Mit welchen Maßnahmen die in der Leitlinie zur Informationssicherheit vorgegebenen Ziele und Strategien verfolgt werden sollen, wird in einem Sicherheitskonzept beschrieben. Ein solches Sicherheitskonzept hat immer einen festgelegten Geltungsbereich. Dieser wird in der IT-Grundschutz-Methodik als Informationsverbund bezeichnet.

Festlegung des Informationsverbundes

Ein Informationsverbund muss eine sinnvolle Mindestgröße haben. Für eine umfassende Sicherheit ist es grundsätzlich empfehlenswert, die gesamte Institution zu betrachten. Insbesondere bei größeren Institutionen und dann, wenn Sicherheitsmaßnahmen bislang eher punktuell und ohne ein zugrunde liegendes systematisches Konzept vorgenommen wurden, ist es allerdings oft praktikabler sich (zunächst) auf Teilbereiche zu konzentrieren. Diese sollten jedoch

• aufgrund ihrer organisatorischen Strukturen oder Anwendungen gut abgrenzbar sein und
• wesentliche Aufgaben und Geschäftsprozesse der betrachteten Institution umfassen.

Sinnvolle Teilbereiche sind zum Beispiel eine oder mehrere Organisationseinheiten, Geschäftsprozesse oder Fachaufgaben. Einzelne Clients, Server oder Netzverbindungen sind hingegen als Untersuchungsgegenstand ungeeignet.

Achten Sie bei der Definition des Informationsverbundes darauf, dessen Schnittstellen genau zu beschreiben. Dies gilt insbesondere auch dann, wenn die einbezogenen Geschäftsprozesse oder Fachaufgaben von den Diensten externer Partner abhängen.

Erstaufnahme des Informationsverbundes

In der initialen Phase des Sicherheitsprozesses ist es nicht erforderlich, Anwendungen und IT-Infrastruktur detailliert zu beschreiben. Zunächst geht es vielmehr darum, besonders wichtige Geschäftsprozesse, die im Geltungsbereich des Konzepts angesiedelt sind, hinsichtlich ihrer Anforderungen an die Informationssicherheit zu charakterisieren. Dabei reicht es zu wissen, welche Prozesse sehr hohe, hohe oder lediglich normale Schutzanforderungen haben.

Auf dieser Basis wird dann eine Erstaufnahme des Informationsverbundes angefertigt. Folgende Informationen und Detailangaben müssen dabei strukturiert (z. B. tabellarisch) zusammengetragen werden:

• Geschäftsprozesse im Informationsverbund (Name, Beschreibung, fachverantwortliche Stelle),
• Anwendungen in diesen Prozessen (Name und Beschreibungen),
• IT-Systeme und ICS-Komponenten (Name, Systemplattform und eventuell Aufstellungsort),
• für den Informationsverbund wichtige Räume wie Rechenzentrum oder Serverräume (Art, Raumnummer und Gebäude) sowie
• virtuelle Systeme (entsprechend gekennzeichnet und benannt).

Ein grafischer Netzplan ist eine hilfreiche Ergänzung zur tabellarischen Zusammenstellung der IT-Systeme.

Die ermittelten Komponenten, wie auch der Informationsverbund als Ganzes, sind Zielobjekte des Sicherheitskonzepts. Bereits vor dessen eigentlicher Entwicklung sollten Sie einschätzen, welches Schutzniveau für die verschiedenen Zielobjekte erforderlich ist, die Sie bei der Erstaufnahme identifiziert haben.