Mit <kes>+ lesen

Spezifischer als der Standard : Ein neuer Ansatz für Risikoanalysen

Ein modernes Risikomanagement unterstützt Institutionen bei der Identifizierung von Gefährdungen und Schwachstellen und setzt diese in den Kontext der wesentlichen und kritischen Betriebs- und Geschäftsprozesse. Der Stand der Technik liefert hierzu lediglich eine grobe Richtschnur zur Anwendung, die oft nur rudimentär institutionsspezifisch adaptiert wird – damit lassen sich individuelle Anforderungen konkreter Institutionen jedoch bloß unzureichend berücksichtigen. Die hier dargestellte Fortschreibung unterstützt die Fach- und Managementebene bei der Entwicklung institutionsspezifischer Ansätze.

Lesezeit 12 Min.

Der Betrieb großer Rechenzentren, komplexer Infrastrukturen oder die Bereitstellung von Services bedingen unterschiedliche Gefährdungen, die aus dem Betrieb der Systeme als solche resultieren, aber auch durch die konkreten technischen Systeme und ihre Verknüpfungen entstehen. Um ein einheitliches Informationssicherheitsniveau zu gewährleisten, kommen meist gängige Standards zur Anwendung, da sich diese anerkannt zertifizieren lassen. Aus strategischer Sicht der ISO 27001 und des IT-Grundschutzes [1] muss es das Ziel sein, Sensibilisierung in der Organisation zu verankern und Maßnahmen sowie Entscheidungen transparent, erklärbar und nachvollziehbar zu gestalten.

Durch die standardnahe und alleinige Anwendung des BSI-Standards 200-3 [2] lässt sich das jedoch nicht vollumfänglich sicherstellen. Deshalb erscheint es für große Informationsverbünde und damit einhergehende (IT-)Infrastrukturen notwendig, die Methodik weiterzuentwickeln und die Spezifika der Organisation in angemessenem Umfang einfließen zu lassen.

Prozessansatz

Das Erkennen und Bewerten eines Risikos fokussiert in der Regel auf die Geschäftsprozesse einer Institution. Es ist demnach erforderlich, diese Geschäftsprozesse, vor allem die Leistungsprozesse, zu kennen und transparent darzustellen, sodass man sie durch die Prozesse des Risikomanagements betrachten und orchestrieren kann. Dies stellt die Akzeptanz innerhalb der Institution sicher.

Die verschiedenen Prozessebenen sind miteinander verbunden, sodass zwischen den Prozessen und Prozesskategorien operative Wechselwirkungen entstehen (vgl. Abb. 1). Im Zusammenspiel mit den Geschäftsprozessen der Institution etabliert das Risikomanagement Strukturen, welche die Leistungs- und Unterstützungsprozesse unterstützen. Hierdurch wird das gesetzte Ziel verfolgt, eine verbesserte Servicequalität zu erreichen.

Abbildung 1: Zusammenhang von Risiko- und Geschäfts-Prozessen
Abbildung 1: Zusammenhang von Risiko- und Geschäfts-Prozessen

Innerhalb der Prozesse des Risikomanagements lässt sich feststellen, dass sich das Managementsystem aus den operativen Risikoanalysen heraus gestaltet. Um dieses Zusammenspiel sicherzustellen, ist als prozessuale Zwischenebene das Risikoanalysemanagement etabliert: Diese Prozessebene stellt sicher, dass die operativen Risikoanalysen in den Kontext der Infrastrukturen, des geschäftlichen Wirkens und in die Verknüpfungen zwischen den individuellen Risikoanalysen an sich gestellt werden.

Das strukturierte Erfassen und Bearbeiten sowie der weitere Umgang mit Risiken geschieht durch diese Risikoanalysemanagement-Prozesse – sie gewährleisten, dass Risiken stets identisch und reproduzierbar behandelt werden.

Die dargestellten Risikoanalysemanagement-Prozesse sind transparent und nachvollziehbar zu beschreiben und zu dokumentieren. Ergänzende Erläuterungen helfen unregelmäßig Beteiligten, den Kontext des risikoorientierten Handelns nachzuvollziehen. Die folgenden Prozesse beschreiben das konkrete Vorgehen zur Risikoanalyse, wie es beispielsweise auch der BSI-Standard 200-3 in Ansätzen definiert:

  • Prozess „Risiko identifizieren“
  • Prozess „Risiko analysieren“
  • Prozess „Risiko bewerten“
  • Prozess „Risiko behandeln“

Trotz der Orientierung am BSI-Standard 200-3 müssen die einzelnen Prozesse darüber hinaus an institutionsspezifische Gegebenheiten und Besonderheiten angepasst werden. Der Fokus der Optimierung liegt dabei auf den Prozessen „Risiko analysieren“ und „Risiko bewerten“: Dort besteht durch eine mangelhafte Prozessanpassung das größte Fehlerpotenzial: Fehleinschätzungen können die optimale Wahl der Behandlungsoptionen verhindern und beispielsweise dazu führen, dass mögliche Schadensausmaße unterschätzt werden. Die Darstellung und Beschreibung der Prozesse kann mittels aktueller Branchenstandards erfolgen (z. B. die Business-Process-Modeling-Notation – BPMN 2.0, www.bpmn.org).

Risikomodell

Das Risikomodell beschreibt die systematischen Teilaspekte der Entstehung eines Risikos. Hierdurch wird die allgemein anerkannte Berechnungsformel Risiko = Eintrittswahrscheinlichkeit × Schadensauswirkung konkretisiert und anwendbar gemacht. Im Detail ergibt sich das in Abbildung 2 dargestellte individuelle Betrachtungsmodell zur Risikoermittlung. Das Modell setzt sich aus den nachfolgend beschriebenen Aspekten zusammen.

Abbildung 2: Modell zur Risikoermittlung
Abbildung 2: Modell zur Risikoermittlung

Schwachstellen

Eine Schwachstelle beschreibt die Eigenschaft beziehungsweise den Zustand einer Situation, eines technischen Systems oder einer Kombination aus beidem, die eine Gefährdung durch eine Handlung oder Ereignis ausnutzen muss. Das Ausnutzen einer Schwachstelle mittels einer Handlung oder eines Ereignisses führt demnach zu einem Schadenereignis.

  • Organisatorische Schwachstellen sind prozessuale, personelle, systemische oder regelwerksbezogene Mängel, die durch eine konkrete Gefährdung ausgenutzt werden können. Ein typisches Beispiel hierfür ist, dass Wissensträger (Experten) vor dem Ausscheiden ihr Wissen und ihre Befähigung nicht in ausreichendem Maße weitergeben (können).
  • Technische Schwachstellen definieren sich durch technische Weiterentwicklungen, die Verknüpfung von IT-Systemen und Komponenten, deren zweckfremden Einsatz sowie Entwicklungsnachlässigkeiten, sodass initial vorgesehene Funktionsweisen nicht (mehr) erfüllt werden. Ein typisches Beispiel hierfür ist, dass ein Administrationszugang nur Passwörter bis zu acht Zeichen ohne Sonderzeichen und mehrstufige Authentifizierung zulässt.

Technische Schwachstellen sind dabei nicht ausschließlich IT-gestützt, sondern auch bei infrastrukturellen Komponenten vorzufinden und zu bewerten (z. B. abgekündigte Batterien in USV-Anlagen). Für IT-gestützte Schwachstellen existiert zur einheitlichen und nachvollziehbaren Bewertung das Common Vulnerability Scoring System (CVSS, [3]). Hierdurch wird die semi-quantitative Methodik der Ermittlung von Eintrittswahrscheinlichkeiten unterstützt. Derartige Schwachstellen sind als Bedrohung einzuschätzen, weil durch sie – mittels einer Handlung oder eines Ereignisses – Gefährdungen zu realen Risiken werden, die einen Schaden erzeugen.

Gefährdungen

Bekannte, wiederkehrende, inhärente beziehungsweise grundsätzliche Gefährdungen sind in einem einheitlichen Gefährdungskatalog zu pflegen, der aus drei Teilen besteht:

  • G.0-Gefährdungen: Hierbei handelt es sich um die sogenannten „Elementaren Gefährdungen“ des BSI [4], die als allgemeingültig identifiziert angenommen werden.
  • G.1-Gefährdungen sind innerhalb des Geschäftszwecks der Institution und des Geltungsbereichs des betrachteten Informationsverbunds zu ermitteln. Sie sind individuell für die Organisation und die eingesetzten Systeme zu definieren – zum Beispiel aus Erfahrungswerten und Expertenwissen. Es kann sich gleichzeitig um eine institutionsspezifische Ausgestaltung der G.0-Gefährdungen handeln.
  • G.M-Gefährdungen entstehen aus dem MITRE ATT&CK Framework [5]. Diese werden so aufbereitet, dass sich für die eingesetzten IT-Systeme, Anwendungen und Protokolle Gefährdungen im Stil der elementaren BSI-Gefährdungen ableiten lassen. Gleiches gilt für organisatorische Aspekte, die als Grundlage für weitere Gefährdungen dienen (z. B. Social-Engineering).

Im Rahmen des Prozesses „Risiko identifizieren“ erfolgt eine Gefährdungsanalyse, die auf bekannte, anerkannte oder neu einzuordnende Gefährdungen referenziert, sodass der Gefährdungskatalog als institutionsspezifisches Werkzeug zu verstehen und fortzuschreiben ist. Bezüglich der Gefährdungen ist erneut zwischen organisatorischen und technischen Gefährdungen zu differenzieren.

Demnach ist jeder Schwachstelle eine Gefährdung zuzuordnen, weil nur so ein Risiko entstehen kann. Dies erfolgt im Rahmen der Risikoanalyse, genauer gesagt im Prozess „Risiko identifizieren“.

Eintrittswahrscheinlichkeit

Die Eintrittswahrscheinlichkeit gibt an, wie wahrscheinlich der Eintritt eines Ereignisses oder einer Handlung ist. Sie ergibt sich demnach aus der Wahrscheinlichkeit, dass eine Schwachstelle vorliegt und durch eine Gefährdung ausgenutzt wird – ausgelöst wird dies durch eine Handlung oder ein Ereignis. Hierbei handelt es sich nicht um lineare und stets vorhandene Zustände und Situationen.

Aufgrund von häufig fehlenden Erfahrungswerten und statistischen Kenngrößen erfolgt die Ermittlung nach semi-quantitativen Methoden: Dies lässt sich erreichen, indem man einen Wertebereich definiert, der anhand der Anforderungen der Institution zu entwickeln ist. Tabelle 1 stellt zwei mögliche Varianten beispielhaft dar.

Tabelle 1: Zwei beispielhafte Definitionen für Wertebereiche von Eintrittswahrscheinlichkeiten
Tabelle 1: Zwei beispielhafte Definitionen für Wertebereiche von Eintrittswahrscheinlichkeiten

Schadensauswirkung

Die Schadensauswirkung richtet sich nach der identifizierten Schwachstelle und der identifizierten Gefährdung. Beide Sachverhalte zusammen lassen eine Abschätzung des möglicherweise entstehenden Schadens zu. Das Schadensausmaß ist demnach individuell und lässt sich wie folgt unterscheiden:

Organisatorische Auswirkungen

Eine organisatorische Auswirkung ist dadurch definiert, dass vorgesehene menschliche oder (teil-)automatisierte Handlungen nicht mehr in der beabsichtigten Art und Weise durch- oder fortgeführt werden können. Es ist beispielsweise damit zu rechnen, dass Organisationseinheiten oder Personen ihren Tätigkeiten nicht mehr nachgehen, Finanztransaktionen nicht mehr getätigt werden oder Leistungen nicht mehr in der qualitätsgesicherten Art und Weise erbracht werden können.

Organisatorische Auswirkungen bedingen eine umfassende Einschätzung aller Teilaspekte, die dann die Gesamtauswirkung ergeben. Hierfür ist eine fundierte Betrachtung und Bewertung der folgenden Aspekte erforderlich:

  • finanzielle Auswirkung
  • hierarchische Auswirkung
  • Außendarstellung
  • prozessbezogene Auswirkung
  • regulatorische Auswirkung

Die einzelnen Teilaspekte der organisatorischen Schadensauswirkung korrelieren darüber hinaus unter Umständen. Ein Hemmnis in der Durchführung eines Geschäftsprozesses wird zum Beispiel immer ebenso eine Wirkung in der Außendarstellung haben – wie stark diese ist, ist im Rahmen der Risikoanalyse zu ermitteln.

Technische Auswirkungen

Eine technische Auswirkung lässt sich durch eine Fehlfunktion einer Komponente, eines IT-Systems oder einer Anwendung beschreiben. Die technische Schadensauswirkung betrachtet alle Teilaspekte, die bei der IT-gestützten, anwendungs- und infrastrukturorientierten Aufgabendurchführung eingeschränkt sein können.

Die Auswirkung führt dazu, dass der vorgesehene Wirkbetrieb beeinträchtigt ist. Im Sinne der Schutzziele der Informationssicherheit können hier die Verfügbarkeit, Vertraulichkeit oder Integrität auf technischer Ebene negativ beeinflusst sein. Es können aber auch weitere Aspekte beeinträchtigt werden – zum Beispiel Verlässlichkeit, Funktionsfähigkeit, Nutzbarkeit oder Zuverlässigkeit.

Konkret sind die folgenden verschiedenen Teilaspekte zu berücksichtigen:

  • physische Auswirkung
  • menschliche Auswirkung
  • funktionelle Auswirkung
  • informationsverarbeitende Auswirkung
  • schnittstellenbezogene Auswirkung

Betrachtet man die organisatorischen und technischen Auswirkungen zusammen, so wird deutlich, dass diese einander bedingen und hier zusammengenommene beziehungsweise aufeinander aufbauende Auswirkungen entstehen können. Insgesamt gilt: Schadensauswirkung = organisatorische Auswirkung + technische Auswirkung

Um die Schadensauswirkung konkret beurteilen zu können, ist eine Bewertungsskala zu entwickeln und anzuwenden. Diese bestimmt sich nach den in Tabelle 2 aufgeführten Parametern.

Tabelle 2: Mögliche Schadensauswirkungen
Tabelle 2: Mögliche Schadensauswirkungen

Die organisatorische Schadensauswirkung O ist die Summe der einzelnen Auswirkungen
O = O(F) + O(H) + O(A) + O(P) + O(R)

Die technische Schadensauswirkung T ist die Summe der einzelnen Auswirkungen:
T = T(P) + T(M) + T(F) + T(I) + T(S)

Auswirkungen sind außerdem stets unter zeitlichen Gesichtspunkten zu betrachten: Hierfür ist ein Verrechnungsfaktor V zu implementieren. Auswirkungen mit einem geringen zeitlichen Umfang sollten zwar bewertet, aber nicht weiterverfolgt werden. Den Verrechnungsfaktor bestimmt man anhand der Anforderungen einer Institution unter Berücksichtigung der Auswirkungen auf die Schutzziele. Hierzu sind zeitliche Toleranzen zu definieren und einzuordnen.

Zusammengefasst ergibt sich folgende Berechnungsformel:
Schadensauswirkung = (O × V) + (T × V)

Die Zerlegung eines Risikos in einzelne spezifizierte Bestandteile mittels der vorgestellten Parametrisierung ermöglicht damit eine semi-quantitative Bewertung. Durch diese Detaillierung entsteht eine transparentere und filigranere Einschätzung, welche die Aussagekraft der Bewertung und damit den zielgerichteten Einsatz von Mitigationsmöglichkeiten unterstützt.

Risikoanalyse und -bewertung

Auslösendes Moment für die Erstellung einer Risikoanalyse können unter anderem die folgenden Ereignisse sein:

  • Identifizierung einer (neuen) Schwachstelle
  • Bekanntwerden einer neuen Gefährdung (beispielsweise G.1)
  • Veränderung bekannter Gefährdungen
  • Betrachten unternehmerischer Entwicklungen im Kontext von möglichen Gefährdungen und Schwachstellen
  • Erreichen des Revisionsdatums einer bestehenden Risikoanalyse
  • grundsätzliche Änderung von Geschäftsprozessen
  • Einsatz neuer Werkzeuge und Systeme
  • Wirkungslosigkeit zuvor gewählter Behandlungsoption

Das Erfassen von Risiken erfolgt durch eine meldende Organisation, Organisationseinheit, Person oder ein technisches System. Hierbei wird im Grundzug zunächst eine Gefährdung identifiziert, die einen Schaden hervorrufen kann. Um diese zu bewerten, wird ein methodisches Vorgehen durchlaufen, sodass ein mögliches Risiko analysiert und im Anschluss bewertet werden kann.

Innerhalb dieser Bewertung kann man aber nicht zwangsläufig von einem einheitlichen generischen Vorgehen ausgehen, da hierdurch andernfalls:

  • ein Risiko gegebenenfalls nicht vollumfänglich betrachtet würde
  • nicht alle Aspekte einer Gefährdung, der Eintrittswahrscheinlichkeit und des möglichen Schadensausmaßes betrachtet werden könnten
  • keine Mehrstufigkeit von Angriffen, Gefährdungen und Schäden abbildbar wäre
  • Behandlungsoptionen falsch eingeschätzt würden

Aus diesen Gründen sowie der bereits vorgestellten Unterscheidung organisatorischer und technischer Auswirkungen ist es zielführend, auch zwischen entsprechenden Risikoanalysen zu unterscheiden (vgl. Abbildung 3):

Abbildung 3: Kategorisierung von Risikoanalysen
Abbildung 3: Kategorisierung von Risikoanalysen

Organisatorische Risikoanalysen fokussieren auf Risiken, die durch individuelle Entscheidungsgrade, fehlende oder unkonkrete Regelungen, (un-)bewusstes menschliches Fehlverhalten, Missmanagement, unzureichende oder fehlende Ressourcen oder externe Einflüsse entstehen. Bei organisatorischen Risikoanalysen erfolgt eine fokussierte Prozess- und Organisationsuntersuchung. Hierfür bedarf es einer kritischen Betrachtung der Aufbau- und Managementorganisation – gleichzeitig werden finanzielle Sachverhalte geprüft.

Technische Risikoanalysen fokussieren auf IT-gestützte, infrastrukturelle, anwendungsorientierte, softwareseitige oder vergleichbare Risiken. Sie werden durchgeführt, wenn eine technische Schwachstelle identifiziert wurde.

Kommt es im Rahmen der Risikoidentifizierung zu „Mischformen“ zwischen technischen und organisatorischen Risiken (folgt z. B. aus einem organisatorischen Risiko ein technisches Risiko), analysiert und bewertet man die Risiken kumuliert: Dabei werden zunächst alle Risiken für sich betrachtet und anschließend die Einzelergebnisse zusammengeführt. Die Einordnung nach „technisch“ oder „organisatorisch“ erfolgt dabei gemäß der Schwachstelle/Gefährdung – die Durchführung der Risikoanalyse erfolgt gemäß dem Prozess „Risiko analysieren“.

Bei derart aus beiden Typen von Risikoanalysen abgeleiteten Schwachstellen, Gefährdungen und Schadensauswirkungen spricht man von Mehrstufigkeit. Eine solche Mehrstufigkeit oder Vielschichtigkeit von Risiken wird in den Standards, die heute branchen- und methodenüblich zum Einsatz kommen, allerdings nur rudimentär berücksichtigt. Stattdessen erfolgt eine Betrachtung von Seiten- oder Quereffekten beziehungsweise Primär- und Sekundärrisiken. Oft ist dieser Ansatz aber nur bedingt anwendbar, da sich Gefährdungen nicht vollständig oder konsistent bewerten lassen oder das Schadensausmaß nur eingeschränkt bewertbar ist.

Die Möglichkeit der Berücksichtigung von Mehrstufigkeit ist durch das MITRE ATT&CK Framework [5] initial gegeben: Dieser Ansatz ermöglicht es, Angriffs- und Gefährdungsketten zu identifizieren und daraus eine Bewertung des individuellen Schadensausmaßes abzuleiten. Dadurch wird ebenso ermöglicht, geeignete und zielgerichtete Behandlungsoptionen zu entwickeln und zur Anwendung zu bringen.

Institutionsbezogene Einordnung – Risikomatrix

Nach der Ermittlung der Parameter Eintrittswahrscheinlichkeit und Schadensauswirkung ist die resultierende Risikobewertung in den Kontext des Risikoappetits der Institution zu setzen. Hieraus ergibt sich, wie hoch die Bereitschaft ist, ein Risiko nach der Behandlung (dies schließt bes. auch eine Risikoakzeptanz ein) zu akzeptieren, weil eine weitere Behandlung unverhältnismäßig wäre.

Das Darstellen der Risiken geschieht üblicherweise in grafischer Form durch eine Risikomatrix. Die Matrix bildet den ermittelten Risikovektor in der folgenden Form ab: Risikovektor = (Eintrittswahrscheinlichkeit, Schadensauswirkung)

Anhand der Matrix wird der risikoindividuelle Vektor mittels einer Risikokennzahl dargestellt – der Zuordnung liegt die in Abbildung 4 gezeigte Risikomatrix zugrunde.

 

Institutionsbezogene Einordnung – Risikomatrix

Nach der Ermittlung der Parameter Eintrittswahrscheinlichkeit und Schadensauswirkung ist die resultierende Risikobewertung in den Kontext des Risikoappetits der Institution zu setzen. Hieraus ergibt sich, wie hoch die Bereitschaft ist, ein Risiko nach der Behandlung (dies schließt bes. auch eine Risikoakzeptanz ein) zu akzeptieren, weil eine weitere Behandlung unverhältnismäßig wäre.

Das Darstellen der Risiken geschieht üblicherweise in grafischer Form durch eine Risikomatrix. Die Matrix bildet den ermittelten Risikovektor in der folgenden Form ab: Risikovektor = (Eintrittswahrscheinlichkeit, Schadensauswirkung)

Anhand der Matrix wird der risikoindividuelle Vektor mittels einer Risikokennzahl dargestellt – der Zuordnung liegt die in Abbildung 4 gezeigte Risikomatrix zugrunde.

Abbildung 4: Risikomatrix
Abbildung 4: Risikomatrix

Die konkrete Durchführung bildet der Prozess „Risiko bewerten“ ab – das Ergebnis der Bewertung ist dann zu interpretieren:

  • Chance: Anhand der Bewertung lässt sich Optimierungsbedarf erkennen. Daraus abgeleitet erfolgt eine Verbesserung von Geschäftsprozessen oder IT-Systemen. Die Wirksamkeit beziehungsweise die Nutzung dieser Chance richtet sich nach der gewählten Behandlungsoption: Diese entscheidet darüber, wie groß die Optimierung ausfällt und wie intensiv man die identifizierte Chance nutzen kann.
  • Gefahr: Es kann eine Gefahr bestehen, die auf eine mögliche Verschlechterung von Geschäftsprozessen oder IT-Systemen hindeutet. Die Behandlungsoption wird in diesem Fall bestimmen, wie diese Gefahr abgemildert oder eliminiert wird.

Diesen Beitrag teilen: