Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...
Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...
Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Zielobjekt: C7 Clients <strong>in</strong> der Entwicklungsabteilung<br />
G 4.13 Verlust gespeicherter Daten<br />
G 4.23 Automatische CD-ROM-Erkennung<br />
G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör<br />
G 5.2 Manipulation an Daten oder Software<br />
G 5.4 Diebstahl<br />
G 5.7 Abhören von Leitungen<br />
G 5.9 Unberechtigte IT-Nutzung<br />
G 5.18 Systematisches Ausprobieren von Passwörtern<br />
G 5.20 Missbrauch von Adm<strong>in</strong>istratorrechten<br />
G 5.21 Trojanische Pferde<br />
G 5.23 Computer-Viren<br />
G 5.40 Abhören von Räumen mittels Rechner mit Mikrofon<br />
G 5.43 Makro-Viren<br />
G 5.52 Missbrauch von Adm<strong>in</strong>istratorrechten im W<strong>in</strong>dows NT/2000 System<br />
G 5.71 Vertraulichkeitsverlust schützenswerter Informationen<br />
G 5.79 Unberechtigtes Erlangen von Adm<strong>in</strong>istratorrechten unter W<strong>in</strong>dows NT/2000/XP Systemen<br />
G 5.83 Kompromittierung kryptographischer Schlüssel<br />
G 5.85 Integritätsverlust schützenswerter Informationen<br />
7.2 Ermittlung zusätzlicher Gefährdungen<br />
Im zweiten Schritt ist zu prüfen, ob weitere Gefährdungen zu berücksichtigen s<strong>in</strong>d. Zu betrachten s<strong>in</strong>d<br />
<strong>in</strong> diesem Zusammenhang höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen<br />
technisches Versagen, vorsätzliche Angriffe von Außen und Innentätern können mögliche Ursachen<br />
se<strong>in</strong>. Die Gefährdungsübersichten s<strong>in</strong>d um die gefundenen Gefährdungen zu ergänzen.<br />
Die Diskussion im IT-<strong>Sicherheit</strong>smanagementteam bei <strong>RECPLAST</strong> ergab, dass <strong>für</strong> das Schutzziel<br />
Vertraulichkeit, die Gefährdungskataloge bereits vielfältige Bedrohungsquellen berücksichtigen – und<br />
zwar sowohl <strong>in</strong> Bezug auf die <strong>Sicherheit</strong> der Räumlichkeiten als auch auf die der IT-Systeme.<br />
Zusätzlich wurden die folgenden beiden Gefahrenquellen identifiziert:<br />
• unzureichender Zugangsschutz, der dazu führen kann, dass Betriebsfremde aber auch eigene<br />
Mitarbeiter E<strong>in</strong>sicht <strong>in</strong><br />
• Ausspionieren der elektromagnetischen Abstrahlung der IT-Systeme<br />
Da die sich daraus ergebenden Gefährdungen <strong>in</strong> den berücksichtigten Bauste<strong>in</strong>en bereits genannt s<strong>in</strong>d,<br />
wurde die Gefährdungsübersicht zu den Räumen nicht erweitert. H<strong>in</strong>gegen wurde die<br />
Gefährdungsübersicht zu den IT-Systemen um die Gefährdung Abhören der elektromagnetischen<br />
Abstrahlung von IT-Komponenten ergänzt (siehe folgende Tabelle).<br />
Seite 57