Risikoanalyse Indirekte Wirkung / nicht relevant

Hallo zusammen,

Es geht (wiedermal) um mein Lieblingsthema Risikoanalyse. Im Zuge unseres Audits kam nochmals die Diskussion hoch, wie Gefährdungen mit einer indirekten Wirkung bzw. nicht relevante Gefährdungen sinnvoll und übersichtlich dokumentiert werden können. So wie ich es sehe, ist dies aktuell in verinice nicht möglich. Ich meine tatsächlich das Thema hier auch schon mal gelesen zu haben, aber ich kann es im Moment nicht mehr finden.

Mein Vorschlag wäre konkret im Auswahlfeld „Risikobehandlung“ einen weitere Möglichkeit zu integrieren für „indirekte Wirkung / nicht relevant“ (gemäß 200-3) damit man sauber dokumentieren kann, dass man eine Gefährdung betrachtet hat, aber im entsprechenden Kontext diese nicht relevant ist bzw. woanders behandelt wird. Perfekt wäre es noch, wenn dann die entsprechende Gefährdung vielleicht mit „blau“ gekennzeichnet wird (damit es auch direkt beim Überblick erkenntlich ist).

Ich würde mich über Feedback zu dieser Idee freuen und natürlich hoffen, dass diese in einem kommenden Release integriert wird (sollte nach meinem Verständnis ja nicht so komplex sein).

Gruß Carlo Cottin

Ich stecke fachlich nicht so drinnen, aber ich dachte Auswirkung: „vernachlässigbar“ mit Risikobehandlung: „Risikoakzeptanz“ sagt genau das aus?

Ich hab das mal als feature idee zur Diskussion gestellt. Danke für den Vorschlag!

Hallo Herr @Cotttin,

da die Risikoanalyse auch eines meiner Lieblingsthemen ist, steige ich gerne in die Diskussion ein

Bei der angesprochenen Fragestellung handelt es sich gemäß BSI-Standard 200-3 Kapitel 4.1 um die Ermittlung von elementaren Gefährdungen als Ausgangspunkt für die Risikoanalyse, also nicht die Risikoanalyse selbst!

Die Ermittlung von elementaren Gefährdungen ist wie dort beschrieben nur für benutzerdefinierte Bausteine erforderlich:

„Für bestehende Bausteine wurde bereits vorab eine Risikoanalyse durchgeführt und damit wurden für diese Bausteine bereits die relevanten elementaren Gefährdungen ermittelt, die als Ausgangspunkt der Gefährdungsanalyse verwendet werden können.“

Für vom BSI im IT-Grundschutz-Kompendium veröffentlichte Bausteine ist dieser Schritt demnach nicht mehr erforderlich und eben kein Bestandteil der durchzuführenden Risikoanalyse!

Allein bei der Erstellung benutzerdefinierter Bausteine ist demnach die Ermittlung der elementaren Gefährdungen (sowie die Ermittlung eventueller zusätzlicher Gefährdungen) erforderlich.

Primäres Ziel sollte dabei sein, die relevanten Gefährdungen zu ermitteln und für die Risikoanalyse in den benutzerdefinierten Baustein zu übernehmen, wie auch im Standard gefordert:

„„Direkt relevant“bedeutet hier, dass die jeweilige Gefährdung auf das betrachtete Zielobjekt ein­wirken kann und deshalb im Rahmen der Risikoanalyse behandelt werden muss.“

Erst im zweiten Schritt würde ich persönlich die irrelevanten Gefährdungen hinterfragen und wo sinnvoll im Baustein selber dokumentieren, warum diese ausgeschlossen wurden. Der Einfachheit halber dokumentiere ich das ganz konkret in einem Dokument Ermittlung elementarer Gefährdungen und hänge es in verinice an den Baustein an. Ich würde diese Gefährdungen aber eben nicht mit in den Baustein aufnehmen und mir aufbürden dann in der Risikoanalyse doch wieder alle 47 elementaren Gefährdungen bewerten zu müssen!

Ich persönlich halte es in diesem Kontext auch nicht für sinnvoll, sprich einen Mehrwert für die Informationssicherheit bietend, wenn ich begründe, warum ich die Gefährdung Feuer als irrelevant für das Zielobjekt Betriebssystem bewerte. Die Beispiele im BSI-Standard 200-3 sind diesbezüglich in meinen Augen zum Teil unglücklich gewählt.

Der folgende Abschnitt aus dem Standard fasst den letztgenannten Punkt stichhaltig zusammen:

„„Nicht relevant“ heißt hier, dass die jeweilige Gefährdung nicht auf das betrachtete Zielobjekt ein­ wirken kann und deshalb für dieses Zielobjekt im Rahmen der Risikoanalyse nicht behandelt wer­den muss.“

Analog würde ich auch mit den Gefährdungen mit indirekter Wirkung verfahren, wobei ich den folgenden Abschnitt aus dem Standard heranziehe:

„„Indirekt relevant“ meint hier, dass die jeweilige Gefährdung zwar auf das betrachtete Zielobjekt einwirken kann, in ihrer potenziellen Wirkung aber nicht über andere (allgemeinere) Gefährdun­gen hinausgeht. In diesem Fall muss die jeweilige Gefährdung für dieses Zielobjekt nicht gesondert im Rahmen der Risikoanalyse behandelt werden.“

Zusammenfassend lässt sich sagen, dass die Ermittlung der elementaren Gefährdungen als der Risikoanalyse vorgeschalteter Aufgabe für einen benutzerdefinierten Baustein resultiert in:

• Einem benutzerdefinierten Baustein mit relevanten elementaren und zusätzlichen Gefährdungen für die anschließende Risikoanalyse.

• Einer (wo sinnvoll) stichhaltig begründeten Liste mit als irrelevant bewerteten elementaren Gefährdungen und elementaren Gefährdungen, deren Wirkung als indirekt betrachtet wird, die zur Dokumentation an den Baustein angehängt wird.

Beides kann ich in verinice perfekt, das heißt stichhaltig nachvollziehbar und mit geringstmöglichem Aufwand dokumentieren.

Ich hoffe meine Antwort trifft auf Ihre Zustimmung und freue mich ggfs. auf weitere Diskussion.

MfG mflue

Der Vollständigkeit halbe verschiebe ich den Feature Request in die Rubrik Erledigt.

mfg mflue

Hallo und direkt erstmal danke für die ausführliche Antwort!

Ich gebe Ihnen erstmal Recht, dass wir uns noch im Schritt Ermittlung der elementaren Gefährdungen befinden und (noch) nicht in der Risikoanalyse und ja, primär betrifft es benutzerdefinierte Bausteine. Trotzdem ergibt sich das Problem m.E. auch für Zielobjekte die perfekt mit dem bestehenden Kompendium modelliert werden können weil ich hierbei elementare Gefährdungen x-mal ggf. auf unterschiedlichen Ebenen betrachten muss (wir haben bei uns eine hohe dreistellige Anzahl an Gefährdungen alleine auf Basis der regulären Modellierung nach BSI GS unabhängig von individuellen spezifischen Gefährdungen). Sie schlagen vor, dies mit einer begründeten Liste an das Zielobjekt zu hängen (was natürlich geht), aus meiner Sicht würde ich dann aber die strukturierte Abbildung über verinice bevorzugen.

Die Behandlung der Themen über den Masseneditor ist natürlich auch möglich, aber hiermit verbaue ich mir m.E. die Möglichkeit sinnvolle Auswertungen zu erzeugen (was in verinice m.E. perfekt über die Abfragen möglich ist) weil dadurch Risiken (also jetzt wirklich Risiken) mehrfach auftauchen obwohl es faktisch nur einmal da ist. Risiken in der Informationssicherheit betreffen ja i.d.R. nie nur ein Zielobjekt sondern immer „die gesamte Kette“, wenn ich nun ein mittleres oder hohes Risiko in einem Informationsverbund habe, welches 5 Zielobjekte betrifft will ich ja auch nicht in einem Report an die Leitung 5 (identische) Risiken ausweisen. Wir haben dies teilweise gelöst, indem wir die übergreifenden Risiken auf Ebene der Prozesse (mit zusätzlichen Verknüpfungen auf die einzelnen technischen Zielobjekte) beschrieben haben, was mich aber dann wieder zurück auf die ursprüngliche Fragestellung bringt.

Sorry für das nerven hierbei, ich bin auch total zufrieden mit verinice, ich will nur den letzten Knoten im Kopf beim Thema Risikoanalyse nach 200-3 auflösen und eine transparente Struktur erzeugen (hierzu kommt auch gleich nochmal ne separate Frage zum Umgang mit dem Status Risikovermeidung aber ich wollte nicht zu sehr hier off-topic wandern).

Zusammenfassend: Noch haben Sie mich nicht vom Status „erledigt“ überzeugt, ich sehe immernoch einen Mehrwert für meinen Vorschlag

Gruß Carlo Cottin