Der IT-Einsatz erfährt seit einigen Jahren eine zunehmende Verrechtlichung und immer weiter gehende Formalisierung. IT-Verfahren, die früher eher ad-hoc geplant und eingeführt wurden, versteht man heute als wichtige Geschäftsprozesse, die in ein Gesamtmodell der Abläufe eines Unternehmens einzubinden sind. Gleichzeitig wächst die Erkenntnis, dass diese Geschäftsprozesse durch ihre Abhängigkeit von einer zuverlässigen IT existenzbedrohenden Risiken ausgesetzt sein können.
Eine Reihe neuerer Vorschriften und Gesetze fordert in der Konsequenz ein strukturiertes, durchgängig angewandtes und nachvollziehbares Risikomanagement. Eine Basis hierfür kann man mit der Standardisierung der Aufbau- und Ablauforganisation des IT-Betriebs legen, beispielsweise durch Nutzung umfangreicher Standardlösungen wie SAP R/3 oder durch ein Abstützen auf Verfahrensbibliotheken wie die Information Technology Infrastructure Library (ITIL). Allerdings besteht dabei die Schwierigkeit, dass sich sowohl die regulatorischen Anforderungen als auch die eingesetzten Verfahren durchweg auf einem sehr hohen Abstraktionsniveau bewegen, sodass sie eigentlich kaum Hilfen für den Aufbau eines konkreten Risikomanagements geben.
Zumindest IT-bezogene Geschäftsrisiken lassen sich als mögliche Auswirkungen nicht ausreichend abgedeckter Gefährdungen der IT-Sicherheit interpretieren. Auf dieser Ebene setzen neuere Normen zur IT-Sicherheit an, insbesondere die ISO-27000-Reihe. Allem voran stellt die neue ISO/IEC 27001:2005 "Information technology – Security techniques – Information security management systems – Requirements" einen Katalog konkreter Anforderungen zur Verfügung, nach denen Unternehmen und Behörden das Management ihrer IT-Sicherheit aufbauen und kontrollieren können. Der darin eingeführte Plan–Do–Check–Act-Zyklus liefert eine methodische Basis zur Erfassung und Kontrolle der IT-bezogenen Risiken.
Die Norm geht jedoch noch einen Schritt weiter, indem sie explizit ein "geeignetes Verfahren" zur Risikobewertung fordert, allerdings ohne sich auf eine spezifische Methode festzulegen. Verlangt werden die Identifikation von Gefährdungen und Schwachstellen sowie die Abschätzung möglicher Auswirkungen der dadurch gegebenen Risiken auf die zu schützenden Werte. Die strikte Anwendung der ISO 27001 erfüllt deshalb die Anforderungen an ein Risikomanagement in vollem Umfang. Eine wesentliche Voraussetzung hierfür ist jedoch die Vollständigkeit und Konsistenz der dabei eingesetzten Listen von Risiken und Schwachstellen. Gerade in dieser Hinsicht bietet die Norm jedoch wegen ihres hohen Abstraktionsniveaus kaum Hilfestellung.
Mit dem seit Mitte der 90er-Jahre vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitgestellten und ständig weiter entwickelten Verfahren des Grundschutzes (![[externer Link]](../../../../images/link.gif)
www.bsi.bund.de/gshb/) steht andererseits nicht nur die wohl umfangreichste und konkreteste Liste zu erwartender IT-Risiken zur Verfügung, sondern es werden hier auch zu jedem dieser Risiken konkrete Handlungsvorschläge gemacht, wie diesen zu begegnen ist.
Durch Abstützen auf standardisierte Situationen und das Verwenden pauschalisierter Eintrittswahrscheinlichkeiten vermeidet man dabei die methodischen Mängel des klassischen Ansatzes der Risikoanalyse: Diese erwartet, dass man die Auswirkungen potenzieller Schäden und die Wahrscheinlichkeit des Auftretens bestimmter Risiken geeignet einschätzen kann und auf dieser Basis festgelegt, welche Risiken als akzeptabel zu betrachten sind und welche nicht. Dieser Ansatz ist für den Bereich der IT jedoch als weitgehend unbrauchbar anzusehen, weil beides in den meisten Fällen nicht sinnvoll möglich ist.
Im ersten Ansatz deckte das Grundschutz-Verfahren nur den mittleren Schutzbedarf ab, indem es eine Reihe standardisierter Schutzmaßnahmen vorsah, welche die in der Regel zu erwartenden Risiken geeignet abdecken. Dazu wurde eine allgemeine Risikoanalyse zugrunde gelegt, die diese Standardmaßnahmen mit den entsprechenden Risiken in Beziehung setzt. Die Praxisnähe des Grundschutzes führte schnell zu einer weiten Verbreitung, zunächst im Behördenbereich, etwas später auch in weiten Teilen der Wirtschaft. Seine Beschränkung auf den mittleren Schutzbedarf und der Verzicht auf eine explizite Risikoanalyse hatten jedoch zur Folge, dass er auf Bereiche mit hohen Sicherheitsanforderungen nicht oder nur sehr eingeschränkt anwendbar war.
Der ursprüngliche Grundschutz wurde deshalb durch ein Verfahren zur Risikoanalyse ergänzt, das speziell auf dessen Vorgehensweise abgestimmt ist und gleichzeitig die Mängel der klassischen Risikoanalyse weitgehend vermeidet. Das BSI hat dieses Verfahren Anfang 2006 als Standard 100-3 veröffentlicht ( www.bsi.bund.de/literat/bsi_standard/standard_1003.pdf). Hierüber kann man den IT-Grundschutz so anwenden, dass auch die Anforderungen der ISO 27001 abgedeckt werden; dies bedeutet gleichzeitig eine Erweiterung auch auf Nicht-Standard-Umgebungen und Bereiche erhöhter Sicherheitsanforderungen.
Im ersten Schritt wird dazu eine ergänzende Sicherheitsanalyse durchgeführt, sofern man bei der Schutzbedarfsfeststellung oder dem Basis-Sicherheitscheck feststellt, dass der Grundschutz allein nicht geeignet wäre eine ausreichende Sicherheit zu gewährleisten. Diese ergänzenden Analyse ermittelt dann den Umfang, in dem für bestimmte kritische Bereiche eine gesonderte Risikoanalyse durchzuführen ist.
Die Risikoanalyse auf der Basis von IT-Grundschutz nutzt die Gefährdungskataloge als Ausgangspunkt der Untersuchungen. Für die identifizierten Bereiche prüft man, ob weitere Gefährdungen zu berücksichtigen sind. Die Gefährdungsübersicht wird dabei in einem mehrstufigen Vorgehen erstellt, in dem zunächst für alle relevanten Zielobjekte die Grundschutzbausteine bestimmt werden, die deren Schutz gewährleisten sollen. Aus diesen Bausteinen werden dann die relevanten Gefährdungen als Startpunkt für die Risikobetrachtung extrahiert.
Während der BSI-Standard 100-3 konkrete Vorgaben für die Auswahl der relevanten Zielobjekte macht, bleiben die beiden Schritte der Baustein- und Gefährdungsauswahl eher vage. So legt sich der Standard beispielsweise nicht fest, wie den einzelnen Zielobjekten Bausteine zuzuordnen sind. Als problematisch ist hierbei die Behandlung von Bausteinen der Schicht 1 zu betrachten: Wenn man diese beibehält, erhöht man dadurch den Umfang der ergänzenden Risikoanalyse möglicherweise so stark, dass das Verfahren insgesamt unhandlich oder sogar unpraktikabel wird. Streicht man diese Bausteine jedoch, so läuft man Gefahr, dass für die Risikoanalyse wesentliche Informationen verloren gehen.
Beispielsweise müsste häufig eine solche Entscheidung für die Bausteine B 1.4 "Datensicherungskonzept" und B 1.6 "Computer-Virenschutzkonzept" getroffen werden: Diese Entscheidung ist sinnvoll nur dann möglich, wenn man ihre Bedeutung für den betrachteten IT-Verbund richtig einschätzt. Letztlich ist hier festzulegen, ob übergeordnete Aspekte im Rahmen der Risikoanalyse im Kontext einzelner Zielobjekte betrachtet oder in einer separaten, für den gesamten IT-Verbund geltenden Betrachtung behandelt werden sollen.
Jeder ausgewählte Baustein verweist in den Grundschutzkatalogen auf eine Liste von Gefährdungen, die möglicherweise Risiken für die zugeordneten Zielobjekte begründen. Auch hier sollte man eine geeignete Auswahl treffen, um den Umfang der Risikoanalyse in Grenzen zu halten. Nach Möglichkeit sollten nur die wirklich kritischen Gefährdungen ausgewählt werden; insbesondere sollte man in der Regel auf eine Betrachtung der in den meisten Bausteinen referenzierten generischen Gefährdungen verzichten. Andererseits ist jedoch zu beachten, dass Gefährdungen, die man hier auslässt, im weiteren Verlauf nicht mehr betrachtet werden, sodass eine zu geringe Auswahl zu einer unvollständigen Risikoanalyse führt.
Der BSI-Standard fordert, die Gefährdungsübersicht systematisch abzuarbeiten und für jedes Zielobjekt und jede Gefährdung zu prüfen, ob die bereits umgesetzten oder zumindest im IT-Sicherheitskonzept vorgesehenen Maßnahmen einen ausreichenden Schutz bieten. Diese Prüfung ist mit einiger Genauigkeit nur dann möglich, wenn man sich auf die direkten Zuordnungen zwischen Gefährdungen und Schutzmaßnahmen abstützt. Diese Zuordnungen sind dem Grundschutz als Hilfsmittel in Form von Kreuzreferenztabellen beigegeben.
Es ist dabei auch möglich, eine bestimmte Gefährdung im Kontext eines Zielobjekts oder Schutzprofils als irrelevant zu betrachten, während sie in einem anderen Kontext keinesfalls vernachlässigt werden darf. In diesem Fall ist eine neue Instanz derselben Gefährdung als neues Risiko aufzuführen und im weiteren Verlauf der Analyse eigenständig zu behandeln, also unabhängig von ihrer ersten Instanz.
Das hierbei zugrunde gelegte Verfahren ist im Wesentlichen das der Wirkungsnetzanalyse: So lässt sich feststellen, welche Gefährdungen durch die umgesetzten Maßnahmen abgedeckt werden, und umgekehrt, welche Maßnahmen erforderlich sind, um die identifizierten Gefährdungen abzudecken (vgl. Kasten). Ergänzt man nun die im Grundschutz definierten Gefährdungen um spezifische Risiken einer speziellen Einsatzumgebung und ordnet man diesen Risiken geeignete Gefährdungen zu, so lässt sich die Entscheidung, welche Risiken tragbar sind und welche nicht, ohne die numerische Bewertung der klassischen Risikoanalyse treffen.
Man kommt hier zwar relativ schnell zu aussagekräftigen und realistischen Ergebnissen, allerdings erschweren Umfang und Komplexität der zu beachtenden Zuordnungstabellen zwischen Gefährdungen und Maßnahmen die Durchführung dieser Analyse. Neben einer manuellen Bearbeitung unter Verwendung von Tabellenkalkulationsprogrammen kann es daher sinnvoll sein, ein spezielles Tool oder datenbankgestützte Werkzeuge einzusetzen .
![[Screenshot]](07-2-050-1.jpg)
Bei der beschriebenen Risikoanalyse können entweder Tabellenkalkulationsprogramme oder spezialisierte Tools zum Einsatz kommen (Screenshot: infodas SAVe).
----------Anfang Textkasten----------
Ziel der Wirkungsnetzanalyse im Umfeld des IT-Grundschutzes ist festzustellen, welche Querbeziehungen zwischen vorgesehenen Schutzmaßnahmen und den dadurch abzudeckenden Gefährdungen bestehen und ob die Maßnahmen insgesamt einen ausreichenden Schutz bieten. Die in der Grundschutz-Modellierung ausgewählten Bausteine liefern dazu als Grundlage Listen von Gefährdungen und Maßnahmen, die mitgelieferten Kreuzreferenz-Tabellen (im Verzeichnis "download") stellen die zu überprüfenden Querbeziehungen dar. ![[Screenshot]](07-2-050-2.jpg)
Wenn beispielsweise – wie in der Abbildung ersichtlich – im Baustein B 3.301 "Sicherheitsgateway (Firewall)" die Maßnahme M 4.93 "Regelmäßige Integritätsprüfung" nur teilweise umgesetzt ist, lässt sich so feststellen, dass dadurch unter anderem die Gefährdung G 5.2 "Manipulationen an Daten oder Software" zu einem potenziellen Risiko wird. Betrachtet man die Maßnahmen, die dieser Gefährdung zugeordnet sind, und bemerkt hierbei weitere nicht oder nur teilweise umgesetzte Maßnahmen wie M 4.47 "Protokollierung der Sicherheitsgateway-Aktivitäten", so hat man eine mögliche Sicherheitslücke identifiziert.
----------Ende Textkasten----------
In der Praxis ergeben sich im Rahmen der Gefährdungsbewertung meist mehrere Punkte, für welche die Wirkungsnetzanalyse keine ausreichende Abdeckung ergeben hat. Aus diesen Gefährdungen können sich Risiken für den Betrieb des betrachteten IT-Verbundes ergeben – hier muss der Verantwortliche entscheiden, wie damit umzugehen ist. Nach den Vorgaben sowohl des BSI-Standards 100-3 als auch den Anforderungen der ISO 27001 gibt es folgende Alternativen:
Bei der Auswahl der Alternativen sollte man unter Heranziehung der Ergebnisse der Wirkungsnetzanalyse auch berücksichtigen, welche IT-Sicherheitsmaßnahmen für das jeweilige Zielobjekt bereits vorhanden sind. Nachdem für jede verbleibende Gefährdung eine der genannten Alternativen gewählt wurde, kann man das IT-Sicherheitskonzept für den betrachteten IT-Verbund fertigstellen. Dazu ist dieses zu konsolidieren, indem die IT-Sicherheitsmaßnahmen für jedes Zielobjekt auf Eignung, Zusammenwirken, Benutzerfreundlichkeit und Angemessenheit überprüft werden: Anschließend kann der im IT-Grundschutz beschriebene Sicherheitsprozess fortgesetzt werden.
Eine nach diesem Muster erstellte Risikoanalyse entspricht dem Stand der Technik und ist eine geeignete Basis für ein Risikomanagement, das aktuellen gesetzlichen Anforderungen in vollem Umfang genügen kann.
Dr. Gerhard Weck ist Leiter IT Security Consulting bei der Infodas GmbH ( www.infodas.de).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#2, Seite 50
tag:kes.info,2007:art:2007-2-050
| 