# LF 4: Schutzbedarfsanalyse im eigenen Arbeitsbereich durchführen

> **1. Ausbildungsjahr** | Zeitrichtwert: **40 Stunden**

## Kernkompetenz

Die Schülerinnen und Schüler verfügen über die Kompetenz, mit Hilfe einer bestehenden Sicherheitsleitlinie eine Schutzbedarfsanalyse zur Ermittlung der Informationssicherheit auf Grundschutzniveau in ihrem Arbeitsbereich durchzuführen.

---

## Lernziele

Nach diesem Lernfeld kannst du:
- [ ] Die Schutzziele der Informationssicherheit erklären
- [ ] Rechtliche Regelungen zum Datenschutz anwenden (DSGVO, BDSG)
- [ ] Bedrohungen für IT-Systeme identifizieren
- [ ] Eine Schutzbedarfsanalyse durchführen
- [ ] Schutzmaßnahmen vorschlagen und umsetzen
- [ ] Den IT-Sicherheitsprozess reflektieren

---

## Schutzziele (CIA)

```
┌─────────────────────────────────────────────────────────────┐
│                    SCHUTZZIELE                           │
├─────────────────┬─────────────────┬─────────────────────┤
│ VERTRAULICHKEIT │    INTEGRITÄT   │  VERFÜGBARKEIT     │
│ (Confidentiality)│ (Integrity)     │ (Availability)      │
├─────────────────┼─────────────────┼─────────────────────┤
│ Nur befugte     │ Daten müssen    │ Systeme und Daten   │
│ Personen können  │ korrekt und    │ sind bei Bedarf    │
│ Daten lesen     │ unverändert     │ verfügbar          │
│                 │ sein            │                    │
├─────────────────┴─────────────────┴─────────────────────┤
│ Weitere Schutzziele:                                    │
│ - Authentizität (Echtheit nachweisen)                 │
│ - Verbindlichkeit (Nicht-Abstreitbarkeit)               │
│ - Zurechenbarkeit (Rückverfolgbarkeit)                 │
└─────────────────────────────────────────────────────────────┘
```

---

## Bedrohungen

### Kategorien

| Kategorie | Beispiele |
|-----------|-----------|
| **Technisch** | Hardware-Ausfall, Software-Fehler, Malware |
| **Natürlich** | Hochwasser, Feuer, Blitzschlag |
| **Menschlich** | Fahrlässigkeit, Vorsatz, Social Engineering |
| **Organisatorisch** | Prozessfehler, Personalmangel |

### Häufige Angriffe

```
Angriffsvektoren:
├── Phishing
├── Ransomware
├── DDoS
├── SQL Injection
├── Cross-Site Scripting (XSS)
├── Man-in-the-Middle
├── Brute Force
└── Zero-Day-Exploits
```

---

## Schutzmaßnahmen

### Organisatorisch
- Sicherheitsrichtlinien
- Schulungen/Awareness
- Zugriffskontrollen
- Incident-Response-Prozess

### Technisch
- Firewall
- Antivirensoftware
- Verschlüsselung
- Backup/Recovery
- Updates/Patches

### Physisch
- Zutrittskontrolle
- Brandschutz
- USV (unterbrechungsfreie Stromversorgung)

---

## Rechtliche Grundlagen

### DSGVO (Datenschutz-Grundverordnung)
- seit 25.05.2018 wirksam
- Personenbezogene Daten schützen
- Betroffenenrechte stärken
- Bußgelder bis 20 Mio. € oder 4% des Jahresumsatzes

### BDSG (Bundesdatenschutzgesetz)
- Ergänzt DSGVO für Deutschland
- Regelungen für öffentliche Stellen

### Wichtige Begriffe

| Begriff | Erklärung |
|---------|-----------|
| **Personenbezogene Daten** | Alle Informationen, die sich auf eine identifizierte Person beziehen |
| **Verarbeitung** | Speichern, Übermitteln, Löschen, etc. |
| **Einwilligung** | Freiwillige, informierte Zustimmung |
| **Datenschutzbeauftragter** | Pflicht bei >20 Mitarbeitern mit Datenverarbeitung |

---

## BSI-Grundschutz

### Vorgehen

1. **Strukturanalyse**: IT-Systeme erfassen
2. **Schutzbedarfsfeststellung**: Schutzniveau bestimmen
3. **Modellierung**: Geeignete Bausteine auswählen
4. **Umsetzung**: Maßnahmen umsetzen
5. **Erprobung**: Basis-Check durchführen

### Schutzbedarfskategorien

| Kategorie | Normal | Hoch | Sehr Hoch |
|-----------|--------|------|-----------|
| Vertraulichkeit | begrenzt | erheblich | existenzbedrohend |
| Integrität | begrenzt | erheblich | existenzbedrohend |
| Verfügbarkeit | begrenzt | erheblich | existenzbedrohend |

---

## Verschlüsselung

### Symmetrisch
- Ein Schlüssel für Ver- und Entschlüsselung
- Bsp.: AES, DES, 3DES
- Schnell, aber Schlüsselaustausch problematisch

### Asymmetrisch
- Schlüsselpaar: öffentlich + privat
- Bsp.: RSA, ECC
- Langsamer, sicherer Schlüsselaustausch

### Hybride Verfahren
- Asymmetrisch für Schlüsselaustausch
- Symmetrisch für Datenverschlüsselung
- Bsp.: TLS/SSL, PGP

---

## Handlungsphasen

1. **Informieren**: Sicherheitsleitlinie, Schutzziele
2. **Planen**: Schutzbedarfsanalyse vorbereiten
3. **Durchführen**: Analyse durchführen, Maßnahmen ableiten
4. **Überprüfen**: Ergebnisse bewerten
5. **Reflektieren**: Prozess bewerten

---

## Prüfungsrelevanz

- Wichtiges Grundlagen-Lernfeld für IT-Sicherheit
- Wird in Teil 1 und Teil 2 der Prüfung vorausgesetzt
- Basis für LF 11b/d (Betrieb und Sicherheit vernetzter Systeme)

---

## Querverweise

- [[LF3-Netzwerke-einbinden|Vorher: LF 3]]
- [[LF5-Datenbanken-anpassen|Nachher: LF 5]]
- [[IT-Sicherheit|Vertiefung IT-Sicherheit]]

---

*Stand: 2024 | Quelle: KMK Rahmenlehrplan 13.12.2019*