Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...

Webkurs IT-Grundschutz 

Beschreibung des 

Beispielunternehmens 

RECPLAST GmbH 

Ausgabe Juni 2006

Dieses Dokument ergänzt den Webkurs IT-Grundschutz und enthält die Darstellungen, Tabellen und 

Erläuterungen zu dem (fiktiven) Unternehmen RECPLAST, das in dem Kurs als Beispiel zur 

Veranschaulichung der IT-Grundschutz-Vorgehensweise verwendet wird. 

Grundlage: IT-Grundschutz-Kataloge vom Dezember 2005. 

Der Webkurs IT-Grundschutz wurde im Auftrag des BSI vom Fraunhofer-Institut für Sichere 

Informationstechnologie SIT, Bereich Sichere Prozesse und Infrastrukturen SPI, Sankt Augustin 

erstellt. Internet: www.sit.fraunhofer.de. 

Bundesamt für Sicherheit in der Informationstechnik 

Referat 114 

Postfach 20 03 63 

53133 Bonn 

Telefon: 0228 99 9582-5369 

E-Mail: gshb@bsi.bund.de 

Internet: www.bsi.bund.de 

© Bundesamt für Sicherheit in der Informationstechnik 2006

Inhaltsverzeichnis 

Webkurs IT-Grundschutz – das Beispielunternehmen RECPLAST 

1 Das Beispielunternehmen Recplast GmbH ..................................................................................... 2 

1.1 Organisatorische Gliederung ................................................................................................. 2 

1.2 Informationstechnik ............................................................................................................... 3 

2 IT-Sicherheitsmanagement.............................................................................................................. 4 

2.1 Vorschläge für die IT-Sicherheitsleitlinie.............................................................................. 5 

2.2 Einführung der IT-Sicherheitsleitlinie im Unternehmen ....................................................... 7 

3 IT-Strukturanalyse........................................................................................................................... 8 

3.1 Netzplan ................................................................................................................................. 8 

3.2 Erhebung IT-Systeme .......................................................................................................... 11 

3.3 Erhebung IT-Anwendungen................................................................................................. 13 

4 Schutzbedarfsfeststellung.............................................................................................................. 16 

4.1 Anpassung der Schutzbedarfskategorien ............................................................................. 16 

4.2 Schutzbedarfsfeststellung der IT-Anwendungen ................................................................. 17 

4.3 Schutzbedarfsfeststellung der IT-Systeme........................................................................... 21 

4.4 Schutzbedarf der Kommunikationsverbindungen................................................................ 26 

4.5 Schutzbedarfsfeststellung der IT-genutzten Räume............................................................. 29 

5 Modellierung gemäß IT-Grundschutz ........................................................................................... 30 

5.1 Schicht 1: Übergreifende Aspekte ....................................................................................... 30 

5.2 Schicht 2: Infrastruktur ........................................................................................................31 

5.3 Schicht 3: IT-Systeme.......................................................................................................... 31 

5.4 Schicht 4: Netze ................................................................................................................... 34 

5.5 Schicht 5: Anwendungen ..................................................................................................... 35 

6 Basis-Sicherheitscheck.................................................................................................................. 36 

6.1 Beispiel aus Schicht 1: B 1.0 IT-Sicherheitsmanagement ................................................... 37 

6.2 Beispiel aus Schicht 1: B 1.2 Personal................................................................................. 39 

6.3 Beispiel aus Schicht 2: B 2.4 Serverraum............................................................................ 41 

6.4 Beispiel II aus Schicht 3: B 3.101 Allgemeiner Server ....................................................... 43 

6.5 Beispiel II aus Schicht 3: B 3.106 Server unter Windows 2000.......................................... 46 

6.6 Beispiel aus Schicht 4: B 4.1 Heterogene Netze.................................................................. 49 

6.7 Beispiel aus Schicht 5: B 5.7 Datenbanken ......................................................................... 51 

7 Ergänzende Risikoanalyse............................................................................................................. 54 

7.1 Erstellung der Gefährdungsübersicht................................................................................... 55 

7.2 Ermittlung zusätzlicher Gefährdungen ................................................................................ 57 

7.3 Bewertung der Gefährdungen .............................................................................................. 58 

7.4 Behandlung der Risiken und Maßnahmenauswahl.............................................................. 62 

8 Realisierungsplanung .................................................................................................................... 64 

8.1 Konsolidierter Realisierungsplan......................................................................................... 64 

8.2 Abgestimmter Realisierungsplan ......................................................................................... 68 

Seite 1


1 Das Beispielunternehmen Recplast GmbH 

Die Vorgehensweise bei der Anwendung der IT-Grundschutz-Kataloge soll ein Beispiel veranschaulichen 

und zwar ein Unternehmen mittlerer Größe, das selbstverständlich rein fiktiv ist. Es handelt sich 

dabei um die RECPLAST GmbH, die aus Recyclingmaterialien etwa 400 unterschiedliche Kunststoffprodukte 

produziert und vertreibt, zum Beispiel Bauelemente wie Rund- und Brettprofile, Zäune, 

Blumenkübel oder Abfallbehälter – und zwar teils in größeren Serien für Endkunden, teils spezifisch 

für einzelne Geschäftskunden. Auftragsvolumen, Häufigkeit der Aufträge und die Kunden variieren: 

Es gibt einige wenige Stamm- und Großkunden und zahlreiche Einmalkunden. Der jährliche Gesamtumsatz 

des Unternehmens beläuft sich auf ca. 50 Millionen Euro bei einem Gewinn von etwa 

1 Millionen Euro. 

Dem Beispiel liegt die Version vom Dezember 2005 der IT-Grundschutz-Kataloge zugrunde. 

1.1 Organisatorische Gliederung 

Die organisatorische Gliederung der RECPLAST GmbH gibt folgendes Organigramm wieder: 

Verwaltung 

Geschäftsführung 

Einkauf Produktion 

Personal Entwicklung 

Informationstechnik 

Buchhaltung 

Haus- und 

Gebäudetechnik 

Abbildung 1: Organigramm der RECPLAST GmbH 

Fertigung 

Marketing/ 

Vertrieb 

Zentrale 

Bad Godesberg 

Vertriebsbüro 

Berlin 


Hamburg 


München 

Lager/Logistik 

Verwaltung sowie Produktion und Lager befinden sich in Bonn, allerdings an unterschiedlichen 

Standorten: Die Geschäftsführung hat zusammen mit den Verwaltungsabteilungen und den Abteilungen 

für Einkauf sowie Marketing und Vertrieb vor kurzem ein neues Gebäude in Bad Godesberg (BG) 

bezogen, während Produktion, Material- und Auslieferungslager am ursprünglichen Firmensitz im 

Stadtteil Beuel verblieben sind. Zusätzlich gibt es Vertriebsbüros in Berlin, Hamburg und München. 

Das Unternehmen beschäftigt insgesamt 180 Mitarbeiter, von denen 40 in der Verwaltung in Bad 

Godesberg, 134 in Produktion und Lager in Beuel und jeweils 2 Mitarbeiter in den Vertriebsbüros in 

Berlin, Hamburg und München tätig sind. 

Seite 2


1.2 Informationstechnik 

Am Standort Bad Godesberg ist im Zuge des Umzugs ein zentral administriertes Windows 2000-Netz 

mit insgesamt 30 angeschlossenen Arbeitsplätzen eingerichtet worden. Die Arbeitsplatzrechner sind 

einheitlich mit dem Betriebssystem Windows 2000, üblichen Büro-Anwendungen (Standardsoftware 

für Textverarbeitung, Tabellenkalkulation und Präsentationen) und Client-Software zur E-Mail- 

Nutzung ausgestattet. Zusätzlich gibt es je nach Aufgabengebiet auf verschiedenen Rechnern Spezialsoftware. 

Im Netz des Standorts Bad Godesberg werden insgesamt 5 Server für folgende Zwecke eingesetzt: 

• Ein Server dient als Domänen-Controller, 

• ein weiterer Server dient der Dateiablage- und als Druck-Server, 

• ein Server dient als Datenbankserver für die Personal- und Finanzdaten, 

• ein weiterer Datenbank-Server dient der Kunden- und Auftragsbearbeitung und 

• der fünfte Server dient als interner Kommunikations-Server (interner Mail-Server, Termin- und 

Adressverwaltung). 

Der Standort Bonn-Beuel ist mit einem weiteren Server und 12 Arbeitsplatzrechnern über eine angemietete 

Standleitung in das Firmennetz eingebunden. Der Server dient als zusätzlicher Domänen- 

Controller sowie als Datei- und Druckserver für diesen Standort. Die Grundausstattung der Arbeitsplatzrechner 

in Beuel stimmt mit der der Rechner in der Verwaltung überein. Zusätzlich ist auf 4 

Rechnern CAD/CAM-Software installiert. 

Die Vertriebsbüros sind jeweils mit einem Windows-2000 Einzelplatzrechner ausgestattet und haben 

eine Internet-Anbindung über ISDN, die mit Hilfe eines VPN-Clients bei Bedarf auch genutzt werden 

kann, um unter Ausnutzung der VPN-Funktionalität der Firewall Zugang zum Firmennetz zu erhalten. 

Das Firmennetz ist über DSL an das Internet angebunden. Der Internet-Zugang ist über eine Firewall 

und einen Router mit Paketfilter abgesichert. Alle Client-Rechner haben Zugang zum Internet (für 

WWW und E-Mail). Die WWW-Seiten des Unternehmens einschließlich eines Produktkatalogs und 

der Möglichkeit, Bestellungen per E-Mail abzugeben, werden auf einem Web-Server des Providers 

vorgehalten. 

An zusätzlicher Informationstechnik sind zu berücksichtigen: 

• Telekommunikationsanlagen in Bad Godesberg und Beuel, 

• insgesamt 8 Faxgeräte (davon 4 in Bad Godesberg, je 1 in den Vertriebsbüros und 1 in Beuel) und 

• 8 Laptops (4 in Bad Godesberg, je 1 in den Vertriebsbüros und 1 in Beuel), die bei Bedarf in das 

Netz eingebunden werden können; von entfernten Standorten aus über VPN. 

Für das reibungslose Funktionieren der Informationstechnik an allen Standorten ist die zentrale DV- 

Abteilung in Bad Godesberg zuständig. 

Zum Umgang mit der betrieblichen Informationstechnik gibt es eine Anweisung, der zufolge diese 

ausschließlich für Firmenzwecke genutzt werden darf und das Einbringen von privater Hard- und 

Software untersagt ist. 

Seite 3


2 IT-Sicherheitsmanagement 

Die Geschäftsführung beabsichtigt, ein IT-Sicherheitskonzept für das Unternehmen ausarbeiten zu 

lassen, das in allen Unternehmensbereichen umgesetzt werden soll. Dazu müssen die 

Unternehmenspolitik zur IT-Sicherheit und die vorhandenen Sicherheitsrichtlinien präzisiert werden. 

Zuerst wird für die Analysen, Konzepte und Folgearbeiten des IT-Sicherheitsprozesses ein IT-Sicherheitsbeauftragter 

ernannt. 

Da diese Aufgabe umfangreiche IT-Kenntnisse erfordert, wird hierfür ein Mitarbeiter der Abteilung 

„Informationstechnik“ bestimmt. Danach wird ein zeitlich befristetes Projekt „IT-Sicherheitskonzept“ 

eingerichtet, in dem neben dem IT-Sicherheitsbeauftragten der Datenschutzbeauftragte und Zuständige 

für IT-Anwendungen und IT-Systeme zu folgenden Ergebnissen zusammenarbeiten sollen: 

1. Vorschläge und Entscheidungsvorlage für eine IT-Sicherheitsleitlinie, 

2. Erstellung einer Übersicht vorhandener IT-Systeme, 

3. Ausarbeitung und Entscheidungsvorlage des IT-Sicherheitskonzepts und eines Realisierungsplans 

inklusive Maßnahmen zur Notfallvorsorge und Benutzerinformation, 

4. Vorschläge für Maßnahmen zur Aufrechterhaltung der IT-Sicherheit, 

5. Dokumentation aller Entscheidungsvorlagen, Entscheidungen und der umgesetzten Maßnahmen 

des IT-Sicherheitsprozesses. 

Mehrere Bereichsleiter 

wollen, dass auch ein Mitarbeiter 

aus ihrem Bereich in 

dem Projektteam vertreten 

sein soll. Aus drei Bereichen 

können wegen dringender 

Terminarbeiten keine Mitarbeiter 

am Projekt teilnehmen. 

Die Geschäftsführung 

schließt diese Diskussion 

damit ab, dass maximal 

drei Mitarbeiter im Projekt 

arbeiten sollen: 

1. der IT-Sicherheitsbeauftragte 

sowie 

2. ein Mitarbeiter, der im 

Vertrieb für die IT- 

Anwendungen zuständig und gleichzeitig Datenschutzbeauftragter ist, und 

3. die kaufmännische Geschäftsleitung. 

Alle Bereiche sollen den Projektmitarbeitern die erforderlichen Auskünfte über den Stand der IT- 

Sicherheit angesichts der gegenwärtigen und geplanten Informationstechnik geben. 

Zwischen- und Endergebnisse sollen in der Managementsitzung und mit dem Betriebsrat beraten und 

dann von der Geschäftsführung entschieden werden. Die Ergebnisse will sie selbst den Beschäftigten 

mitteilen. 

Nach Vorarbeiten des IT-Sicherheitsbeauftragten und Beratungen des Projektteams „IT-Sicherheitskonzept“ 

werden folgende Vorschläge für die IT-Sicherheitsleitlinie mit der Geschäftsführung beraten: 

Seite 4


2.1 Vorschläge für die IT-Sicherheitsleitlinie 

Stellenwert der IT und Bedeutung der IT-Sicherheitsleitlinie 

Der Geschäftserfolg des Unternehmens ist abhängig von aktuellen und korrekten Geschäftsinformationen, 

die das Unternehmen mit Kunden, Zulieferern, Kooperationspartnern, Geldinstituten und anderen 

Institutionen zunehmend elektronisch austauscht. Die Informationstechnik ist ein wichtiger, unterstützender 

Teil unseres Geschäfts und unserer Arbeiten in allen Abteilungen. 

Eine funktionsfähige Informationstechnik und ein sicherheitsbewusster Umgang mit ihr sind wesentliche 

Voraussetzungen für die Einhaltung der IT-Sicherheitsziele Verfügbarkeit, Integrität und Vertraulichkeit 

von Informationen. 

Die Unternehmensleitung hat aufgrund ihrer Verantwortung für die Informationssicherheit einen IT- 

Sicherheitsprozess in Gang gesetzt. Dazu gehören die Entwicklung und Umsetzung dieser Leitlinie 

und eines IT-Sicherheitskonzepts. Die Einhaltung der Leitlinie sowie Aktualität und Angemessenheit 

des Sicherheitskonzepts werden regelmäßig überprüft. 

IT-Sicherheitsniveau und Ziele 

Die Unternehmensleitung schätzt die strategische und operative Bedeutung der Informationstechnik 

folgendermaßen ein: 

Die Informationstechnik dient unserem Unternehmen wesentlich zur Erfüllung des Massengeschäfts 

im Vertrieb und Einkauf, für die Aufgaben der Finanz- und Lohnbuchhaltung und für 

qualitative Aufgaben in der Entwicklung, Auftragsabwicklung und im Management. Insbesondere 

für auftragsbezogene Entscheidungen und Investitionen sind aktuelle und korrekte Unternehmensdaten 

erforderlich. Ein Ausfall von IT-Systemen ist bis zu einem Tag überbrückbar, darüber hinaus 

wären Beeinträchtigungen der Managementdispositionen, der Auftragsabwicklung und der Unternehmenskommunikation 

zwischen Verwaltung, Produktion und Lager riskant. 

In Abwägung der Gefährdungen, der Werte der zu schützenden Güter sowie des vertretbaren Aufwands 

an Personal und Finanzmitteln für IT-Sicherheit, hat die Unternehmensleitung bestimmt, dass 

ein mittleres IT-Sicherheitsniveau angestrebt werden soll. 

Dieses Sicherheitsniveau bedingt folgende Sicherheitsziele und Strategie: 

1. Informationssicherheit soll mit Sicherheitsbewusstsein der Beschäftigten bezüglich möglicher 

Gefährdungen und mit ihrem persönlich-verantwortlichen Verhalten praktiziert und mit 

organisatorischen und technischen Maßnahmen unterstützt werden. Dafür sollen regelmäßige 

Fortbildungsmaßnahmen zur IT-Sicherheit durchgeführt werden. 

2. Die für das Unternehmen wichtigen Informationen sollen gemäß ihrer Vertraulichkeit und 

bezüglich ihrer Integrität geschützt werden. Das bedeutet, dass auch im Umgang mit 

elektronischen Dokumenten und Daten Geheimhaltungsanweisungen strikt Folge zu leisten ist. 

3. Die für das Unternehmen relevanten Gesetze und Vorschriften sowie vertragliche und aufsichtsrechtliche 

Verpflichtungen müssen eingehalten werden. 

4. Ziel ist, die Sicherheit der IT (gleichwertig neben Leistungsfähigkeit und Funktionalität) im 

Unternehmen aufrechtzuerhalten, so dass die Geschäftsinformationen bei Bedarf verfügbar sind. 

Ausfälle der IT haben Beeinträchtigungen des Unternehmens zur Folge. Lang andauernde 

Ausfälle, die zu Terminüberschreitungen von mehr als einem Tag führen, sind nicht tolerierbar. 

5. Durch Sicherheitsmängel im Umgang mit IT verursachte Ersatzansprüche, Schadensregulierungen 

und Image-Schäden müssen verhindert werden. [Kleinere Fehler können toleriert werden.] 

Seite 5


6. Im Unternehmen sollen für die Zugangskontrolle sowohl physikalische als auch logische 

Sicherheitsmaßnahmen angewandt werden. 

7. Bereits betriebene und geplante Informationstechnik soll nach der Vorgehensweise des IT- 

Grundschutzes des BSI in einem IT-Sicherheitskonzept erfasst, im Schutzbedarf eingeschätzt, 

modelliert und auf Sicherheitsmaßnahmen überprüft werden. Sicherheit der IT soll u. a. auch 

durch Anwenden von Normen und Standards und durch den Einsatz zertifizierter Systeme 

erreicht werden. 

Verantwortungen 

• Für Daten, Informationen, Geschäftsverfahren, unterstützende Systeme, Netze und Infrastruktur 

werden so genannte „Informationseigentümer“ benannt. Sie sollen verantwortlich für die Einschätzung 

der geschäftlichen Bedeutung (der Information, Technik), für die sichere Nutzung und 

Kontrolle, inklusive der Einhaltung von Sicherheitsgrundsätzen, Standards und Richtlinien sein. 

Die „Eigentümer“ definieren die erforderliche Zugänglichkeit (der Information, Technik) sowie 

Art und Umfang der Autorisierung. Sie sind für die Verwaltung der zustehenden Zugriffsrechte 

der Benutzer verantwortlich und gegenüber der Leitung in Rechenschaftspflicht. 

• Ein „Informationstreuhänder“, der z. B. aufgrund eines Serviceauftrags für das Unternehmen 

Leistungen erbringt, hat Vorgaben des „Informationseigentümers“ und diese IT 

Sicherheitsleitlinie einzuhalten. Damit ist er verantwortlich für die Einhaltung der IT 

Sicherheitsziele (Wahrung der Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, 

Rechenschaftspflicht und Verbindlichkeit der Informationen). Bei erkennbaren Mängeln oder 

Risiken eingesetzter Sicherheitsmaßnahmen hat er den „Informationseigentümer“ zu informieren. 

• Jeder Mitarbeiter soll im Rahmen seines Umgangs mit IT (als Benutzer, Berater, 

Geschäftspartner) die erforderliche Integrität und Vertraulichkeit von Informationen sowie 

Verbindlichkeit und Beweisbarkeit von Geschäftskommunikation gewährleisten und die 

Richtlinien des Unternehmens einhalten. Unterstützt durch sensibilisierende Schulung und 

Benutzerbetreuung am Arbeitsplatz soll jeder im Rahmen seiner Möglichkeiten, 

Sicherheitsvorfälle von innen und außen vermeiden. Erkannte Fehler sind den Zuständigen 

umgehend zu melden, damit schnellstmöglich Abhilfemaßnahmen eingeleitet werden können. 

• Das Sicherheitsmanagement, bestehend aus IT-Sicherheitsbeauftragtem, Mitarbeitern des Projekts 

„IT-Sicherheitskonzept“, Zuständigen für die IT-Anwendungen, Datenschutz und IT-Service, ist 

gemäß den Sicherheitsvorgaben verantwortlich für die Sicherheit im Umgang mit der IT und den 

Schutz der Geschäftsinformationen, einschließlich der Kunden-, Entwicklungs- und Managementdaten. 

Ebenso ist es zuständig für die Weiterentwicklung des IT-Sicherheitsniveaus, des IT- 

Sicherheitskonzepts und für seine Umsetzung und Aufrechterhaltung von Sicherheit im Betrieb. 

• Für die Überprüfung der IT-Sicherheit bei der Bearbeitung, Nutzung und Kontrolle von Informationen 

werden jeweils unabhängige Verantwortliche eingesetzt, die z. B. Zugriffsmöglichkeiten 

auf Finanzdaten und den Umgang mit Finanztransaktionen und zugehörige Sicherheitsmaßnahmen 

kontrollieren. 

Verstöße und Folgen 

• Beabsichtigte oder grob fahrlässige Handlungen, die die Sicherheit von Daten, Informationen, 

Anwendungen, IT-Systemen oder des Netzes gefährden, werden als Verstöße verfolgt. Dazu 

gehören beispielsweise: 

– der Missbrauch von Daten, der finanziellen Verlust verursachen kann, 

Seite 6


– der unberechtigte Zugriff auf Informationen bzw. ihre Änderung und unbefugte 

Übermittlung, 

– die illegale Nutzung von Informationen aus dem Unternehmen, 

– die Gefährdung der IT-Sicherheit der Mitarbeiter, Geschäftspartner und des Unternehmens 

und 

– die Schädigung des Rufes des Unternehmens. 

• Bewusste Zuwiderhandlungen gegen die IT-Sicherheitsleitlinie werden bestraft – gegebenenfalls 

disziplinarisch, arbeitsrechtlich oder mit zivil- und strafrechtlichen Verfahren, in denen auch 

Haftungsansprüche und Regressforderungen erhoben werden können. 

Geltung und Detaillierung 

• Diese IT-Sicherheitsleitlinie gilt für das gesamte Unternehmen. Jeder Beschäftigte ist daher verpflichtet, 

die IT-Sicherheitsleitlinie im Rahmen seiner Zuständigkeiten und Arbeiten einzuhalten 

und die Informationen und die Technik angemessen zu schützen. 

• Unter den Vorgaben dieser IT-Sicherheitsleitlinie und der IT-Grundschutz-Kataloge des 

Bundesamtes für Sicherheit in der Informationstechnik, werden Ziele, Anforderungen, 

organisatorische und technische Sicherheitsmaßnahmen in dem IT-Sicherheitskonzept detailliert, 

geplant, dokumentiert und dann umgesetzt. 

2.2 Einführung der IT-Sicherheitsleitlinie im Unternehmen 

Die Unternehmensleitung lässt sich zu den Inhalten der IT-Sicherheitsleitlinie von dem IT-Sicherheitsbeauftragten, 

der Projektgruppe „IT-Sicherheitskonzept“ und dem IT-Sicherheitsmanagement- 

Team ausgiebig beraten. Dann stellt sie die IT-Sicherheitsleitlinie in der Managementsitzung der 

Bereichsleiter vor, an der auch der Betriebsrat teilnimmt. Nach Diskussion der Aussagen zur Bedeutung 

der IT und zum Sicherheitsniveau, der Sicherheitsziele, Strategieaussagen, organisatorischen 

Regelungen und Konsequenzen werden Vorschläge für Änderungen eingebracht. Nach einer Überarbeitung 

durch den IT-Sicherheitsbeauftragten lädt die Unternehmensleitung alle Beschäftigten zu einer 

Versammlung ein (ggf. im Einvernehmen mit dem Betriebsrat im Rahmen einer Betriebsversammlung). 

Sie erläutert im Vortrag die Wichtigkeit der Leitlinie für das Unternehmen und erklärt Ziele, 

Maßnahmen und Konsequenzen. Jeder Mitarbeiter bekommt eine schriftliche Ausfertigung der Leitlinie. 

Die Unternehmensleitung kündigt eine Reihe von Fortbildungsveranstaltungen zur IT-Sicherheit 

an, damit die Mitarbeiter für mögliche Gefährdungen sensibilisiert und auf einzuhaltende IT-Sicherheitsmaßnahmen 

vorbereitet werden. Die Unternehmensleitung gibt den Termin bekannt, ab dem die 

Leitlinie in Kraft gesetzt ist und verlangt ihre Einhaltung. 

Weitere Informationen zum IT-Sicherheitsmanagement finden Sie in folgenden Dokumenten: 

• in dem BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS), 

• in den Kapiteln 2 und 3 der Beschreibung der IT-Grundschutz-Vorgehensweise (BSI-Standard 

100-2) sowie 

• im Baustein B 1.0 IT-Sicherheitsmanagement der IT-Grundschutz-Kataloge. 

Seite 7


3 IT-Strukturanalyse 

Grundlage eines jeden IT-Sicherheitskonzepts ist eine genaue Kenntnis der im festgelegten IT- 

Verbund vorhandenen Informationstechnik, ihrer organisatorischen und personellen 

Rahmenbedingungen sowie ihrer Nutzung. Bei der IT-Strukturanalyse geht es darum, die dazu erforderlichen 

Informationen zusammenzustellen und so aufzubereiten, dass sie die weiteren Schritte bei 

der Anwendung der IT-Grundschutz-Kataloge unterstützen. 

Dazu gehören die folgenden Teilschritte: 

1. Netzplanerhebung und Komplexitätsreduktion durch Gruppenbildung, 

2. Erfassung der IT-Systeme sowie 

3. Erfassung der IT-Anwendungen und der zugehörigen Informationen. 

Weitere Informationen zur IT-Strukturanalyse finden Sie in Kapitel 4.1 der Beschreibung der IT- 

Grundschutz-Vorgehensweise (BSI-Standard 100-2). 

3.1 Netzplan 

3.1.1 Erhebung 

Ausgangspunkt für die IT-Strukturanalyse bei RECPLAST ist der Netzplan in Abbildung 2. Um die 

Übersichtlichkeit zu bewahren, wurde darauf verzichtet, Geräte und Informationen in den Netzplan 

einzutragen, die bei den nachfolgenden Beschreibungen nicht weiter benötigt werden (zum Beispiel 

Netzdrucker, Sicherungslaufwerke, Netzadressen). 

3.1.2 Bereinigung 

Nicht alle Informationen des vorliegenden Netzplans sind für die nachfolgenden Schritte beim 

Vorgehen gemäß IT-Grundschutz tatsächlich erforderlich. So können Komponenten zu einer Gruppe 

zusammengefasst werden, die 

• vom gleichen Typ sind, 

• gleich oder nahezu gleich konfiguriert sind, 

• gleich oder nahezu gleich in das Netz eingebunden sind, 

• den gleichen administrativen und infrastrukturellen Rahmenbedingungen unterliegen und 

• die gleichen Anwendungen bedienen. 

Im Netzplan ist dieser Schritt noch nicht vollzogen worden. Daneben weist dieser Netzplan noch 

weitere Mängel auf. So fehlen für eine Reihe von Komponenten eindeutige Bezeichnungen, zum 

Beispiel für die Netzkopplungselemente. 

Seite 8

Vertriebsbüro Berlin 

Laptop 

Client 

Faxgerät 


Internet 

Vertriebsbüro Hamburg 

Laptop 

Client 

Faxgerät 

Vertriebsbüro München 

Laptop 

Client 

Faxgerät 

VPN 

Verwaltung Bad Godesberg 

Router 

DB-Server 

Fibu 

Clients Lohn/Fibu 

Clients 


Clients Personal 

Faxgeräte 

Firewall 

Switch 

Clients Einkauf 

TK-Anlage 

Router 

Domänen- 

Controller 

Komm.-Server 

(Exchange) 

Datei- und 

Druckserver 

DB-Server 

Kunden- und 

Auftragsbearb: 

Standleitung 

Server und Clients werden einheitlich mit dem Betriebssystem Windows 2000 betrieben 

Abbildung 2: Netzplan der RECPLAST GmbH 

Clients IT 

Clients 

Market./Vertrieb 

Switch 

Laptops 

Betrieb Bonn-Beuel 

Router 

Switch 

Dom.-Controller 

Datei- und 

Druckserver 

Clients Produktion 

Clients Entwicklung 

Clients Lager 

Laptop 

Faxgerät TK-Anlage 

Im bereinigten Netzplan (siehe Abbildung 3) sind sowohl diese Mängel behoben als auch Gruppen 

gebildet worden: 

• Die Clients der Abteilungen „Produktion“ und „Lager“ wurden zusammengefasst, da sie grundsätzlich 

gleich ausgestattet sind und mit ihnen auf weitgehend identische Datenbestände zugegriffen 

werden kann. 

• Die drei Vertriebsbüros zeichnen sich durch eine einheitliche IT-Ausstattung, übereinstimmende 

Aufgaben und Regelungen sowie einer identischen Zugangsmöglichkeit zum Firmennetz aus. Sie 

lassen sich in gewisser Weise mit häuslichen Telearbeitsplätzen vergleichen. Sie wurden 

deswegen zu einer Gruppe zusammengefasst. 

• Die nicht vernetzten Komponenten Laptops und Faxgeräte wurden Standort übergreifend zu jeweils 

einer Gruppe zusammengefasst, da für den Umgang mit diesen Geräten übereinstimmende 

organisatorische Regelungen gelten. 

Seite 9


Folgende Clients sollten nicht zusammengefasst werden: 

• Bei den Rechnern der Geschäftsführung kann man von einem höheren Schutzbedarf ausgehen 

(z. B. könnte auf ihnen besonders vertrauliche Korrespondenz gespeichert sein). 

• Die größere Sensibilität der Daten ist auch ein Grund dafür, die Rechner der Entwicklungsabteilung 

gesondert zu erfassen. Auf ihnen befinden sich Konstruktionspläne und unter 

Umständen kundenspezifische Entwicklungen und Verfahrensbeschreibungen, die z. B. vor 

Wirtschaftsspionage und damit möglichen gravierenden wirtschaftlichen Folgen für die Firma zu 

schützen sind. 

• Eine hohe Vertraulichkeit besitzen ferner auch die Daten, die in der Personalabteilung bearbeitet 

werden, sowie die Daten der Finanz- und Lohnbuchhaltung. 

• Auf Rechnern der IT-Administratoren laufen Anwendungen, die für die Verwaltung des Netzes 

erforderlich sind. Von daher verlangen auch diese Rechner eine besondere Aufmerksamkeit. 

Vertriebsbüros 

C8: 3 Clients 


T3: 8 Faxgeräte 

C9: 8 Laptops 

Internet 

VPN 


N1: Router 

S5: DB-Server 

Fibu 

C1: 5 Clients 

Lohn/Fibu 

C2: 3 Clients 


C3: 4 Clients 

Personal 

N2: Firewall 

N4: Switch 

C4: 4Clients 

IT 

C5: 14 Clients 

Einkauf/Marketing/ 

Vertrieb 

T1: TK-Anlage 

N3: Switch 

N5: Router 

S1: Domänen- 

Controller 

S2: Komm.-Server 

(Exchange) 

S3: Datei- und 

Druckserver 

S4: DB-Server 

Kunden- und 

Auftragsbearb. 

Standleitung 


Abbildung 3: Bereinigter Netzplan der RECPLAST GmbH 

Seite 10 


N6: Router 

N7: Switch 

S6: Domänen- 

Controller, Dateiu. 

Druckserver 


Fertigung/Lager 

C7: 6 Clients 

Entwicklung 

T2: TK-Anlage


3.2 Erhebung IT-Systeme 

Bei der Erhebung der IT-Systeme geht es darum, die vorhandenen und geplanten IT-Systeme und die 

sie jeweils charakterisierenden Angaben zusammenzustellen. Dazu zählen 

• alle im Netz vorhandenen Computer (Clients und Server), Gruppen von Computern und aktiven 

Netzkomponenten, Netzdrucker, aber auch 

• nicht vernetzte Computer wie Internet PCs und Laptops, 

• Telekommunikationskomponenten wie TK-Anlagen, Faxgeräte, Mobiltelefone und Anrufbeantworter. 

Aufgrund der damit verbundenen besseren Übersichtlichkeit empfiehlt sich eine tabellarische 

Darstellung, die folgende Angaben enthalten sollte: 

• eindeutige Bezeichnung, 

• Beschreibung (insbesondere der Einsatzzweck und der Typ, z. B. Server für Personalverwaltung, 

Router zum Internet), 

• Plattform (Welcher Hardwaretyp, welches Betriebssystem?), 

• Standort (Gebäude und Raumnummer), 

• bei Gruppen: Anzahl der zusammengefassten IT-Systeme, 

• Status (in Betrieb, im Test, in Planung) und 

• Benutzer und Administrator. 

Die Erhebung der IT-Systeme bei der RECPLAST GmbH ergab die nachfolgend abgebildeten Übersichten. 

Die IT-Systeme sind jeweils durchnummeriert. Ein vorangestellter Buchstabe kennzeichnet dessen 

Typ (S = Server, C = Client, N = Netzkomponente, T = Telekommunikationskomponente). 

3.2.1 Übersicht Server 

Nr. Beschreibung Plattform Standort Anzahl Status Benutzer/Administrator 

S1 Domänen-Controller Windows 2000 

Server 

S2 Interner Kommunikationsserver 

Windows 2000 

Server 

S3 Datei- und Druckserver Windows 2000 

Server 

S4 DB-Server Kunden- und 

Auftragsbearbeitung 

S5 DB-Server 

Finanzbuchhaltung 


Server 


Server 

S6 Server Beuel Windows 2000 

Server 

BG, R. 1.02 

(Serverraum) 

BG, R. 1.02 

(Serverraum) 

BG, R. 1.02 

(Serverraum) 

BG, R. 1.02 

(Serverraum) 

BG, R. 1.02 

(Serverraum) 

Beuel, R. 2.01 

(Serverraum) 

Seite 11 

1 In Betrieb Alle IT-Benutzer/ 

IT-Administration 





1 In Betrieb Marketing und Vertrieb, 

Fertigung, Lager/ 


1 In Betrieb Mitarbeiter Lohn/Fibu 

1 In Betrieb Alle Mitarbeiter in Beuel


3.2.2 Übersicht Clients 


C1 Clients in der 


C2 Clients der 



Personalabteilung 



C5 Clients Kunden- und 



Client 


Client 


Client 


Client 


Client 

C6 Clients Fertigung und Lager Windows 2000 

Client 

C7 Clients in Entwicklungsabteilung 


Client 

C8 Clients in Vertriebsbüros Windows 2000 

Client 

C9 Laptops Windows 2000 

Client 

3.2.3 Übersicht Netzkomponenten 

BG, 

R. 2.10 – 2.12 

BG, 

R. 1.10 – 1.13 

BG, 

R. 1.07 – 1.09 

BG, 

R. 1.03 – 1.06 

BG, 

R. 2.03 – 2.09 

Beuel, 

R. 2.10 – 2.13 

Beuel, 

R. 2.14 – 2.20 


(Berlin, Hamburg, 

München) 

4 in BG, je 1 in 

Beuel und in den 


4 In Betrieb Mitarbeiter in der 


3 In Betrieb Geschäftsführung 

In Betrieb Mitarbeiter der 


4 In Betrieb Mitarbeiter IT / 


14 In Betrieb Einkauf, Marketing und 

Vertrieb 

12 In Betrieb Mitarbeiter Fertigung und 

Lager 

6 In Betrieb Entwicklung/ 


3 In Betrieb Mitarbeiter in 

Vertriebsbüros/ 


8 In Betrieb Mitarbeiter Vertrieb/ 



N1 Router zum Internet DSL-Router BG, R. 1.02 

(Serverraum) 

N2 Firewall Windows 2000 BG, R. 1.02 

(Serverraum) 

N3 Zentraler Switch in Bad 

Godesberg 

N4 Switch für 


N5 Router zur Anbindung des 

Standorts Beuel 

N6 Router zur Anbindung nach 

Bad Godesberg 

BG, R. 1.02 

(Serverraum) 

BG, R. 1.02 

(Serverraum) 

Router BG, R. 1.02 

(Serverraum) 

Router Beuel, R. 2.02 

(Technikraum) 

N7 Switch in Beuel Beuel, R. 2.02 

(Technikraum) 

Seite 12 







1 In Betrieb Personalabteilung, GF, 

Lohn, Fibu/ 







IT-Administration


3.2.4 Übersicht Telekommunikationskomponenten 


T1 Telefonanlage BG ISDN-TK- 

Anlage 

T2 Telefonanlage Beuel ISDN-TK- 

Anlage 

T3 Faxgeräte 4 in BG, je 1 in 

Beuel und in den 


3.3 Erhebung IT-Anwendungen 

BG, R. 1.01 1 In Betrieb Alle Mitarbeiter in BG/ 


Beuel, R. 2.02 1 In Betrieb Alle Mitarbeiter in Beuel/ 


8 In Betrieb Alle Mitarbeiter 

Bei der Erhebung der IT-Anwendungen werden die wichtigsten Anwendungen einer Organisation 

erfasst, also diejenigen 

• deren Daten, Informationen und Programme den höchsten Bedarf an Geheimhaltung (Vertraulichkeit) 

haben, 

• deren Daten, Informationen und Programme den höchsten Bedarf an Korrektheit und 

Unverfälschtheit (Integrität) haben oder 

• die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben. 

Unter Berücksichtigung der Auskünfte der Benutzer und fachlich Verantwortlichen wurden bei 

RECPLAST die folgenden Anwendungen in diesem Sinne als wesentlich identifiziert: 

Nr. Beschreibung Nr. Beschreibung 

A1 Personaldatenverarbeitung A9 Druckservice BG 

A2 Reisekostenabrechnung A10 Druckservice Beuel 

A3 Finanzbuchhaltung A11 Office-Anwendungen (Textverarbeitung, 

Tabellenkalkulation, Präsentation) 

A4 Auftrags- und Kundenverwaltung A12 Internet-Zugang 

A5 Benutzerauthentisierung A13 Application Gateway 

A6 Systemmanagement A14 Filterfunktionalität 

A7 E-Mail, Terminkalender A15 TK-Vermittlung 

A8 Zentrale Dokumentenverwaltung A16 Faxen 

In den folgenden Tabellen sind die Anwendungen den Servern, Clients, Netz- und Telekommunikationskomponenten 

zugeordnet, die für deren Ausführung erforderlich sind. Zusätzlich ist 

für jede IT-Anwendung vermerkt, ob sie personenbezogene Daten verarbeitet oder nicht. 

Seite 13


3.3.1 Zuordnung der Anwendungen zu den Servern 

Nr. Beschreibung Pers.-bez. 

Daten 

S1 S2 S3 S4 S5 S6 

A1 Personaldatenverarbeitung X X 

A2 Reisekostenabrechnung X X 

A3 Finanzbuchhaltung X X 

A4 Auftrags- und Kundenverwaltung X X 

A5 Benutzerauthentisierung X X X 

A6 Systemmanagement X X 

A7 E-Mail, Terminkalender X X 

A8 Zentrale Dokumentenverwaltung X X 

A9 Druckservice BG X 

A10 Druckservice Beuel X 

A11 Office-Anwendungen 

(Textverarbeitung, Tabellenkalkulation, Präsentation) 

A12 Internet-Zugang 

A13 Application Gateway 

A14 Filterfunktionalität 

A15 TK-Vermittlung 

A16 Faxen 

3.3.2 Zuordnung der Anwendungen zu den Clients 


Daten 

A1 Personaldatenverarbeitung X X X 



A4 Auftrags- und 

Kundenverwaltung 

A5 Benutzerauthentisierung X 

A6 Systemmanagement X 

C1 C2 C3 C4 C5 C6 C7 C8 C9 

X X X X X X 

A7 E-Mail, Terminkalender X X X X X X X X X X 

A8 Zentrale 

Dokumentenverwaltung 

X X 

Seite 14


Nr. Beschreibung Pers.-bez. C1 C2 C3 C4 C5 C6 C7 C8 C9 

Daten 

A9 Druckservice BG X X X X X 



(Textverarbeitung, Tabellenkalkulation, 

Präsentation) 

X X X X X X X X 

A12 Internet-Zugang X X X X X X X X X 

A13 Application Gateway 



A16 Faxen X 

3.3.3 Zuordnung der Anwendungen zu den Netz- und 

Telekommunikationskomponenten 


Daten 

A1 Personaldatenverarbeitung X X 





N1 N2 N3 N4 N5 N6 N7 T1 T2 T3 

X X X X X 

A5 Benutzerauthentisierung X X X X X X 

A6 Systemmanagement X X X X X 

A7 E-Mail, Terminkalender X X X X X X X X 

A8 Zentrale Dokumentenverwaltung X X X X 

A9 Druckservice BG X 



(Textverarbeitung, Tabellenkalkulation, 

Präsentation) 

A12 Internet-Zugang X X X X X X X 

A13 Application Gateway X 

A14 Filterfunktionalität X 

A15 TK-Vermittlung X X 

A16 Faxen X 

Seite 15


4 Schutzbedarfsfeststellung 

Wie viel Schutz benötigen die Informationstechnik und die durch diese unterstützten Anwendungen? 

Wie kommt man zu begründeten und nachvollziehbaren Einschätzungen des Schutzbedarfs? Welche 

Komponenten der Informationstechnik benötigen mehr Sicherheit, bei welchen genügen elementare 

Schutzmaßnahmen? 

Ziel der Schutzbedarfsfeststellung ist es, diese Fragen zu klären und damit die Auswahl angemessener 

Sicherheitsmaßnahmen für die verschiedenen Komponenten der Informationstechnik (Systeme, 

Anwendungen, Räume, Kommunikationsverbindungen) zu unterstützen. 

Zur Schutzbedarfsfeststellung gehören die folgenden Aktivitäten: 

1. die auf Ihre Organisation zugeschnittene Definition von Schutzbedarfskategorien (z. B. „normal“, 

„hoch“, „sehr hoch“), 

2. die Schutzbedarfsfeststellung der in der IT-Strukturanalyse erfassten Anwendungen mit Hilfe der 

festgelegten Kategorien, 

3. die Ableitung des Schutzbedarfs der IT-Systeme aus dem Schutzbedarf der Anwendungen, 

4. daraus abgeleitet die Feststellung des Schutzbedarfs der Kommunikationsverbindungen und ITgenutzten 

Räume sowie 

5. die Dokumentation und Auswertung der vorgenommenen Einschätzungen. 

Weitere Informationen zur Schutzbedarfsfeststellung finden Sie in Kapitel 4.2 der Beschreibung der 

IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2). 

4.1 Anpassung der Schutzbedarfskategorien 

Bei der RECPLAST GmbH wurden die Schutzbedarfskategorien vom zuständigen Sicherheitsmanagementteam 

folgendermaßen definiert und mit der Geschäftsführung abgestimmt: 

Schutzbedarfskategorie normal: 

Ein möglicher Schaden hätte begrenzte, überschaubare Auswirkungen auf die RECPLAST GmbH: 

• Bei Verstößen gegen Gesetze, Vorschriften oder Verträge drohen allenfalls geringfügige 

juristische Konsequenzen oder Konventionalstrafen. 

• Beeinträchtigungen des informationellen Selbstbestimmungsrechts und der Missbrauch 

personenbezogener Daten hätten nur geringfügige Auswirkungen auf die davon Betroffenen und 

würden von diesen toleriert. 

• Die persönliche Unversehrtheit wird nicht beeinträchtigt. 

• Die Abläufe bei RECPLAST werden allenfalls unerheblich beeinträchtigt. Ausfallzeiten von 

mehr als 24 Stunden können hingenommen werden. 

• Es droht kein Ansehensverlust bei Kunden und Geschäftspartnern. 

• Der mögliche finanzielle Schaden ist kleiner als 50.000 Euro. 

Schutzbedarfskategorie hoch: 

Ein möglicher Schaden hätte beträchtliche Auswirkungen auf die RECPLAST GmbH: 

Seite 16


• Bei Verstößen gegen Gesetze, Vorschriften oder Verträge drohen schwerwiegende juristische 

Konsequenzen oder hohe Konventionalstrafen. 

• Beeinträchtigungen des informationellen Selbstbestimmungsrechts und der Missbrauch personenbezogener 

Daten hätten beträchtliche Auswirkungen auf die davon Betroffenen und würden 

von diesen nicht toleriert. 


• Die Abläufe bei RECPLAST werden erheblich beeinträchtigt. Ausfallzeiten dürfen maximal 

24 Stunden betragen. 

• Das Ansehen des Unternehmens bei Kunden und Geschäftspartnern wird erheblich beeinträchtigt. 

• Der mögliche finanzielle Schaden liegt zwischen 50.000 und 500.000 Euro. 

Schutzbedarfskategorie sehr hoch: 

Ein möglicher Schaden hätte katastrophale Auswirkungen: 

• Bei Verstößen gegen Gesetze, Vorschriften oder Verträge drohen juristische Konsequenzen oder 

Konventionalstrafen, die die Existenz des Unternehmens gefährden. 

• Beeinträchtigungen des informationellen Selbstbestimmungsrechts und der Missbrauch personenbezogener 

Daten hätten ruinöse Auswirkungen auf die gesellschaftliche oder wirtschaftliche 

Stellung der davon Betroffenen. 


• Die Abläufe bei RECPLAST werden so stark beeinträchtigt, dass Ausfallzeiten, die über 

2 Stunden hinausgehen, nicht toleriert werden können. 

• Das Ansehen des Unternehmens bei Kunden und Geschäftspartnern wird grundlegend und 

nachhaltig beschädigt. 

• Der mögliche finanzielle Schaden liegt über 500.000 Euro. 

4.2 Schutzbedarfsfeststellung der IT-Anwendungen 

Bei der Schutzbedarfsfeststellung der IT-Anwendungen ist für alle in der IT-Strukturanalyse erfassten 

Anwendungen und differenziert nach den drei Grundwerten Vertraulichkeit, Integrität und 

Verfügbarkeit eine Zuordnung zu den zuvor festgelegten Schutzbedarfskategorien vorzunehmen. 

Die folgende Tabelle zeigt, welche Zuordnungen bei der RECPLAST GmbH vorgenommen wurden: 

Seite 17


IT-Anwendung Schutzbedarfsfeststellung 

Nr. Bezeichnung Pers.-bez. 

Daten 

A1 Personaldatenverarbeitung 

A2 Reisekostenabrechnung 

A3 Finanzbuchhaltung 



A5 Benutzerauthentisierung 

X 

X 

Grundwert Schutzbedarf 

Begründung 

Vertraulichkeit hoch Personaldaten sind besonders schutzbedürftige Daten, 

deren Bekanntwerden die Betroffenen erheblich 

beeinträchtigen kann. 

Integrität normal Fehler werden rasch erkannt und können entweder aus 

der Datensicherung eingespielt oder durch Eingabe 

korrigiert werden. 

Verfügbarkeit normal Ausfälle bis zu einer Woche können mit manuellen 

Verfahren überbrückt werden. 

Vertraulichkeit hoch Auch Reisekostendaten sind personenbezogene Daten 

und damit schützenswert. 

Integrität normal Fehler werden rasch erkannt und können nachträglich 


Verfügbarkeit normal Ausfälle können mittels manueller Verfahren überbrückt 

werden. 

X Vertraulichkeit hoch Es werden vertrauliche Finanzdaten des Unternehmens 

verarbeitet, deren Bekanntwerden dem Unternehmen 

u. U. hohen finanziellen Schaden und Ansehensverlust 

zufügen kann. 

X 

Integrität hoch Alle Finanzdispositionen setzen korrekte Daten voraus. 

Bei falschen Daten sind finanzielle Schäden über 

50.000 EURO möglich. 

Verfügbarkeit normal Ein Ausfall bis zu drei Tagen kann (mit zumutbarem 

Mehraufwand) manuell überbrückt werden. 

Vertraulichkeit hoch Es werden personenbezogene Daten verarbeitet, deren 

Bekanntwerden dem Unternehmen großen Schaden 

zufügen kann (z. B. besondere Kundenkonditionen). 

Integrität hoch Falls Mengen- oder Preisangaben verändert werden, kann 

dem Unternehmen großer Schaden entstehen, der leicht 

100.000 Euro überschreiten kann und zu großem 

Ansehensverlust führen kann. 

Verfügbarkeit hoch Da mit dieser Anwendung alle Funktionen vom Einkauf 

über die Bestellabwicklung und das Schreiben der 

Lieferscheine, bis hin zum Lagerbestand abgedeckt 

werden, kann ein Ausfall höchstens bis zu 24 Stunden 

manuell überbrückt werden. 

Vertraulichkeit normal Die Passwörter sind verschlüsselt gespeichert und damit 

praktisch nicht zugänglich. 

Integrität hoch Der hohe Schutzbedarf ergibt sich daraus, dass sich alle 

Mitarbeiter hierüber identifizieren. 

Verfügbarkeit hoch Bei Ausfall dieser Anwendung sind keine Identifizierung 

und damit keine Ausführung von IT-Verfahren möglich. 

Ein Ausfall ist allenfalls bis zu 24 Stunden tolerabel. 

Seite 18



Nr. Bezeichnung Pers.-bez. Grundwert Schutz- Begründung 

Daten bedarf 

A6 Systemmanagement 

A7 E-Mail, 

Terminkalender 

A8 Zentrale 

Dokumentenverwaltung 

A9 Druckservice 

für den Standort 

Bad Godesberg 

Vertraulichkeit normal Es werden keine vertraulichen Daten erzeugt oder 

gespeichert. 

Integrität hoch Fehler in den Konfigurationsdateien können alle Rechner 

und insbesondere auch die Sicherheitseinstellungen 

betreffen. 

Verfügbarkeit normal Bei Ausfall der Anwendung können Administration und 

Konfiguration an den einzelnen Rechnern durchgeführt 

werden. Ein Ausfall ist daher kurzzeitig vertretbar. 

Vertraulichkeit hoch Es existiert eine Organisationsvereinbarung, die es 

verbietet, vertrauliche Daten (z. B. Personaldaten zu 

versenden. Da aber immer häufiger Kunden per E-Mail 

bestellen oder Konditionen erfragen, ist der Schutzbedarf 

hoch. 

Integrität hoch Kundenanfragen oder Bestellungen müssen gegen 

fehlerhafte Daten geschützt werden. 

Verfügbarkeit hoch Sowohl die interne Kommunikation als auch ein großer 

Teil der Kommunikation mit Kunden erfolgt über E- 

Mail. Ein Ausfall führt zu hohem Ansehensverlust und 

evtl. zum Verlust von Bestellungen. Ein Ausfall ist daher 

höchstens für 24 Stunden akzeptabel. 

Vertraulichkeit normal Die Dokumentenvorlage und auch die hier gespeicherten 

Dokumente sind nicht vertraulich. Sie werden zum Teil 

sogar öffentlich gemacht. 

Integrität normal Fehler werden in der Regel schnell erkannt und können 

nachträglich bereinigt werden. 

Verfügbarkeit normal Bei Ausfall der Anwendung können die Vorlagen 

manuell erstellt werden. Dokumente werden auf den 

Arbeitsplatzrechnern gespeichert und können bei 

Verfügbarkeit gespeichert werden. 

Vertraulichkeit normal Es werden keine vertraulichen Daten verarbeitet. Abteilungen, 

die vertrauliche oder personenbezogene Daten 

ausdrucken, sind mit Arbeitsplatzdruckern ausgestattet. 

Integrität normal Wenn Daten fehlerhaft ausgedruckt werden, kann dies 

leicht festgestellt werden. 

Verfügbarkeit normal Da an wichtigen Arbeitsplätzen lokale Drucker 

vorhanden sind, kann ein Ausfall bis zu drei Tagen 

hingenommen werden. 

Seite 19




Daten bedarf 

A10 Druckservice 

für den Beueler 

Standort 

A11 Office- 

Anwendungen 

A12 Internet-Zugang 

A13 Application 

Gateway 


Vertraulichkeit normal Es werden in der Hauptsache Lieferscheine und 

Lagerbestände gedruckt, die keine vertraulichen 

Angaben enthalten. 

Integrität normal Falsch ausgedruckte Daten werden leicht erkannt und 

können korrigiert werden. 

Verfügbarkeit normal Da noch ein weiterer Arbeitsplatzdrucker vorhanden ist, 

können Daten bei Ausfall der Anwendung darüber 

ausgedruckt werden. 

Vertraulichkeit normal Es werden keine vertraulichen Daten verarbeitet. 

Integrität normal Fehlerhafte Daten können leicht erkannt und korrigiert 

werden. es sind keine finanzielle Schäden zu erwarten. 

Verfügbarkeit normal Der Ausfall auf einem Client ist bis zu einer Woche 

hinnehmbar. Ersatzweise kann auf einem Laptop 

weitergearbeitet werden. 

Vertraulichkeit normal Es werden keine vertraulichen Daten verarbeitet. 

Integrität normal Fehlerhafte Daten können in der Regel leicht erkannt 

werden. 

Verfügbarkeit hoch Die Recherche im Internet ist für einige Abteilungen 

wichtig (insbesondere die Einkaufsabteilung). Ein 

Ausfall ist höchstens 24 Stunden hinnehmbar. 

Vertraulichkeit normal Über das System werden keine vertraulichen Daten 

geleitet. 

Integrität hoch An die Integrität der Konfigurations- und 

Betriebssystemdateien sind hohe Anforderungen zu 

stellen, um Netzeinbrüche auszuschließen. Bei 

Netzeinbrüchen können vertrauliche Daten 

kompromittiert werden. 

Verfügbarkeit hoch E-Mail und Internet-Recherche sind wesentliche 

Bestandteile der Tätigkeit der Fachabteilungen. Ein 

Ausfall der Anwendung ist allenfalls für 24 Stunden 

tolerabel. 

Vertraulichkeit normal Über diese Anwendungen werden keine vertraulichen 

Daten geleitet. 

Integrität hoch An die Integrität der Konfigurations- und Routing- 

Tabellen sind hohe Anforderungen zu stellen, da ansonsten 

Netzeinbrüche möglich werden, die dazu führen 

können, dass vertrauliche Daten kompromittiert werden. 

Verfügbarkeit hoch E-Mail und Recherche im Internet sind wesentliche 

Bestandteile der Arbeit der Fachabteilung. Ein Ausfall ist 

höchstens für 24 Stunden hinnehmbar. 

Seite 20




Daten bedarf 


A16 Faxen 

Vertraulichkeit normal Die Betroffenen werden nur unerheblich beeinträchtigt, 

wenn die Daten bekannt werden. 

Integrität normal Fehler in der Konfigurationsdatei können leicht erkannt 

und korrigiert werden. Evtl. Schäden aufgrund 

fehlerhafter Gebührenerfassung liegen unter 500 Euro. 

Verfügbarkeit hoch Die TK-Anlage ist ein wesentliches Kommunikationsmittel 

mit den Kunden. Ein Ausfall würde die 

Arbeit erheblich beeinträchtigen und zu einem 

wesentlichen Ansehensverlust führen. 

Vertraulichkeit hoch Über die Faxgeräte werden Kunden Angebote und 

Konditionen unterbreitet. Diese sollten nur den 

Betroffenen bekannt werden. 

Integrität normal Veränderungen an den übermittelten Daten können in der 

Regel leicht erkannt werden oder führen zu Rückfragen. 

Verfügbarkeit normal Da mehrere Faxgeräte in der Verwaltung vorhanden sind, 

führt der Ausfall eines Faxgeräts nur zu einer minimalen 

Einschränkung. Bei Ausfall in den Vertriebsbüros oder 

der Produktionsstätte kann per Telefon oder E-Mail 

kommuniziert werden. 

4.3 Schutzbedarfsfeststellung der IT-Systeme 

Der Schutzbedarf eines IT-Systems hängt im Wesentlichen von dem Schutzbedarf derjenigen Anwendungen 

ab, für deren Ausführung es benötigt wird. Der Schutzbedarf der Anwendung vererbt sich auf 

den Schutzbedarf des IT-Systems. Bei der Vererbung lassen sich folgende Fälle unterscheiden: 

• In vielen Fällen lässt sich der höchste Schutzbedarf aller Anwendungen, die das IT-System 

benötigen, übernehmen (Maximumprinzip). 

• Der Schutzbedarf des IT-Systems kann höher sein als der Schutzbedarf der einzelnen 

Anwendungen (Kumulationseffekt). Dies ist z. B. dann der Fall, wenn auf einem Server mehrere 

Anwendungen mit mittlerem Schutzbedarf in Betrieb sind. Der Ausfall einer dieser 

Anwendungen könnte überbrückt werden. Wenn aber alle Anwendungen gleichzeitig ausfallen 

würden, dann kann ein hoher Schaden entstehen. 

• Der Schutzbedarf kann niedriger sein als der Schutzbedarf der zugeordneten Anwendungen, wenn 

eine Anwendung mit hohem Schutzbedarf auf mehrere Systeme verteilt ist, und auf dem 

betreffenden IT-System nur weniger wichtige Teile dieser Anwendung ausgeführt werden 

(Verteilungseffekt). Bei Anwendungen, die personenbezogene Daten verarbeiten, sind z. B. 

Komponenten weniger kritisch, in denen die Daten nur in pseudonymisierter oder aggregierter 

Form verwendet werden. 

Auch der Schutzbedarf für die IT-Systeme sollte für jeden der drei Grundwerte (Vertraulichkeit, 

Integrität und Verfügbarkeit) festgelegt und anschließend z. B. tabellarisch dokumentiert werden. 

Die folgenden Tabellen enthalten die Schutzbedarfsfeststellung für die Server, Clients, Netz- und 

Telekommunikationskomponenten der RECPLAST GmbH. 

Seite 21

Schutzbedarf Server 


IT-System Schutzbedarfsfeststellung 

Nr. Beschreibung Grundwert Schutzbedarf 

S1 Domänen- 

Controller BG 

S2 Interner 

Kommunikationsserver 

S3 Datei- und 

Druckserver BG 

S4 Server für 

Kunden- und 


S5 DB-Server 


S6 Server Beuel 

Begründung 

Vertraulichkeit normal Maximumprinzip gemäß Anwendung A5 (Benutzerauthentisierung) 

Integrität hoch Maximumprinzip gemäß Anwendung A5 (Benutzerauthentisierung) 

Verfügbarkeit normal Gemäß Anwendung A5 (Benutzerauthentisierung) ist der Schutzbedarf 

hoch. Da jedoch in Beuel ein zweiter Domänencontroller (S6) 

steht, ist eine Anmeldung auch für Benutzer aus Godesberg über 

diesen Rechner möglich. Ein Ausfall bis zu drei Tagen ist 

hinnehmbar (Verteilungseffekt). 

Vertraulichkeit hoch Maximumprinzip gemäß Anwendung A7 (E-Mail) 

Integrität hoch Maximumprinzip gemäß Anwendung A7 (E-Mail) 

Verfügbarkeit hoch Maximumprinzip gemäß Anwendung A7 (E-Mail) 

Vertraulichkeit normal Maximumprinzip gemäß Anwendung A9 

Integrität normal Maximumprinzip gemäß Anwendung A9 

Verfügbarkeit normal Maximumprinzip gemäß Anwendung A9 

Vertraulichkeit hoch Maximumprinzip. Die Standardanwendung „Auftrags- und 

Kundenverwaltung“ (A4) hat hohen Schutzbedarf. 

Integrität hoch Maximumprinzip. Die Standardanwendung „Auftrags- und 


Verfügbarkeit hoch Maximumprinzip. Die Standardanwendung „Auftrags- und 


Vertraulichkeit hoch Maximumprinzip, da hohe Vertraulichkeit bei Anwendungen A1 

(Personaldatenverarbeitung) und A3 (Finanzbuchhaltung) 

Integrität normal Maximumprinzip von Anwendung A3 (Finanzbuchhaltung) 

Verfügbarkeit normal Ausfälle können mittels manueller Verfahren überbrückt werden. 

Vertraulichkeit normal Maximumprinzip von A5 und A10 

Integrität normal Maximumprinzip von A5 und A10 

Verfügbarkeit normal Gemäß Anwendung A5 ist der Schutzbedarf hoch. 

Da die Mitarbeiter in Beuel sich aber auch über den zweiten 

Domänencontroller (S1) in Bad Godesberg identifizieren und 

anmelden können, ist ein Ausfall bis zu drei Tagen tolerierbar. 

Seite 22

Schutzbedarf Clients 












C5 Clients für die 

Kunden- und 

Auftragsbearbei 

tung im Einkauf, 

Marketing 

und Vertrieb 

C6 Clients in Beuel 

für Fertigung 

und Lager 

Begründung 

Vertraulichkeit hoch Maximumprinzip von Anwendung A3 

Integrität normal Maximumprinzip von Anwendung A3 

Verfügbarkeit normal Bei Ausfall eines Clients kann die Aufgabe an einem anderen Client 

wahrgenommen werden oder kurzfristig ein Laptop zur Verfügung 

gestellt werden. 

Vertraulichkeit hoch Es werden personenbezogene Daten verarbeitet. Maximumprinzip 

von Anwendung A1 

Integrität normal Auf den PCs werden keine wichtigen Daten gespeichert. 

Verfügbarkeit normal Der Ausfall eines Rechners kann bis zu drei Tagen toleriert werden. 

Ein Laptop steht als Reserve bereit. 

Vertraulichkeit hoch Es werden personenbezogene Daten verarbeitet. 

Integrität normal Auf dem PC werden keine wichtigen Daten gespeichert. 

Verfügbarkeit normal Ein Ausfall bis zu drei Tagen kann toleriert werden. Ein Laptop steht 

als Ersatz zur Verfügung. 

Vertraulichkeit normal Es werden keine personenbezogenen Daten verarbeitet. Auf den 

System- und Netzmanagement-Server kann nur mit Passwort 

zugegriffen werden. 

Integrität normal Es werden keine wichtigen Daten auf dem PC gespeichert. 

Verfügbarkeit normal Bei Ausfall eines PCs kann kurzfristig ein Laptop zur Verfügung 


Vertraulichkeit hoch Maximumprinzip von Anwendung A4 

Integrität hoch Maximumprinzip von Anwendung A4 


wahrgenommen oder kurzfristig ein Laptop zur Verfügung gestellt 

werden. 

Vertraulichkeit hoch Da auch auf Kundendaten zugegriffen wird, ist die Vertraulichkeit als 

hoch zu bewerten. 

Integrität normal Auf den PCs werden keine wichtigen Daten gespeichert. 


wahrgenommen werden oder kurzfristig ein Laptop zur Verfügung 


Seite 23



Nr. Beschreibung Grundwert Schutz- Begründung 

bedarf 


Entwicklungsabteilung 

C8 Clients in den 


C9 Laptops 

Vertraulichkeit sehr hoch Auf den Rechnern befinden sich Konstruktionspläne und unter Umständen 

kundenspezifische Entwicklungen und Verfahrensbeschreibungen, 

die z. B. vor Wirtschaftsspionage und damit möglichen 

gravierenden wirtschaftlichen Folgen für die Firma zu schützen sind. 

Integrität normal Fehler werden in der Regel schnell und leicht erkannt. 

Verfügbarkeit normal Bei Ausfall eines Rechners kann auf den anderen Rechnern weiter 

gearbeitet werden. Ein Laptop kann als Ersatzrechner zur Verfügung 


Vertraulichkeit hoch Da auch auf Kundendaten zugegriffen wird, ist die Vertraulichkeit als 

hoch zu bewerten. 

Integrität normal Fehler werden in der Regel leicht erkannt. Die Daten können dann 

neu aus der Kundendatenbank herunter geladen werden. 

Verfügbarkeit normal Bei Ausfall des Rechners kann ersatzweise mit dem Laptop gearbeitet 

werden. Ein Ausfall bis zu 8 Tagen erscheint tolerierbar. 

Vertraulichkeit hoch Da auf den Laptops der Außendienstmitarbeiter (Vertrieb) auch 

Kundendaten und Konditionen gespeichert sind, ist die 

Vertraulichkeit hoch. 

Integrität normal Fehler in den Kundendaten werden in der Regel schnell bemerkt. Die 

Daten können dann aus der Kundendatenbank neu auf den Laptop 

geladen werden. 

Verfügbarkeit normal In Bad Godesberg steht ein Laptop als Ersatzrechner. Die Daten 

können auf diesen Rechner überspielt werden. In den Vertriebsbüros 

ist ein Ausfall bis zu 72 Stunden tolerierbar. Der Vertrieb kann sich 

dann vor Kundenbesuch Listen ausdrucken. 

4.3.3 Schutzbedarf Netzkomponenten 



N1 Router zum 

Internet 

Begründung 

Vertraulichkeit normal Es werden keine vertraulichen Daten übermittelt. Vertrauliche E- 

Mails werden vorher verschlüsselt. 

Integrität hoch Durch Fehler in der Konfiguration können Sicherheitseinstellungen 

beeinträchtigt werden und E-Mails an einen falschen Adressaten 

weitergeleitet werden. 

Verfügbarkeit hoch Maximumprinzip von Anwendung A7 und A12 

Seite 24



Nr. Beschreibung Grundwert Schutz- Begründung 

bedarf 

N2 Firewall 

N3 Zentraler Switch 

N4 Switch für 

Personalbereich 

N5 Router zur 

Beuel- 

Anbindung 

N6 Router zur 

Anbindung nach 

Bad Godesberg 

N7 Switch in Beuel 

Vertraulichkeit normal Es laufen keine vertraulichen Daten unverschlüsselt über die 

Firewall. 

Integrität hoch Von der korrekten Konfiguration hängt die Sicherheit des internen 

Netzes und aller angeschlossenen IT-Geräte ab. 

Verfügbarkeit hoch Bei Ausfall muss die gesamte Verbindung zum Internet, einschließlich 

E-Mail unterbrochen werden. Dies ist nur bis zu 24 Stunden 

tolerabel. 

Vertraulichkeit normal Über dieses System fließen keine vertraulichen Daten. 

Integrität normal Fehler in den übertragenen Daten werden leicht erkannt und 

korrigiert. 

Verfügbarkeit hoch Bei einem Ausfall des Switches ist ein IT-gestütztes Arbeiten nicht 

mehr möglich, da kein Zugriff zu den Servern mit den Daten besteht. 

Ein Ausfall ist höchstens 3 Stunden tolerierbar. 

Vertraulichkeit hoch Über diesen Switch sind die Clients in der Personalverwaltung mit 

dem Server S5 verbunden. Über diese Netzkomponente fließen 

vertrauliche Personaldaten. Daher ist der Schutzbedarf hoch. 

Integrität normal Fehlerhafte Daten werden leicht erkannt und können korrigiert 

werden. 

Verfügbarkeit normal Ausfälle bis zu 5 Arbeitstagen können die Mitarbeiter mit manuellen 

Verfahren überbrücken, ohne dass beträchtliche Schadensauswirkungen 

entstehen. 

Vertraulichkeit normal Es werden keine vertraulichen Daten gespeichert. 

Integrität normal Bei Fehlern in der Konfigurationsdatei ist die gesamte interne 

Kommunikation gestört. Diese Fehler können aber leicht erkannt und 


Verfügbarkeit hoch Maximumprinzip lt. Anwendung A4. Ein Ausfall erscheint höchstens 

bis zu 24 Stunden tolerabel. 

Vertraulichkeit normal Es werden keine vertraulichen Daten gespeichert. 

Integrität normal Bei Fehlern in der Konfigurationsdatei ist die gesamte interne 

Kommunikation gestört. Diese Fehler können aber leicht erkannt und 


Verfügbarkeit hoch Maximumprinzip lt. Anwendung A4. Ein Ausfall erscheint höchstens 

bis zu 24 Stunden tolerabel. 

Vertraulichkeit normal Alle Anforderungen der Schadenskategorie niedrig treffen zu. Insbesondere 

fließen keine vertraulichen Daten über diese Komponente. 

Integrität normal Fehler können leicht erkannt und korrigiert werden. 

Verfügbarkeit hoch Bei Ausfall des Switches können die Mitarbeiter aus Beuel nicht 

mehr auf die Kunden-, Auftrags-, Lager- und Materialdaten zugreifen 

und aktualisieren. Ein Ausfall ist höchstens bis zu 3 Stunden 

tolerierbar. 

Seite 25


4.3.4 Schutzbedarf Telekommunikationskomponenten 

Komponente Schutzbedarfsfeststellung 


T1 TK-Anlage 

Bad Godesberg 

T2 TK-Anlage 

Beuel 

T3 Faxgeräte 

Begründung 



Verfügbarkeit hoch Maximumprinzip gemäß Anwendung A15 



Verfügbarkeit hoch Maximumprinzip gemäß Anwendung A15 

Vertraulichkeit hoch Maximumprinzip gemäß Anwendung A16. 


Verfügbarkeit normal Bei Ausfall eines Faxgeräts stehen weitere Faxgeräte zur Verfügung. 

Ein Ausfall eines Geräts führt nur zu minimalen Einschränkungen. 

4.4 Schutzbedarf der Kommunikationsverbindungen 

Im nächsten Arbeitsschritt geht es darum, den Schutzbedarf für die Kommunikationsverbindungen 

feststellen. Es gibt Verbindungen, die gefährdeter sind als andere und durch doppelte Auslegung oder 

durch besondere Maßnahmen gegen Angriffe von außen oder innen geschützt werden müssen. 

Als kritische Verbindungen gelten: 

• Verbindungen, die aus dem Unternehmen in ein öffentliches Netz (z. B. Telefonnetz, Internet) 

oder über ein öffentliches Gelände reichen. Über solche Verbindungen können Computer-Viren 

und trojanische Pferde in das Unternehmensnetz eingeschleust werden, Unternehmens-Server angegriffen 

werden oder Mitarbeiter vertrauliche Daten an Nichtbefugte weiterleiten. 

• Verbindungen, über die besonders schützenswerte Informationen übertragen werden. Mögliche 

Gefährdungen sind Abhören, vorsätzliche Manipulation und betrügerischer Missbrauch. Vom 

Ausfall solcher Verbindungen sind Anwendungen, für die eine hohe Verfügbarkeit erforderlich 

ist, besonders betroffen. 

• Verbindungen, über die vertrauliche Informationen überhaupt nicht übertragen werden 

dürfen. Personaldaten dürfen zum Beispiel nur von Mitarbeitern der Personalabteilung und der 

Geschäftsführung eingesehen und bearbeitet werden. Daher muss verhindert werden, dass diese 

Daten bei ihrer Übertragung von unbefugten Mitarbeitern eingesehen werden können. 

Nachfolgend sehen Sie nochmals den bereinigten Netzplan RECPLAST GmbH. Die kritischen 

Verbindungen sind hervorgehoben (siehe Abbildung 4). 

Seite 26

1 


C8: 3 Clients 


T3: 8 Faxgeräte 

C9: 8 Laptops 

Internet 


VPN 


1 4, 5 4 

N1: Router 

S5: DB-Server 

Fibu 

C1: 5 Clients 

Lohn/Fibu 

C2: 3 Clients 


C3: 4 Clients 

Personal 

N2: Firewall 

4, 5 

N4: Switch 

C4: 4Clients 

IT 


Einkauf/Marketing/ 

Vertrieb 

T1: TK-Anlage 

N3: Switch 

N5: Router 

S1: Domänen- 

Controller 

S2: Komm.-Server 

(Exchange) 

S3: Datei- und 

Druckserver 

S4: DB-Server 

Kunden- und 

Auftragsbearb. 

Standleitung 


Abbildung 4: Kritische Kommunikationsverbindungen der RECPLAST GmbH 

2 

2 

2 

2 

2 

2 

4 

1 


N6: Router 

N7: Switch 

S6: Domänen- 

Controller, Dateiu. 

Druckserver 


Fertigung/Lager 

C7: 6 Clients 

Entwicklung 

T2: TK-Anlage 

Die kritischen Verbindungen sind zusätzlich mit Ziffern versehen, die als Kürzel für die Begründungen 

dafür eingesetzt sind, warum eine Verbindung jeweils als kritisch eingestuft ist. Die Auflösung 

der Kürzel finden Sie in den Spaltenüberschriften der folgenden Tabelle: 

Beschreibung der 

Verbindung 

Nr. Beschreibung 

1 

Außenverbindung 

Kritisch aufgrund Nicht übertragen werden dürfen 

Informationen mit 

2 

hoher Vertraulichkeit 

3 

hoher 

Integrität 

4 

hoher Verfügbarkeit 

V1 N1 Internet X X 

V2 N5 N6 X 

V3 S5 N4 X 

V4 S2 N3 X 

5 

hoher Vertraulichkeit 

V5 N1N2 X X 

V6 N2N3 X 

Seite 27 

6 

hoher 

Integrität 

7 

hoher Verfügbarkeit


Beschreibung der Kritisch aufgrund Nicht übertragen werden dürfen 

Verbindung Informationen mit 

1 2 3 4 5 6 7 

Nr. Beschreibung Außen- hoher Ver- hoher hoher Ver- hoher Ver- hoher hoher Ververbindung 

traulichkeit Integrität fügbarkeit traulichkeit Integrität fügbarkeit 

V7 N4 N3 X X 

V8 S4N3 X 

V9 N3C5 X 

V10 C1N4 X 

V11 C2N4 X 

V12 C3N4 X 

V13 C8Internet X 

Die folgende Tabelle enthält die Begründungen dafür, dass die genannten Verbindungen als kritisch 

eingestuft wurden: 

Nr. Begründung 

V1 Alle Verbindungen nach außen sind als kritisch anzusehen. 

V2 Dies ist eine Verbindung nach außen und deshalb kritisch 

V3 Die übertragenen Daten sind vertraulich und die Anwendungen, deren Daten über diese Verbindungen übertragen 

werden, haben einen hohen Schutzbedarf an Vertraulichkeit. 

V4 Der Kommunikationsserver S3 weist hohen Schutzbedarf in Bezug auf Verfügbarkeit auf und es ist keine redundante 

Verbindung vorhanden. Den Schutzbedarf für die Grundwerte Vertraulichkeit und Verfügbarkeit erbt die 

Verbindung nicht, da die schutzbedürftigen Daten hauptsächlich durch Außenangriffe gefährdet werden können. 

V5 Die Verbindung erbt den hohen Schutzbedarf für den Grundwert „Verfügbarkeit“ vom System N1. Sie ist außerdem 

kritisch, da verhindert werden muss, dass aus dem Internet unkontrolliert auf das interne Netz zugegriffen wird. 

V6 Die Verbindung erbt den hohen Schutzbedarf vom System N2 (Firewall). 

V7 Die Kommunikationsverbindung ist kritisch, da hierüber keine vertraulichen Daten vom Server S2 in das hinter dem 

Switch N4 liegende Netz übertragen werden dürfen. 

V8 Die Verbindung erbt den hohen Schutzbedarf der Systeme S4 und N3, da zum einen vertrauliche Daten übermittelt 

werden, zum anderen keine redundante Verbindung vorhanden ist, um die Verfügbarkeit bei Ausfall der Verbindung 

zu sichern. 

V9 Die Verbindung ist kritisch, da vertrauliche Kundendaten übermittelt werden. 

V10 

V11 

V12 

Diese Verbindungen sind kritisch, da vertrauliche Kundendaten übermittelt werden. 

V13 Die Verbindung ist kritisch, da es eine Außenverbindung über das Internet ist. 

Seite 28


4.5 Schutzbedarfsfeststellung der IT-genutzten Räume 

Bei der Schutzbedarfsfeststellung für Räume werden sowohl Räume berücksichtigt, 

• die zum Betrieb von IT-Systemen dienen (z. B. Serverräume, Räume für eine TK-Anlage und 

andere Räume mit technischer Infrastruktur), als auch solche, 

• in denen IT-Systeme genutzt werden (z. B. Büroräume). 

Der Schutzbedarf eines Raumes bemisst sich nach dem Schutzbedarf der IT-Systeme, die sich in diesem 

Raum befinden. Auch hier können Sie (wie schon bei der Schutzbedarfsfeststellung der IT-Systeme) 

wieder im Allgemeinen das Maximumprinzip anwenden. Befinden sich jedoch in einem Raum 

mehrere Systeme, dann kann sich für den Raum ein höherer Schutzbedarf als für jedes einzelne IT- 

System ergeben (Kumulationseffekt). Dies gilt z. B. für Serverräume. 

Die folgende Tabelle zeigt das Ergebnis der Schutzbedarfsfeststellung für die IT-genutzten Räume bei 

der RECPLAST GmbH. Der Schutzbedarf der Räume wird hier festgelegt nach dem jeweils höchsten 

Schutzbedarf der darin befindlichen IT-Systeme (Maximumprinzip). 

Raum IT Schutzbedarf 

Bezeichnung Art Lokation Installierte IT Vertraulichkeit Integrität Verfügbarkeit 

BG, 

R. 1.01 

BG, 

R. 1.02 

BG, 

R. 1.03 – 1.06 

BG, 

R. 1.07 – 1.09 

BG, 

R. 1.10 – 1.13 

BG, 

R. 2.03 – 2.09 

BG, 

R. 2.10 – 2.12 

Beuel, 

R. 2.01 

Beuel, 

R. 2.02 

Beuel, 

R. 2.10 – 2.13 

Beuel, 

R. 2.14 – 2.20 

Technikraum Verwaltungsgebäude 

Serverraum Verwaltungsgebäude 

Büroräume Verwaltungsgebäude 





Serverraum Produktionshalle 

Technikraum Produktionshalle 

Büroräume Produktionshalle 

Büroräume Produktionshalle 

TK-Anlage T1 normal normal hoch 

S1 bis S5 

N1 bis N5 

hoch hoch hoch 

C4 hoch normal normal 



C5, einige mit 

Faxgeräten 

hoch normal normal 


S6, N6, N7 normal normal normal 

TK-Anlage T2 normal normal hoch 

C6, einige mit 

Faxgeräten 

hoch normal normal 

C7 sehr hoch normal normal 

Seite 29


5 Modellierung gemäß IT-Grundschutz 

Ziel der Modellierung gemäß IT-Grundschutz ist es festzulegen, welche Bausteine der IT- 

Grundschutz-Kataloge auf welche Zielobjekte der Informationstechnik einer Organisation 

anzuwenden sind. 

Das Ergebnis ist ein IT-Grundschutz-Modell, das für geplante IT als Entwicklungskonzept und für 

bestehende IT als Prüfplan verwendet werden kann. 

Im Beispielunternehmen RECPLAST dient dieses Modell als Prüfplan für den Basis-Sicherheitscheck. 

Die nachfolgenden Tabellen zeigen die Dokumentation der bei RECPLAST vorgenommenen 

Modellierung. 

Weitere Informationen zur Modellierung gemäß IT-Grundschutz finden Sie in Kapitel 4.3 der 

Beschreibung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2) sowie in Kapitel 2 der IT- 

Grundschutz-Kataloge. 

5.1 Schicht 1: Übergreifende Aspekte 

Baustein Zielobjekt Hinweise 

B 1.0 IT-Sicherheitsmanagement Gesamte Organisation Gilt einheitlich für alle Betriebsteile. 

B 1.1 Organisation Gesamte Organisation Gilt einheitlich für alle Betriebsteile. 

B 1.2 Personal Gesamte Organisation Gilt einheitlich für alle Betriebsteile. 

B 1.3 Notfallvorsorgekonzept Gesamte Organisation Gilt einheitlich für alle Betriebsteile. 

B 1.4 Datensicherungskonzept Gesamte Organisation Gilt einheitlich für alle Betriebsteile. 

B 1.6 Computer-Virenschutzkonzept Gesamte Organisation Gilt einheitlich für alle Betriebsteile. 

B 1.7 Kryptokonzept Gesamte Organisation Gilt einheitlich für alle Betriebsteile. 

B 1.8 Behandlung von Sicherheitsvorfällen Gesamte Organisation Einheitliches Konzept für alle Betriebsteile. 

B 1.9 Hard- und Software-Management Gesamte Organisation Wird zentral von der IT festgelegt. 

B 1.10 Standardsoftware Gesamte Organisation Gilt einheitlich für alle Betriebsteile. 

B 1.12 Archivierung Gesamte Organisation Gilt für die Buchhaltungsabteilung. 

B 1.13 IT-Sicherheitssensibilisierung und 

-schulung 

Gesamte Organisation Gilt einheitlich für alle Betriebsteile 

Seite 30


5.2 Schicht 2: Infrastruktur 


B 2.1 Gebäude Verwaltungsgebäude 

B 2.1 Gebäude Produktionshalle 

B 2.2 Verkabelung Verwaltungsgebäude 

B 2.2 Verkabelung Produktionshalle 

B 2.3 Büroraum Büroräume in 

Bad Godesberg 

Der Baustein Gebäude muss auf beide Gebäude 

getrennt angewendet werden. 

Die Verkabelung muss für beide Gebäude 

gesondert betrachtet werden. 

Da alle Räume denselben Standard haben, sollen 

als Stichprobe ein Raum der Geschäftsführung 

sowie ein einzeln und ein doppelt besetztes 

Mitarbeiterbüro untersucht werden. 

B 2.3 Büroraum Büroräume in Beuel Als Stichprobe sollen jeweils ein Raum der Entwicklungsabteilung 

und ein Raum der Mitarbeiter 

aus Fertigung/Lager untersucht werden. 

B 2.4 Serverraum Serverraum BG, R. 1.02 

B 2.4 Serverraum Serverraum Beuel, R. 2.01 

B 2.6 Raum für technische Infrastruktur BG 1.01 

B 2.6 Raum für technische Infrastruktur BN 2.02 

B 2.8 Häuslicher Arbeitsplatz Vertriebsbüros Berlin, 

Hamburg und München 

Der Baustein muss auf beide Serverräume 


In beiden Räumen ist die TK-Anlage untergebracht. 

Der Baustein muss auf jeden Raum 


Die drei Vertriebsbüros zeichnen sich durch eine 

einheitliche IT-Ausstattung, übereinstimmende 

Aufgaben und Regelungen sowie einer identischen 

Zugangsmöglichkeit zum Firmennetz aus 

und sind daher in einer Gruppe zusammengefasst. 

B 2.10 Mobiler Arbeitsplatz Vertrieb BG Die Vertriebsmitarbeiter benutzen ihre Laptops 

bei externen Kundenterminen 

B 2.10 Mobiler Arbeitsplatz Vertriebsbüros Berlin, 

Hamburg und München 

5.3 Schicht 3: IT-Systeme 

Server 


B 3.101 Allgemeiner Server S1 






Seite 31 

Die Vertriebsmitarbeiter benutzen ihre Laptops 

bei externen Kundenterminen 

Dieser Baustein behandelt die Sicherheitsaspekte 

von Servern, die nicht betriebssystem-spezifisch 

sind. Die Server S1 bis S6 und die Firewall N2 

sind unterschiedlich konfiguriert. Der Baustein 

wird daher auf jedes System getrennt angewendet.



B 3.101 Allgemeiner Server N2 

B 3.106 Windows 2000 Server S1 






B 3.106 Windows 2000 Server N2 

Clients 


B 3.201 Allgemeiner Client C1 









Alle Server und die Firewall werden mit dem 

Betriebssystem Windows 2000 betrieben. Sie sind 

jedoch unterschiedlich konfiguriert. Daher wird 

der Baustein auf jedes dieser Gruppen von Clients 

gesondert angewendet, da diese unterschiedliche 

Sicherheitsanforderungen stellen. 

Der Baustein behandelt die Eigenschaften von 

Clients, die nicht betriebssystemspezifisch sind. 

Er ist auf jede Gruppe von Clients anzuwenden, 

da diese jeweils besondere Sicherheitsanforderungen 

stellen. 

B 3.203 Tragbarer PC C9 Die tragbaren PCs in den Vertriebsbüros, in Bad 

Godesberg und in Beuel werden von den 

Vertriebsmitarbeitern benutzt und sind in einer 

Gruppe zusammengefasst. 

B 3.209 Windows 2000 Client C1 Ein Client aus der Finanzbuchhaltung wird als 

Stichprobe untersucht. Hier soll besonders darauf 

geachtet werden, dass die Rechner einen hohen 

Schutzbedarf für den Grundwert Vertraulichkeit 

haben. 

B 3.209 Windows 2000 Client C2 Ein Client der Geschäftsführung wird untersucht. 

Hier soll besonders darauf geachtet werden, dass 

die Rechner einen hohen Schutzbedarf für den 

Grundwert Vertraulichkeit haben. 

B 3.209 Windows 2000 Client C3 Ein Client aus der Personalabteilung wird untersucht. 

Hier soll besonders darauf geachtet werden, 

dass die Rechner einen hohen Schutzbedarf 

für den Grundwert Vertraulichkeit haben. 

Seite 32



B 3.209 Windows 2000 Client C4 Ein Client aus der IT-Abteilung wird untersucht. 

Hier soll besonders darauf geachtet werden, dass 

die Rechner einen hohen Schutzbedarf für den 

Grundwert Vertraulichkeit haben. 

B 3.209 Windows 2000 Client C5 Ein Client aus der Vertriebsabteilung wird 

untersucht. Hier soll besonders darauf geachtet 

werden, dass die Rechner einen hohen Schutzbedarf 

für den Grundwert Vertraulichkeit haben. 

B 3.209 Windows 2000 Client C6 Ein Client aus der Fertigungsabteilung in Beuel 

wird untersucht. Hier soll besonders darauf geachtet 

werden, dass die Rechner einen hohen 

Schutzbedarf für den Grundwert Vertraulichkeit 

haben. 

B 3.209 Windows 2000 Client C7 Ein Client aus der Entwicklungsabteilung wird als 

Stichprobe untersucht. 

B 3.209 Windows 2000 Client C8 Ein Client aus den Vertriebsbüros wird untersucht. 

Die Clients in den Vertriebsbüros sind 

gleich konfiguriert. Der hohe Schutzbedarf dieser 

Rechner für den Grundwert Vertraulichkeit muss 

besonders berücksichtigt werden. 

B 3.209 Windows 2000 Client C9 Hier werden die betriebssystemspezifischen 

Aspekte des gleichen Rechners wie beim 

Baustein B 3.203 Tragbarer PC untersucht. 

Netzkomponenten 


B 3.301 Sicherheitsgateway (Firewall) N2 

B 3.302 Router und Switches N1 






Sonstige IT-Systeme 


B 3.401 TK-Anlage T1 (Bad Godesberg) 

B 3.401 TK-Anlage T2 (Beuel) 

Der Baustein wird auf die jede einzelne Netzkomponente 

gesondert angewendet, da diese IT- 

Systeme sich an unterschiedlichen Standorten 

befinden, unterschiedliche Aufgaben erfüllen und 

damit unterschiedliche Sicherheitsanforderungen 

erfüllen müssen. 

Beide TK-Anlagen werden getrennt mit diesem 

Baustein untersucht. 

B 3.402 Faxgeräte T3 Ein Faxgerät wird als Stichprobe untersucht. 

Seite 33


5.4 Schicht 4: Netze 


B 4.1 Heterogene Netze Teilnetz an Switch 1 

(FIBU und Personaldatenverarbeitung) 

B 4.1 Heterogene Netze Übriges Netz in Bad 

Godesberg 

B 4.1 Heterogene Netze Netz in Beuel 

Besonders ist darauf zu achten, dass keine 

vertraulichen Daten aus dem Teilnetz nach außen 

gelangen. 

Da die Netzsegmente aufgrund der geringen 

Anzahl an Systemen übersichtlich sind, reicht es 

aus, diesen Baustein jeweils einmal für das 

restliche Netz in Bad Godesberg und für das Netz 

in Beuel zu bearbeiten. 

B 4.2 Netz- und Systemmanagement Gesamtes Unternehmen Mit dem Server S1 werden alle Clients im 

Unternehmen verwaltet. 

B 4.3 Modem C9 Die Laptops haben ein eingebautes Modem. Als 

Stichprobe wird ein Rechner untersucht. 

B 4.4 Remote Access C8, N1, N2 Ein RAS-Konzept und Sicherheitsleitlinien, 

Installation, Konfiguration und Verschlüsselungskonzept 

zur Kommunikation mit den 

Vertriebsbüros sind zu überprüfen. 

B 4.4 Remote Access C9, N1, N2 Ein RAS-Konzept und Sicherheitsleitlinien, 


zur Kommunikation der Laptops 

mit dem internen Netz sind zu überprüfen. 

B 4.4 Remote Access N5, N6, S1, S6 Ein RAS-Konzept und Sicherheitsleitlinien, 


zur Kommunikation zwischen dem 

Verwaltungsgebäude und den Fertigungshallen 

sind zu überprüfen. 

B 4.5 LAN-Anbindung eines IT-Systems 

über ISDN 

C8, N1 Die Sicherheit der Kommunikation zwischen den 

Vertriebsbüros und dem internen Netz ist zu 

überprüfen. 

Seite 34


5.5 Schicht 5: Anwendungen 


B 5.3 E-Mail Gesamtes Unternehmen Erarbeitung einer Sicherheitspolitik für E-Mail 

und Überprüfung des Mail-Servers S2 sowie als 

Stichprobe ein E-Mail Client der 

Geschäftsführung. 

B 5.7 Datenbanken A3 Finanzbuchhaltung 

B 5.7 Datenbanken A4 Auftrags- und 


Die Datenbanksysteme unterscheiden sich 

bezüglich der verwendeten Server, ihrer Benutzer 

und ihres Schutzbedarfs. Der Baustein ist daher 

getrennt auf beideDatenbanken anzuwenden. 

B 5.8 Telearbeit C8 Die Vertriebsbüros werden behandelt wie Telearbeiter. 

Dementsprechend wird ein Rechner als 

Stichprobe untersucht. Die übrigen werden gleich 

konfiguriert. Besonderer Wert ist darauf zu legen, 

dass die Rechner einen hohen Schutzbedarf für 

den Grundwert Vertraulichkeit haben und eine 

vertrauliche Kommunikation über VPN 

sichergestellt werden muss. Außerdem wird der 

Router N1, der die Kommunikation herstellt, auf 

richtige Konfiguration hin untersucht. 

B 5.8 Telearbeit C9 Da die Laptops von den Vertriebsbeauftragten 

auch genutzt werden, um evtl. von Kunden oder 

von zu Hause aus auf das Firmennetz zuzugreifen, 

müssen die Maßnahmen dieses Bausteins 

auch für diese Rechner umgesetzt werden und die 

entsprechenden organisatorischen Regelungen 

erstellt werden. Als Stichprobe wird ein Rechner 

untersucht. 

Seite 35


6 Basis-Sicherheitscheck 

Mit einem Basis-Sicherheitscheck ermitteln Sie, ob und inwieweit die Maßnahmen-Empfehlungen der 

IT-Grundschutz-Kataloge für die einzelnen Zielobjekte des betrachteten IT-Verbunds umgesetzt sind. 

Sie greifen dazu auf die Ergebnisse der vorangegangenen Schritte zurück: 

• Bei der IT-Strukturanalyse haben Sie die vorhandenen IT-Systeme und die von diesen 

unterstützten Anwendungen erfasst. 

• Anschließend haben Sie den Schutzbedarf der IT-Systeme, Anwendungen, Räume und 

Kommunikationsverbindungen bestimmt und 

• bei der Modellierung durch Auswahl der anzuwendenden Bausteine einen Prüfplan („IT-Grundschutz-Modell“) 

für die verschiedenen Zielobjekte (gesamter IT-Verbund, Räume, Rechner, 

Kommunikationsverbindungen, Anwendungen) zusammengestellt. 

Den Prüfplan wenden Sie beim Basis-Sicherheitscheck an, indem Sie für jedes Zielobjekt und für jede 

Maßnahme, die in den anzuwendenden Bausteinen empfohlenen wird, prüfen, 

• ob sie überhaupt auf das Zielobjekt anzuwenden ist, und falls ja, 

• ob sie vollständig, teilweise oder überhaupt nicht umgesetzt ist. 

Die nachfolgenden Tabellen zeigen in Auszügen einen Basis-Sicherheitscheck für das Beispielunternehmen 

RECPLAST und zwar die Anwendung des zentralen Bausteins 

• B 1.0 IT-Sicherheitsmanagement auf die gesamte Organisation 

sowie die Anwendung der Bausteine 

• B 1.2 Personal auf die gesamte Organisation, 

• B 2.4 Serverraum auf den Serverraum in Bad Godesberg, 

• B 3.101 Allgemeiner Server und B 3.106 Server unter Windows 2000 auf den Datenbankserver 

für Finanzbuchhaltung in Bad Godesberg, 

• B 4.1 Heterogene Netze auf ein Teilnetz des Standorts Bad Godesberg sowie 

• B 5.7 Datenbanken auf die Datenbank für Finanzbuchhaltung. 

In der Praxis dürfen Sie für einen umfassenden IT-Grundschutz bei einem Basis-Sicherheitscheck 

selbstverständlich kein Zielobjekt und keinen Baustein auslassen. 

Die folgenden Tabellen enthalten in der ersten Spalte zusätzlich zur Nummer der Maßnahme einen 

Hinweis darauf, für welche Stufe der Qualifizierung gemäß IT-Grundschutz die Umsetzung einer 

Maßnahme erforderlich ist. Die Hinweise bedeuten im Einzelnen: 

• A: Diese Maßnahme muss für alle drei Ausprägungen der Qualifizierung nach IT-Grundschutz 

(Einstiegsstufe, Aufbaustufe und IT-Grundschutz-Zertifikat) umgesetzt sein. 

• B: Diese Maßnahme muss für die Aufbaustufe und für das IT-Grundschutz-Zertifikat umgesetzt 

sein. 

• C: Diese Maßnahme muss lediglich für das IT-Grundschutz-Zertifikat umgesetzt sein. 

• Z: Diese Maßnahme muss weder für eine Qualifizierungsstufe noch für das IT-Grundschutz- 

Zertifikat verbindlich umgesetzt werden. 

Mehr zum Basis-Sicherheitscheck finden Sie in Kapitel 4.4 und zur IT-Grundschutz-Qualifizierung in 

Kapitel 5.3 der Beschreibung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2). 

Seite 36


6.1 Beispiel aus Schicht 1: 

B 1.0 IT-Sicherheitsmanagement 

Der Baustein B1.0 IT-Sicherheitsmanagement gehört zu 

den Pflichtbausteinen. Zielobjekt ist bei RECPLAST die 

gesamte Organisation, da an allen Standorten einheitliche 

Regelungen zur IT-Sicherheit gelten (sollen). 

Erfasst am: 18. August Erfasst durch: P. Muster 

Baustein: B 1.0 IT-Sicherheitsmanagement 

Befragung am: 18. August 

Leiter der Befragung: P. Muster 

Befragte Personen: A. Admin (Leiter IT), M. Müller (Geschäftsführung) 

Maßnahmen: 

Maßnahme 

(erforderl. 

ab Stufe) 

M 2.192 

(A) 

M 2.193 

(A) 

M 2.195 

(A) 

M 2.197 

(A) 

M 2.199 

(A) 

M 2.200 

(C) 

M 2.201 

(C) 

M 2.335 

(A) 

Name 

Erstellung einer 

IT-Sicherheitsleitlinie 

Aufbau einer geeigneten 

Organisationsstruktur für 

IT-Sicherheit 

Erstellung eines 

IT-Sicherheitskonzepts 

Integration der Mitarbeiter 

in den Sicherheitsprozess 

Aufrechterhaltung der IT- 

Sicherheit 

Managementreporte und 

-bewertungen der IT- 


Dokumentation des IT- 

Sicherheitsprozesses 

Festlegung der IT- 

Sicherheitsziele und 

-strategie 

entbehrlich 

ja teilweise nein 

X 

X 

Bemerkung/ 

Begründung bei Nicht-Umsetzung 

X Bislang gibt es kein definiertes IT- 

Sicherheitskonzept. Es wird derzeit 

erarbeitet. 

Projektlaufzeit:32. – 45. KW. 

X Bislang nicht vorhanden. 

X Bislang wurden dazu keine 

Maßnahmen geplant. 

X Aufgrund der Größe der Firma und 

des Schutzbedarfs wird diese 

Maßnahme als entbehrlich eingestuft. 

X 

Seite 37 

X Bislang nicht dokumentiert.

Maßnahme 

(erforderl. 

ab Stufe) 

M 2.336 

(A) 

M 2.337 

(A) 

M 2.338 

(Z) 

M 2.339 

(Z) 

M 2.340 

(A) 


entbehr- Bemerkung/ 

Name ja teilweise nein 

lich Begründung bei Nicht-Umsetzung 

Übernahme der 

Gesamtverantwortung für 

IT-Sicherheit durch die 

Leitungsebene 

Integration der IT- 

Sicherheit in 

organisationsweite 

Abläufe und Prozesse 

Erstellung von 

zielgruppengerechten IT- 

Sicherheitsrichtlinien 

Wirtschaftlicher Einsatz 

von Ressourcen für IT- 


Beachtung rechtlicher 

Rahmenbedingungen 

X 

X 

X Für einzelne Aspekte/Benutzer (z. B. 

Datensicherung, Virenschutz) sind 

entsprechend fokussierte Regelungen 

im Einsatz. 

X Ein angemessenes Budget für IT- 

Sicherheit ist bereitgestellt. Auf den 

wirtschaftlichen Einsatz der Mittel 

wird geachtet. 

X Auf geltende Rechtsvorschriften wird 

im erforderlichen Umfang 

hingewiesen (z. B. durch Verweise in 

Richtlinien und Anweisungen). 

Seite 38



B 1.2 Personal 

Der Baustein B 1.2 Personal enthält Empfehlungen zu 

allgemeinen Regelungen im Bereich des Personalwesens 

für den sicheren Betrieb der Informationstechnik. Er 

gehört zu den Pflichtbausteinen und wird im Beispiel auf 

die gesamte Organisation angewendet. 


Baustein: B 1.2 Personal 



Befragte Personen: A. Admin (Leiter IT), K. Vogel (Leiter Personalabteilung) 

Maßnahmen: 

Maßnahme 

(erforderl. 

ab Stufe) 

M 3.1 

(A) 

M 3.2 

(A) 

M 3.3 

(A) 

M 3.4 

(A) 

Name 

Geregelte Einarbeitung/ 

Einweisung neuer 

Mitarbeiter 

Verpflichtung der Mitarbeiter 

auf Einhaltung 

einschlägiger Gesetze, 

Vorschriften und 

Regelungen 

entbehrlich 


Bemerkung/ 


X Die betriebliche Anweisung Nr. 43 

regelt diesbezügliche Verfahrensweisen 

bei der Neueinstellung eines 

Mitarbeiters sowie für den Fall, dass 

ein Mitarbeiter neue Aufgaben 

übernimmt. 

X Entsprechende Verpflichtungserklärungen 

sind Bestandteil der 

Arbeitsverträge. 

Vertretungsregelungen X Grundsätzlich ist geregelt, dass für 

jede Aufgabe Vertreter zu bestimmen 

sind. 

Schulung vor 

Programmnutzung 

X Soweit Mitarbeiter bestimmte 

Programme für die Erfüllung ihrer 

Aufgaben benötigen, werden diese 

auch in deren Benutzung 

eingewiesen. Dies sieht auch die 

Anweisung Nr. 43 vor. 

Seite 39

Maßnahme 

(erforderl. 

ab Stufe) 

M 3.5 

(A) 

M 3.6 

(A) 

M 3.7 

(Z) 

M 3.8 

(Z) 

M 3.10 

(A) 

M 3.11 

(A) 

M 3.33 

(Z) 

M 3.50 

(Z) 

M 3.51 

(Z) 





Schulung zu IT- 

Sicherheitsmaßnahmen 

Geregelte Verfahrensweise 

beim Ausscheiden 

von Mitarbeitern 

Anlaufstelle bei 

persönlichen Problemen 

Vermeidung von Störungen 

des Betriebsklimas 

Auswahl eines vertrauenswürdigen 

Administrators 

und Vertreters 

Schulung des Wartungs- 

und Administrationspersonals 

Sicherheitsprüfung von 

Mitarbeitern 

X Bislang fanden keine Schulungen 

speziell zu IT-Sicherheitsmaßnahmen 

statt, das vorhandene Schulungskonzept 

berücksichtigt lediglich die 

Einarbeitung in die funktionalen 

Eigenschaften der eingesetzten 

Anwendungen und IT-Systeme. 

X In der betrieblichen Anweisung Nr 39 

angemessen geregelt. 

X Der Betriebsrat bietet sich als vertrauliche 

Anlaufstelle an und wird als 

solche auch von der Geschäftsführung 

akzeptiert. 

X Geschäftsführung und Betriebsrat 

pflegen einen offenen Umgang 

miteinander und sind in ihren 

regelmäßigen Besprechungen 

bestrebt, die Ursachen für mögliche 

Probleme frühzeitig zu beseitigen. 

X Administrator und Vertreter wurden 

mit angemessener Sorgfalt 

ausgewählt. Neben der fachlichen 

Qualifikation wurde dabei auch auf 

die Persönlichkeit der ausgewählten 

Mitarbeiter geachtet. 

X Die Administratoren erhalten 

regelmäßige Schulungen und 

Fortbildungen zu den funktionalen 

Eigenschaften der von ihnen 

betreuten Hard- und Software.. 

X Die Referenzen von Mitarbeitern, die 

für Arbeitsplätze mit besonderen 

Vertraulichkeitsanforderungen 

vorgesehen sind, werden sorgfältig 

geprüft. 

Auswahl von Personal X Personal für besonders 

sicherheitsrelebvante 

Aufgabengebiete wird sehr sorgfältig 

ausgewählt. 

Geeignetes Konzept für 

Personaleinsatz und 

-qualifizierung 

Seite 40 

X Teilaspekte sind geregelt 

(Vertretungsregelungen, 

Aufgabendefinitionen etc.); ein 

grundlegenden Schulungs- und 

Qualifizierungskonzept ist bislang 

jedoch nicht vorhanden.



B 2.4 Serverraum 

Dieser Baustein ist auf die Serverräume in Bad Godesberg 

und Beuel getrennt anzuwenden. Die nachfolgende 

Tabelle dokumentiert den Basis-Sicherheitscheck für den 

Serverraum des Verwaltungsgebäudes Bad Godesberg. 

Raum: BG, R. 1.02 Serverraum 


Baustein: B 2.4 Serverraum 



Befragte Personen: A. Admin (Leiter IT), M. Wachsam (Haustechnik) 

Maßnahmen: 

Maßnahme 

(erforderl. 

ab Stufe) 

M 1.3 

(A) 

M 1.7 

(A) 

M 1.10 

(C) 

M 1.15 

(A) 

M 1.18 

(Z) 

M 1.23 

(A) 

M 1.24 

(C) 

Name 

Angepasste Aufteilung der 

Stromkreise 

entbehrlich 


Bemerkung/ 


X Bislang wurde die Elektroinstallation 

nicht geprüft. 

Handfeuerlöscher X Die betroffenen Mitarbeiter wurden 

nicht im Umgang mit den 

vorhandenen CO 2-Löschern geschult. 

Verwendung von Sicherheitstüren 

und -fenstern 

Geschlossene Fenster und 

Türen 

X 

X Der Raum hat kein Sicherheitsfenster, 

nur eine Sicherheitstür. 

Gefahrenmeldeanlage X Eine solche Anlage wurde bislang als 

unnötig kostspielig eingestuft. 

Abgeschlossene Türen X Die Tür hat flurseitig einen Blindknauf. 

Vermeidung von wasserführenden 

Leitungen 

Seite 41 

X Im Raum sind Heizkörper. Die Dichtigkeit 

der Leitungen wurde bislang 

nicht kontrolliert. Im Raum befindet 

sich ferner eine Klimaanlage mit 

Zuleitungen. Ein Rechner befindet 

sich direkt unter einer Zuleitung. Es 

fehlen Absperrventile außerhalb des 

Raums, mit denen die Wasserzufuhr 

zum Serverraum gezielt unterbrochen 

werden kann.

Maßnahme 

(erforderl. 

ab Stufe) 

M 1.25 

(B) 

M 1.26 

(Z) 

M 1.27 

(B) 

M 1.28 

(B) 

M 1.31 

(Z) 

M 1.52 

(Z) 

M 1.58 

(A) 





Überspannungsschutz X 

Not-Aus-Schalter X 

Klimatisierung X 

Lokale unterbrechungsfreie 

Stromversorgung 

Fernanzeige von 

Störungen 

Redundanzen in der 

technischen Infrastruktur 

Technische und organisatorische 

Vorgaben für 

Serverräume 

M 1.62 Brandschutz von 

Patchfeldern 

M 2.17 

(A) 

M 2.21 

(A) 

Zutrittsregelung und 

-kontrolle 

X 

X Dies wurde bislang als unnötig teuer 

eingestuft. 

X Es werden keine Ersatzgeräte vorrätig 

gehalten, da der IT-Lieferant die 

Lieferung von Ersatzgeräten 

innerhalb von 4 Stunden vertraglich 

zugesichert hat. 

X 

X Die verwendeten Abschottungen 

entsprechen den Anforderungen der 

Funktionserhaltsklasse E 90. 

X Für Zugangsregelungen gilt die 

betriebliche Anweisung Nr. 26. 

Rauchverbot X Laut Betriebsanweisung Nr. 19; im 

Raum befinden sich zusätzlich 

Rauchverbotsschilder. 

Seite 42


6.4 Beispiel II aus Schicht 3: 

B 3.101 Allgemeiner Server 

Der Baustein B 3.101 Allgemeiner Server beschreibt die 

generellen IT-Sicherheitsmaßnahmen für Server. Er ist 

gesondert für alle Server der RECPLAST GmbH 

anzuwenden. Als Beispiel dient hier die Erhebung für den 

Datenbankserver Finanzbuchhaltung. 

IT-System: S5, DB-Server Finanzbuchhaltung 


Baustein: B 3.101 Allgemeiner Server 



Befragte Personen: A. Admin (Leiter IT) 

Maßnahmen: 

Maßnahme 

(erforderl. 

ab Stufe) 

M 1.28 

(B) 

M 2.22 

(A) 

M 2.31 

(A) 

M 2.32 

(Z) 

M 2.35 

(B) 

M 2.138 

(B) 

M 2.273 

(A) 

M 2.314 

(Z) 

Name 

Lokale unterbrechungsfreie 

Stromversorgung 

Hinterlegen des 

Passwortes 

Dokumentation der 

zugelassenen Benutzer 

und Rechteprofile 

Einrichtung einer 

eingeschränkten 

Benutzerumgebung 

Informationsbeschaffung 

über Sicherheitslücken des 

Systems 

entbehrlich 


Bemerkung/ 


X USV ist angeschlossen. 

X Bislang ist die Hinterlegung von 

Passwörtern nicht geregelt. 

X Eine entsprechende aktuelle 

Dokumentation ist vorhanden. 

X Berechtigte Benutzer haben nur 

Zugriff auf die Datenbank, ansonsten 

auf keine Systemressourcen. 

X Relevante Newsletter sind abonniert 

und werden ausgewertet. 

Strukturierte Datenhaltung X Server wird ausschließlich als 

Datenbank-Server genutzt. Die 

Benutzer legen keine Dateien ab. 

Zeitnahes Einspielen 

sicherheitsrelevanter 

Patches und Updates 

Verwendung von 

hochverfügbaren 

Architekturen für Server 

X Aktuelle Patches werden zeitnah 

eingespielt. 

X Der Server stellt keine hohen 

Verfügbarkeitsanforderungen. 

Seite 43

Maßnahme 

(erforderl. 

ab Stufe) 

M 2.315 

(A) 

M 2.316 

(A) 

M 2.317 

(C) 

M 2.318 

(A) 

M 2.319 

(C) 

M 2.320 

(A) 

M 4.7 

(A) 

M 4.15 

(A) 

M 4.16 

(A) 

M 4.17 

(A) 

M 4.24 

(A) 

M 4.40 

(C) 

M 4.93 

(B) 

M 4.237 

(A) 

M 4.238 

(A) 





Planung des Servereinsatzes 

Festlegen einer Sicherheitsrichtlinie 

für einen 

Server 

Beschaffungskriterien für 

einen Server 

Sichere Installation eines 

Servers 

X Die Einführung des Servers wurde 

angemessen geplant. Diesbezügliche 

Dokumentation liegt vor. 

X Das Planungsdokument enthält eine 

entspechende Sicherheitsrichtlinie. 

X Das System ist seit 2 Jahren im 

Einsatz. Neuanschaffung ist derzeit 

nicht geplant. 

X System wurde konkret untersucht: 

Kriterien sind erfüllt. 

Migration eines Server X Derzeit nicht aktuell 

Geregelte Außerbetriebnahme 

eines Servers 

Änderung voreingestellter 

Passwörter 

X Maßnahme steht derzeit nicht an. 

Vergleichbare Anforderungen sind 

jedoch in einer allgemeinen 

Dienstanweisung zur Aussonderung 

von IT-Systemen enthalten 

X Default-Passwörter wurden bei der 

Installation der Software geändert. 

Gesichertes Login X Die technischen Möglichkeiten des 

Systems für den Zugriffsschutz 

werden genutzt (z. B. Sperrung eines 

Accounts nach dreimaliger 

Fehleingabe des Passworts). 

Zugangsbeschränkungen 

für Accounts und / oder 

Terminals 

Sperren und Löschen nicht 

benötigter Accounts und 

Terminals 

Sicherstellung einer 

konsistenten 

Systemverwaltung 

Verhinderung der 

unautorisierten Nutzung 

des Rechnermikrofons 

Regelmäßige 

Integritätsprüfung 

Sichere Grundkonfiguration 

eines IT-Systems 

Einsatz eines lokalen 

Paketfilters 

X Zugriffsmöglichkeiten für berechtigte 

Benutzer sind auf die regulären 

Arbeitszeiten begrenzt. 

X Es gibt eine Verfahrensanweisung für 

das Anlegen und Löschen von 

Benutzeraccounts. Diese wird auch 

beachtet. 

X Änderungen werden dokumentiert. 

X An den Rechner kann kein Mikrofon 

angeschlossen werden. 

X Die Integrität wichtiger Dateien wird 

wöchentlich automatisiert geprüft. 

X 

X 

Seite 44

Maßnahme 

(erforderl. 

ab Stufe) 

M 4.239 

(A) 

M 4.240 

(Z) 

M 5.8 

(B) 

M 5.9 

(A) 

M 5.10 

(A) 

M 5.37 

(B) 

M 6.24 

(A) 

M 6.96 

(A) 





Sicherer Betrieb eines 

Servers 

Einrichten einer Testumgebung 

für einen 

Server 

Regelmäßiger Sicherheitscheck 

des Netzes 

X Anforderungen werden erfüllt. 

X Server ist im Einsatz; Erweiterungen 

sind nicht geplant. 

X Die sicherheitsrelevanten Einstellungen 

des Servers werden wöchentlich 

mit Hilfe eines Scanners überprüft. 

Protokollierung am Server X Bei sicherheitskritischen Zugriffen 

auf den Server werden die 

Administratoren automatisiert 

informiert, ansonsten werden die 

Protokolle wöchentlich ausgewertet. 

Restriktive Rechtevergabe X 

Einschränken der Peer-to- 

Peer-Funktionalitäten in 

einem servergestützten 

Netz 

Erstellen eines Notfall- 

Bootmediums 

Notfallvorsorge für einen 

Server 

X Auf dem Server sind keine überflüssigen 

Freigaben eingerichtet 

worden. 

X Medium wurde erstellt; Funktionieren 

wurde getestet. 

X Handlungsanweisung liegt vor. 

Seite 45


6.5 Beispiel II aus Schicht 3: 

B 3.106 Server unter 


Der Baustein B 3.106 Server unter Windows 2000 

beschreibt die Maßnahmen, die für einen Server mit 

diesem Betriebssystem spezifisch sind. Er ist gesondert für 

alle Server der RECPLAST GmbH anzuwenden. Als 

Beispiel dient hier die Erhebung für den Datenbankserver 

Finanzbuchhaltung. 

IT-System: S5, DB-Server Finanzbuchhaltung 


Baustein: B 3.106 Windows 2000 Server 




Maßnahmen: 

Maßnahme 

(erforderl. 

ab Stufe) 

M 2.227 

(A) 

M 2.228 

(A) 

M 2.229 

(A) 

M 2.230 

(A) 

M 2.231 

(A) 

M 2.232 

(B) 

M 2.233 

(B) 

Name 

Planung des Windows 

2000 Einsatzes 

Festlegen einer Windows 

2000 Sicherheitsrichtlinie 

Planung des Active 

Directory 

Planung der Active 

Directory-Administration 

Planung der 

Gruppenrichtlinien unter 


Planung der Windows 

2000 CA-Struktur 

Planung der Migration von 

Windows NT auf 


entbehrlich 


Bemerkung/ 


X Die Planungsphase ist seit Längerem 

abgeschlossen. Die Maßnahme ist 

derzeit nicht relevant. 

X Die vorhandene Sicherheitsrichtlinie 

deckt die wesentlichen Aspekte ab. 

X In der Dokumentation, die im Basis- 

Sicherheitscheck zu B 1.9 Hard- und 

Software-Management erwähnt wird 

(siehe dort M 2.25), sind die 

wesentlichen Aspekte abgedeckt. 

X 

X 

X Die Windows 2000 CA wird nicht 

genutzt. 

X Die Migration ist schon seit 

Längerem abgeschlossen. 

Seite 46

Maßnahme 

(erforderl. 

ab Stufe) 

M 3.27 

(A) 

M 4.48 

(A) 

M 4.56 

(C) 

M 4.75 

(A) 

M 4.136 

(A) 

M 4.137 

(A) 

M 4.138 

(A) 

M 4.139 

(A) 

M 4.140 

(A) 

M 4.141 

(A) 

M 4.142 

(B) 

M 4.143 

(B) 

M 4.144 

(B) 

M 4.145 

(A) 

M 4.146 

(A) 

M 4.147 

(Z) 





Schulung zur Active 

Directory-Verwaltung 

Passwortschutz unter 

Windows NT/2000/XP 

Sicheres Löschen unter 

Windows-Betriebssystemen 

Schutz der Registrierung 

unter 

Windows NT/2000/XP 

Sichere Installation von 


Sichere Konfiguration von 


Konfiguration von 

Windows 2000 als 

Domänen-Controller 

Konfiguration von 

Windows 2000 als Server 

Sichere Konfiguration 

wichtiger Windows 2000 

Dienste 

Sichere Konfiguration des 

DDNS unter 



WINS unter 



DHCP unter 


Nutzung der 

Windows 2000 CA 

Sichere Konfiguration von 

RRAS unter 


Sicherer Betrieb von 

Windows 2000/XP 

Sichere Nutzung von EFS 

unter Windows 2000/XP 

X Die Administratoren wurden bei 

Einführung des Systems umfassend 

geschult. 

X Auf dem Rechner ist ausschließlich 

Windows 2000 installiert. Die Regeln 

für das sichere Löschen werden 

beachtet. 

X 

X 

X 

X Dieser Rechner wird nicht als 

Domänen-Controller genutzt. 

X Die Empfehlungen (z. B. die Deaktivierung 

nicht benötigter Dienste) sind 

umgesetzt. 

X 

X 

X Dienst wird nicht benötigt und ist 

deaktiviert. 

X 

X Dienst wird nicht genutzt. 

X Dienst wird nicht genutzt und ist 

deaktiviert. 

X 

X 

Seite 47

Maßnahme 

(erforderl. 

ab Stufe) 

M 4.148 

(B) 

M 4.149 

(A) 

M 5.89 

(A) 

M 5.90 

(Z) 

M 6.43 

(Z) 

M 6.76 

(C) 

M 6.77 

(A) 

M 6.78 

(A) 


Überwachung eines 


Systems 




Datei- und Freigabeberechtigungen 

unter 


Konfiguration des sicheren 

Kanals unter 


Einsatz von IPSec unter 


Einsatz redundanter 

Windows NT/2000 Server 

Erstellen eines Notfallplans 

für den Ausfall eines 

Windows 2000/XP Netzes 

Erstellung von Rettungsdisketten 

für 


Datensicherung unter 


X Die Protokollfunktion des Betriebssystems 

ist für wesentliche Ereignisse 

aktiviert (z. B: An- und Abmeldung, 

Zugriffe auf wichtige Dateien, 

Änderung der Konfiguration); die 

Protokolldateien werden täglich 

überprüft. 

X Nur der Zugriff auf die Datenbank ist 

für die befugten Mitarbeiter auf dem 

Rechner freigegeben. 

X 

X 

X Aufgrund der Verfügbarkeitsanforderungen 

wird ein zweiter 

Server nicht für erforderlich gehalten. 

X Bislang existiert kein Notfallplan für 

das Gesamtnetz und auch nicht 

speziell für diesen Server. 

X Rettungsdisketten sind vorhanden. 

X Datensicherung erfolgt mit spezieller 

Backup-Software. 

Seite 48



B 4.1 Heterogene Netze 

Dieser Baustein ist gemäß Modellierung auf die Teilnetze 

• an Switch 1 (FIBU und Personaldatenverarbeitung), 

• das übrige Netz in Bad Godesberg und 

• das Netz in Beuel 

gesondert anzuwenden. 

Nachfolgend die Dokumentation für das Teilnetz der 

Finanzbuchhaltung und Personaldatenverarbeitung in Bad Godesberg. 

Netz: Teilnetz an Switch 1 (FIBU und Personaldatenverarbeitung) 


Baustein: B 4.1 Heterogene Netze 




Maßnahmen 

Maßnahme 

(erforderl. 

ab Stufe) 

M 2.139 

(A) 

M 2.140 

(Z) 

M 2.141 

(B) 

M 2.142 

(B) 

M 4.7 

(A) 

M 4.79 

(A) 

M 4.80 

(A) 

Name 

Ist-Aufnahme der 

aktuellen Netzsituation 

Analyse der aktuellen 

Netzsituation 

Entwicklung eines 

Netzkonzeptes 

Entwicklung eines Netz- 

Realisierungsplans 


Passwörter 

Sichere Zugriffsmechanismen 

bei lokaler 

Administration 

Sichere Zugriffsmechanismen 

bei 

Fernadministration 

entbehrlich 


X 

X 

Bemerkung/ 


X Im Zusammenhang mit dem Umzug 

der Verwaltung und der damit 

verbundenen Umstrukturierung des 

Netzes wurde ein Konzept entwickelt 

und dokumentiert. 

X Maßnahme ist derzeit nicht aktuell. 

X 

X 

X 

Seite 49

Maßnahme 

(erforderl. 

ab Stufe) 

M 4.81 

(B) 

M 4.82 

(A) 

M 4.83 

(C) 

M 5.2 

(A) 

M 5.7 

(A) 

M 5.13 

(A) 

M 5.60 

(A) 

M 5.61 

(A) 

M 5.62 

(Z) 

M 5.77 

(Z) 

M 6.52 

(A) 

M 6.53 

(Z) 

M 6.54 

(B) 





Audit und Protokollierung 

der Aktivitäten im Netz 

Sichere Konfiguration der 

aktiven Netzkomponenten 

Update/Upgrade von Soft- 

und Hardware im 

Netzbereich 

Auswahl einer geeigneten 

Netz-Topographie 

X 

X 

X Bislang gibt es keine Testumgebung, 

in der Tests der Hard- und Software 

vor ihrem produktiven Einsatz 

möglich sind. 

X Maßnahme vermittelt nur 

Hintergrundwissen 

Netzverwaltung X Netzverwaltung ist zentral geregelt 

Geeigneter Einsatz von 

Elementen zur 

Netzkopplung 

Auswahl einer geeigneten 

Backbone-Technologie 

Geeignete physikalische 

Segmentierung 

Geeignete logische 

Segmentierung 

Bildung von Teilnetzen X 

Regelmäßige Sicherung 

der Konfigurationsdaten 

aktiver Netzkomponenten 

Redundante Auslegung 

der Netzkomponenten 

Verhaltensregeln nach 

Verlust der Netzintegrität 

X Maßnahme vermittelt nur 

Hintergrundwissen 

X 

X 

X 

X 

X Aufgrund der dokumentierten Verfügbarkeitsanforderungen 

ist das Netz 

nicht redundant ausgelegt. Es existieren 

aber Verträge mit dem Lieferanten, 

die im Bedarfsfall einen raschen 

Austausch defekter Komponenten 

ermöglichen. 

Seite 50 

X Bislang gibt es hierzu keine 

definierten Regelungen



B 5.7 Datenbanken 

Dieser Baustein ist gemäß Modellierung auf die beiden 

Datenbankanwendungen A3 (Finanzbuchhaltung) und 

A4 (Auftrags- und Kundenverwaltung) gesondert 

anzuwenden. Nachfolgend die Dokumentation für die 

Anwendung A3 Finanzbuchhaltung. 

IT-Anwendung: A3 Finanzbuchhaltung 


Baustein: B 5.7 Datenbanken 




Maßnahmen 

Maßnahme 

(erforderl. 

ab Stufe) 

M 2.31 

(A) 

M 2.34 

(A) 

M 2.65 

(B) 

M 2.80 

(A) 

M 2.124 

(A) 

M 2.125 

(A) 

M 2.126 

(A) 

Name 


zugelassenen Benutzer 

und Rechteprofile 


Veränderungen an einem 

bestehenden System 

Kontrolle der Wirksamkeit 

der Benutzer-Trennung am 

IT-System 


Anforderungskatalogs für 

Standardsoftware 

Geeignete Auswahl einer 

Datenbank-Software 

Installation und Konfiguration 

einer Datenbank 


Datenbanksicherheitskonzeptes 

entbehrlich 


X 

Bemerkung/ 


X Es existiert zwar eine Dokumentation, 

diese ist aber nicht auf dem neuesten 

Stand. 

X Es existiert zwar eine Dokumentation, 

diese ist aber nicht auf dem neuesten 

Stand. 

X Das gekaufte Produkt entspricht den 

Anforderungen, die vor der Anschaffung 

dokumentiert wurden. 

X Das gekaufte Produkt entspricht den 

Anforderungen, die vor der Anschaffung 

dokumentiert wurden. 

X 

X 

Seite 51

Maßnahme 

(erforderl. 

ab Stufe) 

M 2.127 

(B) 

M 2.128 

(A) 

M 2.129 

(A) 

M 2.130 

(A) 

M 2.131 

(C) 

M 2.132 

(A) 

M 2.133 

(A) 

M 2.134 

(B) 

M 2.135 

(C) 

M 3.18 

(A) 

M 4.7 

(A) 

M 4.67 

(B) 

M 4.68 

(A) 

M 4.69 

(B) 





Inferenzprävention X 

Zugangskontrolle einer 

Datenbank 

Zugriffskontrolle einer 

Datenbank 

Gewährleistung der 

Datenbankintegrität 

Aufteilung von Administrationstätigkeiten 

bei 

Datenbanksystemen 

Regelung für die 

Einrichtung von 

Datenbankbenutzern/ 

-benutzergruppen 

Kontrolle der Protokolldateien 

eines Datenbanksystems 

Richtlinien für Datenbank- 

Anfragen 

Gesicherte Datenübernahme 

in eine Datenbank 

Verpflichtung der 

Benutzer zum Abmelden 

nach Aufgabenerfüllung 


Passwörter 

Sperren und Löschen nicht 

benötigter Datenbank- 

Accounts 

Sicherstellung einer 

konsistenten Datenbankverwaltung 

Regelmäßiger 

Sicherheitscheck der 

Datenbank 

X Zugang ist aufgabenbezogen 

reglementiert. Normale Benutzer 

haben keine direkten SQL-Zugriffe. 

Remote-Zugriffe sind nicht möglich. 

X Zugriffsmöglichkeiten werden 

restriktiv gehandhabt. Zugriffe 

werden protokolliert. 

X 

X 

X Aufgrund der geringen Anzahl an IT- 

Mitarbeitern ist eine Aufteilung wenig 

zweckmäßig. 

X Protokolldateien werden täglich 

kontrolliert. 

X Die Benutzer haben keine Möglichkeit 

für SQL-Abfragen. Nur die 

Standardfunktionalität der Software 

wird genutzt, es gibt keine 

Eigenentwicklungen. 

X Derzeit wird kein Bedarf für 

Datenübernahmen gesehen. 

X Ist in betrieblicher Anweisung 1/2001 

geregelt. 

X 

X 

X Die Administratoren haben zwar 

zusätzliche Benutzerkennungen mit 

geringeren Rechten und sind angehalten 

die Administratorkennung nur 

dann zu benutzen, wenn dies erforderlich 

ist. Diese Anweisung wird 

jedoch häufig nicht beachtet. 

X Sicherheitscheck wird monatlich 

durchgeführt und dokumentiert. 

Seite 52

Maßnahme 

(erforderl. 

ab Stufe) 

M 4.70 

(C) 

M 4.71 

(C) 

M 4.72 

(Z) 

M 4.73 

(C) 

M 5.58 

(B) 

M 6.48 

(A) 

M 6.49 

(A) 

M 6.50 

(A) 

M 6.51 

(B) 





Durchführung einer 

Datenbanküberwachung 

Restriktive Handhabung 

von Datenbank-Links 

Datenbank- 

Verschlüsselung 

Festlegung von Obergrenzen 

für selektierbare 

Datensätze 

Installation von ODBC- 

Treibern 

Verhaltensregeln nach 

Verlust der Datenbankintegrität 

Datensicherung einer 

Datenbank 

Archivierung von 

Datenbeständen 

Wiederherstellung einer 

Datenbank 

X 

X Datenbank-Links werden nicht 

genutzt. 

X 

X Das vergleichsweise geringe Datenvolumen 

macht auf absehbare Zeit 

eine derartige Festlegung entbehrlich. 

X 

X 

X Bislang gibt es hierzu keine 

definierten Regelungen. 

X Es existiert ein Archivierungskonzept. 

Die erforderlichen Fristen 

werden eingehalten. 

Seite 53 

X Es gibt hierzu weder ein Konzept, 

noch praktische Tests.


7 Ergänzende Risikoanalyse 

Immer dann, wenn ein Zielobjekt mindestens eine der folgenden drei Charakteristiken aufweist, ist zu 

prüfen, ob die Standard-Sicherheitsmaßnahmen der IT-Grundschutz-Kataloge hinreichend und 

angemessen sind, um den vorhandenen Risiken zu begegnen: 

• Das Zielobjekt hat einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei 

Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit haben. 

• Das Zielobjekt kann mit den vorhandenen Bausteinen des IT-Grundschutzes nicht hinreichend 

abgebildet (modelliert) werden. 

• Es wird in einer für das Anwendungsgebiet des IT-Grundschutzes untypischen Weise oder 

Einsatzumgebung betrieben. 

Im Rahmen der IT-Grundschutz-Vorgehensweise wird in einer ergänzenden Sicherheitsanalyse 

erwogen, welche Zielobjekte mit Hilfe einer Risikoanalyse genauer untersucht werden sollen. Diese 

ergänzende Risikoanalyse umfasst die Schritte: 

1. Erstellung einer Gefährdungsübersicht 

2. Ermittlung zusätzlicher Gefährdungen 

3. Bewertung der Gefährdungen 

4. Behandlung der Risiken und Maßnahmenauswahl 

5. Konsolidierung des IT-Sicherheitskonzepts 

Diese Schritte werden nachfolgend an einem Beispiel veranschaulicht und zwar dem Zielobjekt C7, 

den Clients in der Entwicklungsabteilung, deren Schutzbedarf bezüglich Vertraulichkeit mit sehr hoch 

bewertet wurde. In diesem Zusammenhang sind ebenfalls die Büroräume zu berücksichtigen, in denen 

diese IT-Systeme untergebracht sind (Räume 2.14 – 2.20 in Bonn-Beuel). 

Weitere Informationen zur ergänzenden Risikoanalyse und zu ihrer Einordnung in die IT- 

Grundschutz-Vorgehensweise finden Sie in Kapitel 4.5 von BSI-Standard 100-2 sowie umfassend in 

dem BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz. 

Seite 54


7.1 Erstellung der Gefährdungsübersicht 

In einem ersten Schritt werden alle Zielobjekte gestrichen, für die gemäß ergänzender 

Sicherheitsanalyse kein Bedarf für eine Risikoanalyse besteht. Anschließend werden aus der Tabelle 

alle Bausteine gestrichen, für die keine Zielobjekte mehr übrig sind. Für die Clients in der 

Entwicklungsabteilung und die Räume, in denen sie untergebracht sind, ergibt sich damit nach diesen 

beiden Schritten der folgende Tabellenauszug. 

Nr. Titel des Bausteins Zielobjekt 

B 1.0 IT-Sicherheitsmanagement Gesamte Organisation 

B 1.1 Organisation Gesamte Organisation 

B 1.2 Personal Gesamte Organisation 

B 1.4 Datensicherungskonzept Gesamte Organisation 

B 1.6 Computer-Virenschutzkonzept Gesamte Organisation 

B 1.7 Kryptokonzept Gesamte Organisation 

B 1.8 Behandlung von Sicherheitsvorfällen Gesamte Organisation 

B 1.9 Hard- und Software-Management Gesamte Organisation 

B 1.10 Standardsoftware Gesamte Organisation 

B 1.13 Sicherheitssensibilisierung und -Schulung Gesamte Organisation 

B 2.3 Büroraum Räume 2.14 – 2.20 in Bonn-Beuel 

B 3.201 Allgemeiner Client C7 Clients in Entwicklungsabteilung 

B3.209 Windows 2000 Client C7 Clients in Entwicklungsabteilung 

Anmerkungen: Die meisten Bausteine der Schicht 1 gelten übergeordnet für beide Zielobjekte. Daher 

wurden sie nicht aus der Tabelle gestrichen. Die in diesen Bausteinen enthaltenen Gefährdungen sind 

folglich auch bei den nachfolgenden Schritten zu berücksichtigen. Damit die Darstellung 

übersichtlicher wird, wurde in den nachfolgenden Tabellen jedoch darauf verzichtet, die in den 

Bausteinen der Schicht 1 enthaltenen Gefährdungen aufzuführen. 

Anschließend werden den Zielobjekten die Gefährdungen aus den verbliebenen Bausteinen 

zugeordnet. Dabei wird darauf geachtet, dass für ein Zielobjekt keine Gefährdung doppelt aufgeführt 

wird. Ferner werden die Gefährdungen werden thematisch sortiert. In den resultierenden 

Gefährdungsübersichten für die einzelnen Zielobjekte sollte zusätzlich der jeweilige Schutzbedarf 

bezüglich der drei Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit vermerkt werden. Die 

folgenden Tabellen zeigen Auszüge der Gefährdungsübersichten für die ausgesuchten Zielobjekte. 

Zielobjekt: Räume B 2.14 – 2.20 in Bonn-Beuel 

Vertraulichkeit: 

Integrität: 

Verfügbarkeit: 

sehr hoch 

normal 

normal 

G 2.1 Fehlende oder unzureichende Regelungen 

G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen 

Seite 55



G 2.14 Beeinträchtigung der IT-Nutzung durch ungünstige Arbeitsbedingungen 

G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal 

G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör 

G 5.2 Manipulation an Daten oder Software 

G 5.4 Diebstahl 

G 5.5 Vandalismus 

Zielobjekt: C7 Clients in der Entwicklungsabteilung 


Integrität: 


sehr hoch 

normal 

normal 

G 1.1 Personalausfall 

G 1.2 Ausfall des IT-Systems 

G 1.4 Feuer 

G 1.5 Wasser 

G 1.8 Staub, Verschmutzung 


G 2.7 Unerlaubte Ausübung von Rechten 

G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz 

G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern 

G 2.24 Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes 

G 2.25 Einschränkung der Übertragungs- oder Bearbeitungsgeschwindigkeit durch Peer-to-Peer- 

Funktionalitäten 

G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen 

G 3.2 Fahrlässige Zerstörung von Gerät oder Daten 

G 3.3 Nichtbeachtung von IT-Sicherheitsmaßnahmen 

G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal 

G 3.8 Fehlerhafte Nutzung des IT-Systems 

G 3.9 Fehlerhafte Administration des IT-Systems 

G 3.17 Kein ordnungsgemäßer PC-Benutzerwechsel 

G 4.1 Ausfall der Stromversorgung 

G 4.7 Defekte Datenträger 

G 4.8 Bekanntwerden von Softwareschwachstellen 

G 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen 

Seite 56



G 4.13 Verlust gespeicherter Daten 

G 4.23 Automatische CD-ROM-Erkennung 

G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör 

G 5.2 Manipulation an Daten oder Software 

G 5.4 Diebstahl 

G 5.7 Abhören von Leitungen 

G 5.9 Unberechtigte IT-Nutzung 

G 5.18 Systematisches Ausprobieren von Passwörtern 

G 5.20 Missbrauch von Administratorrechten 

G 5.21 Trojanische Pferde 

G 5.23 Computer-Viren 

G 5.40 Abhören von Räumen mittels Rechner mit Mikrofon 

G 5.43 Makro-Viren 

G 5.52 Missbrauch von Administratorrechten im Windows NT/2000 System 

G 5.71 Vertraulichkeitsverlust schützenswerter Informationen 

G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows NT/2000/XP Systemen 

G 5.83 Kompromittierung kryptographischer Schlüssel 

G 5.85 Integritätsverlust schützenswerter Informationen 

7.2 Ermittlung zusätzlicher Gefährdungen 

Im zweiten Schritt ist zu prüfen, ob weitere Gefährdungen zu berücksichtigen sind. Zu betrachten sind 

in diesem Zusammenhang höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen 

technisches Versagen, vorsätzliche Angriffe von Außen und Innentätern können mögliche Ursachen 

sein. Die Gefährdungsübersichten sind um die gefundenen Gefährdungen zu ergänzen. 

Die Diskussion im IT-Sicherheitsmanagementteam bei RECPLAST ergab, dass für das Schutzziel 

Vertraulichkeit, die Gefährdungskataloge bereits vielfältige Bedrohungsquellen berücksichtigen – und 

zwar sowohl in Bezug auf die Sicherheit der Räumlichkeiten als auch auf die der IT-Systeme. 

Zusätzlich wurden die folgenden beiden Gefahrenquellen identifiziert: 

• unzureichender Zugangsschutz, der dazu führen kann, dass Betriebsfremde aber auch eigene 

Mitarbeiter Einsicht in 

• Ausspionieren der elektromagnetischen Abstrahlung der IT-Systeme 

Da die sich daraus ergebenden Gefährdungen in den berücksichtigten Bausteinen bereits genannt sind, 

wurde die Gefährdungsübersicht zu den Räumen nicht erweitert. Hingegen wurde die 

Gefährdungsübersicht zu den IT-Systemen um die Gefährdung Abhören der elektromagnetischen 

Abstrahlung von IT-Komponenten ergänzt (siehe folgende Tabelle). 

Seite 57


Zielobjekt: C 7 Clients in Entwicklungsabteilung 


Integrität: 


sehr hoch 

normal 

normal 

G 5.B1 Abhören der elektromagnetischen Abstrahlung von IT-Komponenten 

Die Informationen auf den Clients können das Ziel von Industriespionage sein. Die 

elektromagnetische Abstrahlung der Geräte kann für derartige Zwecke ausgespäht werden. 

Diese Gefährdung ist in den Grundschutzkatalogen nicht aufgeführt. 

7.3 Bewertung der Gefährdungen 

Für jede Gefärdung ist zu prüfen, ob sie durch die bereits umgesetzten oder geplanten Maßnahmen 

abgedeckt ist oder nicht. Dabei müssen Sie auf die Vollständigkeit, Mechanismenstärke und 

Zuverlässigkeit der Maßnahmen achten. Das Ergebnis dieser Risikobewertung dokumentieren Sie 

folgendermaßen in der Gefährdungsübersicht: 

• Mit OK=J drücken Sie aus, dass die umgesetzten oder beabsichtigten Sicherheitsmaßnahmen 

einen ausreichenden Schutz gegen die jeweilige Gefährdung bieten. 

• Mit OK=“N drücken Sie aus, dass der Schutz gegen die betreffende Gefährdung noch nicht 

ausreicht. 

Nachfolgend sind Auszüge der Gefährdungstabellen für die betrachteten Zielobjekte abgebildet, in 

denen dokumentiert ist, wie die Gefährdungen bewertet wurden. 



Integrität: 


sehr hoch 

normal 

normal 


Der Zugang zu den Räumenist bislang nicht ausreichend geregelt. Die bestehende Regelung 

reicht zwar für alle anderen Räumlichkeiten aus, wird aber den besonderen Anforderungen 

der Entwicklungsabteilung nicht gerecht. 

OK=N 

G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen OK=N 

Aufgrund der unzureichenden Regelungen können unbefugte Zutritte nicht ausgeschlossen 

werden. 

G 2.14 Beeinträchtigung der IT-Nutzung durch ungünstige Arbeitsbedingungen OK=J 

Gefährdung ist für das Schutzziel Vertraulichkeit nicht relevant. 

G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal OK=N 

Die bisherigen Regelungen für Reinigungs- und Fremdpersonal werden den besonderen 

Anforderungen dieser Räume nicht gerecht. Insbesondere sollte ein unbeaufsichtigter 

Zugang von Reinigungs- oder Wartungspersonal ausgeschlossen werden. 

G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör OK=N 

Aufgrund des noch nicht ausreichenden Zugangs- und Zugriffsschutzes können 

Manipulationen nicht ausgeschlossen werden. 

Seite 58



G 5.2 Manipulation an Daten oder Software OK=N 

Siehe vorstehende Gefährdung 

G 5.4 Diebstahl OK=N 

Wenn der Diebstahl eines der IT-Systeme gelingt, ist die Vertraulichkeit der gespeicherten 

Daten nicht mehr im erforderlichen Umfang gewährleistet. Der Zugangsschutz zu den 

Räumen ist verbesserungsbedürftig. 

G 5.5 Vandalismus OK=J 

Diese Gefährdung betrifft nicht das Schutzziel Vertraulichkeit. 



Integrität: 


sehr hoch 

normal 

normal 

G 1.1 Personalausfall OK=J 

Die Gefährdung bedroht nicht die Vertraulichkeit der Daten auf den Rechnern. 

G 1.2 Ausfall des IT-Systems OK=J 


G 1.4 Feuer OK=J 


G 1.5 Wasser OK=J 


G 1.8 Staub, Verschmutzung OK=J 


G 2.1 Fehlende oder unzureichende Regelungen OK=N 

Aufgrund der noch nicht ausreichend geregelten Zutrittsregelungen zu den Räumen gibt es 

Probleme für die Vertraulichkeit der Daten. 

G 2.7 Unerlaubte Ausübung von Rechten OK=J 

Die vorhandenen Regelungen werden als ausreichend angesehen. 

G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz OK=J 


G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern OK=J 


G 2.24 Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes OK=J 

Die IT-Systeme sind gegen die in der Gefährdung beschriebenen Angriffe angemessen 

geschützt. 

Seite 59 

OK=J



G 2.25 Einschränkung der Übertragungs- oder Bearbeitungsgeschwindigkeit durch Peer-to-Peer- 

Funktionalitäten 

Die Gefährdung ist für das Schutzziel nicht relevant. (Unabhängig davon sind keine Peer-to- 

Peer-Funktionen aktiv.) 

G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen OK=J 

In die Rechner sind nur übliche Netzwerkkarten eingebaut. 

G 3.2 Fahrlässige Zerstörung von Gerät oder Daten OK=J 


G 3.3 Nichtbeachtung von IT-Sicherheitsmaßnahmen OK=J 

Der Gefährdung soll durch Schulungs- und Sensibilisierungsmaßnahmen begegnet werden. 

G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal OK=N 

Die bisherigen Regelungen für Reinigungs- und Fremdpersonal werden den besonderen 

Anforderungen dieser Räume nicht gerecht. Insbesondere sollte ein unbeaufsichtigter 

Zugang von Reinigungs- oder Wartungspersonal ausgeschlossen werden. 

G 3.8 Fehlerhafte Nutzung des IT-Systems OK=J 

Fehler können nie ausgeschlossen werden. Die betreffenden Mitarbeiterinnen und 

Mitarbeiter sind aber sehr gut qualifiziert. 

G 3.9 Fehlerhafte Administration des IT-Systems OK=J 

Der Gefährdung wird ausreichend vorgebeugt. 

G 3.17 Kein ordnungsgemäßer PC-Benutzerwechsel OK=J 

Der Benutzerwechsel ist ausreichend geregelt. 

G 4.1 Ausfall der Stromversorgung OK=J 

Die Gefährdung betrifft nicht das Schutzziel Vetraulichkeit. 

G 4.7 Defekte Datenträger OK=J 


G 4.8 Bekanntwerden von Softwareschwachstellen OK=J 

Das Patch-Management ist gut organisiert. 

G 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen OK=J 

Die in der Gefährdung beschriebenen Dienste sind auf den Rechnern nicht aktiviert. 

G 4.13 Verlust gespeicherter Daten OK=J 


G 4.23 Automatische CD-ROM-Erkennung OK=J 

Die automatische CD-ROM-Erkennung ist deaktiviert. 

G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör OK=N 

Manipulationen der IT-Systeme, die zu Vertraulichkeitsverlusten führen können, sind zwar 

Seite 60 

OK=J



sehr aufwändig. Sie können jedoch nicht mit hinreichender Sicherheit ausgeschlossen 

werden. 

G 5.2 Manipulation an Daten oder Software OK=N 

Manipulationen der IT-Systeme, die zu Vertraulichkeitsverlusten führen können, sind zwar 

sehr aufwändig. Sie können jedoch nicht mit hinreichender Sicherheit ausgeschlossen 

werden. 

G 5.4 Diebstahl OK=N 

Der Diebstahl eines Geräts kann dazu führen, dass die auf ihm gespeicherten Informationen 

missbraucht werden können. Der Zugangsschutz zu den Räumen kann verbessert werden. 

G 5.7 Abhören von Leitungen OK=N 

Ein Abhören der Leitungen kann nicht mit hinreichender Wahrscheinlichkeit ausgeschlossen 

werden. 

G 5.9 Unberechtigte IT-Nutzung OK=N 

Der Zugriff auf ein IT-Systeme ist nur mit Passwort möglich. Das Bekanntwerden von 

Passwörtern kann nicht gänzlich ausgeschlossen werden. 

G 5.18 Systematisches Ausprobieren von Passwörtern OK=J 

Ein Missbrauch setzt voraus, dass die Passwortdatei in fremde Hände gelangt und 

anschließend ein physischer Zugriff auf den Rechner möglich ist. In dieser Kombination 

wird diese Gefährdung als eher unwahrscheinlich angesehen. 

G 5.20 Missbrauch von Administratorrechten OK=J 

Die technischen Möglichkeiten, mit denen sich derartige Missbräuche verhindern oder 

erschweren lassen, werden genutzt. 

G 5.21 Trojanische Pferde OK=J 

Den Risiken wird angemessen vorgebeugt (aktueller Scanner, restriktive Internet-Nutzung, 

organisatorische Vorschriften). 

G 5.23 Computer-Viren OK=J 



G 5.40 Abhören von Räumen mittels Rechner mit Mikrofon OK=J 

Die Rechner sind nicht mit einem Mikrofon ausgestattet 

G 5.43 Makro-Viren OK=J 



G 5.52 Missbrauch von Administratorrechten im Windows NT/2000/XP System OK=J 



G 5.71 Vertraulichkeitsverlust schützenswerter Informationen OK=N 

Vertraulichkeitsverluste drohen insbesondere durch unzureichenden Zugangsschutz in die 

Räume und damit mögliche „zufällige“ Blicke auf Bildschirme, Unterlagen usw. 

Seite 61



G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows NT/2000/XP Systemen OK=J 



G 5.83 Kompromittierung kryptographischer Schlüssel OK=J 



G 5.85 Integritätsverlust schützenswerter Informationen OK=J 

Die Gefährdung betrifft nicht das Schutzziel Vertraulichkeit. 

7.4 Behandlung der Risiken und Maßnahmenauswahl 

Für alle Gefährdungen, die nicht abgedeckt sind, ist zu überlegen, wie diese zu behandeln sind. Als 

Handlungsalternativen kommen infrage: 

• A: die Risiko-Reduktion durch weitere Sicherheitsmaßnahmen, 

• B: die Risiko-Reduktion durch Umstrukturierung, 

• C: die Risiko-Übernahme, 

• D: der Risiko-Transfer. 

Zielobjekt: Räume 2.14 – 2.20 in Bonn-Beuel 


Integrität: 


sehr hoch 

normal 

normal 


„B“ Umstrukturierung: 

Die bestehenden Regelungen zum Zugangsschutz werden so geändert, dass auch Betriebsangehörige, 

Wartungsarbeiter und Reinigungskräfte die Räume der Entwicklungsabteilung nicht mehr unbeaufsichtigt 

betreten können. Für die Umsetzung der Regelung werden die entsprechenden Büroräume so verlegt, dass 

sie durch eine flurseitig mit einem Blindknauf versehene Zwischentür von den anderen Räumen abgetrennt 

sind. 

G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen 

usw. 

Siehe unter G 2.1. 

Seite 62


Zielobjekt: C7 Clients in Entwicklungsabteilung 


Integrität: 


sehr hoch 

normal 

normal 

G 5.B1 Abhören der elektromagnetischen Abstrahlung von IT-Komponenten 

„A“ 

M 6.B1 

usw. 

Zusätzliche Sicherheitsmaßnahme 

Verringern der elektronmagnetischen Abstrahlung von IT-Geräten 

Die elektromagnetische Abstrahlung der vorhandenen IT-Systeme wird von einer darauf spezialisierten 

Firma so weit reduziert, dass sie nicht mehr außerhalb der Büroräume wahrnehmbar ist. 

Mit den getroffenen Entscheidungen wird der IT-Sicherheitsprozess fortgesetzt. Dies bedeutet 

insbesondere, dass die zusätzlichen Maßnahmen in das IT-Sicherheitskonzept zu integrieren sind (= 

Konsolidierung des IT-Sicherheitskonzepts) sowie deren Umsetzung zu planen ist. Gegebenenfalls ist 

außerdem in einem erneuten Basis-Sicherheitscheck der Umsetzungsstatus der neuen oder geänderten 

Maßnahmen zu prüfen. 

Seite 63


8 Realisierungsplanung 

Insbesondere dann, wenn viele Sicherheitsmaßnahmen umzusetzen sind, ist es hilfreich, wenn Sie sich 

bei der Realisierungsplanung an die folgende Reihenfolge halten: 

1. Ergebnisse ichten 

Sichten Sie zunächst die Ergebnisse des Basis-Sicherheitschecks und ggf. einer ergänzenden 

Sicherheitsanalyse und stellen Sie die noch nicht oder nur teilweise realisierten 

Sicherheitsmaßnahmen tabellarisch zusammen. 

2. Maßnahmen konsolidieren 

Prüfen und konkretisieren Sie die Maßnahmen im Zusammenhang. Dies reduziert 

gegebenenfalls die umzusetzenden Maßnahmen. Das Ergebnis ist ein konsolidierter 

Realisierungsplan. 

3. Aufwand schätzen 

Schätzen Sie den finanziellen und personellen Aufwand, der mit der Umsetzung der einzelnen 

Maßnahmen verbunden ist. Unterscheiden Sie dabei zwischen dem einmaligen Aufwand bei der 

Einführung einer Maßnahme und dem wiederkehrenden Aufwand im laufenden Betrieb. 

4. Umsetzungsreihenfolge festlegen 

Legen Sie eine sinnvolle Umsetzungsreihenfolge fest. Berücksichtigen Sie dabei sowohl die 

sachlogischen Zusammenhänge der einzelnen Maßnahmen, als auch deren Wirkung auf das 

Sicherheitsniveau des IT-Verbunds. 

5. Verantwortliche bestimmen 

Entscheiden Sie, bis zu welchem Termin eine Maßnahme umzusetzen ist und wer für die 

Realisierung und deren Überwachung zuständig sein soll. 

6. Begleitende Maßnahmen festlegen 

Die praktische Wirksamkeit der Sicherheitsmaßnahmen hängt von der Akzeptanz und dem 

Verhalten der betroffenen Mitarbeiter ab. Planen Sie daher Schritte zu ihrer Sensibilisierung und 

Schulung ein. 

Die Schritte 1, 3 und 4 können entfallen, falls nur wenige Maßnahmen zu realisieren sind oder die 

Maßnahmen insgesamt nur geringe personelle und finanzielle Ressourcen benötigen. 

Weitere Informationen zur Realisierungsplanung finden Sie in Kapitel 4.6 der Beschreibung der IT- 

Grundschutz-Vorgehensweise (BSI-Standard 100-2). 

8.1 Konsolidierter Realisierungsplan 

Einige der fehlenden Maßnahmen können kurzfristig korrigiert werden und bedürfen daher keiner 

umfangreichen Realisierungsplanung. So sollten Mängel in einer Dokumentation in der Regel umgehend 

und leicht behebbar sein (siehe die unzureichend umgesetzten Maßnahmen 2.25, 2.31 und 2.34 

zum Zielobjekt A3 Finanzbuchhaltung sowie Maßnahme 2.25 zum Zielobjekt DB-Server Finanzbuchhaltung). 

Wer derartige Maßnahmen bis wann umzusetzen hat und wer überprüft, ob dies tatsächlich 

geschehen ist, kann unkompliziert bereits beim Basis-Sicherheitscheck dokumentiert werden. Diese 

und vergleichbare Maßnahmen werden daher in der Darstellung nicht weiter berücksichtigt. 

Die folgenden Tabellen enthalten alle übrigen Maßnahmen, die im Basis-Sicherheitscheck als nicht 

oder nur teilweise umgesetzt identifiziert wurden. Sie beschränken sich ferner auf die exemplarisch 

ausgewählten Zielobjekte und Bausteine und geben den Stand der Realisierungsplanung nach dem 

Schritt 3 (Konsolidierung der Maßnahmen). 

Seite 64


Legende: AT = Arbeitstage 

a) Einmalige Investitionskosten b) Einmaliger Personalaufwand 

c) Wiederkehrende Kosten d) Wiederkehrender Personalaufwand 

Maßnahme 

(erforderlich ab Stufe) 

M 2.195 Erstellung eines 


(A) 

M 2.196 Umsetzung des 

IT-Sicherheitskonzepts nach einem 

Realisierungsplan 

(A) 

M 2.197 Erstellung eines Schulungskonzepts 

zur IT-Sicherheit 

(B) 

M 2.198 Sensibilisierung der 

Mitarbeiter für IT-Sicherheit 

(A) 

M 2.199 Aufrechterhaltung der IT- 


(A) 

M 2.201 Dokumentation des IT- 


(B) 

Maßnahme 


M. 3.5 Schulung zu IT-Sicherheitsmaßnahmen 

(A) 

Maßnahme 


M 1.3 Angepasste Aufteilung der 

Stromkreise 

(A) 

Zielobjekt: Gesamte Organisation RECPLAST GmbH 


Aufwand Bemerkungen 

a) 0,- Euro 

b) 40 AT 

c) 0,- Euro 

d) 5 AT/Jahr 

a) 0,- Euro 

b) 20 AT 

c) 0,- Euro 

d) 0 AT/Jahr 

a) 0,- Euro 

b) 2 AT 

c) 0,- Euro 

d) 1 AT/Jahr 

a) 800,- Euro 

b) 0,5 AT 

c) 800,- Euro 

d) 0,5 AT 

a) 0,- Euro 

b) 0 AT 

c) 0,- Euro 

d) 5 AT/Jahr 

a) 0,- Euro 

b) 5 AT 

c) 0,- Euro 

d) 2 AT/Jahr 

Projektlaufzeit 33. – 46. Kalenderwoche parallel zu anderen 

Arbeiten; regelmäßiger Aufwand für die Fortschreibung des 

Konzepts ist berücksichtigt. 

Umsetzung in Arbeitsteilung 

Wird bei der Erarbeitung des IT-Sicherheitskonzepts 

berücksichtigt. Das Schulungskonzept soll jährlich aktualisiert 

werden. 

Durchführung mit externen Dozenten; es sind jährliche 

Veranstaltungen geplant. 

IT-Sicherheitsrevision in der 20. Kalenderwoche des nächsten 

Jahres, Aktualisierung spätestens zwei Jahre danach geplant. 

In elektronischen Dokumenten, die von den Mitarbeitern 

jederzeit abgerufen werden können. 



a) 800,- Euro 

b) 8 AT 

c) 800,- Euro 

d) 4 AT/Jahr 

Die Administratoren erhalten jährliche Schulungen durch 

externe Dozenten. Die Benutzer werden von diesen in den 

sicheren Umgang mit den jeweiligen Anwendungen 

eingearbeitet. 

Zielobjekt: BG, R. 1.02 Serverraum 



a) 0,- Euro 

b) 0,3 AT 

c) 0,- Euro 

d) 0,3 AT/Jahr 

Die Elektroinstallation wird von der Haustechnik geprüft. Eine 

mindestens jährliche Überprüfung wird festgelegt. 

Seite 65

Maßnahme 


M 1.7 Handfeuerlöscher 

(A) 

M 1.10 Verwendung von 

Sicherheitstüren und Fenstern 

(C) 

M 1.24 Vermeidung von 

wasserführenden Leitungen (C) 

M 1.31 Fernanzeige von Störungen 

(Z) 

Z1: Einbau von Wasser ableitenden 

Blechen und Installation eines 

Wassermelders mit Sirene 

Maßnahme 


M 2.22 Hinterlegen des Passwortes 

(A) 

Maßnahme 


M 6.76 Erstellen eines Notfallplans 

für den Ausfall des Windows 2000 

Netzes 

(C) 


Zielobjekt: BG, R. 1.02 Serverraum 



a) 0,- Euro 

b) 0,3 AT 

c) 0,- Euro 

d) 0 AT/Jahr 

a) 2000,- Euro 

b) 2 AT 

c) 0,- Euro 

d) 0 AT/Jahr 

a) 20.000,- Euro 

b) 12 AT 

c) 0,- Euro 

d) 0 AT/Jahr 

a) 300,- Euro 

b) 2 AT 

c) 100,- Euro 


a) 500,- Euro 

b) 1 AT 

c) 0,- Euro 

d) 0 AT/Jahr 

Alle Mitarbeiter mit Zugangsberechtigung zum Serverraum 

sollen in die Handhabung der vorhandenen CO 2-Löscher 

eingewiesen werden. 

Der Einbau eines Sicherheitsfensters zum Serverraum und eines 

Außengitters empfiehlt sich, da der Raum im Erdgeschoss liegt 

und insgesamt einen hohen Schutzbedarf hat. 

Die Maßnahme übersteigt das derzeit vorhandene Budget. 

Ersatzweise wird die Zusatzmaßnahme Z1 realisiert. 

Die vorhandenen Geräte bieten keine Möglichkeit zur 

Fernanzeige von Funktionsstörungen der USV oder eines 

Ausfalls der Klimaanlage, lassen sich aber mit vertretbarem 

Aufwand um diese Funktionen erweitern. 

Diese Maßnahme ersetzt Maßnahme M 1.24. 

Zielobjekt: S5 DB-Server Finanzbuchhaltung 



a) 0,- Euro 

b) 0,3 AT 

c) 0,- Euro 


Alle Passwörter für die Administration des Servers werden in 

einem Safe im Büro der Geschäftsführung hinterlegt. Ein Zugriff 

auf die Passwörter ist ohne Zustimmung der Geschäftsführung 

nicht möglich. 



a) 0,- Euro 

b) 7 AT 

c) 0,- Euro 


Im Rahmen des insgesamt zu entwickelnden Notfallplans wird 

ein Konzept speziell für diesen Server entwickelt. 

Seite 66

Maßnahme 


M 4.83 Update/Upgrade von Soft- 

und Hardware im Netzbereich 

(C) 

M 6.54 Verhaltensregeln nach 


(A) 

Maßnahme 




(A) 

M 6.51 Wiederherstellung einer 

Datenbank 

(B) 


Zielobjekt: Teilnetz an Switch 1 



a) 2000,- Euro 

b)2 AT 

c) 0,- Euro 

d) 0 AT/Jahr 

a) 0,- Euro 

b) 0 AT 

c) 0,- Euro 

d) 0 AT/Jahr 

Ein zusätzlicher Rechner für Testzwecke wird beschafft. 

Die Formulierung entsprechender Verhaltensregeln ist 

Bestandteil des zu entwickelnden Sicherheitskonzepts. Es 

entsteht hier kein zusätzlicher Aufwand. 

Zielobjekt: Anwendung A3 Finanzbuchhaltung 



a) 0,- Euro 

b) 0 AT 

c) 0,- Euro 

d) 0 AT/Jahr 

a) 0,- Euro 

b) 2 AT 

c) 0,- Euro 

d) 1 AT/Jahr 

Die Formulierung entsprechender Verhaltensregeln ist 

Bestandteil des zu entwickelnden Sicherheitskonzepts. Es 

entsteht hier kein zusätzlicher Aufwand. 

Das vorhandene Datensicherungskonzept wird um Regelungen 

ergänzt, die entsprechende Überprüfungen und deren 

Dokumentation vorschreiben. 

Seite 67


8.2 Abgestimmter Realisierungsplan 

Die folgenden Tabellen enthalten den mit der Unternehmensleitung abgestimmten Realisierungsplan 

mit eingetragenen Verantwortlichen und Umsetzungsterminen. 

Legende: Z = Zusatzmaßnahme AT = Arbeitstage KW = Kalenderwoche 

a) Einmalige Investitionskosten b) Einmaliger Personalaufwand 

c) Wiederkehrende Kosten d) Wiederkehrender Personalaufwand 

Maßnahme 




(A) 

M 2.196 Umsetzung des 

IT-Sicherheitskonzepts nach 

einem Realisierungsplan 

(A) 


Schulungskonzepts zur 


(B) 

M 2.198 Sensibilisierung der 

Mitarbeiter für IT-Sicherheit 

(A) 

M 2.199 Aufrechterhaltung der 


(A) 

M 2.201 Dokumentation des IT- 


(B) 

Maßnahme 


M 3.5 Schulung zu IT- 

Sicherheitsmaßnahmen 

(A) 

Zielobjekt: Gesamte Organisation der RECPLAST GmbH. 


Umzusetzen 

bis 

Verantwortlich Budgetrahmen Bemerkungen 

46. KW Umsetzung: 

IT-Sicherheitsteam 

Kontrolle: 

P. Muster 



Kontrolle: 

P. Muster 


M. Müller 

Kontrolle: 

P. Muster 


M. Müller 

Kontrolle: 

P. Muster 

20 KW des 

nächsten 

Jahres, 

(fortlaufend) 

Umsetzung: 


Kontrolle: 

P. Muster 


A. Admin 

Kontrolle: 

P. Muster 

Umzusetzen 

bis 

ab 1. KW 

(fortlaufend) 


a) 0,- Euro 

b) 40 AT 

c) 0,- Euro 

d) 5 AT/Jahr 

a) 0,- Euro 

b) 20 AT 

c) 0,- Euro 

d) 0 AT/Jahr 

a) 0,- Euro 

b) 2 AT 

c) 0,- Euro 

d) 1 AT/Jahr 

a) 800,- Euro 

b) 0,5 AT 

c) 800,- Euro 

d) 0,5 AT 

a) 0,- Euro 

b) 0 AT 

c) 0,- Euro 

d) 5 AT/Jahr 

a) 0,- Euro 

b) 5 AT 

c) 0,- Euro 

d) 2 AT/Jahr 

Betriebsrat wird vor der 

Verabschiedung des Konzepts 

beteiligt 

Umsetzung in Arbeitsteilung 

Das Konzept soll jährlich 

aktualisiert werden. 

Durchführung mit externen 

Dozenten; es sind jährliche 

Veranstaltungen geplant. 


Umsetzung: 


Kontrolle: 

P. Muster 

Seite 68 

a) 800,- Euro 

b) 8 AT 

c) 800,- Euro 

d) 4 AT/Jahr 

IT-Sicherheitsrevision in der 

20. Kalenderwoche des 

nächsten Jahres, Aktualisierung 

spätestens zwei Jahre danach 

geplant. 

In elektronischen Dokumenten, 

die von den Mitarbeitern 

jederzeit abgerufen werden 

können. 

Die Administratoren erhalten 

jährliche Schulungen durch 

externe Dozenten. Die 

Benutzer werden von diesen in 

den sicheren Umgang mit den 

jeweiligen Anwendungen 

eingearbeitet.

Maßnahme 


M 1.3 Angepasste Aufteilung der 

Stromkreise 

(A) 

M 1.7 Handfeuerlöscher 

(A) 

M 1.10 Verwendung von 

Sicherheitstüren und Fenstern 

(C) 

M 1.31 Fernanzeige von 

Störungen 

(Z) 

Z1: Einbau von Wasser ableitenden 

Blechen und Installation 

eines Wassermelders mit Sirene 

Maßnahme 


M 2.22 Hinterlegen des 

Passwortes 

(A) 

Maßnahme 


M 6.76 Erstellen eines Notfallplans 

für den Ausfall des 

Windows 2000 Netzes 

(C) 


Umzusetzen 

bis 

Zielobjekt: BG, R. 10 Serverraum 



M. Wachsam 

Kontrolle: 

P. Muster 


M. Wachsam 

Kontrolle: 

P. Muster 


M. Wachsam 

Kontrolle: 

P. Muster 


M. Wachsam 

Kontrolle: 

P. Muster 


M. Wachsam 

Kontrolle: 

P. Muster 


a) 0,- Euro 

b) 0,3 AT 

c) 0,- Euro 

d) 0 AT/Jahr 

a) 0,- Euro 

b) 0,3 AT 

c) 0,- Euro 

d) 0 AT/Jahr 

a) 2000,- Euro 

b) 2 AT 

c) 0,- Euro 

d) 0 AT/Jahr 

a) 300,- Euro 

b) 2 AT 

c) 100,- Euro 


a) 500,- Euro 

b) 1 AT 

c) 0,- Euro 

d) 0 AT/Jahr 

Zielobjekt: S5 DB-Server Finanzbuchhaltung 

Umzusetzen 

bis 




Kontrolle: 

P. Muster 

Umzusetzen 

bis 

Die Elektro-Installation wird 

von der Haustechnik geprüft. 

Eine mindestens jährliche 

Überprüfung wird festgelegt. 

Alle Mitarbeiter, die Zugang 

zum Serverraum haben, werden 

im Umgang mit den CO 2- 

Löschern geschult. 

Der Serverraum erhält ein 

Sicherheitsfenster mit 

Außengitter. 

Beschaffung und Installation 

von Geräten zur Fernanzeige 

von Störungen der Klimaanlage 

und der USV. 

Diese Maßnahme ersetzt 

M 1.24. 


a) 0,- Euro 

b) 0,3 AT 

c) 0,- Euro 





Kontrolle: 

P. Muster 


Seite 69 

a) 0,- Euro 

b) 7 AT 

c) 0,- Euro 


Alle Passwörter für die 

Administration des Servers 

werden in einem Safe im Büro 

der Geschäftsführung hinterlegt. 

Ein Zugriff auf die 

Passwörter ist ohne 

Zustimmung der Geschäftsführung 

nicht möglich. 

Besondere Berücksichtigung 

bei der Notfallplanung

Maßnahme 


M 4.83 Update/Upgrade von 

Soft- und Hardware im 

Netzbereich 

(C) 



(A) 

Maßnahme 




(A) 

M 6.51 Wiederherstellung einer 

Datenbank 

(B) 


Umzusetzen 

bis 

Zielobjekt: Teilnetz an Switch 1 




Kontrolle: 

P. Muster 



Kontrolle: 

P. Muster 


a) 1000,- Euro 

b)2 AT 

c) 0,- Euro 

d) 0 AT/Jahr 

a) 0,- Euro 

b) 0 AT 

c) 0,- Euro 

d) 0 AT/Jahr 

Zielobjekt: Anwendung A3 Finanzbuchhaltung 

Umzusetzen 

bis 




Kontrolle: 

P. Muster 



Kontrolle: 

P. Muster 

Budgetrahmen verringert, da 

kein teurer Rechner notwendig 

ist. 

Es entsteht hier kein 

zusätzlicher Aufwand. 


Seite 70 

a) 0,- Euro 

b) 0 AT 

c) 0,- Euro 

d) 0 AT/Jahr 

a) 0,- Euro 

b) 2 AT 

c) 0,- Euro 

d) 1 AT/Jahr 

Die Formulierung entsprechender 

Regeln ist Bestandteil 

des Sicherheitskonzepts. Es 

entsteht hier kein zusätzlicher 

Aufwand. 

Das Datensicherungskonzept 

wird um Regelungen ergänzt, 

die Überprüfungen und deren 

Dokumentation vorschreiben.

Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?