BSI/200-3/Risikoeinstufung

Aus Foxwiki
Version vom 29. August 2023, 23:09 Uhr von Dirkwagner (Diskussion | Beiträge) (Textersetzung - „Kategorie:BSI/Standard“ durch „Kategorie:Grundschutz/Standard“)

Risikoeinstufung

Risikoeinschätzung

Nachdem alle relevanten Gefährdungen identifiziert worden sind (siehe Kapitel 4), wird im nächsten Schritt das Risiko ermittelt, das von einer Gefährdung ausgeht.

  • Wie hoch dieses Risiko ist, hängt sowohl von der Eintrittshäufigkeit (Eintrittseinschätzung) der Gefährdung als auch von der Höhe des Schadens ab, der dabei droht.
  • Bei der Risikoeinschätzung müssen daher beide Einflussgrößen berücksichtigt werden.

Um Risiken mit angemessenem Aufwand einzuschätzen, gibt es kein einfaches allgemeingültiges Konzept.

  • Der Risikoanteil Schadenshöhe kann nur von der Institution selbst eingeschätzt werden.

Hierbei geht es darum, wie sich der Eintritt einer Gefährdung auswirken kann, d. h. welche Schäden finanzieller und anderer Art, welche direkten Schäden und welche Folgeschäden entstehen können. Darin geht auch ein, ob und mit welchem Aufwand sowie in welcher Zeit der Schaden zu beheben ist.

Die Eintrittshäufigkeit muss durch geeignetes Fachpersonal eingeschätzt werden und kann durch Statistiken und eigene Erfahrungen unterstützt werden.

  • Bei Statistiken muss allerdings beachtet werden, unter welchen Randbedingungen sie entstanden sind, da auch Statistiken für einen speziellen Anwendungszweck erstellt worden sind und daher nicht ohne Weiteres auf die speziellen Belange der Institution übertragen werden können.
  • Außerdem ist die Interpretation von statistischen Ergebnissen prinzipiell mit Unsicherheiten behaftet.

Grundsätzlich können Risiken entweder qualitativ oder quantitativ betrachtet werden.

  • Die quantitative Risikobetrachtung ist sehr aufwändig und setzt umfangreiches statistisches Datenmaterial voraus.

Solche umfangreichen Erfahrungswerte fehlen in den meisten Fällen im sehr dynamischen Umfeld der Informationssicherheit.

  • Daher ist es in den meisten Fällen praktikabler, sowohl für die Eintrittshäufigkeit als auch für die potenzielle Schadenshöhe mit qualitativen Kategorien zu arbeiten.
  • Pro Dimension sollten dabei nicht mehr als fünf Kategorien gewählt werden.

Um Risiken einzuschätzen, nutzt der IT-Grundschutz die im Folgenden beschriebenen Kategorien.

  • Jede Institution kann sowohl die Anzahl der Stufen als auch die Kriterien individuell festlegen.
  • Sie sollte die Einteilungen nutzen, die zu ihrem Managementsystem am besten passt.

Eintrittshäufigkeit: selten, mittel, häufig, sehr häufig

Potenzielle Schadenshöhe: vernachlässigbar, begrenzt, beträchtlich, existenzbedrohend

Hinweis

Jede Institution sollte insbesondere die Beschreibungen der Kategorien mit den Fachabteilungen abstimmen, damit deren Bedeutung für alle Mitarbeiter einfach nachvollziehbar ist.

  • Wenn ein konkretes Risiko von zwei unterschiedlichen Mitarbeitern einer Institution eingeschätzt wird, sollte dasselbe Ergebnis dabei herauskommen.

Eintrittshäufigkeit / Beschreibung

  • selten Ereignis könnte nach heutigem Kenntnisstand höchstens alle fünf Jahre eintreten.
  • mittel Ereignis tritt einmal alle fünf Jahre bis einmal im Jahr ein.

Eintrittshäufigkeit / Beschreibung häufig Ereignis tritt einmal im Jahr bis einmal pro Monat ein. sehr häufig Ereignis tritt mehrmals im Monat ein.

Tabelle 8: Kategorisierung von Eintrittshäufigkeiten

Schadenshöhe/Schadensauswirkungen vernachlässigbar Die Schadensauswirkungen sind gering und können vernachlässigt werden. begrenzt Die Schadensauswirkungen sind begrenzt und überschaubar. beträchtlich Die Schadensauswirkungen können beträchtlich sein. existenzbedrohend Die Schadensauswirkungen können ein existenziell bedrohliches, katastrophales Ausmaß erreichen.

Tabelle 9: Kategorisierung von Schadensauswirkungen

Es gibt Institutionen, die mit stärkerdifferenzierten Kategorien arbeiten, um damit dem Bedarf in verschiedenen Abteilungen oder Geschäftsprozessen gerecht zu werden. In der Praxis werden aber häufig nur wenige Kategorien pro Dimension verwendet. Die Mehrheit der Anwender neigt sogar dazu, de facto mit nur zwei Kategorien pro Dimension zu arbeiten, beispielsweise „begrenzt“ und „beträchtlich“.

Risikobewertung

Anhand der zuvor definierten Kategorien für die potenzielle Schadenshöhe sowie der Klassifikation für Eintrittshäufigkeiten von Gefährdungen legt das BSI folgende Risikomatrix (siehe Abbildung 3) fest. Sie dient lediglich dazu, die nachfolgenden Beispiele zu veranschaulichen, und sollte auf die eigenen Bedürfnisse angepasst werden -002dradnatS-ISBAbbildung 3: Matrix zur Einstufung von Risiken Risikokategorien gering Die bereits umgesetzten oder zumindest im Sicherheitskonzept vorgesehenen Sicher­ heitsmaßnahmen bieten einen ausreichenden Schutz. In der Praxis ist es üblich, geringe Risiken zu akzeptieren und die Gefährdung dennoch zu beobachten. mittel Die bereits umgesetzten oder zumindest im Sicherheitskonzept vorgesehenen Sicher­ heitsmaßnahmen reichen möglicherweise nicht aus. hoch Die bereits umgesetzten oder zumindest im Sicherheitskonzept vorgesehenen Sicher­ heitsmaßnahmen bieten keinen ausreichenden Schutz vor der jeweiligen Gefährdung. sehr hoch Die bereits umgesetzten oder zumindest im Sicherheitskonzept vorgesehenen Sicher­ heitsmaßnahmen bieten keinen ausreichenden Schutz vor der jeweiligen Gefährdung. In der Praxis werden sehr hohe Risiken selten akzeptiert. Tabelle 10: Definition von Risikokategorien Nachdem Risiken identifiziert, eingeschätzt und bewertet worden sind, ist das weitere Vorgehen (Ri­ sikobehandlungsstrategie) von Institution zu Institution sehr unterschiedlich. Eine generelle Empfeh­ lung zur Auswahl einer bestimmten Behandlungsstrategie kann das BSI nicht geben, da viele indivi­ duelle Aspekte betrachtet werden müssen. Insbesondere hängt die Risikobehandlungsstrategie sehr stark vom Risikoappetit der jeweiligen Institution ab (siehe Kapitel 9). Hinweis: Im Rahmen der Risikoeinstufung kommen oftmals erste Ideen zur Sprache, mit welchen Sicher­ heitsmaßnahmen den Gefährdungen begegnet werden kann. Diese Vorschläge sind ffr die nach­ folgenden Arbeitsschritte nftzlich und sollten deshalb notiert werden. Die Risikoeinstufung liefert eine Übersicht über das Ausmaß der Risiken, die sich aus den Gefährdun­ gen für das jeweilige Zielobjekt ergeben. Dabei werden die geplanten oder bereits umgesetzten Si­ cherheitsmaßnahmen berücksichtigt. Die Behandlung dieser Risiken ist Gegenstand des nächsten Abschnitts. Beispiel (Auszug): Bei der Beispielfirma RECPLAST GmbH wurde anhand der Gefährdungsfbersicht eine Risikoein­ stufung ffr

  • den Virtualisierungsserver S1 (ffr die Gefährdungen G 0.15 Abhören und G 0.25 Ausfall von

Geräten oder Systemen) sowie

  • das Datenbankmanagementsystem A1 (ffr die Gefährdungen G 0.28 Software-Schwachstel­

len oder -Fehler und Gefährdung G 0.32 Missbrauch von Berechtigungen) durchgeffhrt. Das Ergebnis kann den nachfolgenden Tabellen entnommen werden. 5 Risikoeinstufung Virtualisierungsserver S1 Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch Gefährdung: Beeinträchtigte Grundwerte: G 0.15 Abhören (hier Live-Migration) Vertraulichkeit Eintrittshäufigkeit ohne zusätzli­ Auswirkungen ohne zusätzliche Risiko ohne zusätzliche Maß­ che Maßnahmen: selten Maßnahmen: beträchtlich nahmen: mittel Beschreibung: Um den Virtualisierungsserver S1 warten zu können, werden alle virtuellen Maschinen (VMs), die darauf ausgeführt werden, auf den Virtualisierungsserver S6 verschoben (Live-Migration). Dabei werden aktuelle Speicherinhalte der VMs von S1 zu S6 übertragen. Aus Performancegründen ist darauf verzichtet worden, die Informationen zu verschlüsseln, sodass der Datenstrom grundsätzlich mitgelesen werden kann. Auch der Datenstrom vom Virtualisierungsserver S1 zu den angeschlossen zentralen Speichersystemen ist unverschlüsselt. Hierdurch können vertrauliche Informationen mit­ geschnitten werden. Bewertung: Um die virtuelle Infrastruktur sicher betreiben zu können, ist auf Netzebene auf eine geeignete Seg­ mentierung geachtet worden. Die einzelnen Netzsegmente (z. B. Managementnetz, Netz für die Live-Migration oder Storage-Netz) sind voneinander getrennt und so konfiguriert worden, dass diese von außen nicht zugänglich sind. Auf das Live-Migration-Netz dürfen nur befugte Administratoren zugreifen. Die Administration der virtuellen Infrastruktur ist in die zentrale Rechteverwaltung des Informationsverbunds eingebunden. Da nur befugte Administratoren auf das Live-Migration-Netz zugreifen dürfen, können die Speicher­ inhalte der übertragenen VMs nur von ihnen mitgelesen werden. Den Administratoren wird jedoch vertraut, sodass die Wahrscheinlichkeit für das Abhören als „selten“ eingeschätzt wird. Die Auswir­ kungen werden jedoch aufgrund der Vertraulichkeit der übertragenen Inhalte mit „beträchtlich“ eingeschätzt, wodurch sich ein mittleres Risiko ergibt.


Datenbank A1 Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch Gefährdung: Beeinträchtigte Grundwerte: G 0.28 Software-Schwachstellen oder -Fehler Vertraulichkeit, Integrität, Verfügbarkeit Eintrittshäufigkeit ohne zusätzli­ Auswirkungen ohne zusätzliche Risiko ohne zusätzliche Maß­ che Maßnahmen: häufig Maßnahmen: beträchtlich nahmen: hoch Beschreibung: Um Arbeitszeiten der Mitarbeiter zu erfassen, verwendet die RECPLAST GmbH eine Softwarelösung, die als Webanwendung implementiert ist. Auf die Webanwendung haben alle Mitarbeiter Zugriff und können ihre geleisteten Arbeitsstunden selbstständig eintragen. Die eingetragenen Arbeits­ stunden werden von den Abteilungsleitern geprüft und freigegeben. Zusätzlich werden den Mitar­ beitern über die Webanwendung am Monatsende die Gehaltsabrechnungen bereitgestellt. Für die Datenhaltung nutzt die Anwendung eine Datenbank, die im Datenbankmanagementsystem (DBMS) betrieben wird. Die Webanwendung beinhaltet in der eingesetzten Version eine bekannte SQL-Injection-Schwach­ stelle, die mit vergleichsweise wenig Aufwand ausgenutzt werden kann. Für die Webanwendung sind keine Updates mehr verfügbar, da der Hersteller der Softwarelösung Insolvenz anmelden muss­ te.

Bewertung

Auf dem Datenbankmanagementsystem sind alle Berechtigungen so restriktiv wie möglich verge­ ben, um zu verhindern, dass die Sicherheitslücke einer Anwendung Auswirkungen auf die Daten­ banken weiterer Anwendungen hat. Die Auswirkungen der SQL-Injection-Schwachstelle der Web­ anwendung bleiben also auf die Daten der Webanwendung selbst beschränkt. Da die SQL-Injection-Schwachstelle der Webanwendung öffentlich bekannt ist und relativ leicht ausgenutzt werden kann, wird die Wahrscheinlichkeit mit „häufig“ eingeschätzt. Wird die Lücke erfolgreich ausgenutzt, hat dies Auswirkungen auf die Vertraulichkeit und Integrität der eingegebe­ nen Arbeitsstunden, der Freigabe der Arbeitsstunden und der Gehaltsabrechnungen. Die Auswir­ kungen werden daher mit „beträchtlich“ angegeben. Hierdurch ergibt sich ein hohes Risiko. 30

5 Risikoeinstufung

Hinweis

Da oftmals sehr viele Zielobjekte und sehr viele Gefährdungen bearbeitet werden mfssen, ist der Fließtext bei der Beschreibung und Bewertung einer Gefährdung optional und dient in den obigen Beispielen nur dazu, das Ergebnis der Bewertung nachvollziehbar darzustellen. Bei den in der Tabelle erwähnten Maßnahmen handelt es sich in der Regel um Maßnahmen, die aus den Basis- und Standard-Anforderungen des IT-Grundschutz-Kompendiums abgeleitet worden sind. Die nachfolgende Darstellung (Bewertung der Gefährdungen G 0.25 Ausfall von Geräten oder Sys­ temen, G 0.32 Missbrauch von Berechtigungen usw.) ist bei Risikobewertungen vollkommen ausreichend. Virtualisierungsserver S1 Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch Gefährdung: G 0.25 Ausfall von Geräten oder Systemen (hier Ausfall des zentralen Verwaltungsservers) BeeinträchtigteVerfügbarkeit Grundwerte: Eintrittshäufigkeit ohne zusätz­ Auswirkungen ohne zusätzliche Risiko ohne zusätzliche Maßnah­ liche Maßnahmen: mittel Maßnahmen: beträchtlich men: mittel Datenbank A1 Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch Gefährdung: G 0.32 Missbrauch von Berechtigungen Beeinträchtigte Grundwerte: Vertraulichkeit, Integrität, Verfügbarkeit Eintrittshäufigkeit ohne zusätz­ Auswirkungen ohne zusätzliche Risiko ohne zusätzliche Maßnah­ liche Maßnahmen: selten Maßnahmen: existenzbedro­ men: mittel hend Bei dem fiktiven Unternehmen MUSTERENERGIE GmbH wurde für das Zielobjekt „Smart-Meter-Gateway-Administration Zx“ eine Risikoeinstufung (für die Gefährdungen G 0.18 Fehlplanung oder fehlende Anpassungen und G 0.32 Missbrauch von Berechti­ gungen) durchgeführt. Das Ergebnis kann der nachfolgenden Tabelle entnommen werden.


Smart-Meter-Gateway-Administration Zx Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch Gefährdung: Beeinträchtigte Grundwerte: G 0.18 Fehlplanung oder fehlende Anpas­ Verfügbarkeit, Vertraulichkeit, Integrität sung (hier: fehlende oder unzureichende Netz­ segmentierung) Eintrittshäufigkeit ohne zusätzliche Maß­ nahmen: häufig Gefährdung: G 0.32 Missbrauch von Berechtigungen Eintrittshäufigkeit ohne zusätzliche Maß­ nahmen: häufig usw. Auswirkungen ohne Risiko ohne zusätzliche Maßnah­zusätzliche Maß­ men: hoch nahmen: beträcht­lich Beeinträchtigte Grundwerte: Verfügbarkeit, Vertraulichkeit, Integrität Auswirkungen ohne Risiko ohne zusätzliche Maßnah­zusätzliche Maß­ men: hoch nahmen: beträcht­lich