Zum Inhalt

Schutzbedarfsfeststellung (SBF) & Vererbung🔗

Technischer Hinweis

In der Plattform wird intern die Bezeichnung "PRA" (Protection Requirements Analysis) verwendet. Dies ist gleichbedeutend mit SBF.

Mit der Schutzbedarfsfeststellung (SBF) bewertest du, wie schutzbedürftig deine Prozesse und Assets sind - typischerweise entlang der BSI-Kategorien:

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit

Die Ergebnisse sind Grundlage für:

  • die Risikobewertung und
  • die Auswahl und Priorisierung von Maßnahmen.

Über die Vererbung stellst du sicher, dass der Schutzbedarf von kritischen Komponenten (z. B. Rechenzentrum) auf abhängige Assets und Prozesse übertragen wird.

Einstieg in die SBF🔗

  1. Öffne das Modul ISMS ISO 27001.
  2. Wähle die Kachel Schutzbedarf / SBF (oder die entsprechende Kachel in deiner Instanz).
  3. Wähle den Scope, für den du den Schutzbedarf ermitteln möchtest.
  4. Wähle, ob du mit Prozessen, Hardware, Software, Infrastruktur, Service/Dienstleister oder Daten starten willst.

Die Ansicht zeigt dir alle Objekte dieser Kategorie, die bereits mit dem Scope verknüpft sind.

SBF-Formular anlegen🔗

Die Bewertungen werden in SBF-Formularen organisiert. Ein Formular steuert:

  • für welchen Scope und Zeitraum du bewertest,
  • welche Objekte enthalten sind,
  • in welchem Status (Entwurf, in Prüfung, freigegeben) sich die Bewertung befindet.

Vorgehen:

  1. In der SBF-Übersicht auf + Starte neue SBF Analyse (Plus-Symbol) klicken.
  2. Eingeben:
  3. Bezeichnung des Formulars (z. B. "SBF 2025 - Security 2025"),
  4. Bewertungszeitraum (z. B. Jahr / Auditzyklus),
  5. optional "festgestellt von" / Ersteller:in.
  6. Formular speichern.

In der Übersicht siehst du alle Formulare je Scope inklusive Status (z. B. "Erstellung", "abgeschlossen").

Schutzbedarf bewerten🔗

Wenn du ein SBF-Formular öffnest, gelangst du in die Bewertungsansicht:

  • für jeden Prozess / jedes Asset siehst du die drei Kategorien Vertraulichkeit, Verfügbarkeit, Integrität,
  • je Kategorie wählst du eine Auswirkung (z. B. gering, mittel, hoch, sehr hoch),
  • du kannst pro Kategorie eine Begründung festhalten.

Beispiel:

  • Vertraulichkeit: hoch - "enthält sensible Kundendaten, deren Offenlegung hohen Reputationsschaden verursachen würde"
  • Integrität: mittel - "Verfälschung führt zu fehlerhaften Auswertungen, aber keine unmittelbare Gefährdung von Leben/Gesundheit"
  • Verfügbarkeit: sehr hoch - "System muss 24/7 verfügbar sein, Ausfall > 1h führt zu erheblichem Umsatzverlust"

GRASP berechnet daraus einen Gesamtschutzbedarf je Objekt (z. B. über eine definierte Maximal- oder Bewertungslogik).

Workflow: Erstellung → Prüfung → Freigabe🔗

Die SBF ist als kleiner Workflow aufgebaut:

  1. Erstellung

  2. Fachlich Verantwortliche erfassen die Bewertungen und Begründungen.

  3. Einreichen zur Prüfung

  4. Klick auf "SBF-Formular einreichen".

  5. Die zuständige prüfende Person erhält eine E-Mail mit Link zum Formular.

  6. Prüfung & Anpassung

  7. Prüfer:in kann Bewertungen und Begründungen nachjustieren.

  8. Freigabe

  9. nach Freigabe erhält das Formular den Status "abgeschlossen".
  10. die freigegebenen Schutzbedarfe sind Grundlage für Vererbung und Risikoanalyse.

In der Übersicht siehst du jederzeit, welcher Scope bereits freigegebene SBF-Formulare hat und in welchem Status sie sich befinden.

Vererbung des Schutzbedarfs🔗

Die eigentliche Stärke entsteht durch die Vererbung entlang der Abhängigkeiten:

  • Beispiel: Ein Rechenzentrum hat sehr hohen Schutzbedarf. Abhängige Prozesse oder Systeme könnten einzeln betrachtet weniger kritisch erscheinen - aber durch die Abhängigkeit vom Rechenzentrum steigt ihr Schutzbedarf.

Vorgehen:

  1. Wechsle in die Übersicht der Schutzbedarfe für einen Scope.
  2. Klicke oben auf "Vererbung berechnen".
  3. Im Hintergrund:
  4. werden alle Prozesse und Assets betrachtet, die durch Abhängigkeiten verbunden sind,
  5. der Gesamtschutzbedarf wird über diese Ketten verglichen,
  6. der höchste Gesamtschutzbedarf innerhalb einer Verknüpfung wird auf alle beteiligten Komponenten übertragen.

So stellst du sicher, dass ein kritisches System nicht nur auf dem Papier einen hohen Schutzbedarf hat, sondern dass alle technischen und organisatorischen Komponenten, die daran hängen, entsprechend hoch eingestuft werden.

Warum Vererbung wichtig ist

Die vererbten Schutzbedarfe fließen direkt in die Risikoanalyse ein. Ohne Vererbung würdest du kritische Abhängigkeiten leicht unterschätzen und in der Risikomatrix zu niedrig priorisieren.

Zusammenhang mit Risikomanagement und SOA🔗

  • Die SBF beantwortet die Frage: Wie schutzbedürftig ist ein Prozess oder Asset (C/I/A)?

  • Die SOA beantwortet die Frage: Welche Controls/Anforderungen setze ich ein, um diesen Schutzbedarf zu erfüllen?

  • Das Risikomanagement verbindet beides:

  • es nutzt den Gesamtschutzbedarf als Input,
  • bewertet zusätzliche Ereignisse und Schwachstellen,
  • ordnet geeignete Maßnahmen zu.

In der Praxis gehst du daher für jeden neuen Scope ungefähr so vor:

  1. Scope definieren.
  2. SBF-Formular erstellen, Schutzbedarfe bewerten und freigeben.
  3. Vererbung berechnen.
  4. SOA bearbeiten (Controls und Maßnahmen).
  5. Risikoanalyse durchführen.

Damit hast du eine durchgängige, auditierbare Linie von der Schutzbedarfsfeststellung über die Controls bis zur Risikobehandlung.

Ansichten🔗

SBF Übersicht

SBF Analyse