Terrakotta Armee Xian China

Schutzbedarfsanalyse


Quellen: R. Berg, IT-Schule Stuttgart, 2022
"BSI-Standard 100-1/-2/-3", Bundesamt für Sicherheit in der Informationstechnik, 2018
Fraunhofer SIT, "Beschreibung des Beispielunternehmens RECPLAST GmbH", 2018

Unternehmen und Institute schützen vertrauliche Informationen, sorgen dafür dass sie korrekt vorliegen und beugen dem Ausfall ihrer IT-Systeme vor. Hierzu haben sie ein Sicherheitskonzept.

In diesem Artikel lernst Du, wie man mit Hilfe der Schutzbedarfsanalyse ein Sicherheitskonzept für ein Unternehmen erstellt.

Die Schutzbedarfsanalyse - Schutz in 7 Schritten



Aufgabe der Informationssicherheit ist der angemessene Schutz von Informationen und IT-Systemen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierfür den BSI-Standard 100-1, 100-2 und 100-3 herausgegeben. Informationen sind hierbei in den folgenden drei Bereichen, die sogenannten Grundwerte, zu schützen:

  1. Vertraulichkeit (engl. confidentiality)
    Daten unterliegen der Geheimhaltung. Daten dürfen lediglich von autorisierten Benutzern gelesen, bzw. modifiziert werden.
  2. Integrität (engl. integrity)
    Daten müssen korrekt und unverfälscht sein. Sie dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein.
  3. Verfügbarkeit (engl. availability)
    Verhinderung von Systemausfällen, Absicherung der Informationsverarbeitung.
confidential, integer, available

Weiterführende Informationen im Online-Kurs IT-Grundschutz:

bsi.bund.de

Für die Berufsschule: Die hier gezeigte Lernerfolgskontrolle entspricht weitgehend dem Aufbau der AP1 und enthält drei der relevanten Lernfelder.

schule-bw.de

Die Entwicklung eines IT-Sicherheitskonzepts wird vom BSI in 7 Schritten vorgegeben:

  1. Sicherheitsmanagement: Das Management für Informationssicherheit wird aufgestellt.
  2. Strukturanalyse: Alle Zielobjekte eines Angriffs werden identifiziert: IT-Anwendungen, Geschäftsprozesse, IT-Systeme und Räume.
  3. Schutzbedarfsfestellung: Für die Zielobjekte wird der Schutzbedarf anhand der drei Grundwerte untersucht.
  4. Modellierung: Die in der Strukturanalyse ermittelten Zielobjekte werden auf IT-Grundschutz-Bausteine abgebildet.
  5. IT-Grundschutz-Check: Ein Soll-Ist-Vergleich zwischen Sicherheitsanforderungen und tatsächlich umgesetzten Sicherheitsmaßnahmen wird durchgeführt.
  6. Risikoanalyse: die Häufigkeit einer Gefährdung und das Schadensausmaß wird bei der Risikoanalyse berücksichtigt.
  7. Umsetzungsplanung: Konkrete Maßnahmen werden geplant, um die Sicherheit zu verbessern.
Zielobjekte identifizieren
Schutzbedarf untersuchen
Schaden und Risiko bewerten
Maßnahmen umsetzen

1 Sicherheitsmanagement



Der PDCA-Zyklus nach William Edwards Deming

  • PLAN -Planung von Sicherheitsmaßnahmen
  • DO Umsetzung der Maßnahmen
  • CHECK Erfolgskontrolle, Überwachung der Zielerreichung
  • ACT Beseitigung von Defiziten, Verbesserung

Ein funktionierendes Managementsystem für Informationssicherheit (ISMS) besteht aus einem Zyklus. Der gesamte Sicherheitsprozess unterliegt diesem Zyklus.

Um in diese Sicherheitsprozess ein Sicherheitskonzept zu erhalten, ernennt die Geschäftsleitung einen Informationssicherheitsbeauftragten (ISB). Dieser koordiniert die Entwicklung des Sicherheitskonzepts.

Des weiteren wird eine Leitlinie zur Informationssicherheit erstellt. Ziel der Leitlinie ist es, dass alle Beschäftigten mögliche Gefährdungen für die Informationssicherheit kennen.

Man beachte: Durch einen Hinweis in der Leitlinie, dass bspw. ein Ausfall von IT-Systemen die Existenz des Unternehmens gefährdet, werden alle Beschäftigten für die Informationssicherheit sensibilisiert.

2 Strukturanalyse



Bei der Strukturanalyse werden die sogenannten Zielobjekte eines Fehlers oder Angriffs identifiziert. Hierzu gehören folgende Tätigkeitn:

  1. Erfassung der Geschäftsprozesse, Anwendungen und Informationen,
  2. Netzplanerhebung,
  3. Erfassung der IT-Systeme sowie
  4. Erfassung der Räume.

Geschäftsprozesse

Aus dem Organigramm eines Unternehmens, lassen sich jeder Abteilung verschiedene Geschäftsprozesse zuordnen, bspw. Einkauf: Produktrecherche und Bestellung oder Personalabteilung: Einstellung, Gehaltszahlung und Fortbildungen.

Anwendungen

Es werden alle Anwendungen gelistet. Besonders wichtige Anwendungen sind diese, welche ein hohes Maß an Geheimhaltung (Vertraulichkeit), ein hohen Bedarf an Korrektheit (Integrität) und die kürzeste tolerierbare Ausfallzeit (Verfügbarkeit) haben.

der Netzplan

Ein Netzplan gilt als Ausgangspunkt für die Erhebung von technischen Systemen.

IT-Systeme

Alle IT-Systeme wie Server (S), Computer (C), Notebooks (N) u.s.w. werden erfasst. Darüber hinaus werden die Anwendungen den IT-Systemen zugeordnet. Bspw. laufen typischerweise auf allen Rechnern Office-Anwendungen.

der Raumplan

Abschließend werden in einem Raumplan alle IT-Systeme den Räumen zugeordnet.

Netzplan

3 Schutzbedarfsfeststellung - Schutzbedarfskategorien und Schadenszenarien

Der mögliche Schaden wird für jedes Zielobjekt (Anwendung, Prozess, ...) ermittelt. Dies geschieht immer auf Basis der drei Grundwerte: Vertraulichkeit, Integrität und Verfügbarkeit.

Der Schutzbedarf wird in drei Schutzbedarfskategorien unterteilt:

  • normal: begrenzte Schadensauswirkung
  • hoch: beträchtliche Schadensauswirkung
  • sehr hoch: existenziell bedrohliche Schadensauswirkung

Dabei kann der Schaden sich auf verschiedene Schadenszenarien beziehen:

  • finanzieller Schaden,
  • Beeinträchtigung der Aufgabenerfüllung,
  • negative Innen- oder Außenwirkung,
  • Verstöße gegen Gesetze, Verträge,
  • Personenschaden und
  • Beeinträchtigungen des informationellen Selbstbestimmungsrechts.

Jede Institution muss nun die Schutzbedarfs­kategorien für die verschiedenen Schadenszenarien festlegen. Dies könnte bspw. wie folgt aussehen:

SB-Kategorie finanzieller Schaden
normal kleiner 50.000 €
hoch 50.000 € bis 500.000 €
sehr hoch über 500.000 €
SB-Kategorie Beeinträch­tigung der Aufgabener­füllung
normal mehr als 24 h Ausfallzeit tolerabel
hoch maximal 24 h Ausfallzeit tolerabel
sehr hoch maximal 2 h Ausfallzeit tolerabel

3 Schutzbedarfsfeststellung - für Anwendungen und Prozesse

Unter der Voraussetzung, dass für jedes Schadenszenario die Schutzbedarfs­kategorie festgelegt wurde, kann nun für jedes Zielobjekt der Schutzbedarf ermittelt werden. Dies wird beispielhaft in der folgenden Tabelle gezeigt.

A001 Office Anwendung
Grundwert und Schutzbedarf Begründung
Vertrau­lichkeit: normal Die Office Anwendung selbst enthält keine Informationen.
Integrität: normal Die Office Anwendung selbst enthält keine Informationen.
Verfügbar­keit: normal lokale Installation, Ausfallzeit von mehr als 24 h ist akzeptabel
A002 Active Directory
Grundwert und Schutzbedarf Begründung
Vertraulich­keit: normal Die Passwörter werden verschlüsselt gespeichert.
Integrität: hoch Alle Mitarbeiterinnen und Mitarbeiter authentisieren sich mit Passwörtern.
Verfügbar­keit: sehr hoch Ein Ausfall von mehr als 2 h ist nicht akzeptabel.
A003 Reisekostenabrechnung
Grundwert und Schutzbedarf Begründung
Vertraulich­keit: hoch Es handelt sich um personenbezogene Daten.
Integrität: normal Fehler werden schnell erkannt und sind nachträglich korrigierbar.
Verfügbar­keit: normal Auch ein Ausfall von einer Woche kann manuell überbrückt werden.

Übung 1 Schutzbedarfsfeststellung

Quelle: BSI
Ein Unternehmen hat folgende Schutzbedarfskategorien definiert und mit der Geschäftsführung abgestimmt:

Schutzbedarfskategorie normal
Ein möglicher Schaden hätte begrenzte, überschaubare Auswirkungen auf das Unternehmen:
  • Bei Verstößen gegen Gesetze,Vorschriften oder Verträge drohen allenfalls geringfügige juristische Konsequenzen.
  • Der Missbrauch personenbezogener Daten hätte nur geringfügige Auswirkungen auf die davon Betroffenen und würden von diesen toleriert.
  • Die persönliche Unversehrtheit wird nicht beeinträchtigt.
  • Ausfallzeiten von mehr als 48 Stunden können hingenommen werden.
  • Es droht kein Ansehensverlust bei Geschäftspartnern.
  • Der mögliche finanzielle Schaden liegt unter 20.000 EUR.
Schutzbedarfskategorie hoch
Ein möglicher Schaden hätte beträchtliche Auswirkungen auf das Unternehmen:
  • Bei Verstößen gegen Gesetze,Vorschriften oder Verträge drohen schwerwiegende juristische Konsequenzen oder hohe Konventionalstrafen.
  • Der Missbrauch personenbezogener Daten hätte beträchtliche Auswirkungen auf die davon Betroffenen und würden von diesen nicht toleriert.
  • Die persönliche Unversehrtheit wird nicht mit dauerhaften Folgen beeinträchtigt.
  • Ausfallzeiten dürfen maximal 48 Stunden betragen.
  • Ansehensverlust bei Geschäftspartnern ist beträchtlich.
  • Der mögliche finanzielle Schaden liegt zwischen 20.000 EUR und 100.000 EUR.
Schutzbedarfskategorie sehr hoch
Ein möglicher Schaden hätte katastrophale Auswirkungen auf das Unternehmen:
  • Verstöße gegen Gesetze,Vorschriften oder Verträge gefährden die Existenz des Unternehmens.
  • Der Missbrauch personenbezogener Daten hätte ruinöse Auswirkungen auf die davon Betroffenen.
  • Die persönliche Unversehrtheit wird mit dauerhaften Folgen beeinträchtigt.
  • Ausfallzeiten dürfen maximal 2 Stunden betragen.
  • Ansehensverlust bei Geschäftspartnern wird nachhaltig beeinträchtigt.
  • Der mögliche finanzielle Schaden liegt über 100.000 EUR.

Bestimme für die folgenden Anwendungen/Prozesse den Schutzbedarf.

Anwen­dung/ IT-Sys­tem Grund­wert Schutz­bedarf Begrün­dung
A001 Drucker­service Vertrau­lich­keit
Inte­grität:
Verfüg­barkeit:
A002 Personal­daten­ver­arbei­tung Vertrau­lich­keit
Inte­grität:
Verfüg­barkeit:
A003 Inter­net­recherche Vertrau­lich­keit
Inte­grität:
Verfüg­barkeit:
A004 Finanz­buch­hal­tung Vertrau­lich­keit
Inte­grität:
Verfüg­barkeit:
S001 Datei­server Vertrau­lich­keit
Inte­grität:
Verfüg­barkeit:
S002 Drucker­server Vertrau­lich­keit
Inte­grität:
Verfüg­barkeit:

Entspann dich erstmal ...



DEFCON 18: Pwned By The Owner: What Happens When You Steal a Hackers Computer

  • Wenn bei dir eingebrochen wird,
  • dein PC gestohlen ist
  • und es keinerlei Spur gibt?

Dann aber, eines Tages taucht eine Spur auf ...

Wortliste und Satzbausteine



die Schutz­bedarfs­analyse, -n Erarbeiten eines Sicherheitskonzepts für Unternehmen zum Schutz von Informationen und IT-Systemen
der Grund­wert, -e auf Basis der Grundwerte: Vertraulichkeit, Integrität und Verfügbarkeit wird ein möglicher Schaden ermittelt
die Vertrau­lich­keit, - die Geheimhaltung von Daten
die Inte­grität, - die Unverfälschtheit von Daten
die Verfüg­bar­keit, - die Verhinderung von Systemausfällen
die Struktur­ana­lyse, -n Zielobjekte eines möglichen Fehlers/Angriffs werden identifiziert
das Ziel­objekt, -e alle IT-Anwendungen, Geschäftsprozesse, IT-Systeme und Räume
die Schutz­bedarfs­fest­stellung, -en Untersuchung des Schutzbedarfs für Zielobjekte
die Schutz­bedarfs­kateg­orie, -n Einteilung des Schutzbedarfs in drei Kategorien: normal, hoch, sehr hoch
das Schadens­ze­nario, -en verschiedene Bereiche in denen ein Schaden auftreten kann