Einführung in das Sicherheitsrisikomanagement (SRMD - Security Risk Management Discipline)
Methoden zur Analyse und Management von Risiken
Auf dieser SeiteModulübersichtIn diesem Modul beschäftigen wir uns mit im Alltag bewährten Methoden zur Analyse und Management von Risiken. Mit Hilfe des Microsoft Solutions Framework (MSF) und des Microsoft Operations Framework (MOF) zeigen wir Ihnen, wie Sie Sicherheitsrichtlinien in Ihrem Unternehmen etablieren können. Das genaue Identifizieren, Kategorisieren und Quantifizieren der Risiken ermöglicht Ihnen, die geeigneteste und kosteneffizienteste Sicherheitsmaßnahme für Ihre Umgebung auszuwählen. So können Sie die Entwicklung von Sicherheitsrichtlinien und -verfahren in den Projektzyklus Ihrer IT-Infrastruktur integrieren. Zielsetzung
BetrifftDie Informationen in diesem Modul gelten für folgende Produkte und Technologien:
Der Nutzen dieses ModulsDieses Modul enthält Hinweise für die Entwicklung und Integration geeigneter formaler Richtlinien für das Sicherheitsrisikomanagement in Ihrem Unternehmen. Empfehlungen für eine erfolgreiche Arbeit mit diesem Modul:
EinleitungIn diesem Modul beschäftigen wir uns mit im Alltag bewährten Methoden zur Sicherheitsanalyse, die das Microsoft Solutions Framework (MSF) und das Microsoft Operations Framework (MOF) verstärken. MSF unterstützt Sie bei der Planung, dem Aufbau, der Stabilisierung und der Bereitstellung innerhalb eines Projektzyklus in den Bereichen Unternehmensarchitektur und Infrastrukturbereitstellung. MOF stellt Hinweise zur Entwicklung und Verbesserung von Managementsystemen für den IT-Betrieb bereit. Eine Sammlung von weiterführenden Informationen zu MOF und MSF haben wir am Ende dieses Moduls für Sie zusammengestellt. In diesem Modul werden die drei primären Phasen im Bereich Sicherheitsrisikomanagement definiert. Die damit verbundenen Tätigkeiten werden unter dem Begriff Sicherheitsrisikomanagement-Disziplin (SRDM) zusammengefasst. Die drei primären Phasen beschreiben, wie ein Unternehmen seine Umgebung absichert und sicher hält. Es folgen die Definitionen dieser Phasen.
Verfahren zum RisikomanagementBei der Durchführung des Sicherheitsplans gilt es, zwei Arten von Risikomanagementaktivitäten zu bedenken, die im Laufe des Projektzyklus erforderlich sind. Bei der ersten Aktivität handelt es sich um das Risikomanagement für das eigentliche Projekt, während die zweite sich mit dem Management von Risiken bezüglich der Sicherheitskomponenten beschäftigt. Die Projektrisiken werden nur während des Projektzyklus bewertet, während die Sicherheitsrisiken während des gesamten Zyklus der Lösung oder des Systems bewertet werden müssen. Die Risikomanagementdisziplin des MSF dient hierbei als Grundlage für beide Aktivitäten. Beispiele für das Risikomanagement finden Sie im Modul "Sicherheitsrisikomanagement im Einsatz" dieses Leitfadens. In diesem Leitfaden wird die Sicherheitsrisikomanagement-Disziplin (SRMD) vorgestellt, die sich von der Risikomanagement-Disziplin (RDM) des MSF ableitet. Um die beiden Disziplinen klar voneinander trennen zu können, wird RDM im Zusammenhang mit Risiken in Bezug auf ein Projekt verwendet, während SRDM sich auf Risiken in Hinblick auf Sicherheitskomponenten bezieht. RDM ist die Grundlage für die Entwicklung von SRDM. Beide Disziplinen setzen auf eine proaktive Strategie, fortwährende Risikoanalyse und Integration in die Entscheidungsfindung im Rahmen eines Projekts und im laufenden Betrieb. Die Absicherung von Computersystemen sollte immer proaktiv und fortlaufend betrieben werden, um die Sicherheit des Datenbestands überwachen und gewährleisten zu können. Informationssicherheit sollte bei allen Entscheidungen bezüglich Veränderungen in der Unternehmensinfrastruktur berücksichtigt werden. Weiterhin könnte es erforderlich sein, Geschäftsprozesse den Anforderungen an die Sicherheit anzupassen. Die neun Schritte des Sicherheitsrisikomanagements werden im Folgenden den drei Phasen zugeordnet: Bestandsaufnahme
Entwicklung und Implementierung
Betrieb
Diese Schritte werden innerhalb des SRMD in folgenden drei Phasen verkörpert: Bestandsaufnahme, Implementierung und Betrieb. BestandsaufnahmeIn den folgenden Abschnitten wird aus den einzelnen Schritten der Bestandsaufnahme das Fundament für eine Sicherheitsanalyse gelegt. Eine Bewertung des Bestands ist erforderlich, weil Sie Ihren Ausgangspunkt für die weitere Sicherheitsanalyse bestimmen müssen. Die Sicherheitsanalyse besteht aus einer Reihe von Strategien, mit denen Sie eine Rangliste Ihrer schützenswerten Ressourcen festlegen können. Bestandsaufnahme und -bewertungBei der Bestandsaufnahme werden Werte für die Entwicklung beziehungsweise das Erlangen von Informationen festgelegt. Die Bewertung legt fest, was die Aufrechterhaltung des Bestands kostet und welche Kosten bei einem Datenverlust entstehen, beziehungsweise welchen Wert Informationen für Dritte hätten. Der Ressourcenwert sollte alle identifizierbaren Kosten widerspiegeln, die bei Beeinträchtigung dieser Ressource anfallen würden. Benennen von SicherheitsrisikenHierbei geht es um einen Teamprozess, bei dem alle Mitglieder des Teams die Risiken diskutieren und identifizieren. Dabei beginnt das Sammeln von Informationen zu Bedrohungen, Sicherheitslücken, Angriffszielen und Gegenmaßnahmen. Analyse und Bewertung der RisikenBei der Analyse werden mögliche Werkzeuge, Methoden und Techniken durchleuchtet, die bei einem Angriff zum Einsatz kommen können. Die Risikoanalyse beschreibt eine Methode, die Gefahren identifizieren und Auswirkungen eines möglichen Schadens abschätzen helfen soll, um entsprechende Sicherheitsvorkehrungen zu rechtfertigen. Die Risikoanalyse verfolgt drei Hauptziele: Identifizieren von Gefahren, Quantifizieren der Auswirkungen möglicher Bedrohungen und Balance zwischen den durch einen Verlust entstehenden Kosten und den Ausgaben für Gegenmaßnahmen. Mit Hilfe der gesammelten Informationen kann das Team seriöse Entscheidungen bezüglich der Aufwendungen für einzelne Gefahren treffen. Nach der Analyse kann eine Prioritätenliste erstellt werden, in der festgehalten wird, welche Ressourcen für die Beseitigung der kritischsten Risiken bereitgestellt werden müssen. Eine Risikoanalyse hilft bei der Abstimmung der Sicherheitsmethoden auf die Geschäftsprozesse. Je genauer diese Abstimmung erfolgt, desto effizienter wird Ihr Unternehmen arbeiten können. Zudem ist die Risikoanalyse bei der Budgetierung des Sicherheitsprogramms sehr hilfreich. Sobald Sie den Wert des Informationsbestands kennen, können Sie entscheiden, wie viel Geld für dessen Schutz investiert werden soll. StrategieplanungIn diesem Schritt erfolgt die Strategieplanung, ausgehend von der Risikoanalyse. Bei der Strategieplanung werden verschiedene Konzepte zur Eindämmung möglicher Gefahren formuliert. Außerdem wird ein Zeitplan erstellt, wie die einzelnen Maßnahmen genehmigt und in die bestehende Informationsinfrastruktur mit den täglich auszuführenden Arbeitsschritten implementiert werden. Entwicklung und ImplementierungDie Ergebnisse der Bestandsaufnahme sollten Sie in die Lage versetzen, geeignete Gegenmaßnahmen und Lernstrategien für verschiedene Bedrohungsszenarien zu entwickeln und zu implementieren. Entwicklung von SicherheitsmaßnahmenIn diesem Schritt erfolgt die Umsetzung der während der Bestandsaufnahme entwickelten Konzepte in eine Sicherheitsstrategie. Diese beinhaltet Konfigurations- und Patchverwaltung, Systemüberwachung sowie Richtlinien und Verfahren für den Betrieb. Bei der Entwicklung von Gegenmaßnahmen sollten Sie auf genaue Nachverfolgung und Berichterstattung achten. Testen der SicherheitsmaßnahmenSobald die Sicherheitsmaßnahmen und Systemveränderungen zur Umsetzung der Strategie entwickelt sowie die Richtlinien und Verfahren für die Erfolgsüberwachung programmiert sind, müssen umfangreiche Tests durchgeführt werden. Im Laufe der Tests kann das Team überlegen, wie diese Veränderungen in die Produktionsumgebung eingebunden werden können. Aus diesen Tests ergibt sich die Effektivität der Gegenmaßnahmen. Dokumentation und FortbildungHier werden die Arbeitsschritte festgehalten, die zur Identifizierung von Bedrohungen und Sicherheitslücken und der Entwicklung von Gegenmaßnahmen nötig waren. Sobald die IT-Abteilung Kenntnis von neuen Sicherheitsbedrohungen erhält, müssen diese dokumentiert und entsprechende Gegenmaßnahmen entwickelt werden. Außerdem sind Schulungen der Anwender aus dem Geschäftsumfeld in punkto Sicherheit unumgänglich. Hinweis: Die hier vorgestellten Arbeitsschritte stellen eine logische Vorgehensweise dar und müssen nicht zwingend in der beschriebenen Reihenfolge bearbeitet werden. Sicherheitsteams werden die einzelnen Schritte immer wieder zyklisch durchlaufen, während sie an Erfahrung im Umgang mit Sicherheitsthemen, Bedrohungen und Sicherheitslücken für ihre Umgebung gewinnen. Sie benötigen formale Risikomanagementprozesse, in denen Bewertung und Einsatz der Gegenmaßnahmen für verschiedene Arten von Gefahren genau definiert werden. BetriebStarke und konsistente Betriebsabläufe gewähren Ihren Sicherheitsteams die Möglichkeit, verlässliche und vorhersehbare Ergebnisse zu erzielen. Eine rechtzeitige und gründliche Bestandsaufnahme sorgt für ausreichendes Wissen, um auf Veränderungen im Bestand in den Bedrohungsszenarien reagieren zu können. So wird die Bereitstellung neuer Gegenmaßnahmen in der veränderten Umgebung zum Tagesgeschäft. Neubewertung des Bestands und der SicherheitsrisikenDie hiermit verbundenen Abläufe beschäftigen sich wesentlich mit Veränderungsmanagement, aber auch mit der Verwaltung der Sicherheitskonfiguration. Schließlich resultieren diese Abläufe in der Veröffentlichung neuer Gegenmaßnahmen und Richtlinien nach deren Fertigstellung. Stabilisierung und Bereitstellung von GegenmaßnahmenIm laufenden Betrieb werden diese Abläufe von der Systemadministration verwaltet. Anhand der Dienstüberwachung und -steuerung können Administratoren neue und verbesserte Gegenmaßnahmen planen und bereitstellen. Support und ProblembehandlungHier wird die Umsetzung der Strategie im laufenden Betrieb sichergestellt. Das Sicherheitsteam muss für ein eindeutiges Eskalationsmanagement bei geplanten Vorfällen und Problemen sowie für deren Dokumentation sorgen. Bewährte VerfahrenMSF und MOF sind bewährte Verfahren, die Ihnen bei der Entwicklung, Bereitstellung und dem Betrieb eines starken Sicherheitsmanagements helfen. Die erfolgreiche Umsetzung dieser bewährten Verfahren ermöglicht es Ihnen, eine integre, vertrauenswürdige und verfügbare Umgebung für Ihre Ressourcen zu schaffen. Die Verwaltung der Sicherheit wird verstärkt durch optimales Management in den Bereichen Dienstleistungen, Finanzen, Nachhaltigkeit und Verfügbarkeit sowie durch Bereitstellung von Kapazitäten und Arbeitskraft. Sicherheitsrisikomanagement-FrameworkÜberblickDas Framework unterstützt das MSF-Prozessmodell und beschreibt eine Reihe von Aktivitäten zum Aufbau von IT-Sicherheitslösungen. Anstatt jedoch eine spezielle Reihenfolge von Verfahren vorzuschreiben, ist das Framework flexibel genug, um eine große Bandbreite an Prozessen aufnehmen zu können. Das Prozessmodell deckt den gesamten Entwicklungszyklus von der Projektplanung bis zur Produktivschaltung ab. 
Abbildung 1
Das MSF-Prozessmodell kann sowohl für die Softwareentwicklung als auch für die Bereitstellung von Infrastrukturtechnologien verwendet werden. Das Modell folgt einem iterativen Kreislauf, der durch kurze Entwicklungszyklen und inkrementelle Lösungsansätze auf veränderte Projektanforderungen reagieren kann. Dies wird durch fortlaufendes Risikomanagement und ständige Tests ermöglicht. In jeder Entwicklungsstufe werden viele Schlüsselfragen zum Projekt diskutiert und beantwortet, zum Beispiel: Ist sich das Team über die Größe des Projekts einig? Ist die Planung weit genug fortgeschritten, um die nächste Projektphase zu starten? Wurden die bisherigen Ziele erreicht? Funktionieren die Lösungsansätze für das Unternehmen und seine Partner? Im Folgenden werden die sechs Hauptprozesse eines Sicherheitsprojekts anhand der obigen Abbildung kurz erörtert.
Weitere Informationen zu den Prozessabläufen in Sicherheitsprojekten entnehmen Sie bitte dem Leitfaden Microsoft Solution for Security Services . Zusammenstellen der SicherheitsteamsWährend der Bestandsaufnahme ist ein wesentlicher Schritt zur Sicherung Ihrer Umgebung die Zusammenstellung eines Sicherheitsprogramms. Aufgabe dieses Sicherheitsprogramms ist die Definition der Zielsetzungen, des Umfangs, der Richtlinien, der Prioritäten, der Standards und der Strategien für die vollständige Sicherheit des Unternehmens. Dieses Team besteht aus erfahrenen Exekutivmitgliedern des Unternehmens. Das Sicherheitsadministrationsteam besteht aus Managern der mittleren Unternehmensebene und deren Teams, die die Implementierung und Verwaltung der Richtlinien vornehmen. Das Sicherheitsprogramm sollte einer Top-Down-Strategie folgen, was bedeutet, dass Projektstart, Unterstützung und Richtung von der höchsten über die mittlere Managementebene an die ausführenden Mitarbeiter gereicht werden. Der Support hingegen kann einer Mischung aus Top-Down-, Bottom-Up- oder Middle-Out-Strategien zur Durchsetzung der Ideen im Sicherheitsmanagement folgen. Viele Unternehmen folgen heutzutage einer Bottom-Up-Strategie für Entwicklung und Support. Hierbei entwickelt die IT-Abteilung einen Sicherheitsplan ohne Richtungsvorgaben und Unterstützung durch das Management. Dies führt häufig dazu, dass die Sicherheitsstrategien nicht mit den höheren Geschäftszielen des Unternehmens konform gehen. Das Management sollte mit klarer Rollenzuweisung und Verteilung der Verantwortlichkeiten innerhalb des Unternehmens beginnen, um das Sicherheitsprojekt an den Start zu bringen. Die Beteiligung des höheren Managements erhält das Sicherheitsprogramm am Leben und sorgt auch bei Veränderungen im Geschäftsumfeld oder der technischen Umgebung für eine adäquate Weiterentwicklung. Die Zuweisung von Rollen innerhalb des Sicherheitsprogramms bindet Sicherheit als Bestandteil des Tagesgeschäfts ein, anstatt lediglich Anlass zur Sorge zu sein. Zusätzlich zum Sicherheitsprogramm muss das Management ein Sicherheitsadministrationsteam zusammenstellen. Dies überwacht sämtliche Facetten des Sicherheitsprogramms. Für gewöhnlich werden die im Rahmen des Sicherheitsprogramms festgelegten Richtlinien vom Sicherheitsadministrationsteam implementiert und überwacht. Abhängig von der Größe und den Sicherheitsanforderungen eines Unternehmens kann die Sicherheitsadministration von einer einzelnen Person oder von einer Gruppe von Administratoren übernommen werden, die zentral oder auch dezentral arbeiten können. BewertungDas Framework für die Einschätzung von Bedrohungen innerhalb des Prozessmodells soll Sicherheitsexperten bei der Entwicklung einer Strategie zum Schutz der Verfügbarkeit, Integrität und Vertraulichkeit von Daten unterstützen. Es kann sowohl für Informationsmanager, Sicherheitsbeauftragte und Administratoren von Belang sein, ganz besonders jedoch für diejenigen, die mit der Entwicklung der Sicherheitsrichtlinien betraut werden. Das Framework bietet Ihnen eine systematische Herangehensweise an diese wichtigen Aufgaben. Als letzte Vorsichtsmaßnahme ist für den Notfall die Erstellung von Eindämmungsplänen enthalten. VertraulichkeitIn der IT-Infrastruktur Ihres Unternehmens werden wahrscheinlich Daten bereitgestellt, die vor unautorisiertem Zugriff geschützt werden müssen. Hierzu zählen vertrauliche Mitarbeiter- und Geschäftsdaten, aber auch Informationen, die erst zu einem bestimmten Zeitpunkt für die Veröffentlichung bestimmt sind. Vertraulichkeit sorgt für die Bereitstellung von Sicherheitsmaßnahmen, die an jedem möglichen Zugriffspunkt in der Datenverarbeitung vor unerlaubtem Zugriff schützen. Daten müssen jederzeit geschützt werden können, und zwar sowohl auf Systemen im Netzwerk als auch während und nach der Übertragung an den Zielort. IntegritätIn einer IT-Infrastruktur werden Daten verwaltet, die vor unautorisierten, unvorhergesehenen oder versehentlichen Modifikationen geschützt werden müssen. Hierzu zählen Einwohnerstatistiken, Wirtschaftsindikatoren und Finanztransaktionssysteme. Die Integrität ist gewährleistet, wenn Zuverlässigkeit und Eindeutigkeit von Informationen und Systemen sichergestellt und diese vor unerlaubter Manipulation geschützt sind. VerfügbarkeitDie IT-Infrastruktur stellt Informationen und Dienste bereit, die zeitnah verfügbar sein müssen, um den erklärten Geschäftszielen zu entsprechen und Verlustrisiken zu vermeiden. Hierzu zählen Sicherheits- und Lebenserhaltungssysteme, aber auch Systeme, die für eine konsistente Netzwerkanbindung sorgen. Verfügbarkeit sorgt dafür, dass autorisierte Anwender zuverlässig und zeitnah auf benötigte Daten zugreifen können. Sicherheitsadministratoren müssen entscheiden, wie viel Zeit und Geld in die Entwicklung geeigneter Richtlinien und Steuerungsmechanismen investiert werden müssen. Ihr Unternehmen sollte eine genaue Analyse der Ansprüche an seine Ressourcen, Zeitpläne und Einschränkungen durchführen. Computersysteme, Umgebung und Unternehmensrichtlinien unterscheiden sich in der Handhabung. Die Umsetzung einer Strategie zur Sicherung von Computern im Unternehmen wird dadurch erschwert. Obgleich eine Sicherheitsstrategie Ihrem Unternehmen wertvolle Zeit sparen kann und wichtige Gedächtnisstützen für das Erledigen von Aufgaben beinhaltet, handelt es sich bei der Implementierung von Sicherheit niemals um eine einmalige Angelegenheit. Sie ist integraler Bestandteil des Produktivalltags. Die Verfahren, die in diesem Modul beschrieben werden, setzen regelmäßige Aktualisierungen und angemessene Revisionen voraus. Derartige Veränderungen werden vorgenommen, wenn sich Konfigurationen oder andere Umstände wesentlich verändern. Es handelt sich folglich um einen iterativen Prozess, der niemals abgeschlossen sein kann und dementsprechend regelmäßigen Tests und Revisionen unterzogen werden muss. Bewertung des UnternehmensbestandsUm ein funktionierendes System von Sicherheitsrichtlinien und Steuerungsmechanismen etablieren zu können, benötigen Sie ein Verfahren zur Analyse der Sicherheitslücken in der momentanen Strategie. Ihre Bestandsaufnahme sollte Anmerkungen zu allen Bereichen Ihrer Umgebung beinhalten, in denen die Sicherheitsrichtlinien mangelhaft sind, und vorliegende Dokumentationen mit einbeziehen. Außerdem sollte sich Ihre Rechtsabteilung davon überzeugen, dass alle Sicherheitsrichtlinien juristisch gedeckt sind. Der momentane Zustand der Sicherheitsrichtlinien Ihrer Computer kann anhand folgender Liste festgehalten werden:
Weitere Dokumentationen, die sensible Informationen beinhalten:
BedrohungsanalyseEine Liste möglicher Bedrohungen (die meisten Unternehmen können einige identifizieren) hilft der Sicherheitsadministration, um verschiedene Lücken auszumachen, die in Angriffen ausgenutzt werden können. Es ist zwingend erforderlich, dass sich Administratoren auf diesem Gebiet permanent fortbilden, da ständig neue Methoden, Werkzeuge und Techniken zur Umgehung von Sicherheitssystemen entwickelt werden. Die Bedrohungsanalyse wird in der Planungsphase (vgl. Abbildung 1) vorgenommen, um mögliche Angriffe zu definieren und angemessene Verteidigungsmaßnahmen zu entwickeln. Da es unmöglich ist, auf alle möglichen Angriffe vorbereitet zu sein, sollten Sie sich zunächst den wahrscheinlichsten Angriffen zuwenden. Einen Angriff zu verhindern ist immer besser, als den daraus resultierenden Schaden zu reparieren. Um die Zahl möglicher Angriffe möglichst gering zu halten, ist die Kenntnis verschiedener Bedrohungen, die eine Gefahr für Ihre Systeme darstellen, der entsprechenden Techniken, die für die Kompromittierung der Sicherheit zum Einsatz kommen und der Sicherheitslücken in Ihren Richtlinien von entscheidender Bedeutung. Kenntnis dieser drei Bestandteile kann Ihnen bei der Voraussage eines Angriffs helfen, wenngleich nicht immer beim Bestimmen von Zeit und Ort. Die Voraussage eines Angriffs hängt von der Einschätzung der Wahrscheinlichkeit ab, die sich aus der Kenntnis der Bestandteile abschätzen lässt. Diese Bestandteile lassen sich zu folgender Gleichung zusammenfassen: Motiv + Methode + Sicherheitslücke = Angriff Ein Angreifer kann den gleichen Angriff auf verschiedene Arten durchführen. Deswegen muss die Sicherheitsstrategie die verschiedenen Methoden berücksichtigen, die zum Einsatz kommen können. Bewertung der SicherheitslückenBei der Beurteilung des Sicherheitsbedarfs Ihres Unternehmens müssen bestehende Sicherheitslücken in Hinblick auf potenzielle Bedrohungen berücksichtigt werden. Diese Beurteilung betrachtet den Bestand Ihres Unternehmens und die Risiken, denen die einzelnen Bestandteile ausgesetzt sind. Mögliche Schäden bestimmen Mögliche Schäden, die Ihrem Bestand zugefügt werden können, reichen von geringfügigen Computerausfällen bis zu katastrophalem Datenverlust. Der Schaden, den das System dabei nimmt, hängt mit der Art des Angriffs zusammen. Bestimmen Sie die Schadensdimensionen nach Möglichkeit in einem Testlabor. Dadurch kann das Sicherheitspersonal mögliche Schäden hinreichend bewerten. Nicht alle Angriffe verursachen die gleiche Art beziehungsweise das gleiche Ausmaß an Schaden. Folgende Tests könnten durchgeführt werden:
Führen Sie diese Tests mit einem Team durch, da einem Einzelnen eventuell einige Schäden entgehen könnten. Ein solches Team kann eine Bewertung der Fehler leichter durchführen und eine angemessene Eskalationsstrategie erarbeiten. Sicherheitslücken bestimmen Sobald die Sicherheitslücken, die ein bestimmter Angriff ausnutzt, bestimmt sind, können bestehende Sicherheitsrichtlinien überarbeitet und angepasst werden, um die Lücken zu minimieren. Das Identifizieren des Angriffs, der Bedrohung und der Methode erleichtert die Suche nach bestehenden Sicherheitslücken. Sie sollten ein solches Eindringen in einem Test nachstellen. SicherheitsrisikoplanungFühren Sie in Ihrem Sicherheitsplan für jeden möglichen Einbruch in Ihr System sowohl proaktive als auch reaktive Maßnahmen auf. Eine proaktive Strategie umfasst eine Reihe von Schritten, die bestehende Lücken in den Sicherheitsrichtlinien minimieren und Eindämmungsverfahren etablieren. Eine Bewertung möglicher Schäden, die ein Angriff verursachen kann, ist bei der Entwicklung einer proaktiven Strategie von Vorteil. Eine reaktive Strategie hilft dem Sicherheitspersonal bei der Bewertung entstandener Schäden, der Beseitigung der Schäden oder der Implementierung des Eindämmungsplans, der in der proaktiven Strategie entwickelt wurde. Weiterhin erfolgt hier die Wiederherstellung der Produktivumgebung sowie die Dokumentation des Angriffs, um wertvolle Erfahrungen für die Zukunft zu sammeln. Proaktive Strategie Eine proaktive Strategie umfasst eine Reihe von Schritten, die einen Angriff verhindern können. Zu diesen Schritten zählen die Bewertung der möglichen Schäden, die ein Angriff verursacht, sowie der Sicherheitslücken, die er ausnutzt (Schritt 1 und 2). Das Wissen, das Sie sich bei dieser Bewertung aneignen, hilft Ihnen bei der Implementierung von Sicherheitsrichtlinien, die die Gefahr möglicher Angriffe minimieren. Im Folgenden sind die vier Schritte zum Erstellen einer proaktiven Strategie aufgeführt:
Wenn Sie diesen Schritten zur Analyse verschiedener Angriffe folgen, kommen Sie in den Genuss eines positiven Nebeneffekts: Es wird sich ein Muster herausbilden, welches überschneidende Faktoren verschiedener Angriffe abbildet. Dieses Muster kann von großem Nutzen bei der Bestimmung der Sicherheitslücken sein, die die größte Gefahr für das Unternehmen darstellen. Hinweis: Es ist gleichsam von Bedeutung, die Kosten eines Datenverlusts mit den Kosten für die Implementierung der Sicherheitssysteme zu vergleichen. Das Abwägen der Kosten ist Bestandteil einer systematischen Risikoanalyse. Reaktive Strategie Eine reaktive Strategie wird wirksam, wenn die proaktive Strategie nicht gegriffen hat. Die reaktive Strategie umfasst Schritte, die während des Angriffs und danach abgearbeitet werden müssen. Dabei werden sowohl das Ausmaß des entstandenen Schadens als auch die Sicherheitslücken ermittelt, die bei dem Angriff ausgenutzt wurden. Eine reaktive Strategie muss sich mit den Ursachen des Angriffs und der Implementierung eines Eindämmungsplans beschäftigen. Proaktive und reaktive Strategien müssen bei der Entwicklung von Sicherheitsrichtlinien und Steuerungsmechanismen gemeinsam arbeiten, um Angriffe und die daraus resultierenden Schäden zu minimieren. Das Notfallteam sollte in die Schritte einbezogen werden, die im Rahmen eines Angriffs unternommen werden, damit der Zwischenfall bewertet und dokumentiert werden kann und Lehren für die Zukunft gezogen werden können. Folgende Schritte sind Bestandteil einer reaktiven Strategie:
Eindämmungsplan Ein Eindämmungsplan ist ein Alternativverfahren, das in Kraft tritt, wenn ein erfolgreicher Angriff zu Datenverlust, Systemausfall oder Produktivitätseinbußen in Ihrer Umgebung geführt hat. Der Eindämmungsplan wird ausgeführt, falls die Systeme nicht zeitnah wiederhergestellt werden können. Ziel ist es schließlich, die Verfügbarkeit, Integrität und Vertraulichkeit zu gewährleisten - der Eindämmungsplan ist demzufolge Ihr "Plan B". Eindämmungspläne sollten für alle Arten von möglichen Bedrohungen und Angriffe erstellt werden. Jeder Plan sollte eine Reihe von Schritten enthalten, die im Ernstfall ausgeführt werden. Hierzu zählen die folgenden Maßnahmen:
Folgende Aufgaben zur Bewertung des Bestands sollten während der Entwicklung eines Eindämmungsplans ausgeführt werden:
ImplementierungHüten Sie sich vor der Implementierung allzu strikter Steuerungsmechanismen, da dies Auswirkungen auf die Verfügbarkeit der Informationen haben könnte. Achten Sie auf eine ausgewogene Balance der Steuerungsmechanismen hinsichtlich Sicherheit und Datenzugriff. AngriffssimulationenDer letzte Bestandteil einer Sicherheitsstrategie besteht im Testen und Bewerten der Ergebnisse. Dies erfolgt nach der Bereitstellung der proaktiven und reaktiven Strategien. Simulierte Angriffe auf Testumgebungen ermöglichen eine Bewertung der bestehenden Sicherheitslücken und die daraus resultierende Anpassung der Sicherheitsrichtlinien Ihres Unternehmens. Diese Tests sollten auf keinen Fall in der Produktivumgebung durchgeführt werden, da dies verheerende Auswirkungen haben könnte. Die Abwesenheit einer Testumgebung aufgrund von knappen Budgets könnte demnach dazu führen, dass Sie keine Angriffe simulieren können. Die Unternehmensleitung sollte sich der Gefahren und Auswirkungen von Angriffen bewusst sein, damit sämtliche notwendigen Schritte zur Sicherung der Systeme in der Planung berücksichtigt werden können, einschließlich der Notwendigkeit einer Testumgebung. Im Idealfall sollten alle denkbaren Angriffe simuliert und dokumentiert werden, damit optimale Sicherheitsrichtlinien und Gegenmaßnahmen bereitgestellt werden können. Bestimmte Angriffe, zum Beispiel Naturkatastrophen, können nicht getestet werden, wohl aber deren Auswirkungen. Beispielsweise könnte ein Szenario durchgespielt werden, das von einem Brand im Rechenzentrum ausgeht, der den Ausfall und Verlust sämtlicher dort befindlichen Server zur Folge hat. Damit lassen sich die Antwortzeiten der Administration und des Sicherheitspersonals in Hinblick auf die Wiederherstellung der Produktivumgebung testen. Die Anpassung der Sicherheitsrichtlinien und Kontrollmechanismen ist ein iterativer Prozess. Dieser ist folglich nie zu Ende und muss periodisch durchgeführt werden, damit Verbesserungen implementiert werden können. BetriebFür ein erfolgreiches Programm zur Reaktion auf Vorfälle sind eindeutige Eskalationspfade und Verfahren zur Problembehandlung unumgänglich. Indem Sie dieses Programm ab dem frühestmöglichen Stadium Ihres Sicherheitsprojekts immer wieder durchspielen, sorgen Sie für größere Effizienz Ihrer Teams bei der Problemlösung. Die Dokumentation der Ergebnisse und Erfahrungen mit Ihrem Sicherheitsprojekt hilft allen Beteiligten bei der Bewältigung bestehender und neuer Aufgaben. Die Dokumentation der Ergebnisse und Erfahrungen mit Ihrem Sicherheitsprojekt erleichtert allen Beteiligten das Bewerten, Entwickeln und Implementieren des nächsten Sicherheitsprojekts. Reaktion auf VorfälleSollte sich Ihr Unternehmen für eine optimale Implementierung von Sicherheitsplanungen entscheiden, so sollten Sie ein Krisenteam bilden, das sich mit der Reaktion auf Vorfälle befasst. Dieses Krisenteam sollte beim Erstellen der proaktiven Anstrengungen beteiligt werden. Hierzu zählen:
All diese Anstrengungen verschaffen Ihnen das Wissen, das Sie benötigen, um auf Vorfälle im Vorfeld und während des Vorfalls angemessen reagieren zu können. Ein Sicherheitsadministrator muss in der Lage sein, Sicherheitsüberwachungen nach Bedarf durchzuführen. Die Sicherheitsadministration - ein Einzelner oder eine Gruppe - ist die Instanz, der das Implementieren einer Sicherheitsrichtlinie für eine Domäne obliegt. Nachdem Sicherheitsadministration und das Krisenteam die proaktive Strategie implementiert haben, wird die Behandlung von Vorfällen dem Krisenteam übergeben. Dies bedeutet nicht, dass die Sicherheitsadministration nicht weiterhin in der Krisenbewältigung tätig sein sollte. Jedoch kann es sein, dass die Sicherheitsadministration nicht immer zur Verfügung steht, so dass das Krisenteam in der Lage sein sollte, eigenständig auf Vorfälle zu reagieren. Das Team sollte die Verantwortung für die Reaktion auf Vorfälle übernehmen und auch bei der Analyse ungewöhnlicher Ereignisse die Sicherheit von Computern und des Netzwerks betreffend beteiligt werden. Dokumentieren und LernenEs ist von großer Bedeutung, dass jeder Angriff dokumentiert wird. Die Dokumentation sollte alle bekannten Aspekte des Angriffs beinhalten, die verursachten Schäden (einschließlich des Ausmaßes der Schäden an Hard- und Software sowie Daten- und Produktivitätsverlust), die Sicherheitslücken, die ausgenutzt wurden, die Dauer des Ausfalls, die Verfahren zur Beseitigung der Schäden sowie die Kosten der Reparatur. Die Dokumentation wird bei der Anpassung der proaktiven Strategien helfen, um zukünftige Angriffe zu vermeiden und mögliche Schäden zu minimieren. Implementieren der EindämmungspläneWenn bereits Eindämmungspläne vorliegen, sollten diese implementiert werden, um das operative Geschäft so reibungslos wie möglich laufen zu lassen. Sollten keine solchen Pläne vorliegen, so können Sie nun welche unter Verwendung der bislang angefertigten Dokumentationen erstellen. Bewerten der ErgebnisseNach einem Angriff sollten Sie die Resultate in Hinblick auf Ihre proaktiven Strategien prüfen. In dieser Bewertung werden alle Schäden und die Zeit aufgeführt, die zur Wiederherstellung der Systeme benötigt wurde. Daraufhin sollten Sie Simulationen ähnlicher Angriffe in einer der Produktivumgebung ähnlichen Testumgebung durchführen. Nachbessern der RichtlinienSollten Richtlinien für die Verteidigung gegen einen erfolgten Angriff vorliegen, so müssen diese auf ihre Effektivität geprüft werden. Anderenfalls müssen Sie Richtlinien erstellen. Sollten die vorliegenden Richtlinien nicht die erhofften Ergebnisse erzielt haben, so müssen diese nachgebessert werden. Das Nachbessern der Richtlinien erfolgt durch die verantwortlichen Managementteams, die Sicherheitsadministration, IT-Administratoren und das Krisenteam. Alle Richtlinien sollten mit den allgemeinen Regeln und Vorschriften des Unternehmens übereinstimmen. Zum Beispiel könnten die Standardarbeitszeiten in Ihrem Unternehmen zwischen 8 und 18 Uhr liegen. Es könnte also eine Richtlinie implementiert werden, die den Anwendern die Anmeldung nur während dieses Zeitraums gestattet. Sicherheitsrisikomanagement-DisziplinIn den folgenden Abschnitten beschäftigen wir uns mit im Alltag bewährten Methoden zur Sicherheitsanalyse, die das Microsoft Solutions Framework (MSF) und das Microsoft Operations Framework (MOF) verstärken. MSF unterstützt Sie bei der Planung, dem Aufbau, der Stabilisierung und der Bereitstellung innerhalb eines Projektzyklus in den Bereichen Unternehmensarchitektur und Infrastrukturbereitstellung. MOF stellt Hinweise zur Entwicklung und Verbesserung von Managementsystemen für den IT-Betrieb bereit. Die Sicherheitsrisikomanagement-Disziplin (SRMD), die Sie beim Lernen von Techniken unterstützt, um auf Bedrohungen angemessen reagieren zu können, wird hier in allen Einzelheiten vorgestellt. SRMD ist ein detaillierter Prozess, der bei der Bewertung von Bedrohungen und Sicherheitslücken und ihren Auswirkungen auf Ihr Unternehmen hilft. Identifikation von SicherheitsrisikenDer erste Schritt in der Bewertung der Unternehmenssicherheit ist das Benennen von Sicherheitsrisiken. Um Bedrohungen angemessen verwalten zu können, müssen diese eindeutig identifiziert werden, so dass das Projektteam auf einer gemeinsamen Grundlage mögliche Auswirkungen analysieren und Pläne zum Umgang mit diesen Gefahren erstellen kann. Obwohl der Umfang der Sicherheitsrisiken auf die zu sichernden Technologien begrenzt ist, sollte das Projektteam sich mit allen möglichen Gefahrenquellen auseinandersetzen, einschließlich Technologien, Prozesse, Umgebung und Mitarbeiter. Eine Möglichkeit zur Identifizierung von Sicherheitsrisiken kann ein gemeinsames "Brainstorming" sein. Außerdem gibt es zahllose Informationsquellen zu Sicherheitsthemen im Internet. Sie sollten aber auch eigene Testergebnisse heranziehen, die bestehende Sicherheitslücken oder Stärke und Beharrlichkeit möglicher Angreifer behandeln. ZieleDas Ziel der Identifizierung besteht in einer Auflistung sämtlicher Sicherheitsrisiken, die Ihre Infrastruktur gefährden könnten. Diese Liste sollte so verständlich und umfangreich wie möglich sein und sämtliche Blickwinkel des Unternehmens wie Technologien, Mitarbeiter, Geschäftsziele und Strategien berücksichtigen. Risikomanagement umfasst das Benennen von Sicherheitsrisiken, die Analyse der Gefahren und das Erstellen eines Plans für den Umgang mit diesen Bedrohungen. Ein Sicherheitsrisiko ist der zu erwartende Verlust durch mögliche Bedrohungen in Hinblick auf Sicherheitslücken und die Stärke und Beharrlichkeit von Angreifern. InputDie Eingaben beim Benennen von Sicherheitsrisiken beinhalten das Sammeln verfügbaren Wissens zu Bedrohungen, das Erstellen einer Liste gängiger Angriffsmethoden und Techniken sowie die Analyse von Sicherheitslücken in Ihren Systemen und Richtlinien, die ausgenutzt werden könnten, um Ihre Infrastruktur zu beschädigen. Bedrohungen beinhalten alle denkbaren Gefahren für Daten und Systeme. Sicherheitslücken sind Software-, Hardware- oder Verfahrensschwächen, die Angriffspunkte für Bedrohungen darstellen. Diese Risiken resultieren häufig aus unterschiedlichen Betrachtungsweisen der Unternehmensumgebung einschließlich Geschäftspraktiken, Anwendungen, Daten und Infrastruktur. Die Erfahrung Ihres Teams, die Herangehensweise Ihres Unternehmens an die Sicherheitsplanung in Form von Richtlinien, Verfahren, Orientierungshilfen und Informationen über den gegenwärtigen Zustand der technologischen Infrastruktur unterstützen Sie bei den für diesen Arbeitsschritt notwendigen Eingaben. Das Sicherheitsteam kann auf Eingaben zurückgreifen, die bei der Betrachtung der Infrastruktur oder durch den Einsatz verschiedener Analysewerkzeuge gesammelt wurden. Teamsitzungen, Brainstorming und Sicherheitsworkshops helfen Ihnen, unterschiedliche Wahrnehmungen von Sicherheitsfragen zu berücksichtigen. Aktivitäten bei der RisikoidentifizierungWährend der Identifizierung versucht das Team eine eindeutige Liste von Sicherheitsbelangen zu erstellen, indem sämtliche Gefahren für das Unternehmen deutlich artikuliert werden. Auch hat es sich als hilfreich erwiesen, eine Reihe von Sicherheitsworkshops und Brainstorming-Sitzungen durchzuführen, um Risiken zu identifizieren. Aufgrund der rasenden Veränderungen von Technologien und Umgebungen darf die Risikoanalyse keine einmalige Tätigkeit sein - stattdessen muss sie in immer wiederkehrenden Intervallen neu durchgeführt werden. Strukturierte HerangehensweiseEine strukturierte Herangehensweise ist zwingend erforderlich, damit allen Teammitgliedern ein konsistentes Verfahren zum Umgang mit Sicherheitsbelangen zur Verfügung steht. Eine Klassifizierung von Bedrohungen ist für eine konsistente, reproduzierbare und messbare Herangehensweise hilfreich. Klassifizierung Die Klassifizierung oder Kategorisierung von Bedrohungen hilft dem Sicherheitsteam in vielen Bereichen. Während der Identifizierung kann sie bei der Berücksichtigung verschiedener Gefahren in unterschiedlichen Bereichen helfen. Während der Brainstorming-Sitzungen erleichtert die Kategorisierung die Zuordnung großer Mengen potenzieller Bedrohungen, indem sich ähnliche Bedrohungen zusammenfassend behandeln lassen. Auch lässt sich eine gemeinsame Terminologie für die Überwachung und das Erstellen von Statusberichten etablieren. Risikobericht Ein Sicherheitsrisikobericht ist die sprachliche Umsetzung eines kausalen Zusammenhangs zwischen dem bestehenden Sicherheitsstatus des Unternehmens und einem potenziellen, unberücksichtigten Sicherheitsbelang. Der erste Teil eines solchen Statements ist die Bedingung (Condition), die die Beschreibung einer möglichen Bedrohung, die dem Unternehmen Schaden zufügen könnte, beinhaltet. Der zweite Teil ist die Folge (Consequence), die den unerwünschten Verlust von Vertraulichkeit, Integrität und Verfügbarkeit einer Ressource beschreibt. Diese beiden Teile werden durch eine Aussage wie "DANN" verknüpft, die eine ungewisse (weniger als 100 Prozent) oder kausale Beziehung beschreibt. Folgender Risikobericht wird in diesem Leitfaden verwendet: WENN ein Angreifer ein Werkzeug, eine Methode oder eine Technik anwendet, um eine Sicherheitslücke auszunutzen, DANN kann der Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit einer Ressource schwerwiegende Folgen haben. Sicherheitsrisikoberichte werden im Verlauf der Risikoanalyse entwickelt. Für die Sicherheitsanalyse existieren zwei Herangehensweisen: Quantitative und qualitative Analyse. Keine dieser Herangehensweisen ist der anderen überlegen - jede stellt eine wertvolle Methode zur Strukturierung der Identifizierungsaktivitäten dar. Die quantitative Methode basiert auf den Daten, die im quantitativen Prozess zusammengestellt werden. 
Abbildung 2
In den folgenden Schritten werden alle Teile des in der obigen Abbildung dargestellten Verfahrens erläutert:
Die zweiseitige Betrachtungsweise, die für die Formulierung eines Sicherheitsrisikoberichts herangezogen wird, hat den Vorteil, dass potenzielle Folgen für eine Ressource mit den kontrollierbaren Bedingungen Ihres Unternehmens in Verbindung gesetzt werden. Alternative Methoden, bei denen das Team sich ausschließlich auf die Identifizierung der Risikobedingungen konzentriert, bedeuten, dass das Team die Risikobedingungen später zurückverfolgen muss, wenn die Planungsstrategien des Risikomanagements erarbeitet werden. Hinweis: Sicherheitsrisikoberichte sind keine reinen "WENN-DANN"-Relationen. Sie stellen vielmehr Aussagen dar, mit deren Hilfe sich mögliche, bislang unberücksichtigte Auswirkungen einer Gefahr beschreiben lassen. Es kann durchaus hilfreich sein, hypothetische "WENN-DANN"-Aussagen zu treffen, um Alternativen abzuwägen und Pläne anhand von Entscheidungsdiagrammen zu entwickeln. Dennoch ist das Ziel während der Bestimmungsphase die Identifikation möglichst vieler Sicherheitsrisiken. Analyse und Umgang mit diesen Gefahren sollten Sie auf einen späteren Zeitpunkt im Projekt verschieben. Ihr Sicherheitsrisikobericht muss Bedingungen und Folgen beinhalten. Die Teammitglieder sollten Gemeinsamkeiten und Kategorien für Sicherheitsbelange herausarbeiten, damit sie in der Lage sind, gemeinsame Ursachen zu finden. Danach sollten sie die Zusammenhänge ausgehend von der Ursache der Bedingung zurückverfolgen. Dies hilft bei einer Begutachtung der Auswirkungen auf Ressourcen außerhalb des Unternehmens, um Verluste oder Versäumnisse besser einschätzen zu können. Während der Identifikationsphase ist es nicht unüblich, dass die gleiche Bedingung verschiedene Folgen haben kann. Auch der Umkehrschluss ist zutreffend - das heißt, dass eine Folge auf verschiedene Bedingungen zurückzuführen ist. Manchmal kann die Auswirkung einer Gefahr in einem Unternehmensbereich zugleich Bedingung für ein weiteres Risiko in einem anderen sein. Diese Umstände sollten sorgfältig aufgezeichnet werden, damit während Risikoanalyse und Planungsphase Abhängigkeiten und Beziehungen zwischen Sicherheitsrisiken berücksichtigt werden können. Je nach Abhängigkeit der Sicherheitsrisiken in Ihrem Unternehmen kann die Bekämpfung einer Gefahr eine ganze Gruppe abhängiger Gefahren ausmerzen, womit sich das Risikoprofil des Unternehmens substanziell verändern kann. Eine frühzeitige Dokumentation dieser Beziehungen ist von großem Nutzen für die Entwicklung einer flexiblen, nachvollziehbaren und wirkungsvollen Strategie zum Aufspüren gemeinsamer Ursachen. Das Sammeln zusätzlicher Informationen bei der Risikoidentifikation muss mit der schnellen, nachfolgenden Analyse und der Bewertung der Abhängigkeiten und gemeinsamer Ursachen während der Planungsphase in Einklang gebracht werden. Ressourcenbewertung Ein wichtiger Bestandteil des Risikomanagements ist das Bestimmen des Werts einer Ressource. Dadurch lässt sich festlegen, wie viel Zeit und Geld in die Sicherung einer Ressource gesteckt werden muss. In vielen Unternehmen ist diese Bewertung Bestandteil eines Wiederherstellungsplans. Das folgende Bewertungsmodell kann Ihnen beim Verfassen einer Rangliste Ihrer Ressourcen (wie in Punkt 8 der quantitativen Analyse beschrieben) helfen. Um den Wert einer Ressource angemessen zu bestimmen, sollten Sie die folgenden drei Hauptfaktoren berechnen:
Tabelle 1: Ressourcenbewertung (Beispiel)
Außerdem sollten Sie den Wert Ihrer Ressource für Mitbewerber berücksichtigen. Sollte ein Mitbewerber beispielsweise zuvor gesammelte Kundeninformationen von Ihrer Website während der Ausfallzeit verwenden können, so könnten Sie Millionen an Umsatz an Ihre Mitbewerber verlieren. Viele unterschiedliche Verfahren und Gleichungen können bei einer quantitativen Risikoanalyse Verwendung finden und viele Variablen zum Einsatz kommen. Im Folgenden finden Sie zusätzliche Schritte, die obige Liste nach Punkt 10 fortsetzen, um eine erfolgreiche, quantitative Risikoanalyse durchzuführen.
Die Eingaben, die bei der quantitativen Analyse getätigt werden, führen zu klar definierten Zielen und Ergebnissen. In der folgenden Liste können Sie nachlesen, zu welchen Ergebnissen die bislang aufgeführten Schritte führen:
OutputDas minimale Output der Identifikation von Sicherheitsrisiken ist ein eindeutiger und präziser gemeinsamer Bericht zu existierenden Gefahren in einer Liste mit Sicherheitsbelangen. Diese Liste, in tabellarischer Form, dient als Input für die nächste Phase des Sicherheitsrisikomanagements - der Analyse. Die Identifikation der Sicherheitsrisiken sorgt in der Regel für eine Vielzahl von nützlichen Informationen, zum Beispiel gemeinsame Ursachen, Auswirkungen außerhalb des Unternehmens, betroffene Bereiche und so weiter. Diese Informationen sollten Sie in tabellarischer Form pflegen und verwalten. Auch ist es hilfreich, Klassifizierungen von Bedrohungen umfangreich zu dokumentieren und in einer Knowledge-Base zu hinterlegen. Folgende Informationen könnten Sie zusätzlich bei der Identifikation der Sicherheitsrisiken aufnehmen:
Analyse und PrioritätensetzungDie Sicherheitsrisikoanalyse ist der zweite wichtige Schritt in der Sicherheitsbewertung. In der Analyse geht es in erster Linie um die Umsetzung der Sicherheitsrisikodaten (Bedrohung, Sicherheitslücken, mögliche Angriffe) in eine bei der Entscheidungsfindung hilfreiche Form. Eine Prioritätensetzung hilft den Sicherheitsteammitgliedern bei der Adressierung der Risiken nach ihrer Bedeutung. In diesem Arbeitsschritt werden die Ergebnisse der Identifikation von Sicherheitsrisiken in einen Aktionsplan umgesetzt. In diesem Aktionsplan legt das Sicherheitsteam fest, welche Ressourcen für die Ausführung einer bestimmten Strategie nötig sind, um die Sicherheitsbelange Ihres Unternehmens verwalten zu können. Weiterhin kann das Team an dieser Stelle entscheiden, welche Sicherheitsbelange aufgrund geringer Priorität fallen gelassen werden können. Während sich diese Phase der Implementierung ihrer Vollendung nähert und sich die Umgebung Ihres Unternehmens verändert, müssen Identifikation und Analyse von Sicherheitsrisiken für die Erfolgsbewertung des Aktionsplans regelmäßig wiederholt werden. Neue Sicherheitsrisiken können auftreten, während ältere durch eine veränderte Prioritätensetzung fallen gelassen werden können. ZielDas vorrangige Ziel der Sicherheitsrisikoanalyse ist die Prioritätensetzung der Sicherheitsbelange im Aktionsplan, um die Bereitstellung von Unternehmensressourcen für deren Beseitigung zu bestimmen. InputWährend der Analyse greift das Team auf eigene Erfahrungen und Informationen aus anderen Quellen zurück. Hierzu zählen die Sicherheitsrichtlinien und Verfahren Ihres Unternehmens, relevante Sicherheitswissensdatenbanken, Sicherheitslückenanalyse, Sicherheitssimulationen und Informationen über Ressourcen, um die Rohdaten aus den Berichten in eine Masterliste mit Prioritätensetzung umzuarbeiten. AktivitätenAuch für die Erstellung eines Aktionsplans können Sie auf viele qualitative und quantitative Methoden zurückgreifen. Eine einfache Methode wäre, auf gemeinsame Schätzungen des Teams aufgrund der zwei gängigen Komponenten der Risikoanalyse zurückzugreifen: Wahrscheinlichkeit und Auswirkung. Hieraus können Sie errechnen, wie stark Sie welcher Gefahr ausgesetzt sind. RisikowahrscheinlichkeitHierüber wird festgelegt, wie wahrscheinlich das Auftreten einer Risikobedingung ist. Ihr Risikostatement kann Faktoren beinhalten, die weder mit Zeit, noch mit Geld zu tun haben, zum Beispiel: " WENN ein Angreifer ein Werkzeug, eine Methode oder eine Technik anwendet, um eine Sicherheitslücke auszunutzen, ... In diesem Risikobericht ist die Bedingung, dass der Angreifer eine Sicherheitslücke ausnutzt. Für einige Arten von Bedrohungen, zum Beispiel Naturkatastrophen, gibt es keine bekannten Sicherheitslücken, oder diese lassen sich nur schwer beziffern. In diesem Fall ist es hilfreich, die Wahrscheinlichkeit, dass Risiken auftreten, durch einen numerischen Wert zu repräsentieren, damit sie in eine Rangliste integriert werden können. Wenn die Risikowahrscheinlichkeit nicht größer als Null ist, stellt die Bedrohung kein Sicherheitsproblem dar. Wenn die Wahrscheinlichkeit 100 Prozent beträgt, ist ein Sicherheitsrisiko vorhanden. Wahrscheinlichkeiten sind erfahrungsgemäß nur sehr schwierig zu schätzen und anzuwenden, obwohl es auch hier bereits viele Erfahrungswerte aus anderen Unternehmen und Projekten gibt, auf die Sie zurückgreifen könnten. Da ein Projektteam aber in der Lage ist, Erfahrungen in Worte zu fassen, können diese Aussagen Wahrscheinlichkeitsbereichen, wie in der nachfolgenden Tabelle, zugeordnet werden. Tabelle 2: Risikowahrscheinlichkeit
Der Wahrscheinlichkeitswert, der für die Berechnung herangezogen wird, ist der Mittelwert eines Bereichs. Mit Hilfe solcher Zuordnungstabellen lassen sich Wahrscheinlichkeiten, bei denen sich das Team auf eine Bezeichnung einigen konnte, quantifizieren. Bei der Betrachtung der numerischen Ergebnisse ist es wichtig, dass Sie für alle Sicherheitsrisiken die gleichen Maßstäbe anwenden. Ganz gleich welche Technik Sie für die Quantifizierung von Unbekannten heranziehen, müssen Sie sich im Team auf einen gemeinsamen Nenner bezüglich der Bewertung von Risiken einigen. AuswirkungenAuswirkungen sind Schätzungen der Schwere eines Verlusts aufgrund des Fehlverhaltens oder des Ausfalls einer Ressource beziehungsweise des Verlusts der Vertraulichkeit, Verfügbarkeit oder Integrität einer Ressource. Diese Schätzung ergibt sich aus den Auswirkungen, wie sie im Risiko-Statement beschrieben werden: "... DANN kann der Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit einer Ressource schwerwiegende Folgen haben. Verlust kann dabei nach finanziellen Maßstäben oder anhand eines subjektiven Bewertungssystems gemessen werden. Sollten alle Auswirkungen finanziell quantifizierbar sein, so hat dies den entscheidenden Vorteil, dass die Verlustzahlen direkt für Kaufleute verständlich sind. Hierbei handelt es sich um Werte wie langfristige Betriebskosten, Verlust von Marktanteilen oder kurzfristige, zusätzliche Personalkosten. In anderen Fällen ist ein subjektives Bewertungssystem angemessen, um die Auswirkungen von Sicherheitsrisiken auf einer Skala von 1 - 5 oder von 1 - 10 zu erfassen. Ein solcher Fall könnte dann eintreten, wenn der tatsächliche Wert einer Ressource nicht schnell genug ermittelt werden kann. Solange Sie jedoch bei der Bewertung der Auswirkungen in Ihrem Aktionsplan die gleichen Kriterien verwenden, haben Sie ein adäquates System zur Hand. Tabelle 3: Beispiel für ein Bewertungssystem
Dieses Bewertungssystem variiert nach Art und Größe des Unternehmens und sollte sich an den Richtlinien und Geschäftswerten Ihrer Organisation orientieren. Ein Verlust von 10.000 Euro, der in einem Unternehmen hingenommen wird, kann für ein anderes völlig inakzeptabel sein. Durch eine künstliche Überbewertung einer möglicherweise katastrophalen Auswirkung (zum Beispiel 100) können auch extrem unwahrscheinliche Vorkommnisse den obersten Listenplatz erhalten. GefährdungSämtliche Sicherheitsrisiken bezüglich einer Ressource, einschließlich der Wahrscheinlichkeit und Schwere eines Verlusts, werden als Risikogefährdung numerisch beziffert. Das Sicherheitsteam kann somit die Schwere der Gefährdung als Kriterium für die Rangfolge der Sicherheitsrisiken heranziehen. In der einfachsten Form der Risikoanalyse wird die Gefährdung berechnet, indem Wahrscheinlichkeit und Auswirkung multipliziert werden. Wenn Sie Wahrscheinlichkeit und Auswirkungen quantitativ bewerten wollen, ist es hilfreich, die möglichen Kombinationen der Werte mit Hilfe einer Matrix abzubilden, in der die Risikokategorien Gering, Mittel und Hoch zugeordnet werden. Ein dreiteiliger Wahrscheinlichkeitswert (1 = Gering und 3 = Hoch) kann in Verbindung mit einem dreiteiligen Auswirkungswert in einer Tabelle aufgeführt werden, woraus sich für jede Zelle ein Gefährdungswert ergibt. Mit Hilfe dieser Tabelle ist die Kategorisierung der Risiken in Gering, Mittel und Hoch anhand ihrer Position in der diagonalen Anordnung der steigenden Werte ein Leichtes. Tabelle 4: Matrix zur Risikobewertung
Anhand einer eindeutigen Farbgebung wird ein weiterer Vorteil dieses tabellarischen Formats deutlich. Auch hilft eine eindeutige und zugleich leicht verständliche Terminologie bei der Kommunikation dieser Werte. Zusätzliche quantitative TechnikenDas Ziel der Sicherheitsanalyse liegt in der Prioritätensetzung sowie dem Vorantreiben des Aktionsplans und des Entscheidungsprozesses. Ihr Team sollte daher eine Methode zur Platzierung der Risiken auf einer Dringlichkeitsliste verwenden, die dem Projekt, dem Team und den Entscheidungsträgern gerecht wird. Einige Organisationen bevorzugen eine Methode, in der mehrere Attribute betrachtet und unterschiedlich gewichtet werden, um weitere Aspekte und Komponenten (benötigter Zeitrahmen, Umfang möglicher Vorteile, Verlässlichkeit der Wahrscheinlichkeitsschätzung, Ressourcenbewertung und so weiter) in die Prioritätensetzung mit einfließen zu lassen. Die Wahl der richtigen Methode beinhaltet das Abwägen zwischen Aufwand bei der Analyse und der Gefahr, falsche oder gegenüber Entscheidungsträgern schwer zu verteidigende Prioritätensetzungen in den Aktionsplan aufzunehmen. In jedem Fall soll die Sicherheitsanalyse durchgeführt werden, um Risiken zu bewerten und Entscheidungen zu treffen, nicht als Analyse um der Analyse Willen. Die Ergebnisse einer quantitativen oder semi-quantitativen Herangehensweise sollten mit Geschäftsabläufen, Richtlinien, Verfahren, Datenbestand und technologischer Infrastruktur in Einklang gebracht werden. Eine semi-quantitative Vorgehensweise beginnt mit qualitativen Bewertungen, die dann quantifiziert werden. OutputDie Sicherheitsanalyse führt zu einer Handlungsliste mit Prioritätensetzung, die Sie bei der Planung Ihrer Aktivitäten unterstützen soll. Detaillierte Angaben zu Bedingungen, Kontext, Ursachen und die Metrik für die Prioritätensetzung (Wahrscheinlichkeit, Auswirkung, Gefährdung) sollten dabei für jedes Risiko in ein Risiko-Statement-Formular, welches ausführlich weiter unten in diesem Modul erläutert wird, eingetragen werden. MasterlisteRisiken, für die Handlungsbedarf besteht, werden im Rahmen des Aktionsplans nach ihrer Priorität aufgelistet. Der Aktionsplan definiert die Ursache für das Risiko (Bedingung), die möglichen negativen Auswirkungen (Folge) sowie die Bewertungskriterien, zum Beispiel Wahrscheinlichkeit, Auswirkung und Gefährdung. Es folgt ein Beispiel für eine Masterliste, in der die Schätzung anhand der Faktoren Wahrscheinlichkeit und Auswirkung vorgenommen wird. Tabelle 5: Beispiel für eine Masterliste und Prioritätensetzung
Gefährdung = Wahrscheinlichkeit × Auswirkung. Geringe Auswirkung = 1, mittlere Auswirkung = 2, starke Auswirkung = 3. Die Masterliste ist eine Zusammenstellung sämtlicher Informationen aus der Sicherheitsanalyse. Es handelt sich dabei immer um ein "lebendiges" Dokument, welches während aller Phasen eines IT-Zyklus (Bewertung, Planung, Aufbau, Bereitstellung und Betrieb) auf dem neuesten Stand gehalten werden muss. Die Masterliste ist die Grundlage für proaktives und reaktives Risikomanagement. Sie ermöglicht dem Team die Entscheidungsfindung auf der Basis von:
Die Methode zur Berechnung von Gefährdungen sollte umfangreich im Risikomanagementplan dokumentiert werden. Stellen Sie außerdem sicher, dass alle Kalkulationen dieser Methode exakt folgen, um sämtliche Überlegungen des Sicherheitsteams adäquat erfassen zu können. Bei der Sicherheitsanalyse identifizieren Sie Bedrohungen für Ihre Ressourcen. Für jede Bedrohung erstellen Sie einen Risikobericht. Risikoberichte kombinieren Informationen zu einer Bedrohung mit Informationen zu deren Auswirkungen. Tabelle 6: Inhalte einer Masterliste
Formular für RisikoberichteBei der Analyse einzelner Sicherheitsrisiken in Bezug auf Bedrohungen und Sicherheitslücken ist es hilfreich, sämtliche relevanten Informationen in einem Dokument zu organisieren, dem Risiko-Statement-Formular. Weitere Informationen zu Abläufen während eines Sicherheitsprojekts finden Sie im Leitfaden Microsoft Solution for Security Services . Eine Liste von Risikoberichten beinhaltet für gewöhnlich die Felder der Masterliste, die während der Identifikations- und Bewertungsphase erstellt wird. Sie kann beliebig erweitert werden, um das Team beim Sicherheitsmanagement zu unterstützen. Es ist ratsam, die Statement-Liste in einem eigenständigen Dokument zu pflegen, anstatt sie der Masterliste hinzuzufügen. Die Tabelle zeigt, welche Informationen bei der Erstellung eines Statement-Formulars berücksichtigt werden sollten: Tabelle 7: Formular für Risikoberichte
PrioritätenlisteDie Sicherheitsanalyse bewertet die Bedrohung, die von jedem Risiko ausgeht, um dem Team die Entscheidung zu ermöglichen, welche Umstände Handlungsbedarf nach sich ziehen. Da Sicherheitsmanagement und daraus resultierende Planungen Ressourcen benötigen, die von anderen Bereichen abgezogen werden müssen, ist es wichtig, dass das Team alle notwendigen Maßnahmen ergreift, um die wertvollsten Ressourcen des Unternehmens zu schützen. Eine einfache und zugleich effiziente Methode für die Überwachung von Sicherheitsrisiken ist das Erstellen einer Prioritätenliste, in der die wichtigsten Risiken aufgeführt sind. Diese Prioritätenliste sollte allen Entscheidungsträgern zur Verfügung gestellt werden, damit sie in anderen IT-Projekten, die Sicherheitsbelange adressieren, verwendet werden kann. Ihr Unternehmen muss auf der Grundlage von Kriterien wie Zeit und Ressourcen entscheiden, was in die Prioritätenliste aufgenommen wird. Nach der Festlegung müssen Teammitglieder mit der Betreuung der Risiken beauftragt werden. Nach der Prioritätensetzung sollte sich das Team auf eine Risikomanagement-Strategie konzentrieren, die den Aktionsplan in die Sicherheitsbestandsaufnahme integriert. Deaktivieren von RisikenSicherheitsrisiken können deaktiviert oder als inaktiv klassifiziert werden, so dass das Team sich auf die Bewältigung wichtigerer Aufgaben konzentrieren kann. Eine solche Klassifizierung bedeutet, dass das Team den Aufwand zur Nachverfolgung einer Bedrohung zu einem gegebenen Zeitpunkt als unverhältnismäßig einschätzt. Diese Entscheidung wird während der Analysephase getroffen. Einige Risiken werden als inaktiv gekennzeichnet, weil die Wahrscheinlichkeit ihres Auftretens gegen Null tendiert. Andere wiederum werden deaktiviert, weil der Aufwand für die Planung proaktiver oder reaktiver Strategien als unangemessen erachtet wird. In diesen Fällen ist es kostenplanerisch sinnvoller, einfach die Konsequenzen dieser Risiken in Kauf zu nehmen. Es ist nicht ratsam, Sicherheitsrisiken zu deaktivieren, auf die die oben aufgeführten Bemerkungen nicht zutreffen. Beachten Sie, dass das Deaktivieren eines Risikos etwas anderes ist, als es zu lösen. Ein deaktiviertes Risiko kann unter bestimmten Umständen und Abhängigkeiten wieder auftauchen und daher jederzeit reaktiviert werden. Nachverfolgung, Planung und BerichterstattungDie nächsten Schritte im Sicherheitsrisikomanagement sind die Nachverfolgung der Risiken, die im Aktionsplan definiert werden, sowie das Erstellen eines Zeitplans und eines Verfahrens zur Berichterstattung. Anhand der im vorigen Schritt festgelegten Prioritäten führt das Team proaktive Veränderungen an der technologischen Infrastruktur durch und implementiert neue Sicherheitsverfahren und -prozesse. Sollte einem Risiko nicht proaktiv zu begegnen sein, wird ein reaktives Verfahren entwickelt, das durch Auslösen eines bestimmten Ereignisses in Kraft tritt. Nachdem ein solcher Plan erstellt wurde, wird ein Zeitplan für die Implementierung der vorgeschlagenen Veränderungen angefertigt. Schließlich werden die zu erledigenden Aufgaben an die Teammitglieder verteilt. Ein Zeitplan beinhaltet die Integration der zu bewältigenden Aufgaben in den Projektrahmen, indem sie Mitarbeitern zugewiesen und das Erledigen der Aufgaben nachverfolgt wird. Die Berichterstattung besteht aus Neudefinitionen von Risiken, die sich aufgrund veränderter Projektvorgaben ergeben können. Diese Art der Berichterstattung wird auch als Risk Change Management bezeichnet. In der Berichterstattung wird außerdem festgehalten, welche Risiken von der Prioritätenliste bereits abschließend behandelt werden konnten. In der folgenden Abbildung wird der gesamte Schritt grafisch dargestellt. 
Abbildung 3
ZieleDas primäre Ziel der Planung ist die Entwicklung detaillierter Aktionspläne für Risiken auf der Prioritätenliste und deren Integration in die gängigen Prozesse des Projektmanagements, um die Fertigstellung zu gewährleisten. InputDie Sicherheitsrisikoplanung sollte eng in den Projektplanungsprozess integriert werden. Beachten Sie, dass das Sicherheitsprojekt eigene Sicherheitsrisiken mit sich bringt, die sich jedoch anders verhalten als die eigentlichen Gefahren für das Unternehmen. Die Implementierung eines Sicherheitsplans birgt Gefahren für das gesamte Projekt und sollte mit Hilfe der Methoden von MSF verwaltet werden. Projektrisiken umfassen Zeit, Geld und Ressourcen. Der Planungsprozess greift zurück auf Input aus der Masterliste und der Prioritätenliste, auf Informationen aus der Knowledge-Base sowie auf Aktionspläne und die Zeitpläne zur Implementierung. PlanungsaktivitätenBei der Entwicklung von Plänen zur Verminderung von Ressourcengefährdung sollten Sie Folgendes beachten:
Weiterhin existieren verschiedene Vorgehensweisen zur Verringerung von Projektrisiken, zum Beispiel:
AktionsplanungEs existieren sechs primäre Herangehensweisen für die Aktionsplanung. Die damit verbundenen Fragestellungen sollten Sie im Team ausführlich berücksichtigen. Diese Herangehensweisen werden im Folgenden detailliert besprochen.
Forschen Ein Großteil der Risiken im Verlauf eines Sicherheitsprojekts ist auf Ungewissheiten und unvollständige Informationen zurückzuführen. Derartigen Risiken kann begegnet werden, indem Nachforschungen zu Bedrohungen, Sicherheitslücken oder der Ressource selbst angestellt werden. Beispielsweise könnte eine Bewertung der Sicherheitslücken erfolgen oder eine Sicherheitsübung, um tiefere Erkenntnisse über die Umgebung und die Reaktionsfähigkeiten des Teams zu erlangen. Der Aktionsplan sollte genaue Anweisungen zu Art und Umfang der Nachforschungen vorgeben, zum Beispiel betroffene Mitarbeiter und Ressourcen. Akzeptieren Einigen Risiken, zum Beispiel Naturkatastrophen, kann nicht mit präventiven oder korrigierenden Maßnahmen planerisch begegnet werden. Daher könnte das Sicherheitsteam beschließen, diese als gegeben zu akzeptieren. Diese Entscheidung entbindet Sie jedoch nicht von der Verantwortung, proaktive und reaktive Strategien zu entwickeln. Die andauernde Überwachung eines Sicherheitsrisikos bedarf angemessener Ressourcen und Maßnahmen. Hinweis: Das Akzeptieren gewisser Risiken ist keine Strategie des "Nichtstuns". Der Aktionsplan sollte in jedem Fall eine ausführliche Begründung für die Akzeptanz eines Risikos beinhalten. Vermeiden Wenn Sie über eine Veränderung in der Bewertung einer Ressource ein Risiko eliminieren können, so nennt man das Vermeidungstaktik. Der Aktionsplan sollte in jedem Fall eine ausführliche Begründung für dieses Vorgehen beinhalten. Außerdem müssen die Änderungen in der Bewertung dokumentiert werden. Übertragen Bisweilen ist es möglich, ein Sicherheitsrisiko an einen Außenstehenden zu übertragen. Mögliche Außenstehende könnten sein:
Das Übertragen eines Sicherheitsrisikos eliminiert dieses selbstverständlich nicht. Prinzipiell entstehen durch das Übertragen von Sicherheitsrisiken neue Gefahren, aber bestehende Bedrohungen können so auf ein akzeptables Maß reduziert werden. Das Auslagern der IT-Infrastruktur könnte beispielsweise die damit verbundenen Risiken dem Aufgabenbereich des Sicherheitsteams entziehen, sorgt aber für eine Neubeurteilung der Vertraulichkeit von Ressourcen. Vorbeugen Sie können Risiken proaktiv begegnen, indem Sie ein Auftreten verhindern oder die Auswirkungen auf ein akzeptables Maß verringern. Dieses Verfahren unterscheidet sich von der Vermeidungstaktik dahingehend, dass bestehenden Bedrohungen begegnet wird, um Ressourcen zu schützen, anstatt eine Neubewertung der Ressource vorzunehmen. Hauptziel dieses Verfahrens ist es, die Wahrscheinlichkeit eines Angriffs zu verringern. Eine starke Passwortrichtlinie zum Beispiel verringert die Wahrscheinlichkeit, dass ein Außenstehender mit Hilfe eines erratenen oder geknackten Kennworts in die Buchhaltung des Unternehmens einbricht. Eindämmen Ein Eindämmungsplan beinhaltet die Entwicklung von Reaktionsstrategien, die greifen müssen, falls alle vorbeugenden Maßnahmen versagt haben. Die Praxis lehrt, dass Sie für alle möglichen Sicherheitsrisiken Eindämmungspläne entwickeln sollten, einschließlich derer, für die vorbeugende Maßnahmen ergriffen wurden. Die Begründung hierfür ist einfach: Ganz gleich, wie umfangreich Ihre proaktive Strategie geplant ist, es kann immer unvorhersehbare Zwischenfälle und Angriffe geben, die Ihren Ressourcen Schaden zufügen können. Im Eindämmungsplan wird festgehalten, was im Falle einer auftretenden Bedrohung zu tun ist, welche Folgen sich daraus ergeben und wie die Auswirkungen minimiert werden können. Das Team sollte Reaktionsstrategien entwickeln, die sicherstellen, dass Sie während eines Zwischenfalls und danach angemessen reagieren können. Je nach Art der Bedrohung sollten Sie Werte festlegen, die den Eindämmungsplan auslösen. Im Bereich der Sicherheit ist ein Auslöser zumeist ein Ereignis. Dies bedeutet, dass Sie eine Methode benötigen, die das Ereignis erfasst, das entsprechende Reaktionsteam benachrichtigt und den Eindämmungsplan auslöst. Es gibt zwei Arten von Auslösern für einen Eindämmungsplan:
ZeitpläneDie Zeitplanung beim Sicherheitsrisikomanagement unterscheidet sich nicht von den empfohlenen Standardverfahren des MSF. Es ist von elementarer Bedeutung, dass das Sicherheitsteam sich bewusst ist, dass Aufrechterhaltung und Steuerung von Sicherheit wichtige Bestandteile von Risikobewertung und -management sind. OutputDer Aktionsplan sollte proaktive und reaktive Sicherheitspläne enthalten, die einer der vorgestellten sechs Herangehensweisen folgt: Forschen, Akzeptieren, Vermeiden, Übertragen, Vorbeugen oder Eindämmen. Die Aufgaben, die zur Implementierung dieser Pläne nötig sind, sollten in den Sicherheitszeitplan integriert werden. Änderungen an der technischen Umgebung sollten in einer funktionalen Spezifikation dokumentiert werden. Sicherheitsplan und -zeitplan sollten Anpassungen hinsichtlich Ressourcen und Umfang berücksichtigen, aus denen die zu erledigenden Aufgaben hervorgehen. Die Masterliste sollte immer auf dem neuesten Stand gehalten werden und Informationen für die proaktiven und reaktiven Strategien enthalten. Formatieren Sie alle Sicherheitspläne nach den Vorgaben aus dem Aktionsplan. Aktualisieren der PläneIhr Plan zur Sicherheitsimplementierung enthält proaktive und reaktive Strategien. Achten Sie bei einer Aktualisierung auf Folgendes:
Ihr Team sollte Sicherheitsrisiken anhand der folgenden Zeitrahmen überwachen:
Entwicklung von SicherheitsmaßnahmenDie Entwicklung von Gegenmaßnahmen und Betriebsabläufen sind elementare Bestandteile der Sicherheitsstrategie Ihres Unternehmens. Sicherheitsrisiken können proaktiv behandelt werden, indem Sie Technologien verstärken oder organisationsweite Richtlinien entwickeln. Oftmals haben Standardinstallationen von Betriebssystemen, Anwendungen oder Datenbanken laxe Sicherheitseinstellungen, um die Administration und Softwareentwicklung zu vereinfachen. Bevor Sie diese Technologien produktiv einsetzen, sollten Sie sie einem "Verhärtungsprozess" unterziehen. Das Absichern der Server könnte eine Veränderung der Standardsicherheitseinstellungen und das Entfernen überflüssiger Softwarekomponenten beinhalten. Das IT-Personal sollte bezüglich bekannter Sicherheitsbedrohungen und -lücken permanent auf dem Laufenden sein und entsprechende Softwareaktualisierungen oder Sicherheits-Hotfixes installieren. Der Vorgang der Strategieentwicklung beinhaltet auch die Entwicklung von Systemen, Richtlinien und Verfahren zur Nachverfolgung und Berichterstattung unberücksichtigter Gefahren. Dies unterstützt Sie bei der Evaluierung von vorhandenen Präventivmaßnahmen sowie neuer Richtlinien und Verfahren. Sie benötigen weiterhin ein Berichterstattungssystem, das verdächtige Ereignisse oder potenzielle Bedrohungen erfasst, denen Sie sich umgehend widmen müssen. Zusätzlich zu einem automatischen System können auch manuelle Verfahren zur Nachverfolgung eingesetzt werden. Das Nachverfolgen von Sicherheitsrisiken ermöglicht den Teammitgliedern, die vorhandenen Pläne den neuen Sicherheitsrisiken anzupassen. Nachverfolgung ist die Überwachungsfunktion des Aktionsplans. Sie ist für die wirksame Implementierung der Sicherheitsmaßnahmen zwingend notwendig. Durch die Nachverfolgung stellen Sie sicher, dass Ihre Präventivmaßnahmen und Eindämmungspläne zeitnah greifen und dass Ereignisse anhand Ihrer metrischen Vorgaben diese Maßnahmen auslösen. ZieleDas Ziel der Entwicklung von Maßnahmen ist es, notwendige Veränderungen in Architektur und Verfahrensweisen zu dokumentieren. InputDie Entwicklung von Maßnahmen bezieht ihr Input primär aus den Sicherheitsrisikoplänen, die vorbeugende Maßnahmen und Eindämmungspläne zur Bestimmung von Bedrohungen und Sicherheitslücken in Ihrem Unternehmen spezifizieren. Die Entwicklung beinhaltet Systeme und Verfahren zur Überwachung der Auslöser für Eindämmungspläne. AktivitätenDie Entwicklung von Maßnahmen unterscheidet sich nicht großartig von andern Infrastrukturentwicklungsprojekten, zum Beispiel dem Veränderungsmanagement und der Patchverwaltung. Veränderungen im Design müssen in funktionalen Spezifikationen dokumentiert werden. Danach erfolgt die Anpassung von Richtlinien und Verfahren, die den Veränderungen gerecht werden. Auch müssen Spezifikationen von entwickelten Überwachungssystemen festgehalten werden. Beispiele für Projektschritte, denen zeitbasierte Auslösemechanismen und Nachverfolgung zugeordnet werden:
Auch sollten während dieser Phase Verfahren für die Statusberichterstattung von Sicherheitsrisiken entwickelt werden. Die Berichterstattung sollte auf zwei Ebenen stattfinden: Berichterstattung innerhalb des Teams und Berichte für die Entscheidungsträger. Innerhalb des Teams sollten die Statusberichte folgende Situationen berücksichtigen, die jedem Risiko zugeordnet werden:
In Berichten an die Entscheidungsträger sollten die Hauptgefahren und der Status der entsprechenden Aktionen aufgeführt werden. Weiterhin ist es hilfreich, frühere Ranglisten und die Anzahl der Platzierungen einzelner Risiken in den Bericht aufzunehmen. Während das Projektteam beginnt, Maßnahmen zu implementieren, sollte die Risikogefährdung akzeptable Ausmaße annehmen. OutputWährend der Maßnahmenentwicklung werden Spezifikationen für Veränderungen dokumentiert, die in folgender Reihenfolge angewendet werden müssen:
Testen der MaßnahmenWährend der Testphase wird die Effektivität der Sicherheitspläne geprüft. Proaktive und reaktive Strategien müssen auf ihre Wirksamkeit geprüft werden, um die Effizienz des Aktionsplans zu bewerten. Um die Wirksamkeit von neu entwickelten Gegenmaßnahmen, Richtlinien und Verfahren messen zu können, müssen Sie die Risiken, denen vorgebeugt werden soll, gründlich prüfen. Belegen Sie in Tests für jedes Risiko und jede entwickelte Strategie, dass Bedrohungen, Sicherheitslücken, Angriffe und die betroffenen Ressourcen adäquat berücksichtigt werden. Während der Testphase kann es notwendig sein, dass Sie Ihren Aktionsplan anpassen müssen, um Effektivität, Gültigkeit und zeitnahe Reaktionen auf Ereignisauslöser sicherzustellen. Dokumentieren Sie die Testergebnisse, und binden Sie sie in die Knowledge-Base Ihres Unternehmens ein. Sammeln Sie dabei so viele Informationen wie möglich. ZieleDie Testphase hat die Bewertung der einzelnen Sicherheitspläne zum Ziel. Folgende Punkte sollten während der Tests berücksichtigt werden:
InputDie Aktionspläne, die die Tätigkeiten einzelner Mitarbeiter und Teams in Hinblick auf Sicherheitsbelange und Vorfälle genau aufschlüsseln, werden überprüft und bewertet. Anhand der dokumentierten Testergebnisse können Sie proaktive und reaktive Verfahren daraufhin überprüfen, ob diese für den Einsatz in Ihrem Unternehmen geeignet sind. AktivitätenDie Tests sollten jede Gegenmaßnahme und jeden Notfallplan hinsichtlich ihrer Effektivität untersuchen. Fortlaufende Tests sollten sekundäre Sicherheitsrisiken aufzeigen, die durch das Implementieren von Gegenmaßnahmen auftreten könnten. OutputAm Ende der Testphase sollte ein Dokument entstanden sein, das Ihnen bei der Dokumentation des Fortschritts hinsichtlich der Implementierung Ihrer Sicherheitsaktionspläne hilft. Weiterhin sollten Sie hier die Wirksamkeit der neu erstellten Richtlinien und Verfahren zusammenfassen und dokumentieren, welche Sicherheitsstrategien funktioniert haben und welche nicht. Erlangtes Wissen dokumentierenDas Wissen, das Sie während der Bewertungs- und Implementierungsphase erlangt haben, sollten Sie zur künftigen Verwendung festhalten. Dies ist die sechste und letzte Phase der Sicherheitsbewertung, die eine strategische Perspektive für die Risikomanagementaktivitäten Ihres Unternehmens eröffnet. Es ist von höchster Wichtigkeit, dass Gegenmaßnahmen, Richtlinien und Verfahren, die Sie während der Risikobewertung entwickelt haben, für die Wiederverwendung in zukünftigen Projekten archiviert werden. Damit können zukünftige Projektteams bei der Bewertung neuer Lösungen auf Ihren Erfahrungsschatz zurückgreifen. Organisieren Sie Ihre Erfahrungen aus der Sicherheitsrisikobewertung chronologisch, damit die aktuellen Informationen schnell zu finden sind. Diese Dokumentation verfolgt drei Schlüsselziele:
LernenEin Großteil des Erfolgs einer Lernstrategie hängt von einer sauberen Klassifizierung und Kategorisierung von Sicherheitsrisiken ab. Damit Teams bei der Bewältigung zukünftiger Sicherheitsbewertungen von bereits gesammelten Erfahrungen lernen können, sollten Sie die folgenden drei Schlüsselaspekte der Klassifizierung berücksichtigen:
Dokumentation und FortbildungIn Organisationen, in denen verschiedene Risikomanagementtechniken häufig zum Einsatz kommen, hat es sich als hilfreich erwiesen, eine strukturierte Herangehensweise für die Verwaltung von Sicherheitsrisiken zu finden. Für eine erfolgreiche Umsetzung gibt es auch hier drei Bedingungen:
Kontextspezifische KlassifizierungenDie Identifikation von Sicherheitsrisiken kann durch die Entwicklung von Klassifizierungen für bestimmte Lösungsansätze verfeinert werden. In einem Projekt zur Entwicklung einer Anwendung gibt es beispielsweise andere Klassifizierungen von Sicherheitsrisiken als in einem Infrastrukturprojekt. Während Sie mehr Erfahrungen im Sicherheitskontext sammeln, können Richtlinien und Verfahren besser kategorisiert und im Zusammenhang mit vorbeugenden Maßnahmen erfolgreich verwendet werden. Knowledge-BaseDie Knowledge-Base verwenden Sie zur Archivierung gesammelter Erfahrungen, um in zukünftigen Sicherheitsbewertungen darauf zurückgreifen zu können. Ohne jegliche Knowledge-Base in irgendeiner Form hat die Entwicklung einer proaktiven Strategie wenig Aussicht auf Erfolg. Offensichtlich ist es einfacher, vorbeugende Maßnahmen zu implementieren, wenn Sie Einträge zu Bedrohungen, Sicherheitslücken und möglichen Angriffen in Ihrer Knowledge-Base verwalten. Die Knowledge-Base unterschiedet sich von der Datenbank für das Risikomanagement, in der spezifische Sicherheitsbelange dokumentiert und nachverfolgt werden. WissensmanagementDie Knowledge-Base sollte eine treibende Kraft hinter einem verbesserten Risikomanagement sein. Zu Beginn Ihres Sicherheitsprojekts werden Sie wahrscheinlich noch nicht über eine solche Knowledge-Base verfügen. Die Teams bewerten jedes Sicherheitsrisiko von Neuem. So steigt die Wahrscheinlichkeit, dass eine reaktive Strategie zum Einsatz kommt. Zu diesem Zeitpunkt sollte Ihr Unternehmen die nächste Ebene eines aktiven Risikomanagements anstreben. Zu einem späteren Zeitpunkt verfügen Sie bereits über eine formlose Knowledge-Base, in der das Wissen erfahrener Mitarbeiter in Bezug auf Verfahren, Technologien und Menschen gebündelt ist. Häufig dient hierfür ein Sicherheitsausschuss. Diese Herangehensweise begünstigt aktives Risikomanagement und ist ein wichtiger Schritt in Richtung einer proaktiven Strategie. Die erste Entwicklungsstufe einer Knowledge-Base erreichen Sie, indem Sie eine strukturierte Bewertung von Sicherheitsrisiken vornehmen. Dank einer formalen Aufnahme und Indizierung der Sicherheitsbelange können Sie sich der Entwicklung einer proaktiven Strategie widmen, da sich die Ursachen von Sicherheitsrisiken mehr und mehr verdeutlichen. Schließlich werden Sie nicht nur Indikatoren, sondern auch die Strategien zur Bewältigung von Sicherheitsrisiken sowie deren Erfolgsquoten festhalten. Mit einer derart gereiften Knowledge-Base greifen Sie während der Identifikations- und Planungsphasen auf den gemeinsamen Erfahrungsschatz vieler Teams zurück, so dass Ihr Unternehmen mit der Kostenoptimierung des Risikomanagements beginnen kann. Bei der Entwicklung Ihrer Knowledge-Base sollten Sie auf folgende Erfahrungswerte zurückgreifen:
ZusammenfassungIn diesem Modul wurden Verfahren aus der Praxis vorgestellt, die sich aus den Analysemethoden von MSF und MOF ableiten. Die in der SRMD zur Kostenberechnung für den Ressourcenschutz verwendeten Prozesse wurden dabei detailliert beschrieben. Schließlich wurden Empfehlungen ausgesprochen, wie Sie Sicherheitsteams zusammenstellen können, die sich mit Aktionsplänen zur Vermeidung und Bekämpfung von Angriffen beschäftigen. Weitere InformationenInformationen zu MOF finden Sie unter: http://www.microsoft.com/technet/itsolutions/cits/mo/mof/default.mspx (englischsprachig). Informationen zu Computerkriminalität finden Sie unter: http://www.gocsi.com/press/20020407.html (englischsprachig). Informationen zur Bedrohungsanalyse finden Sie in: "Threat Assessment of Malicious Code and Human Threats" (englischsprachig) von Lawrence E. Bassham & W. Timothy Polk: National Institute of Standards and Technology Computer Security Division unter: http://csrc.nist.gov/publications/nistir/threats/index.html (englischsprachig). Informationen zu Informationssicherheit finden Sie unter: http://www.iso-17799.com/ (englischsprachig). Informationen zum Thema "Hacking" finden Sie unter: http://www.hackingexposed.com/ (englischsprachig). Informationen zu Sicherheitsbedrohungen finden Sie bei Microsoft TechNet unter: http://www.microsoft.com/technet/security/bestprac/bpent/sec1/secthret.mspx (englischsprachig). Informationen zur Bewertung von Ressourcen finden Sie auf den Seiten des National Institute of Standards and Technology unter: http://csrc.nist.gov/asset/ (englischsprachig).
|
In diesem Beitrag
|
