Читать книгу IT-Sicherheit für Dummies - Rainer W. Gerling - Страница 48

Bei der Bemessung von Schadenshöhe und Eintrittswahrscheinlichkeit sollten Sie nur so wenige Klassen wie möglich nutzen. Nur dann ist es für die Person, die die Klassifizierung durchführt, einfach. Damit bieten sich drei Klassen an. Nur kann sich in dem Fall die Person das Klassifizieren einfach machen und immer die mittlere Klasse wählen. Bei vier Klassen muss die Person sich immer für einen Trend nach oben oder unten entscheiden. Insofern ist von der Psychologie her eine Einteilung in vier Klassen besser. Mehr sollten es aber auf keinen Fall sein, um den Prozess nicht zu aufwendig zu gestalten.

Die unterste Klasse darf auch keine diskriminierende Bezeichnung wie zum Beispiel »geringer Schutzbedarf« oder »kein Schutzbedarf« erhalten. Besser sind hier neutrale Begriffe wie »normaler Schutzbedarf«. Sie möchten Ihre eigenen Daten bei der Klassifizierung ja ungern als »wertlos« oder »minderwertig« einstufen.

Verwenden Sie für die Schadenshöhe die Begriffe »geringfügig«, »begrenzt«, »erheblich« und »existenzbedrohend« und für die Eintrittswahrscheinlichkeit die Begriffe »unwahrscheinlich«, »selten«, »häufig« und »sehr häufig«. Hinterlegt man die Begriffe jeweils mit den Werten 1 bis 4, so berechnen Sie das Risiko zu einem Wert zwischen 1 und 16. Teilen Sie die Werte in

 gering: 1 bis 2

 mittel: 3 bis 6

 hoch: 7 bis 10

 sehr hoch: 11 bis 16

ein, erhalten Sie die Risikokarte in Abbildung 3.1. In dieser Risikokarte können Sie jetzt für Systeme aus Gefährdungen der Schutzziele die Risikoklasse bestimmen.

Abbildung 3.1: Das Risiko wird häufig als das Produkt aus Schadenshöhe und Eintrittswahrscheinlichkeit betrachtet.

In § 8a Abs. 1 BSI-Gesetz heißt es »Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.« Der Betreiber einer kritischen Infrastruktur muss also die Folgen eines IT-Sicherheitsvorfalls und den daraus folgenden Schaden betrachten. Das Risiko ergibt sich aus dem Schaden multipliziert mit der Wahrscheinlichkeit, dass das Schadensereignis eintritt. Der Schaden wird aus der Sichtweise des Unternehmens beziehungsweise der Behörde ermittelt. Es ist sowohl der finanzielle als auch der ideelle Schaden, zum Beispiel eine Rufschädigung, zu betrachten.

Sie müssen eine wichtige vertrauliche Arbeit erstellen. Sie erwarten, dass Sie etwa drei Monate daran arbeiten werden. Als sicherheitsbewusster Mensch haben Sie schon länger Bitlocker zur Festplattenverschlüsselung auf Ihrem Windows-Rechner installiert. Für Sie sind Vertraulichkeit und Verfügbarkeit die dominanten Schutzziele. Sie schätzen die Gefährdung, dass Sie Ihr Notebook verlieren oder dass es Ihnen gestohlen wird, als selten ein (Wert: 2). Schließlich ist es schon sechs Jahre alt. Der Schaden bezüglich der Vertraulichkeit ist bei Verlust geringfügig (Wert: 1), da Sie ja die Festplatte verschlüsselt haben. Das Risiko ist gering. Bei der Verfügbarkeit sieht es etwas anders aus. Die Wahrscheinlichkeit bleibt gleich, den Schaden stufen Sie aber in der höchsten Stufe (Wert: 4) ein, da dann alle Arbeit verloren ist. Hier ist das Risiko dann mittel (Wert: 4).

Anders sieht es bezüglich der Verfügbarkeit bei einem Hardwaredefekt aus. Die Wahrscheinlichkeit dafür ist bei Ihrem sechs Jahre alten Notebook häufig. Der Schaden bleibt in der höchsten Stufe. Das Risiko ist , also ist das Risiko sehr hoch. Als Maßnahme zur Reduktion des Risikos entscheiden Sie sich doch schlussendlich für ein Backup. Dadurch sinkt der mögliche Schaden bei Verlust oder Defekt auf geringfügig (Wert: 1) und damit sinkt das Risiko der Verfügbarkeit bei Verlust auf gering (Wert: 1) beziehungsweise bei Defekt auf mittel (Wert: 3). Und mit so einem Risiko können Sie leben.

Die DS-GVO gibt Ihnen in den Art. 25 und 32 eine völlig andere Perspektive der Risikobetrachtung vor: Es sind hier die »Risiken für die Rechte und Freiheiten natürlicher Personen« zu betrachten. Dies ist eine völlig andere Perspektive als in der Informationssicherheit: die Risikobetrachtung erfolgt ausschließlich aus der Sicht der Betroffenen und auf keinen Fall aus der Sicht des Unternehmens. Die falsche Perspektive der Risikobetrachtung ist ein häufiger Fehler, den Verantwortliche begehen und der regelmäßig von Aufsichtsbehörden beanstandet wird.

Die Landesbeauftragte für den Datenschutz in Niedersachsen führte 2019 eine branchenübergreifende Prüfung zur Umsetzung der DS-GVO bei 20 großen und 30 mittelgroßen niedersächsischen Unternehmen durch. Am Ende der Prüfung erhielten neun Unternehmen das Prädikat Grün, 32 Unternehmen das Prädikat Gelb und neun Unternehmen das Prädikat Rot. Bei allen neun Unternehmen mit dem Prädikat Rot wurden fehlende oder unzureichende technisch-organisatorische Maßnahmen, also unzureichende Informationssicherheit, beanstandet. Besonders gravierend fand die Landesbeauftragte auch die Tatsache, dass zum Teil bei der Risikobeurteilung der Fokus auf die Risiken für das Unternehmen und nicht, wie in der DS-GVO gefordert, auf die Risiken für die Rechte und Freiheiten der Betroffenen gelegt wurde. [LfDN19]

Die Vorgaben zur Meldepflicht in Art. 33 f. der DS-GVO schreiben Ihnen für die Risikobewertung konkret drei Risikoklassen vor: »kein Risiko«, ein »Risiko« und ein »hohes Risiko«. In der Informationssicherheit wird dagegen, wie Sie gesehen haben, aus guten Gründen häufig mit vier Risikoklassen gearbeitet: »geringes Risiko«, »mittleres Risiko«, »hohes Risiko«und »sehr hohes Risiko«. Wenn Sie die gleichen Schemata bei der Risikobetrachtung in der Informationssicherheit und im Datenschutz verwenden wollen, bleibt Ihnen nichts anderes übrig, als in der Informationssicherheit mit drei Risikoklassen zu arbeiten. Für die Höhe und für die Häufigkeit des Eintritts eines Schadens können Sie aber weiterhin vier Kategorien verwenden.

Die Bereiche mit einem sehr hohen Risiko müssen vorrangig behandelt werden. Durch geeignete Maßnahmen wird das Risiko vermindert. Vorrangig sollten Risiken vermieden werden. Unvermeidbare Risiken, die sich nicht durch technisch-organistorsiche Maßnahmen reduzieren lassen, müssen delegiert (zum Beispiel an eine Versicherung) oder als Restrisiko getragen werden (siehe Abbildung 3.2). Die Entscheidung, welche Risiken delegiert und welche getragen werden, trifft letztendlich die Geschäftsleitung.

Abbildung 3.2: Durch die Risikostrategien Vermeiden, Reduzieren und Delegieren kann das Gesamtrisiko auf ein tragbares Restrisiko vermindert werden.

Eine Betrachtung der Risiken müssen Sie regelmäßig wiederholen, um eventuelle zwischenzeitlich veränderte Aspekte berücksichtigen zu können. Außerdem müssen Sie alle Überlegungen zu den Risiken dokumentieren, damit die Klassifizierungen und die daraus folgenden Entscheidungen jederzeit nachvollzogen werden können.