Informationssicherheit – Risikomanagement

ISRM-Phasen

Erkennung

• Assets festlegen: Welche Daten, Systeme oder sonstigen Assets zählen zur "Königsklasse" Ihres Unternehmens? Wenn beispielsweise die Geheimhaltung, die Integrität oder die Ausfallsicherheit von Daten gefährdet wäre, welche Assets Ihrer Organisation wären davon am stärksten betroffen? Es ist unschwer zu erkennen, warum die Geheimhaltung von Daten wie Sozialversicherungsnummern und geistigem Eigentum so wichtig ist. Aber wie sieht es mit der Integrität aus? Wenn ein Unternehmen beispielsweise der Sarbanes-Oxley (SOX) -Regelung unterliegt, kann schon ein geringfügiges Integritätsproblem in den Finanzberichtsdaten enorme Kosten verursachen. Oder wenn eine Organisation einen Online-Musik-Streaming-Dienst anbietet und die Verfügbarkeit von Musikdateien beeinträchtigt ist, könnte sie Abonnenten verlieren.
• Schwachstellenbestimmung: Durch welche Schwachstellen auf Systemebene oder in der Software sind die Geheimhaltung, Integrität und Zugänglichkeit der Ressourcen gefährdet? Welche Schwachstellen oder Mängel in den Organisationsabläufen könnten dazu führen, dass Daten gefährdet werden?
• Bedrohungsszenarien: Was sind mögliche Ursachen dafür, dass Assets oder Daten gefährdet werden? Befindet sich das Rechenzentrum Ihrer Organisation beispielsweise in einem Gebiet, in dem Umweltbedrohungen wie Tornados und Überschwemmungen häufiger vorkommen? Werden Branchenkollegen von einem bekannten Verbrechersyndikat, einer Hacking-Aktivistengruppe oder einer von der Regierung unterstützten Instanz aktiv angegriffen und gehackt? Die Gefahrenmodellierung ist ein wichtiger Faktor, der den Kontext erweitert, da Risiken mit bekannten Bedrohungen und den verschiedenen Möglichkeiten, wie diese Bedrohungen durch Ausnutzung von Schwachstellen zu Risiken führen können, verknüpft werden.
• Maßnahmen festlegen: Welche Vorkehrungen haben Sie bereits getroffen, um bestimmte Assets zu schützen? Eine Kontrolle befasst sich direkt mit einer erkannten Schwachstelle oder Bedrohung, entweder durch deren vollständige Behebung (Remediation) oder durch die Verringerung der Wahrscheinlichkeit und/oder der Folgen, wenn das Risiko auftritt (Mitigation). Wenn Sie z. B. das Risiko erkannt haben, dass ausgeschiedene Benutzer weiterhin Zugang zu einer bestimmten Anwendung haben, könnte eine Kontrolle ein Vorgang sein, der Benutzer automatisch aus dieser Anwendung entfernt, sobald sie ausgeschieden sind. Eine Ersatzkontrolle ist eine "Sicherheitsnetz", das indirekt einem Risiko entgegenwirkt. In Anlehnung an das obige Beispiel könnte eine Ersatzkontrolle ein vierteljährliches Zugangsüberprüfungsverfahren sein. Bei dieser Überprüfung wird die Liste der Anwendungsbenutzer mit dem Benutzerverzeichnis und den Kündigungslisten des Unternehmens abgeglichen, damit Benutzer mit unberechtigtem Zugriff gefunden werden, die danach umgehend entfernt werden können.

Bewertung
In dieser Phase geht es darum, die von Ihnen erhobenen Daten über Assets, Schwachstellen und Kontrollen miteinander zu verbinden und ein Risiko einzugrenzen. Dafür gibt es viele Frameworks und Konzepte, aber wahrscheinlich werden Sie eine Abwandlung dieser Gleichung verwenden:

Risiko = (Bedrohung x Schwachstelle (Missbrauchswahrscheinlichkeit x Auswirkung des Missbrauchs) x Assetwert) – Sicherheitskontrollen

Beachten Sie, dass das eine stark vereinfachte Formelanalogie ist. Die Berechnung von Risikowahrscheinlichkeiten ist zum Leidwesen aller nicht ganz so einfach.

Bearbeitung
Nachdem ein Risiko bewertet und analysiert wurde, muss sich eine Organisation für entsprechende Maßnahmen entscheiden:

• Problembehebung: Implementierung einer Kontrolle, die alle oder nahezu alle zugrundeliegenden Risiken ausschließt.
  Beispiel: Sie haben auf einem Server, auf dem zentrale Assets hinterlegt sind, eine Schwachstelle erkannt und gehen nun dagegen mit einem Patch vor.
• Schadensbegrenzung: Verringerung der Wahrscheinlichkeit und/oder der negativen risikobasierten Konsequenzen, aber kein vollständiger Gefahrenausschluss.
  Beispiel: Sie haben auf einem Server mit wichtigen Daten eine Schwachstelle festgestellt. Aber anstatt die Schwachstelle zu beheben, führen Sie eine Firewall-Regel ein, die es nur bestimmten Systemen erlaubt, mit dem gefährdeten Dienst des Servers zu kommunizieren.
• Übertragung: Sie verlagern das Risiko auf eine andere Stelle, damit Ihre Organisation die durch die Risikoverwirklichung entstehenden Kosten decken kann.
  Beispiel: Sie schließen eine Versicherung ab, die alle Verluste im Zusammenhang mit dem Missbrauch anfälliger Systeme abdeckt. (Hinweis: Das dient als Ergänzung zur Risikobeseitigung und -minderung, kann diese aber nicht vollständig ersetzen).
• Risikobereitschaft: Das Risiko wird nicht bereinigt. Dies ist sinnvoll, wenn das Risiko ausgesprochen gering ist und der Aufwand für die Risikobeseitigung höher ist als die Kosten, die bei Eintritt des Risikos anfallen würden.
  Beispiel: Sie haben eine Sicherheitslücke auf einem Server festgestellt, sind aber zu dem Schluss gekommen, dass sich auf diesem Server keine sensiblen Daten befinden; er kann nicht als Einstiegspunkt für den Zugriff auf andere kritische Ressourcen verwendet werden, und eine erfolgreiche Ausnutzung der Sicherheitslücke ist sehr komplex. Infolgedessen entscheiden Sie, dass Sie keine Zeit und Ressourcen aufwenden müssen, um die Schwachstelle zu beheben.
• Risikoverhütung: Beseitigung sämtlicher Gefahren im Zusammenhang mit einem festgestellten Risiko 
  Beispiel: Sie haben Server mit Betriebssystemen (OS), die demnächst aus dem Verkehr gezogen werden (Ablauf der Nutzungsdauer) und keine Sicherheits-Patches mehr vom Hersteller des Betriebssystems erhalten. Auf diesen Servern werden sowohl vertrauliche als auch nicht vertrauliche Daten verarbeitet und gespeichert. Damit das Risiko einer Beeinträchtigung vertraulicher Daten vermieden wird, migrieren Sie diese vertraulichen Daten schnell auf neuere, patchbare Server. Die Server sind weiter im Betrieb und verarbeiten nicht vertrauliche Daten. Es wird ein Konzept zur Außerbetriebnahme der Server und zur Migration nicht vertraulicher Daten auf andere Server ausgearbeitet.

Kommunikation
Unabhängig davon, wie an ein Risiko herangegangen wird, muss die Entscheidung innerhalb der Organisation vermittelt werden. Die Stakeholder müssen die Kosten für die Bearbeitung oder Nichtbearbeitung eines Risikos und die Gründe für diese Entscheidung verstehen. Verantwortung und Rechenschaftspflicht müssen klar definiert und den einzelnen Personen und Teams im Unternehmen zugeordnet werden. Dadurch wird sichergestellt, dass die richtigen Personen zum richtigen Zeitpunkt in den Prozess eingebunden werden.

Wiederholungsschleife
Das ist ein laufender Prozess. Bei einem Aktionsplan, der die Durchführung einer Kontrolle erfordert, muss diese ihrerseits kontinuierlich überwacht werden. Diese Kontrolle wird vermutlich in ein System eingebunden, das sich im Laufe der Zeit verändert. Geöffnete Ports, ein geänderter Code und viele andere Faktoren können dazu führen, dass Ihr Kontrollsystem in den Monaten oder Jahren nach seiner ersten Implementierung nicht mehr funktioniert.

Zuständigkeiten

Im ISRM-Prozess gibt es viele Beteiligte, und jeder von ihnen hat unterschiedliche Aufgaben. Für einen reibungslosen Prozessablauf ist es entscheidend, die verschiedenen Rollen in diesem Prozess und die damit verbundenen Zuständigkeiten abzustecken.

Prozesseigentümer: In einer größeren Organisation kann ein Finanzteam oder ein Audit-Team für das Risikomanagementprogramm des Unternehmens (ERM) zuständig sein, während ein Informationssicherheits- oder Informationssicherungs-Team für das ISRM-Programm zuständig ist, das in das ERM-Programm einfließt. Die Angehörigen dieses ISRM-Teams müssen an Ort und Stelle sein und den Prozess kontinuierlich vorantreiben.

Die Risikoverantwortlichen: Einzelrisiken sollten von den Mitarbeitern einer Organisation getragen werden, die letztendlich mit ihrem Budget für die Problembehebung aufkommen. Anders ausgedrückt: Die Risikoverantwortlichen sind dafür verantwortlich, dass die Risiken entsprechend behandelt werden. Mit der Budgetabsegnung haben Sie das Risiko.

Neben den Risikoverantwortlichen gibt es auch andere Arten von Beteiligten, die entweder von dem gewählten Aktionsplan betroffen oder an seiner Umsetzung beteiligt sind, z. B. Systemadministratoren/-techniker, Systembenutzer usw.

Hier ein Beispiel dazu: Ihr für die Informationssicherheit zuständiges Team (Prozesseigentümer) ist mit der Entwicklung des m ISRM-Prozesses beschäftigt. Es wird ein Risiko, was die Nutzbarkeit des CRM-Systems (Customer Relationship Management) Ihres Unternehmens betrifft, festgestellt. Gemeinsam mit dem IT-Leiter (Eigentümer des CRM-Systems) und der Person in der IT-Abteilung, die das System tagtäglich verwaltet (CRM-Systemadministrator), erheben die Prozessverantwortlichen die erforderlichen Informationen, damit das Risiko bewertet werden kann.

Unter der Annahme, Ihre CRM-Software soll den Vertrieb in Ihrem Unternehmen unterstützen, und ein Ausfall der Daten in Ihrer CRM-Software würde sich letztlich auf den Vertrieb auswirken, dann ist der Leiter Ihrer Vertriebsabteilung (d. h. der Chief Sales Officer) wahrscheinlich der Risikoeigentümer. Der Risikoverantwortliche trifft die Entscheidung bezüglich der Umsetzung der verschiedenen Aktionspläne, die vom Informationssicherheitsteam, den Systemadministratoren, den Systemeigentümern usw. vorgelegt werden. Er akzeptiert das Restrisiko; allerdings werden Ihr Systemeigentümer und Ihr Systemadministrator wahrscheinlich wieder beteiligt sein, wenn es um die Umsetzung des Aktionsplans geht. Die Systembenutzer – also die Vertriebsmitarbeiter, die die CRM-Software täglich nutzen – sind ebenfalls an diesem Prozess beteiligt, da sie von einem bestimmten Aktionsplan betroffen sein können.

Das Risikomanagement ist eine permanente Aufgabe und sein Erfolg wird davon abhängen, wie gut die Risiken bewertet, die Pläne vermittelt und die Aufgaben wahrgenommen werden. Wenn Sie die entscheidenden Personen, Prozesse und Technologien zur Bewältigung der oben genannten Schritte definieren, schaffen Sie eine solide Grundlage für eine Risikomanagementstrategie und ein Risikomanagementprogramm in Ihrem Unternehmen, die im Laufe der Zeit weiterentwickelt werden können.