Die Basis- und Standard-Anforderungen der IT-Grundschutz-Bausteine wurden so festgelegt, dass dazu passende Maßnahmen für normalen Schutzbedarf und für typische Informationsverbünde und Anwendungsszenarien einen angemessenen und ausreichenden Schutz bieten. Hierfür wurde vorab geprüft, welchen Gefährdungen die in den Bausteinen behandelten Sachverhalte üblicherweise ausgesetzt sind und wie den daraus resultierenden Risiken zweckmäßig begegnet werden kann. Als Anwender des IT-Grundschutzes benötigen Sie daher in der Regel für den weitaus größten Teil eines Informationsverbundes keine aufwändigen Untersuchungen mehr zur Festlegung erforderlicher Sicherheitsmaßnahmen.

Ein zusätzlicher Analysebedarf besteht lediglich in folgenden drei Fällen:

• Ein Zielobjekt hat einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit.
• Es gibt für ein Zielobjekt keinen hinreichend passenden Baustein im IT-Grundschutz-Kompendium.
• Es gibt zwar einen geeigneten Baustein, die Einsatzumgebung des Zielobjekts ist allerdings für den IT-Grundschutz untypisch.

Das grundlegende Verfahren zur Untersuchung von Sicherheitsgefährdungen und deren Auswirkungen ist eine Risikoanalyse. Der BSI-Standard 200-3: Risikomanagement bietet hierfür eine effiziente Methodik.

In dieser Lektion lernen Sie detailliert das Vorgehen bei einer Risikoanalyse gemäß BSI-Standard 200-3 kennen. Im Einzelnen erfahren Sie,

• welche Voraussetzungen für die Durchführung von Risikoanalysen in einer Institution gegeben sein sollten,
• wie Sie mit Hilfe der Liste elementarer Gefährdungen des IT-Grundschutz-Kompendiums eine Gefährdungsübersicht für ein gegebenes Zielobjekt zusammenstellen,
• wie Sie die aus den Gefährdungen resultierenden Risiken ermitteln und bewerten,
• wie Sie zweckmäßige Entscheidungen zur Behandlung von Risiken treffen sowie
• wie Sie die Ergebnisse der Risikoanalyse in den Sicherheitsprozess zurückführen.