| Auswirkung → |
Unwesentlich
(A) |
Gering
(B) |
Bedeutsam
(C) |
Kritisch
(D) |
Katastrophal
(E) | |
|---|---|---|---|---|---|---|
| Konsequenz | Umwelt (KU) | Unschädlich | Kaum spürbar / messbar | Spürbar, klein- / großflächig | Hoch, klein- / großflächig | Massiv, großflächig |
| Vermögenswert (KV) | Kein physikalischer / monetärer Schaden | Kosmetischer / kaum monetärer Schaden | Funktionaler Schaden, reparierbar | Substantieller Schaden, reparierbar | Totalverlust | |
| Gesundheit (KG) | Unwesentlicher körperlicher / psychischer Schaden | Geringer körperlicher / psychischer Schaden | Bedeutsamer körperlicher / psychischer Schaden | Kritischer Schaden oder ein Todesfall | Katastrophaler Schaden oder mehrere Todesfälle | |
| Geschäftskontinuität (KK) | Kaum sichtbare oder spürbare Service-Unterbrechung | Spürbare temporäre Service-Unterbrechung | Kleine funktionale (permanente) Service-Unterbrechung | Große funktionale (permanente) Service-Unterbrechung | Service-Totalausfall | |
| Datenschutz (KD) | Kein Datenverlust / keine Datenoffenlegung | Verlust wiederherstellbarer sekundären Daten, Offenlegung öffentlicher Daten | Verlust leicht wiederherstellbarer Daten, Offenlegung interner Daten | Verlust wiederherstellbarer Daten, Offenlegung einiger geschützter Daten | Uneinbringlicher Datenverlust, vollständige Offenlegung geschützter Daten | |
| ↓ Wahrscheinlichkeit (innerhalb 5 Jahren) |
Sicher (5) 81-100% |
A5 | B5 | C5 | D5 | E5 |
| Wahrscheinlich (4) 61-80% |
A4 | B4 | C4 | D4 | E4 | |
| Möglich (3) 41-60% |
A3 | B3 | C3 | D3 | E3 | |
| Unwahrscheinlich (2) 21-40% |
A2 | B2 | C2 | D2 | E2 | |
| (Fast) unmöglich (1) 0-20% |
A1 | B1 | C1 | D1 | E1 |
| Verringertes Risiko | Startrisiko | ||||||
|---|---|---|---|---|---|---|---|
| Faktor | B3 | ID | AS1 | Betrifft | Datenschutz
Vermögenswert |
Faktor | C3 |
| Stufe | Niedrig | Festgestellt am | 2021-11-26 | Eigner | IT Ops Manager | Stufe | Mittel |
| Wahrscheinlichkeit | Möglich | Domäne | Extern | Maßnahmen existieren? | nein | Wahrscheinlichkeit | Möglich |
| Auswirkung | Gering | Vorfälle | 1 | Letzter Audit | Auswirkung | Bedeutsam | |
Gemeldete Vorfälle
| Seite | Datum | Name | Typ | Geschlossen? |
|---|---|---|---|---|
| Verlust Notebook | 2023-12-02 | Verlust Notebook | Datenschutz Vermögenswert | Nein |
Risikobeschreibung
Das Unternehmen stellt den Mitarbeitern generell einen Laptop und andere Mobilgeräte als Standardausrüstung zur Verfügung. Da diese auch im Home Office und bei Kundenterminen genutzt werden, besteht die Gefahr eines Verlustes außerhalb des Büros. Das zentrale Risiko ist hierbei der Datenverlust sowohl interner Daten als auch von Kundendaten.
Überlegungen zur Risikobehandlung
Folgende Überlegungen wurden in die Risikobehandlung miteinbezogen:
- Verlust eines Geräts in öffentlichen Verkehrsmitteln oder anderen öffentlichen Plätzen (Restaurant, Hotel, etc)
- Gesetzliche Datenschutzvorgaben
- Datenklassifikation (bei Datenschutzrisiken): öffentlich, intern, vertraulich, streng vertraulich
- Wiederbeschaffungskosten
Plan zur Risikobehandlung
Der Zweck eines Plans zur Risikobehandlung ist es darzustellen: (1) welche Maßnahmen geplant sind, (2) wie diese implementiert werden, und (3) ob diese bereits implementiert sind. Es ist wichtig, dass die Durchführung des Plans und der Stand der Planung sowie die Umsetzung des Plans von allen Betroffenen verstanden wird. Es sollte zudem jederzeit möglich sein, den Fortschritt im Hinblick auf den Plan nachzuvollziehen.
Technische Maßnahmen
- Alle mobilen Endgeräte sind passwortgesichert (nur starke Passwörter sind technisch möglich) und können "remote" gesperrt werden. (implementiert)
- Alle Geräte sind physikalisch mit Aufklebern gekennzeichnet und mit einer Telefonnummer versehen (implementiert)
- Passwörter werden generell nicht direkt gespeichert, sondern über den zentralen Passwortmanager Bitwarden. (implementiert)
Organisatorische Maßnahmen
- Alle Mitarbeiter absolvieren ein jährliches Training zum Datenschutz. Das Thema Datenverlust wird hierbei behandelt. (implementiert)
- In allen Verlustfällen wird die interne und externe Meldepflicht geprüft und nach Richtlinie angewandt. (implementiert)
