Einleitung: Schneller zu verantwortungsbewussten IT-Risikobewertungen
Standards für IT-Sicherheit haben typisch mindestens zwei Merkmale: Sie können Schlafstörungen heilen und einige von ihnen beschreiben eine relativ perfekte Welt, in der Verantwortliche für IT-Sicherheit viel Zeit haben, und wo es genügend Ressourcen gibt, Bedürfnisse zu analysieren, und Entscheidungen zu dokumentieren. Nun, ich habe diesen Beitrag vielleicht ein wenig sarkastisch begonnen, aber ich bin im Kern ein relativ großer Fürsprecher von Standards und von „best practice“. Es gibt keinen Grund, gute Dinge neu zu erfinden. Gegen die eventuelle Langweiligkeit von Standards kann ich nichts tun.
Aber ich habe einige Vorschläge zu schnelleren Wegen – 4 Abkürzungen – zu verantwortungsbewussten IT-Risikobewertungen, die Ihnen mit einer pragmatischen Einhaltung des ISO 27001, dem Standard mit dem meisten Rückenwind in Europa, helfen können, Zeit zu sparen.
Die erste Abkürzung heißt: Nicht alle Bestände. Ein Bestand im ISO 27001 ist sehr grob als all das definiert, welches für eine Organisation einen Wert darstellt, und der Standard besagt: „identifizierbare Bestände im Rahmen des Geltungsbereiches“.
Ich kenne keine Firma, die sämtliche Bestände registriert hat. Man sollte damit beginnen, die wichtigsten Geschäftsprozesse zu bewerten – und nicht alles andere. Und schon gar nicht alles mit einer IP-Nummer, wenn jemand unter Ihnen auf eine solche Idee kommen sollte.
Natürlich können Sie später jederzeit erweitern, damit die Dienstleistungen und die Systeme, die Ihre Geschäftsprozesse unterstützen, auch bewertet werden. Sie und Ihre Kollegen haben wahrscheinlich bereits ein gutes Gespür dafür, welche Geschäftsprozesse am wichtigsten sind. Diese Abkürzung ist also ein Wesentlichkeitskriterium, damit Sie als Firma weniger Bewertungen bekommen und Ihre Zeit für die wesentlichsten Bestände verwenden.
Die zweite Abkürzung ist: Nicht alle Bedrohungen. Mehrere Risiko-Standards enthalten ziemlich umfassende Kataloge über mögliche Bedrohungen. Wenn Sie selbst ein Brainstorming über all das machen, was schiefgehen könnte, entdecken Sie schnell, warum die Bedrohungskataloge (zu) lang werden können.
Die Abkürzung besteht in diesem Fall darin, Bestände in Typen aufzuteilen und danach zu identifizieren, welche Typen von Bedrohungen für welche Bestandstypen eine mögliche Relevanz haben. Zum Beispiel können nicht alle Typen von Beständen brennen: Geschäftsprozesse, IT-Dienstleistungen, logische Server etc. können nicht brennen. Das können nur physische Bestände wie Hardware und Gebäude.
Und selbst innerhalb der physischen Bestände können Sie verantwortungsbewusste Abkürzungen machen, indem Sie z. B. nur die Bedrohung eines Brandes im Rechenzentrum beurteilen – und nicht im Einzelnen die Teile der Ausrüstung, die sich ebenfalls im Rechenzentrum befinden. Diese Abkürzung führt zu weniger Bedrohungsbewertungen.
Vererbung nach oben und unten ist der Name der dritten Abkürzung. „Best practice“ und bewährte Standards schreiben vor, sowohl die BIA (Business Impact Assessments, also Geschäftsfolgenabschätzungen) als auch die Wahrscheinlichkeitseinschätzungen durchzuführen. Letzteres ist eine Abschätzung der Anfälligkeit Ihrer Bestände gegenüber relevanten Bedrohungen.
Ich weiß aus meiner Praxis, dass viele Unternehmen bei einer großen Anzahl von Beständen Schwierigkeiten haben, beide Arten von Einschätzungen durchzuführen. Es ist zum Beispiel schwierig, für Geschäftsprozesse eine Schwachstellenanalyse zu machen, und ebenso schwierig, eine Folgenabschätzung für einen Server durchzuführen.
Die Lösung besteht darin, die Abhängigkeiten zu identifizieren. In diesem Beispiel geben Sie an, von welchen anderen Beständen der Geschäftsprozess abhängig ist – also genau von den Beständen, die den Prozess unterstützen. Danach wird die Folgenabschätzung „nur“ in Bezug auf den Geschäftsprozess durchgeführt, während die Schwachstellenanalysen „nur“ für die unterstützenden Bestände erfolgen.
Die Geschäftsfolgen werden also nach unten an die unterstützenden Bestände vererbt, und die Schwachstellenbewertungen werden von den unterliegenden Systemen nach oben an den Geschäftsprozess vererbt. Auf diese Weise ergeben sich weniger Folgenabschätzungen und weniger Schwachstellenanalysen – bei gleichzeitiger Möglichkeit, alle notwendigen Bewertungen durchzuführen.
Die vierte und letzte Abkürzung heißt: übergeordnete Bewertungen zuerst. In einer Folgenabschätzung beurteilt man in der Regel, ob im Zusammenhang mit einem Sicherheitsvorfall Einnahmen, Kosten, Image oder die Einhaltung vertraglicher und gesetzlicher Verpflichtungen beeinflusst werden.
Die Abkürzung besteht darin, diese Faktoren gemeinsam und nicht einzeln zu bewerten. Das Gleiche gilt für Schwachstellenanalysen: Auch hier kann der Schutz gegen mehrere Bedrohungen gemeinsam beurteilt werden.
Zugegeben, es ist eine Abkürzung, und man wird vermutlich Experten finden, die sagen, dass dies nicht ausreichend ist. Ich bin jedoch der Meinung, dass Sie später bei den einzelnen Beständen viele Möglichkeiten haben werden, dort, wo es sinnvoll ist, zu verfeinern und genauer zu bewerten. Gerade für Organisationen, die Risikobewertungen noch nicht als wiederkehrende Routine etabliert haben, ist diese Abkürzung verantwortungsbewusst und pragmatisch.
Nicht alle Bestände
Nicht alle Bedrohungen
Vererbung nach oben und unten
Übergeordnete Bewertungen zuerst
Denken Sie daran, dass IT-Risikobewertung und IT-Risikomanagement – wie alles im Bereich Sicherheit – ein Prozess sind und weder ein Projekt noch eine Momentaufnahme. Dieses Wissen können Sie nutzen, um die Risikobewertungen zu Beginn sanft anlaufen zu lassen und die Abkürzungen großzügig einzusetzen.
Später können Sie Ihre Methoden verfeinern und präzisieren, indem Sie z. B. mehrere Bestände, Bedrohungen und Personen einbeziehen (mehrere Bewertungen) und/oder detailliertere Bewertungen durchführen.
Mit diesen Abkürzungen sparen Sie Zeit und/oder erreichen das Ziel der ISO-27001-Konformität mit weniger Aufwand – völlig verantwortungsbewusst.
Die vier Abkürzungen können Sie mit, aber auch ohne, das IT-Risikomanagement-Tool von NorthGRC anwenden. Lesen Sie außerdem, wie das GRC-Tool Sie bei effektiven IT-Risikobewertungen und bei der Behandlung von Risiken unterstützt und Ihnen hilft, Ihre IT-Sicherheitsarbeit im Griff zu behalten.
Eines der wichtigsten Elemente der ISO 27001 ist die Forderung, dass IT-Sicherheit auf den realen Risiken basieren muss, denen Organisationen ausgesetzt sind. Die Gesamtheit dieser Aktivitäten wird als Risikomanagement bezeichnet.
Die achtseitige Risikomanagement-Anleitung von NorthGRC wurde auf Grundlage der Norm für Risikomanagement ISO 27005 erarbeitet.