Frage zu den Gefährdungen / Risikoanalyse

te21blz · 17. Juli 2025 um 15:09

Unter Aufbau der Domäne IT-Grundschutz | Dokumentation wird beschrieben, wie die Gefährdungsübersicht „nachgeladen“ werden kann.
Wir haben gedacht, dass die vormodellierten Assets bereits nach BSI-Gefährdungskreuzliste in den betreffenden Bausteinen automatisch mit den jeweiligen Gefährdungen „ausgerüstet“ sind. Das scheint aber nicht der Fall zu sein, Beispiel OPS.2.2 Cloud-Nutzung:
In der nach 2023’er Kompendium gültigen Kreuzliste KRT_OPS.2.2.xls sind folgende Gefährdungen relevant:
G 0.9 G 0.11 G 0.14 G 0.15 G 0.18 G 0.19 G 0.25 G 0.26 G 0.29 G 0.30 G 0.31 G 0.32 G 0.35 G 0.36 G 0.41 G 0.45

Wenn ich aber in AST-16 Cloud-Anwendung nachschaue, ist dieser zwar mit OPS.2.2 vormodelliert, aber nur die Gefährdung „Abhören“ G.0.15 lässt sich unter dem Tab „Risiko“ finden.

Denken wir da im fachlichen Kontext bei der Anwendung von verinice falsch oder wurden die Gefährdungszuordnungen tatsächlich nur zum Teil berücksichtigt? (und wenn ja, aus welchem Grund?)

te21blz · 18. Juli 2025 um 06:18

Okay, hat sich geklärt, weil der Ort des Buttons „Gefährdungsübersicht“ von oben/Mitte nach rechts gewandert ist. Risikoanalyse nach 200-3 | Dokumentation

mflue · 18. Juli 2025 um 07:06

Hallo @te21blz ,

vielen Dank für die Rückmeldung! Der entsprechende Button ist in der Tat gewandert… ich prüfe zur Sicherheit noch einmal, ob das in der Dokumentation korrekt beschrieben ist.

Unabhängig davon nehmen wir (anders als in verinice) die Gefährdungen nicht immer mit, sondern wollen dies über die Aktion „Gefährdungsübersicht“ nur dann ermöglichen, wenn man auch eine Risikoanalyse machen muss bzw. möchte. Die Verknüpfungen nach den Kreuzreferenztabellen sind dazu im Katalog hinterlegt und werden dann mit den Gefährdungen sozusagen nachgeladen.

Das Ganze dient der Datensparsamkeit, wenn keine Risikoanalyse erforderlich ist.

Mit freundlichen Grüßen!
mflue