Zusätzliches Schutzziel "Authentizität" gemäß BSIG/KritisV

Hallo,

vorweg: das hier https://forum.verinice.com/t/schutzbedarf-erweitern-mit-wert-authentizitaet/907 habe ich gelesen, das bringt mich aber nicht so richtig weiter. Da geht es um Grundschutz. Mir geht es explizit um ISO 27001. Die Frage nach einer Doku dazu wurde damals nicht beantwortet. Da diese Diskussion zudem fast zwei Jahre alt ist und die Informationen vermutlich veraltet sind, wage ich hier einen neuen Versuch.

Für Organisationen, die der kritischen Infrastruktur angehören, wird in der Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG über das zusätzlich nachzuweisende Schutzziel „Authentizität“ gesprochen. Das ist also kein Spaß, sondern ein Muss.

Nachzulesen hier:

http://www.gesetze-im-internet.de/bsig_2009/

https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Allgemeine-Infos-zu-KRITIS/Nachweise-erbringen/OH_Nachweise/orientierungshilfe_node.html

Nun lässt sich das mit Verinice so nicht abdecken und ich suche nun einen eleganten Weg, die Authentizität mit reinzubringen. Ich könnte mir vorstellen, dass das Verinice-Team seit dem oben genannten Forumsbeitrag bei diesem Thema ein paar Schritte weiter ist. Es dürfte ja auch für andere Anwender/innen interessant sein. Bisher wurde immer recht zügig auf neue gesetzliche Vorgaben reagiert und vielleicht ist ja bereits eine entsprechende Anpassung für Verinice in Planung. Oder zumindest eine leicht nachvollziehbare Anleitung auch zum Anpassen der Reports.

Freue mich über weiterführende Informationen,

herzlichst
Friedlieb

Hallo Friedlieb,

ich sehe das Problem (die Vorgabe) als nicht gravierend an. Die Konkretisierung nennt zwar in 2.1 die Authentizität als Schutzziel, sogar noch vor der Vertraulichkeit, aber in den detaillierten Ausführungen wird der Begriff ausschließlich für die Authentifizierung von Anmeldungen an Verfahren verwendet. Also nicht für die, eigentlich hinter dem Begriff stehende Verpflichtung zur Nachvollziehbarkeit von Informationsänderungen, der Nichtabstreitbarkeit.

Beispielsweise die Nummer 13, hier ist der Bezug auf SYSTEME, die 26, Geheimhaltung von Benutzerinformationen, 27, Anmeldeverfahren, 29, Passwortsicherheit, 30, Zugriffssicherheit …

Der einzige Ansatz in Richtung Authentizität der zu verarbeitenden Informationen ist die 33, Verschlüsselung.

Meiner Ansicht nach benötigen wir also kein viertes Schutzziel im ISMS mit der zugehörigen Bewertung und Risikoanalysen etc., sondern müssen lediglich bei den Authentifizierungsverfahren für Anwendungen und Systeme eine erhöhte Sicherheitsanforderung berücksichtigen.

Und das klappt ja wunderbar mit verinice im Standard.

Auf Feedback der Community bin ich jetzt sehr gespannt.

Ciao
Pitti

2 „Gefällt mir“

Vielen Dank, Pitti.

Der Jammer ist halt, dass unsere Berater, die auch als ISO 27001-Auditoren gerade im Bereich Kritis unterwegs sind, das anders sehen. Und deshalb hatte ich ja auch gefragt, wie ich die Authentizität in Verinice konkret umsetzen kann und nicht, ob das ein Muss ist. :wink:

Allerdings wird dein Ansatz auch von der oben verlinkten Kritis-Orientierungshife des BSI gestützt, denn dort steht unter 4. KRITIS-Schutzbedarf auf Seite 21 der

Hinweis: § 8a Absatz 1 BSIG verlangt „[…] Vorkehrungen zur Vermeidung von Störungen der
Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit […]“. Ein Risikomanagement unter
Bewertung von Vertraulichkeit, Integrität und Verfügbarkeit, wie in ISO 27001 oder IT-Grund-
schutz des BSI üblich ist möglich, solange sichergestellt ist, dass Authentizität bei der Risiko-
bewertung und Maßnahmenauswahl berücksichtigt wird.

Und das ist ja schon mal was.

Dennoch bin ich weiterhin dankbar für eine Anleitung, wie ich die Authentizität in Verinice reinbekomme. Just in Case…

Herzlichst
Friedlieb

Wieder ein paar Jahre später - wir bräuchten auch die Authentizität als separat zu behandelndes Schutzziel. Wir werden das, wie vorgeschlagen, im Rahmen der Risikoanalyse im Zusammenhang mit der Vertraulichkeit „manuell“ abarbeiten. Aber sauberer wäre es schon, das explizit als Schutzziel überall mitzuführen und zu verrechnen.

1 „Gefällt mir“

Hallo, vielleicht hilft eine Argumentation in die folgende Richtung …

„Das geforderte Schutzziel „Authentizität“ wird im Institut im Rahmen des Schutzziels „Integrität“ mit betrachtet, da es im Kontext elektronischer Kommunikation nicht sinnvoll ist die Integrität der Daten und des Datenursprungs unabhängig voneinander zu betrachten: Eine Information mit modifiziertem Inhalt aber mit bekanntem Absender ist ebenso nutzlos, wie eine Information mit unverändertem Inhalt aber vorgetäuschtem Absender.“

2 „Gefällt mir“

Genau so haben wir das inzwischen auch gemacht, danke für den Hinweis! :grinning:

Vielleicht von mir noch ein Hinweis.
Offensichtlich gibt es einen Unterschied zwischen dem NIS2UmsG und der eigntlichen EU-NIS2. Dieser macht sich in Deutschland nicht bemerkbar, weil man dort der Argumentation von Marc offensichtlich folgt.
Schwierig wird es aber im Kontext der Durchführungsbestimmung zu NIS2, welche für bestimmte Sektoren gilt.
Dort wird das Schutzziel Authentizität explizit gefordert.
Da die ´Durchführungsbestimmung über der lokalen Umsetzung von NIS2 steht, müssen die davon betroffenen Unternehmen sich voielleicht doch noch Gedanken machen.

As part of the cybersecurity risk management process, the relevant
entities shall:
(d) in line with an all-hazards approach, identify and document the risks posed to the security of network and information systems, in particular in relation to third parties and risks that could lead to disruptions in the availability, integrity, authenticity and confidentiality of the network and information systems, including the identification of single point of failures