Independent Competence Platform
for Integrated Security in Switzerland.

Risikoabschätzung von Cyberbedrohungen

Geldverschwendung oder Mehrwert?
Jeden Tag lässt sich von Angriffen und Schwachstellen lesen. die Folgen für ein Unternehmen sind oft nicht abschätzbar. Soll durch ein Software-Update die Lücke geschlossen und dabei die Gefahr eingegangen werden, dass ein System nicht mehr läuft oder soll ein Unternehmen das Risiko eines Angriffes in Kauf nehmen?

Ein Ausfall oder gar Datenverlust kann gravierende Folgen für das gesamte Unternehmen bis hin zur Insolvenz haben. Menschen und Maschinen sind auf die ständig verfügbaren Informationen angewiesen. Daher gilt es, die IT-Umgebung zu schützen, sei dies vor Angriffen, Ausfällen, Datenmanipulation oder Fehlhandlungen. Die Risikoanalyse zeigt auf, wie es um die eigene IT-Sicherheit steht. Dabei genügt es nicht, nur die technischen Mittel einer Firma zu prüfen. Wichtig sind auch die Organisation und das technische sowie sicherheitsrelevante Wissen.

Das Vier-Linien-Modell
Das Four-Lines-of-Defense-Model (zu Deutsch das Modell der vier Verteidigungslinien) ist ein Modell zum systematischen Erfassen von Risiken, die in einem Unternehmen auftreten können. Diese müssen frühzeitig erfasst, identifiziert, analysiert, bewertet und mit wirtschaftlich angepassten Massnahmen angegangen werden. Das Modell fördert auch die Verbesserung der Kommunikation innerhalb der Organisation wie auch die Identifikation einzelner Personen, mit dem Ziel eines effektiven Risikomanagements. Die vier (Verteidigungs-) Linien umfassen:

1. Linie: Diese umfasst die Kontrollen im Alltagsgeschäft durch Mitarbeitende und Führungspersonen und stellt Verhaltensgrundsätze wie Reglemente und Weisungen auf.

2. Linie: Diese Linie beinhaltet die Informationspolitik sowie Reglemente und Weisungen. Zentral sind das Risikomanagement, das interne Kontrollsystem (IKS) und die Datenschutz-Funktion durch einen betrieblichen Datenschutzbeauftragten (bDSB) sowie die IT-Security-Funktion durch einen Chief Information Security Officer (CISO). Die Berichterstattung mit jährlichem Risk- und Massnahmenreport erfolgt an den Verwaltungsrat. Die zweite Linie umfasst ausserdem ein Business Continuity Management, regelmässige Schulungen und Übungen und die Strategiekontrolle.

3. Linie: In dieser Linie führt das Unternehmen regelmässige, interne Audits durch. Audits beziehungsweise Zertifizierungen sind beispielsweise die ISO 27001.

4. Linie: Diese beinhaltet die externe Revision und die Berichterstattung an die Aufsicht.

Risiken beurteilen und identifizieren
Damit dieses Linienmodell funktioniert, gilt es, einen Risikobeurteilungsprozess zu etablieren. Dabei sollte die Informationssicherheit keine Insellösung darstellen, sondern das gesamte Unternehmen umfassen. Für die Durchführung einer Risikoanalyse definiert das Unternehmen in einem ersten Schritt die Kriterien, dazu gehören beispielsweise folgende Fragen: wer, wie, wann, Art der Dokumentation. Es ist wichtig, dass bei einer erneuten Durchführung der Risikobewertung konsistente und vergleichbare Ergebnisse erzielt werden.
Um eine gute Aussage erhalten zu können, identifiziert das Unternehmen in einem ersten Schritt die vorhandenen Prozesse: Was wird in diesen gemacht? Welche Daten werden verarbeitet? Welche Kritikalität haben diese Prozesse? Welche Personen sind involviert? Welche (technischen) Systeme werden genutzt? Somit gibt es bereits Prozesse und Werte. Im Englischen wird das Wort Asset dazu verwendet, was etwas genauer sagt, um was es geht. Es sind nicht nur Server und Laptops gemeint, sondern auch Papier-Unterlagen, Wissen und Patente. Die identifizierten Werte werden einem Besitzer (Owner) zugewiesen und die Vertraulichkeits-, Integritäts- und Verfügbarkeitsanforderungen bestimmt.

Im zweiten Schritt gilt es, mögliche Bedrohungen zu identifizieren. Ein Risiko tritt dann ein, wenn eine Bedrohung und eine Schwachstelle aufeinandertreffen. Wenn zum Beispiel eine Schwachstelle in einer Software vorhanden ist, ist dies zwar ärgerlich, aber noch kein Grund, in Panik zu verfallen. Sobald aber ein Programm oder schon nur eine Anleitung - ein sogenanntes Proof of Concept - zur Ausnutzung der Schwachstelle vorhanden ist, existiert eine reale Gefahr.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein tolles Werkzeug für alle möglichen Bedrohungen erarbeitet. Die Grundschutzkataloge listen in sechs Kategorien über 700 Gefährdungen auf. Das BSI arbeitet ohne Schwachstellen und weist die Bedrohungen direkt den Werten zu, sogenannte Werte-Bausteine. Wer unsicher ist, welche Bedrohungen für einen
Wert existieren, geht zum entsprechenden Baustein und im ersten Teil werden alle passenden Bedrohungen aufgelistet. So kann der eigene Aufwand massiv reduziert werden. Hinweis: Das BSI überarbeitet gerade die Grundschutzkataloge und spricht neu vom Grundschutzkompendium. Die nächste Erweiterung wird im Februar 2019 veröffentlicht.

Risikobewertung
Nun gilt es, das Risiko zu bewerten, wie wahrscheinlich eine Bedrohung wirklich eintritt. Dazu hat sich etabliert, die Eintrittswahrscheinlichkeit und die Auswirkungen einzeln zu bestimmen. Es spielt keine Rolle, ob ein Unternehmen dazu drei, vier, fünf oder gar mehr Stufen verwendet. Es muss aber genau definieren, was die Stufen bedeuten. Die Norm fordert, dass vergleichbare Resultate bei regelmässigen Risikoanalysen entstehen. Eine Möglichkeit ist ein dreistufiges Modell: gering, mittel, hoch mit den jeweiligen Werten null, eins und zwei. In einem nächsten Schritt bringt das Unternehmen die Werte in einen Zusammenhang. Beim Addieren der beiden Werte aus Eintrittswahrscheinlichkeit und Auswirkungen entstehen als Ergebnis Werte von null bis vier. Nun gilt es, Kriterien zur Behandlung dieser Risiken zu bestimmen. Folgende Definition könnte eine Möglichkeit sein: Die Werte null, eins und zwei sind akzeptable Risiken (Grün), während die Werte drei und vier inakzeptable Risiken sind (Rot). Inakzeptable Risiken muss ein Unternehmen behandeln. Sollte jedoch die Auswirkung oder die Wahrscheinlichkeit «Hoch», das heisst Wert 2, sein, entscheidet die Geschäftsleitung, ob das Risiko behandelt werden muss oder nicht (Orange).


Security-Finder Schweiz: Newsletter