BSI/200-3/Anhang: Unterschied zwischen den Versionen

Risikoappetit (Risikobereitschaft)

Risikobereitschaft

Moderation der Risikoanalyse

Risikoanalyse-Meeting

Ermittlung zusätzlicher Gefährdungen

• Alle Teilnehmer sollten den groben Rahmen der Risikoanalyse und des betrachteten Bereichs ken­

nen, sodass sie sich vorab Gedanken machen konnten über Gefährdungen, Schadensauswirkun­ gen und Maßnahmen. Dazu gehört auch, dass sie die zum betrachteten Bereich gehörenden Ob­ jekte kennen wie auch die zugehörigen Geschäftsprozesse, Hintergründe, Einbettung in die Orga­ nisation und die Technik sowie technische Grundlagen.

• * * Alle Gefährdungen, die Teilnehmern einfallen, sollten auch genannt und diskutiert werden. Es ist

Aufgabe des Moderators, dafür zu sorgen, dass bei den Diskussionen die Ergebnisfindung nicht aus den Augen verloren wird. Detailfragen, die eine besondere Expertise erfordern, sollten im Vorfeld vorbereitet werden. Ein­ zelne Punkte können auch im Anschluss geklärt werden. Es sollte ein Ergebnisbericht erstellt werden. Da viele potenzielle Angriffspunkte diskutiert wurden, sollten die Unterlagen vertraulich behandelt werden. Für die Durchführung jeder Risikoanalyse sollte es klare zeitliche Vorgaben geben. Erfahrungen zeigen, dass die Resultate umso besser werden, je systematischer und konzentrierter vorgegangen wird, nicht je länger es dauert. Auch eine Risikoanalyse für komplexe Sachverhalte ist normaler­ weise an einem Tag zu schaffen. Wenn der betrachtete Bereich zu umfangreich ist, sollte er in Teilbereiche aufgeteilt werden. Auch bei einer Risikoanalyse sollte die 80:20-Regel beachtet wer- den. Da ohnehin nicht jeder mögliche Sachverhalt betrachtet werden kann, sollten immer die am wahrscheinlichsten Gefährdungen und die plausibelsten Lösungen im Vordergrund stehen. Wenn esoterische Gefährdungen diskutiert werden, also solche, die extrem selten und hochgradig un­ wahrscheinlich sind, ist das ein Zeichen, dass die erforderliche Konzentration nicht mehr gegeben ist.

Die folgenden Fragestellungen sollten bei der Ermittlung zusätzlicher Gefährdungen berücksichtigt

werden:

• Von welchen Ereignissen aus dem Bereich höhere Gewalt droht besondere Gefahr für den Infor­mationsverbund?
• Welche organisatorischen Mängel müssen vermieden werden, um die Informationssicherheit zu gewährleisten?
• Welche menschlichen Fehlhandlungen können die Sicherheit der Informationen besonders beein­trächtigen?
• Welche speziellen Sicherheitsprobleme können beim jeweils betrachteten Zielobjekt durch techni­sches Versagen entstehen?
• Welche besondere Gefahr droht durch vorsätzliche Angriffe von Außentätern? Damit sind Perso­nen gemeint, die nicht der eigenen Institution angehören und auch nicht durch besondere Verein­barungen Zugang zu oder Zugriff auf interne Ressourcen haben.
• Auf welche Weise können Innentäter durch vorsätzliche Handlungen den ordnungsgemäßen und sicheren Betrieb des jeweiligen Zielobjekts beeinträchtigen? Durch vorhandene Zugangs- und Zu­griffsberechtigungen sowie durch Insiderwissen droht hier oft besondere Gefahr.
• Drohen besondere Gefahren durch Objekte, die nicht dem betrachteten Informationsverbund zuzurechnen sind? Solche externen Objekte können beispielsweise fremde Anwendungen, IT-Syste­me oder bauliche Gegebenheiten sein. Die Definition des betrachteten Informationsverbunds dient dazu, den Untersuchungsgegenstand für die Sicherheitskonzeption festzulegen. Dies darf jedoch nicht dazu führen, dass Gefahren, die von außerhalb des betrachteten Informationsverbunds aus­ gehen, bei der Risikoanalyse vernachlässigt werden. Quellen für diese speziellen Gefährdungen sind etwa die
• Dokumentation des Herstellers
• Warn- und Informationsdienste von Computer Emergency Response Teams (CERTs), wie dem des BSI unter https://www.cert-bund.de
• Publikationen über Schwachstellen im Internet (z. B. Threat Intelligence Feeds) und eigene Bedro­hungsanalysen

Zusammenspiel mit ISO/IEC 31000

In den internationalen Normen zum Risikomanagement und zur Risikobeurteilung, insbesondere der ISO/IEC 31000, werden einige Begriffe anders belegt, als es im deutschen Sprachraum üblich ist. In der nachfolgenden Tabelle sind die wesentlichen Begriffe aus ISO/IEC 31000 und dem BSI-Standard 200-3 einander gegenübergestellt. Diese Gegenüberstellung dient der Zuordnung der Begriffe der ISO 31000 zu den Begriffen der BSI-Standards 200-2 und 200-3 (siehe Abbildung 7). ISO/IEC 31000 und IT-Grundschutz ISO/IEC 31000:2009 Establishing the Context, Kapitel 5.3 Risk Assessment, Kapitel 5.4

• Risk Identification
• Risk Analysis
• Risk Evaluation

Risk Identification, Kapitel 5.4.2 Risk Analysis, Kapitel 5.4.3 Risk Evaluation, Kapitel 5.4.4 Risk Treatment, Kapitel 5.5 Communication and Consultation, Kapitel5.2 IT-Grundschutz BSI-Standard 200-1 (siehe [BSI1]), Managementprinzipien, Kapitel 4 Planung des Sicherheitsprozesses, Kapitel 7.1 BSI-Standard 200-2 Initiierung des Sicherheitsprozesses, Kapitel 3 BSI-Standard 200-3 Risikobeurteilung, Kapitel 1

• Erstellung einer Gefährdungsübersicht
• Risikoeinschätzung
• Risikobewertung

BSI-Standard 200-3 Erstellung einer Gefährdungsübersicht, Kapitel 4 BSI-Standard 200-3 Risikoeinschätzung, Kapitel 5.1 BSI-Standard 200-3, Risikobewertung, Kapitel 5.2 BSI-Standard 200-3, Risikobehandlung, Kapitel 6 BSI-Standard 200-1, Kommunikation und Wissen, Kapitel 4.2 BSI-Standard 200-2 Informationsfluss im Informationssicherheitsprozess, Kapitel 5.2

ISO/IEC 31000:2009 Monitoring and Review, Kapitel 5.6 IT-Grundschutz BSI-Standard 200-1 Aufrechterhaltung der Informationssicherheit, Kapi­ tel 7.4 Kontinuierliche Verbesserung der Informati­ onssicherheit, Kapitel 7.5 BSI-Standard 200-2 Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit, Kapitel 10 BSI-Standard 200-3 Risiken unter Beobachtung, Kapitel 6.2 Tabelle 11: Gegenfberstellung der Begriffe aus ISO/IEC 31000 und dem BSI-Standard 200-3