Grundschutz:Strukturanalyse
Die Strukturanalyse nach Grundschutz++ beschreibt den organisatorischen, fachlichen und technischen Rahmen eines Informationsverbundes. Sie konsolidiert alle relevanten Informationen zu Kontext, Prozessen, Assets und Anforderungen und dient als zentrales Referenzdokument für Umsetzung, Audits und kontinuierliche Verbesserung.
Einleitung
Die Strukturanalyse nach Grundschutz++ bildet die Grundlage für ein systematisches ISMS gemäß der GS++‑Methodik. Sie verbindet die Ergebnisse aus Erhebung und Planung (Prozessschritt 1) mit der Anforderungsanalyse (Prozessschritt 2) und stellt alle relevanten Informationen zu Kontext, Stakeholdern, Geschäftsprozessen, Assets und Anforderungen strukturiert dar. Das Dokument dient als zentrales Referenzwerk für Modellierung, Umsetzung, Überwachung und kontinuierliche Verbesserung des ISMS. Es schafft Transparenz, Nachvollziehbarkeit und eine konsistente Basis für Audits, Risikoanalysen und die spätere technische Umsetzung.
Geltungsbereich
Die Organisation betreibt ihr Informationssicherheits-Managementsystem (ISMS) gemäß BSI Grundschutz++.
Die beschriebenen Regelungen sind für alle Mitarbeitenden und Dienstleistenden verbindlich, die im Rahmen des ISMS für die Organisation tätig sind.
Diese Strukturanalyse gilt für den im Titel genannten, im Folgenden beschriebenen und abgegrenzten Informationsverbund der Organisation.
Definition des Geltungsbereichs
Im Folgenden wird das ISMS und seine Abgrenzung innerhalb der Organisation beschrieben. Der Geltungsbereich definiert den organisatorischen Rahmen des ISMS und grenzt ihn eindeutig gegenüber anderen Bereichen ab.
Beschreibung des ISMS
Kurze Beschreibung des ISMS.
Eingliederung in die Organisation
Es ist darzustellen, wie das ISMS innerhalb der Organisation aufgebaut ist (organisationsübergreifendes ISMS oder ISMS innerhalb eines Gecshäftsbereichs).
Abgrenzung des ISMS
Beschreibung der Grenzen des ISMS sowie der Bereiche außerhalb des ISMS.
Für abgegrenzte Bereiche muss die Grenze zum ISMS der Übergang und dessen Anbindung beschrieben sein.
Werden elementare Bestandteile (z.B. ein angemietetes externes Rechenzentrum) abgegrenzt, muss beschrieben sein, wie sichergestellt wird, dass diese Teile dem festgestellten Schutzbedarf der Organisation in gleichem Maße entsprechen (z.B. Zertifizierung, vertragliche Regelungen, eigene Audits).
Betrachtete Standorte
- Physische Standorte
- Remote-Arbeitsplätze
- Rechenzentren
Kontext der Organisation
Das folgende Kapitel beschreibt den Kontext der Organisation gemäß Prozessschritt 1 (Erhebung und Planung) der GS++‑Methodik.
Beschreibung der Organisation
Beschreibung der Organisation und ihrer Ziele.
Rechtliche Rahmenbedingungen
Kurze Darstellung der wesentlichen rechtlichen Rahmenbedingungen der Organisation (Konkretisierung im Kapitel Compliance).
Geschäftsfeld
Beschreibung des Tätigkeitsbereichs der Organisation (Was macht die Organisation, wo ist ihr Kerngeschäft?)
Organisationsplan
Darstellung des Geschäftsverteilungsplans der Organisation (Organigramm).
Managementrahmen des ISMS
Ziele, IS-Leitlinien, IS-Strategie, Verantwortlichkeiten, Dokumentationsprinzipien, kontinuierliche Verbesserung.
Layer- und Werkzeugkonzept
Eingesetzte GS++-Layer (Basis, Technik, Beispiel, Audit) und verwendete Tools.
Interessierte Parteien (PS 1)
Das folgende Kapitel beschreibt die interessierten Parteien gemäß Prozessschritt 1 (Erhebung und Planung) der GS++‑Methodik.
Identifizierte interessierte Parteien
Ein ISMS muss nicht nur auf Vorschriften reagieren, sondern auch auf die Erwartungen derjenigen, die von Informationssicherheit betroffen sind oder ein berechtigtes Interesse daran haben.
Liste der identifizierten interessierten Parteien:
| Interessierte Partei | Typ | Rolle / Beschreibung | Erwartungen an Informationssicherheit | Relevanz | Verbindliche Verpflichtung | Konsequenz für ISMS | Rechtsgrundlage / Quelle | Betroffene Prozesse | Verantwortliche Rolle |
|---|---|---|---|---|---|---|---|---|---|
| Wer ist die Partei? | intern/extern | Warum ist sie relevant? | Was erwartet sie konkret? | Einfluss auf ISMS | Ja/Nein | Welche Anforderungen entstehen? | Gesetz, Vertrag, Richtlinie | Welche Prozesse sind betroffen? | Wer kümmert sich? |
| Datenschutz-Aufsichtsbehörde | extern | Regulatorische Überwachung | DSGVO‑Konformität, Nachweise, Meldepflichten | hoch | Ja | Datenschutzanforderungen, TOMs, Meldeprozesse | DSGVO, BDSG | Datenverarbeitung, HR, IT‑Betrieb | Datenschutzbeauftragte |
| Kunden / Auftraggeber | extern | Empfänger von Dienstleistungen | Verfügbarkeit, Integrität, SLA‑Einhaltung | mittel | Ja | SLA‑Monitoring, Incident‑Reporting | Vertrag, SLA | Service‑Prozesse, Support | Service Owner |
| Mitarbeitende | intern | Nutzung von Systemen, Verarbeitung von Daten | Klare Regeln, sichere Systeme, Schulungen | mittel | Ja | Awareness‑Programm, Zugriffsregeln | Arbeitsvertrag, interne Richtlinien | Alle operativen Prozesse | ISB / HR |
| ... | ... | ... | ... | ... | ... | ... | ... | ... | ... |
Erwartungen und Anforderungen
Erwartungen an Verfügbarkeit, Vertraulichkeit, Integrität, Nachweise, Reaktionszeiten.
Bewertung der Relevanz
Priorisierung gemäß GS++.
Verbindliche Verpflichtungen
Welche Erwartungen werden ins ISMS übernommen.
Compliance-Rahmen (PS 1)
Das folgende Kapitel beschreibt den Compliance-Rahmen der Organisation gemäß Prozessschritt 1 (Erhebung und Planung) der GS++‑Methodik. Dabei unterscheiden wir:
Gesetzliche Verpflichtungen: DSGVO, HGB, branchenspezifische Vorgaben.
Mögliche rechtliche, regulatorische Rahmenbedingungen sind im Artikel Rechtsgrundlagen aufgelistet.
Vertragliche Verpflichtungen: SLAs, NDAs, Kundenanforderungen.
Interne Vorgaben: Richtlinien, Policies, Betriebsvereinbarungen.
Liste der rechtlichen, vertraglichen und internen Vorgaben:
| Quelle | Referenz | Betroffener Bereich | Relevanz für ISMS / IV |
|---|---|---|---|
| Gesetz | DSGVO (z. B. Art. 5, 25, 32) | Verarbeitung personenbezogener Daten | Vorgibt Schutzziele und technische/organisatorische Maßnahmen; fließt in Schutzbedarf, Praktiken und ergänzende Anforderungen ein. |
| Vertrag | Auftragsverarbeitungsvertrag (AVV) nach DSGVO Art. 28 | Outsourcing von IT‑Betrieb, Cloud‑Diensten | Definiert technische und organisatorische Maßnahmen, Audit‑ und Informationsrechte; Anforderungen sind als externe Verpflichtungen zu übernehmen. |
| Vertrag | Service Level Agreement (SLA) | Betrieb von Fachanwendungen, Rechenzentrum | Erhöht Anforderungen an Verfügbarkeit und Wiederanlauf; kann zu höherem Schutzbedarf und strengeren Maßnahmen führen. |
| Intern | Informationssicherheitsleitlinie | gesamte Organisation | Setzt interne Mindestanforderungen; bildet Grundlage für Governance, Rollen und Dokumentation. |
| ... | ... | ... | ... |
Sicherheitsorganisation (PS 1)
Das folgende Kapitel beschreibt den Aufbau der Sicherheitsorganisation im ISMS der Organisation gemäß Prozessschritt 1 der GS++‑Methodik.
Rollen und Verantwortlichkeiten
In der Organisation sind folgende Verantwortliche als Teil der Sicherheitsorganisation benannt:
Organisationsleitung
Die Leitung der Organisation trägt die Gesamtverantwortung für die Informationssicherheit und hat klare Ziele definiert. Aufgaben:
- Festlegung von messbaren Sicherheitszielen
- Delegation von Verantwortlichkeiten
- Bereitstellung von Ressourcen
- Förderung der Sicherheitskultur
- Bewertung der Risiken
- Sicherstellung von Compliance
- Überwachung der Zielerreichung
Informationssicherheitsbeauftragter
Der Informationssicherheitsbeauftragte (ISB) ist für den Aufbau und die Koordination des ISMS verantwortlich und untersteht direkt der Organisationsleitung.
Aufgaben u. a.:
- Beratung der Leitung
- Koordination von Schulungen
- Weiterentwicklung der Sicherheitskonzeption
- Begleitung von Sicherheitsvorfällen
- Begleitung neuer Verfahren und Anwendungen
Datenschutzbeauftragter
Der Datenschutzbeauftragte (DSB) ist in die Entwicklung des Informationsverbundes eingebunden und bearbeitet alle Fragen des Datenschutzes.
Weitere Verantwortliche
- Fach- und Verfahrensverantwortliche
- Leitung IT‑Betrieb / Rechenzentrum
- Notfallbeauftragter
- ...
Entscheidungswege
Freigaben, Eskalationen, Reporting.
Kommunikationswege
Wie wird Informationssicherheit in der Organisation kommuniziert.
Dokumentation und Ablage des ISMS
Dokumentationsform, Ablageorte, Versionierung, Zugriffsregelungen.
Vorgehensweise zur Anwendung von GS++ und Freigabe
Beschreibung des Vorgehensmodells, Iterationslogik, Freigabe durch die Leitung.
Informationssicherheitseinstufung (PS 1)
Das folgende Kapitel beschreibt die Informationssicherheitseinstufung der relevanten Geschäftsprozesse der Organisation gemäß Prozessschritt 1 Erhebung und Planung (Governance/Compliance) der Methodik zum Grundschutz++.
(Siehe Aritkel zur Geschäftsprozessen und Informationssicherheitseinstufung)
Identifizierte Geschäftsprozesse der Oganisation
Ein Geschäftsprozess ist eine systematische Abfolge von Aktivitäten, um ein bestimmtes Geschäftsziel zu erreichen.
Kernprozesse
Kernprozesse sind die zentralen Prozesse der Organisation, die direkt zur Wertschöpfung beitragen und damit essentiell für das Kerngeschäft sind. Sie stellen die Haupttätigkeiten dar, die die Organisation ausführen muss, um seine Produkte oder Dienstleistungen zu erstellen oder bereitzustellen.
| Kürzel | Prozessname | Beschreibung | Verantwortlich |
|---|---|---|---|
| KP-1 | Beispiel | Beispiel | Beispiel |
| KP-2 | Beispiel | Beispiel | Beispiel |
Hilfsprozesse
Hilfsprozesse, oder auch Supportprozesse genannt, sind Prozesse, die nicht direkt zur Wertschöpfung beitragen, sondern die Organisation in seiner Tätigkeit unterstützen und optimieren sollen. Sie stellen damit eine indirekte Unterstützung des Kerngeschäfts dar.
| Kürzel | Prozessname | Beschreibung | Verantwortlich |
|---|---|---|---|
| HP-1 | Beispiel | Beispiel | Beispiel |
Kritikalität / Sicherheitsniveau
Eine angemessene Bestimmung des Sicherheitsniveaus ist wichtig, um die Ressourcen der Organisation effektiv zu nutzen und sicherzustellen, dass die Schutzmaßnahmen den Bedrohungen und Risiken angemessen sind. Das folgende Sicherheitsniveau wurde im Rahmen einer Informationssicherheitseinstufung (siehe Anlage A2) für die genannten Geschäftsprozesse ermittelt:
| Prozess | Vertraulichkeit | Integrität | Verfügbarkeit | Gesamt |
|---|---|---|---|---|
| KP-1 | normal | normal | normal | normal |
| KP-2 | hoch | normal | normal | hoch |
| HP-1 | normal | normal | hoch | hoch |
Priorisierung
Aufgrund eines hohen Sicherheitsniveaus werden die Prozesse KP‑2 und HP‑1 priorisiert behandelt.
Überprüfung des gesetzten Sicherheitsniveaus
Verfahren und Kriterien zur regelmäßigen Überprüfung der Angemessenheit.
Informationsverbund (PS 2)
Definition des Informationsverbunds
Im Folgenden werden der Informationsverbund und seine Abgrenzung innerhalb der Organisation beschrieben. Der Geltungsbereich definiert den organisatorischen Rahmen des ISMS und grenzt ihn eindeutig gegenüber anderen Bereichen ab.
Beschreibung des Informationsverbunds
Kurze Beschreibung des Informationsverbunds: Was zeichnet ihn aus, welchen Zweck erfüllt er, welche Anwendungen bedient er, welche Nutzergruppen bedient er ...
Eingliederung in die Organisation
Es ist darzustellen, wie der Informationsverbund innerhalb der Organisation aufgebaut ist (organisationsübergreifender Verbund oder Verbund innerhalb einer Abteilung).
Abgrenzung des Informationsverbunds
Beschreibung der Grenzen des Informationsverbunds sowie der Bereiche außerhalb des Verbunds.
Beispiel:
- Entwicklungs-, Test- und Freigabesysteme: Komponenten, die ausschließlich der Entwicklung, dem Test und der Freigabe dienen, werden abgegrenzt.
- Client-Systeme der Benutzer: Alle nicht-administrativen Client-Systeme werden über einen Frontend-Server abgegrenzt.
- Netzinfrastruktur außerhalb der Organisation: Alle Netze außerhalb des Informationsverbundes (Internet, Fremdnetze, Bürokommunikationsnetze) sind über ein Security-Gateway abgegrenzt.
- Gebäudeinfrastruktur für extern betriebenes Rechenzentrum: Das Rechenzentrum des Dienstleisters, in dem der Informationsverbund betrieben wird, ist selbst nach BSI IT-Grundschutz zertifiziert. Der Schutzbedarf entspricht dem des Informationsverbundes. Damit ist der Rechenzentrumsbetrieb abgegrenzt.
- Reine Bürokommunikationssysteme wie Telefonie, Drucker, Smartphones und Tablets sind abgegrenzt.
- …
Für abgegrenzte Bereiche muss die Grenze zum Informationsverbund sowie der Übergang und dessen Absicherung beschrieben sein.
Werden elementare Bestandteile des Informationsverbunds (z. B. ein angemietetes externes Rechenzentrum) abgegrenzt, muss beschrieben sein, wie sichergestellt wird, dass diese Teile dem festgestellten Schutzbedarf des Informationsverbunds in gleichem Maße entsprechen (z. B. Zertifizierung, vertragliche Regelungen, eigene Audits).
Abhängigkeiten
Interne und externe Abhängigkeiten des IV.
Geschäftsprozesse (PS 2)
Hier werden die für den Informationsverbund relevanten Geschäftsprozesse aufgelistet.
Kernprozesse
Beschreibung, Ziele, Abhängigkeiten.
Unterstützungsprozesse
IT‑Betrieb, HR, Einkauf etc.
Schutzbedarf / Sicherheitsniveau
Ergebnis der Einstufung.
Asset-Modellierung (PS 2)
Erfasste Assets
Informationen, Anwendungen, Systeme, Räume, Rollen, Dienste (Verweis auf Anlagen).
Zuordnung zu Zielobjektkategorien
Gemäß GS++ Abschnitt 3.4.2.
Vererbung von Zielobjektkategorien
Gemäß GS++ Abschnitt 3.5.1.
Assets ohne Anforderungen
Identifikation anforderungsloser Assets und Begründung.
Anforderungen (PS 2)
Ableitung aus Praktiken
Welche Praktiken sind relevant.
Zuordnung zu Zielobjektkategorien
Welche Anforderungen gelten für welche Assets.
Konsolidierung
Redundanzprüfung, Zusammenführung.
Ergänzende Anforderungen
- Aufgrund anforderungsloser Assets
- Aufgrund externer Verpflichtungen
Gestaltungsentscheidungen (Parameter)
Gestaltungsentscheidungen konkretisieren die generischen GS++-Anforderungen für die Institution. Sie legen fest, wie Anforderungen organisatorisch, technisch und prozessual umgesetzt werden sollen. Dazu gehören Rollen, Werte, Fristen, Verfahren und technische Parameter, die für Umsetzung, Überwachung und Auditierbarkeit notwendig sind. Die folgenden Parameter stellen die institutionenspezifischen Festlegungen dar, die im Rahmen der Anforderungsanalyse getroffen wurden.
| Parameter | Beschreibung | Zugehörige Anforderung(en) | Verantwortliche Rolle | Wert / Entscheidung |
|---|---|---|---|---|
| Passwortlänge | Mindestanforderung an Authentisierung | PRA-XXX | IT-Betrieb | 14 Zeichen |
| Backup-Frequenz | Intervall für Datensicherungen | OPS-ZZZ | IT-Betrieb | täglich, 02:00 Uhr |
| Löschfristen | Aufbewahrungs- und Löschregeln | DSGVO, LOG-ABC | Datenschutz | 6 Monate |
| Logging-Level | Umfang der Protokollierung | MON-123 | IT-Security | „Security-relevant“ |
| Rollenmodell | Verantwortlichkeiten im ISMS | GOV-001 | ISB | ISB, IT-Leitung, Prozessowner |
Verteilung der führenden Zuständigkeiten
Zuordnung führender Verantwortlichkeiten zu Praktiken, Zielobjektkategorien und wesentlichen Anforderungen.
Wirksamkeitsprüfung der Anforderungen
Verfahren, Kriterien und Dokumentation zur Prüfung der Wirksamkeit.
Risikomanagement und Risikobetrachtung (PS 2)
Risikomanagement-Rahmen
Bewertungsmethode, Risikokriterien, Risikokategorien, Rollen, Umgang mit Restrisiken.
Identifizierte Risiken
Risiken aus Anforderungen, Prozessen, Assets.
Bewertung
Eintrittswahrscheinlichkeit, Auswirkung.
Risikobehandlung
Akzeptieren, reduzieren, vermeiden, übertragen.
Auslöser für Risikobetrachtungen
Gemäß GS++ erforderlich bei:
- hohem Schutzbedarf
- Herabstufung von Schutzbedarf
- Nicht‑Umsetzung von Anforderungen
- ergänzenden Anforderungen
- wesentlichen Änderungen
- neuen Bedrohungen oder Schwachstellen
Infrastruktur (optional)
Netzplan
Übersicht der Netzsegmente.
Komponentenlisten
Server, Clients, Netzwerkgeräte.
Technische Räume
Rechenzentren, Serverräume.
Dienstleister / Zulieferer
Externe Dienstleister
Cloud, Hosting, Support.
Sicherheitsrelevante Abhängigkeiten
Welche Anforderungen gelten.
Schnittstellen zu anderen Managementsystemen
Datenschutz-Management
Abstimmung mit Datenschutzanforderungen und -prozessen.
Business Continuity / Notfallmanagement
Schnittstellen zu BCM/Notfallkonzepten.
Qualitätsmanagement und IT-Service-Management
Abhängigkeiten und gemeinsame Prozesse.
Audit- und Compliance-Management
Verzahnung mit internen und externen Audits sowie Compliance-Prozessen.
Überwachung und Validierung (PS 4)
Leistungsbewertung des ISMS
Regelmäßige Bewertung der Zielerreichung, Kennzahlen, Wirksamkeit der Maßnahmen.
Überwachung der Compliance
Überprüfung der Einhaltung gesetzlicher, vertraglicher und interner Vorgaben.
Auditprogramm und -durchführung
Planung, Durchführung, Dokumentation interner und externer Audits.
Bewertungsschema und Auditberichte
Bewertungskriterien, Dokumentationsanforderungen.
Validierung der Anforderungen
Prüfung, ob Anforderungen weiterhin gültig, angemessen und vollständig sind.
Kontinuierliche Verbesserung (PS 5)
Umgang mit Nicht-Konformitäten
Dokumentation, Analyse und Behandlung von Abweichungen vom definierten ISMS, von Anforderungen oder von internen Vorgaben. Festlegung von Verantwortlichkeiten, Fristen und Nachverfolgung der Maßnahmen.
Identifikation von Verbesserungspotenzialen
Erkenntnisse aus Audits, Monitoring, Sicherheitsvorfällen, Meldungen aus der Organisation, Lessons Learned und Änderungen im Kontext (z. B. neue Bedrohungen, neue regulatorische Anforderungen).
Korrektur- und Verbesserungsvorschläge
Erstellung, Bewertung und Priorisierung von Vorschlägen zur Beseitigung von Schwachstellen und zur Verbesserung der Wirksamkeit des ISMS und der umgesetzten Maßnahmen.
Korrektur- und Verbesserungsplanung
Planung der Umsetzung von Korrektur- und Verbesserungsmaßnahmen, inklusive Verantwortlichkeiten, Ressourcen, Fristen und Erfolgskriterien.
Wirksamkeitsprüfung
Überprüfung, ob umgesetzte Maßnahmen die beabsichtigte Wirkung erzielt haben und ob Nicht-Konformitäten nachhaltig behoben wurden.
Bewertung der erreichten Verbesserung
Dokumentation der Ergebnisse, Bewertung des erreichten Verbesserungsniveaus und Ableitung weiterer Schritte im Rahmen des kontinuierlichen Verbesserungsprozesses.
Behandlung von Compliance-Verstößen
Verfahren zur Erkennung, Bewertung, Eskalation und Behandlung von Verstößen gegen gesetzliche, vertragliche oder interne Vorgaben. Dokumentation, Ursachenanalyse und Ableitung von Maßnahmen zur Vermeidung zukünftiger Verstöße.
PDCA-Einbettung
Die Strukturanalyse ist Teil des kontinuierlichen Verbesserungsprozesses und wird regelmäßig aktualisiert.
- PLAN: Prozessschritt 1 (Erhebung und Planung) und Prozessschritt 2 (Anforderungsanalyse)
- DO: Prozessschritt 3 (Realisierung)
- CHECK: Prozessschritt 4 (Überwachung)
- ACT: Prozessschritt 5 (kontinuierliche Verbesserung)
Vorgehensweise zur Anwendung von GS++ und Freigabe
Die Organisation betreibt ihr Informationssicherheits-Managementsystem (ISMS) gemäß BSI Grundschutz++.
Beschreibung des Vorgehensmodells, der Iterationslogik und der Anwendung der GS++-Methodik auf den Informationsverbund. Die Strukturanalyse und die darauf aufbauenden Dokumente werden durch die Leitung der Organisation freigegeben. Änderungen an der Strukturanalyse folgen einem definierten Änderungs- und Freigabeprozess.
Anlagen
- Organigramm
- Prozesslandkarte
- Asset-Listen
- Zielobjektkategorien
- Anforderungspaket
- Risikoanalyse-Matrix
