Zum Hauptinhalt springen

Risikomanagement-Framework

Risikomanagement ist eine gängige Praxis im IT-Sicherheitsumfeld, um mögliche Risiken zu identifizieren und gemäß ihrer Schwere zu bewältigen. Durch die zunehmende Anzahl an Bedrohungen im Cyberspace und die zunehmende Komplexität des IT-Umfelds, kann nicht auf alle Risiken gleich reagiert werden. Durch Low-Code/No-Code-Anwendungen werden zwar eher standardisierte Produkte erstellt, was die Risikoeinschätzung erleichtert, gleichzeitig entstehen tendenziell "kleinere" Produkte, die u.a. aufgrund standardisierter Schnittstellen einfacher zu kombinieren sind. Aus Sicht des Risikomanagements entsteht jedoch eine höhere Komplexität des Gesamtnetzwerks, die in die Betrachtung einbezogen werden muss. Grundsätzlich geht es beim Risikomanagement darum, Risiken gegeneinander abzuwägen, zu entscheiden, welches Restrisiko für eine Organisation tragbar ist und welche technisch-organisatorischen Maßnahmen ergriffen werden müssen, um Risiken zu minimieren. Pointiert formuliert ist zu entscheiden, wie ein Risiko abgeschwächt werden soll und in welcher Reihenfolge auf Risiken reagiert wird. Da jede eingesetzte Maßnahme personale und finanzielle Ressourcen kostet, die meist begrenzt sind, ist es notwendig sie effektiv, d.h. ressourcenschonend, einzusetzen.

Ein Risikomanagementframework besteht im Allgemeinen aus 6 Phasen:

  1. den Kontext herstellen
  2. Risiken identifizieren
  3. Risikomessung und -bewertung
  4. Risikominimierung
  5. Risikoberichterstattung und -überwachung
  6. Risikosteuerung und -lenkung

Kontext herstellen: Im Umfeld der digitalen Verwaltung gibt es die Kommunen als Erstellerin der Anträge, die IT-Abteilung der Kommune oder IT-Dienstleistungsunternehmen als Betreiber:innen der Plattform sowie die Bürger:innen als Nutzer:innen. Die Low-Code-Plattform kann eigenständig betrieben werden, möglich ist aber die Anbindung an bestehende Systeme wie Register zur Abfrage oder Speicherung, beispielsweise in der eAkte. Integration von Authentifizierungskomponenten oder Datenübermittlungsdienste sind essentiell.

Risiken identifizieren: In diesem Schritt müssen die technischen Anforderungen sowie die Funktionsweise der Low-Code-Plattform durchgegangen werden, um so bestehende Risiken beim Einsatz der Low-Code-Plattform systematisch zu identifizieren. Bereits bekannte Indikatoren sind hier hilfreich.

Risikomessung und -bewertung: Anhand der erstellen Liste von Risiken sind die einzelnen Risiken zu messen (falls möglich) oder zu bewerten. Somit kann im Anschluss eine Aussage über das Gesamtrisiko getroffen werden. Eine Gewichtung und Priorisierung der Risiken ist auch Teil des Schrittes.

Risikominimierung: Durch geeignete technisch-organisatorische Gegenmaßnahmen wird das Risiko minimiert.

Risikoberichterstattung und -überwachung: Bei sich ändernden Systemkonfigurationen und Updates der Plattform ist es wichtig, die Risiken und Maßnahmen im Blick zu behalten, um schnell auf Änderungen reagieren zu können.

Risikosteuerung und -lenkung: Indem bekannte Risiken priorisiert werden, können Ressourcen besser gesteuert oder auch konzentriert werden.

Grundlage für unsere Risikoanalyse sind der NIST Guide for Conducting Risk Assessments und der NIST Guide for Applying the Risk Management Framework to Federal Information Systems. Diese sind nahezu deckungsgleich mit den für den bundesdeutschen Kontext ausschlaggebenden Richtlinien des BSI, weshalb sie in einzelnen Punkten eine sinnvolle Ergänzung darstellen. Aus den Anforderungen zusammen mit den Ergebnissen aus der Fallstudie soll im Weiteren eine initiale architekturbasierte Risikoanalyse (ARA) durchgeführt werden, um eine Referenzarchitektur und einen -prozess zu entwickeln.