Die Umsetzung von IT-Sicherheit in KMU

Inhaltsverzeichnis

1. Einleitung

2. Das Beispielunternehmen „Die BKK Krankenkasse“
2.1 Organisatorische Gliederung
2.2 Informationstechnik

3. IT-Sicherheitsmanagement
3.1 IT-Sicherheitsleitlinie & Vorschläge
3.2. Datenschutz
3.3. IT-Sicherheitskonzept
3.4 Umsetzung des Sicherheitskonzepts

4. IT-Strukturanalyse
4.1 Netzplan
4.1.1 Erhebung
4.1.2 Bereinigung
4.2 Erhebung IT-Systeme
4.3 Erhebung IT-Anwendungen
4.4 Erhebung Infrastruktur

5. Schutzbedarfsfeststellung
5.1 Anpassung der Schutzbedarfskategorien
5.2 Schutzbedarfsfeststellung der IT-Anwendungen
5.3 Schutzbedarfsstellung der IT-Systeme
5.4 Schutzbedarfsfeststellung für IT-Räume
5.5 Schutzbedarf der Kommunikationsverbindungen

6. Modellierung gemäß IT-Grundschutz
6.1 Schicht 1 Übergreifende Aspekte
6.2 Schicht 2 Infrastruktur
6.2.1 Baustein Gebäude
6.2.2 Baustein Verkabelung
6.2.3 Baustein Räume
6.3 Schicht 3: IT-Systeme
6.4 Schicht 4: Netze
6.5 Schicht 5: Anwendungen

7. Basis Sicherheitscheck

8. Realisierung

9. Zertifizierung
9.1. Voraussetzung für die Zertifizierung
9.2. Ausprägung der Zertifizierung
9.3. Der Auditor
9.4. Zu zertifizierender IT-Verbund
9.5. Das Zertifikat

10. Fazit

11. Abbildungs- und Tabellenverzeichnis

12. Quellenverzeichnis

13. Internetquellenverzeichnis

14. Abkürzungsverzeichnis

1. Einleitung

Die Zahl der IT-Sicherheitsvorfälle hat sich in den vergangenen Jahren exponentiell entwickelt. (Gemeldete IT-Sicherheitsvorfälle bei www.cert.org).

Zusätzlich haben sich die Rechtsvorschriften für die Unternehmensvorsorge verschärft. Geschäftsführern und Vorständen werden hierin neue persönliche Verantwortlichkeiten zugeschrieben. IT-Sicherheit kann immer nur ein Bestandteil der Unternehmenssicherheit sein und muss in einer vernünftigen Relation zur Wichtigkeit der unternehmenskritischen Geschäftsprozesse oder Werte stehen.

Kleine mittelständische Unternehmen sind immer wieder mit verschiedensten Sicherheitsproblemen konfrontiert, von denen sich viele Probleme bereits mit wenig Aufwand vermeiden lassen. Eine Grundschutz-Methode, entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), wird genauer vorgestellt und lässt sich auch bei erfolgreichem Durchlaufen zertifizieren – eine Möglichkeit, sich als solider und innovativer Geschäftspartner zu positionieren.

Das IT-Grundschutzhandbuch hat sich als Standardwerk zur ökonomischen Erarbeitung wirksamer IT-Sicherheitskonzepte etabliert. Belegt wird dies durch die ständig wachsende Zahl freiwillig registrierter Anwender im In- und Ausland und die intensive und aktive Nutzung der vom BSI bereitgestellten IT-Grundschutz-Hotline. In vielen Behörden und Unternehmen bildet das IT-Grundschutzhandbuch des BSI die Basis für die tägliche Arbeit des IT-Sicherheits-Managements und die kontinuierliche Umsetzung von Standard-Sicherheitsmaßnahmen. Nach erfolgreicher Umsetzung der im IT-Grundschutzhandbuch beschriebenen Standard-Sicherheitsmaßnahmen stellt sich für viele Institutionen die Frage, wie sie ihre Bemühungen um IT-Sicherheit nach außen transparent machen können. Um diesen Bedürfnissen nachzukommen hat das BSI die Qualifizierung nach IT-Grundschutz definiert, die aufgrund der ständigen Aktualisierung und Erweiterung des Handbuchs praktisch auf der Höhe der Zeit bleibt. Nach einer erfolgreichen Qualifizierung wird dann ein IT-Grundschutz-Zertifikat vergeben, mit dem die erfolgreiche Umsetzung der Standard-Sicherheitsmaßnahmen verdeutlicht werden kann.

Die Vorgehensweise bei der Anwendung des IT-Grundschutzhandbuchs wird an einem Unternehmen mittlerer Größe, „Die BKK Krankenkasse“ (das Unternehmen selber), veranschaulicht. Es wurden lediglich der Name und der Standort anonymisiert. Aufgrund des günstigen Beitragssatzes wird die Betriebskrankenkasse (BKK) im Jahr 2004 sehr stark wachsen. Der Datenschutz und die Sicherheit aller Anwendungen müssen an erster Stelle stehen.

Warum IT-Grundschutz?

„- In einem Jahr mussten die deutschen Unternehmen 1,2 Millionen Tage Ausfall hinnehmen, die durch Attacken auf die IT-Infrastruktur verursacht worden sind.
- Insgesamt konnte man 42 Prozent der Angriffe auf Computerviren zurückführen. Aus der Sicht der Unternehmen kamen als Ursache Hacker oder Mitarbeiter in Betracht. Das Verhältnis ist 42 Prozent Hacker und 32 Prozent eigene Mitarbeiter.
- Spam Mails und Fremdzugriffe machen für die Unternehmen ein Zehntel der Probleme aus.^[1]

2. Das Beispielunternehmen „Die BKK Krankenkasse“

2.1 Organisatorische Gliederung

Die organisatorische Gliederung der „Die BKK Krankenkasse“ gibt folgendes Organigramm wieder:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 01: Organigramm der „Die BKK Krankenkasse“

Die BKK Krankenkasse hat ihren Sitz in Dortmund. Es gibt keine weiteren Niederlassungen. Die BKK Krankenkasse bezieht mehrere Büros des ehemaligen Stamm-Unternehmens zur Untermiete. Das Unternehmen beschäftigt insgesamt 40 Mitarbeiter, von denen drei in der Finanzabteilung, einer in der EDV-Abteilung, sieben in der Abteilung Meldewesen, sieben in der Abteilung Beiträge und 11 in der Leistungsabteilung arbeiten. Das Sekretariat ist mit einer Person besetzt und übernimmt auch die Personaldatenverwaltung und die Reisekostenabrechnung. Es gibt sieben zusätzliche Mitarbeiter, die das Dokumentenmanagementsystem bedienen (Weiterverarbeitung der Daten). Sie sollen die jeweiligen Abteilungen mit ihrem Fachwissen unterstützen. In der Beitragsabteilung steht zusätzlich ein Scanner für das Dokumentenmanagementsystem, der von einem Mitarbeiter bedient wird.

2.2 Informationstechnik

Am Standort Dortmund ist im Zuge des Umzugs in die neuen Büroräume ein zentral administriertes Windows XP-Netz mit insgesamt 40 angeschlossenen Arbeitsplätzen eingerichtet worden. Die Arbeitsplatzrechner sind einheitlich mit dem Betriebssystem Windows XP mit SP1a, üblichen Büro-Anwendungen (Standardsoftware für Textverarbeitung, Tabellenkalkulation und Präsentationen) und Client-Software zur E-Mail-Nutzung ausgestattet. Zusätzlich gibt es je nach Aufgabengebiet auf verschiedenen Rechnern Spezialsoftware.

Im Netz des Standorts Dortmunds werden insgesamt fünf Server für folgende Zwecke eingesetzt:

- Ein Server dient als Domänen-Controller,
- ein weiterer Server dient der Dateiablage- und Druck-Server,
- ein Server dient als Dokumentenmanagementserver,
- ein weiterer Server dient der Softwareverteilung (u. a. Antivirensoftware, Patches),
- der fünfte Server dient als interner Kommunikations-Server (interner Mail-Server, Termin und Adressverwaltung).

Der Standort Dortmund ist über eine angemietete Standleitung an das Rechenzentrum ISC West in Essen angebunden. Dort steht der Kundendatenbankserver auf dem alle datenschutzsensiblen Daten der Kunden gespeichert sind. Der Verantwortungsbereich dieses Servers obliegt dem Rechenzentrum.

Der Scanner-Client für den Dokumentenmanagementserver ist mit Windows-2000 ausgestattet und hat eine ISDN-Karte zwecks Wartung der Dokumentenmanagementsoftware. Die Abteilung Finanzen besitzt zwecks Online-Banking einen Windows XP-Client Sp1a, der auch eine ISDN-Karte verbaut hat. Das Firmennetz ist über die Standleitung des Rechenzentrums zugleich an das Internet angebunden. Der Internet-Zugang ist über eine Firewall und einen Router mit Paketfilter abgesichert. Ausgewählte Client-Rechner haben Zugang zum Internet (für WWW) alle Client-Rechner sind mit einem E-Mail Client ausgestattet. Die WWW-Seiten des Unternehmens, einschließlich Online-Formulare und der Möglichkeit, Kontakt per E-Mail aufzunehmen, werden auf einem Web-Server des Providers vorgehalten.

An zusätzlicher Informationstechnik sind zu berücksichtigen:

- Telekommunikationsanlage,
- insgesamt vier Faxgeräte,
- ein Laptop, der bei Bedarf in das Netz eingebunden werden kann.

Für das reibungslose Funktionieren der Informationstechnik ist die zentrale DV-Abteilung in Dortmund zuständig. Zum Umgang mit der betrieblichen Informationstechnik gibt es eine Anweisung, der zufolge diese ausschließlich für Firmenzwecke genutzt werden darf und das Einbringen von privater Hard- und Software untersagt ist.

3. IT-Sicherheitsmanagement

Die Unternehmensleitung muss die Verantwortung für das IT-Sicherheits-management festlegen und die Maßnahmen und die internen Abläufe und Regelungen beachten und kontrollieren.^[2] Damit Sicherheitsmanagement funktionieren kann, muss das Management sich mit den IT-Sicherheitsstrukturen identifizieren und gleichzeitig müssen die Sicherheitsmaßnahmen in die Managementstrukturen eingebettet sein.^[3] Die IT-Sicherheit muss geplant, organisiert und kontrolliert werden.^[4]

Es existieren vier Planungs- und Lenkungsaufgaben; diese werden als IT-Sicherheitsmanagement bezeichnet. Zuerst muss die Klärung der zentralen Verantwortung und Delegation von Zuständigkeiten erörtert werden. Daraufhin werden die grundsätzlichen Ziele für die IT-Sicherheit und das Erstellen einer IT-Sicherheitsleitlinie für das Unternehmen festgelegt. Darauf folgt die Erstellung des IT-Sicherheitskonzepts und zuletzt müssen die organisatorischen Maßnahmen zur Umsetzung des Sicherheitskonzeptes festgelegt und fixiert werden.^[5] Daraus ergibt sich folgender Sicherheitsprozess:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 02: Vorgehensweise eines gesteuerten IT-Sicherheitsprozesses^[6]

Die Geschäftsleitung muss nun ein Sicherheitsteam bzw. Sicherheitsverantwortlichen bestimmen bzw. organisieren und die Sicherheitsverantwortlichen müssen eine IT-Sicherheitsleitlinie für das Unternehmen erstellen.

Durch genauestens festgelegte Zuständigkeiten sollen Mängel im IT-Management vermieden werden. Durch eine zweckmäßige Organisation und ein gemeinsames Verständnis für das IT-Sicherheitsmanagement sollte ein effektives und solides Grundkonzept erstellt werden.

Klare Erscheinungsformen von unsachgemäßes bzw. unzureichendes IT-Management wären z. B. die Fehlende persönliche Verantwortung oder mangelnde Unterstützung durch die Leitungsebene. Weitere Probleme könnten auch unzureichende strategische und konzeptionelle Vorgaben sein.^[7]

3.1 IT-Sicherheitsleitlinie & Vorschläge

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 03: IT-Sicherheitsleitlinie^[8]

Erster Schritt

Zuerst einmal muss die Zuständigkeit der Gesamtverantwortung für das Sicherheitskonzept schriftlich fixiert werden. Dadurch soll der strategische Einfluss und die Umsetzung der Sicherheitslinie durch die Unternehmensleitung hervorgehoben werden, auch wenn die Umsetzung an ein Sicherheitsteam weiter gegeben wurde.

Zweiter Schritt

In diesem zweiten Schritt soll eine IT-Sicherheitsrichtlinie entwickelt werden. Dazu kann ein vorhandenes Sicherheitsteam/ -Beauftragter eingesetzt werden. Bei Bedarf ist eine Neuzusammensetzung des IT-Teams möglich. Dieses Team soll dann mit den einzelnen Fachabteilungen zusammen arbeiten und Lösungsvorschläge erarbeiten.

Dritter Schritt

Hier soll die besondere strategische und operative Bedeutung der IT für die im Unternehmen bearbeiteten Informationen, IT-Anwendungen, Aufgaben und die Unternehmensbereiche eingeschätzt werden. Das Team möchte herausfinden, welche Sicherheit für das Unternehmen notwendig ist. Es sollte nur zwischen Quantität und Qualität unterschieden werden, d. h. handelt es sich um tägliche Massenaufgaben oder um qualitative Managementaufgaben. Dadurch ergibt sich ein Sicherheitsniveau das sich in niedrige, mittlere bzw. hohe Sicherheit aufteilt. Ein weiteres Ziel ist es die Geschäftsvorgänge einzuordnen.

„Es geht darum, Antworten auf folgende Fragen zu formulieren:

- Welche Geschäftsvorgänge, Arbeitsvorgänge können ohne funktionierende IT nicht oder nur mit großem Aufwand anders bearbeitet werden?
- Für welche Geschäftsvorgänge und Unternehmensdaten ist die Einhaltung der IT-Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit wichtig?“
Dadurch soll die Leistungsfähigkeit des Unternehmens gewährleistet werden.
- Welche Bedeutung und Folgen könnten von innen oder außen verursachte Sicherheitsvorfälle haben? Was könnten Angriffe auf die IT oder fehlerhafter Umgang mit IT-Systemen und Anwendungen auslösen?“^[9]

Vierter Schritt

In diesem Schritt wird die Dokumentation der IT-Sicherheitsinhalte hervorgehoben. Dort sollte auf jeden Fall die Ernennung des Sicherheitsteam, Sicherheitsziele, Sicherheitskonzept und die regelmäßige Aktualisierung erfasst werden.

Fünfter Schritt

In dieser Phase muss die Unternehmensführung die Endgültige Sicherheitsleitline den Mitarbeitern bekannt geben und letztendlich in Kraft setzen.

Sechster Schritt (optional)

Dieser optionale Schritt ist nur für Unternehmen interessant, die mehrere Standorte betreiben und deshalb unterschiedliche IT-Sicherheitsleitlinien erstellen müssen. Im Falle der BKK ist dies aber nicht notwendig.^[10]

3.2. Datenschutz

Was bedeutet Datenschutz?

Mit Hilfe des Datenschutz soll sichergestellt werden, dass jede einzelne Person vor dem Missbrauch seiner personenbezogenen Informationen geschützt und jeder selbst über die Verwendung dieser Daten bestimmen kann. Diese Regelung wird auch als „Recht auf informellen Selbstbestimmung“ umschrieben.^[11]

„Einschränkungen des Rechts auf "informationelle Selbstbestimmung" sind nur im überwiegenden Allgemeininteresse zulässig und bedürfen durchweg einer Rechtsgrundlage.“

Die Verarbeitung von personenbezogenen Daten

Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn diese auf der Grundlage von Gesetzen beruhen oder „[…] der Betroffene eingewilligt oder in Form eines Vertrages zugestimmt hat. Jede andere Verarbeitung ist unzulässig.“^[12].Das Bundesdatenschutzgesetz (BSDG) und die Landesdatenschutzgesetze liefern eine Grundlage zur Regelung des Datenschutzes und die Verarbeitung von Daten.^[13]

Folglich dürfen personenbezogene Daten nur für die Zwecke verwendet und verarbeitet werden, für die diese aufgenommen wurden, das gleiche gilt auch für Daten, die von externen Unternehmen erfasst wurden. Werden z. B. personenbezogene Daten zur „[…] Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert“^[14], so dürfen diese auch nur für diese Zwecke verwendet werden.^[15]

„Personenbezogene Daten sind beispielsweise nur dann erforderlich, wenn andernfalls die Daten verarbeitende Stelle ihre Aufgabe nicht, nicht vollständig oder nicht in rechtmäßiger Weise erfüllen kann.“^[16]

Des Weiteren muss die Verarbeitung der Daten auf schonenste Art und Weise vorgenommen werden, d. h. dass das Recht auf informelle Selbstbestimmung so wenig wie möglich beeinträchtigt wird, folglich „[…] die Verarbeitungsmöglichkeiten entsprechend beschränkt werden“.^[17] Hier wird im Grundschutzhandbuch auch der Grundsatz der Datensparsamkeit genannt. Gleichzeitig heißt das auch, dass Datenerhebungen/ - Speicherungen auf Vorrat nicht zulässig sind.^[18]

Die Rechte der zu schützenden Person

Sobald personenbezogene Daten erfasst und verarbeitet werden, hat die betroffene Person folgende Rechte:

- „Recht auf Auskunft über die zu seiner Person gespeicherten Daten,
- Recht auf Berichtigung, wenn die Daten unrichtig gespeichert sind,
- Recht auf Sperrung, wenn er die Richtigkeit bestreitet und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt,
- Recht auf Löschung, insbesondere wenn die Speicherung unzulässig war,
- Recht auf Folgenbeseitigung,
- Recht auf Widerspruch gegen die Verarbeitung seiner Personen bezogenen Daten,
- Recht auf Schadensersatz“^[19].

„Das Recht, sich an den Bundesbeauftragten bzw. den jeweils zuständigen Landesbeauftragten für den Datenschutz zu wenden, wenn er der Ansicht ist, bei der Verarbeitung seiner personenbezogenen Daten in seinen Rechten verletzt zu sein. Diese Rechte können nicht durch Verträge oder sonstige Rechtsgeschäfte ausgeschlossen oder beschränkt werden.“^[20]

Datenschutzgesetze und Ihre Aufgabe

Der Sinn und Schwerpunkt der Datenschutzgesetze liegt vor allem darin, dass „[…] eine grundsätzliche Pflicht zur Durchführung der erforderlichen technischen und organisatorischen Maßnahmen“^[21] besteht.

Um das zu erfüllen werden folgende Kontrollziele vorgegeben:

- Zugangskontrolle,
- Datenträgerkontrolle,
- Speicherkontrolle,
- Benutzerkontrolle,
- Zugriffskontrolle,
- Übermittlungskontrolle,
- Eingabekontrolle,
- Auftragskontrolle,
- Organisationskontrolle.

Für den Bereich der IT-Sicherheit lassen sich aus diesen Kontrollzielen weitere Ziele wie:

- Vertraulichkeit,
- Verfügbarkeit,
- Integrität,
- Zurechenbarkeit,

ableiten.^[22]

Wer prüft die Einhaltung des Datenschutzes

Für die Kontrolle und „[…]Einhaltung der datenschutzrechtlichen Bestimmungen“^[23] gibt es je nach gesetzlich geltenden Bereich Datenschutz-Kontrollinstanzen, die „[…]eine generelle oder Anlassbezogene Kontrollbefugnis besitzen.“^[24]

Folgende Datenschutzkontrollinstanzen gibt es:

- Der Bundesbeauftragte für Datenschutz.
- Sein Zuständigkeitsbereich liegt bei den Behörden der Bundesverwaltung und sonstige öffentliche Stellen des Bundes.
- Der Landesbeauftragte für den Datenschutz.
- Sein Zuständigkeitsbereich liegt bei den Behörden der Landesverwaltung und sonstige öffentliche Stellen des Landes.
- Die Aufsichtsbehörden der Länder.
- Sein Zuständigkeitsbereich liegt bei allen nicht öffentlichen Stellen in dem jeweiligen örtlichen Zuständigkeitsbereich.
- Der betriebliche bzw. der behördliche Datenschutzbeauftragte.
- Sein Zuständigkeitsbereich liegt in dem jeweiligen Betrieb.^[25]

3.3. IT-Sicherheitskonzept

Ein IT-Sicherheitskonzept ist für ein Unternehmen erforderlich, damit konkrete Sicherheitsmaßnahmen geplant, umgesetzt und später auch aktualisiert werden können. Die IT-Sicherheitsleitlinie gibt die Zielrichtung vor und setzt die organisatorischen Rahmenbedingungen, auf deren Grundlage ein IT-Sicherheitskonzept zu erarbeiten ist. Nach diesen Vorgaben ist im IT-Sicherheitskonzept der Schutzbedarf der IT-Anwendungen und IT-Systeme festzustellen und dafür angemessene Sicherheitsmaßnahmen vorzusehen.

3.4 Umsetzung des Sicherheitskonzepts

Bei der Umsetzung des Sicherheitskonzepts sind folgende Punkte zu beachten. Die einzelnen Maßnahmen haben unterschiedliche Prioritäten. Des Weiteren sind auch unterschiedliche Bestände an Ressourcen vorhanden, welche bei der Umsetzung der Leitlinie beachtet werden müssen. Der Realisierungsplan muss außerdem von der Geschäftsführung zuvor abgenommen werden.^[26]

4. IT-Strukturanalyse

Grundlage eines jeden IT-Sicherheitskonzepts ist eine genaue Kenntnis der im festgelegten IT-Verbund vorhandenen Informationstechnik, ihrer organisatorischen und personellen Rahmenbedingungen sowie ihrer Nutzung. Bei der IT-Strukturanalyse geht es darum, die dazu erforderlichen Informationen zusammenzustellen und so aufzubereiten, dass sie die weiteren Schritte bei der Anwendung des IT-Grundschutzhandbuchs unterstützen.

Dazu gehören die folgenden Arbeitsschritte:

1. Netzplanerhebung und Komplexitätsreduktion durch Gruppenbildung,
2. Erfassung der IT-Systeme sowie
3. Erfassung der IT-Anwendungen und der zugehörigen Informationen.^[27]

4.1 Netzplan

4.1.1 Erhebung

Ausgangspunkt für die IT-Strukturanalyse bei „Die BKK Krankenkasse“ ist der Netzplan in Abbildung 04 (Seite 15). Um die Übersichtlichkeit zu bewahren, wurde darauf verzichtet, Geräte und Informationen in den Netzplan einzutragen, die bei den nachfolgenden Beschreibungen nicht weiter benötigt werden (zum Beispiel Netzdrucker, Sicherungslaufwerke, Netzadressen).

4.1.2 Bereinigung

Nicht alle Informationen des vorliegenden Netzplans sind für die nachfolgenden Schritte beim Vorgehen gemäß GSHB tatsächlich erforderlich. So können Komponenten zu einer Gruppe zusammengefasst werden, die

- vom gleichen Typ sind,
- gleich oder nahezu gleich konfiguriert sind,
- gleich oder nahezu gleich in das Netz eingebunden sind,
- den gleichen administrativen und infrastrukturellen Rahmenbedingungen unterliegen,
- die gleichen Anwendungen bedienen.

Im Netzplan ist dieser Schritt noch nicht vollzogen worden. Daneben weist dieser Netzplan noch weitere Mängel auf. So fehlen für eine Reihe von Komponenten eindeutige Bezeichnungen, zum Beispiel für die Netzkopplungselemente.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 04: Netzplan der BKK

Im bereinigten Netzplan (siehe Abbildung 05, Seite 17) sind sowohl diese Mängel behoben als auch Gruppen gebildet worden:

- Die Clients der Abteilungen „Meldewesen“, „Leistungen“, „Beiträge“ und „Krankenhaus“ wurden zusammengefasst, da sie grundsätzlich gleich ausgestattet sind und mit ihnen auf weitgehend identische Datenbestände zugegriffen werden kann.
- Die nicht vernetzten Komponenten (Laptop und Faxgeräte) wurden jeweils zu einer Gruppe zusammengefasst, da für den Umgang mit diesen Geräten übereinstimmende organisatorische Regelungen gelten.

Folgende Clients sollten nicht zusammengefasst werden:

- Bei den zwei PCs vom Vorstand kann man von einem höheren Schutzbedarf ausgehen (z. B. könnte auf ihnen besonders vertrauliche Korrespondenz gespeichert sein).
- Auf Grund der sensiblen Daten der Finanzabteilung werden diese gesondert zusammengefasst. Auf ihnen befinden sich Finanzdaten, Jahresrechnungsergebnisse, die z. B. vor Wirtschaftsspionage und damit möglichen gravierenden wirtschaftlichen Folgen für die Firma zu schützen sind.
- Des Weiteren wurde für einen PC der Finanzabteilung eine neue Gruppe gebildet. Dieser PC ist mit einer ISDN-Karte ausgestattet, die fürs Online-Banking benötigt wird. Da es sich hierbei um Daten von höchster Schutzbedürftigkeit handelt, muss dieser PC besonders berücksichtigt werden.
- Eine hohe Vertraulichkeit besitzen ferner auch die Daten, die vom Sekretariat bearbeitet werden, sowie die Daten des speziellen Scanner-Client zum digitalen Erfassen der Eingangspost.
- Es wurde zusätzlich eine neue gesonderte Gruppe gebildet, die eine Anbindung an das Dokumentenmanagementsystem der Firma haben. Bei diesen Daten kann von einem erhöhten Schutzbedarf ausgegangen werden.
- Auf Rechnern der IT-Administratoren laufen Anwendungen, die für die Verwaltung des Netzes erforderlich sind. Von daher verlangen auch diese Rechner eine besondere Aufmerksamkeit.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 05: Bereinigter Netzplan der BKK.

[...]

---

^[1] BSI-Schulung IT-Grundschutz, Kapitel 1, S. 2.

^[2] BSI Schulung IT-Grundschutz, Kapitel 2, S. 2

^[3] IT-Grundschutzhandbuch, 4.EL Stand Mai 2002, S. 82.

^[4] BSI Schulung IT-Grundschutz, Kapitel 2, S. 2

^[5] BSI Schulung IT-Grundschutz, Kapitel 2, S. 2.

^[6] BSI-Schulung IT-Grundschutz, Kapitel 2, S. 1.

^[7] BSI-Schulung IT-Grundschutz, Kapitel 2, S. 2.

^[8] BSI-Schulung IT-Grundschutz Kapitel 2, S. 7.

^[9] BSI-Schulung IT-Grundschutz, Kapitel 2, S. 8.

^[10] Vgl. BSI-Schulung IT-Grundschutz, Kapitel 2, S. 7f.

^[11] IT-Grundschutzhandbuch, Baustein Datenschutz, Stand Juli 1999, S. 1.

^[12] ebd.

^[13] Vgl. ebd.

^[14] IT-Grundschutzhandbuch, Baustein Datenschutz, Stand Juli 1999, S. 2.

^[15] Vgl. ebd.

^[16] ebd.

^[17] ebd.

^[18] Vgl. ebd.

^[19] ebd.

^[20] IT-Grundschutzhandbuch, Baustein Datenschutz, Stand Juli 1999, S. 2.

^[21] IT-Grundschutzhandbuch, Baustein Datenschutz, Stand Juli 1999, S. 3.

^[22] Vgl. ebd.

^[23] IT-Grundschutzhandbuch, Baustein Datenschutz, Stand Juli 1999, S. 3.

^[24] ebd.

^[25] Vgl. ebd.

^[26] BSI-Schulung IT-Grundschutz, Kapitel 2, S. 10.

^[27] GSHB, Stand Mai 2002, Kapitel 2.1 S. 34ff.