Kostenloses Template zur Risikobewertung nach ISO/IEC 27001

ISO/IEC 27001 spezifiziert die Anforderungen für Sicherheitsmechanismen zum Schutz der IT-Werte. Ein wichtiger Schritt ist die Risikobewertung.

Der Schutz unternehmenskritischer Informationen ist in der heutigen Geschäftswelt von größter Bedeutung. Unternehmen müssen daher ein starkes Security-Framework implementieren, um die gesetzlichen Anforderungen zu erfüllen (Compliance) und das Vertrauen der Kunden zu gewinnen. Orientierung bietet hier die internationale Norm ISO/IEC 27001 „Information Technology – Security Techniques – Information Security Management Systems – Requirements“. 

Sie spezifiziert die Anforderungen für geeignete Sicherheitsmechanismen zum Schutz sämtlicher Werte in der IT. Dabei berücksichtigt sie die Sicherheitsrisiken innerhalb der einzelnen Organisation (Unternehmen, staatliche Organisationen, Non-Profit-Organisationen) und formuliert Grundsätze zu Implementierung, Betrieb, Überwachung, Wartung und Verbesserung eines Information Security Management Systems. ISO 27001 bietet einen systematischen Ansatz zur sicheren Verwaltung von vertraulichen oder sensiblen Unternehmensinformationen – die Daten bleiben verfügbar, vertraulich und integer.

Die Norm schreibt ausdrücklich die Analyse und Bewertung von Risiken vor, bevor Unternehmen irgendwelche Kontrollfunktionen implementieren. Das kostenlose Template zur Risikobewertung für ISO 27001 (Excel-Datei) von TechTarget unterstützt Sie bei dieser Aufgabe. Obwohl sich die Einzelheiten von Unternehmen zu Unternehmen unterscheiden können, stimmen die übergeordneten Ziele der Risikobewertung im Wesentlichen überein:

  • Erkennen der Risiken.
  • Prüfen Sie, ob die bestehenden Kontrollmaßnahmen der Risikobereitschaft des Unternehmens entsprechen und damit alle Anforderungen erfüllen.
  • Reduzieren Sie Risiken bei Bedarf durch neue Sicherheitsmaßnahmen.

Risikoananalyse und -bewertung: Was steckt dahinter?

Beginnen wir bei den Grundlagen. Unter einem Risiko versteht man die Wahrscheinlichkeit eines Zwischenfalls, der einer Information (= Vermögenswert) Schaden (im Sinne der Definition von Informationssicherheit) zufügt oder zum Verlust der Information führt. Im Wesentlichen steht der Begriff Risiko für das Ausmaß, in dem ein Unternehmen von einem potenziellen Umstand oder Ereignis bedroht wird. Es geht typischerweise um die möglichen negativen Auswirkungen dieses Ereignisses und die Wahrscheinlichkeit, mit der dieses Ereignis auftritt.

Risikoanalyse und -bewertung identifiziert:

  • Gefahren für die Organisationen (Betriebsabläufe, Vermögenswerte oder Einzelpersonen) oder Bedrohungen, die eine Organisation gegen andere Organisationen oder die Nation richtet.
  • Interne und externe Schwachstellen oder Sicherheitslücken von Organisationen.
  • Nachteilige Auswirkungen für Organisationen, die eventuell auftreten könnten und Angreifern die Tür für die Ausnutzung von Schwachstellen bieten.
  • Die Wahrscheinlichkeit, dass Schäden entstehen.

Ergebnis ist die Risikobewertung, sprich der Grad und die Wahrscheinlichkeit des Eintretens einer Schädigung. Unsere Vorlage leitet Schritt für Schritt durch die Risikobewertung gemäß ISO/IEC 27001:

  • Berechnen Sie den Wert des Anlagevermögens (Inventars).
  • Ermitteln Sie Schwachstellen.
  • Identifizieren Sie Bedrohungen und Gefahren.
  • Identifizieren Sie die Wahrscheinlichkeit der Bedrohung und den Grad ihrer Auswirkungen.
  • Berechnen Sie den Risikowert.
  • Legen Sie die Kontrollmechanismen fest und setzen Sie diese um.

Wert des Inventars

Den ersten Schritt zur Risikobewertung bildet die Analyse der Vermögenswerte im Unternehmen: Jedes Gut, das einen Mehrwert bietet und für den Geschäftsbetrieb wichtig ist, gilt als Asset. Software, Hardware, Dokumentationen, Betriebsgeheimnisse, Sachanlagen und Menschen – es gibt eine Menge unterschiedlicher Vermögenswerte. Dokumentieren Sie all diese Assets entsprechend ihrer Kategorie in unserer Vorlage für die Risikobewertung. Den Wert eines Assets können Sie über folgende Parameter bestimmen:

  • Tatsächliche Kosten des Assets.
  • Kosten für die Vervielfältigung des Assets.
  • Kosten bei Diebstahl.
  • Wert des geistigen Eigentums.
  • Preis, den andere für den Vermögenswert bezahlen würden.
  • Kosten für den Schutz des Assets.

Anschließend bewerten Sie jedes Asset unter den Aspekten Vertraulichkeit, Integrität und Verfügbarkeit. Als Kategorien für den Wert des Inventars dienen meist sehr hoch, hoch, mittel und niedrig.

Schwachstellen ermitteln

Im nächsten Schritt geht es um die Dokumentation der Schwachstellen der erfassten Vermögenswerte. Die Sicherheitslücken sollten den Werten für Vertraulichkeit, Integrität und Verfügbarkeit zugeordnet werden.

Eine Sicherheitslücke geht auf eine Schwachstelle oder einen Fehler beim Design oder bei der Implementierung eines Assets zurück. Sie kann zu einem unerwarteten, unerwünschten Ereignis führen, das die Sicherheit des/der beteiligten Systems, Netzwerks, Anwendung oder Prozesses beeinträchtigen kann. Ziel ist es, für jede Schwachstelle eine potenzielle Bedrohung oder Gefahr zu finden und miteinander zu verknüpfen. Auch Sicherheitslücken oder Schwachstellen lassen sich in den Kategorien sehr hoch, hoch, mittel und niedrig bewerten.

Gefahren ermitteln

Eine Bedrohung stellt ein mögliches Ereignis dar, das zu einem unerwünschten, schädlichen Zwischenfall führen kann. In unserer Vorlage zur Risikobewertung werden Gefahren unter Überschriften wie böswillige Aktivitäten, Funktionsfehler, Personen und Umwelt kategorisiert und dann als sehr hoch, hoch, mittel oder niedrig eingeordnet.

Wahrscheinlichkeit der Bedrohung und Auswirkungen auf das Geschäft

Im nächsten Schritt bestimmen wir die Wahrscheinlichkeit der Bedrohung und deren potenziellen Auswirkungen auf das Geschäft:

  • Häufigkeit, in der die Bedrohung die Schwachstelle ausnutzen könnte.
  • Produktivitätseinbußen und deren Kosten.
  • Umfang und Kosten der physischen Schäden, die die Bedrohung verursachen könnte.
  • Wertverlust, wenn vertrauliche Informationen veröffentlicht werden.
  • Kosten für die Wiederherstellung des Systems nach einem Hacker-Angriff (Virus etc.)

Die Schwere der Auswirkungen wird mit folgender Formel berechnet:

Schwere der Auswirkung = Inventarwert x Schweregrad der Bedrohung x Schweregrad der Schwachstelle

Bestimmen Sie die Wahrscheinlichkeit, mit der eine Bedrohung eine Sicherheitslücke ausnutzt. Die Wahrscheinlichkeit des Auftretens wird von einer Reihe verschiedener Faktoren bestimmt: Systemarchitektur, Systemumgebung, Zugang zum Informationssystem und bestehende Kontrollmechanismen; Präsenz, Ausdauer, Stärke und Art der Bedrohung; Existenz von Schwachstellen und Wirksamkeit der bestehenden Kontrollen.

Risikowert ermitteln

Der Risikowert wird wie folgt berechnet: Risikowert = Schwere der Auswirkung x Wahrscheinlichkeit; die folgende Tabelle beschreibt den Risikowert:

Risikowert

Beschreibung

Niedrig

In Ordnung

Mittel

Möglicherweise zusätzliche Kontrolle notwendig

Hoch

Aktion notwendig

Sehr hoch

Sofort beheben

Kontrolle der Risiken

Nach der Risikobewertung müssen Sie Gegenmaßnahmen und Lösungen finden, um mögliche Schäden durch die ermittelten Bedrohungen zu minimieren oder zu beseitigen. Die Sicherheitsmaßnahmen müssen wirtschaftlich sinnvoll sein, das heißt der Nutzen sollte die Kosten übersteigen. Daher ist eine Kosten/Nutzenanalyse notwendig.

Anmerkung zur folgenden Formel: ALE steht für Annualized Loss Expectancy, sprich jährliche Verlusterwartung durch verbliebene Schäden.

Wert der Sicherheitsmaßnahme für das Unternehmen = ALE vor der Implementierung der Sicherheitsmaßnahmen - ALE nach der Implementierung des Schutzes - jährliche Kosten für die Maßnahmen.

Ein Beispiel: Die jährliche Verlusterwartung (ALE) für die Angriffe von Hackern, die einen Webserver ausschalten, liegt bei 12.000 Euro vor der Umsetzung einer entsprechenden Schutzmaßnahme und bei 3.000 Euro nach der Absicherung. Wenn die jährlichen Kosten für die Instandhaltung und den Betrieb der Schutzmaßnahme 650 Euro betragen, liegt der Wert der Sicherheitsmaßnahme für das Unternehmen bei 8.350 Euro pro Jahr.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über IT-Sicherheits-Management