|
2.2 Schutzbedarfsfeststellung
Bei der Erstellung eines IT-Sicherheitskonzepts ist die erste und wichtigste Aufgabe festzustellen, welcher Schutz für die IT-Systeme, IT-Anwendungen und Informationen ausreichend und angemessen ist. Dazu wird der Schutzbedarf ermittelt. Er gibt an, welche möglichen Schäden beim IT-Einsatz entstehen können, und wie wichtig es daher ist, den Eintritt solcher Schäden zu verhindern.
In Phase 1 werden hierzu zunächst alle vorhandenen und geplanten IT-Systeme erfaßt. Dann werden in Phase 2 die IT-gestützten Fachaufgaben betrachtet. Die zur Aufgabenerfüllung erforderlichen IT-Anwendungen und die zugehörigen Informationen werden - sortiert nach den IT-Systemen - erfaßt. In Phase 3 werden die Schäden ermittelt, die beim Verlust von Vertraulichkeit, Integrität und Verfügbarkeit entstehen können. Diese Schäden werden für jedes IT-System in ihrer Gesamtheit betrachtet. Aus diesen Schäden und ihren Folgen leitet sich der Schutzbedarf für die eingesetzte IT ab.
Die Entscheidung, ob für ein betrachtetes IT-System der IT-Grundschutz ausreichend ist oder ob zur Ermittlung geeigneter IT-Sicherheitsmaßnahmen eine Risikoanalyse durchzuführen ist, hängt von dem ermittelten Schutzbedarf ab: Liegen die für ein IT-System insgesamt ermittelten möglichen Schäden im niedrigen bis mittleren Bereich, so ist die Realisierung von IT-Grundschutz für dieses IT-System ausreichend. Sind hohe Schäden zu erwarten, so ist die Durchführung einer Risikoanalyse, zum Beispiel nach dem IT-Sicherheitshandbuch, erforderlich.
Hinweis: Da anhand der Feststellung des Schutzbedarfs über die weitere Vorgehensweise der IT-Sicherheitskonzeption entschieden wird, ist dieser Schutzbedarfsfeststellung große Bedeutung beizumessen. Entsprechend sorgfältig und gründlich muß sie durchgeführt werden. Werden bei der Schutzbedarfsfeststellung bereits Fehler gemacht, so pflanzen sich diese im weiteren Verfahren fort und sind kaum noch zu korrigieren.
Im folgenden werden die einzelnen Phasen zur Schutzbedarfsfeststellung beschrieben:
Phase 1: Erfassung der IT-Systeme
Zunächst werden die vorhandenen und geplanten IT-Systeme
aufgelistet. Hierbei steht die technische Realisierung eines IT-Systems im
Vordergrund, z. B. stand-alone PC, Windows NT-Server, PC-Client unter Windows
95, Unix-Server, TK-Anlage. An dieser Stelle soll nur das System als solches
erfaßt werden (z. B. Unix-Server), nicht die einzelnen Bestandteile/Objekte,
aus denen das IT-System zusammengesetzt ist (also nicht: Rechner, Tastatur,
Bildschirm, Drucker etc.).
Bei dieser Erfassung ist es sinnvoll, zusätzliche nützliche Informationen zu
erfassen, die die nachfolgende Arbeit erleichtern werden:
- Vergabe einer laufenden Nummer,
- Bezeichnung und Art des IT-Systems,
- Installationsort des IT-Systems,
- Vernetzung des IT-Systems,
- Typ des IT-Systems (stand-alone, Client, Server, ...),
- Status des IT-Systems (in Betrieb, im Test, in Planung) und
- Benutzer des IT-Systems.
Unter der Rubrik "Vernetzung des IT-Systems" können folgende Informationen
erfaßt werden:
- für stand-alone IT-Systeme sind keine Angaben zu machen,
- für einen Client ist anzugeben, an welches Netzsegment er angeschlossen ist
und welche Netzwerkressourcen (Server, Printer, etc.) er typischerweise
nutzt,
- für einen Server ist anzugeben, an welches Netzsegment er angeschlossen ist,
zu welchem logischen Netz er gehört und welche Netzdienste (zum Beispiel
Internet-Zugang, FTP, E-Mail-Service) er anbietet und
- für sonstige IT-Systeme ist anzugeben, mit welchen IT-Systemen sie vernetzt
sind.
Diese Auflistung kann in einer Tabelle erfolgen. Ein Beispiel soll dies
veranschaulichen:
| Tabelle vorhandener und geplanter IT-Systeme | ||||||
|---|---|---|---|---|---|---|
| Nr. | Bezeichnung und Art | Ort | Typ | Vernetzung | Status | Benutzer |
| 1 | PERSO, Unix-System | Haus 1 | Server | Token-Ring 1, Personalnetz, keine Dienste | im Test | Abt. 1 |
| 2 | TK, TK-Anlage | Haus 2 | stand-alone | --- | in Betrieb | alle |
| 3 | ENTE, Windows NT-System | Haus 2 | Server | Ethernetsegment 2, Hausnetz, Internet, FTP | in Betrieb | Abt. 6 |
| 4 | PC-6.3-1, DOS-PC | Haus 2 | Client | Ethernetsegment 2, Server Nr. 3 | in Betrieb | Ref. 6.3 |
| 5 | PC-6.3-2, DOS-PC | Haus 2 | Client | Ethernetsegment 2, Server Nr. 3 | in Betrieb | Ref. 6.3 |
| 6 | PC-5.4-1, DOS-PC | Haus 3 | stand-alone | --- | geplant | Ref. 5.4 |
| ... | ||||||
Hinweis: Sollte eine so große Anzahl von IT-Systemen vorhanden sein, daß eine vollständige Erfassung nicht angemessen erscheint, so kann man gleiche IT-Systeme zu Gruppen zusammenfassen, wenn von Anwendungsstruktur und -ablauf vergleichbare IT-Anwendungen auf diesen IT-Systemen laufen. Dies gilt insbesondere für PCs, die oft in großer Anzahl vorhanden sind.
Phase 2: Erfassung der IT-Anwendungen und der zugehörigen Informationen
Ziel ist es, die jeweils wichtigsten auf dem betrachteten IT-System laufenden oder geplanten IT-Anwendungen festzustellen. Zu jedem IT-System sollten die Grundwerte der IT-Sicherheit - Vertraulichkeit, Integrität und Verfügbarkeit - betrachtet werden. Vertraulichkeit soll sicherstellen, daß der Zugriff auf bestimmte Daten und Informationen nur berechtigten Benutzern ermöglicht wird. Integrität bezeichnet die Korrektheit, Manipulationsfreiheit und Unversehrtheit von Daten und Informationen. Verfügbarkeit charakterisiert ein IT-System, dessen Daten und Informationen, Prozesse und IT-Anwendungen zur rechten Zeit bereitstehen.
Um den Schutzbedarf eines IT-Systems zu bestimmen, müssen
zuerst diejenigen IT-Anwendungen des jeweiligen IT-Systems benannt werden,
- deren Daten/Informationen und Programme den höchsten Bedarf an
Vertraulichkeit besitzen,
- deren Daten/Informationen und Programme den höchsten Bedarf an Integrität
besitzen,
- die die kürzeste tolerierbare Ausfallzeit haben.
Dazu sollten alle oder zumindest die wichtigsten IT-Anwendungen eines IT-Systems aufgelistet und nach den drei oben genannten Kriterien vorsortiert werden. Eine genauere Sortierung wird nach der Ermittlung von Schäden und der Ableitung des Schutzbedarfs in Phase 3 erarbeitet. Zur Vorsortierung kann evtl. auf bereits vorhandene IT-Sicherheitskonzepte und die dort vorgenommenen Bewertungen zurückgegriffen werden. In jedem Fall sollten auch die Benutzer bzw. die für die IT-Anwendungen Verantwortlichen nach ihrer Einschätzung befragt werden.
Die Ergebnisse können wiederum in einer Tabelle beschrieben werden. Beispiel:
| Liste von IT-Anwendungen je IT-System | ||
|---|---|---|
| Nr. | Bezeichnung und Art | IT-Anwendungen (grob absteigend vorsortiert) |
| 1 | PERSO, Unix-System | Personaldatenverarbeitung |
| 2 | TK, TK-Anlage | Gebührenabrechnung, Telefonie |
| 3 | ENTE, Windows NT-System | Reisekostenabrechnung, Dokumentenverwaltung |
| 4 | PC-6.3-1, DOS-PC | Reisekostenabrechnung |
| 5 | PC-6.3-2, DOS-PC | Dokumentenverwaltung |
| 6 | PC-5.4-1, DOS-PC | Inventarliste, Bestellwesen |
| .. | ||
IT-Sicherheitskonzeption für deutsche Bundesbehörden
Für deutsche Bundesbehörden kann vorausgesetzt werden, daß sie in IT-Rahmenkonzepten die eingesetzte IT und die darauf ablaufenden IT-Anwendungen vollständig dargestellt haben. Diese Informationen können für die hier vorgestellte Schutzbedarfsfeststellung arbeitsökonomisch übernommen werden.
Auf dieser Grundlage kann wie folgt vorgegangen werden:
Bei der Erfassung der vorhandenen und geplanten IT-Systeme (Phase 1) werden die notwendigen Informationen dem IT-Rahmenkonzept (oder dem fortzuschreibenden IT-Sicherheitskonzept) entnommen. Ggf. sollten sie für die Schutzbedarfsfeststellung präzisiert oder ergänzt werden, damit sichergestellt ist, daß die Erfassung der IT-Systeme vollständig ist.
In Phase 2 werden die im IT-Rahmenkonzept beschriebenen IT-Anwendungen und die von ihnen verarbeiteten Informationen den einzelnen IT-Systemen zugeordnet.
Zur Vorbereitung der Phase 3 kann zur besseren Einschätzung und Bewertung möglicher Schäden die Aussage getroffen werden, wie wichtig die IT-Anwendungen und Informationen für die Erledigung der entsprechenden Fachaufgabe sind, wie sehr also die Erfüllung der Fachaufgabe der Behörde vom sicheren IT-Einsatz abhängig ist. Für diese Einschätzung kann die nachfolgende Tabelle als Orientiertung dienen:
| Der IT-Einsatz ist für die Erfüllung der Fachaufgabe: | |
|---|---|
| unterstützend | Die Fachaufgabe ist bei geringem Mehraufwand mit anderen Mitteln (z. B. manuell) zu erfüllen. |
| wichtig | Die Fachaufgabe ist nur mit deutlichem Mehraufwand mit anderen Mitteln zu erfüllen. |
| wesentlich | Die Menge der anfallenden Vorgänge/Informationen läßt lediglich ein fragmentarisches Erfüllen der Fachaufgabe mit den verfügbaren Ressourcen zu. |
| hochgradig notwendig | Die Fachaufgabe kann ohne IT-Einsatz überhaupt nicht durchgeführt werden. |
Für die Erfassung der notwendigen Informationen kann das als Hilfsmittel beigefügte "Formular Schutzbedarfsfeststellung" benutzt werden.
Für die Schutzbedarfsfeststellung muß sichergestellt werden, daß zumindest die IT-Anwendungen, die einen hohen Schutzbedarf besitzen, erfaßt werden. Nur so kann erreicht werden, daß der Schutzbedarf der IT-Systeme korrekt ermittelt und die Entscheidung für IT-Grundschutz oder Risikoanalyse korrekt gefällt wird. Falls Unsicherheiten bestehen, ob sämtliche dieser hochschutzbedürftigen IT-Anwendungen damit erfaßt sind, empfiehlt es sich, die IT-Anwendungen auf diesem IT-System vollständig zu erfassen.
Auch unter dem Aspekt, daß IT-Anwendungen durch Informationsaustausch gegenseitig abhängig sind und daher Sicherheitsanforderungen einer IT-Anwendung u. U. auf eine andere übertragen werden müssen, oder daß Kumulationseffekte auftreten können, ist der vollständige Überblick oder die vollständige Erfassung aller IT-Anwendungen und der zugehörigen Informationen von Bedeutung.
Phase 3: Schutzbedarfsfeststellung für jedes IT-System
In dieser Phase soll die Frage beantwortet werden, welche Schäden zu erwarten sind, wenn Vertraulichkeit, Integrität oder Verfügbarkeit einer IT-Anwendung und/oder der zugehörigen Informationen ganz oder teilweise verloren gehen. Die zu erwartenden Schäden bestimmen den Schutzbedarf. An dieser Stelle ist eine Einteilung des Schutzbedarfs in drei Kategorien ausreichend:
| Schutzbedarfskategorien | |
|---|---|
| "niedrig bis mittel" | Die Schadensauswirkungen sind begrenzt und überschaubar. Maßnahmen des IT-Grundschutzes reichen im allgemeinen aus. |
| "hoch" | Die Schadensauswirkungen können beträchtlich sein, IT-Grundschutzmaßnahmen alleine sind ggf. nicht ausreichend. Die weitergehenden Maßnahmen sollten auf Basis einer individuellen Risikoanalyse ermittelt werden. |
| "sehr hoch" | Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. IT-Grundschutzmaßnahmen alleine reichen i. a. nicht aus. Die erforderlichen Sicherheitsmaßnahmen müssen individuell auf der Grundlage einer Risikoanalyse ermittelt werden. |
Schutzbedarfsfeststellung anhand von Schäden und ihren Folgen
Ausgehend von der Vorstellung, daß Vertraulichkeit, Integrität oder Verfügbarkeit einer IT-Anwendung oder der zugehörigen Informationen verloren gehen, werden die maximalen Schäden und Folgeschäden betrachtet, die aus einer solchen Situation entstehen können. Unter der Fragestellungwerden aus Sicht der Anwender realistische Schadenszenarien entwickelt und die zu erwartenden materiellen oder ideellen Schäden beschrieben.
Es ist unbedingt erforderlich, die Verantwortlichen und die Benutzer der betrachteten IT-Anwendung nach ihrer Einschätzung zu befragen. Sie haben i. a. eine gute Vorstellung darüber, welche Schäden entstehen können.
Schadenskategorien für Schäden und ihre Folgen
Um die möglichen Schäden besser einschätzen zu können, werden nachfolgend einige typische Schadenskategorien erläutert. Sie werden ergänzt um spezifische Fragestellungen, die bei der Bewertung der möglichen Schäden bzw. Folgeschäden berücksichtigt werden können. Diese Anregungen können nicht vollständig sein. In jedem Fall müssen Überlegungen, die die individuelle Aufgabenstellung und Situation der Institution berücksichtigen, diese Aufzählungen ergänzen. Es muß daher überlegt werden, ob - über diese Fragen hinaus - weitere Schäden denkbar sind, und damit weitere Anforderungen an die Sicherheit des IT-Einsatzes formuliert werden müssen.
Verstoß gegen Gesetze/Vorschriften/Verträge
Aus dem Verlust der Vertraulichkeit, der Integrität und der
Verfügbarkeit können derlei Verstöße resultieren. Die Schwere des Schadens ist
dabei oftmals abhängig davon, welche rechtlichen Konsequenzen daraus für die
Institution entstehen können.
Beispiele für relevante Gesetze sind:
Grundgesetz, Bürgerliches Gesetzbuch, Strafgesetzbuch (2.
Wirtschaftskriminalitätsgesetz), Bundesdatenschutzgesetz und Datenschutzgesetze
der Länder, Sozialgesetzbuch, Handelsgesetzbuch, Personalvertretungsgesetz,
Betriebsverfassungsgesetz, Urheberrechtsgesetz, Patentgesetz. Beispiele für
relevante Vorschriften sind:
Verwaltungsvorschriften, Verordnungen und Dienstvorschriften.
Beispiele für Verträge:
Dienstleistungsverträge im Bereich Datenverarbeitung, Verträge zur Wahrung von
Betriebsgeheimnissen.
Fragen:
Verlust der Vertraulichkeit
Erfordern gesetzliche Auflagen die Vertraulichkeit der Daten?
Ist im Falle einer Veröffentlichung von Informationen mit Strafverfolgung oder
Regreßforderungen zu rechnen?
Sind Verträge einzuhalten, die die Wahrung der Vertraulichkeit bestimmter
Informationen beinhalten?
Verlust der Integrität
Erfordern gesetzliche Auflagen die Integrität der Daten?
In welchem Maße wird durch einen Verlust der Integrität gegen
Vorschriften/Gesetze verstoßen?
Verlust der Verfügbarkeit
Sind im Falle des Ausfalls einer schutzbedürftigen IT-Anwendung auf dem
betrachteten IT-System Verstöße gegen Vorschriften oder sogar Gesetze die
Folge? Wenn ja, in welchem Maße?
Schreiben Gesetze die dauernde Verfügbarkeit bestimmter Informationen vor?
Gibt es Termine, die bei Einsatz des IT-Systems zwingend einzuhalten sind?
Gibt es vertragliche Bindungen für bestimmte einzuhaltende Termine?
Beeinträchtigung des informationellen Selbstbestimmungsrechts
Bei der Implementation und dem Betrieb von IT-Systemen und
IT-Anwendungen besteht die Gefahr einer Verletzung des informationellen
Selbstbestimmungsrechts bis hin zu einem Mißbrauch personenbezogener Daten.
Beispiele für die Beeinträchtigung des informationellen Selbstbestimmungsrechts
sind:
- Unzulässige Erhebung personenbezogener Daten ohne Rechtsgrundlage oder
Einwilligung,
- Unbefugte Kenntnisnahme bei der Datenverarbeitung bzw. der Übermittlung von
personenbezogenen Daten,
- Nutzung von personenbezogenen Daten zu einem anderen, als dem bei der
Erhebung zulässigen Zweck,
- Verfälschung von personenbezogenen Daten in IT-Systemen oder bei der
Übertragung.
Die folgenden Fragen können zur Abschätzung möglicher Folgen und Schäden
herangezogen werden:
Fragen:
Verlust der Vertraulichkeit
Welche Schäden können für den Betroffenen entstehen, wenn seine
personenbezogenen Daten nicht vertraulich behandelt werden?
Werden personenbezogene Daten für unzulässige Zwecke verarbeitet?
Ist es im Zuge einer zulässigen Verarbeitung personenbezogener Daten möglich,
aus diesen Daten z. B. auf den Gesundheitszustand oder die wirtschaftliche
Situation einer Person zu schließen?
Welche Schäden können durch den Mißbrauch der im IT-System gespeicherten
personenbezogenen Daten entstehen?
Verlust der Integrität
Welche Schäden würden für den Betroffenen entstehen, wenn seine
personenbezogenen Daten im IT-System unabsichtlich verfälscht oder absichtlich
manipuliert würden?
Wann würde der Verlust der Integrität personenbezogener Daten frühestens
auffallen?
Verlust der Verfügbarkeit
Können bei Ausfall des IT-Systems oder bei einer Störung einer Datenübertragung
personenbezogene Daten verlorengehen oder verfälscht werden, so daß der
Betroffene in seiner gesellschaftlichen Stellung beeinträchtigt wird oder gar
persönliche oder wirtschaftliche Nachteile zu befürchten hat?
Beeinträchtigung der persönlichen Unversehrtheit
Die Fehlfunktion eines IT-Systems oder einer IT-Anwendung kann unmittelbar die Verletzung, die Invalidität oder den Tod von Personen nach sich ziehen. Die Höhe des Schadens ist am direkten persönlichen Schaden zu messen.
Beispiele für solche IT-Systeme sind:
- medizinische Überwachungsrechner,
- medizinische Diagnosesysteme,
- Flugkontrollrechner und
- Verkehrsleitsysteme.
Fragen:
Verlust der Vertraulichkeit
Kann durch das Bekanntwerden personenbezogener Daten eine Person physisch oder
psychisch geschädigt werden?
Verlust der Integrität
Können durch manipulierte Programmabläufe oder Daten Menschen gesundheitlich
gefährdet werden?
Verlust der Verfügbarkeit
Bedroht der Ausfall einer IT-Anwendung oder des IT-Systems unmittelbar die
persönliche Unversehrtheit von Personen?
Beeinträchtigung der Aufgabenerfüllung
Gerade der Verlust der Verfügbarkeit eines IT-Systems oder der Integrität der Daten kann die Aufgabenerfüllung in einem Unternehmen oder in einer Behörde erheblich beeinträchtigen. Die Schwere des Schadens richtet sich hierbei nach der zeitlichen Dauer der Beeinträchtigung und nach dem Umfang der Einschränkungen der angebotenen Dienstleistungen.
Beispiele sind:
- Fristversäumnisse durch verzögerte Bearbeitung von Verwaltungsvorgängen,
- verspätete Lieferung aufgrund verzögerter Bearbeitung von Bestellungen,
- fehlerhafte Produktion aufgrund falscher Steuerungsdaten,
- unzureichende Qualitätssicherung durch Ausfall eines Testsystems.
Fragen
Verlust der Vertraulichkeit
Gibt es Daten, deren Vertraulichkeit die Grundlage für die Aufgabenerfüllung
ist (z. B. Strafverfolgungsinformationen, Ermittlungsergebnisse)?
Verlust der Integrität
Können Datenveränderungen die Aufgabenerfüllung dergestalt einschränken, daß
die Institution handlungsunfähig wird?
Entstehen erhebliche Schäden, wenn die Aufgaben trotz verfälschter Daten
wahrgenommen werden? Wann werden unerlaubte Datenveränderungen frühestens
erkannt?
Können verfälschte Daten in einer IT-Anwendung zu Fehlern in anderen
IT-Anwendungen führen?
Verlust der Verfügbarkeit
Kann durch den Ausfall eines IT-Systems oder Teilsystems die Aufgabenerfüllung
der Institution so stark beeinträchtigt werden, daß die Wartezeiten für die
Betroffenen nicht mehr tolerabel sind?
Sind von dem Ausfall dieser IT-Anwendung andere IT-Anwendungen betroffen?
Ist es für die Institution bedeutsam, daß der Zugriff auf IT-Anwendungen nebst
Programmen und Daten ständig gewährleistet ist?
Negative Außenwirkung
Durch den Verlust eines der Grundwerte Vertraulichkeit,
Integrität oder Verfügbarkeit in einem IT-System können verschiedenartige
negative Außenwirkungen entstehen, zum Beispiel:
- Ansehensverlust einer Behörde/eines Unternehmens,
- Vertrauensverlust gegenüber einer Behörde/einem Unternehmen,
- Beeinträchtigung der wirtschaftlichen Beziehungen zusammenarbeitender
Unternehmen,
- verlorenes Vertrauen in die Arbeitsqualität einer Behörde/eines
Unternehmens,
- Einbuße der Konkurrenzfähigkeit.
Die Höhe des Schadens orientiert sich an der Schwere des Vertrauensverlustes
oder des Verbreitungsgrades der Außenwirkung.
Ursachen für diese Schäden können vielfältiger Natur sein:
- Handlungsunfähigkeit einer Behörde durch IT-Ausfall,
- fehlerhafte Veröffentlichungen durch manipulierte Daten,
- Fehlbestellungen durch mangelhafte Lagerhaltungsprogramme,
- Nichteinhaltung von Schweigepflichten,
- Weitergabe von Fahndungsdaten an interessierte Dritte,
- Zuspielen vertraulicher Informationen an die Presse.
Fragen
Verlust der Vertraulichkeit
Welche Konsequenzen ergeben sich für die Institution durch die unerlaubte
Veröffentlichung der im IT-System gespeicherten schutzbedürftigen Daten?
Kann der Vertraulichkeitsverlust der im IT-System gespeicherten Daten zu einer
Schwächung der Wettbewerbsposition führen?
Entstehen bei Veröffentlichung von vertraulichen, im IT-System gespeicherten
Daten Zweifel an der amtlichen Verschwiegenheit?
Können Veröffentlichungen von Daten des IT-Systems zur politischen oder
gesellschaftlichen Verunsicherung führen?
Verlust der Integrität
Welche Schäden können sich durch die Verarbeitung, Verbreitung oder
Übermittlung falscher oder unvollständiger Daten ergeben?
Wird die Verfälschung von Daten öffentlich bekannt?
Entstehen bei einer Veröffentlichung von verfälschten Daten
Ansehensverluste?
Können Veröffentlichungen von verfälschten Daten zur politischen oder
gesellschaftlichen Verunsicherung führen?
Können verfälschte Daten zu einer verminderten Produktqualität und damit zu
einem Ansehensverlust führen?
Verlust der Verfügbarkeit
Schränkt der Ausfall des IT-Systems die Informationsdienstleistungen für
Externe ein?
Wird der (vorübergehende) Ausfall des IT-Systems extern bemerkt?
Finanzielle Auswirkungen
Unmittelbare oder mittelbare finanzielle Schäden können
durch den Verlust der Vertraulichkeit schutzbedürftiger Daten, die Veränderung
von Daten oder den Ausfall eines IT-Systems entstehen.
Beispiele dafür sind:
- unerlaubte Weitergabe von Forschungs- und Entwicklungsergebnissen,
- Manipulation von finanzwirksamen Daten in einem Abrechnungssystem,
- Ausfall eines IT-gesteuerten Produktionssystems und dadurch bedingte
Umsatzverluste,
- Einsichtnahme in Marketingstrategiepapiere oder Umsatzzahlen,
- Ausfall eines Buchungssystems einer Reisegesellschaft,
- Zusammenbruch des Zahlungsverkehrs einer Bank,
- Diebstahl oder Zerstörung von Hardware.
Die Höhe des Gesamtschadens setzt sich zusammen aus den direkt und indirekt
entstehenden Kosten, z. B. durch Sachschäden, Schadenersatzleistungen, Kosten
für zusätzlichen Aufwand (z. B. Wiederherstellung).
Fragen
Verlust der Vertraulichkeit
Kann die Veröffentlichung vertraulicher Informationen Regreßforderungen nach
sich ziehen?
Gibt es im IT-System Daten, aus denen ein Dritter (z. B. Konkurrenzunternehmen)
finanzielle Gewinne ziehen kann?
Sind auf dem IT-System Forschungsdaten gespeichert, die einen erheblichen Wert
darstellen? Was passiert, wenn sie unerlaubt kopiert und weitergegeben
werden?
Können durch vorzeitige Veröffentlichung von schutzbedürftigen Daten
finanzielle Schäden entstehen?
Verlust der Integrität
Können durch Datenmanipulationen finanzwirksame Daten so verändert werden, daß
finanzielle Schäden entstehen?
Kann die Veröffentlichung falscher Informationen Regreßforderungen nach sich
ziehen?
Können durch verfälschte Bestelldaten finanzielle Schäden entstehen (z. B. bei
Just-in-Time Produktion)?
Können verfälschte Daten zu falschen Geschäftsentscheidungen führen?
Verlust der Verfügbarkeit
Wird durch den Ausfall des IT-Systems die Produktion, die Lagerhaltung oder der
Vertrieb beeinträchtigt?
Ergeben sich durch den Ausfall des IT-Systems finanzielle Verluste aufgrund von
verzögerten Zahlungen bzw. Zinsverlusten?
Wie hoch sind die Reparatur- oder Wiederherstellungskosten bei Ausfall, Defekt,
Zerstörung oder Diebstahl des IT-Systems?
Kann es durch Ausfall des IT-Systems zu mangelnder Zahlungsfähigkeit oder zu
Konventionalstrafen kommen?
Wieviele wichtige Kunden wären durch den Ausfall des IT-Systems
betroffen?
Gesamtsicht der Schäden je IT-System
Um den Schutzbedarf eines IT-Systems festzustellen, müssen nun die ermittelten Schäden für jedes IT-System in ihrer Gesamtheit betrachtet werden. Im Wesentlichen bestimmt der Schaden bzw. die Summe der Schäden mit den schwerwiegensten Auswirkungen den Schutzbedarf eines IT-Systems (Maximum-Prinzip).
Beachtung von Abhängigkeiten und Kumulationseffekten
Bei der Betrachtung der möglichen Schäden und ihrer Folgen muß auch beachtet werden, daß IT-Anwendungen Arbeitsergebnisse anderer IT-Anwendungen als Input nutzen können. Diese Informationen können dabei auch auf anderen IT-Systemen erarbeitet worden sein. Eine - für sich betrachtet - weniger bedeutende IT-Anwendung kann wesentlich an Wert gewinnen, wenn eine andere wichtige IT-Anwendung auf ihre Ergebnisse angewiesen ist. In diesem Fall muß der ermittelte Schutzbedarf auch für die abhängigen IT-Anwendungen und Informationen sichergestellt werden. Handelt es sich dabei um IT-Anwendungen verschiedener IT-Systeme, dann müssen Schutzbedarfsanforderungen des einen IT-Systems auch auf das andere übertragen werden.
Werden mehrere IT-Anwendungen/Informationen auf einem IT-System verarbeitet, so ist zu überlegen, ob durch Kumulation mehrerer (z. B. kleinerer) Schäden auf einem IT-System ein insgesamt höherer Gesamtschaden entstehen kann. Zutreffendenfalls erhöht sich der Schutzbedarf des IT-Systems entsprechend.
Beispiel: Auf einem Netz-Server befinden sich sämtliche für den Schreibdienst benötigten IT-Anwendungen einer Institution. Der Schaden bei Ausfall einer dieser IT-Anwendungen wurde als gering eingeschätzt, da genügend Ausweichmöglichkeiten vorhanden sind. Fällt jedoch der Server (und damit alle IT-Anwendungen) aus, so ist der dadurch entstehende Schaden deutlich höher zu bewerten. Die Aufgabenerfüllung innerhalb der notwendigen Zeitspanne kann u. U. nicht mehr gewährleistet werden. Daher ist auch der Schutzbedarf dieser "zentralen" Komponenten entsprechend höher zu bewerten.
Entscheidung für IT-Grundschutz oder Risikoanalyse
Anhand der Einschätzung der ermittelten Schäden kann nun über die weitere Vorgehensweise entschieden werden: Sind nur niedrige oder mittlere Schäden ermittelt worden, dann bietet die Realisierung von IT-Grundschutz einen ausreichenden Schutz. Wurde dagegen mindestens ein hoher potentieller Schaden ermittelt, dann sollte zusätzlich zum IT-Grundschutz eine Risikoanalyse durchgeführt werden.
Orientierungshilfe
Zur Orientierung, welchen Schutzbedarf ein potentieller Schaden und seine Folgen erzeugen, sollten folgende Tabellen benutzt werden. Sie wurden bei der Erstellung des IT-Grundschutzhandbuches benutzt, um angemessene und ausreichende Maßnahmen auszuwählen, die als IT-Grundschutz empfohlen werden.
| Schutzbedarf "niedrig bis mittel" | |
|---|---|
| 1. Verstoß gegen Gesetze/Vorschriften/Verträge | - Verstöße gegen Vorschriften und Gesetze mit geringfügigen
Konsequenzen - Geringfügige Vertragsverletzungen mit maximal geringen Konventionalstrafen |
| 2. Beeinträchtigung des informationellen Selbstbestimmungsrechts | - Eine Beeinträchtigung des informationellen Selbstbestimmungsrechts
würde durch den Einzelnen als tolerabel eingeschätzt werden. - Ein möglicher Mißbrauch personenbezogener Daten hat nur geringfügige Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen. |
| 3. Beeinträchtigung der persönlichen Unversehrtheit | - Eine Beeinträchtigung erscheint nicht möglich. |
| 4. Beeinträchtigung der Aufgabenerfüllung | - Die Beeinträchtigung würde von den Betroffenen als tolerabel
eingeschätzt werden. - Die maximal tolerierbare Ausfallzeit des IT- Systems ist größer als 48 Stunden. |
| 5. Negative Außenwirkung | - Eine geringe bzw. nur interne Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten. |
| 6. Finanzielle Auswirkungen | - Der finanzieller Schaden ist kleiner als 25.000,- DM. |
| Schutzbedarf "hoch" | |
|---|---|
| 1. Verstoß gegen Gesetze/Vorschriften/Verträge | - Verstöße gegen Vorschriften und Gesetze mit erheblichen
Konsequenzen - Vertragsverletzungen mit hohen Konventionalstrafen |
| 2. Beeinträchtigung des informationellen Selbstbestimmungsrechts | - Eine erhebliche Beeinträchtigung des informationellen
Selbstbestimmungsrechts des Einzelnen erscheint möglich. - Ein möglicher Mißbrauch personenbezogener Daten hat erhebliche Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen. |
| 3. Beeinträchtigung der persönlichen Unversehrtheit | - Eine Beeinträchtigung der persönlichen Unversehrtheit kann nicht absolut ausgeschlossen werden. |
| 4. Beeinträchtigung der Aufgabenerfüllung | - Die Beeinträchtigung würde von einzelnen Betroffenen als nicht
tolerabel eingeschätzt. - Ein IT-Systemausfall ist nur bis zu einem Tag tolerabel. |
| 5. Negative Außenwirkung | - Eine breite Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten. |
| 6. Finanzielle Auswirkungen | - Der finanzielle Schaden liegt zwischen 25.000,- DM und 5.000.000,-DM. |
| Schutzbedarf "sehr hoch" | |
|---|---|
| 1. Verstoß gegen Gesetze/Vorschriften/Verträge | - Fundamentaler Verstoß gegen Vorschriften und Gesetze - Vertragsverletzungen, deren Haftungsschäden ruinös sind |
| 2. Beeinträchtigung des informationellen Selbstbestimmungsrechts | - Eine besonders bedeutende Beeinträchtigung des informationellen
Selbstbestimmungsrechts des Einzelnen erscheint möglich. - Ein möglicher Mißbrauch personenbezogener Daten würde für den Betroffenen den gesellschaftlichen oder wirtschaftlichen Ruin bedeuten. |
| 3. Beeinträchtigung der persönlichen Unversehrtheit | - Gravierende Beeinträchtigungen der persönlichen Unversehrtheit
sind möglich. - Gefahr für Leib und Leben |
| 4. Beeinträchtigung der Aufgabenerfüllung | - Die Beeinträchtigung würde von allen Betroffenen als nicht
tolerabel eingeschätzt werden. - Ein IT-Systemausfall ist nur bis zu einer Stunde tolerabel. |
| 5. Negative Außenwirkung | - Ein landes- bzw. bundesweite Ansehens- oder Vertrauensbeeinträchtigung, evtl. sogar existenzgefährdender Art, ist denkbar. |
| 6. Finanzielle Auswirkungen | Der finanzielle Schaden ist größer als 5.000.000,- DM. |
Es wurde bereits darauf hingewiesen, daß diese sechs Schadenskategorien nicht vollständig sein könnten. Für alle Schäden, die sich nicht in diesen Kategorien abbilden lassen, muß ebenfalls eine Aussage getroffen werden, wo die Grenze zwischen "niedrig bis mittel", "hoch" oder "sehr hoch" zu ziehen ist.
Darstellung der Ergebnisse
Die Ergebnisse der Schutzbedarfsfeststellung können in einer Tabelle festgehalten werden. Darin sollte verzeichnet sein, welchen Schutzbedarf jedes IT-System bezüglich Vertraulichkeit, Integrität und Verfügbarkeit hat. Besonderer Wert ist auf die Begründung der Einschätzungen zu legen, damit diese auch für Außenstehende nachvollziehbar sind.
Eine solche Tabelle könnte beispielsweise wie folgt aussehen:
| Schutzbedarfsfeststellung | ||||
|---|---|---|---|---|
| Nr. | Bezeichnung | Grundwert | Schutzbedarf | Begründung |
| 1 | PERSO | Vertraulichkeit | hoch | Personaldaten sind besonders schutzbedürftige personenbezogene Daten, deren Bekanntwerden die Betroffenen erheblich beeinträchtigen können. |
| Integrität | mittel | Der Schutzbedarf ist nur "mittel", da Fehler rasch erkannt und die Daten nachträglich korrigiert werden können. | ||
| Verfügbarkeit | mittel | Ausfälle bis zu 72 Stunden können auf Papierbasis überbrückt werden. | ||
| 2 | TK | Vertraulichkeit | mittel | Ein Bekanntwerden der Daten beeinträchtigt die Betroffenen nur unerheblich. |
| Integrität | hoch | Da die Rechnungslegung aufgrund der Gebührendaten erfolgt, können Verfälschungen zu finanziellen Schäden über 40.000,- DM führen. | ||
| Verfügbarkeit | hoch | Aufgrund des direkten Kundenkontaktes darf die TK-Anlage maximal einen Tag ausfallen, da sonst erhebliche Ansehensverluste und finanzielle Einbußen zu erwarten sind. | ||
| 3 | ENTE | Vertraulichkeit | mittel | Ein Bekanntwerden dieser personenbezogenen Daten beeinträchtigt die Betroffenen nur geringfügig. |
| Integrität | mittel | Fehlerhafte Rechnungen aufgrund fehlerhafter Daten können nachträglich überprüft und korrigiert werden. Schäden aufgrund verfälschter Daten sind im allg. kleiner als 25.000,- DM. | ||
| Verfügbarkeit | mittel | Ein Ausfall bis zu einer Woche kann manuell überbrückt werden. | ||
| 4 | PC-6.3-1 | Vertraulichkeit | mittel | Ein Bekanntwerden dieser personenbezogenen Daten beeinträchtigt die Betroffenen nur geringfügig. |
| Integrität | mittel | Fehlerhafte Rechnungen aufgrund fehlerhafter Daten können nachträglich überprüft und korrigiert werden. Schäden aufgrund verfälschter Daten sind im allg. kleiner als 25.000,- DM. | ||
| Verfügbarkeit | mittel | Für eine Übergangszeit von etwa einer Woche kann auf Papierbasis weitergearbeitet werden. | ||
| 5 | PC-6.3-2 | Vertraulichkeit | mittel | Es werden keinerlei vertrauliche Daten verarbeitet. |
| Integrität | mittel | Fehlerhafte Daten der Dokumentenverwaltung werden erkannt und können nachträglich bereinigt werden. | ||
| Verfügbarkeit | mittel | Für eine Übergangszeit von etwa einer Woche kann auf Papierbasis weitergearbeitet werden. | ||
| 6 | PC-5.4-1 | Vertraulichkeit | mittel | Es werden nur Daten verarbeitet, die einen maximal mittleren Vertraulichkeitsanspruch besitzen. |
| Integrität | mittel | Schäden aufgrund verfälschter Daten sind im allg. kleiner als 25.000,- DM. | ||
| Verfügbarkeit | mittel | Für eine Übergangszeit von etwa einer Woche kann auf Papierbasis weitergearbeitet werden. | ||
| ... | ||||
Hinweis: Sind die meisten IT-Anwendungen auf einem IT-System nur mittelschutzbedürftig und sind nur eine oder wenige hochschutzbedürftig, so ist unter Kostengesichtspunkten zu prüfen, diese hochschutzbedürftigen auf ein isoliertes IT-System auszulagern. Eine solche Alternative kann als Management-Entscheidungsvorlage erarbeitet werden.
Ein Ergebnis der Schutzbedarfsfeststellung ist eine Auflistung aller IT-Systeme, für die der IT-Grundschutz angewendet werden kann. Um den zu leistenden Aufwand für die nun folgende Realisierung des IT-Grundschutzes so gering wie möglich zu halten, ist es sinnvoll, gleichartige IT-Systeme dieser Liste zu Gruppen zusammenzuführen.
Hilfsmittel:
Für die Durchführung der Schutzbedarfsfeststellung wurden als Hilfsmittel Formblätter entwickelt, die auf der CD-ROM im Verzeichnis ...\HILFSMI\06SCHUTZ.DOC zu finden sind.
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000