Themenfeld 8Risikoanalyse
Themenfeld 8Risikoanalyse
8.0 Grundlagen
8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten
8.2Vorgehen bei der Risikobewertung und Risikobehandlung
8.3Beispiel für die Risikobewertung
BSI-Standard 200-3Risikoanalyse auf der Basis von IT-Grundschutz
Bislang
IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge
Nun
Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-3
Implementation eines Risikoentscheidungsprozesses
Keine Risikoakzeptanz bei den Basis-Anforderungen
Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und bei erhöhtem Schutzbedarf
8 Überblick
Vorgehensweise nach IT-GrundschutzZusammenfassung
RisikomanagementsystemNeufassung der Risikoanalyse
RisikomanagementsystemAngemessenes Risikomanagement
RisikomanagementsystemRichtlinie zum Umgang mit Risiken
RisikomanagementsystemVorarbeiten und Priorisierung
RisikomanagementsystemListe der betrachteten Zielobjekte
Themenfeld 8Risikoanalyse
8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten
8.2Vorgehen bei der Risikobewertung und Risikobehandlung
8.3Beispiel für die Risikobewertung
RisikomanagementsystemErstellung der Gefährdungsübersicht
Themenfeld 8Risikoanalyse
8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten
8.2Vorgehen bei der Risikobewertung und Risikobehandlung
8.3Beispiel für die Risikobewertung
RisikomanagementsystemErstellung der Gefährdungsübersicht
RisikomanagementsystemErstellung der Gefährdungsübersicht
Ermittlung zusätzlicher Gefährdungen
Quellen
BSI-Gefährdungskataloge
Produktdokumentation
Publikationen über Schwachstellen im Internet
Auch Schwächen eingesetzter Komponenten und Protokolle
Anfrage bei Herstellern
Fachliteratur
Bewertungskriterien (z.B. Common Criteria)
eigene Bedrohungsanalysen
Weitere InformationsquellenSecurity Mailing List Archive: seclists.org
BSI-Standard 200-347. Elementargefährdung
G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe
Von Tätern nicht beabsichtigt Auswirkungen
nicht die unmittelbar angegriffenen Zielobjekte betreffen oder
unbeteiligte Dritte schädigen.
Beispiele
Für DDoS-Angriffe als Bots missbrauchte IT-Systeme
(IoT-) Geräte, die als ein Einfallstor in Netze missbraucht werden
Ransomware-Angriffe auf IT-Systeme Kritischer Infrastrukturen
BSI-Standard 200-3Neues Bewertungsverfahren
Lösungsansätze
Die Bewertung des Risikos erfolgt durch den populären Matrix-Ansatz anhand weniger Stufen.
Wenn das Risiko nicht akzeptabel ist, werden Maßnahmen zur Senkung, Vermeidung oder Übertragung des Risikos in Betracht gezogen.
Im Sinne einer Was-Wäre-Wenn-Analyse wird dann in der Risiko-Matrix "eingezeichnet", wie sich das Risiko bei Umsetzung der jeweiligen Maßnahme ändern würde.
Dadurch wird automatisch auch das Restrisiko dokumentiert.
Restrisiko muss der Leitung zur Zustimmung vorgelegt werden (Risikoakzeptanz)
BSI-Standard 200-3Bewertungsverfahren
BSI-Standard 200-3Bewertungsverfahren
BSI-Standard 200-3Risikobehandlungsoptionen
BSI-Standard 200-3Konsolidierung
Sind die Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet?
Wirken die Sicherheitsmaßnahmen sinnvoll zusammen?
Welche Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
Sind die Sicherheitsmaßnahmen benutzerfreundlich?
Sind die Sicherheitsmaßnahmen angemessen?
Verpacken der neu gefundenen Gefährdungen und Anforderungen in einem benutzerdefinierten Baustein
Ggf. Ergänzung bestehender Bausteine um aus der Risikobewertung ermittelten Anforderungen
Ergänzende RisikoanalyseEin Restrisiko bleibt
Realisierung von IT-Sicherheitsmaßnahmen
Schritt 1: Sichtung der Untersuchungsergebnisse
Welche Maßnahmen sind nicht oder nur teilweise umgesetzt?
Schritt 2: Konsolidierung der Maßnahmen
Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden?
Schritt 3: Kosten- und Aufwandsschätzung
Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen?
Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen werden und das verblei-bende Restrisiko für die Leitungsebene dokumentiert werden.
Schritt 4: Festlegung der Umsetzungsreihenfolge
Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden?
Breitenwirkung beachten!
Schritt 5: Festlegung der Verantwortlichkeit
Wer setzt welche Maßnahme bis wann um?
Schritt 6: Realisierungsbegleitende Maßnahmen
Schulung der Mitarbeiter
Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen
Konsolidierung der Maßnahmen
Konsolidieren der Maßnahmen der IT-Grundschutz-Kataloge
zusätzlichen Maßnahmen aus der Ergänzenden Risikoanalyse
=> zu realisierende Maßnahmen
Themenfeld 8Risikoanalyse
8.1Die elementaren Gefährdungen sowie andere Gefährdungsübersichten
8.2Vorgehen bei der Risikobewertung und Risikobehandlung
8.3Beispiel für die Risikobewertung