Der IT-Grundschutz des BSI und viele weitere IT-Sicherheitsvorgaben erfordern heutzutage eine Schutzbedarfsfeststellung. Unter einer Schutzbedarfsfeststellung versteht man die verbindliche Zuordnung von IT-Gütern zum passenden Schutzbedarf.
Ablauf einer Schutzbedarfsfeststellung für IT-Güter
Zu den IT-Gütern zählen die IT-Infrastruktur, Netze, Systeme, Anwendungen und Daten. Die Klassifizierung der IT-Güter muss in Kooperation mit den Fachabteilungen stattfinden, da diese die Sensibilität der Daten beurteilen können.
Zu Beginn sollten alle möglichen Schäden gesammelt werden. Ein sehr guter pragmatischer Ansatz ist es mit der Identifizierung der hohen Schäden zu starten, die durch unzureichende IT-Sicherheitsmaßnahmen eintreten können. Potenzielle Schäden lassen sich den Kategorien Verlust der Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität zuordnen.
Im Gespräch mit Fachabteilungsleitern stellt sich beispielsweise heraus, dass diese den Verlust der Reputation, Verlust der Verfügbarkeit von IT-Diensten und Verlust der Integrität von Daten als größtmögliche Schäden benennen.
Nehmen Sie alle möglichen Schäden in einer Liste auf und ordnen Sie den hohen Schäden als Schadenshöhe den Faktor 10 zu. Sehr niedrige Schäden bekommen den Faktor 1 zugeschrieben.
Das passende Schutzniveau mit Hilfe von Risikomanagment bestimmen
Nun wenden wir eine bekannte Formel aus dem Risikomanagement an, um zu den möglichen Schäden eine Verbindung zu den erforderlichen Maßnahmen zu schaffen:
Risikoniveau = Schadenshöhe * Eintrittswahrscheinlichkeit
Aus der Betrachtung dieser Formel ergibt sich folgende Schlussfolgerung:
Je höher der mögliche Schaden ist, desto besser müssen die Sicherheitsmaßnahmen sein, um die Eintrittswahrscheinlichkeit zu verringern. Denn es sollte für alle möglichen Schäden dasselbe Risiko- bzw. Schutzniveau gelten.
Nach Erstellung der Liste mit den potenziellen Schäden, ist es die Aufgabe der IT, die angemessen Maßnahmen zur Steuerung der Eintrittswahrscheinlichkeit zu bestimmen.
Ursachen von Schäden in der IT
Dabei ist es hilfreich zu überlegen, wie es zu den identifizierten Schäden kommen kann. Das können zum Beispiele Hackerangriffe, Malware, Sabotage, Ausfall von Soft- oder Hardware, Elementarereignisse, Fehlbedienung usw. sein.
Maßnahmen für den Schutz von IT-Gütern
Im weiteren Schritt müssen nun den potenziellen Schäden angemessene Maßnahmen zugeordnet werden. Häufige Maßnahmen sind:
- Verschlüsselung
- Zonenkonzept für Netzsegmentierung und Administration
- Regelmäßiges Patching
- Logging und Auditing (Pentests)
- erhöhte Authentifizierung (Passwortrichtlinie, 2FA)
- Verfahrensanweisung oder Vier-Augen-Prinzip
- Schulungen
- Informationsklassifizierung
Diese Maßnahmen müssen verbindlich verabschiedet und angewendet werden.
Faktoren zur Durchführung der Schutzbedarfsfestellung
- Name des Schadens
- Faktor der Schadenshöhe
- Faktor der Eintrittswahrscheinlichkeit zur Einhaltung eines festgelegten einheitlichen Schutzniveaus
- Gewichtung der Maßnahmen (Kehrwert aus Eintrittswahrscheinlichkeit)
- passende Maßnahmen in Bezug auf die Gewichtung