CIA-Triad – Praxis

Die CIA-Triad ist im Audit haeufig der erste Pruefpunkt – weil sie die Grundlage jeder Schutzbedarfsfeststellung ist. Was Auditoren konkret erwarten und wie CIA-Einstufungen dokumentiert werden muessen, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Bei einer Pruefung der CIA-Triad prueft der Auditor, ob alle Assets systematisch nach CIA eingestuft und Schutzmassnahmen daraus abgeleitet wurden. Das BAM-Objekt CROSS-CI-01 definiert im Evidence-Feld, was konkret vorgelegt werden muss.

Haeufige Fehler

• CIA-Einstufung als Einmaluebung – neue Systeme werden nicht eingestuft
• Alle Systeme mit hoher CIA-Einstufung – keine sinnvolle Priorisierung moeglich
• CIA-Einstufung nicht mit konkreten Schutzmassnahmen verknuepft
• Keine Rueckverfolgung: Warum wurde ein System als „hoch vertraulich“ eingestuft?

Schutzbedarfsfeststellung nach BSI in der Praxis

Die BSI-Schutzbedarfsfeststellung (SBF) ist die operativste Umsetzung der CIA-Triad: Fuer jedes Asset werden die Auswirkungen eines Schutzzielverstosses bewertet – welcher Schaden entsteht, wenn Vertraulichkeit verletzt wird? Wenn Integritaet verletzt wird? Wenn das System nicht verfuegbar ist? Die hoehere Einstufung aus den drei Dimensionen bestimmt den Gesamtschutzbedarf. Einstufungen: normal, hoch, sehr hoch.

Evidence-Anforderungen im Audit

Der Auditor erwartet: vollstaendige Asset-Liste mit CIA-Einstufungen und Begruendungen, Zuordnung von Schutzmassnahmen zu CIA-Einstufungen, Nachweis der letzten Aktualisierung der SBF und Prozessbeschreibung, wie neue Assets eingestuft werden.

Die strategische Einordnung – warum die CIA-Triad langfristig mehr als ein Klassifizierungswerkzeug ist – findet sich auf Ebene 3.