Wie BSI-Anforderungen zur sinnvollen Ressourcenzuteilung fĂŒhren
Hinter der trockenen Bezeichnung Schutzbedarfsfeststellung des Bundesamts fĂŒr Sicherheit und Informationstechnik verbergen sich praxisrelevante Hinweise fĂŒr Entwickler-Teams, wo PrioritĂ€ten zu setzen sind.
Hinter der trockenen Bezeichnung Schutzbedarfsfeststellung des Bundesamts fĂŒr Sicherheit und Informationstechnik verbergen sich praxisrelevante Hinweise fĂŒr Entwickler-Teams, wo PrioritĂ€ten zu setzen sind.
Ein wesentlicher Erfolgsfaktor fĂŒr den angemessenen Ressourceneinsatz ist die richtige Bewertung der Softwarekomponenten hinsichtlich ihrer potenziellen Auswirkungen auf die GeschĂ€ftsprozesse und der daraus resultierenden Risiken. Nur mit einer einheitlichen Bewertung können die Projektverantwortlichen die richtigen und angemessenen MaĂnahmen planen und Mehrkosten vermeiden.
Bildlich gesprochen möchte man weder mit PapierkĂŒgelchen auf Dinosaurier noch mit Kanonen auf Spatzen schieĂen. Deswegen ist es gut, zuerst zu wissen, hinter welchem GeschĂ€ftsprozess sich der Dinosaurier versteckt, es also um existenzielle Prozesse geht. Dabei können unterschiedliche AnsĂ€tze und Methoden angewendet werden. Eine erfolgreiche und in der Praxis bewĂ€hrte Vorgehensweise ist die vom Bundesamt fĂŒr Sicherheit und Informationstechnik (BSI) entwickelte Schutzbedarfsfeststellung. Damit wird der Schutzbedarf einer Anwendung oder eines GeschĂ€ftsprozesses in Bezug auf die VerfĂŒgbarkeit, Vertraulichkeit und IntegritĂ€t bewertet. Eigentlich geht es dabei darum, ein geeignetes Sicherheitskonzept fĂŒr das Unternehmen zu entwickeln. Die Methode orientiert sich an den möglichen SchĂ€den, die mit einer BeeintrĂ€chtigung der betroffenen Anwendungen und damit der jeweiligen GeschĂ€ftsprozesse (z. B. durch einen Softwarefehler) verbunden sind [1].
Doch diese eignet sich auch bestens fĂŒr die EinschĂ€tzung von Softwareprojekten, wie der Artikel exemplarisch an den PrĂŒftechniken im Testmanagement zeigt.
Die Spatzen und Dinosaurier trennen
ZunÀchst ist der Schutzbedarf gemÀà der Empfehlung des BSI in Schadensklassen zu unterteilen. ZusÀtzlich zu den drei Standardklassen des BSI hat sich die Aufnahme der Klasse "gering" bewÀhrt [1]:
- gering: keine nennenswerten Schadensauswirkungen.
- normal: Die Schadensauswirkungen sind begrenzt und ĂŒberschaubar.
- hoch: Die Schadensauswirkungen können betrÀchtlich sein.
- sehr hoch: Die Schadensauswirkungen können ein existenziell bedrohliches katastrophales Ausmaà erreichen.
Zur Abgrenzung der Schutzbedarfskategorien empfiehlt das BSI, die Grenzen fĂŒr die einzelnen Schadensszenarien zu bestimmen. Die vom BSI vorgeschlagenen Tabellen zur Einstufung der Kategorie "normal", "hoch", "sehr hoch" haben sich bewĂ€hrt. ZusĂ€tzlich wurde der Vorschlag auf die Schutzbedarfskategorie "gering" angewendet. Die Tabellen 1, 2, 3 und 4 stellen die einzelnen Schadenszenarien in AbhĂ€ngigkeit zur Einstufung dar.
| Schutzbedarfskategorie "gering" | |
| Verstoà gegen Gesetze/Vorschriften/VertrÀge |
Keine Auswirkung auf Gesetze oder VertrÀge |
| BeeintrÀchtigung des informationellen Selbstbestimmungsrechts | Es werden keine personenbezogenen Daten verarbeitet. |
| BeeintrÀchtigung der persönlichen Unversehrtheit | Eine BeeintrÀchtigung erscheint nicht möglich. |
| BeeintrĂ€chtigung der AufgabenerfĂŒllung |
Die maximal tolerierbare Ausfallzeit ist gröĂer als 72 Stunden. Die BeeintrĂ€chtigung wĂŒrde von den Betroffenen als vernachlĂ€ssigbar eingeschĂ€tzt werden. |
| Negative Innen- oder AuĂenwirkung | Keine Auswirkungen erwartet |
| Finanzielle Auswirkungen | Kein finanzieller Schaden zu erwarten |
| Schutzbedarfskategorie "normal" | |
| Verstoà gegen Gesetze/Vorschriften/VertrÀge |
GeringfĂŒgige Vertragsverletzungen mit maximal geringen Konventionalstrafen VerstöĂe gegen Vorschriften und Gesetze mit geringfĂŒgigen Konsequenzen |
| BeeintrÀchtigung des informationellen Selbstbestimmungsrechts | Es handelt sich um personenbezogene Daten, durch deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen VerhÀltnissen beeintrÀchtigt werden kann. |
| BeeintrÀchtigung der persönlichen Unversehrtheit | Eine BeeintrÀchtigung erscheint nicht möglich. |
| BeeintrĂ€chtigung der AufgabenerfĂŒllung |
Die maximal tolerierbare Ausfallzeit liegt zwischen 24 und 72 Stunden. Die BeeintrĂ€chtigung wĂŒrde von den Betroffenen als tolerabel eingeschĂ€tzt werden. |
| Negative Innen- oder AuĂenwirkung | Eine geringe bzw. nur interne Ansehens- oder VertrauensbeeintrĂ€chtigung ist zu erwarten. |
| Finanzielle Auswirkungen | Der finanzielle Schaden bleibt fĂŒr die Institution tolerabel. |
| Schutzbedarfskategorie "hoch" | |
| Verstoà gegen Gesetze/Vorschriften/VertrÀge |
Vertragsverletzungen mit hohen Konventionalstrafen VerstöĂe gegen Vorschriften und Gesetze mit erheblichen Konsequenzen |
| BeeintrÀchtigung des informationellen Selbstbestimmungsrechts | Es handelt sich um personenbezogene Daten, bei deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen VerhÀltnissen erheblich beeintrÀchtigt werden kann. |
| BeeintrÀchtigung der persönlichen Unversehrtheit | Eine BeeintrÀchtigung der persönlichen Unversehrtheit kann nicht absolut ausgeschlossen werden. |
| BeeintrĂ€chtigung der AufgabenerfĂŒllung |
Die maximal tolerierbare Ausfallzeit liegt zwischen einer und 24 Stunden. Die BeeintrĂ€chtigung wĂŒrde von einzelnen Betroffenen als nicht tolerabel eingeschĂ€tzt. |
| Negative Innen- oder AuĂenwirkung | Eine breite Ansehens- oder VertrauensbeeintrĂ€chtigung ist zu erwarten. |
| Finanzielle Auswirkungen | Der Schaden bewirkt beachtliche finanzielle Verluste, ist jedoch nicht existenzbedrohend. |
| Schutzbedarfskategorie "sehr hoch" | |
| Verstoà gegen Gesetze/Vorschriften/VertrÀge |
Vertragsverletzungen, deren HaftungsschÀden ruinös sind Fundamentaler Verstoà gegen Vorschriften und Gesetze |
| BeeintrĂ€chtigung des informationellen Selbstbestimmungsrechts | Es handelt sich um personenbezogene Daten, bei deren Verarbeitung eine Gefahr fĂŒr Leib und Leben oder die persönliche Freiheit des Betroffenen gegeben ist. |
| BeeintrÀchtigung der persönlichen Unversehrtheit |
Gefahr fĂŒr Leib und Leben. Gravierende BeeintrĂ€chtigungen der persönlichen Unversehrtheit sind möglich. |
| BeeintrĂ€chtigung der AufgabenerfĂŒllung |
Die maximal tolerierbare Ausfallzeit ist kleiner als eine Stunde. Die BeeintrĂ€chtigung wĂŒrde von allen Betroffenen als nicht tolerabel eingeschĂ€tzt werden. |
| Negative Innen- oder AuĂenwirkung | Eine landesweite Ansehens- oder VertrauensbeeintrĂ€chtigung, eventuell sogar existenzgefĂ€hrdender Art, ist denkbar. |
| Finanzielle Auswirkungen | Der finanzielle Schaden ist fĂŒr die Institution existenzbedrohend. |
Unter Beachtung des Grundsatzes "keep it simple" sollte der Projektleiter die Schadensszenarien an das Unternehmen anpassen sowie darĂŒber hinaus die individuellen Gegebenheiten der Institution berĂŒcksichtigen: Ist in einem GroĂunternehmen ein Schaden in Höhe von 200.000 Euro gemessen am Umsatz und am IT-Budget gering, kann fĂŒr ein Kleinunternehmen schon ein Schaden in Höhe von 10.000 Euro existenziell bedrohlich sein [1]. Eine monetĂ€re Bezifferung der Auswirkung vereinfacht die Bewertung durch das Projekt deutlich.
Beispiel
Verdeutlichung am Beispiel
Als NĂ€chstes sollte die Anwendung in Komponenten unterteilt werden. Hilfreich bei der Klassenbildung ist die Orientierung an den GeschĂ€ftsprozessen. Bei der Klassenbildung ist darauf zu achten, dass Komponenten mit unterschiedlicher EinschĂ€tzung auch differenziert betrachtet werden. Erst durch die Differenzierung kann eine angemessene MaĂnahmenplanung fĂŒr die Komponente oder den GeschĂ€ftsprozess erfolgen. Bei einer ĂŒberwiegend hohen bis sehr hohen Einstufung sollte man die Aufteilung der GeschĂ€ftsprozesse hinterfragen. Das ist normalerweise ein Indiz fĂŒr eine zu grobe Trennung.
Die Handhabung wird nun anhand des Beispiels "Einsatz einer Telefonaufzeichnung fĂŒr das Telefonbanking in einer Bank" durchgespielt. Das Ergebnis der Bewertung sollte wie in Tabelle 5 oder in Ă€hnlicher Form festgehalten werden, damit die EinschĂ€tzung fĂŒr das Projektteam jederzeit transparent und nachvollziehbar ist. Die Bewertung sollte der Projektleiter gemeinsam mit dem Fachbereich kritisch hinterfragen.
| Bezeichnung | pers. Daten | Grundwert | Schutzbedarf |
| Telefonbanking: Aufzeichnung und Entgegennahme eines Kundenauftrags | x | Vertraulichkeit | sehr hoch |
| IntegritÀt | sehr hoch | ||
| VerfĂŒgbarkeit | hoch | ||
| User-Neuanlage-Berater | - | Vertraulichkeit | gering |
| IntegritÀt | normal | ||
| VerfĂŒgbarkeit | gering | ||
| Logfile fĂŒr IT-Betrieb | - | Vertraulichkeit | gering |
| IntegritÀt | gering | ||
| VerfĂŒgbarkeit | gering |
Nach der Feststellung des Schutzbedarfs und dem daraus resultierenden Risiko lĂ€sst sich diese Einstufung im Projekt zur Planung der weiteren MaĂnahmen heranziehen. Das Beispiel der Software-PrĂŒftechniken demonstriert das nun.
Im Beispielprojekt haben sich die Projektleitung und das Testmanagement im Wesentlichen auf die folgenden PrĂŒfarten verstĂ€ndigt:
- Whitebox-Test durch die Entwickler
- Blackbox-Test durch die Tester in den AusprÀgungen [2] Ad-hoc- und funktionsorientierter Test
Auf weitere PrĂŒftechniken und -stufen (u. a. Anwendungs-, Integrationstest) geht der Artikel zur ErlĂ€uterung der risikobasierten Vorgehensweise nicht ein. Sie sind im jeweiligen Projekt natĂŒrlich auch zu beachten.
Mit dem Whitebox-Test stellt der Entwickler die grundsĂ€tzliche FunktionsfĂ€higkeit seiner Software mit Codeanalyse und -Reviews sicher. Erst nach dem bestandenen Whitebox-Test ĂŒbergibt er die Software an das Testmanagement. Das Testteam ermittelt anschlieĂend im Blackbox-Test die TestfĂ€lle anhand der Anwendungs- beziehungsweise Systemdokumentation. Im funktionsorientierten Test kommen die Ăquivalenzklassenbildung, Ursachen-Wirkungs-Analyse, Entscheidungstabellen und die Grenzwertanalyse zum Einsatz. Bei der Testdatenerstellung berĂŒcksichtigen die Tester mindestens die Unter-, Ober- und Mittelwerte bei den Eingabedaten.
Beim Ad-hoc-Test wird auf eine systematische Vorgehensweise verzichtet, stattdessen bildet man ĂŒbliche GeschĂ€ftsvorfĂ€lle ab. Bei der Testdatenerstellung ziehen die Beteiligten typische beziehungsweise praxisrelevante Werte heran. Durch den Verzicht beim Ad-hoc-Test auf Dokumentation und systematische Herangehensweise lĂ€sst sich mit dieser PrĂŒftechnik deutlich Aufwand sparen. Die zwei AnsĂ€tze unterscheiden sich damit wesentlich in der Testabdeckung. Beim funktionsorientierten Ansatz wird im Vergleich zum Ad-hoc-Test eine deutlich höhere Testabdeckung erreicht. Ohne die zuvor durchgefĂŒhrte Kategorisierung wĂ€ren nun unter Risikogesichtspunkten fĂŒr alle Komponenten ein Whitebox-Test und der funktionsorientierte Test durchzufĂŒhren. Alles andere wĂ€re hinsichtlich des QualitĂ€tsergebnisses zufĂ€llig.
Nach Festlegung des Schutzbedarfs und der PrĂŒftechniken kann die Zuordnung der PrĂŒftechnik erfolgen. Die SchutzbedarfsausprĂ€gung "Vertraulichkeit" hat nur indirekt Auswirkungen auf den Testumfang. Vielmehr sind daraus entsprechende Sicherheitsanforderungen abzuleiten. Die Vertraulichkeit lĂ€sst sich in dieser Betrachtung vernachlĂ€ssigen. Die Zuordnung sollte gemeinsam mit dem Auftraggeber beziehungsweise Fachbereich erarbeitet werden. Auf Basis der Zuordnung in Tabelle 6 kann man nun die konkret anzuwendende PrĂŒftechnik auswĂ€hlen. Das Ergebnis der PrĂŒftechnikauswahl fĂŒr Beispielkomponenten dokumentiert Tabelle 7. Bei einer abweichenden Einstufung der AusprĂ€gung VerfĂŒgbarkeit und IntegritĂ€t wird die höchste Schutzbedarfskategorie ausgewĂ€hlt.
| SchutzbedarfsausprĂ€gung | Schutzbedarfskategorie | PrĂŒftechniken |
| VerfĂŒgbarkeit | hoch/sehr hoch | Whitebox-, funktionsorientierter Test |
| VerfĂŒgbarkeit | Normal | Whitebox-, Ad-hoc-Test |
| VerfĂŒgbarkeit | Gering | Whitebox-Test |
| IntegritÀt | hoch/sehr hoch | Whitebox, funktionsorientierter Test |
| IntegritÀt | Normal | Whitebox-, Ad-hoc-Test |
| IntegritÀt | Gering | Whitebox-Test |
| Komponente | Schutzbedarf | Anzuwendende Testfallermittlungsart |
| Telefonbanking: Aufzeichnung und Entgegennahme eines Kundenauftrags | sehr hoch | Whitebox-, funktionsorientierter Test |
| User-Neuanlage-Berater | normal |
Whitebox-, Ad-hoc-Test |
| Logfile fĂŒr den Betrieb | gering | Whitebox-Test |
Fazit
Nun hat der Leser eine einfache Methode zur EinschĂ€tzung der Risiken auf die GeschĂ€ftsprozesse erhalten und kann jetzt mit Papierkugeln auf Spatzen und mit Kanonen auf Dinosaurier schieĂen. Wichtig ist nun, den Aufwand fĂŒr die Entwicklung und den Test in AbhĂ€ngigkeit zum Risiko zu setzen und eine Ressourcenverschwendung zu vermeiden.
AbhĂ€ngig vom Risiko, das aus der Komponente resultiert, kann der Projektleiter angemessene MaĂnahmen einplanen, auch hat er ein klares und transparentes Regelwerk. Die Festlegung der PrĂŒftechniken ist nicht mehr dem Zufall oder der WillkĂŒr ĂŒberlassen. UnabhĂ€ngig von der Festlegung der PrĂŒftechnik liegt eine klare Vorgabe zur Notfallvorsorge vor â dem ursprĂŒnglichen Zweck der Methode. Zum Beispiel macht es wenig Sinn, ein Testteam auf eine Komponente zu jagen, die nur einen maximalen Schaden von wenigen hundert Euro verursachen kann und mehrere Tage ausfallen darf. In dem Fall reichen gegebenenfalls schon die Entwicklertests aus, und es lĂ€sst sich auf eine zusĂ€tzliche Teststufe verzichten.
Marc Schiffer
arbeitet als IT-Projektleiter in einem fĂŒhrenden Finanzkonzern. Er ist seit ĂŒber elf Jahren in der IT im Finanzwesen beschĂ€ftigt.
Literatur
- Bundesamt fĂŒr Sicherheit in der Informationstechnik; BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise [1], Version 2.0
- Peter Liggesmeyer; Software-QualitÀt: Testen, Analysieren und Verifizieren von Software; Spektrum Akademischer Verlag, 2002
- Helmut Balzert; Lehrbuch der Software-Technik, Bd. 1: Software-Entwicklung; Spektrum Akademischer Verlag, 2000 (2. Aufl.)
- Glenford J. Myers; Methodisches Testen von Programmen; Oldenbourg, 2001 (7. Aufl.)
(ane [2])
URL dieses Artikels:
https://www.heise.de/-1812494
Links in diesem Artikel:
[1] http://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/standard_1002_pdf.pdf%29
[2] mailto:ane@heise.de
Copyright © 2013 Heise Medien