Schutzbedarfsanalyse
- Grundlegende Definitonen nach BSI-Grundschutz
- Definition Schutzbedarfskategorien
- Schutzbedarfsfeststellung
❓💬 Welchen Zweck erfüllt die Schutzbedarfsanalyse?
❓❗ Wie wird die Schutzbedarfsanalyse durchgeführt?
Grundlegende Definitonen nach BSI-Grundschutz
Zielobjekte für Schutzbedarfsfeststellung
- Daten
- datenverarbeitende Prozesse, Anwendungen, Systeme
- Kommunikationsverbindungen
- Räume
6 Schadensszenarien
- Beeinträchtigungen der persönlichen Unversehrtheit
- Verstöße gegen Gesetze, Vorschriften oder Verträge
- Beeinträchtigungen des informationellen Selbstbestimmungsrechts
- Beeinträchtigungen der Aufgabenerfüllung
- negative Innen- oder Außenwirkung
- finanzielle Auswirkungen
3 Schutzbedarfskategorien
- Normaler Schutzbedarf
- Hoher Schutzbedarf
- Sehr hoher Schutzbedarf
4 Risikokategorien
(für Risikoanalyse — bitte nicht mit Schutzbedarfskategorien verwechseln)
- Geringes Risiko
- Mittelmäßiges Risiko
- Hohes Risiko
- Sehr hohes Risiko
Definition Schutzbedarfskategorien
Schadensszenario x Schutzbedarfskategorie
z.B.
| Normaler Schutzbedarf | Hoher Schutzbedarf | Sehr hoher Schutzbedarf | |
|---|---|---|---|
| - mögliche Beeinträchtigungen der persönlichen Unversehrtheit | nein | nicht stark/dauerhaft | stark/dauerhaft |
| - mögliche Verstöße gegen Gesetze, Vorschriften oder Verträge | geringfügige Strafen | schwerwiegende/hohe Strafen | existenzbedrohende Strafen |
| - mögliche Beeinträchtigungen des informationellen Selbstbestimmungsrechts | geringfügige/tolerierbare Auswirkungen für Betroffenen | Beeinträchtigungen, aber ohne dauerhaften Folgen | stark/dauerhaft |
| - mögliche Beeinträchtigungen der Aufgabenerfüllung | allenfalls unerheblich | erhebliche Beeinträchtigung; Ausfallzeiten >24h nicht tolerierbar | starke Beeinträchtigung; Ausfallzeiten >2h nicht tolerierbar |
| - mögliche negative Innen- oder Außenwirkung | kein Ansehensverlust bei Kunden und Geschäftspartnern | Ansehen bei Kunden/Geschäftspartnern wird erheblich beeinträchtigt | Ansehen bei Kunden/Geschäftspartnern wird grundlegend und nachhaltig beschädigt |
| - möglicher finanzieller Schaden | geringfügig (< XXX €) | schwerwiegende/hoch (< YYYYYY €) | existenzbedrohend (>= YYYYYY €) |
Schutzbedarfsfeststellung
(Zielobjekte x Schutzziele x Schadensszenarien => Schutzbedarfskategorie)
💡 BSI Checkliste für das Interview zur Schutzbedarfsfeststellung
Beispiel
Vererbung und Maximumprinzip
Maximumprinzip: von allen Einzelbewertungen wird der höchste Schutzbedarf für das Gesamtsystem übernommen
Interpretation
Für normalen Schutzbedarf:
- IT-Grundschutzhandbuch -> IT-Grundschutz-Kataloge -> IT-Grundschutz-Kompendium
Zusätzlicher Analysebedarf (Risikoanalyse) falls:
- Ein Zielobjekt hat einen hohen oder sehr hohen Schutzbedarf in mindestens einem der Schutzziele
- Es gibt für ein Zielobjekt keinen hinreichend passenden Baustein im IT-Grundschutz-Kompendium.
- Es gibt zwar einen geeigneten Baustein, die Einsatzumgebung des Zielobjekts ist allerdings für den IT-Grundschutz untypisch.