BSI/200-3/Anhang

Aus Foxwiki
Version vom 7. Mai 2023, 10:15 Uhr von Dirkwagner (Diskussion | Beiträge) (Textersetzung - „Kategorie:IT-Grundschutz“ durch „Kategorie:Grundschutz“)

Risikoappetit (Risikobereitschaft)

Risikoappetit bezeichnet die durch kulturelle, interne, externe oder wirtschaftliche Einflüsse entstan­ dene Neigung einer Institution, wie sie Risiken einschätzt, bewertet und mit ihnen umgeht. Die Neigung, innerhalb einer Institution Risiken einzugehen, wird durch eine Vielzahl von Faktoren beeinflusst, sodass eine quantitative Einstufung des Risikoappetits recht komplex werden kann. Ein Ziel dieses Kapitels ist es, die Komplexität zu verringern und eine beherrschbare Zahl von Risikonei­ gungstypen zu definieren, denen Empfehlungen für einen sinnvollen Umgang mit Risiken gegeben werden können.

Einflussfaktoren

Zu den äußeren Bedingungen, die die Risikoneigung einer Institution beeinflussen, gehören:

  • * * * Kulturelle Einflüsse (Je nach Land und Mentalität gibt es unterschiedliche Bereitschaften, Risiken

einzugehen.) Interne Faktoren (Organisationskultur, Einstellung des Managements, Risiken als Problem oder Chance sehen) Konservative Institutionen neigen eher zur Risikovermeidung (z. B. Behörden oder Unternehmen, die um ein besonders seriöses Image bemüht sind). Schnell wachsende Unternehmen sind eher bereit, Risiken zu tragen, wohingegen etablierte Großunternehmen Risiken eher meiden. Bei Groß­ unternehmen ist es manchmal jedoch auch sinnvoll, das Risikomanagement für unterschiedliche Unternehmensbereiche unterschiedlich aufzusetzen, je nachdem, ob es sich bei den Bereichen um neue, technologieintensive Bereiche (mit hoher Risikoneigung) oder „Cash Cows“ (mit niedriger Risikoneigung) handelt. Großunternehmen haben hier den Vorteil, dass sie Risiken über verschie­ dene Bereiche streuen können. Daher kann der Risikoappetit in den diversen Unternehmensteilen auch unterschiedlich sein. Je klarer Visionen und strategische Ziele der Institution sind, desto direk­ ter ergibt sich daraus auch eine Einstellung zu Risiken. Marktumfeld (z. B. konservatives oder innovatives Umfeld) Das Marktumfeld und interne Faktoren stehen in einem engen Zusammenhang. Wer in neue Märkte einsteigt, muss sich auf die dort geltenden Regeln und insbesondere auf Wettbewerb ein­ stellen, auch wenn dies eventuell der Tradition der Institution zuwiderläuft. Es ist sinnvoll, konkur­ rierende Institutionen zu beobachten und die eigene Handlungsweise (z. B. nach den Regeln der Spieltheorie) danach auszurichten. Die Strategie kann (hier wiederum nach der Kultur innerhalb der Institution) darauf hinauslaufen, an der Spitze des Marktes stehen zu wollen: In diesem Fall wird Bereitschaft gezeigt werden müssen, hohe Risiken einzugehen. Im anderen Fall kann sich die In­ stitution entscheiden, als „Fast Follower“ zu agieren. Dies bedeutet, dass sie versucht, der Konkur­ renz die Risiken zu überlassen und trotzdem einen attraktiven Marktanteil zu erringen. Bei der Entscheidung, ob eine Institution bestimmte Maßnahmen umsetzt oder nicht, spielt auch häufig eine Rolle, was die Konkurrenz macht (sofern deren Maßnahmen bekannt sind). Risikotragfähigkeit (Finanzierung der Institution [Haftung, Kapitaldecke usw.]) Obwohl Großunternehmen, wie schon erwähnt, eher zur Risikovermeidung neigen, haben sie üb­ licherweise eine Kapitaldecke, die es zumindest bei Teilbereichen erlaubt, Risiken zu tragen. Kleine Unternehmen, die über eine eher geringe Kapitaldecke verfügen, aber trotzdem aus Gründen des Marktumfeldes signifikante Risiken eingehen müssen, arbeiten aus demselben Grund manchmal mit Risikokapitalgebern zusammen.

Quantifizierung von Risikoneigung

Vereinfacht dargestellt, läuft das Risikomanagement in folgenden Schritten ab. Präzise Definitionen können z. B. ISO/IEC 31000 (siehe [31000]) oder NIST SP 800-30 (siehe [NIST800-30]) entnommen werden:

  • Identifikation von Risiken
  • Risikoeinschätzung (Ermittlung von Eintrittshäufigkeit und Schadenshöhe)
  • Risikobewertung (Ermittlung der Risikokategorie)
  • Bestimmung von Maßnahmen zur Behandlung von Risiken
  • Vergleich der Kosten jeder Maßnahme mit zu erwartenden Schäden und Entscheidung für oder gegen die Umsetzung der Maßnahme
  • Restrisikobetrachtung: Festlegung von Handlungsoptionen
  • Abgleich mit Chancen (erwartete Einnahmen und Nutzen des Geschäftsfeldes)
  • Verfolgung der Risiken und Anpassung der Maßnahmen bzw. Handlungsoptionen im laufenden Betrieb

In mehreren dieser Schritte kann sich die Risikoneigung einer Institution widerspiegeln.

Kriterien für Risikoneigung

Beim Versuch, Kriterien für die Risikoneigung festzulegen, ergeben sich mehrere mögliche Ansätze. Es folgen einige Beispiele:

  • Höchstmögliches akzeptables Risiko
  • Höchstmögliche akzeptable Eintrittshäufigkeit für Risiken
  • Akzeptanz von Risiken bei gleichzeitig hohen Marktchancen
  • Akzeptanz von Unvorhersagbarkeit (z. B. wenn sich Risiken nur schwer einer Häufigkeit oder Schadenssumme zuordnen lassen)
  • Auswahl von Behandlungsalternativen ab einem bestimmten Restrisiko

Nicht immer lassen sich Einstellungen gegenüber Risiken rational begründen. Ein Beispiel wäre die pauschale Abneigung einer Institution, Risiken mit hoher Eintrittshäufigkeit einzugehen, denn wenn mit diesen Risiken keine hohen Schäden einhergingen, müssten sie nicht unbedingt vermieden wer­ den. Eine derartige Entscheidung könnte aber trotzdem intuitiv gefällt werden, wenn die Institution sich bei der Bestimmung der Schadenshöhe nicht ausreichend sicher ist. Ein analoges Argument träfe bezüglich der Einstellung gegenüber einer maximal akzeptierten Schadenssumme zu. Unpräzises Da­ tenmaterial führt dazu, dass sich Institutionen in der einen oder anderen Weise entscheiden müssen. Dabei wird die Entscheidung von der Risikoneigung stark beeinflusst.

Optimale Strategie und Unsicherheit

Wenn sich alle Parameter, die in das Risikomanagement eingehen, exakt bestimmen ließen, wäre auch ein optimaler Umgang mit diesen Risiken ermittelbar. Diese Parameter sind beispielsweise die Eintrittshäufigkeiten und Schadenssummen (vor und nach Behandlung durch Maßnahmen), die Kos­ten von Maßnahmen, die Kosten von Behandlungsalternativen und die erwarteten Chancen, also z. B. Einnahmen aus einem Geschäft. Risiken müssen immer gegen Chancen abgewogen werden. Typisch wäre beispielsweise bei einem Geschäftsfeld, mit dem Risiken verbunden sind, dass risikoscheue Institutionen das Risiko vermeiden und gleichzeitig die entsprechende Chance verpassen, während weniger risikoscheue Institutionen das Risiko eingehen, aber damit gleichzeitig die Chance wahrnehmen. Wenn sich die oben erwähnten Parameter alle exakt ermitteln ließen, könnte ein präziser Erwartungs­ wert für die erzielten Gewinne oder Verluste der Institution ermittelt werden, abhängig davon, ob das Risiko eingegangen wird oder nicht. In diesem Falle gäbe es eine optimale Strategie für die Institution und die Frage der Risikoneigung würde keine Rolle mehr spielen. Daran wird deutlich, dass die Risikoneigung deswegen bedeutsam ist, weil die Eingangsdaten für das Risikomanagement mit Unsicherheiten behaftet sind. Die Frage ist, wie man die Unsicherheiten be­ wertet und wie die Institution für einen hohen Schadensfall gerüstet ist.

Mögliche Maßzahlen

Unabhängig von eher intuitiv begründeten Risikoneigungen, wie sie oben beschrieben wurden, soll versucht werden, Maßzahlen für die Risikoneigung zu ermitteln. Dabei wird von den Schritten ausge­ gangen, die oben zum grundsätzlichen Vorgehen beim Risikomanagement beschrieben wurden, und es soll eine rationale Vorgehensweise bei der Beurteilung der Risiken angestrebt werden. Die einfachste Maßzahl orientiert sich am Erwartungswert für die Schadenshöhe, definiert als Produkt aus der Eintrittshäufigkeit für das Risiko und der Schadenshöhe. Risiken werden oft als Matrix darge­ stellt, bei der auf der einen Achse die Eintrittshäufigkeit und auf der anderen die Schadenshöhe an­ geführt wird. Die hohen Risiken befinden sich in der Matrix in einem rot eingefärbten Bereich. Ein „hoher Risikoappetit“ könnte also im einfachsten Falle als Bereitschaft definiert werden, auch Risiken in diesem Bereich zu akzeptieren. Ein „niedriger Risikoappetit“ hieße Vermeidung, also möglicher­ weise gleichzeitig Verzicht auf eine Einnahmechance.

Die Abbildung 4 zeigt eine beispielhafte Risikomatrix mit definierten Risikokategorien.

Um die Schwellwerte festzulegen, mittels derer die Eintrittshäufigkeiten und Auswirkungen als „hoch“ eingestuft werden, orientieren sich Institutionen typischerweise an ihren finanziellen Kenn­ zahlen. Die Leitungsebene entscheidet, welche Schwellwerte sie als „hoch“ einstuft. Die Schwelle könnte sich an den finanziellen Rücklagen orientieren, aber auch am Umsatz der Institution. So kann die Schwelle als ein bestimmter Prozentsatz des Umsatzes festgelegt werden. Sie kann sich aber auch daran orientieren, ob die Institution bei Eintritt eines bestimmten Risikos noch liquide wäre. Je nach der Höhe des Risikos müssen Entscheidungen normalerweise von verschiedenen Führungs­ ebenen genehmigt werden, hohe Risiken sollten demnach nicht ohne Erlaubnis des Topmanage­ ments eingegangen werden.

Abbildung 4
Beispielhafte Risikomatrix mit Risikokategorien

Wenn also Risiken eingeschätzt und in die oben dargestellte Risikomatrix eingetragen werden, ergibt sich eine Darstellung wie in Abbildung 5, innerhalb derer sechs verschiedene Risiken ermittelt wurden und als Kreise mit Nummern eingetragen sind. Hier würde eine Institution mit hohem Risikoappetit (die obere der zwei schwarzen Linien) die Risiken 1 und 3 unterhalb der Linie noch tragen, während eine Institution mit niedrigem Risikoappetit nur die Risiken 4, 5 und 6 tragen würde (untere Linie).

Risiko 2 würde in diesem Fall keine der Institutionen tragen.

Wie oben schon erwähnt, gäbe es aber auch für Institutionen mit einem geringen Risikoappetit keinen Grund, auf Chancen zu verzichten, wenn verlässliche Daten Einnahmen erwarten ließen, die die Kos­ ten durch eingetretene Risiken überträfen. Einzig und allein die Unsicherheiten bei den erhobenen Daten sind der Grund dafür, dass Institutionen mit einem geringeren Risikoappetit in derartigen Si­ tuationen zur Risikovermeidung neigen. Eine andere Definition für Risikoappetit besteht in der Akzeptanz von Unsicherheiten bei der Interpre­ tation des Datenmaterials. Gerade bei innovativen Branchen können Institutionen nicht auf viel vor­ handenes Datenmaterial bei der Ermittlung von Eintrittshäufigkeiten und Schadenshöhen von Risiken zurückgreifen. Unwägbarkeiten kommen bei Risiken im Bereich der Informationssicherheit nahezu immer ins Spiel, im Gegensatz zu statistisch gut vorhersagbaren Risiken, wie sie beispielsweise zu Elementarschäden in der Versicherungswirtschaft vorliegen. Die Unsicherheiten lassen sich in einem Risikodiagramm beispielsweise mit Fehlerbalken darstellen, die die Unsicherheit der Daten repräsentieren. Auch die Längen dieser Fehlerbalken sind bei größerer Unsicherheit nur intuitiv zu ermitteln.

Abbildung 6 zeigt eine Risikomatrix mit Fehlerbalken.

Sie sind in diesem Beispiel vertikal ausgerichtet, geben also eine Unsicherheit bei der Schadenshöhe an. Fehlerbalken in horizontaler Ausrichtung wä­ ren genauso denkbar. Institutionen mit einem geringen Risikoappetit würden sich in dieser Darstel­ lung eher am oberen Rand der Werte für die Eintrittshäufigkeit und Schadenshöhe orientieren, Insti­ tutionen mit einem hohen Risikoappetit in der Mitte (nicht am unteren Rand, weil das wiederum bedeuten würde, Risiken systematisch zu unterschätzen). Interessant ist ein Vergleich der Risiken 4 und 5: Eine Institution mit niedriger Risikoneigung würde in dieser Situation vielleicht eher das Risiko 4 als das Risiko 5 akzeptieren, obwohl es einen höheren Erwartungswert für den Schaden trägt. Hier ist die Unsicherheit bei der Schadenshöhe ausschlagge­ bend, die bei Risiko 5 höher liegt, gekennzeichnet durch den Fehlerbalken, der bei Risiko 5 in größere Schadenshöhen hineinragt als der von Risiko 4.

Abbildung 6
Risikomatrix mit Unsicherheiten

Zuletzt gibt es auch noch die Möglichkeit, Risiken in unterschiedliche Kategorien einzuteilen und ei­ nen unterschiedlichen Risikoappetit pro Kategorie zu entwickeln. Beispielsweise könnte eine Institu­ tion Rufschädigungen scheuen, aber bereit sein, hohe finanzielle Risiken einzugehen. Dadurch ändert sich prinzipiell nichts am Vorgehen, sondern die unterschiedlichen Kategorien werden einfach geson­ dert voneinander betrachtet. Risikotypen In einem einfachen Modell kann man Institutionen je nach ihrem Umgang mit Risiken in verschiedene Typen unterteilen. Eine beispielhafte Unterteilung wäre die folgende:

  • „Cowboy“ – entspricht einer Institution, die Risiken prinzipiell bereitwillig in Kauf nimmt
  • „Risk-Eater“ – nimmt hohe Risiken in Kauf, wenn diesen auch hohe Chancen gegenüberstehen
  • „Konservativer“ – versucht, alle Risiken durch Maßnahmen so weit wie möglich zu minimieren

Wenn unter „Cowboy“ eine Institution verstanden wird, die Risiken einfach ignoriert, widerspricht das den Prinzipien des Risikomanagements und verlässliche Angaben über zu erwartende Konse­ quenzen, also Schäden oder Chancen, sind schwer möglich. Für die folgende Betrachtung soll angenommen werden, dass eine Institution ein professionelles Risikomanagement betreibt. Auch wenn ein professionelles Risikomanagement nicht immer verhin­ dern kann, dass schlechte Entscheidungen getroffen werden, so stellt es dennoch sicher, dass diese bewusst aufgrund vorhandener Analysen getroffen werden. Die Risikoneigung sollte keinen Ein­ fluss darauf haben, ob überhaupt eine Risikoanalyse durchgeführt wird und mit welcher Sorgfalt dies geschieht. Sie kann allerdings Einfluss darauf haben, wie viele Ressourcen die Institution in Risikoanalyse und -behandlung investiert. Dabei sollte es sich jedoch um eine bewusste Entschei­ dung handeln.

Für den Rest dieses Kapitels werden folgende Kategorien benutzt
  • Konservativer

Der Konservative scheut Risiken, die sich in der Risikomatrix im roten (und eventuell auch gelben) Bereich befinden (siehe Abbildung 4) und meidet diese. Die damit verbundenen Chancen sind ihm zu unsicher, um sich auf die Gefahren einzulassen.

  • Risikoaffiner

Der Risikoaffine sieht stets die Chancen, die mit hohen Risiken verbunden sind. Wenn diese viel­ versprechend ausfallen – aber auch nur dann – ist er bereit, das Risiko einzugehen. Institutionen, die jedes Risiko eingehen, auch wenn ihnen keine gleichwertigen Chancen gegenüberstehen, han­ deln selbstzerstörerisch und werden im Folgenden nicht weiter betrachtet.

  • Unsicherheitsvermeider

Der Unsicherheitsvermeider versucht, möglichst verlässliche Daten über seine Risiken zu sam­ meln. Er neigt eher zur Vermeidung von Risiken, wenn diese sich quantitativ schwer einschätzen lassen, als wenn diese hoch, aber gut kontrollierbar und durch eine solide Finanzierung oder zu erwartende Einnahmen abgedeckt sind. Im letzteren Punkt unterscheidet er sich vom Konserva­ tiven.

Risikoneigung als Eingangsgröße im ISMS

Da die Risikoanalyse ein wichtiger Bestandteil des ISMS ist, sollten die Grundvoraussetzungen dafür vom Management der Institution vorgegeben werden. Die Leitungsebene gibt die Risikoneigung vor. Das Sicherheitsmanagement muss die Risikoneigung kennen und sie entsprechend umsetzen. Möglicherweise ist sich eine Institution ihrer eigenen Risikoneigung nicht bewusst oder hat ungenaue Vorstellungen von diesem Begriff. In diesem Fall sollte das Management eine Klärung und Entschei­ dung herbeiführen, gegebenenfalls unter Beratung durch eine Fachkraft (z. B. durch den Informati­ onssicherheitsbeauftragten bzw. ISB oder Risikomanager). Dabei werden die oben genannten Ein­ flussfaktoren berücksichtigt. Die für das Anforderungsmanagement (Corporate Compliance) zustän­ dige Organisationseinheit sollte ebenfalls gehört werden. Die vom Management vorgegebene Aussage zur Risikoneigung kann zu Beginn der Risikoanalyse präzisiert werden, im Sinne der oben definierten Kategorien oder Maßzahlen. Wichtig ist es, diese Vorgabe einerseits regelmäßig zu überprüfen und an den Zielen der Institution auszurichten, sie aber bei Risikoanalysen und -behandlungen auch konsequent umzusetzen. Zweifelsfälle können auftre­ ten, beispielsweise wenn es bei einem bestimmten Risiko nicht sinnvoll erscheint, die festgelegte Ri­ sikoneigung anzuwenden. Solche Ausnahmefälle sollten abgestimmt und dokumentiert werden. Oben wurde beschrieben, auf welche Aspekte die Risikoneigung Einfluss haben kann. Wenn Entschei­ dungen getroffen werden, die durch die Risikoneigung mit beeinflusst wurden, sollte dies dokumen­ tiert werden. Sobald die Risiken eingeschätzt und bewertet wurden, sollte bereits aufgrund der vorgegebenen Ri­ sikoneigung über eine mögliche Behandlung dieser nachgedacht werden, bevor ergänzende Sicher­ heitsmaßnahmen ermittelt werden. Unter Umständen lohnt sich die Planung von ergänzenden Sicher­ heitsmaßnahmen nicht. Im entgegengesetzten Fall werden Sicherheitsmaßnahmen geplant und be­ wertet, um das Risiko zu verringern, und anschließend das Restrisiko ermittelt. Restrisiken müssen behandelt werden, wenn sie das akzeptierte Risiko übersteigen. In eine Entscheidung für eine Be­ handlungsoption fließt abermals die Risikoneigung ein. Bei der Entscheidung, ob ein Risiko selbst getragen oder transferiert werden sollte, wird der „Risiko­ affine“ tendenziell eher zur ersten, die Typen „Konservativer“ und „Unsicherheitsvermeider“ eher zur zweiten Option neigen, obwohl pauschale Aussagen hier nicht immer zutreffen. Der „Unsicherheits­ vermeider“ wird gegebenenfalls versuchen, durch die Umsetzung von Maßnahmen unter seiner ei­ genen Kontrolle die Unsicherheit bei der Risikoeinschätzung zu verringern. Auch bei den einzelnen Entscheidungen, die bei der Risikoanalyse und -behandlung getroffen wer­ den, empfiehlt es sich, den Einfluss der Risikoneigung auf diese Entscheidungen zu dokumentieren. Bei einer Änderung der Risikoneigung (z. B. durch veränderte Marktbedingungen) lässt sich die Risi­ koanalyse dann leichter anpassen. Die Risikoneigung hat zudem Einfluss auf die Aufbauorganisation einer Institution. Ein Beispiel ist die Frage, ob es eine Organisationseinheit für das Risikomanagement gibt und wie diese zusammenge­ setzt ist, obwohl diese Entscheidung natürlich von Faktoren wie der Firmengröße mitbestimmt wird. Generell lautet die Empfehlung: Wer sich zu einer hohen Risikoneigung bekannt hat (Typus „Risiko­ affiner“), sollte dem in seinem Risikomanagementprozess und seiner Organisationsstruktur Rechnung tragen. Hohe Risiken verlangen eine aufmerksame Verfolgung und Kontrolle.

Auswirkung von Gesetzen und Regularien

Gesetze und Normen beeinflussen nicht die Risikoneigung einer Institution an sich, aber den Umgang mit Risiken. Die Risiken nehmen durch regulatorischen Druck zu, sodass sich das Verhältnis von Risi­ koappetit zu den ursprünglichen Risiken verschieben kann. Jede Institution muss Sanktionen auf­ grund von rechtlichen oder vertraglichen Verstößen in ihr Risikokalkül mit aufnehmen. Ein Beispiel für Gesetze, die das Risikomanagement von Unternehmen beeinflussen, sind Daten­ schutzgesetze. Bei etlichen Unternehmen gab es trotz vorbeugender Maßnahmen Datenschutzpan­ nen. Vor dem Hintergrund dieser Erfahrungen sollte dies beim Risikomanagement berücksichtigt wer­ den. Insbesondere geht es darum, die gemachten Fehler, die zu den Datenschutzverstößen führten, zu lokalisieren und geeignete Maßnahmen abzuleiten und umzusetzen. Infrage kommen beispiels­ weise Schulungen der Mitarbeiter und Awareness-Kampagnen. Beispiele für Regularien durch Aufsichtsstellen gibt es viele, beispielsweise im Bankenwesen. Entschei­ dungen einer Institution, Risiken auf jeden Fall zu tragen, obwohl bei seriöser Betrachtung die Kapi­ taldecke dafür nicht ausreichen würde, werden durch Vorschriften der Finanzaufsicht unterbunden oder mit entsprechenden Sanktionen belegt.

Moderation der Risikoanalyse

Für eine Risikoanalyse müssen Fachverantwortliche bzw. Experten für die jeweils betrachteten Zielob­ jekte miteinbezogen werden. In der Praxis hat es sich bewährt, hierzu besser mehrere kurze als eine lange Sitzung mit allen beteiligten Mitarbeitern durchzuführen. Es sollten Informationssicherheitsbe­ auftragte, Fachverantwortliche, Administratoren und Benutzer des jeweils betrachteten Zielobjekts und gegebenenfalls auch externe Sachverständige daran teilnehmen. Es sollte ein Moderator benannt werden. Der Arbeitsauftrag an die Teilnehmer sollte klar formuliert sein und die Zeit für die Sitzungen begrenzt werden. Damit die für die jeweiligen Schritte der Risikoanalyse notwendigen Beschlüsse direkt konsolidiert werden können, z. B. zu Risikoakzeptanz, Kosten und Umsetzbarkeit, sollte (zumindest gegen Ende) ein Vertreter der Leitungsebene anwesend sein. Das Team sollte nicht zu groß sein (bewährt haben sich vier bis acht Personen). Es sollte im Team eine ausreichende Expertise für alle Aspekte des betrachteten Bereichs vorhanden sein:

  • Der Moderator sollte schon an Risikoanalysen teilgenommen haben, sodass er die Vorgehensweise kennt.
  • Die Besprechung sollte unter Rahmenbedingungen stattfinden, die ein ungestörtes Arbeiten er­möglichen, da eine hohe Konzentration erforderlich ist.
  • Der Analysebereich sollte klar abgegrenzt werden.
  • Es muss ein klarer Maßstab für die Bewertung von Risiken festgelegt werden, damit alle Risiken mit demselben Niveau behandelt werden und die ergriffenen Maßnahmen vergleichbar und nachvoll­ ziehbar sind.

Ermittlung zusätzlicher Gefährdungen

  • Alle Teilnehmer sollten den groben Rahmen der Risikoanalyse und des betrachteten Bereichs ken­

nen, sodass sie sich vorab Gedanken machen konnten über Gefährdungen, Schadensauswirkun­ gen und Maßnahmen. Dazu gehört auch, dass sie die zum betrachteten Bereich gehörenden Ob­ jekte kennen wie auch die zugehörigen Geschäftsprozesse, Hintergründe, Einbettung in die Orga­ nisation und die Technik sowie technische Grundlagen.

  • * * Alle Gefährdungen, die Teilnehmern einfallen, sollten auch genannt und diskutiert werden. Es ist

Aufgabe des Moderators, dafür zu sorgen, dass bei den Diskussionen die Ergebnisfindung nicht aus den Augen verloren wird. Detailfragen, die eine besondere Expertise erfordern, sollten im Vorfeld vorbereitet werden. Ein­ zelne Punkte können auch im Anschluss geklärt werden. Es sollte ein Ergebnisbericht erstellt werden. Da viele potenzielle Angriffspunkte diskutiert wurden, sollten die Unterlagen vertraulich behandelt werden. Für die Durchführung jeder Risikoanalyse sollte es klare zeitliche Vorgaben geben. Erfahrungen zeigen, dass die Resultate umso besser werden, je systematischer und konzentrierter vorgegangen wird, nicht je länger es dauert. Auch eine Risikoanalyse für komplexe Sachverhalte ist normaler­ weise an einem Tag zu schaffen. Wenn der betrachtete Bereich zu umfangreich ist, sollte er in Teilbereiche aufgeteilt werden. Auch bei einer Risikoanalyse sollte die 80:20-Regel beachtet wer- den. Da ohnehin nicht jeder mögliche Sachverhalt betrachtet werden kann, sollten immer die am wahrscheinlichsten Gefährdungen und die plausibelsten Lösungen im Vordergrund stehen. Wenn esoterische Gefährdungen diskutiert werden, also solche, die extrem selten und hochgradig un­ wahrscheinlich sind, ist das ein Zeichen, dass die erforderliche Konzentration nicht mehr gegeben ist.

Die folgenden Fragestellungen sollten bei der Ermittlung zusätzlicher Gefährdungen berücksichtigt

werden:

  • Von welchen Ereignissen aus dem Bereich höhere Gewalt droht besondere Gefahr für den Infor­mationsverbund?
  • Welche organisatorischen Mängel müssen vermieden werden, um die Informationssicherheit zu gewährleisten?
  • Welche menschlichen Fehlhandlungen können die Sicherheit der Informationen besonders beein­trächtigen?
  • Welche speziellen Sicherheitsprobleme können beim jeweils betrachteten Zielobjekt durch techni­sches Versagen entstehen?
  • Welche besondere Gefahr droht durch vorsätzliche Angriffe von Außentätern? Damit sind Perso­nen gemeint, die nicht der eigenen Institution angehören und auch nicht durch besondere Verein­barungen Zugang zu oder Zugriff auf interne Ressourcen haben.
  • Auf welche Weise können Innentäter durch vorsätzliche Handlungen den ordnungsgemäßen und sicheren Betrieb des jeweiligen Zielobjekts beeinträchtigen? Durch vorhandene Zugangs- und Zu­griffsberechtigungen sowie durch Insiderwissen droht hier oft besondere Gefahr.
  • Drohen besondere Gefahren durch Objekte, die nicht dem betrachteten Informationsverbund zuzurechnen sind? Solche externen Objekte können beispielsweise fremde Anwendungen, IT-Syste­me oder bauliche Gegebenheiten sein. Die Definition des betrachteten Informationsverbunds dient dazu, den Untersuchungsgegenstand für die Sicherheitskonzeption festzulegen. Dies darf jedoch nicht dazu führen, dass Gefahren, die von außerhalb des betrachteten Informationsverbunds aus­ gehen, bei der Risikoanalyse vernachlässigt werden. Quellen für diese speziellen Gefährdungen sind etwa die
  • Dokumentation des Herstellers
  • Warn- und Informationsdienste von Computer Emergency Response Teams (CERTs), wie dem des BSI unter https://www.cert-bund.de
  • Publikationen über Schwachstellen im Internet (z. B. Threat Intelligence Feeds) und eigene Bedro­hungsanalysen

Zusammenspiel mit ISO/IEC 31000

In den internationalen Normen zum Risikomanagement und zur Risikobeurteilung, insbesondere der ISO/IEC 31000, werden einige Begriffe anders belegt, als es im deutschen Sprachraum üblich ist. In der nachfolgenden Tabelle sind die wesentlichen Begriffe aus ISO/IEC 31000 und dem BSI-Standard 200-3 einander gegenübergestellt. Diese Gegenüberstellung dient der Zuordnung der Begriffe der ISO 31000 zu den Begriffen der BSI-Standards 200-2 und 200-3 (siehe Abbildung 7). ISO/IEC 31000 und IT-Grundschutz ISO/IEC 31000:2009 Establishing the Context, Kapitel 5.3 Risk Assessment, Kapitel 5.4

  • Risk Identification
  • Risk Analysis
  • Risk Evaluation

Risk Identification, Kapitel 5.4.2 Risk Analysis, Kapitel 5.4.3 Risk Evaluation, Kapitel 5.4.4 Risk Treatment, Kapitel 5.5 Communication and Consultation, Kapitel5.2 IT-Grundschutz BSI-Standard 200-1 (siehe [BSI1]), Managementprinzipien, Kapitel 4 Planung des Sicherheitsprozesses, Kapitel 7.1 BSI-Standard 200-2 Initiierung des Sicherheitsprozesses, Kapitel 3 BSI-Standard 200-3 Risikobeurteilung, Kapitel 1

  • Erstellung einer Gefährdungsübersicht
  • Risikoeinschätzung
  • Risikobewertung

BSI-Standard 200-3 Erstellung einer Gefährdungsübersicht, Kapitel 4 BSI-Standard 200-3 Risikoeinschätzung, Kapitel 5.1 BSI-Standard 200-3, Risikobewertung, Kapitel 5.2 BSI-Standard 200-3, Risikobehandlung, Kapitel 6 BSI-Standard 200-1, Kommunikation und Wissen, Kapitel 4.2 BSI-Standard 200-2 Informationsfluss im Informationssicherheitsprozess, Kapitel 5.2


ISO/IEC 31000:2009 Monitoring and Review, Kapitel 5.6 IT-Grundschutz BSI-Standard 200-1 Aufrechterhaltung der Informationssicherheit, Kapi­ tel 7.4 Kontinuierliche Verbesserung der Informati­ onssicherheit, Kapitel 7.5 BSI-Standard 200-2 Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit, Kapitel 10 BSI-Standard 200-3 Risiken unter Beobachtung, Kapitel 6.2 Tabelle 11: Gegenfberstellung der Begriffe aus ISO/IEC 31000 und dem BSI-Standard 200-3

Literaturverzeichnis

[27005] ISO/IEC 27005:2011, International Organization for Standardization (Hrsg.), Informati­ on technology – Security techniques – Information security risk management, ISO/IEC JTC 1/SC 27, 2011 [31000] ISO/IEC 31000:2009, International Organization for Standardization (Hrsg.), Risk ma­ nagement – Principles and guidelines, ISO/TC 262, 2009 [31010] ISO 31000:2009, International Organization for Standardization (Hrsg.), Risk manage­ ment – Risk assessment techniques, ISO/TC 262, 2009 [BSI1] Managementsysteme für Informationssicherheit (ISMS), BSI-Standard 200-1, Version 1.0, Oktober 2017, https://www.bsi.bund.de/grundschutz [BSI2] IT-Grundschutz-Methodik, BSI-Standard 200-2, Version 1.0, Oktober 2017, https://www.bsi.bund.de/grundschutz [BSI4] Notfallmanagement, BSI-Standard 100-4, Version 1.0, November 2008, https://www.bsi.bund.de/grundschutz [GSK] IT-Grundschutz-Kompendium, BSI, jährlich neu, https://www.bsi.bund.de/grundschutz [ISACA] Leitfaden ISO 31000 in der IT mit Vergleich zu anderen Standards, ISACA German Chapter e.V. und Risk Management Association e.V., Juni 2014, https://www.isaca.de/sites/pf7360fd2c1.dev.team-wd.de/files/attache­ ments/2014_11_isaca-leitfadenanwendungderiso31000inderit.pdf [Koenigs] IT-Risikomanagement mit System – Praxisorientiertes Management von Informationssi­ cherheit und IT-Risiken, Hans-Peter Koenigs, Springer, 2013 [NIST800-30] Guide for Conducting Risk Assessments, NIST Special Publication 800-30, September 2012, http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf [SHB] IT-Sicherheitshandbuch – Handbuch für die sichere Anwendung der Informationstech­ nik, BSI, Version 1.0, März 1992, Bundesdruckerei