BSI/200-3/Gefährdungsübersicht

Aus Foxwiki

Gefährdungsübersicht ergänzen

Auch wenn die Zusammenstellung elementarer Gefährdungen vielfältige Bedrohungen berücksichtigt, denen Informationen und Informationstechnik ausgesetzt sind, so kann dennoch nicht ausgeschlossen werden, dass weitere Gefährdungen zu betrachten sind.

  • Dies gilt insbesondere dann, wenn es für ein Zielobjekt in untypischen Einsatzszenarien betrieben wird.

Im Anschluss an den ersten Teilschritt prüfen Sie daher, ob neben den relevanten elementaren Gefährdungen weitere Gefährdungen zu untersuchen sind.

Wie finden Sie zusätzliche Gefährdungen?

Zusätzliche Gefährdungen
  • Moderiertes Brainstorming mit klarem Auftrag und Zeitbegrenzung
  • Gefährdungen, die nicht in den IT-Grundschutz-Katalogen aufgeführt sind
  • Realistische Gefährdungen mit nennenswerten Schäden 3 Grundwerte berücksichtigen
  • Höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen, Außen-/Innentäter
  • Externe Quellen einbeziehen
Ein bewährtes Mittel

Mögliche Gefährdungen zu ermitteln, ist ein von dem oder einem anderen Sicherheitsexperten moderierter Workshop, an dem diejenigen Mitarbeiterinnen und Mitarbeiter zu beteiligen sind, die in irgendeiner Weise mit der betrachteten Komponente in Verbindung stehen (zum Beispiel Administratoren, Anwendungsbetreuer, Benutzer).

  • Hinweise auf Gefährdungen können auch weitere Quellen liefern, etwa Herstellerdokumentationen oder Publikationen im Internet.

Worauf sollten Sie achten?

Unter Umständen können in dem Workshop zahlreiche und vielfältige Gefährdungen diskutiert werden.
  • Um die sich anschließende Bewertung der Gefährdungen nicht unnötig zu erschweren, sollten Sie
  • sich auf diejenigen Gefährdungen konzentrieren, die Grundwerte beeinträchtigen, in denen das betrachtete Zielobjekt den Schutzbedarf sehr hoch oder hoch hat,
  • alle Gefahrenbereiche berücksichtigen, nach denen die Gefährdungskataloge gruppiert sind, also höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen und vorsätzliche Angriff von Außen- und Innentätern, und die Gefährdungen entsprechend gruppieren,
  • auf die Relevanz der Vorschläge achten, also nur solche Gefährdungen weiter verfolgen, die zu nennenswerten Schäden führen können und im behandelten Zusammenhang realistisch sind,
  • bei jedem vorgebrachten Vorschlag prüfen, ob die betreffende Gefährdung nicht bereits durch eine vorhandene Gefährdung abgedeckt wird, sowie
  • die verbleibenden Vorschläge verallgemeinern, um die Anzahl der in den künftigen Schritten zu berücksichtigenden Gefährdungen zu verringern.
Die Ermittlung der Gefährdungen verlangt ebenso wie die weiteren Schritte bei der Risikoanalyse vertiefte Fachkenntnisse.
  • Öffentlich zugängliche Informationen, wie Zeitschriftenartikel oder Quellen im Internet, können Ihnen in vielen Fällen wertvolle Hinweise geben.
  • Oft empfiehlt es sich auch, auf das Know-how externer Experten zurückzugreifen.

Beispiel

Die Diskussion weiterer zu betrachtender Gefährdungen bei der RECPLAST ergibt, dass für den gesamten Informationsverbund mögliche Manipulationen durch Familienangehörige und Besucher aufgrund der häufigen Anwesenheit dieser Personengruppen als zusätzliche Gefährdung zu betrachten sind.

Diese wird wie folgt beschrieben.

G z.1 Manipulation durch Familienangehörige und Besucher.Familienangehörige und Besucher haben zeitweise Zutritt zu bestimmten Räumlichkeiten des Unternehmens. 
* Es besteht die Gefahr, dass diese Personen dies als Gelegenheit nutzen, unerlaubte Veränderungen an Hardware, Software oder Informationen vorzunehmen. 
* Diese zusätzliche Gefährdung konkretisiert die elementaren Gefährdungen G 0.21 Manipulation von Hard- oder Software und G 0.22 Manipulation von Informationen.

Daneben wurden weitere zusätzliche Gefährdungen ermittelt, etwa die Beschädigung von im Fertigungsbereich aufgrund der dort bestehenden besonderen Umgebungsbedingungen (z. B. Staub, Erschütterungen).

  • Diese Gefährdung ist bei Risikoanalysen von -Komponenten mit hohem oder sehr hohem Schutzbedarf zu berücksichtigen.


TMP

Gefährdungsübersicht

"Schritte bei der Risikoanalyse: Gefährdungsübersicht erstellen (Bild hat eine Langbeschreibung)"

Der erste Schritt einer Risikoanalyse ist es, die Risiken zu identifizieren, denen ein Objekt oder ein Sachverhalt ausgesetzt ist.

  • Hierfür ist zunächst zu beschreiben, welchen Gefährdungen das Objekt oder der Sachverhalt unterliegt.

Gemäß -Standard 200-3 verwenden Sie hierfür die elementaren Gefährdungen als Ausgangspunkt.

Hierbei sind zwei Fälle zu unterscheiden:

  • Es gibt für ein Zielobjekt (noch) keinen passenden Baustein.In diesem Fall ziehen Sie die vollständige Liste der elementaren Gefährdungen hinzu und prüfen, welche der Gefährdungen für das betreffende Zielobjekt relevant sind.
  • Es gibt einen passenden Baustein für das Zielobjekt.In diesem Fall wurde bereits vorab eine Risikoanalyse für den betreffenden Zielobjekt-Typ durchgeführt und in den Bausteinen tabellarisch dargestellt, welche elementaren Gefährdungen relevant sind und mit welchen Anforderungen diesen Gefährdungen jeweils begegnet wird.
  • Es ist Ihre Aufgabe, zu prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können.

Die Relevanz einer Gefährdung bestimmen Sie mit Hilfe der möglichen Einwirkung einer Gefährdung.

  • Dabei ist zu unterscheiden, ob eine Gefährdung unmittelbar (direkt) oder nur indirekt über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkt.
  • Nur Gefährdungen mit direkter Relevanz nehmen Sie in die Gefährdungsübersicht auf.

Beispiel

Für den Virtualisierungsserver S007 sind gemäß der Modellierung die folgenden drei Grundschutz-Bausteine relevant
SYS.1.1 Allgemeiner Server, SYS.1.3 Server unter Unix und SYS.1.5 Virtualisierung.

Aus den in diesen Bausteinen referenzierten elementaren Gefährdungen lässt sich die folgende auszugsweise wiedergegebene Übersicht relevanter Gefährdungen zusammenstellen:

Gefährdung Beschreibung
G 0.14 Ausspähen von Informationen (Spionage)
G 0.15 Abhören
G 0.18 Fehlplanung oder fehlende Anpassung
G 0.19 Offenlegung schützenswerter Informationen
G 0.21 Manipulation von Hard- oder Software
G 0.22 Manipulation von Informationen
G 0.23 Unbefugtes Eindringen in IT-Systeme
G 0.25 Ausfall von Geräten oder Systemen
G 0.26 Fehlfunktion von Geräten oder Systemen
G 0.28 Software-Schwachstellen oder -Fehler
G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen
G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen
G 0.32 Missbrauch von Berechtigungen
G 0.40 Verhinderung von Diensten (Denial of Service)
G 0.43 Einspielen von Nachrichten
G 0.45 Datenverlust
G 0.46 Integritätsverlust schützenswerter Informationen


TMP

Erstellung einer Gefährdungsübersicht

BSI/Standard/200-3/Gefährdungsübersicht/Ementaren Gefährdungen

Ermittlung zusätzlicher Gefährdungen

Für die betrachteten Zielobjekte gibt es unter Umständen einzelne zusätzliche Gefährdungen, die über die elementaren Gefährdungen hinausgehen und sich aus dem spezifischen Einsatzszenario oder Anwendungsfall ergeben. Diese müssen ebenfalls berücksichtigt werden. Für die Informationssicherheit relevante Gefährdungen sind solche,

  • die zu einem nennenswerten Schaden führen können und
  • die im vorliegenden Anwendungsfall und Einsatzumfeld realistisch sind.

Die elementaren Gefährdungen wurden so ausgewählt, dass sie eine kompakte, gleichzeitig angemessene und in typischen Szenarien vollständige Grundlage für Risikoanalysen bieten. Daher sollte der Fokus bei der Ermittlung zusätzlicher Gefährdungen nicht darauf liegen, weitere elementare Gefährdungen zu identifizieren. Es kann aber sinnvoll sein, spezifische Aspekte einer elementaren Gefährdung zu betrachten, da dieser Schritt es erleichtern kann, spezifische Maßnahmen zu identifizieren.

Hinweis Falls eine Institution im Rahmen dieses Schrittes eine weitere generische Gefährdung identifiziert, die bisher nicht im IT-Grundschutz-Kompendium enthalten ist, sollte sie dies dem BSI mitteilen, damit der Katalog der elementaren Gefährdungen entsprechend erweitert werden kann.

Bei der Ermittlung zusätzlicher relevanter Gefährdungen sollte der Schutzbedarf des jeweiligen Zielobjekts in Bezug auf die drei Grundwerte der Informationssicherheit Vertraulichkeit, Integrität und Verffgbarkeit berücksichtigt werden:

  • Hat das Zielobjekt in einem bestimmten Grundwert den Schutzbedarf sehr hoch, sollten vorrangig solche Gefährdungen gesucht werden, die diesen Grundwert beeinträchtigen.
  • Auch wenn das Zielobjekt in einem bestimmten Grundwert den Schutzbedarf hoch hat, sollten solche Gefährdungen gesucht werden, die diesen Grundwert beeinträchtigen.
  • Hat das Zielobjekt in einem bestimmten Grundwert den Schutzbedarf normal, sind die empfohlenen Sicherheitsanforderungen für diesen Grundwert in der Regel ausreichend, sofern das Zielobjekt mit den existierenden Bausteinen des IT-Grundschutzes modelliert werden kann.

Unabhängig vom Schutzbedarf des betrachteten Zielobjekts ist die Identifikation zusätzlicher relevan#ter Gefährdungen besonders wichtig, wenn es im IT-Grundschutz-Kompendium keinen geeigneten Baustein für das Zielobjekt gibt oder wenn das Zielobjekt in einem Einsatzszenario (Umgebung, An#wendung) betrieben wird, das im IT-Grundschutz-Kompendium nicht vorgesehen ist. Hinweise, welche Fragestellungen bei der Identifikation zusätzlicher Gefährdungen betrachtet werden sollten, finden sich im Anhang (siehe Kapitel 9). In der Praxis ist es oft so, dass zusätzliche Gefährdungen gleich mehrere Zielobjekte betreffen. Die identifizierten zusätzlichen Gefährdungen werden in der Gefährdungsübersicht ergänzt.


Wichtig Wenn relevante Gefährdungen nicht berfcksichtigt werden, kann dies zu Lfcken im resultierenden Sicherheitskonzept ffhren. Im Zweifelsfall sollte daher sorgfältig analysiert werden, ob und

(wenn ja) welche Gefährdungen noch fehlen. Hierbei ist es oft ratsam, auf externe Beratungsdienstleistungen zurfckzugreifen. In der Praxis hat es sich bewährt, zur Identifikation zusätzlicher Gefährdungen ein gemeinsames Brainstorming mit allen beteiligten Mitarbeitern durchzuführen. Es sollten Informationssicherheitsbeauftragte, Fachverantwortliche, Administratoren und Benutzer des jeweils betrachteten Zielobjekts und gegebenenfalls auch externe Sachverständige beteiligt werden. Der Arbeitsauftrag an die Teilnehmer sollte klar formuliert sein und die Zeit für das Brainstorming begrenzt werden. Ein Experte für Informationssicherheit sollte das Brainstorming moderieren.

Beispiel (Auszug RECPLAST)

Im Rahmen eines Brainstormings identifiziert das Unternehmen RECPLAST unter anderem folgen­de zusätzliche Gefährdungen:

Gesamter Informationsverbund G z.1 Manipulation durch Familienangehörige und Besucher Familienangehörige und Besucher haben zeitweise Zutritt zu bestimmten Räumlichkeiten des Unte­ nehmens. Es besteht die Gefahr, dass diese Personen dies als Gelegenheit nutzen, unerlaubte Ver­ änderungen an Hardware, Software oder Informationen vorzunehmen. Diese zusätzliche Gefährdung konkretisiert die elementaren Gefährdungen G 0.21 Manipulation von Hard- oder Software und G 0.22 Manipulation von Informationen. usw. Switch N3 Vertraulichkeit: normal Integrität: normal Verfügbarkeit: hoch G z.2 Beschädigung von Informationstechnik im Fertigungsbereich Der Client C1 und der Switch N3 werden im Fertigungsbereich des Unternehmens betrieben und sind deshalb besonderen physischen Gefahren ausgesetzt. Die Geräte können beschädigt, zerstört oder deren Lebensdauer reduziert werden. (Konkretisierung von G 0.24 Zerstörung von Geräten oder Datenträgern) usw. 24 Datenbank A1 Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch Im Rahmen des Brainstormings wurden keine zusätzlichen Gefährdungen identifiziert, allerdings wurde festgestellt, dass zusätzliche Sicherheitsanforderungen erforderlich sind, um die Gefährdun­ gen G 0.28 Software-Schwachstellen oder -fehler und G 0.32 Missbrauch von Berechtigungen bei erhöhtem Schutzbedarf zu reduzieren. Dieses Ergebnis wird für den Arbeitsschritt Behandlung von Risiken vorgemerkt.