|
|
(86 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| '''topic''' - Kurzbeschreibung | | '''IT-Grundschutz/Schutzbedarf''' - Festlegung der Sicherheitsanforderungen |
| == Schutzbedarfsfeststellung ==
| |
| ''Wie viel Schutz benötigen der betrachtete Informationsverbund und die'' ''ihm'' ''zugehörigen Zielobjekte? Wie kommen Sie zu begründeten und nachvollziehbaren Einschätzungen des Schutzbedarfs? Welche Zielobjekte benötigen mehr Sicherheit, bei welchen'' ''genügt es, Standard-Anforderungen zu erfüllen?''
| |
|
| |
|
| Ziel der Schutzbedarfsfeststellung ist es, diese Fragen zu klären und damit die Festlegung der Sicherheitsanforderungen und die Auswahl angemessener Sicherheitsmaßnahmen für die einzelnen Zielobjekte des betrachteten Informationsverbundes zu steuern.
| | === Beschreibung === |
| | ; Ziele |
| | Festlegung der Sicherheitsanforderungen |
| | * Grundlage für die Auswahl angemessener Sicherheitsmaßnahmen |
|
| |
|
| In dieser Lektion lernen Sie das Vorgehen bei der Schutzbedarfsfeststellung kennen.
| | === Schutzbedarf für Zielobjekte === |
| | Begründete und nachvollziehbare Einschätzung des Schutzbedarfs |
|
| |
|
| Im Einzelnen erfahren Sie,
| | Welche [[Zielobjekt]]e |
| * wie Sie mithilfe von Schadensszenarien die Schutzbedarfskategorien definieren, | | * Benötigen mehr Sicherheit? |
| * in welcher Reihenfolge Sie sinnvollerweise den Schutzbedarf für die verschiedenen Zielobjekt-Typen eines Informationsverbundes feststellen, | | * Bei welchen genügen die Standard-Anforderungen? |
| * wie sich Abhängigkeiten zwischen den Zielobjekten auf die Ergebnisse der Schutzbedarfsfeststellung auswirken sowie
| |
| * welche Schlussfolgerungen aus den Ergebnissen der Schutzbedarfsfeststellung gezogen werden können.
| |
|
| |
|
| Bei der Basis-Absicherung sind für den betrachteten Informationsverbund nur die Basis-Anforderungen verpflichtend. Daher ist eine Schutzbedarfsfeststellung bei dieser Variante der -Grundschutz-Methodik nicht erforderlich.
| | === Arbeitsschritte === |
| | {| class="wikitable options col1center big" |
| | |- |
| | ! Schritt !! Titel || Beschreibung |
| | |- |
| | | 1 || Definitionen || Schadensszenarien und Schutzbedarfskategorien festlegen |
| | |- |
| | | 2 || Schutzbedarf festlegen || Schutzbedarf Zielobjekte ermitteln/festlegen |
| | |- |
| | | 3 || Abhängigkeiten berücksichtigen || Auswirkung von Abhängigkeiten zwischen den Zielobjekten auf die Ergebnisse der Schutzbedarfsfeststellung |
| | |- |
| | | 4 || Schlussfolgerungen || Schlussfolgerungen aus den Ergebnissen der Schutzbedarfsfeststellung |
| | |} |
|
| |
|
| == Grundlegende Definitionen == | | === Basis-Absicherung === |
| Bei der Schutzbedarfsfeststellung ist danach zu fragen, welcher Schaden entstehen kann, wenn für ein Zielobjekt die '''Grundwerte''' Vertraulichkeit, Integrität oder Verfügbarkeit verletzt werden. Dies wäre der Fall, wenn
| | Schutzbedarfsfeststellung nicht erforderlich |
| * vertrauliche Informationen unberechtigt zur Kenntnis genommen oder weitergegeben werden (Verletzung der '''Vertraulichkeit'''),
| |
| * die Korrektheit der Informationen und der Funktionsweise von Systemen nicht mehr gegeben ist (Verletzung der '''Integrität'''),
| |
| * autorisierte Benutzer am Zugriff auf Informationen und Systeme behindert werden (Verletzung der '''Verfügbarkeit''').
| |
|
| |
|
| Der Schutzbedarf eines Objekts bezüglich eines dieser Grundwerte orientiert sich an dem Ausmaß des bei Verletzungen jeweils drohenden Schadens. Da dessen Höhe in der Regel vorab nicht genau bestimmt werden kann, sollten Sie eine für Ihren Anwendungszweck passende Anzahl von Kategorien definieren, anhand derer Sie den Schutzbedarf unterscheiden. Die -Grundschutz-Methodik empfiehlt hierfür drei '''Schutzbedarfskategorien''':* '''normal:''' Die Schadensauswirkungen sind begrenzt und überschaubar.
| | Bei der Basis-Absicherung sind für den Informationsverbund nur die Basis-Anforderungen verpflichtend |
| * '''hoch''': Die Schadensauswirkungen können beträchtlich sein.
| | * Daher ist eine Schutzbedarfsfeststellung bei dieser Variante der IT-Grundschutz-Methodik nicht erforderlich |
| * '''sehr hoch''': Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.
| |
|
| |
|
| Der Schaden, der von einer Verletzung der Grundwerte ausgehen kann, kann sich auf verschiedene '''Schadensszenarien''' beziehen:
| | === Fragen bei der Schutzbedarfsfeststellung === |
| * Verstöße gegen Gesetze, Vorschriften oder Verträge,
| | Welcher Schaden kann entstehen, wenn für ein Zielobjekt die ''[[Grundwerte]]'' verletzt werden |
| * Beeinträchtigungen des informationellen Selbstbestimmungsrechts,
| | {| class="wikitable options" |
| * Beeinträchtigungen der persönlichen Unversehrtheit,
| | |- |
| * Beeinträchtigungen der Aufgabenerfüllung,
| | | [[Vertraulichkeit]] || Vertrauliche Informationen werden unberechtigt zur Kenntnis genommen oder weitergegeben |
| * negative Innen- oder Außenwirkung oder
| | |- |
| * finanzielle Auswirkungen.
| | | [[Integrität]] || Korrektheit der Informationen oder die Funktionsweise von Systemen ist nicht mehr gegeben |
| | |- |
| | | [[Verfügbarkeit]] || Autorisierte Benutzer werden am Zugriff auf Informationen und Systeme behindert |
| | |} |
|
| |
|
| Wie wichtig ein Szenario jeweils ist, unterscheidet sich von Institution zu Institution. Unternehmen schauen beispielsweise besonders intensiv auf die finanziellen Auswirkungen eines Schadens, da diese bei einer entsprechenden Höhe existenzgefährdend sein können. Für eine Behörde kann es hingegen besonders wichtig sein, das öffentliche Ansehen zu wahren und daher negative Außenwirkungen zu vermeiden.
| | === Drohender Schaden === |
| | * Der Schutzbedarf eines Objekts bezüglich eines dieser Grundwerte orientiert sich an dem Ausmaß des bei Verletzungen jeweils drohenden Schadens |
| | * Da dessen Höhe in der Regel vorab nicht genau bestimmt werden kann, sollten Sie eine für Ihren Anwendungszweck passende Anzahl von Kategorien definieren, anhand derer Sie den Schutzbedarf unterscheiden |
|
| |
|
| == Schutzbedarfskategorien == | | === Schutzbedarfskategorien === |
| Wann hat ein Objekt einen normalen, wann einen hohen und wann einen sehr hohen Schutzbedarf?
| | Die IT-Grundschutz-Methodik empfiehlt hierfür drei '''Schutzbedarfskategorien''' |
| | {| class="wikitable options" |
| | |- |
| | ! Schutzbedarfskategorie !! Beschreibung |
| | |- |
| | | normal || Schadensauswirkungen begrenzt und überschaubar |
| | |- |
| | | hoch || Schadensauswirkungen beträchtlich |
| | |- |
| | | sehr hoch || Schadensauswirkungen können existenzbedrohend sein, katastrophales Ausmaß |
| | |} |
|
| |
|
| Eine allgemeingültige Antwort auf diese Frage ist nicht bei allen Schadensszenarien möglich. Eine erste Abgrenzung der Kategorien finden Sie in Kapitel 8.2.1 des [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.html -Standards 200-2: -Grundschutz-Methodik]. Die dort angeführten, relativ allgemein gehaltenen Definitionen können Sie als Ausgangspunkt nehmen, an die besonderen Gegebenheiten Ihrer Institution anpassen und gegebenenfalls ergänzen.
| | === Schadensszenarien === |
| | Der Schaden, der von einer Verletzung der Grundwerte ausgehen kann, kann sich auf verschiedene Schadensszenarien beziehen |
| | {| class="wikitable options" |
| | |- |
| | ! Schadensszenario |
| | |- |
| | | Verstöße gegen Gesetze, Vorschriften oder Verträge |
| | |- |
| | | Beeinträchtigungen des informationellen Selbstbestimmungsrechts |
| | |- |
| | | Beeinträchtigungen der persönlichen Unversehrtheit |
| | |- |
| | | Beeinträchtigungen der Aufgabenerfüllung |
| | |- |
| | | negative Innen- oder Außenwirkung |
| | |- |
| | | finanzielle Auswirkungen |
| | |} |
|
| |
|
| Beispielsweise finden Sie dort für die Schutzbedarfskategorie „normal“ und das Schadensszenario „Finanzielle Auswirkungen“ die Festlegung:
| | ; Bedeutung der Szenarien |
| | Wie wichtig ein Szenario jeweils ist, unterscheidet sich von Institution zu Institution |
| | * Unternehmen schauen beispielsweise besonders intensiv auf die finanziellen Auswirkungen eines Schadens, da diese bei einer entsprechenden Höhe existenzgefährdend sein können |
| | * Für eine Behörde kann es hingegen besonders wichtig sein, das öffentliche Ansehen zu wahren und daher negative Außenwirkungen zu vermeiden |
|
| |
|
| „Der finanzielle Schaden bleibt für die Institution tolerabel.“
| | === Schutzbedarfskategorien === |
| | {{:IT-Grundschutz/Schutzbedarf/Kategorien}} |
|
| |
|
| Was aber heißt für ein Unternehmen „tolerabel“? Für ein sehr großes Unternehmen spielen einige Millionen Euro mehr oder weniger vielleicht keine große Rolle, kleinere und mittlere Unternehmen kann ein Schaden in dieser Höhe dagegen zur Insolvenz führen. Bei der Abgrenzung der Schadenskategorien müssen Sie also die Besonderheiten der betrachteten Institution berücksichtigen, zum Beispiel* in Bezug auf das Szenario „finanzielle Auswirkungen“ die Höhe des Umsatzes oder des Gewinns eines Unternehmens oder die Höhe des bewilligten Budgets einer Behörde,
| | === Schutzbedarfsfeststellung === |
| * in Bezug auf das Szenario „Beeinträchtigung der Aufgabenerfüllung“ das Vorhandensein von Ausweichverfahren bei einem Ausfall eines Verfahrens. | | ; Zweck |
| | Ermittlung, welcher Schutz für die Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist |
| | * Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet |
| | * die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können |
|
| |
|
| === Beispiel ===
| | ; Realistische Einschätzung |
| Für das Beispielunternehmen, die RECPLAST , wurde bezüglich der Schadensszenarien „finanzielle Auswirkungen“ und „Beeinträchtigung der Aufgabenerfüllung“ folgendes festgelegt:
| | Wichtig ist dabei auch eine realistische Einschätzung der möglichen Folgeschäden |
| | * Bewährt hat sich eine Einteilung in die drei Schutzbedarfskategorien „normal“, „hoch“ und „sehr hoch“<ref>https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/BSI-Standard_1003.pdf?__blob=publicationFile</ref> |
| | * Bei der Vertraulichkeit wird häufig auch „öffentlich“, „intern“ und „geheim“ verwendet |
|
| |
|
| Normaler Schutzbedarf:
| | ; Schutzbedarf für Server |
| * „Der mögliche finanzielle Schaden ist kleiner als 50.000 Euro.“ | | Der Schutzbedarf für einen Server richtet sich nach den Anwendungen, die auf ihm laufen |
| * „Die Abläufe bei RECPLAST werden allenfalls unerheblich beeinträchtigt. Ausfallzeiten von mehr als 24 Stunden können hingenommen werden.“
| | * Hierbei ist zu beachten, dass auf einem IT-System mehrere IT-Anwendungen laufen können, wobei die Anwendung mit dem höchsten Schutzbedarf die Schutzbedarfskategorie des IT-Systems bestimmt (sogenanntes [[Maximumprinzip]]) |
|
| |
|
| Hoher Schutzbedarf:
| | Es kann sein, dass mehrere Anwendungen auf einem Server laufen, die einen niedrigen Schutzbedarf haben – mehr oder weniger unwichtige Anwendungen |
| * „Der mögliche finanzielle Schaden liegt zwischen 50.000 und 500.000 Euro.“ | | * In ihrer Summe sind diese Anwendungen jedoch mit einem höheren Schutz zu versehen ([[Kumulationseffekt]]) |
| * „Die Abläufe bei RECPLAST werden erheblich beeinträchtigt. Ausfallzeiten dürfen maximal 24 Stunden betragen.“
| |
|
| |
|
| Sehr hoher Schutzbedarf:
| | Umgekehrt ist es denkbar, dass eine IT-Anwendung mit hohem Schutzbedarf diesen nicht automatisch auf das IT-System überträgt, da dieses redundant ausgelegt ist oder da auf diesem nur unwesentliche Teile laufen ([[Verteilungseffekt]]) |
| * „Der mögliche finanzielle Schaden liegt über 500.000 Euro.“ | | * Dies ist z. B. bei Clustern der Fall |
| * „Die Abläufe bei RECPLAST werden so stark beeinträchtigt, dass Ausfallzeiten, die über zwei Stunden hinausgehen, nicht toleriert werden können.“
| |
|
| |
|
| == Vorgehen und Vererbung == | | === Vorgehen und Vererbung === |
| Die Objekte im Informationsverbund werden eingesetzt, um Geschäftsprozesse und Anwendungen zu unterstützen. Daher hängt der Schutzbedarf eines Objekts vom Schutzbedarf derjenigen Geschäftsprozesse und Informationen ab, für deren Bearbeitung es benötigt wird.
| | ; Objekte im Informationsverbund werden eingesetzt, um Geschäftsprozesse und Anwendungen zu unterstützen |
| | * Daher hängt der Schutzbedarf eines Objekts vom Schutzbedarf derjenigen Geschäftsprozesse und Informationen ab, für deren Bearbeitung es benötigt wird |
|
| |
|
| Zunächst wird deshalb der Schutzbedarf der Geschäftsprozesse und zugehörigen Informationen bestimmt. Deren Schutzbedarf vererbt sich auf den der Anwendungen, Systeme, Räume und Kommunikationsverbindungen. | | ; Zunächst wird deshalb der Schutzbedarf der Geschäftsprozesse und zugehörigen Informationen bestimmt |
| | * Deren Schutzbedarf vererbt sich auf den der Anwendungen, Systeme, Räume und Kommunikationsverbindungen |
|
| |
|
| Bei der '''Vererbung '''lassen sich, am Beispiel von Systemen veranschaulicht, '''folgende Fälle''' unterscheiden:
| | ; Vererbung |
| * In vielen Fällen lässt sich der höchste Schutzbedarf aller Anwendungen, die das System benötigen, übernehmen ('''Maximumprinzip''').
| | * Es lassen sich, folgende Fälle unterscheiden |
| * Wenn eine Anwendung auf die Ergebnisse einer anderen Anwendung angewiesen ist, überträgt sich ihr Schutzbedarf auf diese liefernde Anwendung. Werden diese beiden Anwendungen auf verschiedenen Systemen ausgeführt, dann muss auch der Schutzbedarf des einen auf das liefernde System übertragen werden '''(Betrachtung von Abhängigkeiten)'''.
| |
| * Der Schutzbedarf des Systems kann höher sein als der Schutzbedarf der einzelnen Anwendungen ('''Kumulationseffekt'''). Dies ist der Fall, wenn auf einem Server mehrere Anwendungen mit normalem Schutzbedarf betrieben werden. Der Ausfall einer dieser Anwendungen könnte überbrückt werden. Wenn aber alle Anwendungen gleichzeitig ausfallen, kann ein hoher Schaden entstehen.
| |
|
| |
|
| # Der Schutzbedarf kann niedriger sein als der Schutzbedarf der zugeordneten Anwendungen, wenn eine Anwendung mit hohem Schutzbedarf auf mehrere Systeme verteilt ist und auf dem betreffenden System nur weniger wichtige Teile dieser Anwendung ausgeführt werden ('''Verteilungseffekt'''). Bei Anwendungen, die personenbezogene Daten verarbeiten, sind Komponenten weniger kritisch, in denen die Daten nur in pseudonymisierter Form verwendet werden.
| | ; Beispiel: Systeme |
| | | {| class="wikitable big options" |
| == Schutzbedarfsfeststellung ==
| | |- |
| == Prozesse und Anwendungen ==
| | ! Option !! Beschreibung |
| [[Image:Abb_4_04_Schritt1.png?__blob=normal&v=1Bild2.png|top|alt="Reihenfolge bei der Schutzbedarfsfeststellung - der nachfolgend beschriebene Schritt ist hervorgehoben."]]
| | |- |
| | | | Maximumprinzip || In vielen Fällen lässt sich der höchste Schutzbedarf aller Anwendungen, die das System benötigen, übernehmen |
| Um die Schäden einzuschätzen, die aus Verletzungen der Integrität, Vertraulichkeit oder Verfügbarkeit bei den Prozessen und Anwendungen entstehen können, sollten Sie '''aus Sicht der Anwender''' realistische Schadensszenarien entwickeln.
| | * Wenn eine Anwendung auf die Ergebnisse einer anderen Anwendung angewiesen ist, überträgt sich ihr Schutzbedarf auf diese liefernde Anwendung |
| | | * Werden diese beiden Anwendungen auf verschiedenen Systemen ausgeführt, dann muss auch der Schutzbedarf des einen auf das liefernde System übertragen werden '''(Betrachtung von Abhängigkeiten)''' |
| Dabei kann es Ihnen helfen, '''„Was wäre wenn ...?“-Fragen''' zu jedem Schadensszenario zu formulieren, was wäre, wenn geheime Geschäftsdaten aus der Anwendung „Finanzbuchhaltung“ bekannt würden?
| | |- |
| * Gegen welche Gesetze oder Vorschriften wird verstoßen? Welche rechtlichen Konsequenzen oder Sanktionen können mit dem Vorfall verbunden sein?
| | | Kumulationseffekt || Der Schutzbedarf des Systems kann höher sein als der Schutzbedarf der einzelnen Anwendungen |
| * Gibt es Personen, deren informationelles Selbstbestimmungsrecht beeinträchtigt wird? Wenn ja, mit welchen Folgen?
| | * Dies ist der Fall, wenn auf einem Server mehrere Anwendungen mit normalem Schutzbedarf betrieben werden |
| * Wie stark werden Abläufe in der Firma behindert?
| | * Der Ausfall einer dieser Anwendungen könnte überbrückt werden. Wenn aber alle Anwendungen gleichzeitig ausfallen, kann ein hoher Schaden entstehen |
| * Droht ein Image-Schaden und mit welchen Folgen wäre er verbunden?
| | |- |
| * Kann dieser Vorfall finanzielle Auswirkungen haben und falls ja, in welcher Höhe?
| | | Verteilungseffekt || Der Schutzbedarf kann niedriger sein als der Schutzbedarf der zugeordneten Anwendungen, wenn eine Anwendung mit hohem Schutzbedarf auf mehrere Systeme verteilt ist und auf dem betreffenden System nur weniger wichtige Teile dieser Anwendung ausgeführt werden |
| | | * Bei Anwendungen, die personenbezogene Daten verarbeiten, sind Komponenten weniger kritisch, in denen die Daten nur in pseudonymisierter Form verwendet werden |
| Im Anhang des [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.html -Standards 200-2] finden Sie zu jedem Schadensszenario beispielhafte Fragestellungen, die Sie für Ihre Schutzbedarfsfeststellung anpassen und eventuell ergänzen können.
| |
| | |
| Im nächsten Schritt beantworten Sie für alle Anwendungen, die Sie in der Strukturanalyse erfasst haben, die zu den Schadensszenarien entwickelten Fragen und schätzen so den Schutzbedarf der Anwendungen im Hinblick auf die drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit ein.
| |
| | |
| Bei der Abschätzung des Schadens sollten Sie unbedingt die Verantwortlichen und die Benutzer der Anwendung einbeziehen. Diese wissen meist sehr genau, welche Schäden bei falschen Daten oder bei einem Ausfall einer Anwendung auftreten. Es ist trotzdem möglich, dass der Schutzbedarf innerhalb der Projektgruppe oder von befragten Mitarbeitern unterschiedlich eingeschätzt wird. Falls kein Konsens erzielt werden kann, muss das Management entscheiden.
| |
| | |
| Wichtig ist, dass Sie die Schutzbedarfsfeststellungen begründen und zwar so ausführlich, dass die getroffenen Entscheidungen auch von anderen Personen (z. B. der Leitung) und zu späteren Zeitpunkten nachvollzogen und gegebenenfalls auch korrigiert werden können. So können Geschäftsführung, Benutzer und Abteilungsleiter durchaus unterschiedlicher Auffassung darüber sein, wie wichtig eine Anwendung für die Geschäftsvorgänge ist.
| |
| | |
| Nachfolgend als Beispiel die Schutzbedarfsfeststellung für einige Anwendungen der RECPLAST .
| |
| | |
| ; Schutzbedarfsfeststellung für Anwendungen
| |
| {| class="wikitable options"
| |
| |-
| |
| ! | Bezeichnung und Beschreibung
| |
| ! | Schutzziel und Schutzbedarf
| |
| ! | Begründung
| |
| |-
| |
| || A001 Textverarbeitung, Präsentation, Tabellenkalkulation
| |
| || Vertraulichkeit:'''normal'''
| |
| || Die Office-Anwendung selbst enthält keine Informationen | |
| |- | |
| || Integrität:'''normal''' | |
| || Die Office-Anwendung selbst enthält keine Informationen
| |
| |-
| |
| || Verfügbarkeit:'''normal'''
| |
| || Die Anwendung ist lokal installiert; eine Neuinstallation ist schnell möglich. Die Lizenzen sind sicher verwahrt. Eine Ausfallzeit von 24 Stunden oder mehr ist akzeptabel.
| |
| |-
| |
| || A002 Lotus Notes
| |
| || Vertraulichkeit:'''hoch'''
| |
| || Es werden Mails mit vertraulichem Inhalt bearbeitet; die Informationen über Geschäftskontakte und Treffen mit Partnern oder Kunden sind vertraulich.
| |
| |- | |
| || Integrität:'''normal''' | |
| || Fehlerhafte Daten können in der Regel leicht erkannt werden. | |
| |-
| |
| || Verfügbarkeit:'''sehr hoch'''
| |
| || Mails, Kontaktdaten und Terminvereinbarungen sind wesentlich für die Geschäftsvorgänge. Ein Ausfall von mehr als 2 Stunden kann nicht hingenommen werden.
| |
| |-
| |
| || A010 Active Directory
| |
| || Vertraulichkeit:'''normal'''
| |
| || Passwörter sind verschlüsselt gespeichert und damit praktisch nicht zugänglich
| |
| |-
| |
| || Integrität:'''hoch'''
| |
| || Alle Mitarbeiter identifizieren sich mit Passwörtern, daher ist der Schutzbedarf hoch.
| |
| |-
| |
| || Verfügbarkeit:'''sehr''' '''hoch'''
| |
| || Bei Ausfall des Authentisierungssystems können Mitarbeiter sich nicht identifizieren; eine Ausführung von -Verfahren ist dann nicht möglich. Ein Ausfall von mehr als 2 Stunden ist nicht tolerabel.
| |
| |} | | |} |
|
| |
|
| == Systeme == | | === Zielobjekte === |
| [[Image:Abb_4_05_Schritt2.png?__blob=normal&v=1Bild4.png|top|alt="Reihenfolge bei der Schutzbedarfsfeststellung - der nachfolgend beschriebene Schritt ist hervorgehoben."]]
| | {| class="wikitable big options" |
| | | |- |
| Systeme werden eingesetzt, um Anwendungen zu unterstützen. Der Schutzbedarf eines Systems hängt damit im Wesentlichen von dem Schutzbedarf derjenigen Anwendungen ab, für deren Ausführung es benötigt wird. Der Schutzbedarf der Anwendung vererbt sich wie oben beschrieben auf den Schutzbedarf des Systems.
| | ! Zielobjekt !! Beschreibung |
| | | |- |
| Nachfolgend einige Hinweise zu speziellen Typen von Systemen
| | | [[IT-Grundschutz/Schutzbedarf/Geschäftsprozesse]] || |
| * In '''virtualisierten Infrastrukturen''' werden in der Regel mehrere Systeme auf einem Virtualisierungsserver betrieben. Der Schutzbedarf der einzelnen virtuellen Systeme ergibt sich aus dem der Anwendungen, der des Virtualisierungsservers ergibt sich daraus zunächst nach dem Maximumprinzip. Wenn aber mehrere Schäden zu einem höheren Gesamtschaden führen können, kann sich der Schutzbedarf des Virtualisierungsservers durch Kumulation erhöhen. Für das Schutzziel Verfügbarkeit gilt: Wenn durch Konzepte der Virtualisierung Redundanzen geschaffen werden, kann wegen des Verteilungseffekts der Schutzbedarf des Virtualisierungsservers wieder gesenkt werden.
| | |- |
| * Den Schutzbedarf von '''-Komponenten''' sollten Sie gemeinsam mit den Anlagenverantwortlichen auf Grundlage des Anwendungszwecks festlegen. Dabei kann es sinnvoll sein, die Definition der Schutzbedarfskategorien an die besonderen Bedingungen einer Produktionsumgebung anzupassen.
| | | [[IT-Grundschutz/Schutzbedarf/Anwendungen]] || |
| * Für '''sonstige Geräte''' (z. B. aus dem Bereich Internet of Things) müssen Sie zunächst feststellen, für welche Geschäftsprozesse und Anwendungen sie eingesetzt werden. Zur Ermittlung des Schutzbedarfs eines Geräts betrachten Sie den möglichen Schaden für den jeweiligen Geschäftsprozess. Sie sollten nur Geräte erfassen, die einen nennenswerten Einfluss auf die Informationssicherheit haben, und sie möglichst zu Gruppen zusammenfassen.
| | |- |
| | | | [[IT-Grundschutz/Schutzbedarf/Systeme]] || |
| Auch der Schutzbedarf für die Systeme sollte für jeden der drei Grundwerte (Vertraulichkeit, Integrität und Verfügbarkeit) festgelegt und anschließend tabellarisch dokumentiert werden. Ein Beispiel:
| |
| | |
| ; Schutzbedarfsfeststellung für Systeme
| |
| {| class="wikitable options" | |
| |- | |
| ! | Bezeichnung und Beschreibung | |
| ! | Schutzziel und Schutzbedarf | |
| ! | Begründung | |
| |- | |
| || S007 Virtualisierungsserver | |
| || Vertraulichkeit:'''hoch'''
| |
| || ''Maximumprinzip'':Der Domain Controller beinhaltet das Active Directory und damit die Anmeldeinformationen aller Mitarbeiter.
| |
| |-
| |
| || Integrität:'''hoch'''
| |
| || ''Maximumprinzip'':Der Dateiserver verwaltet Dateien, deren Korrektheit für den Geschäftsbetrieb sichergestellt sein muss.
| |
| |-
| |
| || Verfügbarkeit:'''hoch'''
| |
| || ''Kumulationseffekt'':Sowohl der Domain Controller als auch der Dateiserver haben jeder (sehr) hohe Verfügbarkeitsanforderungen. Daraus ergibt sich für den Virtualisierungsserver ein sehr hoher Schutzbedarf.Alle virtualisierten Systeme können aber innerhalb kurzer Zeit auf dem anderen Virtualisierungsserver zur Verfügung gestellt werden. Durch diesen ''Verteilungseffekt'' reduziert sich der Schutzbedarf auf ein nur noch hohes Niveau.
| |
| |- | |
| || N001 Internet-Router | |
| || Vertraulichkeit:'''hoch'''
| |
| || Es werden auch vertrauliche Informationen über die Internet-Anbindung übertragen, wenn ein Kunde oder Geschäftspartner eine verschlüsselte Kommunikation nicht unterstützt. | |
| |- | |
| || Integrität:'''normal'''
| |
| || Fehlerhafte Daten können in der Regel leicht erkannt werden. | |
| |- | |
| || Verfügbarkeit:'''normal''' | |
| || Ein Ausfall der Internet-Anbindung kann für 24 Stunden toleriert werden.
| |
| |-
| |
| || N002 Firewall
| |
| || Vertraulichkeit:'''hoch'''
| |
| || Es werden auch vertrauliche Informationen über die Internet-Anbindung übertragen, wenn ein Kunde oder Geschäftspartner eine verschlüsselte Kommunikation nicht unterstützt. Außerdem werden die verschlüsselten Verbindungen zu den Vertriebsbüros über die Firewall abgewickelt.
| |
| |-
| |
| || Integrität:'''normal'''
| |
| || Fehlerhafte Daten können in der Regel leicht erkannt werden.
| |
| |-
| |
| || Verfügbarkeit:'''normal'''
| |
| || Ein Ausfall der Internet-Anbindung kann für 24 Stunden toleriert werden.
| |
| |-
| |
| || S200 Alarmanlagen
| |
| || Vertraulichkeit:'''normal'''
| |
| || Die Alarmanlagen verarbeiten keine vertraulichen Informationen.
| |
| |-
| |
| || Integrität:'''sehr''' '''hoch'''
| |
| || Das korrekte Funktionieren der Alarmanlagen ist für die Sicherheit der Gebäude sehr wichtig.
| |
| |-
| |
| || Verfügbarkeit:'''sehr''' '''hoch'''
| |
| || Das korrekte Funktionieren der Alarmanlagen ist für die Sicherheit der Gebäude sehr wichtig. | |
| |- | | |- |
| |} | | | [[IT-Grundschutz/Schutzbedarf/Kommunikationsverbindungen]] || |
| | |
| == Räume ==
| |
| [[Image:Abb_4_06_Schritt3.png?__blob=normal&v=1Bild6.png|top|alt="Reihenfolge bei der Schutzbedarfsfeststellung - der nachfolgend beschriebene Schritt ist hervorgehoben."]] | |
| | |
| Bei der Schutzbedarfsfeststellung für Räume berücksichtigen Sie alle Räume und Liegenschaften, die Sie zuvor in der Strukturanalyse identifiziert haben und die für die Informationen, Anwendungen und Systeme des betrachteten Informationsverbundes relevant sind.
| |
| | |
| Auch hier sind wieder Vererbungsprinzipien zu berücksichtigen. Der Schutzbedarf eines Raums bemisst sich nach dem Schutzbedarf der Systeme, die sich in ihm befinden, sowie der Informationen und Datenträger, die in ihm verarbeitet und gelagert werden. Folglich können Sie (wie schon bei der Schutzbedarfsfeststellung der Systeme) in den meisten Fällen wieder das Maximumprinzip anwenden. Unter Umständen ergibt sich aus der Vielzahl an Objekten, die sich in einem Raum befinden, jedoch ein höherer Schutzbedarf in einem Grundwert als für jedes einzelne Objekt (Kumulationseffekt). Dies kann z. B. für Räume gelten, in denen sich gespiegelte Server mit jeweils normalen Verfügbarkeitsanforderungen befinden, bei Ausfall eines Servers gibt es ja noch einen zweiten, während von einem Ausfall des Raums (zum Beispiel aufgrund eines Brandes) beide Server betroffen sind. Dies gilt nicht, wenn sich die beiden Server in unterschiedlichen Räumen oder sogar Gebäuden befinden.
| |
| | |
| === Beispiel ===
| |
| Die folgende Tabelle gibt ein Beispiel für die Dokumentation der Schutzbedarfsfeststellung für die Räume der RECPLAST .
| |
| | |
| ;Schutzbedarfsfeststellung für Räume
| |
| {| class="wikitable options"
| |
| |-
| |
| ! | Raum
| |
| ! |
| |
| ! | Schutzbedarf
| |
| !colspan="4" | |
| |
| |-
| |
| ! | Bezeich-nung
| |
| ! | Art
| |
| ! | Lokation
| |
| ! | System
| |
| ! | Vertraulich-keit
| |
| ! | Integrität
| |
| ! | Verfügbar-keit
| |
| |-
| |
| || BG, R. 1.01
| |
| || Technikraum
| |
| || GB1
| |
| || -Anlage T1
| |
| || normal
| |
| || normal
| |
| || Hoch
| |
| |-
| |
| || BG, R. 1.02
| |
| || Serverraum
| |
| || GB1
| |
| || N001 bis N004S001 bis S007
| |
| || Hoch
| |
| || Hoch
| |
| || Hoch
| |
| |-
| |
| || Beuel, R. 2.01
| |
| || Serverraum
| |
| || GB2
| |
| || N004, S003,S007, S040
| |
| || Hoch
| |
| || Hoch
| |
| || Hoch
| |
| |-
| |
| || Beuel, R. 2.10-2.15
| |
| || Büroraum
| |
| || GB2
| |
| || A002, L007
| |
| || Hoch
| |
| | colspan="2" | | |
| |- | | |- |
| |} | | | [[IT-Grundschutz/Schutzbedarf/Netzwerke]] || |
| | |
| == Kommunikationsverbindungen ==
| |
| [[Image:Abb_4_07_Schritt4.png?__blob=normal&v=1Bild5.png|top|alt="Reihenfolge bei der Schutzbedarfsfeststellung - der nachfolgend beschriebene Schritt ist hervorgehoben."]] | |
| | |
| Im nächsten Arbeitsschritt müssen Sie den Schutzbedarf für die Kommunikationsverbindungen feststellen. Es gibt Verbindungen, die gefährdeter sind als andere und durch doppelte Auslegung oder durch besondere Maßnahmen gegen Angriffe von außen oder innen geschützt werden müssen.
| |
| | |
| === Kritische Verbindungen ===
| |
| Sie sollten folgende '''Verbindungen''' als '''kritisch''' einstufen:
| |
| * Verbindungen, die aus dem Unternehmen oder der Behörde '''in ein öffentliches Netz''' ( Telefonnetz, Internet) oder '''über ein öffentliches Gelände''' reichen. Über solche Verbindungen können Schadprogramme in das Datennetz der Institution eingeschleust werden, Server der Institution angegriffen werden oder Mitarbeiter vertrauliche Daten an Unbefugte weiterleiten.
| |
| * Verbindungen, über die besonders '''schützenswerte Informationen''' übertragen werden. Mögliche Gefährdungen sind Abhören, vorsätzliche Manipulation und betrügerischer Missbrauch. Vom Ausfall solcher Verbindungen sind Anwendungen, für die eine hohe Verfügbarkeit erforderlich ist, besonders betroffen.
| |
| * Verbindungen, über die vertrauliche Informationen '''nicht übertragen werden dürfen'''. Personaldaten dürfen zum Beispiel nur von Mitarbeitern der Personalabteilung und der Geschäftsführung eingesehen und bearbeitet werden. Daher muss verhindert werden, dass diese Daten bei ihrer Übertragung von unbefugten Mitarbeitern eingesehen werden können.
| |
| | |
| | |
| In Ihrer Dokumentation sollten Sie die kritischen Verbindungen durch Hervorhebung im Netzplan oder eine tabellarische Zusammenstellung gesondert ausweisen.
| |
| | |
| === Beispiele für kritische Verbindungen ===
| |
| Die folgende Tabelle veranschaulicht am Beispiel der RECPLAST , wie kritische Verbindungen dokumentiert werden können.
| |
| | |
| ; Kritische Verbindungen
| |
| {| class="wikitable options"
| |
| |-
| |
| ! | Verbindung
| |
| ! | Vertraulichkeit
| |
| ! | Integrität
| |
| ! | Verfügbarkeit
| |
| |-
| |
| || K001: Firmennetz – Internet
| |
| || '''Hoch:'''Vertrauliche Informationen können z. B. an den Wettbewerb gelangen
| |
| || '''Hoch:'''Falsche Informationen können den Ruf schädigen.
| |
| || '''Hoch:'''Ohne diese Außenverbindung kann keine Kommunikation stattfinden.
| |
| |-
| |
| || K002: StandleitungBad Godesberg – Beuel
| |
| || '''Hoch:'''Interne Informationen müssen vertraulich übertragen werden.
| |
| || '''Normal:'''Verfälschung von Informationen ist nur mit hohem Aufwand möglich.
| |
| || '''Hoch:'''Die Verbindung ist zur Übermittlung der Aufträge an die Produktion unbedingt erforderlich.
| |
| |-
| |
| || K011: Anbindung der Arbeitsplätze der Geschäftsführung
| |
| || '''Hoch:'''Die Geschäftsführung bearbeitet vertrauliche Korrespondenz
| |
| || '''Normal:'''Verfälschung von Informationen ist nur mit hohem Aufwand möglich.
| |
| || '''Hoch:'''Die Verbindung ist zum Kontakt mit Geschäftspartnern unbedingt erforderlich.
| |
| |-
| |
| || K012: Anbindung der Arbeitsplätze der Personalabteilung
| |
| || '''Hoch:'''Die Personalabteilung arbeitet mit personenbezogenen Daten.
| |
| || '''Normal:'''Verfälschung von Informationen ist nur mit hohem Aufwand möglich.
| |
| || '''Normal:'''Die Arbeiten sind nicht zeitkritisch. Ein Ausfall von 24 Stunden oder länger ist akzeptabel.
| |
| |-
| |
| || K013: Anbindung der Entwickler-Arbeitsplätze
| |
| || '''Hoch:'''Die Ergebnisse der Arbeit sind geheim zu halten.
| |
| || '''Normal:'''Verfälschung von Informationen ist nur mit hohem Aufwand möglich.
| |
| || '''Normal:'''Die Arbeiten sind nicht zeitkritisch. Ein Ausfall von 24 Stunden oder länger ist akzeptabel. | |
| |- | | |- |
| | | [[IT-Grundschutz/Schutzbedarf/Räume]] || |
| |} | | |} |
|
| |
| == Test ==
| |
| Wenn Sie möchten, können Sie mit den nachfolgenden Fragen Ihre Kenntnisse zur Schutzbedarfsfeststellung überprüfen.
| |
|
| |
| Es können mehrere Antwortmöglichkeiten zutreffend sein.
| |
|
| |
| === Frage 1: ===
| |
| Welche klassischen Schutzziele werden bei der Schutzbedarfsfeststellung gemäß -Grundschutz empfohlen?
| |
| # Authentizität
| |
| # Verfügbarkeit '''[richtig]'''
| |
| # Vertraulichkeit '''[richtig]'''
| |
| # Integrität '''[richtig]'''
| |
|
| |
| === Frage 2: ===
| |
| In welchen Fällen können Sie gemäß -Grundschutz-Methodik auf die Schutzbedarfsfeststellung für ein System verzichten?
| |
| # wenn das System spätestens innerhalb von 18 Monaten ausgesondert wird
| |
| # wenn das System nicht eingesetzt wird '''[richtig]'''
| |
| # wenn die Anwendungen, die es unterstützt, nur einen normalen Schutzbedarf haben
| |
| # wenn der Schutzbedarf bereits im Rahmen einer vor einem Jahr durchgeführten Revision festgestellt wurde
| |
|
| |
| === Frage 3: ===
| |
| Welche Kriterien berücksichtigen Sie bei der Bestimmung des Bedarfs an Verfügbarkeit eines Systems?
| |
| # die maximal tolerierbare Ausfallzeit des Systems '''[richtig]'''
| |
| # den Aufwand, der erforderlich ist, um das System nach einer Beschädigung wiederherzustellen
| |
| # die Anzahl der Benutzer des Systems
| |
| # die Anschaffungskosten des Systems
| |
|
| |
| === Frage 4: ===
| |
| Was berücksichtigen Sie, wenn Sie den Schutzbedarf einer Anwendung bestimmen?
| |
| # die Informationen, die im Zusammenhang mit der Anwendung verwendet werden '''[richtig]'''
| |
| # die Bedeutung der Anwendung für die Geschäftsprozesse oder Fachaufgaben '''[richtig]'''
| |
| # die relevanten Gefährdungen, denen die Anwendung ausgesetzt ist
| |
| # die räumliche Umgebung des Systems, das die Anwendung bereitstellt
| |
|
| |
| === Frage 5: ===
| |
| Unter welchen Bedingungen kann der Schutzbedarf eines Systems bezüglich Verfügbarkeit geringer sein als derjenige der Anwendungen, für die es eingesetzt wird?
| |
| # wenn der Buchwert des Systems einen zuvor definierten Schwellwert unterschreitet
| |
| # wenn das System nur solche Teile der Anwendungen bedient, die einen geringeren Schutzbedarf haben '''[richtig]'''
| |
| # wenn mindestens ein weiteres redundantes System in Betrieb ist, das die betreffenden Anwendungen bereitstellen kann '''[richtig]'''
| |
| # wenn die Anwendungen innerhalb der nächsten drei Monate so umstrukturiert werden sollen, dass das betreffende System nicht mehr benötigt wird
| |
|
| |
| === Frage 6: ===
| |
| Wenn bei der Schutzbedarfsfeststellung für ein System Kumulationseffekte berücksichtigt werden, bedeutet dies, dass …
| |
| # … sich der Schutzbedarf des Systems erhöht, weil sich Einzelschäden zu einem höheren Gesamtschaden addieren. '''[richtig]'''
| |
| # … sich der Schutzbedarf des Systems verringert, weil geeignete, sich gegenseitig verstärkende Sicherheitsmaßnahmen im Einsatz sind.
| |
| # … sich der für das System festgestellte Schutzbedarf auch auf den Schutzbedarf anderer Systeme auswirkt, die mit dem betreffenden System vernetzt sind.
| |
| # '''…''' der Schutzbedarf des Systems erst festgestellt werden kann, wenn der Schutzbedarf der mit diesem vernetzten Systeme festgestellt ist.
| |
|
| |
|
| <noinclude> | | <noinclude> |
Zeile 358: |
Zeile 158: |
| === Siehe auch === | | === Siehe auch === |
| {{Special:PrefixIndex/{{BASEPAGENAME}}}} | | {{Special:PrefixIndex/{{BASEPAGENAME}}}} |
| ==== Dokumentation ====
| | |
| ==== Links ==== | | ==== Links ==== |
| ===== Projekt =====
| |
| ===== Weblinks ===== | | ===== Weblinks ===== |
|
| |
|
| [[Kategorie:Grundschutz/Schutzbedarf]] | | [[Kategorie:IT-Grundschutz/Schutzbedarf]] |
| </noinclude> | | </noinclude> |