Schutzbedarfsfeststellung

Die Schutzbedarfsfeststellung ist der feststehende Begriff aus dem BSI IT-Grundschutz für den Arbeitsschritt, in dem der Schutzbedarf der Zielobjekte ermittelt wird. Inhaltlich ist sie weitgehend deckungsgleich mit der allgemeineren [Schutzbedarfsanalyse], nur stärker an die Methodik des Grundschutz-Kompendiums gebunden.

Ablauf nach BSI

Die Feststellung läuft in einer festen Reihenfolge entlang der Schichten ab:

1. Geschäftsprozesse und Informationen bekommen einen Schutzbedarf zugewiesen.
2. Anwendungen erben den Schutzbedarf der Daten, die sie verarbeiten.
3. IT-Systeme leiten ihren Schutzbedarf aus den Anwendungen ab, die auf ihnen laufen.
4. Räume und Netze schließlich erben aus den Systemen, die sie beherbergen.

Die drei Vererbungsregeln

Damit aus den Einzelwerten ein konsistentes Bild entsteht, kennt das BSI drei Regeln:

• [Maximumprinzip]. Das Zielobjekt bekommt mindestens den höchsten Schutzbedarf der von ihm abhängigen Werte.
• [Kumulationseffekt]. Viele Werte mit normalem Schutzbedarf können sich auf einem System zu hoch summieren.
• Verteilungseffekt. Verteilt sich ein Wert über mehrere Systeme, kann der Schutzbedarf des einzelnen Systems niedriger ausfallen.

Schutzbedarfskategorien

Das BSI arbeitet mit drei Stufen: normal, hoch und sehr hoch. Jede Stufe ist über die möglichen Schadensauswirkungen definiert, von begrenzt bis existenziell bedrohlich.

In der Praxis

Eine Schutzbedarfsfeststellung ist nur so gut, wie sie aktuell gehalten wird. Sobald ein neuer Informationswert dazukommt, muss die Kette nachgezogen werden. In Kopexa passiert das automatisch: CIA-Werte werden nach dem Maximumprinzip entlang der Asset-Kette vererbt, ein manuelles Unterschreiten der geerbten Werte ist nicht möglich, und Verantwortliche werden benachrichtigt, sobald sich durch Vererbung irgendwo der Schutzbedarf erhöht.