Schutzbedarf
Einleitung
Ein zentraler Bestandteil eines ISMS ist u.a. die Durchführung einer Schutzbedarfsfeststellung für die zu verarbeitenden Informationen.
Die Schutzbedarfsfeststellung muss für jede(n) Geschäftsprozess und/oder Anwendung getrennt durchgeführt werden und der festgestellte Schutzbedarf vererbt sich auf die folgenden Zielobjekte (Anwendungen, Netze, IT-Systeme) die von dem jeweiligen Geschäftsprozess oder der Anwendung genutzt werden.
Bei Informationsverbünden für die die Basis-Absicherung entfällt die Schutzbedarfsfeststellung da die Basis-Absicherung grundsäztlich von einem Schutzbedarf "normal" in allen Grundwerten ausgeht.
Grundwerte
Die Schutzbedarfsfeststellung erfolgt getrennt für die drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit.
Die drei Grundwerte müssen durchgängig getrennt betrachtet werden, da sich diese auch in den Maßnahmen grundlegend unterscheiden.
Schutzstufen
Zunächst sind Schutzstufen (Schutzbedarfskategorien) zu definieren. Durch das BSI werden folgende drei Schutzstufen vorgeschlagen:
- normal (Die Schadensauswirkungen sind begrenzt und überschaubar)
- hoch (Die Schadensauswirkungen können beträchtlich sein)
- sehr hoch (Die Schadensauswirkungen können existenzbedrohend sein)
Es können auch hiervon abweichende oder zusätzliche Schutzstufen definiert werden. Mehr als 3-4 Schutzstufen erscheint jedoch nicht sinnvoll, da die Einstufung selten an klar definierten Kennzahlen erfolgen kann und daher oft subjektiv geprägt ist.
Schadensszenarien
Zur besseren Bewertbarkeit werden die Schutzstufen in verschiedenen Schadensszenarien betrachtet. Für jedes Schadensszenario werden die Schutzstufen einzeln definiert:
| Schadnsszenario | normal | hoch | sehr hoch |
|---|---|---|---|
| 1. Verstoß gegen Gesetze, Vorschriften, Verträge | Verstöße gegen Vorschriften und Gesetze mit geringfügigen Konsequenzen. Geringfügige Vertragsverletzungen mit maximal geringen Konventionalstrafen. | Verstöße gegen Vorschriften und Gesetze mit erheblichen Konsequenzen. Vertragsverletzungen mit hohen Konventionalstrafen. | Fundamentaler Verstoß gegen Vorschriften und Gesetze. Vertragsverletzungen, deren Haftungsschäden ruinös sind. |
| 2. Beeinträchtigung des informationellen Selbstbestimmungsrechts (personenbezogene Daten) | Es handelt sich um personenbezogene Daten, durch deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden kann. | Es handelt sich um personenbezogene Daten, bei deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann. | Es handelt sich um personenbezogene Daten, bei deren Verarbeitung eine Gefahr für Leib und Leben oder die persönliche Freiheit des Betroffenen gegeben ist. |
| 3. Beeinträchtigung der persönlichen Unversehrtheit | Eine Beeinträchtigung erscheint nicht möglich. | Eine Beeinträchtigung der persönlichen Unversehrtheit kann nicht absolut ausgeschlossen werden. | Gravierende Beeinträchtigungen der persönlichen Unversehrtheit sind möglich. Gefahr für Leib und Leben. |
| 4. Beeinträchtigung der Aufgabenerfüllung | Die Beeinträchtigung würde von den Betroffenen als tolerabel eingeschätzt werden. Die maximal tolerierbare Ausfallzeit liegt zwischen 24 und 72 Stunden. | Die Beeinträchtigung würde von einzelnen Betroffenen als nicht tolerabel eingeschätzt. Die maximal tolerierbare Ausfallzeit liegt zwischen einer und 24 Stunden. | Die Beeinträchtigung würde von allen Betroffenen als nicht tolerabel eingeschätzt werden. Die maximal tolerierbare Ausfallzeit ist kleiner als eine Stunde. |
| 5. Negative Innen- oder Außenwirkung | Eine geringe bzw. nur interne Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten. | Eine breite Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten. | Eine landesweite Ansehens- oder Vertrauensbeeinträchtigung, eventuell sogar existenzgefährdender Art, ist denkbar. |
| 6. Finanzielle Auswirkungen | Der finanzielle Schaden bleibt für die Institution tolerabel. | Der Schaden bewirkt beachtliche finanzielle Verluste, ist jedoch nicht existenzbedrohend. | Der finanzielle Schaden ist für die Institution existenzbedrohend. |
Vererbungsprinzipen
Die folgenden Vererbungsprinzipen des Schutzbedarfs können je nach Bedarf angewendet werden:
Maximumprinzip
Im Maximumprizip (Standard) wird der jeweils höchste Einzelwert betrachtet, d.h. wenn mehrere unterschiedliche Schutzstufen gemeinsam betrachtet werden, zählt nur die höchste Einzel-Stufe für das Gesamtsystem. Z.B. Nutzen drei Systeme unterschiedlichen Schutzbedarfs im Grundwert Verfügbarkeit eine Netzkomponente, erhält diese gemeinsame Netzkomponente die höchste Schutzbedarfsstufe der drei einzelnen Systeme.
Verteilungseffekt
Der Verteilungseffekt bedeutet das sich das Risiko über mehrere Systeme verteilen kann und daher die Schutzstufe des Gesamtsystems sinkt.
Z.B.: Wenn der Schutzbedarf eines einzelnen Systems im Grundwert Verfügbarkeit "hoch" ist, davon aber mehrere Systeme vorhanden sind, die sich gegenseitig ersetzen können, kann der Schutzbedarf im Gesamtsystem auf "normal" sinken, da der Ausfall eines einzelnen System im Gesamtsystem kompensiert werden kann.
Kumulationseffekt
Der Kumulationseffekt ist das Gegenteil vom Verteilungseffekt, hier kann die Kumulation mehrerer Systeme zu einer Erhöhung des Schutzbedarfs des Gesamtsystems führen. Z.B.: Auf einem Server laufen viele Anwendungen mit dem Schutzbedarf "normal", Der Ausfall einer einzelnen Anwendung ist unkritisch. Fällt dagegen der Server aus, fallen auch alle Anwendungen auf dem Server aus, was für das Gesamtsystem kritisch ist, daher bekommt der Server aufgrund des Kumulationseffekts den Schutzbedarf "hoch" auch wenn jede einzelne Anwendung nur einen normalen Schutzbedarf vererbt.
Schutzbedarfsfeststellung
Vererbung in der Praxis
Auswirkungen auf weitere Schritte
Bei einem Schutzbedarf über "normal" muss im Rahmen einer Riskoanalyse festgestellt werden ob die Standard-Anforderungen des Grundschutz ausreichend sind oder ob (und wo) zusätzliche Maßnahmen erforderlich sind.
