Risikobasierte Information Security Management Systeme

Risikomanagement optimiert das ISMS für mehr Sicherheit

| Autor / Redakteur: Dennis Pokupec / Peter Schmitz

Ein risikobasiertes ISMS hilft Unternehmen dabei, die für die IT-Sicherheit notwendigen Ressourcen auch an die Stellen mit dem höchsten Schutzbedarf zu verteilen.
Ein risikobasiertes ISMS hilft Unternehmen dabei, die für die IT-Sicherheit notwendigen Ressourcen auch an die Stellen mit dem höchsten Schutzbedarf zu verteilen. (Bild: Pixabay / CC0)

Sechs von zehn Unternehmen in Deutschland haben nach eigenen Angaben eine aktuelle IT-Sicherheitsstrategie formuliert dokumentiert und verabschiedet. Viele versäumen allerdings, die einzelnen Maßnahmen risikobasiert abzustufen. Damit verplanen sie Ressourcen an wenig riskanten Stellen, die an Hochrisikoprozessen und an Schnittstellen dringend benötigt werden. Bewährt hat sich ein mit den Gesamtzielen verzahntes Sicherheitskonzept.

Für ein risikobasiertes Informationssicherheitsmanagementsystems (ISMS) ist es wichtig, es als Teil der internen Abläufe des Unternehmens zu gestalten und in die Unternehmenssteuerung des Top Managements zu integrieren. Ein methodisches Vorgehen einer Sicherheitskonzeption lässt sich in die folgenden Phasen unterteilen, die aufeinander aufbauen und jährlich auf ihre Aktualität hin überprüft werden sollten.

Jede Menge Vorarbeiten

Um einen effizienten Prozess zu gestalten, müssen Vorarbeiten geleistet werden. Dazu gehört zunächst das Bestimmen der Risikoakzeptanz. Zwei Risikowerte müssen festgelegt werden:

  • 1. Das akzeptable Grenzrisiko: Jeder Risikowert, der sich unterhalb oder gleichauf mit dem akzeptablen Grenzrisiko befindet, kann ohne weitere Maßnahmen akzeptiert werden.
  • 2. Das nicht akzeptierbare Grenzrisiko: Jedes Risiko, das sich über diesem Wert befindet, muss mit Maßnahmen gesenkt werden.

Risiken zwischen den beiden Spezifikationsgrenzen müssen unter das akzeptable Grenzrisiko gebracht werden, solange es machbar und wirtschaftlich ist.

Die zweite Vorarbeit ist die Aufstellung von Schutzbedarfsklassen (SBK), in die Unternehmenswerte (Assets) wie Informationen und IT-Anwendungen später eingeteilt werden. Vier Klassen – niedrig, mittel, hoch, sehr hoch – haben sich bewährt. Das Unternehmen bestimmt jeweils die obere Schadensgrenze der Klasse für die möglichen Schadenarten finanzieller Verlust, Reputationsschäden, Steuerungsverlust und Verstöße gegen Gesetze. Jedes Unternehmen muss sich ihre eigenen Schutzbedarfsgrenzen setzen und für sich bewerten, in welchen Kategorien sie die Klassen bestimmen möchte.

Der Ursprung potentieller Schäden sind Bedrohungen, beispielsweise Angriffe durch Hacker oder Industriespionen, aber auch Stromausfälle und unachtsame Mitarbeiter. Die Bedrohungen müssen bekannt sein, um Maßnahmen gegen sie zu definieren und umzusetzen. Konkret erstellt das Unternehmen einen Bedrohungskatalog, indem alle auf die Organisation wirkenden Gefahren, inklusive Eintrittswahrscheinlichkeit festgehalten werden. Externe Quellen wie Veröffentlichungen des Bundesamts für Informationssicherheit (BSI) helfen dabei.

Ein aktueller Bedrohungskatalog ist eine der wichtigsten Grundlagen für die Sicherheitskonzeption. Nahezu alle weiteren Prozessschritte sind nicht möglich ohne Transparenz über die Bedrohungslage im Unternehmen.

Übersicht, wie einzelne Teile einer Sicherheitskonzeption voneinander abhängen.
Übersicht, wie einzelne Teile einer Sicherheitskonzeption voneinander abhängen. (Bild: Sopra Steria)

Auf Basis der Eintrittswahrscheinlichkeit einer Bedrohung und dem in den SBK bestimmten Schadensausmaßes errechnet sich das Risiko. Je nach Risikoakzeptanz wird ein Risiko hingenommen, oder es werden Anforderungen definiert, das Risiko zu senken.

Der Anforderungskatalog mündet in den Sicherheitsrichtlinien. Dieses Papier gibt vor, ab welcher Schutzbedarfsklasse, welche Anforderungen umzusetzen sind, um die Risiken für ein bestimmtes Asset unterhalb des Grenzrisikos in den akzeptablen Bereich zu lenken. Die Anforderungen sollten kein Fremdkörper im Tagesgeschäft sein, sondern sich in den Unternehmensprozessen wiederfinden. Unternehmen treffen damit eine Vorauswahl, so dass die Kronjuwelen mit allen Anforderungen gesichert, während für weniger schützenswerte Assets keine wertvollen Ressourcen verschwendet werden.

Um Zusammenhänge zwischen einzelnen Assets zu ermitteln, führen Unternehmen eine Strukturanalyse durch. Diese Analyse ist wichtig, weil sich Abhängigkeiten auf die Einstufung des Schutzbedarfes auswirken. Die Analyse verläuft zweigleisig: Die übergeordnete Analyse betrachtet die Vernetzung zwischen Prozessen, Informationen und Anwendungen. In der Netzstrukturanalyse werden die gesamten Verbindungen von der Anwendungsebene über die gesamte Infrastruktur untersucht.

Schutzbedarfsanalyse und Business Impact Analyse

Mit der Schutzbedarfsanalyse (SBA) erhält jedes Unternehmens-Asset eine SBK und damit umzusetzende Sicherheitsanforderungen. Die SBA ermittelt Schadensauswirkungen bei der Verletzung der drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Ausschlaggebend ist die maximal tolerierte Schadenshöhe der in den SBK festgelegten Schadensklassen bei Verletzung eines der Schutzziele.

Vertraulichkeit: Um die SBK eines Assets für das Schutzziel Vertraulichkeit zu bestimmen, analysiert das Unternehmen, was passiert, wenn Informationen als schützenswertes Asset Dritten bekannt werden. Die SBK für Vertraulichkeit ergibt sich aus dem daraus zu erwarteten Schaden.

Integrität: Für das Schutzziel Integrität ermittelt das Unternehmen, welcher Schaden entsteht, wenn beispielsweise verfälschte Informationen in Geschäftsprozessen verarbeitet werden. Hierfür ist die Strukturanalyse wichtig. Durch sie ist bekannt, in welcher Kombination Informationen in Geschäftsprozessen vorkommen.

Verfügbarkeit: Jeder Geschäftsprozess wird anhand einer Business Impact Analyse bewertet. Das Unternehmen stuft ein, welchen Schaden der Ausfall eines Geschäftsprozesses auf das Unternehmen hätte. Der Geschäftsprozess „Anfragen beantworten“ ist trotzdem verfügbar, wenn der E-Mail-Server ausfällt. Das Asset müsste für diesen Prozess nicht zwingend die höchste SBK erhalten, es sei denn, Kunden kündigen massiv, weil gerade dieser Kanal nicht zur Verfügung steht. Für die Assets ist die Verfügbarkeit des Geschäftsprozesses, der durch das Asset unterstützt wird maßgebend. Entscheidend ist somit, welche Verfügbarkeit ein Geschäftsprozess sicherstellen soll.

Vererbung von Schutzbedarfen

Die ermittelte SBK wird auf alle Assets übertragen (vererbt), die an der Verarbeitung, am Transport, an der Speicherung von Informationen oder an der Funktion eines Geschäftsprozesses beteiligt sind oder sonstigen Bezug zu den Informationen haben. Wenn der Schutzbedarf für eine genutzte Software als hoch eingestuft wird, gilt diese Klasse auch für die mit dieser Software eingesetzten IT-Systeme, die Räume, in der die Rechner stehen, sowie für das Gebäude. Dabei gilt das Maximalprinzip. Bedient eine Anwendung mehrere Informationen vererbt sich der höchste Schutzbedarf auf die tieferen Schichten.

Gap-Analyse und Risikomanagement

Mit der Gap-Analyse identifizieren Unternehmen mögliche Lücken zwischen den ermittelten Anforderungen und bereits umgesetzten Maßnahmen. Nicht oder nur teilweise eingehaltene Anforderungen werden als Abweichungen gelistet.

Alle nicht vollständig erfüllten Anforderungen gelten als Restrisiken und fließen in das Risikomanagement ein. Diese Abweichungen werden auf die Eintrittswahrscheinlichkeit eines Schadens durch sie bewertet und welcher Schaden durch sie entstehen kann. Auf Basis der Analyse entscheidet das Unternehmen, ob es Maßnahmen zur Behebung der Risiken definiert oder stuft das Risiko als akzeptabel ein und nimmt mögliche Schäden in Kauf. Die Risiken werden nachverfolgt und sollten mindestens jährlich überprüft und aktualisiert werden.

Abgespeckte Sicherheitskonzeption für kleinere Unternehmen

Die Gesamtmethodik und das Vorgehen sind mit Aufwand verbunden und rechnen sich nicht für jedes Unternehmen. Für kleine und mittelständische Unternehmen mit wenigen IT-Anwendungen und geringer IT-Infrastruktur ist es unter Umständen sinnvoller, auf die Vorarbeiten zu verzichten und stattdessen eine Risikoanalyse für jedes Asset einzeln durchzuführen. Wichtig ist, dass das ISMS auf die eigenen Gegebenheiten und Bedürfnisse zugeschnitten wird.

Über den Autor: Dennis Pokupec Information Security Consultant bei Sopra Steria Consulting Sein Themenschwerpunkt liegt auf der Prozessoptimierung für Informations­sicherheits­management­systeme und der Gestaltung von Sicherheitskonzeptionen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45389891 / Risk Management)