Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen. - Leseprobe -

Transkript

1 Dirk Loomans, Micha-Klaus Müller

2 Übersicht über die Arbeitshilfen risikoanalyse.doc Checkliste zur Durchführung einer Risikoanalyse Das Klammersymbol Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie. Detaillierte bibliografische Daten sind im Internet über abrufbar. ISBN im Text verweist auf die entsprechende Datei im Anhang. by TÜV Media GmbH, TÜV Rheinland Group, TÜV, TUEV und TUV sind eingetragene Marken der TÜV Rheinland Group. Eine Nutzung und Verwendung bedarf der vorherigen Zustimmung durch das Unternehmen. Gesamtherstellung: TÜV Media GmbH, Köln 2013 Den Inhalt dieses E-Books finden Sie auch in dem Handbuch Information Security Management, TÜV Media GmbH, Köln. Die Inhalte dieses E-Books wurden von Autor und Verlag nach bestem Wissen und Gewissen erarbeitet und zusammengestellt. Eine rechtliche Gewähr für die Richtigkeit der einzelnen Angaben kann jedoch nicht übernommen werden. Gleiches gilt auch für Websites, auf die über Hyperlinks verwiesen wird. Es wird betont, dass wir keinerlei Einfluss auf die Inhalte und Formulierungen der verlinkten Seiten haben und auch keine Verantwortung für sie übernehmen. Grundsätzlich gelten die Wortlaute der Gesetzestexte und Richtlinien sowie die einschlägige Rechtssprechung.

3 Managementpflichten/Ziele ISMS Zum Inhalt Das Risikomanagement von Unterneh - men im Bereich der Informationssicherheit analysiert den Zustand der informationsverarbeitenden Einrichtungen und der Geschäftsprozesse, die den Informationsfluss lenken. Dabei liegt der Fokus der Untersuchung der Schwachstellen und Bedrohungen auf den Schutzzielen Vertraulichkeit, Verfügbarkeit und Inte gri - tät von Unternehmenswerten. In diesem E-Book werden unterschiedliche Möglichkeiten der Risikoanalyse be - leuch tet. Eine Risikoanalyse bezieht sich auf Anforderungen aus bekannten Sicherheitsstandards, beispielsweise der ISO/ IEC Darüber hinaus wird auch die Methodik des BSI Grundschutz-Standards betrach tet, der mithilfe von Grundschutzgefährdungen eine Risikoanalyse für IT-Systeme für Behörden beschreibt. Arbeitshilfen: Checkliste für die Risikoanalyse Autoren: Dr. Micha-Klaus Müller Dr. Dirk Loomans info@loomans-matz.de 1 Allgemeines zur Bedrohungs- und Schwachstellenanalyse Aufgabe der Unternehmensführung ist es, Risiken, die den Fortbestand des Unternehmens gefährden, und Chancen für eine positive Unternehmensentwicklung frühzeitig zu erkennen. Ersteres ist sogar gesetzlich gefordert (s. 91 AktG, 43 GmbHG). Das Vorgehen nach Best Practice sieht hierfür die Installation eines Überwachungssystems vor, das die Unternehmensinformationssicherheit nachhaltig und effizient gewährleistet. Die Überwachung durch das Management kann im Rahmen eines sogenannten Informationssicherheitsmanagementsystems (ISMS) erfolgen. Das ISMS sieht eine permanente Aufrechterhaltung der Informationssicherheit innerhalb eines vorab definierten Geltungsbereichs vor. TÜV Media GmbH Seite 1

4 Um der Sorgfalt des ordentlichen Geschäftsmanns entsprechend der Gesetzeslage ausreichend nachzukommen, ist es für die Geschäftsführung erforderlich, das ISMS auf geeignete Informationssicherheitsstandards zu beziehen, die dem aktuellen Stand von Wissenschaft und Forschung entsprechen und auf deren Grundlage ein ISMS den Schutz von Informationen koordiniert. Wenn sich ein Unternehmen für den Schutz seiner Informationen bewusst entscheidet, wird es zu Beginn des angestoßenen Sicherheitsprozesses Sicherheitsziele definieren, die bestimmen, welche Unternehmenswerte wie geschützt werden sollen. Es stellt sich also die Frage, welche Unternehmenswerte schutzbedürftig sind. Der Schutzbedarf orientiert sich an den erklärten Sicherheitszielen und wird bezüglich der Schutzziele Vertraulichkeit, Integrität (Unversehrtheit) und Verfügbarkeit von Informationen ermittelt. Verantwortliche, die den Schutzbedarf von Informationen ermitteln, stellen für jeden Unternehmenswert die Frage, welcher realistische Schaden zu erwarten ist, wenn Vertraulichkeit, Integrität und/oder Verfügbarkeit für den betrachteten Unternehmenswert verloren gehen. Die Schutzbedarfsermittlung generell sollte kein Problem darstellen, wenn Pro- Schutzbedarf Es sind die geeigneten Maßnahmen des ordentlichen Geschäftsmanns, die durch die Geschäftsführung zu treffen sind, und nicht nur die adäquate Umsetzung von geplanten Sicherheitsmaßnahmen, um der Sorgfaltspflicht im Sinne der oben genannten Gesetze nachzukommen. Denn die Wahrscheinlichkeit dafür, dass Maßnahmen gegen Bedrohungen greifen, ist nur dann hoch, wenn die Geschäftsführung Verantwortung für die Installation, den erfolgreichen Betrieb und die Pflege eines ISMS vollumfänglich übernimmt. TÜV Media GmbH Seite 2

5 zess- und Systemverantwortliche die Schwachstellen der Verfahren und/oder IT-Systeme/Anwendungen kennen. Ziel einer Schutzbedarfsanalyse Ziel einer Schutzbedarfsanalyse ist es, das Hauptaugenmerk auf die wirklich schützenswerten Prozesse zu lenken. Darüber hinaus ist die Höhe des Schutzbedarfs auch für die Beantwortung der Frage nach der Wirtschaftlichkeit von geplanten Maßnahmen ausschlaggebend. Denn bei der Entscheidung, welche Maßnahmen getroffen werden sollen, ist immer abzuwägen, dass Nutzen und Aufwand der Maßnahmenumsetzung in einem angemessenen Verhältnis zu dem Schutzzweck stehen. Sinnvollerweise sollte die Schutzbedarfsermittlung neben den Anforderungen an die Informationssicherheit (Schutz von Informationen) auch jene des Datenschutzgesetzes (BDSG, Schutz von personenbezogenen Daten) umfassen. Der Datenschutz ist weitgehend eine Untermenge des Informationsschutzes, die Bewertung und Einstufung sollte jedoch im Rahmen der Schutzbedarfsermittlung getrennt vorgenommen werden. Der Schutzbedarf einer Information hinsichtlich der relevanten Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit wird in mehrere Kategorien eingeteilt, beispielweise in die Kategorien niedrig, mittel, hoch und sehr hoch. Die Anzahl an Schutzkategorien kann unterschiedlich gewählt werden, in der Praxis haben sich jedoch drei bis fünf bewährt. Im Allgemeinen sollten Unternehmenswerte mit hohem Schutzbedarf einer besonderen Betrachtung unterzogen werden, wie dies explizit in der Schutzbedarfsanalyse nach den BSI-Grundschutzkatalogen (Bundesamt für Sicherheit in der Informationstechnologie) gefordert wird. Hierbei ist zu beachten, dass sich das Risiko, das den Schutzbedarf TÜV Media GmbH Seite 3

6 bestimmt, künftig ändern kann. So kann die besondere Betrachtung zur Überlegung neuer Schwachstellenbeseitigungsmethoden führen, die sonst nicht in die Risikoanalyse Eingang gefunden hätten. Schwachstellen Bedrohungen und Risiken Im Sinne der Informationssicherheit entsprechen Schwachstellen in einem Geschäftsprozess wie auch in einem IT- System dem Umstand, mit hinreichenden Mitteln den Geschäftsprozess oder das IT-System hinsichtlich der Schuttziele Vertraulichkeit, Integrität und Verfügbarkeit zu kompromittieren. Sie ergeben sich entweder aus der unterlassenen Umsetzung von geeigneten Maßnahmen (z. B. aus wirtschaftlichen Gründen oder weil keine bekannt sind) oder aus der Umsetzung von Maßnahmen, die ungeeignet sind, von denen aber fälschlicherweise angenommen wird, dass sie greifen. Durchschlägt eine Bedrohung die Sicherheitsmaßnahmen und trifft auf eine Schwachstelle, so entspricht dies einem Sicherheitsvorfall, der gemäß den Unternehmensrichtlinien an verantwortliche Stellen weitergegeben werden muss. Die Wahrscheinlichkeit, dass eine Bedrohung die Sicherheitsmaßnahmen umgeht und einen Schaden verursacht, entspricht dem Risiko, dessen sich das Unternehmen bewusst zu sein hat und das durch Risikoanalysen zu ermitteln ist. Werden Risiken bzw. unvermeidbare Restrisiken durch die Geschäftsführung hingegen bewusst in Kauf genommen, spricht man von der Risikoakzeptanz des Unternehmens. Die Beseitigung von Schwachstellen und Bedrohungen ist das erklärte Ziel eines Risikomanagements und reduziert das Risiko für einen Sicherheitsvorfall. TÜV Media GmbH Seite 4

7 2 Risikomanagement Risikomanagementsystem Risiko- analyse- Team Ein erfolgreich installiertes Risikomanagementsystem in einem Unternehmen führt zu einem verbesserten Risikobewusstsein und zu einer effizienten Organisation der Risikobehandlung. Es wird als Unternehmensführungsaufgabe angesehen und kann nur von einem Team aus Mitgliedern aus unterschiedlichsten Unternehmensbereichen erfolgreich geführt werden. Dabei sollte grundsätzlich die Verantwortung für die Pflege des Risikomanagementsystems bei einer verantwortlichen Stelle liegen, der wie bei einem ISMS unabhängig vom Unterstellungsverhältnis klare Entscheidungsbefugnisse zugeordnet werden sollten. Sie hat Überlegungen, die zu Maßnahmen führen, aber auch Maßnahmen, die umgesetzt werden, zum Zweck der Kontrolle zu dokumentieren. Umgesetzte Maßnahmen müssen in einem funktionierenden Risikomanagementsystem transparent und kontrollierbar gemacht werden. Nur durch eine aktive Unterstützung des Risikomanagements durch die Unternehmensführung kann eine Motivation für Risikodenken in der gesamten Organisation durchgesetzt werden. Die aktive Umsetzung dieser Leitgedanken ist wichtig, um das Risikomanagement in einer Organisation als effizientes Instrument für die Informationssicherheit zu installieren und zu institutionalisieren. Ist einmal der Schutzbedarf für alle wichtigen Unternehmenswerte festgestellt, ist ein Risikoanalyse-Team zu bilden, das die Auswirkungen potenzieller Sicherheitsvorfälle bei allen wichtigen Unternehmenswerten bezüglich aller Schutzziele möglichst erschöpfend auszuarbeiten hat. Hieran sind die folgenden Mitarbeiter aus den unterschiedlichs - ten Unternehmensbereichen zu beteiligen: TÜV Media GmbH Seite 5

8 das Top-Management wie beispielsweise CIO, CISO etc., Mitarbeiter des mittleren Managements, die Verantwortung für die operative Entwicklung eines Risikokon - zepts tragen, IT-Verantwortliche und Mitglieder des IT-Sicherheitsmanagements, Verantwortliche aus dem technischen Management wie beispielweise aus der Gebäudesicherheit, dem Notfallmanagement etc., Verantwortliche für Geschäftsprozesse aus den verschiedensten Bereichen wie beispielsweise aus den administrativen Bereichen, Verkaufsbereichen etc., Verantwortliche aus dem Qualitätsmanagement, Bedarfsträger und Interessengruppen ( Stakeholder ) des Unternehmens. Überdies ist bei der Festlegung des Teams zu bestimmen, welche Mitglieder des Risikoteams in Vollzeit oder nur in Teilzeit beschäftigt werden und welche Mitarbeiter lediglich Beratungs- und Mitsprache-, jedoch keine Entscheidungsrechte bekommen. In den meisten Fällen ist es erforderlich, klare Zuständigkeiten und Verantwortungen festzulegen, damit anfallende Aufgaben effizient gelöst und Berichtswege kurz gehalten werden können. Risiko - management- Koordinator Für die Organisation und Koordination des Risikoanalyse- Teams ist ein Risikomanagement-Koordinator zu benennen. Grundsätzlich hat der Risikomanagement-Koordinator folgende Funktionen und Kompetenzen: Bestellung und Einberufung des Risikoanalyse-Teams, Moderation der Teamsitzungen, TÜV Media GmbH Seite 6

9 Risikoverminderung Risikovermeidung Vorschläge von Kriterien zur Risikoevaluierung, Überprüfung des Evaluierungsprozesses, Überprüfung der im Team vorgeschlagenen Maßnahmen, Protokollierung der Teamsitzungen und der Sitzungsergebnisse, Prüfung der Bewertung von Restrisiken, Vorlage von Kontrollergebnissen, Konzeptionen und Berichten bei der Geschäftsführung. Die Methoden des Risikomanagements fokussieren nicht nur auf Maßnahmen zur Risikoreduktion, sondern auch auf vorbereitende und Risikoverteilungsmaßnahmen. Im Folgenden seien die Risikostrategien kurz umrissen. Ein Bedrohungspotenzial und das damit verbundene Risiko können reduziert werden, wenn das Risikomanagement Maßnahmen umsetzen lässt, die direkten Einfluss auf die Bedrohung nehmen. Beispielsweise lässt sich die Bedrohung der Vertraulichkeit, Integrität und Verfügbarkeit durch unbeabsichtigtes Unwissen von Mitarbeitern durch informative Schulungen ( Awareness-Kampagnen ) reduzieren, nicht jedoch beseitigen. Zudem kann man auch die Bedrohung der Verfügbarkeit reduzieren, um damit die Eintrittswahrscheinlichkeit eines Folgeschadens herabzusetzen. Beispielsweise können Backup-Systeme für Informationen installiert werden, um die Gefahr des Verlustes von Informationen zu reduzieren und so einen erheblichen Schaden für die Organisation zu minimieren. Lösungen und unternehmerische Aktivitäten, die sich bereits bewährt haben oder in Planung sind, können zugunsten der Risikovermeidung aufgegeben bzw. nicht eingeführt werden. Auch eine Anpassung von Geschäftsprozessabläufen TÜV Media GmbH Seite 7

10 kann zur Vermeidung von Risiken beitragen, wenn z. B. veränderte Lösungen vorher vorhandene Risiken nicht mehr enthalten. So schließen Software-Patches im Rahmen der IT- Sicherheit Schwachstellen in der betrieblichen Software aus, was die gänzliche oder partielle Beseitigung vorher vorhandener Risiken zur Folge hat. Risikoübertragung Risikofolgenvermeidung Aus Sicht des Unternehmens kann ein Risiko auch reduziert werden, wenn es auf einen Externen übertragen wird. Das Risiko ist somit durch die Haftungsübertragung zwar nicht vermieden, aber reduziert worden, indem sich Externe dazu vertraglich verpflichten, das Risiko von Stillstands- und Ausfallzeiten zu übernehmen. Die Risikoreduktion findet aus Sicht des Unternehmens seine Grenzen darin, dass ein Restrisiko wie beispielsweise die Zuverlässigkeit des Rechenzentrumsbetreibers oder seine finanziellen Möglichkeiten, die Vertragsbedingungen einzuhalten, auf jeden Fall bestehen bleibt. Aufgrund von Produktionsausfällen kann der Fall eintreten, dass ein Unternehmen seine mit einem Auftraggeber vertraglich vereinbarten Liefertermine nicht einhalten kann. Die Gründe für die Produktionsausfälle sind vielfältig und können z. B. ein unzuverlässiges Lagerüberwachungs sys - tem, eine mangelhafte Produktionssteuerung oder auch ein unzureichendes Logistiksystem sein. Der dadurch entstehende Schaden, beispielsweise eine drohende Vertragsstrafe und/oder der Verlust des Vertragspartners, kann sich zu einem unternehmensbedrohenden Schaden ausweiten. Um Folgerisiken dieser Art zu vermeiden, müssen geeignete Maßnahmen getroffen werden (z. B. könnte das Unternehmen Mindestbestände in Erwägung ziehen), um diese Gefährdung zu reduzieren. TÜV Media GmbH Seite 8