Cyber Security – Leitfaden zu EN 18031

EN 18031-1: Netzwerk- und Sicherheitswerte

Teil 1 befasst sich mit Funktionen eines Produkts, die Netzwerkressourcen nutzen oder bereitstellen. Dazu zählen sowohl Kommunikationsfunktionen als auch Sicherheitsmechanismen, die das Netzwerk vor Fehlverhalten, Missbrauch oder Beeinträchtigungen schützen sollen.

Als schützenswerte Werte gelten nicht nur die Funktionen selbst, sondern auch die dazugehörigen Parameter und Konfigurationen. Werden diese verändert, offengelegt oder missbräuchlich verwendet, kann dies die Integrität des Netzwerks gefährden oder zu einer unsachgemäßen Nutzung von Netzwerkressourcen führen.

Ein wichtiger Auslegungspunkt ist, dass die Norm nicht eindeutig definiert, was unter einem „Netzwerk“ zu verstehen ist. Entsprechend variieren die Interpretationen: Manche Bewertungen beschränken sich auf klassische Netzwerkschnittstellen (z. B. Ethernet), während andere auch einfachere Punkt-zu-Punkt-Verbindungen einbeziehen.

Um konsistente Ergebnisse zu gewährleisten, sollte eine klare Definition festgelegt und im gesamten Bewertungsprozess einheitlich angewendet werden. Die zugrunde liegende Begründung sollte zudem nachvollziehbar dokumentiert werden.

EN 18031-2: Datenschutzrelevante Werte

Teil 2 fokussiert sich auf den Umgang mit personenbezogenen Informationen. Dazu gehören personenbezogene Daten, Verkehrs- und Standortdaten im Sinne der DSGVO und der ePrivacy-Richtlinie. Jede Funktion eines Produkts, die solche Daten erhebt, verarbeitet oder anderweitig nutzt, gilt als datenschutzrelevante Funktion und damit als schützenswerter Wert.

Funktionen, die dem Schutz der Privatsphäre von Nutzern oder Teilnehmern dienen, werden in diesem Kontext als Sicherheitsfunktionen eingeordnet.

Auch hier zählen Parameter und Konfigurationen zu den relevanten Werten, sofern deren Offenlegung oder Manipulation die Privatsphäre beeinträchtigen könnte.

Wichtig ist die Abgrenzung zum ersten Teil der Norm: Der Begriff „Sicherheitsfunktion“ bezieht sich hier speziell auf den Schutz personenbezogener Daten und der Privatsphäre – nicht auf den allgemeinen Schutz von Netzwerken.

EN 18031-3: Finanzbezogene Werte

Teil 3 behandelt finanzbezogene Daten. Dazu zählen alle Informationen, die monetäre Werte abbilden, finanzielle Transaktionen betreffen oder für die Übertragung von Geld, Vermögenswerten oder virtuellen Währungen verwendet werden. Funktionen, die solche Daten verarbeiten, werden als finanzbezogene Funktionen klassifiziert.

Im Mittelpunkt steht dabei die Vermeidung von Betrug. Entsprechend gelten auch hier Parameter und Konfigurationen als schützenswerte Werte, wenn deren Offenlegung oder Manipulation betrügerische Handlungen ermöglichen könnte.

Eine Besonderheit ergibt sich aus der Definition von „Sicherheitsfunktion“ in diesem Teil: Diese umfasst Funktionen, die finanzielle oder sicherheitsrelevante Werte vor betrügerischem Missbrauch schützen. Daraus ergibt sich eine Abhängigkeit, da zunächst die finanziellen Werte identifiziert werden müssen, bevor Sicherheitsfunktionen eindeutig bestimmt werden können.

In der Praxis empfiehlt sich daher ein zweistufiges Vorgehen: Zunächst werden finanzbezogene Funktionen und Werte identifiziert und dokumentiert, anschließend erfolgt die Zuordnung der entsprechenden Sicherheitsfunktionen.

Vorgehen zur Identifikation von Assets (für alle Teile anwendbar)

Schritt 1 — Relevante personenbezogene oder finanzielle Daten erfassen (nur EN 18031-2 und -3)

Zunächst wird eine vollständige Übersicht aller verarbeiteten personenbezogenen Daten (inkl. Verkehrs- und Standortdaten) bzw. finanziellen Daten erstellt. Anschließend ist zu bewerten, welche Daten als kritisch gelten – entweder weil ihre Manipulation Risiken birgt (sensitiv) oder weil ihre Offenlegung problematisch ist (vertraulich). Diese Daten werden direkt als Assets betrachtet.

Schritt 2 — Funktionen des Produkts vollständig erfassen

Alle Funktionen des Produkts werden systematisch erfasst. Dazu gehören Schnittstellen, Kommunikationswege, Verarbeitungslogik und sämtliche Features – unabhängig von ihrer vermeintlichen Relevanz. Eine lückenlose Erfassung ist entscheidend, da sonst potenzielle Assets unentdeckt bleiben.

Schritt 3 — Funktionen klassifizieren

Die identifizierten Funktionen werden daraufhin geprüft, ob sie unter die Kategorien Netzwerk-, Datenschutz-, Finanz- oder Sicherheitsfunktion gemäß dem jeweiligen Normenteil fallen. Zutreffende Funktionen werden als Assets eingeordnet, alle anderen können ausgeklammert werden.

Schritt 4 — Zugehörige Parameter und Konfigurationen bewerten

Für jede relevante Funktion werden die zugehörigen Parameter und Konfigurationen identifiziert, beispielsweise Schlüsselmaterial, Zugangsdaten, Identifikatoren oder Protokolleinstellungen. Anschließend wird bewertet, ob deren Manipulation oder Offenlegung Risiken verursacht. Entsprechend werden auch diese Elemente als Assets klassifiziert.

Ergebnis

Die vollständige Asset-Liste ergibt sich aus der Kombination von:

  • den in Schritt 1 identifizierten Daten,
  • den in Schritt 3 klassifizierten Funktionen sowie
  • den in Schritt 4 bewerteten Parametern und Konfigurationen.