Support
Status
Shop
Unter Aufbau der Domäne IT-Grundschutz | Dokumentation wird beschrieben, wie die Gefährdungsübersicht „nachgeladen“ werden kann.
Wir haben gedacht, dass die vormodellierten Assets bereits nach BSI-Gefährdungskreuzliste in den betreffenden Bausteinen automatisch mit den jeweiligen Gefährdungen „ausgerüstet“ sind. Das scheint aber nicht der Fall zu sein, Beispiel OPS.2.2 Cloud-Nutzung:
In der nach 2023’er Kompendium gültigen Kreuzliste KRT_OPS.2.2.xls sind folgende Gefährdungen relevant:
G 0.9 G 0.11 G 0.14 G 0.15 G 0.18 G 0.19 G 0.25 G 0.26 G 0.29 G 0.30 G 0.31 G 0.32 G 0.35 G 0.36 G 0.41 G 0.45
Wenn ich aber in AST-16 Cloud-Anwendung nachschaue, ist dieser zwar mit OPS.2.2 vormodelliert, aber nur die Gefährdung „Abhören“ G.0.15 lässt sich unter dem Tab „Risiko“ finden.
Denken wir da im fachlichen Kontext bei der Anwendung von verinice falsch oder wurden die Gefährdungszuordnungen tatsächlich nur zum Teil berücksichtigt? (und wenn ja, aus welchem Grund?)