IT-Grundschutz Praxisbeispiele & Fallstudien

Realistische Szenarien, Schritt-für-Schritt Anleitungen und Musterlösungen

Lernziel: Praktische Anwendung der IT-Grundschutz-Methodik durch konkrete Beispiele und Fallstudien

Fallstudie 1: RECPLAST GmbH - Strukturanalyse

Unternehmensprofil

RECPLAST GmbH - Kunststoffrecycling-Unternehmen mit 85 Mitarbeitern

Hauptsitz Bonn (Verwaltung + Produktion)
Nebenstelle Bonn-Süd (Lager + kleinere Produktion)
3 Vertriebsbüros (Köln, Düsseldorf, Frankfurt)
Geschäftsfeld: Sammlung, Aufbereitung und Verkauf von Kunststoffgranulat

Geschäftsprozesse identifizieren

Kennung	Prozessname	Beschreibung	Verantwortlicher
GP001	Produktion	Aufbereitung von Kunststoffabfällen zu verkaufsfähigem Granulat	Produktionsleiter
GP002	Angebotswesen	Erstellung von Angeboten und Preiskalkulation	Vertriebsleiter
GP003	Auftragsabwicklung	Bestellung bis Lieferung, Rechnungsstellung	Vertriebsleiter
GP004	Einkauf	Beschaffung von Rohstoffen und Betriebsmitteln	Einkaufsleiter
GP005	Disposition	Produktionsplanung und Lagersteuerung	Produktionsleiter

Anwendungen erheben

Kennung	Anwendung	Beschreibung	Benutzer	Zugeordnete Prozesse
A001	Office-Anwendungen	MS Office, E-Mail, Dokumentenerstellung	Alle (85)	GP001-GP005
A002	ERP-System	Integrierte Geschäftsprozesse, Warenwirtschaft	45	GP002, GP003, GP004, GP005
A003	Produktionssteuerung	MES-System für Maschinensteuerung	12	GP001, GP005
A004	Finanzbuchhaltung	DATEV-Anwendung für Buchhaltung	5	GP003
A005	CRM-System	Kundenverwaltung und Vertriebsunterstützung	15	GP002, GP003

IT-Systeme kategorisieren

Server-Systeme

• S001: Domänen-Controller (Windows Server 2019)
• S002: ERP-Server (Linux, hochverfügbar)
• S003: E-Mail-Server (Exchange Server)
• S004: Datei-Server (Windows Server 2019)
• S005: Backup-Server (Veeam)
• S006: Produktionsserver (MES-System)

Client-Systeme

• C001-C060: Büro-PCs (Windows 10)
• C061-C070: Produktions-PCs (Windows 10)
• C071-C085: Laptops (mobiler Einsatz)
• C086-C095: Tablets (Lager/Produktion)

Netzwerk-Komponenten

• N001: Hauptrouter (Cisco)
• N002: Firewall (Fortinet)
• N003-N008: Switches (24-Port)
• N009-N012: WLAN Access Points
• N013: VPN-Gateway

Räume

• R001: Serverraum Hauptgebäude
• R002: IT-Technikraum Nebenstelle
• R003-R015: Büroräume
• R016-R020: Produktionshallen
• R021-R023: Lagerräume

Fallstudie 2: Schutzbedarfsfeststellung bei RECPLAST

Schutzbedarfskategorien für RECPLAST

Normal: Schaden <50.000€, Ausfall >24h tolerierbar

Hoch: Schaden 50.000-500.000€, Ausfall max. 24h

Sehr hoch: Schaden >500.000€, Ausfall >2h kritisch

Schutzbedarfsbewertung der Anwendungen

Anwendung	Vertraulichkeit	Integrität	Verfügbarkeit	Begründung
A001: Office	normal	normal	hoch	Standardbürokommunikation, aber hohe Verfügbarkeit für Geschäftsprozesse nötig
A002: ERP	hoch	sehr hoch	sehr hoch	Kerngeschäftsprozesse, Ausfall führt zu Produktionsstopp (>100.000€/Tag)
A003: Produktionssteuerung	normal	sehr hoch	sehr hoch	Maschinenschäden bei falschen Parametern, direkter Produktionsausfall
A004: Finanzbuchhaltung	sehr hoch	sehr hoch	hoch	Steuerliche und rechtliche Konsequenzen, Betriebsgeheimnisse
A005: CRM	hoch	hoch	hoch	Kundendaten (DSGVO), Wettbewerbsrelevante Informationen

Vererbung auf IT-Systeme

Beispiel: S002 ERP-Server

Genutzte Anwendungen: A002 (ERP), A004 (Finanzbuchhaltung)

Vererbungslogik (Maximumprinzip):

Vertraulichkeit: max(hoch, sehr hoch) = sehr hoch
Integrität: max(sehr hoch, sehr hoch) = sehr hoch
Verfügbarkeit: max(sehr hoch, hoch) = sehr hoch

Begründung: Server hostet geschäftskritische Anwendungen. Ausfall führt zu Produktionsstopp und rechtlichen Problemen.

Kumulationseffekt bei Clients

Beispiel: Büro-PCs (C001-C060)

Einzelbewertung: Jeder PC einzeln würde "normal" erhalten

Kumulationseffekt: Ausfall von 30+ PCs gleichzeitig würde bedeuten:

Komplette Büroarbeit unmöglich
Keine Auftragsbearbeitung
Kommunikationsausfall
Geschätzter Schaden: >80.000€

Ergebnis: Verfügbarkeit wird auf hoch gesetzt

Fallstudie 3: ISMS-Aufbau bei RECPLAST

Ausgangssituation

RECPLAST möchte ein ISMS nach BSI-Standard einführen. Bisher existieren nur grundlegende IT-Sicherheitsmaßnahmen.

Phase 1: Initiierung des ISMS

Leitungsentscheidung

✓ Beschluss der Geschäftsführung: ISMS-Einführung bis Ende 2024
✓ Budget bereitgestellt: 150.000€ für erstes Jahr
✓ Ressourcen zugeteilt: 1 VZÄ ISB + externe Beratung
✓ Ziel definiert: ISO 27001 Zertifizierung

Geltungsbereich festlegen

✓ Inkludiert: Beide Standorte Bonn
✓ Inkludiert: Alle Geschäftsprozesse GP001-GP005
⚠ Ausgeschlossen: Vertriebsbüros (vorerst)
✓ Begründung: 90% der kritischen Systeme/Daten

Phase 2: Sicherheitsorganisation aufbauen

Organigramm der Informationssicherheit

Geschäftsführung

Gesamtverantwortung, strategische Entscheidungen

ISB - Herr Schmidt

IT-Leiter, 15 Jahre Erfahrung

Direkter Berichtsweg zur GF

ICS-ISB

Frau Müller

Produktionssicherheit

Datenschutz

Herr Weber

DSGVO-Compliance

IT-Admin

Herr Klein

Technische Umsetzung

Phase 3: Sicherheitsleitlinie erstellen

RECPLAST GmbH

Leitlinie zur Informationssicherheit

Version 1.0 | Gültig ab: 01.01.2024

1. Geltungsbereich

Diese Leitlinie gilt für alle Standorte, Mitarbeiter und IT-Systeme der RECPLAST GmbH an den Standorten Bonn und Bonn-Süd.

2. Ziele der Informationssicherheit

Schutz der Vertraulichkeit von Geschäfts- und Kundendaten
Sicherstellung der Integrität aller geschäftskritischen Informationen
Gewährleistung der Verfügbarkeit von IT-Systemen (99,5% Uptime)
Compliance mit DSGVO und branchenspezifischen Anforderungen

3. Verantwortlichkeiten

Geschäftsführung: Strategische Steuerung und Ressourcenbereitstellung
ISB: Operative Umsetzung und Koordination
Führungskräfte: Durchsetzung in ihren Bereichen
Mitarbeiter: Einhaltung aller Sicherheitsrichtlinien

4. Konsequenzen bei Verstößen

Verstöße werden arbeitsrechtlich verfolgt und können zu Abmahnungen oder Kündigung führen.

Praxisübung: "MedTech Solutions"

Aufgabenstellung

Sie sind als ISB für die MedTech Solutions GmbH (Medizintechnik-Hersteller, 120 Mitarbeiter) beauftragt, eine Strukturanalyse und Schutzbedarfsfeststellung durchzuführen.

Unternehmensdaten

• Branche: Entwicklung/Produktion Medizingeräte
• Standorte: München (HQ), Berlin (F&E)
• Zertifizierungen: ISO 13485, MDR-konform
• Umsatz: 45 Mio. €/Jahr
• Besonderheit: FDA-Zulassungen USA

Kritische Informationen

• Konstruktionszeichnungen (R&D)
• Klinische Studiendaten
• FDA-Zulassungsunterlagen
• Patientendaten (Studien)
• Produktionsparameter

Aufgabe 1: Geschäftsprozesse identifizieren

Identifizieren Sie die 5 wichtigsten Geschäftsprozesse für MedTech Solutions:

GP1:

Forschung & Entwicklung

GP2:

Zulassungsmanagement

GP3:

Produktion

GP4:

Qualitätsmanagement

GP5:

Vertrieb & Service

Aufgabe 2: Schutzbedarfsfeststellung

Bewerten Sie den Schutzbedarf für diese kritischen Anwendungen:

Anwendung	Vertraulichkeit	Integrität	Verfügbarkeit	Begründung
CAD-System (R&D)	sehr hoch	sehr hoch	hoch	Konstruktionsdaten = Kernkompetenz, Patentverletzungen möglich
Klinische Datenbank	sehr hoch	sehr hoch	hoch	Patientendaten (DSGVO), FDA-Compliance, Studienergebnisse
Produktions-MES	hoch	sehr hoch	sehr hoch	Fehlerhafte Parameter → Produktrückrufe, Produktionsstopp

Lösungshinweise

• Medizintechnik = hochregulierte Branche: FDA, MDR, ISO 13485 beachten
• Patientendaten: Immer sehr hohe Vertraulichkeit (DSGVO Art. 9)
• F&E-Daten: Wettbewerbsvorteile, oft Jahre Entwicklungszeit
• Produktionsausfall: Hohe Kosten durch Lieferverpflichtungen
• Compliance-Verletzung: Existenzbedrohend durch Zulassungsverlust

Häufige Fehler in der Praxis

❌ Strukturanalyse

• Zu feine Granularität (jede Software einzeln)
• Vergessen von Cloud-Services
• Mobile Geräte nicht berücksichtigt
• Schatten-IT übersehen
• Veraltete Netzpläne verwendet

❌ Schutzbedarfsfeststellung

• Bewertung ohne fachliche Beteiligung
• Vererbungsregeln falsch angewandt
• Kumulationseffekte übersehen
• Rechtliche Anforderungen ignoriert
• Begründungen unvollständig

Viel Erfolg bei der Klausur! Diese Praxisbeispiele helfen dir, die Theorie anzuwenden.

Basierend auf BSI-Standards 200-1, 200-2, 200-3 und IT-Grundschutz-Kompendium