Wie führt man eine Risikoanalyse mit MAGERIT in einem KMU durch? MAGERIT ist die offizielle Methodik zur Analyse und zum Management von Risiken der Informationssysteme der spanischen öffentlichen Verwaltung, veröffentlicht vom Konsultationsrat für elektronische Verwaltung und in der Werkzeug PILAR vom Centro Criptológico Nacional (CCN) gepflegt. Die Methodik lässt sich in vier Schritte zusammenfassen: (1) Anlagen identifizieren und ihren Wert bestimmen, (2) die Bedrohungen, die sie beeinflussen können, (3) die Schutzmaßnahmen, die bereits implementiert sind, und (4) das Restrisiko berechnen, das nach diesen Schutzmaßnahmen verbleibt, um zu entscheiden, ob es akzeptiert wird. In diesem Artikel erkläre ich das anhand eines konkreten KMU-Beispiels, ohne unnötige Fachsprache.
Was ist MAGERIT?
MAGERIT steht für Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (Methodik zur Analyse und zum Management von Risiken der Informationssysteme). Es ist die Methodik, die die spanischen öffentlichen Verwaltungen für ihre Sicherheitsrisikoanalyse verwenden, und die natürliche Referenz, wenn eine Organisation das Spanische Nationale Sicherheitsgrundgesetz (ENS) einführt, das die Verwaltung der Sicherheit auf Basis des Risikos verlangt.
Die gültige Version ist MAGERIT v3 (Oktober 2012), strukturiert in drei Bücher: Methode, Elementkatalog und Technikhandbuch. Das Werkzeug, das sie umsetzt, heißt PILAR und wird vom CCN gepflegt. Es ist nicht zwingend, genau MAGERIT zu verwenden – das ENS lässt jede anerkannte Risikoanalysemethodik zu –, aber es ist die am weitesten verbreitete im spanischen öffentlichen Bereich und die, die am besten zum ENS passt.
Ist MAGERIT im ENS verpflichtend?
Nicht genau. Das ENS verlangt eine Risikoanalyse, schreibt aber keine konkrete Methodik vor: Sie können MAGERIT, ISO 31000, ISO 27005 oder eine andere anerkannte Methodik verwenden. Allerdings ist MAGERIT die von der spanischen Verwaltung selbst entwickelte Methodik und perfekt auf das ENS abgestimmt, weshalb sie in der Praxis die häufigste Wahl bei der Zusammenarbeit mit dem öffentlichen Sektor ist.
Die 4 Schritte von MAGERIT
Schritt 1: Anlagen identifizieren und bewerten
Eine Anlage ist jedes Element, das für die Organisation einen Wert hat und schutzbedürftig ist: Server, Anwendungen, Datenbanken, Informationen selbst, Kommunikation und sogar Personen und Dienste. Der erste MAGERIT-Schritt besteht darin, die relevanten Anlagen zu inventarisieren, ihre gegenseitigen Beziehungen zu verstehen und zu bewerten, welcher Schaden ihre Beeinträchtigung verursachen würde.
Die Bewertung erfolgt nicht direkt in Euro, sondern über die Sicherheitsdimensionen: Vertraulichkeit, Integrität, Nachverfolgbarkeit, Authentizität und Verfügbarkeit. Für jede Anlage fragen Sie sich: Was würde passieren, wenn diese Information durchsickerte (Vertraulichkeit)? Wenn sie unbefugt verändert würde (Integrität)? Wenn sie einen ganzen Tag nicht verfügbar wäre (Verfügbarkeit)? Diese Dimensionen sind dieselben, die das ENS für die Systemkategorisierung verwendet, was es erleichtert, dass die MAGERIT-Analyse direkt die ENS-Kategorisierung speist.
KMU-Beispiel: Eine Steuerberatungskanzlei mit fünfzehn Mitarbeitenden identifiziert als kritische Anlagen ihre Klientenverwaltungsanwendung, die Datenbank mit Steuerdaten, den Server, auf dem sie läuft, und die Unternehmens-E-Mail. Die Steuerdatenbank erzielt hohe Werte bei Vertraulichkeit und Integrität; die E-Mail bei Verfügbarkeit.
Schritt 2: Bedrohungen identifizieren
Eine Bedrohung ist jedes Ereignis, das eine Anlage beeinträchtigen kann. MAGERIT klassifiziert sie in große Gruppen: Naturkatastrophen (Überschwemmung, Brand), industriellen Ursprungs (Stromausfall, Störung), unbeabsichtigte Fehler und Ausfälle (ein Mitarbeiter, der versehentlich eine Datei löscht) und vorsätzliche Angriffe (Ransomware, Zugangsdatendiebstahl, Identitätsmissbrauch).
Für jede Anlage identifizieren Sie, welche Bedrohungen gelten, mit welcher Häufigkeit sie sich materialisieren könnten und welche Beeinträchtigung sie auf jede Sicherheitsdimension verursachen würden. Nicht alle Bedrohungen beeinflussen alle Anlagen gleich: Ein Stromausfall trifft die Verfügbarkeit des Servers, aber nicht die Vertraulichkeit eines verschlüsselten Dokuments.
Beispiel: Bei der Steuerdatenbank der Kanzlei sind die relevantesten Bedrohungen Ransomware (hohe Beeinträchtigung von Verfügbarkeit und Integrität), unbefugter Zugang (Vertraulichkeit) und menschlicher Fehler bei der Datensatzeingabe (Integrität).
Schritt 3: Schutzmaßnahmen bewerten
Schutzmaßnahmen sind die bereits implementierten Maßnahmen zur Risikominderung: Datensicherungen, Zugangskontrolle, Verschlüsselung, Antivirensoftware, Mitarbeiterschulungen, Firewalls usw. In diesem Schritt messen Sie, welche Schutzmaßnahmen Sie haben und wie wirksam sie gegenüber jeder Bedrohung sind.
MAGERIT unterscheidet dabei zwischen dem potenziellen Risiko (dem ohne jede Schutzmaßnahme) und der Minderungswirkung der implementierten Maßnahmen. Eine Schutzmaßnahme kann wirken, indem sie die Wahrscheinlichkeit des Eintritts der Bedrohung reduziert (präventiv) oder den Schaden beim Eintritt begrenzt (korrektiv). Datensicherungen verhindern Ransomware zum Beispiel nicht, reduzieren aber die Auswirkungen drastisch.
Beispiel: Die Kanzlei hat tägliche Datensicherungen (reduziert Ransomware-Auswirkung), Zugangskontrolle mit Passwörtern (reduziert unbefugten Zugang), aber keine Datenbankverschlüsselung und keine Zwei-Faktor-Authentifizierung – dort verbleiben offene Schutzmaßnahmen.
Schritt 4: Restrisiko berechnen
Das Restrisiko ist das Risikoniveau, das das System nach Anwendung der Schutzmaßnahmen noch trägt. Es ist der wichtigste Wert der gesamten Analyse, weil er Ihnen wirklich sagt, wie viel Risiko Sie eingehen. Es wird durch Kombination von Auswirkung und Wahrscheinlichkeit jeder Bedrohung nach Abzug der Schutzmaßnahmenwirkung berechnet.
Sobald Sie das Restrisiko jeder Anlage und Bedrohung haben, vergleichen Sie es mit dem akzeptablen Risikoniveau, das die Leitung definiert hat. Liegt das Restrisiko unter der akzeptablen Schwelle, akzeptieren Sie es und dokumentieren es. Übersteigt es sie, müssen Sie iterieren: Schutzmaßnahmen hinzufügen oder verstärken, bis das Risiko auf ein vertretbares Niveau sinkt. Diese Iteration ist das Herzstück des Risikomanagements: Es geht nicht darum, alles Risiko zu eliminieren (unmöglich), sondern es auf ein Niveau zu reduzieren, das die Organisation bewusst tragen kann.
Beispiel: Nach der Schutzmaßnahmenbewertung stellt die Kanzlei fest, dass das Restrisiko von Ransomware auf die Datenbank noch hoch ist, weil zwar Sicherungen vorhanden sind, diese aber nicht vom Netzwerk isoliert sind und ebenfalls verschlüsselt werden könnten. Die Entscheidung: unveränderliche Sicherungen und Zwei-Faktor-Authentifizierung einführen. Nach dieser Verbesserung sinkt das Restrisiko auf das akzeptable Niveau und wird formal akzeptiert.
Tabelle: Risikoanalyse des Beispiel-KMU
Diese eigene Risikoübersicht zeigt, wie die Analyse für die kritischen Anlagen der Kanzlei im Beispiel aussieht, vor und nach den Schutzmaßnahmen:
| Anlage | Hauptbedrohung | Potenzielles Risiko | Schutzmaßnahmen | Restrisiko | Entscheidung |
|---|---|---|---|---|---|
| Steuerdatenbank | Ransomware | Hoch | Tägliche Sicherungen (verbesserbar) | Hoch → Mittel nach unveränderl. Sicherungen | Verstärken und akzeptieren |
| Steuerdatenbank | Unbefugter Zugang | Hoch | Zugangskontrolle + 2FA | Niedrig | Akzeptieren |
| Verwaltungsanwendung | Menschlicher Fehler | Mittel | Rollenberechtigungen + Protokoll | Niedrig | Akzeptieren |
| Unternehmens-E-Mail | Verfügbarkeitsausfall | Mittel | Cloud-Dienst mit SLA | Niedrig | Akzeptieren |
| Server | Stromausfall | Mittel | USV + verwalteter Dienst | Niedrig | Akzeptieren |
Wie werden Auswirkung und Wahrscheinlichkeit bewertet?
Damit die Analyse kohärent ist, arbeitet MAGERIT mit Skalen. Für ein KMU reichen in der Regel qualitative Skalen mit wenigen Stufen aus, solange sie konsistent angewendet werden:
- Auswirkung: misst die Schwere des Schadens, wenn die Bedrohung auf die betroffene Dimension wirkt. Eine übliche Skala ist niedrig, mittel, hoch und sehr hoch, wobei jede Stufe mit konkreten Konsequenzen verbunden ist (z. B. „hoch" = Dienstausfall länger als einen Tag oder Verlust von Steuerdaten).
- Wahrscheinlichkeit oder Häufigkeit: wie oft die Bedrohung eintreten könnte. Ebenfalls nach Stufen gestaffelt (selten, möglich, häufig, sehr häufig).
Das Risiko ergibt sich aus der Kombination beider: Eine Bedrohung mit sehr hoher Auswirkung, aber minimaler Wahrscheinlichkeit kann ein vertretbares Risiko ergeben, während eine mit mittlerer Auswirkung und hoher Wahrscheinlichkeit vorrangig behandelt werden muss. Das Wichtige ist, dieselbe Skala auf alle Anlagen anzuwenden, um mit Kriterien vergleichen und priorisieren zu können. Die verwendete Skala zu dokumentieren ist Teil der Analyse: Ein Prüfer will verstehen, wie Sie zu jeder Bewertung gekommen sind.
Wie oft muss die Risikoanalyse überprüft werden?
Die Risikoanalyse ist kein Einwegdokument. Im ENS-Rahmen ist sie an den Überprüfungs- und Prüfzyklus gebunden – der zweijährig ist –, aber sie sollte immer dann überprüft werden, wenn sich etwas Relevantes ändert: neue Systeme oder Dienste, Änderungen in der Informationsverarbeitung, neue bedeutende Bedrohungen (z. B. eine Ransomware-Kampagne in Ihrer Branche) oder nach einem Vorfall. Eine jahrelang eingefrorene Analyse spiegelt die Realität nicht mehr wider und verliert ihren gesamten Wert. Risikomanagement ist per Definition ein kontinuierlicher Prozess, kein Standbild.
Tipps zur MAGERIT-Anwendung in einem KMU, ohne dabei zu scheitern
- Nicht das gesamte Universum inventarisieren. Konzentrieren Sie sich auf die wirklich kritischen Anlagen. Ein endloses Inventar erschöpft das Projekt, bevor es beginnt.
- Bei den Schutzmaßnahmen realistisch sein. Notieren Sie, was wirklich funktioniert, nicht was Sie denken, dass Sie haben sollten. Eine optimistische Analyse ist eine nutzlose Analyse.
- Akzeptanzentscheidungen dokumentieren. Ein Risiko zu akzeptieren ist legitim, muss aber eine bewusste Entscheidung der Leitung sein und schriftlich festgehalten werden.
- Regelmäßig überprüfen. Die Risikoanalyse ist kein einmaliges Dokument: Anlagen, Bedrohungen und Schutzmaßnahmen ändern sich. Im ENS ist sie zudem an den Prüfzyklus gebunden.
- Auf PILAR zurückgreifen, wenn das System komplex ist. Für ein Kleinstunternehmen kann eine gut gemachte Tabellenkalkulation ausreichen; für größere Systeme strukturiert PILAR die Methodik.
Die Risikoanalyse ist die Grundlage, auf der das gesamte ENS aufbaut. Wie sie sich mit dem Rest des Rahmens verbindet, erläutere ich in meinem Leitfaden zur Risikoanalyse mit MAGERIT im ENS.
Tabellenkalkulation oder PILAR-Werkzeug?
Eine häufige Frage in KMU ist, ob das offizielle PILAR-Werkzeug benötigt wird oder ob eine Tabellenkalkulation ausreicht. Die Antwort hängt von Größe und Komplexität des Systems ab:
- Tabellenkalkulation: Für ein Kleinstunternehmen oder ein einfaches System mit wenigen Anlagen und Bedrohungen kann eine gut strukturierte Tabelle – mit Spalten für Anlage, Dimension, Bedrohung, Auswirkung, Wahrscheinlichkeit, Schutzmaßnahmen und Restrisiko – vollkommen ausreichen und deutlich handlicher sein.
- PILAR: Wenn das System wächst, mit vielen vernetzten Anlagen und komplexen Abhängigkeiten, bringt das vom CCN gepflegte Werkzeug Struktur, vordefinierte Bedrohungs- und Schutzmaßnahmenkataloge sowie automatische Risikoberechnung. Es reduziert Fehler und erleichtert die Pflege der Analyse im Laufe der Zeit.
Meine Empfehlung für ein KMU, das anfängt: nicht das Werkzeug zur Obsession machen. Das Wichtige ist, die Methodik gut zu verstehen und ehrlich anzuwenden. Das Werkzeug erleichtert die Arbeit, ersetzt aber nicht das Urteilsvermögen. Eine einfache, gut gemachte Tabellenanalyse ist mehr wert als ein schlecht mit optimistischen Daten gespeistes PILAR.
Schlussfolgerung
MAGERIT ist kein Monster, das für große Verwaltungen reserviert ist: Vernünftig angewendet kann ein KMU seine Risiken in vier Schritten analysieren – Anlagen, Bedrohungen, Schutzmaßnahmen und Restrisiko – und fundierte Entscheidungen darüber treffen, was zu schützen ist und bis zu welchem Grad. Der Schlüssel liegt darin, sich auf das Kritische zu konzentrieren, bei den echten Schutzmaßnahmen ehrlich zu sein und die Akzeptanzentscheidungen zu dokumentieren. So gemacht hört die Risikoanalyse auf, eine ENS-Formalität zu sein, und wird zu einem echten Werkzeug, um böse Überraschungen zu vermeiden.
Häufig gestellte Fragen
Was ist MAGERIT?
Es ist die Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (Methodik zur Analyse und zum Management von Risiken der Informationssysteme), die offizielle Methodik der spanischen öffentlichen Verwaltung. Die gültige Version ist MAGERIT v3 (2012) und wird mit dem PILAR-Werkzeug umgesetzt, das vom Centro Criptológico Nacional (CCN) gepflegt wird.
Wie führt man eine Risikoanalyse mit MAGERIT durch?
In vier Schritten: Anlagen identifizieren und bewerten, die Bedrohungen identifizieren, die sie beeinflussen, die bereits implementierten Schutzmaßnahmen bewerten und das verbleibende Restrisiko berechnen. Übersteigt das Restrisiko das akzeptable Niveau, werden Schutzmaßnahmen verstärkt und iteriert, bis ein vertretbares Niveau erreicht ist.
Was ist das Restrisiko?
Es ist das Risikoniveau, das das System nach Anwendung der Schutzmaßnahmen noch trägt. Es wird mit dem von der Leitung definierten akzeptablen Risiko verglichen: Liegt es darunter, wird es akzeptiert und dokumentiert; übersteigt es es, müssen Maßnahmen hinzugefügt oder verstärkt werden.
Ist MAGERIT im ENS verpflichtend?
Nein. Das ENS verlangt eine Risikoanalyse, schreibt aber keine konkrete Methodik vor: MAGERIT, ISO 31000, ISO 27005 oder eine andere anerkannte Methodik sind zulässig. MAGERIT ist die im spanischen öffentlichen Bereich am weitesten verbreitete, weil sie von der Verwaltung selbst entwickelt wurde und auf das ENS abgestimmt ist.
Quellen
- CCN — MAGERIT Version 3.0, Buch I: Methode.
- Real Decreto 311/2022, de 3 de mayo, Spanisches Nationales Sicherheitsgrundgesetz (BOE-A-2022-7191) — Pflicht zur risikobasierten Sicherheitsverwaltung.
- Centro Criptológico Nacional — Spanisches Nationales Sicherheitsgrundgesetz (ens.ccn.cni.es).
Inhalt erstellt von Ángel Ortega Castro. Informative Inhalte, aktuell zum Veröffentlichungsdatum; der Programmstatus kann sich ändern. Überprüfen Sie stets den BOE und Red.es für aktuelle Fristen.