Der Verteilungseffekt beschreibt in der Schutzbedarfsfeststellung, dass sich ein hoher Schutzbedarf einer Gesamtfunktion oder Anwendung nicht zwangsläufig in gleicher Höhe auf jedes einzelne beteiligte Zielobjekt (z. B. IT-System, Raum, Verbindung) „vererbt“. Durch eine kluge Verteilung von Funktionen, Redundanzen oder Sicht- und Zugriffsbeschränkungen kann der Schutzbedarf einzelner Komponenten relativiert und geringer eingestuft werden. Typisch ist das bei der Verfügbarkeit (z. B. redundante Systeme), möglich aber auch bei der Vertraulichkeit (z. B. Clients sehen nur unkritische Daten). Entscheidungen hierzu müssen nachvollziehbar dokumentiert werden.
Einordnung in den IT-Grundschutz / BSI-Standards
Der Verteilungseffekt wird im BSI-Standard 200-2 im Kapitel zur Schutzbedarfsfeststellung genannt. Dort wird er als Gegenstück zur „Vererbung“ des Schutzbedarfs hervorgehoben und explizit als Aspekt genannt, der bei der Ableitung des Schutzbedarfs für IT-, ICS- und sonstige Systeme sowie Räume und Verbindungen zu berücksichtigen ist – zusammen mit Abhängigkeiten, dem Maximumprinzip und dem Kumulationseffekt.
Beispiele im Standard zeigen, dass gerade redundante Auslegungen (Ausweicharbeitsplätze, Cluster, etc.) einen hohen Gesamt-Schutzbedarf auf Komponentenebene abmildern können. Gleichzeitig wird darauf hingewiesen, dass solche Überlegungen inhaltlich bereits in Richtung Risikoanalyse gehen und daher besonders sauber festgehalten werden sollten.
Zweck und Nutzen
Der Verteilungseffekt hilft, Sicherheitsanforderungen zielgenau und wirtschaftlich festzulegen: Nicht jedes beteiligte Element muss automatisch auf höchstem Niveau abgesichert werden, wenn seine Rolle – dank Verteilung oder Begrenzung – geringere Auswirkungen auf Schadenereignisse hat. So lassen sich Maßnahmen und Budgets auf echte „Hot Spots“ konzentrieren, ohne das Gesamtrisiko zu erhöhen.
Praktische Relevanz
- Redundanzen & Verfügbarkeit: Eine Anwendung benötigt sehr hohe Verfügbarkeit. Sind ausreichend Ausweicharbeitsplätze oder redundante Systeme vorhanden, kann der einzelne Arbeitsplatz oder die Einzelkomponente bzgl. Verfügbarkeit nur „normal“ eingestuft werden – solange die Redundanz tatsächlich greift und vorgehalten wird.
- Datenzugriff & Vertraulichkeit: Bezieht ein Client aus einer hochvertraulichen Datenbank ausschließlich unkritische Teilmengen, kann sein Vertraulichkeitsschutzbedarf geringer sein als der des Datenbankservers. Voraussetzung sind strikt umgesetzte Zugriffstrennungen.
- Dokumentation & Governance: Weil der Verteilungseffekt im Grunde eine vorweggenommene Risikobetrachtung ist, müssen Annahmen (z. B. „ausreichende Anzahl Ausweichplätze vorhanden“) und Grenzen (z. B. „nur unkritische Daten abrufbar“) im Schutzbedarfsnachweis festgehalten und regelmäßig überprüft werden.
- Methodischer Kontext: Bei der Schutzbedarfsableitung für Systeme, Räume und Verbindungen ist der Verteilungseffekt neben Maximumprinzip, Abhängigkeiten und Kumulationseffekt systematisch zu prüfen, um weder zu hoch noch zu niedrig zu bewerten.
Kurzbeispiel
Hoher Verfügbarkeitsbedarf einer Fachanwendung, aber mehrere vorbereitete Ausweicharbeitsplätze in Nachbargebäuden: Einzelarbeitsplätze können bzgl. Verfügbarkeit „normal“ eingestuft werden – solange die Anzahl der Ausweichplätze ausreichend bleibt.