BSI IT-Grundschutz: Schutzbedarfsfeststellung, Einordnung in Kategorien? Wie?

[tori]

//edit: Am Besten das hier alles überspringen und gleich dieses edit weiter unten lesen.

Beim IT-Grundschutz muss man die Sachen die man im Netz so gefunden hat (Hardware, Software, ...) in Kategorien des Schutzbedarfs einordnen. Da gibt es "normal", "hoch" und "sehr hoch". Eine Dimension zur Bewertung ist, ob durch einen Ausfall eines Systems gegen Gesetze, Vorschriften oder Verträge verstoßen wird.

Was ist denn in dem Zusammenhang unter "normal", "hoch" und "sehr hoch" zu verstehen?
"sehr hoch" = jemand wandert in den Knast, bzw. Insolvenz folgt?
"hoch" = ziemlich heavy, aber nicht ganz so schlimm wie "sehr hoch"?
"normal" = alles was nicht sooooo extrem ist?

Ich denke mal bei dieser Sache kann man noch eine Einordnung treffen die nicht firmenspezifisch ist, anders als beispielsweise bei den finanziellen Auswirkungen wo es von der Größe der Firma abhängt ob das existenzbedrohend ist.

Trotzdem finde ich dazu nichts im Netz? Kann mir jemand helfen?

Wie könnte ich sonst bei der Einordnung vorgehen? Und warum gibt's für sowas kein Forum?

 

[DeusoftheWired]

Sag uns erst mal, was das große Ziel am Ende dessen ist, womit du dich beschäftigst. Mußt du eine Gefährdungsstudie für deine Firma erstellen, die an den BSI weitergegeben wird? Du kannst dich auch an den BSI selbst wenden, dort gibt es Ansprechpartner, die dir Material und Fallbeispiele zukommen lassen können. Hast du irgendwelche Unterlagen bekommen?

Die Seiten vom BSI helfen dir nicht?

 

[hennmey]

Hallo,

lies bitte dieses durch: https://www.bsi.bund.de/SharedDocs/...n/GS-Leitfaden_pdf.pdf?__blob=publicationFile

oder lade es Dir herunter. Ca. 100 Seiten. Viel Spass.

Oder den Gesamtkatalog, ca 3000 Seiten: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/kataloge.html

 

[tori]

Ich mache eine Schutzbedarfsfeststellung.

In deinem Link steht ein Beispiel für die Abgrenzung bei finanziellen Risiken. Dass man dafür das Unternehmen kennen muss ist ziemlich klar. Gesetzesverstöße müssten sich aber allgemeiner einordnen lassen. Z.b. glaube ich nicht, dass es einem Vorstand einer großen Firma weniger ausmacht strafrechtlich belangt zu werden als dem Geschäftsführer einer kleinen GmbH.

Auf den BSI-Seiten und in ihrem Komplettbeispiel hier erfolgt die Abgrenzung anhand sehr sehr schwammiger Begriffe wie
"normal": geringfügige Konsequenzen
"hoch": erhebliche Konsequenzen
"sehr hoch": existenzbedrohliche Konsequenzen

Was ist "erheblich"? Das müsste sich doch allgemein sagen lassen ohne Bezug auf eine Firma. Wenn jemand in den Knast wandert finde ich das sehr erheblich. Was noch?

Dazu finde ich seltsamerweise nichts. Meine Erfahrung sagt mir dass wenn Google nichts findet ich die falschen Fragen stelle weil ich die Situation nicht verstehe. Deswegen beschreibe ich zur Klärung mal hier meine Situation.

/edit1: @henmey: Jo, zum IT-Grundschutz stehen da 8 Seiten (63-71) Werbetext... Die kenne ich schon.

 

[chrigu]

und was hat das mit "
Heimnetzwerke und Internethardware" zu tun?

 

[tori]

Ich habe nach IT-Grundschutz gesucht und die meisten Treffer in diesem Unterforum gefunden. Deswegen dachte ich kennt sich hier vielleicht jemand mit sowas aus. Wenn du ein besseres Forum dafür kennst wäre ich dir für einen entsprechenden Vorschlag sehr dankbar.

//edit: Ok, ich bin ein bisschen weiter.

Verträge/Vorschriften etc. und was man sonst so verletzen kann kommt in der Regel entweder vom Gesetzgeber oder vom Geschäftspartner. In letzterem Fall laufen alle zu erwartenden Konsequenzen auf Geld hinaus, lassen sich also monetär beziffern. Deswegen fallen die dann unter "finanzielle Auswirkungen" und nicht unter Auswirkungen von "Verstößen gegen Gesetze, Vorschriften und Verträge". Somit bleibt die Frage was seitens des Gesetzgebers an "Rechtsfolgen" drohen. Diese müssten dann in die Kategorien einsortiert werden.

1. Klar, strafrechtlich gibt es Haftstrafen, Geldstrafen, immer verbunden mit einem Eintrag im polizeilichen Führungszeugnis der weitere Auswirkungen haben kann. Sowas ist zu vermeiden, deshalb würde ich das als "sehr hoch" einsortieren.
2. Zivilrecht: siehe oben: Konventionalstrafen von Vertragspartnern fallen unter Finanzen.
3. Ordnungswidrigkeit: Gibt es sowas für Unternehmen? Was sind übliche Rechtsfolgen?

 

[d4nY]

nunja, dass die formulierungen sehr vage sind ist ja logisch, schließlich soll es vom selbstständigen bis zum multinationalen konzerz alles abdecken (zumindest theoretisch)

du musst doch etwas bestimmtes überprüfen, idR eine anwendung oder?

um dir mal ein beispiel zu nennen:
normal = es werden irgendwelche daten gespeichert, ohne bestimmten bezug (vorname und geburtsdatum), deren verlust wäre zwar ärgerlich, aber hat keine/kaum konsequenzen
hoch = es werden personenbezogene daten gespeichert (vorname, nachname, adresse), deren verlust ist nicht nur ärgerlich, sondern kann auch schädlich für die person sein
sehr hoch = es werden personenbezogene daten und noch hochbrisante daten (z.B. verübte straftaten) gespeichert, deren verlust bedeutet für die betroffene person dann u.U. auch gefahr für leib und leben (ich glaube das wurde auch irgendwo mal erwähnt, dass dieses unter "sehr hoch" fällt)

es kommt eben draufan wie stark so eine strafe/konsequenz ausfallen würde
für ein kleines unternehmen sind 25.000€ schaden unter umständen schon ne ganze menge, ein größerer konzernz würde sowas wohl nicht mal mitbekommen
somit kann ein zivilrechtlicher prozess für ein kleines unternehmen durchaus existenzgefährend sein, während der verlust eines mitarbeiters (durch straftrecht) eventuell besser zu verkraften ist

selbiges gilt dann für verfügbarkeit und integrität
da muss dann abgeschätzt werden, wie hoch die konsequenzen bei fehlerhafte integrität und mangelnder verfügbarkeit sind
der falsche/nicht verfügbare speiseplan ist zwar nervig, aber keinesfalls bedrohlich
falsche zahlungsangaben oder eine defekte zentrale datenbank sind da schon deutlich gefährlicher

 

[Chefkoch]

Heimnetzwerke und Internethardware" zu tun?

Ich hab´s mal versucht richtig einzuordnen