Risikoanalyse nach BSI-Standard 100-3

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat verschiedene IT-Grundschutz-Standards veröffentlicht. Darin enthalten sind Methoden, Prozesse und Verfahren sowie Vorgehensweisen und Maßnahmen bezüglich der Informationssicherheit in Unternehmen oder Behörden. Die derzeit frei verfügbaren Standards sind folgende:

  • BSI-Standard 100-1: Managementsysteme für Informationssicherheit
  • BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise
  • BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
  • BSI-Standard 100-4: Notfallmanagement

Der BSI-Standard 100-3 erläutert, wie mit Hilfe der IT-Grundschutz-Kataloge des BSI eine vereinfachte Analyse von Risiken für IT-Systeme durchgeführt werden kann.

Zielobjekte dieser Risikoanalyse sind solche, die einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit aufweisen.

Erstellung der Gefährdungsübersicht

Ausgangspunkt der Risikoanalyse nach BSI-Standard 100-3 ist eine Betrachtung der Gefährdungen für die relevanten Zielobjekte. Hierbei soll auf die IT-Grundschutz-Kataloge (Bausteine und Gefährdungen) zurückgegriffen werden.

Ergebnis der Erstellung einer Gefährdungsübersicht soll eine Tabelle sein, die jedem Zielobjekt eine Liste mit relevanten Gefährdungen (IT-Grundschutz-Kataloge) zuordnet. Die Gefährdungen sollen anschließend für jedes Zielobjekt thematisch sortiert werden. Als letzter Schritt muss jedem Zielobjekt im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit eine Schutzbedarfsfeststellung zukommen (normal, hoch oder sehr hoch).

Ermittlung zusätzlicher Gefährdungen

In den IT-Grundschutz-Katalogen sind keine Gefährdungen aufgeführt, die

  • durch eine besondere Technologie, ein spezielles Produkt, oder einen besonderen Anwendungsfall bedingt sind,
  • unter gewöhnlichen Umständen nur unter sehr speziellen Voraussetzungen zu einem Schaden führen oder
  • sehr gute Fachkenntnisse, Gelegenheiten und Mittel des Angreifers voraussetzen.

Die betrachteten Zielobjekte müssen daher auch auf zusätzliche, nicht von den IT-Grundschutz-Katalogen erfasste Gefährdungen hin untersucht werden.

Beispiele: Ausschaltung eines Standortes mit Waffengewalt, technisch höchstkomplexe Angriffe, Schädigungen durch interne Administratoren.

Bei der Ermittlung dieser zusätzlichen Gefährdungen sollten auch die drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit eines jeden Zielobjekts berücksichtigt werden. Ist bei einem Zielobjekt einer der Grundwerte mit sehr hoch bewertet worden, sollten vorrangig solche zusätzlichen Gefährdungen ermittelt werden, die diesen Grundwert beeinträchtigen könnten.

Das BSI schlägt im Standard 100-3 vor, für die Ermittlung zusätzlicher Gefährdungen ein Brainstorming einzuberufen, an welchem IT-Sicherheitsbeauftragte, Projektleiter, Administratoren und Benutzer des jeweils betrachteten Zielobjekts teilnehmen.

Gefährdungsbewertung

Anhand der gebildeten Gefährdungsübersicht zu den einzelnen Zielobjekten wird geprüft, ob die bereits umgesetzten oder die im Sicherheitskonzept zumindest geplanten Sicherheitsmaßnahmen im Hinblick auf die festgestellten Gefährdungen genügend Schutz bieten. Bei den Sicherheitsmaßnahmen handelt es sich um die Standard-Sicherheitsmaßnahmen aus den IT-Grundschutz-Katalogen. Es wird auf Vollständigkeit, Mechanismenstärke und Zuverlässigkeit hin überprüft.

Vollständigkeit: Sind die bereits umgesetzten oder geplanten Sicherheitsmaßnahmen tatsächlich gegen alle Aspekte der Gefährdung wirksam?

Mechanismenstärke: Sind die Sicherheitsmaßnahmen stark genug, der Gefährdung zu begegnen?

Zuverlässigkeit: Können die Sicherheitsmaßnahmen eventuell umgangen werden?

Letztlich soll in diesem Schritt festgestellt werden, ob die Sicherheitsmaßnahmen laut IT-Grundschutz-Katalogen die Gefährdungen ausreichend verhindern können oder ob Restrisiken bestehen.

Behandlung von Risiken

In der Praxis stellt sich beim Schritt Gefährdungsbewertung meist heraus, dass die Standard-Sicherheitsmaßnahmen aus den IT-Grundschutz-Katalogen nicht ausreichend Schutz im Hinblick auf die ermittelten, zusätzlichen Gefährdungen bieten. Aus den verbleibenden Gefährdungen entsteht ein Risiko für das Unternehmen oder die Behörde.

Die verschiedenen Weisen, mit Restrisiken umzugehen, sind folgende:

  • Restrisiko akzeptieren (Beibehaltung)
  • Restrisiko verlagern/transferieren (Outsourcing)
  • Restrisiko weiter reduzieren (d.h. weitere Schutzmaßnahmen ergreifen)
  • Restrisiko durch Nichtbetreibung eines kritischen Assets komplett ausschalten (Vermeidung)

Datenschutzgesetze und BSI-Standard 100-3 Risikoanalyse:

Bezüglich der Risikoanalyse nach BSI-Standard 100-3 und insbesondere der verbleidenden Restrisiken müssen unter Berücksichtigung der Datenschutzgesetze folgende Punkte beachtet werden:

  • Bei der Risikobewertung kommt es zur Priorisierung von Risiken. Dieser teilweise rein wirtschaftlich und tatsächlich gedachte Umstand der Priorisierung von Risiken kann in Bezug auf Datenschutz Probleme bereiten. Die Datenschutzgesetze (LDSG, BDSG, EU-DS-GVO) sehen keinerlei Priorisierung vor, personenbezogene Daten sind zu schützen. Dies sollte bei der Priorisierung der Risiken berücksichtigt werden.
  • Der Risikotransfer (Outsourcing) ist datenschutzrechtlich durch die Bestimmungen der Auftragsdatenverarbeitung womöglich eingeschränkt.
  • Eine Risikobeibehaltung ist beim Datenschutz bezüglich technischer und organisatorischer Maßnahmen nicht zulässig – laut den Datenschutzgesetzen sind die TOMs gesetzeskonform vorzunehmen, es gibt keine diesbezügliche Abwägung.
  • Zur Risikovermeidung sehen die Datenschutzgesetze das, wenn möglich, Anonymisieren von personenbezogenen Daten vor,
  • sowie die TOMs zwecks Risikoreduktion.
 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*