BSI Standard 200-3
|
Diese Seite ist derzeit noch ein Entwurf. Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite. |
Der vorliegende Artikel beschreibt kompakt das Vorgehen für eine Risikoanalyse nach BSI Standard 200-3 "Risikoanalyse auf der Basis von IT-Grundschutz".
Einleitung
Die Risikoanalyse nach BSI Standard 200-3 "Risikoanalyse auf der Basis von IT-Grundschutz" zielt darauf ab, die Informationssicherheitsrisiken in Organisationen systematisch zu identifizieren, zu bewerten und geeignete Maßnahmen zur Risikobehandlung festzulegen. Dieser Prozess basiert auf den im IT-Grundschutz-Kompendium beschriebenen elementaren Gefährdungen.
Regulatorscher Rahmen zum Vorgehen
Richtlinie zum Risikomanagement
Es muss in der Organisation eine Richtlinie geben, die Vorgaben zur Methodik, Durchführung und Dokumetation von Risikoanalysen beschreibt. So ist ein einheitliches Vorgehen und eine Vergleichbarkeit von Risikoanalysen gewährleistet.
Definition der Eintrittshäufigkeit
In der Richtlinie müssen die Stufen für die Eintrittshäufigkeit (auch Eintrittswahrscheinlichkeit genannt) nachvollziehbar definiert sein. Beispiel:
| Stufe | Definition | |
|---|---|---|
| 1 | unwahrscheinlich | Die Gefährdung ist sehr abstrakt.
Es erfordert ein sehr hohes Fachwissen, interne Kenntnisse und erheblichen Aufwand des Angreifers. Es ist praktisch noch nie vorgekommen und absehbar nicht zu erwarten oder erfordert ein Zusammentreffen mehrerer widriger Umstände. |
| 2 | möglich | Die Gefährdung ist möglich aber nicht zu erwarten.
Ein Angriff erfordert interne Kenntnisse oder hohes Fachwissen. Ein Vorfall ist bisher nicht bekannt oder nur einmalig aufgetreten. |
| 3 | wahrscheinlich | Die Gefährdung ist realistisch und erwartbar.
Ein Angriff ist mit üblichen Fachkenntnissen oder Hilfsmitteln und mäßigem Aufwand möglich. Entsprechende Vorfälle sind schon mehrfach eingetreten. |
| 4 | sehr wahrscheinlich | Die Gefährdung ist permanent/akut vorhanden.
Ein Angriff ist auch ohne Vorkenntnisse oder Fachwissen mit geringem Aufwand möglich. Entsprechende Vorfälle treten regelmäßig auf. |
Definition der Schadenshöhe
In der Richtlinie müssen ebenso die Stufen für die Schadenshöhe (oder Schadensausmaß) nachvollziehbar definiert sein. Beispiel:
| Stufe | Definition | |
|---|---|---|
| 1 | vernachlässigbar | Es entsteht kein nennenswerter Schaden.
Prozesse, Dienste oder Verfahren werden nicht beeinträchtigt. Es hat keine finanziellen Auswirkungen. |
| 2 | begrenzt | Der Schaden ist im Rahmen der betrieblichen Prozesse zu beheben.
Prozesse, Dienste oder Verfahren werden nicht nennenswert bzw. nur kurzzeitig beeinträchtigt. Verträge und Servicelevel können noch eingehalten werden. Es hat nur geringe finanzielle Auswirkungen innerhalb des vorhandenen Budgets. |
| 3 | beträchtlich | Der Schaden kann nur durch Managementbeteiligung behoben werden.
Prozesse und Verfahren können nicht mehr aufrechterhalten werden. Verträge, Servicelevel oder Gesetze (z.B. Ordnungswidrigkeiten) werden verletzt. Das Ansehen der Organisation leidet. Die finanziellen Auswirkungen sind deutlich und erfordern Budgetänderungen. |
| 4 | existenzbedrohend | Der Schaden ist existenzbedrohend.
Verträge oder Gesetze werden massiv verletzt (z.B. Straftaten). Das Ansehen der gesamten Organisation wird erheblich und dauerhaft geschädigt. Die finanziellen Auswirkungen können existenzbedrohend sein. |
Definition der Risikokategorien
Ausgehend von der Eintrittshäufigkeit und der Schadenshöhe müssen Risikokategorien definiert und in einer Risikomatrik dargestellt werden. Beispiel:
Risikokategorien:
| gering: | Die bereits umgesetzten oder im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen bieten einen ausreichenden Schutz.
|
| mittel: | Die bereits umgesetzten oder im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen sind möglicherweise nicht ausreichend.
|
| hoch: | Die bereits umgesetzten oder im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen sind nicht aureichend.
|
Definition des Gefährdungskatalogs
Grundlage für die Risikoanalysen nach BSI-Standard 200-3 ist der Risikokatalog der "elementaren Gefährdungen" des BSI. Darin werden 47 allgemeine Gefährdungen beschrieben.
Bei Bedarf kann die Oganisation ihren Gefährdungskatalog noch um zusätzliche organisationsspezifische Gefährdungen ergänzen.
Grundlagenermittlung und Vorbereitung
Strukturanalyse
Erfasse in der Strukturanalyse des betrachteten Informationsverbundes die IT-Infrastruktur, Systeme, Anwendungen und Prozesse. Dies dient als Basis für die weitere Analyse.
Schutzbedarfsfeststellung
Bestimme den Schutzbedarf der Geschäftsprozesse und der zugehörigen Informationen. Dies beinhaltet eine Bewertung der möglichen Schäden bei Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit.
Modellierung nach IT-Grundschutz
Modelliere den Informationsverbund mithilfe des BSI IT-Grundschutz-Kompendium, um standardisierte Sicherheitsanforderungen auf die erfassten Komponenten anzuwenden. Für Bereiche, deren Einsatzscenario durch den IT-Grundschutz nicht vollständig abgedeckt ist oder Komponenten die nicht vollständig mdelliert werden können, weil es keine passenden Bausteine im Kompendium gibt muss eine Risikoanalyse durchgeführt werden.
Definition des Betrachtungsgegenstands
Der Betrachtungsgegenstand bezieht sich auf spezifische Prozesse, geschäftskritische Informationen, bestimmte Verfahren, Anwendungen oder IT-Systeme, die auf potenzielle Risiken hin bewertet werden sollen. Eine präzise Definition ermöglicht eine zielgerichtete und effektive Analyse, die relevante Sicherheitsbedrohungen und Schwachstellen identifiziert.
Auch der Blickwinkel, aus dem eine Risikoanalyse durchgeführt wird, kann das Ergebnis und die Wirksamkeit der daraus abgeleiteten Maßnahmen signifikant beeinflussen. Es ist wichtig, alle relevanten Perspektiven zu berücksichtigen und die Teilnehmer entsprechend auszuwählen.
Risikoanalyse
Erstellung einer Gefährdungsübersicht
Die Gefährdungsübersicht dient der Erfassung möglicher Gefährdungen (Risiken) für den Betrachtungsgegenstand, die für die nachfolgende Risikobewertung relevant sind.
Ermittlung von elementaren Gefährdungen
Unter Verwendung des Gefährdungskatalogs des IT-Grundschutz-Kompendiums oder des erweiterten Katalogs der Organisation werden für jeden betrachteten Geschäftsprozess bzw. jedes betrachtete Zielobjekt die relevanten elementaren Gefährdungen identifiziert. Dabei werden alle Gefährdungen berücksichtigt, die aufgrund des erhöhten Schutzbedarfs eines der Grundwerte, einer hohen Eintrittshäufigkeit oder schwerwiegender Auswirkungen als erhöhte Gefährdung eingestuft werden.
Beispiel: Besteht nur ein erhöhter Schutzbedarf für die Verfügbarkeit, müssen alle elementaren Gefährdungen, die auf die Verfügbarkeit (A) wirken, auf ihre erhöhte Relevanz geprüft werden. Gefährdungen, die nur auf die Vertraulichkeit (C) und Integrität (I) wirken, können bereits als "nicht relevant" übersprungen werden.
Identifikation spezifischer Gefährdungen
Neben den elementaren Gefährdungen können bei Bedarf spezifische oder zusätzliche Gefährdungen identifiziert werden, die sich aus dem besonderen Einsatzszenario oder Anwendungsfall ergeben können.
- Systemspezifische Gefährdungen: Zusätzliche, nicht im Katalog aufgeführte Gefährdungen, die aufgrund besonderer organisatorischer, technologischer oder geografischer Bedingungen relevant sein könnten.
- Experteneinschätzungen: Ziehe ggf. Sicherheitsexperten hinzu, um die Vollständigkeit der Gefährdungsliste zu überprüfen und ggf. weitere spezifische Risiken zu identifizieren.
Bewertung der Gefährdungen
Bewerte die relevanten Gefährdungen anhand von Eintrittshäufigkeit und potenzieller Schadenshöhe. Dabei sollten vorhandene Sicherheitsmaßnahmen und deren Effektivität berücksichtigt werden.
Eintrittshäufigkeit
Schadenshöhe
Risikobewertung
Die Risikokategorien (z.B. gering, mittel, hoch) werden anhand der Risikomatrix auf Basis der zuvor ermittelten Eintrittswahrscheinlichkeit und Schadenshöhe ermittelt. Daraus ergeben sich Prioritäten für die Risikobehandlung und mögliche Behandlungsoptionen.
Riskobehandlung
Aus der Risikokategorie und der Art des Risikos ergeben sich die Optionen für den Umgang mit dem Risiko:
Risikovermeidung
Risiken können durch Umstrukturierung auch aus dem Geltungsbereich des Informationsverbundes ausgeschlossen werden.
Risikominderung
Risiken werden durch die Umsetzung weiterer Maßnahmen reduziert; je nach Art der Maßnahme, kann die Eintrittshäufigkeit oder die Schadenshöhe reduziert und damit das Risiko gesenkt werden.
Risikoübertragung
Einige (insbesondere finazielle) Risiken können auch transferiert werden, etwa an eine Versicherung.
Risikoakzeptanz
Risiken können von der Geschäftsführung akzeptiert werden; hierzu ist es erforderlich, dass die Geschäftsführung fundiert, vollständig, transparent und verständlich über die Restrisiken samt Folgen informiert wird.
Weitere Schritte und Nachbereitung
Umsetzungsplanung
Wähle geeignete Sicherheitsmaßnahmen aus dem IT-Grundschutz-Kompendium (Maßnahmen für erhöhten Schutzbedarf) zur Risikominderung aus oder entwickle individuelle Maßnahmen, um die identifizierten Risiken zu reduzieren.
Priorisiere die Maßnahmen basierend auf der Risikobewertung und planen deren Umsetzung mit Verantwortlichen und Zielterminen.
Realisierung und Überprüfung
Implementiere die geplanten Sicherheitsmaßnahmen.
Überprüfe regelmäßig die Wirksamkeit der Maßnahmen und passe sie gegebenenfalls an, um auf neue Bedrohungen oder Veränderungen in der IT-Landschaft zu reagieren.
Dokumentation und Berichterstattung
Dokumentiere alle Schritte der Risikoanalyse und die getroffenen Entscheidungen in einem einheitlichen Format.
Erstelle Berichte über die Risikosituation und die umgesetzten Maßnahmen an das Management und relevante Stakeholder.
