Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT- Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Ein Sicherheitsvorfall entsteht erfahrungsgemäß durch eine Verkettung verschiedener Ursachen. Daraus ergibt sich meist, dass die resultierenden potentiellen Schäden verschiedenen Schadenskategorien zugerechnet werden können (zum Beispiel Beeinträchtigung der persönlichen Unversehrtheit, negative Außenwirkung, finanzielle Auswirkungen, vgl. Schutzbedarfsfeststellung Kapitel 2.2). Daher ist es wichtig, die Prioritäten für die Problembeseitigung möglichst vorab festzulegen. Von dieser Prioritätensetzung hängt unter anderem ab, in welcher Reihenfolge die Probleme angegangen werden sollen.
Eine Prioritätensetzung hängt dabei stark von den Gegebenheiten der jeweiligen Organisation ab. Für die Prioritätensetzung sind folgende Fragen zu bearbeiten:
Hilfestellung für die Bearbeitung der Fragen bietet eine nach IT-Grundschutz (vgl. Kapitel 2.2) durchgeführte Schutzbedarfsfeststellung. In dieser Schutzbedarfsfeststellung werden die für die Organisation relevanten Schadenskategorien definiert.
Beispiel: Relevante Schadenskategorien sind:
Ebenso wird im Rahmen der Schutzbedarfsfeststellung eine Definition erarbeitet, wie zu jeder Schadenskategorie die Schadenshöhe definiert wird.
Beispiel: Schadensdefinition Finanzielle Auswirkungen
Schadenskategorie Finanzielle Auswirkungen |
|
| Schaden mittel | Schaden kleiner 25.000.- DM |
| Schaden hoch | Schaden zwischen 25.000.- und 5.000.000.- DM |
| Schaden sehr hoch | Schaden höher als 5.000.000.- DM |
Anhand dieser Kategorien und Schadenshöhenbestimmung kann man die Prioritätensetzung wie folgt durchführen. In einer Tabelle werden in der ersten Spalte die Schadenskategorien aufgeführt. Die drei anschließenden Spalten erhalten als Überschrift die Schadenshöhen mittel, hoch und sehr hoch. Anschließend wird jeder Kombination von Schadenskategorie und Schadenshöhe eine Priorität zugeordnet. Die Prioritätensetzung kann einerseits durch eine Prioritätenklassifizierung mit Einteilungen wie
oder durch die Festlegung einer Reihenfolge stattfinden.
Beispiel:
Betrachtet wird als Organisation eine Stadtverwaltung, die dem Bürger ihre Dienstleistungen auch über das Internet anbietet. Dazu kann der Bürger Anträge per E-Mail an die Stadtverwaltung senden und über das Internet die Bearbeitungsfortschritte seines Antrags beobachten. Als Informationsdienst bietet diese Stadtverwaltung einen Internet-Server an.
Beispielergebnis mit Prioritätenklassifizierung:
| Schadenskategorie | Schaden mittel | Schaden hoch | Schaden sehr hoch |
| Verstoß gegen Gesetze, Vorschriften oder Verträge | 2 |
2 |
2 |
| Beeinträchtigung des informationellen Selbstbestimmungsrechts | 2 |
2 |
1 |
| Beeinträchtigung der persönlichen Unversehrtheit | 2 |
1 |
1 |
| Beeinträchtigung der Aufgabenerfüllung | 3 |
3 |
2 |
| Negative Außenwirkung | 3 |
2 |
1 |
| Finanzielle Auswirkungen | 3 |
3 |
2 |
Beispielergebnis mit Prioritätensetzung durch Reihenfolge:
| Schadenskategorie | Schaden mittel | Schaden hoch | Schaden sehr hoch |
| Verstoß gegen Gesetze, Vorschriften oder Verträge | 13 |
12 |
11 |
| Beeinträchtigung des informationellen Selbstbestimmungsrechts | 8 |
6 |
3 |
| Beeinträchtigung der persönlichen Unversehrtheit | 5 |
2 |
1 |
| Beeinträchtigung der Aufgabenerfüllung | 15 |
14 |
7 |
| Negative Außenwirkung | 17 |
9 |
4 |
| Finanzielle Auswirkungen | 18 |
16 |
10 |
Diese Prioritätensetzung muss durch die Behörden- bzw. Unternehmensleitung gebilligt und in Kraft gesetzt werden. Die Prioritätensetzung ist allen Entscheidungsträgern bei der Behandlung von Sicherheitsvorfällen bekanntzugeben.
Tritt ein Sicherheitsvorfall ein, so kann die Prioritätensetzung wie folgt verwendet werden. Nach der Untersuchung und Bewertung des Sicherheitsvorfalls kann eingeschätzt werden, welche Schäden zu erwarten wären. Diese Schäden können den bekannten Schadenskategorien zugeordnet werden. Anschließend sind diese Schäden in die Klassen "mittel", "hoch" und "sehr hoch" einzuteilen. Aus der tabellarischen Übersicht der Prioritätensetzung kann dann abgelesen werden, in welcher Reihenfolge die einzelnen Schäden behoben werden sollten. Hierbei sollte allerdings beachtet werden, dass die vorab vorgenommene Prioritätensetzung nur eine erste Orientierung bietet. Gegebenenfalls muss sie im individuellen Fall angepasst werden.
Beispiel:
Angenommen wird, dass es in der obigen Beispiel-Stadtverwaltung einem Hacker gelungen ist, die Informationen auf dem Internet-Informationsserver zu manipulieren, so dass die Stadtverwaltung verunglimpft wird. Dies wird frühzeitig bemerkt, das IT-Sicherheitsmanagement eingeschaltet und die obige Schadenseinschätzung durchgeführt. Diese hätte zum Ergebnis, dass folgende Schäden zu erwarten sind:
| Schadenskategorie | Schaden mittel | Schaden hoch | Schaden sehr hoch |
| Verstoß gegen Gesetze, Vorschriften oder Verträge | S1 |
||
| Beeinträchtigung des informationellen Selbstbestimmungsrechts | |||
| Beeinträchtigung der persönlichen Unversehrtheit | |||
| Beeinträchtigung der Aufgabenerfüllung | S2 |
||
| Negative Außenwirkung | S3 |
||
| Finanzielle Auswirkungen | S4 |
Den Schäden S1, ..., S4 werden anhand der Prioritätensetzung folgende Prioritäten zugeordnet:
Prioritätenklassifizierung: S1 = 2, S2 = 3, S3 = 1, S4 = 3
Prioritätenreihenfolge: S1 = 13, S2 = 15, S3 = 4, S4 = 18
In beiden Fällen würde deutlich, dass die Anstrengungen der Schadensbegrenzung sich zunächst auf den Schaden S3 (negative Außenwirkung) konzentrieren müssten, bevor die anderen Schäden angegangen würden. Im Beispiel würde man, um die negative Außenwirkung zu begrenzen, den manipulierten Internet-Server vom Netz nehmen, um anschließend weitere Maßnahmen zu ergreifen. Hätte man die Schäden der negativen Außenwirkung niedriger priorisiert und hingegen die Beeinträchtigung der Aufgabenerfüllung in den Vordergrund gestellt, würde man gegebenenfalls von der Abschaltung des Internet-Servers als Sofortmaßnahme absehen.
Ergänzende Kontrollfragen:© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.