Bundesamt für Sicherheit in der Informationstechnik

Kapitel 3: Strukturanalyse

3.1 Überblick

Die IT-Grundschutz-Vorgehensweise zur Sicherheitskonzeption erfordert,

  • zunächst den Geltungsbereich des Sicherheitskonzepts festzulegen (= Definition des Informationsverbundes) und
  • anschließend die Objekte strukturiert zu erfassen, die Bestandteil dieses Geltungsbereichs und daher im Sicherheitskonzept zu berücksichtigen sind (= Strukturanalyse).

Definition des Informationsverbundes

Als Informationsverbund wird gemäß IT-Grundschutz die Gesamtheit der infrastrukturellen, organisatorischen, personellen und technischen Objekte verstanden, die dazu beitragen, die Aufgaben in einem bestimmten Anwendungsbereich der Informationsverarbeitung zu erfüllen. Diese Objekte bilden zusammengenommen den Untersuchungsgegenstand für die nachfolgenden Schritte.

Ein Informationsverbund muss eine sinnvolle Mindestgröße haben. Für eine umfassende Sicherheit ist es grundsätzlich empfehlenswert, die gesamte Institution zu betrachten. Insbesondere bei größeren Institutionen und dann, wenn Sicherheitsmaßnahmen bislang eher punktuell und ohne ein zugrunde liegendes systematisches Konzept vorgenommen wurden, ist es allerdings oft praktikabler sich (zunächst) auf Teilbereiche zu konzentrieren. Solche Teilbereiche sollten jedoch

  • aufgrund ihrer organisatorischen Strukturen oder Anwendungen gut abgrenzbar sein und
  • wesentliche Aufgaben und Geschäftsprozesse der betrachteten Institution umfassen.

Sinnvolle Teilbereiche sind zum Beispiel eine oder mehrere Organisationseinheiten, Geschäftsprozesse oder Fachaufgaben. Einzelne Clients, Server oder Netzverbindungen sind hingegen als Untersuchungsgegenstand ungeeignet.

Achten Sie bei der Definition des Informationsverbundes darauf, dessen Schnittstellen genau zu beschreiben. Dies gilt insbesondere auch dann, wenn die einbezogenen Geschäftsprozesse oder Fachaufgaben von den Diensten externer Partner abhängen.

Strukturanalyse

Grundlage eines jeden Sicherheitskonzepts ist die genaue Kenntnis der Informationen, Prozesse und unterstützenden technischen Systeme des betrachteten Informationsverbundes. Ziel der Strukturanalyse ist es, die hierfür erforderlichen Kenntnisse zusammenzustellen und aufzubereiten.

Was sind die wichtigen Aufgaben und Geschäftsprozesse von Behörden, Unternehmen oder anderen Institutionen? Welche Informationen werden in diesen Prozessen und Aufgaben benötigt, bearbeitet oder gespeichert? Mit welchen Anwendungen geschieht dies und in welchem infrastrukturellen Umfeld? Welche informationstechnischen Systeme sind beteiligt?

Je genauer diese Fragen beantwortet werden, desto zielgerichteter kann auch im Sicherheitskonzept festgelegt werden, welche Schutzvorkehrungen erforderlich sind.

Ergebnisdokumente der IT-Strukturanalyse

Im Einzelnen sind die folgenden Informationen zu erheben:

  1. die wichtigen Informationen, Geschäftsprozesse und Anwendungen,
  2. ein Netzplan mit den eingesetzten IT-Systemen, Kommunikationsverbindungen und externen Schnittstellen,
  3. die vorhandenen IT-Systeme (Clients, Server, Netzkopplungselemente usw.) sowie
  4. die räumlichen Gegebenheiten (Liegenschaften, Gebäude, Räume).

Auf den folgenden Seiten werden diese Schritte detailliert beschrieben und anhand des Beispiels veranschaulicht.

Objekte sinnvoll gruppieren

Bei allen Teilerhebungen sollten Sie Objekte sinnvoll zu Gruppen zusammenfassen. Welche Objekte dafür geeignet sind, wird im Zusammenhang mit der Erhebung des Netzplans (in Kapitel 3.3) dargestellt.

Vermeiden Sie Doppelarbeit. Wenn es in Ihrer Institution bereits Zusammenstellungen zu den zu erfassenden Sachverhalten gibt, zum Beispiel Inventare, Geschäftsprozessmodelle oder Netzpläne, sollten Sie diese auch benutzen.