Risikomanagement
Am Anfang der Informationssicherheit und der technisch-organisatorischen Maßnahmen im Datenschutz steht eine sorgfältige Analyse des Risikos. Bei einer Risikoanalyse werden Schwachstellen und Bedrohungen ermittelt. Dazu müssen Sie zuerst eine Gefährdungsübersicht erstellen. Im BSI-Standard 200-3 »Risikoanalyse auf der Basis von IT-Grundschutz« werden 47 elementare Gefährdungen der Schutzziele Vertraulichkeit, Verfügbarkeit und Unversehrtheit beschrieben. Es handelt sich sowohl um Naturgefahren wie Feuer und Wasser als auch um spezielle IT-Bedrohungen wie Verlust von IT-Geräten, Schadsoftware und Social Engineering. Nehmen Sie diese Liste als Einstieg in eine Risikobewertung. Die Gefährdungen werden dann nach »direkt relevant«, »indirekt relevant« und »nicht relevant« klassifiziert. Eventuell identifizieren Sie auch noch eine oder mehre weitere Gefährdungen. Für die weitere Risikobetrachtung beschäftigen Sie sich nur noch mit den direkt relevanten Gefährdungen.
Für jede direkt relevante Gefährdung erfolgt dann die Risikoeinstufung, indem Sie die resultierende Schadenshöhe für Ihr Unternehmen und die Eintrittswahrscheinlichkeit der Gefährdung betrachten. Bei der Klassifizierung von Schadenshöhe und Eintrittswahrscheinlichkeit sollten Sie nicht auf »Heller und Pfennig« den Schaden bestimmen, sondern nur mit so wenigen qualitativen Klassifizierungen wie möglich arbeiten. Nur dann ist die Klassifizierung in der Durchführung für Sie machbar. Mit diesem Argument sollten Sie eigentlich nur drei Klassen nehmen. Die Psychologie empfiehlt eine Einteilung in vier Klassen. Mehr Klassen sollten es aber auf keinen Fall sein.
Bei der Bemessung von Schadenshöhe und Eintrittswahrscheinlichkeit sollten Sie nur so wenige Klassen wie möglich nutzen. Nur dann ist es für die Person, die die Klassifizierung durchführt, einfach. Damit bieten sich drei Klassen an. Nur kann sich in dem Fall die Person das Klassifizieren einfach machen und immer die mittlere Klasse wählen. Bei vier Klassen muss die Person sich immer für einen Trend nach oben oder unten entscheiden. Insofern ist von der Psychologie her eine Einteilung in vier Klassen besser. Mehr sollten es aber auf keinen Fall sein, um den Prozess nicht zu aufwendig zu gestalten.
Die unterste Klasse darf auch keine diskriminierende Bezeichnung wie zum Beispiel »geringer Schutzbedarf« oder »kein Schutzbedarf« erhalten. Besser sind hier neutrale Begriffe wie »normaler Schutzbedarf«. Sie möchten Ihre eigenen Daten bei der Klassifizierung ja ungern als »wertlos« oder »minderwertig« einstufen.
Verwenden Sie für die Schadenshöhe die Begriffe »geringfügig«, »begrenzt«, »erheblich« und »existenzbedrohend« und für die Eintrittswahrscheinlichkeit die Begriffe »unwahrscheinlich«, »selten«, »häufig« und »sehr häufig«. Hinterlegt man die Begriffe jeweils mit den Werten 1 bis 4, so berechnen Sie das Risiko zu einem Wert zwischen 1 und 16. Teilen Sie die Werte in
gering: 1 bis 2
mittel: 3 bis 6
hoch: 7 bis 10
sehr hoch: 11 bis 16
ein, erhalten Sie die Risikokarte in Abbildung 3.1. In dieser Risikokarte können Sie jetzt für Systeme aus Gefährdungen der Schutzziele die Risikoklasse bestimmen.
Abbildung 3.1: Das Risiko wird häufig als das Produkt aus Schadenshöhe und Eintrittswahrscheinlichkeit betrachtet.
In § 8a Abs. 1 BSI-Gesetz heißt es »Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.« Der Betreiber einer kritischen Infrastruktur muss also die Folgen eines IT-Sicherheitsvorfalls und den daraus folgenden Schaden betrachten. Das Risiko ergibt sich aus dem Schaden multipliziert mit der Wahrscheinlichkeit, dass das Schadensereignis eintritt. Der Schaden wird aus der Sichtweise des Unternehmens beziehungsweise der Behörde ermittelt. Es ist sowohl der finanzielle als auch der ideelle Schaden, zum Beispiel eine Rufschädigung, zu betrachten.
Sie müssen eine wichtige vertrauliche Arbeit erstellen. Sie erwarten, dass Sie etwa drei Monate daran arbeiten werden. Als sicherheitsbewusster Mensch haben Sie schon länger Bitlocker zur Festplattenverschlüsselung auf Ihrem Windows-Rechner installiert. Für Sie sind Vertraulichkeit und Verfügbarkeit die dominanten Schutzziele. Sie schätzen die Gefährdung, dass Sie Ihr Notebook verlieren oder dass es Ihnen gestohlen wird, als selten ein (Wert: 2). Schließlich ist es schon sechs Jahre alt. Der Schaden bezüglich der Vertraulichkeit ist bei Verlust geringfügig (Wert: 1), da Sie ja die Festplatte verschlüsselt haben. Das Risiko ist Anders sieht es bezüglich der Verfügbarkeit bei einem Hardwaredefekt aus. Die Wahrscheinlichkeit dafür ist bei Ihrem sechs Jahre alten Notebook häufig. Der Schaden bleibt in der höchsten Stufe. Das Risiko ist
Die DS-GVO gibt Ihnen in den Art. 25 und 32 eine völlig andere Perspektive der Risikobetrachtung vor: Es sind hier die »Risiken für die Rechte und Freiheiten natürlicher Personen« zu betrachten. Dies ist eine völlig andere Perspektive als in der Informationssicherheit: die Risikobetrachtung erfolgt ausschließlich aus der Sicht der Betroffenen und auf keinen Fall aus der Sicht des Unternehmens. Die falsche Perspektive der Risikobetrachtung ist ein häufiger Fehler, den Verantwortliche begehen und der regelmäßig von Aufsichtsbehörden beanstandet wird.
Die Landesbeauftragte für den Datenschutz in Niedersachsen führte 2019 eine branchenübergreifende Prüfung zur Umsetzung der DS-GVO bei 20 großen und 30 mittelgroßen niedersächsischen Unternehmen durch. Am Ende der Prüfung erhielten neun Unternehmen das Prädikat Grün, 32 Unternehmen das Prädikat Gelb und neun Unternehmen das Prädikat Rot. Bei allen neun Unternehmen mit dem Prädikat Rot wurden fehlende oder unzureichende technisch-organisatorische Maßnahmen, also unzureichende Informationssicherheit, beanstandet. Besonders gravierend fand die Landesbeauftragte auch die Tatsache, dass zum Teil bei der Risikobeurteilung der Fokus auf die Risiken für das Unternehmen und nicht, wie in der DS-GVO gefordert, auf die Risiken für die Rechte und Freiheiten der Betroffenen gelegt wurde. [LfDN19]
Die Vorgaben zur Meldepflicht in Art. 33 f. der DS-GVO schreiben Ihnen für die Risikobewertung konkret drei Risikoklassen vor: »kein Risiko«, ein »Risiko« und ein »hohes Risiko«. In der Informationssicherheit wird dagegen, wie Sie gesehen haben, aus guten Gründen häufig mit vier Risikoklassen gearbeitet: »geringes Risiko«, »mittleres Risiko«, »hohes Risiko«und »sehr hohes Risiko«. Wenn Sie die gleichen Schemata bei der Risikobetrachtung