Grundschutzkatalog
Aufbau der Gefährdungskataloge des IT-Grundschutzes
Der Gefährdungskatalog G0 befasst sich unter anderen mit dem Risiko G0.1 Feuer. Die möglichen Auswirkungen von Feuer und alle damit verbundenen Risiken wie Löschwasserschäden sind hier angeführt. Dabei verweist der Katalog auch auf indirekt verursachte Folgen. Dazu zählt beispielsweise die chemische Reaktion aus der Verbrennung von PVC in Verbindung mit Luftfeuchtigkeit. Es bildet sich Salzsäure, die über Lüftungskanäle auch weit entfernte IT-Komponenten schädigen kann.
Nach der ausführlichen Beschreibung der Risiken, ihrer Ursachen und der möglichen Folgen enthalten die Grundschutzkataloge des IT-Grundschutzes zum Teil noch sehr allgemein gehaltene Hinweise zu möglichen Maßnahmen. Auf diese Weise versuchen die Ersteller der Gefährdungskataloge des IT-Grundschutzes im ersten Schritt die allgemeine Wahrnehmung für die Vielzahl an Risiken zu sensibilisieren.
Was beinhaltet der Gefährdungskatalog des IT-Grundschutzes?
Laut Aussage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist für die Erstellung eines wirkungsvollen Sicherheitskonzepts kein detailliertes Wissen über die Inhalte der Gefährdungskataloge des IT-Grundschutzes erforderlich. Allerdings leisten die ausführlichen Beschreibungen der möglichen Risiken und ihrer Folgen einen wichtigen Beitrag zum allgemeinen Verständnis der in den Maßnahmenkatalogen empfohlenen Maßnahmen.
G0 Elementare Gefährdungen und G1 Höhere Gewalt
Dieser Katalog beschreibt alle nur erdenklichen Risiken, die sich aus elementaren Gefahren wie Feuer, ungünstigen klimatischen Bedingungen oder dem Ausfall oder einer Störung der Versorgungsnetze ergeben. Aber auch die Folgen eines Kabelbrands oder Personalausfall sind ein Thema.
G2 – Organisatorische Mängel
Dieser Gefährdungskatalog ist der umfangreichste der Katalogserie. Er beginnt mit fehlenden oder unzureichenden Regelungen, befasst sich mit den Auswirkungen einer unzureichenden Trassendimensionierung und den Verzögerungen durch temporär eingeschränkte Erreichbarkeit der Telearbeiter und schließt mit G 2.214, der fehlenden oder unzureichenden Konzeption des Identitäts- und Berechtigungsmanagements ab.
G3 – Menschliche Fehlhandlungen
Der Gefahrenkatalog G3 setzt sich ausschließlich mit den durch Menschen verursachten Fehlern und den damit verbundenen Gefahren und Folgen auseinander. Dazu zählt der Integritätsverlust von Daten gleichermaßen wie G 3.124, fehlende Implementierungen in einer SOA.
G4 – Technisches Versagen
Mehr als 100 Risiken beschreibt dieser Gefahrenkatalog. Beginnend mit dem Ausfall der Stromversorgung bis zu den Folgen des Ausfalls eines zentralen Identitäts- und Berechtigungsmanagement-Systems.
G5 – Vorsätzliche Handlungen
Mehr als 200 vorsätzliche Handlungen definiert dieser Katalog und benennt die Gefahren des Reverse Engineerings genauso wie die Risiken vom Missbrauch der WS Notification Broker in einer SOA.
Die große Anzahl der Risiken, die die Gefährdungskataloge des IT-Grundschutzes, beinhalten, zeigt auf, wie hilfreich diese Dokumente sind. Ohne diese Unterstützung würden viele Unternehmen so manches Risiko für sich nicht als solches erkennen und keine entsprechenden Maßnahmen ergreifen.