Schutzbedarf von Anwendungen, IT-Systemen und Infrastruktur
Der Schutzbedarf einer Anwendung, eines IT-Systems und des Ortes (Infrastruktur), an dem sich das IT-System befindet, hängt vom Schutzbedarf der Informationen ab, die verarbeitet werden.
Dieser Schutzbedarf wird in Kategorien festgelegt:
Welche Schutzbedarfskategorie zutrifft, ist abhängig vom Grad einer möglichen Beeinträchtigung auf eine Anwendung (und somit auf das IT-System oder der Infrastruktur). Die verschiedenen Beeinträchtigungen beziehen sich dabei auf einen möglichen Verlust von
- Vertraulichkeit: Bekannt werden der Daten für Unberechtigte
- Integrität: Unberechtigte Manipulation der Daten
- Verfügbarkeit: Verlust der Daten.
Schutzbedarfskategorie A
Beeinträchtigung | Abschätzung des Schadens |
|---|---|
Beeinträchtigung des informationellen Selbstbestimmungsrechts | … lässt für den Betroffenen keine besondere Beeinträchtigung erwarten … oder kann maximal den Betroffenen in seiner gesellschaftlichen Stellung oder seinen wirtschaftlichen Verhältnissen beeinträchtigen („Ansehen“). |
Verstoß gegen Gesetze, Vorschritten und Vertrage | … verstößt gegen Vorschriften und Gesetze mit geringe Konsequenzen … hat Vertragsverletzungen mit maximal geringen Konventionalstrafen zur Folge |
Beeinträchtigung der Aufgabenerfüllung | … würde von den Betroffenen als tolerabel eingeschätzt werden. … führt maximal zum Ausfall einzelner verwaltungstechnischer oder wissenschaftlicher Arbeitsabläufe |
Negative Außenwirkungen | … führt höchstens zu geringem Ansehensverlust eines Teilbereichs der Universität bei einer eingeschränkten Öffentlichkeit |
Finanzielle Auswirkungen | Summe der finanziellen Auswirkungen: |
Maximal tolerierbare Ausfallzeit | Mehr als 5 Arbeitstage |
Schutzbedarfskategorie B
Beeinträchtigung | Abschätzung des Schadens |
|---|---|
Beeinträchtigung des informationellen Selbstbestimmungsrechts | … kann die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen („Existenz“). |
Verstoß gegen Gesetze, Vorschritten und Vertrage | … verstößt gegen Vorschriften und Gesetze mit erheblichen Konsequenzen … hat Vertragsverletzungen mit hohen Konventionalstrafen und Haftungsschäden zur Folge |
Beeinträchtigung der Aufgabenerfüllung | … würde von einzelnen Betroffenen als nicht tolerabel eingeschätzt werden. … schränkt die Auftragserfüllung in einem Teilbereich ein |
Negative Außenwirkungen | … führt zu einem Ansehensverlust der Universität bei einer eingeschränkten Öffentlichkeit oder einem hohen Ansehensverlust eines Teilbereichs der Universität |
Finanzielle Auswirkungen | Summe der finanziellen Auswirkungen: |
Maximal tolerierbare Ausfallzeit | Mehr als 1 Arbeitstag und weniger als 5 Arbeitstage |
Schutzbedarfskategorie C
Beeinträchtigung | Abschätzung des Schadens |
|---|---|
Beeinträchtigung des informationellen Selbstbestimmungsrechts | … kann die Gesundheit, das Leben oder die Freiheit des Betroffenen beeinträchtigen. |
Verstoß gegen Gesetze, Vorschritten und Vertrage | … verstößt fundamental gegen Gesetze oder Vorschriften … hat Vertragsverletzungen zur Folge, deren Haftungsschäden für die Universität ruinös sind |
Beeinträchtigung der Aufgabenerfüllung | … würde von allen Betroffenen als nicht tolerabel eingeschätzt werden. … gefährdet den Auftrag der gesamten Universität |
Negative Außenwirkungen | … führt zu einem Ansehensverlust der Universität in der breiten Öffentlichkeit |
Finanzielle Auswirkungen | Summe der finanziellen Auswirkungen: |
Maximal tolerierbare Ausfallzeit | Maximal 1 Arbeitstag. |