Grundschutz++ Informationssicherheitseinstufung: Unterschied zwischen den Versionen
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
Dirk (Diskussion | Beiträge) K (→Grundwerte) |
||
| (2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
{{Entwurf}} | {{Entwurf}} | ||
[[Datei:Teamwork-2198961.png|alternativtext=Community Logo|rechts|200x200px]] {{#seo: | [[Datei:Teamwork-2198961.png|alternativtext=Community Logo|rechts|200x200px]] {{#seo: | ||
|title=Durchführung einer | |title=Durchführung einer Informationssicherheitseinstufung | ||
|keywords= | |keywords=Informationssicherheitseinstufung, Informationssicherheitseinstufung , BSI Standard 200-2, ISMS, Vertraulichkeit, Integrität, Verfügbarkeit, Schutzbedarfskategorien, Vererbungsprinzipien, Risikoanalyse, IT-Grundschutz, WiKi | ||
|description=Durchführung einer | |description=Durchführung einer Informationssicherheitseinstufung (Schutzbedarf) nach BSI IT-Grundschutz, basierend auf Schutzzielen und Schutzbedarfskategorien für Informationen.}}{{SHORTDESC:Durchführung einer Informationssicherheitseinstufung nach BSI Grundschutz++.}} | ||
Ein zentraler Bestandteil bei der Erstellung einer Sicherheitskonzeption nach der Methodik des BSI Grundschutz++ und dem damit verbunden Aufbau eines ISMS ist u.a. die Durchführung einer | Ein zentraler Bestandteil bei der Erstellung einer Sicherheitskonzeption nach der Methodik des BSI Grundschutz++ und dem damit verbunden Aufbau eines ISMS ist u.a. die Durchführung einer Informationssicherheitseinstufung für die zu verarbeitenden Informationen (Prozesse). | ||
Die | Die Informationssicherheitseinstufung muss für jede(n) Geschäftsprozess und/oder Anwendung getrennt durchgeführt werden und das festgestellte Schutzniveau vererbt sich auf die folgenden Assets (Anwendungen, IT-Systeme, Netze, Räume) die von dem jeweiligen Geschäftsprozess oder der Anwendung genutzt werden. | ||
Der Artikel bezieht sich auf die '''Methodik zum Grundschutz++''' ! Diese Methodik wurde zum 1.1.2026 eingeführt und unterliegt noch einem dynamischen Entwicklungsprozess. Viele Details werden sich voraussichtlich im Laufe des Jahres noch ändern. | Der Artikel bezieht sich auf die '''Methodik zum Grundschutz++''' ! Diese Methodik wurde zum 1.1.2026 eingeführt und unterliegt noch einem dynamischen Entwicklungsprozess. Viele Details werden sich voraussichtlich im Laufe des Jahres noch ändern. | ||
== Einleitung und Vorbereitung == | == Einleitung und Vorbereitung == | ||
Die | Die Informationssicherheitseinstufung bildet einen zentralen Bestandteil des Prozessschritts 1 „Erhebung und Planung“ in der Grundschutz++ Methodik. Sie dient der systematischen Identifikation und Einstufung des Schutzbedarfs relevanter Geschäftsprozesse und darin verarbeiteter Informationen und stellt damit die prozessorientierte Verbindung zwischen betrieblichen Zielen und Informationssicherheitsanforderungen her. Dieser initiale Schritt erfolgt unmittelbar nach der Festlegung des Geltungsbereichs und liefert wesentliche Priorisierungsgrundlagen für die nachgelagerten Schritte der Anforderungsanalyse und Realisierung. | ||
Du identifizierst zunächst alle für den Geltungsbereich maßgeblichen Geschäftsprozesse, indem Du auf bestehende Prozesslandkarten oder Managementsysteme zurückgreifst. Bei fehlender Übersicht greifst du auf organisatorische und technische Praktiken zurück, um Kern- und Hilfsprozesse vollständig zu erfassen. | Du identifizierst zunächst alle für den Geltungsbereich maßgeblichen Geschäftsprozesse, indem Du auf bestehende Prozesslandkarten oder Managementsysteme zurückgreifst. Bei fehlender Übersicht greifst du auf organisatorische und technische Praktiken zurück, um Kern- und Hilfsprozesse vollständig zu erfassen. | ||
Im nächsten Teilschritt bewertest Du | Im nächsten Teilschritt bewertest Du das Schutzniveau prozessbezogen anhand der potenziellen Kritikalität von Auswirkungen auf Geschäftsziele oder den gesetzlichen Auftrag Deiner Organisation. Die Einstufung erfolgt zweistufig in „'''normal'''“ (begrenzte Schadensauswirkungen) oder „'''hoch'''“ (erhebliche, potenziell existenzbedrohende Schäden). Diese Einstufung muss später durch die Organisationsleitung freigegeben werden. | ||
Besondere Priorität erhält der geschäftsentscheidende Prozess, dessen Informationsschutz den Fortbestand Deiner Organisation sichert; hier trifft die Organisationsleitung die finale Bewertung. Bei hohem | Besondere Priorität erhält der geschäftsentscheidende Prozess, dessen Informationsschutz den Fortbestand Deiner Organisation sichert; hier trifft die Organisationsleitung die finale Bewertung. Bei hohem Schutzniveau ist eine Risikobetrachtung zwingend erforderlich, die externe Vorgaben (z.B. VS-Klassifizierung) einbezieht und als Übersicht über Relevanzstufen dokumentiert wird. Dieser Ansatz gewährleistet eine risikoorientierte Fokussierung auf kritische Bereiche, minimiert Ressourcenaufwand und integriert sich nahtlos in den PDCA-Zyklus des Grundschutz++. | ||
Die | Die Informationssicherheitseinstufung schafft so Transparenz über Schutzziele und priorisiert nachfolgende Modellierungen effektiv. | ||
== Grundwerte == | == Grundwerte == | ||
Die | Die Informationssicherheitseinstufung erfolgt getrennt für die drei Grundwerte: | ||
* '''Vertraulichkeit''': Keine unbefugte Kentnisnahme oder Weitergabe von Informationen. | * '''Vertraulichkeit''': Keine unbefugte Kentnisnahme oder Weitergabe von Informationen. | ||
| Zeile 27: | Zeile 27: | ||
* '''Verfügbarkeit''': Unbeeinträchtigter Zugriff auf Systeme und Informationen. | * '''Verfügbarkeit''': Unbeeinträchtigter Zugriff auf Systeme und Informationen. | ||
Die drei Grundwerte | Die drei Grundwerte sollten durchgängig getrennt betrachtet werden, da sich diese auch in den Maßnahmen grundlegend unterscheiden. | ||
Hinweis: In der Methodik zum Grundschutz++ wird eine getrennte Betrachtung nach Grundwerten nicht explizit gefordert. Für die Migration ist es jedoch sinnvoll, diese Betrachtung beizubehalten. | |||
* '''normal''': | == Einstufungsniveau == | ||
Der Grundschutz++ unterscheidet nur noch zwei '''Einstufungsniveaus''': | |||
* '''normal''': Standardniveau „normal“ gilt grundsätzlich für alle Geschäftsprozesse und Informationen. | |||
* '''hoch''': Erhebliche, potenziell existenzbedrohende Auswirkungen (z.B. auf Geschäftsziel oder gesetzlichen Auftrag). | * '''hoch''': Erhebliche, potenziell existenzbedrohende Auswirkungen (z.B. auf Geschäftsziel oder gesetzlichen Auftrag). | ||
Ein | Ein hohes Niveau liegt z.B. dann vor, wenn: | ||
* Gefahr für Leib und Leben besteht, | * Gefahr für Leib und Leben besteht, | ||
| Zeile 43: | Zeile 45: | ||
== Schadensszenarien == | == Schadensszenarien == | ||
Zur besseren Bewertbarkeit können die Schutzbedarfe in verschiedenen Schadensszenarien betrachtet werden. Für jedes Schadensszenario werden die | Zur besseren Bewertbarkeit können die Schutzniveaus (Schutzbedarfe) in verschiedenen Schadensszenarien betrachtet werden. Für jedes Schadensszenario werden die Schutzniveaus einzeln definiert: | ||
{| class="wikitable" | {| class="wikitable" | ||
|+ | |+ | ||
| Zeile 81: | Zeile 83: | ||
|Der finanzielle Schaden ist für die Institution existenzbedrohend. | |Der finanzielle Schaden ist für die Institution existenzbedrohend. | ||
|} | |} | ||
Je nach Art der Organisation sind die Grenzen zwischen den beiden | Je nach Art der Organisation sind die Grenzen zwischen den beiden Einstufungsniveaus "normal" ⇔ "hoch" weiter zu konkretisieren. Z.B. bei den finanziellen Auswirkungen mit konkreten Euro-Beträgen. | ||
== | == Informationssicherheitseinstufung == | ||
In der eigentlichen | In der eigentlichen Informationssicherheitseinstufung wird der Schutzniveau für die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit gemäß den zuvor getroffenen Definitionen für alle Prozesse (alternativ Anwendungen) einzeln ermittelt und die Einstufung kurz begründet. Die Begründung ist zwingend erforderlich um eine Nachvollziehbarkeit der Einstufung zu gewährleisten. | ||
=== Einzelbewertung === | === Einzelbewertung === | ||
| Zeile 140: | Zeile 142: | ||
|- | |- | ||
|'''=''' | |'''=''' | ||
|''' | |'''GesamtSchutzniveau (Maximunprinzip je Spalte):''' | ||
| style="background-color:#ffdbb6;" |'''hoch''' | | style="background-color:#ffdbb6;" |'''hoch''' | ||
| style="background-color:#afd095;" |'''normal''' | | style="background-color:#afd095;" |'''normal''' | ||
| Zeile 188: | Zeile 190: | ||
== Vererbungsprinzipen == | == Vererbungsprinzipen == | ||
Da einzelne IT-Komponenten in der Regel nicht zum Selbstzweck betrieben werden, leitet sich ihr | Da einzelne IT-Komponenten in der Regel nicht zum Selbstzweck betrieben werden, leitet sich ihr Schutzniveau nicht vom reinen Wert der Komponente ab, sondern von den Informationen/Geschäftsprozessen, deren Verarbeitung sie dienen. Das Schutzniveau vererbt sich somit von den Kerngeschäftsprozessen über die Anwendungen, die einzelnen IT-Komponenten bis hin zu den Gebäuden und Räumen. | ||
Die folgenden Vererbungsprinzipen des Schutzbedarfs können je nach Bedarf angewendet werden: | Die folgenden Vererbungsprinzipen des Schutzbedarfs können je nach Bedarf angewendet werden: | ||
| Zeile 198: | Zeile 200: | ||
Der Verteilungseffekt bedeutet das sich das Risiko über mehrere Systeme verteilen kann und daher die Schutzstufe des einzelnen Systems sinkt. | Der Verteilungseffekt bedeutet das sich das Risiko über mehrere Systeme verteilen kann und daher die Schutzstufe des einzelnen Systems sinkt. | ||
Z.B.: Wenn | Z.B.: Wenn das Schutzniveau eines Systems im Grundwert Verfügbarkeit "hoch" ist, davon aber mehrere Systeme vorhanden sind, die sich gegenseitig ersetzen können (z.B. bei einer Lastverteilung), kann das Schutzniveau für das einzelne System auf "normal" sinken, da der Ausfall eines einzelnen System im Gesamtsystem kompensiert werden kann. | ||
====== Kumulationseffekt ====== | ====== Kumulationseffekt ====== | ||
Der Kumulationseffekt ist das Gegenteil vom Verteilungseffekt, hier kann die Kumulation mehrerer Systeme zu einer Erhöhung des Schutzbedarfs des Gesamtsystems führen. Z.B.: Auf einem Server laufen viele Anwendungen mit dem | Der Kumulationseffekt ist das Gegenteil vom Verteilungseffekt, hier kann die Kumulation mehrerer Systeme zu einer Erhöhung des Schutzbedarfs des Gesamtsystems führen. Z.B.: Auf einem Server laufen viele Anwendungen mit dem Schutzniveau "normal", Der Ausfall einer einzelnen Anwendung ist unkritisch. Fällt dagegen der Server aus, fallen damit auch alle Anwendungen auf dem Server aus, was für das Gesamtsystem kritisch ist, daher bekommt der Server aufgrund des Kumulationseffekts das Schutzniveau "hoch" auch wenn jede einzelne Anwendung nur einen normalen Schutzniveau vererbt. | ||
==== Vererbungsprinzipien in der Praxis ==== | ==== Vererbungsprinzipien in der Praxis ==== | ||
| Zeile 207: | Zeile 209: | ||
Im Beispiel rechts sind die Vererbungsprinzipien grafisch dargestellt. | Im Beispiel rechts sind die Vererbungsprinzipien grafisch dargestellt. | ||
Der Prozess (P1) benötigt die Anwendungen (A1) und (A2) und vererbt | Der Prozess (P1) benötigt die Anwendungen (A1) und (A2) und vererbt sein Schutzniveau 1:1 an beide Anwendungen. | ||
Die Anwendung (A2) läuft auf dem Server (S4) und vererbt | Die Anwendung (A2) läuft auf dem Server (S4) und vererbt ihr Schutzniveau 1:1 an den Server (S4). | ||
Die Anwendung (A1) läuft lastverteilt auf den Servern (S1, S2, S3). Alle drei Server können sich gegenseitig ersetzen. | Die Anwendung (A1) läuft lastverteilt auf den Servern (S1, S2, S3). Alle drei Server können sich gegenseitig ersetzen. Das Schutzniveau für den Grundwert <u>Verfügbarkeit</u> verteilt sich auf alle drei Server Da der Ausfall eines Servers nicht zum Ausfall der Anwendung führt, sind die Anforderungen an die Verfügbarkeit jedes einzelnen Servers also geringer als die der Anwendung ('''Verteilungseffekt'''). Die Grundwerte Vertraulichkeit und Integrität bleiben unverändert und vererben sich 1:1 auf jeden der drei Server. | ||
Alle vier Server (S1 bis S4) verwenden den Storage (ST1). Das Storage erbt | Alle vier Server (S1 bis S4) verwenden den Storage (ST1). Das Storage erbt das Schutzniveau aller vier Server nach dem '''Maximalprizip'''. D.h. das jeweils höchste einzelne Schutzniveau der vier Server (S1 bis S4) gilt für das gesamte Storage. | ||
Da der Ausfall des Storage (ST1) zum Ausfall aller vier Server (S1 bis S4) führt (und damit zum Ausfall beider Anwendungen (A1) und (A2)), kommt hier ggf. auch der '''Kumulationseffekt''' zum Tragen. D.h. die einzelnen Schutzbedarfe kumulieren im Storage (ST1) und können hier in Summe zu einem höheren | Da der Ausfall des Storage (ST1) zum Ausfall aller vier Server (S1 bis S4) führt (und damit zum Ausfall beider Anwendungen (A1) und (A2)), kommt hier ggf. auch der '''Kumulationseffekt''' zum Tragen. D.h. die einzelnen Schutzbedarfe kumulieren im Storage (ST1) und können hier in Summe zu einem höheren Schutzniveau für den Grundwert Verfügbarkeit führen. | ||
''(In diesem kleinen Beispiel wäre der Kumulationseffekt in der Praxis nicht relevant, da es nur eine Quelle für | ''(In diesem kleinen Beispiel wäre der Kumulationseffekt in der Praxis nicht relevant, da es nur eine Quelle für das Schutzniveau gibt, den Prozess (P1) und es keinen Sinn machen würde, dass eine einzelne Komponente ein höheres Schutzniveau erhält als der zugrunde liegende Prozess).'' | ||
== Auswirkungen auf weitere Schritte == | == Auswirkungen auf weitere Schritte == | ||
Bei einem | Bei einem Schutzniveau über "normal" muss im Rahmen einer [[RiLi-Risikoanalyse|Riskoanalyse]] festgestellt werden, ob die Standardanforderungen des Grundschutz++ ausreichen oder ob (und wo) zusätzliche Maßnahmen erforderlich sind. | ||
[[Kategorie:Artikel]] | [[Kategorie:Artikel]] | ||
Aktuelle Version vom 17. April 2026, 14:03 Uhr
|
Diese Seite ist derzeit noch ein Entwurf. Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite. |
Ein zentraler Bestandteil bei der Erstellung einer Sicherheitskonzeption nach der Methodik des BSI Grundschutz++ und dem damit verbunden Aufbau eines ISMS ist u.a. die Durchführung einer Informationssicherheitseinstufung für die zu verarbeitenden Informationen (Prozesse).
Die Informationssicherheitseinstufung muss für jede(n) Geschäftsprozess und/oder Anwendung getrennt durchgeführt werden und das festgestellte Schutzniveau vererbt sich auf die folgenden Assets (Anwendungen, IT-Systeme, Netze, Räume) die von dem jeweiligen Geschäftsprozess oder der Anwendung genutzt werden.
Der Artikel bezieht sich auf die Methodik zum Grundschutz++ ! Diese Methodik wurde zum 1.1.2026 eingeführt und unterliegt noch einem dynamischen Entwicklungsprozess. Viele Details werden sich voraussichtlich im Laufe des Jahres noch ändern.
Einleitung und Vorbereitung
Die Informationssicherheitseinstufung bildet einen zentralen Bestandteil des Prozessschritts 1 „Erhebung und Planung“ in der Grundschutz++ Methodik. Sie dient der systematischen Identifikation und Einstufung des Schutzbedarfs relevanter Geschäftsprozesse und darin verarbeiteter Informationen und stellt damit die prozessorientierte Verbindung zwischen betrieblichen Zielen und Informationssicherheitsanforderungen her. Dieser initiale Schritt erfolgt unmittelbar nach der Festlegung des Geltungsbereichs und liefert wesentliche Priorisierungsgrundlagen für die nachgelagerten Schritte der Anforderungsanalyse und Realisierung.
Du identifizierst zunächst alle für den Geltungsbereich maßgeblichen Geschäftsprozesse, indem Du auf bestehende Prozesslandkarten oder Managementsysteme zurückgreifst. Bei fehlender Übersicht greifst du auf organisatorische und technische Praktiken zurück, um Kern- und Hilfsprozesse vollständig zu erfassen.
Im nächsten Teilschritt bewertest Du das Schutzniveau prozessbezogen anhand der potenziellen Kritikalität von Auswirkungen auf Geschäftsziele oder den gesetzlichen Auftrag Deiner Organisation. Die Einstufung erfolgt zweistufig in „normal“ (begrenzte Schadensauswirkungen) oder „hoch“ (erhebliche, potenziell existenzbedrohende Schäden). Diese Einstufung muss später durch die Organisationsleitung freigegeben werden.
Besondere Priorität erhält der geschäftsentscheidende Prozess, dessen Informationsschutz den Fortbestand Deiner Organisation sichert; hier trifft die Organisationsleitung die finale Bewertung. Bei hohem Schutzniveau ist eine Risikobetrachtung zwingend erforderlich, die externe Vorgaben (z.B. VS-Klassifizierung) einbezieht und als Übersicht über Relevanzstufen dokumentiert wird. Dieser Ansatz gewährleistet eine risikoorientierte Fokussierung auf kritische Bereiche, minimiert Ressourcenaufwand und integriert sich nahtlos in den PDCA-Zyklus des Grundschutz++.
Die Informationssicherheitseinstufung schafft so Transparenz über Schutzziele und priorisiert nachfolgende Modellierungen effektiv.
Grundwerte
Die Informationssicherheitseinstufung erfolgt getrennt für die drei Grundwerte:
- Vertraulichkeit: Keine unbefugte Kentnisnahme oder Weitergabe von Informationen.
- Integrität: Die Korrektheit von Informationen und der korrekte Funktionsweise von Systemen.
- Verfügbarkeit: Unbeeinträchtigter Zugriff auf Systeme und Informationen.
Die drei Grundwerte sollten durchgängig getrennt betrachtet werden, da sich diese auch in den Maßnahmen grundlegend unterscheiden.
Hinweis: In der Methodik zum Grundschutz++ wird eine getrennte Betrachtung nach Grundwerten nicht explizit gefordert. Für die Migration ist es jedoch sinnvoll, diese Betrachtung beizubehalten.
Einstufungsniveau
Der Grundschutz++ unterscheidet nur noch zwei Einstufungsniveaus:
- normal: Standardniveau „normal“ gilt grundsätzlich für alle Geschäftsprozesse und Informationen.
- hoch: Erhebliche, potenziell existenzbedrohende Auswirkungen (z.B. auf Geschäftsziel oder gesetzlichen Auftrag).
Ein hohes Niveau liegt z.B. dann vor, wenn:
- Gefahr für Leib und Leben besteht,
- die Existenz der Institution bedroht ist (finanzieller oder Reputationsschaden),
- Der Geschäftsprozess als (VS-)Vertraulich oder höher eingestuft ist.
Der Grundschutz++ orientiert sich damit wieder verstärkt an der ursprünglichen Definition von Grundschutz, also ein Standard Schutzniveau, das die wesentlichen und üblichen Geschäftsprozesse abdeckt.
Schadensszenarien
Zur besseren Bewertbarkeit können die Schutzniveaus (Schutzbedarfe) in verschiedenen Schadensszenarien betrachtet werden. Für jedes Schadensszenario werden die Schutzniveaus einzeln definiert:
| Schadensszenario | normal | hoch | |
|---|---|---|---|
| 1. | Verstoß gegen Gesetze, Vorschriften, Verträge | Verstöße gegen Vorschriften und Gesetze mit geringfügigen oder mäßigen Konsequenzen. Geringfügige Vertragsverletzungen mit maximal mäßigen Konventionalstrafen. | Verstöße gegen Vorschriften und Gesetze mit erheblichen Konsequenzen. Vertragsverletzungen mit hohen Konventionalstrafen bin hin zur Existenzbedrohung. |
| 2. | Beeinträchtigung des informationellen Selbstbestimmungsrechts (personenbezogene Daten) | Es handelt sich um personenbezogene Daten, durch deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen nur gering beeinträchtigt werden kann. | Es handelt sich um personenbezogene Daten, bei deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann. |
| 3. | Beeinträchtigung der persönlichen Unversehrtheit | Eine Beeinträchtigung erscheint nicht möglich oder ist unwahrscheinlich. | Eine Beeinträchtigung der persönlichen Unversehrtheit kann nicht ausgeschlossen werden bis hin zu Gefahr für Leib und Leben. |
| 4. | Beeinträchtigung der Aufgabenerfüllung | Die Beeinträchtigung würde von den Betroffenen als tolerabel eingeschätzt werden und verstößt gegen externen Verträge, Fristen oder Gesetze sind nur in vertretbarem Umfang zu erwarten. | Die Beeinträchtigung würde von den Betroffenen als nicht tolerabel eingeschätzt. Es werden Verträge, Fristen oder Gesetze in erheblichem Umfang verletzt. |
| 5. | Negative Innen- oder Außenwirkung | Eine geringe bis mäßige Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten. | Eine landesweite Ansehens- oder Vertrauensbeeinträchtigung, die für die Organisation, die möglicherweise existenzgefährdend sein kann. |
| 6. | Finanzielle Auswirkungen | Der finanzielle Schaden bleibt für die Organisation tolerabel oder kann noch innerhalb der Organisation aufgefangen werden. | Der finanzielle Schaden ist für die Institution existenzbedrohend. |
Je nach Art der Organisation sind die Grenzen zwischen den beiden Einstufungsniveaus "normal" ⇔ "hoch" weiter zu konkretisieren. Z.B. bei den finanziellen Auswirkungen mit konkreten Euro-Beträgen.
Informationssicherheitseinstufung
In der eigentlichen Informationssicherheitseinstufung wird der Schutzniveau für die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit gemäß den zuvor getroffenen Definitionen für alle Prozesse (alternativ Anwendungen) einzeln ermittelt und die Einstufung kurz begründet. Die Begründung ist zwingend erforderlich um eine Nachvollziehbarkeit der Einstufung zu gewährleisten.
Einzelbewertung
Beispiel: Prozess "P1 - Personalverwaltung" Anhand der definierten Schadenscenarien und der o.g. Bewertungstabelle ergibt sich folgendes Bild:
| Schadensszenario | Vertraulicheit | Integrität | Verfügbarkeit | Begründung | |
| 1. | Verstoß gegen Gesetze, Vorschriften, Verträge | hoch | normal | normal | Verarbeitung besonderer personenbezogene Daten nach BDSG/DSGVO. |
| 2. | Beeinträchtigung des informationellen Selbstbestimmungsrechts (personenbezogene Daten) | hoch | normal | normal | Verarbeitung besonderer personenbezogene Daten nach BDSG/DSGVO. |
| 3. | Beeinträchtigung der persönlichen Unversehrtheit | normal | normal | normal | Eine höhere Beinträchtigung ist nicht zu erwarten. |
| 4. | Beeinträchtigung der Aufgabenerfüllung | normal | normal | normal | Eine höhere Beinträchtigung ist nicht zu erwarten. |
| 5. | Negative Innen- oder Außenwirkung | hoch | normal | normal | Hohe Außenwirkung, insbesondere auf zukünftige Bewerber. |
| 6. | Finanzielle Auswirkungen | normal | normal | normal | Eine höhere Beinträchtigung ist nicht zu erwarten. |
| = | GesamtSchutzniveau (Maximunprinzip je Spalte): | hoch | normal | normal |
Gesamtbewertung
In der Übersicht über alle Prozesse / Anwendungen reicht es jeweils das Ergebnis für die drei Grundwerte mit kurzer Begründung zu benennen:
Beispiel:
| P1 - Personalverwaltung | Begründung: | |
| Vertraulichkeit: | hoch | In der Personalverwaltung werden besondere personenbezogene Daten verarbeitet, die einem besonderen gesetzlichen Schutz unterliegen. Hohe Außenwirkung bei Bekanntwerden und beeinträchtigung der Betroffenen. |
| Integrität: | normal | Personaldaten werden u.a. zur Gehaltsabrechnung genutzt. Fehlerhafte Daten können zu fehlerhaften Abrechnungen führen, diese sind jedoch korrigierbar. |
| Verfügbarkeit: | normal | Personalangelegenheiten sind i.d.R. nicht besonders zeitkritisch. Ausfälle von mehr als 24 Stunden sind vertretbar. Die Daten werden täglich gesichert, stehen bei Bedarf auch in Papierform zur Verfügung und können teilweise noch auf Papier bearbeitet werden. |
| P2 - Produktionssteuerung | Begründung: | |
| Vertraulichkeit: | normal | In der Produktionssteuerung werden keine personenbezogenen Daten und keine besonders schützenswerten Betriebsgeheimnisse verarbeitet. |
| Integrität: | hoch | Fehlerhafte Daten können zu Produktionsausfällen oder zu erheblichen Schäden an Maschinen führen. |
| Verfügbarkeit: | hoch | Ohne Produktionsdaten kann nicht prodiziert werden, jeder Ausfall führt direkt zu erheblichen finanziellem Schaden. |
... und ggf. weiter.
Vererbungsprinzipen
Da einzelne IT-Komponenten in der Regel nicht zum Selbstzweck betrieben werden, leitet sich ihr Schutzniveau nicht vom reinen Wert der Komponente ab, sondern von den Informationen/Geschäftsprozessen, deren Verarbeitung sie dienen. Das Schutzniveau vererbt sich somit von den Kerngeschäftsprozessen über die Anwendungen, die einzelnen IT-Komponenten bis hin zu den Gebäuden und Räumen.
Die folgenden Vererbungsprinzipen des Schutzbedarfs können je nach Bedarf angewendet werden:
Maximalprinzip
Im Maximumprizip (Standard) wird der jeweils höchste Einzelwert betrachtet, d.h. wenn mehrere unterschiedliche Schutzstufen gemeinsam betrachtet werden, zählt nur die höchste Einzel-Stufe für das Gesamtsystem. Z.B. Nutzen drei Systeme unterschiedlichen Schutzbedarfs im Grundwert Verfügbarkeit eine Netzkomponente, erhält diese gemeinsame Netzkomponente die höchste Schutzbedarfsstufe der drei einzelnen Systeme.
Verteilungseffekt
Der Verteilungseffekt bedeutet das sich das Risiko über mehrere Systeme verteilen kann und daher die Schutzstufe des einzelnen Systems sinkt.
Z.B.: Wenn das Schutzniveau eines Systems im Grundwert Verfügbarkeit "hoch" ist, davon aber mehrere Systeme vorhanden sind, die sich gegenseitig ersetzen können (z.B. bei einer Lastverteilung), kann das Schutzniveau für das einzelne System auf "normal" sinken, da der Ausfall eines einzelnen System im Gesamtsystem kompensiert werden kann.
Kumulationseffekt
Der Kumulationseffekt ist das Gegenteil vom Verteilungseffekt, hier kann die Kumulation mehrerer Systeme zu einer Erhöhung des Schutzbedarfs des Gesamtsystems führen. Z.B.: Auf einem Server laufen viele Anwendungen mit dem Schutzniveau "normal", Der Ausfall einer einzelnen Anwendung ist unkritisch. Fällt dagegen der Server aus, fallen damit auch alle Anwendungen auf dem Server aus, was für das Gesamtsystem kritisch ist, daher bekommt der Server aufgrund des Kumulationseffekts das Schutzniveau "hoch" auch wenn jede einzelne Anwendung nur einen normalen Schutzniveau vererbt.
Vererbungsprinzipien in der Praxis
Im Beispiel rechts sind die Vererbungsprinzipien grafisch dargestellt.
Der Prozess (P1) benötigt die Anwendungen (A1) und (A2) und vererbt sein Schutzniveau 1:1 an beide Anwendungen.
Die Anwendung (A2) läuft auf dem Server (S4) und vererbt ihr Schutzniveau 1:1 an den Server (S4).
Die Anwendung (A1) läuft lastverteilt auf den Servern (S1, S2, S3). Alle drei Server können sich gegenseitig ersetzen. Das Schutzniveau für den Grundwert Verfügbarkeit verteilt sich auf alle drei Server Da der Ausfall eines Servers nicht zum Ausfall der Anwendung führt, sind die Anforderungen an die Verfügbarkeit jedes einzelnen Servers also geringer als die der Anwendung (Verteilungseffekt). Die Grundwerte Vertraulichkeit und Integrität bleiben unverändert und vererben sich 1:1 auf jeden der drei Server.
Alle vier Server (S1 bis S4) verwenden den Storage (ST1). Das Storage erbt das Schutzniveau aller vier Server nach dem Maximalprizip. D.h. das jeweils höchste einzelne Schutzniveau der vier Server (S1 bis S4) gilt für das gesamte Storage.
Da der Ausfall des Storage (ST1) zum Ausfall aller vier Server (S1 bis S4) führt (und damit zum Ausfall beider Anwendungen (A1) und (A2)), kommt hier ggf. auch der Kumulationseffekt zum Tragen. D.h. die einzelnen Schutzbedarfe kumulieren im Storage (ST1) und können hier in Summe zu einem höheren Schutzniveau für den Grundwert Verfügbarkeit führen.
(In diesem kleinen Beispiel wäre der Kumulationseffekt in der Praxis nicht relevant, da es nur eine Quelle für das Schutzniveau gibt, den Prozess (P1) und es keinen Sinn machen würde, dass eine einzelne Komponente ein höheres Schutzniveau erhält als der zugrunde liegende Prozess).
Auswirkungen auf weitere Schritte
Bei einem Schutzniveau über "normal" muss im Rahmen einer Riskoanalyse festgestellt werden, ob die Standardanforderungen des Grundschutz++ ausreichen oder ob (und wo) zusätzliche Maßnahmen erforderlich sind.
