BSI/200-3/Risikobehandlung

Aus Foxwiki

Risikobehandlungsoptionen

Wie bereits in Kapitel 5 dargestellt, sind je nach Risikoappetit einer Institution unterschiedliche Risikoakzeptanzkriterien möglich.

  • Im Folgenden wird davon ausgegangen, dass eine Institution „geringe“ Risiken grundsätzlich akzeptiert, „mittlere“, „hohe“ und „sehr hohe“ Risiken jedoch nur in Ausnahmefällen.

In der Praxis ergeben sich im Rahmen der Risikoeinstufung meist mehrere Gefährdungen, aus denen sich Risiken in den Stufen „mittel“, „hoch“ oder „sehr hoch“ ergeben. Es muss entschieden werden, wie mit diesen verbleibenden Risiken umgegangen wird.

  • Es müssen also geeignete Risikobehandlungsoptionen ausgewählt werden.
  • Risiken können
  • vermieden werden, indem beispielsweise die Risikoursache ausgeschlossen wird,
  • reduziert werden, indem die Rahmenbedingungen, die zur Risikoeinstufung beigetragen haben, modifiziert werden,
  • transferiert werden, indem die Risiken mit anderen Parteien geteilt werden,
  • akzeptiert werden, beispielsweise weil die mit dem Risiko einhergehenden Chancen wahrgenommen werden sollen.

Im Folgenden werden die Risikobehandlungsoptionen der Vermeidung, Reduktion und des Transfers näher betrachtet.

  • Darauf aufbauend, muss eine Institution Risikoakzeptanzkriterien festlegen und die

Risikobehandlung darauf abbilden.

  • Bei der Entscheidung, wie mit den identifizierten Risiken umgegangen wird, muss auf jeden Fall die Leitungsebene beteiligt werden, da sich aus der Entscheidung unter Umständen erhebliche Schäden ergeben oder zusätzliche Kosten entstehen können.

Für jede Gefährdung in der vervollständigten Gefährdungsübersicht mit Risikokategorie „mittel“, „hoch“ oder „sehr hoch“ müssen folgende Fragen beantwortet werden: A: Risikovermeidung: Ist es sinnvoll, das Risiko durch eine Umstrukturierung des Geschäftsprozesses oder des Informationsverbunds zu vermeiden? Gründe für diesen Ansatz können beispielsweise sein:

  • Alle wirksamen Gegenmaßnahmen sind mit hohem Aufwand verbunden und damit sehr teuer, die verbleibende Gefährdung kann aber trotzdem nicht hingenommen werden.
  • Die Umstrukturierung bietet sich ohnehin aus anderen Gründen an, z. B. zur Kostensenkung.
  • Es kann einfacher und eleganter sein, die vorhandenen Abläufe zu ändern, als sie durch Hinzufügen von Sicherheitsmaßnahmen komplexer zu machen.
  • Alle wirksamen Gegenmaßnahmen würden erhebliche Einschränkungen für die Funktion oder den

Komfort des Systems mit sich bringen. B: Risikoreduktion (Risikomodifikation): Ist es sinnvoll und möglich, das Risiko durch weitere Sicherheitsmaßnahmen zu reduzieren? Das Risiko durch die verbleibende Gefährdung kann möglicherweise gesenkt werden, indem eine oder mehrere ergänzende Sicherheitsmaßnahmen erarbeitet und umgesetzt werden, die der Gefähr­dung entgegenwirken.

  • Als Informationsquellen über ergänzende Sicherheitsmaßnahmen kommen beispielsweise folgende infrage:
  • die Dokumentation und der Service des Herstellers, wenn es sich bei dem betroffenen Zielobjekt um ein Produkt handelt,
  • Standards und Best Practices, wie sie beispielsweise von Gremien im Bereich der Informationssicherheit erarbeitet werden,
  • andere Veröffentlichungen und Dienstleistungen, die beispielsweise im Internet oder von spezialisierten Unternehmen angeboten werden,
  • Erfahrungen, die innerhalb der eigenen Institution oder bei Kooperationspartnern gewonnen wurden.

Der hypothetische Aufwand und mögliche Kosten für gegebenenfalls erforderliche Sicherheitsmaßnahmen und Informationen über bereits vorhandene Sicherheitsmechanismen sind wichtige Entscheidungshilfen. C: Risikotransfer (Risikoteilung): Ist es sinnvoll, das Risiko an eine andere Institution zu übertragen, beispielsweise durch den Abschluss eines Versicherungsvertrags oder durch Outsourcing? Gründe für diesen Ansatz können beispielsweise sein:

  • Die möglichen Schäden sind rein finanzieller Art.
  • Es ist ohnehin aus anderen Gründen geplant, Teile der Geschäftsprozesse auszulagern.
  • Der Vertragspartner ist aus wirtschaftlichen oder technischen Gründen besser in der Lage, mit dem

Risiko umzugehen. Wenn im Rahmen der Risikobehandlung zusätzliche Sicherheitsanforderungen identifiziert werden, muss die Risikoeinstufung (siehe nachfolgende Beispiele) für die betroffenen Zielobjekte entspre­ chend angepasst werden.

  • Zu beachten ist dabei, dass neue Anforderungen unter Umständen nicht nur Auswirkungen auf das jeweils analysierte Zielobjekt haben, sondern auch auf andere Zielobjekte.

Die zusätzlichen Anforderungen und die daraus resultierenden Sicherheitsmaßnahmen werden im Sicherheitskonzept dokumentiert. Wenn im Rahmen der Risikobehandlung Änderungen an den Geschäftsprozessen oder am Informationsverbund vorgenommen wurden, etwa durch Risikovermeidung oder Risikotransfer, müssen diese insgesamt im Sicherheitskonzept berücksichtigt werden.

  • Dies betrifft im Allgemeinen auch Arbeitsschritte, die in der IT-Grundschutz-Vorgehensweise gemäß BSI-Standard 200-2 dargestellt sind, beginnend bei der Strukturanalyse.
  • Selbstverständlich kann dabei aber auf die bisher erarbeiteten Informationen und Dokumente zurückgegriffen werden.

Beim Risikotransfer ist die sachgerechte Vertragsgestaltung einer der wichtigsten Aspekte.

  • Besonders bei Outsourcing-Vorhaben sollte hierzu auf juristischen Sachverstand zurückgegriffen werden.
  • Die

Entscheidung wird von der Leitungsebene getroffen und nachvollziehbar dokumentiert. D: Risikoakzeptanz: Können die Risiken auf Basis einer nachvollziehbaren Faktenlage akzeptiert werden? Die Schritte der Risikoeinstufung und Risikobehandlung werden so lange durchlaufen, bis die Risikoakzeptanzkriterien der Institution erreicht sind und das verbleibende Risiko („Restrisiko“) somit im Einklang mit den Zielen und Vorgaben der Institution steht. Das Restrisiko muss anschließend der Leitungsebene zur Zustimmung vorgelegt werden (Risikoakzeptanz).

  • Damit wird nachvollziehbar dokumentiert, dass die Institution sich des Restrisikos bewusst

34

6 Behandlung von Risiken ist.

  • Idealerweise akzeptiert eine Institution nur Risiken der Stufe „gering“.
  • In der Praxis ist dies aber nicht immer zweckmäßig.
  • Gründe, auch höhere Risiken zu akzeptieren, können beispielsweise sein:
  • Die entsprechende Gefährdung führt nur unter ganz speziellen Voraussetzungen zu einem Schaden.
  • Gegen die entsprechende Gefährdung sind derzeit keine wirksamen Gegenmaßnahmen bekannt und sie lässt sich in der Praxis auch kaum vermeiden.
  • Aufwand und Kosten für wirksame Gegenmaßnahmen überschreiten den zu schützenden Wert.
Hinweis

Auch diejenigen IT-Grundschutz-Anforderungen, die im IT-Grundschutz-Kompendium als Anforderungen bei erhöhtem Schutzbedarf aufgeführt sind sowie die zugehörigen Maßnahmen, können als Anhaltspunkte ffr weiterführende Sicherheitsmaßnahmen im Rahmen einer Risikoanalyse herangezogen werden.

  • Dabei handelt es sich um Beispiele, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und in der Praxis häufig angewandt werden.
  • Zu beachten ist jedoch, dass Anforderungen bei erhöhtem Schutzbedarf grundsätzlich empfehlenswert sind, aber auch bei hohen Sicherheitsanforderungen nicht automatisch verbindlich werden.
  • Somit müssen sie auch nicht zwingend in eine Risikoanalyse einbezogen werden.

Risikobehandlungsoptionen

Image:Abb_7_09_Schritt3.png?__blob=normal&v=1Bild20.png|top|alt="Risikoanalyse - Risiken behandeln (Bild hat eine Langbeschreibung)"
In der Regel wird die Gefährdungsbewertung aufzeigen, dass nicht alle Gefährdungen durch das vorhandene Sicherheitskonzept ausreichend abgedeckt sind
  • In diesem Fall müssen Sie überlegen, wie angemessen mit den verbleibenden Gefährdungen umgegangen werden kann, und eine begründete Entscheidung hierzu treffen.
Image:Abb_7_09_RisikenBehandeln.png?__blob=normal&v=1Bild21.png|top|alt="Risikobehandlung (Bild hat eine Langbeschreibung)"
Risikobehandlungsoptionen

Möglichkeiten (Risikooptionen) mit Risiken umzugehen

Option Beschreibung Erläuterung
A Risikovermeidung Umstrukturierung
  • Umstrukturierung der Geschäftsprozesse
  • Die Risiken können vermieden werden, indem der Informationsverbund so umstrukturiert wird, dass die Gefährdung nicht mehr wirksam werden kann.
  • Dies bietet sich beispielsweise an, wenn Gegenmaßnahmen zwar möglich sind, aber einen zu hohen Aufwand bedeuten und gleichzeitig das Risiko nicht akzeptiert werden kann.
B Risikoreduktion/Risikomodifikation Sicherheitsmaßnahmen
  • Die Risiken können durch zusätzliche, höherwertige Sicherheitsmaßnahmen verringert werden.
  • Sofern es für das Zielobjekt, das Sie in der Risikoanalyse betrachtet haben, bereits einen Baustein im Grundschutz-Kompendium gibt, finden Sie in den dort genannten Anforderungen für den erhöhten Schutzbedarf und den zugehörigen Umsetzungsempfehlungen erste Hinweise auf geeignete Maßnahmen.
  • Weitere Quellen sind beispielsweise Produktdokumentationen, Standards zur Informationssicherheit und Fachveröffentlichungen.
C Risikotransfer Risiken verlagern
  • Durch Abschluss von Versicherungen oder durch Auslagerung der risikobehafteten Aufgabe an einen externen Dienstleister kann zum Beispiel ein möglicher finanzieller Schaden (zumindest teilweise) auf Dritte abgewälzt werden.
  • Achten Sie bei dieser Lösung auf eine sachgerechte, eindeutige Vertragsgestaltung!
D Risikoakzeptanz Risiken sind akzeptabel
  • Weil die Gefährdung nur unter äußerst speziellen Bedingungen zu einem Schaden führen könnte
  • Weil keine hinreichend wirksamen Gegenmaßnahmen bekannt sind oder
  • Weil der Aufwand für mögliche Schutzmaßnahmen unangemessen hoch ist

Ein Risiko kann nur dann akzeptiert werden, wenn das (z. B. nach Umsetzung von Schutzmaßnahmen verbleibende) Restrisiko von der Institution getragen werden kann, sich also im Einklang mit den festgelegten Risikoakzeptanzkriterien befindet.

Risikoverfolgung

Restrisiko

Restrisiko bleibt
Risiken unter Beobachtung

Manche Risiken können zwar vorübergehend in Kauf genommen werden, es ist aber damit zu rechnen, dass sich die Gefährdungslage in Zukunft verändern wird und die Risiken dann nicht mehr akzeptiert werden können.

  • In solchen Fällen empfiehlt es sich, die Risiken unter Beobachtung zu stellen und von Zeit zu Zeit zu prüfen, ob nicht doch ein Handlungsbedarf besteht.
  • Es ist zudem sinnvoll, bereits im Vorfeld geeignete Schutzmaßnahmen auszuarbeiten, so dass eine rasche Inbetriebnahme möglich ist, sobald die Risiken nicht mehr akzeptabel sind.
Beschlüsse müssen vom Management getragen werden
  • Es muss dazu bereit sein, die Kosten für die Reduktion oder den Transfer von Risiken wie auch die Verantwortung für die in Kauf genommenen Risiken zu übernehmen.
  • Binden Sie daher die Leitungsebene angemessen in die Beratungen ein.
  • Dokumentieren Sie die Entscheidungen so, dass sie von Dritten (z. B. Auditoren) nachvollzogen werden können, und lassen Sie dieses Schriftstück vom Management unterschreiben.


Beispiel

Entscheidungen zur Risikobehandlung
  • Gefährdungen für einen Virtualisierungsserver
Behandlung der Risiken
Gefährdung Titel Kategorie Behandlung Beschreibung
G 0.15 Abhören mittel D: Akzeptanz (hier bei Live-Migration)

(Risikoübernahme ohne zusätzliche Sicherheitsmaßnahme) Auf das Live-Migration-Netz dürfen nur befugte Administratoren zugreifen.

  • Diesen wird vertraut.
  • Das bestehende Restrisiko wird von der RECPLAST als vertretbar eingeschätzt und übernommen.
G 0.25 Ausfall von Geräten oder Systemen mittel B: Reduktion (hier Ausfall des Virtualisierungsservers)

Ergänzende Sicherheitsmaßnahme: Der Server ist redundant ausgelegt, damit ist sichergestellt, dass bei einem Ausfall die virtuelle Infrastruktur weiterhin problemlos betrieben wird. Das System wird so konfiguriert, dass bei Ausfall automatisch auf einen Ersatzrechner innerhalb des Clusters umgeschaltet und dadurch die Ausfallzeit verkürzt wird.
Mit ergänzenden Maßnahmen: gering


Anhang

Siehe auch

Dokumentation

Links

Projekt
Weblinks
Abgerufen von „https://wiki.foxtom.de/index.php?title=BSI/200-3/Risikobehandlung&oldid=78849