Schutzbedarfsanalyse & ISMS#
ISMS – Informationssicherheits-Management-System#
Ein ISMS ist ein systematischer Ansatz zur Planung, Umsetzung, Überwachung und Verbesserung der Informationssicherheit in einer Organisation.
Wichtigste Standards#
| Standard | Herausgeber | Inhalt |
|---|---|---|
| BSI IT-Grundschutz | BSI (Deutschland) | Praxisorientierte Methodik mit Bausteinen und Maßnahmenkatalogen |
| ISO/IEC 27001 | ISO / IEC | Internationaler Standard, zertifizierbar, risikobasiert |
| ISO/IEC 27002 | ISO / IEC | Leitfaden für konkrete Sicherheitsmaßnahmen (ergänzt 27001) |
BSI = Bundesamt für Sicherheit in der Informationstechnik
PDCA-Zyklus (Plan-Do-Check-Act)#
Das ISMS folgt dem kontinuierlichen Verbesserungskreislauf:
┌─────────────────┐
│ PLAN │ Sicherheitsziele festlegen,
│ (Planen) │ Risikoanalyse, Maßnahmen planen
└────────┬────────┘
│
┌────────▼────────┐
┌──► │ DO │ Maßnahmen umsetzen,
│ │ (Umsetzen) │ Mitarbeiter schulen
│ └────────┬────────┘
│ │
│ ┌────────▼────────┐
│ │ CHECK │ Wirksamkeit prüfen,
│ │ (Überprüfen) │ Audits, Messungen
│ └────────┬────────┘
│ │
│ ┌────────▼────────┐
└────│ ACT │ Verbesserungen einleiten,
│ (Verbessern) │ Anpassungen vornehmen
└─────────────────┘IT-Sicherheitsleitlinie#
Die IT-Sicherheitsleitlinie ist das zentrale Dokument des ISMS – sie definiert die Sicherheitsziele und den Rahmen der Informationssicherheit im Unternehmen.
Inhalt einer IT-Sicherheitsleitlinie:
- Geltungsbereich (welche Systeme, Abteilungen, Standorte)
- Sicherheitsziele des Unternehmens (CIA)
- Verantwortlichkeiten (wer ist zuständig?)
- Grundlegende Regeln (Passwortrichtlinien, Gerätenutzung, etc.)
- Konsequenzen bei Verstößen
Die Leitlinie muss von der Geschäftsführung verabschiedet werden und für alle Mitarbeiter verbindlich sein.
Gesamtprozess des Sicherheitskonzepts#
Schritt 1: Geltungsbereich festlegen
→ Welche IT-Systeme, Prozesse und Standorte werden betrachtet?
Schritt 2: Schutzbedarfsfeststellung
→ Welchen Schutzbedarf haben die Assets? (normal / hoch / sehr hoch)
Schritt 3: Netzwerkplanbereinigung
→ Aktuellen Ist-Zustand dokumentieren und bereinigen
Schritt 4: Festlegung des Sicherheitsniveaus
→ Basis-, Standard- oder erhöhter Schutzbedarf?
Schritt 5: Modellierung (IT-Grundschutz-Bausteine zuordnen)
→ Welche BSI-Bausteine treffen auf die Infrastruktur zu?
Schritt 6: IT-Grundschutz-Check (Soll-Ist-Vergleich)
→ Welche Maßnahmen sind umgesetzt, welche fehlen noch?
Schritt 7: Maßnahmen umsetzen & dokumentieren
→ Fehlende Maßnahmen realisieren, Umsetzung nachweisenSchutzbedarfsfeststellung#
Für jedes Asset (Informationssystem, Anwendung, Daten) wird der Schutzbedarf bezüglich der drei CIA-Schutzziele bewertet.
Schutzkategorien#
| Kategorie | Bedeutung | Beispiel |
|---|---|---|
| Normal | Schaden begrenzt und überschaubar | Ausfall des Druckers für 1h |
| Hoch | Schaden erheblich | Ausfall des ERP-Systems für 4h |
| Sehr hoch | Schaden existenzbedrohend oder katastrophal | Datenleck mit Kundendaten, Ausfall eines Krankenhaus-Systems |
Vorgehen#
Für jedes Asset bewerten:
Asset: Kundendatenbank
│
├── Vertraulichkeit: sehr hoch (sensible Kundendaten)
├── Integrität: hoch (falsche Daten → Bestellfehler)
└── Verfügbarkeit: hoch (Ausfall → kein Verkauf möglich)
Ergebnis: Schutzbedarf = sehr hoch
→ Maximaler der drei Einzelwerte gilt (Maximum-Prinzip)Maximumprinzip#
Der Gesamtschutzbedarf eines Assets richtet sich nach dem höchsten der drei Einzelwerte (Vertraulichkeit, Integrität, Verfügbarkeit).
Gefährdungsfaktoren#
Gefährdungen werden systematisch kategorisiert:
| Kategorie | Beispiele |
|---|---|
| Höhere Gewalt | Feuer, Überschwemmung, Blitzschlag |
| Organisatorische Mängel | Fehlende Sicherheitsrichtlinien, mangelnde Schulung |
| Menschliche Fehlhandlungen | Versehentliches Löschen, Fehlkonfiguration |
| Technisches Versagen | Hardwareausfall, Softwarefehler |
| Vorsätzliche Handlungen | Hacking, Diebstahl, Sabotage, Social Engineering |
Soll-Ist-Vergleich (IT-Grundschutz-Check)#
Nach der Schutzbedarfsfeststellung wird geprüft, welche Maßnahmen bereits umgesetzt sind:
| Status | Bedeutung |
|---|---|
| Ja | Maßnahme vollständig umgesetzt |
| Teilweise | Maßnahme nur teilweise umgesetzt |
| Nein | Maßnahme nicht umgesetzt |
| Entbehrlich | Maßnahme für dieses System nicht relevant |
Soll-Zustand Ist-Zustand Ergebnis
(BSI-Empfehlung) (im Unternehmen)
────────────────────────────────────────────────────
Virenschutz aktiv → Virenschutz läuft → ✅ Ja
Backup täglich → Backup wöchentlich → ⚠️ Teilweise
MFA für VPN → Kein MFA → ❌ Nein
Firewall aktiv → Nicht vorhanden → ❌ NeinErgebnis: Eine Liste mit Maßnahmen, die noch umgesetzt werden müssen (Maßnahmenplan).
Wichtige Begriffe im Überblick#
| Begriff | Erklärung |
|---|---|
| Asset | Schützenswertes Gut (System, Daten, Anwendung) |
| Bedrohung | Mögliche negative Einwirkung auf ein Asset |
| Schwachstelle / Vulnerability | Angriffspunkt oder Schwäche im System |
| Risiko | Eintrittswahrscheinlichkeit × Schadensausmaß |
| Maßnahme / Safeguard | Konkrete Handlung zur Risikoreduzierung |
| Restrisiko | Verbleibendes Risiko nach Umsetzung aller Maßnahmen |
Risikobehandlung#
| Option | Beschreibung | Beispiel |
|---|---|---|
| Reduzieren | Maßnahmen umsetzen, Risiko verkleinern | Firewall einrichten |
| Vermeiden | Riskante Aktivität unterlassen | Keine Kundendaten in der Cloud |
| Übertragen | Risiko auf Dritte verlagern | Versicherung abschließen |
| Akzeptieren | Restrisiko bewusst tragen | Kleines Risiko bewusst in Kauf nehmen |
Prüfungsbeispiele#
„Was ist der Unterschied zwischen Datenschutz und Datensicherheit?"
→ Datenschutz schützt personenbezogene Daten vor unbefugtem Zugriff (rechtlich, DSGVO). Datensicherheit schützt alle Daten (nicht nur personenbezogene) technisch und organisatorisch (CIA).
„Ein Unternehmen stellt fest, dass regelmäßige Backups zwar geplant, aber nur unregelmäßig durchgeführt werden. In welchem Schritt des Sicherheitsprozesses wird das sichtbar?"
→ Im Soll-Ist-Vergleich (IT-Grundschutz-Check) – Status: „Teilweise".
„Nach welchem Prinzip wird der Schutzbedarf eines Assets bestimmt, wenn Vertraulichkeit = normal, Integrität = hoch, Verfügbarkeit = sehr hoch bewertet wird?"
→ Maximumprinzip – Gesamtschutzbedarf = sehr hoch.
Siehe auch#
- dsgvo — Datenschutz als rechtliche Dimension der Informationssicherheit
- verschluesselung — technische Maßnahmen zur Sicherstellung von Vertraulichkeit
- backup strategien — Verfügbarkeit durch Datensicherung sicherstellen
- malware — Bedrohungskategorien für die Gefährdungsanalyse
- usv typen — physische Schutzmaßnahmen im Sicherheitskonzept