Auch wenn die Zusammenstellung elementarer Gefährdungen vielfältige Bedrohungen berücksichtigt, denen Informationen und Informationstechnik ausgesetzt sind, so kann dennoch nicht ausgeschlossen werden, dass weitere Gefährdungen zu betrachten sind. Dies gilt insbesondere dann, wenn es für ein Zielobjekt in untypischen Einsatzszenarien betrieben wird.

Im Anschluss an den ersten Teilschritt prüfen Sie daher, ob neben den relevanten elementaren Gefährdungen weitere Gefährdungen zu untersuchen sind.

Wie finden Sie zusätzliche Gefährdungen?

Ein bewährtes Mittel, mögliche Gefährdungen zu ermitteln, ist ein von dem ISB oder einem anderen Sicherheitsexperten moderierter Workshop, an dem diejenigen Mitarbeiterinnen und Mitarbeiter zu beteiligen sind, die in irgendeiner Weise mit der betrachteten Komponente in Verbindung stehen (zum Beispiel Administratoren, Anwendungsbetreuer, Benutzer). Hinweise auf Gefährdungen können auch weitere Quellen liefern, etwa Herstellerdokumentationen oder Publikationen im Internet.

Worauf sollten Sie achten?

Unter Umständen können in dem Workshop zahlreiche und vielfältige Gefährdungen diskutiert werden. Um die sich anschließende Bewertung der Gefährdungen nicht unnötig zu erschweren, sollten Sie

• sich auf diejenigen Gefährdungen konzentrieren, die Grundwerte beeinträchtigen, in denen das betrachtete Zielobjekt den Schutzbedarf sehr hoch oder hoch hat,
• alle Gefahrenbereiche berücksichtigen, nach denen die Gefährdungskataloge gruppiert sind, also höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen und vorsätzliche Angriff von Außen- und Innentätern, und die Gefährdungen entsprechend gruppieren,
• auf die Relevanz der Vorschläge achten, also nur solche Gefährdungen weiter verfolgen, die zu nennenswerten Schäden führen können und im behandelten Zusammenhang realistisch sind,
• bei jedem vorgebrachten Vorschlag prüfen, ob die betreffende Gefährdung nicht bereits durch eine vorhandene Gefährdung abgedeckt wird, sowie
• die verbleibenden Vorschläge verallgemeinern, um die Anzahl der in den künftigen Schritten zu berücksichtigenden Gefährdungen zu verringern.

Die Ermittlung der Gefährdungen verlangt ebenso wie die weiteren Schritte bei der Risikoanalyse vertiefte Fachkenntnisse. Öffentlich zugängliche Informationen, wie Zeitschriftenartikel oder Quellen im Internet, können Ihnen in vielen Fällen wertvolle Hinweise geben. Oft empfiehlt es sich auch, auf das Know-how externer Experten zurückzugreifen.

Beispiel

Die Diskussion weiterer zu betrachtender Gefährdungen bei der RECPLAST GmbH ergibt, dass für den gesamten Informationsverbund mögliche Manipulationen durch Familienangehörige und Besucher aufgrund der häufigen Anwesenheit dieser Personengruppen als zusätzliche Gefährdung zu betrachten sind. Diese wird wie folgt beschrieben.

G z.1 Manipulation durch Familienangehörige und Besucher.
Familienangehörige und Besucher haben zeitweise Zutritt zu bestimmten Räumlichkeiten des Unternehmens. Es besteht die Gefahr, dass diese Personen dies als Gelegenheit nutzen, unerlaubte Veränderungen an Hardware, Software oder Informationen vorzunehmen. Diese zusätzliche Gefährdung konkretisiert die elementaren Gefährdungen G 0.21 Manipulation von Hard- oder Software und G 0.22 Manipulation von Informationen.

Daneben wurden weitere zusätzliche Gefährdungen ermittelt, etwa die Beschädigung von IT im Fertigungsbereich aufgrund der dort bestehenden besonderen Umgebungsbedingungen (z. B. Staub, Erschütterungen). Diese Gefährdung ist bei Risikoanalysen von ICS-Komponenten mit hohem oder sehr hohem Schutzbedarf zu berücksichtigen.