Schutzbedarfsanalyse

6Schutzbedarfsanalyse

Die eingesetzte Informationstechnik ist nicht aus sich heraus, sondern vielmehr wegen ihres Wertes für die Anwender schützenswert. Der Wert der Daten und Funktionen, die die IT bereitstellt, ist in der Regel um ein Vielfaches höher als der Wert der Geräte selbst. Daher sind angemessene Sicherheitsmaßnahmen aus den Sicherheitsanforderungen der IT-Verfahren abzuleiten.

Um die Sensibilität der im IT-Verfahren verarbeiteten Daten zu bestimmen, ist die Analyse des Schutzbedarfes durchzuführen. Der Schutzbedarf wird durch die drei Werte (Schutzklassen) "normal", "hoch" und "sehr hoch" klassifiziert. Die im Abschnitt 6.2 wiedergegebenen Tabellen beschreiben die Bedeutung dieser Werte in Hinblick auf verschiedene Kriterien. Aufgrund des Ergebnisses der Schutzbedarfsanalyse können sich darüberhinausgehende Anforderungen ergeben.

Wird als Ergebnis der Schutzbedarfsanalyse das IT-Verfahren in die Schutzklasse "normal" eingestuft, reichen die Maßnahmen des IT-Grundschutzes in Teil III aus. In allen anderen Fällen muss eine verfahrensspezifische Risikoanalyse durchgeführt werden. Die Vorgehensweise bei einer Risikoanalyse wird in Kapitel 7 beschrieben.

AG IT-Sicherheit

IT-Sicherheitsrichtlinie - Schutzbedarfsanalyse

Verzeichnis der Grundschutzmassnahmen
Präambel
Kurzbeschreibung
Teil IAllgemeines
1Geltungsbereich
2Leitlinienfunktion für andere Dokumente
3Verantwortlichkeiten und Organisation der IT-Sicherheit
4Grundbegriffe
Teil IIIT-Verfahren
5Dokumentation von IT-Verfahren

6Schutzbedarfsanalyse

6.1Vorgehensweise
6.2Bewertungstabellen

6.2.1Verlust von Vertraulichkeit
6.2.2Verletzung von Integrität
6.2.3Beeinträchtigung von Verfügbarkeit
6.2.4Verstoß gegen Gesetze, Vorschriften und Verträge

7Risikoanalyse

Teil IIIRegeln
8Maßnahmen des IT-Grundschutzes

Teil IVAusführungsbestimmungen
9Inkraftsetzen und Aktualisierung der IT-Sicherheitsrichtlinie
10Konfliktlösung bei der Umsetzung der IT-Sicherheitsrichtlinie
Anhang
11Abbildungsverzeichnis
12Tabellenverzeichnis
13Glossar
14Literaturverzeichnis

Seite zuletzt geändert: 16.05.2022 16:46

Betreff:

Seite: 9

6.1Vorgehensweise

Die Praxis hat gezeigt, dass die Durchführung der Schutzbedarfsanalyse in einem Team hilfreich ist. Damit mögliche Risiken zuverlässig identifiziert werden, sind detaillierte Kenntnisse über die einzelnen Schritte der Datenverarbeitung notwendig. Häufig sind diese Detailkenntnisse auf mehrere Personen verteilt.

Die folgenden vier Bewertungstabellen dienen der Einordnung der Ergebnisse von den Abschätzungsüberlegungen. Die in den Tabellen formulierten Schadensszenarien sollen als Orientierungshilfe genutzt werden. Die Schadensszenarien bezüglich des Verlusts von Vertraulichkeit, Integrität und Verfügbarkeit sowie des Verstoßes gegen Gesetze, Vorschriften und Verträge wurden aus Gründen der besseren Übersicht in vier getrennten Tabellen dargestellt. Demzufolge wiederholen sich zum Teil die skizzierten Szenarien in den Tabellen, aber die Fragestellung ist in jeder Tabelle unterschiedlich.
Mit der Einteilung in drei Schutzbedarfskategorien "normal", "hoch" und "sehr hoch" folgt diese Richtlinie der Praxis des Bundesamts für Sicherheit in der Informationstechnik (BSI).

6.2Bewertungstabellen

6.2.1Verlust von Vertraulichkeit

Abbildung 4Vereinfachte Darstellung der analytischen Schutzbedarfsbewertung

Schutzbedarfsanalyse

Seite: 9a

Betreff:

Der Schutzbedarf wird über die Abschätzung der schlimmsten denkbaren Folgen des Verlustes von Vertraulichkeit, Integrität und Verfügbarkeit ermittelt. Die Abschätzung hat gesondert für folgende sechs Schadenskategorien zu erfolgen:

Beeinträchtigung des informationellen Selbstbestimmungsrechts
Beeinträchtigung der persönlichen Unversehrtheit
Beeinträchtigung der Aufgabenerfüllung
Negative Außenwirkung
Finanzielle Auswirkungen
Verstoß gegen Gesetze, Vorschriften und Verträge

Die Durchführung einer Schutzbedarfsanalyse unter Anwendung der unter Abschnitt 6.2 aufgeführten Tabellen wird im Folgenden kurz skizziert. Dabei werden die einzelnen Schritte erläutert und mit Auszügen aus einer fiktiven Beispielanalyse illustriert.

1. Schritt: Identifikation der zu schützenden Daten

An erster Stelle steht die Identifikation aller Daten, die innerhalb des analysierten IT-Verfahrens verarbeitet bzw. gespeichert werden.

Beispiel:

Vorname
Nachname
Straße, Hausnummer
Postleitzahl und Ort
Forschungsergebnisse
Patentanmeldung

Beispiel:

Kontaktdaten (Vorname, Nachname, Strasse, Hausnummer, PLZ und Ort)
Forschungsergebnisse
Patentanmeldung

Beispiele Vertraulichkeit:

Angenommen, Unbefugte erlangen Kenntnis von den Personaldaten: Welche Folgen hätte diese Verletzung des informationellen Selbstbestimmungsrechts im schlimmsten Falle?

⇨ Der Umgang mit Kollegen und Kolleginnen kann beeinträchtigt werden.
Der berufliche Werdegang kann erheblich beeinträchtigt werden.

Angenommen, Unbefugte erlangen Kenntnis von den Personaldaten: Welche Folgen hätte dies im schlimmsten Falle für die persönliche Unversehrtheit?

⇨

Keine, Folgen für die Gesundheit können ausgeschlossen werden.
(…)

Beispiel Integrität:

Angenommen, Forschungsdaten werden unbefugt verändert: Welche negativen Außenwirkungen hätte dies im schlimmsten Falle?

⇨ Die Freie Universität Berlin würde als unzuverlässige Organisation angesehen werden. Es muss von einem überregionalen Ansehensverlust ausgegangen werden.

(…)

Beispiel Verfügbarkeit:

Angenommen, die Personaldaten stehen nicht zur Verfügung: Welche finanziellen Auswirkungen hätte dies im schlimmsten Falle?

⇨ Es kommt zu Verzögerungen bei der Auszahlung der Bezüge.
Die beschäftigten Mitarbeiter/innen müssen mit Abschlagszahlungen rechnen.

(…)

2. Schritt: Zusammenfassung der Daten zu Datengruppen (optional)

Häufig lassen sich mehrere Einzeldaten inhaltlich zu Datengruppen zusammenfassen. Die weiteren Schritte sind dann stets auf diese Datengruppen anzuwenden und nicht mehr auf die dort enthaltenen Einzeldaten. Beispielsweise ist es sinnvoll, Vornamen und Nachnamen sowie die Adressdaten zusammenzufassen. Darum kann eine Datengruppe "Kontaktdaten" gebildet werden.

3. Schritt: Bestimmen der schlimmsten möglichen Folgen des Verlustes von Vertraulichkeit /
Integrität / Verfügbarkeit (Worst-case-Szenarien)

Jede Datengruppe ist jeweils bezüglich der oben genannten sechs Schadenskategorien zu bewerten. Für jede der sechs Schadenskategorien ist zu überlegen, welche Folgen die Beeinträchtigung der Schutzziele Vertraulichkeit / Integrität / Verfügbarkeit im schlimmsten Fall hätte.

Die Überlegungen sind der Reihe nach bezüglich Verlust der Vertraulichkeit, Integrität und Verfügbarkeit durchzuführen. In jeder der drei Betrachtungen müssen die eingangs genannten Schadenskategorien betrachtet werden.

4. Schritt: Einordnung in eine Schutzbedarfskategorie

Die in den Abschätzungsüberlegungen festgestellten schlimmsten Folgen müssen anhand der in den Bewertungstabellen (Abschnitt 6.2) vorgegebenen Maßstäbe (normal / hoch / sehr hoch) eingestuft werden. Das Ergebnis ist zu dokumentieren. Das Maximum des höchsten Schutzbedarfs einer Kategorie bestimmt den Schutzbedarf des IT-Verfahrens. In der folgenden Beispieltabelle würde das gesamte IT-Verfahren in die Schutzklasse "hoch" eingestuft werden.

Seite: 9b

Schutzbedarfsanalyse

Betreff:

Seite: 9c

Schutzbedarfsanalyse

Betreff:

Verlust von Vertraulichkeit
Schadenskategorien	Bedrohung	Abschätzung des Schadens
Schadenskategorien	Bedrohung	normal	hoch	sehr hoch
Beeinträchtigung des informationellen Selbstbestimmungsrechts	Bekannt werden der Daten für Unberechtigte	X
Beeinträchtigung der persönlichen Unversehrtheit	Missbrauch der Daten…	X
Beeinträchtigung der Aufgaben-erfüllung	Die Kenntnis der Daten durch Unberechtigte…	X
Negative Außenwirkung	Missbrauch der Daten…		X
Finanzielle Auswirkungen	Missbrauch der Daten…	X
daraus resultierender Schutzbedarf:		hoch

In diesem fiktiven Beispiel wurde ein IT-Verfahren betrachtet, in dem die negative Außenwirkung bezüglich der Vertraulichkeit hoch ist:

Tabelle 3Beispiel für das Ergebnis einer Schutzbedarfsbetrachtung

Verlust von Vertraulichkeit
Schadens-kategorien	Schaden	Abschätzung des Schadens
Beeinträchti- gung des in-formationel- len Selbstbe- stimmungs- rechts	Missbrauch der Daten kann für den Betroffenen bedeuten:	• Tolerable Beeinträchti-gung des informationellen Selbstbstimmungsrechts • Geringfügige Auswirkun-gen auf die gesellschaftli-che Stellung oder die wirt-schaftlichen Verhältnisse	• Erheblichen Beeinträch-tigung des informationellen Selbstbestimmungsrechts • Erhebliche Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaft-lichen Verhältnisse	• Gravierende Beein-trächtigung des infor-mationellen Selbst-bestimmungsrechts • Gesellschaftlicher oder wirtschaftlicher Ruin
Beinträchti- gung der per- sönlichen Un- versehrtheit	Missbrauch der Daten ...	... führt zu keiner bis leichter Beeinträchtigung der persönlichen Unver-sehrtheit	... führt zu erheblicher Beeinträchtigung der persönlichen Unversehrtheit	... bedroht die Existenz des Betroffenen
Beeinträchti- gung der Auf- gabenerfül- lung	Missbrauch der Daten würde die Aufgabener-füllung...	• eines Teilbereichs einer Einrichtung geringfügig beeinträch-tigen. Einzelne Arbeitsprozesse können behindert werden. • die Aufgabenerfüllung eines Bereichs ist unwesentlich beein-trächtigt.	• eines Teilbereichs einer Einrichtung erheblich beeinträchtigen. Arbeitsprozesse mit zentraler Bedeutung können behindert werden. • die Aufgabenerfüllung eines Beriechs ist wesentlich beeinträchtigt.	• der gesamten Freien Universität Berlin gefährden. Kernprozesse der Universität können massiv behindert werden.
Negative Außenwirkung	Missbrauch der Daten führt zu:	• Geringer Ansehensver-lust eines Teilbereichs der Freien Universität bei einer eingeschränkten Öffentlichkeit	• Ansehensverlust der gesamten Freien Univers-ität bei einer einge-schränkten Öffentlichkeit • Hoher Ansehensverlust eines Teilbereichs der Freien Universität	• Ansehensverlust der gesamten Freien Universität in der breiten Öffentlichkeit.
Finanzielle Auswirkun- gen	Unberechtigte Veränderung der Daten	Summe der finanziellen Auswirkungen < 150.000 €	Summe der finanziellen Auswirkungen < 3.000.000 €	Summe der finanz. Auswirkungen >= 3.000.000 €
daraus resultierender Schutzbedarf:		normal	hoch	sehr hoch

Tabelle 4Verlust von Vertraulichkeit

Verletzung von Integrität
Schadens-kategorien	Schaden	Abschätzung des Schadens
Beeinträchti- gung des in-formationel- len Selbstbe- stimmungs- rechts	Unberechtigte Veränderung der Daten kann für den Betroffenen bedeuten:	• Tolerable Beeinträchti-gung des informationellen Selbstbstimmungsrechts • Geringfügige Auswirkun-gen auf die gesellschaftli-che Stellung oder die wirt-schaftlichen Verhältnisse	• Erhebliche Beeinträchti-gung des informationellen Selbstbestimmungsrechts • Erhebliche Auswirkungen auf die gesellschaftliche Stellung oder die wirt-schaftlichen Verhältnisse	• Gravierende Beein-trächtigung des infor-mationellen Selbst-bestimmungsrechts • Gesellschaftlicher oder wirtschaftlicher Ruin
Beinträchti- gung der per- sönlichen Un- versehrtheit	Unberechtigte Veränderung der Daten ...	... führt zu keiner bis maximal leichter Beeinträchtigung der persönlichen Unversehrtheit	... führt zu erheblicher Beeinträchtigung der persönlichen Unversehrtheit	... bedroht die Existenz des Betroffenen
Beeinträchti- gung der Auf- gabenerfül- lung	Unberechtigte Veränderung der Daten würde die Aufgabener-füllung...	• eines Teilbereichs einer Einrichtung geringfügig beeinträchtigen. Einzelne Arbeitsprozesse können behindert werden. • die Aufgabenerfüllung eines Bereichs ist unwesentlich beeinträchtigt.	• eines Teilbereichs einer Einrichtung erheblich beeinträchtigen. Arbeitsprozesse mit zentraler Bedeutung können behindert werden. • die Aufgabenerfüllung eines Bereichs ist wesentlich beeinträchtigt.	• der gesamten Freien Universität gefährden. Kernprozesse der Universität können massiv behindert werden.
Negative Aus- senwirkung	Unberechtigte Veränderung der Daten führt zu:	• Geringer Ansehensver-lust eines Teilbereichs der Freien Universität bei einer eingeschränkten Öffentlichkeit • Erheblicher Ansehens-verlust eines Teilbereichs der Freien Universität bei einer sehr kleinen und unbedeutenden Öffentlichkeit	• Ansehensverlust der gesamten Freien Universität bei einer eingeschränkten Öffentlichkeit • Hoher Ansehensverlust eines Teilbereichs der Freien Universität	• Ansehensverlust der gesamten Freien Universität in der breiten Öffentlichkeit.
Finanzielle Auswirkun- gen	Unberechtigte Veränderung der Daten	Summe der finanziellen Auswirkungen < 150.000 €	Summe der finanziellen Auswirkungen < 3.000.000 €	Summe der finanz. Auswirkungen >= 3.000.000 €
daraus resultierender Schutzbedarf:		normal	hoch	sehr hoch

Tabelle 5Verletzung von Integrität

Beeinträchtigung von Verfügbarkeit
Schadens-kategorien	Bedrohung	Abschätzung des Schadens
Beeinträchti- gung des in-formationel- len Selbstbe- stimmungs- rechts	Beeinträchti- gung der Daten kann für die Betroffenen bedeuten:	• Tolerable Beeinträchtigung des informationellen Selbstbestimmungsrechts • Geringfügige Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse	• Erhebliche Beeinträchti-gung des informationellen Selbstbestimmungsrechts • Erhebliche Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse	• Gravierende Beein-trächtigung des infor-mationellen Selbst-bestimmungsrechts • Gesellschaftlicher oder wirtschaftlicher Ruin
Beinträchti- gung der per- sönlichen Un- versehrtheit	Beinträchti- gung der Daten...	... führt zu keiner bis maximal leichter Beeinträchtigung der persönlichen Unversehrtheit	... führt zu erheblicher Beeinträchtigung der persönlichen Unversehrtheit	... bedroht die Existenz des Betroffenen
Beeinträchti- gung der Auf- gabenerfül- lung	Beinträchti- gung der Daten...	• eines Teilbereichs einer Einrichtung geringfügig beeinträchtigen. Einzelne Arbeitsprozesse können behindert werden. • die Aufgabenerfüllung einesBereichs ist unwesentlich beeinträchtigt.	• eines Teilbereichs einer Einrichtung erheblich beeinträchtigen. Arbeitsprozesse mit zentraler Bedeutung können behindert werden. • die Aufgabenerfüllung eines Bereichs ist wesentlich beeinträchtigt.	• der gesamten Freien Universität gefährden. Kernprozesse der Universität können massiv behindert werden.
Negative Aus- senwirkung	Beeinträchti- gung der Daten...	• Geringer Ansehensverlust eines Teilbereichs der Freien Universität bei einer eingeschränkten Öffentlichkeit • Erheblicher Ansehens-verlust eines Teilbereichs der Freien Universität bei einer sehr kleinen und unbedeutenden Öffentlichkeit	• Ansehensverlust der gesamten Freien Universität bei einer eingeschränkten Öffentlichkeit • Hoher Ansehensverlust eines Teilbereichs der Freien Universität	• Ansehensverlust der gesamten Freien Universität in der breiten Öffentlichkeit.
Finanzielle Auswirkun- gen	Beinträchtigung der Daten	Summe der finanziellen Auswirkungen < 150.000 €	Summe der finanziellen Auswirkungen < 3.000.000 €	Summe der finanz. Auswirkungen >= 3.000.000 €
daraus resultierender Schutzbedarf:		normal	hoch	sehr hoch

Tabelle 6Beeinträchtigung von Verfügbarkeit

Bewertungsmaßstab für den Schutzbedarf von IT-Verfahren:
Die dreifache vertikale Linie symbolisiert die Grenze zwischen "Grundschutzmaßnahmen reichen aus" bzw. "reichen nicht aus".
Die in der Zeile "Finanzielle Auswirkungen" angegebenen Beträge wurden in Abhängigkeit von der Höhe des Haushalts der Freien Universität Berlin festgelegt.

Seite: 9d

Schutzbedarfsanalyse

Betreff:

6.2.2Verletzung von Integrität

6.2.3Beeinträchtigung von Verfügbarkeit

Mit der Beeinträchtigung der Verfügbarkeit ist sowohl der temporäre als auch der dauerhafte Verlust der Verfügbarkeit gemeint. Allgemein formuliert bedeutet das, dass die Daten bzw. Informationen nicht zur Verfügung stehen, wenn sie gebraucht werden.

6.2.4Verstoß gegen Gesetze, Vorschriften und Verträge

Bei der Bearbeitung der Kategorie "Verstoß gegen Gesetze, Vorschriften und Verträge" müssen alle Regelungen betrachtet werden, die für das betreffende IT-Verfahren relevant sind:

Datenschutzgesetze, beispielsweise

Berliner Datenschutzgesetz (BlnDSG)
Informationsverarbeitungsgesetz (IVG)
Bundesdatenschutzgesetz (BDSG)

Hochschulgesetze bzw. -verordungen, FU-Richtlinien, beispielsweise

Berliner Hochschulgesetz (BerlHG)
Studierendendatenverordnung (StudDatVO)
Datenschutzsatzung der Freien Universität Berlin
IT-Sicherheitsrichtlinie der Freien Universität Berlin

Vorschriften zur Mitbestimmung, beispielsweise

Landespersonalvertretungsgesetz Berlin (LPersVG-Berlin)
IT-Grundsatzdienstvereinbarung der Freien Universität Berlin

Verträge, beispielsweise

Vertrag über die Zusammenarbeit mit einer externen Firma

Seite: 9e

Schutzbedarfsanalyse

Betreff:

Seite: 9f

Schutzbedarfsanalyse

Betreff:

Die Dokumentation der Schutzbedarfsanalyse besteht aus den Ergebnissen der Bewertungstabellen und weiteren Angaben über die analysierten Datensätze bzw. das analysierte IT-Verfahren. Insbesondere müssen die wesentlichen Überlegungen, die zu den einzelnen Einschätzungen über den zu erwartenden Schaden geführt haben, nachvollziehbar dokumentiert werden.

²⁾ Zur Einschätzung der rechtlichen Konsequenzen kann das vom Gesetzgeber vorgesehene Strafmaß hilfreich sein.

Bewertungsmaßstab für den Schutzbedarf von IT-Verfahren:
Die dreifache vertikale Linie symbolisiert die Grenze zwischen "Grundschutzmaßnahmen reichen aus" bzw. "reichen nicht aus".

Verstoß gegen Gesetze, Vorschriften und Verträge
Bedrohung	Abschätzung des Schadens
Bekanntwerden der Daten für Unberechtigte	... verstößt gegen Gesetze oder Vorschriften mit geringen Konsequenzen²⁾ ... hat geringfügige Vertragsverletzungen mit maximal geringen Konventionalstrafen zur Folge	... verstößt gegen Gesetze oder Vorschriften mit erheblichen Konsequenzen²⁾ ... hat Vertragsverletzung mit hohen Konventionalstrafen und / oder erheblichen Haftungsschäden zur Folge.	... verstößt gegen Gesetze oder Vorschriften mit schwerwiegenden Konsequenzen²⁾ ... hat Vertragsverletzung zur Folge, deren Haftungsschäden für die Freie Universität Berlin sehr hoch sind.
Unberechtigte Veränderung der Daten
Verlust der Daten
daraus resultierender Schutzbedarf	normal	hoch	sehr hoch

Tabelle 7Verstoß gegen Gesetze, Vorschriften und Verträge