Beruflich Dokumente
Kultur Dokumente
Zum Portfolio der SysIT GmbH, s. Firmenprofil LF9, gehört auch die Beratung und Unterstützung bei
Einführung eines Informationssicherheitsmanagementsystem (ISMS). Der Kunde ChemTec GmbH,
bekannt aus einem Projekt im zweiten Ausbildungsjahre, ist mit der Implementierung des Sicher-
heitsprozesses gut vorangekommen. Initiierung, Erstellung einer Informationssicherheitsleitlinie und
Aufbau einer Sicherheitsorganisation sind bereits abgeschlossen.
Der Informationssicherheitsbeauftragte (ICS) des Kunden bittet Sie um Unterstützung beim Erstel-
len einer Standard-Absicherung i.S. der IT-Grundschutz-Methodik.
Die Ergebnisse der Strukturanalyse stehen Ihnen auszugsweise in tabellarischer Form im Anhang 1
zur Verfügung:
1. Ermitteln Sie den Schutzbedarf für die IT-Systeme N001 Internetrouter und N002 Firewall für
jeden der drei Grundwerte (Vertraulichkeit, Integrität und Verfügbarkeit) und dokumentieren
Sie diesen tabellarisch.
Ergänzen Sie dazu im Anhang 2 die Tabelle 8: Schutzbedarf der IT-Systeme um Schutzbedarf
und Begründung! Beachten Sie die Hilfestellung.
3. Bei der Modellierung wählen Sie diejenigen IT-Grundschutz-Bausteine aus dem IT-
Grundschutz-Kompendium aus, die Sie für die Sicherheit des betrachteten Informationsver-
bundes benötigen. Sehen Sie sich dazu die Bausteine der einzelnen Schichten an und ent-
scheiden Sie, ob und auf welche Zielobjekte N001, N002, K001 bzw. K002 ein oder mehrere
Bausteine angewendet werden können.
Dokumentieren Sie Ihre vorgenommene Modellierung im Anhang 3 in Tabelle 12.
Ein zusätzlicher Analysebedarf/Risikoanalyse besteht u.a., wenn ein Zielobjekt einen hohen oder
sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität und
Verfügbarkeit hat. Dies trifft u.a. auf die Kommunikationsverbindung K001 in besonderem Maße zu!
4. Der erste Schritt einer Risikoanalyse ist es, die Risiken zu identifizieren, denen ein Objekt
oder ein Sachverhalt ausgesetzt ist. Verwenden Sie hierfür die elementaren Gefährdungen s.
5. Ein Risiko ist umso größer, je häufiger eine Gefährdung ist, umgekehrt sinkt es, je geringer
der mögliche Schaden ist. Zur Darstellung von Eintrittshäufigkeiten, Schadensauswirkungen
und Risiken ist eine Risikomatrix ein gebräuchliches und sehr anschauliches Instrument.
Ordnen Sie die relevanter Gefährdungen aus Aufgabe 4 entsprechend zu!
Hilfestellung:
Hilfestellung:
C: Risikotransfer. Die Risiken werden verlagert. Durch Abschluss von Versicherungen oder
durch Auslagerung der risikobehafteten Aufgabe an einen externen Dienstleister kann zum
Beispiel ein möglicher finanzieller Schaden (zumindest teilweise) auf Dritte abgewälzt wer-
den.
D: Risikoakzeptanz. Die Risiken können akzeptiert werden, sei es, weil die Gefährdung nur
unter äußerst speziellen Bedingungen zu einem Schaden führen könnte, sei es, weil keine
hinreichend wirksamen Gegenmaßnahmen bekannt sind oder aber weil der Aufwand für
mögliche Schutzmaßnahmen unangemessen hoch ist.
Sind alle Basis- und Standard-Anforderungen erfüllt? Haben Sie mit Hilfe von Risikoanalysen festge-
stellt, dass auch solche Zielobjekte angemessen geschützt sind, die einen besonderen Schutzbedarf
haben? Dann haben Sie zweifelsfrei ein gutes Sicherheitsniveau erreicht, und können sich darauf
konzentrieren, dieses zu erhalten und zu verbessern!
Bei der Schutzbedarfsfeststellung ist danach zu fragen, welcher Schaden entstehen kann, wenn
für ein Zielobjekt die Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit verletzt werden.
Dies wäre der Fall, wenn
Bei der Abgrenzung der Schadenskategorien müssen Sie also die Besonderheiten der betrachte-
ten Institution berücksichtigen, zum Beispiel
- in Bezug auf das Szenario „finanzielle Auswirkungen“ die Höhe des Umsatzes oder des
Gewinns eines Unternehmens oder die Höhe des bewilligten Budgets einer Behörde,
- in Bezug auf das Szenario „Beeinträchtigung der Aufgabenerfüllung“ das Vorhandensein
von Ausweichverfahren bei einem Ausfall eines Verfahrens.