Wie funktioniert Risikomanagement nach ISO 27001?

Was ist ein Informationssicherheitsrisiko?

Bevor wir überhaupt mit der Diskussion über Risikobewertung und -behandlung beginnen können, müssen wir zunächst das Risiko anhand der Norm ISO/IEC 27000 definieren. Risiko kann definiert werden als der Einfluss von Unsicherheit auf Ziele. Es ist zu beachten, dass Risiko häufig in Form von möglichen Ereignissen und Folgen oder einer beliebigen Kombination dieser drei Elemente definiert wird. Das Eintreten von Ereignissen, deren Auswirkungen (oder Folgen) gut oder schlecht sein können, ist die Quelle der Unsicherheit. Die direkten Kosten und andere unmittelbare Auswirkungen wurden im vorigen Absatz behandelt, während die kurz-, mittel- und langfristigen Auswirkungen im Folgenden behandelt werden. Bei der Risikobewertung ist es besser, sich auf die Auswirkungen der Risiken zu konzentrieren als auf ihre Folgen. Da wir nur die wahrgenommene Gefahr und nicht das tatsächliche Risiko ermitteln können, müssen wir unbedingt darauf hinweisen, dass alle Bewertungen naturgemäß subjektiv sind. Die Methoden der Risikoermittlung, -analyse und -bewertung sollten nicht danach streben, eine objektive Realität abzubilden, sondern möglichst umfassende und sachdienliche Daten liefern, die dann an andere Parteien weitergegeben werden können.

Gefährdungen der Informationssicherheit

Es gibt sowohl gute als auch schlechte Gefahren. Zu den negativen Auswirkungen von Risiken gehören: Rufschädigung aufgrund negativer und öffentlichkeitswirksamer Ereignisse; Verlust von Marktanteilen aufgrund von Maßnahmen der Wettbewerber, wie z.B. niedrigere Preise, Innovationen und Spionage; Verlust der Wettbewerbsfähigkeit aufgrund steigender Rohstoffkosten; Verlangsamung der Produktion aufgrund der Schließung eines Zulieferers; verringerter Cashflow aufgrund von Problemen beim Forderungseinzug; Kosten aufgrund der Einhaltung neuer gesetzlicher Vorschriften; wirtschaftliche Verluste aufgrund von Streiks, Freisprüchen und anderen Arbeitsunterbrechungen; und wirtschaftliche Verluste aufgrund von Die Ergebnisse des Eingehens von Risiken können sich als vorteilhaft erweisen. Als Chancen bezeichnen wir die Ereignisse, die ihnen den Weg ebnen.

Chancen des ISMS

Als Beispiele für mögliche positive Folgen und Chancen seien genannt: eine Verbesserung der Marke infolge einer rechtzeitigen Anpassung an neue gesetzliche Vorschriften; ein Anstieg der Kundenzahl als direkte Folge einer hohen Innovationskraft; eine Verbesserung des Rufs und der Produktivität als direkte Folge einer guten Mitarbeiterführung. Es gibt mehrere Gefahren, die entweder positive oder negative Folgen haben können. So kann sich die Gewinnung eines neuen Kunden positiv auswirken, insbesondere auf den Umsatz, aber auch negativ, wenn er sich als schlechter Zahler erweist (die italienische öffentliche Verwaltung ist für ihren Zahlungsverzug berüchtigt, und viele Unternehmen sind daran gescheitert); eine Innovation, die Eröffnung eines neuen Geschäfts oder die Einrichtung einer neuen Produktionslinie kann sich positiv auswirken, wenn sie von den Kunden gut angenommen wird, sie kann aber auch negative Auswirkungen haben, wenn sie nicht genügend Einnahmen bringt, um die Kosten zu decken. Die einzigen negativen Auswirkungen, die mit dem Informationssicherheitsrisiko verbunden sind, werden in diesem und im folgenden Kapitel behandelt.

Risikoniveau

Der Grad des Risikos, der ein Maß für die Größe der Gefahr ist, muss bestimmt werden, bevor wir verstehen können, wie wir darauf reagieren sollten. Im Folgenden wird die Definition der ISO/IEC 27000 wiedergegeben. Der Risikograd ist das Ausmaß eines Risikos, das durch die Kombination der möglichen Folgen und der Wahrscheinlichkeit des Eintretens dieser Folgen ausgedrückt wird. Intuitiv ist das wahrgenommene Risiko größer, wenn die Auswirkungen eines möglichen Ereignisses schwerwiegender sind, und es ist auch höher, wenn das Eintreten eines schlechten Ereignisses wahrscheinlicher ist. Statt des Begriffs „Wahrscheinlichkeit“ wird in ISO/IEC 27001 der Begriff „wahrscheinlich“ verwendet. Damit soll vermieden werden, dass die Norm als Aufforderung zur Quantifizierung des Risikos missverstanden werden könnte (Abschnitt 7.1). Andererseits wird der Begriff „wahrscheinlich“ in dieser Arbeit sehr häufig verwendet, weil er möglicherweise instinktiver ist. Nehmen wir zur Veranschaulichung den Akt des Einpackens von Gepäckstücken in ein Flugzeug: Das Risiko eines Diebstahls ist erhöht, wenn das Gepäck teure Gegenstände enthält oder wenn die Fluggesellschaft oder der Flughafen für eine hohe Zahl von Diebstählen bekannt ist. Dieser Zusammenhang lässt sich in Form einer mathematischen Formel ausdrücken, die besagt, dass das Risiko, bezeichnet mit r, proportional zu den Folgen des Ereignisses sowie seiner Eintrittswahrscheinlichkeit, bezeichnet mit p, ist. I (der Begriff „Auswirkung“, und daher wurde historisch der Buchstabe I verwendet):

r ∝ p⋅ i.

Wenn Sie Ihr Gepäck am Flughafen aufgeben, sind die Gefahren, denen Sie sich aussetzen, nicht auf diejenigen beschränkt, die mit einem Diebstahl verbunden sind, sondern umfassen auch andere Gefahren, wie den Verlust oder eine Verzögerung bei der Abholung; in diesem Fall sind die Wahrscheinlichkeit und die Folgen anders. Das Risiko hängt also vom Eintreten der mit t bezeichneten Gefahr oder des Ereignisses ab, und die obige Formel sollte wie folgt geändert werden: r(t) p(t) I (t).

Zwischen dem Wert des Gepäcks und dem Ausmaß der Gefahr besteht eine umgekehrte Beziehung: Das Risiko steigt mit dem Wert der bedrohten Güter. Diese Dinge werden als Assets bezeichnet und mit dem Buchstaben a. gekennzeichnet (siehe Abschnitt 6.1 für die offizielle Definition). Die Wahrscheinlichkeit, dass die Taschen entwendet werden, wie sie durch die Diebstahlwahrscheinlichkeitsfunktion p(t) gemessen wird, ist genau proportional zu den Ergebnissen, wie sie durch die Wirkungsfunktion i. (t,a) gemessen werden.

Wenn Ihr Gepäckstück kein Schloss hat, ist es anfälliger für Diebstahl und Sie haben ein größeres Risiko, es zu verlieren. Das Risiko hängt also nicht nur von der Anfälligkeit, sondern auch von der Intensität der Anfälligkeit ab (v). Je größer die Bedeutung der Schwachstellen, desto größer ist das damit verbundene Risiko. Danach kann die Formel wie folgt umgeschrieben werden:

r(t, a, v) ∝ p(t) ⋅ i(t, a) ⋅ s (v).

Die Wahrscheinlichkeit eines Diebstahls ist geringer, wenn Sie Vorkehrungen (oder Kontrollen) treffen, um Ihr Eigentum zu schützen, z. B. indem Sie Ihr Gepäck mit einem Vorhängeschloss abschließen oder eine Diebstahlversicherung abschließen. Da die Wirksamkeit von Sicherheitskontrollen, bezeichnet mit dem Symbol r(c), gleich dem Kehrwert der Schwachstellen ist (die Tatsache, dass Ihre Tasche ein Schloss hat, macht sie weniger anfällig für Diebstahl), können wir die folgende Formel ableiten:

r(t, a, c) ∝ [p(t) ⋅ i(t, a)] / r (c).

Controls und Sicherheitsmaßnahmen

Kontrollen haben die Möglichkeit, entweder die Wahrscheinlichkeit, dass eine Bedrohung erfolgreich ist (z. B. durch ein Vorhängeschloss), oder die Auswirkungen, die sie haben kann (wenn Sie eine Versicherungspolice haben), zu verändern. Daher werden sowohl die Wahrscheinlichkeiten als auch die Folgen durch c bestimmt, und die Formel für 4.1.3 kann wie folgt umformuliert werden: r(t, a, c) = p(t, c), was zu i. (t, a, c) führt.

Die Unfähigkeit, Kontrolle auszuüben, ist eine Quelle der Verwundbarkeit. Es ist möglich, Schwachstellen durch Kontrollen zu ersetzen, um zu folgender Formel zu gelangen:

r(t, a, v) ∝ p(t, v) ⋅ I (t, a, v)

Ausgehend von den bisherigen Ausführungen können die folgenden Komponenten der Risikobewertung aufgezählt werden: die Situation, der Vermögenswert und sein Wert, der die Auswirkungen bestimmt, die Gefahr und die Möglichkeit oder Wahrscheinlichkeit ihres Eintretens, die Schwachstelle und ihr Schweregrad oder die Sicherheitskontrolle und ihre Stärke, je nachdem, welche betrachtet wird. Gepäckstücke können gestohlen, verlegt, beschädigt oder verspätet zugestellt werden. Wenn viele Gepäckstücke betroffen sind, können die potenziellen Auswirkungen dieser Bedrohungen sehr unterschiedlich sein, je nachdem, um welchen Koffer es sich handelt. Das mit dem Reisegepäck verbundene Risiko setzt sich daher aus einer Reihe von Einzelgefahren zusammen, da es eine Vielzahl von Gefahren gibt, die sich unterschiedlich auf das Vermögen auswirken können.

Risikolandkarte

Aus diesem Grund spricht man auch von einer „Risikolandkarte“. Nachdem wir das Ausmaß des Risikos bestimmt haben, müssen wir entscheiden, ob wir es abschwächen oder behandeln wollen oder nicht. Um noch einmal das Szenario des Diebstahls zu veranschaulichen, können folgende Entscheidungen getroffen werden: kein Gepäck mitnehmen, um einen Diebstahl zu verhindern; nur einen Teil des Gepäcks an Bord nehmen, um die möglichen Folgen eines Diebstahls zu verringern; das Risiko eines Gepäcksdiebstahls am Flughafen vermeiden, indem man den Zug nimmt; ohne Gepäck reisen, um das Risiko auszuschalten (obwohl dies sehr schwierig ist); eine Reiseversicherung abschließen, um das Risiko mit einer Versicherungsgesellschaft zu teilen; das Risiko in Kauf nehmen, um das Gepäck an Bord zu nehmen. Manche nehmen immer ihr gesamtes Gepäck mit an Bord, während andere sich bemühen, so viele Handgepäckstücke wie möglich mit in die Kabine zu nehmen. Ob jemand die Gefahr in Kauf nimmt oder nicht, hängt von dem Grad der Akzeptanz ab, den er für sich selbst ansetzt. Jede Option beseitigt das Risiko nicht, aber sie kann die Tür zu neuen Gefahren öffnen. So kann zum Beispiel auch das Handgepäck entwendet werden, und es kann zu Diebstählen in Zügen kommen. Außerdem könnte die Versicherungsgesellschaft versagen und den geschuldeten Betrag nicht zahlen.

Risikobewertung

Was genau beinhaltet die Risikobewertung? Zunächst die formale Definition aus der Norm ISO/IEC 27000. Der gesamte Prozess der Identifizierung von Risiken, der Analyse dieser Risiken und der Bewertung dieser Risiken wird als Risikobewertung bezeichnet. Laienhaft ausgedrückt, bezieht sich die Risikobewertung auf eine Reihe von Vorgängen, die dazu dienen, Risiken (auch bekannt als Vermögenswerte, Bedrohungen und Schwachstellen) zu identifizieren, das Ausmaß des Risikos zu bewerten und zu entscheiden, welche Risiken, wenn überhaupt, akzeptabel sind. Die Definition ist nicht nur auf die Bewertung von Informationssicherheitsrisiken beschränkt; sie ist vielmehr umfassend und kann auch bei der Analyse von strategischen Risiken, finanziellen Risiken, Risiken im Bereich der Arbeitssicherheit, Projektrisiken, Risiken im Bereich des Datenschutzes und einer Vielzahl anderer Arten von Risiken verwendet werden. In unserer Situation ist es korrekter, den Ausdruck Bewertung des Informationssicherheitsrisikos zu verwenden, aber der Einfachheit halber und wenn keine Verwechslungsgefahr besteht, werden wir in diesem Buch einfach von Risikobewertung sprechen. Um die richtige Methode zu wählen, muss das Ziel der Risikobewertung klar erkennbar sein.

Auf der strategischen Ebene werden Datenschätzungen benötigt, um eine ungefähre Richtung mit langfristiger Perspektive (einige Jahre) festzulegen; auf der taktischen Ebene werden gerundete und recht zeitnahe Zahlen benötigt, um Informationen über die Leistung der operativen Aufgaben zu erhalten und Entscheidungen zu treffen, die sich mittelfristig (einige Monate) auswirken; auf der operativen Ebene müssen die Daten genau und in Echtzeit sein, da sie dazu dienen, die täglichen Aktivitäten am Laufen zu halten. Um ein Managementsystem für die Informationssicherheit zu entwickeln, müssen wir zunächst seine Bestandteile bestimmen, insbesondere die Prozesse und die Verbindungen zwischen ihnen, und dann eine Entscheidung über die zu implementierenden Sicherheitsmaßnahmen treffen. Da dies auf strategischer und taktischer Ebene geschieht, müssen Sie über aggregierte Daten verfügen, auch wenn die Genauigkeit der Daten nicht besonders wichtig ist. Wenn es darum geht, eine Entscheidung zu treffen, ist es sinnlos, mehr Informationen als unbedingt notwendig zu haben, was der Kerngedanke von Occams Rasiermesser ist. Selbst wenn der Wert der zu schützenden Informationen beträchtlich ist, braucht eine Risikobewertung daher nur eine bescheidene Menge an Details: Extrem detaillierte Risikoanalysen bieten viel zu viele unnötige Details, die für die Entscheidungsfindung auf strategischer und operativer Ebene nicht benötigt werden.

Risikoermittlung

Die Risikoermittlung führt nur zu einem Modell der Realität, das diese niemals korrekt und vollständig abbilden kann. Der Anspruch, die Realität vollständig zu beschreiben und jeden Vermögenswert, jede Bedrohung und jede Schwachstelle im Detail zu identifizieren, wäre reine Arbeitsverschwendung. So sagte Alfred Korzybski, wenn auch in einem anderen Zusammenhang, dass die Karte nicht das Land ist, und Magritte sagte, dass die Abbildung eines Rohrs kein Rohr ist. Diese beiden Aussagen sind hier relevant. Nachdem der Sicherheitsbeauftragte eines Unternehmens sechs Monate lang akribisch Daten für eine Risikobewertung der Informationssicherheit gesammelt hatte, stellte er fest, dass das Unternehmen erhebliche Veränderungen erfahren hatte, die eine weitere Runde der Risikobewertung erforderlich machten.

Anpassung an Änderungen

Die Änderungen wurden jedoch ohne Berücksichtigung der mit der Informationssicherheit verbundenen Gefahren durchgeführt; dies ist ein weiterer Beweis dafür, dass der Aufwand als sinnlos erachtet wurde. Menschen, die eine „akkurate Arbeit“ machen wollen, verwechseln manchmal das Ziel einer Sache (bei dem es Faktoren zu berücksichtigen gilt) mit der Art und Weise, wie es erreicht wird (mit einer detaillierten Risikoanalyse). Es ist eine bessere Strategie, mit einer Analyse zu beginnen, die auf der taktischen Ebene nur wenig genau ist. Daraus kann sich die Notwendigkeit zusätzlicher Untersuchungen auf operativer Ebene ergeben, z. B. für bestimmte Computersysteme (Server, Netzwerkgeräte, Anwendungen, PCs, tragbare Geräte wie Mobiltelefone, Smartphones und Tablets), Funktionsbereiche oder Dienste, die dann eingehender analysiert werden können. Die Methoden bestehen aus Schwachstellenbewertungen und Lückenanalysen in Bezug auf bewährte Verfahren. Es ist wichtig zu beachten, dass die hier beschriebenen Methoden keine Risikobewertungen sind, da sie lediglich Schwachstellen aufzeigen. Beispiel 4.2.2: In einem großen Unternehmen wurden Informationen für eine Risikobewertung auf der Ebene jeder organisatorischen Funktion eingeholt, um die Bewertung abzuschließen. Das Endprodukt war eine wertvolle, aber unüberschaubar große Menge an Informationen. Darüber hinaus hatten die verschiedenen Vertreter unterschiedliche Standards für die zu sammelnden Informationen, was zu einer erheblichen Varianz in den Ergebnissen führte.

Überprüfungen und Tests

Die Analyse zeigte nicht die Probleme auf der taktischen Ebene auf, wie z. B. das Fehlen von Richtlinien für die Verwaltung von physischen Schlüsseln und eines gemeinsamen Ansatzes für die Speicherung von Informationen und die Durchführung von Backups und Business-Continuity-Tests. Außerdem ergab die Analyse nicht, dass es an einem gemeinsamen Ansatz für die Verwaltung physischer Schlüssel mangelte. Als Nächstes wurden die Risiken der kritischsten Stellen analysiert, wobei der Bedarf an spezifischeren Maßnahmen berücksichtigt wurde. Schließlich wurden die verbleibenden Bereiche anhand einer Lückenanalyse untersucht, bei der überprüft wurde, ob die gemeinsamen Maßnahmen umgesetzt wurden, und bei Bedarf entsprechende Maßnahmen ergriffen wurden. Dieser Ansatz erwies sich als nützlicher als der vorherige, da er eine effizientere Identifizierung von Risiken ermöglichte. Einige Wissenschaftler [94] sind der Meinung, dass weniger genaue Studien ebenso aussagekräftige Schlussfolgerungen liefern können wie genauere, mit der Ausnahme, dass die Ergebnisse weniger hoffnungsvoll und folglich vorsichtiger sind; dies ist nicht immer negativ, wenn es um Fragen der Sicherheit geht.

Unterschiedliche Ansätze zur Risikoanalyse

In diesem Artikel stellen wir einen „klassischen“ Ansatz zur Risikobewertung vor, der auf Vermögenswerten, Bedrohungen und Schwachstellen (bzw. Gegenmaßnahmen) beruht, wie aus den Formeln hervorgeht. Andere Leute schlagen Methoden vor, die offensichtlich nicht mit diesem Ansatz übereinstimmen, aber wir stellen einen „klassischen“ Ansatz vor. Auch wenn sie unterschiedliche Bezeichnungen verwenden (z. B. Szenarien anstelle von Vermögenswerten oder Kategorien von Vermögenswerten oder Ereignissen, Risikoszenarien oder Fehlerinstanzen anstelle von Bedrohungen), gehen alle diese Methoden von denselben grundlegenden Parametern aus, wenn man sie genau betrachtet. Diese Parameter lauten wie folgt: Die „traditionelle Methode“ beginnt mit den Vermögenswerten und sucht dann nach Bedrohungen, die sich auf diese Vermögenswerte auswirken können. Der „ereignisbasierte Ansatz“ hingegen beginnt mit den Bedrohungen und ermittelt dann die Werte, die von ihnen beeinflusst werden können.

Zahlreiche Organisationen wenden eine Methodik an, bei der die Bedeutung von Informationen und nicht die zu ihrer Verarbeitung eingesetzten Ressourcen im Vordergrund stehen. Bei näherer Betrachtung dieses Ansatzes wird deutlich, dass Informationen (d. h. Vermögenswerte) und Bedrohungen bewertet werden, um den Grad des inhärenten Risikos zu bestimmen (Abschnitt 7.4). Daraufhin können wir geeignete Sicherheitsvorkehrungen auswählen. Mit anderen Worten: Es werden Ressourcen, potenzielle Gefahren und Abwehrmaßnahmen bewertet. In ihrer reinsten Form führt die traditionelle Methode dazu, dass für jeden Vermögenswert eine Risikobewertung durchgeführt wird. Diese Methode wird in der Informationssicherheitsbranche seit mindestens 1980 angewandt, also zu einer Zeit, als sich die Informationssicherheit noch deutlich von der heutigen Unterschied.

Einsatz bewährter Methoden

Aus diesem Grund raten wir davon ab, den traditionellen Weg zu beschreiten. Die in diesem Buch angewandte Technik ist der traditionellen Technik recht ähnlich; sie erfordert jedoch eine unabhängige Bewertung von Werten und Gefahren. Damit eine Technik der Risikobewertung als valide angesehen werden kann, sind folgende Eigenschaften erforderlich: Vollständigkeit: alle Vermögenswerte, alle Bedrohungen und alle Schwachstellen müssen berücksichtigt und auf der richtigen Ebene gruppiert werden; Wiederholbarkeit: Bewertungen, die im gleichen Kontext und unter den gleichen Bedingungen durchgeführt werden, sollten die gleichen Ergebnisse liefern; und Genauigkeit: alle Vermögenswerte, alle Bedrohungen und alle Schwachstellen müssen auf der richtigen Ebene gruppiert werden. Vergleichbarkeit: Bewertungen, die zu verschiedenen Zeitpunkten, aber in derselben Umgebung durchgeführt werden, sollten es ermöglichen zu beurteilen, ob sich das Risiko verändert hat und wenn ja, in welcher Weise; die Konsistenz schreibt vor, dass der Risikobetrag erhöht werden muss, wenn die Werte der Vermögenswerte, Bedrohungen oder Schwachstellen höher sind.

Softwareanwendungen zur Risikobewertung

Auf dem Markt gibt es heute eine Vielzahl verschiedener Softwareanwendungen, die Risikobewertungen durchführen können. Sie unterstützen die Benutzer beim Erkennen und Zuordnen von Werten zu Vermögenswerten, Bedrohungen und Schwachstellen sowie bei der Erstellung von Berichten über den Grad des Risikos. Da sie es ermöglichen, die Aktionen einer großen Anzahl von Personen zu ordnen und alle gesammelten Daten zusammenzustellen, können diese Anwendungen in sehr großen Unternehmen von Nutzen sein. Sie sind besonders nützlich in Situationen, in denen die an der Risikobewertung beteiligten Personen (einschließlich der Berater) keine echten Experten sind und ein Werkzeug benötigen, das sie Schritt für Schritt durch den Prozess führt. Leider sind diese Apps, deren Unzulänglichkeiten Sie sich bewusst sein sollten, nicht perfekt. Das erste Problem besteht darin, dass in der Regel eine sehr große Datenmenge eingegeben werden muss, was das Verfahren recht mühsam und zeitaufwändig macht. Damit ist auch nicht sichergestellt, dass die Ergebnisse genau, hilfreich oder legitim sind. Beispiel 4.3.2 In einer Organisation wurde ein Projekt zur Installation von Drehkreuzen am Eingang und zur umfassenden Überprüfung der Berechtigungen in den IT-Systemen durchgeführt. Beide Vorhaben waren Teil derselben Initiative. Die Ergebnisse der Risikobewertung zeigten jedoch lediglich einen Mangel an Wissen bei den Mitarbeitern. Weder beim physischen Zugang noch bei den Berechtigungen in den IT-Systemen wurden Probleme festgestellt. Für die Durchführung der Risikobewertung, die einen erheblichen Arbeitsaufwand über mehrere Monate hinweg erforderte, mussten genaue Daten in großen Mengen gesammelt werden. Dies war für die eingesetzte Software erforderlich. Trotzdem gelang es der Bewertung nicht, Daten zu liefern, die zur Rechtfertigung der durchgeführten Arbeiten hilfreich gewesen wären. Das zweite Problem, das bei vielen Waren auftritt, besteht darin, dass der Berechnungsprozess geheim gehalten wird. Wenn die Ergebnisse eine inakzeptable Gefahr aufzeigen, ist es auf diese Weise schwierig, die Ursache dafür zu erkennen, was es uns unmöglich macht, uns von der Richtigkeit der Ergebnisse zu überzeugen. Die Ersteinrichtung des Produkts ist das dritte Problem des Produkts. Fragebögen und Sicherheitsmaßnahmen berücksichtigen häufig nur eine bestimmte Kategorie von Organisationen. In den 90er Jahren war die am weitesten verbreitete Software zur Risikobewertung, die durch die Erforschung britischer Unternehmen einer mittleren Unternehmenskategorie parametrisiert wurde; viele andere Programme sind für Organisationen einer großen oder sehr großen Unternehmenskategorie parametrisiert. In vielen Fällen stimmt die Konfiguration nicht mit der Situation überein, in der das Risiko bewertet wird. Das vierte Manko ist die Schwierigkeit, die Konfiguration dieser Tools zurückzusetzen. Dies ist besonders wichtig, wenn wir die Einstellungen ändern oder neue Gefahren oder Öffnungen in das System einführen wollen.

Viele Finanzinstitute analysieren die mit dem Online-Banking verbundenen Gefahren. Obwohl es sich hierbei um eine sehr reale Bedrohung handelt, kann die Bedrohung durch Phishing nicht in die Bewertung einbezogen werden, da das kommerzielle Produkt, das für die Risikobewertung verwendet wurde, dazu nicht in der Lage ist. Und dies, obwohl Phishing eine sehr reale Gefahr darstellt. Das fünfte Problem besteht darin, dass die Benutzer kommerzieller Software dazu neigen, diese auf mechanische Weise zu akzeptieren, selbst wenn sie den Ansatz an ihre eigene Organisation anpassen sollten. Dies ist selbst dann der Fall, wenn sie die Software an ihr eigenes Unternehmen anpassen sollten.

Ausführliche Datensammlung

Es sollte nicht überraschen, dass Software bei der Sammlung von Daten und der Durchführung der erforderlichen Berechnungen hilfreich sein kann. Es könnte genügen, eine Tabellenkalkulation zu verwenden, die schnell an die spezifischen Anforderungen angepasst werden kann. Was hier erörtert wird, basiert auf erprobten Ideen zur Risikobewertung, die nicht unbedingt mit der Informationssicherheit in Verbindung gebracht werden. Die bekanntesten und am meisten verbreiteten Methoden der Risikobewertung im Bereich der Informationssicherheit erstellen nämlich äußerst präzise und vollständige Berichte, im Idealfall mit Hilfe kommerzieller Software, die von Beratern oder Anbietern bereitgestellt wird. Bei den qualitativen Ansätzen, die jetzt besprochen werden sollen, wurden einige der Konzepte aus dem Wissen abgeleitet, das durch die Verwendung einer einfachen, im Internet kostenlos angebotenen Tabellenkalkulation gewonnen wurde [49, 50]. Es wird empfohlen, die vielen verfügbaren Techniken zu recherchieren, bevor man sich für eine entscheidet oder eine neue, an die eigenen Bedürfnisse angepasste Methode entwickelt. Es gibt einige verschiedene Ansätze, die in Katalogen, Büchern oder auf Websites zu finden sind22. Einige dieser Ansätze haben wenig mit der Informationssicherheit zu tun, aber sie können eine Inspirationsquelle für Menschen sein, die ihr Wissen erweitern und innovative Lösungen finden möchten. Alle in diesem Buch besprochenen Verfahren sind in Methoden enthalten, die sich mit der Sicherheit von Informationen befassen; diese Methoden können jedoch eine andere Terminologie verwenden, Phasen kombinieren oder andere Algorithmen vorschlagen.

Ereignisbasierter Ansatz

Ein Beispiel für einen anderen Ansatz, der als „ereignisbasierter Ansatz“ bezeichnet wird, ist ein Ansatz, der auf einer Variante der Fehlerbaumanalyse beruht. Bei dieser Strategie geht es um die Bewertung von Risiken und deren Auswirkungen, ohne dass die Aktiva im Detail identifiziert werden müssen. Um Risiken zu erkennen, muss man wissen, welche Güter missbraucht werden können (z. B. öffentliches WLAN, Online-Anwendungen oder ein offenes Computernetz im Internet) und welche Sicherheitsmaßnahmen, die unweigerlich mit dem Gut verbunden sein müssen, zum Schutz davor erforderlich sind.

Wer sollte einbezogen werden

Jeder, der ein Interesse am Ergebnis der Risikobewertung hat, sollte daran teilnehmen, einschließlich Arbeitnehmer, Manager, Kunden, Lieferanten und Partner. In den folgenden Kapiteln werden die vielen verschiedenen Verantwortlichkeiten dargelegt, die damit verbunden sind. Jeder, der an der Gefährdungsbeurteilung beteiligt ist, sollte natürlich nur so viel wissen, wie nötig ist, um seine Ideen in den verschiedenen Phasen des Prozesses einzubringen. Die Beteiligung von Mitarbeitern, Kunden, Lieferanten und Partnern kann aus den folgenden Gründen von Vorteil sein: Identifizierung des Risikos (d. h. Vermögenswerte, Bedrohungen und Schwachstellen); Bewertung des Risikos durch Austausch der gegenseitigen Ansichten und Wahrnehmungen; Bewertung des Risikos; Erstellung des Risikobehandlungsplans, da sie zur Planung und Durchführung von Maßnahmen beitragen müssen; Verringerung von Missverständnissen über die durchzuführenden Maßnahmen; Verringerung des Widerstands gegen Veränderungen; positive Auswirkungen auf das Image der Organisation; und positive Auswirkungen auf das Image der Organisation Der Schwerpunkt der nächsten Abschnitte liegt auf zwei spezifischen Verantwortlichkeiten, da diese Rollen in den folgenden Kapiteln von Bedeutung sein werden.

Risikoeigentümer

Der Risikoeigentümer ist eine Figur, die von ISO/IEC 27001 berücksichtigt werden muss, und die Definition dieser Figur ist in ISO/IEC 27000 zu finden. Eigentümer eines Risikos ist eine Person oder Organisation, die für ein Risiko verantwortlich ist und die Befugnis hat, es zu verwalten. In der Regel überschneidet sich diese Funktion mit der obersten Leitung, da die betreffende Person über die Ausgabenbefugnis verfügen muss, um das Risiko kontrollieren zu können. Die oberste Leitung kann andere Funktionen bitten, Vorschläge zum Risikomanagement und den damit verbundenen Kosten zu machen, oder sie kann diese Funktionen bitten, die Aktivitäten im Zusammenhang mit dem Risikomanagement zu koordinieren. In jedem Fall ist die oberste Leitung für das Risiko verantwortlich. Der Begriff „Risikoverantwortlicher“ wird in der ISO/IEC 27001 zur Angleichung an die ISO 31000 verwendet, in der der Begriff „oberste Leitung“ nicht vorkommt. Da sie dafür verantwortlich sind, zu bestimmen, welche Sicherheitsmaßnahmen eingeführt und auf dem neuesten Stand gehalten werden sollen, sollten Risikoeigner immer auf einer hierarchischen Ebene anerkannt und mit den entsprechenden Entscheidungs- und Ausgabebefugnissen ausgestattet werden. Wenn Informationen von Lieferanten, Outsourcern oder anderen Organisationen verwaltet, gespeichert, übertragen oder verarbeitet werden, sollte der Risikoeigner ein interner Mitarbeiter des Unternehmens sein, und es ist möglich, dass diese Person mit dem Referenten der Verbindungen zu diesen anderen Unternehmen übereinstimmt. Wenn ein Risiko mehrere verschiedene Unternehmensbereiche betrifft, muss entschieden werden, wie die entsprechenden Entscheidungen auf die verschiedenen Risikoverantwortlichen aufgeteilt werden sollen. Alternativ könnte ein Risikoeigner auf einer höheren Ebene der Organisationsstruktur benannt werden.

Moderatoren

Einige Ansätze zur Risikobewertung empfehlen den Einsatz von Moderatoren, um Sitzungen abzuhalten, die sich speziell mit der Beschreibung des Kontextes, der Ermittlung des Umfangs, der Identifizierung des Risikos, der Analyse, der Bewertung und der Behandlung befassen. Es ist gängige Praxis, diese Aufgabe an einen oder mehrere externe Berater zu delegieren. Diese Aufgaben können auch von internen Mitarbeitern wahrgenommen werden, die über die erforderliche Kompetenz verfügen und durch ihre tiefere Vertrautheit mit dem Unternehmen unterstützt werden.

Dokumente des Risikomanagements

Wie wir in den nächsten Kapiteln sehen werden, führt der Prozess des Risikomanagements zur Erstellung mehrerer Dokumente. Einige von ihnen enthalten eine Beschreibung von Schwachstellen und Verwundbarkeiten und müssen daher als geheime Informationen behandelt werden. Es ist wichtig zu wissen, dass an diesen Dokumenten mehrere Personen mitarbeiten.