Wie BSI-Anforderungen zur sinnvollen Ressourcenzuteilung führen

Know-how  –  2 Kommentare

Hinter der trockenen Bezeichnung Schutzbedarfsfeststellung des Bundesamts für Sicherheit und Informationstechnik verbergen sich praxisrelevante Hinweise für Entwickler-Teams, wo Prioritäten zu setzen sind.

Ein wesentlicher Erfolgsfaktor für den angemessenen Ressourceneinsatz ist die richtige Bewertung der Softwarekomponenten hinsichtlich ihrer potenziellen Auswirkungen auf die Geschäftsprozesse und der daraus resultierenden Risiken. Nur mit einer einheitlichen Bewertung können die Projektverantwortlichen die richtigen und angemessenen Maßnahmen planen und Mehrkosten vermeiden.

Bildlich gesprochen möchte man weder mit Papierkügelchen auf Dinosaurier noch mit Kanonen auf Spatzen schießen. Deswegen ist es gut, zuerst zu wissen, hinter welchem Geschäftsprozess sich der Dinosaurier versteckt, es also um existenzielle Prozesse geht. Dabei können unterschiedliche Ansätze und Methoden angewendet werden. Eine erfolgreiche und in der Praxis bewährte Vorgehensweise ist die vom Bundesamt für Sicherheit und Informationstechnik (BSI) entwickelte Schutzbedarfsfeststellung. Damit wird der Schutzbedarf einer Anwendung oder eines Geschäftsprozesses in Bezug auf die Verfügbarkeit, Vertraulichkeit und Integrität bewertet. Eigentlich geht es dabei darum, ein geeignetes Sicherheitskonzept für das Unternehmen zu entwickeln. Die Methode orientiert sich an den möglichen Schäden, die mit einer Beeinträchtigung der betroffenen Anwendungen und damit der jeweiligen Geschäftsprozesse (z. B. durch einen Softwarefehler) verbunden sind [1].

Doch diese eignet sich auch bestens für die Einschätzung von Softwareprojekten, wie der Artikel exemplarisch an den Prüftechniken im Testmanagement zeigt.

Die Spatzen und Dinosaurier trennen

Zunächst ist der Schutzbedarf gemäß der Empfehlung des BSI in Schadensklassen zu unterteilen. Zusätzlich zu den drei Standardklassen des BSI hat sich die Aufnahme der Klasse "gering" bewährt [1]:

  • gering: keine nennenswerten Schadensauswirkungen.
  • normal: Die Schadensauswirkungen sind begrenzt und überschaubar.
  • hoch: Die Schadensauswirkungen können beträchtlich sein.
  • sehr hoch: Die Schadensauswirkungen können ein existenziell bedrohliches katastrophales Ausmaß erreichen.

Zur Abgrenzung der Schutzbedarfskategorien empfiehlt das BSI, die Grenzen für die einzelnen Schadensszenarien zu bestimmen. Die vom BSI vorgeschlagenen Tabellen zur Einstufung der Kategorie "normal", "hoch", "sehr hoch" haben sich bewährt. Zusätzlich wurde der Vorschlag auf die Schutzbedarfskategorie "gering" angewendet. Die Tabellen 1, 2, 3 und 4 stellen die einzelnen Schadenszenarien in Abhängigkeit zur Einstufung dar.

Schutzbedarfskategorie "gering"
Verstoß gegen Gesetze/Vorschriften/Verträge Keine Auswirkung auf Gesetze oder Verträge
Beeinträchtigung des informationellen Selbstbestimmungsrechts Es werden keine personenbezogenen Daten verarbeitet.
Beeinträchtigung der persönlichen Unversehrtheit Eine Beeinträchtigung erscheint nicht möglich.
Beeinträchtigung der Aufgabenerfüllung Die maximal tolerierbare Ausfallzeit ist größer als 72 Stunden.
Die Beeinträchtigung würde von den Betroffenen als vernachlässigbar eingeschätzt werden.
Negative Innen- oder Außenwirkung Keine Auswirkungen erwartet
Finanzielle Auswirkungen Kein finanzieller Schaden zu erwarten
Schutzbedarfskategorie "normal"
Verstoß gegen Gesetze/Vorschriften/Verträge Geringfügige Vertragsverletzungen mit maximal geringen Konventionalstrafen
Verstöße gegen Vorschriften und Gesetze mit geringfügigen Konsequenzen
Beeinträchtigung des informationellen Selbstbestimmungsrechts Es handelt sich um personenbezogene Daten, durch deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden kann.
Beeinträchtigung der persönlichen Unversehrtheit Eine Beeinträchtigung erscheint nicht möglich.
Beeinträchtigung der Aufgabenerfüllung Die maximal tolerierbare Ausfallzeit liegt zwischen 24 und 72 Stunden.
Die Beeinträchtigung würde von den Betroffenen als tolerabel eingeschätzt werden.
Negative Innen- oder Außenwirkung Eine geringe bzw. nur interne Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten.
Finanzielle Auswirkungen Der finanzielle Schaden bleibt für die Institution tolerabel.
Schutzbedarfskategorie "hoch"
Verstoß gegen Gesetze/Vorschriften/Verträge Vertragsverletzungen mit hohen Konventionalstrafen
Verstöße gegen Vorschriften und Gesetze mit erheblichen Konsequenzen
Beeinträchtigung des informationellen Selbstbestimmungsrechts Es handelt sich um personenbezogene Daten, bei deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann.
Beeinträchtigung der persönlichen Unversehrtheit Eine Beeinträchtigung der persönlichen Unversehrtheit kann nicht absolut ausgeschlossen werden.
Beeinträchtigung der Aufgabenerfüllung Die maximal tolerierbare Ausfallzeit liegt zwischen einer und 24 Stunden.
Die Beeinträchtigung würde von einzelnen Betroffenen als nicht tolerabel eingeschätzt.
Negative Innen- oder Außenwirkung Eine breite Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten.
Finanzielle Auswirkungen Der Schaden bewirkt beachtliche finanzielle Verluste, ist jedoch nicht existenzbedrohend.
Schutzbedarfskategorie "sehr hoch"
Verstoß gegen Gesetze/Vorschriften/Verträge Vertragsverletzungen, deren Haftungsschäden ruinös sind
Fundamentaler Verstoß gegen Vorschriften und Gesetze
Beeinträchtigung des informationellen Selbstbestimmungsrechts Es handelt sich um personenbezogene Daten, bei deren Verarbeitung eine Gefahr für Leib und Leben oder die persönliche Freiheit des Betroffenen gegeben ist.
Beeinträchtigung der persönlichen Unversehrtheit Gefahr für Leib und Leben.
Gravierende Beeinträchtigungen der persönlichen Unversehrtheit sind möglich.
Beeinträchtigung der Aufgabenerfüllung Die maximal tolerierbare Ausfallzeit ist kleiner als eine Stunde.
Die Beeinträchtigung würde von allen Betroffenen als nicht tolerabel eingeschätzt werden.
Negative Innen- oder Außenwirkung Eine landesweite Ansehens- oder Vertrauensbeeinträchtigung, eventuell sogar existenzgefährdender Art, ist denkbar.
Finanzielle Auswirkungen Der finanzielle Schaden ist für die Institution existenzbedrohend.

Unter Beachtung des Grundsatzes "keep it simple" sollte der Projektleiter die Schadensszenarien an das Unternehmen anpassen sowie darüber hinaus die individuellen Gegebenheiten der Institution berücksichtigen: Ist in einem Großunternehmen ein Schaden in Höhe von 200.000 Euro gemessen am Umsatz und am IT-Budget gering, kann für ein Kleinunternehmen schon ein Schaden in Höhe von 10.000 Euro existenziell bedrohlich sein [1]. Eine monetäre Bezifferung der Auswirkung vereinfacht die Bewertung durch das Projekt deutlich.