/
Anwendungsfall zum Thema Schutzbedarfsanalyse

Anwendungsfall zum Thema Schutzbedarfsanalyse

🏢 Ausgangslage: InnoTech GmbH – Digitalisierung trifft auf Sicherheitsfragen

Die InnoTech GmbH ist ein wachsendes Schweizer Softwareunternehmen mit Sitz in Zürich, das sich auf cloudbasierte Lösungen für die Finanz- und Versicherungsbranche spezialisiert hat. Das Unternehmen beschäftigt rund 150 Mitarbeitende, darunter Softwareentwickler:innen, Projektmanager:innen, Vertriebsteams und Supportmitarbeitende. Viele von ihnen arbeiten regelmäßig remote oder hybrid, insbesondere seit der Pandemie.

InnoTech verfolgt eine Digital-First-Strategie und möchte die Flexibilität der Mitarbeitenden weiter fördern. In diesem Zuge wird diskutiert, die geschäftliche Nutzung privater Mobilgeräte offiziell zuzulassen – insbesondere für E-Mail, Kalender, Zugriff auf das CRM-System und interne Kommunikationsplattformen wie Microsoft Teams oder Slack.

🔍 Aktuelle Situation:

  • Bereits heute nutzen viele Mitarbeitende inoffiziell ihre privaten Smartphones für berufliche Zwecke.

  • Es gibt keine formelle BYOD-Richtlinie, keine technischen Schutzmaßnahmen und keine Schulungen.

  • Die IT-Abteilung hat keinen Überblick, welche Geräte verwendet werden oder wie sicher sie konfiguriert sind.

  • Die Geschäftsleitung sieht in BYOD eine Chance zur Kosteneinsparung (weniger Firmengeräte) und zur Steigerung der Mitarbeiterzufriedenheit.

⚠️ Herausforderungen:

  • InnoTech verarbeitet sensible Kundendaten, darunter personenbezogene Finanzinformationen, Vertragsdaten und Zugangsdaten zu Kundensystemen.

  • Das Unternehmen unterliegt sowohl dem Schweizer Datenschutzgesetz (revDSG) als auch teilweise der EU-DSGVO, da es auch Kunden in der EU betreut.

  • Es bestehen Compliance-Vorgaben von Partnerbanken und Versicherungen, die hohe Anforderungen an Informationssicherheit stellen.

  • Die IT-Sicherheitsrichtlinien sind veraltet und wurden noch nicht an mobile Arbeitsformen angepasst.

🧩 Ihre Rolle:

Sie wurden von der Geschäftsleitung beauftragt, als Informationssicherheitsbeauftragte:r eine fundierte Schutzbedarfsanalyse durchzuführen und ein Sicherheitskonzept für BYOD zu entwickeln. Ziel ist es, eine sachlich begründete Empfehlung abzugeben, ob und unter welchen Bedingungen die Nutzung privater Geräte erlaubt werden kann – unter Berücksichtigung von Datenschutz, IT-Sicherheit, Benutzerfreundlichkeit und rechtlichen Rahmenbedingungen.

Natürlich! Hier ist die erweiterte Version der Transferaufgabe zum Thema Schutzbedarfsanalyse bei BYOD (Bring Your Own Device). Diese Version ist für eine Bearbeitungszeit von ca. 90–120 Minuten ausgelegt und enthält zusätzliche Reflexions- und Vertiefungselemente.

🧩 Erweiterte Transferaufgabe: Schutzbedarfsanalyse zur geschäftlichen Nutzung privater Mobilgeräte

Rolle:

Sie übernehmen die Rolle der/des Informationssicherheitsbeauftragten der InnoTech GmbH, einem Softwareunternehmen mit 150 Mitarbeitenden, das sensible Kundendaten aus der Finanzbranche verarbeitet.

🧠 Ihre Aufgabe:

Teil 1: Schutzbedarfsanalyse (ca. 30–40 Minuten)

  1. Identifizieren Sie mindestens fünf Arten von Informationen, die über private Geräte verarbeitet werden könnten (z. B. E-Mails, Kundendaten, Zugangsdaten, interne Dokumente, Chatverläufe).

  2. Bewerten Sie für jede Informationsart den Schutzbedarf in den Kategorien:

    • Vertraulichkeit

    • Integrität

    • Verfügbarkeit Verwenden Sie die Stufen: normal, hoch, sehr hoch.

  3. Begründen Sie Ihre Einschätzungen mit Blick auf mögliche Auswirkungen bei Verlust, Manipulation oder unbefugtem Zugriff.

Teil 2: Risikoanalyse und Bedrohungsszenarien (ca. 30 Minuten)

  1. Beschreiben Sie mindestens fünf konkrete Risiken, die sich aus der Nutzung privater Geräte ergeben (z. B. Geräteverlust, Malware, unverschlüsselte Kommunikation, fehlende Updates, Nutzung unsicherer Apps).

  2. Bewerten Sie die Risiken hinsichtlich:

    • Eintrittswahrscheinlichkeit (niedrig, mittel, hoch)

    • Schadensausmaß (gering, mittel, hoch)

  3. Erstellen Sie eine Risikomatrix und priorisieren Sie die Risiken.

  4. Entwickeln Sie für zwei Risiken ein konkretes Bedrohungsszenario (Was passiert, wenn das Risiko eintritt? Wer ist betroffen? Welche Folgen entstehen?).

Teil 3: Maßnahmen und Handlungsempfehlung (ca. 30–40 Minuten)

  1. Formulieren Sie eine Empfehlung an die Geschäftsleitung, ob und unter welchen Bedingungen BYOD erlaubt werden kann.

  2. Entwickeln Sie ein Maßnahmenpaket mit mindestens sieben technischen und organisatorischen Maßnahmen, z. B.:

    • Mobile Device Management (MDM)

    • Verschlüsselung

    • Zugriffskontrollen

    • Schulungen

    • Trennung von privaten und geschäftlichen Daten (Container-Lösungen)

    • Richtlinien zur App-Nutzung

    • Regelmäßige Sicherheitsüberprüfungen

  3. Begründen Sie, wie jede Maßnahme zur Risikominimierung beiträgt.

  4. Berücksichtigen Sie auch rechtliche Aspekte (z. B. DSG, DSGVO, Arbeitsrecht).

Teil 4: Reflexion (optional, ca. 10 Minuten)

  1. Welche Herausforderungen sehen Sie bei der Umsetzung der Maßnahmen in der Praxis?

  2. Wie kann die Akzeptanz der Mitarbeitenden für Sicherheitsmaßnahmen erhöht werden?

  3. Welche Rolle spielt die Unternehmenskultur bei der Informationssicherheit?

📌 Ziel der Aufgabe:

  • Anwendung der Schutzbedarfsanalyse auf ein komplexes, praxisnahes Szenario

  • Entwicklung eines fundierten Sicherheitskonzepts für mobile Endgeräte

  • Förderung von Risikobewusstsein, rechtlichem Verständnis und Kommunikationsfähigkeit

 

Looking for labels? They can now be found in the details panel on the floating action bar.