Der Kumulationseffekt beschreibt, wie sich viele Werte mit jeweils normalem Schutzbedarf auf einem gemeinsamen System zu einem höheren Schutzbedarf summieren. Er ergänzt das Maximumprinzip in der Schutzbedarfsfeststellung nach BSI IT-Grundschutz.
Der Kumulationseffekt ist die Ergänzung zum [Maximumprinzip] in der [Schutzbedarfsfeststellung]. Das Maximumprinzip schaut auf den höchsten Einzelwert. Der Kumulationseffekt schaut auf die Masse.
Auf einem System liegen viele Werte mit jeweils nur normalem Schutzbedarf. Einzeln betrachtet wäre jeder unkritisch. In Summe entsteht trotzdem ein Schaden, der über normal hinausgeht, weil bei einem Ausfall oder einer Kompromittierung alle gleichzeitig betroffen sind.
Ein Fileserver speichert die Dokumente von 200 Mitarbeitern. Jeder einzelne Ordner hat Schutzbedarf normal. Fällt der Server aus, steht aber die ganze Organisation. Durch Kumulation steigt der Schutzbedarf der Verfügbarkeit auf hoch.
Der Verteilungseffekt wirkt in die andere Richtung: Ist ein Wert redundant über mehrere Systeme verteilt, kann der Schutzbedarf des einzelnen Systems niedriger ausfallen, weil der Ausfall eines Systems noch keinen vollen Schaden verursacht.
Maximumprinzip und Kumulationseffekt zusammen ergeben ein realistisches Bild des Schutzbedarfs. In Kopexa wird das Maximumprinzip automatisch entlang der Asset-Kette angewendet. Die Bewertung von Kumulations- und Verteilungseffekt bleibt eine fachliche Entscheidung, die du mit Begründung als manuelle Höherstufung in die Schutzbedarfsanalyse einträgst.