IT-Grundschutz/Schutzbedarf: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „[[Grundschutz“ durch „[[IT-Grundschutz“
 
(71 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' - Kurzbeschreibung
'''IT-Grundschutz/Schutzbedarf''' - Festlegung der Sicherheitsanforderungen
== Schutzbedarfsfeststellung ==
; Wie viel Schutz benötigen der Informationsverbund und seine Zielobjekte?
* Wie kommen Sie zu begründeten und nachvollziehbaren Einschätzungen des Schutzbedarfs?
* Welche Zielobjekte benötigen mehr Sicherheit, bei welchen genügt es, Standard-Anforderungen zu erfüllen?


; Ziel der Schutzbedarfsfeststellung ist es, diese Fragen zu klären
=== Beschreibung ===
*  und damit die Festlegung der Sicherheitsanforderungen und die Auswahl angemessener Sicherheitsmaßnahmen für die einzelnen Zielobjekte des betrachteten Informationsverbundes zu steuern.
; Ziele
Festlegung der Sicherheitsanforderungen
* Grundlage für die Auswahl angemessener Sicherheitsmaßnahmen


; Arbeitsschritte
=== Schutzbedarf für Zielobjekte ===
* Mithilfe von Schadensszenarien die Schutzbedarfskategorien definieren
Begründete und nachvollziehbare Einschätzung des Schutzbedarfs
* Sinnvolle Reihenfolge
** den Schutzbedarf für die verschiedenen Zielobjekt-Typen eines Informationsverbundes feststellen,
* Abhängigkeiten
* wie sich Abhängigkeiten zwischen den Zielobjekten auf die Ergebnisse der Schutzbedarfsfeststellung auswirken sowie
* Schlussfolgerungen
* welche Schlussfolgerungen aus den Ergebnissen der Schutzbedarfsfeststellung gezogen werden können.


; Basis-Absicherung
Welche [[Zielobjekt]]e
Bei der Basis-Absicherung sind für den betrachteten Informationsverbund nur die Basis-Anforderungen verpflichtend.
* Benötigen mehr Sicherheit?
* Daher ist eine Schutzbedarfsfeststellung bei dieser Variante der -Grundschutz-Methodik nicht erforderlich.
* Bei welchen genügen die Standard-Anforderungen?


== Grundlegende Definitionen ==
=== Arbeitsschritte ===
; Bei der Schutzbedarfsfeststellung ist danach zu fragen,
{| class="wikitable options col1center big"
* welcher Schaden entstehen kann, wenn für ein Zielobjekt
|-
* die '''Grundwerte''' Vertraulichkeit, Integrität oder Verfügbarkeit verletzt werden.
! Schritt !! Titel || Beschreibung
|-
| 1 || Definitionen || Schadensszenarien und Schutzbedarfskategorien festlegen
|-
| 2 || Schutzbedarf festlegen || Schutzbedarf Zielobjekte ermitteln/festlegen
|-
| 3 || Abhängigkeiten berücksichtigen || Auswirkung von Abhängigkeiten zwischen den Zielobjekten auf die Ergebnisse der Schutzbedarfsfeststellung
|-
| 4 || Schlussfolgerungen || Schlussfolgerungen aus den Ergebnissen der Schutzbedarfsfeststellung
|}


; Dies wäre der Fall, wenn
=== Basis-Absicherung ===
* vertrauliche Informationen unberechtigt zur Kenntnis genommen oder weitergegeben werden (Verletzung der '''Vertraulichkeit'''),
Schutzbedarfsfeststellung nicht erforderlich
* die Korrektheit der Informationen und der Funktionsweise von Systemen nicht mehr gegeben ist (Verletzung der '''Integrität'''),
* autorisierte Benutzer am Zugriff auf Informationen und Systeme behindert werden (Verletzung der '''Verfügbarkeit''').


; Der Schutzbedarf eines Objekts bezüglich eines dieser Grundwerte orientiert sich an dem Ausmaß des bei Verletzungen jeweils drohenden Schadens.
Bei der Basis-Absicherung sind für den Informationsverbund nur die Basis-Anforderungen verpflichtend
* Da dessen Höhe in der Regel vorab nicht genau bestimmt werden kann, sollten Sie eine für Ihren Anwendungszweck passende Anzahl von Kategorien definieren, anhand derer Sie den Schutzbedarf unterscheiden.
* Daher ist eine Schutzbedarfsfeststellung bei dieser Variante der IT-Grundschutz-Methodik nicht erforderlich


; Schutzbedarfskategorien
=== Fragen bei der Schutzbedarfsfeststellung ===
Die -Grundschutz-Methodik empfiehlt hierfür drei '''Schutzbedarfskategorien'''
Welcher Schaden kann entstehen, wenn für ein Zielobjekt die ''[[Grundwerte]]'' verletzt werden
* '''normal:''' Die Schadensauswirkungen sind begrenzt und überschaubar.
{| class="wikitable options"
* '''hoch''': Die Schadensauswirkungen können beträchtlich sein.
|-
* '''sehr hoch''': Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.
| [[Vertraulichkeit]] || Vertrauliche Informationen werden unberechtigt zur Kenntnis genommen oder weitergegeben
|-
| [[Integrität]] || Korrektheit der Informationen oder die Funktionsweise von Systemen ist nicht mehr gegeben
|-
| [[Verfügbarkeit]] || Autorisierte Benutzer werden am Zugriff auf Informationen und Systeme behindert
|}


; Schadensszenarien
=== Drohender Schaden ===
Der Schaden, der von einer Verletzung der Grundwerte ausgehen kann, kann sich auf verschiedene '''Schadensszenarien''' beziehen:
* Der Schutzbedarf eines Objekts bezüglich eines dieser Grundwerte orientiert sich an dem Ausmaß des bei Verletzungen jeweils drohenden Schadens
* Verstöße gegen Gesetze, Vorschriften oder Verträge,
* Da dessen Höhe in der Regel vorab nicht genau bestimmt werden kann, sollten Sie eine für Ihren Anwendungszweck passende Anzahl von Kategorien definieren, anhand derer Sie den Schutzbedarf unterscheiden
* Beeinträchtigungen des informationellen Selbstbestimmungsrechts,
* Beeinträchtigungen der persönlichen Unversehrtheit,
* Beeinträchtigungen der Aufgabenerfüllung,
* negative Innen- oder Außenwirkung oder
* finanzielle Auswirkungen.


; Bedeutung der Szenarien
=== Schutzbedarfskategorien ===
Wie wichtig ein Szenario jeweils ist, unterscheidet sich von Institution zu Institution.
Die IT-Grundschutz-Methodik empfiehlt hierfür drei '''Schutzbedarfskategorien'''
* Unternehmen schauen beispielsweise besonders intensiv auf die finanziellen Auswirkungen eines Schadens, da diese bei einer entsprechenden Höhe existenzgefährdend sein können.
{| class="wikitable options"
* Für eine Behörde kann es hingegen besonders wichtig sein, das öffentliche Ansehen zu wahren und daher negative Außenwirkungen zu vermeiden.
|-
! Schutzbedarfskategorie !! Beschreibung
|-
| normal || Schadensauswirkungen begrenzt und überschaubar
|-
| hoch || Schadensauswirkungen beträchtlich
|-
| sehr hoch || Schadensauswirkungen können existenzbedrohend sein, katastrophales Ausmaß
|}


== Schutzbedarfskategorien ==
=== Schadensszenarien ===
Wann hat ein Objekt einen normalen, wann einen hohen und wann einen sehr hohen Schutzbedarf?
Der Schaden, der von einer Verletzung der Grundwerte ausgehen kann, kann sich auf verschiedene Schadensszenarien beziehen
{| class="wikitable options"
|-
! Schadensszenario
|-
| Verstöße gegen Gesetze, Vorschriften oder Verträge
|-
| Beeinträchtigungen des informationellen Selbstbestimmungsrechts
|-
| Beeinträchtigungen der persönlichen Unversehrtheit
|-
| Beeinträchtigungen der Aufgabenerfüllung
|-
| negative Innen- oder Außenwirkung
|-
| finanzielle Auswirkungen
|}


Eine allgemeingültige Antwort auf diese Frage ist nicht bei allen Schadensszenarien möglich. Eine erste Abgrenzung der Kategorien finden Sie in Kapitel 8.2.1 des [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.html -Standards 200-2: -Grundschutz-Methodik]. Die dort angeführten, relativ allgemein gehaltenen Definitionen können Sie als Ausgangspunkt nehmen, an die besonderen Gegebenheiten Ihrer Institution anpassen und gegebenenfalls ergänzen.
; Bedeutung der Szenarien
Wie wichtig ein Szenario jeweils ist, unterscheidet sich von Institution zu Institution
* Unternehmen schauen beispielsweise besonders intensiv auf die finanziellen Auswirkungen eines Schadens, da diese bei einer entsprechenden Höhe existenzgefährdend sein können
* Für eine Behörde kann es hingegen besonders wichtig sein, das öffentliche Ansehen zu wahren und daher negative Außenwirkungen zu vermeiden


Beispielsweise finden Sie dort für die Schutzbedarfskategorie „normal“ und das Schadensszenario „Finanzielle Auswirkungen“ die Festlegung:
=== Schutzbedarfskategorien ===
{{:IT-Grundschutz/Schutzbedarf/Kategorien}}


„Der finanzielle Schaden bleibt für die Institution tolerabel.“
=== Schutzbedarfsfeststellung ===
; Zweck
Ermittlung, welcher Schutz für die Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist
* Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet
* die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können


Was aber heißt für ein Unternehmen „tolerabel“? Für ein sehr großes Unternehmen spielen einige Millionen Euro mehr oder weniger vielleicht keine große Rolle, kleinere und mittlere Unternehmen kann ein Schaden in dieser Höhe dagegen zur Insolvenz führen. Bei der Abgrenzung der Schadenskategorien müssen Sie also die Besonderheiten der betrachteten Institution berücksichtigen, zum Beispiel* in Bezug auf das Szenario „finanzielle Auswirkungen“ die Höhe des Umsatzes oder des Gewinns eines Unternehmens oder die Höhe des bewilligten Budgets einer Behörde,
; Realistische Einschätzung
* in Bezug auf das Szenario „Beeinträchtigung der Aufgabenerfüllung“ das Vorhandensein von Ausweichverfahren bei einem Ausfall eines Verfahrens.
Wichtig ist dabei auch eine realistische Einschätzung der möglichen Folgeschäden
* Bewährt hat sich eine Einteilung in die drei Schutzbedarfskategorien „normal“, „hoch“ und „sehr hoch“<ref>https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/BSI-Standard_1003.pdf?__blob=publicationFile</ref>
* Bei der Vertraulichkeit wird häufig auch „öffentlich“, „intern“ und „geheim“ verwendet


=== Beispiel ===
; Schutzbedarf für Server
Für das Beispielunternehmen, die RECPLAST , wurde bezüglich der Schadensszenarien „finanzielle Auswirkungen“ und „Beeinträchtigung der Aufgabenerfüllung“ folgendes festgelegt:
Der Schutzbedarf für einen Server richtet sich nach den Anwendungen, die auf ihm laufen
* Hierbei ist zu beachten, dass auf einem IT-System mehrere IT-Anwendungen laufen können, wobei die Anwendung mit dem höchsten Schutzbedarf die Schutzbedarfskategorie des IT-Systems bestimmt (sogenanntes [[Maximumprinzip]])


Normaler Schutzbedarf:
Es kann sein, dass mehrere Anwendungen auf einem Server laufen, die einen niedrigen Schutzbedarf haben – mehr oder weniger unwichtige Anwendungen
* „Der mögliche finanzielle Schaden ist kleiner als 50.000&nbsp;Euro.“
* In ihrer Summe sind diese Anwendungen jedoch mit einem höheren Schutz zu versehen ([[Kumulationseffekt]])
* „Die Abläufe bei RECPLAST werden allenfalls unerheblich beeinträchtigt. Ausfallzeiten von mehr als 24&nbsp;Stunden können hingenommen werden.“


Hoher Schutzbedarf:
Umgekehrt ist es denkbar, dass eine IT-Anwendung mit hohem Schutzbedarf diesen nicht automatisch auf das IT-System überträgt, da dieses redundant ausgelegt ist oder da auf diesem nur unwesentliche Teile laufen ([[Verteilungseffekt]])
* „Der mögliche finanzielle Schaden liegt zwischen 50.000 und 500.000&nbsp;Euro.
* Dies ist z.&nbsp;B.&nbsp;bei Clustern der Fall
* „Die Abläufe bei RECPLAST werden erheblich beeinträchtigt. Ausfallzeiten dürfen maximal 24&nbsp;Stunden betragen.“


Sehr hoher Schutzbedarf:
=== Vorgehen und Vererbung ===
* „Der mögliche finanzielle Schaden liegt über 500.000 Euro.“
; Objekte im Informationsverbund werden eingesetzt, um Geschäftsprozesse und Anwendungen zu unterstützen
* „Die Abläufe bei RECPLAST werden so stark beeinträchtigt, dass Ausfallzeiten, die über zwei Stunden hinausgehen, nicht toleriert werden können.“
* Daher hängt der Schutzbedarf eines Objekts vom Schutzbedarf derjenigen Geschäftsprozesse und Informationen ab, für deren Bearbeitung es benötigt wird


== Vorgehen und Vererbung ==
; Zunächst wird deshalb der Schutzbedarf der Geschäftsprozesse und zugehörigen Informationen bestimmt
* Die Objekte im Informationsverbund werden eingesetzt, um Geschäftsprozesse und Anwendungen zu unterstützen.
* Deren Schutzbedarf vererbt sich auf den der Anwendungen, Systeme, Räume und Kommunikationsverbindungen
* Daher hängt der Schutzbedarf eines Objekts vom Schutzbedarf derjenigen Geschäftsprozesse und Informationen ab, für deren Bearbeitung es benötigt wird.
 
; Zunächst wird deshalb der Schutzbedarf der Geschäftsprozesse und zugehörigen Informationen bestimmt.
* Deren Schutzbedarf vererbt sich auf den der Anwendungen, Systeme, Räume und Kommunikationsverbindungen.


; Vererbung
; Vererbung
* Es lassen sich, folgende Fälle unterscheiden
* Es lassen sich, folgende Fälle unterscheiden
Beispiel Systeme
 
{| class="wikitable sortable options"
; Beispiel: Systeme
{| class="wikitable big options"
|-
|-
! Option !! Beschreibung
! Option !! Beschreibung
|-
|-
| Maximumprinzip || In vielen Fällen lässt sich der höchste Schutzbedarf aller Anwendungen, die das System benötigen, übernehmen
| Maximumprinzip || In vielen Fällen lässt sich der höchste Schutzbedarf aller Anwendungen, die das System benötigen, übernehmen
* Wenn eine Anwendung auf die Ergebnisse einer anderen Anwendung angewiesen ist, überträgt sich ihr Schutzbedarf auf diese liefernde Anwendung.
* Wenn eine Anwendung auf die Ergebnisse einer anderen Anwendung angewiesen ist, überträgt sich ihr Schutzbedarf auf diese liefernde Anwendung
* Werden diese beiden Anwendungen auf verschiedenen Systemen ausgeführt, dann muss auch der Schutzbedarf des einen auf das liefernde System übertragen werden '''(Betrachtung von Abhängigkeiten)'''.
* Werden diese beiden Anwendungen auf verschiedenen Systemen ausgeführt, dann muss auch der Schutzbedarf des einen auf das liefernde System übertragen werden '''(Betrachtung von Abhängigkeiten)'''
|-
|-
| Kumulationseffekt || Der Schutzbedarf des Systems kann höher sein als der Schutzbedarf der einzelnen Anwendungen.
| Kumulationseffekt || Der Schutzbedarf des Systems kann höher sein als der Schutzbedarf der einzelnen Anwendungen
* Dies ist der Fall, wenn auf einem Server mehrere Anwendungen mit normalem Schutzbedarf betrieben werden.
* Dies ist der Fall, wenn auf einem Server mehrere Anwendungen mit normalem Schutzbedarf betrieben werden
* Der Ausfall einer dieser Anwendungen könnte überbrückt werden. Wenn aber alle Anwendungen gleichzeitig ausfallen, kann ein hoher Schaden entstehen.
* Der Ausfall einer dieser Anwendungen könnte überbrückt werden. Wenn aber alle Anwendungen gleichzeitig ausfallen, kann ein hoher Schaden entstehen
|-
|-
| Verteilungseffekt || Der Schutzbedarf kann niedriger sein als der Schutzbedarf der zugeordneten Anwendungen, wenn eine Anwendung mit hohem Schutzbedarf auf mehrere Systeme verteilt ist und auf dem betreffenden System nur weniger wichtige Teile dieser Anwendung ausgeführt werden.
| Verteilungseffekt || Der Schutzbedarf kann niedriger sein als der Schutzbedarf der zugeordneten Anwendungen, wenn eine Anwendung mit hohem Schutzbedarf auf mehrere Systeme verteilt ist und auf dem betreffenden System nur weniger wichtige Teile dieser Anwendung ausgeführt werden
* Bei Anwendungen, die personenbezogene Daten verarbeiten, sind Komponenten weniger kritisch, in denen die Daten nur in pseudonymisierter Form verwendet werden.
* Bei Anwendungen, die personenbezogene Daten verarbeiten, sind Komponenten weniger kritisch, in denen die Daten nur in pseudonymisierter Form verwendet werden
|}
|}


== Systeme ==
=== Zielobjekte ===
[[Grundschutz/Schutzbedarf/Systeme]]
{| class="wikitable big options"
 
|-
== Räume ==
! Zielobjekt !! Beschreibung
[[Grundschutz/Schutzbedarf/Räume]]
|-
 
| [[IT-Grundschutz/Schutzbedarf/Geschäftsprozesse]] ||
== Kommunikationsverbindungen ==
|-
[[Image:Abb_4_07_Schritt4.png?__blob=normal&v=1Bild5.png|top|alt="Reihenfolge bei der Schutzbedarfsfeststellung - der nachfolgend beschriebene Schritt ist hervorgehoben."]]
| [[IT-Grundschutz/Schutzbedarf/Anwendungen]] ||
 
|-
Im nächsten Arbeitsschritt müssen Sie den Schutzbedarf für die Kommunikationsverbindungen feststellen. Es gibt Verbindungen, die gefährdeter sind als andere und durch doppelte Auslegung oder durch besondere Maßnahmen gegen Angriffe von außen oder innen geschützt werden müssen.
| [[IT-Grundschutz/Schutzbedarf/Systeme]] ||
 
|-
=== Kritische Verbindungen ===
| [[IT-Grundschutz/Schutzbedarf/Kommunikationsverbindungen]] ||
Sie sollten folgende '''Verbindungen''' als '''kritisch''' einstufen:
|-
* Verbindungen, die aus dem Unternehmen oder der Behörde '''in ein öffentliches Netz''' ( Telefonnetz, Internet) oder '''über ein öffentliches Gelände''' reichen. Über solche Verbindungen können Schadprogramme in das Datennetz der Institution eingeschleust werden, Server der Institution angegriffen werden oder Mitarbeiter ver­trauliche Daten an Unbefugte weiterleiten.
| [[IT-Grundschutz/Schutzbedarf/Netzwerke]] ||
* Verbindungen, über die besonders '''schützenswerte Informationen''' übertragen werden. Mögliche Gefährdungen sind Abhören, vorsätzliche Manipulation und betrügerischer Missbrauch. Vom Ausfall solcher Verbindungen sind Anwendungen, für die eine hohe Verfügbarkeit erforderlich ist, besonders betroffen.
* Verbindungen, über die vertrauliche Informationen '''nicht übertragen werden dürfen'''. Personaldaten dürfen zum Beispiel nur von Mitarbeitern der Personalabteilung und der Geschäftsführung eingesehen und bearbeitet werden. Daher muss verhindert werden, dass diese Daten bei ihrer Übertragung von unbefugten Mitarbeitern eingesehen werden können.
 
 
In Ihrer Dokumentation sollten Sie die kritischen Verbindungen durch Hervorhebung im Netzplan oder eine tabellarische Zusammenstellung gesondert ausweisen.
 
=== Beispiele für kritische Verbindungen ===
Die folgende Tabelle veranschaulicht am Beispiel der RECPLAST , wie kritische Verbindungen dokumentiert werden können.
 
; Kritische Verbindungen
{| class="wikitable options"  
|-  
! | Verbindung
! | Vertraulichkeit
! | Integrität
! | Verfügbarkeit
|-  
|| K001: Firmennetz – Internet
|| '''Hoch:'''Vertrauliche Informationen können z.&nbsp;B.&nbsp;an den Wettbewerb gelangen
|| '''Hoch:'''Falsche Informationen können den Ruf schädigen.
|| '''Hoch:'''Ohne diese Außenverbindung kann keine Kommunikation stattfinden.
|-  
|| K002: StandleitungBad Godesberg – Beuel
|| '''Hoch:'''Interne Informationen müssen vertraulich übertragen werden.
|| '''Normal:'''Verfälschung von Informationen ist nur mit hohem Aufwand möglich.
|| '''Hoch:'''Die Verbindung ist zur Übermittlung der Aufträge an die Produktion unbedingt erforderlich.
|-  
|| K011: Anbindung der Arbeitsplätze der Geschäftsführung
|| '''Hoch:'''Die Geschäftsführung bearbeitet vertrauliche Korrespondenz
|| '''Normal:'''Verfälschung von Informationen ist nur mit hohem Aufwand möglich.
|| '''Hoch:'''Die Verbindung ist zum Kontakt mit Geschäftspartnern unbedingt erforderlich.
|-  
|| K012: Anbindung der Arbeitsplätze der Personalabteilung
|| '''Hoch:'''Die Personalabteilung arbeitet mit personenbezogenen Daten.
|| '''Normal:'''Verfälschung von Informationen ist nur mit hohem Aufwand möglich.
|| '''Normal:'''Die Arbeiten sind nicht zeitkritisch. Ein Ausfall von 24&nbsp;Stunden oder länger ist akzeptabel.
|-  
|| K013: Anbindung der Entwickler-Arbeitsplätze
|| '''Hoch:'''Die Ergebnisse der Arbeit sind geheim zu halten.
|| '''Normal:'''Verfälschung von Informationen ist nur mit hohem Aufwand möglich.
|| '''Normal:'''Die Arbeiten sind nicht zeitkritisch. Ein Ausfall von 24&nbsp;Stunden oder länger ist akzeptabel.
|-
|-
| [[IT-Grundschutz/Schutzbedarf/Räume]] ||
|}
|}


<noinclude>
== Anhang ==
== Anhang ==
=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
==== Links ====
==== Links ====
===== Weblinks =====
===== Weblinks =====


[[Kategorie:Grundschutz/Schutzbedarf]]
[[Kategorie:IT-Grundschutz/Schutzbedarf]]
</noinclude>
</noinclude>

Aktuelle Version vom 31. Oktober 2024, 13:36 Uhr

IT-Grundschutz/Schutzbedarf - Festlegung der Sicherheitsanforderungen

Beschreibung

Ziele

Festlegung der Sicherheitsanforderungen

  • Grundlage für die Auswahl angemessener Sicherheitsmaßnahmen

Schutzbedarf für Zielobjekte

Begründete und nachvollziehbare Einschätzung des Schutzbedarfs

Welche Zielobjekte

  • Benötigen mehr Sicherheit?
  • Bei welchen genügen die Standard-Anforderungen?

Arbeitsschritte

Schritt Titel Beschreibung
1 Definitionen Schadensszenarien und Schutzbedarfskategorien festlegen
2 Schutzbedarf festlegen Schutzbedarf Zielobjekte ermitteln/festlegen
3 Abhängigkeiten berücksichtigen Auswirkung von Abhängigkeiten zwischen den Zielobjekten auf die Ergebnisse der Schutzbedarfsfeststellung
4 Schlussfolgerungen Schlussfolgerungen aus den Ergebnissen der Schutzbedarfsfeststellung

Basis-Absicherung

Schutzbedarfsfeststellung nicht erforderlich

Bei der Basis-Absicherung sind für den Informationsverbund nur die Basis-Anforderungen verpflichtend

  • Daher ist eine Schutzbedarfsfeststellung bei dieser Variante der IT-Grundschutz-Methodik nicht erforderlich

Fragen bei der Schutzbedarfsfeststellung

Welcher Schaden kann entstehen, wenn für ein Zielobjekt die Grundwerte verletzt werden

Vertraulichkeit Vertrauliche Informationen werden unberechtigt zur Kenntnis genommen oder weitergegeben
Integrität Korrektheit der Informationen oder die Funktionsweise von Systemen ist nicht mehr gegeben
Verfügbarkeit Autorisierte Benutzer werden am Zugriff auf Informationen und Systeme behindert

Drohender Schaden

  • Der Schutzbedarf eines Objekts bezüglich eines dieser Grundwerte orientiert sich an dem Ausmaß des bei Verletzungen jeweils drohenden Schadens
  • Da dessen Höhe in der Regel vorab nicht genau bestimmt werden kann, sollten Sie eine für Ihren Anwendungszweck passende Anzahl von Kategorien definieren, anhand derer Sie den Schutzbedarf unterscheiden

Schutzbedarfskategorien

Die IT-Grundschutz-Methodik empfiehlt hierfür drei Schutzbedarfskategorien

Schutzbedarfskategorie Beschreibung
normal Schadensauswirkungen begrenzt und überschaubar
hoch Schadensauswirkungen beträchtlich
sehr hoch Schadensauswirkungen können existenzbedrohend sein, katastrophales Ausmaß

Schadensszenarien

Der Schaden, der von einer Verletzung der Grundwerte ausgehen kann, kann sich auf verschiedene Schadensszenarien beziehen

Schadensszenario
Verstöße gegen Gesetze, Vorschriften oder Verträge
Beeinträchtigungen des informationellen Selbstbestimmungsrechts
Beeinträchtigungen der persönlichen Unversehrtheit
Beeinträchtigungen der Aufgabenerfüllung
negative Innen- oder Außenwirkung
finanzielle Auswirkungen
Bedeutung der Szenarien

Wie wichtig ein Szenario jeweils ist, unterscheidet sich von Institution zu Institution

  • Unternehmen schauen beispielsweise besonders intensiv auf die finanziellen Auswirkungen eines Schadens, da diese bei einer entsprechenden Höhe existenzgefährdend sein können
  • Für eine Behörde kann es hingegen besonders wichtig sein, das öffentliche Ansehen zu wahren und daher negative Außenwirkungen zu vermeiden

Schutzbedarfskategorien

IT-Grundschutz/Schutzbedarf/Kategorien

Schutzbedarfsfeststellung

Zweck

Ermittlung, welcher Schutz für die Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist

  • Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet
  • die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können
Realistische Einschätzung

Wichtig ist dabei auch eine realistische Einschätzung der möglichen Folgeschäden

  • Bewährt hat sich eine Einteilung in die drei Schutzbedarfskategorien „normal“, „hoch“ und „sehr hoch“[1]
  • Bei der Vertraulichkeit wird häufig auch „öffentlich“, „intern“ und „geheim“ verwendet
Schutzbedarf für Server

Der Schutzbedarf für einen Server richtet sich nach den Anwendungen, die auf ihm laufen

  • Hierbei ist zu beachten, dass auf einem IT-System mehrere IT-Anwendungen laufen können, wobei die Anwendung mit dem höchsten Schutzbedarf die Schutzbedarfskategorie des IT-Systems bestimmt (sogenanntes Maximumprinzip)

Es kann sein, dass mehrere Anwendungen auf einem Server laufen, die einen niedrigen Schutzbedarf haben – mehr oder weniger unwichtige Anwendungen

  • In ihrer Summe sind diese Anwendungen jedoch mit einem höheren Schutz zu versehen (Kumulationseffekt)

Umgekehrt ist es denkbar, dass eine IT-Anwendung mit hohem Schutzbedarf diesen nicht automatisch auf das IT-System überträgt, da dieses redundant ausgelegt ist oder da auf diesem nur unwesentliche Teile laufen (Verteilungseffekt)

  • Dies ist z. B. bei Clustern der Fall

Vorgehen und Vererbung

Objekte im Informationsverbund werden eingesetzt, um Geschäftsprozesse und Anwendungen zu unterstützen
  • Daher hängt der Schutzbedarf eines Objekts vom Schutzbedarf derjenigen Geschäftsprozesse und Informationen ab, für deren Bearbeitung es benötigt wird
Zunächst wird deshalb der Schutzbedarf der Geschäftsprozesse und zugehörigen Informationen bestimmt
  • Deren Schutzbedarf vererbt sich auf den der Anwendungen, Systeme, Räume und Kommunikationsverbindungen
Vererbung
  • Es lassen sich, folgende Fälle unterscheiden
Beispiel
Systeme
Option Beschreibung
Maximumprinzip In vielen Fällen lässt sich der höchste Schutzbedarf aller Anwendungen, die das System benötigen, übernehmen
  • Wenn eine Anwendung auf die Ergebnisse einer anderen Anwendung angewiesen ist, überträgt sich ihr Schutzbedarf auf diese liefernde Anwendung
  • Werden diese beiden Anwendungen auf verschiedenen Systemen ausgeführt, dann muss auch der Schutzbedarf des einen auf das liefernde System übertragen werden (Betrachtung von Abhängigkeiten)
Kumulationseffekt Der Schutzbedarf des Systems kann höher sein als der Schutzbedarf der einzelnen Anwendungen
  • Dies ist der Fall, wenn auf einem Server mehrere Anwendungen mit normalem Schutzbedarf betrieben werden
  • Der Ausfall einer dieser Anwendungen könnte überbrückt werden. Wenn aber alle Anwendungen gleichzeitig ausfallen, kann ein hoher Schaden entstehen
Verteilungseffekt Der Schutzbedarf kann niedriger sein als der Schutzbedarf der zugeordneten Anwendungen, wenn eine Anwendung mit hohem Schutzbedarf auf mehrere Systeme verteilt ist und auf dem betreffenden System nur weniger wichtige Teile dieser Anwendung ausgeführt werden
  • Bei Anwendungen, die personenbezogene Daten verarbeiten, sind Komponenten weniger kritisch, in denen die Daten nur in pseudonymisierter Form verwendet werden

Zielobjekte

Zielobjekt Beschreibung
IT-Grundschutz/Schutzbedarf/Geschäftsprozesse
IT-Grundschutz/Schutzbedarf/Anwendungen
IT-Grundschutz/Schutzbedarf/Systeme
IT-Grundschutz/Schutzbedarf/Kommunikationsverbindungen
IT-Grundschutz/Schutzbedarf/Netzwerke
IT-Grundschutz/Schutzbedarf/Räume


Anhang

Siehe auch

Links

Weblinks