vorweg: das hier https://forum.verinice.com/t/schutzbedarf-erweitern-mit-wert-authentizitaet/907 habe ich gelesen, das bringt mich aber nicht so richtig weiter. Da geht es um Grundschutz. Mir geht es explizit um ISO 27001. Die Frage nach einer Doku dazu wurde damals nicht beantwortet. Da diese Diskussion zudem fast zwei Jahre alt ist und die Informationen vermutlich veraltet sind, wage ich hier einen neuen Versuch.
Für Organisationen, die der kritischen Infrastruktur angehören, wird in der Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG über das zusätzlich nachzuweisende Schutzziel „Authentizität“ gesprochen. Das ist also kein Spaß, sondern ein Muss.
Nun lässt sich das mit Verinice so nicht abdecken und ich suche nun einen eleganten Weg, die Authentizität mit reinzubringen. Ich könnte mir vorstellen, dass das Verinice-Team seit dem oben genannten Forumsbeitrag bei diesem Thema ein paar Schritte weiter ist. Es dürfte ja auch für andere Anwender/innen interessant sein. Bisher wurde immer recht zügig auf neue gesetzliche Vorgaben reagiert und vielleicht ist ja bereits eine entsprechende Anpassung für Verinice in Planung. Oder zumindest eine leicht nachvollziehbare Anleitung auch zum Anpassen der Reports.
ich sehe das Problem (die Vorgabe) als nicht gravierend an. Die Konkretisierung nennt zwar in 2.1 die Authentizität als Schutzziel, sogar noch vor der Vertraulichkeit, aber in den detaillierten Ausführungen wird der Begriff ausschließlich für die Authentifizierung von Anmeldungen an Verfahren verwendet. Also nicht für die, eigentlich hinter dem Begriff stehende Verpflichtung zur Nachvollziehbarkeit von Informationsänderungen, der Nichtabstreitbarkeit.
Beispielsweise die Nummer 13, hier ist der Bezug auf SYSTEME, die 26, Geheimhaltung von Benutzerinformationen, 27, Anmeldeverfahren, 29, Passwortsicherheit, 30, Zugriffssicherheit …
Der einzige Ansatz in Richtung Authentizität der zu verarbeitenden Informationen ist die 33, Verschlüsselung.
Meiner Ansicht nach benötigen wir also kein viertes Schutzziel im ISMS mit der zugehörigen Bewertung und Risikoanalysen etc., sondern müssen lediglich bei den Authentifizierungsverfahren für Anwendungen und Systeme eine erhöhte Sicherheitsanforderung berücksichtigen.
Und das klappt ja wunderbar mit verinice im Standard.
Auf Feedback der Community bin ich jetzt sehr gespannt.
Der Jammer ist halt, dass unsere Berater, die auch als ISO 27001-Auditoren gerade im Bereich Kritis unterwegs sind, das anders sehen. Und deshalb hatte ich ja auch gefragt, wie ich die Authentizität in Verinice konkret umsetzen kann und nicht, ob das ein Muss ist.
Allerdings wird dein Ansatz auch von der oben verlinkten Kritis-Orientierungshife des BSI gestützt, denn dort steht unter 4. KRITIS-Schutzbedarf auf Seite 21 der
Hinweis: § 8a Absatz 1 BSIG verlangt „[…] Vorkehrungen zur Vermeidung von Störungen der
Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit […]“. Ein Risikomanagement unter
Bewertung von Vertraulichkeit, Integrität und Verfügbarkeit, wie in ISO 27001 oder IT-Grund-
schutz des BSI üblich ist möglich, solange sichergestellt ist, dass Authentizität bei der Risiko-
bewertung und Maßnahmenauswahl berücksichtigt wird.
Und das ist ja schon mal was.
Dennoch bin ich weiterhin dankbar für eine Anleitung, wie ich die Authentizität in Verinice reinbekomme. Just in Case…
Wieder ein paar Jahre später - wir bräuchten auch die Authentizität als separat zu behandelndes Schutzziel. Wir werden das, wie vorgeschlagen, im Rahmen der Risikoanalyse im Zusammenhang mit der Vertraulichkeit „manuell“ abarbeiten. Aber sauberer wäre es schon, das explizit als Schutzziel überall mitzuführen und zu verrechnen.
Hallo, vielleicht hilft eine Argumentation in die folgende Richtung …
„Das geforderte Schutzziel „Authentizität“ wird im Institut im Rahmen des Schutzziels „Integrität“ mit betrachtet, da es im Kontext elektronischer Kommunikation nicht sinnvoll ist die Integrität der Daten und des Datenursprungs unabhängig voneinander zu betrachten: Eine Information mit modifiziertem Inhalt aber mit bekanntem Absender ist ebenso nutzlos, wie eine Information mit unverändertem Inhalt aber vorgetäuschtem Absender.“
