Cybervize - Cybersecurity Beratung

Sicherheitsprozess und Strukturanalyse: den Informationsverbund modellieren

BSI IT-GrundschutzCISOISMS ManagerISBIT-Leitung

Kernaussage

Der Sicherheitsprozess ist die geordnete Art, wie eine Institution ihr Sicherheitsmanagement aufbaut und betreibt: von der Initiierung durch die Leitung über Leitlinie und Sicherheitsorganisation bis zu Sicherheitskonzeption, Umsetzung und dauerhafter Aufrechterhaltung. Der erste belastbare Schritt der Konzeption ist die Strukturanalyse.

Bevor eine Maßnahme ausgewählt wird, müssen zwei Dinge feststehen: wofür das Sicherheitsmanagement gilt (der Geltungsbereich, im IT-Grundschutz Informationsverbund genannt) und woraus dieser Bereich besteht (die Zielobjekte). Schutzbedarf, Modellierung, Soll-Ist-Abgleich, eine etwaige Risikoanalyse und der Geltungsbereich einer späteren Zertifizierung bauen darauf auf. Die Strukturanalyse ist deshalb kein Inventar-Nebenprodukt, sondern der Aufsatzpunkt der Sicherheitskonzeption.

Problem in der Praxis

Viele Programme beginnen bei den Maßnahmen: Es wird über Konfigurationen, Tools und einzelne Bausteine diskutiert, bevor klar ist, welcher Bereich betrachtet wird und welche Objekte darin existieren. Das führt zu wandernden Grenzen ohne saubere Begründung.

Zwei Fehlhaltungen wiederholen sich: der zu große Wurf ("Wir sichern einfach alles ab"), bei dem der Geltungsbereich nie geschnitten wird und das Programm nicht in den Betrieb kommt, und die Momentaufnahme, bei der eine einmalige Liste als Strukturanalyse gilt und bald veraltet ist. Spätestens bei einem Audit oder Vorfall rächt sich die fehlende Objektbasis: Es fehlt die belastbare Antwort, was zum Verbund gehört, wie Systeme zusammenhängen und welches Objekt welchen Geschäftsprozess trägt.

CISO-Einordnung

Der Geltungsbereich ist eine Managemententscheidung, keine reine IT-Übung. Er legt fest, für welchen Zuständigkeitsbereich das Sicherheitsmanagement verbindlich ist: die ganze Institution oder ein abgegrenzter Ausschnitt aus Geschäftsprozessen und Organisationseinheiten. Der Informationsverbund umfasst dabei infrastrukturelle, organisatorische, personelle und technische Bestandteile, nicht nur Technik.

Die Aktionsfelder der Konzeption bauen logisch aufeinander auf, ohne streng sequenziell zu sein: Geltungsbereich, Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, IT-Grundschutz-Check und gegebenenfalls eine ergänzende Risikoanalyse, bevor die Umsetzung folgt. Die Strukturanalyse ist das tragende Element, weil sie die Zielobjekte liefert, an denen alle weiteren Schritte ansetzen. Zielobjekte sind die Bezugspunkte, denen Schutzbedarf zugeordnet und auf die Anforderungen abgebildet werden; der Verbund selbst ist das übergeordnete Zielobjekt. Strukturanalyse heißt damit nicht "Hardware zählen", sondern die nötigen Informationen eindeutig zuordenbar zu erfassen.

Umsetzungsperspektive

Eine tragfähige Strukturanalyse arbeitet sich von der Fachlichkeit zur Technik vor. Ausgangspunkt sind Geschäftsprozesse und verarbeitete Informationen; daraus werden die Anwendungen abgeleitet, dann IT-, ICS- und IoT-Systeme, Kommunikationsnetze sowie Räume und Gebäude. Ein aktueller Netztopologieplan ist eine sinnvolle Ausgangsbasis. Klassisch beginnt man bei den Anwendungen, je nach Lage auch bei den Systemen; maßgeblich ist nicht der Startpunkt, sondern ein konsistentes, verknüpftes Bild am Ende.

Die Gruppenbildung folgt einem klaren Kriterienset: gleicher Objekttyp, ähnliche Aufgaben und Rahmenbedingungen, vergleichbarer Schutzbedarf; bei technischen Objekten zusätzlich ähnliche Konfiguration, Netzeinbindung und Anwendungen. Eine Gruppe ist nur zulässig, wenn die Stichprobe wirklich repräsentativ ist; wer Objekte mit unterschiedlichem Schutzbedarf zusammenpresst, verschleiert genau die Unterschiede, die später zählen.

Die Ergebnisse gehören in ein gepflegtes Verzeichnis, nicht in eine Einmal-Liste. Es ist die gemeinsame Datenbasis für Schutzbedarfsfeststellung, Modellierung und eine eventuelle Risikoanalyse nach dem ergänzenden BSI-Standard 200-3 und trägt zugleich die Business-Impact-Analyse im Business Continuity Management (BCM). Der modernisierte Anwenderkatalog Grundschutz++ führt die Strukturmodellierung folgerichtig als eigenes Themenfeld, von der Abgrenzung des Informationsverbunds bis zur Asset-Modellierung.

Typische Fehler

  1. Maßnahmen und Bausteine werden diskutiert, bevor Geltungsbereich und Zielobjekte feststehen.
  2. Der Informationsverbund wird nicht geschnitten ("alles"), wodurch die Erhebung nie abschließbar wird.
  3. Geschäftsprozesse und Informationen werden übersprungen und nur Technik erfasst.
  4. Gruppen werden zu grob gebildet, sodass unterschiedlicher Schutzbedarf unsichtbar wird.
  5. Die Strukturanalyse bleibt eine Momentaufnahme ohne Pflegeprozess und veraltet.

Risiken und Trade-offs

Der wichtigste Trade-off liegt im Zuschnitt des Geltungsbereichs: Ein zu großer Verbund überfordert die Organisation und verzögert den Betrieb, ein zu kleiner lässt kritische Prozesse außen vor und erzeugt Scheinabsicherung. Der CISO muss einen Schnitt finden, der fachlich sinnvoll und organisatorisch betreibbar ist.

Hinzu kommt die Granularität der Gruppen: grobe Gruppen verstecken Risiken, feine treiben den Pflegeaufwand; Maßstab ist nicht maximale Genauigkeit, sondern Angemessenheit zum Schutzbedarf. Ebenso steht Aktualität gegen Aufwand: Ein lebendes Verzeichnis kostet Pflege, eine Momentaufnahme ist schnell wertlos, und ohne Bezug zu den Geschäftsprozessen verliert die Analyse ihre Steuerungswirkung.

Entscheidungspunkte

  • Welcher Geltungsbereich ist fachlich sinnvoll und zugleich betreibbar: ganze Institution oder abgegrenzter Verbund?
  • Nach welchen Kriterien werden Zielobjekte gruppiert, und wie wird die Repräsentativität der Stichprobe sichergestellt?
  • Wer ist Eigentümer des Strukturverzeichnisses, und in welcher Taktung wird es aktualisiert?
  • Soll der Verbund später Grundlage einer Zertifizierung sein, und welcher Zuschnitt trägt dieses Ziel?

Praktische Empfehlungen

  1. Beschließen Sie den Geltungsbereich als Managemententscheidung und dokumentieren Sie die Begründung des Zuschnitts.
  2. Erheben Sie von der Fachlichkeit her: erst Geschäftsprozesse und Informationen, dann Anwendungen, Systeme, Netze und Räume, mit dem aktuell gehaltenen Netztopologieplan als Ausgangsbasis.
  3. Bilden Sie Gruppen anhand fester Kriterien und prüfen Sie aktiv, ob die Stichprobe wirklich repräsentiert.
  4. Führen Sie ein gepflegtes Strukturverzeichnis als einzige Quelle für Schutzbedarf, Modellierung, Risikoanalyse und BIA, mit fester Aktualisierungstaktung und Trigger bei wesentlichen Änderungen.

Relevante Normreferenzen

  • BSI-Standard 200-2 (IT-Grundschutz-Methodik): Fundstelle für Sicherheitsprozess, Sicherheitskonzeption und Strukturanalyse.
  • BSI-Standard 200-1 (Managementsysteme für Informationssicherheit): Fundstelle für Geltungsbereich und Informationsverbund.
  • BSI-Standard 200-3 (Risikoanalyse auf der Basis von IT-Grundschutz): Strukturanalyse und definierter Verbund als Vorarbeiten der Risikoanalyse.
  • ISO/IEC 27001:2022: Referenz für den Anwendungsbereich (Scope) eines ISMS (aktuelle Ausgabe, löst 2013 ab).
  • IT-Grundschutz-Kompendium: Referenz für die nachgelagerte Modellierung der Zielobjekte.

Häufige Fragen

Was ist der Informationsverbund?+

Der Informationsverbund ist der Geltungsbereich des Sicherheitsmanagements im IT-Grundschutz. Er umfasst nicht nur Technik, sondern auch infrastrukturelle, organisatorische und personelle Bestandteile und kann die ganze Institution oder einen abgegrenzten Ausschnitt umfassen.

Warum ist die Strukturanalyse der Aufsatzpunkt?+

Weil sie die Zielobjekte liefert, an denen Schutzbedarf, Modellierung, Soll-Ist-Abgleich und Risikoanalyse ansetzen. Ohne saubere Objektbasis sind alle weiteren Aussagen nicht nachvollziehbar.

Genügt eine einmalige Inventarliste?+

Nein. Die Strukturanalyse muss als gepflegtes Verzeichnis geführt werden, das bei Änderungen aktualisiert wird, sonst verliert sie schnell ihren Wert.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen BSI IT-Grundschutz prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: gs-meth-003.