Schutzbedarfsanalyse

Das Grundschutzhandbuch beginnt mit einer Schutzbedarfsanalyse, in der festgestellt werden soll, in welchem Umfang seine Anwendung angemessen und in welchen Zusammenhängen ergänzende Sicherheitsanalysen erforderlich sind. Dies könnte zum Beispiel die Durchführung einer Risikoanalyse nach dem IT-Sicherheitshandbuch sein.

Es wird nur sehr grob unterschieden zwischen IT-Systemen mit niedrigem bis mittlerem Schutzbedarf für den Fall, dass die Schadensauswirkungen begrenzt sind, mit hohem Schutzbedarf für den Fall, dass die Schadensauswirkungen beträchtlich sind, oder mit sehr hohem Schutzbedarf bei existenziell bedrohlichen oder katastrophalen Schäden. Die Schäden können dabei in

- den Folgen von Verstößen gegen Gesetze, Vorschriften oder Verträge,

- der Beeinträchtigung des informationellen Selbstbestimmungsrechts,

- der Beeinträchtigung der persönlichen Unversehrtheit,

- der Beeinträchtigung der Aufgabenerfüllung,

- der negativen Außenwirkung oder ­ last but not least ­

- finanziellen Auswirkungen bestehen. Im Hinblick auf das informationelle Selbstbestimmungsrecht wird von sehr hohem Schutzbedarf gesprochen, wenn ein Missbrauch personenbezogener Daten für den Betroffenen den gesellschaftlichen oder wirtschaftlichen Ruin bedeuten würde. Zur schärferen Eingrenzung bestimmter Schutzbedarfskategorien macht es Sinn, bei den Bewertungen nach den Grundbedrohungen der Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der Daten und Systeme zu differenzieren. Es gibt IT-Systeme, deren Ausfall verheerende Wirkungen haben kann, bei denen jedoch Verletzungen der Vertraulichkeit weniger ins Gewicht fallen (z. B. Steuerungssysteme bei strahlentherapeutischer Behandlung, von Nuklearanlagen); es gibt andere IT-Systeme, in denen die Beeinträchtigungen der Datenintegrität schlimmere Auswirkungen haben als Verletzungen der Vertraulichkeit (z. B. Kassenverfahren) und letztlich andere Systeme, in denen es vor allem auf die Vertraulichkeit der Daten ankommt (z. B. medizinische Register). Aus datenschutzrechtlicher Sicht ist vor allem relevant, wann Daten verarbeitet werden, die vor allem hinsichtlich der Vertraulichkeit hohen oder sehr hohen Schutzbedarf ausweisen: Dies dürfte immer dann der Fall sein, wenn besondere Daten im Sinne von § 6 a BlnDSG, Daten, die einem besonderen Berufs- oder Amtsgeheimnis unterliegen, Daten im Rahmen der Strafverfolgung oder des Verfassungsschutzes oder dispositive (bewertende) Daten über Personen vorliegen.

Im Falle des IT-Verfahrens im Stellenpool wurde unsere Forderung nach der Eliminierung bestimmter dispositiver Personaldaten (z. B. Gesamtnoten dienstlicher Beurteilungen, Gründe für die Beendigung von Arbeitsverhältnissen) von den später eingeschalteten Grundschutz-Auditoren bestätigt und durchgesetzt, weil sonst ergänzende Sicherheitsanalysen erforderlich gewesen wären.

Die Risikoanalyse:

Der für die Wirksamkeit eines Sicherheitskonzepts entscheidende Schritt ist die Risikoanalyse. Wenn hier Fehler gemacht werden, werden im Sicherheitskonzept falsche Maßnahmen umgesetzt, die untragbare Risiken bestehen lassen. Die Risikobetrachtungen nach dem ITSicherheitshandbuch und dem IT-Grundschutzhandbuch unterscheiden sich erheblich, jedoch ist in beiden Fällen Vollständigkeit gewährleistet, wenn die Methoden strikt angewendet werden. Die Methode nach dem IT-Sicherheitshandbuch ist naturgemäß komplexer, aber logisch nachvollziehbar und macht das Grundprinzip deutlich: Zunächst müssen alle Anwendungen und Datenbestände ermittelt und hinsichtlich der Schäden bei Eintreten der Grundbedrohungen bewertet werden. Danach werden die einzelnen Objekte der Anwendungen, Daten und ihrer Umgebungen (Infrastruktur, Hardware, Datenträger, Paperware, Software, Anwendungsdaten, Kommunikationskomponenten, Personen) und deren Bedeutung für die Grundbedrohungen erfasst. Dann werden die Bedrohungen auf die Objekte konkretisiert. Am Ende dieses Schrittes ist bekannt, wie der Schaden pro Objekt bei Eintreten einer Bedrohung bewertet wird (Schadenswert in einer fünfstufigen Skala).

Als Nächstes wird bewertet, wie häufig eine Bedrohung zu einem Schadensfall an einem Objekt führt (Häufigkeitswert in einer fünfstufigen Skala). Das Wertepaar {Schadenswert, Häufigkeitswert} beschreibt das Risiko, denn es gibt an, wie häufig welcher Schaden an einem Objekt entstehen kann. Da man kleine Schäden häufiger ertragen kann als große, muss entschieden werden, mit welcher Häufigkeit welche Schäden als tragbar angenommen werden sollen oder nicht (Entscheidungstabelle zur Ermittlung der tragbaren und untragbaren Risiken). Gegen die untragbaren Risiken müssen Maßnahmen ergriffen werden, die den Schadenswert und/oder den Häufigkeitswert so weit reduzieren, dass das Risiko in den tragbaren Bereich der Entscheidungstabelle rutscht. Das Sicherheitskonzept steht, wenn am Ende eine Restrisikoanalyse nachweist, dass alle zuerst untragbaren Risiken auf ein tragbares Maß reduziert worden sind.

Dieses recht komplizierte Verfahren verwendet zwar Skalenwerte, aber sowohl die Schadenswerte als auch die Häufigkeitswerte und allemal die Entscheidung, wann Risiken tragbar sind und wann nicht, lassen sich objektiv nicht bestimmen. Daher verlangt die Vorgehensweise nach dem IT-Sicherheitshandbuch das diskurshafte Zusammenwirken von Vertretern verschiedener Interessen und fachlicher Kompetenzen. Es wird dringend empfohlen, die Diskurse unter neutraler Moderation zu führen, um die Durchsetzung einseitiger Interessen zu verhindern. Zum Beispiel darf ein vernünftiges Sicherheitskonzept nicht am entschlossenen Widerstand des Finanzverantwortlichen scheitern. Andererseits soll die Umsetzung eines Sicherheitskonzeptes ein Unternehmen oder eine Behörde nicht selbst existenziell oder in seiner Aufgabenerfüllung bedrohen.

Wesentlich einfacher verläuft die Risikoanalyse mit dem Grundschutzhandbuch. Das Grundschutzhandbuch benennt derzeit insgesamt 54 Komponenten unterschiedlicher Art, die als Bausteine für die Modellierung des zu analysierenden IT-Systems oder der zu analysierenden IT-Anwendung verwendet werden können. Die Weiterentwicklung des ITGrundschutzhandbuchs besteht unter anderem darin, dass die Zahl der Komponenten kontinuierlich erhöht wird, um immer mehr reale IT-Systeme mit diesen Bausteinen modellieren zu können. Jedem dieser Bausteine sind konkrete Gefährdungen zugeordnet, die auf ihnen lasten, und konkrete Maßnahmen, mit denen sie reduziert werden können. Alle Gefährdungen und Maßnahmen werden genau beschrieben. Sind alle Bausteine des Modells erfasst, können alle Gefährdungen aufgelistet werden. Dann muss entschieden werden, welche Gefährdungen im realen Fall relevant sind, d.