IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> – Schutzbedarfsanalyse<br />
Die praktische Durchführung einer Schutzbedarfsanalyse unter Anwendung der Bewertungstabelle<br />
(Tabelle 1, Seite 54) wird im Folgenden kurz skizziert. Es ist keine Beschreibung<br />
einer vollständigen Schutzbedarfsanalyse, sondern nur eine fiktive Beispielanalyse.<br />
1. Schritt: Identifikation der <strong>zu</strong> schützenden Daten<br />
An erster Stelle steht die Identifikation aller Daten, die innerhalb des analysierten<br />
Arbeitsprozesses verarbeitet bzw. gespeichert werden. Dies könnten sein:<br />
a. Vorname<br />
b. Nachname<br />
c. Adresse<br />
d. Fachbereichs<strong>zu</strong>gehörigkeit<br />
e. Studiengang<br />
f. Prüfungsergebnisse<br />
g. Belegte Seminare<br />
2. Schritt: Ggf. Zusammenfassung der Daten <strong>zu</strong> Datenkategorien<br />
Häufig können mehrere Einzeldaten inhaltlich <strong>zu</strong> Datengruppen bzw.<br />
-kategorien <strong>zu</strong>sammengefasst werden. Die weiteren Schritte sind dann stets auf<br />
die Datenkategorien an<strong>zu</strong>wenden und nicht mehr auf die dort enthaltenen Einzeldaten.<br />
Wenig sinnvoll ist es, Vornamen und den Nachnamen gesondert <strong>zu</strong> bearbeiten.<br />
Darum kann eine Datenkategorie „Name“ gebildet werden. Bei einem<br />
konkreten Arbeitsprozess kann die Unterscheidung zwischen Stammdaten und<br />
Bewegungsdaten sinnvoll sein.<br />
3. Schritt: Bestimmen der schlimmsten möglichen Folgen des Verlustes von Vertraulichkeit<br />
/ Verfügbarkeit / Integrität (Worst-case-Szenarien)<br />
3.1 Gedankenexperiment<br />
Nun ist für jede der sechs Schadensszenarien <strong>zu</strong> überlegen, welche Folgen die Beeinträchtigung<br />
von Vertraulichkeit / Verfügbarkeit / Integrität im schlimmsten Fall<br />
hätte.<br />
Zu durchdenken bzgl. der Vertraulichkeit: Vorausgesetzt, Unbefugte erlangen<br />
Kenntnis von den Daten bzw. Datenkategorien, welche Folgen hätte dies im<br />
schlimmsten Falle auf das informationelle Selbstbestimmungsrecht, auf die persönliche<br />
Unversehrtheit und die Aufgabenerfüllung. Es ist nach den finanziellen<br />
Auswirkungen und den negativen Auswirkungen auf das Ansehen der teilnehmenden<br />
Institutionen <strong>zu</strong> fragen und danach, gegen welchen Gesetze, Vorschriften<br />
und Verträge hierdurch verstoßen würde.<br />
Zu durchdenken bzgl. der Integrität: Vorausgesetzt, an den Daten wurde unberechtigt<br />
manipuliert, welche Folgen …<br />
Zu durchdenken bzgl. der Verfügbarkeit: Vorausgesetzt, die Daten sind verloren,<br />
welche Folgen …<br />
55 von 75