19RISKNEWS 03/04

Autor

Prof. Dr. PeterScholz

ist Professor für Informatikan der FachhochschuleLandshut. Darüber hinausist er als Unternehmensbe-rater, Sachverständiger,Trainer und Coach imBereich strategischer Fra-gestellungen der IT tätig.Grundlagen der vorliegen-den Arbeit sind auf derBasis einer Kooperation mitder SioS GmbH in Münchenentstanden.

Kontakt: peter.scholz@fh-landshut.de

TITEL

Die Existenz eines funktionierenden Manage-mentsystems zur Informationssicherheit (IS) imUnternehmen stellt in letzter Konsequenz einenunverzichtbaren Garant für den Fortbestand desUnternehmens dar. Es ist daher Aufgabe derUnternehmensleitung, ein solches System zuinstallieren. Der zweiteilige britische StandardBS 7799 zum Management der IS enthält hierzueine umfassende Sammlung von Maßnahmen.Während Teil 1 (ISO/IEC 17799:2000) des Stan-dards die Aufgabe besitzt, diese Maßnahmenim Detail zu erläutern, bildet Teil 2 (BS 7799-2:2002) eine Basis für die Beurteilung eines IS-Managementsystems (ISMS), das auch für einformales Verfahren zur Zertifizierung herange-zogen werden kann [Völker 2003].

Der Verantwortung des Managements wird imBS 7799-2:2002 ein hoher Stellenwert beigemes-sen. Insbesondere ist es die Aufgabe der Unter-nehmensleitung, ein geeignetes Risikomanage-ment-System in Gang zu setzen. Die Notwen-digkeit von Risikomanagement-Systemen wirdnicht zuletzt durch die Tatsache bestätigt, dassdie zunehmenden Unternehmensinsolvenzen un-ter anderem auf ein Versagen des Risikomanage-ment-Systems zurückzuführen sind [Gerke 2003].

Obwohl es sich beim Risikomanagement um einzentrales Thema des BS 7799 handelt, macht derStandard keinerlei Vorgaben zu dessen konkreterUmsetzung. Diese Lücke kann im Prinzip durchein beliebiges Verfahren geschlossen werden;

Reine Normsache?Ein Ansatz zum Risiko-Assessment für den British Standard 7799

Im folgenden Beitrag wird ein Ansatz zum hierarchischen Assessment vonRisiken vorgestellt, welcher die Risiken verschiedener Unternehmensebenenin Bezug setzt, eine Bewertung der Schutzziele Verfügbarkeit, Vertraulichkeitsowie Integrität ermöglicht und damit die Basis für eine gezielte Suche nachGefahrenpotenzialen bildet. Daraus resultiert eine einerseits realistische, anderer-seits für die Geschäftsprozesse relevante Einschätzung der Gefährdungslage.

20 RISKNEWS 03/04

der hier diskutierte Ansatz bietet jedoch Vorteilehinsichtlich Effektivität und Effizienz. Er beziehtdas Top-Management nicht nur von Anfang anmaßgeblich ein, sondern baut den gesamten Pro-zess des Risiko-Assessment auf dessen Mitwir-kung auf. Hierbei handelt es sich um einen derwesentlichen Erfolgsfaktoren bei der Einführungund Umsetzung des BS 7799.

Der British Standard 7799

Von wesentlicher Bedeutung ist zunächst dieFeststellung, dass der BS 7799 nicht auf die ITSecurity, also Sicherheit der Informationstech-nologie, beschränkt ist. Vielmehr geht es um dieSicherheit jedweder Art von Information, unab-hängig von deren informationstechnischer Um-setzung.

Die Norm ISO/IEC 17799:2000 hat ihren Ursprungin dem British Standard BS 7799-1, auch bekanntals „Code of Practice for Information SecurityManagement“, und ist mit ihm annähernd iden-tisch. Sie ist ein international anerkannter Leit-faden zum Management von IS und umfasst eineSammlung von Empfehlungen für IS-Verfahrenund -Methoden, die sich in der Praxis bewährthaben [zur Entstehungsgeschichte der Normsiehe Völker 2003].

Während die ISO/IEC17799:2000 die Manage-mentgebiete, Maßnahmenziele und Maßnahmenzum Management von IS benennt, beschäftigtsich der BS 7799-2:2002 „ISMS – Specificationwith Guidance for Use” mit der Fragestellung deszugrunde liegenden Managementsystems undbeschreibt die Prozesse zur Implementierung,Überwachung, Prüfung, Instandhaltung und Ver-besserung eines ISMS. Der Standard ist in fol-gende zehn Abschnitte unterteilt:

1. Security Policy 2. Organizational Security 3. Asset Classification and Control 4. Personnel Security 5. Physical and Environmental Security 6. Communications & Operations Management 7. Access Control 8. System Development and Maintenance 9. Business Continuity Management 10. Compliance

Dabei handelt es sich aber um keine Bedienungs-anleitung zur Einführung von Sicherheitsmecha-nismen, sondern eher um einen Überblick überMaßnahmen und kritische Erfolgsfaktoren, die fürdie Etablierung eines ISMS ausschlaggebend sind.Zu diesen Erfolgsfaktoren zählt insbesondere, dass

� Sicherheitspolitik, Ziele und Aktivitäten an denGeschäftszielen und -prozessen ausgerichtet sind, � das Vorgehen zur Implementierung von IS derUnternehmenskultur angepasst und in Form desso genannten Statement of Applicability doku-mentiert ist, � IS der Unterstützung des (Top-) Managementsbedarf und von den Mitarbeitern gelebt wird, � ein gutes Verständnis der Sicherheitsanforde-rungen sowie des Risikomanagements und derBusiness Continuity (Notfallplanung) vorliegt, � Trainings und Schulungen durchgeführt wer-den und � ein System zur kontinuierlichen Bemessungund Verbesserung des ISMS existiert.

Im zweiten Teil des BS 7799 werden vier großeBereiche angesprochen: die Verantwortung desManagements, das ISMS, die Verbesserung desISMS sowie das Management Review. Der Stan-dard liefert ein Modell zu Management und Ein-führung eines effizienten ISMS und beschreibthierfür die Prozesse zur Implementierung, Über-wachung, Instandhaltung, Prüfung und Verbes-serung eines ISMS, kurz das Plan-Do-Check-Act(PDCA)-Model mit den Phasen:

� PLAN: Aufbau des ISMS� DO: Betrieb des ISMS� CHECK: Überwachung und -prüfung des ISMS� ACT: Verbesserung des ISMS

Nicht nur, um Harmonisierung mit anderenManagement-Standards (wie etwa ISO 9000 undISO 14000) zu erreichen, wurde das PDCA-Modellaus diesen übernommen. Vielmehr spiegelt sichhier auch ein konsequentes Prozessdenkenwider. Das PDCA-Modell stellt neben dem kon-tinuierlichen Verbesserungsprozess eine dergrundlegendsten Änderung in der überarbeite-ten Fassung BS 7799:2002 im Vergleich zur Vor-läuferversion BS 7799:1999 dar. Schwerpunktein der Phase der Planung bilden die Etablierungder Sicherheitspolitik, die Bestimmung der stra-tegischen Sicherheitsziele sowie die Einführungvon Prozessen und Abläufen, die für das Risiko-management relevant sind.

Auch in Deutschland können Unternehmen mitt-lerweile – ähnlich der ISO 9000 – ein Zertifikatnach BS 7799-2:2002 erlangen. Als möglicheAuditoren bzw. Zertifizierungsstellen kommenderzeit erst wenige Gesellschaften in Betracht.Dies liegt möglicherweise daran, dass sich sol-che Gesellschaften vorab selbst von der TGA(Trägergemeinschaft für Akkreditierung GmbHin Frankfurt) in einem komplexen Verfahrenakkreditieren lassen müssen. Eine Auflistung

derzeit akkreditierter Gesellschaften findet manim Internet unter www.tga-gmbh.de. WeitereUnternehmen wie etwa die TÜV ManagementService GmbH in München streben nach unsererKenntnis derzeit die Akkreditierung an.

Im Rahmen des Zertifizierungsprozesses musseine nicht unerhebliche Anzahl von Dokumen-ten im Bereich des Sicherheitsmanagementserstellt werden, so z. B. eine Beschreibung derGeschäftsprozesse sowie der Managementpro-zesse und der zugehörigen internen bzw. Ma-nagement Audits, eine Statement of Applicabi-lity, eine Security Policy, ein Information Secu-rity Management Handbuch, Unterlagen zumAsset- und Risikomanagement sowie zum Busi-ness Continuity Planning etc. Eine vollständigeAuflistung aller erforderlichen Dokumente ist imso genannten Public Document (PD) 3001 nach-zulesen [BSI 2002]. Dennoch muss betont werden,dass es sich beim BS 7799 um keinen Doku-mentationsprozess, sondern um einen dokumen-tationsgestützten Managementprozess handelt.

Risikomanagement im BS 7799

Dem Risiko-Assessment als Teil des Risiko-managements fällt innerhalb des BS 7799-2 einezentrale Rolle zu. Im Wesentlichen fußt dasISMS auf der Anwendung geeigneter Methodendes Risikomanagements. Welche Methoden hier-bei aber konkret angewendet werden sollen,schreibt der Standard erstaunlicherweise nichtvor. Es werden lediglich sechs Prozessschrittegenannt, die im Rahmen des Risikomanagementsdurchzuführen sind: Identifikation der Risiken –Bewertung der Risiken – Identifikation undBewertung der Möglichkeiten, mit den Risikenumzugehen – Auswahl von Maßnahmenzielenund Maßnahmen – Erstellen eines Eignungsbe-richts – Zustimmung des Managements.

Einem Unternehmen nützt es aber wenig, wennseine Risiken zusammenhangslos nur auf einerUnternehmensebene (z. B. Hardware, Softwarebzw. IT-Infrastruktur) erkannt und definiert wer-den. Vielmehr ist es erforderlich, sicherheits-kritische Risiken auf allen Hierarchiestufen zuerfassen, zu dokumentieren und sie dann ebe-nenübergreifend in Bezug zu setzen. Bei vielenMethoden zum Risiko-Assessment werden je-doch keine Abhängigkeiten zwischen den Risi-ken erkannt. Dies hat zur Folge, dass zum einenwichtige, ggf. unternehmenskritische Informa-tionen verloren gehen können und damit unkal-kulierbare Risiken entstehen, im Gegenzug aberunbedeutende Detail-Risiken erfasst werden.Ob es sich bei einem Risiko um ein bedeuten-

des handelt, hängt nämlich nicht in erster Linievon dessen mathematischem Produkt aus Ein-trittswahrscheinlichkeit und Schadensausmaßab, sondern zuallererst davon, ob eine wesent-liche Komponente eines Kerngeschäftsprozessesbetroffen ist.

Im Folgenden wird eine Methode zum hierarchi-schen Assessment von Risiken vorgestellt, wel-che die Risiken verschiedener Unternehmens-ebenen in Bezug setzt sowie eine Bewertungder Schutzziele Verfügbarkeit, Vertraulichkeitund Integrität erlaubt und damit eine gezielteSuche nach Gefahrenpotenzialen ermöglicht.Als Resultat ergibt sich eine einerseits realisti-sche, andererseits für den Unternehmenserfolgsignifikante Einschätzung der Gefährdungslage.

Hierarchisches Risikomanagement

Eine vollständige Erfassung und Bewertungaller wesentlichen Risiken ist in der Regel nurüber eine Erfassung entlang der Wertschöp-fungskette möglich. Dabei ist darauf zu achten,dass auch Abhängigkeiten zwischen einzelnenRisiken (Risiko-Interdependenzen) beobachtetwerden. Für das Risikomanagement wäre alsoein prozessorientiertes Risiko-Modell sehr wert-voll, das die oben erläuterten Defizite behebt.Prozessorientierte Risiko-Erfassung bedingt je-doch umfassendes Security- und Risikomanage-ment sowie die Kenntnis über das Zusammen-wirken der Geschäftsprozesse. Die Resultateeines solchen Modells sollen sämtliche für dieWertschöpfungskette relevanten Prozesse undderen Risiken aufzeigen und beurteilen. Diesbedeutet, dass betriebliche, organisatorische,technische, soziale, menschliche wie auch mone-täre Risiken abhängig vom zu untersuchendenProzess analysiert werden müssen.

Wie ein solches Risikomanagement unterneh-mensübergreifend für das Schutzziel der Ver-fügbarkeit durchgeführt werden kann, wurdebereits eingehend beschrieben [Scholz 2003und Mörl/Scholz 2004]. Es hat sich bewährt,mindestens folgende Unternehmensebenen zuunterscheiden: Geschäftsprozess, Applikation,Infrastruktur. Zwar kann dieser Ansatz zur Be-wertung der Verfügbarkeit an dieser Stelle nichtausführlich erläutert werden, dennoch sollenhier die wesentlichen Merkmale und Schrittedes Kernverfahrens skizziert werden:

Für jeden Geschäftsprozess wird entlang derWertschöpfungskette top-down wie folgt vor-gegangen: Zunächst werden Risiken auf derEbene der Geschäftsprozesse als Risiko-Knoten 21RISKNEWS 03/04

TITEL

22 RISKNEWS 03/04

erfasst, bewertet und dokumentiert. Bei einemKnoten kann es sich z. B. um die Steuerungeines Produktionsabschnittes, einen Webserver,den Hauptverteiler der Telekommunikation, einautomatisiertes Kleinteilelager, einen Tresorraumu. v. m. handeln. Für jeden Risiko-Knoten werdenfolgende Daten erfasst:

� Verfügbarkeitsanforderungen bzw. Soll-Verfüg-barkeit, z.B. 99,999 Prozent. � Ist-Verfügbarkeit, geschätzt oder auf der Basisstatistischer Daten des System Monitorings.� Plan-Verfügbarkeit für Planspiele.� Geschätztes Risiko (Eintrittswahrscheinlich-keit, Schadensausmaß).

Weiterhin wird festgehalten, von welchen ande-ren Risiko-Knoten ein Knoten abhängt und wel-che weiteren er beeinflusst. Auf diese Weiseentsteht ein gerichteter Risiko-Graph. Nacheinem vergleichsweise einfachen stochastischenModell auf der Basis unabhängiger Wahrschein-lichkeiten lässt sich sodann sowohl die Gesamt-verfügbarkeit als auch das Gesamtrisiko desGraphs automatisch errechnen. Ist der Risiko-Graph innerhalb einer Unternehmensebenekomplett spezifiziert, kann nun für jeden Risiko-Knoten des Graphs weiter angegeben werden,durch welchen Risiko-Graph aus der nachgela-gerten Unternehmensebene er sich hierarchischzusammensetzt. Beispielsweise kann die Ver-fügbarkeit einer rechnungslegungsrelevantenApplikation (z. B. der FiBu) von der Verfügbarkeiteines Applikationsservers, eines Datenbankser-vers, der LAN-Verbindungen usw. abhängen.Bei dem Prozess der hierarchischen Dekomposi-tion spricht man nur dann von einer korrektenVerfeinerung, falls jeder Risiko-Graph der Ebenen+1 insgesamt mindestens die Verfügbarkeits-bzw. Risiko-Anforderungen des ursprünglichenGraphs der Ebene n erfüllt. In unserem Beispielhieße dies, dass Applikations- und Datenbank-server sowie alle LAN-Verbindungen im Zusam-menspiel mindestens die geforderte Verfügbar-keit der Anwendung Finanzbuchhaltung erfüllenund keinen größeren Risiko-Wert besitzen alsdie Anwendung selbst.

Durch diese hierarchische Vorgehensweise wirdeinerseits sichergestellt, dass auf jeder Unter-nehmensebene qualitativ und quantitativ ver-gleichbare Vorstellungen hinsichtlich der Ver-fügbarkeits- bzw. Risiko-Situation im Unterneh-men herrschen, andererseits kann eine erhebli-che Kostenreduktion erzielt werden, da für dieWertschöpfung unerhebliche Risiken von vorneherein ausgeklammert werden.

Im Folgenden wird eine wesentliche Modell-erweiterung dieses Ansatzes für die Bewertungder Schutzziele Vertraulichkeit und Integritätvon Informationen beschrieben. Waren quanti-tative Aussagen zur Verfügbarkeit bestimmterRisiko-Knoten [Scholz 2003] noch relativ un-schwer zu treffen, so sind Anforderungen anVertraulichkeit und Integrität schlecht kardinalerfassbar. Aus diesem Grund bietet sich hiereine qualitative statt einer quantitativen unddamit eine ausschließlich natürlichsprachlicheBewertung an, z. B. eine Einteilung des Schutz-bedarfs in „maximal“, „hoch“, „mittel“ und „nie-drig“. Eine natürlichsprachige Bewertung einesSchutzziels ist aber vor dem Hintergrund des BS7799 kein Nachteil, sondern wird im Gegenteilsogar ausdrücklich begrüßt.

Wie können nun aber Vertraulichkeits- und Inte-gritäts-Anforderungen an Informationen und de-ren Lokation (z. B. auf einem bestimmten Server)mit dem aktuellen Ist-Stand verglichen werden?Diese Analyse setzt zunächst eine Verfüg-barkeitsanalyse (siehe oben) voraus [Buchner2004]. Eine grundlegende Problematik bekann-ter Ansätzen zur Risiko-Analyse wie z. B. demIT-Grundschutzhandbuch ist das Zugrundele-gen der Prämisse „eine Kette (Integrität, Ver-traulichkeit) ist immer so stark wie ihr schwächs-tes Glied“. Sie führt dazu, dass jedwede Infor-mation als schützenswert eingestuft wird undzwar so gut es geht, d. h. genau so gut es derStand der Technik erlaubt. Selbst wenn sich einUnternehmen eine derart erschöpfende Vor-gehensweise leisten könnte, wäre sie doch utopisch. Letztendlich werden tatsächlich nurEinzelfälle selektiv betrachtet. Dieser Selektions-prozess gleicht oft mehr dem Herumstochern imNebel als einem systematischen Vorgehen. Vordiesem Hintergrund wird mit dem Ziel, einerealistische Einschätzung der Gefährdungslagezu gewinnen, ein Ansatz vorgeschlagen, derrelevante Einzelfälle identifiziert.

Der Schutzbedarf einer Information (und damitderen Relevanz) hängen maßgeblich von ihremWert für potenzielle Angreifer bzw. für das Un-ternehmen selbst ab. Um diesen so exakt wiemöglich zu ermitteln, sollten mehrere Fragengestellt werden: Zunächst ist die Frage derMotivation zu klären, also warum es zu einemAngriff kommen kann. Dieser Aspekt gibt darü-ber hinaus Aufschluss über den Personenkreismöglicher Angreifer (wer). Daneben ist das wie(wird ein Angriff durchgeführt) eine weitere elementare Kernfrage. Beide Ergebnisse zusam-men bilden die Grundlage präventiver Schutz-maßnahmen und damit für proaktives Risikoma-

nagement. Mit einer weiteren zentralen Frage,dem wann, fließt auch die Angriffswahrschein-lichkeit entlang des Zeitstrahls in die Beur-teilung mit ein. Um die Informationssammlungabzurunden, wird letztlich nach dem Schadens-ausmaß, also dem wie viel, gefragt. Der Wesens-kern dieses Analyseverfahrens besteht nun da-rin, Informationen zu den oben gestellten Fragen(warum, wie, wer, wann, wie viel) entlang derWertschöpfungskette top-down weiterzureichenund zu verfeinern:

1. Auf der Ebene des Geschäftsprozesses werdenzunächst alle schutzbedürftigen Informationensowie deren Vertraulichkeits- bzw. Integritäts-anforderung (Schutzstufe) angegeben.2. Sodann wird spezifiziert, welche Personen-gruppen welchen Informationen welchen Wertbeimessen (wer, warum). Dieser Wert stellt einenGradmesser zur Beurteilung dar, ob ein Angriffvon der jeweiligen Personengruppe zu erwartenist. Außerdem wird damit die Grundlage für diespätere individuelle Risiko-Einschätzung für be-stimmte Personen geschaffen (wer genau). 3. Ferner kann auf der Ebene des Geschäftspro-zesses ein Zeitraum angegeben werden, in demein Angriff wahrscheinlich ist (wann).4. Im Zuge der top-down Verfeinerung (Ge-schäftsprozess, Applikation, Infrastruktur) müs-sen nun die Personengruppen, von denen eineGefahr ausgehen könnte, auf innerhalb oderaußerhalb des Unternehmens real existierendePersonen abgebildet werden (wer genau). 5. Außerdem ist der Business Impact (BI) zuermitteln und anzugeben (wie viel). Mit ihmwird zum Ausdruck gebracht, welche Schadens-art (Imageverlust, Schadenersatzklage usw.) undwelches Schadensausmaß ein erfolgreicher An-griff und somit der Verlust von Vertraulichkeitbzw. Integrität mit sich brächte.6. Schließlich erfolgt auf der Ebene der Applika-tion sowie der Infrastruktur eine Erfassung undBewertung derjenigen Assets, welche schutz-bedürftige Informationen beherbergen. Die Ver-folgung eines Risikos entlang aller Unterneh-mensebenen ergibt ein genaues Bild zu derFrage, wie ein möglicher Angriff stattfinden

könnte. Dieser Punkt ist auch deshalb von Inter-esse, weil Vertraulichkeits- bzw. Integritätsni-veaus von Infrastrukturkomponenten (z. B. Server,Netzwerk usw.) als Wissensgewinn nun „nachoben“ zur Unternehmensleitung kommuniziertwerden können, um dort im Zuge eines proak-tiven Risikomanagements als Entscheidungs-basis dafür dienen zu können, ob und ggf. wo-hin eine schutzbedürftige Information alternativmigriert werden muss, um ihrem SchutzbedarfRechnung zu tragen.

In Kombination mit dem Verfahren zur ebenen-übergreifenden Bewertung der Verfügbarkeitergibt sich auf diese Weise im Zusammenspielein umfassendes sowie realistisches und gleich-wohl effizientes Bild der gesamten Bedrohungs-situation.

Fazit

Informationssicherheit ist für alle Unternehmenund in allen Unternehmensbereichen ein ernstzu nehmendes Problem, das in Zukunft noch anBedeutung gewinnen wird. Durch den hier vor-gestellten hierarchischen Ansatz zum Risiko-Assessment können Unternehmen effektiv undeffizient Risiken erfassen, bewerten und kon-trollieren und auf diese Weise die Kontinuitätder Geschäftsprozesse gewährleisten. Darüberhinaus wird durch eine hierarchische Vorge-hensweise die Unternehmensleitung früh undkonsequent in den Prozess des Risikomanage-ments eingebunden. Eines der wesentlichenErfolgsmerkmale des BS 7799, die Einbeziehungdes Top Managements, kann daher quasi enpassant sichergestellt werden. Insgesamt wirdsomit der Blick für den tatsächlichen Wert vonAssets und deren Risiken auf allen Unterneh-mensebenen geschärft, und der Kreis zwischenAsset- und Risikomanagement schließt sich;beide sollten im BS 7799 ohnehin eng aneinan-der gekoppelt sein. Dieser Ansatz ebnet letzt-endlich den Weg für viele erforderliche Investi-tionen in das Risikomanagement, die bislangmangels Verständnis in den Führungsetagen nurzögerlich getätigt wurden.

23RISKNEWS 03/04

TITEL

Quellenverzeichnis: British Standards Institution (BSI): Preparing for BS7799-2 Certification. Guidance Requirements forCertification, London, 2002. / Buchner, F.: Ein Modell zum unternehmensebenenübergreifenden Risikomanagement im IT-Bereich,Diplomarbeit, Fachbereich für Informatik der FH Landshut, März 2004. / Gerke, W.: Das Pflichtenheft des Risikomanagements, in: Frank-furter Allgemeine Zeitung, 28. April 2003. / Mörl, R.; Scholz P.: Reaktionsschnelles Incident Management – Wer kann wem ver-trauen?, in: IT-Management, H. 4/2004 / Scholz, P.: Risikomanagement entlang von Wertschöpfungsketten – am Beispiel eines innova-tiven Ansatzes für Continuity Planning. IT-Security Fachkonferenz Computas, Karlsruhe 2003. / Völker, J.: Von „Best Practice“ zumStandard – Informationssicherheit nach BS 7799 im Überblick, White Paper, Secorvo Security Consulting GmbH, Karlsruhe 2003.