Schutzbedarfsfeststellung in der Telematikinfrastruktur · Schutzbedarfsfeststellung in der...

Schutzbedarfsfeststellung in der Telematik-infrastruktur

gematik_Einheitl_Methode_Schutzbedarfsfeststellung_V1.1.0.doc Seite 1 von 55

Version: 1.1.0 © gematik - öffentlich Stand: 30.05.2013

Einheitliche Methoden der Informationssicherheit

Schutzbedarfsfeststellung in der Telematikinfrastruktur

Version: 1.1.0

Revision: \main\rel_online\21

Stand: 30.05.2013

Status: freigegeben

Klassifizierung: öffentlich

Referenzierung: [gemMeth_Schutzbed]




Dokumentinformationen

Änderungen zur Vorversion

Einarbeitung Kommentare LA

Dokumentenhistorie

Version Stand Kap./ Seite

Grund der Änderung, besondere Hinweise Bearbeitung

1.0.0 15.10.12 freigegeben PL P77

Einarbeitung Kommentare LA P77

1.1.0 RC 30.05.13 Zur Freigabe empfohlen PL P77

1.1.0 06.06.13 freigegeben gematik




Inhaltsverzeichnis

Dokumentinformationen......................................................................................2

Inhaltsverzeichnis ................................................................................................3

1 Einordnung des Dokumentes .......................................................................5

1.1 Zielsetzung..........................................................................................................5

1.2 Zielgruppe...........................................................................................................6

1.3 Geltungsbereich .................................................................................................6

1.4 Abgrenzungen ....................................................................................................6

1.5 Methodik..............................................................................................................6

2 Methodik der Schutzbedarfsfeststellung für Informationen und Prozesse 7

2.1 Schutzziele der Telematikinfrastruktur ............................................................7 2.1.1 Definition der Schutzziele................................................................................7 2.1.2 Informationsobjekte und Anwendungsprozesse .............................................8

2.2 Schutzbedarfsfeststellung ................................................................................8 2.2.1 Ermittlung des Schutzbedarfs .........................................................................9 2.2.2 Schadenskategorien .....................................................................................10

2.2.2.1 Schadenskategorie 1: Verstoß gegen allgemeine Gesetze und Vorschriften............................................................................................................11 2.2.2.2 Schadenskategorie 2: Verstoß gegen das Bundesdatenschutzgesetz [BDSG] 12 2.2.2.3 Schadenskategorie 3: Verstoß gegen eGK betreffende Gesetze ([GMG], [SGB V]) und Rechtsverordnungen .......................................................................13 2.2.2.4 Schadenskategorie 4: Verstoß gegen Verträge ....................................14 2.2.2.5 Schadenskategorie 5: Beeinträchtigung der Aufgabenerfüllung ...........16 2.2.2.6 Schadenskategorie 6: Negative Innen- bzw. Außenwirkung (Imageschaden oder Akzeptanzverlust) ................................................................17 2.2.2.7 Schadenskategorie 7: Finanzielle/Wirtschaftliche Schäden..................18

2.3 Schutzbedarf für Datenklassen.......................................................................19 2.3.1 Datenklassen für Informationsobjekte...........................................................19 2.3.2 Schutzbedarfsfeststellung der Datenklassen................................................21

2.4 Schutzbedarf für Schlüssel und PINs ............................................................30

2.5 Regeln im Kontext der Anwendung kryptographischer Verfahren .............31

2.6 Schutzbedarf für Prozessklassen...................................................................32 2.6.1 Klassen für Prozesse ....................................................................................32 2.6.2 Schutzbedarfsfeststellung der Prozessklassen.............................................33

2.6.2.1 Prozessklassen für Verfügbarkeit..........................................................34




2.6.2.2 Prozessklassen für Nichtabstreitbarkeit ................................................37

3 Methodik der Schutzbedarfsfeststellung für Dienste und Komponenten 40

3.1 Komponenten und Dienste der TI...................................................................40

3.2 Vererbung des Schutzbedarfs ........................................................................41 3.2.1 Vererbungsprinzipien ....................................................................................42

3.2.1.1 Maximumprinzip ....................................................................................42 3.2.1.2 Beachtung von Abhängigkeiten ............................................................42 3.2.1.3 Kumulationseffekt..................................................................................43 3.2.1.4 Verteilungseffekt ...................................................................................43

4 Beispiele zur Anwendung der Methoden...................................................44

4.1 Beispiele für Methodik der Schutzbedarfsfeststellung für Informationen und Prozesse...............................................................................................................44

4.1.1 Beispielhafte Bestimmung des Schutzbedarfs unter Verwendung der Regeln für Schlüssel und Datenklassen ................................................................................44 4.1.2 Informationsobjekt „verschlüsselter medizinischer Befund“ ..........................45 4.1.3 Anwendungsprozess „aktualisierendes Schreiben von Notfalldaten auf eine eGK“ 47

4.2 Beispiel einer Schutzbedarfsfeststellung für Dienste und Komponenten..48 4.2.1 Vererbung des Schutzbedarfs bei Transport einer Nachricht .......................48

5 Zusatzinformationen....................................................................................52

5.1 Aufwand zur Durchführung.............................................................................52

5.2 Qualitätssicherung...........................................................................................52

5.3 Lernmittel ..........................................................................................................52

5.4 Häufig gestellte Fragen (FAQs).......................................................................52

Anhang A ............................................................................................................53

A1 – Abkürzungen.......................................................................................................53

A2 – Glossar ................................................................................................................53

A3 – Abbildungsverzeichnis ......................................................................................53

A4 – Tabellenverzeichnis ...........................................................................................53

A5 - Referenzierte Dokumente ...................................................................................54




1 Einordnung des Dokumentes

1.1 Zielsetzung

Zweck der Schutzbedarfsfeststellung ist die Ermittlung des Schutzbedarfs aller Informati-onsobjekte und Anwendungsprozesse pro Fachanwendung und TI-Plattform. Hierzu wer-den für jeden Anwendungsprozess und die verarbeiteten Informationen die zu erwarten-den Schäden herangezogen, die bei einer Beeinträchtigung von Schutzzielen (bspw. Ver-traulichkeit) entstehen können. Weiterhin wird dargestellt wie der Schutzbedarf für Kom-ponenten und Dienste in der TI ermittelt wird.

Die Schutzbedarfsfeststellung muss insbesondere zum Beginn des Lebenszyklus einer Fachanwendung und der TI-Plattform für alle als relevant identifizierten Informationsob-jekte und Anwendungsprozesse durchgeführt werden. Sollten in späteren Phasen Infor-mationsobjekte oder Anwendungsprozesse neu hinzukommen oder wegfallen, muss die Schutzbedarfsfeststellung wiederholt und fortgeschrieben werden.

Um die Schutzbedarfsanalyse durchführen zu können, müssen alle Informationsobjekte und Anwendungsprozesse für die jeweilige Fachanwendung oder TI-Plattform identifiziert und dokumentiert sein. Für jedes Informationsobjekt und jeden Anwendungsprozess müssen Fachexperten zur Verfügung stehen, die den Schutzbedarf bewerten können. Als Quelle für die Identifizierung von Informationsobjekten dienen die Informations- bzw. Da-tenmodelle aus den Konzept- und Spezifikationsdokumenten. Als Quelle für die Identifi-zierung von Anwendungsprozessen dienen die Anwendungsfälle (Use Cases) aus den Konzept- und Spezifikationsdokumenten.

Das Ergebnis der Methodik zur Schutzbedarfsfeststellung ist der ermittelte und dokumen-tierte Schutzbedarf für jedes Informationsobjekt und jeden Anwendungsprozess der be-trachteten Fachanwendung bzw. der TI-Plattform.

Das Ergebnis der Schutzbedarfsfeststellung ist Voraussetzung für die Sicherheitsanalyse innerhalb der Sicherheitskonzeption, siehe Abbildung 1.

Methodik der Sicherheitskonzeption

Schutzbedarfs-feststellung

Risikoanalyse

Sicherheitsanalyse

Bedrohungs- und Schwachstellenanalyse Übergreifende

Festlegungen

Umgebungs-annahmen

Sicherheits-funktionen

Abbildung 1: Methodik der Sicherheitskonzeption




1.2 Zielgruppe

Das Dokument richtet sich an Autoren von Spezifikationen von Produkten der TI sowie an Anbieter von Produkten der TI.

1.3 Geltungsbereich

Dieses Dokument enthält normative Festlegungen zur Telematikinfrastruktur des Deut-schen Gesundheitswesens. Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung in Zulassungsverfahren werden durch die gematik GmbH in gesonderten Dokumenten (z.B. Dokumentenlandkarte, Produkttypsteckbrief, Leistungsbeschreibung) festgelegt und bekannt gegeben.

1.4 Abgrenzungen

In diesem Dokument wird nur die Durchführung von Schutzbedarfsfeststellungen be-schrieben. Die Erhebung der Informationsobjekte und Anwendungsprozesse oder die De-finition der Sicherheitsmaßnahmen ist nicht Bestandteil dieses Dokuments.

Anhand eines Beispiels wird die Anwendung der Methode aufgezeigt. Das verwendete Beispiel hat keinen Einfluss auf die Ausgestaltung der TI.

1.5 Methodik

Die vorliegende Methodik der Schutzbedarfsfeststellung ist angelehnt an die IT-Grund-schutz-Vorgehensweise des BSI [BSI-100-2].




2 Methodik der Schutzbedarfsfeststellung für Informationen und Prozesse

2.1 Schutzziele der Telematikinfrastruktur

Zur Umsetzung der Sicherheitsstrategie der Telematikinfrastruktur (TI) werden für die Informationen und die verarbeitenden Anwendungsprozesse (im folgenden kurz Prozesse genannt) in der TI Schutzziele definiert, die die schützenswerten Grundeigenschaften einer Information bzw. eines Prozesses beschreiben.

Der Verlust einer dieser Grundeigenschaften (und somit eines Schutzzieles) führt zu po-tentiellen Schadensszenarien, welche nach der zu erwartenden Schadenshöhe klassifi-ziert sind. Basierend auf diesen Schadenshöhen wird der Schutzbedarf für jedes bedroh-te Schutzziel für die jeweilige Information bzw. den Prozess ermittelt. Führt beispielswei-se der Verlust des Schutzzieles „Integrität“ für eine bestimmte Information zu einem „niedrigen“ Schaden, so wird der Schutzbedarf bezüglich dieses Schutzzieles für diese Information als „niedrig“ eingestuft.

2.1.1 Definition der Schutzziele

Die Definition der Schutzziele der Informationen und Anwendungsprozesse in der TI trägt der datenschutzgerechten Ausgestaltung von Telematikinfrastruktur und elektronischer Gesundheitskarte Rechnung. Dies macht einen konsequenten Einsatz von Sicherheits-technologie und organisatorischen Maßnahmen erforderlich. Für die automatisierte Ver-arbeitung und Nutzung von personenbezogenen Daten in der Telematikinfrastruktur müs-sen daher verschiedene Schutzziele erfüllt werden. Diese Schutzziele gelten für die Te-lematikinfrastruktur und deren verschiedenen Anwendungen.

Die Grundlage dieser Schutzziele sind Anforderungen aus dem Datenschutz, gesetzliche Rahmenbedingungen und Anforderungen aus Standards der Informationssicherheit. Die folgenden fünf Schutzziele1 bilden die Basis für die vorliegende Methodik der Schutzbe-darfsfeststellung:

Vertraulichkeit: Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.

Integrität: Integrität bezeichnet die Sicherstellung der Unversehrtheit von In-formationsobjekten und der korrekten Funktionsweise von Systemen. Der Verlust der Integrität von Informationsobjekten kann bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Er-stellung manipuliert wurden.

1 Die Beschreibung der einzelnen Schutzziele ist an die entsprechende Definition im Glossar des BSI [BSI-Glossar] angelehnt.




Authentizität: Mit dem Begriff Authentizität wird die Eigenschaft von Informa-tionsobjekten bezeichnet, die gewährleistet, dass sie von der angegebenen Quelle erstellt wurden.

Nichtabstreitbarkeit (Verbindlichkeit): Ziel der Nichtabstreitbarkeit ist es zu gewährleisten, dass die Prozesse zur Erhebung, Verarbeitung und Nutzung von Informationsobjekten nicht in Abrede gestellt werden können. Die Nicht-abstreitbarkeit des Sendens und Empfangens von Informationsobjekten be-zieht sich sowohl auf den Vorgang der Übertragung als auch auf das Objekt der Übertragung.

Verfügbarkeit: Die Verfügbarkeit von Prozessen ist vorhanden, wenn diese wie gewünscht zur Verfügung stehen.

2.1.2 Informationsobjekte und Anwendungsprozesse

Für die Schutzbedarfsfeststellung in der Telematikinfrastruktur wird in Informationen mit passiven Eigenschaften (Informationsobjekte) und Prozesse mit aktiven Eigenschaften (Anwendungsprozesse) unterschieden.

Während die Schutzziele Vertraulichkeit, Integrität und Authentizität auf einzelne Informa-tionsobjekte abgebildet werden (da diese passive Eigenschaften von Objekten beschrei-ben), werden die Schutzziele Verfügbarkeit und Nichtabstreitbarkeit auf Anwendungspro-zesse angewandt, in denen Informationsobjekte dynamisch erzeugt, verarbeitet oder ge-speichert werden. Hierbei kann sich z.B. die Verfügbarkeit für die einzelnen Anwendungs-prozesse stark unterscheiden.

2.2 Schutzbedarfsfeststellung

Ziel der Schutzbedarfsfeststellung ist es, für die Informationsobjekte und Anwendungs-prozesse der Telematikinfrastruktur zu ermitteln, welchen Schutzbedarf sie bezüglich der jeweiligen Schutzziele besitzen. Dieser Schutzbedarf orientiert sich an den möglichen Schäden, die mit einer Beeinträchtigung der Schutzziele verbunden sind.

Zur Vereinfachung der Schutzbedarfsfeststellung können Informationsobjekten Daten-klassen, für die bereits ein generischer Schutzbedarf ermittelt wurde, zugeordnet werden. Informationen zu dieser Vorgehensweise finden sich in Abschnitt 2.3.

Analog können Anwendungsprozesse Prozessklassen zugeordnet werden, für die bereits ein generischer Schutzbedarf ermittelt wurde (vgl. Abschnitt 2.6).

Für Schlüssel und PINs wird eine gesonderte Methode zur Bestimmung ihres Schutzbe-darfs in Abschnitt 2.4 eingeführt.

Einen Überblick über die einzelnen Schritte einer Schutzbedarfsfeststellung gibt die fol-gende Abbildung:




Dokumentation des

Schutzbedarfs

Übernahme des Schutzbedarfs der Prozessklasse für

den Prozess

Durchführung einer individuellen

Schutzbedarfs-feststellung

Übernahme des Schutzbedarfs

der Datenklasse für das IO

Identifizierung eines IOs oder

Prozesses

Liegt ein IO oder ein

Prozess vor?

Liegt ein IO oder ein

Prozess vor?

Ist das IO einSchlüssel bzw.

eine PIN?

Ist das IO einSchlüssel bzw.

eine PIN?

Ist der SBF einer Datenklasse für

das IO plausibel?

Ist der SBF einer Datenklasse für

das IO plausibel?

Ist der SBF einer Prozessklasse

für den Prozess plausibel?

Ist der SBF einer Prozessklasse

für den Prozess plausibel?

Informationsobjekt (IO) Prozess

Ableitung des Schutzbedarfs

aus dem zu schützenden IO

NEIN

JA NEINJA JA

Abbildung 2 - Schritte einer Schutzbedarfsfeststellung

2.2.1 Ermittlung des Schutzbedarfs

Da der Schutzbedarf in der Regel nicht quantifizierbar ist, beschränkt sich die Schutzbe-darfsfeststellung auf eine qualitative Aussage, indem der Schutzbedarf in vier Klassen unterteilt wird. Das heißt, der Schutzbedarf einzelner Informationsobjekte bzw. Anwen-dungsprozesse wird mit Hilfe einer Klassifizierung nach

Niedrig,

Mittel,

Hoch und

Sehr hoch

und bezüglich der Schutzziele

Vertraulichkeit,

Integrität,

Authentizität,

Verfügbarkeit und

Nichtabstreitbarkeit (Verbindlichkeit)




festgelegt.

Es wurde hier bewusst von den in der IT-Grundschutz-Vorgehensweise nach BSI-Standard 100-2 vorgeschlagenen drei Schutzbedarfsklassen (im BSI-Standard 100-2 sind dies die drei Schutzbedarfskategorien normal, hoch, sehr hoch) abgewichen, um mit den hier verwendeten vier Klassen mehr Granularität in der Darstellung des Schutzbedarfs zu ermöglichen. Diese größere Granularität wird durch das Informationssicherheits-Risikomanagement (ISRM) der Telematikinfrastruktur motiviert, da diese Klassen dort ebenfalls Anwendung finden und letztendlich in die Darstellung von Risikobereichen münden.

Die Höhe des Schutzbedarfs wird durch eine Abschätzung der Höhe potentieller Schäden durch Verlust eines Schutzzieles für ein Informationsobjekt oder einen Anwendungspro-zess festgelegt. Diese Abschätzung wird durch vordefinierte Schadenskategorien, die für jeden potentiellen Schadensfall herangezogen werden sollen, vereinfacht (siehe Kapitel 2.2.2).

Häufig treffen dabei für einen Schaden mehrere Schadenskategorien zu. So kann bei-spielsweise der Verlust der Vertraulichkeit eines Informationsobjektes einen Verstoß ge-gen eine Vorschrift oder ein Gesetz bedeuten, was auch finanzielle Einbußen nach sich zieht und gleichzeitig auch zu einem Imageverlust führt. Sollte für ein Schutzziel in einer Schadenskategorie kein Schaden ermittelbar sein, so ist diese Schadenskategorie zur Ermittlung der Schutzbedarfsklasse nicht anwendbar.

Sollten Schäden möglich sein, die sich nicht in die in Kapitel 2.2.2 definierten Schadens-kategorien einordnen lassen, jedoch für die Bewertung der Schadenschwere und damit des zu ermittelnden Schutzbedarfs von Nöten sind, so können auch eigene Schadenska-tegorien gebildet werden. Dabei ist die Schadenskategorie, insbesondere die Abgrenzung zwischen den Klassen („niedrig“, „mittel“, „hoch" oder „sehr hoch") bei der Schaden-schwere, zu definieren.

Die Beurteilung des Schutzbedarfs für Informationsobjekte und Anwendungsprozesse erfolgt nach dem Maximumprinzip, d.h. dass der Schutzbedarf immer von der Schadens-kategorie mit dem schwersten potentiellen Schaden abgeleitet wird (maximale Scha-densschwere bestimmt den Schutzbedarf).

2.2.2 Schadenskategorien

Die als Grundlage zur Abschätzung des möglichen Schadens herangezogenen Scha-denskategorien sind nachfolgend aufgeführt. Sie basieren auf den in den IT-Grundschutzkatalogen des BSI und anderen Best-Practice-Sammlungen verwendeten Schadenskategorien. Sie werden ebenfalls im Rahmen des Informationssicherheits-Risikomanagements (ISRM) der Telematikinfrastruktur zur Bewertung von Risiken ange-wendet.

Die folgenden sieben Schadenskategorien werden betrachtet:

(1) Verstoß gegen allgemeine Gesetze und Vorschriften (inkl. Personenschäden);

(2) Verstoß gegen das Bundesdatenschutzgesetz (BDSG);

(3) Verstoß gegen spezielle, die eGK betreffende Gesetze (GMG, SGB V) und Rechtsverordnungen;




(4) Verstoß gegen Verträge;

(5) Beeinträchtigung der Aufgabenerfüllung;

(6) Negative Innen- bzw. Außenwirkung;

(7) Finanzielle/Wirtschaftliche Schäden.

Innerhalb jeder der sieben Schadenskategorien werden die Abstufungen der Schadens-schwere in den folgenden Abschnitten und Tabellen separat definiert.

2.2.2.1 Schadenskategorie 1: Verstoß gegen allgemeine Gesetze und Vorschriften

Diese Schadenskategorie betrifft Verstöße gegen allgemeine Gesetze und beinhaltet die Bewertung von potentiellen Schäden für Leib und Leben von Versicherten, die im Zusam-menhang mit der Verletzung der Schutzziele der TI entstehen können.

Tabelle 1: Schadensbewertung Verstoß gegen allgemeine Gesetze

Schadensschwere Beschreibung

Kein Schaden

Ein Verstoß würde gegenwärtig nicht mit einem für die TI relevanten Scha-densereignis verbunden sein. Eine Änderung der Rahmenbedingungen könnte jedoch dazu führen, dass in der Zukunft ein Schadensereignis fest-gestellt werden würde (bspw. durch eine Änderung der Gesetzeslage).

ODER

Ein Schaden dieser Kategorie ist auf das Objekt der Betrachtung nicht an-wendbar.

Niedrig

Verstöße gegen Vorschriften und Gesetze mit geringfügigen Konsequen-zen: Ein Vergehen solcher Art würde voraussichtlich maximal mit einer Empfehlung, Beratung (öffentliche Stelle), Rüge (nicht-öffentliche Stelle) oder Verwarnung geahndet werden.

Mittel Formale Verstöße gegen Vorschriften und Gesetze mit mittleren Konse-quenzen: Ein Verstoß hätte höchstens Schadensersatzforderungen mittle-rer Höhe gemäß § 823 BGB i. V. m. Artikel 1 und 2 GG [GG] zur Folge.

Hoch

Materielle Verstöße gegen Vorschriften und Gesetze mit erheblichen Kon-sequenzen: Ein Verstoß hätte möglicherweise die Beschlagnahme eines Servers (oder anderer Datenträger) als Beweismittel gemäß § 97 StPO wegen strafrechtlicher Ermittlungen zur Folge (=Betriebsstilllegung).

Sehr hoch

Verstöße gegen Vorschriften und Gesetze mit erheblichen Konsequenzen (z. B. Ahndung durch sehr hohe Geldstrafe und/oder Freiheitsstrafe): Bei einem Verstoß kann es zu einer Ahndung mit Freiheitsstrafe kommen. Dies läge bspw. vor bei:

unbefugtem Ausspähen von Daten gemäß § 202a StGB,

Verletzung von Privatgeheimnissen gemäß § 203 StGB,

Verstoß gemäß § 206 StGB (unbefugte Mitteilung über Tatsachen, die dem Post- oder Fernmeldegeheimnis unterliegen).

ODER

Eine gravierende Beeinträchtigung der persönlichen Unversehrtheit ist möglich. Durch den Verstoß kann es zu einer Gefahr für Leib und Leben kommen.




2.2.2.2 Schadenskategorie 2: Verstoß gegen das Bundesdatenschutzgesetz [BDSG]

Einer verantwortlichen Stelle drohen bei Verstoß gegen Vorschriften des Bundesdaten-schutzgesetzes [BDSG] und speziellen Vorschriften u. a. folgende Nachteile und Sankti-onen:

Imageverlust/Wettbewerbsnachteil

Kontrolle durch Aufsichtsbehörde (§ 38 BDSG, insbes. Abs. IV)

Schadensersatz der verantwortlichen Stelle an Betroffene (§§ 7, 823 BGB i. V. m. Art. 1, 2 I GG [Schmerzensgeld], 8 BDSG)

Bußgeld nach § 43 BDSG (je nach Verstoß bis zu 50.000 € bzw. 300.000 €)

Strafen nach § 44 BDSG (Freiheitsstrafe bis zu 2 Jahren oder Geldstrafe)

Die oben genannten möglichen Auswirkungen werden teilweise in separaten Schadens-kategorien behandelt (Imageschäden werden z. B. in der Schadenskategorie „Negative Innen- bzw. Außenwirkung“ behandelt). Die folgenden Abstufungen beziehen sich auf rechtliche Folgen eines Verstoßes gegen das BDSG.

Dabei wird der persönlich mit Bußgeld belegt, wem die tatsächliche Verantwortung und Entscheidungsbefugnis über den datenschutzrechtlich geregelten Sachverhalt obliegt (§§ 9, 130 OwiG; § 3 Abs. 7 BDSG). Strafrechtlich ist jeder verantwortlich, der die unten genannten Tathandlungen begeht.

Tabelle 2: Schadensbewertung Verstoß gegen das Bundesdatenschutzgesetz


Kein Schaden

Ein Verstoß würde gegenwärtig nicht mit einem für die TI relevanten Scha-densereignis verbunden sein. Eine Änderung der Rahmenbedingungen könnte jedoch dazu führen, dass in der Zukunft ein Schadensereignis fest-gestellt werden würde (bspw. durch eine Änderung der Gesetzeslage).

ODER


Niedrig

Prozesse und Verfahren des Umgangs mit personenbezogenen Daten stehen nicht komplett mit datenschutzrechtlichen Vorschriften im Einklang, Konformität könnte jedoch durch leicht durchzuführende Abänderungen an den betreffenden Prozessen und Verfahren erreicht werden.

Vergehen solcher Art würden durch die zuständigen Behörden voraussicht-lich maximal mit einer Empfehlung, Beratung (öffentliche Stelle), Rüge (nicht-öffentliche Stelle) oder Verwarnung geahndet werden.

Anmerkung:

Welche Verstöße nur mit einer Rüge anstatt mit einem Bußgeld geahndet werden, ist gesetzlich nicht geregelt und liegt im Ermessen der zuständigen Aufsichtsbehörde und ist für jeden Einzelfall gesondert zu bewerten.

Fälle, bei denen auf ein Bußgeld verzichtet wurde bzw. die weitgehend nicht mit Sanktionen belegt sind, sind bspw. Verstöße gegen die Informati-onspflicht des § 4 Abs. 3 BDSG und Nichtbeachtung der Programmsätze der Datenvermeidung und Datensparsamkeit gemäß § 3a BDSG, soweit





keine Begründung für die Nichteinhaltung vorliegt.

Mittel

Eine Beeinträchtigung des informationellen Selbstbestimmungsrechts wür-de durch den Einzelnen als tolerabel eingeschätzt werden bzw. der mögli-che Missbrauch personenbezogener Daten hat nur begrenzte Auswirkun-gen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen.

Es liegt ein formaler Verstoß gegen das BDSG nach § 43 Abs. 1 BDSG vor.

Missstände gemäß § 43 Abs. 1 BDSG können mit Bußgeldern oder Aufla-gen durch die Aufsichtsbehörden geahndet werden.

Hoch

Eine erhebliche Beeinträchtigung des informationellen Selbstbestimmungs-rechts des Einzelnen liegt vor bzw. ein möglicher Missbrauch personenbe-zogener Daten hat erhebliche Auswirkungen auf die gesellschaftliche Stel-lung oder die wirtschaftlichen Verhältnisse des Betroffenen.

Es handelt sich um einen unrechtmäßigen Umgang mit personenbezoge-nen Daten; es liegt ein materieller Verstoß gegen das BDSG nach § 43 Abs. 2 BDSG vor.

Ein Verstoß hätte hohe Bußgelder zur Folge.

Sehr hoch

Eine besonders bedeutende Beeinträchtigung des informationellen Selbst-bestimmungsrechts des Einzelnen liegt vor bzw. ein möglicher Missbrauch personenbezogener Daten würde für den Betroffenen einen erheblichen gesellschaftlichen oder wirtschaftlichen Schaden bedeuten.

Es handelt sich um einen unrechtmäßigen Umgang mit personenbezoge-nen Daten; es liegt ein materieller Verstoß gegen das BDSG nach § 44 BDSG vor.

Ein Verstoß hätte eine Freiheitsstrafe bis zu 2 Jahren oder eine sehr hohe Geldstrafe zur Folge.

2.2.2.3 Schadenskategorie 3: Verstoß gegen eGK betreffende Gesetze ([GMG], [SGB V]) und Rechtsverordnungen

Für die Bewertung von Schäden durch Risken in Verbindung mit Verstößen gegen eGK betreffende Gesetze werden folgende Festlegungen getroffen:

Tabelle 3: Schadensbewertung Verstoß gegen eGK betreffende Gesetze


Kein Schaden

Ein Verstoß würde gegenwärtig nicht mit einem für die TI relevanten Scha-densereignis verbunden sein. Eine Änderung der Rahmenbedingungen könnte jedoch dazu führen, dass in der Zukunft ein Schadensereignis fest-gestellt werden würde (z. B. durch eine Änderung der Gesetzeslage).

ODER






Niedrig

Geringfügige Abweichungen von eGK-betreffenden Gesetzen ([GMG], [SGB V]) und Rechtsverordnungen:

Dies umfasst bspw. Verstöße gegen das Ziel der Datensparsamkeit gemäß § 78 b SGB X und §§ 284 ff. SGB V.

Vergehen solcher Art würden durch die zuständigen Behörden voraussicht-lich maximal mit einer Empfehlung, Beratung (öffentliche Stelle), Rüge (nicht-öffentliche Stelle) oder Verwarnung geahndet werden.

Mittel

Formale Abweichungen von eGK-betreffenden Gesetzen ([GMG], [SGB V]) und Rechtsverordnungen.

Dies umfasst zum Beispiel

Verstöße gemäß § 85 Abs. 1 SGB X.

Ordnungswidrigkeiten gemäß § 307 Abs. 1 SGB V.

Hoch

Materielle Verstöße gegen eGK-betreffende Gesetze ([GMG], [SGB V]) und Rechtsverordnungen.

Dies umfasst z. B.:

Verstöße gemäß § 85 Abs. 2 SGB X.

Ordnungswidrigkeiten gemäß § 307 Abs. 2 SGB V.

Sehr hoch

Fundamentaler Verstoß gegen eGK-betreffende Gesetze ([GMG ], [SGB V]) und Rechtsverordnungen.

Dies umfasst z. B.:

Verstöße gemäß §§ 85 Abs. 2, 85a SGB X (Strafordnung), die mit Frei-heitsstrafe bis zu zwei Jahren oder Geldstrafe bestraft werden.

Verstöße gemäß § 307 a SGB V, die mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft werden.

2.2.2.4 Schadenskategorie 4: Verstoß gegen Verträge

Innerhalb der Telematikinfrastruktur bestehen verschiedene Verträge auf unterschied-lichen Ebenen zwischen vielfältigen Beteiligten. Anbieter und Dienstbetreiber oder Pro-vider zum Beispiel schließen Service Level Agreements (SLA) miteinander ab, welche die Anforderungen an die angebotenen Dienste/Dienstleistungen beschreiben und im Falle einer Nichterfüllung die vertraglichen, rechtlich verbindlichen Konsequenzen regeln. Auch schließen verschiedene Institutionen Verträge mit ihren Mitarbeitern ab, welche die Wah-rung von Betriebsgeheimnissen oder die Verpflichtung zur Verschwiegenheit regeln.

Wenn Verträge gebrochen werden, sei es durch vorsätzliche Handlungen, das Nicht-einhalten von Sicherheitsstandards oder als Konsequenz von höherer Gewalt, so können Schäden unterschiedlicher Schwere entstehen. Die folgende Tabelle stellt die einzelnen Schadensschweren dar, die auch im Zusammenhang mit den Werten der finanziellen Schäden in Kapitel 2.2.2.7 betrachtet werden sollten.




Tabelle 4: Schadensbewertung Verstoß gegen Verträge


Kein Schaden

Ein Verstoß würde gegenwärtig nicht mit einem für die TI relevanten Scha-densereignis verbunden sein. Eine Änderung der Rahmenbedingungen könnte jedoch dazu führen, dass in der Zukunft ein Schadensereignis fest-gestellt werden würde (z. B. durch eine Änderung der Gesetzeslage).

ODER


Niedrig

Ein Verstoß wäre eine Vertragsverletzung, die mit maximal niedrigen (Schadenshöhe siehe „Schadenskategorie 7: Finanzielle/Wirtschaftliche Schäden“ S. 18) wirtschaftlichen bzw. finanziellen Schäden verbunden wäre:

Mangelgewährleistung: Nacherfüllung durch Nachbesserung oder wirt-schaftlich vertretbare Neulieferung.

Bei einem Verzug: Leistung wird innerhalb angemessener Nachfrist er-bracht.

Mittel

Ein Verstoß wäre eine Vertragsverletzung, die mit maximal mittleren (Schadenshöhe siehe Schadenskategorie 7: Finanzielle/Wirtschaftliche Schäden) wirtschaftlichen bzw. finanziellen Schäden verbunden wäre:

Wegen fehlender Nacherfüllung oder fruchtlosem Ablauf einer Nachfrist

Rücktrittsrecht (§§ 323, 324 BGB) vom Vertrag und Anspruch auf Scha-densersatz (§§ 280, 281, 282, 283 BGB = positives Interesse) wegen Pflichtverletzung,

Aufwendungsersatzanspruch (§ 284 BGB = negatives Interesse).

Der Zustand, der bestehen würde, wenn der zum Ersatz verpflichtende Umstand nicht eingetreten wäre, ist mit mittlerem Aufwand herzustellen (vgl. § 249 BGB).

Hoch

Ein Verstoß wäre eine Vertragsverletzung, die mit hohen (Schadenshöhe siehe Schadenskategorie 7: Finanzielle/Wirtschaftliche Schäden) wirt-schaftlichen bzw. finanziellen Schäden verbunden wäre.

Durch den Verstoß kann es zum Rücktritt vom Vertrag (§§ 323, 324 BGB) kommen, der Schadensersatzansprüche nach § 280 BGB zur Folge hätte.

Der Zustand, der bestehen würde, wenn der zum Ersatz verpflichtende Umstand nicht eingetreten wäre, ist nur mit hohem Aufwand herzustellen (vgl. § 249 BGB), und kann entgangenen Gewinn (§ 252 BGB) und neben Vermögensschäden auch

Ersatz immaterieller Schäden (§ 253 BGB) umfassen.

Sehr hoch

Ein Verstoß wäre eine Vertragsverletzung, die mit sehr hohen (Schadens-höhe siehe: Schadenskategorie 7: Finanzielle/Wirtschaftliche Schäden) wirtschaftlichen bzw. finanziellen Schäden verbunden wäre.

Durch den Verstoß könnten Schadensersatzansprüche nach § 280 BGB geltend gemacht werden:

Haftung wegen Verletzung vertraglicher oder gesetzlicher Verpflichtungen.

Der Zustand, der bestehen würde, wenn der zum Ersatz verpflichtende Umstand nicht eingetreten wäre, ist nur mit sehr hohem Aufwand herzustel-len (vgl. § 249 BGB), der die jeweils vertraglich vereinbarte Haftungsbe-schränkung erreicht.





Evtl. Zahlung eines vertraglich vereinbarten pauschalierten Schadensersat-zes (% vom Auftragswert) bei Auftragserlangung durch strafbares Handeln wie z. B. Bestechung, Vorteilsgewährung, wettbewerbsbeschränkende Absprachen, Betrug (§§ 334, 333, 298 und 263 StGB).

2.2.2.5 Schadenskategorie 5: Beeinträchtigung der Aufgabenerfüllung

Eine Beeinträchtigung der Aufgabenerfüllung entsteht meistens als Folge einer Nichtver-fügbarkeit von Assets. Denkbar sind jedoch auch Beeinträchtigungen der Aufgabenerfül-lung durch den Verlust weiterer Schutzziele, wie der Integrität oder der Vertraulichkeit von Informationsobjekten.

Die folgende Tabelle enthält die Vorgaben für die Bewertung von Schäden, die eine Be-einträchtigung der Aufgabenerfüllung zur Folge haben.

Tabelle 5: Schadensbewertung Beeinträchtigung der Aufgabenerfüllung


Kein Schaden

Eine Beeinträchtigung würde nicht mit einem TI-relevanten Schadensereig-nis verbunden sein.

Eine Änderung der Rahmenbedingungen könnte jedoch dazu führen, dass in der Zukunft ein Schadensereignis festgestellt werden würde (z. B. durch eine Änderung der Gesetzeslage).

ODER


Niedrig

Die Beeinträchtigung würde von den Betroffenen als tolerabel eingeschätzt.

Die Beeinträchtigung der Aufgabenerfüllung wäre für die Betroffenen tole-rabel, da z.B. innerhalb eines kurzen Zeitraums und mit nur niedrigem Auf-wand auf Ersatzverfahren umgestellt werden könnte und Arbeitsabläufe nur geringfügig gestört würden.

Mittel

Die Beeinträchtigung der Aufgabenerfüllung wäre für die Betroffenen zwar tolerabel, der Übergang auf Ersatzverfahren bedürfe jedoch einigen Auf-wandes und würde Arbeitsabläufe stören.

Der Übergang auf Ersatzverfahren würde von den Betroffenen als unange-nehm und aufwendig betrachtet, würde jedoch nur mittlere (siehe Scha-denskategorie 7 für die Definition von „mittel“ für finanzielle Schäden) Kos-ten für den Betroffenen verursachen.

Hoch

Die Beeinträchtigung würde von den Betroffenen als nicht tolerabel einge-schätzt.

Die Beeinträchtigung der Aufgabenerfüllung wäre für die Betroffenen nicht tolerabel, da der Übergang auf Ersatzverfahren sehr aufwendig und kost-spielig wäre, und der Vorfall die Arbeitsabläufe stark stören würde (siehe Schadenskategorie 7 für die Definition von „hoch“ für finanzielle Schäden).

Der Betroffene, sofern er Leistungen erbringt, wäre in der Erbringung die-ser stark eingeschränkt.





Der Betroffene, sofern er Leistungen bezieht, würde den Vorfall als nicht tolerable Verzögerung des Leistungsbezugs wahrnehmen.

Sehr hoch

Eine Beeinträchtigung wäre nicht tolerabel.

Die Beeinträchtigung der Aufgabenerfüllung wäre für die Betroffenen nicht tolerabel, da der Übergang auf Ersatzverfahren nicht oder nur mit einem sehr hohen (siehe Schadenskategorie 7 für die Definition von „sehr hoch“ für finanzielle Schäden) Aufwand möglich wäre, bzw. der Vorfall die Ar-beitsabläufe sehr stark stören würde.

Der Betroffene, sofern er Leistungen erbringt, könnte seine Leistungen für einen Zeitraum, der für ihn nicht tolerabel ist, nicht mehr erbringen.

Der Betroffene, sofern er Leistungen bezieht, würde den Vorfall als nicht tolerable Verzögerung des Leistungsbezugs wahrnehmen. Der Ausfall könnte eine Gefahr für Leib und Leben nach sich ziehen.

2.2.2.6 Schadenskategorie 6: Negative Innen- bzw. Außenwirkung (Imageschaden oder Akzeptanzverlust)

Imageschäden können erhebliche negative Auswirkungen auf die TI haben und finden deshalb innerhalb der Betrachtung besondere Beachtung. Potentielle Schäden von Schadensereignissen bezüglich dieser Schadenskategorie sind nach der folgenden Ta-belle zu bewerten.

Tabelle 6: Schadensbewertung Negative Innen- bzw. Außenwirkung (Imageschaden oder Akzeptanzverlust)


Kein Schaden

Das Schadensereignis würde sich in seiner Innen- bzw. Außenwirkung nicht unmittelbar auf die TI beziehen.

Eine Änderung der Rahmenbedingungen könnte jedoch dazu führen, dass in der Zukunft ein Schadensereignis festgestellt werden würde (z. B. durch eine Änderung der Gesetzeslage).

ODER


Niedrig Ein Vorfall hätte geringe bzw. nur interne Ansehens- oder Vertrauensbeein-trächtigung zur Folge.

Mittel Eine Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten, die je-doch keine langfristige negative Wirkung hätte.

Geringe negative Berichterstattung ohne größere Auswirkungen.

Hoch Ein Vorfall hätte eine enorme Ansehens- oder Vertrauensbeeinträchtigung zur Folge, die dazu führen würde, dass die Nutzung der TI von den Akteu-ren für eine gewisse Zeit boykottiert wird.

Sehr hoch Ein Vorfall dieser Art hätte eine so starke Ansehens- oder Vertrauensbeein-trächtigung zur Folge, dass die Möglichkeit besteht, dass der Fortbestand der TI infrage gestellt wird.




2.2.2.7 Schadenskategorie 7: Finanzielle/Wirtschaftliche Schäden

Auch wirtschaftliche Schäden können entstehen, wenn eines oder mehrere der fünf Schutzziele der TI verletzt werden. Finanzielle Schäden können zum Beispiel dann ent-stehen, wenn durch eingeschränkte Funktionalitäten der TI Ersatzprozesse strapaziert werden müssen, die Arbeitsabläufe stören und dadurch zusätzliche Arbeitsaufwände er-zeugen.

Die Bewertung möglicher finanzieller Schäden findet meistens in Zusammenhang mit den anderen Schadenskategorien Anwendung. Hierauf wurde in den vorangegangenen Ta-bellen bereits hingewiesen.

Auch bei der Beurteilung von finanziellen Schäden spielt die Relation des Schadens zum Geschädigten eine Rolle. So werden Schäden gleicher absoluter Höhe verschiedenen Schadensklassen zugeordnet, je nachdem wer der Betroffene ist. Die nachfolgende Ta-belle zeigt daher beispielhaft die Zuordnung von monetären Schadenswerten zu Scha-densschweren für verschiedene Geschädigtengruppen; die aufgeführten Geschädigten-gruppen sind als erläuternde Beispiele zu sehen und decken nicht alle möglichen vor-handenen Geschädigtengruppen ab.

Tabelle 7: (INFORMATIV) Beispiele für die Schadensbewertung finanzieller Schäden

Schadensschwere bis (in EUR pro Schadensfall) - Obergrenzen -

Geschädigtengruppe niedrig mittel hoch sehr hoch

Versicherter 2 22 222 > 222

gematik 8.000 80.000 800.000 > 800.000

Arzt (freiberuf-lich)

3 28 280 > 280

Zahnarzt (frei-beruflich)

6 57 570 > 570

Apotheker 8 75 750 > 750

Vorsorge- oder Rehabilitations-einrichtung

620 6.200 62.000 > 62.000 Lei

stu

ng

serb

rin

ger

Krankenhaus 310 3.100 31.000 > 31.000

Kostenträger 3.700 37.000 370.000 > 370.000




Schadensschwere bis (in EUR pro Schadensfall) - Obergrenzen -

Geschädigtengruppe niedrig mittel hoch sehr hoch

Mitarbeiter (diverse)

2 22 222 > 222

Für die Bewertung eines Schadens, welcher verschiedene Geschädigte betrifft, ist die Schadensschwere so zu bewerten, dass es den Schaden des am schwersten Geschädig-ten widerspiegelt.

2.3 Schutzbedarf für Datenklassen

In diesem Abschnitt wird die Nutzung von Datenklassen zur vereinfachten Ermittlung des Schutzbedarfs von Informationsobjekten beschrieben. Schlüssel und PINs werden nicht Datenklassen zugeordnet, sondern durch eine spezielle Methode in Abschnitt 2.4 behan-delt.

2.3.1 Datenklassen für Informationsobjekte

Die Einführung von Datenklassen für die Schutzbedarfsfeststellung soll helfen, die Durch-führung von Schutzbedarfsfeststellungen zu vereinfachen. Der Grundgedanke hierbei liegt in der Bildung von Datenklassen für Informationsobjekte, die aus dem Blickwinkel des Datenschutzes bzw. der Informationssicherheit den gleichen Schutzbedarf besitzen. Hierzu wird der Schutzbedarf jeder Datenklasse bestimmt und alle Informationsobjekte, die in diese Datenklasse fallen, haben damit genau diesen Schutzbedarf. Beispielsweise existieren in der TI eine Reihe unterschiedlicher Informationsobjekte, die personenbezo-gene medizinische Daten enthalten (Notfalldaten, Arztbriefe, Befunde, Röntgenbilder etc.) und die bei einer individuell durchgeführten Schutzbedarfsfeststellung zum gleichen Er-gebnis des Schutzbedarfs führen würden. Durch die Zuordnung dieser Informationsobjek-te zur Datenklasse „personenbezogene medizinische Daten“ entfällt der Aufwand für die individuellen Schutzbedarfsfeststellungen.

Der Personenbezug eines Informationsobjektes ist das erste Kriterium für die Bildung der Datenklassen, so dass sich Datenklassen für Informationsobjekte mit Personenbezug und Datenklassen für Informationsobjekte ohne Personenbezug ergeben. Aufgrund der Tatsache, dass in der TI eine große Anzahl personenbezogener medizinischer Daten verarbeitet werden, wird für diese Informationsobjekte eine gesonderte Datenklasse ein-geführt. Die Datenklasse „öffentliche personenbezogene Daten“ wird eingeführt, da ins-besondere für die Kommunikation der Beteiligten in der TI ein Teil der personenbezoge-nen Daten innerhalb der TI veröffentlicht werden (bspw. Zertifikate).

Unter den Informationsobjekten ohne Personenbezug existiert eine Reihe, die für Sicher-heitsfunktionen notwendig sind. Diese werden zweckmäßigerweise nochmals in „vertrau-liche Daten mit Sicherheitsrelevanz“ und „öffentliche Daten mit Sicherheitsrelevanz“ un-terschieden. Sicherheitsrelevanz bedeutet hier, dass diese Informationsobjekte eine Rolle bei der Gewährleistung der Informationssicherheit in der TI spielen.




Im Ergebnis werden folgende Datenklassen unterschieden:

personenbezogene medizinische Daten

öffentliche Daten mit Sicherheitsrelevanz

vertrauliche Daten mit Sicherheitsrelevanz

personenbezogene Daten

Daten ohne Personenbezug

öffentliche personen-bezogene Daten

Abbildung 3: Datenklassen für die Schutzbedarfsfeststellung

Beispiele für die Zuordnung von Informationsobjekten zu den Datenklassen sind in der folgenden Abbildung dargestellt.

personen-bezogene

medizinische Daten

personen-bezogene

Daten

Daten ohne Personen-

bezug

vertrauliche Daten mit

Sicherheits-relevanz

öffentliche Daten mit

Sicherheits-relevanz

Versichertendaten

Protokolldaten mit Personenbezug

Notfalldaten

Patientenakten

Verschlüsselte medizinische Daten

Technische Protokolldaten

Konfigurations-daten von Sicherheits-diensten

OSCP-Antwort

CR-Listen

BefundeKonfigurations-daten

öffentliche personen-bezogene

Daten

Zertifikate

Eintrag im Verzeichnis-dienst

Anonymisierte medizinische Daten

Abbildung 4: Beispiele für die Zuordnung von Informationsobjekten zu Datenklassen

Bei der Ermittlung des Schutzbedarfs für ein Informationsobjekt wird dieses zunächst genau einer Datenklasse zugeordnet. Zuerst wird die Zuordnung zu einer der spezialisier-ten Datenklassen („personenbezogene medizinische Daten“, „öffentliche personenbezo-gene Daten“, „vertrauliche Daten mit Sicherheitsrelevanz“ und „öffentliche Daten mit Si-cherheitsrelevanz“) geprüft. Falls diese Datenklassen nicht passend sind, prüft man die allgemeinen Datenklassen („personenbezogene Daten“ und „Daten ohne Personenbe-zug“).

Nach erfolgter Zuordnung sind die folgenden Regeln anzuwenden:

Regel D1: Treffen alle Bewertungen für die einzelnen Schadenskategorien der Schutz-bedarfsfeststellung der zugeordneten Datenklasse für das Informationsob-jekt zu, erhält das Informationsobjekt den Schutzbedarf dieser Klasse.

Regel D2: Falls der vordefinierte Schutzbedarf der zugeordneten Datenklasse nicht anwendbar ist, muss das Informationsobjekt individuell bewertet werden (vgl. Abschnitt 2.2.1).




2.3.2 Schutzbedarfsfeststellung der Datenklassen

Die Schutzbedarfsfeststellung der Datenklassen erfolgt entsprechend der Methoden im Abschnitt 2.2.

Tabelle 8 - Schutzbedarfsfeststellung der Datenklasse "personenbezogene medizinische Daten"

Schutzziele Schadenskategorie

Vertraulichkeit Integrität Authentizität

Gesamtbewertung nach Maximumprin-zip

sehr hoch sehr hoch sehr hoch

Verstoß gegen allgemeine Gesetze und Vorschriften

sehr hoch: Medizinische Daten in der Behandlung von Patienten unterliegen Gesetzen zur Wahrung der Vertraulichkeit. Hierzu zählt insbeson-dere der § 203 StGB zur Verletzung von Privatgeheimnissen. Ein Verstoß der im § 203 StGB genannten Berufsgruppen gegen die Wahrung von Pri-vatgeheimnissen kann zu Freiheitsstrafen füh-ren.

sehr hoch: Ein Verlust der Integri-tät medizinischer Daten kann eine gravierende Beeinträchtigung der persönlichen Unversehrtheit des Patienten zur Folge haben.

hoch: Ein Verlust der Au-thentizität könnte ma-terielle Verstöße ge-gen Vorschriften und allgemeine Gesetze mit erheblichen Kon-sequenzen zur Folge haben.

Verstoß gegen BDSG

hoch: Die Strafvorschriften des § 44 BDSG gelten für eine vorsätzliche Handlung gegen Ent-gelt oder in der Absicht, sich oder einen ande-ren zu bereichern oder einen anderen zu schädigen. Da ein Vor-satz der Beteiligten in der TI nicht unterstellt wird, sind vielmehr die Bußgeldvorschriften nach § 43 BDSG rele-vant.

hoch: Die Strafvorschriften des § 44 BDSG gelten für eine vorsätzliche Handlung gegen Ent-gelt oder in der Ab-sicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen. Da ein Vor-satz der Beteiligten in der TI nicht unterstellt wird, sind vielmehr die Bußgeldvorschriften nach § 43 BDSG rele-vant.

hoch: Die Strafvorschriften des § 44 BDSG gelten für eine vorsätzliche Handlung gegen Ent-gelt oder in der Ab-sicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen. Da ein Vorsatz der Beteiligten in der TI nicht unter-stellt wird, sind viel-mehr die Bußgeldvor-schriften nach § 43 BDSG relevant.

Verstoß gegen spezielle Gesetze (SGB V, ...)

sehr hoch: Es wird angenommen, dass ein Teil der medi-zinischen Daten mittels der eGK erhoben, ver-arbeitet oder genutzt

nicht anwendbar nicht anwendbar






werden. Daher ist der § 307b SGB V an-wendbar, der Zugriffe auf die mit der eGK erhobenen, verarbeite-ten oder genutzten medizinischen Daten entgegen § 291a Abs. 4 Satz 1 SGB V unter Strafe stellt. Für die Strafvorschriften des § 307b Abs. 1 SGB V ist alleine der Zugriff, unabhängig vom Vor-satz des Zugreifenden, ausschlaggebend.

Verstoß gegen Verträge

nicht anwendbar nicht anwendbar nicht anwendbar

Beeinträchtigung derAufgabenerfüllung

nicht anwendbar mittel: Ein Verlust der Integri-tät kann den Übergang auf Ersatzverfahren erfordern, die von den Betroffenen als unan-genehm und aufwändig empfunden werden können.

mittel: Ein Verlust der Au-thentizität kann den Übergang auf Ersatz-verfahren erfordern, die von den Betroffe-nen als unangenehm und aufwändig emp-funden werden kön-nen.

Negative Innen- bzw.Außenwirkung (Imageschaden od. Akzeptanzverlust)

sehr hoch: Ein Vorfall dieser Art hätte eine so starke Ansehens- oder Vertrauensbeeinträchti-gung zu Folge, dass die Möglichkeit besteht, dass der Fortbestand der TI infrage gestellt wird.

sehr hoch: Ein Vorfall dieser Art hätte eine so starke Ansehens- oder Vertrauensbeeinträch-tigung zu Folge, dass die Möglichkeit besteht, dass der Fort-bestand der TI infrage gestellt wird.


Finanzielle Auswirkungen

sehr hoch: Es werden finanzielle Schäden für die betrof-fenen Beteiligten in sehr hohen Ausmaß gemäß der Tabelle für die Schadenskategorie "Finanzielle Auswirkun-gen" angenommen.

sehr hoch: Es werden finanzielle Schäden für die betrof-fenen Beteiligten in sehr hohen Ausmaß gemäß der Tabelle für die Schadenskategorie "Finanzielle Auswir-kungen" angenommen.

sehr hoch: Es werden finanzielle Schäden für die betrof-fenen Beteiligten in sehr hohen Ausmaß gemäß der Tabelle für die Schadenskategorie "Finanzielle Auswir-kungen" angenom-men.




Tabelle 9 - Schutzbedarfsfeststellung der Datenklasse "öffentliche personenbezogene Da-ten"




mittel hoch hoch

Verstoß gegen allgemeine Gesetzeund Vorschriften

mittel: Ein Verstoß hätte höchstens Schadenser-satzforderungen mittle-rer Höhe gemäß § 823 BGB zur Folge.

hoch: Ein Verstoß hätte hohe Schadensersatzforde-rungen gemäß § 823 BGB zur Folge.

hoch: Ein Verstoß hätte hohe Schadensersatz-forderungen gemäß § 823 BGB zur Folge.

Verstoß gegen BDSG

mittel: Eine Beeinträchtigung des informationellen Selbstbestimmungs-rechts würde durch den Einzelnen als tolerabel eingeschätzt werden bzw. der mögliche Miss-brauch personenbezo-gener Daten hat nur begrenzte Auswirkun-gen auf die gesellschaft-liche Stellung oder die wirtschaftlichen Verhält-nisse des Betroffenen.

hoch: Es wird kein Vorsatz der Beteiligten in der TI unterstellt, gegen Ent-gelt zu handeln oder in der Absicht sich oder einen anderen zu berei-chern oder einen ande-ren zu schädigen.

hoch: Es wird kein Vorsatz der Beteiligten in der TI unterstellt, gegen Entgelt zu handeln oder in der Absicht sich oder einen ande-ren zu bereichern oder einen anderen zu schädigen.




mittel: Ein Verstoß hätte eine Vertragsverletzung zur Folge, die maximal mit mittleren wirtschaftli-chen bzw. finanziellen Schäden verbunden ist (Schadenshöhe siehe Schadenskategorie: Finanziel-le/Wirtschaftliche Schä-den).

hoch: Ein Verstoß hätte eine Vertragsverletzung zur Folge, die maximal mit hohen wirtschaftlichen bzw. finanziellen Schä-den verbunden ist (Schadenshöhe siehe Schadenskategorie: Finanziel-le/Wirtschaftliche Schä-den).

hoch: Ein Verstoß hätte eine Vertragsverletzung zur Folge, die maximal mit hohen wirtschaftlichen bzw. finanziellen Schäden verbunden ist (Schadenshöhe siehe Schadenskate-gorie: Finanziel-le/Wirtschaftliche Schäden).







nicht anwendbar mittel: Ein Verlust der Integrität kann den Übergang auf Ersatzverfahren erfor-dern, die von den Be-troffenen als unange-nehm und aufwändig empfunden werden kön-nen.


Negative Innen- bzw. Außenwirkung (Imageschaden od. Akzeptanzverlust)

mittel: Eine Ansehens- oder Vertrauensbeeinträchti-gung ist zu erwarten, die jedoch keine lang-fristige negative Wir-kung hätte. Geringe negative Be-richterstattung ohne größere Auswirkungen.

hoch: Ein Vorfall hätte eine enorme Ansehens- oder Vertrauensbeeinträchti-gung zur Folge, die da-zu führen würde, dass die Nutzung der TI von den Akteuren für eine gewisse Zeit boykottiert wird.

hoch: Ein Vorfall hätte eine enorme Ansehens- oder Vertrauensbeein-trächtigung zur Folge, die dazu führen wür-de, dass die Nutzung der TI von den Akteu-ren für eine gewisse Zeit boykottiert wird.


mittel: Es werden finanzielle Schäden für die betrof-fenen Beteiligten in mittlerem Ausmaß ge-mäß der Tabelle für die Schadenskategorie "Finanzielle Auswirkun-gen" angenommen.

hoch: Es werden finanzielle Schäden für die betrof-fenen Beteiligten in ho-hem Ausmaß gemäß der Tabelle für die Schadenskategorie "Fi-nanzielle Auswirkungen" angenommen.

hoch: Es werden finanzielle Schäden für die be-troffenen Beteiligten in hohem Ausmaß ge-mäß der Tabelle für die Schadenskatego-rie "Finanzielle Aus-wirkungen" ange-nommen.

Tabelle 10 - Schutzbedarfsfeststellung der Datenklasse "personenbezogene Daten"




hoch hoch hoch


hoch: Ein Verstoß gegen das allgemeine Persönlich-keitsrecht könnte Scha-densersatzforderungen gemäß § 823 I BGB iVm Art. 1, 2 I GG auslösen.

hoch: Ein Verstoß gegen das allgemeine Persönlich-keitsrecht könnte Scha-densersatzforderungen gemäß § 823 I BGB iVm Art. 1, 2 I GG auslösen.

hoch: Ein Verstoß gegen das allgemeine Per-sönlichkeitsrecht könnte Schadenser-satzforderungen ge-mäß § 823 I BGB iVm Art. 1, 2 I GG auslö-sen.






Verstoß gegen BDSG

hoch: Ein Verstoß gegen Vor-schriften des BDSG kann neben Schadens-ersatzforderungen nach § 7 BDSG auch Buß-gelder nach §§ 43, 44 BDSG gegen die ver-antwortliche Stelle aus-lösen.

hoch: Ein Verstoß gegen Vor-schriften des BDSG kann neben Schadens-ersatzforderungen nach § 7 BDSG auch Bußgel-der nach §§ 43, 44 BDSG gegen die ver-antwortliche Stelle aus-lösen.

hoch: Ein Verstoß gegen Vorschriften des BDSG kann neben Schadensersatzforde-rungen nach § 7 BDSG auch Bußgel-der nach §§ 43, 44 BDSG gegen die ver-antwortliche Stelle auslösen.


hoch

Ein Verstoß gegen spe-zialgesetzliche Vor-schriften des SGB V kann die Verhängung von Bußgeldern und Strafen zur Rechtsfolge haben, §§ 306-307b SGB V.

hoch

Ein Verstoß gegen spe-zialgesetzliche Vor-schriften des SGB V kann die Verhängung von Bußgeldern und Strafen zur Rechtsfolge haben, §§ 306-307b SGB V.

hoch

Ein Verstoß gegen spezialgesetzliche Vorschriften des SGB V kann die Verhän-gung von Bußgeldern und Strafen zur Rechtsfolge haben, §§ 306-307b SGB V.






nicht anwendbar mittel: Ein Verlust der Integrität kann den Übergang auf Ersatzverfahren erfor-dern, die von den Be-troffenen als unange-nehm und aufwändig empfunden werden können.



hoch: Ein Vorfall hätte eine enorme Ansehens- oder Vertrauensbeeinträchti-gung zur Folge, die dazu führen würde, dass die Nutzung der TI von den Akteuren für

hoch: Ein Vorfall hätte eine enorme Ansehens- oder Vertrauensbeeinträchti-gung zur Folge, die da-zu führen würde, dass die Nut-zung der TI von den

hoch: Ein Vorfall hätte eine enorme Ansehens- oder Vertrauensbeein-trächtigung zur Folge, die dazu führen wür-de, dass die Nutzung der TI von den Akteu-






eine gewisse Zeit boy-kottiert wird.

Akteuren für eine gewis-se Zeit boykottiert wird.

ren für eine gewisse Zeit boykottiert wird.


hoch: Es werden finanzielle Schäden für die betrof-fenen Beteiligten in hohem Ausmaß gemäß der Tabelle für die Schadenskategorie "Finanzielle Auswirkun-gen" angenommen.



Tabelle 11 - Schutzbedarfsfeststellung der Datenklasse "vertrauliche Daten mit Sicherheits-relevanz"




hoch hoch hoch


hoch: Ein Verstoß gegen das allgemeine Persönlich-keitsrecht könnte Scha-densersatzforderungen gemäß § 823 I BGB iVm Artt. 1, 2 I GG aus-lösen.

hoch: Ein Verstoß gegen das allgemeine Persönlich-keitsrecht könnte Scha-densersatzforderungen gemäß § 823 I BGB iVm Artt. 1, 2 I GG auslösen.

hoch: Ein Verstoß gegen das allgemeine Per-sönlichkeitsrecht könnte Schadenser-satzforderungen ge-mäß § 823 I BGB iVm Artt. 1, 2 I GG auslö-sen.

Verstoß gegen BDSG



hoch: Ein Verstoß gegen spezialgesetzliche Vor-schriften des SGB V kann die Verhängung von Bußgeldern und Strafen zur Rechtsfolge haben, §§ 306-307b SGB V.

hoch: Ein Verstoß gegen spe-zialgesetzliche Vor-schriften des SGB V kann die Verhängung von Bußgeldern und Strafen zur Rechtsfolge haben, §§ 306-307b SGB V.

hoch: Ein Verstoß gegen spezialgesetzliche Vorschriften des SGB V kann die Verhän-gung von Bußgeldern und Strafen zur Rechtsfolge haben, §§ 306-307b SGB V.











hoch: Bei einer Verletzung der Vertraulichkeit kann es zu einer missbräuch-lichen Nutzung von Sicherheitsfunktionen kommen, die einen Übergang zu aufwändi-gen Ersatzverfahren erforderlich macht.

hoch: Bei einer Verletzung der Integrität kann es zu einem Ausfall von Si-cherheitsfunktionen kommen, die einen Ü-bergang zu aufwändigen Ersatzverfahren erfor-derlich macht.

hoch: Bei einer Verletzung der Authentizität kann es zu einer (mögli-cherweise miss-bräuchlichen) Nutzung von Sicherheitsfunkti-onen kommen, die nicht eindeutig auf eine Person zurückge-führt werden kann. Dies kann einen Ü-bergang zu aufwändi-gen Ersatzverfahren erforderlich machen.


hoch: Ein Vorfall hätte eine enorme Ansehens- oder Vertrauensbeein-trächtigung zur Folge, die dazu führen würde, dass die Nutzung der TI von den Akteuren für eine gewisse Zeit boy-kottiert wird.

hoch: Ein Vorfall hätte eine enorme Ansehens- oder Vertrauensbeeinträchti-gung zur Folge, die da-zu führen würde, dass die Nutzung der TI von den Akteuren für eine gewisse Zeit boykottiert wird.

hoch: Ein Vorfall hätte eine enorme Ansehens- oder Vertrauensbeein-trächtigung zur Folge, die dazu führen wür-de, dass die Nutzung der TI von den Akteu-ren für eine gewisse Zeit boykottiert wird.


hoch: Es werden finanzielle Schäden für die betrof-fenen Beteiligten in hohem Ausmaß gemäß der Tabelle für die Schadenskategorie "Finanzielle Auswirkun-gen" angenommen.






Tabelle 12 -Schutzbedarfsfeststellung der Datenklasse "öffentliche Daten mit Sicherheitsre-levanz"




mittel hoch hoch



hoch: Ein Verstoß hätte hohe Schadensersatzforde-rungen gemäß § 823 BGB zur Folge.

hoch: Ein Verstoß hätte hohe Schadenser-satzforderungen ge-mäß § 823 BGB zur Folge.

Verstoß gegen BDSG





mittel: Ein Verstoß hätte eine Vertragsverletzung zur Folge, die maximal mit mittleren wirtschaftli-chen bzw. finanziellen Schäden verbunden ist (Schadenshöhe siehe Schadenskategorie: Finanziel-le/Wirtschaftliche Schä-den).

hoch: Ein Verstoß hätte eine Vertragsverletzung zur Folge, die maximal mit hohen wirtschaftlichen bzw. finanziellen Schä-den verbunden ist (Scha-denshöhe siehe Scha-denskategorie: Finanziel-le/Wirtschaftliche Schä-den).

hoch: Ein Verstoß hätte eine Vertragsverlet-zung zur Folge, die maximal mit hohen wirtschaftlichen bzw. finanziellen Schäden verbunden ist (Scha-denshöhe siehe Schadenskategorie: Finanziel-le/Wirtschaftliche Schäden).


mittel: In der geschlossenen Benutzergruppe der TI sind diese Daten öffent-lich. Die Vertraulichkeit muss nur gegenüber Personen außerhalb der TI geschützt werden.

hoch: Bei einer Verletzung der Integrität kann es zu einem Ausfall von Si-cherheitsfunktionen kommen, die einen Ü-bergang zu aufwändigen Ersatzverfahren erforder-lich macht.

hoch: Bei einer Verletzung der Authentizität kann es zu einer (mögli-cherweise miss-bräuchlichen) Nut-zung von Sicherheits-funktionen kommen, die nicht eindeutig auf eine Person zurück-geführt werden kann. Dies kann einen Ü-bergang zu aufwändi-gen Ersatzverfahren erforderlich machen.


mittel: Eine Ansehens- oder Vertrauensbeeinträchti-gung ist zu erwarten, die jedoch keine lang-

hoch: Ein Vorfall hätte eine enorme Ansehens- oder Vertrauensbeeinträchti-gung zur Folge, die dazu

hoch: Ein Vorfall hätte eine enorme Ansehens- oder Vertrauensbe-einträchtigung zur






fristige negative Wir-kung hätte. Geringe negative Be-richterstattung ohne größere Auswirkungen.

führen würde, dass die Nutzung der TI von den Akteuren für eine gewis-se Zeit boykottiert wird.

Folge, die dazu füh-ren würde, dass die Nutzung der TI von den Akteuren für eine gewisse Zeit boykot-tiert wird.



mittel: Es werden finanzielle Schäden für die betroffe-nen Beteiligten in mittle-rem Ausmaß gemäß der Tabelle für die Scha-denskategorie "Finanziel-le Auswirkungen" ange-nommen.

mittel: Es werden finanzielle Schäden für die be-troffenen Beteiligten in mittlerem Ausmaß gemäß der Tabelle für die Schadenskatego-rie "Finanzielle Aus-wirkungen" ange-nommen.

Tabelle 13 - Schutzbedarfsfeststellung der Datenklasse "Daten ohne Personenbezug"




mittel mittel mittel



mittel: Ein Verstoß hätte höchs-tens Schadensersatzfor-derungen mittlerer Höhe gemäß § 823 BGB zur Folge.

mittel: Ein Verstoß hätte höchstens Scha-densersatzforderun-gen mittlerer Höhe gemäß § 823 BGB zur Folge.

Verstoß gegen BDSG





mittel: Ein Verstoß hätte eine Vertragsverletzung zur Folge, die maximal mit mittleren wirtschaftli-chen bzw. finanziellen Schäden verbunden ist (Schadenshöhe siehe Schadenskategorie: Finanziel-le/Wirtschaftliche Schä-

mittel: Ein Verstoß hätte eine Vertragsverletzung zur Folge, die maximal mit mittleren wirtschaftlichen bzw. finanziellen Schä-den verbunden ist (Schadenshöhe siehe Schadenskategorie: Fi-nanzielle/Wirtschaftliche Schäden).

mittel: Ein Verstoß hätte eine Vertragsverlet-zung zur Folge, die maximal mit mittleren wirtschaftlichen bzw. finanziellen Schäden verbunden ist (Scha-denshöhe siehe Schadenskategorie: Finanziel-






den). le/Wirtschaftliche Schäden).


nicht anwendbar mittel: Die Verletzung der Integ-rität wäre für die Betrof-fenen tolerabel, da ein temporärer Übergang auf Ersatzverfahren möglich ist.

nicht anwendbar


mittel: Eine Ansehens- oder Vertrauensbeeinträchti-gung ist zu erwarten, die jedoch keine lang-fristige negative Wir-kung hätte. Geringe negative Berichterstat-tung ohne größere Auswirkungen.

mittel: Eine Ansehens- oder Vertrauensbeeinträchti-gung ist zu erwarten, die jedoch keine langfristige negative Wirkung hätte. Geringe negative Be-richterstattung ohne grö-ßere Auswirkungen.

mittel: Eine Ansehens- oder Vertrauensbeein-trächtigung ist zu erwarten, die jedoch keine langfristige negative Wirkung hätte. Geringe nega-tive Berichterstattung ohne größere Auswir-kungen.



mittel: Es werden finanzielle Schäden für die betroffe-nen Beteiligten in mittle-rem Ausmaß gemäß der Tabelle für die Scha-denskategorie "Finanziel-le Auswirkungen" ange-nommen.

mittel: Es werden finanzielle Schäden für die be-troffenen Beteiligten in mittlerem Ausmaß gemäß der Tabelle für die Schadenska-tegorie "Finanzielle Auswirkungen" ange-nommen.

2.4 Schutzbedarf für Schlüssel und PINs

In diesem Abschnitt wird das methodische Vorgehen zur Ermittlung des Schutzbedarfs von kryptographischen Schlüsseln und PINs beschrieben. Schlüssel und PINs erfordern eine gesonderte Methode, da ihr Schutzbedarf abhängig von den Informationsobjekten ist, zu dessen Schutz sie genutzt werden.

Die Anwendung kryptographischer Verfahren auf Informationsobjekte führt zu einem neuen Informationsobjekt mit einem geringeren Schutzbedarf (siehe Kap. 2.5 Regel S3 und S4). Der Schutzbedarf wird hierbei vom ursprünglichen Informationsobjekt auf die eingesetzten kryptographischen Schlüssel verlagert. Damit die Verlagerung des Schutz-bedarfs auf den Schlüssel insgesamt nicht zu einem geringeren Sicherheitsniveaus führt, muss der Schutzbedarf des Schlüssels mindestens demjenigen des ursprünglichen In-formationsobjektes entsprechen.

Bei asymmetrischen kryptographischen Verfahren wird der Schutzbedarf des Informati-onsobjekts vollständig auf den privaten Schlüssel verlagert. Bei öffentlichen Schlüsseln




weicht dieses Vorgehen für das Schutzziel Vertraulichkeit ab. Die Vertraulichkeit von öf-fentlichen Schlüsseln in der TI wird pauschal mit „mittel“ angenommen, da sie zweckge-bunden nur den Teilnehmern der TI zur Verfügung stehen und außerhalb der TI nicht verwendet werden sollen.

PINs sind ein Authentisierungsmechanismus zum Zugriff auf Daten. Analog zu den Schlüsseln hängt der Schutzbedarf der PIN vom Schutzbedarf der Daten ab, die sie schützt.

Bei der Ermittlung des Schutzbedarfs von Schlüsseln und PINs ergeben sich zusammen-fassend die folgenden Regeln:

Regel S1: Ein asymmetrischer privater Schlüssel oder ein symmetrischer Schlüssel hat bezüglich Vertraulichkeit, Integrität und Authentizität mindestens den glei-chen Schutzbedarf, wie das Informationsobjekt, das durch ihn geschützt wird. Analog ist der Schutzbedarf einer PIN zu behandeln.

Regel S2: Der Schutzbedarf eines asymmetrischen öffentlichen Schlüssels bezüglich Vertraulichkeit ist „mittel“ und für die Schutzziele Integrität und Authentizität gleich dem des korrespondierenden privaten Schlüssels.

Durch die Anwendung kryptographischer Verfahren auf Informationsobjekte ändert sich deren Schutzbedarf nicht. Vielmehr können nach Anwendung kryptographischer Verfah-ren zu ihrem Schutz neue Informationsobjekte mit einem geringeren Schutzbedarf ent-stehen (vgl. Kap. 2.5).

2.5 Regeln im Kontext der Anwendung kryptographischer Verfahren

Bei Anwendung kryptographischer Verfahren auf Informationsobjekte entstehen neue Informationsobjekte mit geringerem Schutzbedarf (bzgl. eines oder mehrerer Schutzziele) durch die Verlagerung des Schutzbedarfs auf kryptographisches Schlüsselmaterial.

An dieser Stelle werden Regeln für eine vereinfachte Schutzbedarfsfeststellung für Infor-mationsobjekte beschrieben, die mit kryptographischen Verfahren behandelt wurden. Kryptographische Verfahren dienen zum Schutz bestimmter Schutzziele und wirken dementsprechend auch nur auf diese reduzierend. Der Schutzbedarf für die vom kryp-tographischen Verfahren nicht betroffenen Schutzziele wird vom kryptographisch unge-schützten Informationsobjekt auf das kryptographisch geschützte Informationsobjekt ü-bertragen.

Regel S3: Wird ein Informationsobjekt unter Beachtung der verbindlichen Vorgaben aus [BSI-TR-03116] symmetrisch oder asymmetrisch verschlüsselt entsteht ein neues Informationsobjekt dessen Schutzbedarf bezüglich Vertraulichkeit „mittel“ ist und für Integrität und Authentizität dem Schutzbedarf des unver-schlüsselten Informationsobjekts entspricht.

Regel S4: Wird ein Informationsobjekt unter Beachtung der verbindlichen Vorgaben aus [BSI-TR-03116] digital signiert entsteht ein neues Informationsobjekt dessen Schutzbedarf bezüglich Integrität und Authentizität „mittel“ ist und für Vertraulichkeit dem Schutzbedarf des unsignierten Informationsobjekts ent-spricht.




Das hierzu genutzte Schlüsselmaterial ist entsprechend der Regeln S1 und S2 bestimmt (vgl. Kap. 2.4).

2.6 Schutzbedarf für Prozessklassen

Die Einführung von Prozessklassen folgt der gleichen Motivation wie die der Einführung von Datenklassen. Sie sollen die Durchführung von Schutzbedarfsfeststellungen verein-fachen.

Das Vorgehen zur Bestimmung der Prozessklasse weicht von der Vorgehensweise für Datenklassen insofern ab, dass die Prozessklassen pro Schutzziel definiert werden. Be-züglich der Prozesse kann so die Anzahl der Klassen reduziert werden. Ein betrachteter Prozess kann somit zwei Prozessklassen zugeordnet werden.

2.6.1 Klassen für Prozesse

In diesem Abschnitt werden schutzzielspezifisch Prozessklassen definiert. Die betrachte-ten Schutzziele sind hierbei Verfügbarkeit und Nichtabstreitbarkeit.

Für das Schutzziel Verfügbarkeit werden vier Prozessklassen definiert:

Verfügbarkeit ohne Sicherheitsrelevanz

Die Nicht-Verfügbarkeit hätte keinen Einfluss auf das Sicherheitsniveau der TI und hätte keine Verstöße gegen Gesetze oder Verträge zur Folge bzw. wäre mit maximal niedrigen wirtschaftlichen bzw. finanziellen Schäden verbunden.

Verfügbarkeit mit Sicherheitsrelevanz ohne Senken des Sicherheitsniveaus

Die Nicht-Verfügbarkeit hätte trotz der Sicherheitsrelevanz des Prozesses kei-nen Einfluss auf das Sicherheitsniveau der TI, da ein Übergang auf Ersatzver-fahren möglich ist, der jedoch einigen Aufwandes bedarf und Arbeitsabläufe stören würde. Es werden finanzielle Schäden für die betroffenen Beteiligten in maximal mittlerem Ausmaß angenommen.

Verfügbarkeit mit Sicherheitsrelevanz mit Senken des Sicherheitsniveaus

Die Nicht-Verfügbarkeit des Prozesses betrifft Sicherheitsfunktionen, was zum Senken des Sicherheitsniveaus der TI führt. Durch andere Sicherheits-maßnahmen kann trotz Ausfall der Sicherheitsfunktion noch ein angemesse-nes Sicherheitsniveau erreicht werden. Dennoch hätte ein Vorfall eine enor-me Ansehens- oder Vertrauensbeeinträchtigung zur Folge und es werden fi-nanzielle Schäden für die betroffenen Beteiligten in hohem Ausmaß ange-nommen.

Verfügbarkeit mit Sicherheitsrelevanz mit Eliminieren der Sicherheit

Die Nicht-Verfügbarkeit verhindert die vollständige Ausführung von Sicher-heitsfunktionen, die zur Gewährleistung der Sicherheit in der TI notwendig sind. Es gibt keine weiteren Sicherheitsmaßnahmen, die den Ausfall der Si-cherheitsfunktion kompensieren oder reduzieren könnten. Die hieraus entste-henden Schäden wären insgesamt sehr hoch.




Für das Schutzziel Nichtabstreitbarkeit werden zwei Prozessklassen definiert:

Prozesse mit der Verarbeitung öffentlicher Daten

Die Abstreitbarkeit solcher Prozesse hätte keine Verstöße gegen Gesetze oder Verträge zur Folge und wäre mit maximal niedrigen wirtschaftlichen bzw. finanziellen Schäden verbunden.

Prozesse mit Sicherheitsrelevanz

Die Abstreitbarkeit hätte zwar keine gravierenden Verstöße gegen Gesetze oder Verträge zur Folge, würde von den Betroffenen aber als nicht tolerabel eingeschätzt, da z.B. sicherheitsrelevante Abläufe betroffen sind oder finan-zielle Schäden in hohem Ausmaß auftreten könnten.

Im Überblick werden folgende Prozessklassen unterschieden:


Verfügbarkeit mit Sicherheitsrelevanz

mit Senken des Sicherheitsniveaus

Verfügbarkeit mit Eliminieren der Sicherheit


Verfügbarkeit mit Sicherheitsrelevanz

ohne Senken des Sicherheitsniveaus

Prozesse mit der Verarbeitung

öffentlicher Daten

Schutzziel Verfügbarkeit

Schutzziel Nichtabstreitbarkeit

Pro

zess

klas

sen

Pro

zess

klas

sen

Abbildung 5: Datenklassen für die Schutzbedarfsfeststellung

2.6.2 Schutzbedarfsfeststellung der Prozessklassen

Die Schutzbedarfsfeststellung der Prozessklassen erfolgt entsprechend der Methoden im Abschnitt 2.2.




2.6.2.1 Prozessklassen für Verfügbarkeit

Die folgenden Tabellen definieren Prozessklassen für das Schutzziel Verfügbarkeit. Die Schadensfeststellung erfolgt entsprechend den Schadenskategorien in Abschnitt 2.2.2.

Tabelle 14 - Schutzbedarfsfeststellung der Prozessklasse "Verfügbarkeit ohne Sicherheits-relevanz"

Schadenskategorie Prozessklasse


Gesamtbewertung nach Maximumprinzip

Niedrig


kein Schaden:

Aus der Nicht-Verfügbarkeit des Prozesses folgt kein Verstoß gegen Vorschriften und Gesetze.

Verstoß gegen BDSG kein Schaden:

Aus der Nicht-Verfügbarkeit des Prozesses folgt kein Verstoß gegen das BDSG.


kein Schaden:

Aus der Nicht-Verfügbarkeit des Prozesses folgt kein Verstoß gegen spezielle Gesetze.


niedrig:

Die Nicht-Verfügbarkeit des Prozesses wäre eine Vertragsverletzung, die mit maximal niedrigen wirtschaftlichen bzw. finanziellen Schäden verbunden wäre.

Beeinträchtigung der Aufgabenerfüllung

niedrig:

Die Nicht-Verfügbarkeit des Prozesses wäre für die Betroffenen tole-rabel, da innerhalb eines kurzen Zeitraums und mit nur geringem Aufwand auf Ersatzverfahren umgestellt werden könnte oder Arbeits-abläufe nur geringfügig gestört würden.


niedrig: Eine Nicht-Verfügbarkeit hätte nur eine geringe Ansehens- oder Ver-trauensbeeinträchtigung zur Folge.


niedrig: Es werden finanzielle Schäden für die betroffenen Beteiligten in nied-rigem Ausmaß gemäß der Tabelle für die Schadenskategorie "Finan-zielle Auswirkungen" angenommen.

Tabelle 15 - Schutzbedarfsfeststellung der Prozessklasse "Verfügbarkeit mit Sicherheitsre-levanz ohne Senken des Sicherheitsniveaus"


Verfügbarkeit mit Sicherheitsrelevanz ohne Senken des Sicher-heitsniveaus

Gesamtbewertung nach Mittel





Verfügbarkeit mit Sicherheitsrelevanz ohne Senken des Sicher-heitsniveaus

Maximumprinzip


kein Schaden:





kein Schaden:



mittel:

Die Nicht-Verfügbarkeit des Prozesses wäre eine Vertragsverletzung, die mit maximal mittleren wirtschaftlichen bzw. finanziellen Schäden verbunden wäre.


mittel:

Die Nicht-Verfügbarkeit des Prozesses wäre für die Betroffenen zwar tolerabel, der Übergang auf Ersatzverfahren bedürfe jedoch einigen Aufwandes und würde Arbeitsabläufe stören. Der Übergang auf Er-satzverfahren würde von den Betroffenen als unangenehm und auf-wendig betrachtet.

Die Nicht-Verfügbarkeit hätte keinen Einfluss auf das Sicherheitsni-veau der TI.


mittel: Eine Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten, die jedoch keine langfristige negative Wirkung hätte.

Geringe negative Berichterstattung ohne größere Auswirkungen.


mittel: Es werden finanzielle Schäden für die betroffenen Beteiligten in mitt-lerem Ausmaß gemäß der Tabelle für die Schadenskategorie "Finan-zielle Auswirkungen" angenommen.

Tabelle 16 - Schutzbedarfsfeststellung der Prozessklasse "Verfügbarkeit mit Sicherheitsre-levanz mit Senken des Sicherheitsniveaus"


Verfügbarkeit mit Sicherheitsrelevanz mit Senken des Sicher-heitsniveaus


Hoch


kein Schaden:






Verfügbarkeit mit Sicherheitsrelevanz mit Senken des Sicher-heitsniveaus




kein Schaden:



hoch:

Die Nicht-Verfügbarkeit des Prozesses wäre eine Vertragsverletzung, die mit maximal hohen wirtschaftlichen bzw. finanziellen Schäden verbunden wäre.


hoch:

Die Nicht-Verfügbarkeit des Prozesses wäre für die Betroffenen nicht tolerabel, da der Übergang auf Ersatzverfahren sehr aufwendig und kostspielig wäre, und der Vorfall die Arbeitsabläufe stark stören wür-de.

Die Nicht-Verfügbarkeit betrifft Sicherheitsfunktionen. Da die Sicher-heitsfunktionen nicht verfügbar sind, wird das Sicherheitsniveau der TI gesenkt. Durch andere Sicherheitsmaßnahmen kann trotz Ausfall der Sicherheitsfunktion noch ein angemessenes Sicherheitsniveau erreicht werden.


hoch: Ein Vorfall hätte eine enorme Ansehens- oder Vertrauensbeeinträch-tigung zur Folge, die dazu führen würde, dass die Nutzung der TI (u.a. aufgrund nicht verfügbarer Sicherheitsfunktionen) von den Ak-teuren für eine gewisse Zeit boykottiert wird.


mittel: Es werden finanzielle Schäden für die betroffenen Beteiligten in ho-hem Ausmaß gemäß der Tabelle für die Schadenskategorie "Finan-zielle Auswirkungen" angenommen.

Tabelle 17 - Schutzbedarfsfeststellung der Prozessklasse "Verfügbarkeit mit Eliminieren der Sicherheit"


Verfügbarkeit mit Sicherheitsrelevanz mit Eliminieren der Si-cherheit


sehr hoch


kein Schaden:






Verfügbarkeit mit Sicherheitsrelevanz mit Eliminieren der Si-cherheit




kein Schaden:



sehr hoch:

Die Nicht-Verfügbarkeit des Prozesses wäre eine Vertragsverletzung, die mit sehr hohen wirtschaftlichen bzw. finanziellen Schäden ver-bunden wäre.


sehr hoch:

Die Nicht-Verfügbarkeit des Prozesses wäre für die Betroffenen nicht tolerabel, da der Übergang auf Ersatzverfahren nicht oder nur mit einem sehr hohen Aufwand möglich wäre bzw. der Vorfall die Ar-beitsabläufe sehr stark stören würde.

Die Nicht-Verfügbarkeit verhindert die vollständige Ausführung von Sicherheitsfunktionen, die zur Gewährleistung der Sicherheit in der TI notwendig sind. Es gibt keine weiteren Sicherheitsmaßnahmen, die den Ausfall der Sicherheitsfunktion kompensieren oder reduzieren könnten.


sehr hoch: Ein Vorfall hätte eine enorme Ansehens- oder Vertrauensbeeinträch-tigung zur Folge, die dazu führen würde, dass die Nutzung der TI (u.a. aufgrund nicht verfügbarer Sicherheitsfunktionen) von den Ak-teuren für eine gewisse Zeit boykottiert wird.


sehr hoch: Es werden finanzielle Schäden für die betroffenen Beteiligten in sehr hohem Ausmaß gemäß der Tabelle für die Schadenskategorie "Fi-nanzielle Auswirkungen" angenommen.

2.6.2.2 Prozessklassen für Nichtabstreitbarkeit

Die folgenden Tabellen definieren Prozessklassen für das Schutzziel Nichtabstreitbarkeit. Die Schadensfeststellung erfolgt entsprechend den Schadenskategorien in Abschnitt 2.2.2.

Tabelle 18 - Schutzbedarfsfeststellung der Prozessklasse "Prozesse mit der Verarbeitung öffentlicher Daten"




niedrig







kein Schaden:

Aus der Abstreitbarkeit des Prozesses folgt kein Verstoß gegen all-gemeine Vorschriften und Gesetze.


Aus der Abstreitbarkeit des Prozesses folgt kein Verstoß gegen das BDSG.


kein Schaden:

Aus der Abstreitbarkeit des Prozesses folgt kein Verstoß gegen spe-zielle Gesetze.


niedrig:

Aus der Abstreitbarkeit des Prozesses folgt eine Vertragsverletzung, die mit maximal niedrigen wirtschaftlichen bzw. finanziellen Schäden verbunden wäre


kein Schaden:

Aus der Abstreitbarkeit des Prozesses folgt keine Beeinträchtigung der Aufgabenerfüllung.


niedrig: Eine Abstreitbarkeit des Prozesses hätte nur eine geringe Ansehens- oder Vertrauensbeeinträchtigung zur Folge.


niedrig: Es werden finanzielle Schäden für die betroffenen Beteiligten in nied-rigem Ausmaß gemäß der Tabelle für die Schadenskategorie "Finan-zielle Auswirkungen" angenommen.

Tabelle 19 - Schutzbedarfsfeststellung der Prozessklasse "Prozesse mit Sicherheitsrele-vanz"




hoch


mittel:

Aus der Abstreitbarkeit des Prozesses ergeben sich Verstöße gegen Vorschriften und Gesetze mit mittleren Konsequenzen, z.B. § 823 BGB i. V. m. Artikel 1 und 2 GG.

Verstoß gegen BDSG mittel:

Aus der Abstreitbarkeit des Prozesses ergeben sich Verstöße gegen das BDSG mit geringfügigen Konsequenzen, z.B. ein formaler Ver-stoß gegen das BDSG nach § 43 Abs. 1 BDSG.


mittel:

Aus der Abstreitbarkeit des Prozesses ergeben sich Verstöße gegen spezielle Gesetze mit geringfügigen Konsequenzen, z.B. eine Emp-






fehlung, Beratung (öffentliche Stelle), Rüge (nicht-öffentliche Stelle) oder Verwarnung.


mittel:

Die Abstreitbarkeit des Prozesses wäre eine Vertragsverletzung, die mit maximal niedrigen wirtschaftlichen bzw. finanziellen Schäden verbunden wäre.


hoch:

Die Abstreitbarkeit würde von den Betroffenen als nicht tolerabel eingeschätzt, da sicherheitsrelevante Abläufe betroffen sind.


hoch: Eine Abstreitbarkeit hätte eine enorme Ansehens- oder Vertrauens-beeinträchtigung zur Folge, die dazu führen würde, dass die Nutzung der TI von den Akteuren für eine gewisse Zeit boykottiert wird.


hoch: Es werden finanzielle Schäden für die betroffenen Beteiligten in ho-hem Ausmaß gemäß der Tabelle für die Schadenskategorie "Finan-zielle Auswirkungen" angenommen.




3 Methodik der Schutzbedarfsfeststellung für Dienste und Komponenten

3.1 Komponenten und Dienste der TI

Die Verarbeitung von fachlichen Informationsobjekten bzw. von Anwendungsprozessen findet in der TI durch fachanwendungsspezifische Dienste und Fachmodule statt. Diese bilden die Fachanwendungsschicht (siehe Abbildung 6 „Schichtenmodell der TI“).

Fachanwendungsspezifische Dienste und Fachmodule nutzen Basisdienste der TI, die die Anwendungsunterstützungsschicht bilden. Diese Basisdienste stellen anwendungs-neutrale Funktionen bereit, die wiederum systemnahe Infrastrukturdienste nutzen, die von der Infrastrukturschicht bereit gestellt werden.

Die Infrastrukturschicht setzt auf der Netzwerkschicht auf, die als Transportschnittstelle den Transport von Daten ermöglicht.

Dem gegenüber stehen die Informationsobjekte der TI-Plattform, die auf Ebene der An-wendungsunterstützungs- und Infrastrukturschicht entstehen (z.B. Logdaten) und nicht Teil der Fachanwendungen sind.

Basis-TI

Fachanwendung

Netzwerk

Infrastruktur

Anwendungs-

unterstützung

Infrastrukturdienste

Netzwerkdienste

Fachanwendungen, die über die TI genutzt werden können.

Basisdienste, die anwendungsneutrale Funktionen bereitstellen.

Infrastrukturdienste, die zum Funktionieren der Infrastruktur als solche erforderlich sind

Netzwerkdienste der Telematikinfrastruktur

Basisdienste

nutzt

nutzt

nutzt

Abbildung 6: Schichtenmodell der TI




3.2 Vererbung des Schutzbedarfs

Der Schutzbedarf für jedes einzelne Schutzziel ist immer für die Informationsobjekte oder deren verarbeitende Anwendungsprozesse festzustellen. Fachanwendungsspezifische Dienste und Fachmodule werden als Anwendungen verstanden, um diese Informations-objekte zu verarbeiten bzw. die Anwendungsprozesse abzubilden. Ihr Schutzbedarf ergibt sich durch Vererbung des Schutzbedarfs der durch sie verarbeiteten Informationsobjekte und Anwendungsprozesse.

Der Schutzbedarf der Informationsobjekte und Anwendungsprozesse wird folgenderma-ßen weitervererbt:

Informationsobjekte vererben ihren Schutzbedarf an verarbeitende fachan-wendungsspezifische Dienste und Fachmodule (Fachanwendungsschicht) weiter.

Anwendungsprozesse vererben ihren Schutzbedarf an die von ihnen benötig-ten fachanwendungsspezifischen Dienste und Fachmodule (Fachanwen-dungsschicht) weiter.

Fachanwendungsspezifische Dienste und Fachmodule (Fachanwendungs-schicht) vererben ihren Schutzbedarf an die Komponenten der Anwendungs-unterstützungsschicht weiter, die für den Betrieb der Fachanwendung not-wendig sind.

Informationsobjekte der TI-Plattform vererben ihren Schutzbedarf an die sie generierenden bzw. verarbeitenden Komponenten der Anwendungsunterstüt-zungs-bzw. Infrastrukturschicht.

Die Komponenten der Anwendungsunterstützungsschicht vererben ihren Schutzbedarf an die Komponenten der Infrastrukturschicht, auf der sie betrie-ben werden.

Die Komponenten der Infrastrukturschicht vererben ihren Schutzbedarf an das Netzwerk, welches den Transport von Daten durchführt.




Die folgende Abbildung stellt dies grafisch dar:

InfrastrukturInfrastruktur

AnwendungsunterstützungAnwendungsunterstützung

FachanwendungenFachanwendungen

Informationsobjekte der TI-Plattform

Anwendungsprozesse Informationsobjekte

Komponenten der Anwendungsunterstützungs-Schicht

Komponenten derInfrastruktur-Schicht

Fachmodule & fachanwendungs-spezifische Dienste

InfrastrukturInfrastrukturNetze

Abbildung 7: Vererbung des Schutzbedarfs

3.2.1 Vererbungsprinzipien

Bei der Vererbung des Schutzbedarfs von Informationsobjekten und Anwendungsprozes-sen an fachanwendungsspezifische Dienste, Fachmodule, und die darunterliegenden Komponenten der Anwendungsunterstützungs-, Infrastruktur- und Netzwerkschicht, fin-den die folgenden vier grundlegenden Prinzipien Anwendung.

3.2.1.1 Maximumprinzip

Zur Ermittlung des Schutzbedarfs für jedes Schutzziel werden die möglichen Schäden in ihrer Gesamtheit betrachtet. Der Schaden mit den schwerwiegendsten Auswirkungen bestimmt den Schutzbedarf.

3.2.1.2 Beachtung von Abhängigkeiten

Bei der Betrachtung der möglichen Schäden und ihrer Folgen für ein Schutzziel muss auch beachtet werden, dass fachanwendungsspezifische Dienste bzw. Fachmodule e-ventuell die Informationsobjekte anderer fachanwendungsspezifischer Dienste oder der Anwendungsunterstützungsschicht nutzen. Diese Abhängigkeit wird nur indirekt durch die Betrachtung aller Anwendungsprozesse, die von einer Fachanwendung unterstützt wer-den, festgestellt und sollte hier noch einmal verifiziert werden.




Ein, für sich betrachtetes, weniger bedeutender Dienst N kann einen höheren Schutzbe-darf eines Schutzzieles erfordern, wenn ein Dienst H mit höherem Schutzbedarf für die-ses Schutzziel auf dessen Ergebnisse angewiesen ist. In diesem Fall muss der ermittelte Schutzbedarf dieses Schutzziels des Dienstes H auch auf den Dienst N übertragen wer-den.

3.2.1.3 Kumulationseffekt

Werden mehrere Fachanwendungen (z.B. deren Fachmodule) von derselben Komponen-te der Anwendungsunterstützungsschicht unterstützt, oder werden mehrere Komponen-ten der Anwendungsunterstützungsschicht auf derselben Komponente der Infrastruktur-schicht betrieben, so ist zu überlegen, ob durch Kumulation mehrerer (bspw. kleinerer) Schäden auf einer Komponente der Anwendungsunterstützungsschicht bzw. der Infra-strukturschicht ein insgesamt höherer Gesamtschaden entstehen kann. Dann erhöht sich der Schutzbedarf der Komponente der Anwendungsunterstützungsschicht bzw. der Infra-strukturschicht entsprechend.

3.2.1.4 Verteilungseffekt

Auch der umgekehrte Effekt kann eintreten. So ist es möglich, dass eine Fachanwendung einen hohen Schutzbedarf bezüglich eines Schutzzieles besitzt, ihn aber deshalb nicht auf eine betrachtete Komponente der Anwendungsunterstützungsschicht überträgt, weil auf dieser Komponente nur unwesentliche Teilbereiche der Fachanwendung laufen. Hier ist der Schutzbedarf zu relativieren.




4 Beispiele zur Anwendung der Methoden

4.1 Beispiele für Methodik der Schutzbedarfsfeststellung für Infor-mationen und Prozesse

Die folgenden Beispiele zeigen die Anwendung der einzelnen Schritte einer Schutzbe-darfsfeststellung. In Abschnitt 4.1.1 wird der Schutzbedarf eines medizinischen Befunds und die ihn schützenden Schlüssel bestimmt. Danach wird in Abschnitt 4.1.2 der Schutz-bedarf eines verschlüsselten medizinischen Befunds individuell bestimmt. Schließlich erfolgt in Abschnitt 4.1.3 eine individuelle Schutzbedarfsfeststellung eines Anwendungs-prozesses. Das verwendete Beispiel hat keinen Einfluss auf die Ausgestaltung der TI.

4.1.1 Beispielhafte Bestimmung des Schutzbedarfs unter Verwendung der Regeln für Schlüssel und Datenklassen

Die Bestimmung des Schutzbedarfs eines medizinischen Befunds wird mittels Zuordnung zu einer Datenklasse verdeutlicht (siehe Abbildung 8). Teil des Beispiels ist auch die Ab-leitung des Schutzbedarfs der Schlüssel zum Schutz des medizinischen Befundes. Für die Schutzbedarfsfeststellung werden die Regeln D1 und D2 sowie S1-S3 aus den Ab-schnitten 2.3 und 2.4 genutzt.

Der medizinische Befund wird der Datenklasse „personenbezogene medizinische Daten“ zugeordnet, da alle Bewertungen für die einzelnen Schadensklassen der Schutzbedarfs-feststellung dieser Datenklasse für das Informationsobjekt medizinischer Befund zutref-fen. Das Informationsobjekt erhält den Schutzbedarf dieser Datenklasse, d.h. sehr hoch für die Schutzziele Vertraulichkeit, Integrität und Authentizität. (Regel D1)

Dieser Schutzbedarf erfordert die Anwendung von Sicherheitsmaßnahmen, um medizini-sche Befunde in der TI transportieren zu können. Zum Schutz der Vertraulichkeit werden medizinische Befunde in diesem Beispiel daher mit einem asymmetrischen Verfahren verschlüsselt. Es entsteht ein neues Informationsobjekt, nämlich der verschlüsselte medi-zinische Befund. Der Schutzbedarf für die Vertraulichkeit des verschlüsselten Befundes ist nur mittel (Regel S3).

Durch die Verschlüsselung des Befundes sind die Inhalte nicht mehr einsehbar und das neue Informationsobjekt verschlüsselter medizinischer Befund fällt daher in die Daten-klasse „Daten ohne Personenbezug“. Die Bewertungen für die einzelnen Schadensklas-sen der Schutzbedarfsfeststellung „Daten ohne Personenbezug“ (mittel für die Schutzzie-le Vertraulichkeit, Integrität und Authentizität) treffen für den verschlüsselten medizini-schen Befund jedoch bzgl. der Schutzziele Integrität und Authentizität nicht zu, da die Verschlüsselung lediglich eine Maßnahme zum Schutz der Vertraulichkeit ist. Insofern wird eine individuelle Schutzbedarfsfeststellung für den verschlüsselten medizinischen Befund durchgeführt (Regel D2).




Die Verschlüsselung des medizinischen Befundes verlagert den Schutzbedarf auf den privaten Schlüssel, mit dem die Entschlüsselung erfolgt. Dieser Schlüssel besitzt den Schutzbedarf des medizinischen Befundes (Regel S1).

Der Schutzbedarf des zugehörigen öffentlichen Schlüssels ist für die Vertraulichkeit mittel und ansonsten gleich dem des korrespondierenden privaten Schlüssels (Regel S2).

IO: privater Schlüssel des empfangenden LE

Schutzbedarf:Vertraulichkeit: sehr hochIntegrität: sehr hochAuthentizität: sehr hoch

Schutzbedarf:Vertraulichkeit: sehr hochIntegrität: sehr hochAuthentizität: sehr hoch

Schutzbedarf:Vertraulichkeit: mittelIntegrität: sehr hochAuthentizität: sehr hoch

Regel S1

Regel S2

Verschlüsselung

IO: Befund

IO: verschlüsselter Befund

Regel S3 und D2

IO: öffentlicher Schlüssel des empfangenden LE

Entschlüsselung

IO: Befund

Regel D1 Schutzbedarf:Vertraulichkeit: sehr hochIntegrität: sehr hochAuthentizität: sehr hoch

Personenbezogene medizinische Daten

Schutzbedarf:Vertraulichkeit: mittelIntegrität: sehr hochAuthentizität: sehr hoch

Daten ohne Personenbezug, aber mit speziellem Schutzbedarf

Personenbezogene medizinische Daten

Abbildung 8: Beispiel für die Anwendung der Regeln zur Schutzbedarfsfeststellung für Schlüssel und Datenklassen

4.1.2 Informationsobjekt „verschlüsselter medizinischer Befund“

In diesem Beispiel wird das Informationsobjekt des verschlüsselten medizinischen Be-funds aus dem vorangegangenen Abschnitt betrachtet. Wie oben begründet, muss für den verschlüsselten medizinischen Befund eine individuelle Schutzbedarfsfeststellung durchgeführt werden (Regel D2). Das Ergebnis dieser Bewertung ist in der folgenden Tabelle festgehalten.

Tabelle 20 – Beispielhafte Schutzbedarfsfeststellung des Informationsobjekts " verschlüs-selter medizinischer Befund"




mittel sehr hoch sehr hoch






Beeinträchtigung der Aufgabenerfül-lung

nicht anwendbar mittel: Ein Verlust der Integri-tät würde dazu führen, dass der Befund nicht mehr korrekt ent-schlüsselt werden kann. D.h. der ur-sprüngliche Inhalt des Befunds kann nicht mehr hergestellt wer-den. Ein erneutes Durchführen der Ver-schlüsselung bzw. ein Übergang auf Ersatz-verfahren wäre erfor-derlich.

nicht anwendbar

Verstoß gegen spe-zielle Gesetzte (SGB V, ...)


Verstoß gegen BDSG


Finanzielle Auswir-kungen

nicht anwendbar sehr hoch: Es werden finanzielle Schäden für den Arzt in Höhe von größer als 280 Euro gemäß der Tabelle für die Scha-denskategorie "Finan-zielle Auswirkungen" angenommen.

sehr hoch: Es werden finanzielle Schäden für den Arzt in Höhe von größer als 280 Euro gemäß der Tabelle für die Schadenskategorie "Finanzielle Auswir-kungen" angenom-men.

Negative Innen- bzw. Außenwirkung (Imageschaden oder Akzeptanzverlust)

mittel: Eine Ansehens- oder Vertrauensbeeinträch-tigung ist zu erwarten, die jedoch keine lang-fristige negative Wir-kung hätte, da der Befund verschlüsselt und kein Personenbe-zug herstellbar ist. Geringe negative Be-richterstattung ohne größere Auswirkungen.


sehr hoch: Ein Vorfall dieser Art hätte eine so starke Ansehens- oder Vertrauensbeeinträch-tigung zu Folge, dass die Möglichkeit besteht, dass der Fortbestand der TI infrage gestellt wird.

Verstoß gegen all-gemeine Gesetze und Vorschriften

nicht anwendbar sehr hoch: Ein Verlust der Integri-tät medizinischer Da-ten kann eine gravie-rende Beeinträchtigung

hoch: Ein Verlust der Au-thentizität könnte materielle Verstöße gegen Vorschriften






der persönlichen Unversehrtheit des Patienten zur Folge haben.

und allgemeine Ge-setze mit erheblichen Konsequenzen zur Folge haben.

Verstoß gegen Ver-träge


4.1.3 Anwendungsprozess „aktualisierendes Schreiben von Notfalldaten

auf eine eGK“

Auf einer eGK sind schon Notfalldaten geschrieben worden, nachdem der entsprechende Versicherte seine Einwilligung gegeben hatte. Nun sollen diese aktualisiert werden. Dies soll der Anwendungsprozess „aktualisierendes Schreiben von Notfalldaten auf eine eGK“ leisten. Welchen Schutzbedarf hat er?

Für Anwendungsprozesse ist der Schutzbedarf bezüglich Verfügbarkeit und Nichtab-streitbarkeit (Verbindlichkeit) festzustellen. Wir führen in diesem Beispiel eine individuelle Schutzbedarfsfeststellung durch. Zunächst wählen wir hierzu anwendbare Schadenska-tegorien aus und ermitteln für diese die Schadensschwere (vgl. auch Kap. 4.1).

Wir suchen nun pro Schutzziel ein Maximum der Schadensschwere über alle Schadens-kategorien. Für die Verfügbarkeit ist dies bspw. „Negative Innen- bzw. Außenwirkung (Imageschaden oder Akzeptanzverlust)“ und damit ergibt sich ein Schutzbedarf von „hoch“ für die Verfügbarkeit. Analog ergibt sich für der Schutzbedarf für die Verbindlich-keit von „sehr hoch“.

Das Ergebnis dieser Vorgehensweise ist in der folgenden Tabelle festgehalten.

Tabelle 21 - Schutzbedarfsfeststellung des Prozesses „aktualisierendes Schreiben von Not-falldaten auf eine eGK“

Schutzziele

Schadenskategorie Verfügbarkeit

Nichtabstreitbarkeit

(Verbindlichkeit)


hoch sehr hoch


hoch:

Ein LE möchte im Auftrag eines Versicherten die Notfalldaten auf dessen eGK aktualisieren. Der An-wendungsprozess ist nicht verfüg-bar. Die NFD werden nicht aktuali-siert. Ggf. stehen nun veraltete (nicht mehr korrekte) Daten im

sehr hoch:

Ein LE aktualisiert im Auftrag des Versicherten die Notfalldaten auf dessen eGK. Wenn im medizini-schen Notfall ein LE diesen Da-tensatz nutzen will, aber nicht verbindlich feststellen kann, dass ein LE diese NFD erzeugt hat und




Schutzziele

Schadenskategorie Verfügbarkeit

Nichtabstreitbarkeit

(Verbindlichkeit)

NFD-Bereich der eGK. Die Versor-gung des Versicherten könnte im Notfall nun schlechter als notwen-dig erfolgen.

genau welcher LE dies war, dann kann er diesen NFD-Satz nicht verwenden. Das gesamte NFDM-Projekt ist damit in Frage gestellt.

Finanzielle Auswir-kungen

mittel:

Es entsteht ein Mehraufwand so-wohl beim Versicherten als auch beim LE.

hoch:

Die Sinnhaftigkeit des gesamten NFDM-Projekts inkl. der bisherigen finanziellen Aufwendungen könnte berechtigter Weise in Frage ge-stellt werden. Ein LE kann die NFD nicht verwenden, wenn deren Ver-bindlichkeit in Zweifel steht, da er dann die rechtlichen Konsequen-zen für Fehler in den NFD ggf. tragen müsste.

Verstoß gegen Ver-träge

mittel:

Entsprechende SLA eines Betrei-bers könnten verletzt werden.

nicht anwendbar

Negative Innen- bzw. Außenwirkung (Imageschaden oder Akzeptanzverlust)

hoch:

LE und Versicherte verlieren das Vertrauen in die Leistungsfähigkeit der TI, eine der initialen Anwen-dungen der TI funktioniert in ihrem unmittelbaren Beisein nicht.

sehr hoch:

Eine LE könnte sich im Notfall nicht auf die vorgefundenen NFD verlassen können. Die Sinnhaftig-keit des gesamten NFDM-Projekts inkl. der bisherigen finanziellen Aufwendungen dafür könnte be-rechtigter Weise in Frage gestellt werden. Das Vertrauen in die TI wird deutlich geschädigt.

4.2 Beispiel einer Schutzbedarfsfeststellung für Dienste und Kom-ponenten

4.2.1 Vererbung des Schutzbedarfs bei Transport einer Nachricht

Für ein Informationsobjekt „Nachricht mit personenbezogenem Inhalt“ ist der Schutzbe-darf bezüglich des Schutzziels „Vertraulichkeit“ als „hoch“ festgestellt worden (die Schutzziele „Integrität“ und „Authentizität“ werden in diesem Beispiel nicht weiter betrach-tet). Dieses Informationsobjekt wird im Rahmen einer Fachanwendung verarbeitet, dazu wird die Nachricht von einem Fachmodul FA entgegen genommen und über den fachan-wendungsspezifischen Dienst FI zu einem anderen Fachmodul FB transportiert. Für die Fachmodule FA, FB werden jeweils verschiedene Komponenten der Anwendungsunter-stützungsschicht (UA für FA, und UB für FB) benötigt, ebenso benötigt der fachanwen-dungsspezifische Dienst FI die Komponente der Anwendungsunterstützungsschicht UI.




Die Komponenten der Anwendungsunterstützungsschicht wiederum werden auf ver-schiedenen Komponenten der Infrastrukturschicht (IA für UA, II für UI und IB für UB) be-trieben.

Der Transport des Informationsobjektes erfolgt über das Netz NAI, welches die Kompo-nenten der Infrastrukturschicht IA und II verbindet, zum Netz NBI, welches wiederum die Komponenten der Infrastrukturschicht II und IB verbindet. Diese Struktur ist in

Abbildung 9 schematisch dargestellt.

Nachricht

Komponente UA

Komponente IA

Netz NAI

FachmodulFA

Netz NBI

Nachricht

Komponente UI

Komponente II

Fachanw. DienstFI

Nachricht

Komponente UB

Komponente IB

FachmodulFB

Abbildung 9: Strukturbeispiel für Schutzbedarfsvererbung

Der hohe Schutzbedarf bezüglich des Schutzziels „Vertraulichkeit“ vererbt sich nun vom Informationsobjekt an die Fachmodule FA, FB und den fachanwendungsspezifischen Dienst FI. Die Fachmodule FA, FB vererben diesen Schutzbedarf an die Komponenten der Anwendungsunterstützungsschicht UA und UB, ebenso vererbt sich der der Schutz-bedarf des fachanwendungsspezifischen Dienstes FI an die Komponente der Anwen-dungsunterstützungsschicht UI. Von diesen Komponenten der Anwendungsunterstüt-zungsschicht UA, UB und UI vererbt sich wiederum der Schutzbedarf jeweils an die Komponenten der Infrastrukturschicht IA, IB und II.

Schließlich vererbt sich der Schutzbedarf dieser Komponenten der Infrastrukturschicht IA, IB und II an die sie verbindenden Netze NAI und NBI, über die die Nachricht ausgetauscht

wird. Dies ist in

Abbildung 10 durch den roten Pfeil und die roten Umrandungen zur Vererbung des Schutzbedarfs dargestellt.




Nachricht

Komponente UA

Komponente IA

Netz NAI

FachmodulFA

Netz NBI

Nachricht

Komponente UI

Komponente II

Fachanw. DienstFI

Nachricht

Komponente UB

Komponente IB

FachmodulFB

Abbildung 10: Beispiel zur Vererbung des Schutzbedarfs

Hier würde sich eine Kapselung der betrachteten Nachricht auf Ebene der Fachmodule, z.B. durch eine Verschlüsselung, anbieten (siehe Erweiterung des Schemas um gekapselte

Nachricht in

Abbildung 11), so dass nur die Fachmodule FA und FB, die die Nachricht direkt verarbeiten, einen hohen Schutzbedarf besitzen. Ebenso besitzen nur die Komponenten der Anwen-dungsunterstützungsschicht UA und UB, die die Ver- und Entschlüsselung ermöglichen (und die diese unterstützenden Komponenten der Infrastrukturschicht IA und IB), einen

hohen Schutzbedarf. Dies ist in

Abbildung 11 durch den roten Pfeil und die roten Umrandungen zur Vererbung des Schutzbedarfs dargestellt.

Der fachanwendungsspezifische Dienste FI, der nur die gekapselte (verschlüsselte) Nachricht verarbeitet, erbt den Schutzbedarf der betrachteten Nachricht nicht, dement-sprechend wird kein hoher Schutzbedarf an die Komponente der Anwendungsunterstüt-zungsschicht UI und deren unterstützende Komponente der Infrastrukturschicht II vererbt.

Auch die Netzwerkdienste NAI, NBI, durch die die nun gekapselte (verschlüsselte) Nach-richt transportiert wird, erben den hohen Schutzbedarf nicht. Dies ist in

Abbildung 11 durch den grünen Pfeil zur Vererbung des Schutzbedarfs der gekapselten Nachricht dargestellt (auf grüne Umrandungen wurde der Übersicht halber verzichtet, die

Vererbung entspricht der Darstellung in

Abbildung 10).




Nach-richt

Komponente UA

Komponente IA

Netz NAI

FachmodulFA

Netz NBI

gekapselte Nachricht

Komponente UI

Komponente II

Fachanw. DienstFI

Komponente UB

Komponente IB

FachmodulFB

gekap.Nach-richt

Nach-richt

gekap.Nach-richt

Abbildung 11: Beispiel zur Kapselung der Nachricht zur Reduktion der Schutzbedarfsver-erbung

Im weiteren Verlauf der Schutzbedarfsfeststellung muss natürlich eine Bewertung des Schutzbedarfs der gekapselten (verschlüsselten) Nachricht erfolgen, welche wiederum ihren Schutzbedarf an die Fachmodule FA, FB und den fachanwendungsspezifischen Dienst FI vererbt.




5 Zusatzinformationen

5.1 Aufwand zur Durchführung

Für die Durchführung der Schutzbedarfsfeststellung werden durchschnittlich 2 Stunden pro Informationsobjekt bzw. Anwendungsprozess zzgl. Dokumentation angenommen, wenn alle Voraussetzungen erfüllt sind.

5.2 Qualitätssicherung

Um die Ergebnisse der Schutzbedarfsfeststellung und die daraus resultierenden Ent-scheidungen später jederzeit nachvollziehen zu können, müssen die Ergebnisse der Schutzbedarfsfeststellung gut dokumentiert werden. Dabei ist darauf zu achten, dass nicht nur die Feststellung des Schutzbedarfs dokumentiert wird, sondern auch die ent-sprechenden Begründungen. Diese Begründungen erlauben es später, die Feststellun-gen zu überprüfen und weiter zu verwenden.

Zur vollständigen Bestimmung der Schutzbedarfsfeststellung müssen:

alle Informationsobjekte und Anwendungsprozesse bewertet sein,

die Vorlagen vollständig ausgefüllt sein.

5.3 Lernmittel

Als ergänzende Lektüre zum vorliegenden Methoden-Dokument kann der BSI-Standard 100-2 „IT-Grundschutz-Vorgehensweise“ [BSI-100-2] herangezogen werden.

5.4 Häufig gestellte Fragen (FAQs)

Q: Wie kann der Schutzbedarf eines Informationsobjektes reduziert werden?

A: Der ermittelte Schutzbedarf eines Informationsobjektes bezüglich eines Schutzzieles kann nicht reduziert werden. Es ist jedoch möglich durch entsprechende Sicherheitsmaß-nahmen (z.B. Verschlüsselung) neue Informationsobjekte zu erzeugen, von denen nur eines (z.B. ein kryptographischer Schlüssel) den Schutzbedarf eines einzelnen Schutz-ziels (hier: Vertraulichkeit) des ursprünglichen Informationsobjektes besitzt, siehe Kapitel 2.4. Der Schutzbedarf dieser neuen Informationsobjekte muss für alle anderen Schutzzie-le entsprechend neu ermittelt werden.




Anhang A

A1 – Abkürzungen

Kürzel Erläuterung

BSI Bundesamt für Sicherheit in der Informationstechnik

A2 – Glossar

Das Glossar wird als eigenständiges Dokument, vgl. [gemGlossar] zur Verfügung gestellt.

A3 – Abbildungsverzeichnis

Abbildung 1: Methodik der Sicherheitskonzeption..............................................................5

Abbildung 2 - Schritte einer Schutzbedarfsfeststellung ......................................................9

Abbildung 3: Datenklassen für die Schutzbedarfsfeststellung..........................................20

Abbildung 4: Beispiele für die Zuordnung von Informationsobjekten zu Datenklassen ....20

Abbildung 5: Datenklassen für die Schutzbedarfsfeststellung..........................................33

Abbildung 6: Schichtenmodell der TI ................................................................................40

Abbildung 7: Vererbung des Schutzbedarfs .....................................................................42

Abbildung 8: Beispiel für die Anwendung der Regeln zur Schutzbedarfsfeststellung für Schlüssel und Datenklassen .....................................................................................45

Abbildung 9: Strukturbeispiel für Schutzbedarfsvererbung...............................................49

Abbildung 10: Beispiel zur Vererbung des Schutzbedarfs................................................50

Abbildung 11: Beispiel zur Kapselung der Nachricht zur Reduktion der Schutzbedarfsver-erbung .......................................................................................................................51

A4 – Tabellenverzeichnis

Tabelle 1: Schadensbewertung Verstoß gegen allgemeine Gesetze...............................11

Tabelle 2: Schadensbewertung Verstoß gegen das Bundesdatenschutzgesetz..............12

Tabelle 3: Schadensbewertung Verstoß gegen eGK betreffende Gesetze......................13

Tabelle 4: Schadensbewertung Verstoß gegen Verträge.................................................15




Tabelle 5: Schadensbewertung Beeinträchtigung der Aufgabenerfüllung........................16

Tabelle 6: Schadensbewertung Negative Innen- bzw. Außenwirkung (Imageschaden oder Akzeptanzverlust) ......................................................................................................17

Tabelle 7: (INFORMATIV) Beispiele für die Schadensbewertung finanzieller Schäden...18

Tabelle 8 - Schutzbedarfsfeststellung der Datenklasse "personenbezogene medizinische Daten"........................................................................................................................21

Tabelle 9 - Schutzbedarfsfeststellung der Datenklasse "öffentliche personenbezogene Daten"........................................................................................................................23

Tabelle 10 - Schutzbedarfsfeststellung der Datenklasse "personenbezogene Daten".....24

Tabelle 11 - Schutzbedarfsfeststellung der Datenklasse "vertrauliche Daten mit Sicherheitsrelevanz"..................................................................................................26

Tabelle 12 -Schutzbedarfsfeststellung der Datenklasse "öffentliche Daten mit Sicherheitsrelevanz"..................................................................................................28

Tabelle 13 - Schutzbedarfsfeststellung der Datenklasse "Daten ohne Personenbezug" .29

Tabelle 14 - Schutzbedarfsfeststellung der Prozessklasse "Verfügbarkeit ohne Sicherheitsrelevanz"..................................................................................................34

Tabelle 15 - Schutzbedarfsfeststellung der Prozessklasse "Verfügbarkeit mit Sicherheitsrelevanz ohne Senken des Sicherheitsniveaus"......................................34

Tabelle 16 - Schutzbedarfsfeststellung der Prozessklasse "Verfügbarkeit mit Sicherheitsrelevanz mit Senken des Sicherheitsniveaus" .........................................35

Tabelle 17 - Schutzbedarfsfeststellung der Prozessklasse "Verfügbarkeit mit Eliminieren der Sicherheit" ...........................................................................................................36

Tabelle 18 - Schutzbedarfsfeststellung der Prozessklasse "Prozesse mit der Verarbeitung öffentlicher Daten" .....................................................................................................37

Tabelle 19 - Schutzbedarfsfeststellung der Prozessklasse "Prozesse mit Sicherheitsrelevanz"..................................................................................................38

Tabelle 20 – Beispielhafte Schutzbedarfsfeststellung des Informationsobjekts " verschlüsselter medizinischer Befund" ......................................................................45

Tabelle 21 - Schutzbedarfsfeststellung des Prozesses „aktualisierendes Schreiben von Notfalldaten auf eine eGK“ ........................................................................................47

A5 - Referenzierte Dokumente

[Quelle] Herausgeber (Erscheinungsdatum): Titel

[BSI-100-2] BSI (Mai 2008): BSI Standard 100-2

IT-Grundschutz-Vorgehensweise, Version 2.0

[BSI-Glossar] BSI Glossar

https://www.bsi.bund.de/DE/Themen/InternetSicherheit/GlossarBegriffe/GlossarBegriffe_node.html




[Quelle] Herausgeber (Erscheinungsdatum): Titel

[BDSG] Bundesdatenschutzgesetz

http://bundesrecht.juris.de/bdsg_1990/

[BGB] Bürgerliches Gesetzbuch

http://bundesrecht.juris.de/bgb/

[GMG] Gesetz zur Modernisierung der gesetzlichen Krankenversicherung

http://www.buzer.de/gesetz/7332/index.htm

[OwiG] Ordnungswidrigkeitengesetz

http://bundesrecht.juris.de/owig_1968/

[SGB V] Sozialgesetzbuch V - Gesetzliche Krankenversicherung

http://bundesrecht.juris.de/sgb_5/

[SGB X] Sozialgesetzbuch X - Verwaltungsverfahren und Sozialdatenschutz

http://bundesrecht.juris.de/sgb_10/

[StGB] Strafgesetzbuch

http://bundesrecht.juris.de/stgb/

[StPO] Strafprozessordnung

http://bundesrecht.juris.de/stpo/

[BSI-TR-03116] BSI TR-03116, Technische Richtlinie für eCard-Projekte der Bundes-regierung, Version 3.04, 11.06.2010 https://www.bsi.bund.de/ContentBSI/Publikationen/TechnischeRichtlinien/tr03116/index_htm.html

Schutzbedarfsfeststellung in der Telematikinfrastruktur · Schutzbedarfsfeststellung in der...

Documents

Transcript of Schutzbedarfsfeststellung in der Telematikinfrastruktur · Schutzbedarfsfeststellung in der...