IT-Grundschutz Merkzettel

Kompakte Übersichten für schnelles Wiederholen - Klausurvorbereitung

Tipp: Diese Seite ist druckoptimiert - nutze die Druckfunktion für eine kompakte Übersicht!

Schutzbedarfskategorien

Normal: Begrenzte/überschaubare Schäden
Hoch: Beträchtliche Schäden
Sehr hoch: Existenzbedrohend/katastrophal

CIA-Triad

Confidentiality (Vertraulichkeit)
Integrity (Integrität)
Availability (Verfügbarkeit)

PDCA-Zyklus

Plan: Planung
Do: Umsetzung
Check: Kontrolle
Act: Verbesserung

BSI-Standards

200-1: ISMS-Anforderungen
200-2: Methodik & Umsetzung
200-3: Risikoanalyse

Drei Vorgehensweisen im Überblick

1. Basis-Absicherung

  • • Schneller Einstieg
  • • Keine Schutzbedarfsbewertung
  • • Basisschutzmaßnahmen
  • Ideal für KMU

2. Standard-Absicherung

  • • Systematische Erhebung
  • • Schutzbedarfsbewertung
  • • Vollständiges Kompendium
  • Empfohlenes Vorgehen

3. Kern-Absicherung

  • • Standard-Absicherung
  • • Fokus auf "Kronjuwelen"
  • • Kritische Bereiche priorisiert
  • Für große Organisationen

Rollen & Verantwortlichkeiten

Informationssicherheitsbeauftragter (ISB)

Aufgaben:
  • • Prozesskoordination
  • • Konzeptentwicklung
  • • Berichterstattung
  • • Schulungen
  • • Vorfallsuntersuchung
Anforderungen:
  • • Fachwissen
  • • Unabhängigkeit
  • • Nicht IT-Abteilung
  • • Direkte Berichtslinie
  • • Ausreichend Ressourcen

Weitere Rollen

ICS-ISB: Industrielle Steuerungen, Produktionsbereiche
IS-Management-Team: ISB + IT-Verantwortliche + Fachbereiche
Leitung: Gesamtverantwortung, Ressourcen, Vorbildfunktion

Strukturanalyse - Schritt-für-Schritt

Erhebungsobjekte

1. Geschäftsprozesse:
  • • Kennung
  • • Name & Beschreibung
  • • Verantwortliche
  • • Benötigte Anwendungen
2. Anwendungen:
  • • Kennung
  • • Administrator
  • • Benutzerzahl
  • • Zuordnung Prozesse
3. IT-Systeme:
  • • Bezeichnung
  • • Plattform/OS
  • • Standort
  • • Status
4. Räume & Verbindungen:
  • • Serverräume
  • • Büros
  • • Netzverbindungen
  • • Kommunikationswege

Gruppierungskriterien

Gleichartige Komponenten nach:
  • • Typ und Konfiguration
  • • Netzwerkanbindung
  • • Administration
  • • Schutzbedarf
  • • Aufgabe/Funktion
Ziel: Übersichtlichkeit und Effizienz

Schutzbedarfsfeststellung

Vererbungsprinzipien

Maximumprinzip:
Höchster Schutzbedarf gilt
Kumulationseffekt:
Viele normale → hoher Bedarf
Verteilungseffekt:
Verteilung → niedrigerer Bedarf

Schadensszenarien

• Gesetzesverstöße
• Datenschutzverletzungen
• Persönliche Unversehrtheit
• Aufgabenbeeinträchtigung
• Imageschäden
• Finanzielle Auswirkungen

Vorgehen

1. Prozesse bewerten
2. Anwendungen ableiten
3. IT-Systeme vererben
4. Räume bestimmen
5. Verbindungen prüfen
6. Dokumentieren & begründen

Sicherheitsprozess

1. Initiierung

• Ziele definieren
• Leitlinie erstellen
• Ressourcen bereitstellen

2. Konzept

• Tech./org. Maßnahmen
• Strukturanalyse
• Schutzbedarfsfeststellung

3. Umsetzung

• Klare Vorgaben
• Bewertung
• Kontrolle durch Leitung

4. Aufrechterhaltung

• Kennzahlen
• Audits
• Anpassungen

Wichtige Dokumente

Sicherheitsleitlinie

Inhalt:
• Geltungsbereich
• Stellenwert der Informationssicherheit
• Verantwortlichkeiten
• Regulatorische Hinweise
• Organisationsstruktur
• Konsequenzen bei Verstößen

Sicherheitskonzept

Bestandteile:
• Informationsverbund definieren
• Erstaufnahme aller Objekte
• Grobe Schutzbedarfsklassifikation
• Technische/organisatorische Maßnahmen
• Umsetzungsplanung

Spezialfälle & Besonderheiten

Virtualisierung

• Kumulationseffekt möglich
• Mehrere VMs auf einem Host
• Ausfall betrifft alle VMs
• Höherer Schutzbedarf für Host

ICS (Industrial Control)

• Enge Abstimmung nötig
• ICS-ISB einbeziehen
• Produktionsausfälle beachten
• Sicherheit vs. Verfügbarkeit

IoT & Mobile

• Einfluss auf Prozesse prüfen
• Mobile Sicherheit beachten
• Gruppierung nach Nutzung
• Externe Zugriffe berücksichtigen

Merkformeln & Prinzipien

Maximumprinzip
max(A,B,C) = Schutzbedarf
Kumulationseffekt
n × normal = hoch
Verteilungseffekt
Verteilung = ↓ Schutzbedarf
PDCA
Plan → Do → Check → Act

Last-Minute Klausur-Tipps

Must-Know Definitionen:

  • • CIA-Triad (Vertraulichkeit, Integrität, Verfügbarkeit)
  • • Schutzbedarfskategorien (normal, hoch, sehr hoch)
  • • PDCA-Zyklus (Plan-Do-Check-Act)
  • • BSI-Standards 200-1, 200-2, 200-3
  • • Vererbungsprinzipien

Typische Fragen:

  • • Unterschiede der 3 Vorgehensweisen
  • • Aufgaben ISB vs. ICS-ISB
  • • Strukturanalyse-Schritte
  • • Schutzbedarfsvererbung
  • • ISMS-Komponenten

Häufige Fallen:

  • • ISB nicht IT-Abteilung unterstellt!
  • • Kumulationseffekt bei Virtualisierung
  • • Dokumentation mit Begründung
  • • Prozesse → Anwendungen → Systeme
  • • PDCA ist kontinuierlicher Prozess

Viel Erfolg bei der Klausur!

Diese Merkzettel sind dein Schlüssel zum Erfolg!

Weitere Lernmodule

Karteikarten
Interaktives Lernen
Praxisbeispiele
Fallstudien
Übungsfragen
Mock-Klausur