IT-Sicherheit für Dummies. Rainer W. Gerling. Читать онлайн. Newlib. NEWLIB.NET

Автор: Rainer W. Gerling
Издательство: John Wiley & Sons Limited
Серия:
Жанр произведения: Зарубежная компьютерная литература
Год издания: 0
isbn: 9783527833573
Скачать книгу
werden uns auf lange Zeit begleiten und eine wichtige Basis für die Gestaltung der Informationssicherheit sein. Bei zukünftigen Novellierungen der einschlägigen Gesetze (zuletzt konnten Sie das bei der Novellierung des TKG im Jahr 2021 sehen) werden diese vier Bausteine weiter ausgebaut werden. Deshalb müssen wir uns mit ihnen im Folgenden eingehender beschäftigen.

      Für jede direkt relevante Gefährdung erfolgt dann die Risikoeinstufung, indem Sie die resultierende Schadenshöhe für Ihr Unternehmen und die Eintrittswahrscheinlichkeit der Gefährdung betrachten. Bei der Klassifizierung von Schadenshöhe und Eintrittswahrscheinlichkeit sollten Sie nicht auf »Heller und Pfennig« den Schaden bestimmen, sondern nur mit so wenigen qualitativen Klassifizierungen wie möglich arbeiten. Nur dann ist die Klassifizierung in der Durchführung für Sie machbar. Mit diesem Argument sollten Sie eigentlich nur drei Klassen nehmen. Die Psychologie empfiehlt eine Einteilung in vier Klassen. Mehr Klassen sollten es aber auf keinen Fall sein.

       Psychologie des Klassifizierens

      Bei der Bemessung von Schadenshöhe und Eintrittswahrscheinlichkeit sollten Sie nur so wenige Klassen wie möglich nutzen. Nur dann ist es für die Person, die die Klassifizierung durchführt, einfach. Damit bieten sich drei Klassen an. Nur kann sich in dem Fall die Person das Klassifizieren einfach machen und immer die mittlere Klasse wählen. Bei vier Klassen muss die Person sich immer für einen Trend nach oben oder unten entscheiden. Insofern ist von der Psychologie her eine Einteilung in vier Klassen besser. Mehr sollten es aber auf keinen Fall sein, um den Prozess nicht zu aufwendig zu gestalten.

      Die unterste Klasse darf auch keine diskriminierende Bezeichnung wie zum Beispiel »geringer Schutzbedarf« oder »kein Schutzbedarf« erhalten. Besser sind hier neutrale Begriffe wie »normaler Schutzbedarf«. Sie möchten Ihre eigenen Daten bei der Klassifizierung ja ungern als »wertlos« oder »minderwertig« einstufen.

       gering: 1 bis 2

       mittel: 3 bis 6

       hoch: 7 bis 10

       sehr hoch: 11 bis 16

      In § 8a Abs. 1 BSI-Gesetz heißt es »Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.« Der Betreiber einer kritischen Infrastruktur muss also die Folgen eines IT-Sicherheitsvorfalls und den daraus folgenden Schaden betrachten. Das Risiko ergibt sich aus dem Schaden multipliziert mit der Wahrscheinlichkeit, dass das Schadensereignis eintritt. Der Schaden wird aus der Sichtweise des Unternehmens beziehungsweise der Behörde ermittelt. Es ist sowohl der finanzielle als auch der ideelle Schaden, zum Beispiel eine Rufschädigung, zu betrachten.

Sie müssen eine wichtige vertrauliche Arbeit erstellen. Sie erwarten, dass Sie etwa drei Monate daran arbeiten werden. Als sicherheitsbewusster Mensch haben Sie schon länger Bitlocker zur Festplattenverschlüsselung auf Ihrem Windows-Rechner installiert. Für Sie sind Vertraulichkeit und Verfügbarkeit die dominanten Schutzziele. Sie schätzen die Gefährdung, dass Sie Ihr Notebook verlieren oder dass es Ihnen gestohlen wird, als selten ein (Wert: 2). Schließlich ist es schon sechs Jahre alt. Der Schaden bezüglich der Vertraulichkeit ist bei Verlust geringfügig (Wert: 1), da Sie ja die Festplatte verschlüsselt haben. Das Risiko ist math gering. Bei der Verfügbarkeit sieht es etwas anders aus. Die Wahrscheinlichkeit bleibt gleich, den Schaden stufen Sie aber in der höchsten Stufe (Wert: 4) ein, da dann alle Arbeit verloren ist. Hier ist das Risiko dann mittel (Wert: 4).

      Anders sieht es bezüglich der Verfügbarkeit bei einem Hardwaredefekt aus. Die Wahrscheinlichkeit dafür ist bei Ihrem sechs Jahre alten Notebook häufig. Der Schaden bleibt in der höchsten Stufe. Das Risiko ist math, also ist das Risiko sehr hoch. Als Maßnahme zur Reduktion des Risikos entscheiden Sie sich doch schlussendlich für ein Backup. Dadurch sinkt der mögliche Schaden bei Verlust oder Defekt auf geringfügig (Wert: 1) und damit sinkt das Risiko der Verfügbarkeit bei Verlust auf gering (Wert: 1) beziehungsweise bei Defekt auf mittel (Wert: 3). Und mit so einem Risiko können Sie leben.

      Die DS-GVO gibt Ihnen in den Art. 25 und 32 eine völlig andere Perspektive der Risikobetrachtung vor: Es sind hier die »Risiken für die Rechte und Freiheiten natürlicher Personen« zu betrachten. Dies ist eine völlig andere Perspektive als in der Informationssicherheit: die Risikobetrachtung erfolgt ausschließlich aus der Sicht der Betroffenen und auf keinen Fall aus der Sicht des Unternehmens. Die falsche Perspektive der Risikobetrachtung ist ein häufiger Fehler, den Verantwortliche begehen und der regelmäßig von Aufsichtsbehörden beanstandet wird.

      

Die Landesbeauftragte für den Datenschutz in Niedersachsen führte 2019 eine branchenübergreifende Prüfung zur Umsetzung der DS-GVO bei 20 großen und 30 mittelgroßen niedersächsischen Unternehmen durch. Am Ende der Prüfung erhielten neun Unternehmen das Prädikat Grün, 32 Unternehmen das Prädikat Gelb und neun Unternehmen das Prädikat Rot. Bei allen neun Unternehmen mit dem Prädikat Rot wurden fehlende oder unzureichende technisch-organisatorische Maßnahmen, also unzureichende Informationssicherheit, beanstandet. Besonders gravierend fand die Landesbeauftragte auch die Tatsache, dass zum Teil bei der Risikobeurteilung der Fokus auf die Risiken für das Unternehmen und nicht, wie in der DS-GVO gefordert, auf die Risiken für die Rechte und Freiheiten der Betroffenen gelegt wurde. [LfDN19]