Eingang, beide wegen der Vertraulichkeit der über sie übertragenen Daten,
- der Virtualisierungsserver S007, der in allen drei Grundwerten aufgrund der auf ihm betriebenen virtuellen Systeme einen hohen Schutzbedarf hat,
- die Alarmanlagen S200 an beiden Standorten in Bonn, deren korrektes Funktionieren als sehr wichtig eingestuft und deren Schutzbedarf bezüglich Integrität und Verfügbarkeit folglich mit „sehr hoch“ bewertet wurde.
Nachfolgend werden die einzelnen Schritte der Risikoanalyse am Beispiel des über beide Standorte hinweg redundant ausgelegten Virtualisierungsservers S007 veranschaulicht.
Elementaren Gefährdungen
Als wesentliches Hilfsmittel für die Durchführung von Risikoanalysen enthält das -Grundschutz-Kompendium eine Liste von insgesamt 47 elementaren Gefährdungen, die kompatibel mit vergleichbaren Zusammenstellungen in internationalen Standards und Normen ist.
Die einzelnen Gefährdungen werden durch eine eindeutige Kennung und Bezeichnung voneinander unterschieden. Zu jeder Gefährdung gibt es eine kurze produkt- und weitestgehend technikneutral formulierte Beschreibung und eine Angabe dazu, welche der Grundwerte Vertraulichkeit, Verfügbarkeit und Integrität unmittelbar von ihr betroffen sein können.
Die nachfolgende Auswahl illustriert das breite Spektrum der berücksichtigten Bedrohungen und Schadensszenarien: Sowohl höhere Gewalt und technisches Versagen als auch organisatorische Mängel und vorsätzliches oder fahrlässiges menschliches Fehlverhalten werden einbezogen. Die jeweils betroffenen Grundwerte werden durch ein „C“ (Confidentiality, Vertraulichkeit), ein „I“ (Integrity, Integrität) und ein „A“ (Availability, Verfügbarkeit) gekennzeichnet.
Elementare Gefährdungen
Gefährdung | Betroffene Grundwerte |
---|---|
G 0.1 Feuer | A |
G 0.5 Naturkatastrophen | A |
G 0.10 Ausfall oder Störung von Versorgungsnetzen | A |
G 0.15 Abhören | C |
G 0.18 Fehlplanung oder fehlende Anpassung | C, I, A |
G 0.23 Unbefugtes Eindringen in IT-Systeme | C, I |
G 0.26 Fehlfunktion von Geräten oder Systemen | C, I, A |
G 0.31 Fehlerhafte Nutzung oder Administration von Geräten oder Systemen | C, I, A |
G 0.33 Personalausfall | A |
G 0.39 Schadprogramme | C, I, A |
G 0.46 Integritätsverlust schützenswerter Informationen | I |
Die in den -Grundschutz-Bausteinen formulierten Anforderungen wurden unter Berücksichtigung der jeweils relevanten elementaren Gefährdungen zusammengestellt. Aus diesem Grund finden Sie am Ende eines jeden Bausteins auch eine Matrix der Beziehungen zwischen Anforderungen und elementaren Gefährdungen.
Wie Sie die elementaren Gefährdungen für ihre eigenen Risikoanalyse verwenden, erfahren Sie in der nächsten Lerneinheit.
Gefährdungsübersicht
"Schritte bei der Risikoanalyse: Gefährdungsübersicht erstellen (Bild hat eine Langbeschreibung)"
Der erste Schritt einer Risikoanalyse ist es, die Risiken zu identifizieren, denen ein Objekt oder ein Sachverhalt ausgesetzt ist. Hierfür ist zunächst zu beschreiben, welchen Gefährdungen das Objekt oder der Sachverhalt unterliegt.
Gemäß -Standard 200-3 verwenden Sie hierfür die elementaren Gefährdungen als Ausgangspunkt. Hierbei sind zwei Fälle zu unterscheiden:* Es gibt für ein Zielobjekt (noch) keinen passenden Baustein.In diesem Fall ziehen Sie die vollständige Liste der elementaren Gefährdungen hinzu und prüfen, welche der Gefährdungen für das betreffende Zielobjekt relevant sind.
- Es gibt einen passenden Baustein für das Zielobjekt.In diesem Fall wurde bereits vorab eine Risikoanalyse für den betreffenden Zielobjekt-Typ durchgeführt und in den Bausteinen tabellarisch dargestellt, welche elementaren Gefährdungen relevant sind und mit welchen Anforderungen diesen Gefährdungen jeweils begegnet wird. Es ist Ihre Aufgabe, zu prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können.
Die Relevanz einer Gefährdung bestimmen Sie mit Hilfe der möglichen Einwirkung einer Gefährdung. Dabei ist zu unterscheiden, ob eine Gefährdung unmittelbar (direkt) oder nur indirekt über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkt. Nur Gefährdungen mit direkter Relevanz nehmen Sie in die Gefährdungsübersicht auf.
Beispiel
Für den Virtualisierungsserver S007 sind gemäß der Modellierung die folgenden drei -Grundschutz-Bausteine relevant: SYS.1.1 Allgemeiner Server, SYS.1.3 Server unter Unix und SYS.1.5 Virtualisierung. Aus den in diesen Bausteinen referenzierten elementaren Gefährdungen lässt sich die folgende auszugsweise wiedergegebene Übersicht relevanter Gefährdungen zusammenstellen:* G 0.14 Ausspähen von Informationen (Spionage)
- G 0.15 Abhören
- G 0.18 Fehlplanung oder fehlende Anpassung
- G 0.19 Offenlegung schützenswerter Informationen
- G 0.21 Manipulation von Hard- oder Software
- G 0.22 Manipulation von Informationen
- G 0.23 Unbefugtes Eindringen in IT-Systeme
- G 0.25 Ausfall von Geräten oder Systemen
- G 0.26 Fehlfunktion von Geräten oder Systemen
- G 0.28 Software-Schwachstellen oder -Fehler
- G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen
- G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen
- G 0.32 Missbrauch von Berechtigungen
- G 0.40 Verhinderung von Diensten (Denial of Service)
- G 0.43 Einspielen von Nachrichten
- G 0.45 Datenverlust
- G 0.46 Integritätsverlust schützenswerter Informationen
Gefährdungsübersicht ergänzen
Auch wenn die Zusammenstellung elementarer Gefährdungen vielfältige Bedrohungen berücksichtigt, denen Informationen und Informationstechnik ausgesetzt sind, so kann dennoch nicht ausgeschlossen werden, dass weitere Gefährdungen zu betrachten sind. Dies gilt insbesondere dann, wenn es für ein Zielobjekt in untypischen Einsatzszenarien betrieben wird.
Im Anschluss an den ersten Teilschritt prüfen Sie daher, ob neben den relevanten elementaren Gefährdungen weitere Gefährdungen zu untersuchen sind.
Wie finden Sie zusätzliche Gefährdungen?
Ein bewährtes Mittel, mögliche Gefährdungen zu ermitteln, ist ein von dem oder einem anderen Sicherheitsexperten moderierter Workshop, an dem diejenigen Mitarbeiterinnen und Mitarbeiter zu beteiligen sind, die in irgendeiner Weise mit der betrachteten Komponente in Verbindung stehen (zum Beispiel Administratoren, Anwendungsbetreuer, Benutzer). Hinweise auf Gefährdungen können auch weitere Quellen liefern, etwa Herstellerdokumentationen oder Publikationen im Internet.
Worauf sollten Sie achten?
Unter Umständen können in dem Workshop zahlreiche und vielfältige Gefährdungen diskutiert werden. Um die sich anschließende Bewertung der Gefährdungen nicht unnötig zu erschweren, sollten Sie* sich auf diejenigen Gefährdungen konzentrieren, die Grundwerte beeinträchtigen, in denen das betrachtete Zielobjekt den Schutzbedarf sehr hoch oder hoch hat,
- alle Gefahrenbereiche berücksichtigen, nach denen die Gefährdungskataloge gruppiert sind, also höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen und vorsätzliche Angriff von Außen- und Innentätern, und die Gefährdungen entsprechend gruppieren,
- auf die Relevanz der Vorschläge achten, also nur solche Gefährdungen weiter verfolgen, die zu nennenswerten Schäden führen können und im behandelten Zusammenhang realistisch sind,
- bei jedem vorgebrachten Vorschlag prüfen, ob die betreffende Gefährdung nicht bereits durch eine vorhandene Gefährdung abgedeckt wird, sowie
- die verbleibenden Vorschläge verallgemeinern, um die Anzahl der in den künftigen Schritten zu berücksichtigenden Gefährdungen zu verringern.
Die Ermittlung der Gefährdungen verlangt ebenso wie die weiteren Schritte bei der Risikoanalyse vertiefte Fachkenntnisse. Öffentlich zugängliche Informationen, wie Zeitschriftenartikel oder Quellen im Internet, können Ihnen in vielen Fällen wertvolle Hinweise geben. Oft empfiehlt es sich auch, auf das Know-how externer Experten zurückzugreifen.
Beispiel
Die Diskussion weiterer zu betrachtender Gefährdungen bei der RECPLAST ergibt, dass für den gesamten Informationsverbund mögliche Manipulationen durch Familienangehörige und Besucher aufgrund der häufigen Anwesenheit dieser Personengruppen als zusätzliche Gefährdung zu betrachten sind. Diese wird wie folgt beschrieben.
G z.1 Manipulation durch Familienangehörige und Besucher.Familienangehörige und Besucher haben zeitweise Zutritt zu bestimmten Räumlichkeiten des Unternehmens. Es besteht die Gefahr, dass diese Personen dies als Gelegenheit nutzen, unerlaubte Veränderungen an Hardware, Software oder Informationen vorzunehmen. Diese zusätzliche Gefährdung konkretisiert die elementaren Gefährdungen G 0.21 Manipulation von Hard- oder Software und G 0.22 Manipulation von Informationen.
Daneben wurden weitere zusätzliche Gefährdungen ermittelt, etwa die Beschädigung von im Fertigungsbereich aufgrund der dort bestehenden besonderen Umgebungsbedingungen (z. B. Staub, Erschütterungen). Diese Gefährdung ist bei Risikoanalysen von -Komponenten mit hohem oder sehr hohem Schutzbedarf zu berücksichtigen.
Häufigkeit und Auswirkungen einschätzen
"Schritte bei der Risikoanalyse: Risiken einstufen (Bild hat eine Langbeschreibung)"
Die Höhe eines Risikos ergibt sich aus der Häufigkeit einer Gefährdung und der drohenden Schadenshöhe. Ein Risiko ist umso größer, je häufiger eine Gefährdung ist, umgekehrt sinkt es, je geringer der mögliche Schaden ist.
Grundsätzlich können beide Größen sowohl quantitativ, also mit genauen Zahlenwerten, als auch qualitativ, also mit Hilfe von Kategorien zur Beschreibung der Größenordnung, bestimmt werden. Erfahrungsgemäß sind jedoch hinreichend verlässliche quantitative Angaben, insbesondere zur Häufigkeit von Schadensereignissen im Bereich der Informationssicherheit, so gut wie nicht vorhanden und auch dort, wo es verlässliche Statistiken gibt, sind daraus abgeleitete exakte Prognosen auf zukünftige Ereignisse problematisch, wenn nicht gar unmöglich. Daher empfiehlt sich ähnlich wie bei der Schutzbedarfsfeststellung ein qualitativer Ansatz mit einer begrenzten Anzahl an Kategorien.
Die Anzahl der Kategorien, mit denen Sie Eintrittshäufigkeit und Schadenshöhe beschreiben, und deren Definition sollten auf die konkreten Gegebenheiten Ihrer Institution angepasst sein. Im Allgemeinen genügen maximal fünf Stufen zur Abgrenzung von Häufigkeiten und Auswirkungen. Wenn bei Ihnen ein übergeordnetes Risikomanagement bereits eingeführt ist, empfiehlt es sich zudem, Informationssicherheitsrisiken in Übereinstimmung mit den dort verwendeten Systemen zur Bewertung und Klassifikation von Risiken zu verwenden.
Nachfolgend als Beispiel ein Vorschlag aus dem -Standard 200-3 für ein mögliches vierstufiges Klassifikationsschema zur Bewertung von Eintrittshäufigkeiten.
Klassifikation von Häufigkeiten
Eintrittshäufigkeit | Beschreibung |
---|---|
selten | Das Ereignis könnte nach heutigem Kenntnisstand höchstens alle fünf Jahre auftreten. |
mittel | Das Ereignis tritt einmal alle fünf Jahre bis einmal im Jahr ein. |
häufig | Das Ereignis tritt einmal im Jahr bis einmal pro Monat ein. |
Sehr häufig | Das Ereignis tritt mehrmals im Monat ein. |
Auch für die Klassifikation möglicher Schadensauswirkungen enthält der -Standard als Beispiel ein vierstufiges Klassifikationsschema.
Klassifikation von Schadensauswirkungen
Schadenshöhe | Schadensauswirkungen |
---|---|
vernachlässigbar | Die Schadensauswirkungen sind gering und können vernachlässigt werden. |
begrenzt | Die Schadensauswirkungen sind begrenzt und überschaubar. |
beträchtlich | Die Schadensauswirkungen können beträchtlich sein. |
existenzbedrohend | Die Schadensauswirkungen können ein existenziell bedrohliches, katastrophales Ausmaß annehmen. |
Berücksichtigen Sie bei der Definition der Kategorien zur Bewertung der Auswirkungen einer Gefährdung auch die bei Ihnen vorgenommene Definition der Schutzbedarfskategorien. Beide Systeme sollten in einer Institution zueinander passend definiert werden.
Risiken bewerten
Nachdem Sie die Eintrittshäufigkeiten und Schadensauswirkungen einer Gefährdung eingeschätzt haben, können Sie das aus beiden Faktoren resultierende Risiko bewerten. Es ist auch hierfür zweckmäßig, eine nicht zu große Anzahl an Kategorien zu verwenden, drei bis fünf sind üblich, oft werden auch nur zwei Kategorien verwendet. Der -Standard 200-3 enthält ein Beispiel mit vier Stufen, das Sie an die Gegebenheiten und Erfordernisse Ihrer Institution anpassen können. Die folgende Tabelle ist an dieses Beispiel angelehnt.
Risikoklassifikation
Risikokategorie | Definition |
---|---|
gering | Die bereits umgesetzten oder zumindest im Sicherheitskonzept vorgesehenen Maßnahmen bieten einen ausreichenden Schutz. |
mittel | Die bereits umgesetzten oder zumindest im Sicherheitskonzept vorgesehenen Maßnahmen reichen möglicherweise nicht aus. |
hoch | Die bereits umgesetzten oder zumindest im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen bieten keinen ausreichenden Schutz vor der jeweiligen Gefährdung. Das Risiko kann mit einer großen Wahrscheinlichkeit nicht akzeptiert werden. |
sehr hoch | Die bereits umgesetzten oder zumindest im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen bieten keinen ausreichenden Schutz vor der jeweiligen Gefährdung. Das Risiko kann mit einer sehr großen Wahrscheinlichkeit nicht akzeptiert werden. |
Zur Darstellung von Eintrittshäufigkeiten, Schadensauswirkungen und Risiken ist eine Risikomatrix ein gebräuchliches und sehr anschauliches Instrument. Auch hierzu enthält der BSI-Standard 200-3 einen Vorschlag, den Sie an die Festlegungen Ihrer Institution zur Risikobewertung anpassen können.
"Risikomatrix (Bild hat eine Langbeschreibung)"
Die Risikobewertung nehmen Sie vor, um begründete Entscheidungen zum Umgang mit möglichen Gefährdungen treffen zu können. Eine solche Entscheidung kann sein, durch zusätzliche Maßnahmen die Eintrittshäufigkeit und/oder die Auswirkungen einer Gefährdung zu verringern. Mit Hilfe der Risikomatrix können Sie auch verdeutlichen, wie sich die Umsetzung solcher Maßnahmen auf ein Risiko auswirken würde.
Beispiel für die Risikobewertung
Als Beispiel für die Risikobewertung werden zwei Gefährdungen für den Virtualisierungsserver S007 bei der RECPLAST betrachtet. Die Risiken werden mit Hilfe der zuvor beschriebenen Kategorien für Häufigkeiten, Auswirkungen und resultierendem Risiko bewertet.
Risikobewertung für die Gefährdung G 0.15 Abhören
Das Risiko besteht, weil zu Wartungszwecken die auf dem Server S007 betriebenen virtuellen Maschinen von Zeit zu Zeit auf einen zweiten Virtualisierungsserver verschoben werden. Bei dieser Live-Migration werden folglich die aktuelle Speicherinhalte der virtuellen Maschinen zwischen beiden Servern übertragen. Da wegen der damit verbundenen Performance-Verluste darauf verzichtet wurde, die Daten zu verschlüsseln, können die übertragenen Informationen grundsätzlich mitgelesen werden. Dies gilt auch für Datenübertragungen vom Virtualisierungsserver S007 zu den angeschlossenen zentralen Speichersystemen.
Bei der Bewertung werden die Eintrittshäufigkeit und die möglichen Auswirkungen betrachtet:* Die Eintrittshäufigkeit wird auch ohne zusätzliche Maßnahmen als selten bewertet. Diese Entscheidung wurde getroffen, weil durch eine geeignete Netzsegmentierung und Konfiguration dafür gesorgt wurde, dass die Datenübertragungen bei der Live-Migration wie auch zu den Speichersystemen in abgetrennten, von außen nicht zugänglichen Teilnetzen stattfinden, auf die nur die berechtigten und als vertrauenswürdig eingeschätzten Administratoren Zugriff haben.
- Gleichwohl handelt es sich bei den übertragenen Daten um solche, bei denen Verletzungen der Vertraulichkeit beträchtliche negative Folgen haben könnten. Die Auswirkungen bei Eintreten der Gefährdung werden daher als beträchtlich eingestuft.
Aus diesen Einschätzungen ergibt sich gemäß sich der festgelegten Kriterien für die Risikobewertung ein insgesamt mittleres Risiko.
"Risikomatrix mit eingetragener Gefährdung. (Bild hat eine Langbeschreibung)"
Risikobewertung für die Gefährdung G 0.25 Ausfall von Geräten oder Systemen
Der BSI-Standard 200-3 enthält in Kapitel 5.2 verschiedene Beispiele dafür, wie eine Risikobewertung tabellarisch dokumentiert werden kann. Da oftmals eine Vielzahl an Gefährdungen zu berücksichtigen sind, kann auf ausführliche Erläuterungen zu den vorgenommenen Bewertungen verzichtet werden. Die folgende Tabelle zeigt anhand der Gefährdung G 0.25 eine hinreichende Dokumentation der Risikobewertung.
Risikobewertung
align=center| Virtualisierungsserver S007Vertraulichkeit: hoch; Integrität: hoch; Verfügbarkeit: hoch | |||
---|---|---|---|
GefährdungG 0.25 Ausfall von Geräten oder Systemen | Beeinträchtigte Grundwerte:Verfügbarkeit | ||
Eintrittshäufigkeit ohne zusätzliche Maßnahmen: mittel | Auswirkungen ohne zusätzliche Maßnahmen: beträchtlich | Risiko ohne zusätzliche Maßnahmen: mittel |
Risiken behandeln
"Risikoanalyse - Risiken behandeln (Bild hat eine Langbeschreibung)"
In der Regel wird die Gefährdungsbewertung aufzeigen, dass nicht alle Gefährdungen durch das vorhandene Sicherheitskonzept ausreichend abgedeckt sind. In diesem Fall müssen Sie überlegen, wie angemessen mit den verbleibenden Gefährdungen umgegangen werden kann, und eine begründete Entscheidung hierzu treffen.
"Risikobehandlung (Bild hat eine Langbeschreibung)"
Grundsätzlich können vier Möglichkeiten (Risikooptionen) unterschieden werden, mit Risiken umzugehen:* A: Risikovermeidung durch Umstrukturierung der GeschäftsprozesseDie Risiken können vermieden werden, indem der Informationsverbund so umstrukturiert wird, dass die Gefährdung nicht mehr wirksam werden kann. Dies bietet sich beispielsweise an, wenn Gegenmaßnahmen zwar möglich sind, aber einen zu hohen Aufwand bedeuten und gleichzeitig das Risiko nicht akzeptiert werden kann.
- B: Risikoreduktion (Risikomodifikation) durch weitere SicherheitsmaßnahmenDie Risiken können durch zusätzliche, höherwertige Sicherheitsmaßnahmen verringert werden. Sofern es für das Zielobjekt, das Sie in der Risikoanalyse betrachtet haben, bereits einen Baustein im -Grundschutz-Kompendium gibt, finden Sie in den dort genannten Anforderungen für den erhöhten Schutzbedarf und den zugehörigen Umsetzungs-empfehlungen erste Hinweise auf geeignete Maßnahmen. Weitere Quellen sind beispielsweise Produktdokumentationen, Standards zur Informationssicherheit und Fachveröffentlichungen.
- C: RisikotransferDie Risiken werden verlagert. Durch Abschluss von Versicherungen oder durch Auslagerung der risikobehafteten Aufgabe an einen externen Dienstleister kann zum Beispiel ein möglicher finanzieller Schaden (zumindest teilweise) auf Dritte abgewälzt werden. Achten Sie bei dieser Lösung auf eine sachgerechte, eindeutige Vertragsgestaltung!
- D: RisikoakzeptanzDie Risiken können akzeptiert werden, sei es, weil die Gefährdung nur unter äußerst speziellen Bedingungen zu einem Schaden führen könnte, sei es, weil keine hinreichend wirksamen Gegenmaßnahmen bekannt sind oder aber weil der Aufwand für mögliche Schutzmaßnahmen unangemessen hoch ist.
Ein Risiko kann nur dann akzeptiert werden, wenn das (z. B. nach Umsetzung von Schutzmaßnahmen verbleibende) Restrisiko von der Institution getragen werden kann, sich also im Einklang mit den festgelegten Risikoakzeptanzkriterien befindet.
Risiken unter Beobachtung
Manche Risiken können zwar vorübergehend in Kauf genommen werden, es ist aber damit zu rechnen, dass sich die Gefährdungslage in Zukunft verändern wird und die Risiken dann nicht mehr akzeptiert werden können. In solchen Fällen empfiehlt es sich, die Risiken unter Beobachtung zu stellen und von Zeit zu Zeit zu prüfen, ob nicht doch ein Handlungsbedarf besteht. Es ist zudem sinnvoll, bereits im Vorfeld geeignete Schutzmaßnahmen auszuarbeiten, so dass eine rasche Inbetriebnahme möglich ist, sobald die Risiken nicht mehr akzeptabel sind.
Alle Beschlüsse müssen vom Management getragen werden. Es muss dazu bereit sein, die Kosten für die Reduktion oder den Transfer von Risiken wie auch die Verantwortung für die in Kauf genommenen Risiken zu übernehmen. Binden Sie daher die Leitungsebene angemessen in die Beratungen ein. Dokumentieren Sie die Entscheidungen so, dass sie von Dritten (z. B. Auditoren) nachvollzogen werden können, und lassen Sie dieses Schriftstück vom Management unterschreiben.
Beispiel
Die folgende Tabelle zeigt exemplarisch für die beiden zuvor betrachteten Gefährdungen die bei der RECPLAST für den Virtualisierungsserver getroffenen Entscheidungen zur Risikobehandlung.
Behandlung der Risiken
Gefährdung | Risikokategorie | Risikobehandlungsoption |
---|---|---|
G 0.15 Abhören(hier bei Live-Migration) | mittel | D. Risikoakzeptanz (Risikoübernahme ohne zusätzliche Sicherheitsmaßnahme)Auf das Live-Migration-Netz dürfen nur befugte Administratoren zugreifen. Diesen wird vertraut. Das bestehende Restrisiko wird von der RECPLAST als vertretbar eingeschätzt und übernommen. |
G 0.25 Ausfall von Geräten oder Systemen(hier Ausfall des Virtualisierungsservers) | mittel | B: RisikoreduktionErgänzende Sicherheitsmaßnahme:Der Server ist redundant ausgelegt, damit ist sichergestellt, dass bei einem Ausfall die virtuelle Infrastruktur weiterhin problemlos betrieben wird. Das System wird so konfiguriert, dass bei Ausfall automatisch auf einen Ersatzrechner innerhalb des Clusters umgeschaltet und dadurch die Ausfallzeit verkürzt wird. |
mit ergänzenden Maßnahmen:gering |
Konsolidierung des Sicherheitskonzepts
"Risikoanalyse - Sicherheitskonzept konsolidieren (Bild hat eine Langbeschreibung)"
Als Abschluss der Risikoanalyse sind die zusätzlichen Maßnahmen, deren Umsetzung beschlossen wurde, in das vorhandene Sicherheitskonzept zu integrieren (= Konsolidierung des Sicherheitskonzepts) und ist darauf aufbauend ist der Sicherheitsprozess fortzusetzen.
Konsolidierung des Sicherheitskonzepts
In diesem Schritt sollten Sie die Eignung, Angemessenheit und Benutzerfreundlichkeit der zusätzlichen Sicherheitsmaßnahmen ebenso prüfen wie deren Zusammenwirken mit anderen Maßnahmen. Diese Konsolidierung des Sicherheitskonzepts kann sowohl zu Anpassungen bei den zusätzlich ausgewählten Maßnahmen als auch zu Änderungen im bestehenden Konzept führen.
Weitere Informationen zur Konsolidierung von Sicherheitsmaßnahmen finden Sie in der nächsten Lektion.
Fortführung des Sicherheitsprozesses
Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess mit den nächsten Schritten fortgesetzt werden. Dies bedeutet insbesondere, dass in einem erneuten -Grundschutz-Check der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen und zu dokumentieren ist, wie in der vorherigen Lektion beschrieben.
Ein zweiter -Grundschutz-Check ist erforderlich, da sich in der Regel durch die Risikoanalyse das Sicherheitskonzept geändert hat und der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen ist.
Test zu Lektion 7
Wenn Sie möchten, können Sie mit den nachfolgenden Fragen Ihre Kenntnisse zur Risikoanalyse gemäß -Standard 200-3 überprüfen. Die Auflösungen zu den Fragen finden Sie auf der nächsten Seite. Es können mehrere Antwortmöglichkeiten zutreffend sein.
Frage 1:
Wer trägt die Verantwortung für die bei einer Risikoanalyse getroffenen Entscheidungen zu einem -System?# der Administrator des -Systems
- die Leitung der Institution
- der Informationssicherheitsbeauftragte
- das -Management-Team
Frage 2:
Welche Gefährdungen werden bei der Erstellung der Gefährdungsübersicht im ersten Schritt betrachtet?# die im Anhang von -Standard 200-3 enthaltenen Risikokataloge
- die relevanten elementaren Gefährdungen aus dem -Grundschutz-Kompendium
- die im Anhang der Norm 27005 angeführten Gefährdungen
- die in den Abschnitten zur Gefährdungslage eines Bausteins angeführten spezifischen Gefährdungen
Frage 3:
Was bewerten Sie bei der Risikoeinschätzung?# die Häufigkeit des Eintretens einer Gefährdung
- das mit einer Gefährdung verbundene Schadensausmaß
- welche Schutzziele von einer Gefährdung betroffen sind
- die Wirksamkeit der geplanten und umgesetzten Maßnahmen gegen eine Gefährdung
Frage 4:
Wodurch verlagern Sie ein Risiko?# durch den Abschluss einer Versicherung
- durch Outsourcing des risikobehafteten Geschäftsprozesses an einen externen Dienstleister
- durch Umstrukturierung des risikobehafteten Geschäftsprozesses
- durch die Entscheidung, risikomindernde Maßnahmen erst dann umzusetzen, wenn die hierzu erforderlichen Finanzmittel bereitstehen
Frage 5:
Aus welchen Gründen kann es gerechtfertigt sein, auch ein hohes Risiko zu akzeptieren?# Der Aufwand für mögliche Schutzmaßnahmen ist unangemessen hoch.
- Vergleichbare Institutionen akzeptieren das Risiko ebenfalls.
- Es gibt keine wirksamen Schutzmaßnahmen gegen das Risiko.
- Es ist bislang noch zu keinem nennenswerten Sicherheitsvorfall aufgrund der dem Risiko zugrunde liegenden Gefährdung gekommen.
Frage 6:
Wann ist die Risikoakzeptanz grundsätzlich unzulässig?# bei der Nichterfüllung von Basis-Anforderungen
- beim Vorhandensein von elementaren Gefährdungen
- bei sehr hohem Schutzbedarf
- bei Nichterfüllung von Standard-Anforderungen
Lösungen
Nachfolgend finden Sie die Auflösungen zu den Testfragen zu Lektion 7. Zutreffende Antworten sind als [richtig] gekennzeichnet.
Frage 1:
Wer trägt die Verantwortung für die bei einer Risikoanalyse getroffenen Entscheidungen zu einem -System?# der Administrator des -Systems
- die Leitung der Institution [richtig]
- der Informationssicherheitsbeauftragte
- das -Management-Team
Frage 2:
Welche Gefährdungen werden bei der Erstellung der Gefährdungsübersicht im ersten Schritt betrachtet?# die im Anhang von -Standard 200-3 enthaltenen Risikokataloge
- die relevanten elementaren Gefährdungen aus dem -Grundschutz-Kompendium [richtig]
- die im Anhang der Norm 27005 angeführten Gefährdungen
- die in den Abschnitten zur Gefährdungslage eines Bausteins angeführten spezifischen Gefährdungen
Frage 3:
Was bewerten Sie bei der Risikoeinschätzung?# die Häufigkeit des Eintretens einer Gefährdung [richtig]
- das mit einer Gefährdung verbundene Schadensausmaß [richtig]
- welche Schutzziele von einer Gefährdung betroffen sind
- die Wirksamkeit der geplanten und umgesetzten Maßnahmen gegen eine Gefährdung
Frage 4:
Wodurch verlagern Sie ein Risiko?# durch den Abschluss einer Versicherung [richtig]
- durch Outsourcing des risikobehafteten Geschäftsprozesses an einen externen Dienstleister [richtig]
- durch Umstrukturierung des risikobehafteten Geschäftsprozesses
- durch die Entscheidung, risikomindernde Maßnahmen erst dann umzusetzen, wenn die hierzu erforderlichen Finanzmittel bereitstehen
Frage 5:
Aus welchen Gründen kann es gerechtfertigt sein, auch ein hohes Risiko zu akzeptieren?# Der Aufwand für mögliche Schutzmaßnahmen ist unangemessen hoch. [richtig]
- Vergleichbare Institutionen akzeptieren das Risiko ebenfalls.
- Es gibt keine wirksamen Schutzmaßnahmen gegen das Risiko. [richtig]
- Es ist bislang noch zu keinem nennenswerten Sicherheitsvorfall aufgrund der dem Risiko zugrunde liegenden Gefährdung gekommen.
Frage 6:
Wann ist die Risikoakzeptanz grundsätzlich unzulässig?# bei der Nichterfüllung von Basis-Anforderungen [richtig]
- beim Vorhandensein von elementaren Gefährdungen
- bei sehr hohem Schutzbedarf
- bei Nichterfüllung von Standard-Anforderungen