BSI CD-ROM - IT-GSHB Juli 2001 - 2.2 Schutzbedarfsfeststellung

2.2 Schutzbedarfsfeststellung

Die Schutzbedarfsfeststellung der erfassten IT-Struktur gliedert sich in vier Schritte. Nach der Definition der Schutzbedarfskategorien wird anhand von typischen Schadensszenarien zunächst der Schutzbedarf der IT-Anwendungen bestimmt. Anschließend wird daraus der Schutzbedarf der einzelnen IT-Systeme abgeleitet. Aus diesen Ergebnissen wiederum wird abschließend der Schutzbedarf der Übertragungsstrecken und der Räume, die für die IT zur Verfügung stehen, abgeleitet.

Schutzbedarfsfeststellung für IT-Anwendungen

Ziel der Schutzbedarfsfeststellung ist es, für jede erfasste IT-Anwendung einschließlich ihrer Daten zu entscheiden, welchen Schutzbedarf sie bezüglich Vertraulichkeit, Integrität und Verfügbarkeit besitzt. Dieser Schutzbedarf orientiert sich an den möglichen Schäden, die mit einer Beeinträchtigung der betroffenen IT-Anwendung verbunden sind.

Da der Schutzbedarf meist nicht quantifizierbar ist, beschränkt sich das IT-Grundschutzhandbuch im Weiteren auf eine qualitative Aussage, indem der Schutzbedarf in drei Kategorien unterteilt wird:

Schutzbedarfskategorien
"niedrig bis mittel"	Die Schadensauswirkungen sind begrenzt und überschaubar.
"hoch"	Die Schadensauswirkungen können beträchtlich sein.
"sehr hoch"	Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

Die nachfolgenden Schritte erläutern, wie für IT-Anwendungen die adäquate Schutzbedarfskategorie ermittelt werden kann.

Schritt 1: Definition der Schutzbedarfskategorien

Die Schäden, die bei dem Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit für eine IT-Anwendung einschließlich ihrer Daten entstehen können, lassen sich typischerweise folgenden Schadensszenarien zuordnen:

Verstoß gegen Gesetze/Vorschriften/Verträge,

Beeinträchtigung des informationellen Selbstbestimmungsrechts,

Beeinträchtigung der persönlichen Unversehrtheit,

Beeinträchtigung der Aufgabenerfüllung,

negative Außenwirkung und

finanzielle Auswirkungen.

Häufig treffen dabei für einen Schaden mehrere Schadenskategorien zu. So kann beispielsweise der Ausfall einer IT-Anwendung die Aufgabenerfüllung beeinträchtigen, was direkte finanzielle Einbußen nach sich zieht und gleichzeitig auch zu einem Imageverlust führt.

Schutzbedarfskategorie "niedrig bis mittel"
Verstoß gegen Gesetze/Vorschriften/Verträge	Verstöße gegen Vorschriften und Gesetze mit geringfügigen Konsequenzen Geringfügige Vertragsverletzungen mit maximal geringen Konventionalstrafen
Beeinträchtigung des informationellen Selbstbestimmungsrechts	Eine Beeinträchtigung des informationellen Selbstbestimmungsrechts würde durch den Einzelnen als tolerabel eingeschätzt werden. Ein möglicher Missbrauch personenbezogener Daten hat nur geringfügige Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen.
Beeinträchtigung der persönlichen Unversehrtheit	Eine Beeinträchtigung erscheint nicht möglich.
Beeinträchtigung der Aufgabenerfüllung	Die Beeinträchtigung würde von den Betroffenen als tolerabel eingeschätzt werden. Die maximal tolerierbare Ausfallzeit ist größer als 24 Stunden.
Negative Außenwirkung	Eine geringe bzw. nur interne Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten.
Finanzielle Auswirkungen	Der finanzielle Schaden bleibt für die Institution tolerabel.

Schutzbedarfskategorie "hoch"

Verstoß gegen Gesetze/Vorschriften/Verträge

Verstöße gegen Vorschriften und Gesetze mit erheblichen Konsequenzen

Vertragsverletzungen mit hohen Konventionalstrafen

Beeinträchtigung des informationellen Selbstbestimmungsrechts

Eine erhebliche Beeinträchtigung des informationellen Selbstbestimmungsrechts des Einzelnen erscheint möglich.

Ein möglicher Missbrauch personenbezogener Daten hat erhebliche Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen

Beeinträchtigung der persönlichen Unversehrtheit

Eine Beeinträchtigung der persönlichen Unversehrtheit kann nicht absolut ausgeschlossen werden.

Beeinträchtigung der Aufgabenerfüllung

Die Beeinträchtigung würde von einzelnen Betroffenen als nicht tolerabel eingeschätzt.

Die maximal tolerierbare Ausfallzeit liegt zwischen einer und 24 Stunden.

Negative Außenwirkung

Eine breite Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten.

Finanzielle Auswirkungen

Der Schaden bewirkt beachtliche finanzielle Verluste, ist jedoch nicht existenzbedrohend.

Schutzbedarfskategorie "sehr hoch"

Verstoß gegen Gesetze/Vorschriften/Verträge

Fundamentaler Verstoß gegen Vorschriften und Gesetze

Vertragsverletzungen, deren Haftungsschäden ruinös sind

Beeinträchtigung des informationellen Selbstbestimmungsrechts

Eine besonders bedeutende Beeinträchtigung des informationellen Selbstbestimmungsrechts des Einzelnen erscheint möglich.

Ein möglicher Missbrauch personenbezogener Daten würde für den Betroffenen den gesellschaftlichen oder wirtschaftlichen Ruin bedeuten.

Beeinträchtigung der persönlichen Unversehrtheit

Gravierende Beeinträchtigungen der persönlichen Unversehrtheit sind möglich.

Gefahr für Leib und Leben

Beeinträchtigung der Aufgabenerfüllung

Die Beeinträchtigung würde von allen Betroffenen als nicht tolerabel eingeschätzt werden.

Die maximal tolerierbare Ausfallzeit ist kleiner als eine Stunde.

Negative Außenwirkung

Eine landesweite Ansehens- oder Vertrauensbeeinträchtigung, evtl. sogar existenzgefährdender Art, ist denkbar.

Finanzielle Auswirkungen

Der finanzielle Schaden ist für die Institution existenzbedrohend.

Um die Schutzbedarfskategorien "niedrig bis mittel", "hoch" und "sehr hoch" voneinander abgrenzen zu können, bietet es sich an, die Grenzen für die einzelnen Schadensszenarien zu bestimmen. Zur Orientierung, welchen Schutzbedarf ein potentieller Schaden und seine Folgen erzeugen, sollten dabei folgende Tabellen benutzt werden.

Schutzbedarfskategorie "hoch"
Verstoß gegen Gesetze/Vorschriften/Verträge	Verstöße gegen Vorschriften und Gesetze mit erheblichen Konsequenzen Vertragsverletzungen mit hohen Konventionalstrafen
Beeinträchtigung des informationellen Selbstbestimmungsrechts	Eine erhebliche Beeinträchtigung des informationellen Selbstbestimmungsrechts des Einzelnen erscheint möglich. Ein möglicher Missbrauch personenbezogener Daten hat erhebliche Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen
Beeinträchtigung der persönlichen Unversehrtheit	Eine Beeinträchtigung der persönlichen Unversehrtheit kann nicht absolut ausgeschlossen werden.
Beeinträchtigung der Aufgabenerfüllung	Die Beeinträchtigung würde von einzelnen Betroffenen als nicht tolerabel eingeschätzt. Die maximal tolerierbare Ausfallzeit liegt zwischen einer und 24 Stunden.
Negative Außenwirkung	Eine breite Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten.
Finanzielle Auswirkungen	Der Schaden bewirkt beachtliche finanzielle Verluste, ist jedoch nicht existenzbedrohend.

Schutzbedarfskategorie "sehr hoch"
Verstoß gegen Gesetze/Vorschriften/Verträge	Fundamentaler Verstoß gegen Vorschriften und Gesetze Vertragsverletzungen, deren Haftungsschäden ruinös sind
Beeinträchtigung des informationellen Selbstbestimmungsrechts	Eine besonders bedeutende Beeinträchtigung des informationellen Selbstbestimmungsrechts des Einzelnen erscheint möglich. Ein möglicher Missbrauch personenbezogener Daten würde für den Betroffenen den gesellschaftlichen oder wirtschaftlichen Ruin bedeuten.
Beeinträchtigung der persönlichen Unversehrtheit	Gravierende Beeinträchtigungen der persönlichen Unversehrtheit sind möglich. Gefahr für Leib und Leben
Beeinträchtigung der Aufgabenerfüllung	Die Beeinträchtigung würde von allen Betroffenen als nicht tolerabel eingeschätzt werden. Die maximal tolerierbare Ausfallzeit ist kleiner als eine Stunde.
Negative Außenwirkung	Eine landesweite Ansehens- oder Vertrauensbeeinträchtigung, evtl. sogar existenzgefährdender Art, ist denkbar.
Finanzielle Auswirkungen	Der finanzielle Schaden ist für die Institution existenzbedrohend.

Individualisierung der Zuordnungstabelle

Da nicht ausgeschlossen werden kann, dass bei individuellen Betrachtungen über diese sechs Schadensszenarien hinaus weitere in Frage kommen, sollten diese entsprechend ergänzt werden. Für alle Schäden, die sich nicht in diese Szenarien abbilden lassen, muss ebenfalls eine Aussage getroffen werden, wo die Grenze zwischen "niedrig bis mittel", "hoch" oder "sehr hoch" zu ziehen ist.

Darüber hinaus sollten die individuellen Gegebenheiten der Institution berücksichtigt werden: Bedeutet in einem Großunternehmen ein Schaden in Höhe von 200.000.- Euro gemessen am Umsatz und am IT-Budget noch einen geringen Schaden, so kann für ein Kleinunternehmen schon ein Schaden in Höhe von 10.000.- Euro existentiell bedrohlich sein. Daher kann es sinnvoll sein, eine prozentuale Größe als Grenzwert zu definieren, der sich am Gesamtumsatz, am Gesamtgewinn oder am IT-Budget orientiert.

Ähnliche Überlegungen können bezüglich der Verfügbarkeitsanforderungen angestellt werden. So kann beispielsweise ein Ausfall von 24 Stunden Dauer als noch tolerabel eingeschätzt werden. Tritt jedoch eine Häufung dieser Ausfälle ein, z. B. mehr als einmal wöchentlich, so kann dies in der Summe nicht tolerierbar sein.

Bei der Festlegung der Grenze zwischen "mittel" und "hoch" sollte berücksichtigt werden, dass für den mittleren Schutzbedarf die Standard-Sicherheitsmaßnahmen dieses Handbuchs ausreichen sollten. Die getroffenen Festlegungen sind in geeigneter Weise im Sicherheitskonzept zu dokumentieren.

Schritt 2: Betrachtung von Schadensszenarien

Ausgehend von der Möglichkeit, dass Vertraulichkeit, Integrität oder Verfügbarkeit einer IT-Anwendung oder der zugehörigen Informationen verloren gehen, werden die maximalen Schäden und Folgeschäden betrachtet, die aus einer solchen Situation entstehen können. Unter der Fragestellung

"Was wäre, wenn ... ?"

werden aus Sicht der Anwender realistische Schadensszenarien entwickelt und die zu erwartenden materiellen oder ideellen Schäden beschrieben. Die Höhe dieser möglichen Schäden bestimmt letztendlich dann den Schutzbedarf der IT-Anwendung. Dabei ist es unbedingt erforderlich, die Verantwortlichen und die Benutzer der betrachteten IT-Anwendung nach ihrer persönlichen Einschätzung zu befragen. Sie haben im Allgemeinen eine gute Vorstellung darüber, welche Schäden entstehen können, und können für die Erfassung wertvolle Hinweise geben.

Um die Ermittlung der möglichen Schäden zu vereinfachen, werden nachfolgend zu den genannten Schadensszenarien Fragestellungen vorgestellt, die die möglichen Auswirkungen hinterfragen. Diese Anregungen erheben nicht den Anspruch auf Vollständigkeit, sie dienen lediglich zur Orientierung. In jedem Fall müssen die individuelle Aufgabenstellung und die Situation der Institution berücksichtigt, und diese Fragen entsprechend ergänzt werden.

In der weiteren Vorgehensweise bietet es sich an, für die erfassten IT-Anwendungen die folgenden Schadensszenarien einschließlich der Fragestellungen durchzuarbeiten. Anschließend sollte anhand der oben definierten Tabellen die Festlegung des Schutzbedarfs bezüglich Vertraulichkeit, Integrität und Verfügbarkeit durch die Zuordnung zu einer Schutzbedarfskategorie vorgenommen werden.

Schadensszenario "Verstoß gegen Gesetze/Vorschriften/Verträge"

Sowohl aus dem Verlust der Vertraulichkeit als auch der Integrität und ebenso der Verfügbarkeit können derlei Verstöße resultieren. Die Schwere des Schadens ist dabei oftmals abhängig davon, welche rechtlichen Konsequenzen daraus für die Institution entstehen können.

Beispiele für relevante Gesetze sind:

Grundgesetz, Bürgerliches Gesetzbuch, Strafgesetzbuch, Bundesdatenschutzgesetz und Datenschutzgesetze der Länder, Sozialgesetzbuch, Handelsgesetzbuch, Personalvertretungsgesetz, Betriebsverfassungsgesetz, Urheberrechtsgesetz, Patentgesetz, Informations- und Kommunikationsdienstegesetz (IuKDG), Gesetz zur Kontrolle und Transparenz im Unternehmen(KonTraG).

Beispiele für relevante Vorschriften sind:

Verwaltungsvorschriften, Verordnungen und Dienstvorschriften.

Beispiele für Verträge:

Dienstleistungsverträge im Bereich Datenverarbeitung, Verträge zur Wahrung von Betriebsgeheimnissen.

Fragen:

Verlust der Vertraulichkeit

Erfordern gesetzliche Auflagen die Vertraulichkeit der Daten?

Ist im Falle einer Veröffentlichung von Informationen mit Strafverfolgung oder Regressforderungen zu rechnen?

Sind Verträge einzuhalten, die die Wahrung der Vertraulichkeit bestimmter Informationen beinhalten?

Verlust der Integrität

Erfordern gesetzliche Auflagen die Integrität der Daten?

In welchem Maße wird durch einen Verlust der Integrität gegen Gesetze bzw.Vorschriften verstoßen?

Verlust der Verfügbarkeit

Sind bei Ausfall der IT-Anwendung Verstöße gegen Vorschriften oder sogar Gesetze die Folge? Wenn ja, in welchem Maße?

Schreiben Gesetze die dauernde Verfügbarkeit bestimmter Informationen vor?

Gibt es Termine, die bei Einsatz der IT-Anwendung zwingend einzuhalten sind?

Gibt es vertragliche Bindungen für bestimmte einzuhaltende Termine?

Schadensszenario "Beeinträchtigung des informationellen Selbstbestimmungsrechts"

Bei der Implementation und dem Betrieb von IT-Systemen und IT-Anwendungen besteht die Gefahr einer Verletzung des informationellen Selbstbestimmungsrechts bis hin zu einem Missbrauch personenbezogener Daten.

Beispiele für die Beeinträchtigung des informationellen Selbstbestimmungsrechts sind:

Unzulässige Erhebung personenbezogener Daten ohne Rechtsgrundlage oder Einwilligung,

unbefugte Kenntnisnahme bei der Datenverarbeitung bzw. der Übermittlung von personenbezogenen Daten,

unbefugte Weitergabe personenbezogener Daten,

Nutzung von personenbezogenen Daten zu einem anderen, als dem bei der Erhebung zulässigen Zweck und

Verfälschung von personenbezogenen Daten in IT-Systemen oder bei der Übertragung.

Die folgenden Fragen können zur Abschätzung möglicher Folgen und Schäden herangezogen werden:

Fragen:

Verlust der Vertraulichkeit

Welche Schäden können für den Betroffenen entstehen, wenn seine personenbezogenen Daten nicht vertraulich behandelt werden?

Werden personenbezogene Daten für unzulässige Zwecke verarbeitet?

Ist es im Zuge einer zulässigen Verarbeitung personenbezogener Daten möglich, aus diesen Daten z. B. auf den Gesundheitszustand oder die wirtschaftliche Situation einer Person zu schließen?

Welche Schäden können durch den Missbrauch der gespeicherten personenbezogenen Daten entstehen?

Verlust der Integrität

Welche Schäden würden für den Betroffenen entstehen, wenn seine personenbezogenen Daten unabsichtlich verfälscht oder absichtlich manipuliert würden?

Wann würde der Verlust der Integrität personenbezogener Daten frühestens auffallen?

Verlust der Verfügbarkeit

Können bei Ausfall der IT-Anwendung oder bei einer Störung einer Datenübertragung personenbezogene Daten verloren gehen oder verfälscht werden, so dass der Betroffene in seiner gesellschaftlichen Stellung beeinträchtigt wird oder gar persönliche oder wirtschaftliche Nachteile zu befürchten hat?

Schadensszenario "Beeinträchtigung der persönlichen Unversehrtheit"

Die Fehlfunktion eines IT-Systems oder einer IT-Anwendung kann unmittelbar die Verletzung, die Invalidität oder den Tod von Personen nach sich ziehen. Die Höhe des Schadens ist am direkten persönlichen Schaden zu messen.

Beispiele für solche IT-Anwendungen und -Systeme sind:

medizinische Überwachungsrechner,

medizinische Diagnosesysteme,

Flugkontrollrechner und

Verkehrsleitsysteme.

Fragen:

Verlust der Vertraulichkeit

Kann durch das Bekanntwerden personenbezogener Daten eine Person physisch oder psychisch geschädigt werden?

Verlust der Integrität

Können durch manipulierte Programmabläufe oder Daten Menschen gesundheitlich gefährdet werden?

Verlust der Verfügbarkeit

Bedroht der Ausfall der IT-Anwendung oder des IT-Systems unmittelbar die persönliche Unversehrtheit von Personen?

Schadensszenario "Beeinträchtigung der Aufgabenerfüllung"

Gerade der Verlust der Verfügbarkeit einer IT-Anwendung oder der Integrität der Daten kann die Aufgabenerfüllung in einem Unternehmen oder in einer Behörde erheblich beeinträchtigen. Die Schwere des Schadens richtet sich hierbei nach der zeitlichen Dauer der Beeinträchtigung und nach dem Umfang der Einschränkungen der angebotenen Dienstleistungen.

Beispiele sind:

Fristversäumnisse durch verzögerte Bearbeitung von Verwaltungsvorgängen,

verspätete Lieferung aufgrund verzögerter Bearbeitung von Bestellungen,

fehlerhafte Produktion aufgrund falscher Steuerungsdaten und

unzureichende Qualitätssicherung durch Ausfall eines Testsystems.

Fragen:

Verlust der Vertraulichkeit

Gibt es Daten, deren Vertraulichkeit die Grundlage für die Aufgabenerfüllung ist (z. B. Strafverfolgungsinformationen, Ermittlungsergebnisse)?

Verlust der Integrität

Können Datenveränderungen die Aufgabenerfüllung dergestalt einschränken, dass die Institution handlungsunfähig wird?

Entstehen erhebliche Schäden, wenn die Aufgaben trotz verfälschter Daten wahrgenommen werden? Wann werden unerlaubte Datenveränderungen frühestens erkannt?

Können verfälschte Daten in der betrachteten IT-Anwendung zu Fehlern in anderen IT-Anwendungen führen?

Welche Folgen entstehen, wenn Daten fälschlicherweise einer Person zugeordnet werden, die in Wirklichkeit diese Daten nicht erzeugt hat?

Verlust der Verfügbarkeit

Kann durch den Ausfall der IT-Anwendung die Aufgabenerfüllung der Institution so stark beeinträchtigt werden, dass die Wartezeiten für die Betroffenen nicht mehr tolerabel sind?

Sind von dem Ausfall dieser IT-Anwendung andere IT-Anwendungen betroffen?

Ist es für die Institution bedeutsam, dass der Zugriff auf IT-Anwendungen nebst Programmen und Daten ständig gewährleistet ist?

Schadensszenario "Negative Außenwirkung"

Durch den Verlust einer der Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit in einer IT-Anwendung können verschiedenartige negative Außenwirkungen entstehen, zum Beispiel:

Ansehensverlust einer Behörde bzw. eines Unternehmens,

Vertrauensverlust gegenüber einer Behörde bzw. einem Unternehmen,

Beeinträchtigung der wirtschaftlichen Beziehungen zusammenarbeitender Unternehmen,

verlorenes Vertrauen in die Arbeitsqualität einer Behörde bzw. eines Unternehmens und

Einbuße der Konkurrenzfähigkeit.

Die Höhe des Schadens orientiert sich an der Schwere des Vertrauensverlustes oder des Verbreitungsgrades der Außenwirkung.

Ursachen für diese Schäden können vielfältiger Natur sein:

Handlungsunfähigkeit einer Institution durch IT-Ausfall,

fehlerhafte Veröffentlichungen durch manipulierte Daten,

Fehlbestellungen durch mangelhafte Lagerhaltungsprogramme,

Nichteinhaltung von Verschwiegenheitserklärungen,

Weitergabe von Fahndungsdaten an interessierte Dritte und

Zuspielen vertraulicher Informationen an die Presse.

Fragen:

Verlust der Vertraulichkeit

Welche Konsequenzen ergeben sich für die Institution durch die unerlaubte Veröffentlichung der für die IT-Anwendung gespeicherten schutzbedürftigen Daten?

Kann der Vertraulichkeitsverlust der gespeicherten Daten zu einer Schwächung der Wettbewerbsposition führen?

Entstehen bei Veröffentlichung von vertraulichen gespeicherten Daten Zweifel an der amtlichen Verschwiegenheit?

Können Veröffentlichungen von Daten zur politischen oder gesellschaftlichen Verunsicherung führen?

Verlust der Integrität

Welche Schäden können sich durch die Verarbeitung, Verbreitung oder Übermittlung falscher oder unvollständiger Daten ergeben?

Wird die Verfälschung von Daten öffentlich bekannt?

Entstehen bei einer Veröffentlichung von verfälschten Daten Ansehensverluste?

Können Veröffentlichungen von verfälschten Daten zur politischen oder gesellschaftlichen Verunsicherung führen?

Können verfälschte Daten zu einer verminderten Produktqualität und damit zu einem Ansehensverlust führen?

Verlust der Verfügbarkeit

Schränkt der Ausfall der IT-Anwendung die Informationsdienstleistungen für Externe ein?

Wird der (vorübergehende) Ausfall der IT-Anwendung extern bemerkt?

Schadensszenario "Finanzielle Auswirkungen"

Unmittelbare oder mittelbare finanzielle Schäden können durch den Verlust der Vertraulichkeit schutzbedürftiger Daten, die Veränderung von Daten oder den Ausfall einer IT-Anwendung entstehen. Beispiele dafür sind:

unerlaubte Weitergabe von Forschungs- und Entwicklungsergebnissen,

Manipulation von finanzwirksamen Daten in einem Abrechnungssystem,

Ausfall eines IT-gesteuerten Produktionssystems und dadurch bedingte Umsatzverluste,

Einsichtnahme in Marketingstrategiepapiere oder Umsatzzahlen,

Ausfall eines Buchungssystems einer Reisegesellschaft,

Ausfall eines E-Commerce-Servers,

Zusammenbruch des Zahlungsverkehrs einer Bank,

Diebstahl oder Zerstörung von Hardware.

Die Höhe des Gesamtschadens setzt sich zusammen aus den direkt und indirekt entstehenden Kosten, etwa durch Sachschäden, Schadenersatzleistungen und Kosten für zusätzlichen Aufwand (z. B. Wiederherstellung).

Fragen:

Verlust der Vertraulichkeit

Kann die Veröffentlichung vertraulicher Informationen Regressforderungen nach sich ziehen?

Gibt es in der IT-Anwendung Daten, aus deren Kenntnis ein Dritter (z. B. Konkurrenzunternehmen) finanzielle Vorteile ziehen kann?

Werden mit der IT-Anwendung Forschungsdaten gespeichert, die einen erheblichen Wert darstellen? Was passiert, wenn sie unerlaubt kopiert und weitergegeben werden?

Können durch vorzeitige Veröffentlichung von schutzbedürftigen Daten finanzielle Schäden entstehen?

Verlust der Integrität

Können durch Datenmanipulationen finanzwirksame Daten so verändert werden, dass finanzielle Schäden entstehen?

Kann die Veröffentlichung falscher Informationen Regressforderungen nach sich ziehen?

Können durch verfälschte Bestelldaten finanzielle Schäden entstehen (z. B. bei Just-in-Time Produktion)?

Können verfälschte Daten zu falschen Geschäftsentscheidungen führen?

Verlust der Verfügbarkeit

Wird durch den Ausfall der IT-Anwendung die Produktion, die Lagerhaltung oder der Vertrieb beeinträchtigt?

Ergeben sich durch den Ausfall der IT-Anwendung finanzielle Verluste aufgrund von verzögerten Zahlungen bzw. Zinsverlusten?

Wie hoch sind die Reparatur- oder Wiederherstellungskosten bei Ausfall, Defekt, Zerstörung oder Diebstahl des IT-Systems?

Kann es durch Ausfall der IT-Anwendung zu mangelnder Zahlungsfähigkeit oder zu Konventionalstrafen kommen?

Wieviele wichtige Kunden wären durch den Ausfall der IT-Anwendung betroffen?

Schritt 3: Dokumentation der Ergebnisse

Es bietet sich an, den oben ermittelten Schutzbedarf der einzelnen IT-Anwendungen in einer Tabelle zu dokumentieren. Diese zentrale Dokumentation bietet den Vorteil, dass bei der nachfolgenden Schutzbedarfsfeststellung für IT-Systeme darauf referenziert werden kann.

Dabei ist darauf zu achten, dass nicht nur die Festlegung des Schutzbedarfs dokumentiert wird, sondern auch die entsprechenden Begründungen. Diese Begründungen erlauben es später, die Festlegungen nachzuvollziehen und weiterzuverwenden.

Beispiel: Bundesamt für Organisation und Verwaltung (BOV) - Teil 4

In der nachfolgenden Tabelle werden die wesentlichen IT-Anwendungen, deren Schutzbedarf und die entsprechenden Begründungen erfasst.

IT-Anwendung			Schutzbedarfsfeststellung
Nr.	Bezeichnung	pers. Daten	Grundwert	Schutzbedarf	Begründung
A1	Personaldatenverarbeitung	X	Vertraulichkeit	hoch	Personaldaten sind besonders schutzbedürftige personenbezogene Daten, deren Bekanntwerden die Betroffenen erheblich beeinträchtigen können.
			Integrität	mittel	Der Schutzbedarf ist nur mittel, da Fehler rasch erkannt und die Daten nachträglich korrigiert werden können.
			Verfügbarkeit	mittel	Ausfälle bis zu einer Woche können mittels manueller Verfahren überbrückt werden.
A2	Beihilfeabwicklung	X	Vertraulichkeit	hoch	Beihilfedaten sind besonders schutzbedürftige personenbezogene Daten, die z. T. auch Hinweise auf Erkrankungen und ärztliche Befunde enthalten. Ein Bekanntwerden kann die Betroffenen erheblich beeinträchtigen.
			Integrität	mittel	Der Schutzbedarf ist nur mittel, da Fehler rasch erkannt und die Daten nachträglich korrigiert werden können.
			Verfügbarkeit	mittel	Ausfälle bis zu einer Woche können mittels manueller Verfahren überbrückt werden.

An dieser Stelle kann es sinnvoll sein, über diese Informationen hinaus den Schutzbedarf auch aus einer gesamtheitlichen Sicht der Geschäftsprozesse oder Fachaufgaben zu betrachten. Dazu bietet es sich an, den Zweck einer IT-Anwendung in einem Geschäftsprozess oder in einer Fachaufgabe zu beschreiben und daraus wiederum deren Bedeutung abzuleiten. Diese Bedeutung kann wie folgt klassifiziert werden:

Die Bedeutung der IT-Anwendung ist für den Geschäftsprozess bzw. die Fachaufgabe:

niedrig bis mittel: Der Geschäftsprozess bzw. die Fachaufgabe kann mit tolerierbarem Mehraufwand mit anderen Mitteln (z. B. manuell) durchgeführt werden.

hoch: Der Geschäftsprozess bzw. die Fachaufgabe kann nur mit deutlichem Mehraufwand mit anderen Mitteln durchgeführt werden.

sehr hoch: Der Geschäftsprozess bzw. die Fachaufgabe kann ohne die IT-Anwendung überhaupt nicht durchgeführt werden.

Der Vorteil, eine solche ganzheitliche Zuordnung vorzunehmen, liegt insbesondere darin, dass bei der Schutzbedarfsfeststellung die Leitungsebene als Regulativ für den Schutzbedarf der einzelnen IT-Anwendungen agieren kann. So kann es sein, dass ein Verantwortlicher für eine IT-Anwendung deren Schutzbedarf aus seiner Sicht als "niedrig" einschätzt, die Leitungsebene aus Sicht des Geschäftsprozesses bzw. der Fachaufgabe diese Einschätzung jedoch nach oben korrigiert.

Diese optionalen Angaben sollten ebenfalls tabellarisch dokumentiert werden.

Schutzbedarfsfeststellung für IT-Systeme

Um den Schutzbedarf eines IT-Systems festzustellen, müssen zunächst die IT-Anwendungen betrachtet werden, die in direktem Zusammenhang mit dem IT-System stehen. Eine Übersicht, welche IT-Anwendungen relevant sind, wurde im Schritt "Erfassung der IT-Anwendungen und der zugehörigen Informationen" ermittelt.

Zur Ermittlung des Schutzbedarfs des IT-Systems müssen nun die möglichen Schäden der relevanten IT-Anwendungen in ihrer Gesamtheit betrachtet werden. Im Wesentlichen bestimmt der Schaden bzw. die Summe der Schäden mit den schwerwiegendsten Auswirkungen den Schutzbedarf eines IT-Systems (Maximum-Prinzip).

Bei der Betrachtung der möglichen Schäden und ihrer Folgen muss auch beachtet werden, dass IT-Anwendungen eventuell Arbeitsergebnisse anderer IT-Anwendungen als Input nutzen. Eine - für sich betrachtet - weniger bedeutende IT-Anwendung A kann wesentlich an Wert gewinnen, wenn eine andere, wichtige IT-Anwendung B auf ihre Ergebnisse angewiesen ist. In diesem Fall muss der ermittelte Schutzbedarf der IT-Anwendung B auch auf die IT-Anwendung A übertragen werden. Handelt es sich dabei um IT-Anwendungen verschiedener IT-Systeme, dann müssen Schutzbedarfsanforderungen des einen IT-Systems auch auf das andere übertragen werden (Beachtung von Abhängigkeiten).

Werden mehrere IT-Anwendungen bzw. Informationen auf einem IT-System verarbeitet, so ist zu überlegen, ob durch Kumulation mehrerer (z. B. kleinerer) Schäden auf einem IT-System ein insgesamt höherer Gesamtschaden entstehen kann. Dann erhöht sich der Schutzbedarf des IT-Systems entsprechend (Kumulationseffekt).

Beispiel: Auf einem Netz-Server befinden sich sämtliche für den Schreibdienst benötigten IT-Anwendungen einer Institution. Der Schaden bei Ausfall einer dieser IT-Anwendungen wurde als gering eingeschätzt, da genügend Ausweichmöglichkeiten vorhanden sind. Fällt jedoch der Server (und damit alle IT-Anwendungen) aus, so ist der dadurch entstehende Schaden deutlich höher zu bewerten. Die Aufgabenerfüllung innerhalb der notwendigen Zeitspanne kann u. U. nicht mehr gewährleistet werden. Daher ist auch der Schutzbedarf dieser "zentralen" Komponenten entsprechend höher zu bewerten.

Auch der umgekehrte Effekt kann eintreten. So ist es möglich, dass eine IT-Anwendung einen hohen Schutzbedarf besitzt, ihn aber deshalb nicht auf ein betrachtetes IT-System überträgt, weil auf diesem IT-System nur unwesentliche Teilbereiche der IT-Anwendung laufen. Hier ist der Schutzbedarf zu relativieren (Verteilungseffekt).

Beispiele: Der Verteilungseffekt tritt hauptsächlich bezüglich des Grundwertes Verfügbarkeit auf. So kann bei redundanter Auslegung von IT-Systemen der Schutzbedarf der Einzelkomponenten niedriger sein als der Schutzbedarf der Gesamtanwendung. Auch im Bereich der Vertraulichkeit sind Verteilungseffekte vorstellbar: Falls sichergestellt ist, dass ein Client nur unkritische Daten einer hochvertraulichen Datenbankanwendung abrufen kann, so besitzt der Client im Gegensatz zum Datenbankserver nur einen geringen Schutzbedarf.

Darstellung der Ergebnisse

Die Ergebnisse der Schutzbedarfsfeststellung der IT-Systeme sollten wiederum in einer Tabelle festgehalten werden. Darin sollte verzeichnet sein, welchen Schutzbedarf jedes IT-System bezüglich Vertraulichkeit, Integrität und Verfügbarkeit hat. Besonderer Wert ist auf die Begründung der Einschätzungen zu legen, damit diese auch für Außenstehende nachvollziehbar sind. Hier kann auf die Schutzbedarfsfeststellung der IT-Anwendung zurückverwiesen werden.

Beispiel: Bundesamt für Organisation und Verwaltung (BOV) - Teil 5

Eine solche Tabelle könnte beispielsweise wie folgt aussehen:

IT-System		Schutzbedarfsfeststellung
Nr.	Beschreibung	Grundwert	Schutzbedarf	Begründung
S1	Server für Personalverwaltung	Vertraulichkeit	hoch	Maximumprinzip.
		Integrität	mittel	Maximumprinzip.
		Verfügbarkeit	mittel	Maximumprinzip.
S2	Primärer Domänen-Controller	Vertraulichkeit	mittel	Maximumprinzip.
		Integrität	hoch	Maximumprinzip.
		Verfügbarkeit	mittel	Gemäß der Schutzbedarfsfeststellung für Anwendung A4 ist von einem hohen Schutzbedarf für diesen Grundwert auszugehen. Zu berücksichtigen ist aber, dass diese Anwendung auf zwei Rechnersysteme verteilt ist. Eine Authentisierung über den Backup Domänen-Controller in Berlin ist für die Mitarbeiter des Bonner Standortes ebenfalls möglich. Ein Ausfall des Primären Domänen-Controllers kann bis zu 72 Stunden hingenommen werden. Der Schutzbedarf ist aufgrund dieses Verteilungseffekts daher "mittel".

Hinweise: Besitzen die meisten IT-Anwendungen auf einem IT-System nur einen mittleren Schutzbedarf und sind nur eine oder wenige hochschutzbedürftig, so kann unter Kostengesichtspunkten in Erwägung gezogen werden, diese wenigen auf ein isoliertes IT-System auszulagern. Eine solche Alternative kann dem Management zur Entscheidung vorgelegt werden.

Hilfsmittel:

Für die Durchführung der Schutzbedarfsfeststellung wurden als Hilfsmittel Formblätter entwickelt, die sich auf der CD-ROM zum Handbuch befinden (siehe Anhang: Hilfsmittel).

Schutzbedarfsfeststellung für Kommunikationsverbindungen

Nachdem im vorhergehenden Abschnitt die Schutzbedarfsfeststellung für die betrachteten IT-Systeme abgeschlossen wurde, soll nun der Schutzbedarf bezüglich der Vernetzungsstruktur erarbeitet werden. Grundlage für die weiteren Überlegungen ist wiederum der in Kapitel 2.1 erarbeitete Netzplan des zu untersuchenden IT-Verbunds.

Um die Entscheidungen vorzubereiten, auf welchen Kommunikationsstrecken kryptographische Sicherheitsmaßnahmen eingesetzt werden sollten, welche Strecken redundant ausgelegt sein sollten und über welche Verbindungen Angriffe durch Innen- und Außentäter zu erwarten sind, müssen nach den IT-Systemen die Kommunikationsverbindungen betrachtet werden. Hierbei werden folgende Kommunikationsverbindungen als kritisch gewertet:

Kommunikationsverbindungen, die Außenverbindungen darstellen, d. h. die in oder über unkontrollierte Bereiche führen (z. B. ins Internet oder über öffentliches Gelände). Hier besteht die Gefahr, dass von außen Penetrationsversuche auf das zu schützende System vorgenommen oder dass Computer-Viren bzw. trojanische Pferde eingespielt werden. Darüber hinaus kann auch ein Innentäter über eine solche Verbindung vertrauliche Informationen nach außen übertragen.

Kommunikationsverbindungen, über die hochschutzbedürftige Informationen übertragen werden, wobei dies sowohl Informationen mit einem hohen Anspruch an Vertraulichkeit wie auch Integrität oder Verfügbarkeit sein können. Diese Verbindungen können das Angriffsziel vorsätzlichen Abhörens oder vorsätzlicher Manipulation sein. Darüber hinaus kann der Ausfall einer solchen Verbindung die Funktionsfähigkeit wesentlicher Teile des IT-Verbundes beeinträchtigen.

Kommunikationsverbindungen, über die bestimmte hochschutzbedürftige Informationen nicht übertragen werden dürfen. Hierbei kommen insbesondere vertrauliche Informationen in Betracht. Falls Netzkoppelelemente ungeeignet oder falsch konfiguriert sind, kann der Fall eintreten, dass über eine solche Verbindung die Informationen, die gerade nicht übertragen werden sollen, trotzdem übertragen und damit angreifbar werden.

Bei der Erfassung der kritischen Kommunikationsverbindungen kann wie folgt vorgegangen werden. Zunächst werden sämtliche "Außenverbindungen" als kritische Verbindungen identifiziert und erfasst. Anschließend untersucht man sämtliche Verbindungen, die von einem IT-System mit hohem oder sehr hohem Schutzbedarf ausgehen. Dabei werden diejenigen Verbindungen identifiziert, über die hochschutzbedürftige Informationen übertragen werden. Danach untersucht man die Verbindungen, über die diese hochschutzbedürftigen Daten weiterübertragen werden. Abschließend sind die Kommunikationsverbindungen zu identifizieren, über die derlei Informationen nicht übertragen werden dürfen. Zu erfassen sind dabei:

die Verbindungsstrecke,

ob es sich um eine Außenverbindung handelt,

ob hochschutzbedürftige Informationen übertragen werden und ob der Schutzbedarf aus der Vertraulichkeit, Integrität oder Verfügbarkeit resultiert und

ob hochschutzbedürftige Informationen nicht übertragen werden dürfen.

Sinnvollerweise können die dabei erfassten Daten tabellarisch dokumentiert oder graphisch im Netzplan hervorgehoben werden.

Beispiel: Bundesamt für Organisation und Verwaltung (BOV) - Teil 6

Für das fiktive Beispiel BOV ergeben sich folgende kritischen Verbindungen:

In der graphischen Darstellung sind die kritischen Verbindungen durch "fette" Linien markiert. Die Zahlen neben den Linien kennzeichnen den Grund (bzw. die Gründe), warum die jeweilige Verbindung kritisch ist, und sind in den Spaltenköpfen der nachfolgenden Tabelle erläutert.

	Kritisch aufgrund
Verbindung	1 Außenverbindung	2 hohe Vertraulichkeit	3 hohe Integrität	4 hohe Verfügbarkeit	5 keine Übertragung
N1 - Internet	X
N5 - N6	X
S1 - N4		X
S3 - N3				X
S4 - N3				X
S5 - N3				X
C1 - N4		X
N1 - N2				X	X
N2 - N3				X
N4 - N3					X

Besonderer Wert sollte bei dieser Erhebung darauf gelegt werden, dass die erstellte Übersicht vollständig ist. Nur eine übersehene kritische Verbindung kann die Gesamtsicherheit unterlaufen. So sollten zum Beispiel alle eingesetzten Modems erfasst sein, da von ihnen potentiell kritische Verbindungen nach außen ausgehen können. Oftmals jedoch werden diese Modem-Außenverbindungen als Prestige-Objekte betrachtet, deren Existenz geleugnet wird, um sich einen persönlichen Vorteil zu verschaffen. Oder Modems werden als Verbrauchsmaterial beschafft und eingestuft, ohne dass IT-Verantwortliche über deren Einsatzzweck informiert sind. Im Sinne einer vollständigen IT-Sicherheit dürfen derlei kritische Geräte und Verbindungen jedoch nicht übergangen werden.

Schutzbedarfsfeststellung für IT-Räume

Für die weitere Vorgehensweise der Modellierung nach IT-Grundschutz und für die Planung des Soll-Ist-Vergleichs ist es hilfreich, eine Übersicht über die Räume zu erstellen, in denen IT-Systeme aufgestellt oder die für den IT-Betrieb genutzt werden. Dazu gehören Räume, die ausschließlich dem IT-Betrieb dienen (wie Serverräume, Datenträgerarchive), oder solche, in denen unter anderem IT-Systeme betrieben werden (wie Büroräume). Wenn IT-System statt in einem speziellen Technikraum in einem Schutzschrank untergebracht sind, ist der Schutzschrank wie ein Raum zu erfassen.

Hinweis: Bei der Erfassung der IT-Systeme sind schon die Aufstellungsorte miterfasst worden.

Anschließend sollte aus den Ergebnissen der Schutzbedarfsfeststellung der IT-Systeme abgeleitet werden, welcher Schutzbedarf für die jeweiligen Räume resultiert. Dieser Schutzbedarf leitet sich aus dem Schutzbedarf der im Raum installierten IT-Systeme oder beherbergten Datenträger nach dem Maximum-Prinzip ab. Dabei sollte zusätzlich ein möglicher Kumulationseffekt berücksichtigt werden, wenn sich in einem Raum eine größere Anzahl von IT-Systemen befindet, wie typischerweise bei Serverräumen. Zusätzlich sollte eine Begründung der Schutzbedarfseinschätzung dokumentiert werden.

Hilfreich ist auch hier eine tabellarische Erfassung der notwendigen Informationen.

Beispiel: Bundesamt für Organisation und Verwaltung (BOV) - Teil 7

Ein Auszug aus dem Ergebnis für das BOV ist folgende Tabelle:

Raum			IT	Schutzbedarf
Bezeichnung	Art	Lokation	IT-Systeme / Datenträger	Vertraulichkeit	Integrität	Verfügbarkeit
R U.02	Datenträgerarchiv	Gebäude Bonn	Backup-Datenträger (Wochensicherung der Server S1 bis S5)	hoch	hoch	mittel
R B.02	Technikraum	Gebäude Bonn	TK-Anlage	mittel	mittel	hoch
R 1.01	Serverraum	Gebäude Bonn	S1, N4	hoch	hoch	mittel
R 1.02 - R 1.06	Büroräume	Gebäude Bonn	C1	hoch	mittel	mittel
R 3.11	Schutzschrank im Raum R 3.11	Gebäude Bonn	Backup-Datenträger (Tagessicherung der Server S1 bis S5)	hoch	hoch	mittel
R E.03	Serverraum	Gebäude Berlin	S6, N6, N7	mittel	hoch	hoch
R 2.01 - R 2.40	Büroräume	Gebäude Berlin	C4, einige mit Faxgeräten	mittel	mittel	mittel

Interpretation der Ergebnisse der Schutzbedarfsfeststellung

Die bei der Schutzbedarfsfeststellung erzielten Ergebnisse bieten einen Anhaltspunkt für die weitere Vorgehensweise der IT-Sicherheitskonzeption. Für den Schutz, der von den in diesem Handbuch empfohlenen Standard-Sicherheitsmaßnahmen ausgeht, wird bezüglich der Schutzbedarfskategorien folgendes angenommen:

Schutzwirkung von Standard-Sicherheitsmaßnahmen nach IT-Grundschutz
Schutzbedarfskategorie "niedrig bis mittel"	Standard-Sicherheitsmaßnahmen nach IT-Grundschutz sind im Allgemeinen ausreichend und angemessen.
Schutzbedarfskategorie "hoch"	Standard-Sicherheitsmaßnahmen nach IT-Grundschutz bilden einen Basisschutz, sind aber unter Umständen alleine nicht ausreichend. Weitergehende Maßnahmen können auf Basis einer ergänzenden Sicherheitsanalyse ermittelt werden.
Schutzbedarfskategorie "sehr hoch"	Standard-Sicherheitsmaßnahmen nach IT-Grundschutz bilden einen Basisschutz, reichen aber alleine i. A. nicht aus. Die erforderlichen zusätzlichen Sicherheitsmaßnahmen müssen individuell auf der Grundlage einer ergänzenden Sicherheitsanalyse ermittelt werden.

Wird der Schutzbedarf für ein IT-System als "mittel" definiert, so reicht es aus, die Standardmaßnahmen nach IT-Grundschutz pauschal umzusetzen. Für IT-Systeme, Netzverbindungen und Räume mit IT-Nutzung mit "hohem" und besonders mit "sehr hohem" Schutzbedarf sollte eine ergänzende Sicherheitsanalyse eingeplant werden. Ebenso sollte bei diesen Komponenten im Soll-Ist-Vergleich der hohe Schutzbedarf bei der Bearbeitung von als "optional" gekennzeichneten Maßnahmen berücksichtigt werden. So kann beispielsweise die Maßnahme M 1.10 Verwendung von Sicherheitstüren in einem Serverraum mit mittlerem Schutzbedarf nicht notwendig, bei hohem Schutzbedarf an Vertraulichkeit aber dringend erforderlich sein.

letzte Änderung:
Oktober 2000

Startseite