Unterschied zwischen Auswirkungen in der Risikomatrix und dem Schutzbedarf

verinice – Einzelplatz und .PRO Allgemeine Funktionen
1

Hallo zusammen,

ich glaube, ich habe ein Verständnisproblem mit zwei verschiedenen Kategorisierungen.
Irgendwie ist das für mich das selbe oder zumindest ziemlich ähnlich:

Für die Risikoanalyse muss ich die Auswirkungen angeben, die ein Vorfall (elementare Gefahr) haben kann. Das geht von „gering“ bis „sehr hoch“ oder „existenzgefährdend“.
Das ist auch irgendwie einleuchtend. Je nach Wahrscheinlichkeit des Auftretens (Häufigkeit) und je nach Auswirkung eines Schadens kann ich mir überlegen, ob ich das entsprechende Risiko eingehen möchte oder irgendwelche weiteren Maßnahmen ergreifen möchte.

Wie genau kann ich das aber zum Schutzbedarf abgrenzen?
Wenn ein System einen Schutzbedarf „sehr hoch“ hat, wird das möglicherweise auch deshalb sein, weil der finanzielle Schaden existenzbedrohend ist, oder?

Kann man die beiden Listen dann nicht gleich befüllen?
Also bei den Auswirkungen fünf Schritte von „gering“ bis „sehr hoch“ (jeweils mit den Auswirkungen in unterschiedlichen Bereichen näher definiert) und bei den Schutzbedarfs-Kategorien auch die selben Schritte von „gering“ bis „sehr hoch“?
Irgendwie ist das doch das selbe, oder?

Wenn ein System ausfällt und die Auswirkung ist „sehr hoch“, dann wird doch der Schutzbedarf dieses System auch „sehr hoch“ sein, weil ja eben ein Ausfall diese Auswirkungen hab.

Oder hab ich da grundsätzlich was nicht richtig verstanden?

Viele Grüße
Tom

2

Naja, ganz so leicht vergleichbar sind die beiden Kategorien nicht.

Der Schutzbedarf bezieht sich auf IT-Objekte, in erster Linie auf Prozesse. Z.B. bei Vertraulichkeit, Wenn ein Prozess ausfällt, welche Auswirkung hat dies auf meine Institution.
Die Risikoanalyse bezieht sich auf spezifische Gefährdungen. Z.B. Wenn mein RZ abbrennt, welche Auswirkung hat dies auf meine Institution.
Ein Prozess mit sehr hohem Schutzbedarf kann durchaus noch ungestört weiterlaufen wenn das RZ abgebrannt ist, weil ich noch zwei weitere RZs betreibe und durch die Redundanz geschützt bin. Umgekehrt habe ich vielleicht keinen einzigen Prozess mit sehr hohem Schutzbedarf, aber ein Feuer im einzigen RZ würde mein Unternehmen vernichten. Damit bekomme ich in der Risikoanalyse eine sehr hohe Auswirkung.

Fazit, nein, die beiden „Kategorien“ sind nicht das selbe.

Hth
Horst