Zum Hauptinhalt springen

Risikobehandlung

Die Risikobehandlung in grcproxy umfasst den Umgang mit bewerteten Risiken nach ihrer Identifikation und Bewertung. Ziel ist es, nicht tragbare Risiken durch geeignete Maßnahmen zu reduzieren, verbleibende Restrisiken transparent zu bewerten und die Risikosituation fortlaufend zu überwachen.

Die Risikobehandlung erfolgt dabei immer auf Ebene einzelner Gefährdungen in Bezug auf konkrete Ressourcen.

Risikominderung durch Maßnahmen

Die zentrale Form der Risikobehandlung ist die Reduktion eines Risikos durch geeignete Sicherheitsmaßnahmen. Grundlage hierfür sind insbesondere die im IT-Grundschutz-Kompendium vorgesehenen Basis-, Standard- und erweiterten Maßnahmen.

Durch die Umsetzung dieser Maßnahmen wird das Risiko nicht sprunghaft, sondern schrittweise reduziert. Maßgeblich ist dabei der tatsächliche Umsetzungsstand der einer Gefährdung zugeordneten Maßnahmen.

Die Risikominderung zeigt sich in grcproxy in den bewerteten Risikozuständen:

  • Brutto-Risiko als Ausgangswert ohne berücksichtigte Maßnahmen
  • Netto-Risiko als Zielwert nach Basis- und Standardmaßnahmen
  • Netto-Risiko nach erweiterten Maßnahmen als weiter reduzierter Zielwert
  • Aktuelles Risiko als derzeit verbleibendes Risiko auf Basis des tatsächlichen Umsetzungsstands

Die Risikobehandlung erfolgt damit nicht losgelöst von der Bewertung, sondern durch die tatsächliche Umsetzung und Fortschreibung der zugeordneten Maßnahmen.

Schwellenwert für automatische Risikoakzeptanz

Für die Risikobehandlung kann ein Schwellenwert definiert werden, bis zu dem Risiken automatisch als akzeptabel eingestuft werden. Damit lässt sich festlegen, bis zu welchem Risikoniveau keine weitergehende Behandlung erforderlich ist.

Liegt das aktuelle Risiko auf oder unter diesem Schwellenwert, kann das Risiko automatisch akzeptiert werden. Liegt es darüber, besteht weiterer Behandlungsbedarf.

Der Schwellenwert dient damit als methodische Entscheidungsgrenze zwischen akzeptablem Restrisiko und weiter zu behandelndem Risiko.

Bewertung des aktuellen Restrisikos

Das aktuelle Restrisiko entspricht dem Risiko, das nach Berücksichtigung des tatsächlichen Umsetzungsstands der zugehörigen Maßnahmen verbleibt. Es bildet die maßgebliche Grundlage für die fachliche Beurteilung, ob ein Risiko akzeptiert werden kann oder weitere Maßnahmen erforderlich sind.

Die Bewertung des aktuellen Restrisikos erfolgt somit nicht abstrakt, sondern auf Basis des tatsächlich erreichten Zustands. Ausschlaggebend sind insbesondere:

  • der Abstand zwischen Brutto-Risiko und den definierten Zielwerten
  • der tatsächliche Umsetzungsstand der zugehörigen Maßnahmen
  • die daraus berechnete Höhe des aktuellen Risikos
  • der Vergleich mit dem definierten Akzeptanzschwellenwert

Das aktuelle Restrisiko ist damit der zentrale Bezugswert für die operative Risikobehandlung.

Überwachung und Aktualisierung von Risiken

Risiken sind nicht statisch, sondern müssen fortlaufend überwacht und bei Änderungen aktualisiert werden. Dies betrifft insbesondere:

  • neue oder geänderte Gefährdungen
  • geänderte Rahmenbedingungen einer Ressource
  • Anpassungen der Schutzbedarfsbewertung
  • Änderungen bei zugeordneten Maßnahmen oder deren Umsetzungsstand
  • neue fachliche Bewertungen von Eintrittswahrscheinlichkeit und Auswirkung

Da sich bewertete Risiken, Standardwerte und Maßnahmenstände unmittelbar auf das aktuelle Risiko auswirken können, muss die Risikobehandlung regelmäßig überprüft und fortgeschrieben werden.

grcproxy unterstützt dies, indem Änderungen an Bewertungen, Maßnahmenständen und konfigurierten Standardwerten unmittelbar in die Risikobetrachtung einfließen. Dadurch bleibt die Risikosituation jederzeit aktuell und nachvollziehbar.