BSI Standard 200-3

Aus ISMS-Ratgeber WiKi
Version vom 26. August 2024, 15:49 Uhr von Dirk (Diskussion | Beiträge) (→‎Realisierung und Überprüfung)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springenZur Suche springen
Under construction icon-blue.png Diese Seite ist derzeit noch ein Entwurf.

Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite.


Würfel

Dieser Artikel beschreibt kompakt das Vorgehen für eine Risikoanalyse nach dem BSI-Standard 200-3 "Risikoanalyse auf der Basis von IT-Grundschutz". Dabei handelt es sich um einen Best-Practice-Ansatz, der sich in der Praxis bewährt hat.

Einleitung

Die Risikoanalyse nach BSI Standard 200-3 "Risikoanalyse auf der Basis von IT-Grundschutz" zielt darauf ab, die Informationssicherheitsrisiken in Organisationen systematisch zu identifizieren, zu bewerten und geeignete Maßnahmen zur Risikobehandlung festzulegen. Dieser Prozess basiert auf den im IT-Grundschutz-Kompendium beschriebenen elementaren Gefährdungen.

Regulatorscher Rahmen zum Vorgehen

Richtlinie zum Risikomanagement

Es muss in der Organisation eine Richtlinie geben, die Vorgaben zur Methodik, Durchführung und Dokumetation von Risikoanalysen beschreibt. So ist ein einheitliches Vorgehen und eine Vergleichbarkeit von Risikoanalysen gewährleistet.

Definition der Eintrittshäufigkeit und Schadenshöhe

In der Richtlinie müssen die Kategorien für Eintrittshäufigkeit und Schadenshöhe nachvollziehbar definiert werden.

Im Standard werden hier für die Eintrittshäufigkeit die quantitativen Beispiele "selten, mittel, häufig, sehr häufig" genannt, die mit konkreten zeitlichen Beschreibungen wie "Ereignis tritt einmal im Jahr bis einmal pro Monat ein" definiert werden. Dies ist nicht immer sinnvoll und zielführend. Zum einen sind zeitliche Begriffe wie "selten" oder "häufig" sehr abstrakt, zum anderen sind zeitliche Definitionen von "einmal in 5 Jahren" bis "wöchentlich" nicht hilfreich, da die Eintrittshäufigkeit je nach betrachtetem Ereignis in ganz unterschiedlichen Dimensionen liegen kann. Für die Explosion eines Atomkraftwerkes würde man "selten" und "häufig" sicher ganz anders definieren als für einen Paketverlust in einem Netzwerk.

In Standard wird unter Kapitel 5.1 Risikobewertung explizit darauf hingewiesen, dass eine quantitative Betrachtung sehr aufwändig sein kann und eine qualitative Bewertung praktikabler ist. Und dennoch findet sich im Standard und in der Praxis häufig die o.g. quantitativen Kategorien, weil sie ein Gefühl von "Berechenbarkeit" vermitteln.

Da wir aber hier keine "gefühlte" Informationssicherheit machen wollen, werden hier im Beispiel im Gegensatz zum Standard Eintrittshäufigkeit und Schadenshöhe qualitative Kategorien beschrieben.

Qualitative Kategorien Eintrittshäufigkeit

In der Richtlinie müssen die Kategorien für die Eintrittshäufigkeit (auch Eintrittswahrscheinlichkeit genannt) nachvollziehbar definiert sein. Beispiel:

Kategorie Definition
1 unwahrscheinlich Die Gefährdung ist sehr abstrakt.

Es erfordert ein sehr hohes Fachwissen, interne Kenntnisse und erheblichen Aufwand des Angreifers.

Es ist praktisch noch nie vorgekommen und absehbar nicht zu erwarten oder erfordert ein Zusammentreffen mehrerer widriger Umstände.

2 möglich Die Gefährdung ist möglich aber nicht zu erwarten.

Ein Angriff erfordert interne Kenntnisse oder hohes Fachwissen.

Ein Vorfall ist bisher nicht bekannt oder nur einmalig aufgetreten.

3 wahrscheinlich Die Gefährdung ist realistisch und erwartbar.

Ein Angriff ist mit üblichen Fachkenntnissen oder Hilfsmitteln und mäßigem Aufwand möglich.

Entsprechende Vorfälle sind schon mehrfach eingetreten.

4 sehr wahrscheinlich Die Gefährdung ist permanent/akut vorhanden.

Ein Angriff ist auch ohne Vorkenntnisse oder Fachwissen mit geringem Aufwand möglich.

Entsprechende Vorfälle treten regelmäßig auf.

Qualitative Stufen Schadenshöhe

In der Richtlinie müssen ebenso die Kategorien für die Schadenshöhe (oder Schadensausmaß) nachvollziehbar definiert sein. Beispiel:

Kategorie Definition
1 vernachlässigbar Es entsteht kein nennenswerter Schaden.

Prozesse, Dienste oder Verfahren werden nicht beeinträchtigt.

Es hat keine finanziellen Auswirkungen.

2 begrenzt Der Schaden ist im Rahmen der betrieblichen Prozesse zu beheben.

Prozesse, Dienste oder Verfahren werden nicht nennenswert bzw. nur kurzzeitig beeinträchtigt. Verträge und Servicelevel können noch eingehalten werden.

Es hat nur geringe finanzielle Auswirkungen innerhalb des vorhandenen Budgets.

3 beträchtlich Der Schaden kann nur durch Managementbeteiligung behoben werden.

Prozesse und Verfahren können nicht mehr aufrechterhalten werden. Verträge, Servicelevel oder Gesetze (z.B. Ordnungswidrigkeiten) werden verletzt. Das Ansehen der Organisation leidet.

Die finanziellen Auswirkungen sind deutlich und erfordern Budgetänderungen.

4 existenzbedrohend Der Schaden ist existenzbedrohend.

Verträge oder Gesetze werden massiv verletzt (z.B. Straftaten).

Das Ansehen der gesamten Organisation wird erheblich und dauerhaft geschädigt.

Die finanziellen Auswirkungen können existenzbedrohend sein.

Definition der Risikokategorien

Ausgehend von der Eintrittshäufigkeit und der Schadenshöhe müssen Risikokategorien definiert und in einer Risikomatrik dargestellt werden. Beispiel:

Risikomatrix

Risikokategorien:

gering: Die bereits umgesetzten oder im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen bieten einen ausreichenden Schutz.

Es sind keine weiteren Anforderungen an die Sicherheit erforderlich, Das Risiko kann ohne weitere Maßnahmen getragen werden.

mittel: Die bereits umgesetzten oder im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen sind möglicherweise nicht ausreichend.

Das Risiko muss im weiteren näher betrachtet und ggf. behandelt oder getragen werden.

hoch: Die bereits umgesetzten oder im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen sind nicht aureichend.

Das Risiko muss weiter behandet werden. Es kann nicht getragen werden.

Die Zuordnung der Risikokategorien sollte mit Augenmaß und nicht mit der Gießkanne erfolgen. Im Beispiel der Risikomatrix rechts wurde für die Eintrittswahrscheinlichkeit/-häufigkeit der Kategorie 1 (unwahrscheinlich) durchgängig die Risikokategorie gering gewählt, selbst bei Schadensausmaß 4 (existenzbedrohend). Dies hat in diesem Beispiel zwei pragmatische Gründe:

  1. Das Ereignis ist noch nie eingetreten und auch nicht zu erwarten, so dass hier die Standardmaßnahmen des Grundschutzes ausreichen sollten.
  2. Die überwiegende Mehrheit der möglichen Maßnahmen reduziert die Eintrittshäufigkeit und nur wenige Maßnahmen reduzieren das Schadensausmaß (Verhältnis ca. 80/20). Die Eintrittshäufigkeit ist bereits die niedrigste Kategorie d.h. 80% der möglichen Maßnahmen wären wirkungslos. Das Schadensausmaß kann meist nur mit erheblichem (finanziellem) Aufwand reduziert werden. Dieser stünde in keinem vernünftigen Verhältnis zur nahezu ausgeschlossenen Eintrittswahrscheinlichkeit.

Anders verhält es sich bei geringem Schadensausmaß aber hoher Eintrittshäufigkeit, hier kann allein die ggf. hohe Häufigkeit des Auftretens ggf. auch mehrerer unterschiedlicher kleiner Schäden in der Summe schwerwiegendere Auswirkungen haben. Zudem lässt sich die Eintrittshäufigkeit i.d.R. durch eine Vielzahl von Maßnahmen z.T. mit geringem Aufwand reduzieren.

Definition des Gefährdungskatalogs

Grundlage für die Risikoanalysen nach BSI-Standard 200-3 ist der Risikokatalog der "elementaren Gefährdungen" des BSI. Darin werden 47 allgemeine Gefährdungen beschrieben.

Bei Bedarf kann die Oganisation ihren Gefährdungskatalog noch um zusätzliche organisationsspezifische Gefährdungen ergänzen.

Mögliche zusätzliche/spezifische Gefährdungen sind in der Liste der zusätzlichen Gefährdungen zu finden.

Grundlagenermittlung und Vorbereitung

Strukturanalyse

Erfasse in der Strukturanalyse des betrachteten Informationsverbundes die IT-Infrastruktur, Systeme, Anwendungen und Prozesse. Dies dient als Basis für die weitere Analyse.

Schutzbedarfsfeststellung

Bestimme den Schutzbedarf der Geschäftsprozesse und der zugehörigen Informationen. Dies beinhaltet eine Bewertung der möglichen Schäden bei Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit. Wenn die Geschäftsprozesse nicht oder nur unzureichend definiert sind, kann der Schutzbedarf auf der Basis von Anwendungen ermittelt werden.

Modellierung nach IT-Grundschutz

Modelliere den Informationsverbund mithilfe des BSI IT-Grundschutz-Kompendium, um standardisierte Sicherheitsanforderungen auf die erfassten Komponenten anzuwenden. Für Bereiche, deren Einsatzscenario durch den IT-Grundschutz nicht vollständig abgedeckt ist oder Komponenten die nicht vollständig mdelliert werden können, weil es keine passenden Bausteine im Kompendium gibt muss eine Risikoanalyse durchgeführt werden.

Definition des Betrachtungsgegenstands

Der Betrachtungsgegenstand bezieht sich auf spezifische Prozesse, geschäftskritische Informationen, bestimmte Verfahren, Anwendungen oder IT-Systeme, die auf potenzielle Risiken hin bewertet werden sollen. Eine präzise Definition ermöglicht eine zielgerichtete und effektive Analyse, die relevante Sicherheitsbedrohungen und Schwachstellen.

Auch der Blickwinkel, aus dem eine Risikoanalyse durchgeführt wird, kann das Ergebnis und die Wirksamkeit der daraus abgeleiteten Maßnahmen signifikant beeinflussen. Es ist wichtig, alle relevanten Perspektiven zu berücksichtigen und die Teilnehmer entsprechend auszuwählen.

Risikoanalyse

Erstellung einer Gefährdungsübersicht

Die Gefährdungsübersicht dient der Erfassung möglicher Gefährdungen (Risiken) für den Betrachtungsgegenstand, die für die nachfolgende Risikobewertung relevant sind.

Ermittlung von elementaren Gefährdungen

Unter Verwendung des Gefährdungskatalogs des IT-Grundschutz-Kompendiums oder des erweiterten Katalogs der Organisation werden für jeden betrachteten Geschäftsprozess bzw. jedes betrachtete Zielobjekt die relevanten elementaren Gefährdungen identifiziert. Dabei werden alle Gefährdungen berücksichtigt, die aufgrund des erhöhten Schutzbedarfs eines der Grundwerte, einer hohen Eintrittshäufigkeit oder schwerwiegender Auswirkungen als erhöhte Gefährdung eingestuft werden.

Beispiel: Besteht nur ein erhöhter Schutzbedarf für die Verfügbarkeit, müssen alle elementaren Gefährdungen, die auf die Verfügbarkeit (A) wirken, auf ihre erhöhte Relevanz geprüft werden. Gefährdungen, die nur auf die Vertraulichkeit (C) und Integrität (I) wirken, können bereits als "nicht relevant" übersprungen werden.

Identifikation spezifischer Gefährdungen

Neben den elementaren Gefährdungen können bei Bedarf spezifische oder zusätzliche Gefährdungen identifiziert werden, die sich aus dem besonderen Einsatzszenario oder Anwendungsfall ergeben können.

  • Systemspezifische Gefährdungen: Zusätzliche, nicht im Katalog aufgeführte Gefährdungen, die aufgrund besonderer organisatorischer, technologischer oder geografischer Bedingungen relevant sein könnten.
  • Experteneinschätzungen: Ziehe ggf. Sicherheitsexperten hinzu, um die Vollständigkeit der Gefährdungsliste zu überprüfen und ggf. weitere spezifische Risiken zu identifizieren.

Eine Beispiel-Liste möglicher zusätzlicher/spezifischer Gefährdungen enhält einige Vorschläge.

Bewertung der Gefährdungen

Bewerte die relevanten Gefährdungen anhand von Eintrittshäufigkeit und potenzieller Schadenshöhe. Dabei sollten vorhandene Sicherheitsmaßnahmen und deren Effektivität berücksichtigt werden.

Eintrittshäufigkeit

Schadenshöhe

Risikobewertung

Die Risikokategorien (z.B. gering, mittel, hoch) werden anhand der Risikomatrix auf Basis der zuvor ermittelten Eintrittswahrscheinlichkeit und Schadenshöhe ermittelt. Daraus ergeben sich Prioritäten für die Risikobehandlung und mögliche Behandlungsoptionen.

Riskobehandlung

Aus der Risikokategorie und der Art des Risikos ergeben sich die Optionen für den Umgang mit dem Risiko:

Risikovermeidung

Risiken können durch Umstrukturierung auch aus dem Geltungsbereich des Informationsverbundes ausgeschlossen werden.

Risikominderung

Risiken werden durch die Umsetzung weiterer Maßnahmen reduziert; je nach Art der Maßnahme, kann die Eintrittshäufigkeit oder die Schadenshöhe reduziert und damit das Risiko gesenkt werden.

Risikoübertragung

Einige (insbesondere finazielle) Risiken können auch transferiert werden, etwa an eine Versicherung.

Risikoakzeptanz

Risiken können von der Geschäftsführung akzeptiert werden; hierzu ist es erforderlich, dass die Geschäftsführung fundiert, vollständig, transparent und verständlich über die Restrisiken samt Folgen informiert wird.

Weitere Schritte und Nachbereitung

Umsetzungsplanung

Wähle geeignete Sicherheitsmaßnahmen aus dem IT-Grundschutz-Kompendium (Maßnahmen für erhöhten Schutzbedarf) zur Risikominderung aus oder entwickle individuelle Maßnahmen, um die identifizierten Risiken zu reduzieren.

Priorisiere die Maßnahmen basierend auf der Risikobewertung und planen deren Umsetzung mit Verantwortlichen und Zielterminen.

Hierfür ist ein Realisierungs- oder Risikobehandlungsplan zu erstellen.

Realisierung und Überprüfung

Implementiere die geplanten Sicherheitsmaßnahmen.

Überprüfe regelmäßig die Wirksamkeit der Maßnahmen und passe sie gegebenenfalls an, um auf neue Bedrohungen oder Veränderungen in der IT-Landschaft zu reagieren.

Dokumentation und Berichterstattung

Dokumentiere alle Schritte der Risikoanalyse und die getroffenen Entscheidungen in einem einheitlichen Format.

Erstelle Berichte über die Risikosituation und die umgesetzten Maßnahmen an das Management und relevante Stakeholder.

Kontinuierliche Überwachung und Weiterentwicklung

Die kontinuierliche Überwachung und Verbesserung der Risikoanalyse sollte regelmäßig, mindestens jährlich, erfolgen. Dabei wird überprüft, ob die Bewertung der Risiken noch angemessen ist und ob die Maßnahmen noch den aktuellen Bedrohungen entsprechen. Diese regelmäßigen Überprüfungen ermöglichen es, die Risikoanalyse an die sich verändernde Bedrohungslage anzupassen und sicherzustellen, dass die Sicherheitsmaßnahmen weiterhin effektiv sind. Dies ist entscheidend, um die IT-Sicherheit dauerhaft auf einem hohen Niveau zu halten.