Grundschutz/Schutzbedarf/Anwendungen
topic - Kurzbeschreibung
Prozesse und Anwendungen
Um die Schäden einzuschätzen, die aus Verletzungen der Integrität, Vertraulichkeit oder Verfügbarkeit bei den Prozessen und Anwendungen entstehen können, sollten Sie aus Sicht der Anwender realistische Schadensszenarien entwickeln.
Dabei kann es Ihnen helfen, „Was wäre wenn ...?“-Fragen zu jedem Schadensszenario zu formulieren, was wäre, wenn geheime Geschäftsdaten aus der Anwendung „Finanzbuchhaltung“ bekannt würden?
- Gegen welche Gesetze oder Vorschriften wird verstoßen? Welche rechtlichen Konsequenzen oder Sanktionen können mit dem Vorfall verbunden sein?
- Gibt es Personen, deren informationelles Selbstbestimmungsrecht beeinträchtigt wird? Wenn ja, mit welchen Folgen?
- Wie stark werden Abläufe in der Firma behindert?
- Droht ein Image-Schaden und mit welchen Folgen wäre er verbunden?
- Kann dieser Vorfall finanzielle Auswirkungen haben und falls ja, in welcher Höhe?
Im Anhang des -Standards 200-2 finden Sie zu jedem Schadensszenario beispielhafte Fragestellungen, die Sie für Ihre Schutzbedarfsfeststellung anpassen und eventuell ergänzen können.
Im nächsten Schritt beantworten Sie für alle Anwendungen, die Sie in der Strukturanalyse erfasst haben, die zu den Schadensszenarien entwickelten Fragen und schätzen so den Schutzbedarf der Anwendungen im Hinblick auf die drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit ein.
Bei der Abschätzung des Schadens sollten Sie unbedingt die Verantwortlichen und die Benutzer der Anwendung einbeziehen. Diese wissen meist sehr genau, welche Schäden bei falschen Daten oder bei einem Ausfall einer Anwendung auftreten. Es ist trotzdem möglich, dass der Schutzbedarf innerhalb der Projektgruppe oder von befragten Mitarbeitern unterschiedlich eingeschätzt wird. Falls kein Konsens erzielt werden kann, muss das Management entscheiden.
Wichtig ist, dass Sie die Schutzbedarfsfeststellungen begründen und zwar so ausführlich, dass die getroffenen Entscheidungen auch von anderen Personen (z. B. der Leitung) und zu späteren Zeitpunkten nachvollzogen und gegebenenfalls auch korrigiert werden können. So können Geschäftsführung, Benutzer und Abteilungsleiter durchaus unterschiedlicher Auffassung darüber sein, wie wichtig eine Anwendung für die Geschäftsvorgänge ist.
Nachfolgend als Beispiel die Schutzbedarfsfeststellung für einige Anwendungen der RECPLAST .
- Schutzbedarfsfeststellung für Anwendungen
| Bezeichnung und Beschreibung | Schutzziel und Schutzbedarf | Begründung |
|---|---|---|
| A001 Textverarbeitung, Präsentation, Tabellenkalkulation | Vertraulichkeit:normal | Die Office-Anwendung selbst enthält keine Informationen |
| Integrität:normal | Die Office-Anwendung selbst enthält keine Informationen | |
| Verfügbarkeit:normal | Die Anwendung ist lokal installiert; eine Neuinstallation ist schnell möglich. Die Lizenzen sind sicher verwahrt. Eine Ausfallzeit von 24 Stunden oder mehr ist akzeptabel. | |
| A002 Lotus Notes | Vertraulichkeit:hoch | Es werden Mails mit vertraulichem Inhalt bearbeitet; die Informationen über Geschäftskontakte und Treffen mit Partnern oder Kunden sind vertraulich. |
| Integrität:normal | Fehlerhafte Daten können in der Regel leicht erkannt werden. | |
| Verfügbarkeit:sehr hoch | Mails, Kontaktdaten und Terminvereinbarungen sind wesentlich für die Geschäftsvorgänge. Ein Ausfall von mehr als 2 Stunden kann nicht hingenommen werden. | |
| A010 Active Directory | Vertraulichkeit:normal | Passwörter sind verschlüsselt gespeichert und damit praktisch nicht zugänglich |
| Integrität:hoch | Alle Mitarbeiter identifizieren sich mit Passwörtern, daher ist der Schutzbedarf hoch. | |
| Verfügbarkeit:sehr hoch | Bei Ausfall des Authentisierungssystems können Mitarbeiter sich nicht identifizieren; eine Ausführung von -Verfahren ist dann nicht möglich. Ein Ausfall von mehr als 2 Stunden ist nicht tolerabel. |