Knowledgebase
Helpdesk
Knowledgebase
Helpdesk
Erste Schritte + Grundlagen
Grundfunktionen
Assets + Organisation
Daten und Informationen
Assetmanagement
ModulüberblickAsset im Inventar anlegenAssets verknüpfen und Schutzbedarf prüfen
Datenschutz
Personal + Schulung

Assets verknüpfen und Schutzbedarf prüfen

Assetmanagement

Ein Asset bekommt seinen Schutzbedarf nicht manuell zugewiesen, sondern aus den Daten, die darauf verarbeitet werden, und aus den Verarbeitungstätigekeiten/Geschäftsprozessen, die es einsetzen. In diesem Artikel verknüpfen Sie ein Asset mit Informationswerten, modellieren Beziehungen zu anderen Assets und lesen die vererbten Schutzbedarfs-Stufen ab. Sie lernen außerdem, warum eine manuelle Absenkung gesperrt ist und wie Sie die Kritikalität getrennt vom Schutzbedarf setzen.

In 5 Minuten erledigt

  • Asset über die Übersicht öffnen, Tab Verknüpfungen wählen.
  • Über +Informationswert inzufügen die verarbeiteten Informationswerte zuordnen.
  • Optional weitere Assets mit Beziehungstyp Nutzt, Enthält oder Befindet sich in verknüpfen.
  • Tab Schutzbedarf & Kritikalität öffnen, vererbte Stufen für C, I und A nachvollziehen.
  • Bei Bedarf manuell anheben (mit Begründung), Kritikalität setzen, speichern.

Wann brauchen Sie das?

  • Sie haben gerade ein neues Asset angelegt und müssen den Schutzbedarf belegen.
  • Sie pflegen eine neue Anwendung ein und wollen die darauf liegenden Datenkategorien dokumentieren.
  • Sie modellieren Abhängigkeiten zwischen Assets (zum Beispiel "Server nutzt Datenbank" oder "Rack befindet sich in Rechenzentrum").

Schritt für Schritt

  1. Öffnen Sie das Asset über die Übersicht Assets + Organisation > Assetmanagement. Klicken Sie in der Tabelle auf die Bezeichnung.
  2. Wechseln Sie auf den Tab Verknüpfungen.
  3. Verknüpfen Sie zuerst die Daten und Informationen, die auf diesem Asset verarbeitet werden:
    • Klicken Sie auf +Informationswert verknüpfen.
    • Wählen Sie die zutreffenden Informationswerte aus (zum Beispiel "Kundenstammdaten", "Bewerberunterlagen").
    • Bestätigen Sie die Auswahl.
    • Sofern in den Daten und Informationen schon Verknüpfungen zu weiteren Assets existieren, werden diese indirekt auch mit diesem Asset verknüpft. Sollte diese Verknüpfung nicht korrekt sein, ist der Informationswert (das Informations-Asset) zu grob gewählt.
      Siehe: Informationswert anlegen.
  5. Optional: Verknüpfen Sie weitere Assets mit einem Beziehungstyp:

    • +Asset verknüpfen klicken - Assets auswählen und
    • Nutzt - das Asset verwendet ein anderes (zum Beispiel "Anwendung X nutzt Datenbank Y").
    • Enthält - eine Asset-Gruppe enthält ein anderes Asset.
    • Befindet sich in - ein physisches Asset steht in einem Standort.
    • Verknüpft mit - allgemeine Verknüpfung ohne weitere Informationen
  7. Wechseln Sie auf den Tab Schutzbedarf & Kritikalität und prüfen Sie das Ergebnis.
  8. Lesen Sie die Stufen für Vertraulichkeit (C), Integrität (I) und Verfügbarkeit (A) ab. C und I kommen aus den Informationswerten, A aus verknüpften Geschäftsprozessen oder Verarbeitungstätigkeiten.
  9. Wenn der Schutzbedarf für Ihr Asset höher liegen muss, als der vererbte Wert zeigt: Heben Sie die Stufe manuell an. Eine Begründung ist Pflicht.

  10. Setzen Sie die Kritikalität (Kritisch, Hoch, Normal, Gering). Sie sagt, wie wichtig das Asset für den Geschäftsbetrieb ist - unabhängig vom Schutzbedarf.
  11. Klicken Sie auf Speichern.

Tipp: Wenn der Tab Schutzbedarf leer bleibt, fehlen die Verknüpfungen zu Informationswerten und Geschäftsprozessen. Pflegen Sie diese zuerst.

Schutzbedarfs-Vererbung im Detail

Der Schutzbedarf eines Assets ist kein eigenständiger Akt. Er wird abgeleitet:

  • Vertraulichkeit (C) und Integrität (I) vererben sich aus den verknüpften Informationswerten nach dem Maximum-Prinzip.
  • Verfügbarkeit (A) wird aus Geschäftsprozessen und Verarbeitungstätigkeiten abgeleitet, die das Asset einsetzen.

Manuelle Erhöhungen sind möglich, manuelle Absenkungen nicht. Wer die Einstufung senken will, muss die Ursache ändern - also den Informationswert anders klassifizieren oder die Verknüpfung trennen.

Ein klassischer Effekt der Vererbung: ein einzelner Fileserver, auf dem sowohl unverfängliche Marketing-Bilder als auch Personalakten liegen, wird allein durch die Verknüpfung mit den Personalakten auf C = sehr hoch hochgestuft. Genau das ist die fachliche Aussage des Datenmodells - der Server ist nur so vertrauenswürdig wie die sensibelste Information, die er trägt. Wer den Schutzbedarf senken will, muss die Personalakten umziehen.

Dimension

Quelle der Vererbung

Manuelle Anpassung

Vertraulichkeit (C)

Verknüpfte Informationswerte, Maximum-Prinzip

Erhöhung mit Begründung erlaubt, Absenkung gesperrt

Integrität (I)

Verknüpfte Informationswerte, Maximum-Prinzip

Erhöhung mit Begründung erlaubt, Absenkung gesperrt

Verfügbarkeit (A)

Verknüpfte Geschäftsprozesse und Verarbeitungstätigkeiten

Erhöhung mit Begründung erlaubt, Absenkung gesperrt

Kritikalität - der zweite Hebel

Neben dem Schutzbedarf führt das Asset eine Kritikalität (Kritisch, Hoch, Normal, Gering). Sie steht orthogonal zum Schutzbedarf und beantwortet die Frage "Wie schmerzhaft wäre ein Ausfall?" Sie ist relevant für die Business-Continuity-Bewertung und für die Priorisierung von TOM, getrennt von der C/I/A-Bewertung.

Beispiel: Ein Drucker im Empfangsbereich kann C = öffentlich, I = normal, A = normal haben. Wenn der Drucker aber für die Erstellung von Versandetiketten unverzichtbar ist und der Versand sonst stehen bleibt, ist die Kritikalität trotzdem Hoch. Schutzbedarf und Kritikalität bedienen unterschiedliche Fragen.

Beziehungstypen im Überblick

Die Beziehungs-Semantik macht den Beziehungsgraph erst auswertbar. Der MANAGER unterscheidet primär drei Typen für Asset-zu-Asset-Beziehungen plus die domänenübergreifenden Beziehungen zu Informationswerten, TOM, Risiken und Geschäftsprozessen.

Beziehung

Funktion

Beispiel

Asset -> Informationswert

Vererbt C und I, lokalisiert die Information, erfüllt VVT-Anforderung indirekt

Anwendung Personio -> Personalakten

Asset -> Asset (Nutzt)

Trägt Abhängigkeiten ab

Mailanwendung nutzt Mailserver

Asset -> Asset (Enthält)

Gruppen-Beziehung

Rechenzentrum enthält Server-Rack

Asset -> Asset (Befindet sich in)

Physische Lokalisierung

Smartphone befindet sich in Bielefelder Außendienst

Asset -> TOM

Zeigt, welche TOM das Asset schützt

Fileserver -> TOM Backup, TOM Verschlüsselung

Asset -> Risiko

Bindet das Asset an das Risikoinventar

Domain-Controller -> Risiko "Ransomware in der Domäne"

Asset -> VVT / Geschäftsprozess

Liefert Verfügbarkeits-Bewertung

Personio -> VT "Lohnabrechnung"

Diese Beziehungen sind nicht dekorativ. Sie sind die Voraussetzung dafür, dass ein Auditor bei der Wirksamkeitsprüfung in einem Schritt von "Welche Personaldaten verarbeiten Sie?" über "Welche Systeme tragen sie?" zu "Welche TOM schützen sie?" navigieren kann. Genau dafür gibt es die Asset- und Informationskarte als interaktive Visualisierung über die Toolbar.

Häufige Stolperfallen

  • Schutzbedarf lässt sich nicht senken: Das ist Absicht. Eine manuelle Absenkung ist gesperrt, um Audit-Sicherheit zu wahren. Wenn der Wert zu hoch ist, prüfen Sie die verknüpften Informationswerte.
  • A bleibt leer trotz Daten-Verknüpfung: Die Verfügbarkeit wird aus Geschäftsprozessen oder Verarbeitungstätigkeiten gespeist, nicht aus Informationswerten. Verknüpfen Sie das Asset auch dort.
  • Falscher Beziehungstyp: "Nutzt", "Enthält" und "Befindet sich in" haben eine klare Semantik. Eine falsche Wahl macht den späteren Beziehungsgraph unbrauchbar.
  • Kritikalität mit Schutzbedarf verwechselt: Beide Skalen sind getrennt. Ein öffentliches Asset (C = öffentlich) kann trotzdem geschäftskritisch sein.

Häufig gestellte Fragen

Warum kann ich den Schutzbedarf nicht senken?

Eine Absenkung des Schutzbedarfs am Asset ist gesperrt. Das ist Absicht: Schutzbedarf folgt dem Maximum-Prinzip. Wenn der Wert zu hoch wirkt, prüfen Sie die verknüpften Informationswerte und Geschäftsprozesse - dort liegt die Ursache. Eine valide Senkung erfordert das Entkoppeln der zu hoch eingestuften Verknüpfung oder eine Neubewertung des Informationswerts.

Wie hänge ich ein Asset an einen Standort?

Verwenden Sie den Beziehungstyp Befindet sich in im Tab Verknüpfungen. Verknüpfen Sie dazu das Asset mit dem entsprechenden Standort-Asset. So entsteht ein klarer Pfad vom Datenträger über das System bis zum Gebäude.

Was ist der Unterschied zwischen Schutzbedarf und Kritikalität?

Schutzbedarf misst, wie sensibel die Information auf dem Asset ist (C, I, A in vier Stufen). Kritikalität misst, wie wichtig das Asset für den Geschäftsbetrieb ist (Kritisch, Hoch, Normal, Gering). Beide Dimensionen sind unabhängig. Ein Drucker kann öffentlich (C) und gleichzeitig kritisch sein, wenn der Versand ohne ihn steht.

Was passiert mit Verknüpfungen, wenn ich ein Asset stilllege?

Die Verknüpfungen bleiben bestehen. Das ist gewollt, weil die Beziehungs-Historie für Auditberichte relevant ist. Setzen Sie das Asset auf Außer Betrieb oder Vernichtet und räumen Sie die Verknüpfungen manuell auf, wenn sie inhaltlich nicht mehr gelten - sonst entstehen sogenannte Stale Links im Beziehungsgraph.

Wie sehe ich auf einen Blick, welche TOM ein Asset schützt?

Auf der Detailseite gibt es den Tab Maßnahmen. Dort sind alle verknüpften TOM gelistet, mit Status und Wirksamkeitsprüfung. Im Beziehungsgraph (Asset- und Informationskarte) sind die TOM zusätzlich als verbundene Knoten sichtbar.

Was bedeutet das Maximum-Prinzip im Alltag?

Wenn auf einem Server zwei Informationswerte liegen - "Marketing-Material" (C = intern) und "Personalakten" (C = sehr hoch) - hat der Server am Ende C = sehr hoch. Der höhere Wert "frisst" den niedrigeren. Wer den Schutzbedarf des Servers senken will, muss die Personalakten räumlich oder logisch trennen.

Verwandte Artikel


War dieser Artikel hilfreich?

Powered by Product Fruits
Impressum | Datenschutzerklärung