Die Schutzbedarfsanalyse legt fest, wie schützenswert ein Informationswert oder Asset ist. Bewertet werden Vertraulichkeit, Integrität und Verfügbarkeit, üblich in den Stufen normal, hoch und sehr hoch. Das Ergebnis steuert, welche Schutzmaßnahmen und Controls wirklich nötig sind.
Die Schutzbedarfsanalyse beantwortet die Frage, die jeder Informationssicherheit vorausgeht: Wie schützenswert ist dieser Wert eigentlich? Erst wenn der Schutzbedarf feststeht, lässt sich entscheiden, welche Maßnahmen angemessen sind und wo du sonst über- oder unterinvestierst.
Pro Informationswert oder Asset bewertest du die drei [Schutzziele der Informationssicherheit] einzeln:
Jedes Ziel wird getrennt eingestuft, weil ein Wert sehr unterschiedliche Profile haben kann. Eine öffentliche Webseite braucht hohe Verfügbarkeit, aber kaum Vertraulichkeit. Interne Gehaltsdaten genau umgekehrt.
In der Praxis hat sich die dreistufige Skala aus dem BSI IT-Grundschutz durchgesetzt:
| Kategorie | Bedeutung |
|---|---|
| normal | Schadensauswirkungen sind begrenzt und überschaubar |
| hoch | Schadensauswirkungen können beträchtlich sein |
| sehr hoch | Schadensauswirkungen können ein existenziell bedrohliches Ausmaß erreichen |
Eine Schutzbedarfsanalyse betrachtet nie nur einen einzelnen Wert isoliert. Werte hängen zusammen: Ein Server trägt mehrere Anwendungen, eine Anwendung verarbeitet mehrere Informationswerte. Damit der Schutzbedarf entlang dieser Kette nicht verwässert, kommen zwei Prinzipien zum Tragen, das [Maximumprinzip] und der [Kumulationseffekt].
Im klassischen Vorgehen ist die Schutzbedarfsanalyse oft eine Excel-Übung, die nach dem ersten Audit veraltet. In Kopexa führst du die Analyse strukturiert pro Informationswert durch, die CIA-Werte werden automatisch nach dem Maximumprinzip entlang der Asset-Kette vererbt, und jede Änderung am Schutzbedarf bleibt historisch nachvollziehbar. Das Schema schlägt eine Einstufung vor, die du mit fachlicher Begründung überstimmen kannst.