Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Herausgegeben von
P. Hohl, Ingelheim, Deutschland
Mit der allgegenwärtigen Computertechnik ist auch die Bedeutung der Sicherheit von In-
formationen und IT-Systemen immens gestiegen. Angesichts der komplexen Materie und
des schnellen Fortschritts der Informationstechnik benötigen IT-Profis dazu fundiertes
und gut aufbereitetes Wissen.
Die Buchreihe Edition <kes> liefert das notwendige Know-how, fördert das Risikobe-
wusstsein und hilft bei der Entwicklung und Umsetzung von Lösungen zur Sicherheit von
IT-Systemen und ihrer Umgebung.
Herausgeber der Reihe ist Peter Hohl. Er ist darüber hinaus Herausgeber der <kes> – Die
Zeitschrift für Informations-Sicherheit (s. a. www.kes.info), die seit 1985 im SecuMedia
Verlag erscheint. Die <kes> behandelt alle sicherheitsrelevanten Themen von Audits über
Sicherheits-Policies bis hin zu Verschlüsselung und Zugangskontrolle. Außerdem liefert
sie Informationen über neue Sicherheits-Hard- und -Software sowie die einschlägige Ge-
setzgebung zu Multimedia und Datenschutz.
Sebastian Klipper
Edition <kes>
ISBN 978-3-658-08773-9 ISBN 978-3-658-08774-6 (eBook)
DOI 10.1007/978-3-658-08774-6
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliogra¿e; detail-
lierte bibliogra¿sche Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Springer Vieweg
© Springer Fachmedien Wiesbaden 2011, 2015
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich
vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlags. Das gilt insbeson-
dere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikrover¿lmungen und die Einspeicherung und
Verarbeitung in elektronischen Systemen.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt
auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen-
und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.
Der Verlag, die Autoren und die Herausgeber gehen davon aus, dass die Angaben und Informationen in diesem
Werk zum Zeitpunkt der Veröffentlichung vollständig und korrekt sind. Weder der Verlag noch die Autoren oder
die Herausgeber übernehmen, ausdrücklich oder implizit, Gewähr für den Inhalt des Werkes, etwaige Fehler
oder Äußerungen.
Springer Fachmedien Wiesbaden ist Teil der Fachverlagsgruppe Springer Science+Business Media
(www.springer.com)
Dank
Die Gesdlkhle..u- Buchs begann vor etwa ftinf Jahren, alJ Ich MCÖ'dI;Il
eillMlht kaufen wollte. Sie hIben ganz Recht. da war es noch gar
nicht gnchrieben. Ich war auf der Suche nach eirmn BudI. du !IidI.
explizit mit dem Mlnlgement van Sicherheitmsiken auf Bui. d.eII
lSO/lEC-Stvuhrds 2700S beadIiftIgL Meine Vontell~ Woll' es.
ein Buch zu fi.nde:n, in dem dN 'lbem.a ~t .,.
integraler üestlrldteil der ISO/IBC Normenreihe 27000 verstanden
und ~ wird. Ich mUMte femteIIen.. dus eil 10 ein Buch
noch nicht sibt und beiichlo. daher, ea JIe!b.t zu iidireiben.
Hierzu gehörte ~ die Fr. . welche Standarda der Weldle Norm 111
Fr.
ISO/IEC-Normenreihen fIlr die Implementierung eines ~- d. PM"00.'1
:nqemen!ay.teu.. widitig .md und weldul nimt. Will man diesez
auf den GNnd gehen,. indem man die Standard. seB.t zu
Rate zieht. belaufen Iidt. die lnvesti.tioNko.um. Idmell auf einige
vm Vorwort
I5O/IEC 27005
11. KomtrKIIJIIrrItl_ bl/Olmatlolls5k:Mrllt.'lbilslhn:
Tt!tlGkeöt: ~ Z1I RI$Jbn . . . " z~ . " EIftKhei
~ lItId CIIJUet' ~ ~ ufIfI/
odB~~.
http://psi2.de
(W~b2jt~ des AutrJrsl
Ich wiinsche Urnen viel Spaß beim Lesen und viel Erfolg bei der
Anwendung in der Praxis.
Sebastian Klipper
Januar 2015
Zur Bedeutung des grafischen Codes rechts neben dem Hinweis auf
die Webseite zum Buch beachten Sie bitte Erklärung zu QR-Codes auf
Seite 9.
~
I
Inhaltsverzeichnis
Dank V
Vorwort VII
Inhaltsverzeichnis XI
1 Einführung 1
1.1 Wie wir uns entscheiden ..................................................... 1
1.2 ISMS - Managementsysteme für Informationssicherheit3
1.3 Schritt für Schritt................................................................... 6
1.4 Hinweise zum Buch ............................................................. 8
2 Grundlagen 13
2.1 Sprachgebrauch, Begriffe und Besonderheiten der
Übersetzung ........................................................................ 14
2.1.1 Mindmap und Definition wichtiger Begriffe ...... 16
XII Inhaltsverzeichnis
3 ISO/IEC 27005 59
3.1 Überblick über den Risikomanagement-Prozess ........... 60
3.2 Festlegung des Kontexts .................................................... 62
3.3 Risiko-Assessment... ........................................................... 66
3.3.1 Risikoidentifikation ................................................ 67
3.3.2 Risikoanalyse ........................................................... 72
3.3.3 Risikobewertung/ Priorisierung ........................... 75
3.4 Risikobehandlung .............................................................. 78
3.5 Risikoakzeptanz .................................................................. 87
3.6 Risikokommunikation und Beratung .............................. 89
Inhaltsverzeichnis XIII
5 Risiko-Assessment 107
5.1 Methodensteckbriefe ........................................................ 108
5.2 Merkmale ........................................................................... 109
5.3 Gruppierungen ................................................................. 110
5.4 Brainstorming ................................................................... 112
5.5 Strukturierte und semistrukturierte Interviews .......... 114
5.6 Die Delphi-Methode......................................................... 116
5.7 Checklisten ........................................................................ 118
5.8 Szenario-Analysen............................................................ 120
5.9 Business Impact Analysen (BIA) .................................... 122
5.10 Ursachenanalyse (Root Cause Analysis RCA) ............. 124
5.11 Fehler- und Ereignisbaumanalyse (FTA und ETA) ... 126
5.12 Ursache-Wirkungsanalysen ............................................ 128
5.13 Bow Tie Methode ............................................................. 130
5.14 Risikoindizes ..................................................................... 132
5.15 Auswirkungs-Wahrscheinlichkeits-Matrix .................. l34
5.16 Entscheidungsmatrizen................................................... 136
5.17 Zusammenfassung ........................................................... 138
6 Risikokommunikation 139
6.1 Theoretische Grundlagen ................................................ 140
6.2 Das besondere an Risiken ............................................... 145
6.3 Konfliktpotential ............................................................... 148
XIV Inhaltsverzeichnis
7 Wirtschaftlichkeitsbetrachtung 155
7.1 Pacta sunt servanda ......................................................... 157
7.2 Wirtschaftlichkeitsprinzipien ......................................... 158
7.3 Kosten-Nutzen-Analysen ................................................ 160
7.4 Pareto-Prinzip ................................................................... 161
7.5 Total Costl Benefit of Ownership (TCO! TBO) ............ 163
7.6 Return on Security Investment (ROSl) .......................... 166
7.7 Stochastischer ROSI ......................................................... 168
7.8 Return on Information Security Invest (ROISI) ........... 170
7.9 Zusammenfassung ........................................................... 173
Sachwortverzeichnis 181
Abkürzungsverzeichnis 187
Literaturverzeichnis 191
Abbildung 1:
Der erste
Grundriss des
Risikomanage
mentprozesses
(nach 15])
Risikobehandlung
Risikoakzeptanz
1.2 ISMS - Managementsysteme für Informationssicherheit 5
Es ist wichtig zu erkennen, dass die zwei ersten Felder, die in der Black-Box
Grafik zum Risikomanagementprozess gefüllt wurden, ganz unten Risikomanage
stehen. Die Felder Risikobehandlung und Risikoakzeptanz sind die men!
entscheidenden Schnittstellen zum ISMS, mit dem der Risikoma
nagementprozess in Verbindung steht.
Die weiteren Felder bilden für das ISMS quasi eine Black-Box,
denn Risiken werden immer irgendwie behandelt oder akzeptiert.
Wie diese Entscheidung zustande kommt varüert unter Umstän
den beträchtlich. Wenn sie allerdings nicht auf soliden Füßen steht,
ist die Wirksamkeit des ganzen ISMS in Frage gestellt.
Daher gehört Risikomanagement auch zu jedem ISMS. Die
Standards ISO/IEC 27001 und 27002 sind jedoch recht zurückhal
tend, wenn es darum geht zu klären, wie Risikomanagement
aussehen soll. ISO/IEC 27005 ist daher in gewisser Weise der Inhalt
für die Black-Box. Führen Sie sich jedoch vor Augen, dass
Risikomanagement nicht etwa ein kleines Add-On ist, sondern
eine beachtliche Aufgabe. Allein der Blick auf die Seitenzahl der
Standards macht diesen Trend deutlich. Während ISO/IEC 27001
mit nur 32 Seiten zurecht kommt, benötigt ISO/IEC 27002 bereits
90 Seiten und ISO/IEC 27005 76 Seiten. Damit wird der Risikoma
nagement-Standard 27005 fast genau so umfangreich wie der Code
of Practice der 27002. In den Vorgängerversionen aus dem Jahr
2005 bzw. 2008 war 27002 noch deutlich länger und 27005 kürzer.
Aus diesem Blickwinkel" wächst" die Bedeutung des Risikomana
gements innerhalb der Normenreihe der ISO/IEC 27000.
Nun ist es natürlich nicht statthaft, die Wichtigkeit eines Standards
beziehungsweise den Aufwand bei dessen Umsetzung anhand der
Seitenzahl zu bestimmen. Sie sollten jedoch bedenken, dass Sie sich
etwas Eigenes einfallen lassen müssen, wenn Sie sich dagegen
entscheiden, die Risikomanagement-Black-Box mit ISO 27005 ZU
füllen.
Am Ende kann es eigentlich nur einen Schluss geben: Wer ein Hand in Hand
ISMS etabliert, kommt nicht mit ISO/IEC 27001 aus und wird
daher auf den Code of Practice aus ISO/IEC 27002 zurückgreifen.
Und wer den Code of Practice einsetzt muss sich etwas zum
Risikomanagement einfallen lassen. Was liegt da näher, als den
passenden Standard aus der ISO/IEC 27000 Familie zu verwenden.
Dabei können die Standards jeweils nur schwer voneinander
losgelöst betrachtet werden.
6 1 Einführung
ISO/lEe 27003 Wenn Sie jetzt nach den dazwischenliegenden Nummern 27003
und 27004 und 27004 fragen, stellen Sie keine unberechtigte Frage. Die
Standards befassen sich mit Implementierung und Design eines
ISMS beziehungsweise mit dessen Bewertung. Das sind natürlich
ebenfalls wichtige Themen, wenn es um ein ISMS geht. Sie bilden
jedoch beide kein neues Stück vom Kuchen, sondern eher
Zuckerguss und Sahne. Beides natürlich auch wichtig, aber nicht
unverzichtbar. Sie sollten nicht vergessen.. dass es für den
ISO/IEC 27000 Kuchen noch jede Menge Schokoraspe~ Candy und
Marzipan-Figürchen gibt:
https://psi2.de/RM·Liste-des-SC27
(Liste der Securlty-Standards
des lSO/IEC Subcommfttee 271
2. Zur Bedeutung des grafischen Codes rechts neben dem Hinweis auf
die Webseite zum Buch beachten Sie bitte Erklärung zu QR-Codes auf
Seite 9.
1.3 Schritt für Schritt 7
in der Hand. Streichen Sie an, was immer Thnen gefällt, und
streichen Sie durch, was für Ihre konkrete Situation uninteressant
ist. Wenn die Stelle in einem Jahr für Sie wichtig wird, werden Sie
sie schnell wiederfinden. Streichen Sie nicht nur an und durch;
kommentieren Sie und nummerieren Sie sich Denkschritte am
Rand mit. So werden auch eher theoretische Abschnitte zum ganz
praktischen Arbeitsabschnitt. Welchen Vorteil sollte man sonst
haben, ein Buch zu kaufen? Nutzen Sie diese Möglichkeiten.
Am Rand des Buchs finden Sie regelmäßig Stichworte, die es Thnen Stichworte
erleichtern sollen, wichtige Stellen wiederzufinden und das Buch
als Nachschlagewerk zu nutzen. So können Sie die Kapitel nach
den Stichworten am Rand überfliegen. Wichtige Stichworte, die als
Wegweiser am Rand auftauchen, können Sie auch über das
Stichwortverzeichnis nachschlagen. So finden Sie schnell, wonach
Sie suchen.
Zusätzlich zu den Stichworten werden Icons verwendet, um auf Icons
besondere Dinge hinzuweisen. Eines dieser Icons haben Sie bereits
auf der ersten Seite dieses Kapitels kennen gelernt. Die Sprechblase
verweist auf ein Zitat einer bestimmten Person. Neben der
Orientierungshilfe durch die Icons sind diese Hinweise auch
immer vom sonstigen Text freigestellt und grau hinterlegt. Im
Folgenden sehen Sie die verwendeten Icons und die zugehörige
Bedeutung:
http://psi2.de/Rlsikomanagement-das-Buch
(Hinweis auf eine Webseite)
~
....'
Zitat oder Hinweis auf einen Standard, ein Buch o.Ä. l'h?
https://psi2.de/RM-Liste-der-Links
(Linkliste zum Buch)
TI
~
I!l
Auf diese Weise habe ich versucht, das Papier-Medium Buch mit
"
:
zu halten. habe ich mich dazu entschlossen, Facebook & Co. für
den Austausch zu nutzen. Sollten also Fragen offen geblieben sein.
möchte ich Sie einladen, auf meiner Facebook-Seite oder via XING
mit mir in Kontakt zu treten:
https://www.facebaok.com/SebastianKlipper
(Facebook-Seite des Autors)
https://www.xing.com/profile/Sebastian_Klipper
(Xing-Profil des Autors)
11
.
[!] .
~
2 Grundlagen
Wenn Sie Iidt. mit dem Manasement von Risiken für die lDfOl'ma.. Vorau'"
tiOllMicherhei.t aUlleinandetllll!lZi!Ll wollen. mdMen Sie !lieh vor zungen
allem eiDer Sadie bewust werden: Keine Technologie die.ter Erde
wird Jhre 5kherheItsprobleme lOften. Technolosie vemm.m Ihnen
vielleicht an einet Stelle einen gewililen VotSplUt'Ig vor den
Angreifem.. In einer anderen Stelle jedoch reiBt !ie neue Lückm
W. Im !ICblJmIMten Fd mIlCht sie ftI:r einen Angrelfer so&u den
be5ondeIaI. Reiz aWl, gerade Ihre Syateme ~ Im
lühmen von Sidlerhel~t \51 Teclmol. nur ein
Mittel ZUIII Zweck,. ein We:rkzeag. Ganz ." wie ein BlldhI.uer
Hammer und Meiiel benutzt - Hammer und Meiiel mhen
:niemIb: im MittelpllIlkt .eineI; SdWfeN. Die Aufgibe eine.
Kiinstlers ist es - zum Beispiel. - eine Skulptur zu gestalten. lIie mit
Inhalt zu füllen. Wenn ihm die Ideen ausgehen oder den Besu
chern seiner Galerie die Skulpturen einfach nicht gefallen, dann
hilft es nichts, wenn er seine Werkzeuge austauscht. Um das Zitat
vom Kapitelbeginn aufzugreifen: Wenn dieser Künstler denkt
Werkzeuge könnten seine Probleme lösen, dann versteht er weder
seine Probleme noch sein Werkzeug.
Was Sie in In Kapitel 2 erfahren Sie die Grundlagen der Kunst, sich von der
diesem Kapitel Technologie zu lösen und über die eigentlichen Probleme im
erfahren Bereich der Sicherheit nachzudenken. Sie erhalten dazu einen
Überblick über das Thema Management von Informationssicher
heit im Ganzen und Sie bekommen das nötige Fundament, auf
dem wir in den folgenden Kapiteln aufbauen, wenn wir uns mit
den Herausforderungen des Risikomanagements beschäftigen.
Sebastian Klipper
Kanfllktmanagement für SIcherheItsprafIs
Auswege aus der Buhmann-Falle
für IT-Sicherheitsbeaujtragte, Datenschützer und Co.
Springer Vieweg, 2. Auflage, 2015
2.1 Sprachgebrauch, Begriffe und Besonderheiten der Übersetzung 15
Einer der Griinde für diesen Begriffswirrwarr sind die Schwierig- Einheitliche
keiten bei der Übersetzung aus dem Englischen. Da fast alle hier Übersetzung
zitierten Standards urspriinglich in Englisch vorliegen,. gilt es die
Begriffe richtig ins Deutsche zu übertragen. Hierzu gehen wir die
wichtigsten Begriffe der Normenreihe ISO/IEC 27000 systematisch
durch. Insgesamt legt die ISO/IEC 27000 [6] fast 90 Begriffe fest,
von denen wir hier etwa 30 genauer betrachten.
Bei einigen Begriffen ist es möglich, die englischen Begriffe
beizubehalten. So ist es durchaus sinnvoll, auch im Deutschen von
"Controls" statt von "Maßnahmen" zu sprechen. Die Grenzen sind
hier sicher fließend. Ein weiteres Beispiel wären die Worte Ineident
und Vorfall, die beide verwendet werden können.
Auch ist es möglich, die deutschen Übersetzungen der Standards Offizielle
zu verwenden. Man sollte sich jedoch nicht zu viel von diesen Übersetzung
Übersetzungen erwarten. Da wird "normative rejerences" schon mal
mit "normative Verweisungen" übersetzt und Risiken werden mal
"abgeschätzt", mal "eingeschätzt" und mal "bewertet", wobei
"estimation" und "assessment" wiederum jeweils mit "einschätzen"
übersetzt wird. Die deutsche Übersetzung kann das Original
daher zwar formell ersetzen, sorgt stellenweise aber für Verwir-
rung. Ich empfehle stets die Verwendung des englischen Originals.
Im folgenden Abschnitt werden die wichtigsten Begriffe -
ausgehend von den englischen Standards - übersetzt und
festgelegt. Am Seitenrand finden Sie in alphabetischer Reihenfolge
die englischen Originalbegriffe und im Text daneben die jeweilige
Übersetzung, bei der die Verständlichkeit jeweils im Vordergrund
stand. Insbesondere soll dadurch die Anzahl der ähnlich klingen-
den Begriffe reduziert werden. Gleichzeitig wird dieser Abschnitt
bereits dazu genutzt, die Bedeutung der Begriffe transparent zu
machen.
Gehen wir nun im folgenden Abschnitt die Begriffe durch, die in Wandel der
den Standards jeweils verwendet werden.' Man muss hierbei Begriffe
wissen,. dass sich die Begriffe im verlauf der Zeit in ihrer Definition
wandeln. Noch vor wenigen Jahren wurden sie in unterschied-
lichsten Standards definiert und sind erst in der Version von 2014
Abbildung 2: Verfügbarkeit
Mindmap zur
Werte Integrität
Informationssi·
cherheit m' den Vertraulichkeit
verwendeten Kontexl
Begriffen aus den
Identifikation
Standards
Assessment Analyse
Bewertung! Priorisierung
Modifikation
(IS-)Risiko(-Management) Übernahme
Behandlung Vermeidung
15
Teilen
Restrisiko ~tanz
Überwachungl Überprüfung
Bedrohung
Schwachstelle
Vorfall Ereignisse
Auswirkung
Maßnahme! Control
2.1 Sprachgebrauch, Begriffe und Besonderheiten der Übersetzung 17
2.1.1.2 Werte
Als Asset wird alles bezeichnet, was für eine Organisation einen Asset
Wert hat [8]. Laut lSO/IEC 27000 gehören hierzu z.B. Bankdaten,
geistiges Eigentum, Mitarbeiterdaten, oder Daten von Kunden.
Vereinfacht handelt es sich also um die Werte der Organisation.
Vielfach hört man jedoch auch den englischen Originalbegriff.
Beide Begriffe sind möglich und erlaubt. Auch in diesem Buch
werden sie synonym verwendet.
Verfügbarkeit ist die Eigenschaft, auf Verlangen einer berechtig- Availability
ten Entität zugänglich und nutzbar zu sein.
Integrität ist die Eigenschaft, richtig und vollständig zu sein. Integrity
Vertraulichkeit ist die Eigenschaft einer Information, niemals Conftdentiality
gegenüber einem unberechtigten Individuum, einer Entität oder
2.1.1.3 Informalionssicherheils-Risiko-Managemenl
Risk Als Risiko bezeichnet man Unsicherheiten bei der Erreichung der
Ziele der Organisation. Risiko wird häufig als Kombination aus
Wahrscheinlichkeit und Konsequenzen eines Ereignisses darge
stellt.
Risk Unter Risikomanagement versteht man die koordinierten
Management Aktivitäten zur Steuerung und Kontrolle einer Organisation unter
Berücksichtigung von Risiken.
Extemal Context Als äußerer Kontext wird das Umfeld verstanden, in dem eine
Organisation arbeitet.
Intemal Context Als interner Kontext werden organisationsinterne Einflussgrößen
bezeichnet.
Risk Assess- Das Risko-Assessment bezeichnet den Prozess aus Risiko-
ment Identifikation, Risikoanalyse und Risikobewertung! Priorisierung.'
Risk Mit Risikoidentifikation bezeichnet man den Prozess, bei dem
Identification Risiken gesucht, aufgelistet und charakterisiert werden.
Risk Analysis Risikoanalyse ist der Prozess, die Art des Risikos zu verstehen
und das Risiko-Level zu bestimmen.
Risk Evaluation Während der Risikobewertung! Priorisierung (offizielle Über
setzung lautet nur Risikobewertung6) werden die zuvor identi
fizierten und analysierten Risiken mit den Basiskriterien
abgeglichen, um deren Bedeutung bewertet.
Risk Treatment Mit Risikobehandlung wird der Prozess bezeichnet, bei dem
Maßnahmen ausgewählt und eingerichtet werden, die sich auf die
Risiken auswirken.
2.1.1.4 Vorfälle
Eine mögliche Ursache für einen unerwiinschten Vorfall, der Threat
negative Auswirkungen auf ein System oder die Organisation
haben kann, wird als Bedrohung bezeichnet.
, Früher: Risikoreduktion
• Früher: Risikotransfer
20 2 G~
tsO/lfC 27002
"""""
outmurt:ed stJftwtJn de.e/opmMlt sItouId M SIIpBVtHd tmd
/JIOIitoIed bv tIJe ~ion.
.,....... """"""""
Control und nicht um die .ufgrund. die8er Anforderung konkret
2.2 Entscheidend ist die Methodik 21
Start Abbildung 3:
Einfacher
Projektplan
-1:===::J Ende
Projektpläne sehen es nicht vor, einen Schritt immer wieder neu Prozesse
starten zu müssen. Der Unterschied bei Prozessen liegt darin. dass
die einzelnen Schritte immer wieder gestartet werden und
eigentlich permanent laufen und auf Input warten. Natürlich gibt
es auch hier mindestens einen Einstiegspunkt, mit dem man
beginnen kann. Das muss aber nicht sein. Es können auch mehrere
22 2 Grundlagen
Abbildung 4:
Beispiel für
einen Prozess
--
Abbildung 5:
Vom Projekt in
den Prozess
https://psI2.de/RM-ISO-Suche
(Suche nach ISO-Standards)
Masse statt Spontan fragt man sich, ob hier vielleicht die Klasse der Masse
Klasse? untergeordnet wird. Dieser Gefahr begegnet die ISO mit einem
ausgeklügelten Entwicklungsprozess, den alle Standards durch
laufen müssen, bevor sie letzten Endes auf den Markt kommen.
Dabei richtet sie sich an den Anforderungen der Wirtschaft aus
und stimmt über die Entwicklung der Standards in speziellen
Komitees unter Anderem darüber ab, ob ein möglicher Standard
eine globale Relevanz haben könnte.
https://psi2.de/RM-ISO-Stage-Cades
(Detailierte Liste der Entwicklungsstufen)
Quasi als siebte Stufe werden die Standards einer regelmäßigen Siebte Stufe
Prüfung unterzogen, die dazu führen kann, dass ein Standard
bestätigt, überarbeitet oder zuriickgezogen wird. Bei relativ neuen
Standards wie z.B. ISO/IEC 27005:2008 war dieser Schritt nach
spätestens drei Jahren durchzuführen und führte ZU
ISO/IEC 27005:2011. Bei Standards, die bereits ein Mal überpriift
wurden, ist eine erneute priifung alle fünf Jahre erforderlich.
Kommen wir nun zuriick zu der Frage, warum es wichtig ist, das Warum sollte ich
zu wissen? Im Grunde kommt man auch ohne dieses Wissen aus. das wissen?
Das gilt bis zu dem Zeitpunkt, an dem man in der Liste der
verfügbaren Standards (siehe Link auf Seite 6) nur auf einen
Entwurf trifft. Von den aufgeführten Standards betrifft häufig
mehr als ein Drittel und viele davon stammen aus der
ISO/IEC 27000 Familie. Dort findet sich zum Beispiel auch
ISO/IEC WD 27005', der im November 2014 auf Stufe 20.60 stand.
Wenn Sie nun über Risikomanagement nachdenken, und es auf
das Jahr 2016 zu geht kann es für Sie sinnvoll sein, sich den Final
Draft (FDIS) zu kaufen, der - wie Sie jetzt wissen - sehr nahe am
-
https://psi2.de/RM-IS027oo5-RSS
(RSS-Feed zum Stand van ISO/lEe 27005)
~~
Abkürzungen Ein anderes Problem sind die vielen Abkürzungen auf der ISO
Webseite und insbesondere in der Betitelung der Standards
beziehungsweise der zugehörigen Entwürfe (zum Beispiel DIS,
FDIS und FCD). Sie finden eine Liste mit den Erklärungen unter
folgendem Link:
https://psi2.de/RM-ISO-Abkuerzungen
(Liste der auf iso. arg verwendeten Abkürzungen)
Das 150- Ein weiteres wichtiges Element beim Verständnis der ISO
Netzwerk Standards ist das Wissen um deren hierarchischen Aufbau.
Aufmerksame Leser haben das schon bei den Begriffsdefinitionen
gesehen. Viele Begriffe des Risikomanagements von Informations
sicherheit werden nicht in der ISO/IEC 27000 Familie selbst
definiert, sondern in ISO Guide 73. Auf diese Weise bilden die
Standards eine inhaltliche Kette. Sie verweisen aber auch immer
wieder nach links und rechts, so dass es sinnvoller ist von einem
Netzwerk zu sprechen.
Neben ISO Guide 73 spielt ISO 20000 [9] eine wichtige Rolle für die
Standards, die wir hier betrachten. ISO 20000 befasst sich mit
Service Management in der IT und beinhaltet - ebenso wie mL -
einen Anteil Information Security Management. Er integriert dabei
wiederum die Standards ISO 9001 (Qualitätsmanagement) und
ISO 14001 (Environmental Management Systems).
2.3 Der Ansatz der ISO 27
Act Risikomanagement
aufrechterhalten und verbessern
An dieser Stelle soll noch nicht weiter ins Detail gegangen werden.
Vorher müssen wir der Frage nachgehen, auf welcher
ISO-Grundlage das Risikomanagement als Einzeldisziplin steht.
https://psi2.de/RM-Llste-des-TMB
(Liste der Management-Standards
des ISO Technica/ Management Boards)
https://psI2.de/RM-PDF-SRDSI
(Verfahren zur WIrtschaftlIchkeitsanalyse
von IT-Sicherheitsinvestitionen; pd/-Datei [13J)
Diese Prinzipien sollten natürlich nicht nur für Risikomanagement Die Prinzipien
im Allgemeinen, sondern im Besonderen auch für das Manage- im Überblick
ment von Informationssicherheitsrisiken gelten. Dies gilt insbe-
sondere für das erste Prinzip, dass Risikomanagement nicht nur
Werte beschützt, sondern diese auch schafft.
32 2 Grundlagen
Abbildung 7:
Mindmap der
Prinzipien des
Risikomanage
ments
~ Risikoidentifikation
~ Risikoanalyse - Anteil Auswirkungen
~ Risikoanalyse - Anteil WahrscheinIichkeit
~ Risikoanalyse - Anteil Risikolevel
~ Risikobewertung/ Priorisierung
Abbildung 8:
Mindmapder Wahrscheinlichkeiten
Techniken des
Risiko
Assessments Risikolevel
https://psi2.de/RM-Liste-des-SC27
(Liste der Securlty-Standards
des ISO/IEC Subcommittee 27)"
2.5.1 Familienübersicht
Bei der ersten Auflage dieses Buchs bestand die Reihe 27000 aus Fülle von
wenigen veröffentlichten Standards und einigen weiteren Standards
Entwürfen. Weder die Kemfamilie der Standards 1-5, noch die
Standards 6-9 zu Auditierung und Zertifizierung waren vollstän-
dig. Bei den weiteren Standards ab der Nummer 10 klafften große
Lücken. Ich bin schon sehr gespannt, wie es um die Familiengröße
bestellt ist, wenn die nächste Überarbeitung dieses Buchs für eine
dritte Auflage ansteht.
Vor zehn Jahren dominierte die Auffassung, dass IT-Grundschutz Leichtgewicht
besonders umfangreich und ISO 27000 besonders knapp sei. Diese 27000?
Zeiten sind jedoch längst vorbei. In der Mitte der Zehnerjahre
besteht die Familie aus 29 veröffentlichten Standards und weiteren
25 Entwürfen" für neue Standards. Bei dieser Fülle ist es selbst für
den Fachmann schwierig, den Überblick zu behalten. Von einem
Leichtgewicht 27000 zu sprechen war vielleicht vor 10 Jahren noch
angemessen - 2015 ist das schlicht unangemessen und falsch.
11 Zur Bedeutung des grafischen Codes rechts neben dem Hinweis auf
eine Webseite siehe Erklärung zu QR-Codes auf Seite 9.
12 Entwürfe werden im Folgenden mit If gekennzeichnet.
38 2 Grundlagen
2.5.1.1 Kernfamilie
Infonnation Der erste Schwung Standards, den wir kurz betrachten wollen
Security beschäftigt sich mit Information Security Management und dem
Management dazugehÖrigen ISMS (Information Security Management System).
Sie bilden in gewisser Weise einen Kern von Publikationen, an
denen man kaum vorbeikommt:
27000 ISO/IEC 27000 (Overview and vocabulary) liefert einen allgemei
nen Überblick und klärt einige wichtige Begriffe. Da man im
Grunde auch ohne ihn auskommt, war der Standard eine ganze
Zeit lang kostenlos zu haben. was sich aber mittlerweile geändert
hat.
27001 ISO/IEC 27001 (Requirements) liefert dann die konkreteren
Regelungen. wie ein ISMS auszusehen hat. Nach den Anforderun
gen dieses Standards kann man ein ISMS bei Bedarf zertifizieren
lassen.
27002 In ISO/IEC 27002 (Code of practice) wird es dann endgültig
konkret. In den Schritten Control, Implementation Guidance und
Other Information werden hier alle für ein ISMS wichtigen
Maßnahmen detailiert beschrieben.
27003 ISO/IEC 27003 (Implementation guidance) befasst sich mit der
Frage, welchen Weg man am besten einschlagen sollte, wenn man
ein ISMS einführen möchte. Die bisher genannten Standards listen
einfach auf, während 27003 sich auch mit der richtigen Reihenfolge
und der Erstellung eines konkreten Projektplans auseinandersetzt.
27004 ISO/IEC 27004 (Measurement) widmet sich einem Problem, vor
dem man steht, wenn man schon einen großen Teil des Weges
hinter sich hat. Wie stellt man fest, wo man mit einem bereits
implementierten ISMS steht? Nach welchem Maß kann man
Informationssicherheit messen.
27005 ISO/IEC 27005 (Information security risk management) präzisiert,
was in ISO/IEC 27002 noch auf eineinhalb Seiten abgehakt wurde.
Das trifft übrigens für viele der weiteren Standards zu. Sie dienen
meistens der Vertiefung eines bereits angesprochenen Themas.
27023' ISO/IEC 27023 (Mapping the revised editions of ISO/IEC 27001 and
ISO/IEC 27002) richtet sich an langjährige Nutzer der
ISO/IEC 27001 und 27002 und stellt ein Mapping zur Verfügung,
um ein bestehendes ISMS nach einer Aktualisierung der Standards
an Änderungen anzupassen.
27024-27030 n.n.
2.5 Die lSO/lEC 27000 Familie 41
ISO/lEC 27031 (Guidelines for ICT readiness for business continui- 27031
ty) befasst sich mit dem Thema Business Continuity Management,
das in lSO/lEC 27001 und 27002 nur relative kurz angeschnitten
wird. Unter dem Begriff ICT Readiness for Business Continuity
(IRBC) wird dazu ein zusätzliches Framework aus Prozessen und
Methoden eingeführt.
ISO/lEC 27032 (Guidelines for cybersecurity) befasst sich mit 27032
einem Begriff, der an sich schon schwer genug zu fassen ist:
Cybersecurity. Der Standard drückt es so aus: "Cybersecurity
befasst sich mit der Sicherheit im Cyberspace". Das Hilft nicht wirklich
weiter - hier wird ein schwammiger Begriff mit einem noch
schwammigeren erklärt. Es geht um Web 2.0 Anwendungen,
Software as a Service, Blogging, Instant Massaging oder interkul
turelle und damit grenz- und rechtsübergreifende Zusammenar
beit im Web. Der Begriff Cybersecurity wird nicht mit
Intemetsicherheit, Informationssicherheit oder dem Schutz
Kritischer Infrastrukturen gleichgesetzt.
Einen zusammenhängenden Block aus fünf Teilstandards bilden 27033
die Standards ISO/lEC 27033-1 bis 27033-6 (Network security). Teil 1
Teil1 (Overview and concepts) führt in die Tätigkeiten zur Teil2
Netzwerksicherheit ein und liefert einen Überblick zum Thema. Teil 3
Teil 2 (Guidelines for the design and implementation of network Teil4
security) enthält konkrete Handlungsanweisungen zu Design und Teil 5
Einführung von Maßnahmen zur End-to-End-Netzwerksicherheit Teil 6'
und Teil3 (Reference networking scenarios) eine Reihe von
Referenzszenarien mit typischen Bedrohungen" Risiken und
Maßnahmen. Teil 4 (Securing communications between networks
using security gateways) schließt hier nahtlos an Teil 3 an, nur mit
einem speziellen Fokus auf Sicherheitsgateways. TeilS (Securing
Virtual Private Networks (VPNs)) befasst sich mit VPNs und Teil 6
(Securing wireless IP network access) mit der Sicherheit von
Drahtlos-Netzwerken.
42 2 Grundlagen
27034 Einen weiteren Block aus mehreren Teilstandards bilden die Teile
Teil 1 1 bis 7 von ISO/IEC 27034 (Application security). Teill (Overview
Teil 2' and concepts) gibt einen Überblick über die Aspekte der Anwen
Teil 3' dungssicherheit. Die Teile 2 (Organization normative framework),
Teil 4' 3 (Application security management process), 4 (Application
TeilS' security validation), 5 (Protocols and application security controls
Teil 5.1' data structure), 5-1 (XML schemas), 6 (Security guidance for
Teil 6' specific applications) und 7 (Application security assurance
Teil 7' prediction) fiihren schließlich einen umfangreichen Management
prozess zur Anwendungssicherheit ein. Dabei geht es jedoch
explizit nicht darum, Anwendungsentwicklung als solche zu
beschreiben. Die Reihe zielt besonders auf die Beschreibung eines
Prozesses zur Entwicklung von Sicherheitsfunktionen innerhalb
einer Anwendung. Dazu gehören: Spezifikation, Design, Entwick
lung, Test, Einfiihrung und Wartung.
27035 ISO/IEC 27035 (Wormation security incident management)
Teil l' beschreibt einen Managementprozess fiir Vorfälle in der Worma
Teil 2' tionssicherheit, mit dem Ziel schnell, koordiniert und effektiv auf
Teil 3' Sicherheitsvorfälle zu reagieren. Der Standard wird zukünftig in
drei Teile gegliedert.
27036 ISO/IEC 27036 (Wormation security for supplier relationships) ist
Teil 1 zu mittlerweile 4 Teilstandards aufgewachsen, die sich mit
Teil 2 Outsourcing von Wormations- und Kommunikationstechnik und
Teil 3 Geschäftsprozessen zu beachten sind. Auch das Thema Cloud
Teil 4 Computing findet hier seine Beachtung.
27037 ISO/IEC 27037 (Guidelines for identification, collection and/or
acquisition and preservation of digital evidence) befasst sich mit
Forensik. Im Mittelpunkt steht dabei die Integrität von elektroni
schen Beweisen von der Beweissicherung über Aufbewahrung und
Transport bis hin zu deren Auswertung. Auch 27042 befasst sich
mit Forensik.
27038 ISO/IEC 27038 (Specification for digital redaction) richtet sich an
Unternehmen, die eine sichere Redaktion von digitalen Dokumen
ten sicherstellen wollen. Die Redaktion von Wormationen aus
Datenbanken ist ausgenommen.
27039' ISO/IEC 27039 (Intrusion detection systems (IOPS» wird Hinweise
zur Auswahl, zu Einsatz und Betrieb von lOS- und IPS-Systemen
enthalten.
2.5 Die lSO/lEC 27000 Familie 43
ISO/lEC 27040 (Storage security) wird sich mit Vorgaben zur 27040'
Sicherheit von Storage-Systemen beschäftigen.
ISO/lEC 27041 (lnformation technology - Security techniques - 27041'
Guidance on assuring suitability and adequacy of incident
investigative methods
ISO/lEC 27042 (Guidelines for the analysis and interpretation of 27042'
digital evidence) befasst sich mit der forensischen Auswertung von
Beweisen. Auch 27037 befasst sich mit Forensik.
ISO/lEC 27043 (Incident investigation principles and processes) 27043'
ergänzt die Forensik-Standards 27037 und 27042 und die Incident
Standards 27035 1-3.
ISO/lEC 27044 (Guidelines for SIEM) befasst sich mit Security 27044'
Information und Event Management.
n. n. 27045-27049
ISO/lEC 27050 (Electronic discovery) befasst sich in vier Teilen mit 27050
dem für die USA wichtigen Verfahren zu e-Discovery, bei dem es Teil1'
darum geht elektronisch gespeicherte Informationen in Gerichts- Teil 2'
verfahren zur Verfügung zu stellen. Dies kann auch für deutsche Teil3'
Unternehmen der Fall sein, wenn sie einen Rechtsstreit in den USA Teil 4'
führen.
..
Standards - der ISO Guide 73171 zitiert.
""" ",
~oII/Q12.1
lldoftl!ljlGGfllllYllt: KOOiI~""'" ~ ZIII' ~ UNI
KOIltJoI*dMr~unm-~lIOIINdm.
_.........
wfrldich bedeutet - buonderll fI1r die eigene Situation - kann man
sie neu formulieren und ins GegeltbeJl umkehren. Wir wollen in
die.tem. Fall du Adjektiv und den Nadullu iIIII Gegenteil
,. DieM Technik funktioniert niIht immer. Oft edeich\lert oie jedodt <iM
Ventlndnk. a. pht df,be1 nkht um eine ~ Vemei
nUß&. «II\dem um eine ~tlvllitJtechnik.
2.6 Was ist Risikomanagement? 45
Selbst der Hinweis darauf, dass sich aus der Reihenfolge keine
Prioritäten ableiten lassen, macht die Sache nicht besser -
alphabetisch wird nämlich auch nicht sortiert.
Vergessen Sie In diesem Buch wollen wir diese Reihenfolge bewusst durchbre
höhere Gewalt! chen und bei Risikofaktor Nummer eins beginnen und Tabelle 2
aus Annex C an den Anfang stellen, die sich mit dem Mensch als
Risikoquelle befasst.
Vergessen Sie Auch in dieser Tabelle wollen wir zunächst die von lSO/IEC 27005
Terroristen! vorgeschlagene Reihenfolge auf den Kopf stellen: Hacker,
Kriminelle oder gar Terroristen stehen als Bedrohungsquelle nun
mal nicht vor dem Innentäter. Unter dem Begriff "Insiders" fiihrt
Annex C die folgenden Arten von Innentätem als letzten Punkt
auf:
=<> Schlecht ausgebildete,
:::::;. verärgerte,
=<> böswillige,
=<> fahrlässige,
=<> unehrliche oder
=<> gerade gekündigte Mitarbeiter.
Mit diesem Punkt sollte man sich zuallererst auseinandersetzen,
bevor man sich um Vulkanausbrüche und Co. Gedanken macht.
Selbst dann, wenn man ein Rechenzentrum am Fuße des Vesuvs
betreibt.
Risikofaktor Wenn Sie sich durch den Kauf von ISO/IEC 27005 wichtige
Nummer eins Erkenntnisse auf der Suche nach typischen Bedrohungen erhoffen,
dann werden Sie aller Voraussicht nach enttäuscht. Wenn man von
typischen Bedrohungen sprechen will, kann man das ohnehin nur
in Bezug auf eine bestimmte Branche, eine bestimmte Region oder
sonst einen weiteren Parameter tun. Nur so werden abstrakte
Bedrohungen zu typischen Bedrohungen. Die einzige typische
Bedrohung, die es branchenübergreifend und ohne weitere
Parameter gibt, ist der Mensch.
Das Schwerste Und der Mensch ist auch die Bedrohung, die man selten mit
kommt zuletzt Standardmaßnalunen in den Griff bekommt. Von diesem Blick
winkel aus kann man die Reihenfolge im Standard fast schon als
konsequent bezeichnen: Das Schwerste kommt zuletzt!
Tabelle 1 Nachdem wir uns das klar gemacht haben, können wir nun einen
Blick auf die aufgeführten Bedrohungsarten aus Tabelle 1 in der
Originalreihenfolge werfen:
2.6 Was ist Risikomanagement? 47
~ Physikalische Schäden
~ ~aturereigrüsse
~ Verlust von wichtigen Services
~ Behinderung durch Strahlung
~ Bloßstellung von Informationen
~ Technisches Versagen
~ Unerlaubte Handlungen
~ Gefährdung von oder durch erlaubte Funktionen
Tabelle 2 gliedert danach die Bedrohungsquelle Mensch in Tabelle 2
unterschiedliche Arten und befasst sich mit den möglichen
Motiven:
~ Hacker, Cracker
o Motive: Herausforderung, Selbstwertgefühl, Re
bellion, Status, Geld
~ Computerkriminelle
o Motive: Zerstörung, Änderung und Bloßstellung
von Informationen, Geld
~ Terroristen
o Motive: Erpressung, Zerstörung, Rache, politische
Ziele, Medieninteresse
~ Industriespionage
o Motive: Wettbewerbsvorteile, Spionage
~ Innentäter
o Motive: ~eugierde, Selbstwertgefühl, Spionage,
Geld, Rache, unbeabsichtigte Fehler und Hand
lungen
Zusammenfassend lässt sich sagen, dass Annex C kaum zusätzli- Fazit
che Erkenntnisse liefert, die man nicht auch mit einer halben
Stunde Brainstorming hinbekommen hätte - ein klarer Schwach
punkt im Standard. Gerade hier könnte die ISO mit konkreteren
Aussagen trumpfen.
~27r105
~E.l~a$N" I"'~"'" 111
All" ~ .tann 1IIIIII1QfIIm:
Wenn thr ~/1III1fr/omvIt~ ru JSglrljllam: MfJIfI-
11m ,(~tardm: ~ /In ~
odB W_fDInn kaM. rIDMt Ist aN dllI ;Ir fUlll DWIh IUnJtI
.......
Oll da ~ nMfg.. II1II pulrntlt:lk lt&Itrn ru IdrtItI
Abbildung 9:
Iteration des Risiko-Assessment
Assessments
(nach [5]) Entscheidung: Nein
Assessment OK?
Ja
Risikobehandlung
Abbildung 10:
Iteration der Risikobehandlung
Risikobehandlung
(nach [5]) Entscheidung: Nein
Behandlung OK?
Ja
Risikoakzeptanz
https://psi2.de/RM-SANS-Webseite
(Webseite des SANS-Instituts) -~
a
Seit 2001 stellt SANS eine Liste mit den Top 20 Problemen, Top Risiken
Bedrohungen und Risiken der Internetsicherheit zur Verfügung
[14]. Im Jahr 2008 wurde die Liste in die Top 10 der Bedrohungen
der Cyber-Security umbenannt [15]. Seit 2009 schließlich hieß sie
"The Top Cyber Security Risks" [16] und mittlerweile verweist der
Link auf die 20 "Critical Security Controls for Effective Cyber
Defense" [17].
https://psi2.de/RM-SANS-Risiko-Liste
(SANS: 020 Security Controls Jor Cyber DeJense ")
11
I!l .
Hinter der Liste der 20 kritischsten Controls für effektive Cyber Top Controls
Security verbergen sich ausführliche Beschreibungen jedes (aktuell)
einzelnen Controls, mit einer Begründung, warum die Controls
nötig sind. Diese Begründung entspricht in gewisser Weise den
Risiko-Listen der vergangenen Jahre, während das SANS-Institut
aktuell zu den Problemen auch Lösungen liefert.
Zwei Risiken der Liste von 2009 sind laut SAN5-Institut besonders Top Risiken
hervorzuheben, auch wenn Unternehmen und Behörden sie auch (2009)
aktuell nicht in den Griff zu bekommen scheinen:
Größtes Problem bei den technischen Risiken sind demnach Priorität 1
ungepatchte Anwendungssoftware. Programme wie Adobe PDF
Reader, QuickTime, Adobe Flash oder Office-Anwendungen
bilden so den Haupt-Angriffsvektor auf Computer mit Internetzu-
gang. In den meisten Fällen werden diese Schwachstellen über
infizierte Webseiten ausgenutzt (siehe Priorität 2).
Warum das funktioniert, hat allerdings gänzlich nichttechnische
Gründe: Die Kombination aus ungepatchten Anwendungen und
vertrauenswürdigen, aber infizierten Webseiten funktioniert nur
über die Schnittstelle Mensch. Über Jahre hinweg wurde Anwen-
52 2 Grundlagen
https://psi2.de/RM-Comlc-Vorfall
(Blog-Beitrag mit Links zu dem Vorfall)
[!]m-
\
[!] .
~
Top Risiken Die Top-lO-Liste des Jahres 2008 befasste sich noch mit einem
(2008) weiter gesteckten Fokus mit Risiken für die Informationssicherheit.
Dies beinhaltete eine ausführliche Berücksichtigung des Risikofak
tors Mensch. Bereits auf Platz 3 tauchte das Phishing auf, das die
Unachtsamkeit von Internetnutzern auszunutzen versucht und auf
Platz 5 stehen die Gefahren durch Innentäter:
~ Steigende Anzahl von Angriffen auf vertrauenswürdige
Webseiten, um Schwachstellen in Browsern anzugreifen
~ Professionellere und effektivere Botnets
~ Cyber-Spionage mittels Phishing durch gut ausgestattete
Organisationen
~ Angriffe auf mobile Endgeräte
~ Innentäter
~ Identitätsdiebstahl
~ Spyware
~ Angriffe auf Web-Applikationen
~ Sodal Engineering Angriffe
~ Angriffe auf verwundbare Peripheriegeräte
2.7 ExAmple AG - Die Finna für die Fallbeispiele 53
https:llpsI2.deIRM-RFC2606
(example.com gemäß RFC 2606 Absatz 3.
Reserved Example Second LeI/ei Doma/n Names)
Die ExAmple AG ist ein Pharma-Unternehmen, das mit ganz Die anderen
normalen Sicherheitsproblemen zu kämpfen hat. Malory arbeitet Mitarbeiter
im Vertrieb und verschickt regelmäßig per E-Mail diverse Spaß
Programme und unglaublich lustige Power-Point Präsentationen
an die halbe Finna. Der Manager Ted verschickt gerne mal
vertrauliche Dokwnente über offene Kommunikationsverbindun-
gen. jeff aus der Forschungsabteilung öffnet so ziemlich jede
54 2 Grundlagen
Fallbeispiel1 :
Bob geht Zuletzt war es dem IT-Sicherheitsbeauftragten Bab gelungen, den
einkaufen Varstand davan zu überzeugen, dass es sich lahnen könnte, das
Thema ISO 27000 genauer unter die Lupe zu nehmen. Bob hatte
dazu ziemlich tief in die Trickkiste greifen müssen. Den letzten
Ausschlag gaben jedoch die Zahlen, die Bob präsentiert hatte -
finanzielle Argumente zählen bei jedem Chef (mehr dazu in Kapi
tel 7 - WirtschaftlIchkeItsbetrachtung). Seine EntscheIdung lautet:
• Wir machen ISO 270001·
In dreI Wochen will der Chef eInen fertigen Projektplan. Ein Jahr
nach ProjektbegInn soll das aufgebaute ISMS zertifizIert werden.
Bis dahIn hat Bob nun alle Hände voll zu tun. SeIne erste Aufgabe
Ist es, aus der ISO/IEC 27000 Familie dIe richtigen Standards
auszuwählen zu kaulen und auszuwerten.
l
Var einigen Jahren noch war es sinnvoll sich die Standards einzeln
zu kaufen, da es ja nur wenige gab, und ein Abo-Modell sich erst
ab einem bestimmten Umfang lohnt. Mittlerweile bietet die ISO
einen Online-Zugriff auf alle veröffentlichten Standards der
27000er Reihe an, den man im monatlichen oder jährlichen Abo
nutzen kann. So kann man sIch relatIv kostengünstIg einen Ober
blick verschaffen und dann entscheIden, ob man neben dem
Onllne-Zugriff auch eine druckbare Version der Standards benö
tigt. Auch hierfür gIbt es kostenoptImierte Paketangebote. Die
Funktionswelse der Onllne Browslng Plattform kann man anhand
von ISO/IEC 27000 testen. Die Monatsabos starten bel 32CHF, dIe
Jahresabos bei 375CHF pro Person.
https://psi2.de/RM-ISO-Abo
Onllne collection:
Information Securlty Mana~ment Systems
ISO/lEe 27(}()()
Q.2 DIe Fantli,..r ISMS SttmdGrtIs
wDle Familie der ISMS Standards Ist dazu da, Organisationen aller
Arten und Größen dabei zu unterstützen, ein ISMS zu implemen
tieren und zu betreiben. .,14
ISO!lEC 27001
J.2 Anwendung
.Die In dieser Internationalen Norm /estge/egten Anforderungen
sind allgemeiner Natur und auf alle Organisationen anwendbar,
unabhängig von Art, Größe und Beschaffenheit. W
Die ISO hat die Standards also durchaus offen angelegt und Theoretisch
fordert für ein sinnvolles ISMS nicht unbedingt eine MindestgröBe auch fUr Einzei
für ein Unternehmen. Das ist bei einem Prozessgesteuerten Ansatz unternehmer
durchaus sinnvoll. Selbst im ldeinsbnöglichen Unternehmen - also
für einen Einzeluntemehmer - kann sich die Verwendung der
JSO/lEC 27000 Familie lohnen. MöglicherweiBe wird das 15MS
nicht ganz so komplex ausfallen und sicher wird auch die
Sicherheitsleitlinie kürzer sein, wie die von einem international
agierenden Konzern. Der Grundgedanke ist jedoch der gleiche:
Wie will das Unternehmen mir Informationssicherheitsrisiken
Fallbeispiel2:
Bobs Neben Der IT-Slcherheitsbeauftragte Bob hat neben seinem Job bel der
tätigkeit ExAmple AG ein kleines Gewerbe als Nebentätigkeit angemeldet.
An Wochenenden und während seines Urlaubs betreut er die
Server von kleinen Betrieben In der Gegend. Manchmal lässt er
sich dabei von einem Freund aushelfen.
"Maßnahme:
Anforderungen an Vertraulichkeits- und Verschwiegenheitsverein
barungen (... ) sollten identifiziert und regelmäßig überprüft
werden.
Umsetzung:
(...) Die folgenden Punkte sollten berücksichtigt werden:
a) (... )
b) (.. .)"
2.9 Zusammenfassung
Der Grundstein Wir haben nun das nötige Rüstzeug beisammen, um uns im Detail
ist gelegt mit dem Risikomanagementprozess auseinanderzusetzen.
Zunächst haben wir uns dazu einen gemeinsamen Wortschatz
2.9 Zusammenfassung 57
• ••
Festlegung des Kontexts
I Abbildung 11:
Der vollständige
Risikomanage
mentprozess
(nach [5])
Risiko- Assessmen t
-
0' 0'
c Ri si koid enti fi kat i on c
::l
+
~ ::l
0)
'"
~
Q)
' ::l
~
"-
"0 ++ Risikoanalyse
~
Q)
-
c .0
::l ,
' :::J
:c;
c
0 J. 0'
C
'".-'c"
::l
Risikobewertung/Prio. .<::
u
::l
E Ent scheidung 1: Nein ';:"
~
E Assessment OK? .0
Q)
0
Ja '::l
'".-0 0
'"V>
.-
'" V> Risikobehandlung
'" '"
Ent scheidung 2: Nein
Behand lung OK?
Ja
Risikoakzeptanz
Natürlich geht es bei der Festlegung der Basiskriterien nicht Kriterien zur
zuletzt darum, am Ende zu entscheiden, ob ein Risiko behandelt Risikoüber
werden soll, oder ob - und unter welchen Umständen - es nahme
getragen werden soll. Hier geht es also darum, einen Rahmen zu
definieren, unter dem Risiken regulär akzeptiert werden können.
Die Entscheidung zur Risikoübernahme soll also nicht willkürlich
sein. Auch hier handelt es sich wieder um eine Erweiterung der
bisher vorgestellten Kriterien. Um beim Beispiel Gesetzesverstoß
zu bleiben: Zuerst ging es darum, festzustellen. ob mit dem Risiko
ein Gesetzesverstoß verbunden ist, danach um die Höhe der
Strafandrohung. Jetzt gilt es noch festzulegen, wer dieses Risiko
unter welchen Bedingungen eingehen kann.
Betrachten wir nun ein kleines Fallbeispiel aus der ExAmple AG,
in dem die bisher genannten Punkte deutlich gemacht werden
sollen:
Fallbeispiel 3:
Der IT-Slcherheitsbeauftragte der ExAmple AG Bob steht vor der Kriterien
Aufgabe, den Kontext seines RIsikomanagementsystems festzule Workshop
gen. Da es bereits ein rudimentlires ISMS gibt, übernimmt die
Beschreibung des Anwendungsbereichs und seiner Grenzen von
dort. Das ISMS gilt für den gesamten Bereich des Hauptsitzes des
Unternehmens, an dem sich auch Entwicklung, Buchhaltung, Ir,
Marketing und Vertrieb befinden. Die Beschreibung umfasst alle
Prozesse, dieser Abteilungen und die Schnittstellen zu den weite
ren Firmensitzen. Insbesondere wurden die Rollen und Verant
wortlichkeiten beschrieben. So untersteht Bob seit kurzem nicht
mehr dem Leiter der IT sondern als Stabsstelle direkt dem Chef.
Bob hat eine Liste mit Kriterien erarbeitet. Hierzu gehört jeweils
eine fünfstufige Skala für die Kritikalitlit, Verfügbarkeit, Vertrau
lichkeit und Integritlit.
Fortsetzung von
Fallbeispiel 3 Buchhaltung, Ir, Marketing und Vertrieb zu einem Workshop ein.
Ihn interessiert auch, wie er die vertraglichen Rahmenbedingun
gen in die Bewertung von InformatIonssicherheitsrIsiken mit
einfließen lassen kann. Daher ist auch ein Rechtsanwalt eingela
den, der die ExAmple AG in Vertragsfragen vertritt.
3.3 Risiko·Assessment
Auch das Risiko-Assessment nach lSO/lEC 27005 deckt wieder
eine ganze Reihe von Anforderungen aus ISO/lEC 27001 ab. Wie
Sie bereits in Abbildung 11 gesehen haben, ist der Begriff Risiko
Assessment nichts weiter als der Oberbegriff für drei Phasen:
"* Risikoidentifikation
"* Risikoanalyse
"* Risikobewertung! Priorisierung
In den drei Phasen werden zunächst die Assets und die dazugehö
rigen Bedrohungen und Schwachstellen inklusive bereits umge
setzter Maßnahmen und möglicher Schadensauswirkungen
bestimmt. Zuletzt werden sie nach den zuvor festgelegten
Basiskriterien bewertet und priorisiert.
3.3 Risiko-Assessment 67
Auch hier kann man sich in einem ersten Anlauf auf die wichtigs- Iteration
ten Risiken konzentrieren, um in weiteren Iterationen des Risiko
Assessments weiter ins Detail zu gehen. Diese Iteration ist nicht
nur als Option zu verstehen, sondern durchaus als Standardvorge
hensweise. Erstens, weil der Prozess sonst zum Projekt verkommt
und zweitens weil es der Standard damit zumindest so ernst
meint, dass er sich dem Thema in Annex E.l eingehender widmet.
Die Vorteile dieser Vorgehensweise liegen auf der Hand: Zunächst
einmal wird man für einen unkomplizierten Start in ein Risiko
Assessment eher Unterstützung von den Prozessbeteiligten
erhalten, als wenn man von vornherein zu sehr ins Detail geht.
Darüber hinaus erhält man auf diese Art und Weise einen
Überblick, welche Detailtiefe am Ende zum gewiinschten Ziel
führt. Hat man sich diesen nötigen Überblich verschafft, fällt es
deutlich leichter Geld und Engagement an den Stellen zu investie-
ren, wo es am meisten bewirken kann.
Nicht zu vernachlässigen ist eine solche Iteration aus dem Risiko
Blickwinkel der Risikokommunikation. Mitarbeitern und Füh- kommunikation
rungskräften soll der Risikomanagementprozess nicht zur Last
fallen und von ihnen angenommen werden. Dabei ist es hilfreich,
sie Stück für Stück an die Vorteile heranzuführen, die ein
systematisches Vorgehen mit sich bringt. Wie so oft gilt auch hier,
dass man besser nicht gleich mit der Tür ins Haus fallen sollte.
3.3.1 Risikoidentifikation
Der erste Teil des Risikoassessments ist die Risikoidentifikation15•
Hinter dem Begriff steckt jedoch ein wenig mehr als nur die
Identifikation von Risiken.
15 KapitelS befasst sich eingehend mit der Frage, wie man innerhalb des
eigenen Unternehmens oder der Behörde för die man arbeitet zu
adäquaten Informationen zur Risikoidentifikation kommt. Das gilt
gleichermaßen för alle Schritte des Risikomanagements. Welche
Techniken für welchen Schritt besonders geeignet sind, wird in dem
Kapitel ebenfalls deutlich gemacht.
68 3 lSO/lEC 27005
,
. ..
........
ihrem Bezug zu den Assets, den Bedrohungen und bereits :;:;;XtXX;w//;/////Z; Yh
umgesetzten Maßnahmen. Zusätzlich ist eine Liste zu erstellen, in
der die Schwachstellen enthalten sind, für die zurzeit keine
Bedrohung gesehen wird.
Einfaches Beispiel: In weniger mobilen Zeiten war es auf dem Unverschlosse
Land durchaus üblich die Haustüren unverschlossen ZU lassen. ne Haustüren
Die Schwachstelle war in diesem Fall die unverschlossene Tür, die
beispielsweise durch einen Einbrecher bedroht wird. Es war für
einen Einbrecher früher nicht ganz so einfach mal eben schnell eine
Wohnung auf dem Land leer zu räumen und sich dann auf dem
Fahrrad davonzustehlen, wenn er überhaupt eines hatte und teure
elektronische Geräte gab es auch noch nicht.
Man muss an dieser Stelle zwischen zwei Fällen unterscheiden: Unbedroht oder
Erstens, ob eine Schwachstelle tatsächlich unbedroht ist, oder ob es eher unwahr
einfach nur unwahrscheinlich ist, dass sie ausgenutzt wird. Um scheinlich?
beim Beispiel mit den unverschlossenen Haustüren zu bleiben, so
ist der fremde Einbrecher in früheren Zeiten keine Bedrohung für
die Möbel gewesen, während es eher unwahrscheinlich war, dass
sich die Nachbarskinder ins Haus eingedrungen und den
Schokopudding gestohlen hätten.
Aber war das Szenario mit einem Dieb auf dem Fahrrad wirklich Im Zweifelsfall
unmöglich oder einfach nur noch unwahrscheinlicher als jenes mit für die
den Nachbarskindern? Diese Frage ist berechtigt und die Grenzen Bedrohung
sind fließend. Man sollte sich nicht zu leichtfertig dazu entschlie-
ßen einer Bedrohung die Existenz abzusprechen. Immerhin besteht
in der Phase Risikoabschätzung noch immer die Möglichkeit, von
einer besonders geringen Wahrscheinlichkeit auszugehen.
Diese Frage ist immer dann interessant, wenn Ihre Entscheidungs- Problemfall
kriterien ein "besonders gering" gar nicht zulassen. Viele Unter- Skala
nehmen haben festgelegte Treppen-Skalen für Schadenshöhen und
Eintrittswahrscheinlichkeiten und je nach Unternehmen können
die Stufen sehr hoch sein, wie z.B. in Banken. In diesem Fall wird
sich ein Großteil Ihrer Risiken in ganz wenigen Feldern der Matrix
aus Schadenshöhen und Eintrittswahrscheinlichkeit befinden, was
die Vergleichbarkeit und die Entscheidungsfindung erschweren
kann.
72 3 lSO/lEC 27005
, ............... ",'" Mit den bisher erstellten Listen im Gepäck geht es in diesem
... "I • '''- "
3.3.2 Risikoanalyse
Der zweite Teil des Risikoassessments ist die Risikoanalyse, bei der
es vielfach darum geht mehr oder weniger zu schätzen. Hier
kommt man nicht mehr an der Bestimmung von Wahrscheinlich
keiten vorbei und das ist gerade in der ersten Prozessiteration oder
bei neuen Risiken nicht trivial.
Qualitative In dieser frühen Phase stehen die qualitativen" Techniken des
Techniken Risiko-Assessments im Vordergrund. Diese können jedoch auch in
späteren Iterationen ihre Berechtigung haben. Das ist zum Beispiel
dann der Fall, wenn sich für ein Szenario einfach keine konkreten
18 Jeweils auf ein Jahr bezogen: 10% bedeutet ein Mal in 10 Jahren, 33,3%
bedeutet alle drei Jahre und 100% bedeutet ein Mal im Jahr.
74 3 lSO/lEC 27005
-- -
Abbildung 12:
Die erstellten
GeItirogo- Basis-
Listen des Risiko- krI10rien
Assessments im
Zusammenhang
-~(?7~?- -"""-
MIIIlnaI\-
ScIT.vad>-
"- V
-
~
..-
- --
Konoo-
quonzen
Wahr-
_Ich-
--
RiOko-
leYOl
-
PrtortsiertB
RiOkon
Fallbeispiel 4:
Nach dem Kriterien-Workshop aus Fallbeispiel 3 möchte Bob nun High-Level
ein High-Level Rlsiko-Assessment durchführen. Statt mit einer Risiko
systematischen Analyse von Assets, Bedrohungen, Schwachstellen, Assessment
etc. zu beginnen, kann Bob direkt mit den Konsequenzen starten.
Das Assessment wird dadurch von einem Ursachen-Assessment zu
einem Wlrkungs-Assessment.
Das ISMS gilt für den Hauptsitz der ExAmple AG mit den Abteilun
gen Entwicklung, Buchhaltung, IT, Marketing und Vertrieb. Es
umfasst alle Prozesse der Abteilungen und die Schnittstellen zu
den weiteren Firmensitzen.
Die Gründe, warum nun ein Geschäftsprozess ausfällt, ist für Bob
nicht so wichtig. Für ihn geht es darum, festzustellen, welche
Auswirkungen die Szenarien haben und für welche Assets und
Prozesse eine weitere Iteration nötig ist.
Fortsetzung von
Fallbeispiel 4 Außerdem ordnet er jedem Szenario eine Schadensauswirkung zu.
Im Zusammenhang mIt der MatrIx kann er so ermItteln, welche
SzenarIen eIn besonders großes Schadenspotential haben und
daher eIne hohe Priorislerung bekommen müssen.
Für dIese dreI Punkte geht Bob In dIe zweite Iteration des RIsIko
managementprozesses In der er alle vorgesehenen Schritte Im
Detail durchgeht.
3.4 Risikobehandlung
Entscheidung 1: Mit der im Anschluss an das Risiko-Assessment vorliegenden Liste
Risiko-Assess von priorisierten Risiken kann es nun in die Risikobehandlung
menlOK? gehen, wenn dem nichts mehr im Wege steht. Da wir im Prozess
verlauf nun den ersten Entscheidungspunkt erreicht haben muss
zuerst die Frage beantwortet werden, ob die Ergebnisse des
Assessments ausreichend sind. Sollte das nicht der Fall sein, ist
eine weitere Iteration nötig.
Bei der Risikobehandlung unterscheidet man die folgenden
Handlungsmöglichkeiten:
~ Risikomodifikation
~ Risikoübernahrne (nach den festgelegten Basiskriterien)
~ Risikovermeidung
~ Teilen von Risiken
3.4 Risil<obehandlung 79
EntscheidunQ 1:
Abbildung 13:
Arten der
Risikobehandlung
Arten der Risikobehandlung (nach [5])
Restrisiken
Die Entscheidung für eine der vier Alternativen sollte jeweils auf
den Ergebnissen des Risiko-Assessments beruhen und das Kosten
Nutzen-Verhältnis berücksichtigen. Es sind jedoch auch stets
Entscheidungen möglich und nötig, die sich ökonomisch vielleicht
gar nicht begründen lassen.
Die vier Alternativen schließen sich nicht gegenseitig aus. Im Keine
Gegenteil: oft liegt die beste Lösung eines Sicherheitsproblems in ExkIusivilät
einer geschickten Kombination der Möglichkeiten. Auch darf man
die Behandlung eines konkreten Risikos nicht isoliert betrachten.
Das gilt zum Beispiel bei Versicherungen. In den meisten Fällen
wird die Versicherung ein Standard-Angebot sein" das mehr
versichert, als sie ursprünglich versichern wollten.
Ähnliches gilt für alle SicherheitsmaBnahmen mehr oder weniger. Wechsel
Diese Wechselwirkungen können beträchtlich sein und. sie sind wirkungen
sogar der Optimalfall. Je mehr Risiken eine Maßnahme abdeckt
umso besser. So könnte es eine Maßnahme geben" die Risiko 1
reduzieren soll. Gleichzeitig reduziert sie Risiko 2, für das
eigentlich eine Versicherung abgeschlossen werden sollte.
Dadurch ist die geplante Versicherung hinfaIlig.
80 3 lSO/lEC 27005
Kriterium Fragen:
Technik • Ist die Kompatibilität mit Hard- und
Software gewährleistet?
• Sind die Systeme Interoperabel?
Abläufe • Behindert die Implementierung selbst
den Ablauf der Geschäftsprozesse?
Auch hier können wieder die zu Grunde liegenden Skalen für Und wieder
Probleme sorgen und ein eigentlich gut durchdachtes System ins Probleme mit
Schwanken bringen. Kleine Unternehmen können kleine Schäden den Skalen
haben, große Unternehmen große. Das klingt trivial, hat aber
Auswirkungen auf das Thema Risikoübernahme. Wenn eine
Schadensskala in einem kleinen Unternehmen fünf Stufen hat und
die in einem großen auch, dann wird die kleinste Schadensstufe
des Großunternehmens unter Umständen mehrere oder sogar alle
Stufen des kleinen Unternehmens beinhalten. Sie erinnern sich
vielleicht an die Peanuts in einem großen deutschen Finanzinstitut,
die nach heutigen Maßstäben etwa 35 Millionen Euro entsprechen.
Wenn das Peanuts sind, braucht man wegen eines Sicherheitsrisi-
kos von 500.000 €, das unter Umständen, eventuell, vielleicht
eintreten könnte, aber noch nie eingetreten ist, nicht auf einen
Vorstandstermin hoffen.
Ein weiteres Problem ist die vielfach anzutreffende, starke Weiteres
Begrenzung betrachteter Szenarien auf wenige oder einzelne Problem:
Maßnahmen. Risikomanagement in der IT ist aus meiner Erfah- Teilrisiken
rung sehr maßnahmenorientiert: Wenn dieses und jenes System
nicht so und so betrieben wird, kann Folgendes passieren. Dabei
kommen relativ kleine Risikowerte heraus, weil die Szenarien
begrenzt sind. Das ist einerseits berechtigt, wenn die Szenarien
tatsächlich begrenzt sind, verzerrt aber andererseits das Bild. Sehr
selten wird gefragt, wie hoch das Informationssicherheitsrisiko
eines bestimmten Projekts insgesamt ist. So werden gerne mal 10
Teilrisiken auf einem Level entschieden, die eigentlich als
Gesamtrisiko eines Projekts auf ein ganz anderes Entscheidungsle-
vel gehören.
Im Grunde ist das nicht einmal ein neues Phänomen. Wenn es um
die Bewilligung von Budgets geht, wird diese Taktik schon lange
angewendet.
Stellen wir und beispielhaft die folgende Frage: Entscheidet man Beispiel
über 25 Risiken a 10.000 € innerhalb des Web-Projekts oder gehört
das Gesamtrisiko des Projekts von 250.000 € auf den Tisch der
Geschäftsführung? Entscheidet der Projektportfoliomanager des
Konzerns über die 50 Web-Projekte mit Informationssicherheitsri-
siken von je 250.000 € selbst oder gehört das Gesamtrisiko der
Web-Projekte von 12,5 Millionen auf den Tisch des Vorstands?
Skalieren Sie das Beispiel für den Rest der IT im Kopf weiter.
Welcher Vorstand kennt schon alle IT-Risiken, die irgendwo weiter
84 3 ISO/lEC 27005
Fallbeispiel 5:
Als Ergebnis des High-Level Risiko-Assessments aus Fallbeispiel 4 Das Presseportal
ergab sich unter anderem die Notwendigkeit, den Ausfall der IT
Abteilung in einzelne Dienste zu unterteilen. Einer hiervon ist die
Webseite der ExAmple AG.
Fortsetzung von
Fallbeispiel 5 fast unmöglich. Alle bisherigen Maßnahmen betrachten das RZ als
Ganzes und vernachlässigen die Bedeutung des Presseportals in
einem solchen Schadensfall.
RIsikomodifIkation:
Dos Risiko ließe sich durch eine erhöhte Redundanz des Webauf
tritts verringern, da das die EIntrittswahrscheinlichkeit senken
würde. Für den Fall des Falles wäre das jedoch keine adäquate
Lösung. Es geht ja gerade darum, dass Presseporta11m Schadens
fall verfügbar zu halten. Eine RIsikomodifikation würde also nur
die EIntrittswahrscheinlIchkeit senken.
Verbleibende Restrisiken: Die Schadenshöhe bliebe unverlindert.
RlslkoObf!mahme:
Da ein finanzieller Schaden ausgeschlossen Ist, sehen die Kriterien
zur RIsikoübernahme eigentlich vor, dass der IT-Lelter das Risiko
übernehmen kann. Durch das Veto der Marketingabteilung beim
Prozessschritt Risikobewertung/ Prlorlsierung jedoch müsste In
diesem Fall der Vorstand über eine RIsikoakzeptanz entscheiden.
(Abschnitt 3.5).
Rlslkovermeldunll:
Eine Möglichkeit wäre es, die Pressearbeit anders zu gestalten und
das Risiko zu vermeiden. Auch möglich wäre es das Presseportal in
einem anderen Rechenzentrum zu betreiben, so dass es bei einem
Ausfall des Hauptrechenzentrums weiter verfügbar wäre. Das
würde sich auf Eintrittswahrscheinlichkeit und Schadenshöhe
auswirken und das Risiko erheblich reduzieren.
Verbleibende Restrisiken: Gleichzeitiger Ausfall beider Rechenzen
tren (beispielsweise wegen Verwendung identischer Komponen
ten).
3.5 Risikoakzeptanz 87
1. Reduktion:
Erhöhung der Redundanz
2. Vermeidung:
Andere Gestaltung der Pressearbeit
3. Vermeidung:
Auslagerung des Presseportals
3.5 Risikoakzeptanz
' " . , .' ',-.-....
Zugegeben, die Grenzen zwischen Risikoübernahme und .............../
. ... ..,..
/ ..... / / /..........
~
; ;;". x·x·x·
Risikoakzeptanz sind in der Praxis nicht ganz leicht zu bestimmen. ' / ' / ' / ' / " , ' / ' / ' /
-:.;/~
ISO/IEC 2700l
f.1J 11 11 ,n_1SAIS
--
n",
~ und objeIctiYe ~ *r ~ sf1/em ~
.,
~." ~ und Krttm.n dtlf ~ftJr ~
....
ZJlstItrlnrllng des MIHTC; IMiD ZU dfII! l/OI~f _ ltestrW
DeI MIIIIr aut o.her wutet .uf den rr-Sicherhettabftuftr-sten"" oft die ~
der Bl\ull Aufpbe, dem ver...twortlkhen ~ oder BehlSrdenleiier d.N
Metlser auf die Brust zu setzen. Geht eil bei der RUikoakzeptanz für
den VerlrLtwortlichen. doch um nicht. Geringeres, IlIl1duift:lichzu
dokumentieren,. du. eiIU! andere RUikobehandluns nicht nötig &ei.
Es "'tnun nW. elne udere psychologladle21 Qulllltlt,. ob man In
der morgmdlichen KIffeerand.e gellgt hlt,. du! man d.u mit dem
DaterwclnJ.t:r: alle» nicht 10 em.t nehmen .o1l, oder ob man du
lIdniftlich fixiert und beim Daten.cltutzbeauftrapen lDnterlegt hat.
D.ber i8I: für Risikoübemahme und Risikoakzeptmz auch immer
die SchrIftfonn~.
FllllMilpilll:
Dia Rlllrilikln Wir sdIIiderr fIffIItIo. "" *'
FulJ;e"rpift 5 111m I'Icwcpo.'trrI
im PI ,f" 111 EdtmpIe AG GI! und ~ dcrWIf! _s,. daSJi sJdt . ,
IT-Sidlerlleiab:w/bUJI~ lob bei *r ltisilobelKllrdlung ftJr me
KDII'III*IatiDn thr bftMn AImnKIt1wn 1 (~) und 3
(VmmeIdung) lIfIfKIIIedm 1Nlt.
Dtzs ~ sol In ein ~ IJZ~ und dort bftrldwn
1IIeI'dorIt. E1fte ~ da PorUIII be/IftdtIt lIdt .,/Urlim ft
~ 1JZ_0rt DaJ MrIJht~1tJ,. ~ Qj"'~
Jei# JIIirrI 10 dof; Risiko 1'fi'III;'.
dIw . . PortoI Mi einem
RZ-Ausfall nicht zur Verfügung steht. Bei der Auswahl des neuen
Rechenzentrums soll darauf geachtet werden, dass disjunkte
Komponenten zum Einsatz kommen, um das Restrisiko eines
gleichzeitigen Ausfalls belder Rechenzentren zu minimieren.
Aus Budgetgründen kann die Umsetzung jedoch erst In einem Jahr
begonnen werden, auch wenn das Risiko natürlich jetzt schon
besteht. Für die Zelt bis dahin gibt es aus demselben Grund keine
Überbrückungsmaßnahmen. Für das zwischenzeitlich bestehende
Restrisiko erarbeitet Bob eine Vorstandsvorlage anhand derer das
Restrisiko zu akzeptieren Ist, es sei denn, es werden zusätzliche
Mittel bereitgestellt.
Bis auf die Zwischenschritte des Assessments sind das alle Phasen
des Risikomanagementprozesses.
Bidirektional Dabei ist es nicht damit getan,. dass der IT-Sicherheitsbeauftragte
die Fäden zusammenführt und alle informiert. Risikokommunika
tion funktioniert nicht wie ein Flugblatt, das ohne Anspruch auf
Antwort unter die Massen verteilt wird. Risikomanagement kann
ohne Feedback nicht funktionieren. Sie ist also keine Einbahnstra
ße. Nirgendwo zeigt sich so gut wie hier, ob der Risikomanage
mentprozess gelebt wird.
Risikokommuni Diesen Sachverhalt kann man sogar soweit überspitzen, dass man
kationsprozess beim Risikomanagementprozess eigentlich von einem Risikokom
munikationsprozess sprechen sollte. Das beginnt schon bei der
Festlegung des Kontexts, wo es darum geht, beim
IT-Sicherheitsbeauftragten die Informationen zu bündeln, die im
Unternehmen zu den Assets vorhanden sind, um sie danach allen
Beteiligten bekannt zu geben. Und es zieht sich hin bis zur
Risikoakzeptanz, wo die Erkenntnisse der Fachexperten an das
Management kommuniziert werden und das Management seine
Entscheidung mitteilt. Es geht an keiner Stelle des Prozesses
darum eine Aktivität einfach "nur so" durchzuführen. Es geht
immer darum, Informationen zu erhalten, auszuwerten und sie
danach aufbereitet weiterzugeben.
Genug Daher gehört zu allen bisherigen Abschnitten die immanente
kommuniziert? Frage, ob man schon genug kommuniziert hat. Erstens: Habe ich
schon genug Informationen bekommen? Und Zweitens: Habe ich
schon alle nötigen Informationen weitergegeben?
Unnötige Das nur die Informationen weitergegeben werden sollen, bei
Informationen? denen das nötig ist, wirft die Frage auf, was mit den unnötigen
Informationen geschehen soll und ob es überhaupt unnötige
Informationen gibt. Leider lässt sich das nicht immer im Vorhinein
klären, ob Informationen nötig sind oder nicht. Sie werden jedoch
spätestens im nächsten Abschnitt nötig, wenn es darum geht,
Entscheidungen und Bewertungen im Detail nachzuvollziehen
und für die Zukunft aus ihnen zu lernen. Über allen Phasen des
Risikomanagementprozesses schwebt also die unterschwellige
Forderung nach Dokumentation.
Ziele Die damit verfolgten Ziele sind vielfältig. Auf der einen Seite geht
es - wie bereits geschildert - um die Informationsbeschaffung und
-weitergabe. Darüber hinaus gibt es jedoch auch noch weitere
Ziele, die über diesen reinen Kommunikationsaspekt hinausgehen:
3.6 Risikokommunikation und Beratung 91
Fallbeispiel 7:
Der IT-Sicherheltsbeauftragte der ExAmple AG Bob ist mit den Kommunikation
bisherigen Ergebnissen des neu etablierten Rlsikomanogement ist alles!
prozesses eigentlich zufrieden. Er hat jedoch In einigen Gesprä
chen mit Mitarbeitern und sogar Abteilungsleitern festgestellt,
dass kaum jemand über den Stand der Dinge informiert ist, wenn
er nicht selbst an der Erarbeitung des Ergebnisses beteiligt war.
Auch dann nicht, wenn er sie per Mail regelmäßig informiert
hatte.
Ihm kommt der Verdacht, dass die Malls nicht gelesen werden, die
er bloß zur Information versendet hat. Damit liegt er sicher nicht
ganz falsch. Risikomanagement gehört bei keinem der Beteiligten
zu den Kernaufgaben. Ist der Stress groß, ist klar, welche Themen
sich behaupten können und welche untergehen. Sobald jedoch
jemand etwas Inhaltliches beisteuern konnte wird das Interesse
gräßer - unabhängig vom Thema. Man will ja auch, dass die
geäußerte Meinung Gehör findet.
3.7 Risikoüberwachung/-überprüfung
Die Risikoüberwachung/ -überprüfung unterteilt sich in zwei
Hauptaktivitäten. Da wäre zunächst die Aufgabe, die Risiken
selbst im Auge zu behalten und darüber hinaus die Aufgabe, den
Risikomanagementprozess zu kontrollieren.
Unnötige Wir hatten am Ende des letzten Abschnitts gesagt, dass es bei der
Infonnationen Überwachung und Überprüfung oft auch um die unnötigen
Informationen geht. Im Standard selbst heißt es dazu, dass bei der
Überwachung und Überprüfung alle während des Risikomanage
ments erarbeiten Informationen als Input dienen - eben nicht nur
die, die es wert waren kommuniziert zu werden. Die Entschei
dung. wer was wissen sollte, muss schließlich auch überprüft
werden.
Statische und Die Überwachung beziehungsweise Überprüfung ist eine weitere
dynamische stützende Aktivität, die während des gesamten Risikomanage
Aspekte mentprozesses stattfinden kann und muss. Sie dient mehreren
Aspekten, die jeweils statisch oder dynamisch sind. Statische
Aspekte beziehen sich darauf, ob das Vorgehen oder eine
Entscheidung in einer Stichtagsbetrachtung richtig ist. Dynamische
Aspekte beziehen sich hingegen auf dieselbe Fragestellung im
Zeitverlauf.
Qualitäts So kann man Qualitätssicherung von einer statischen und einer
sicherung dynamischen Seite aus betrachten. Man kann Fragen, ob die
Qualität der aktuellen Aktivitäten angemessen ist oder man kann
fragen, ob die Qualität vergangener Aktivitäten aus heutiger Sicht
immer noch angemessen ist.
Kontext und Eng damit verbunden, sind die Fragen nach den Veränderungen
Kriterien der Ralunenbedingungen des Risikomanagementprozesses. Die
Frage lautet dann, ob sich der Kontext und die Basiskriterien
verändert haben und vergangene Aktivitäten daher neu zu
bewerten sind?
Fortschritt Neben dieser Frage, die intern zu beantworten ist und deren
Antwort sich direkt aus dem Prozess heraus ergibt, steht die Frage
nach dem Fortschritt. Da sich Angriffstechniken und Bedrohungen
in sehr schnellen Zyklen ändern, muss das Risikomanagement in
denselben Zyklen fragen, ob die einmal festgelegte Risikobehand
lung oder Risikoakzeptanz noch die richtige ist. Das gilt nicht nur
für den klassischen Hackerangriff, sondern auch für alle anderen
neuen oder veränderten Bedrohungen.
3.7 Risikoüberwachung/ -überprüfung 93
Nehmen Sie als Beispiel die Anschläge des 11. September in New Beispiel:
York und anderen amerikanischen Städten. Wer hätte davor 11. September
gedacht, dass Firmen mit terroristischen Angriffen mit Flugzeugen
rechnen müssen. Bis dahin war man von dieser Bedrohung
höchstens bei Kernkraftwerken ausgegangen oder als Unfall. Mit
den Informationen, die wir bisher zusammengetragen haben,
können Sie aber auch schon beantworten, warum das so war:
Erstens wurde vor den Anschlägen des 11. September die
Wahrschein1ichkeiten anders bewertet und zweitens die Scha
denshöhen. Durch diese Neubewertung ergaben sich natürlich in
allen Phasen des Risikomanagements Veränderungen. Angefangen
bei den Basiskriterien, über Risikoübernahme, Risikobehandlung
bis hin zur Risikoakzeptanz. Gerade in den USA ist der Spielraum
für die Akzeptanz von Risiken seit den Anschlägen auf praktisch
null zurückgefahren worden - ebenso wie ethische Bedenken bei
der Implementierung von Sicherheitsmaßnahmen.
Ich kann mich noch gut daran erinnern, wie schwer es war, Leute Beispiel:
von der Notwendigkeit zu überzeugen, Dark Fibre Leitungen zu Edward
verschlüsseln. "Wiretaps in Verteilerknoten? So ein quatsch", Snowden
bekam ich meistens zu hören und es wurde konstatiert, dass sich
sowieso niemals jemand die Mühe machen würde, diese Unmen-
gen an Daten abzuziehen und auszuwerten. Was soll ich sagen? In
letzter Zeit bekommt man für diese Anforderung mehr Verständ-
nis entgegengebracht.
Durch diesen internen und externen Blick auf die Dinge ergibt sich Der Prozess und
die Notwendigkeit, die Risikoüberwachung/ -überprüfung einmal die Risiken
prozessbezogen und einmal risikobezogen durchzuführen. Man
könnte die Frage auch so formulieren:
Stimmen
1. die Informationen noch, die wir haben und
2. der Prozess mit dem wir sie verarbeiten und bewerten?
Werfen wir wieder einen Blick auf den IT-Sicherheitsbeauftragten
Bob, der am Ende der bisherigen Erfahrungen diese beiden Punkte
überprüfen möchte.
94 3 lSO/lEC 27005
Fallbeispiel 8:
Ist die In FallbeispIel 3 hatte Bob eine Checkliste erstellt, in der er alle
ExAmpleAG relevanten Gesetze zusammengefasst hatte. Darüber hInaus
noch auf Kurs? wurde in dem Workshop mit den FachabteIlungen erarbeitet,
welche vertraglichen Verpflichtungen sich auf das RisIkomanage
ment auswirken. In FallbeIspIel 7 hatte Bob schließlich dIe Feststel
lung gemacht, dass die RIsIkokommunIkation noch nicht so
verläuft, wIe er sich das vorgestellt hatte. DIe Punkte aus FallbeI
spIel 3 betreffen in erster Unie die Informationen, diejenIgen aus
FallbeIspiel 7 den Prozess.
Hienu legt er einen Dauertermin an, der ihn mindestens alle drei
Monate daran erinnert, beim Rechtsanwalt der ExAmple AG
abzufragen, ob sich die rechtlichen Rahmenbedingungen geändert
haben und ob sIch Gesetzesänderungen im kommenden Quartal
abzeIchnen. Denselben Dauertermin führt er bezüglich der ver
traglichen VerpflIchtungen für dIe FachabteIlungen eIn. Alle drei
Monate wird er nun den Abteilungen dIe bIsher verfassten Verträ
ge mIt der Bitte um Aktualisierung zusenden.
3.8 Zusammenfassung
Wir haben in diesem Kapitel Stück für Stück zusammengetragen,
aus welchen Teilen sich der Risikomanagementprozess zusam
mensetzt und Abbildung 11 von Seite 61 nach und nach ein
Gesicht gegeben.
Der Mittelleil Wir sind mit der Festlegung des Kontexts in Abschnitt 3.2 in den
Prozess eingestiegen und haben danach in Abschnitt 3.3 die
Bestandteile des Risiko-Assessments kennengelernt:
3.8 Zusammenfassung 95
~ Risikoidentifikation
~ Risikoanalyse
~ Risikobewertung/ Priorisierung
In Abschnitt 3.4 haben wir die unterschiedlichen Arten der
Risikobehandlung kennengelemt und uns in Abschnitt 3.5
schließlich damit auseinandergesetzt, was man macht wenn man
auf Restrisiken stößt für die nur eine Risikoakzeptanz in Frage
kommt.
In den Abschnitten 3.6 und 3.7 haben wir die beiden flankierenden Die Flanken
Aktivitäten Risikokommunikation bzw. Beratung und Risiko
überwachung bzw. Überprüfung dazu genommen, die den
Risikomanagementprozess nicht nur in der graphischen Übersicht
sondern auch in der täglichen Praxis aufrecht halten und einrah-
men.
Hinzu kommen die zwei Entscheidungspunkte, an denen zu Entscheidungs
bewerten ist, ob das Assessment beziehungsweise die Behandlung punkte und die
des Risikos zufriedenstellend ist. Darüber hinaus ist es notwendig, Dokumentation
den ganzen Prozess dauerhaft und umfassend zu dokumentieren.
Am Ende dieses Kapitels steht mit Abbildung 14 der vollständige
Risikomanagementprozess mit allen Details. Machen Sie sich an
diese beiden Seiten ein Lesezeichen, mit dessen Hilfe Sie sich den
Prozess jederzeit wieder vor Augen führen können oder folgen Sie
von überall dem Link auf die Webseite zum Buch:
https://psI2.de/RM-Prozrss
(Abbildung 14 im Intemet)
• ••
% 3 ISO/IEC 27005
Abbildung 14:
Der vollständige
I
-,
Risikomanage Festlegung des Kontexts
mentprozess mit Arlwerld\.rgsbe l.I"d Grenzen
~ l.I"d \erartwortlk:hkeiten
allen Details
(nach 15)) AkzeJXanzkriterien
(Immanenter
Bestandteil aller
Risiko-
, Assessment
Phasen ist eine
Risi koidentifikation
umfangreiche Identifi kation von: Assets, Se-
-
Dokumentation) en drohungen, bereits umgesetzten en
e e
:J Maßna h men, Schwac hstellen :J
~
und Schadensa uswirkungen
'" '~
:J
+
~
QI "-
CO
++ ~
-
QI
'0
e Risikoanalyse -"
D,
:J von: Auswirkungen,
.,
e ; ; und des en
0 Risi lw -Levels e
•
:J
--'"
.<:
-'" u
e
:J Risi kobewertu ng/ Prio_ '"
~
,t,·,"
E ~
QI
E -"
':J
0 Entscheidung 1: 0
-'"
0 Assessment OK? -'"
--
-'"
-Vi
V1
a::
a:: Risikobehand lung
Modifikation
Überna hme
Vermeidung
Teilen
+
( Restri siken
Entscheidung 2:
Behandlung OK? ,~'.'"
Risikoakzeptanz
4 ISO 27005 und BSIIT-Grundlchutz
46 A:Iw:IJ"' p~"'"-fiilruI' kb
7
' , . . . .
4.2 BSI·Sbond.nll00-3
Wie stellt skh du BSl denn lIllIL eine RlslkCWlllyse .auf der BuIs
YOn rr
-Grund8dtu1z [20] vor? BSI-Standard 100-3 !lieht dazu die
folgenden SchrItIe vor,
... Vorarbeiten
_ Erstellung der Gefihrdungmbenicht
_ Ermittlung ZWlitzlicher Geflhrdungm
4.2 BSI-Standard 100-3 101
~ Gefährdungsbewertung
~ Behandlung von Risiken
o Handlungsalternativen zum Umgang mit Risiken
o Risiken unter Beobachtung
~ Konsolidierung des Sicherheitskonzepts
~ Rückführung in den Sicherheitsprozess
Auf diesem Weg soll mit Hilfe der IT-Grundschutz-Kataloge eine
vereinfachte Analyse von Risiken für die Informationssicherheit
durchgeführt werden. Dabei werden drei unterschiedliche Gründe
genannt, wegen derer BSI-Standard 100-3 zu Rate gezogen werden
sollte:
Diese "vereinfachte Analyse von Risiken" wird unter anderem nötig, Schutzbedarf
bei einem hohen oder sehr hohen Schutzbedarf in mindestens
einem der drei Grundwerte (Vertraulichkeit, Integrität, Verfügbar-
keit). Warum gerade bei sehr hohem Schutzbedarf eine "vereinfach-
te Analyse" angebracht sein soll, wird nicht begründet.
Auch wenn ein Zielobjekt mit keinem der existierenden Bausteine Fehlende
des IT-Grundschutzes hinreichend abgebildet werden kann, soll Bausteine
die vereinfachte Risikoanalyse greifen.
Als letzte Variante soll eine Analyse der Risiken für die Informati- Einsatz
onssicherheit nach BSI-Standard 100-3 durchgeführt werden, wenn szenarien
die Einsatzszenarien (Umgebung, Anwendung) für die Zielobjekte
im IT-Grundschutz nicht vorgesehen sind.
Liegt einer dieser Gründe vor, so sind die folgenden zwei
Angelpunkte zu analysieren:
~ Gefährdungen für die Informationsverarbeitung, denen
durch die Umsetzung der relevanten IT-Grundschutz
Bausteine noch nicht ausreichend oder sogar noch gar
nicht Rechnung getragen wurde.
~ Ergänzende Sicherheitsrnaßnahmen, die über das
IT-Grundschutz-Modell hinausgehen
Die Risikoanalyse23 auf der Basis von IT-Grundschutz ist also eine
Vorgehensweise, um Vorkehrungen zu ermitteln, die über die in
den IT-Grundschutz-Katalogen genannten Maßnalunen hinausge-
hen. Sie ist also vom Verständnis her keine Grundlage des
gesamten Managementsystems für Informationssicherheit (ISMS).
Im Vergleich mit ISO/IEC 27005 ist diese Methode am ehesten mit
der Betrachtung der Restrisiken zu vergleichen (siehe Abbildung
13 auf Seite 79).
Diese Risikoanalyse hat die Aufgabe, relevante Gefährdungen24 für
einen IT-Verbund25 zu identifizieren und die daraus resultierenden
Risiken" einzuschätzen. Das Ziel ist es anschließend, die Risiken
durch angemessene Gegenmaßnahmen auf ein akzeptables Maß
zu reduzieren, die Restrisiken transparent zu machen und dadurch
das Gesamtrisiko zu steuern. Gehen wir nun auf die einzelnen
Schritte etwas genauer ein:
Gefährdungs Für jedes zu analysierende Zielobjekt muss eine Liste der jeweils
übersicht relevanten IT-Grundschutz-Gefährdungen zusammengestellt
werden.
Zusätzliche Die aus den IT-Grundschutz-Katalogen entnommenen Gefährdun
Gefährdungen gen werden danach durch zusätzliche Gefährdungen ergänzt, die
sich aus dem hohen Schutzbedarf oder dem spezifischen Einsatz
szenario ergeben. Für ihre Ermittlung werden keine Hinweise auf
anzuwendende Methoden gegeben, wie wir sie beispielsweise in
Kapitel 5 betrachten.
Gefährdungs Für jedes Zielobjekt und für jede Gefährdung wird nun geprüft, ob
bewertung die bislang vorgesehenen Sicherheitsmaßnahmen einen ausrei
chenden Schutz bieten.
Die Leitungsebene muss nun vorgeben, wie die erkannten Risiken Behandlung
behandelt werden sollen. Hierzu müssen Vorschläge und von Risiken
Optionen dargestellt werden. Es gibt folgende Optionen zur
Behandlung von Risiken:
~ Reduzierung (entspricht in etwa Abb. 15: Modifikation)
~ Vermeidung (entspricht in etwa Abb. 15: Vermeidung)
~ Verlagerung (entspricht in etwa Abb. 15: Teilen)
~ Akzeptanz (entspricht in etwa Abb. 15: Übernalune)
Tabelle 4:
Auszug aus der
Gl.l Gl.2 G2.2. G2.7 ...
Kreuzreferenz M3.10 X X ...
tabelle zu
Baustein B 1.2 M3.11 X X X ...
M3.33 X ...
... ... ... ... ... ...
4.4 Zusammenfassung 105
4.4 Zusammenfassung
Nach diesem kurzen Abriss des BSI IT-Grundschutzes haben wir Zwei Welten, die
einen Überblick erhalten" an welchen Stellen sich die beiden sich ergänzen
Welten ergänzen können. Die Stärken der einen Welt können
teilweise die Schwächen der anderen kompensieren. Die BSI
Ein spannendes Zitat. Be.tonders durch die ihm imIewohnende TrMII oder
Trivialitlt. EIl geht also im Risiko-Asaeasmenf darum. zu ermitteln. nicht?
Wt'khe RUiken nötig und welche Risiken llIII\6tig sind. Aufmerk-
same Leser erinnern steh mtiirUch llI\ du ZI~t vor K.apitel2: ~&
/$t flIIlfUjgUch, ein flIInlHigts RisiKo dtwIgthtn. Denn o~ A& Risiko
U1II1Mig fDfT, foultt '"'" mt 1Itrh.I, ~n """ U IIngrl M8t!'IIgeJ!
iM.. ~ GIlllZ 110 trlvW wie eI'I auf den ersIen Blick .uMCbut. brut eil
also nicht sein.
Man ben6tigt für ein l1lll~ Rmko-.A.eument bewihrte TedIIlken
TeclmJken. die I!!I!I ermöglichen. daM man mit der Rlslk~}'8e
und -bewertung lUch in der Riicbchl.u richtig gelegen hat.
JSO/IEC 27IXI5 hilt Iidt. hierzu aßerdinstI ziemlich. bedeckt. Eine
1lIIIfImgreicture Au.wlhl In anzuwendenden Tedmiken d.eI
5.1 Methodensteckbriefe
Verschaffen Kapitel 5 soll Ihnen als Nachschlagekapitel dienen und Sie dabei
Sie sich den unterstützen, die richtige Wahl zu treffen. Im Folgenden sind die
Überblick vorgestellten Methoden daher jeweils auf einem meist zweiseitigen
Steckbrief beschrieben. In einer kleinen Grafik erkennen Sie auf
den ersten Blick, für welche Prozess-Phase die Methode geeignet
ist. Im grau hinterlegten Text wird die Methode jeweils eingeord
net und die benötigte Infrastruktur dargestellt. Zu jeder Methode
folgt schließlich ein Web-Tipp zur weiteren Recherche - wie
gewohnt mit einem QR-Code über den Sie mit Ihrem Smart-Phone
direkt auf die verlinkte Webseite gelangen. Auch hier sind die
Links so ausgelegt, dass sie jederzeit aktuell gehalten werden
(siehe die Hinweise in Abschnitt 1.4).
Auswahl der Welche der Methoden für Sie und die Situation in Ihrer Firma oder
richtigen Technik Behörde die richtige ist, hängt von den unterschiedlichsten
Faktoren ab, die nicht unbedingt nur etwas mit dem Risikoma
nagementprozess zu tun haben. Neben diesen harten Anforderun
gen gibt es eine ganze Reihe von weichen Griinden für und wider
eine bestimmte Technik. Persönliche Vorlieben und Abneigungen
28 In der ersten Auflage dieses Buchs wurde die Trennlinie hier nicht
ganz so scharf gezogen und mehr Methoden als geeignet bewertet. Mit
den Erfahrungen der letzten Jabre hat sich jedoch gezeigt, dass diese
Methoden keine Rolle spielen und entfallen können.
5.2 Merkmale 109
R i SI'oid~nt i ~ k atiQn
kann (Grafiken nach nach [5]). Wenn die Methode für eine Phase
Rlsikoab<;(:Mtzung
besonders geeignet ist, dann ist das mit einem schwarzen Kreuz
markiert, wenn die Methode nur eingeschränkt geeignet ist, dann
ist das mit einem grauen Kreuz markiert. Ist die Methode für eine
Phase ungeeignet, dann fehlt das Kreuz.
5.2 Merkmale
Bei der Auswahl der richtigen Technik werden Sie durch die
Bewertung mehrerer Merkmale unterstiitzt, anhand derer die
Techniken voneinander abgegrenzt werden.
Über die Komplexität von Risiken haben wir bereits an mehreren Komplexität
Stellen in diesem Buch gesprochen. Sie rührt vornehmlich von den
Wechselwirkungen her, die Risiken und Maßnahmen aufeinander
haben; sie können nicht isoliert betrachtet werden. Manche
Methoden gehen aber bewusst von einem isolierenden Blickwinkel
aus, um die Analyse zu vereinfachen. Das kann je nach Situation
gleichzeitig Stärke und Schwäche einer Methode sein.
Natiirlich geht es aber in der Praxis nicht nur um die Komplexität
des Problems, sondern auch um die Komplexität der Methode
selbst. Muss man sie erst erlernen und sich mit ihr anfreunden,
oder kann man nach einer kurzen Einweisung direkt loslegen?
Daher ist es notwendig, das Merkmal Komplexität getrennt nach
Methode und Problem zu bewerten. Wir verwenden hierfür die
Ausprägungen gering, mittel, hoch und beliebig.
Auch der Faktor Unsicherheit spielt immer wieder eine Rolle. Dem Ergebnis
wird auch bei der Bewertung der Methoden Rechnung getragen, unsicherheit
indem der Grad der Ergebnisunsicherheit der Methoden bewertet
wird. Bewertet wird jeweils in den Ausprägungen gering, mittel
und hoch.
110 5 Risiko-Assessment
5.3 Gruppierungen
Mehrere Die vorgestellten Methoden lassen sich alle auf unterschiedlichste
Möglichkeiten Arten gruppieren und zusammenfassen. Teilweise lassen sich so
mehrere Steckbriefe zu einem Assessment zusammenstellen,
mehrere Methoden unter einem Oberbegriff wie zum Beispiel
"Szenario-Analysen" zusammenfassen oder man ordnet sie nach
qualitativen oder quantitativen Methoden. lSO/IEC 31010
unterscheidet unter anderem die folgenden Methodengruppen:
=<> Nachschlagemethoden wie Checklisten
=<> Unterstützende Methoden wie Brainstormings
=<> Szenario-Analysen
=<> Maßnahmen-Analyse
Reihenfolge Die Reihenfolge der Nennung folgt eher einer didaktischen als
einer inhaltlichen Linie. Wir fangen mit Nachschlagemethoden
und unterstützenden Methoden an und bauen die anderen
Methoden darauf auf, so dass es neben dem reinen Nachschlagen
auch möglich ist, das Kapitel am Stück zu lesen.
Wirtschaftlich Für die Wirtschaft1ichkeitsanalysen wurde kein eigener Steckbrief
keitsanalyse erstellt, obwohl sie gemäß Standard zu den Assessment-Methoden
zählen. Das Thema wird als so wichtig angesehen. dass sich ein
eigenes Kapitel damit befasst und damit deutlich über die
Darstellung in ISO/IEC 31010 hinausgeht. Kapitel 7 stellt die
folgenden Methoden vor:
5.3 Gruppierungen 111
~ WirtschaftIichkeitsprinzipien
~ Kosten-Nutzen-Analysen
~ Pareto-Prinzip
~ Total Cost of Ownership
~ Total Benefit of Ownership
~ Total Economic Impact
~ Return on Security Investment
~ Stochastischer Return on Security Investment
~ Return on Information Security Investment
In ISO/IEC 31010 werden lediglich einfache Kosten-Nutzen
Analysen vorgestellt, die den Anforderungen der Informationssi
cherheit nicht gerecht werden.
112 5 Risiko-Assessment
5.4 Brainstorming
Unterstützt bei:
Ris i ~o - Asse •• ment Einordnung der Methode:
R,si"'· Ana ly'~
Komplexität der Methode: Gering
R i SI'oid~nt i ~ k atiQ
KomplexItät des Problems: Gering
Grad der Ergebnisunsicherheit: Gering
Ressourcenbedarf: Gering
Quontitativer Output: Nein
Web-npp:
https://psi2.de/RM-Brainstorming
(BraInstorming im Internet)
Her mit Ein Brainstorming [21] steht meist zu Beginn einer Analyse, wenn
den Ideen man noch nichts hat, was man analysieren kann. Wie der Begriff
schon sagt, sollen durch diese Kreativitätstechnik die Gehirnwin
dungen nach Ideen zu einem vorgegebenen Thema durchgeblasen
werden. Wie man sich vorstellen kann. ist bei dieser Methode auch
manches faule Ei unter den Ideen, was allerdings durchaus
erwiinscht ist - aussortiert wird zum Schluss.
Input Sie benötigen nicht viel für ein erfolgreiches Brainstorming. Eine
Gruppe von Personen, die sich mit dem Thema des Brainstormings
auskennt, reicht aus. Der eigentliche Input steckt bereits in den
Köpfen der Beteiligten.
Output Der Output hängt davon ab, wie gut die Teilnehmer ausgewählt
wurden. Wenn Sie beispielsweise nach bereits implementierten
Sicherheitsrnaßnahmen fragen wollen, hängt es von der Auswahl
der Gruppenteilnehmer ab, was sie darüber wissen.
Ourchführung Das Brainstorming unterliegt einigen Spielregeln, die der Modera
tor der Gruppe zu Beginn erklärt. So sind Ideen auch dann
interessant, wenn es für das Problem zunächst nicht relevant
5.4 Brainstorming 113
Unterstützt bei:
Ris i ~o - Asse •• ment Einordnung der Methode:
R,si"'· Analy'~
Komplexität der Methode: Mittel
R i SI ' oid~nt i ~ k a t iQ
KomplexItät des Problems: Mittel
Grad der Ergebnisunsicherheit: Gering
Ressourcenbedarf: Mittel
Quantitativer Output: Nein
Web-npp:
[!]"
https://psi2.de/RM-lnterviews
(Fragebögen Im Internet)
Wer, wie, was? Lassen es Thema oder Teilnehmerstruktur nicht zu, ein Brainstor
ming durchzuführen, sind Interviews eine Möglichkeit an das
Wissen der Befragten zu gelangen. Man unterscheidet strukturierte
Interviews, die sich strikt an einen vordefinierten Ablaufplan
halten und semistrukturierte Interviews, die dem Interviewer
mehr Gestaltungsspielraum und Zeit für Rückfragen einräumen
[22].
Input Beim Brainstorming verlässt man sich weitestgehend darauf, dass
die guten Ideen allein durch die Interaktion in der Gruppe und das
freie Assoziieren zustande kommen. Das kann in Interviews nicht
funktionieren. Daher müssen die Ziele zuvor genau festgelegt
werden. aus denen sich die Fragen des Interviews ergeben. Der
Auswahl der Teilnehmer muss wegen des hohen Zeitbedarfs mehr
Beachtung geschenkt werden.
Output Als Ergebnis erhalten Sie die jeweils subjektive Sicht des inter
viewten in Abhängigkeit von den gestellten Fragen.
Durchführung Was sich zunächst einfach anhört, ist allerdings recht schwierig.
Da sind zum einen die vielen unterschiedlichen Möglichkeiten ein
Interview durchzuführen und zum anderen eine ganze Reihe
5.5 Strukturierte und semistrukturierte Interviews 115
Fehler, die man bei der Planung und Durchführung machen kann.
Die größte Fehlerquelle stellen dabei die Fragen selbst dar. Ihrer
Formulierung ist die größte Aufmerksamkeit zu widmen.
Die Fragen müssen zunächst verständlich formuliert werden, so
dass Rückfragen vermieden werden und sich der Interviewte auf
die Antwort konzentrieren kann. Dazu gehört es, die Fragen kurz
zu halten und immer nur einen Aspekt abzufragen.
Ebenso sollten Fragen keine wertenden Begriffe enthalten und die
Antwort nicht schon vorweg nehmen. Sie haben beispielsweise die
Möglichkeit in einer Frage von Angreifern, Hackern, Crackern
oder gar von Kriminellen zu sprechen. Das beeinflusst die Antwort
erheblich. Sie könnten beispielsweise eine Mitarbeiterin der
Buchhaltung fragen, ob sie Angst vor Sodal Engineering durch
verantwortungslose Cyber-Kriminelle habe. Oder Sie können
fragen, ob sie Angst davor habe, von jemandem hinters Licht
geführt zu werden, der an vertrauliche Unternehmensdaten
kommen will. Diese zwei Fragen werden zu unterschiedlichen
Antworten führen, obwohl sie denselben Aspekt beleuchten.
Auch die Reihenfolge der Fragen ist entscheidend. Sie können die
Mitarbeiterin vorher Fragen, ob ihr bewusst sei, dass es 80% der
Angreifer gelingt, Firmenmitarbeiter hinters Licht zu führen und
Sie können das im Anschluss tun - in jedem Fall werden die
Ergebnisse unterschiedlich ausfallen.
Die Abfolge der Fragen muss nicht linear sein. Je nach Thema kann
es sinnvoll sein Rückfragen bei einer bestimmten Antwort bereits
im Vorfeld zu planen, so dass sich eine Baumstruktur ergibt. Auch
ist es möglich auf diese Struktur in Teilen oder ganz zu verzichten,
was jedoch hohe Anforderungen an den Interviewer stellt.
Interviews halten eine ganze Reihe von Fallstricken bereit, in Bitte beachten!
denen man sich als Interviewer verheddern kann. Das schwierigste
daran ist, dass man dies nicht ohne weiteres bemerkt. Möglicher-
weise fühlt sich das Ergebnis einer Befragung für alle Beteiligten
gut an, ist jedoch durch eine fehlerhafte Befragung verfälscht.
Probieren Sie daher vorher verschiedene Fragemöglichkeiten
durch und befassen Sie sich mit Möglichkeiten und Fehlerquellen
bei Interviews. Bedenken Sie, dass Interviews im Vergleich zu
anderen Techniken sehr zeit- und damit kostenintensiv sind und
bei einem Fehler nur sehr schwer wiederholt werden können.
116 5 Risiko-Assessment
Unterstützt bei:
Ris i ~o - Asse •• ment Einordnung der Methode:
R,si"'· Analy'~
Komplexität der Methode: Hoch
R i SI ' oid~nt i ~ k a t iQ
Komplexität des Problems: Mittel
Grad der Ergebnisunsicherheit: Mittel
Ressourcenbedarf: Mittel
Quantitativer Output: Nein
Web-Tlpp:
[!JE'
[!J:
https://psi2.de/RM-Delphi
(Delphi im Internet) [!J .
~.
Viele Experten, Da staunt der Laie und der Fachmann wundert sich. Dieses
eine Meinung? geflügelte Wort bringt zum Ausdruck, dass auch Experten nicht
auf alle Fragen dieser Welt eine Antwort haben. Und wenn doch,
dann sind sie oft nicht einer Meinung. Die Delphi-Methode [23]
versucht, zwischen den Experten auf anonymer Basis einen
Konsens herbeizuführen, verlangt aber von den Beteiligten die
grundsätzliche Bereitschaft sich mit der Methode auseinanderzu
setzen. Das kann bei der Betrachtung von Risiken von großem
Vorteil sein, da es für viele Beteiligte schwierig sein kann, ein
Risiko offen zuzugeben. Die Anonymität unterstützt hier nicht nur
die Konsensfindung, sondern auch die Identifikation von Risiken
an sich.
Input Als Input wird für die Delphi-Methode ein Thesenpapier oder ein
Fragebogen zu einem Thema benötigt, über das Einigkeit
hergestellt werden soll.
Output Am Ende einer Delphi-Befragung steht eine Bewertung des zur
Diskussion gestellten Themas.
Durchführung Zu Beginn einer Delphi-Befragung erstellt der Leiter ein Thesen
papier oder einen Fragebogen (siehe auch 5.5), in dem einzelne
5.6 Die Delphi-Methode 117
Fallbeispiel 9:
Bob könnte zum Beispiel die Abteilungsleiter nach ihrer Bewertung Delphi-Methode
zu folgender These zu Fragen: ,Wirtschaftsspionage spielt für
unser Unternehmen keine Rolle.' Nun würden einige Abteilungs
leiter zustimmen, andere nicht. Der Leiter der Forschungsabtei
lung würde sogar sagen, dass Spionage eine große Rolle spielt.
Bob würde den Abteilungsleitern daraufhin die folgende ange
passte These vorlegen: .Wirtschaftsspionage spielt für unser
Unternehmen eine geringe Rolle. Die ForschungsabteIlung ist
jedoch stärker gefährdet." Dem würden nun alle zustimmen, nur
der Forschungsleiter insistiert weiter und möchte das .stärker"
gegen ein .stark" austauschen. Mit dieser dritten Version sind
dann alle AbteIlungsleiter einverstanden.
Üblicherweise wird man eine Befragung nicht nur mit einer These,
sondern mit mehreren durchführen. Für die Formulierung der
Thesen sind ähnliche Aspekte zu beachten, wie bereits bei den
Interviews (siehe 5.5).
Eine Möglichkeit, den Zeitaufwand für die Methode zu reduzieren
ist es, die Anonymität aufzuheben und die erste Befragung in einer
gemeinsamen Runde durchzuführen, in der die Experten ihre
Meinung vorbringen und kurz diskutieren können. Hierdurch
können ähnliche gruppendynamische Nachteile entstehen, wie sie
beim Brainstorming angesprochen wurden (siehe 5.4).
Die Delphi-Methode wird je nach Konsensfähigkeit des Themas Bitte beachten!
einiges an Zeit und Arbeit in Anspruch nehmen. Dadurch ist der
Leiter der Befragung darauf angewiesen, dass die Beteiligten
motiviert bei der Sache sind, auch dann noch, wenn es mehrerer
Iterationen bedarf. Klinken sich einige auf halber Strecke aus, ist
der erreichte Konsens am Ende nicht viel wert.
Man sollte ebenso in Erwägung ziehen, dass die Methode sehr
akademisch anmutet und sie allein dadurch bei manchen auf
Ablehnung stoßen könnte. Das provoziert unter Umständen eine
Sabotagehaltung, die einen Konsens verhindern kann. In diesem
Fall kann man die Methode - wie oben beschrieben - in einer
Besprechung durchführen.
118 5 Risiko-Assessment
5.7 Checklisten
Unterstützt bei:
Ris i ~o - Asse •• ment Einordnung der Methode:
R,si"'· Ana ly'~
Komplexität der Methode: Gering
R i SI'oid~nt i ~ k atiQ
KomplexItät des Problems: Gering
Grad der Ergebnisunsicherheit: Gering
Ressourcenbedarf: Gering
Quantitativer Output: Nein
Web-npp:
https://psi2.de/RM-Checklisten
(Checklisten Im Internet)
Aus Erfahrung Die Idee, die hinter der Verwendung von Checklisten steht, ist es,
wird man klug auf den Erfahrungen der Vergangenheit oder Best Practices
aufzubauen. Checklisten laufen unter dem Motto, das Rad nicht
neu zu erfinden. Wir haben bereits in Abschnitt 2.6 einige Quellen
kennengelernt, aus denen man solche Checklisten erarbeiten kann.
Zum Teil sind solche Listen ja auch im Anhang zu lSO/IEC 27005
enthalten. Eine weitere Möglichkeit sind die bereits genannten
Gefährdungskataloge aus dem BSI IT-Grundschutz.
Checklisten bilden daher eine ideale Ergänzung zu anderen
Techniken des Risiko-Assessments, bei denen es eher darum geht
neue Bedrohungen und Schwachstellen aufzuspüren. Durch die
anschließende Verwendung von Checklisten kann der Effekt
vermieden werden, dass man den Wald vor lauter Bäumen nicht
mehr sieht und offensichtliche Bedrohungen vergisst.
Insbesondere für weitere Iterationen innerhalb des Risikoma
nagementprozesses sind sie hilfreich. Man sollte ja nicht nur
prüfen, ob die beim letzten Mal behandelten Risiken noch aktuell
sind. Es geht zusätzlich darum, ob beim letzten Mal ausgeschlos
sene Risiken im Verlauf der Zeit nicht doch relevant geworden
sind. Auch außerhalb des Risiko-Assessments können Checklisten
5.7 Checklisbm 119
https://psi2.dejRM-Kontakt
(Der Autor im Internet)
120 5 Risiko-Assessment
5.8 Szenario-Analysen
Unterstützt bei:
Ris i ~o - Asse •• ment Einordnung der Methode:
R,si"'· Analy'~
Komplexität der Methode: Mittel
R i SI ' oid~nt i ~ k a t iQ
Komplexität des Problems: Mittel
Grad der Ergebnisunsicherheit: Hoch
Ressourcenbedarf: Mittel
Quontitativer Output: Nein
Web-Tlpp:
https://psI2.de/RM-Szenario-Anolysen
(Szenario-Analysen im Internet)
Blick in die Bei dieser Methode geht es darum, die mögliche Zukunft in Form
Glaskugel von Szenarien vorwegzunehmen. Dabei unterscheidet man die
Szenarien nach ihrem gedachten Verlauf. Läuft alles nach Plan?
Geht alles schief, was nur schiefgehen kann oder steht das Szenario
für den ganz normalen Walmsinn? Dabei geht es weniger um die
Beschreibung von Szenarien im Sinne von Sicherheitsvorfällen,
sondern im Sinne einer breiter angedachten Entwicklung der
Gesamtsituation.
Wird SPAM in der Zukunft eine Rolle spielen oder wird das
Augenmerk der Angreifer auf Banking-Aktivitäten liegen? Werden
Web-Applikationen an Bedeutung gewinnen oder eher verlieren?
Diese Fragen dienen dazu, Risiken zu identifizieren und helfen
dabei, konkrete Risiken richtig abzuschätzen, zu bewerten und zu
priorisieren. Die Frage ist also nicht, wie hoch das Risiko eines
leergeräumten Geschäftskontos in der Vergangenheit und
Gegenwart einzuschätzen ist, sondern wie das in Zukunft sein
wird.
Es geht also ausdrücklich nicht um die Szenarien, mit denen man
im Notfallmanagement arbeitet, wo es um die Planung tatsächli
cher Schadens szenarien geht.
5.8 Szenario-Analysen 121
Als Input wird einerseits eine Liste bereits identifizierter Risiken Input
mit ihrer aktuellen Bedeutung benötigt. Viel wichtiger ist jedoch
ein erfahrenes Expertenteam, das die nötigen Kenntnisse mit
bringt, um zukünftige Entwicklungen einschätzen zu können.
Kann man ein geeignetes Expertenteam zusammenstellen, wird Output
man als Ergebnis jeweils einen Trichter fiir die betrachteten
Szenarien haben, innerhalb dessen sich die zukünftige Entwick-
lung mit hoher Wahrscheinlichkeit bewegen wird.
Bei der Durchfiihrung einer Szenario-Analyse müssen zunächst Durchführung
sinnvolle Parameter gefunden werden, die sich auf die zukünftige
Entwicklung des Untersuchungsgegenstands auswirken. Dies
können zum Beispiel sein:
=<> Technologischer Fortschritt
=<> Gesetzesänderungen
=<> Kundenwünsche
hersehbarer.
Genau das ist auch das Hauptproblem: Im schlechtesten Fall geht
der Szenariotrichter so weit auseinander, dass sich kaum verwert
bare Schlüsse ziehen lassen. In diesem Fall muss man den
verschiedenen Szenarien Wahrscheinlichkeiten zuweisen.
Die Unsicherheit des Ergebnisses ist die größte Herausforderung Bitte beachten!
bei Szenario-Analysen. Einige Szenarien werden weitestgehend
unrealistisch sein. Genau das ist jedoch auch die Stärke dieser
Analysemethode, weil sie auch unrealistische Szenarien zu Tage
fördert und dadurch Erkenntnisse schafft, die mit anderen
Methoden so nicht ZU erreichen wären.
122 5 Risiko-Assessment
Unterstützt bei:
Ris i ~o - Asse •• ment Einordnung der Methode:
R,si"'· Analy'~
Komplexität der Methode: Mittel
R i SI ' oid~nt i ~ k a t iQ
KomplexItät des Problems: Mittel
Grad der Ergebnisunsicherheit: Mittel
Ressourcenbedarf: Mittel
Quontitativer Output: Nein
Web-Tlpp:
https://psi2.de/RM-BIA
(BIA Im Internet)
Im Fokus stehen Business Impact Analysen [24] liefern einen detaillierten Einblick
die Zusammen in die Zusammenhänge zwischen Risiken und den Auswirkungen
hänge eines Schadensfalls auf die Geschäftstätigkeit. Sie bilden damit die
Grundlage für Notfall- und Wiederanlaufplanung.
Business Impact Analysen beleuchten
~ kritische Geschäftsprozesse und Ressourcen sowie deren
Abhängigkeiten untereinander,
~ welche Auswirkungen ein Vorfall auf diese Prozesse und
Ressourcen hat und
~ was benötigt wird, um mit diesen Auswirkungen umzU-
gehen und auf ein vereinbartes Maß zU reduzieren.
Man verwendet diese Methode, um die Kritikalität von Prozessen
und die möglichen Zeitfenster bis zU ihrer Wiederherstellung zU
bestimmen. Dabei bezieht sie sich ausdrücklich nicht nur auf
technische Aspekte. Sie bezieht personelle und organisatorische
5.9 Business Impact Analysen (BIA) 123
Unterstützt bei:
Ris i ~o - Asse •• ment Einordnung der Methode:
R,si"'· Ana ly'~
Komplexität der Methode: Mittel
R i SI'oid~nt i ~ k ation
KomplexItät des Problems: Beliebig
Grad der Ergebnisunsicherheit: Gering
Ressourcenbedarf: Mittel
Quontitativer Output: Nein
Web-Tlpp:
https://psi2.de/RM-RCA
(RCA im Internet)
Fehler nicht Ziel der Root Cause Analyse ist es einen tatsächlichen Vorfall zu
wiederholen untersuchen und zu ergründen, wie es dazu kommen konnte. Die
RCA wird auch als Root Cause Failure Analyse oder einfach als
Loss Analysis bezeichnet, wobei es bei letzterer im Schwerpunkt
um finanzielle und ökonomische Verluste geht.
BIA rückwärts Die RCA ist im Grunde eine Zurückrechnung der Business Impact
Analyse anhand eines konkreten Beispiels, wobei das Augenmerk
in besonderer Weise auf den Ursachen liegt, ohne sich zu sehr mit
der Handhabung den augenscheinlichen Symptomen zu beschäfti
gen.
lliren Ursprung hat die RCA im Bereich der Analyse von Funkti
onsstörungen und Unfällen. Sie wird jedoch ebenso für die
Prozessanalyse empfohlen und ist geeignet auch sehr komplexe
Fragestellungen zu beantworten, da sie sich mit tatsächlichen
Ereignissen auseinander setzt. Falsch eingeschätzte Eintrittswahr
scheinlichkeiten spielen daher kaum eine Rolle.
5.10 Ursachenanalyse (Root Cause Analysis RCA) 125
Unterstützt bei:
RIsiko· Assessment Einordnung der Methode:
Komplexität der Methode: Mittel
Risiko,deot illkatlO
Komplexität des Problems: Mittel
Grad der Ergebnisunsicherheit: Hach
Ressourcenbedor/: Hoch
Quantitativer Output: Ja
Web-Tlpp:
https://psi2.de/RM-FTA-ETA
(Fehler- und Erelgnlsbaumonolysen im Internet)
Abbildung 16: 1
Beispiel für 2
einen einfachen
Fehlerbaum
5
/1.=-" 6
5.11 Fehler- und Ereignisbaumanalyse (FTA und ETA) 127
5.12 Ursache·Wirkungsanalysen
Unterstützt bei:
Ris i ~o - Asse •• ment Einordnung der Methode:
R,si"'· Ana ly'~
Komplexität der Methode: Mittel
R i SI'oid~nt i ~ k atiQ
KomplexItät des Problems: Beliebig
Grad der Ergebnisunsicherheit: Mittel
Ressourcenbedarf: Hoch
Quantitativer Output: Ja
Web-T1pp:
https://psI2.de/RM-Ursache-Wlrkung
(Ursache-Wirkungsanalysen im Internet)
Erweiterung der Verschiedene weitere Methoden zur Analyse von Fehlern und
Baumanalysen deren Ursachen erweitern die einfachen Baumanalysen, wie sie in
Steckbrief 5.11 vorgestellt wurden [26]. Insbesondere werden
deren Schwächen ausgeglichen und zum Beispiel die zeitliche
Abfolge von Fehlern beriicksichtigt. Dadurch steigt zwar die
Möglichkeit komplexe Probleme zu beschreiben. es geht allerdings
auch die Übersichtlichkeit verloren. was durch die Bildung von
Unterbäumen vermieden werden kann.
Input Als Input dienen dieselben Informationen, wie sie in Steckbrief
5.11 genannt wurden.
Output Auch hier ist der augenscheinlichste Output die grafische
Darstellung, auch wenn diese durch die hohe Komplexität
aufgegliedert werden muss. Neben den Abhängigkeiten und
Zusammenhängen bei den Fehlern können auch zeitliche Abfolgen
dargestellt werden.
Durchführung Die erste Möglichkeit den Ansatz der Fehler- und Ereignisbäume
zu erweitern besteht darin. beide Methoden zu verbinden. Die
Darstellung eines Ereignisbaums wird jeweils fiir die Fehler um
einen angegliederten Fehlerbaum ergänzt, der zeigt, wie es zu dem
Fehler kommen kann.
5.12 Ursache-Wirkungsanalysen 129
Abbildung 17:
Fischgrätendia
gramm zur
Darstellung der
Kategorien von
Ursachen zu
einer bestimmten
Wirkung
Unterstützt bei:
Risiko· Assessment Einordnung der Methode:
Komplexität der Methode: Mittel
Ris,ko,dent ifikatlOn
Komplexität des Problems: Mittel
Grad der Ergebnisunsicherheit: Hoch
Ressourcenbedarf: Mittel
Quantitativer Output: Ja
Web-TIpp:
https://psi2.de/RM-Baw-Tie
(Bow Tle Methode Im Internet)
Kombination aus Die Bow Tie Methode [27] wird eingesetzt, wenn sich die betrach
Fehlerbaum und teten Risiken nicht adäquat in einer Baumstruktur darstellen
Szenariotrichter lassen. Bow Tie ist der englische Begriff für das Kleidungsstück
Fliege. Die Bezeichnung leitet sich aus dem Erscheinungsbild der
grafischen Darstellung ab, die an einen Fliegenknoten erinnert.
Links und rechts werden jeweils Ursachen und Wirkungen
dargestellt, während die Fäden in der Mitte als Schadensereignis
zusammenlaufen. Die Linke Seite der Darstellung entspricht daher
am ehesten einem vereinfachten Fehlerbaum und die rechte Seite
einem Szenariotrichter. Die Darstellung aus Abbildung 18 dient
vor Allem dazu, an die bisher vorgestellten Methoden anzuknüp
fen:
Beste r Fa ll
Abbildung 18:
Gedankliche An
näherung an die
Bow Tie Analyse: 3
Kombination aus 4
5
Fehlerbaum und 6
Szenariotrichter
7
Schlechtester Fall
8
5.13 Bow Tie Methode 131
Ursprung der Analyse bildet ein beliebiger Vorfall oder ein Durchführung
Schadensereignis. Links werden mögliche Ursachen dargestellt,
die mit der Mitte verbunden werden. Zur Ermittlung der Ursachen
können die Ergebnisse aus anderen Methoden wie beispielsweise
einer Fehlerbaumanalyse herangezogen werden. Auf der rechten
Seite des Fliegenknotens werden die Auswirkungen des Vorfalls
eingezeichnet. Diese können aus einer Szenario-Analyse stammen,
oder auch als unabhängige Auswirkungen einzeln dargestellt
werden. Auf den Linien zum Knoten werden jeweils die vorbeu-
genden und abmildernden Maßnahmen dargestellt.
Die Stärke der Darstellungsform ist gleichzeitig die Schwäche, da Bitte beachten!
die Gefahr besteht, dass die Komplexität eines Sachverhalts nicht
ausreichend transportiert werden kann. Auch Wechselwirkungen
wie zum Beispiel &-Verknüpfungen aus einem Fehlerbaum
können nicht ausreichend veranschaulicht werden.
132 5 Risiko-Assessment
5.14 Risikoindizes
Unterstützt bei:
Ris i ~o - Asse •• ment Einordnung der Methode:
R,si"'· Analy'~
Komplexität der Methode: Gering
R i SI ' oid~nt i ~ k a t ion
KomplexItät des Problems: Mittel
Grad der Ergebnisunsicherheit: Mittel
Ressourcenbedarf: Gering
Quontitativer Output: Ja
Web-T1pp:
https://psi2.de/RM-Rlslkolndizes
(Risikoindizes im Internet)
Das Ergebnis der Methode sind die verschiedenen Indizes und Output
deren Zwischenindizes, nach denen die Liste der betrachteten
Risiken in eine Reihenfolge gebracht werden kann. Auf diese Art
werden die Risiken auf einen numerischen Wert abstrahiert.
Je nach Bedarf muss für jedes Kriterium eine Skala festgelegt Durchführung
werden, die in einen Zahlwert übertragen werden kann. Hier sind
drei bis zehnstufige Skalen üblich, wobei Skalen mit mehr als fünf
Stufen meist direkt als Zahlwert angegeben werden. Ein Gesamt-
index berechnet sich dann aus diesen Werten und den je Kriterium
festzulegenden Gewichtungsfaktoren.
Fallbeispiel10:
Dnlstuflge Rlslkoskolo: gering 1,0 Bobs Skala
mittel 4,5
hoch 10,0
Fünfstuf/lle Rlslkoskolo: ohne Risiko 0,0
gering 2,5
mittel 5,0
hoch 7,5
katastrophal 10,0
Zehnstuf/ge Rlslkoskolo: ohne Risiko 0,0
katastrophal 10,0
Bob hat sich diese drei Skalen überlegt. Wie Sie sehen verändert
die Auswahl der Skala die nummerischen Werte teilweise um bis
zu 2596. Die fünfstufige Skala hat diesbezüglich die besten Werte
und passt am ehesten zu Bobs Vorstellungen.
5.15 Auswirkungs-Wahrscheinlichkeits-Matrix
Unterstützt bei:
Ris i ~o - Asse •• ment Einordnung der Methode:
R,si"'· Analy'~
Komplexität der Methode: Gering
R i SI ' oid~nt i ~ k a t ion
KomplexItät des Problems: Mittel
Grad der Ergebnisunsicherheit: Mittel
Ressourcenbedarf: Gering
Quontitativer Output: Ja
Web-T1pp:
https://psi2.de/RM-AW-Motrlx
(Weitere Informationen im Internet)
unvorstellbar
5.16 Entscheidungsmatrizen
Unterstützt bei:
Einordnung der Methode:
~
.-
- -- .- Komplexität der Methode:
Komplexität des Problems:
Mittel
Mittel
-' Grad der Ergebnisunsicherheit: Mittel
Ressourcenbedarf: Gering
Quantitativer Output: Ja
Web-TIpp:
https://psi2.de/RM-Entscheidungsmatrizen
(Entscheidungsmatrizen im Internet)
Eigentlich keine Auch wenn ISO/IEC 31010 die Entscheidungsmatrizen mit zu den
Assessment Assessment-Methoden zählt, gehören sie wohl eher in den Bereich
Methode der Risikobehandlung. Sie knüpft jedoch unmittelbar an die
Ergebnisse aus dem Assessment an.
Wenn eine Maßnahme in allen betrachteten Szenarien jeweils zum
besten Ergebnis führt fällt die Entscheidung für oder gegen sie
leicht. Existiert keine derart herausragend geeignete Lösung, gibt
es mehrere Entscheidungsregein, die sich nach der Risikobereit
schaft des Entscheidungsträgers unterscheiden [29].
Input Als lnput dienen die Ergebnisse des Risiko-Assessments, insbe
sondere diejenigen die numerische Ergebnisse liefern, wie etwa bei
den Risikoindizes (5.14).
Output Als Output liegt eine Entscheidungsmatrix vor, anhand derer die
Alternativen bewertet werden. Je nach Risikobereitschaft werden
so unterschiedliche Entscheidungsvorschläge gemacht.
Durchführung Zur Erstellung einer Entscheidungsmatrix trägt man die alternati
ven Maßnahmen und die betrachteten Schadensszenarien in einer
Tabelle ein und bewertet die Zielerreichung der einzelnen
Kombinationen nach einem zuvor festgelegten Maßstab. Man
5.16 Entscheidungsmatrizen 137
Tabelle 7: Die
Szenarien.:> .JI S 1
Malnahmen ....11 S2 11 S3 ZeIlenminima Zellenmaxlma I. Erwartunpwert
I Entscheidungs
MI 14 30 7 7 30 (14+30+7)/3- 17
M2 9 18 27 ~9f- 27 ~ (9+18+17)/3'19f-
matrix unterstützt
M3 8 13 35 8 -735f- (8+13+35)/3=18Ys bei der Alternati
CNutz.mter!ust utz.......ust
MI 0 0 28 28
venauswahl
M2 5 12 8 ~12f-
M3 6 17 0 17
Fallbeispiel11 :
Nach der Maxlmln-Regel muss Bab die Maßnahme aus Tabelle 7 Bobs Entschei
auswählen, die bei allen Szenarien das maximale Zeilenminimum dungsmatrix
aufweist. Es wird alsa die Maßnahme gewählt, die auch unter
schlechtesten Umständen das relativ beste Ergebnis liefert. Sa sall
das Risika einer Fehlentscheidung minimiert werden (M2).
Dieses Ergebnis hängt natürlich entscheidend von der Brauchbar- Bitte beachten!
keit des zugrunde gelegten Maßstabs für die Zielerreichung ab.
Wer sich jedoch über seine Ziele im Klaren ist und mit der nötigen
Sorgfalt differenziert, kann mit einer Entscheidungsmatrix in der
dargestellten Form zU guten Ergebnissen kommen.
138 5 Risiko-Assessment
5.17 Zusammenfassung
12 Methoden Kapitel 5 hat nach einer relativ kurzen Einleitung 12 der insgesamt
31 Methoden aus ISO/IEC 31010 vorgestellt, die für ein Risiko
Assessment im Bereich der Informationssicherheit eingesetzt
werden können.
Ausgelassene Wie zu Beginn dieses Kapitels angedeutet, wurden daher auch
Methoden nicht alle Methoden des Standards in diesem Kapitel dargestellt,
weil sie für Risiken der Informationssicherheit entweder insgesamt
nicht geeignet erscheinen und man ihnen auch sonst keine
wertvollen Impulse abgewinnen kann.
Einordnung, Bei der Einordnung der Methoden wurde die Auffassung des
Inputs, Outputs, Standards teilweise ergänzt und an die Bedürfnisse der Informati
Durchführung onssicherheit angepasst. Das gilt ebenso für die benötigten Inputs
und die zu erreichenden Ergebnisse. Auch bei der Durchführung
wurden die im Standard beschriebenen Methoden ergänzt und
abgeändert.
Ideengeber Kapitel 5 ist daher vor allem als Ideengeber zu verstehen. Es soll
dazu anregen neue Methoden auszuprobieren und anhand der
Bedürfnisse Ihres Unternehmens oder Ihrer Behörde anzupassen
und miteinander zu kombinieren.
6 R1llkokommunlkaUon
Beziehung
Sachaspekt Die einfachste Seite einer Nachricht ist der SachinhaIt. Dabei
handelt es sich um grundsätzlich nachpriifbare Informationen zu
einem Thema. Zum Beispiel: "Der ExAmple AG wurden letztes Jahr
10 Laptops gestohlen", oder: "Bob ist der IT-Sicherheitsbeauftragte der
ExAmple AG." Dieser Aspekt spiegelt jedoch nur einen Teil einer
Nachricht wieder.
Selbstoffenba Nachrichten enthalten immer auch Informationen über den
rungsaspekt Sender. Das lässt sich nicht vermeiden, selbst wenn die Nachricht
noch so sachlich vorgebracht wird. So erfahren wir in den beiden
6.1 Theoretische Grundlagen 141
C 0
Nachricht, Selbst-
Empfänger Sende~ offen- Nachri cht Appell ~mPfän~
_ _ barung
(nach [30])
Beziehun g
Die triviale Erkenntnis, die dieser Betrachtung vorausgeht ist, dass Zwei Richtungen
Kommunikation immer in zwei Richtungen stattfinden kann. Im
Falle von Risikokommunikation soll Sie das ja auch. Risikokom-
munikation soll ja gerade auch von den Mitarbeitern und Chefs in
Richtung des Risikomanagements stattfinden. Daher ist es für
Risikomanager besonders wichtig, nicht nur mit einem Ohr
zuzuhören.
Nachdem eine Nachricht vier Seiten hat, ergibt sich fast von selbst, Die vier Ohren
dass man als vorbereiteter Empfänger einer Nachricht mit vier
Ohren zuhören muss.
"Wie ist der Sachverhalt zu verstehen?"
Wer mit dem Sach-Ohr zuhört konzentriert sich auf die Sachseite Sach-Ohr
einer Nachricht. Vor allem Männer und Akademiker neigen dazu,
hier ihren Schwerpunkt zu setzen, ohne darüber nachzudenken,
was ihnen dabei mit den anderen drei Ohren entgeht.
" Wie redet der eigentlich mit mir?
Wen glaubt er vor sich zu haben?"
Diese Fragen stellt man sich, wenn man den Schwerpunkt auf das Beziehungs-Ohr
Beziehungs-Ohr legt. Manch einer tut das so intensiv, dass
Sachthemen, Appelle oder gar Selbstoffenbarungen VÖllig
untergehen. Das Beziehungsohr neigt zu Überempfindlichkeit,
nimmt alles persönlich und fühlt sich schnell beschuldigt.
"Was ist das für einer? Was ist mit ihm?"
Für das innere Gleichgewicht ist das Selbstoffenbarungs-Ohr da Selbstoffenba
schon hilfreicher. Es hilft dabei, auf der Beziehungsseite der rungs-Ohr
Nachricht enthaltene Anteile in den richtigen Zusammenhang zu
stellen. Für IT-Profis ein alltägliches Geschäft: Wenn der pe eines
gestressten Mitarbeiters nicht läuft, ist das Geringste, was sich der
IT-Support am Telefon anhören muss, der Sache geschuldet.
Solche verzweifelten Anrufe laufen fast immer auf der Selbstoffen-
barungs- und Beziehungsseite, auch wenn diese in den meisten
Fällen beim IT-Support kein Gehör findet. Ähnliches gilt beim
Risikomanagement. Wenn Menschen sich zu Risiken äußern,
geben sie viel von sich Preis. Den meisten Menschen ist das
unangenehm.
"Was soll ich auf Grund seiner Nachricht tun?"
Auch das Appell-Ohr spielt im Risikomanagement eine wichtige Appell-Ohr
Rolle, wenn man nur richtig hinhört. Richtig hinhören heißt in
144 6 Risikokommunikation
diesem Fall, dass man den Appell verstehen muss, der gesendet
wird und nicht den, den man gerne hören würde.
Risikomanager würden es natürlich gerne hören, wenn an sie
appelliert würde, mehr gegen die Gefahren der Welt zU unterneh
men - das passiert allerdings äußerst selten. Sie neigen dazu auf
der Appellseite das Gras wachsen zu hören und meinen sogar
Appelle zu hören, wo wirklich keine zu vernehmen sind. Jeder
Hinweis auf ein Risiko muss aufgenommen werden und Risiken
fordern nun mal Maßnalunen.
Täter und Nachdem wir nun neben den vier Aspekten einer Nachricht auch
Opfer? die vier Möglichkeiten kennen eine Nachricht aufzunehmen,
wollen wir eine Frage noch einmal stellen: Handelt es sich
tatsächlich um eine Täter-Opfer-Beziehung zwischen Sender und
Empfänger? Nicht ganz. Der Empfänger einer Nachricht hat
nämlich immer die Wahl, auf welchem Ohr er zuhören will. Das
gelingt natürlich nur vorbereiteten Zuhörern, die eine Nachricht in
ihre Bestandteile zerlegen und selbst beim Zuhören klare Ziele
verfolgen.
Fallbeispiel12:
Bob hört hin Bob, der IT-Slcherheitsbeauftragte der ExAmple AG, wird von Pete,
eInem Mitarbeiter der ForschungsabteIlung, auf dem Flur ange
sprochen: ,Malory hat damit geprahlt sich mIt einem komischen
Tool Admln-Rechte auf seinem Rechner verschaffen zu können. '
Es ist nIcht das erste Mal, dass Bob über solche Dinge Informiert
wird. Bob Ist dafür bekannt, dass man Ihm vertrauen kann, ohne
dass gleich die Kavallerie ausrückt. Bob hatte vier Möglichkeiten,
die Nachricht zu empfangen:
~ Soch-Qhr:
Bob hlitte die Möglichkeit gehabt auf rein sachlicher Ebene
zuzuhören. Seine Reaktion w/Jre dann zum Beispiel so ausge
fallen: ,Danke für den Hinweis. Was wissen Sie sanst noch zu
dem Sachverhalt?'
~ Selbstaffenbarungs-Qhr:
Bob hätte auch auf die Se/bstoffenbarung hören können.
Dann hätte er vielleicht so reagiert: ,Können Sie Ma/ory nicht
leiden oder warum schwänen Sie ihn bei mir an?"
6.2 Das Besondere an Risiken 145
~ Appell-Ohr:
Er hätte sich aber auch auf einen Appell kanzentrieren kännen
und dann vielleicht sa reagiert: nUnd jetzt sall ich ihn verhaf
ten, oder wie?R
~ Bezlehungs-Ohr:
Für Bob spielt dos Vertrauen der Mitarbeiter jedoch eine gra
ße Rolle. Er möchte lieber informiert sein, was so läuft, bevor
die Dinge hinter seinem Rücken passieren. Er reagiert daher
sa: nDanke, dass Sie mir vertrauen, Pete. Es ist wichtig, dass
ich solche Dinge erfahre, bevor es zu spät ist. Der Chef ver
steht bei so etwas keinen Spaß. M Bob hat sich dafür entschie
den auf dem Beziehungs-Ohr hinzuhören. In diesem Fall war
ihm das besonders wichtig.
Wenn Malory bereits öfter aufgefallen wäre, hötte Bob auch die
Sachebene abfragen und das Ganze als Sicherheitsvorfall behan
deln können. Es wäre auch denkbar gewesen, auf der Selbstoffen
barungsseite zu reagieren; vielleicht will Pete einfach nur zum
Ausdruck bringen, dass er selbst sich immer an die Regelungen
hält. Oder er will als Appell zum Ausdruck bringen, dass Bob sich
öfter mal in den Fachabteilungen blicken lassen soll. All diese
Möglichkeiten sollte Bob bedenken, wenn er richtig reagieren will.
Abbildung 22:
Kommunikation
ohne Konzept
Wenn wir uns nun vor Augen führen, dass der Sachinhalt
eigentlich der ruhende Pol einer Nachricht ist, dann wird uns jetzt
leider auffallen, dass der Sachinhalt im Rahmen der Risikokom
munikation äußerst streitbar ist. Wir hatten bereits in den
vorangegangenen Kapiteln mehrfach festgestellt, wie schwer es ist,
Wahrschein1ichkeiten und Schadenshöhen zu bestimmen.
Beziehungs Wie der Beziehungsaspekt aussehen kann, hängt vom Typ des
aspekt Risikomanagers und dessen Selbstverständnis ab. Sieht er sich eher
als zentrale Kontrollinstanz, die 100% Sicherheit anstrebt oder als
Service-Provider, der Sicherheit nur ausliefert, wenn Sie auch
bestellt wird. Oder versteht er sich als Wanderer zwischen diesen
Welten, der sich als Security-Streetworker des Unternehmens
versteht [31]? Neben dem Risikomanager stehen natiirlich noch die
Mitarbeiter, Kollegen und Manager des Unternehmens als Sender
und Empfänger von Nachrichten zum Thema Risiko bereit.
Zwischen diesen Polen spannt sich das Beziehungsgeflecht, das es
zu berücksichtigen gilt.
Selbstoffenba Die Selbstoffenbarung beim Thema Risiko ist nicht leichter zu
rungsaspekt interpretieren, wie die bereits betrachteten Aspekte, geht es doch
bei Risiken immer auch um Angst, Mut und Übermut. Niemand
redet gerne offen über seine Ängste. So neigt mancher zu verbalem
6.2 Das Besondere an Risiken 147
6.3 Konfliktpotential
Sachaspekt Der Sachinhalt Risiko bietet einige Möglichkeiten, eine Nachricht
falsch zu verstehen. Selbst danIl. wenn sie rein sachlich vorge
bracht wird, bietet die Diskussion um richtig eingeschätzte
Wahrscheinlichkeiten und Schadenshöhen noch genügend
Zündstoff. Eine gute Risikokommunikation muss sich mit diesem
Konf1iktpotential auseinandersetzen. Es muss jederzeit transparent
sein, wie die Einschätzung dieser Größen zustande gekommen ist.
Noch besser ist es, wenn die Empfängerseite bei der Entstehung
dieser Einschätzung beteiligt war und sich im besten Fall in den
Ergebnissen wiederfindet.
Beziehungs Auf der Beziehungsseite sind Schwierigkeiten zu erwarten, wenn
aspekt sich der Risikomanager in der Rolle der zentralen Kontro11instanz
sieht. Nimmt er eher die Position des Security-Streetworkers ein,
bietet sich auf dieser Seite weniger Angriffsfläche. Aber auch
Gespräche mit Chefs und Managern bieten im allgemeinen
Zündstoff. Im Grunde all die Gespräche, die Autoritäten unter
Druck setzen oder gar in Frage stellen. Falsch vorgebracht kann
der Sachinhalt der Nachricht in diesem Fall vollständig verloren
gehen. Hier ist also Vorsicht geboten.
Selbstoffenba Der Selbstoffenbarungsaspekt an sich hat ein geringes Konf1iktpo
rungsaspekt tential. Dafür ist er umso explosiver, wenn man auf die Selbstof
fenbarung falsch reagiert. Wenn man also den Ängstlichen als
ängstlich entlarvt oder dem Übermütigen seine unreflektierte
Risikobereitschaft vor Augen führt. Die Selbstoffenbarung ist
daher besonders in ihren Extremen problematisch: der Selbstent
larvung und der Selbstdarstellung. Nimmt man den übermütigen
IT-Leiter von weiter oben als Beispiel, so ist es wenig ratsam, auf
seinen Übermut so zu reagieren, dass er bloßgestellt wird.
Appellaspekt Dem Appellaspekt wohnt das geringste Konfliktpotential inne. Die
Erklärung dafür ist einfach: Wer als Risikomanager auf jede kleine
Neuigkeit mit Übereifer reagiert, der bekommt einfach keine
neuen Nachrichten mehr. Und umgekehrt sind übervorsichtige
Mitarbeiter, Chefs und Manager kein Problem des Risikomanage
ments sondern bestenfalls die schöne Vorstellung einer femen
Zukunft.
Risikomanage Was wir uns nach all diesen theoretischen Überlegungen zurück
mentprozess ins Gedächtnis rufen müssen ist der Risikomanagementprozess.
Wir haben gesehen, dass es bei den Kommunikationspfeilen in
6.4 Kommunikationsmatrix 149
6.4 Kommunikationsmatrix
Dieser Abschnitt strukturiert die bisherigen Überlegungen in Form
einer Kommunikationsmatrix, die verhindern soll, dass der
Risikomanagementprozess wegen mangelhafter Kommunikation
ins Stocken gerät.
Die hier vorgestellte Kommunikationsmatrix ist kein feststehendes Zeilen und
Gebilde sondern eine flexible Arbeitsgrundlage, die sich durch den Spalten
Verlauf des Risikomanagementprozesses verändert. Einzige
Konstante sind die acht Zeilen:
~ Sachaspekt der Nachricht
Sach-Ohr
~ Beziehungsaspekt der Nachricht
Beziehungs-Ohr
~ Selbstoffenbarungsaspekt der Nachricht
Selbstoffenbarungs-Ohr
~ Appellaspekt der Nachricht
Appell-Ohr
Tabelle 8:
?
Prototyp der
Sachaspekt Kommunikati
onsmatrix
Sach-Ohr
Beziehungsaspekt
Beziehungs-Ohr
Selbstoffenbarungsaspekt
Selbstoffenbarungs-Ohr
Appellaspekt
Appell-Ohr
150 6 Risikokommunikation
Die vier Seiten einer Nachricht sind dabei jeweils einmal aus
Sendersicht und einmal aus Empfängersicht dargestellt. Als
Spaltenüberschrift muss nun jeweils der passende Schritt des
Risikomanagementprozesses eingetragen werden:
~ Festlegung des Kontexts
~ Risiko-Assessment
~ Risikobehandlung
~ Risikoakzeptanz
~ Risikoüberwachung/ Risikoüberprüfung
Darüber hinaus gibt es in jeder Phase des Risikomanagementpro
zesses unterschiedliche Zielgruppen für die Risikokommunikation,
die in jedem Unternehmen und jeder Behörde unterschiedlich sein
können. Daraus entsteht die folgende, erweiterte Kommunikati
onsmatrix:
labelle9: Prozessschritt
Erweiterte
Kommunikati Gruppe 1 Gruppe 2 Gruppe 3
onsmatrix
Sachaspekt
Sach-Ohr
Beziehungsaspekt
Beziehungs-Ohr
Selbstoffenbarungsaspekt
Selbstoffenbarungs-Ohr
Appellaspekt
Appell-Ohr
Fallbeispiel13:
Im Fallbeispiel 5 hatte Bob sich mit dem Presseportal der ExAmp Bobs Kommuni
le AG auseinandergesetzt. Pressevertreter können sich dort kationsmatrix
anmelden, Newsletter zu bestimmten Themen abonnieren und in
Echtzeit mit der Presseabteilung in Kontakt treten. Wöhrend eines
Assessments wurde das Risiko angesprochen, dass bei einem
schwerwiegenden IT-Sicherheitsvartall innerhalb des Rechenzent
rums auch das Presseportal in Mitleidenschaft gezogen werden
könnte.
Fortsetzung von
Fallbeispiel13 Sachselfe:
Die Sachseite ist für Sender und die belden Empfänger Vorstond
und Pressesprecher klar - es gibt zwei Entscheidungsalternativen.
BeziehungsseIte:
Eigentlich will Bob dem Chef die Entscheidung überlassen, um klar
zu machen, dass er nun mal der Entscheider ist. Aus Sicht des
Empfängers seiner Nachricht - also des Chefs - kann er sich
jedoch auch Missverständnisse vorstellen.
Selbsto!fenbarungsselfe:
Bob will dem Chef zeigen, dass er sich an den Risikomanagement
prozess hält und vor dem Pressesprecher gut dastehen, weil er
6.5 Zusammenfassung 153
sein Problem auf die Chef-Agenda setzt. Auch hier merkt er, dass
es zu Missverständnissen kommen kann.
Appell.e/re,
Auf der Appellseite bemerkt Bob, dass der Chef Ihn so missverste
hen könnte, dass es doch nur eine Alternative gibt: Mehr Geld.
6.5 Zusammenfassung
Risikokommunikation sollte sich vor allem mit den Menschen Der Mensch
beschäftigen, die als Sender und Empfänger eine gewichtige Rolle steht im
dabei spielen, wie die Nachricht verstanden wird. Gerade beim Mittelpunkt
Thema Risiken reicht es nicht aus sich nur auf den Sachinhalt zu
verlassen, weil er an sich bereits mit zu vielen Unsicherheiten
behaftet ist.
Wir haben in diesem Kapitel eine Möglichkeit kennengelernt, mit Vier Aspekte
der man Nachrichten auf versteckte Botschaften untersuchen kann,
bevor man sie unüberlegt an Mitarbeiter, Kollegen und Manager
kommuniziert.
Ebenso wie jede Nachricht aus Sicht des Senders vier Seiten hat, so Vier Ohren
kann man sie auch als Empfänger mit vier Ohren wahrnehmen
und so nach den entscheidenden Zwischentönen filtern.
Die Nachrichten, die im Risikomanagementprozess fließen,
müssen zwischen Menschen wirken und nicht von Aktenschrank
zu Aktenschrank wandern. Selbst, wenn dann formal alles richtig
ist und man nach einem Sicherheitsvorfall jemanden zur Rechen
schaft ziehen kann - das Ziel den Sicherheitsvorfall zu verhindern,
hat man trotzdem verfehlt. Daher setzt dieses Kapitel auch einen
klaren Schwerpunkt auf die menschliche Komponente der
Risikokommunikation und beschreibt keine komplizierten
Kommunikationsprozesse zwischen den Aktenschränken der
Abteilungen.
7 Wlrllchaflilchkeillbetrachlung
:a :K.apitl!! 7 buiert auf l!inI!m Artikel. den ich 2009 in der Zei.txhrift
<keP _öffetl\1ldtt hP [3]. Er 1'fIlfde IGr cUet. Buch o.betPbel\et
tald um weitere AIpekte und Methoden erweitert.
Für einen Ber~ bei eiIu!m der gti5Sle:. Anbieter von informa
tiON- und KommunIb.t!onsteclmIk stellt sieh du Problem dabei
wie folgt du:
7.2 Wirtschaftlichkeitsprinzipien
Minimal, Eine erste Annäherung an eine wirtschaftlich durchdachte
maximal, Entscheidung bilden die allgemein bekannten Wirtschaftlichkeits
extrem prinzipien: Minimierungs-, Maximierungs- und Extremumsprin
zip. Im ersten Fall wird angestrebt, mit minimalem Aufwand ein
vorgegebenes Ziel zu erreichen. Im zweiten Fall gilt es, bei
gegebenem Mittelaufwand das maximal Mögliche zu erreichen.
Beim Extremumsprinzip schließlich wird die Optimierung von
Aufwand und Zielerreichung angestrebt.
Die Investition Das Ziel einer Sicherheitsinvestition als konkretes Maßnahmenpa
als Maßnahmen ket ist in erster Linie das Risiko zu reduzieren. Ein solches
paket Maßnahmenpaket lässt sich als ein Intervall der x-Achse darstel
len. Innerhalb dieses Intervalls sinkt das Risiko um einen Wert y
während die Kosten um einen Wert x steigen (siehe Abbildung 23).
7.3 Kosten-Nutzen-Analysen
Unklarheiten Der Ansatz der Kosten-Nutzen-Analyse ist in vielen Punkten
ausgeschlossen verwandt mit den Wirtschaftlichkeitsprinzipien. Insbesondere was
die negativen Punkte angeht. Sicher: Kosten-Nutzen-Analysen
sind schön griffig. Mit dem Begriff kann jeder was anfangen -
Unklarheiten ausgeschlossen. Wer wissen will, ob sich eine
Investition lohnt, der vergleicht einfach die Kosten mit dem
Nutzen. Ist der Nutzen größer als die Kosten, so hat man schon die
halbe Miete. Der Frage, um wie viel sich ein Risiko minimieren
lässt, wenn ein Betrag x investiert wird, sollte sich aber aus den
bereits genannten Gründen mit äußerster Vorsicht genähert
werden.
Konkurrenz Insbesondere sollte man nicht unterschätzen, dass es in jedem
situation funktionierenden Unternehmen hundert andere Möglichkeiten
gibt, bei gleichen Kosten mehr Nutzen zu erwirtschaften, als mit
einer Security-Investition. Wer sich auf die Konkurrenz um
begrenzte Ressourcen einlässt, zieht mit ziemlicher Wahrschein
lichkeit den Kürzeren. Kosten-Nutzen-Analysen leisten jedoch
auch unter diesem Gesichtspunkt in manchen Situationen ganz
hervorragende Dienste.
Zum Beispiel bei der Auftragsdatenverarbeitung gemäß Bundes
datenschutzgesetz (BDSG). Der Auftragnehmer muss hier nicht
über zu treffende Maßnahmen entscheiden, sondern einfach die
nach den gesetzlichen Bestimmungen geeigneten umsetzen. Die zu
treffenden Schutzmaßnahmen und Verfahrensweisen sind hier
durch den Auftraggeber vorzugeben. Die Maßnahmen stehen also
fest; die Verantwortung für ihre Wirksamkeit verbleibt beim
Auftraggeber. Die durch den Vertrag entstehenden Kosten können
so mit der im Vertrag vereinbarten Vergütung verrechnet werden.
Die Analyse lässt sich also anhand klar ermittelbarer Größen
durchführen und eignet sich sehr gut um abzuschätzen, ob sich
der Auftrag lohnt oder nicht. Ist die Entscheidung gefallen geht es
nur noch darum im Sinne des Minimierungsprinzips das gesetzte
Ziel mit dem geringsten Mitteleinsatz zu erreichen.
7.4 Pareto-Prinzip 161
Bereits bei diesem einfachen Beispiel zeigt sich, dass ein gutes Die Mischung
Ergebnis von der richtigen Mischung der verschiedenen Modelle machl's
abhängig ist.
7.4 Pareto-Prinzip
Eine Wirtschaftlichkeitsbetrachtung im Rahmen der Informations- Der Weg zur
sicherheit fällt leichter, wenn sie so weit gebracht werden kann, Wahlenlschei
dass sie nach dem Minimierungsprinzip weitergerechnet werden dung
kann. Wenn es also aus investitionstheoretischer Sicht nicht mehr
um eine Programmentscheidung sondern um eine Wahlentschei-
dung geht. Die Frage lautet dann nicht mehr was, sondern nur
noch wie. Die Datenverarbeitung im Auftrag nach BDSG ist für den
Auftragnehmer ein solcher Spezialfall. In der Realität wird der
Auftraggeber jedoch auf die Empfehlungen des Dienstleisters
zurückgreifen, welche Maßnahmen zum Schutz der Daten
umzusetzen sind und diese dann vertraglich als verbindlich für
den Auftragnehmer umsetzen.
Wie sollte also das gegebene Ziel aussehen? Eine Möglichkeit diese
Frage zu beantworten, bieten anerkannte Standards, was sicher
einer der Gründe ist, warum auch Sie sich mit der ISO 27000
Familie beschäftigen. Hat man sich auf einen Standard festgelegt,
geht es darum, ihn zu minimalen Kosten umzusetzen.
https://psi2.de/RM-ITGS-Webseite
-~
~m
(Webseite des BSI zum IT-Grundschutz)
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 80% VS. 20%
mit den BSI-Standards das Ziel verfolgt, dass ohne die Notwen-
digkeit einer umfangreichen Risikobetrachtung "ein vernünftiger
Informationsschutz ebenso wie eine Grundsicherung der IT schon mit
verhältnismäßig geringen Mitteln zu erreichen" ist [20].
Das BSI folgt damit nach eigenen Angaben dem Pareto-Prinzip,
das in diesem Fall sagt, dass 80% des Schutzbedarfs mit 20% des
Aufwands zu erreichen sind (Abbildung 24). Nur für spezielle
Einsatzszenarien ist eine nähere Risikoanalyse erforderlich, aus der
für hohen und sehr hohen Schutzbedarf gegebenenfalls zusätzliche
Individualmaßnahmen erwachsen.
162 7 Wirtschaftlichkeitsbetrachtung
..
100%
Aufwand
Wenn man sich für ein Vorgehen nach diesem Modell entschieden
hat, sind umfangreiche Wirtschaftlichkeitsbetrachtungen auf
Grundlage von Risikoerwägungen nur für diese zusätzlichen
Individualmaßnahmen durchzuführen. Für die Maßnahmen aus
den IT-Grundschutz-Katalogen geht das Modell ja per se davon
aus, dass sie sich im Verhältnis zum entstehenden Schutz leicht
umsetzen lassen.
Wirklich Ist der IT-Grundschutz des BSI also Sicherheit zum Schnäppchen
nur das preis? Mitnichten! Der Aufwand für eine Zertifizierung nach
Nötigste? ISO 27001 auf Basis von IT-Grundschutz wird im Allgemeinen
deutlich umfangreicher sein als eine normale ISO 27001 Zertifizie
rung. Im Gegensatz zur Zertifizierung nach dem reinen 150-
Standard wird die Umsetzung konkreter Maßnahmen verlangt
und Ausnahmen müssen aufwändig begründet werden; nicht
gegenüber dem Management, sondern gegenüber dem BSI.
Der Begriff IT-Grundschutz ist hier in der Wortwahl etwas
missverständlich, da die Entscheidung für den IT-Grundschutz
von sich aus sehr kostenintensiv ist. Man sollte sich also von der an
BSI-Standard 100-2 angelehnten Abbildung 24 nicht zu der Illusion
hinreißen lassen, man bekäme hier 80% Sicherheit für 20% des
Aufwands.
Ist die Entscheidung für einen Standard jedoch erst einmal gefällt,
kann man in der Folge nach dem Minimierungsprinzip vorgehen.
Nur für die zusätzlichen Individualmaßnahmen bei hohem und
sehr hohem Schutzbedarf sind genauere Betrachtungen und
gegebenenfalls Folgeinvestitionen nötig.
7.5 Total Cost/ Benefit of Ownership (TCO/ TBO) 163
Für den IT-Grundschutz sprach bisher immer, dass er mit den Was ist denn
IT-Grundschutz-Katalogen mehr oder weniger klare Handlungs- nun mit Pareto?
anweisungen gibt. Dadurch ist es erst möglich, mit einer einzigen
Managemententscheidung eine sehr große Anzahl an Sicherheits-
rnaßnahmen auf den Weg zu bringen. Die ISO 27000 Familie
konnte diese Hilfestellung in der Vergangenheit noch nicht bieten
und viele denken, dass das auch heute noch so ist. Wie wir bereits
in Abschnitt 2.5 gesehen haben, sind in den letzten Jahren eine
ganze Reihe von zusätzlichen Standards erschienen und weitere in
Arbeit, so dass diese Lücke weitestgehend geschlossen ist. Will
man wirklich nach dem Pareto-Prinzip vorgehen, geht es wohl
eher um die Frage, dass man 80% der Grundschutz-Maßnahmen
mit 20% des Aufwands erreicht und für die weiteren 20% der
Maßnahmen 80% des Aufwands anfallen. Wirklich weiter hilft das
allerdings auch nicht immer.
https://psI2.de/RM-Gartner-Webseite
(Gartner Webseite)
IT-Vermögens
werte
20%
~
https://psi2.de/RM-TCO-Tool-Webseite
(Webseite zur Software TCO-Tool)
I!l' .
Ir-
Abbildung 26:
Zusammenset
zung des Total
I Kosten (TeO) R
I
----\
I I
Economic Total
S
Impact Nutzen (TBO) Economic
I
Impact (TEl)
K
FI exi bi Iitätsgewi nn ...... 0
--I
Weder TeO noch TBO liefern exakt auf die Bedürfnisse der
Informationssicherheit zugeschnittene Kennzahlen. Einzig im TEI
Model findet das mit der Investition verbundene Risiko eine
Berücksichtigung. Die mit ihr verbundene Minimierung von
Sicherheitsrisiken für das Unternehmen bleibt jedoch auch im
Modell der Giga Information Group unberücksichtigt. Die drei im
Folgenden betrachteten Modelle dagegen wurden speziell für die
Bedürfnisse der Informationssicherheit entwickelt.
Oder:
ALE Schadenshähe x Eintrittswahrscheinlichkeit
ROSI - Schadenshöhe
- «Schadenshöhe - Schadenseinsparung) + SI)
Schadenshähe
(Schadenshöhe - Schadenseinsparung) - SI
Schadenshähe
Schadenshöhe + Schadenseinsparung - SI
Schadenseinsparung - SI
Der so berechnete Return baut jedoch in beiden Fällen auf Und wieder:
Mutmaßungen über Eintrittswahrscheinlichkeiten auf. Selbst wenn hoher Grad an
für ein Szenario belastbare statistische Daten vorliegen, sind diese Ungewissheit
insbesondere für kleine und mittlere Unternehmen nur bedingt
anzuwenden. Die Ungewissheit bleibt: Wie genau können
Wahrscheinlichkeiten bestimmt werden und wie genau die Kosten
einer Investition? In beiden Fällen haben wir wiederholt gesehen,
wie weit die Zahlen auseinander liegen können.
Wenn wir uns in Abbildung 27 nun das Beispiel mit dem Ver
kehrsunfall vorstellen, dann sind die blauen Flecken (Spitze des
Dreiecks) deutlich weniger interessant, wie der weitaus größte Teil
des Dreiecks, der "weiter rechts" von den Blauen Flecken liegt. Uns
interessiert vor allem der Schwerpunkt des Dreiecks, der beim
Schnittpunkt der Seitenhalbierenden liegt und damit irgendwo in
der Nähe von gebrochenen Rippen, Armen und Beinen.
Nach demselben Muster funktioniert der Vergleich von Schadens
höhen von Sicherheitsinvestitionen. Auch hier ist weniger
interessant, ob man am wahrscheinlichsten mit dem sprichwörtli
chen blauen Auge davonkommt (Spitze des Dreiecks). Die Frage
nach dem sogenannten Erwartungswert (Schwerpunkt des
Dreiecks) ist unter Umständen viel aussagekräftiger. Aus diesem
Grund wird beim stochastischen ROSI die ALE über die Erwar
tungswerte berechnet und nicht über den wahrscheinlichsten
Wert.
170 7 Wirtschaft1ichkeitsbetrachtung
Doch noch Lust Sollten Sie nun doch Lust auf Formeln und Rechenbeispiele
auf Formeln? bekommen haben, möchte ich Ihnen das folgende PDF-Dokument
ans Herz legen, in dem Sie auch zwei Fallbeispiele aus der Realität
finden. Das erste beschäftigt sich mit der Investition in ein
Notfallrechenzentrum und das zweite mit einem BSI
IT-Grundschutzprojekt:
https://psi2.de/RM-PDF-SROSI
(Verfahren zur Wirtschaftlichkeitsanalyse
von IT-Sicherheitsinvestitionen; pdf-Datei [13])
https://psi2.de/RM-ROSI m~
~
(Umfangreiche Informationen zum ROISI)
Wie viel kostet Adrian Mizzi hat das Modell im Rahmen einer Master-Thesis
der Angriff? vorgestellt. Es liefert eine Empfehlung für die maximal sinnvollen
Ausgaben für Informationssicherheit. Dazu hinterfragt sein
Modell, wie viel ein Angreifer bereit sein wird, für den Einbruch in
ein System zu investieren. Das Ziel jeder Sicherheitsbetrachtung
muss es ihm zufolge sein, die Information Assets auf dieser
Grundlage wirtschaftlich zu schützen.
Return "I- Return Aus diesen Grundlagen ergeben sich mehrere Ungleichungen, die
in Wechselwirkung zueinander stehen. Diese Wechselwirkungen
bezeichnet Mizzi als Return. Mit Return ist als keine tatsächliche
Summe Geld gemeint, die man nach einer Sicherheitsinvestition
durch einen Sicherheitsgewinn Rückvergütet bekommt.
Bevor wir die Ungleichungen unter die Lupe nehmen und uns den
einzelnen Größen im Detail widmen, wollen wir uns mit Abbil-
7.8 Return on Information Security Invest (ROISI) 171
T T T
I IT-Security Budget
I IT Budget
172 7 Wirtschaftlichkeitsbetrachtung
Information Wie auch innerhalb der ISO 27000 Familie müssen hier zuerst die
Assets und Information Assets, also die Informationen von Wert bestimmt
Verteilung werden, von denen jedoch nur ein Teil für einen Angreifer
der Kosten interessant ist (Assets at stake) und von Schwachstellen [V]
bedroht wird. Die Behebung dieser Schwachstellen verursacht
laufende Kosten [F]. Aus diesen und den Kosten zur Implementie
rung von Verteidigungsmechanismen [B] setzt sich das IT-Security
Budget zusammen. Werden die Informationen angegriffen,
entstehen einerseits Kosten aus der Wiederherstellung [R] und
andererseits Ertragsverluste [L], die unmittelbar aus dem Verlust
von Vertraulichkeit, Integrität und Verfügbarkeit [CIA] entstehen.
Die erste Die Kosten für den Schutz eines Systems [B+F] müssen nach Mizzi
Ungleichung substanziell kleiner sein, als der zu erwartende Schaden [R+L]. In
keinem Fall jedoch mehr als ein Drittel:
I 3' (B + F) < R + L
Die zweite AIs Qualitätskriterium für ein gutes Sicherheitssystem sieht das
Ungleichung Modell vor, dass es den Angreifer immer mehr kosten muss das
System zu überwinden [CTB], als es kostet es zu implementieren
und zu betreiben [B+F]:
I CTB>B+F
Die dritte Ausgangspunkt jedes Angriffs ist die Motivation eines Angreifers
Ungleichung und die Frage, wie viel dieser bereit ist in Angriff (Attack) und
Einbruch (Breach) zu investieren. Mizzi geht davon aus, dass die
Motivation zum Angriff frühestens dann gegeben ist, wenn der zu
erwartende Schaden [R+L] größer ist als die Kosten des Angriffs
[erB]. Spätestens jedoch, wenn der durch den Informationsverlust
[L] entstandene Schaden größer ist als die Kosten des Angriffs
[erB]:
Mit den genannten Ungleichungen lassen sich mit vorhandenen Der Kreis
Planungszahlen recht präzise Aussagen treffen, ob man schon schließt sich
genug, oder schon zu viel für Informationssicherheit veranschlagt
hat. Die von Mizzi vorgeschlagenen Ungleichungen sind damit das
erste vorgestellte Modell, das eine Antwort auf diese bisher
unbeantwortete Frage liefern kann.
Das ROISI-Modell ist insgesamt umfangreicher, als der hier
vorgestellte Teil und betrachtet noch eine ganze Reihe anderer
Größen und Zusammenhänge, die jedoch den Rahmen sprengen
würden.
Auch wenn in Mizzis Modell nirgendwo Wahrscheinlichkeiten Wahrschein
auftauchen, so werden sie doch durch die erste Ungleichung lichkeiten
impliziert, die fordert, dass die Sicherheitskosten substanziell
kleiner sein sollen, als der zu erwartende Schaden. In keinem Fall
sollen sie jedoch mehr als ein Drittel betragen. Das heißt, dass
Mizzis Modell pauschal davon ausgeht, dass pro Investition [B+F]
nur", Schadensereignis [R+L] kommen darf.
7.9 Zusammenfassung
Mit den vorgestellten Hilfsmitteln können für den zugrundelie
genden Business Case eine ganze Reihe Kennzahlen und Eckwerte
berechnet werden, um die Investition zahlenmäßig zu erfassen. So
lässt sich die Entscheidungsvorbereitung klar strukturieren.
Das Problem an allen Methoden ist die Unsicherheit bezüglich der Das zentrale
Wahrscheinlichkeiten. Keines liefert eine wirklich zufriedenstel- Problem sind
lende Lösung. Zusammen mit den Unsicherheiten bezüglich der die Wahrschein
Kosten einer IT-Investition, den aufgezeigten Wechselwirkungen lichkeiten
zwischen Sicherheitsmaßnahmen und der Unsicherheit bezüglich
eines angenommenen Nutzens trägt die Wirtschaftlichkeitsanalyse
zu einer gegebenen Sicherheitsinvestition beinahe esoterische
Züge. Sollte man also lieber gleich die Flinte ins Korn werfen und
das Horoskop befragen? Natürlich nicht.
Das einzige, wovon man sich verabschieden muss, ist die Hilfestellung
Vorstellung, eine Wirtschaftlichkeitsanalyse könne einem die
Entscheidung abnehmen. Sie kann höchstens eine Richtung
aufzeigen und vor Investitionen bewahren, für die sich einfach
kein Nutzen berechnen lässt - mit keinem der vorgestellten
Modelle.
174 7 Wirtschaftlichkeitsbetrachtung
Am Ende die_ Buchs lllellt sich vielleicht die Frage, wo IWI Sidit
des Autors die wichtigsten I'unkte sind. Worauf sollte man
besonderen Wert legen? Ich hIbe dazu zelm TIpp!! ~
stell.... die zum N.c:hcienkm. anresm lKIllen und die ich ftlr
be.tonders widIIis hIlte. Sie alle haben eme Sache gemein: Sie
}q.bennur.am lWuiemit~entzu tun. WIll'\lIn?
Ein Problem. mit ckm SicherlteitsproBs zu klmpfen ~ ist, IbM
man de ZWJl' eintte1lt und Ilmen ArlIeitspl.\2beechreibungen
enteilt,. im Grunde .ber ~ gar nimm von ihnen wi.en.
will. Wer sich Ilao bemflich mit Risikom.magement 1lURinInder
.etzen mll&S, wird es .elten erleben,. du!! man ibm die Albeit.er
~bnJs!le .UlI den HIndert ~ Mln mUM skh lltem um du Gehar
voo MiWbeitem,. Kollegen urul FührungUriften bemühen. Dabei.
iat es kein PJies GeheiInna: je plumper man Iicb. beim Bemühen
um Indere MenKhen 1IWlellt,. je e:rfoJ.tlo-er iat IIIIIL lNbe.ornlere
S. Klipper, Information Security Risk Management, Edition <kes>,
DOI 10.1007/978-3-658-08774-6_8, © Springer Fachmedien Wiesbaden 2015
176 8 Die 10 wichtigsten Tipps
dann, wenn man ein Anliegen hat, für das man zunächst noch
werben muss. Das einem also nicht von selbst aus den Händen
gerissen wird.
Fehlerbaumanalyse, 126 K
Filterfunktion, 151 Kommunikation, 91, 140
Lebenszyklusphasen, 35
leons,9
Listen, 76
Impact, 20
M
Incident, 20
Masse statt Klasse, 24
Information Security, 17
Maßnahmen, 4, 20, 70, 103
Informationsbezogen, 30
Maßnahmenkataloge, 105
Informationssicherheit, 17
Maximax-Regel, 137
Integrität, 17
Maximierungsprinzip, 158
Integrity, 17
Maximin-Regel, 137
Interviews, 114
Measure,20
Investitionsentscheidung, 155
Mechanismenstärke, 70
ISMS, 3, 17
184 Anhang
o Risikoabschätzung, 72
ROsl,166 Terroristen, 46
Schwachstelle, 20 Unwahrscheinlich, 71
Ursachenanalyse, 124 w
Ursachenszenarien, 48 Wahrscheinlichkeiten, 74, 173
Ursache-Wirkungsanalyse, 128 Wahrscheinlichkeitsbezogen, 30
v Webseite zum Buch, 10
Verfügbarkeit, 17 Wertbezogen, 29
Verlässlichkeit, 17 Werte, 17
-
A
NI; '"Bunda.nt fOr SId",rMit in
-
derlnfor~
AINIP
Allow 11 IUlon.bly pf"iIctl-
." BIIII"_ Risk Profile
c
ALE
Annual 1.055 Expoectancy '"Committee Drall:
•
"-
OSO
CVSS ISO
Common Vulnerability InternationalOrganization
scoring System for standardization
D IEC
International Electrotechnical
DiDI
Commission
Defense-in-Depth-Index
ITIL
DIS
Information Technology
Draft International Standard
Infrastructure Library
E L
ETA LOPA
Event Tree Analysis
Layer of Protection Analysis
F
N
FCD
NASA
Final Committee Draft
National Aeronautics and
FDls space Administration
Final Draft International
NP
Standard
New Project
FN
P
Frequency, N
PDCA
HA
Plan Do Check Act
Fault Tree Analysis
PDF
G Portable Ducument Format
GNU
PHA
GNU is not UNIX
Preliminary Hazard Analysis
I Q
ICT
QR
Information and
Quick Response
Communications Technology
R
IRBC
Information and RCA
Communications Root Cause Analysis
TechnologyReadiness for
RCM
Business Continuity
Reliability Centered Mainte
IsMs nance
Information security
RCO
Management System
Real Cost of Ownership
Abkürzungsverzeichnis 189
ROISI T
Return on Information
TBO
Security Investment
Total Benefit of Ownership
ROSI
TEl
Return on Security Invest
Total Economic Impact
ment
TCO
RZ
Total Cost of Ownership
Rechenzentrum
U
5
URL
SANS
Uniform Resource Locator
System Administrator,
Networking and Security w
SIEM WO
Security Information and Working Oocument
Event Management
WLAN
SPAM Wireless Local Area Network
Spiced Pork and Meat
SRM
Security Risk Management
LHeraturverzelchnl1
121 RichIrd H. ThIler und Ca5 R. 9uDstein,. Nlitlgt - Wie mIII klllp
EJI~ ..,.l4ßt. Berlin: Econ, 2009.
[15] Institute, SANS. Top Ten Cyber Security Menaces for 2008.
[Online].2008.
http://www.sans.org/press/top10menaces08.php
[16] Institute, SANS. The Top Cyber Security Risks. [Online]. 2009.
http://www.sans.org/top-cyber-security-risks/?ref=top20
http/I/s/.org
(Webseite der Free Software Foundat/on) ... ~
I!l
_mble
TIH! fkl!n~ jor most softlNCH'e an rks/fJMd to tote QWQ)' your ~ to wre and change ft.
8y contnut the GNU GeMrQ/ Publk Llcen. Is Inmxled to gUQI'Qntft your /rftdom to slKJre
and dKlnge /ret! software - to IfIQke sure t~ software is freI! fix all lt5 ~ This Geneml
Publk l..ianse applies to most af the Free Software Foundation's software OM to Qny ather
program whOSl!' outhors cammit tu using it. {Somf! otIH!r F~ Software Founckltlon software is
c~ by tM GNU Ubrary GeMral Public Uc:en~ inmad.} Yau can apply it to your programs.
'00.
WlM!n WI! s~k 0/ free m!tware, we OTe ~ning to /reedom, not price. Dur General Pub/lc
Uun~s are desJgMd to make sure that you have ~ freedom to dJstrfbl/k copIes 0/ freI!
software (ond dKlrge for Mis servke If you wfshJ, that you m:elve source cock or con get It f/
you want It, that you can change: ~ software 01' use ple~ 0/ It In MW free progromsi and
that you know rau can da these things.
To protect raur fights, IM!' nred to moke restrktJons that /orbid anyant! to ckny you tMsr
right1f or to ask you to surretukr the rlghts. These mstrictions trommte to certain responsibill
t~ for you 1/ you distrIbuM copi~ 01 the software, or 1/ you modify It.
For example, /f you distribute ~ o/.such Q program, whether gratis or for Q fre. )/Oll must
glve ~ reclplents oll the fights that you #tQve. rou mUft make sure that they, too, recelve or
con get the source code. And you mUft show them these tenns so they Imow thdr rlghts.
We protm your rights with two mps: (1) copyright the mftware, end (2) o~, you this lic:rnse
whieh giws you kgol permission tu copy, dJWibutf! end/ar modlfy the mftware.
Also, for ~ Quthor's protmion end OUf3, we want to make certain that ew~ under
stands that there is no warranty for this frtM software. If the software is mod~d by so~one
el.Je anti passed on, we want its recipienu to know thot what they haw! l.s not the origina~ so
that any problems Introduced by Othe13 will not refl«t on the original outltors' reputotlon.s.
Rnally, any /1ft program I.s threatened constantly by software pofenu. We wlsh to ovoid the
danger tItot redlstrlbutors 01 0 free program will Intilllldually obtoln potent Ilcenses, In elfect
making the program proprietary. To prewnt this, WI' hOW! mode It dear tItot any potent murt
-
bf! lic:rrued for ewryaM'.s ~ use ar not lic:rrued ot oll.
The ~ terrru and conditkJm for copying, distribution anti modifiaJtion foIlow.
GNU 5eneraI PubIlc Ucas. T.nns and CondItlotrs fw ~ DIstrIbutIorJ, and ModIJka-
o.
Thl.s lJarue appl~.s to ony program or other work whkh conto/ru a not/~ pIoced by the
copyright hokkr soying it moy bf! di.stributfti under the terms 01 this GefIf!rQl Public lJanse.
Tht! "PrDflram", bf!low, ~ to any such program or wort, ond 0 "worlc based an the
PrDflram" means either the Program or ony derivative wort umhr copyright Iow: that is to say;.
o work contoinlng the Progrom or 0 portion ollt, elther verlxJtim or with modi[lCotioru aml/or
translated into onother Ionguoge. (Hereino/ter, translation is induded without limitation in the
term "modl/kotlon".) Each lan.see Is oddre.ssed os "you". Actfvltles other than copyfng,
distribution ond modf/lcatlon are not ~red by thls lJanse; they are outside lt.J .s~. Tht!
oct of runnlng the Progrom Is not restrkted, anti the output from the Program Is covered only
if iu contenu coomtute 0 wotk based on the PrDflram (Independent of hovlng bel!n mode by
,.
running the Program). Whetlw" thot is true rhpends on whot the Program does.
You may copy anti distribute verbotim copies olthe Progrom's source code as you receive it, in
ony medium, provkkd that )IOU corupicuou.sly ond appropriDtely publl.sh Oll each copy an
approprlate copyright notlce and dlsdalmer 01 warranty; keep Intact all the notJces that re/er
to this ~ and to the absence 01 any warranty; and gNe any other redplenu 01 the
PrDflram 0 copy 01 this Lk:I!nse olong with the Program. Yau moy charge 0 /ee /er the physical
oct 01 trans/l!rring 0 copy, anti you moy ot your option of{er warranty protection in exchange
foro/ee.
2.
Yau may modify your copy or ~ 01 the PrDflram or ony portion ollt, thw formlng 0 wort
bo.sed on the Program, anti copy anti distribute .such modlficotlons or wort under the tmrfS 01
Sectlon 1 above, provlded that you also IfIf!et all 01 these condltlons:
1. Yau must couse the mod~ /lies ta corry promlMnt no~ statlng that you chongecl
the flies anti the datI! olany change.
2. Yau murt couse any wort thot you distributI! or publish, that in whole or In port
cootains or is rhrived from the PrDflram or any port thereot to bf! liansed os 0 whole ot no
charge to all th/rd portles under the tmru 01 thls LJcense.
3. I1 the mod~d PrDflmm normally rmds commands Interactivf!1y ~n run, you murt
cause It, when startecl runnlng for such InteractJve use In the most ordlnory woy, to prlnt or
display an announcement Indudlng an approprlate copyright notler and a notlce thot there Is
no warranty (or else, saying that you provide a warranty) and that use13 may redistribute the
prDfIrom untier these conditioos, ond telling the IISI!r how to vi~ 0 copy 01 this Lk:I!nse.
(Exception: i/ the Progrom i~f/ is intef'OCtive but does not normolly print such an annoullCl!
fflf!nt, your wort bo.secl on the Progrom Is not requ/red to prlnt an announc/!1fIf!nt.)
GNUGPL 197
may not dJstr;~ tM Progrum ot afl. Fa, example, if Q pat~t lanse would not permit
royalty-free rrldistribution of the Program by oll those who reaive copies directly or Indirectly
through )'00, then tM only WO)' you r:oufd satisfy both It and this Licetue woufd be to refrain
entlrely from distribution 0/ the Program. If any portion 0/ thls S«tIon Is ~ Invalid or
unenforceabk unthr any portku1ar clrcumstanu, the bGlance 0/ the S«tfon fs Intended to
apply ond the S«tlon os a whok Is Intemkd to apply In ether clrcumstances. It fs not the
purpose of this sKtlon to induce you to InfrJnge any ~nts or ~r ~ right dalms or
to contest valldity 0/ any weh claims; this section hos the sok purpose of protmlng tht!
in~rity 0/ the free software distribution system, which Is Im~nmd by pub/k tanse
practJus. Many peopIe have made Qf!1ner0u5 contributions to the wide runge o[ software
distrlbuted through tOOt system in mliDnce on cotuJstent opplication 0/ tOOt system; It is up to
the author/donor to deckk If he or w fs wlllfng to dlstrlbute softwcJre through any otfteor
.system end a Ilcensee connot Im~ that chola. Thl$ J«tIon 15 Intended to make thoroughly
clrar what ;5 beliewd to be 0 corurqumce 0/ tht! rest 0/ this Uc:ense.
8.
I! the distribution and/ar USf! 0/ the Program is rrlstrictrd in crrtain countries I!ither by patl!nts
ot' by copyrightl!d intl!tfr1cI!s, the original copyright holder who pIat:e.s the Program undl!r this
Ucl!nse may add an I!xplidt geographical distribution limitation eJCduding thme countrie.f, so
that distribution ls permftted only In or among c:ountrJes not thus excIuded. In such ca~, thls
LJarue Incorporates the limitation as If wrlttl!n In ~ body 0/ thls Lfcen~.
9.
ThI! FreI! Software Foundation may publish reviSfti and/or IJN' versions a/ the General Public
Lic:I!rue from time to time. Such new wrsions will ~ slmlfar in spirit to the present version, but
may difler in detail to addt'e3S new problems or r:onc:ems. Ead! version is giIMn a dl.Jtingul.shlng
version number. If the Program s~ aversion number 0/ this Ucense which applies to it
anti "any fater version", you ha'II! the option 0/ following the temu anti conditions either of
that version or of any later version publlslted by the FreI! Software Foundatfon. 1/ the Pf'Of/ram
does not specJfy aversion number 0/ thls Lfcense, you may chaose any wrslon ~ publlsMd
by the FI'I!I! Software Foundation.
JO.
If you wlsh to incorporate parts 0/ thI! Program into other /rel! programf whosl! distribution
conditions are dJf/l!rent, write to tlte author to ask for permission. For mftware whJch is
copyrlghted by the Frei! Software Foundation, wrlte to tlte Free Software Foundatlon; we
sometlmes maki! exceptIons for th/s. Our declslon will be guJded by tlte two fIOCIls 0/ preservlng
~ free .status 0/ all derivatives 0/ our free software anti 0/ promotlng the sharlng anti relJSe 0/
software (lenerally.
ll.
BECAUSE THE PROGRAM 15 UCENSED FREE OF OiARGE, THERE IS NO WARRANTY FOR THE
PROGRAM, TO THE EXTfNT PERMITTED BY APPl.ICABLE LAW. EXCEPT WHEN OTHERWISE
STATED IN WRmNG THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE
PROGRAM "AS 15" WfTHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPUED,
INQUDING, BUT NOT UMITED TO, THE IMPUED WARRANT1ES OF MERCHANTABIUTY AND
FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND
PERFORMANCE OF THE PROGRAM fS WfTH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE,
YOU ASSUME THE COST OF ALL NECESSARY SERVIONG, REPAIR OR CORREcnON.
l2.
IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRmNG WILL ANY
COPYRIGHT HOlDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE
PROGRAM AS PERMITTED ABOVE, BE UABLE TO YOU FOR 114MAGES, INQUDING ANY
GENERAL.. SPECIAl.. INaDENTAL OR CONSEQUENTIAL 114MAGES ARISING OUT OF THE USE OR
INABlLITY TO USE THE PROGRAM (INCLUDiNG BUT NOT UMITED TO LOSS OF DATA OR DATA
BEING RENDERED INACCURATE OR LaSSES SUSTAfNED BY YOU OR THIRD PART/ES OR A
FAILURE OF THE PROGRAM TO OPERATE WfTH ANY OTHER PROGRAMSj, EVEN IF SUCH
HOlDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBIUTY OF SUCH DAMAGE5.