Risiko-Verhinderungs-Maßnahmen nicht einheitlich von betroffenen Assets implementiert

Hallo Zusammen :slightly_smiling_face:,

Folgendes Problem hindert mich im verinice an einem aussagekräftigen Report zur Risikobehandlung:

ich habe zwei Assets, bspw. zwei Systeme, die beide von dem Risiko „Spionage“ betroffen sind.
Nun hat System 1 eine starke Authentifizierungsmethode implementiert, System 2 aber nicht.
Die starke Authentifizierungsmethode ist eine Maßnahme, um das Szenario „Spionage“ zu verhindern, also eine Maßnahme, die mit dem Szenario verknüpft werden sollte.
Tut man dies, so behandelt verinice es allerdings so, als wäre nicht nur System 1 durch diese Konfiguration vor dem Szenario geschützt, sondern alle Systeme, die von dem Szenario betroffen sind, was zu falschen Ergebnissen in der Risikobewertung führt.
Hat jemand eine Idee, wie man dieses Problem sauber lösen kann?

Eine Verknüpfung der Maßnahme mit dem Asset ist der bisher eingeschlagene Weg, allerdings wird damit nach meinem Verständnis die Logik des verinice-Tools verletzt denn:
Wenn die Spionage schon passiert ist, dann hat offensichtlich die Maßnahme zur Verhinderung (starke Authentifizierungsmethode) nichts gebracht, und ich kann auch nicht erkennen, dass sie die Auswirkungen des Vertraulichkeitsverlustes nachträglich reduzieren könnte.

Viele Grüße,

Z. Aydin

Hallo Aydin,

bei der Risikoanalyse in der ISM-Perspektive können Maßnahmen (Controls) entweder mit dem Asset oder mit dem Szenario verknüpft werden. Je nachdem mit welchem Objekt die Verknüpfung hergestellt wird, wird entweder der Business Impact (CIA) oder die Eintrittswahrscheinlichkeit beeinflusst. Um welchen Wert das ganz reduziert werden soll, wird im Control-Level der Maßnahme festgesetzt.
Demnach ist Ihre Vorgehensweise, das Control mit dem Asset zu verknüpfen, korrekt.


MfG
tanisow

Hallo Frau Tanisow,
danke für Ihre Antwort.
Genau die von Ihnen geschilderten Fakten führen für mich allerdings zur Schlussfolgerung die Maßnahme mit dem Risiko (und nicht mit dem Asset) zu verknüpfen.

Der Gedankengang ist dabei:
Wenn Maßnahmen zur Auswirkungsreduktion eingesetzt werden, dann setzt das doch voraus, dass das Risiko eingetreten ist. Einen Unbefugten aus dem Gebäude verweisen muss man nur, wenn ein ein unbefugter eingedrungen ist. Damit würde man die Vertraulichkeit des Gebäudes wieder herstellen (heißt die Auswirkung auf den Business Impact Vertraulichkeit des Assets reduzieren).
Ein Sicherheitsschloss dagegen stellt keine Vertraulichkeit wieder her, wenn ein Unbefugter eingedrungen ist, sondern könnte die Eintrittswahrscheinlichkeit des Risikos (unbefugter Zutritt) reduzieren.

Ein Kollege von Ihnen hatte in diesem Thread erwähnt:

Erst im zweiten Schritt werden die Controls wahlweise:
mit dem Szenario verknüpft, wenn sie die Eintrittswahrscheinlichkeit reduzieren. Dies ist übrigens bei ca. 80% der Controls der Fall.

mit dem Asset verknüpft, wenn sie die mögliche Auswirkung (Business Impact) hinsichtlich Vertraulichkeit, Integrität und/oder Verfügbarkeit reduzieren.
Zu diesem Ergebnis komme ich durch die Maßnahmen Verknüpfung, wie oben beschrieben auch.

Nach Ihrer Schlussfolgerung und Anwendung komme ich zu einer viel höheren Anzahl an Maßnahmen, die mit Assets verknüpft sind.

Viele Grüße,
Z.Aydin

Hallo Aydin,

wie der Kollege bereits geschrieben hat: im ersten Schritt werden die Assets mit dem Szenario verknüpft. Im zweiten Schritt werden Controls mit Szenario/Asset verknüpft.

Ich gebe Ihnen Recht: Es gibt verschiedene Arten von Maßnahmen (z.B. Korrektur- oder Vorbeugemaßnahmen), die man unterscheiden kann. Ihr Gedankengang kann natürlich korrekt sein, allerdings gibt es auch Maßnahmen die man mit dem Asset verknüpfen kann ohne dass vorher ein Szenario eingetretten ist.

Als Beispiel:

  • Sie haben ein Asset: Laptop/Client und ein Szenario: Diebstahl/Verlust
  • Dieses Asset kann unterschiedlich „abgesichert“ werden. Aus diesem Grund haben Sie die Möglichkeit verschiedene Maßnahmen zu erzeugen z.B.: 1. Maßnahme: Diebstahlschutz (Schloss) 2. Maßnahme: Festplattenverschlüsselung

Nun verhalten sich die Maßnahmen so, dass das Schloss die Eintrittswahrscheinlichkeit des Szenarios reduziert und die Festplattenverschlüsselung den Business Impact (Vertraulichkeit). Dh. selbst wenn der Laptop weg ist, sind die geheimen Informationen sicher. Ich würde sagen, die Maßnahme setzt nicht unbedingt voraus, dass das Szenario bereits eingetroffen ist. Trotzdem wird diese mit dem Asset verknüpft.

Die Anzahl der Maßnahmen, die mit einem Asset verknüpft werden, hängt natürlich auch davon ab welche Maßnahmen Sie in Ihrer Organisation implementiert haben.


MfG
tanisow

Hallo tanisow,

vielen Dank für Ihre Erklärung, ich sehe verinice versteht das ganze etwas anders, als ich das bisher tue.
Damit stehe ich aber leider gleichzeitig wieder vor demselben Problem:
die Verschlüsselung der Festplatte wird als Control gegen das Szenario „Hacking/unbefugter digitaler Zugriff auf IT-Systeme“ eingesetzt. Die Control „Verschlüsselung“ ist eine Maßnahme, die das Szenario verhindern soll. Verknüpfe ich nun diese Maßnahme mit dem Szenario, wird es so behandelt, als wäre die Wahrscheinlichkeit des Szenarios für alle von ihm betroffenen Assets verringert , was wieder nicht stimmt, da nicht alle Assets einen entsprechenden Schutz implementieren.

Müsste man nicht bei der Herstellung der Verknüpfung RisikoxControl eine Option bekommen jene Assets auszuwählen, die von dem Risiko betroffen sind, und eine entsprechende Vorsorgemaßnahme einsetzen?

Freundliche Grüße,

Aydin

Hallo Aydin,

wenn Sie ein Control haben welches verschiedene Implementierungsstatus haben kann, je nachdem um welches Asset/Szenario es sich handelt. So müssen Sie dieses Control mehrfach anlegen und entsprechend mit den unterschiedlichen Assets/Szenarien verknüpfen.


MfG
tanisow