7Risikoanalyse

AG IT-Sicherheit

IT-Sicherheitsrichtlinie - Risikoanalyse

  1. Verzeichnis der Grundschutzmassnahmen
  2. Präambel
  3. Kurzbeschreibung
  4. Teil IAllgemeines
  5. 1Geltungsbereich
  6. 2Leitlinienfunktion für andere Dokumente
  7. 3Verantwortlichkeiten und Organisation der IT-Sicherheit
  8. 4Grundbegriffe
  9. Teil IIIT-Verfahren
  10. 5Dokumentation von IT-Verfahren
    1. 5.1IT-Verfahrensdatenbank
    2. 5.2Struktur der IT-Verfahrensdokumentation
    3. 5.3Beziehungen zwischen Komponenten der IT-Verfahrensdokumentation
    4. 5.4Rollen innerhalb eines IT-Verfahrens
    5. 5.5IT-Verfahren mit kurzer Betriebsdauer
  11. 6Schutzbedarfsanalyse
    1. 6.1Vorgehensweise
    2. 6.2Bewertungstabellen
      1. 6.2.1Verlust von Vertraulichkeit
      2. 6.2.2Verletzung von Integrität
      3. 6.2.3Beeinträchtigung von Verfügbarkeit
      4. 6.2.4Verstoß gegen Gesetze, Vorschriften und Verträge
  12. 7Risikoanalyse
    1. 7.1Begriffsdefinitionen
    2. 7.2Vorgehensweise
    3. 7.3Beispiel
  13. Teil IIIRegeln
  14. 8Maßnahmen des IT-Grundschutzes
    1. 8.1Allgemeines
    2. 8.2Organisation von IT
    3. 8.3IT-Personal
    4. 8.4Sicherung der Infrastruktur
    5. 8.5Hard- und Softwareeinsatz
    6. 8.6Einsatz von mobilen Geräten
    7. 8.7Zugriffsschutz
    8. 8.8Protokollierung
    9. 8.9System- und Netzwerkmanagement
    10. 8.10Datensicherung
    11. 8.11Datenträgerkontrolle
    12. 8.12Verschiedenes
  15. Teil IVAusführungsbestimmungen
  16. 9Inkraftsetzen und Aktualisierung der IT-Sicherheitsrichtlinie
  17. 10Konfliktlösung bei der Umsetzung der IT-Sicherheitsrichtlinie
  18. Anhang
  19. 11Abbildungsverzeichnis
  20. 12Tabellenverzeichnis
  21. 13Glossar
  22. 14Literaturverzeichnis

Seite zuletzt geändert: 16.05.2022 16:46

Betreff:

Seite: 10

Für alle Daten bzw. Datenverarbeitungsschritte, für die in der Schutzbedarfsanalyse ein erhöhter Schutzbedarf ermittelt wurde (Schadensstufe "hoch" oder "sehr hoch"), muss zusätzlich eine Analyse der Risiken durchgeführt werden. Im Unterschied zur Schutzbedarfsanalyse werden in der Risikoanalyse die schadensverursachenden Ereignisse betrachtet.
Maßnahme: Fragestellung:
1. Schutzbedarfsanalyse Welche Schäden können entstehen?
2. Risikoanalyse Welche Ereignisse können Schäden hervorrufen?
Welche Eintrittswahrscheinlichkeit besteht für das Ereignis?


 

 

Tabelle 8Unterschied zwischen der Schutzbedarfsanalyse und der Risikoanalyse

Häufigkeit Bedeutung
selten Das Schadensereignis tritt höchstens alle 5 Jahre ein.
mittel Das Schadensereignis tritt einmal alle 5 Jahre bis einmal im Jahr ein.
häufig Das Schadensereignis tritt häufiger als einmal im Jahr ein.

Tabelle 9Häufigkeitswerte der Eintrittswahrscheinlichkeit von Schäden

\   Schadenshöhe
      \------------\
Häufigkeit       \
hoch
 
2
sehr hoch
 
3
   selten Tragbar Tragbar
   mittel Tragbar Untragbar
   häufig Untragbar Untragbar

Tabelle 10Risikoklassen

Kategorie Beispiele
Gebäude Türen, Brandschutz, Alarmanlage
Räume Serverraum, Klimaanlage
Hardware Server, Client
Software Datenbank, Web-Applikation
Infrastruktur Kabel, aktive Netzkomponenten, Stromversorgung
Personen Administratoren, Nutzer
Kommunikation E-Mail-Dienst, Telefonie
Datenträger Papier, USB-Stick

 

Tabelle 11Kategorien von Zielobjekten

M35 Information aus unzuverlässiger Quelle X X X
  Manipulation von Hard- und Software X X X
  Manipulation von Informationen   X X
M8 Unbefugtes Eindringen in IT-Systeme X X
M41 Ausfall von Geräten oder Systemen
X X
M37 Fehlfunktion von Geräten oder Systemen X X X
M16 Ressourcenmangel
X X
M37 Software-Schwachstellen oder -Fehler X X X
M3, M7 Verstoß gegen Gesetze oder Regelungen X X
M4, M52, M57 Unberechtigte Nutzung oder Administration von Geräten und Systemen X X X
M18, M39 Fehlerhafte Nutzung oder Administration von Geräten
und Systemen		 X X X
M1a, M4, M52
M54, M56, M57		 Missbrauch von Berechtigungen X X X
M16, M17 Personalausfall     X
M53, M56, M59 Identitätsdiebstahl X X X
  Missbrauch personenbezogener Daten X    
M35, M38 Schadprogramme X X X
M8, M14, M61,
M61a, M62, M64		 Störung von Diensten (Denial of Service)     X
  Sabotage  X X
M1a, M80 Social Engineering X X  
M19 Unbefugtes Eindringen in Räumlichkeiten X X X
M68, M69, M70, M71 Datenverlust     X
M71, M72 Integritätsverlust schützenswerter Informationen   X  
Maßnahmen Gefährdung Vertraulich-
keit		 Integrität Verfügbar-keit
M28 Feuer
X
 X
M30 Ungünstige klimatische Bedingungen
X X
M29 Wasser
X X
M19, M20 Verschmutzung, Staub, Korrosion
X X
M27 Ausfall oder Störung der Stromversorgung
X X
M22, M23, M24 Ausfall oder Störung von Kommunikationsnetzen

X
M41 Ausfall oder Störung von Dienstleistern X X X
M25 Ausspähen von Informationen / Spionage X

M41, M42, M46 Verlust von Geräten, Datenträgern u. Dokumenten X
X

Fehlplanung oder fehlende Anpassung X X X
M48, M60 Offenlegung schützenswerter Informationen X

Tabelle 12Übersicht über die elementaren Gefährdungen mit den jeweils betroffenen Grundwerten
Nr. Komponente Beschreibung
1. Fileserver Der Fileserver ist ein Stand-alone-System, das unter "Windows Server" läuft und Netzwerk-Ordner über SMB zur Verfügung stellt.
2. Clients Die Clients werden dezentral administriert oder im Fall von Laptops als "Bring Your Own Device" (BYOD) eingesetzt.
3. Netzwerk Das Netzwerk wird zentral administriert. Die aktiven und passiven Komponenten sind öffentlich nicht zugänglich. Die Glasfaser- und Kupferleitungen gehören dem Betreiber.
4. Nutzer Die Nutzung erfolgt durch die Mitarbeiter des Fachbereiches.
5. Administratoren Die Administration wird durch eine festangestellte Teilzeitkraft sowie studentische Hilfskräfte erledigt.
6. Räume Der Raum, in dem sich der Server befindet, ist ein Technikraum im Fachbereich, der gleichzeitig auch anderweitig genutzt wird. Der Zugang ist verschlossen, allerdings ist die Verteilung der Schließberechtigung unübersichtlich.
7. Anwendung (Software) Für die Veröffentlichung der Netzlaufwerke werden die Bordmittel von Windows genutzt

Tabelle 13Identifizierung der beteiligten Komponenten

Nr. Komponente Relevanz
1. Fileserver relevant
2. Clients nicht relevant
3. Netzwerk relevant
4. Nutzer nicht relevant
5. Administratoren relevant
6. Räume relevant
7. Anwendung (Software) relevant

Tabelle 14 Auswahl der relevanten Objekte

Nr. Zielobjekte Gefährdung
1. Fileserver Unerlaubter Zugriff
2. Netzwerk Abhören
3. Administratoren Ausspähen
4. Räume Unerlaubter Zutritt
5. Anwendung (Software) Unerlaubter Zugang

Tabelle 15Zusammenstellung der Gefährdungen der ermittelten Zielobjekte

Nr. Zielobjekte Gefährdung Häufigkeit4)
1. Fileserver Unerlaubter Zugriff häufig
2. Netzwerk Abhören selten
3. Administratoren Ausspähen selten
4. Räume Unerlaubter Zutritt selten
5. Anwendung (Software) Unerlaubter Zugang mittel

Tabelle 16Zusammenstellung der Eintrittswahrscheinlichkeit der Gefährdungen

7.1Begriffsdefinitionen

Der Begriff "Risiko" ist definiert als Maß der Gefährdung, die von einer Bedrohung ausgeht. Das Risiko setzt sich aus zwei Komponenten zusammen: der Wahrscheinlichkeit, mit der das Ereignis eintritt und der Höhe des Schadens, der als Folge des Ereignisses auftritt.

Für die Abschätzung, mit welcher Wahrscheinlichkeit ein Schaden zu erwarten ist, werden Werte von "selten" bis "häufig" verwendet. Dabei werden den Werten die in der folgenden Tabelle aufgeführten Bedeutungen unterlegt.

Schritt 1:   Identifizierung der an dem Geschäftsprozess bzw. das IT-Verfahren beteiligten Komponenten
Schritt 2:   Bestimmung der relevanten Komponenten, basierend auf dem Ergebnis der Schutzbedarfsanalyse
Schritt 3:   Bestimmung der Gefährdungen je Zielobjekt
Schritt 4:   Abschätzung der Häufigkeit von Schäden je Zielobjekt
Schritt 5:   Zusammenstellung und Bewertung (Klassifizierung) der Risiken
Schritt 6:   Auswahl der Maßnahmen zur Reduzierung der untragbaren Risiken auf ein tragbares Maß
Schritt 7:   Erklärung zur Übernahme der Restrisiken durch die/den Verfahrensverantwortliche/n

 

Seite: 10b

Risikoanalyse

Betreff:

 

Risikoanalyse

Seite: 10a

Betreff:
In der Risikoanalyse werden die für IT-Verfahren benötigten Komponenten als Zielobjekte bezeichnet. Die Zielobjekte können in Kategorien geordnet werden.

7.2Vorgehensweise

Die Risikoanalyse wird in mehreren Schritten durchgeführt. Ausgehend von der Erfassung aller für den Betrieb eines IT-Verfahrens benötigten Zielobjekte werden die folgenden Arbeitsschritte durchgeführt:

Untragbare Risiken müssen durch zusätzliche Maßnahmen auf das für die Freie Universität Berlin tragbare Maß reduziert werden. Das Ergebnis der Risikoanalyse beinhaltet nur die zusätzlich notwendigen, über den Grundschutz hinausgehenden Maßnahmen. Der/die Verfahrensverantwortliche hat zu entscheiden, ob durch die umgesetzten Schutzmaßnahmen das Risiko tragbar und somit der Betrieb des IT-Verfahren in der vorgesehenen Form verantwortbar für die Freie Universität Berlin ist.

7.3Beispiel

Anhand des folgenden Beispiels soll die Vorgehensweise bei der Risikoanalyse verdeutlicht werden. Das Beispiel-IT-Verfahren besteht nur aus dem Betrieb eines Fileservers. Darum wird nur die Gruppe der Komponenten betrachtet, die für den Betrieb des Fileservers relevant sind. Die grüne unterbrochene Linie soll diese Abgrenzung kennzeichnen.

Ausgangssituation

Die Schutzbedarfsanalyse hat ergeben, dass die auf dem Fileserver abgelegten Daten vertraulich behandelt werden müssen (Schutzbedarf "hoch"). Für die Verfügbarkeit und Integrität der Daten wurden keine be-sonderen Anforderungen ermittelt. Daher muss in diesem Beispiel nur die Vertraulichkeit berücksichtigt werden.

4)  Die Häufigkeit wird gemäß Tabelle 9 ermittelt.
5)  Die Schadenshöhe ist das Ergebnis der Schutzsbedarfsanalyse.
6)  Das Risiko wird gemäß Tabelle 10 ermittelt.

3) Es werden nur Komponenten ausgewählt, die eine potentielle Schwachstelle für Gefährdungen hinsichtich des Verlusts der Vertraulichkeit darstellen können.

Die Relevanz der Komponenten ergibt sich aus der Abgrenzung des betrachteten Bereichs. Für den Betrieb des Fileservers sind der Server selbst und die darauf installierte Software relevant. Außerdem ist das angeschlossene Netzwerk, die für den Betrieb zuständigen Administratoren sowie der Aufstellungsort des Servers relevant. Die Nutzer und die am Netz angeschlossenen Client-Geräte sind für den Serverbetrieb nicht relevant.

Nr. Zielobjekte Gefährdung Häufigkeit Schadenshöhe5) Risiko6)
1. Fileserver Unerlaubter Zugriff häufig hoch untragbar
2. Netzwerk Abhören selten hoch tragbar
3. Administratoren Ausspähen selten hoch tragbar
4. Räume Unerlaubter Zutritt selten hoch tragbar
5. Anwendung (Software) Unerlaubter Zugang mittel hoch tragbar

Tabelle 17Bewertung der Risiken

 

Seite: 10c

Risikoanalyse

Betreff:

Schritt 1: Identifizierung der an dem IT-Verfahren beteiligten Komponenten

Schritt 2: Bestimmung der relevanten Komponenten,
                basierend auf dem Ergebnis der Schutzbedarfsanalyse3)

Schritt 3: Bestimmung der Gefährdungen der ermittelten Komponenten

Schritt 4: Abschätzung der Häufigkeit von Schäden

Bei der Abschätzung der Häufigkeit von Schäden kann ein Blick in die vergangenen Jahre hilfreich sein. Tritt bei vergleichbaren Szenarien eine Häufung von Schäden bei bestimmten Zielobjekten auf, kann dies ein Hinweis sein. Werden keine Anhaltspunkte gefunden, kann oft eine Befragung der Administratoren oder Anwender in diesem Bereich nützlich sein.

Schritt 5: Zusammenstellung und Bewertung (Klassifizierung) der Risiken

Schritt 6: Auswahl der Maßnahmen zur Reduzierung der untragbaren Risiken

Geeignete Maßnahmen können sowohl technische als auch organisatorische Maßnahmen sein. In diesem Beispiel wäre der Einsatz einer Firewall eine geeignete technische Gegenmaßnahme, um die häufigen Zugriffsversuche auf den Fileserver abzuwehren:

Maßnahme 1:
Installation und Betrieb einer Paketfilter-Firewall, die den gesamten Datenverkehr zum Fileserver kontrolliert. Durch geeignete Filtereinstellungen werden nur die erlaubten Datenpakete weitergeleitet.

Schritt 7: Erklärung zur Übernahme der Restrisiken durch die/den Verfahrensverantwortliche/n

Der/die Verfahrensverantwortliche bestätigt in Kenntnis der Restrisiken, dass der Betrieb des IT-Verfahrens den für die Freie Universität geltenden Sicherheitsanforderungen genügt.

Die Dokumentation der Risikoanalyse besteht im Wesentlichen aus drei Teilen:

  1. dem zu betrachtenden Bereich eines IT-Verfahrens (Abgrenzung)
  2. den oben skizzierten Tabellen (Dabei ist es nicht nötig, für jeden Schritt eine eigene Tabelle anzulegen. Sinnvoller wäre eine einzige Tabelle, die schrittweise ausgefüllt wird; siehe Tabelle 18.)
  3. der Beschreibung der Maßnahmen
Tragbar - akzeptables Risiko
Untragbar - nicht akzeptables Risiko


 

Es wird unterschieden zwischen den zwei Risikoklassen "tragbar" und "untragbar". Die Zuordnung von Risiken zu einer bestimmten Risikoklasse erfolgt anhand der nachstehenden Tabelle 10.

Dabei bedeuten

In diesem Bespiel wird bewusst eine sehr einfache IT-Landschaft zugrunde gelegt, damit die

Vorgehensweise der Risikoanalyse verdeutlicht werden kann. Aus diesem Grund bleiben auch die Vorteile der modularen Dokumentationsstruktur hier unerwähnt. In einem näher an der Realität orientierten Beispiel hätte das Zielobjekt „Netzwerk“ nach Schritt 2 (Bestimmung der relevanten Komponenten) nicht weiter analysiert werden müssen, denn ein Verweis auf das Dokumentationsmodul „Netzwerk“ des Hochschulrechenzentrums hätte ausgereicht. Der Betrieb des Netzwerks liegt in der Zuständigkeit des Hochschulrechenzentrums, dort muss es auch vollständig, also inkl. Risikoanalyse, dokumentiert werden.

Bei komplexen IT-Landschaften, d.h. die Liste der relevanten Zielobjekte ist lang, können nach Schritt 2 alle Zielobjekte als erledigt angesehen werden, die an anderer Stelle bereits dokumentiert wurden. Für jedes dieser Zielobjekte muss lediglich auf das betreffende Dokumentationsmodul der anderen Stelle verwiesen werden.
Nr. Zielobjekte Gefährdung Häufigkeit Schadens-
höhe		 Risiko Maßnahme
1. Fileserver Unerlaubter Zugriff häufig hoch untragbar Maßnahme 1
2. Netzwerk Abhören selten hoch tragbar -
3. Administratoren Ausspähen selten hoch tragbar -
4. Räume Unerlaubter Zutritt selten hoch tragbar -
5. Anwendung (Software) Unerlaubter Zugang mittel hoch tragbar -

Tabelle 18Ergebnistabelle

Abbildung 5Fileserver in einer Netzwerkumgebung

Die dabei ermittelten untragbaren Risiken müssen durch geeignete Vorkehrungen und Maßnahmen auf ein tragbares Maß reduziert werden. Diese sind in geeigneter Weise zu dokumentieren. Nach Abschluss der vollständigen Dokumentation bestätigt der/die Verfahrensverantwortliche in Kenntnis der Restrisiken, dass der Betrieb des IT-Verfahrens den für die Freie Universität geltenden Sicherheitsanforderungen genügt.

Verborgene Anmerkung:
Da sich der Strich zwischen Schadenshöhe und Häufigkeit in HTML nur schlecht umsetzen lässt wurde ein Bild über die Tabelle gelegt.

ASCII-ART for-ever...

 

Seite: 10d

Risikoanalyse

Betreff:
Bei der Bestimmung der Gefährdungen der ermittelten Zielobjekte (Schritt 3) soll die folgende Tabelle behilflich sein. Sie bietet eine – nicht abschließende – Übersicht über die elementaren Gefährdungen sowie die Nennung der hauptsächlich betroffenen Grundwerte (Vertraulichkeit, Integrität und Verfügbarkeit).

 

Seite: 10e

Risikoanalyse

Betreff:
10/24