Die Identifikation der relevanten Anwendungen ist der erste wichtige Schritt. Hier sind einige Methoden, die du anwenden kannst:

  1. Durchsicht der IT-Bestandsliste: Überprüfe vorhandene Dokumentationen und Inventare.
  2. Befragung von Abteilungsleitern und Schlüsselmitarbeitern: Sie kennen oft die wichtigsten Anwendungen in ihren Bereichen.
  3. Analyse der Netzwerkinfrastruktur: Scanne das Netzwerk, um aktive Systeme und Dienste zu identifizieren.
  4. Workshops mit verschiedenen Fachabteilungen: Bringen alle Beteiligten zusammen, um ein vollständiges Bild zu erhalten.
  • [k] Denk daran: Eine Anwendung in diesem Kontext kann vieles sein - von einer einfachen Buchhaltungssoftware bis hin zu komplexen Datenbanksystemen oder Webapplikationen.

Welche Informationen müssen wir für jede Anwendung sammeln?

Für jede identifizierte Anwendung solltest du folgende relevante Informationen sammeln:

InformationBeschreibungRelevanz für die Analyse
Zweck der AnwendungWofür wird die Anwendung genutzt?Hilft bei der Einschätzung der Kritikalität
Verarbeitete DatenWelche Arten von Daten werden verarbeitet?Beeinflusst den Schutzbedarf, besonders bei sensiblen Daten
BenutzergruppenWer nutzt die Anwendung?Wichtig für die Bewertung der Vertraulichkeit
Technische DetailsServerstandort, Schnittstellen, etc.Relevant für die Bewertung der Integrität und Verfügbarkeit
Gesetzliche AnforderungenGibt es spezielle Vorschriften?Kann den Schutzbedarf erhöhen

Um diese Informationen zu sammeln, kannst du verschiedene Methoden kombinieren:

  • Dokumentenanalyse
  • Interviews mit Anwendungsverantwortlichen
  • Gespräche mit technischen Experten
  • Fragebögen an Benutzer

Wie legen wir die Bewertungskriterien und Schutzbedarfskategorien fest?

Die Festlegung klarer Bewertungskriterien und Schutzbedarfskategorien ist entscheidend für eine einheitliche und nachvollziehbare Analyse. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt drei Schutzbedarfskategorien:

  1. Normal
  2. Hoch
  3. Sehr hoch

Lass uns diese Kategorien am Beispiel des Grundwerts “Vertraulichkeit” verdeutlichen:

  • Normal: Die Informationen sind nur für einen eingeschränkten Personenkreis bestimmt. Eine Offenlegung hätte begrenzte negative Auswirkungen.
  • Hoch: Die Informationen sind vertraulich. Eine unbefugte Offenlegung könnte erhebliche Nachteile für das Unternehmen oder betroffene Personen haben.
  • Sehr hoch: Die Informationen sind streng vertraulich. Eine Offenlegung könnte existenzbedrohende Auswirkungen haben oder die persönliche Sicherheit gefährden.

Ähnliche Definitionen müssen für die Grundwerte “Integrität” und “Verfügbarkeit” festgelegt werden. Diese klaren Kriterien bilden die Basis für eine einheitliche Bewertung aller Anwendungen und machen die Analyse objektiv und aussagekräftig.


Wie gehen wir bei der Bewertung der Vertraulichkeit vor?

Bei der Bewertung der Vertraulichkeit geht es um die Frage: Wie schlimm wäre es, wenn unbefugte Personen Zugriff auf die Informationen in der Anwendung erhalten würden?

Berücksichtige dabei folgende Aspekte:

  1. Art der verarbeiteten Daten (z.B. personenbezogene Daten, Geschäftsgeheimnisse)
  2. Gesetzliche Anforderungen (z.B. DSGVO)
  3. Mögliche Konsequenzen bei unbefugter Offenlegung

Hier ein Beispiel für die Bewertung der Vertraulichkeit einer Anwendung zur Verwaltung von Kundendaten:

SchutzbedarfskategorieBegründung
HochDie Anwendung enthält personenbezogene Daten von Kunden. Eine unbefugte Offenlegung könnte zu erheblichen Reputationsschäden und rechtlichen Konsequenzen führen.
  • [k] Denk daran: Die Einstufung sollte immer gut begründet und nachvollziehbar sein.

Wie bewerten wir die Integrität einer Anwendung?

Bei der Bewertung der Integrität stellen wir uns die Frage: Welche Auswirkungen hätte es, wenn die Daten in der Anwendung unbemerkt manipuliert würden?

Beachte dabei folgende Punkte:

  1. Bedeutung der Daten für Geschäftsprozesse
  2. Mögliche finanzielle Auswirkungen bei Datenmanipulation
  3. Potenzielle Gefährdung der Sicherheit von Personen oder Systemen

Hier ein Beispiel für die Bewertung der Integrität einer Anwendung zur Steuerung von Produktionsanlagen:

SchutzbedarfskategorieBegründung
Sehr hochEine unbemerkte Manipulation der Steuerungsdaten könnte zu Fehlfunktionen der Produktionsanlagen führen. Dies könnte nicht nur erhebliche finanzielle Schäden verursachen, sondern auch die Sicherheit der Mitarbeiter gefährden.

Die Bewertung der Integrität ist besonders wichtig bei Anwendungen, die kritische Prozesse steuern oder wichtige Entscheidungsgrundlagen liefern.


Wie gehen wir bei der Bewertung der Verfügbarkeit vor?

Bei der Bewertung der Verfügbarkeit fragen wir uns: Wie schwerwiegend wären die Folgen, wenn die Anwendung für eine bestimmte Zeit nicht verfügbar wäre?

Berücksichtige dabei folgende Faktoren:

  1. Bedeutung der Anwendung für kritische Geschäftsprozesse
  2. Maximale tolerierbare Ausfallzeit
  3. Finanzielle Verluste pro Zeiteinheit bei Nichtverfügbarkeit

Hier ein Beispiel für die Bewertung der Verfügbarkeit eines Online-Buchungssystems für ein Hotel:

SchutzbedarfskategorieBegründung
HochDas Buchungssystem ist essenziell für den Geschäftsbetrieb. Ein Ausfall von mehr als zwei Stunden würde zu erheblichen finanziellen Einbußen führen und könnte das Kundenvertrauen nachhaltig schädigen.

Die Bewertung der Verfügbarkeit ist besonders wichtig für Anwendungen, die direkt mit dem Kerngeschäft verbunden sind oder zeitkritische Prozesse unterstützen.


Wie entwickeln wir realistische Schadensszenarien?

Die Entwicklung realistischer Schadensszenarien hilft, die Bewertungen zu konkretisieren und nachvollziehbar zu machen. Gehe dabei wie folgt vor:

  1. Identifiziere potenzielle Bedrohungen für die Anwendung
  2. Überlege, welche Schwachstellen ausgenutzt werden könnten
  3. Beschreibe den möglichen Schaden und seine Auswirkungen

Hier ein Beispiel für ein Schadensszenario:

Szenario: Unbefugter Zugriff auf Kundendaten

Ein Hacker verschafft sich durch eine Sicherheitslücke Zugang zur Kundendatenbank.
Er kopiert die persönlichen Daten von 10.000 Kunden und veröffentlicht sie im Internet.

Mögliche Folgen:
- Verletzung der DSGVO mit potenziellen Strafen in Millionenhöhe
- Schwerer Reputationsschaden und Vertrauensverlust bei Kunden
- Kosten für Benachrichtigung der Betroffenen und Krisenkommunikation

Solche Szenarien machen die Schutzbedarfsanalyse greifbarer und helfen, die Einstufungen besser zu begründen. Sie sind auch nützlich, um Stakeholdern die Bedeutung der Schutzbedarfsanalyse zu verdeutlichen.


Wie fassen wir die Einzelbewertungen zusammen?

Die Zusammenfassung der Einzelbewertungen ist ein wichtiger Schritt, um einen Überblick über den Schutzbedarf aller analysierten Anwendungen zu erhalten. Gehe dabei wie folgt vor:

  1. Erstelle eine Liste aller analysierten Anwendungen.
  2. Trage für jede Anwendung die Bewertungen für Vertraulichkeit, Integrität und Verfügbarkeit ein.
  3. Notiere den höchsten Schutzbedarf pro Anwendung.

Hier ein Beispiel für eine solche Zusammenfassung:

AnwendungVertraulichkeitIntegritätVerfügbarkeitHöchster Schutzbedarf
CRM-SystemHochNormalHochHoch
E-Mail-ServerNormalHochSehr hochSehr hoch
IntranetNormalNormalNormalNormal

Diese Übersicht ermöglicht einen schnellen Überblick über den Schutzbedarf aller Anwendungen und hilft bei der Priorisierung von Schutzmaßnahmen.


Wie begründen und dokumentieren wir die Einstufungen?

Eine gut begründete und dokumentierte Einstufung ist entscheidend für die Nachvollziehbarkeit und spätere Überprüfungen. Hier ein Beispiel, wie eine solche Begründung aussehen könnte:

CRM-System:

Vertraulichkeit (Hoch):
Das System enthält detaillierte Kundendaten einschließlich Kontaktinformationen und Kaufhistorie. Eine unbefugte Offenlegung könnte zu erheblichen Reputationsschäden und Verstößen gegen die DSGVO führen.

Integrität (Normal):
Fehlerhafte Daten können in der Regel durch Mitarbeiter erkannt und korrigiert werden. Die Auswirkungen einer Manipulation wären begrenzt.

Verfügbarkeit (Hoch):
Das CRM-System ist für den Vertrieb und Kundenservice essentiell.
Ein Ausfall von mehr als 4 Stunden würde zu erheblichen Einschränkungen
im Tagesgeschäft führen.

Achte bei der Dokumentation darauf:

  • Konkrete Gründe für jede Einstufung zu nennen
  • Mögliche Auswirkungen bei Verletzung des Schutzbedarfs zu beschreiben
  • Konsistent in der Bewertung über alle Anwendungen hinweg zu sein

Eine gute Dokumentation hilft nicht nur dir selbst, sondern auch anderen Stakeholdern, deine Entscheidungen nachzuvollziehen und zu verstehen.


Wie erstellen wir eine aussagekräftige Gesamtübersicht?

Eine aussagekräftige Gesamtübersicht fasst alle wichtigen Informationen zusammen und bietet einen schnellen Überblick über den Schutzbedarf aller Anwendungen. Hier ein Beispiel für eine solche Gesamtübersicht:

AnwendungBeschreibungVIABegründungGesamtschutzbedarfVerantwortlich
CRM-SystemVerwaltung von Kundendaten und -beziehungenHNHV: Sensible Kundendaten
I: Fehler erkennbar
A: Kritisch für Vertrieb
HochVertriebsabteilung
E-Mail-ServerUnternehmensweite E-Mail-KommunikationNHSHV: Keine besonderen Daten
I: Wichtig für Kommunikation
A: Essentiell für Geschäftsbetrieb
Sehr hochIT-Abteilung

Diese Gesamtübersicht enthält:

  1. Name und Beschreibung der Anwendung
  2. Einstufungen für Vertraulichkeit (V), Integrität (I) und Verfügbarkeit (A)
  3. Kurze Begründungen für jede Einstufung
  4. Gesamtschutzbedarf der Anwendung
  5. Verantwortliche Person oder Abteilung

Sie dient als zentrales Dokument für die Schutzbedarfsanalyse und ist Grundlage für weitere Entscheidungen im Bereich der IT-Sicherheit.


Abschlussquiz

Was ist der erste wichtige Schritt bei einer Schutzbedarfsanalyse?

Blank

  • Festlegung des Budgets
  • Identifikation der relevanten Anwendungen
  • Erstellung eines Zeitplans

Welche Information ist nicht typischerweise Teil der Datensammlung für jede Anwendung?

Blank

  • Zweck der Anwendung
  • Verarbeitete Daten
  • Anschaffungskosten der Anwendung

Wie viele Schutzbedarfskategorien empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI)?

Blank

  • Zwei
  • Drei
  • Vier

Was bedeutet 'Integrität' im Kontext der Schutzbedarfsanalyse?

Blank

  • Die Verfügbarkeit der Anwendung
  • Der Schutz vor unbefugtem Zugriff
  • Der Schutz vor unbemerkter Manipulation der Daten

Was ist nicht Teil einer typischen Gesamtübersicht der Schutzbedarfsanalyse?

Blank

  • Name und Beschreibung der Anwendung
  • Einstufungen für Vertraulichkeit, Integrität und Verfügbarkeit
  • Detaillierte technische Spezifikationen der Anwendung

Warum ist die Entwicklung realistischer Schadensszenarien wichtig?

Blank

  • Um das Budget für IT-Sicherheit zu erhöhen
  • Um die Bewertungen zu konkretisieren und nachvollziehbar zu machen
  • Um Mitarbeiter einzuschüchtern