1) Gesetzlicher Rahmen
Die Sicherheitsmaßnahmen, die der Verantwortliche zum Schutz der Verarbeitung personenbezogener Daten, die unter seiner Verantwortung erfolgt, ergreifen muss, sind in Artikel 28 des Gesetzes vom 1. August 2018 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten in Strafsachen und im Bereich der nationalen Sicherheit sowie in Artikel 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) beschrieben.
2) Durchgeführte Risikoanalyse
Die Großherzogliche Polizei hat eine Risikobewertung durchgeführt, wie sie im gesetzlichen Rahmen vorgesehen ist, und die erforderlichen Maßnahmen zur Risikominderung ergriffen.
Die Risikoanalyse ist ein Schlüsselelement für die Informationssicherheit und wird im Rahmen der Steuerung des Informationssicherheitsmanagementsystems der Einheit durchgeführt. Die Risikoanalyse ermöglicht:
- die Identifizierung der Risiken in Verbindung mit der Informationssicherheit;
- die Bewertung und Abschätzung der identifizierten Risiken;
- die Festlegung und Begrenzung unerwünschter Auswirkungen auf die Informationssicherheit;
- die Festlegung und Planung der Maßnahmen zur Risikobehandlung;
- die Umsetzung der geplanten Maßnahmen;
- die Übernahme des Restrisikos;
- die Festlegung und Anwendung eines Ansatzes zur kontinuierlichen Verbesserung der Informationssicherheit.
Da die Risikoanalyse die umgesetzten technischen Einzelmaßnahmen umfasst, kann sie nicht veröffentlicht werden, denn die Kenntnis der Techniken zum Schutz der Verarbeitung personenbezogener Daten ist selbstverständlich das erste Element, über das eine böswillige Person verfügen müsste, um sich einen unrechtmäßigen Zugang zu den Datenverarbeitungen verschaffen zu können.
Die von der Direktion der Polizeitechnologien (Direction des technologies policières - PGD-DCRC-DTP) durchgeführte Risikoanalyse (endgültige Version 1.0. vom 28. Oktober 2018, nachfolgend Risikoanalyse v.1.0 genannt) stellt die erste formalisierte Analyse der Risiken für die Informationssicherheit der Einheit dar. Sie wurde mit dem Ziel durchgeführt, eine Bestandsaufnahme der aktuellen Situation der Einheit in Bezug auf die Informationssicherheit zu erstellen. Jedes Risiko wurde sorgfältig mit den bekannten und den aus der Befragung von Bediensteten der verschiedenen Dienststellen erhaltenen Informationen sowie mit den Auswirkungswerten der Kriterien C (Geheimhaltung), I (Integrität) und D (Verfügbarkeit), der Plausibilität (Wahrscheinlichkeit) einer Bedrohung und der Qualifizierung (Wahrscheinlichkeit) einer Schwachstelle bewertet.
2.1.) Methodik:
Die Großherzogliche Polizei hat den von der Agentur für die Sicherheit von Informationssystemen (Agence nationale de la sécurité des systèmes d'information - ANSSI) empfohlenen Ansatz zur Risikoanalyse übernommen, bei dem es sich um eine Methode zur Risikoanalyse handelt, die auf Informationen als zentralem Element der Überlegungen basiert (data-centric model). Zur Durchführung ihrer Risikoanalyse greift die Einheit auf das Risikoanalyse-Tool MONARC – entwickelt von CASES – zu, das auf der Plattform GovCloud gehostet wird, die im Vorfeld durch das CTIE gemäß einer Vereinbarung mit ANSSI für das Hosting des Tools MONARC implementiert wird, und das von ANSSI zur Verfügung gestellt wird. Diese Entscheidung bringt den Vorteil mit sich, dass alle notwendigen Elemente zur Erstellung des Modells der Einheit als Grundlage der Risikoanalyse mit den bereits vorkonzipierten und nach dem oben beschriebenen Ansatz strukturierten Bibliotheksobjekten (Assets und Risikoszenarien) sofort verfügbar sind. Daraus ergibt sich die Möglichkeit eines schnellen Beginns der Analyse und einer effizienten Durchführung.
Die Risikoanalyse v.1.0 fasst die Methodik zusammen und enthält die Ergebnisse der Risikoanalyse, die mit MONARC in der Umgebung der Einheit durchgeführt wurde. MONARC ist durch die internationale Norm ISO/IEC 27005:2011 geregelt.
Quellen
[1] ISO/IEC 27005:2011, Informationssicherheits-Risikomanagement.
[2] http://www.iso.org/iso/fr/catalogue_detail?csnumber=56742. In der Norm ISO/IEC 27005 wird ausführlich dargelegt, wie eine Risikoabschätzung und Risikobehandlung im Rahmen der Informationssicherheit durchzuführen ist.
2.2.) Beschreibung der Risikoanalyse-Methode „Méthode Optimisée d'Analyse des Risques CASES“ (MONARC):
MONARC basiert auf einer Bibliothek von Risikomodellen, die Objekte vorschlägt, die aus Risikoszenarien für einzelne Assets oder eine Gruppe von Assets bestehen. Dieser Ansatz erleichtert den Umgang mit den gängigsten Risiken und führt zu mehr Objektivität und Effizienz. Da MONARC vollständig iterativ ist, können die Ergebnisse vertieft und an die Reife der einzelnen Einheiten angepasst werden, indem die Granularität der Risikoszenarien erhöht wird.
Kontextbestimmung
In einem ersten Schritt ist eine Bestandsaufnahme zu dem Kontext, den Herausforderungen und den jeweiligen Prioritäten der Einheit, die eine Analyse ihrer Risiken vornehmen möchte, durchzuführen.
Dabei sind insbesondere die wesentlichen Aktivitäten und kritischen Abläufe der Einheit festzustellen, um die Risikoanalyse auf die wichtigsten Elemente auszurichten. Diesbezüglich wird ein Kick-off-Meeting mit den Mitgliedern der Verwaltung und den Schlüsselpersonen organisiert. Ziel ist es, herauszufinden, was die Einheit am Leben erhält und was sie zerstören könnte. Dabei sind die Schlüsselabläufe, die internen und externen Bedrohungen sowie die organisatorischen, technischen und menschlichen Schwachstellen zu identifizieren.
Kontextmodellierung
Diese Phase umfasst die Modellierung der Objektbäume. Die Assets wurden in der vorhergehenden Phase definiert. Sie müssen nun in einem Schema, das ihre gegenseitigen Abhängigkeiten darstellt, detailliert veranschaulicht und formalisiert werden.
Die Auswirkungen werden auf der Ebene der primären Assets definiert (Informationen oder Dienste). Sekundäre Assets übernehmen die Auswirkungen des primären Assets, an das sie gekoppelt sind (Objektbaum).
Die Auswirkungen können auf Ebene der sekundären Assets manuell modifiziert werden.
Bewertung und Behandlung von Risiken
Im Rahmen der Bewertung werden die Bedrohungen, Schwachstellen und Auswirkungen quantifiziert, um die Risiken einzuschätzen.
Für die erfolgreiche Umsetzung sind qualitativ hochwertige Informationen über die genaue Wahrscheinlichkeit der Bedrohungen, die Leichtigkeit, mit der Schwachstellen ausgenutzt werden können, und die potenziellen Auswirkungen erforderlich. Folglich müssen Metriken verwendet werden, die von Experten validiert wurden.
Wird bei der Bewertung ein Risiko ermittelt, das oberhalb des Akzeptanzniveaus liegt (Risikoakzeptanzraster), müssen Maßnahmen zur Behandlung dieses Risikos ergriffen werden, um das Risiko auf ein angemessenes Niveau zu senken.
Umsetzung und Überwachung
Nach Abschluss der ersten Risikobehandlung muss eine Phase des kontinuierlichen Sicherheitsmanagements mit ständiger Kontrolle und Überwachung der Sicherheitsmaßnahmen eingeleitet werden, damit diese nachhaltig verbessert werden können.
Diese vierte Phase ermöglicht zudem eine kontinuierliche Verbesserung der Sicherheit, indem die Granularität der verwendeten Objekte erhöht bzw. der Umfang der Risikoanalyse erweitert wird.
3) Beurteilung der Berater
3.1.) Stärken:
- Das Engagement der Zentraldirektion Ressourcen und Kompetenzen (Direction centrale ressources et compétences - DCRC), eine Risikoanalyse für die Direktion der Polizeitechnologien (Direction des technologies policières - DTP) durchzuführen, deren Durchführung Bediensteten der DTP zu übertragen und eigene interne Kenntnisse und Kompetenzen im Bereich Informationssicherheit zu erwerben.
- Die Beauftragung eines Bediensteten der DTP mit der Untersuchung und Übernahme der Verwaltung logischer Zugriffe.
- Die Benennung eines Datenschutzbeauftragten auf Ebene der Einheit.
3.2.) Schwächen:
- Die Dauer der Durchführung der Risikoanalyse. Die Risikoanalyse ist als Momentaufnahme der Einheit zu einem bestimmten Zeitpunkt zu betrachten. Ein recht großer zeitlicher Abstand zwischen dem Beginn und dem Ergebnis der Analyse birgt die Gefahr, dass die Analyse durch zwischenzeitlich aufgetretene Veränderungen beeinträchtigt wird. Die Durchführungsdauer richtet sich natürlich auch nach der Verfügbarkeit des für die Risikoanalyse zuständigen Personals.
3.3.) Zusammenfassung:
- Die Berater trafen auf engagierte Gesprächspartner und schätzten die Entschlossenheit der Verwaltung, die Bemühungen zur Verbesserung der Informationssicherheit innerhalb ihres Zuständigkeitsbereichs fortzusetzen.