Risikoanalyse nach BSI-Standard 200-3 – (nicht nur) als Teil des BSI IT-Grundschutzes

Das grundlegende Verfahren zur Untersuchung von Sicherheitsgefährdungen und deren Auswirkungen ist eine Risikoanalyse. Innerhalb des Vorgehensmodells des BSI IT-Grundschutzes beschreibt die Risikoanalyse den Teilaspekt wie Institutionen ihre Informationssicherheitsrisiken „angemessen und zielgerichtet steuern“ können. Sie schließt sich dabei logisch an die Zustandsbestimmung, wie gut Sicherheitsanforderungen bei der Gestaltung von Technik, Prozessen und Organisationsstrukturen in einem Unternehmen schon berücksichtigt worden sind an. Diese sogenannten „IT-Grundschutz Checks“ wurden bereits in diesem Blogartikel behandelt.

Eine Risikoanalyse nach BSI-Standard 200-3 hat jedoch auch unabhängig vom Rahmenwerk des IT-Grundschutzes hat einen großen Nutzen. Im Folgenden werden wir erläutern, wie eine solche Analyse abläuft, worauf zu achten ist und warum wir sie – unabhängig von anderen Maßnahmen und Rahmenwerken – gut und wichtig finden.

Risiken „fassbar“ machen, um Entscheidungen abzuleiten – das grundsätzliche Vorgehen

1.     Ausgangspunkt der Analyse ist die Erstellung einer Übersicht der relevanten Gefährdungen der Institution, die schützenswerten Informationen bezüglich der drei Grundwerte der Informationssicherheit – Vertraulichkeit, Verfügbarkeit und Integrität – beeinträchtigen könnten. Diese Auswertung findet auf Ebene der IT-Systeme und Anwendungen, oder auch der Geschäftsprozesse statt. Dazu gibt es als Hilfestellung im IT-Grundschutz-Kompendium eine Liste von sogenannten Elementargefährdungen, die sich als „Best Practice“ kompatibel mit vergleichbaren Zusammenstellungen auf internationaler Ebene etabliert hat. Diese kann und sollte durch individuell formulierte Szenarien ergänzt werden.

2.     Anschließend erfolgen die Einschätzung und Bewertung der sich daraus ergebenden Risiken. So wird in der Risikoeinschätzung zunächst eine Bestimmung der Eintrittswahrscheinlichkeit der einzelnen Gefährdung sowie ihrer Schadensauswirkung vorgenommen – anhand von einheitlichen Schwellen. Im zweiten Schritt, der Risikobewertung, erfolgt daraus die Klassifikation des eigentlichen Risikos – ebenfalls anhand einer einheitlichen Kategorisierung, als deren Veranschaulichung oft das Bild der „Risikomatrix“ Anwendung findet.

3.     Im nun folgenden Schritt der Risikobehandlung geht es zunächst um die Festlegung einer individuellen, auf das jeweilige Unternehmen bzw. die jeweilige Institution abgestimmten Akzeptanzschwelle. Unterhalb dieser werden Risiken in Kauf genommen, denn nicht für jede Risikokategorie sind Gegenmaßnahmen sinnvoll und ökonomisch vertretbar.

4.     Für die verbleibenden Risiken sind Maßnahmen zu formulieren, um diesen zu begegnen. Diese lassen sich grob in die Gruppen der Vermeidung, Reduktion und des Transfers des jeweiligen Risikos unterteilen. Sie sind als Handlungsempfehlungen das Resultat der Risikoanalyse.

Schlussfolgerungen im Rahmen der IT-Grundschutz-Methodik

Das Vorgehensmodell des IT-Grundschutzes ist derart gestaltet, dass bei Umsetzung der dort als Basis und Standard definierten Sicherheitsanforderungen durch die Institution in einem typischen IT-Systemverbund und ebensolchen Anwendungsszenarien ein ausreichender Schutz für Informationen mit einem normalen Schutzbedürfnis gewährleistet ist.

Eine explizite Risikoanalyse ist deshalb hier nur dann notwendig, wenn:

•   Informationen innerhalb der betrachteten Systeme oder Prozesse einen Schutzbedarf haben, der darüber hinausgeht – die Informationen bezüglich ihrer Vertraulichkeit, Verfügbarkeit und/oder Integrität also als „besonders“ schützenswert eingeschätzt werden,
• es für das betrachtete System bzw. den Prozess im IT-Grundschutz keine zuordenbaren vorformulierten Sicherheitsanforderungen gibt,
• der Anwendungsfall für die gewählten Sicherheitsanforderungen des IT-Grundschutzes als untypisch eingeschätzt werden muss.

Die in der Risikoanalyse als Ergebnis formulierten Handlungsempfehlungen stellen dann ergänzende, individuell zugeschnittene Sicherheitsanforderungen dar, deren Umsetzung zu prüfen ist.

Nutzwert über den IT-Grundschutz hinaus

Auch wenn ein Unternehmen ansonsten keinen Bezug zum BSI IT-Grundschutz hat: den Risiken in Bezug auf schützenswerte Geschäftsinformationen ist es in gleicher Weise ausgesetzt. Ein systematisches Vorgehen zur Betrachtung der relevanten Gefährdungen und dem Ableiten von Maßnahmen, diesen zu begegnen, kann nur von Vorteil sein.

Insofern ist auch nachvollziehbar, dass innerhalb des BSI IT-Grundschutzes das Thema „Risikomanagement“ in einem separaten Standard 200-3 behandelt wird, der zu wesentlichen Teilen auch eigenständig angewendet werden kann.

Ist das vielleicht auch für Ihr Unternehmen bzw. Ihre Institution sinnvoll? SPIRIT/21 kann Ihnen fachkundige Begleitung bei der Einschätzung möglicher Risiken und bei der Ableitung von Handlungsempfehlungen – innerhalb oder außerhalb des IT-Grundschutz-Rahmens – sein, sprechen Sie uns gerne an.