Was sind die drei Schutzbedarfkategorien und was für Beispiele gibt es?
Schutzbedarf: Normal
Schadensausmaß: begrenzt und überschaubar
Beispiel: der kurzzeitige Ausfall einer internen Webseite
Schutzbedarf: Hoch
Schadensausmaß: beträchtlich, erhebliche finanzielle Verluste, Gesetzesverstoß
Beispiel: der Diebstahl einer Kundendatenbank mit Adressdaten
Schutzbedarf: Sehr hoch
Schadensausmaß: katastrophal, existenzbedrohend, Gefahr für Leib und Leben
Beispiel: Manipulation der Steuerungssysteme eines Kraftwerks
Was ist das primäre Ziel einer Schutzbedarfsanalyse?
a) Eine neue Firewall zu kaufen. b) Zu bestimmen, wie hoch der potenzielle Schaden eines Sicherheitsvorfalls für die Organisation wäre. c) Mitarbeiter in Social Engineering zu schulen. d) Die genauen Kosten für neue Server-Hardware zu berechnen
b) Zu bestimmen, wie hoch der potenzielle Schaden eines Sicherheitsvorfalls für die Organisation wäre
Ein Angreifer stiehlt die komplette Kundendatenbank eines großen Online-Händlers inklusive Adressen und Bestelldaten. Welcher Schutzbedarf nach BSI-Standard trifft auf diese Daten am ehesten zu?
a) Normal b) Hoch c) Sehr hoch d) Kein Schutzbedarf
b) Hoch
Wie wird "Risiko" im Kontext der IT-Sicherheit fundamental definiert?
a) Ausschließlich durch die Wahrscheinlichkeit, dass ein Schaden eintritt. b) Ausschließlich durch die Höhe des potenziellen Schadens. c) Durch die Kombination aus der Höhe des potenziellen Schadens und der Eintrittswahrscheinlichkeit. d) Durch die Anzahl der IT-Systeme in einem Unternehmen
c) Durch die Kombination aus der Höhe des potenziellen Schadens und der Eintrittswahrscheinlichkeit
Welches der folgenden Szenarien beschreibt einen Fall mit dem Schutzbedarf "Sehr hoch"?
a) Die Manipulation der öffentlichen Webseite einer Stadtverwaltung. b) Der Diebstahl der internen Telefonliste der Mitarbeiter. c) Der kurzzeitige Ausfall des E-Mail-Servers. d) Die Manipulation der Steuerungssysteme eines Wasserwerks
d) Die Manipulation der Steuerungssysteme eines Wasserwerks
Ordnen Sie die folgenden IT-Systeme oder Informationen der passendsten Schutzbedarfskategorie nach BSI zu.
1 (Sehr hoch): Patientendaten sind extrem sensibel, ein Verlust oder Leak hätte katastrophale Folgen.
2 (Normal): Der Schaden durch die Veröffentlichung des Speiseplans ist begrenzt und überschaubar.
3 (Sehr hoch): Der Verlust von Patenten kann für ein Technologieunternehmen existenzbedrohend sein.
4 (Normal): Die Informationen sind öffentlich, ein Ausfall ist ärgerlich, aber der Schaden ist gering.
5 (Hoch): Ein Ausfall oder eine Manipulation der Finanzdaten hätte beträchtliche finanzielle und rechtliche Folgen.
• Bedrohung A:
Ein Festplattenausfall. Das Schadenspotenzial ist mittel (Datenverlust für einige Stunden, bis das Backup eingespielt ist). Die Eintrittswahrscheinlichkeit ist hoch (Festplatten fallen erfahrungsgemäß regelmäßig aus).
• Bedrohung B:
Ein Brand im Rechenzentrum. Das Schadenspotenzial ist sehr hoch (Totalverlust der Hardware). Die Eintrittswahrscheinlichkeit ist sehr gering (moderne Brandschutzanlagen sind vorhanden).
• Aufgabe:
a. Bewerten Sie für beide Bedrohungen das resultierende Risiko (niedrig, mittel, hoch) anhand der Formel Risiko = Schadenspotenzial × Eintrittswahrscheinlichkeit.
b. Für welche der beiden Bedrohungen müssen dringender Maßnahmen zur Risikoreduktion ergriffen werden? Begründen Sie Ihre Entscheidung.
Bewertung:
Risiko A (Festplattenausfall): mittel × hoch = hohes Risiko.
Risiko B (Brand): sehr hoch × sehr gering = mittleres bis niedriges Risiko.
Handlungsbedarf:
Maßnahmen für Bedrohung A (Festplattenausfall) sind dringender. Obwohl der Einzelschaden bei einem Brand größer wäre, ist die Kombination aus einem mittleren, aber sehr wahrscheinlichen Schaden (A) im Tagesgeschäft das weitaus größere und dringendere Gesamtrisiko als ein katastrophales, aber extrem unwahrscheinliches Ereignis (B).
Was ist das wichtigste der Risikoanalyse?
1. Schutzbedarf und Risikoanalyse – Grundlagen
IT-Sicherheitsmaßnahmen sollen angemessen, notwendig und wirtschaftlich sein.
Grundlage für Entscheidungen ist der Schutzbedarf von Informationen und Systemen.
Lernfeld 4 der IHK-Ausbildung: Schutzbedarfsanalyse im eigenen Arbeitsbereich durchführen.
2. Schutzbedarfsanalyse – Wie wichtig sind meine Daten?
Schutzbedarf beschreibt den möglichen Schaden bei Verlust von:
Vertraulichkeit
Integrität
Verfügbarkeit
BSI-Klassifikation in drei Kategorien:
Normal:
Begrenzter Schaden, keine Gesetzesverstöße zu erwarten.
Beispiel: Ausfall einer internen Infowebseite.
Hoch:
Erheblicher Schaden, mögliche Gesetzesverstöße (z. B. DSGVO).
Beispiel: Diebstahl von Kundendaten.
Sehr hoch:
Existenzbedrohender Schaden, Gefahr für Menschenleben oder große Rechtsverstöße.
Beispiel: Manipulation in einem Kraftwerk oder Verlust aller Unternehmensdaten.
3. Risikoanalyse – Was kann passieren und wie wahrscheinlich ist es?
Risiko ist Kombination aus:
Schadenspotenzial (abhängig vom Schutzbedarf)
Eintrittswahrscheinlichkeit
Formel: Risiko = Schadenspotenzial × Eintrittswahrscheinlichkeit
Praxisbeispiele:
Geringe Wahrscheinlichkeit + sehr hoher Schaden (z. B. Meteorit): meist akzeptierbares Restrisiko.
Hohe Wahrscheinlichkeit + mittlerer Schaden (z. B. Festplattenausfall): hohes Risiko, erfordert Maßnahmen (z. B. Backup, RAID).
4. Ziel der Risikoanalyse
Risiken erkennen, bewerten und priorisieren.
Maßnahmen dort einsetzen, wo sie den größten Nutzen bringen.
Wirtschaftlich sinnvolles Sicherheitsniveau erreichen.
Was du dir besonders merken solltest (das Wichtigste):
Der Schutzbedarf ist die Grundlage jeder Sicherheitsmaßnahme.
Es gibt drei Schutzbedarfskategorien: normal, hoch, sehr hoch.
Risiko = Schadenspotenzial × Eintrittswahrscheinlichkeit.
Ziel ist, Risiken zu bewerten und gezielt zu mindern, wo es sinnvoll und notwendig ist.
Zuletzt geändertvor einem Monat