Schutzbedarfsanalyse

Bundesamt für Sicherheit in der Informationstechnik

• Angreifende geben sich als vertrauenswürdige Personen/ Organisationen aus

• versenden dringlich klingende Nachrichten, um Angst zu schüren und zum Klicken auf Links oder Download von Malware zu verleiten

• Opfer werden auf gefälschte Websites umgeleitet, um Anmeldeinfos oder Finanzdaten zu stehlen

• vom engl. Malicious - Software

• Computerprogramme, die netwickelt wurden , um schädliche oder unerwünschte Funktionen auszuführen

• Virus, Wurm, Trojaner, Adware, Spyware

• Schadsoftware, die Daten auf einem Computer/ in einem Netzwerk verschlüsselt und den Zugriff auf das Gerät blockiert

• Entschlüsselung / Freigabe nur durch Lösegeld

K- Kombination aus Angriffsweg (Email; WWW; etc) und Angriffstechnik (z.B. Malware) mit dem sich Zugang zum System verschafft wird

• ist das angestrebte Resultat eines Cyberangriffes (z.B. Datendiebstahl)

• kommt von Kybernetik

• Kybernetik = Wissenschaft zu Regelung- und Steuererungsmechanismen

• wird heute benutzt um auf die von Computern erzeugte, virtuelle Scheinwelt abzuzielen und den Bezug zu Computern und UInternet auszudrücken

• der Kanal oder IT-Komponente, über den ein Angriff erfolgt (Email, USB, Mensch)

• auch Angriffsobjekt

• “Trick” bzw. Methode, die für den Angriff verwendet wird

• Schwachstellenausnutzung; Code-Injection-Angriffe, Spam

• gewährleistet die Schutzziele aller technischer oder nicht-technischer Systeme zur Informationsverarbeitung, -speicherung, -lagerung

• Gefahren, Bedrohungen, wirtschaftlicher SAchaden soll damit verhindert werden

• ist weiter gefasst als IT-Sicherheit und Datensicherheit

• Voraussetzung für Datenschutz

• meint die 3 Schutzziele

• 1. Confidentiality (Vertraulichkeit)

• 2. Integrity (Integrität)

• 3. Availability (Verfügbarkeit)

• sind z.B. in EU-DSGVO eingefordert und durch Belastbarkeit (resilience) ergänzt

• Datenschutzgrundverordnung

• gilt unmittelbar für alle, die in der EU wirtschaftlich tätig sind

• verbietet die Verarbeitung personenbezogener Daten, wenn sie nicht durch Einverständnis der Betroffenen/ einer gesetzlichen Regelung erlaubt oder unvermeidbar sit

• alle Informationen, die sich auf eine natürliche Person beziehen oder mittelbar auf sie beziehbar sind

• letzteres auch personenbeziehbare Daten

• Nachrichten/Informationen/Funktionen/Daten sind nur für den bestimmten Empfäger:innenkreis verfügbar

• System soll eine Anforderung zu einem (beliebigen) Zeitpunkt in einem vereinbarten Zeitrahmen erfüllen

• Verhinderung unautorisierter Modifikationen von Informationen, damit Funktionsweisen und Daten korrekt (unversehrt) bleiben

• ist 2018 als viertes Schutzziel dazugekommen

• fordert robuste Systeme, die im Schadensfall schnell wieder in den bestimmungsmäßigen Zustand gelangen

• verfolgt dieselben Schutzziele, bezieht sich aber nur auf die Daten, die mithilfe der IT gespeichert werden

Schutzziele beziehen sich auf die gesamte IT

>darin gespeicherte Daten, die Funktionalität und die gesamte IT.-Infrastruktur, Hard- und Software

• bezieht sich auf den Umgang mit allen Informationen unabhängig von Medien (also auch gesprochene Weitergabe von Infos)

• schließt alle übrigen Sicherheitsarten mit ein

• Ziel, die Persönlichkeitsrechte der Menschen zu schützen, indem der Umgang mit den auf sie bezogenen Daten geregelt wird

• Datenschutz im Englischen = Privacy

• Technisch Organisatorische Maßnahme zur Herstellung von Informationssicherheit auf Basisniveau

• Solche Maßnahmen sollten zuerst umgesetzt werden

• Werden im Titel der Anforderungen mit (B) makiert

• baut auf die Basisanforderung auf

• sollte für ein normales Sicherheitsniveau umgesetzt werden

• werden im Titel mit (S) gekennzeichnet

• umständlichere Maßnahme, die über die Standardabsicherung hinaus geht

• höhere Sicherheitsanforderungen sollten erst nach der Basisabsicherung und der Standardabicherung umgesetzt werden

• werden im Titel mit (H) gekennzeichnet

• GSK; ehemals Grundschutzkatalog

• thematisch gut gegliederte Sammlung von Anforderungen, die Unternehmen zur Herstellung von Informationssicherheit auf Grudschutzniveau umsetzen sollen (müssen)

• allgemeines Mindestmaß an Sicherheit

• eine vom BSI entwickelte Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen der unternehmenseigenen IT

• danach wird ein mittleres, angemessenes und ausreichendes Schutzziel angestrebt

Informationssammlung, mit der IT-Grundschutz umgesetzt werden kann

nach mehreren Merkmalen sortiert: Bausteine, Gefahren und MAßnahmen

1. Beschreibung

2. Gefährdungslage

3. Anforderungen

4. Weiterführende Informationen/ Umsetzungshinweise

• standardisiertes Sicherheitsmodul

• beschreibt:

  • welche Risiken für bestimmte Bereiche existieren

  • welche Sicherheitsmaßnahmen erforderlich sind

  • wie Organisationen diese Maßnahmen umsetzen können

• erklärt:

  • welches Zielobjekt wird betrachtet

  • welche Rolle oder Aufgabe hat diese Objekt

  • warum ist es Sicherheitsrelevant

  • Wo wird der Baustein angewendet

> Stellt klar was geschützt werden soll und in welchem Kontext

• listet typische Bedrohungen auf, die das Zielobjekt betreffen könnten

• Ziel: verstehen, was schiefgehen kann

• Die Gefährdungslage ist die Basis, um passende Schutzmaßnahmen zu bestimmen

1. Technisch (z. B. Malware, Systemfehler)

2. Organisatorisch (z. B. fehlende Richtlinien)

3. Menschlich (z. B. Social Engineering, Insider)

4. Physisch (z. B. Diebstahl, Feuer, Wasser)

5. Externe Angriffe (z. B. DDoS, Hacking)

• beschreiben konkrete Sicherheitsmaßnahmen, um die identifizierten Gefährdungen zu reduzieren

• Ziel: festlegen, was getan werden muss, um Sicherheit zu erreichen

• Welche Schutzmaßnahmen sind konkret umzusetzen?

1. Organisatorisch (z. B. Sicherheitsrichtlinien)

2. Technisch (z. B. Firewall, Verschlüsselung)

3. Personell (z. B. Schulungen)

4. Prozessual (z. B. Patch-Management)

1. Basis (Mindestschutz)

2. Standard

3. Erhöht (bei hohem Schutzbedarf)

• erklärt praktisch und realistisch, wie eine Anforderung umgesetzt werden kann

• Ziel: Schritt von der Theorie zur Praxis zu erleichtern

  
  

1. Technische Konfigurationsbeispiele

2. Organisatorische Empfehlungen

3. Best Practices

4. Typische Fehler & Stolperfallen

5. Alternativen je nach Organisationsgröße

• wichtiges Grundsatzdokument der Leitung

• beinhaltet den Stellenwert, verbindliche Prinzipien und anzustrebende Niveau der Informationssicherheit

• Übernahme der Verantwortung durch die Leitungsebene

• Konzeption und Planung des Sicherheitsprozesses

• bereitstellen von finanziellen, personellen und zeitlichen Ressourcen

• Entscheidung für eine Vorgehensweise

• 4 Stück:

  • niedrig

  • normal

  • hoch

  • sehr hoch

• Ausfall hat geringe, kaum spürbare Auswirkungen

• keine Schutzbedarfskategorie

• spürbare Auswirkungen

• Schutzbedarfskategorie normal:

  • die Auswirkungen sind begrenzt und überschaubar

• erhebliche Auswirkungen

• Auswirkungen existenziell bedrohlich

• tolerierbare Ausfallzeiten

• Schnelligkeit der Regelung bzw.der Qualität der Notfallpläne

• negativen Kumulationseffekten von Schäden

• positiven Verteilungseffekten (Lastenausgleich)

• existentiell bedrohlichen Maximalfällen

Besteht ein IT-System aus mehreren Teilen, muss ausgehend vom Schutzbedarf der Teile der Schutzbedarf des Gesamtsystems beurteilt werden

• Verteilungseffekt

• Kumulationseffekt

• Maximumprinzip

Ist ein neues Teilsystem redundant ausgelegt, also ergänzt es nur das Gesamtsystem, so wird die Gefahr für einen Gesamtausfall kleiner. Dies ist z.B. bei Clustern der Fall

Viele Teile mit niedrigem Schutzbedarf ergeben in ihrer Summe einen hohen Schutzbedarf.

Beispiel: Laufen sehr viele Anwendungen auf einem Server, die nur niedrigen Schutzbedarf haben, vergrößert sich dennoch die Gefahr für das Gesamtsystem. Sie steigt mit der Anzahl der Anwendungen.

Das Teilsystem mit dem höchsten Schutzbedarf bestimmt die Schutzbedarfskategorie des IT-Systems.

Beispiel: Der Schutzbedarf für einen Server richtet sich nach den Anwendungen, die auf ihm laufen. Der Schaden eines Teilsystems kann auch eine Gefahr für die anderen Teile bedeuten.

Dies ist das häufigste Aggregationsprinzip

• tabelarische Auflistung, wieviel Schutz Informationen, Anwendungen und die zugehörigen technischen Systeme und Infrastrukturkomponenten benötigen

• eindeutige ID des IT-Systems,

• dessen Beschreibung

• die drei Schutzziele, die hier Grundwerte genannt werden

• Zu jedem Grundwert wird eine der drei Schutzbedarfskategorien (normal, hoch, sehr hoch) bestimmt, die durch Anwendbarkeit einer Aggregationsregel bedarfsgerecht angepasst wird

• Die besonderen Gründe der Auswahl der Schutzbedarfskategorie werden daneben kurz dokumentiert

• Technisch Organisatorische Maßnahmen

• zur Reduzierung von Risiken und Verbesserung der Informationssicherheit

• zum Erreichen der Schutzziele

• alle Aktionen gemeint, die eine Institution ergreift, um die IT-Sicherheit im Unternehmen zu erhöhen

• technische Maßnahmen wiePasswörter, Backups, Verschlüsselung usw.

• organisatorische Maßnahmen wie die Einsetzung von Sicherheitsverantwortlichen, Berücksichtigung der Sicherheit in Entwicklungsprozessen, vertragliche Vereinbarungen, Mitarbeiterschulungen

• Information Security Management System

• eine Aufstellung von Verfahren und Regeln einer Organisation, um ihre Informationssicherheit zu erhalten und fortlaufend zu verbessern

• Beispiel: eigenes Wiki, Sammlung von Word Dateien, eigenes IT-System

• Plan, Do, Check, Act

• beschreibt fortwährenden Verbesserungsprozess

Verbesserungsmöglichkeiten erkennen und neues Konzept entwickeln

Konzept im Kleinen ausprobieren

Erfolg der Testphase überprüfen und das neue Konzept ggf. allgemein freigeben

die neue allgemeine Vorgabe auf breiter Front einführen