Sind Business Criticality und Schutzbedarf einer Anwendung das gleiche? Leitet sich das eine aus dem anderen ab? Dazu hatten wir gerade eine sehr hitzige Diskussion im Projektteam.

Definition einer Business-kritischen Anwendung

A business critical application is any application that is essential for business continuity. If a business-critical application fails or is interrupted, normal operations of the organization cannot proceed as usual.
Organizations often categorize their applications, assigning a level that suggests the scope of expected damages in case of a disaster. Different industries assign different priorities according to their needs, but the majority define three main types of priorities: mission critical, business critical, and non-critical or low priority applications.

Quelle: cloud.netapp.com

Diese Einstufung hat Einfluß auf das IT-Notfallkonzept, Service Level Agreements / Wartungsfenster, Aufbau der Anwendung zB. als Hochverfügbar mit entsprechenden Fail-Over-Mechanismen, usw. (siehe BSI)

Definition Schutzbedarf

Bei der Schutzbedarfsfeststellung ist danach zu fragen, welcher Schaden entstehen kann, wenn für ein Zielobjekt die Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit verletzt werden. Der Schutzbedarf eines Objekts orientiert sich an dem Ausmaß des bei Verletzungen jeweils drohenden Schadens.

Kategorien lt. BSI:
– normal: Die Schadensauswirkungen sind begrenzt und überschaubar.
– hoch: Die Schadensauswirkungen können beträchtlich sein.
– sehr hoch: Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

Quelle: BSI

Es geht um den Schutzbedarf der verarbeiteten Daten. Sie müssen vor unberechtigtem Zugriff geschützt werden, die Korrektheit der Daten muss sichergestellt und die Informationen müssen für Berechtigte verfügbar sein.
Die Einstufung hat Auswirkungen auf die Härtung der Anwendung und der Server, auf die Vergabe der Berechtigungen, darauf, wie sie im Netzwerk abgesichert wird usw., sowie auf den Umfang und die Detailtiefe der zu erstellenden Dokumentationen.

Stein des Anstoßes

Bei uns im Laden gibt es keine einheitliche Liste der Business-kritischen Anwendungen, und maschinell abfragbar ist schon gar keine der vorhandenen (sich teilweise widersprechenden) Listen (sic!). Für Schutzbedarf hingegen liegen diese Einstufungen vor, sogar detailliert klassifiziert als Schutzbedarf 1 (niedrig) bis 9 (sehr hoch).

Meine Kollegen sind nun hingegangen, und haben in der CMDB (allerdings nur im Testsystem) anhand einer definierten Matrix aus dem detaillierten Wert eine Ableitung zu der dreistufigen Kategorisierung (wie vom BSI vorgegeben, s.o.) getätigt. Soweit alles fein für mich.
Aber: sie haben diesen errechneten Wert in das Feld „Business Kritikalität“ reingeschrieben! WTF?!?

Nicht ein Topf!

Das sind zwei völlig unterschiedliche paar Schuhe! Sicherlich korreliert das öfter, aber eine Ableitung vom einen Wert zum anderen ist nicht einfach so möglich. Nur weil eine Anwendung schützenswerte Daten enthält und vielleicht durch Zugriff aus dem Internet heraus exponiert ist, bedeutet dies nicht automatisch, dass sie auch geschäftskritisch ist!

Für das IT Change Management ist die Einstufung der Business Kritikalität wichtig, um Changes beurteilen zu können hinsichtlich der Auswirkungen und des Risikos. Der Schutzbedarf ist dafür hingegen eher unwichtig. Wenn nun jedoch ein Wert für Business Criticality quasi vorgegaukelt wird, führt das zur Annahme einer Entscheidungsgrundlage, die de facto gar nicht exitiert.

Wir haben hin und her diskutiert, und was mich am allermeisten daran ärgert: das ich mal wieder das Gefühl hatte, bei Kollege XY kommen die Argumente Null an. Er sagte am Anfang und am Ende genau das gleiche, als ob er meine Argumente (und von 2 Kollegen:innen) überhaupt nicht wahrgenommen hat.

Man, man, man….
Geeinigt haben wir uns übrigens erstmal nicht….