ISO 27001 – Risiko-Management

Das Kapitel 6 der ISO-Norm 27001 setzt sich mit der Planung auseinander. Der Schwerpunkt ist dabei der Umgang mit Risiken und Chancen. Die Norm verlangt, dass die im Kapitel 4.1 (Kontext) und 4.2 (Verstehen der Erfordernisse und Erwartungen interessierter Parteien) erkannten Anforderungen berücksichtigt werden. Daher ist es essentiell wichtig, die beiden Kapitel sauber durchzuarbeiten und möglichst genau das Unternehmen zu verstehen, inkl. aller Schnittstellen. Weiter gilt es die Chancen und Risiken zu bestimmen, damit die Ergebnisse des ISMS auch die gesetzten Ergebnisse erreichen, negative Auswirkungen reduziert oder noch besser verhindert und das ISMS fortlaufend verbessert wird. Das Risiko-Management ist also keine einmalige Aufgabe. Die Anforderungen an ein Unternehmen können sich jederzeit verändern. Neue Gesetze, neue Dienstleistungen, ein neuer Mitbewerber, ein (Sicherheits-) Vorfall usw. können jederzeit eintreten und neue Risiken schaffen oder eliminieren. Jede Massnahme, die getroffen wird, sollte auf seine Wirksamkeit bewertet werden. Im Kapitel 9 werde ich dazu weitere Hinweise geben. 

© Storyblocks, Registriert auf Andreas Wisler

Es gilt also nun, einen Risikobeurteilungsprozess zu etablieren. In der Norm wird zwar immer von einer Informationssicherheitsrisikobeurteilung gesprochen, ich versuche aber immer dieses Thema in das gesamte Firmen-Risikomanagement zu integrieren. Die Informationssicherheit sollte keine Insellösung sein. Die Norm verlangt, dass Kriterien zur Akzeptanz von Risiken definiert werden: wann sind Risiken akzeptiert, d.h. es wird nichts (mehr) unternommen und wann müssen zwingend Massnahmen ergriffen werden.

Für die Durchführung einer Risikoanalyse sollten die Kriterien definiert werden, also: Wer, Wie, Wann, Art der Dokumentation, etc. Es ist wichtig, dass bei einer erneuten Durchführung konsistente und vergleichbare Ergebnisse erzielt werden.

Wie ist nun das Vorgehen, um eine gute Aussage erhalten zu können? In einem ersten Schritt werden die vorhandenen Prozesse identifiziert. Was wird in diesen gemacht? Welche Daten werden verarbeitet? Welche Kritikalität haben diese Prozesse? Welche Personen sind involviert? Welche (technischen) Systeme werden genutzt? Somit haben wir bereits Prozesse und Werte. Im englischen wird das Wort Asset verwendet, was etwas genauer sagt, um was es geht. Es sind dabei nicht nur Server, Laptops, etc. gemeint, sondern auch Papier-Unterlagen, Wissen, Patente, etc. Im Kapitel A.8 gehe ich genauer auf das Werte-Management ein. Die identifizierten Werte werden einem Besitzer (Owner, Verantwortlicher) zugewiesen und die Vertraulichkeits-, Integritäts- und Verfügbarkeitsanforderungen bestimmt.

Verfügbarkeit (Availability)

Die Verfügbarkeit eines Systems wird umschrieben mit der Eigenschaft, sämtliche Daten und Funktionen zu einem bestimmten Zeitpunkt zur Verfügung stellen zu können.

Integrität (Integrity, Unversehrtheit)

Lässt ein System unbefugte oder unbeabsichtigte Veränderungen an Daten oder an der Software zu, so ist deren Integrität verletzt. Es kann somit nicht mehr garantiert werden, dass alle sicherheitsrelevanten Objekte vollständig, unverfälscht und korrekt sind.

Vertraulichkeit (Confidentiality)

Darunter wird verstanden, dass nur bestimmte Personen oder Prozesse auf Daten oder Systeme zugreifen können oder dürfen. Soll die Vertraulichkeit gewahrt werden, müssen die Daten so gesichert sein, dass ein Zugriff nur denjenigen Nutzern möglich ist, welche durch Zugriffsrechte die Erlaubnis erhalten.

Nun gilt es mögliche Bedrohungen zu identifizieren. Normalerweise tritt ein Risiko dann ein, wenn eine Bedrohung und eine Schwachstelle aufeinandertreffen. Eine Bedrohung alleine muss noch kein Risiko bedeuten. Erst wenn eine Schwachstelle vorhanden ist, ergibt sich ein Risiko. Wenn zum Beispiel eine Schwachstelle in einer Software vorhanden ist, ist dies zwar ärgerlich, aber noch kein Grund in Panik zu verfallen. Sobald aber ein Programm oder schon nur eine Anleitung (so genanntes Proof of Concept) zur Ausnutzung der Schwachstelle vorhanden ist, existiert eine reale Bedrohung

Das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI hat ein tolles Werkzeug für alle möglichen Bedrohungen erarbeitet. Die ehemaligen Grundschutzkataloge listen in sechs Kategorien über 700 Gefährdungen auf. Das BSI arbeitet ohne Schwachstellen und weist die Bedrohungen direkt den Werten zu. BSI nennt diese Werte Bausteine. Wenn Sie unsicher sind, welche Bedrohungen für einen Wert existieren, gehen Sie zum entsprechenden Baustein und im ersten Teil werden alle passenden Bedrohungen aufgelistet. So kann der eigene Aufwand massiv reduziert werden.

Hinweis: Die Grundschutzkataloge wurden durch das Grundschutzkompendium abgelöst, Nach und nach werden alle Punkte übernommen.

Nun gilt es das Risiko zu bewerten, in unserem abgekürzten Verfahren, wie wahrscheinlich eine Bedrohung wirklich eintritt. Dazu hat sich etabliert, die Eintrittswahrscheinlichkeit und die Auswirkungen einzeln zu bestimmen. Je nach Literatur und Quelle werden dazu drei, vier, fünf oder gar mehr Stufen verwendet. Wie viele Sie selber verwenden, spielt keine Rolle. Sie müssen aber genau definieren, was die Stufen für Sie bedeuten. Die Norm fordert ja, dass vergleichbare Resultate bei regelmässigen Risiko-Analysen entstehen. Eine Möglichkeit ist das folgende vierstufige Modell:

Auswirkung Beschreibung
vernachlässigbar Die Schadensauswirkungen sind gering und können vernachlässigt werden.
  • Der finanzielle Schaden ist irrelevant 
  • Der Imageverlust ist gering (gelegentliche Beschwerden)
  • Preisgabe wenig sensibler Daten
  • Geringe interne Unkosten, ausserhalb nicht bemerkbar
begrenztDie Schadensauswirkungen sind begrenzt und überschaubar.
  • Der finanzielle Schaden ist tragbar 
  • Der Imageverlust ist bemerkbar (gelegentliche Kritik in den Medien)
  • Kurzzeitige negative Auswirkungen sind möglich
  • Kosten spürbar, von aussen sichtbar
beträchtlichDie Schadensauswirkungen können beträchtlich sein.
  • Der finanzielle Schaden ist spürbar 
  • Der Imageverlust ist gross (schwere Kritik in den Medien)
  • Ernsthafte negative Auswirkungen möglich
  • Erhebliche Kosten sind zur Behebung notwendig
existenzbedrohendDie Schadensauswirkungen können ein existenziell bedrohliches, katastrophales Ausmass erreichen.
  • Der finanzielle Schaden bedroht die Existenz 
  • Es ist mit bleibendem Schaden zu rechnen
  • Verlust von Leben / Schwere Rufschädigung
  • Erhebliche Störung des Betriebs, es besteht die Gefahr des Überlebens 
Wahrscheinlichkeit Beschreibung
selten Ereignis tritt weniger als alle fünf Jahre einmal ein.
mittelEreignis tritt einmal alle fünf Jahre bis einmal im Jahr ein.
häufigEreignis tritt einmal im Jahr bis einmal pro Monat ein.
sehr häufigEreignis tritt mehrmals im Monat ein.

Bemerkung: ich bin ein klarer Gegner von einer 3x3-Matrix. Nach meiner Erfahrung werden viele Risiken dann einfach in der Mitte platziert. Bei einer geraden Anzahl Felder gibt es keine Mitte, es muss ein klarer Entscheid gefällt werden.

Nachfolgendes Bild zeigt die anschliessende Risikobewertung:

Kategorie Beschreibung
gering (Grün) Die bereits umgesetzten oder zumindest im Sicherheitskonzept vorgesehenen Sicherheitsmassnahmen bieten einen ausreichenden Schutz. Das Risiko wird akzeptiert, jedoch die Gefährdung beobachtet.
mittel (Orange)Die bereits umgesetzten oder zumindest im Sicherheitskonzept vorgesehenen Sicherheitsmassnahmen reichen möglicherweise nicht aus. Die Geschäftsleitung entscheidet zusammen mit dem Risiko-Eigentümer über notwendige Massnahmen.
hoch (Hell-Rot)Die bereits umgesetzten oder zumindest im Sicherheitskonzept vorgesehenen Sicherheitsmassnahmen bieten keinen ausreichenden Schutz vor der jeweiligen Gefährdung. Massnahmen sind zwingend umzusetzen.
sehr hoch (Rot)Die bereits umgesetzten oder zumindest im Sicherheitskonzept vorgesehenen Sicherheitsmassnahmen bieten keinen ausreichenden Schutz vor der jeweiligen Gefährdung. Massnahmen sind zwingend umzusetzen.

Jedem identifizierten Risiko muss zwingend ein Risiko-Eigentümer zugewiesen werden. Dies kann die gleiche Person/Rolle sein, wie der dazugehörige Wert, muss es aber nicht. Die definierte Person/Rolle muss nun das Risiko bearbeiten oder bewusst akzeptieren. Je nach Ergebnis gilt es die Massnahmen zur Behandlung der Risiken zu priorisieren.

Hinweis: Immer wieder gibt die Risiko-Bewertung Stoff für Diskussionen. In meinen Bewertungen gehe ich immer vom Netto-Risiko aus, d.h. mit bereits getroffenen Massnahmen. Jedes Unternehmen hat bereits Schritte zur Reduktion des Risikos getroffen, z.B. eine Firewall zum Schutz vor Hackern. Es macht für mich wenig Sinn, das Risiko anzuschauen, wie wenn keine Firewall da ist (Brutto-Risiko). Jedoch bietet eine Firewall keinen 100%-igen Schutz, es besteht immer ein Restrisiko. Dieses muss sauber erfasst und bewertet werden.

ISO 27001 verlangt, dass der Risiko-Prozess als dokumentierte Information vorliegt. Ich habe gute Erfahrungen gemacht, wenn die erkannten Risiken in einem Ticketing-Tool geführt werden. So sind diese immer sichtbar und jeder Behandlungsschritt kann nachvollziehbar dokumentiert werden. Zudem können auf eine einfache Art und Weise Reminder zur Neubewertung hinterlegt werden.

Im Kapitel 6.1.3 wird dann die Behandlung der Risiken verlangt. In einem ersten Schritt sind die möglichen Optionen zu bestimmen (6.1.3.a). Klassisch sind dies:

Risiken können vermieden, vermindert, überwälzt oder akzeptiert werden.

Nun werden alle Massnahmen zur Bewältigung des Risikos ergriffen (6.1.3.b). Hier können wiederum die Grundschutzkataloge eine wertvolle Quelle sein, über 1600 Massnahmen in den sechs Kategorien Infrastruktur, Organisation, Personal, Hard- und Software, Kommunikation und Notfallvorsorge sind darin enthalten. Da findet sich sicherlich eine passende Massnahme. Ich empfehle wiederum über die Bausteine zu gehen. Dort wird kurz erklärt, was dies für ein Baustein ist, welche Gefährdungen existieren und welche Massnahmen ergriffen werden können.

Das dritte Punkt (6.1.3.c) gibt an Zertifizierungsaudits immer wieder Anlass zu Diskussionen. Jede akkreditierte Zertifizierungsstelle sieht dies etwas anderes. Die Anmerkung 1 verlangt, dass der Anhang, d.h. die 114 Controls angeschaut werden, damit keine Massnahme vergessen wird. Meine Interpretation dieses Punktes ist, dass das Risiko angeschaut und jede Massnahme aus dem Anhang aufgelistet wird, welche das Risiko reduziert oder gar eliminiert. Einige Auditoren, die ich kennengelernt habe, legen dies umgekehrt aus. Aus jedem Control können Risiken entstehen, wenn das Control nicht oder nur teilweise umgesetzt wird. Daher wird jedem Control mindestens ein Risiko zugewiesen. Für mich führen beide Wege zum erwünschten Ziel.

Eine grosse Herausforderung ist die Anforderung aus 6.1.3.d. Hier wird eine Erklärung zur Anwendbarkeit (Statement of applicability, SOA) verlangt. In dieser müssen alle 114 Controls der Norm adressiert werden. Und zwar muss angegeben werden, warum eine Massnahme angewendet bzw. warum eine Massnahme nicht angewendet wurde.

Die nächste Anforderung (6.1.3.e) verlangt einen Plan zur Informationssicherheitsrisikobehandlung. Die erkannten Risiken müssen darin behandelt werden. Sinnvollerweise wird angegeben, was durch wen bis wann umgesetzt wird. Ich empfehle auch anzugeben, wie das Risiko sich verändert, wenn die Massnahme komplett, teilweise oder nicht umgesetzt wird.

Der letzte Punkt in diesem Kapitel (6.1.3.f) verlangt von allen Risikoeigentümern eine Genehmigung des aus vorherigem Punkt erstellten Plans. Es genügt also nicht mehr, pauschal durch die Geschäftsleitung das Risiko und den Risikoplan zu akzeptieren, sondern alle involvierten Personen müssen ihre Zusage dazu geben.

Das zweite Kapitel (6.2) verlangt von einem Unternehmen Informationssicherheitsziele zu definieren und diese regelmässig zu aktualisieren, falls erforderlich. Dabei gilt es zuerst abzuklären, was das Unternehmen im Bereich der Informationssicherheit erreichen will. Wichtig ist dabei auch zu definieren, wie diese gemessen werden. Nur was ich messen kann, kann ich auch bewerten und allfällige Abweichungen feststellen und entsprechend reagieren.

Mögliche Ziele sind:

  • Die klassischen CIA-Anforderungen (Vertraulichkeit, Integrität, Verfügbarkeit)
  • Vollständiges Asset-Management inkl. Verantwortlichkeiten
  • Schutz durch angepasste Technik, Informationen, Arbeitsprozesse und Wissen
  • Schutz der Mitarbeitenden
  • Klare Zuordnung und Umsetzung von Verantwortlichkeiten und Kompetenzen
  • Aktuelle Dokumentationen
  • Aktuelle Risiko-Beurteilung
  • Regelmässige Audits durch interne und externe Stellen
  • Reduktion von Incidents, z.B. ausgelöst durch Benutzer (Stichwort Awareness)
  • Reduktion von Schäden durch potentielle Vorfälle
  • Regelmässige Geschäftsleitungsreports
  • Einhaltung von vertraglichen und gesetzlichen Anforderungen
  • Angepasste physische Sicherheit
  • Erhöhung des Images im Markt


Die Norm verlangt anschliessend einen Plan, wie diese Ziele erreicht werden können, was dazu notwendig ist, wer verantwortlich ist, wann es abgeschlossen ist und wie die Ergebnisse bewertet werden.

Mit einer umfassenden Risiko-Analyse ist ein wichtiger, wenn ich der wichtigste Anforderungspunkt der ISO-Norm erfüllt. Alle weiteren Massnahmen uns Schritte basieren auf dieser Bewertung.

ISO 27001 – Ressourcen
DSGVO – Folgen für die Informationssicherheit

Ähnliche Beiträge

 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Gäste
Dienstag, 27. Oktober 2020

Sicherheitscode (Captcha)

By accepting you will be accessing a service provided by a third-party external to https://27001.systems/