Lerneinheit 3.4:
Anwendungen erheben
Als Anwendungen erfassen Sie IT-Lösungen, die Geschäftsprozesse und die Erledigung von Fachaufgaben unterstützen und die aufgrund ihres Bedarfs an Geheimhaltung, Korrektheit und Unverfälschtheit oder Verfügbarkeit zumindest ein Mindestmaß an Schutz erfordern. Zur Identifikation der in dieser Hinsicht wesentlichen und folglich in der Strukturanalyse zu dokumentierenden Anwendungen bieten sich Gespräche oder gemeinsame Workshops mit Benutzern, Anwendungs- und Geschäftsprozessverantwortlichen sowie sachkundigen Mitarbeitern der IT-Abteilung an.
Für jede als wesentlich identifizierte Anwendung sollten Sie folgende Angaben in einer Tabelle erfassen:
- eine eindeutige Kennung (Nummer oder Kürzel),
- einen Namen für die Anwendung,
- eine kurze Beschreibung des Ziels, der Funktion und der verarbeiteten Informationen,
- die für die Anwendung Verantwortlichen,
- die Benutzer dieser Anwendung.
Zusätzlich müssen Sie die Abhängigkeiten zwischen Anwendungen und Geschäftsprozessen oder Fachaufgaben dokumentieren, also festhalten, in welchen Prozessen und Fachaufgaben eine gegebene Anwendung benutzt wird.
Achten Sie bei der Erfassung der Anwendungen auf eine angemessene Granularität. Beispielsweise ist es in der Regel nicht sinnvoll, ein Office-Produkt in seine einzelnen Bestandteile (z. B. Textverarbeitung, Präsentation, Tabellenkalkulation) zu zerlegen und diese dann gesondert zu beschreiben. Wenn Sie zu feinteilig erfassen, erzeugen Sie einen unnötigen Aufwand für die nachfolgenden Phasen der Sicherheitskonzeption durch ein Übermaß an zu behandelnden Objekten. Bei einer zu groben Betrachtung der Anwendungen verhindern Sie erforderliche Differenzierungen, insbesondere auch bei der Festlegung erforderlicher Schutzmaßnahmen.
Beispiel: Anwendungen der RECPLAST GmbH
Eine vollständige Übersicht aller Anwendungen, die in den Geschäftsprozessen der RECPLAST GmbH bedeutsam sind, würde den Rahmen dieses Kurses sprengen. Die nachfolgenden Tabellen enthalten daher nur einen Ausschnitt, um zu verdeutlichen, wie Sie Anwendungen und ihren Zusammenhang mit den Geschäftsprozessen dokumentieren.
| Bezeichnung, Name und Beschreibung der Anwendung | Anzahl | Benutzer/ Verantwortlicher |
|---|---|---|
| A001: Textverarbeitung, Präsentation, Tabellenkalkulation Alle geschäftlichen Informationen werden in einem Office-Produkt verarbeitet: Geschäftsbriefe, Analysen oder Präsentationen. | 290 | Alle Mitarbeiter/ IT-Betrieb |
| A002: Lotus Notes Diese Anwendung wird von allen Mitarbeitern für die Bearbeitung von Mailnachrichten, Terminen und Kontakten genutzt. | 290 | Alle Mitarbeiter/ IT-Betrieb |
| ... | ||
| A009: Auftrags- und Kundenverwaltung Mit dieser datenbankgestützten Anwendung werden Kundenstammdaten und Auftragsdaten verarbeitet sowie die Informationen für Produktion und Lieferung vorbereitet. | 55 | Marketing &Vertrieb/ Marketing &Vertrieb |
| A010: Active Directory Zu allen Benutzern der IT-Systeme werden Informationen zu Gruppenzugehörigkeit, Rechten und Authentisierungsmerkmalen verarbeitet und gespeichert. Diese Anwendung ist über beide Domain Controller verfügbar. | 2 | Administratoren/ IT-Betrieb |
| A013: Druckservice BG Über diesen Dienst können alle Mitarbeiter in Bad Godesberg die dortigen Drucker benutzen. Er ist auf dem Druckserver in Bad Godesberg verfügbar, kann aber bei Bedarf auch auf dem Druckserver in Beuel gestartet werden. | 1 | Alle Mitarbeiter in Bad Godesberg/ IT-Betrieb |
| A014: Druckservice Beuel Über diesen Dienst können alle Mitarbeiter in Beuel die dortigen Drucker benutzen. Er ist auf dem Druckserver in Beuel verfügbar, kann aber bei Bedarf auch auf dem Druckserver in Bad Godesberg gestartet werden. | 1 | Alle Mitarbeiter in Beuel/ IT-Betrieb |
| A015: Firewall Die Anwendung steuert die Kommunikation zwischen dem Firmennetz und dem Internet und ermöglicht die verschlüsselte Kommunikation der Vertriebsbüros über VPN-Tunnel. | 1 | Alle Mitarbeiter/ IT-Betrieb |
| A016: TK-Vermittlung Über die beiden miteinander gekoppelten TK-Anlagen in Bad Godesberg und Beuel werden ein- und ausgehende Telefongespräche und Fax-Nachrichten vermittelt und ein Telefonverzeichnis gepflegt. | 2 | Alle Mitarbeiter/ IT-Betrieb |
Die folgende Tabelle zeigt auszugsweise, in welchen Geschäftsprozessen diese Anwendungen verwendet werden
| Anwendung | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| Geschäftsprozess | A001 | A002 | ... | A009 | A010 | A013 | A014 | A015 | A016 |
| GP001 Produktion | X | X | X | X | X | X | |||
| GP002 Angebotswesen | X | X | X | X | X | X | X | ||
| GP003 Auftragsabwicklung | X | X | X | X | X | X | X | ||
| GP004 Einkauf | X | X | X | X | X | X | |||
| GP005 Disposition | X | X | X | X | X | X | X | ||
- Kurz-URL:
- https://www.bsi.bund.de/dok/10990218