IT-Dokumentation - Der Blog

Schutzbedarfsfeststellung Ihrer Daten und IT-Systeme

Do, 16. April 2015

Prinzipiell kann man sagen, dass alle Daten eines Unternehmens geschützt werden müssen. Dabei gilt es jedoch zu beachten, dass manche Daten für ein Unternehmen wichtiger sind als andere. Reine Systemdaten eines Betriebssystems haben vielleicht einen geringeren Schutzbedarf als Daten aus Forschung und Entwicklung (FuE) oder Personal- und Mitarbeiterdaten. Diese unterschiedlichen Anforderungen kann man über den sogenannten Schutzbedarf beschreiben.
Das bedeutet, dass nicht alle Daten in Ihrem Unternehmen gleich behandelt werden müssen. Würde man dies tun, so wäre das Erreichen eines adäquaten Sicherheitsniveaus in der IT-Sicherheit noch anspruchsvoller. Damit können Daten auf Grund des Wertes für ein Unternehmen jedoch unterschiedlich behandelt werden. Dieses Vorgehen wollen wir uns nun näher ansehen:

Die 3 Grundwerte der IT-Sicherheit

Hinsichtlich Schutzbedarf werden die drei Grundwerte der IT-Sicherheit angesetzt:

  1. Sicherstellung der Verfügbarkeit
    Der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
  1. Wahrung der Vertraulichkeit
    Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten, wie auch während der Datenübertragung.
  1. Schutz der Integrität
    Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein.

Was gilt es nun genau zu schützen? In einer IT-Landschaft sind dies vor allem Daten und IT-Systeme. Die Arbeit die als Erstes getan werden muss ist, sich Kategorien zu definieren. Sie werden nicht jede Datei einzeln betrachten und einstufen können. Sie werden komplette Ordner mit den Daten einer Kategorie bilden. Das wird ihr jetziges Dateisystem aber wahrscheinlich bereits haben. Beispielsweise einen Ordner „Entwicklung“ oder „Personal“. Eine andere Kategorie könnte „Betriebssystemdaten“ heißen. Bilden Sie diese Kategorien und die Schutzbedarfe in einer Matrix ab. Dazu kann man beispielsweise eine Excel-Tabelle verwenden. Tragen Sie alle definierten Kategorien in die erste Spalte ein. Die drei Grundwerte Verfügbarkeit, Vertraulichkeit und Integrität nehmen Sie als Überschrift für die nächsten drei Spalten.

Als Nächstes muss eine Bewertung stattfinden. Jede Datenkategorie muss bezüglich jedes Grundwerts analysiert und bewertet werden. Für diese Bewertung kann man wieder drei Stufen definieren:

  1. Normal
  2. Hoch (große Auswirkung hinsichtlich monetärem Verlust und Image der Firma)
  3. Sehr hoch (existenzgefährdende Auswirkungen)

Wählen Sie immer eine ungerade Anzahl von Bewertungsstufen, das macht die Einstufung leichter. Später können Sie die Stufen bei Bedarf verfeinern, zum Beginn werden aber sicherlich drei genügen. Diese Bewertungen müssen durch den jeweiligen Fachverantwortlichen oder das Management erfolgen. Dies ist keine Aufgabe für die IT-Abteilung. Die Ergebnisse sind entsprechend zu dokumentieren und sollten in jährlichem Turnus geprüft werden. Verwenden Sie eine vorher erwähnte Excel-Tabelle, dann muss die ausgefüllte Matrix entsprechend bewertet und Maßnahmen daraus abgeleitet werden. So könnte ein Ergebnis sein, dass das Rechtesystem für die Zugriffe auf den Fileserver unzureichend ist und überarbeitet werden muss. Daten mit unterschiedlichen Schutzbedarfen könnten gemeinsam in einem Ordner liegen, das ist nicht immer günstig. Hier wird es eine Auftrennung der Dateipfade geben müssen oder es wird verschlüsselt.

Ist noch kein Rollenkonzept für den Dateizugriff ausgearbeitet worden, so wäre jetzt sicherlich der richtige Zeitpunkt dafür. Aus Schutzbedarfsfeststellungen ergeben sich häufig auch Maßnahmen für die Datensicherung, da sich vorher selten jemand Gedanken über die Verfügbarkeitsanforderung gemacht hat. Die IT hat die Datensicherung sicherlich nach bestem Wissen und Gewissen eingerichtet. Vielleicht wird es Zeit diese entsprechend anzupassen und manche Daten anders zu sichern.

Schnittstelle zum Risikomanagement

Die Feststellung und Dokumentation der Schutzbedarfe für Ihre Daten hilft Ihnen eine bessere Übersicht über das IT-Netzwerk zu erhalten. Durch die Darstellung von Schwachstellen kann es Ihnen auch als Rechtfertigung für Neuanschaffungen in der IT dienen. Nutzen Sie diese um aufzuzeigen, dass in bestimmten Bereichen Hard- oder Software beschafft werden sollte. Schutzbedarfsfeststellungen stellen auch eine Risikoanalyse für den IT-Bereich dar. Fragen Sie Ihren Risk Manager, er freut sich bestimmt wenn diese Informationen zur Verfügung gestellt werden. Dies ist ein Teil der Gesamtrisikobetrachtung wie sie vom Gesetzgeber, Banken oder Versicherungen durchaus gefordert werden.

Software unterstützt bei der Dokumentation

Sie können für die Dokumentation der Schutzbedarfe auch spezielle Software wie das IT-Grundschutztool des BSI oder verinice einsetzen. Damit schaffen Sie einen Grundstein für ein Informationssicherheit Management System ISMS. Denn insgesamt erreichen Sie ein ausreichendes Schutzniveau Ihrer IT-Sicherheit erst, wenn einzelne Maßnahmen koordiniert und gemanagt werden. Dazu trägt natürlich auch eine umfassende IT-Dokumentation bei, die Sie mit dem IT-Dokumentationstool Docusnap mit relativ geringem Aufwand erreichen können.

Schreibe einen Kommentar