Zum Hauptinhalt springen

Identifikation von Risiken

Risiken entstehen in grcproxy aus der Kombination von Ressourcen, Gefährdungen und den zugehörigen Sicherheitsmaßnahmen. Grundlage für die Identifikation relevanter Gefährdungen bildet der Maßnahmenkatalog des BSI IT-Grundschutzes.

Die Zuordnung von Gefährdungen erfolgt dabei nicht manuell, sondern wird aus der Struktur des Informationsverbunds und den zugeordneten Bausteinen abgeleitet.

Gefährdungen im IT-Grundschutz

Das IT-Grundschutz-Kompendium beschreibt eine Vielzahl möglicher Gefährdungen, die unterschiedliche Arten von Ressourcen betreffen können. Diese Gefährdungen bilden die Grundlage für die Risikobetrachtung in grcproxy.

Gefährdungen beschreiben mögliche Ereignisse oder Zustände, die zu einer Beeinträchtigung der Schutzziele Vertraulichkeit, Integrität oder Verfügbarkeit führen können.

Ableitung relevanter Gefährdungen

Relevante Gefährdungen werden über die Referenzen zwischen Maßnahmen und Gefährdungen im IT-Grundschutz-Kompendium abgeleitet. Jede Maßnahme ist dort mit bestimmten Gefährdungen verknüpft. Diese Referenzen werden genutzt, um automatisch zu bestimmen, welche Gefährdungen für eine Ressource relevant sind.

Der Ableitungsmechanismus folgt dabei dem Prinzip:

Ressource → Baustein → Maßnahme → Gefährdung

Dadurch wird sichergestellt, dass Risiken stets im Kontext der vorgesehenen Sicherheitsmaßnahmen betrachtet werden.

Die Maßnahmenreferenzen dienen dabei ausschließlich der systematischen Identifikation relevanter Gefährdungen. Das Fehlen einer Maßnahme bedeutet daher nicht, dass eine Gefährdung grundsätzlich nicht existiert. Vielmehr stellt die Maßnahmenreferenz eine strukturierte Methode dar, um mögliche Gefährdungen für eine Ressource zu bestimmen.

Zuordnung von Gefährdungen zu Ressourcen

Gefährdungen werden für jede Ressource individuell betrachtet. Eine Gefährdung kann dabei für mehrere Ressourcen relevant sein, wenn diese durch ähnliche Bausteine oder Maßnahmen betroffen sind.

Die Bewertung erfolgt daher stets für die Kombination aus Ressource und Gefährdung.

Dieses Vorgehen ermöglicht eine differenzierte Bewertung der Risikosituation im gesamten Informationsverbund.

Maßnahmen und Gefährdungsreferenzen

Die im Informationsverbund zugeordneten Maßnahmen erfüllen zwei Funktionen:

  • Sie bestimmen, welche Gefährdungen für eine Ressource relevant sind.
  • Sie wirken gleichzeitig risikomindernd, sofern sie umgesetzt werden.

Über die Referenzen zwischen Maßnahmen und Gefährdungen entsteht damit eine direkte Verbindung zwischen ISMS-Betrieb und Risikomanagement.

Die Umsetzung von Maßnahmen beeinflusst später die Berechnung des aktuellen Risikos, indem anhand des Umsetzungsgrades automatisch zwischen Brutto-Risiko und Netto-Risiko interpoliert wird.