Schutzbedarfsanalyse

Digitale Dokumentation mit dem SAVISCON GRC-COCKPIT

Was ist die Schutzbedarfsanalyse?

Die Schutzbedarfsanalyse ist ein Teil des IT-Sicherheitskonzepts nach dem IT-Grundschutz. Anhand der drei Schutzziele Integrität, Vertraulichkeit und Verfügbarkeit müssen alle Unternehmens-Assets analysiert und deren Schutzbedarf dokumentiert werden. Der Schutzbedarf misst sich an den potenziellen Schäden, die mit der Beeinträchtigung des betroffenen Assets einhergehen. Im ersten Schritt wird der Schutzbedarf von den Geschäftsprozessen und Anwendungen bestimmt. Dieser ermittelte Schutzbedarf vererbt sich dann im Anschluss auf die einzelnen Objekte, wie beispielsweise die IT-Systeme, Räume und Kommunikationsverbindungen (Vererbungsprinzipien). Bei der Schutzbedarfsanalyse wird in drei Schutzkategorien unterschieden: „normal“, „hoch“ und „sehr hoch“. In welche der Kategorien ein Objekt fällt, muss mit den Vererbungsprinzipien begründet werden. Es gibt das Maximumprinzip, den Verteilungseffekt und den Kumulationseffekt.

Mock-Up GRC-COCKPIT mit Asset-Baum
Lizenzierte IT-Grundschutz-Inhalte
SAVISCON ISO 27001 Zertifizierung

IT-Sicherheit mit dem GRC-COCKPIT

Mit dem GRC-COCKPIT, dem webbasierten Informationsmanagement-System (ISMS) der SAVISCON GmbH, können IT-Sicherheitsmanager Einträge für die Assets des Unternehmens anlegen. Darin halten sie fest, in welche Schutzbedarfskategorie die Assets fallen und mit welchem Vererbungsprinzip dies zu begründen ist. Darüber hinaus können sie die Assets mit Unternehmensrisiken und den dazugehörigen Maßnahmen verknüpfen. So stärken sie die IT-Sicherheit des Unternehmens.

Wir haben mit dem GRC-COCKPIT die Schutzbedarfsanalyse für das fiktionale Unternehmen RECPLAST GmbH abgebildet, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ins Leben gerufen wurde. Damit Sie sehen, wie die Schutzbedarfsanalyse mit dem SAVISCON GRC-COCKPIT funktioniert, haben wir ein Webinar für Sie aufgezeichnet, das Sie sich jederzeit ansehen können:

Jetzt ausfüllen und Webinar sofort ansehen:


Grafik IT-Grundschutz digital umsetzen

Die Schadensauswirkungen sind begrenzt und überschaubar.

Verstoß gegen Gesetze/ Vorschriften/Verträge
  • Verstöße gegen Vorschriften und Gesetze mit geringfügigen Konsequenzen
  • Geringfügige Vertragsverletzungen mit maximal geringen Konventionalstrafen
Beeinträchtigung des informationellen Selbstbestimmungsrechts
  • Es handelt sich um personenbezogene Daten, durch deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden kann.
Beeinträchtigung der persönlichen Unversehrtheit
  • Eine Beeinträchtigung erscheint nicht möglich.
Beeinträchtigung der Aufgabenerfüllung
  • Die Beeinträchtigung würde von den Betroffenen als tolerabel eingeschätzt werden.
  • Die maximal tolerierbare Ausfallzeit liegt zwischen 24 und 72 Stunden.
Negative Innen-oder Außenwirkung
  • Eine geringe bzw. nur interne Ansehens-oder Vertrauensbeeinträchtigung ist zu erwarten.
Finanzielle Auswirkungen
  • Der finanzielle Schaden bleibt für die Institution tolerabel.

Quelle: BSI-Standard 200-2

Das Fundament: DIN ISO 27001 & BSI-Standard 200-2 

Das Fundament für die Schutzbedarfsanalyse bilden die DIN ISO 27001, in der der Aufbau eines Informationsmanagement-Systems (ISMS) beschrieben wird, sowie der BSI-Standard 200-2 IT-Grundschutz-Methodik.

Das BSI definiert drei unterschiedliche Schutzbedarfskategorien: normal, hoch und sehr hoch. Um diese Kategorien besser voneinander abgrenzen zu können, bietet sich die Betrachtung anhand von Schadensszenarien an (siehe Tabelle).

Vererbungsprinzipien

Maximumprinzip

Um den Schutzbedarf von einem Objekt zu bewerten, müssen alle Teilobjekte betrachtet werden. Bei IT-Systemen wären das dann beispielsweise die möglichen Folgen, die Schäden für darauf betriebene Anwendungen und den damit verarbeiteten Informationen haben. Hier bestimmt der Schaden bzw. die Summe der Schäden den endgültigen Schutzbedarf des Objekts.

Kumulationseffekt

Wenn beispielsweise auf einem IT-System mehrere Anwendungen laufen, ist es wichtig zu überprüfen, ob durch die Kumulation von mehreren kleinen Schäden auf einem IT-System ein insgesamt höherer Gesamtschaden zu erwarten wäre. Sollte dies der Fall sein, würde sich der Schutzbedarf des IT-Systems erhöhen.

Verteilungseffekt

Andersherum ist dies genauso möglich. So kann es sein, dass eine hoch bewertete Anwendung ihren Schutzbedarf nicht auf das betrachtete IT-System überträgt. Das liegt dann beispielsweise daran, dass auf diesem IT-System nur die unwesentlichen Teilbereiche der Anwendung laufen. Daher ist der Schutzbedarf in diesem Fall zu relativieren.

Achtung: Vergessen Sie bei der Betrachtung nicht die Abhängigkeiten von Anwendungen in Ihre Bewertung mit einzubeziehen! Wenn beispielsweise eine für sich betrachtete Anwendung einen normalen Schutzbedarf aufweist, aber ihre Ergebnisse wichtig für den Ablauf von einer weiteren sehr hoch bewerteten Anwendung sind, so erhöht sich natürlich auch der Schutzbedarf der ersten.

Asset Management & Schutzbedarfsanalyse mit dem GRC-COCKPIT

Das SAVISCON GRC-COCKPIT ist das digitale Tool für ein strukturiertes und durchgängiges GRC-Management. Es deckt alle wichtigen Themen ab, wie zum Beispiel IT-Sicherheit und Datenschutz und verfügt dabei, auf Wunsch, über die vom BSI lizenzierten IT-Grundschutz-Inhalte. Werfen Sie einen Blick in den Bereich Asset Management mit Schutzbedarfsanalyse von der fiktiven RECPLAST GmbH im GRC-COCKPIT:

Berichtswesen

Im SAVISCON GRC-COCKPIT erhalten Sie Ihren Bericht zur Schutzbedarfsanalyse mit einem Klick. Dieser Bericht wird aus den aktuellen Informationen, die Sie in die Software eingegeben haben, automatisch generiert. Dazu gehören sämtliche Assets mit ihren Grundwerten, Schutzbedarfen sowie Beschreibungen.