Einstieg IT-Grundschutz Tag 5

• Rechtliche Verpflichtung (z.B DSGVO): Das Müssen

• Schutzziele (Vertraulichkeit, Intigrität, Verfügbarkeit): Das Warum

• Teschniche Maßnahmen (z.B Firewall-Regel): Das Wie

• unspezifische, pauschale Aussage:

  • keine Ziele bennt

  • keine Priorität festgelegt

  • keine konkreten Information über das System

• Asset

  • Bedeutung: schützende Werte im Unternehmen

  • Beispiel: Daten, System, Reputation

• Bedrohung

  • Bedeutung: potenzielle Gefahr, die ein Asset betreffen kann

  • Beispiele: Hacker, Viren, Feuer

• Schutzbedarf

  • Bedeutung: Kritikalität eines Asset, die das erforderliche Schutzniveau bestimmt

  • Beispiel: Wie kritisch der Ausfall des Onlineshops für das Unternehmen wäre

• Was soll geschützt werden (Assets)?

• Wovor soll geschützt werden (Bedrohungen)?

• Welches Schutzniveau ist erforderlich (Schutzbedarf)?

technische maßnahme (wie):

• verschlüsselung einer festplatte

schutzziel (warum):

• vertraulichkeit – daten sollen bei diebstahl oder verlust des geräts nicht ausgelesen werden können

rechtliche verpflichtung (müssen):

• dsgvo art. 32 – schutz personenbezogener daten durch geeignete technische maßnahmen

Diese Begriffe stehen stellvertretend für die drei Ebenen in der sogenannten Kausalkette der IT-Sicherheit.

Man hebt sie hervor, weil sie die Denkrichtung zeigen – also:

• MÜSSEN = die Pflicht → warum man überhaupt handeln muss (z. B. Gesetze wie DSGVO)

• WARUM = die Schutzziele → was genau eigentlich geschützt werden soll und warum es wichtig ist (z. B. Verfügbarkeit von Systemen)

• WIE = die Maßnahme → wie man das dann technisch umsetzt (z. B. mit einer Firewall oder Verschlüsselung)

die kausalkette der it-sicherheit

1. rechtliche verpflichtung – warum muss überhaupt gehandelt werden?

   • weil gesetze wie die dsgvo den schutz von daten und systemen vorschreiben

   • die einhaltung ist verpflichtend, um rechtssicherheit und compliance zu gewährleisten

2. schutzziele – warum soll genau das geschützt werden?

   • weil vertraulichkeit, integrität und verfügbarkeit grundlegende ziele der informationssicherheit sind

   • sie geben vor, welche werte besonders wichtig sind und was im unternehmen kritisch ist

3. technische maßnahmen – wie wird das konkret umgesetzt?

   • durch technische lösungen wie firewalls, verschlüsselung oder zugriffssteuerung

   • sie erfüllen ganz gezielt die vorher definierten schutzziele und basieren auf klarer analyse

professionelles vorgehen bei kundenanfragen

• unscharfe forderungen wie „machen sie unser netzwerk sicher“ reichen nicht aus

• daher sind gezielte rückfragen notwendig, um die lage zu analysieren:

– was soll geschützt werden (assets)?

– wovor soll geschützt werden (bedrohungen)?

– welches schutzniveau ist erforderlich (schutzbedarf)?

• der schutzbedarf ergibt sich aus den schutzzielen und entscheidet, welche maßnahmen notwendig und verhältnismäßig sind

Das Wort Kausalkette bedeutet: eine logische Abfolge von Ursache und Wirkung, wo ein Schritt den nächsten begründet.

In der IT-Sicherheit heißt das konkret:

• etwas ist gesetzlich oder organisatorisch vorgeschrieben → (das ist der Anfangspunkt)

• daraus ergibt sich ein Ziel, das man mit Sicherheitsmaßnahmen erreichen muss

• und daraus folgt dann eine konkrete technische Lösung

Oder anders gesagt:

„Wir müssen handeln“ → „Deshalb wollen wir das schützen“ → „Also setzen wir das technisch so um“

Ein kleines Beispiel zur Verdeutlichung:

MÜSSEN: DSGVO schreibt vor, dass personenbezogene Daten geschützt werden müssen

WARUM: weil sonst Vertraulichkeit verletzt wird und Strafen drohen

WIE: also wird z. B. eine Datenbank verschlüsselt und der Zugriff kontrolliert