BSI Standard 200-3: Unterschied zwischen den Versionen
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
Dirk (Diskussion | Beiträge) |
||
| (6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 4: | Zeile 4: | ||
|keywords=ISMS,BSI,IT-Grundschutz,Informationssicherheit,Risikomanagement,Risikoanalysen,Standard 200-3 | |keywords=ISMS,BSI,IT-Grundschutz,Informationssicherheit,Risikomanagement,Risikoanalysen,Standard 200-3 | ||
|description=Dieser Artikel beschreibt das Vorgehen zur Durchführung einer Risikoanalyse nach BSI Standard 200-3 "Risikoanalyse auf der Basis von IT-Grundschutz". | |description=Dieser Artikel beschreibt das Vorgehen zur Durchführung einer Risikoanalyse nach BSI Standard 200-3 "Risikoanalyse auf der Basis von IT-Grundschutz". | ||
}} | }}{{SHORTDESC:Durchführung einer Risikoanalyse nach BSI Standard 200-3}} | ||
[[Datei:Cube-1295080.png|alternativtext=Würfel|rechts|150x150px|Image by OpenClipart-Vectors from Pixabay]]''Dieser Artikel beschreibt kompakt das Vorgehen für eine Risikoanalyse nach dem BSI-Standard 200-3 "Risikoanalyse auf der Basis von IT-Grundschutz". Dabei handelt es sich um einen Best-Practice-Ansatz, der sich in der Praxis bewährt hat.'' | |||
== Einleitung == | == Einleitung == | ||
| Zeile 15: | Zeile 15: | ||
Es muss in der Organisation eine [[RiLi-Risikoanalyse|Richtlinie]] geben, die Vorgaben zur Methodik, Durchführung und Dokumetation von Risikoanalysen beschreibt. So ist ein einheitliches Vorgehen und eine Vergleichbarkeit von Risikoanalysen gewährleistet. | Es muss in der Organisation eine [[RiLi-Risikoanalyse|Richtlinie]] geben, die Vorgaben zur Methodik, Durchführung und Dokumetation von Risikoanalysen beschreibt. So ist ein einheitliches Vorgehen und eine Vergleichbarkeit von Risikoanalysen gewährleistet. | ||
==== Definition der Eintrittshäufigkeit ==== | ==== Definition der Eintrittshäufigkeit und Schadenshöhe ==== | ||
In der Richtlinie müssen die | In der Richtlinie müssen die Kategorien für Eintrittshäufigkeit und Schadenshöhe nachvollziehbar definiert werden. | ||
Im Standard werden hier für die Eintrittshäufigkeit die quantitativen Beispiele "selten, mittel, häufig, sehr häufig" genannt, die mit konkreten zeitlichen Beschreibungen wie "Ereignis tritt einmal im Jahr bis einmal pro Monat ein" definiert werden. Dies ist nicht immer sinnvoll und zielführend. Zum einen sind zeitliche Begriffe wie "selten" oder "häufig" sehr abstrakt, zum anderen sind zeitliche Definitionen von "einmal in 5 Jahren" bis "wöchentlich" nicht hilfreich, da die Eintrittshäufigkeit je nach betrachtetem Ereignis in ganz unterschiedlichen Dimensionen liegen kann. Für die Explosion eines Atomkraftwerkes würde man "selten" und "häufig" sicher ganz anders definieren als für einen Paketverlust in einem Netzwerk. | |||
In Standard wird unter Kapitel 5.1 Risikobewertung explizit darauf hingewiesen, dass eine quantitative Betrachtung sehr aufwändig sein kann und eine qualitative Bewertung praktikabler ist. Und dennoch findet sich im Standard und in der Praxis häufig die o.g. quantitativen Kategorien, weil sie ein Gefühl von "Berechenbarkeit" vermitteln. | |||
Da wir aber hier keine "gefühlte" Informationssicherheit machen wollen, werden hier im Beispiel im Gegensatz zum Standard Eintrittshäufigkeit und Schadenshöhe qualitative Kategorien beschrieben. | |||
==== Qualitative Kategorien Eintrittshäufigkeit ==== | |||
In der Richtlinie müssen die Kategorien für die Eintrittshäufigkeit (auch Eintrittswahrscheinlichkeit genannt) <u>nachvollziehbar</u> definiert sein. Beispiel: | |||
{| class="wikitable" | {| class="wikitable" | ||
! | ! | ||
! | !Kategorie | ||
!Definition | !Definition | ||
|- | |- | ||
| Zeile 26: | Zeile 35: | ||
|Die Gefährdung ist sehr abstrakt. | |Die Gefährdung ist sehr abstrakt. | ||
Es erfordert ein sehr hohes Fachwissen, interne Kenntnisse und erheblichen Aufwand des Angreifers. | Es erfordert ein sehr hohes Fachwissen, interne Kenntnisse und erheblichen Aufwand des Angreifers. | ||
Es ist praktisch noch nie vorgekommen und absehbar nicht zu erwarten oder erfordert ein Zusammentreffen mehrerer widriger Umstände. | Es ist praktisch noch nie vorgekommen und absehbar nicht zu erwarten oder erfordert ein Zusammentreffen mehrerer widriger Umstände. | ||
|- | |- | ||
| Zeile 32: | Zeile 42: | ||
|Die Gefährdung ist möglich aber nicht zu erwarten. | |Die Gefährdung ist möglich aber nicht zu erwarten. | ||
Ein Angriff erfordert interne Kenntnisse oder hohes Fachwissen. | Ein Angriff erfordert interne Kenntnisse oder hohes Fachwissen. | ||
Ein Vorfall ist bisher nicht bekannt oder nur einmalig aufgetreten. | Ein Vorfall ist bisher nicht bekannt oder nur einmalig aufgetreten. | ||
|- | |- | ||
| Zeile 38: | Zeile 49: | ||
|Die Gefährdung ist realistisch und erwartbar. | |Die Gefährdung ist realistisch und erwartbar. | ||
Ein Angriff ist mit üblichen Fachkenntnissen oder Hilfsmitteln und mäßigem Aufwand möglich. | Ein Angriff ist mit üblichen Fachkenntnissen oder Hilfsmitteln und mäßigem Aufwand möglich. | ||
Entsprechende Vorfälle sind schon mehrfach eingetreten. | Entsprechende Vorfälle sind schon mehrfach eingetreten. | ||
|- | |- | ||
| Zeile 44: | Zeile 56: | ||
|Die Gefährdung ist permanent/akut vorhanden. | |Die Gefährdung ist permanent/akut vorhanden. | ||
Ein Angriff ist auch ohne Vorkenntnisse oder Fachwissen mit geringem Aufwand möglich. | Ein Angriff ist auch ohne Vorkenntnisse oder Fachwissen mit geringem Aufwand möglich. | ||
Entsprechende Vorfälle treten regelmäßig auf. | Entsprechende Vorfälle treten regelmäßig auf. | ||
|} | |} | ||
==== | ==== Qualitative Stufen Schadenshöhe ==== | ||
In der Richtlinie müssen ebenso die | In der Richtlinie müssen ebenso die Kategorien für die Schadenshöhe (oder Schadensausmaß) <u>nachvollziehbar</u> definiert sein. Beispiel: | ||
{| class="wikitable" | {| class="wikitable" | ||
! | ! | ||
! | !Kategorie | ||
!Definition | !Definition | ||
|- | |- | ||
| Zeile 58: | Zeile 71: | ||
|Es entsteht kein nennenswerter Schaden. | |Es entsteht kein nennenswerter Schaden. | ||
Prozesse, Dienste oder Verfahren werden nicht beeinträchtigt. | Prozesse, Dienste oder Verfahren werden nicht beeinträchtigt. | ||
Es hat keine finanziellen Auswirkungen. | Es hat keine finanziellen Auswirkungen. | ||
|- | |- | ||
| Zeile 64: | Zeile 78: | ||
|Der Schaden ist im Rahmen der betrieblichen Prozesse zu beheben. | |Der Schaden ist im Rahmen der betrieblichen Prozesse zu beheben. | ||
Prozesse, Dienste oder Verfahren werden nicht nennenswert bzw. nur kurzzeitig beeinträchtigt. Verträge und Servicelevel können noch eingehalten werden. | Prozesse, Dienste oder Verfahren werden nicht nennenswert bzw. nur kurzzeitig beeinträchtigt. Verträge und Servicelevel können noch eingehalten werden. | ||
Es hat nur geringe finanzielle Auswirkungen innerhalb des vorhandenen Budgets. | Es hat nur geringe finanzielle Auswirkungen innerhalb des vorhandenen Budgets. | ||
|- | |- | ||
| Zeile 69: | Zeile 84: | ||
|'''beträchtlich''' | |'''beträchtlich''' | ||
|Der Schaden kann nur durch Managementbeteiligung behoben werden. | |Der Schaden kann nur durch Managementbeteiligung behoben werden. | ||
Prozesse und Verfahren können nicht mehr aufrechterhalten werden. Verträge, Servicelevel oder Gesetze (z.B. Ordnungswidrigkeiten) werden verletzt. | Prozesse und Verfahren können nicht mehr aufrechterhalten werden. Verträge, Servicelevel oder Gesetze (z.B. Ordnungswidrigkeiten) werden verletzt. Das Ansehen der Organisation leidet. | ||
Das Ansehen der Organisation leidet. | |||
Die finanziellen Auswirkungen sind deutlich und erfordern Budgetänderungen. | Die finanziellen Auswirkungen sind deutlich und erfordern Budgetänderungen. | ||
|- | |- | ||
| Zeile 77: | Zeile 92: | ||
|Der Schaden ist existenzbedrohend. | |Der Schaden ist existenzbedrohend. | ||
Verträge oder Gesetze werden massiv verletzt (z.B. Straftaten). | Verträge oder Gesetze werden massiv verletzt (z.B. Straftaten). | ||
Das Ansehen der gesamten Organisation wird erheblich und dauerhaft geschädigt. | Das Ansehen der gesamten Organisation wird erheblich und dauerhaft geschädigt. | ||
Die finanziellen Auswirkungen können existenzbedrohend sein. | Die finanziellen Auswirkungen können existenzbedrohend sein. | ||
|} | |} | ||
| Zeile 89: | Zeile 106: | ||
|'''gering:''' | |'''gering:''' | ||
|Die bereits umgesetzten oder im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen bieten einen ausreichenden Schutz. | |Die bereits umgesetzten oder im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen bieten einen ausreichenden Schutz. | ||
Es sind keine weiteren Anforderungen an die Sicherheit erforderlich, Das Risiko kann ohne weitere Maßnahmen getragen werden. | Es sind keine weiteren Anforderungen an die Sicherheit erforderlich, Das Risiko kann ohne weitere Maßnahmen getragen werden. | ||
| Zeile 95: | Zeile 111: | ||
|'''mittel:''' | |'''mittel:''' | ||
|Die bereits umgesetzten oder im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen sind möglicherweise nicht ausreichend. | |Die bereits umgesetzten oder im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen sind möglicherweise nicht ausreichend. | ||
Das Risiko muss im weiteren näher betrachtet und ggf. behandelt oder getragen werden. | Das Risiko muss im weiteren näher betrachtet und ggf. behandelt oder getragen werden. | ||
| Zeile 101: | Zeile 116: | ||
|'''hoch:''' | |'''hoch:''' | ||
|Die bereits umgesetzten oder im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen sind nicht aureichend. | |Die bereits umgesetzten oder im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen sind nicht aureichend. | ||
Das Risiko muss weiter behandet werden. Es kann nicht getragen werden. | Das Risiko muss weiter behandet werden. Es kann nicht getragen werden. | ||
|} | |} | ||
Die Zuordnung der Risikokategorien sollte mit Augenmaß und nicht mit der Gießkanne erfolgen. Im Beispiel der Risikomatrix rechts wurde für die Eintrittswahrscheinlichkeit/-häufigkeit der Kategorie 1 (unwahrscheinlich) durchgängig die Risikokategorie gering gewählt, selbst bei Schadensausmaß 4 (existenzbedrohend). Dies hat in diesem Beispiel zwei pragmatische Gründe: | |||
# Das Ereignis ist noch nie eingetreten und auch nicht zu erwarten, so dass hier die Standardmaßnahmen des Grundschutzes ausreichen sollten. | |||
# Die überwiegende Mehrheit der möglichen Maßnahmen reduziert die Eintrittshäufigkeit und nur wenige Maßnahmen reduzieren das Schadensausmaß (Verhältnis ca. 80/20). Die Eintrittshäufigkeit ist bereits die niedrigste Kategorie d.h. 80% der möglichen Maßnahmen wären wirkungslos. Das Schadensausmaß kann meist nur mit erheblichem (finanziellem) Aufwand reduziert werden. Dieser stünde in keinem vernünftigen Verhältnis zur nahezu ausgeschlossenen Eintrittswahrscheinlichkeit. | |||
Anders verhält es sich bei geringem Schadensausmaß aber hoher Eintrittshäufigkeit, hier kann allein die ggf. hohe Häufigkeit des Auftretens ggf. auch mehrerer unterschiedlicher kleiner Schäden in der Summe schwerwiegendere Auswirkungen haben. Zudem lässt sich die Eintrittshäufigkeit i.d.R. durch eine Vielzahl von Maßnahmen z.T. mit geringem Aufwand reduzieren. | |||
=== Definition des Gefährdungskatalogs === | === Definition des Gefährdungskatalogs === | ||
Grundlage für die Risikoanalysen nach BSI-Standard 200-3 ist der [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/Elementare_Gefaehrdungen.html Risikokatalog der "elementaren Gefährdungen"] des BSI. Darin werden 47 allgemeine Gefährdungen beschrieben. | Grundlage für die Risikoanalysen nach BSI-Standard 200-3 ist der [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/Elementare_Gefaehrdungen.html Risikokatalog der "elementaren Gefährdungen"] des BSI. Darin werden 47 allgemeine Gefährdungen beschrieben. | ||
Bei Bedarf kann die Oganisation ihren Gefährdungskatalog noch um zusätzliche organisationsspezifische Gefährdungen ergänzen. | Bei Bedarf kann die Oganisation ihren Gefährdungskatalog noch um zusätzliche organisationsspezifische Gefährdungen ergänzen. | ||
Mögliche zusätzliche/spezifische Gefährdungen sind in der [[Zusätzliche Gefährdungen|Liste der zusätzlichen Gefährdungen]] zu finden. | |||
== Grundlagenermittlung und Vorbereitung == | == Grundlagenermittlung und Vorbereitung == | ||
| Zeile 116: | Zeile 139: | ||
=== Schutzbedarfsfeststellung === | === Schutzbedarfsfeststellung === | ||
Bestimme den [[Schutzbedarf]] der Geschäftsprozesse und der zugehörigen Informationen. Dies beinhaltet eine Bewertung der möglichen Schäden bei Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit. | Bestimme den [[Schutzbedarf]] der Geschäftsprozesse und der zugehörigen Informationen. Dies beinhaltet eine Bewertung der möglichen Schäden bei Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit. Wenn die Geschäftsprozesse nicht oder nur unzureichend definiert sind, kann der Schutzbedarf auf der Basis von Anwendungen ermittelt werden. | ||
=== Modellierung nach IT-Grundschutz === | === Modellierung nach IT-Grundschutz === | ||
| Zeile 122: | Zeile 145: | ||
=== Definition des Betrachtungsgegenstands === | === Definition des Betrachtungsgegenstands === | ||
Der Betrachtungsgegenstand bezieht sich auf spezifische Prozesse, geschäftskritische Informationen, bestimmte Verfahren, Anwendungen oder IT-Systeme, die auf potenzielle Risiken hin bewertet werden sollen. Eine präzise Definition ermöglicht eine zielgerichtete und effektive Analyse, die relevante Sicherheitsbedrohungen und Schwachstellen | Der Betrachtungsgegenstand bezieht sich auf spezifische Prozesse, geschäftskritische Informationen, bestimmte Verfahren, Anwendungen oder IT-Systeme, die auf potenzielle Risiken hin bewertet werden sollen. Eine präzise Definition ermöglicht eine zielgerichtete und effektive Analyse, die relevante Sicherheitsbedrohungen und Schwachstellen. | ||
Auch der Blickwinkel, aus dem eine Risikoanalyse durchgeführt wird, kann das Ergebnis und die Wirksamkeit der daraus abgeleiteten Maßnahmen signifikant beeinflussen. Es ist wichtig, alle relevanten Perspektiven zu berücksichtigen und die Teilnehmer entsprechend auszuwählen. | Auch der Blickwinkel, aus dem eine Risikoanalyse durchgeführt wird, kann das Ergebnis und die Wirksamkeit der daraus abgeleiteten Maßnahmen signifikant beeinflussen. Es ist wichtig, alle relevanten Perspektiven zu berücksichtigen und die Teilnehmer entsprechend auszuwählen. | ||
| Zeile 140: | Zeile 163: | ||
* '''Systemspezifische Gefährdungen:''' Zusätzliche, nicht im Katalog aufgeführte Gefährdungen, die aufgrund besonderer organisatorischer, technologischer oder geografischer Bedingungen relevant sein könnten. | * '''Systemspezifische Gefährdungen:''' Zusätzliche, nicht im Katalog aufgeführte Gefährdungen, die aufgrund besonderer organisatorischer, technologischer oder geografischer Bedingungen relevant sein könnten. | ||
* '''Experteneinschätzungen:''' Ziehe ggf. Sicherheitsexperten hinzu, um die Vollständigkeit der Gefährdungsliste zu überprüfen und ggf. weitere spezifische Risiken zu identifizieren. | * '''Experteneinschätzungen:''' Ziehe ggf. Sicherheitsexperten hinzu, um die Vollständigkeit der Gefährdungsliste zu überprüfen und ggf. weitere spezifische Risiken zu identifizieren. | ||
Eine [[Zusätzliche Gefährdungen|Beispiel-Liste möglicher zusätzlicher/spezifischer Gefährdungen]] enhält einige Vorschläge. | |||
=== Bewertung der Gefährdungen === | === Bewertung der Gefährdungen === | ||
| Zeile 172: | Zeile 196: | ||
Priorisiere die Maßnahmen basierend auf der Risikobewertung und planen deren Umsetzung mit Verantwortlichen und Zielterminen. | Priorisiere die Maßnahmen basierend auf der Risikobewertung und planen deren Umsetzung mit Verantwortlichen und Zielterminen. | ||
Hierfür ist ein [[LF-Realisierungsplan|Realisierungs- oder Risikobehandlungsplan]] zu erstellen. | |||
=== Realisierung und Überprüfung === | === Realisierung und Überprüfung === | ||
| Zeile 184: | Zeile 210: | ||
=== Kontinuierliche Überwachung und Weiterentwicklung === | === Kontinuierliche Überwachung und Weiterentwicklung === | ||
Die kontinuierliche Überwachung und Verbesserung der Risikoanalyse sollte regelmäßig, mindestens jährlich, erfolgen. Dabei wird überprüft, ob die Bewertung der Risiken noch angemessen ist und ob die Maßnahmen noch den aktuellen Bedrohungen entsprechen. Diese regelmäßigen Überprüfungen ermöglichen es, die Risikoanalyse an die sich verändernde Bedrohungslage anzupassen und sicherzustellen, dass die Sicherheitsmaßnahmen weiterhin effektiv sind. Dies ist entscheidend, um die IT-Sicherheit dauerhaft auf einem hohen Niveau zu halten. | |||
[[Kategorie:Artikel]] | [[Kategorie:Artikel]] | ||
Aktuelle Version vom 26. August 2024, 16:49 Uhr
|
Diese Seite ist derzeit noch ein Entwurf. Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite. |
Dieser Artikel beschreibt kompakt das Vorgehen für eine Risikoanalyse nach dem BSI-Standard 200-3 "Risikoanalyse auf der Basis von IT-Grundschutz". Dabei handelt es sich um einen Best-Practice-Ansatz, der sich in der Praxis bewährt hat.
Einleitung
Die Risikoanalyse nach BSI Standard 200-3 "Risikoanalyse auf der Basis von IT-Grundschutz" zielt darauf ab, die Informationssicherheitsrisiken in Organisationen systematisch zu identifizieren, zu bewerten und geeignete Maßnahmen zur Risikobehandlung festzulegen. Dieser Prozess basiert auf den im IT-Grundschutz-Kompendium beschriebenen elementaren Gefährdungen.
Regulatorscher Rahmen zum Vorgehen
Richtlinie zum Risikomanagement
Es muss in der Organisation eine Richtlinie geben, die Vorgaben zur Methodik, Durchführung und Dokumetation von Risikoanalysen beschreibt. So ist ein einheitliches Vorgehen und eine Vergleichbarkeit von Risikoanalysen gewährleistet.
Definition der Eintrittshäufigkeit und Schadenshöhe
In der Richtlinie müssen die Kategorien für Eintrittshäufigkeit und Schadenshöhe nachvollziehbar definiert werden.
Im Standard werden hier für die Eintrittshäufigkeit die quantitativen Beispiele "selten, mittel, häufig, sehr häufig" genannt, die mit konkreten zeitlichen Beschreibungen wie "Ereignis tritt einmal im Jahr bis einmal pro Monat ein" definiert werden. Dies ist nicht immer sinnvoll und zielführend. Zum einen sind zeitliche Begriffe wie "selten" oder "häufig" sehr abstrakt, zum anderen sind zeitliche Definitionen von "einmal in 5 Jahren" bis "wöchentlich" nicht hilfreich, da die Eintrittshäufigkeit je nach betrachtetem Ereignis in ganz unterschiedlichen Dimensionen liegen kann. Für die Explosion eines Atomkraftwerkes würde man "selten" und "häufig" sicher ganz anders definieren als für einen Paketverlust in einem Netzwerk.
In Standard wird unter Kapitel 5.1 Risikobewertung explizit darauf hingewiesen, dass eine quantitative Betrachtung sehr aufwändig sein kann und eine qualitative Bewertung praktikabler ist. Und dennoch findet sich im Standard und in der Praxis häufig die o.g. quantitativen Kategorien, weil sie ein Gefühl von "Berechenbarkeit" vermitteln.
Da wir aber hier keine "gefühlte" Informationssicherheit machen wollen, werden hier im Beispiel im Gegensatz zum Standard Eintrittshäufigkeit und Schadenshöhe qualitative Kategorien beschrieben.
Qualitative Kategorien Eintrittshäufigkeit
In der Richtlinie müssen die Kategorien für die Eintrittshäufigkeit (auch Eintrittswahrscheinlichkeit genannt) nachvollziehbar definiert sein. Beispiel:
| Kategorie | Definition | |
|---|---|---|
| 1 | unwahrscheinlich | Die Gefährdung ist sehr abstrakt.
Es erfordert ein sehr hohes Fachwissen, interne Kenntnisse und erheblichen Aufwand des Angreifers. Es ist praktisch noch nie vorgekommen und absehbar nicht zu erwarten oder erfordert ein Zusammentreffen mehrerer widriger Umstände. |
| 2 | möglich | Die Gefährdung ist möglich aber nicht zu erwarten.
Ein Angriff erfordert interne Kenntnisse oder hohes Fachwissen. Ein Vorfall ist bisher nicht bekannt oder nur einmalig aufgetreten. |
| 3 | wahrscheinlich | Die Gefährdung ist realistisch und erwartbar.
Ein Angriff ist mit üblichen Fachkenntnissen oder Hilfsmitteln und mäßigem Aufwand möglich. Entsprechende Vorfälle sind schon mehrfach eingetreten. |
| 4 | sehr wahrscheinlich | Die Gefährdung ist permanent/akut vorhanden.
Ein Angriff ist auch ohne Vorkenntnisse oder Fachwissen mit geringem Aufwand möglich. Entsprechende Vorfälle treten regelmäßig auf. |
Qualitative Stufen Schadenshöhe
In der Richtlinie müssen ebenso die Kategorien für die Schadenshöhe (oder Schadensausmaß) nachvollziehbar definiert sein. Beispiel:
| Kategorie | Definition | |
|---|---|---|
| 1 | vernachlässigbar | Es entsteht kein nennenswerter Schaden.
Prozesse, Dienste oder Verfahren werden nicht beeinträchtigt. Es hat keine finanziellen Auswirkungen. |
| 2 | begrenzt | Der Schaden ist im Rahmen der betrieblichen Prozesse zu beheben.
Prozesse, Dienste oder Verfahren werden nicht nennenswert bzw. nur kurzzeitig beeinträchtigt. Verträge und Servicelevel können noch eingehalten werden. Es hat nur geringe finanzielle Auswirkungen innerhalb des vorhandenen Budgets. |
| 3 | beträchtlich | Der Schaden kann nur durch Managementbeteiligung behoben werden.
Prozesse und Verfahren können nicht mehr aufrechterhalten werden. Verträge, Servicelevel oder Gesetze (z.B. Ordnungswidrigkeiten) werden verletzt. Das Ansehen der Organisation leidet. Die finanziellen Auswirkungen sind deutlich und erfordern Budgetänderungen. |
| 4 | existenzbedrohend | Der Schaden ist existenzbedrohend.
Verträge oder Gesetze werden massiv verletzt (z.B. Straftaten). Das Ansehen der gesamten Organisation wird erheblich und dauerhaft geschädigt. Die finanziellen Auswirkungen können existenzbedrohend sein. |
Definition der Risikokategorien
Ausgehend von der Eintrittshäufigkeit und der Schadenshöhe müssen Risikokategorien definiert und in einer Risikomatrik dargestellt werden. Beispiel:
Risikokategorien:
| gering: | Die bereits umgesetzten oder im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen bieten einen ausreichenden Schutz.
Es sind keine weiteren Anforderungen an die Sicherheit erforderlich, Das Risiko kann ohne weitere Maßnahmen getragen werden. |
| mittel: | Die bereits umgesetzten oder im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen sind möglicherweise nicht ausreichend.
Das Risiko muss im weiteren näher betrachtet und ggf. behandelt oder getragen werden. |
| hoch: | Die bereits umgesetzten oder im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen sind nicht aureichend.
Das Risiko muss weiter behandet werden. Es kann nicht getragen werden. |
Die Zuordnung der Risikokategorien sollte mit Augenmaß und nicht mit der Gießkanne erfolgen. Im Beispiel der Risikomatrix rechts wurde für die Eintrittswahrscheinlichkeit/-häufigkeit der Kategorie 1 (unwahrscheinlich) durchgängig die Risikokategorie gering gewählt, selbst bei Schadensausmaß 4 (existenzbedrohend). Dies hat in diesem Beispiel zwei pragmatische Gründe:
- Das Ereignis ist noch nie eingetreten und auch nicht zu erwarten, so dass hier die Standardmaßnahmen des Grundschutzes ausreichen sollten.
- Die überwiegende Mehrheit der möglichen Maßnahmen reduziert die Eintrittshäufigkeit und nur wenige Maßnahmen reduzieren das Schadensausmaß (Verhältnis ca. 80/20). Die Eintrittshäufigkeit ist bereits die niedrigste Kategorie d.h. 80% der möglichen Maßnahmen wären wirkungslos. Das Schadensausmaß kann meist nur mit erheblichem (finanziellem) Aufwand reduziert werden. Dieser stünde in keinem vernünftigen Verhältnis zur nahezu ausgeschlossenen Eintrittswahrscheinlichkeit.
Anders verhält es sich bei geringem Schadensausmaß aber hoher Eintrittshäufigkeit, hier kann allein die ggf. hohe Häufigkeit des Auftretens ggf. auch mehrerer unterschiedlicher kleiner Schäden in der Summe schwerwiegendere Auswirkungen haben. Zudem lässt sich die Eintrittshäufigkeit i.d.R. durch eine Vielzahl von Maßnahmen z.T. mit geringem Aufwand reduzieren.
Definition des Gefährdungskatalogs
Grundlage für die Risikoanalysen nach BSI-Standard 200-3 ist der Risikokatalog der "elementaren Gefährdungen" des BSI. Darin werden 47 allgemeine Gefährdungen beschrieben.
Bei Bedarf kann die Oganisation ihren Gefährdungskatalog noch um zusätzliche organisationsspezifische Gefährdungen ergänzen.
Mögliche zusätzliche/spezifische Gefährdungen sind in der Liste der zusätzlichen Gefährdungen zu finden.
Grundlagenermittlung und Vorbereitung
Strukturanalyse
Erfasse in der Strukturanalyse des betrachteten Informationsverbundes die IT-Infrastruktur, Systeme, Anwendungen und Prozesse. Dies dient als Basis für die weitere Analyse.
Schutzbedarfsfeststellung
Bestimme den Schutzbedarf der Geschäftsprozesse und der zugehörigen Informationen. Dies beinhaltet eine Bewertung der möglichen Schäden bei Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit. Wenn die Geschäftsprozesse nicht oder nur unzureichend definiert sind, kann der Schutzbedarf auf der Basis von Anwendungen ermittelt werden.
Modellierung nach IT-Grundschutz
Modelliere den Informationsverbund mithilfe des BSI IT-Grundschutz-Kompendium, um standardisierte Sicherheitsanforderungen auf die erfassten Komponenten anzuwenden. Für Bereiche, deren Einsatzscenario durch den IT-Grundschutz nicht vollständig abgedeckt ist oder Komponenten die nicht vollständig mdelliert werden können, weil es keine passenden Bausteine im Kompendium gibt muss eine Risikoanalyse durchgeführt werden.
Definition des Betrachtungsgegenstands
Der Betrachtungsgegenstand bezieht sich auf spezifische Prozesse, geschäftskritische Informationen, bestimmte Verfahren, Anwendungen oder IT-Systeme, die auf potenzielle Risiken hin bewertet werden sollen. Eine präzise Definition ermöglicht eine zielgerichtete und effektive Analyse, die relevante Sicherheitsbedrohungen und Schwachstellen.
Auch der Blickwinkel, aus dem eine Risikoanalyse durchgeführt wird, kann das Ergebnis und die Wirksamkeit der daraus abgeleiteten Maßnahmen signifikant beeinflussen. Es ist wichtig, alle relevanten Perspektiven zu berücksichtigen und die Teilnehmer entsprechend auszuwählen.
Risikoanalyse
Erstellung einer Gefährdungsübersicht
Die Gefährdungsübersicht dient der Erfassung möglicher Gefährdungen (Risiken) für den Betrachtungsgegenstand, die für die nachfolgende Risikobewertung relevant sind.
Ermittlung von elementaren Gefährdungen
Unter Verwendung des Gefährdungskatalogs des IT-Grundschutz-Kompendiums oder des erweiterten Katalogs der Organisation werden für jeden betrachteten Geschäftsprozess bzw. jedes betrachtete Zielobjekt die relevanten elementaren Gefährdungen identifiziert. Dabei werden alle Gefährdungen berücksichtigt, die aufgrund des erhöhten Schutzbedarfs eines der Grundwerte, einer hohen Eintrittshäufigkeit oder schwerwiegender Auswirkungen als erhöhte Gefährdung eingestuft werden.
Beispiel: Besteht nur ein erhöhter Schutzbedarf für die Verfügbarkeit, müssen alle elementaren Gefährdungen, die auf die Verfügbarkeit (A) wirken, auf ihre erhöhte Relevanz geprüft werden. Gefährdungen, die nur auf die Vertraulichkeit (C) und Integrität (I) wirken, können bereits als "nicht relevant" übersprungen werden.
Identifikation spezifischer Gefährdungen
Neben den elementaren Gefährdungen können bei Bedarf spezifische oder zusätzliche Gefährdungen identifiziert werden, die sich aus dem besonderen Einsatzszenario oder Anwendungsfall ergeben können.
- Systemspezifische Gefährdungen: Zusätzliche, nicht im Katalog aufgeführte Gefährdungen, die aufgrund besonderer organisatorischer, technologischer oder geografischer Bedingungen relevant sein könnten.
- Experteneinschätzungen: Ziehe ggf. Sicherheitsexperten hinzu, um die Vollständigkeit der Gefährdungsliste zu überprüfen und ggf. weitere spezifische Risiken zu identifizieren.
Eine Beispiel-Liste möglicher zusätzlicher/spezifischer Gefährdungen enhält einige Vorschläge.
Bewertung der Gefährdungen
Bewerte die relevanten Gefährdungen anhand von Eintrittshäufigkeit und potenzieller Schadenshöhe. Dabei sollten vorhandene Sicherheitsmaßnahmen und deren Effektivität berücksichtigt werden.
Eintrittshäufigkeit
Schadenshöhe
Risikobewertung
Die Risikokategorien (z.B. gering, mittel, hoch) werden anhand der Risikomatrix auf Basis der zuvor ermittelten Eintrittswahrscheinlichkeit und Schadenshöhe ermittelt. Daraus ergeben sich Prioritäten für die Risikobehandlung und mögliche Behandlungsoptionen.
Riskobehandlung
Aus der Risikokategorie und der Art des Risikos ergeben sich die Optionen für den Umgang mit dem Risiko:
Risikovermeidung
Risiken können durch Umstrukturierung auch aus dem Geltungsbereich des Informationsverbundes ausgeschlossen werden.
Risikominderung
Risiken werden durch die Umsetzung weiterer Maßnahmen reduziert; je nach Art der Maßnahme, kann die Eintrittshäufigkeit oder die Schadenshöhe reduziert und damit das Risiko gesenkt werden.
Risikoübertragung
Einige (insbesondere finazielle) Risiken können auch transferiert werden, etwa an eine Versicherung.
Risikoakzeptanz
Risiken können von der Geschäftsführung akzeptiert werden; hierzu ist es erforderlich, dass die Geschäftsführung fundiert, vollständig, transparent und verständlich über die Restrisiken samt Folgen informiert wird.
Weitere Schritte und Nachbereitung
Umsetzungsplanung
Wähle geeignete Sicherheitsmaßnahmen aus dem IT-Grundschutz-Kompendium (Maßnahmen für erhöhten Schutzbedarf) zur Risikominderung aus oder entwickle individuelle Maßnahmen, um die identifizierten Risiken zu reduzieren.
Priorisiere die Maßnahmen basierend auf der Risikobewertung und planen deren Umsetzung mit Verantwortlichen und Zielterminen.
Hierfür ist ein Realisierungs- oder Risikobehandlungsplan zu erstellen.
Realisierung und Überprüfung
Implementiere die geplanten Sicherheitsmaßnahmen.
Überprüfe regelmäßig die Wirksamkeit der Maßnahmen und passe sie gegebenenfalls an, um auf neue Bedrohungen oder Veränderungen in der IT-Landschaft zu reagieren.
Dokumentation und Berichterstattung
Dokumentiere alle Schritte der Risikoanalyse und die getroffenen Entscheidungen in einem einheitlichen Format.
Erstelle Berichte über die Risikosituation und die umgesetzten Maßnahmen an das Management und relevante Stakeholder.
Kontinuierliche Überwachung und Weiterentwicklung
Die kontinuierliche Überwachung und Verbesserung der Risikoanalyse sollte regelmäßig, mindestens jährlich, erfolgen. Dabei wird überprüft, ob die Bewertung der Risiken noch angemessen ist und ob die Maßnahmen noch den aktuellen Bedrohungen entsprechen. Diese regelmäßigen Überprüfungen ermöglichen es, die Risikoanalyse an die sich verändernde Bedrohungslage anzupassen und sicherzustellen, dass die Sicherheitsmaßnahmen weiterhin effektiv sind. Dies ist entscheidend, um die IT-Sicherheit dauerhaft auf einem hohen Niveau zu halten.
