Übersetzungen exportieren

Einstellungen

Gruppe

Sprache

Format

Für die Offline-Übersetzung exportieren

Im systemeigenen Format exportieren

Im CSV-Format exportieren

Von TogetherSecure werden Wissensdatenbanken erstellt und ausgeliefert. Aber auch jeder Risikomanagement Expert ist in der Lage, eine Wissensdatenbank zu erstellen bzw. bestehende zu modifizieren. Die Wissensdatenbank kann also von jedem Expert erstellt und überarbeitet werden.

Dies bedeutet, dass man die Themen anlegen und auch hierarchisch reihen kann. Den Themen werden dann Prüffragen zugeteilt, indem sie zum Thema angelegt werden oder aus dem vorhandenen Pool der Prüffragen verknüpft werden. Zu den Prüffragen können im nächsten Schritt Bedrohungen, Begründungsvorlagen, Maßnahmen und/oder Kontrollen neu angelegt oder aus bestehenden zugeteilt werden. Werden beispielsweise schon Bedrohungen und Maßnahmen/Kontrollen mitgeliefert, dann ist das (wie im BSI IT-Grundschutz vorgesehen) so zu sehen, dass für die angebotenen Gefährdungen bereits adäquate Maßnahmen bzw. Kontrollen überlegt wurden. Dem User ist aber ans Herz zu legen, weitere Gefährdungen in der eigenen Konstellation zu überdenken und ggf. zusätzliche Maßnahmen und/oder Kontrollen, zur Behandlung dieser weiteren Gefährdungen zu erfassen.

== Wissensdatenbank erstellen/bearbeiten ==

Um eine Wissensdatenbank zu erstellen oder zu bearbeiten müssen Sie zum Menüpunkt "Administration → Wissensdatenbanken" navigieren.

In diesem Reiter werden alle Wissensdatenbanken angezeigt egal ob veröffentlicht oder nicht. Nur veröffentlichte Wissensdatenbanken können für Überprüfungen verwendet werden. Veröffentlichte Wissensdatenbanken sind durch ein grünes Häkchen gekennzeichnet. Gibt es von einer Wissensdatenbank mehrere Versionen kann eine als bevorzugt deklariert werden (siehe bearbeiten). Dies wird durch das rote Herz erkennbar gemacht.

'''Erstellen:'''

*Zum Erstellen einer neuen WDB auf den "neue Wissensdatenbank erstellen" Button klicken. Im Anschluss müssen Sie Kopfdaten eintragen, Themen erstellen und diesen Prüffragen zuteilen. Dann werden den Prüffragen Maßnahmen, Kontrollen, Begründungsvorlagen und Bedrohungen zugeteilt.

[[Datei:WDB Wissensdatenbanken.png|left|thumb|901px|Reiter Wissensdatenbanken]]

'''Bearbeiten:'''

*Zum Bearbeiten einer WDB müssen Sie auf die gewünschte WDB klicken. Veröffentlichte Wissensdatenbanken sind schreibgeschützt und können deshalb nicht mehr verändert werden. Wurde eine WDB bereits veröffentlicht, müssen Sie, um die WDB zu bearbeiten, eine Nachfolgeversion oder eine Benutzeradaptionen (von Hersteller-WDB) erstellen. Sie können in dieser Maske auch, falls von der WDB mehrere Versionen existieren, festlegen, ob diese Version die bevorzugte Version ist. 
* Die Nachfolge Version ist unveröffentlicht und kann daher bearbeitet werden.

[[Datei:WDB Maske Wissensdatenbank bearbeiten.png|left|thumb|900px|Maske einer veröffentlichten Wissensdatenbank]]

=== Kopfdaten ===

----
In den Kopfdaten sollten Sie kurz den Zweck der Wissensdatenbank beschreiben. Weiters müssen Sie, je nachdem ob es sich um eine eigens kreierte oder eine Wissensdatenbank nach Norm handelt, den Typ dementsprechend einstellen, den aktuellen Stand angeben und den Hersteller eintragen (z.B. Benutzer oder Firma). Achtung: nur WDBs vom Typ Hersteller oder Standard/Norm können exportiert werden.

Typ Hersteller und Standard oder Norm

Um WDBs vom Typ Hersteller oder Standard/Norm zu erstellen, müssen Sie im Besitz einer Hersteller Lizenz sein! Diese WDBs sind auch die einzigen, welche exportiert werden können.

[[Datei:WDB Kopfdaten.PNG|left|thumb|901px|Kopfdaten beim Erstellen einer WDB]]

In selbst erstellten Wissensdatenbanken können Sie anhand der Checkboxen entscheiden, ob die Kurzform des Copyrights im Überprüfungsassistenten und bei der Prüffrage in Berichten angezeigt/angedruckt werden soll.

=== Themen ===

----
In diesem Reiter werden alle Themen, die in einer WDB enthalten sind, hierarchisch aufgelistet.
Themen erfüllen den Zweck, eine Wissensdatenbank sinnvoll zu strukturieren.

==== '''Thema erstellen/bearbeiten''' ====

Um ein neues Thema zu erstellen, müssen Sie auf die "Themen" Maske navigieren und auf "neues Thema erstellen" klicken. Dann ist die angezeigte Maske auszufüllen.

[[Datei:WDB neues Thema erstellen.png|left|thumb|900px|Neues Thema erstellen]]

[[Datei:WDB Maske Thema erstellen.PNG|left|thumb|902px|Maske zum Erstellen eines neuen Themas]]

:Gliederung und Titel: Hier legen Sie die Gliederung und den Titel fest. Als Gliederung sollten Sie etwas nehmen, das bei der Strukturierung der WDB Sinn ergibt, z.B. 1, 1.1, 1.2, etc. Der Titel sollte aussagekräftig sein, sodass man sofort weiß, welche Frage in diesem Thema behandelt wird. Hinweis: Die Reihung der Themen erfolgt automatisch alphabetisch bzw. aufsteigend nach Nummerierung. Bei einer größeren Anzahl numerisch bezeichneter Themen empfiehlt sich eine führende Null, damit die Reihenfolge der Erwartung entspricht (d.h. 01, 02, 03 ... 10, 11 etc.).

:Beschreibung: Hier sollten Sie beschreiben, welchen Zweck das Thema erfüllt. Dieses Textfeld unterstützt HTML Texte.

:Nachweisdokumente: Hier können Sie Referenzen oder Links auf Dokumente hinterlegen, die für die Auditvorbereitung hinsichtlich dieses Themas relevant sind. Wird das Thema in einer Überprüfung nach Wissensdatenbank verwendet, werden die Nachweisdokumente im Überprüfungsassistenten angezeigt. Die Nachweisdokumente werden auch beim Prüfobjekt im jeweiligen Bericht zu Audit oder Überprüfung angegeben.

:Übergeordnetes Thema: Handelt es sich bei dem Thema um ein untergeordnetes, müssen Sie hier das übergeordnete Thema angeben, damit die Strukturierung der WDB richtig ist.
<!--
:Kategorie: 
:: Hier müssen Sie festlegen, mit welcher Kategorie sich ein Thema beschäftigt. Diese Kategorien sind vom Hersteller festgelegt. Sie lauten:
::*IT-Systeme
::*IT-Infrastruktur
::*Netzwerk
::*Applikation
::*Prozesse
::*Informationen
::*Personen

:Verpflichtend: 
:: Ist dieses Thema ein Pflichtthema, dann ist dies ein verpflichtend notwendiges Thema, z.B. Thema Backup bei einer ISO 27001 Wissensdatenbank. Wenn ein Experte diesen Katalog verwendet, dann sollte er die Pflichtthemen, die der Katalogersteller vorgibt, auf jeden Fall betrachten. Wenn er gewisse Pflichtthemen nicht betrachten will, ist dies dokumentiert zu begründen. Soll ein Thema verpflichtend sein, müssen Sie es hier einstellen.

:Detailebene: 
:: Die Detailebene bestimmt, mit welcher Ebene der Struktur sich das Thema befasst. (Ressource, Ressourcen Gruppe, Modellsegment)

:Wiedervorlagerhythmus: 
:: Stellen Sie hier ein Intervall ein, dann wird dieses Thema wiederholend bei Auditplanungen vorgeschlagen.
-->

:Stand: Beim Stand sollten Sie das Datum der letzten Änderung eintragen.

==== '''Prüffragen zuordnen''' ====

Haben sie ein Thema erstellt, müssen Sie diesem noch Prüffragen zuweisen. Dafür können sie dem Thema bereits existierende Prüffragen zuordnen oder [[#Prüffrage erstellen, bearbeiten und löschen|neue Prüffragen anlegen]]. Wollen Sie eine hierarchische Struktur der Prüffragen, müssen Sie [[#Unterfragen konfigurieren:|Unterfragen konfigurieren]]. Haben Sie eine Prüffrage zugeordnet, sollten Sie dieser auch noch [[#Maßnahmen, Kontrollen und Bedrohungen zu Prüffragen zuordnen|Maßnahmen, Kontrollen und Bedrohungen zuordnen]].

Normalerweise werden die Prüffragen nach der Sortierreihenfolge sortiert (ausgeblendete Spalte). Das ist auch die Reihenfolge wie sie dann in Abweichungsanalysen angeführt werden. Die Pfeile neben dem Plus Button können verwendet werden um die Sortierreihenfolge der Prüffragen anzupassen.

[[Datei:WDB Prüffragen zuordnen.png|left|thumb|900px|Navigation: Prüffragen zum Thema zuordnen]]

[[Datei:WDB existierende Prüffragen zuordnen.PNG|left|thumb|900px|Maske zum Zuordnen von bereits existierenden Prüffragen ]]

==== '''Unterfragen konfigurieren''' ====

Um Prüffragen hierarchisch zu gliedern, müssen Sie auf die Prüffrage, welche untergeordnet werden soll, doppelklicken und die übergeordnete Strukturfrage auswählen (es wird nur eine Ebene unterstützt, d.h. Unterfragen können keine weiteren Unterfragen haben). Anschließend können Sie, je nachdem wie die Strukturfrage beantwortet wird, auswählen, wie sich die untergeordnete Frage verhalten soll.

[[Datei:WDB Prüffragen hierarchie.PNG|left|thumb|900px|Beispiel: Prüffragen-Hierarchie]]

[[Datei:WDB Unterfrage konfigurieren.png|left|thumb|900px|Beispiel: Unterfrage konfigurieren]]

In Berichten werden Strukturfragen kursiv dargestellt und ihre dazugehörigen untergeordneten Fragen sind darunter eingerückt.

==== '''Maßnahmen, Kontrollen, Begründungsvorlagen und Bedrohungen zu Prüffragen zuordnen und bearbeiten''' ====

Maßnahmen und Kontrollen, die einer Frage zugeordnet sind, werden bei der Risikobehandlung vorgeschlagen, wenn diese bei einer Überprüfung eine Abweichung aufweisen. Begründungsvorlagen können als Begründung für eine Antwort verwendet werden. Werden Bedrohungen zugeteilt, wird diese Prüffrage unter diesen Bedrohungen für Analysezwecke gelistet.

'''zuordnen oder neu erstellen:'''
*Die Masken zum Zuordnen von existierenden Maßnahmen, Kontrollen, Begründungsvorlagen und Bedrohungen sind bis auf den Inhalt ident mit der Maske zum Zuordnen von Prüffragen.
*Zum Erstellen siehe [[#Maßnahme erstellen, bearbeiten und löschen|Maßnahme erstellen]], [[#Kontrolle erstellen, bearbeiten und löschen|Kontrolle erstellen]], [[#Begründungsvorlage erstellen, bearbeiten und löschen|Begründungsvorlage erstellen]] und [[#Bedrohung erstellen, bearbeiten und löschen|Bedrohung erstellen]].

[[Datei:WDB Prüffrage M K B zuordnen.png|left|thumb|901px|Prüffrage Maßnahmen, Kontrollen und Bedrohungen zuordnen]]

'''bearbeiten und Zuordnung aufheben:'''
*Doppelklicken Sie, wie in der oben gezeigten Maske, auf ein Element, wird die Bearbeiten Maske des jeweiligen Elements aufgerufen und Sie können die Eigenschaften dieses Elements bearbeiten. Ebenso können Sie in dieser Maske die Zuordnung zur Prüffrage aufheben.

[[Datei:WDB Maßnahme bearbeiten.png|left|thumb|903px|Maske zum Bearbeiten einer Kontrolle]]

=== Prüffragen ===

----
In diesem Reiter werden alle Prüffragen, welche in der WDB existieren, aufgelistet. Sie haben in diesem Reiter aber keine Hierarchie, diese existiert nur bei den Themen. Dieser Reiter bietet auch die Option, neue Prüffragen zu erstellen.

[[Datei:WDB Prüffragen.png|left|thumb|900px|Wissensdatenbank Reiter Prüffragen]]

==== '''Prüffrage erstellen, bearbeiten und löschen''' ====

Um eine Prüffrage zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Prüffrage erstellen" Button klicken.
Um eine Prüffrage zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Prüffrage doppelklicken. Anschließend kann die Prüffrage über die Bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das "Mülleimer" Symbol). Das Verhalten von Unterfragen ist nur bei den Themen änderbar.

'''Eigenschaften:'''

*Gliederung und Titel: Die Gliederung sollte logisch und nachvollziehbar gewählt werden, z.B. Abkürzung des Themas + laufende Nummer (DSO_01.00). Der Titel sollte schlagkräftig sein, damit klar ist, worum es bei der Frage geht.

*Fragestellung: Hier sollten Sie eine klar formulierte Frage stellen.

*Beschreibung: Hier sollten Sie, falls nötig, die Frage genauer beschreiben, d.h. beispielsweise erklären, welche Rahmenbedingungen mindestens erfüllt sein müssen, damit eine Frage als positiv erfüllt zu sehen ist.

<!--
*Kategorie: 
::Hier müssen Sie festlegen, mit welcher Kategorie sich ein Frage beschäftigt. Diese Kategorien sind vom Hersteller festgelegt.
::Sie lauten:
::*IT-Systeme
::*IT-Infrastruktur
::*Netzwerk
::*Applikation
::*Prozesse
::*Informationen
::*Personen

*Detailebene: 
::Die Detailebene bestimmt, auf welcher Ebene der Struktur die Frage auftritt. (Ressource, Ressourcen Gruppe, Modellsegment)
-->
*Hinweis für Prüfer: Hier können Informationen für den Prüfer hinterlegt werden. Dabei könnte es sich beispielsweise um Links zu Dokumenten, mit denen die Ausarbeitung verglichen werden soll, oder eine Checkliste mit zu überprüfenden Schritten handeln. Diese Information wird nur bei Abweichungsanalysen angezeigt, welche entweder unter "Risikomanagement → Schwachstellen" oder aus einem Audit heraus geöffnet werden. (Sie wird nicht angezeigt, wenn die Abweichungsanalysen im Kontext von "Meine Aufgaben" geöffnet wird.)

*Art der Frage: Hier müssen Sie auswählen, ob es sich bei einer Frage um eine Technikfrage, eine Prozessfrage oder eine Informationserhebung handelt. Technikfragen können mit Ja, Nein oder Teilweise beantwortet werden und Prozessfragen mit Reifegraden von 0 bis 5.

::Hinweis: Informationserhebungen gelten in Überprüfungen als beantwortet, wenn der Kommentar ausgefüllt und/oder mindestens eine Datei als Evidenz hochgeladen wurde.

*Antwortmöglichkeiten und Entbehrlich: Mit dieser Option können Sie die Antwortmöglichkeiten der Frage begrenzen. Dies ist nur bei Technikfragen erlaubt. Die Option "Entbehrlich" bestimmt, ob eine Frage beantwortet werden muss oder nicht. Zu beachten ist dabei, dass, falls eine Strukturfrage als Entbehrlich gekennzeichnet ist, sich das auf deren Unterfragen auswirken kann, da bei Unterfragen das Verhalten bei einer entbehrlichen Strukturfrage eingestellt werden kann. Informationserhebungen werden keiner Bewertung unterzogen, können aber als Entbehrlich markiert werden.

*Zugewiesene Schutzziele und Gewichtungen (nicht bei Informationserhebungen): 
:: Hier sollten Sie auswählen, welche Schutzziele betroffen sind, wenn bei der Frage eine Abweichung auftritt. Beispiel:
:::Prüffrage zur Serverraumsicherheit
:::*Wurde die Türe mit einem Sicherheitsschloss ausgestattet? 
::: Wird diese Frage mit Nein beantwortet, können große Risiken im Bereich der Vertraulichkeit, Verfügbarkeit und Integrität entstehen.
:::{| class="wikitable"
|-
! Schutzziel !! Gewichtung!! Erklärung
|-
| Vertraulichkeit 
|style="text-align:center;"| 4
| Einbruch und Diebstahl einer Festplatte
|-
| Verfügbarkeit
|style="text-align:center;"| 4
| Der Einbrecher könnte etwas zerstören
|-
| Integrität
|style="text-align:center;"| 3
| Er könnte auch am System etwas ändern
|}

*Norm-Mapping: Beschäftigt sich die Frage mit einem oder mehreren Normkapiteln, sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.

*Stand: Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.

*Notizen des Autors: Durch Klicken auf "Notiz hinzufügen" kann der Autor Notizen für sich selbst erfassen. Er könnte z.B. TODOs oder Links auf externe Quellen erfassen. Diese Information ist nur hier für den Bearbeiter der WDB ersichtlich. Sie hat keinerlei Auswirkungen auf Überprüfungen und ist rein redaktioneller Natur. Sie wird auch nicht exportiert, wenn die WDB exportiert wird, oder importiert, falls eine WDB importiert wird.

*ID in Drittsystemen: Durch diese ID kann die Prüffrage durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Prüffrage des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Prüffrage eigentlich aus einem Drittsystem stammt, aber die Prüffrage vor einem Import bereits manuell angelegt wurde und die Prüffrage in Zukunft durch Imports aktualisiert werden soll.

[[Datei:WDB Prüffrage erstellen.PNG|left|thumb|900px|Maske zum Erstellen einer Prüffrage]]

=== Maßnahmen ===

----
In diesem Reiter werden alle Maßnahmen, welche in der WDB existieren, aufgelistet. Dieser Reiter bietet auch die Option, neue Maßnahmen zu erstellen.

[[Datei:WDB Maßnahmen.PNG|left|thumb|900px|WDB Reiter Maßnahmen]]

==== '''Maßnahme erstellen, bearbeiten und löschen''' ====

Um eine Maßnahme zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Maßnahme erstellen" Button klicken.
Um eine Maßnahme zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Maßnahme doppelklicken. Anschließend kann die Maßnahme über die Bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das "Mülleimer" Symbol).

[[Datei:WDB Maske Maßnahme erstellen.PNG|left|thumb|888px|Maske zum Erstellen einer Maßnahme]]

'''Eigenschaften:'''

*Gliederung und Titel: Die Gliederung sollte logisch und nachvollziehbar gewählt werden. Der Titel sollte schlagkräftig sein, damit klar ist, worum es bei der Maßnahme geht.

*Beschreibung: Hier sollten Sie die Maßnahme genauer beschreiben, d.h. erklären Sie was bei der Durchführung der Maßnahme genau zu erledigen ist.

*Norm-Mapping: Beschäftigt sich die Frage mit einem oder mehreren Normkapiteln, sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.

*Stand: Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.

*ID in Drittsystemen: Durch diese ID kann die Maßnahme durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Maßnahme des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Maßnahme eigentlich aus einem Drittsystem stammt, aber die Maßnahme vor einem Import bereits manuell angelegt wurde und die Maßnahme in Zukunft durch Imports aktualisiert werden soll.

=== Kontrollen ===

----
In diesem Reiter werden alle Kontrollen, welche in der WDB existieren aufgelistet. Dieser Reiter bietet auch die Option, neue Kontrollen zu erstellen.

[[Datei:WDB Kontrollen.png|left|thumb|900px|WDB Reiter Kontrollen]]

==== '''Kontrolle erstellen, bearbeiten und löschen''' ====

Um eine Kontrolle zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Kontrolle erstellen" Button klicken.
Um eine Kontrolle zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Kontrolle Doppelklicken. Anschließend kann die Kontrolle über die bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das Mülleimer Symbol).

[[Datei:WDB Maske Kontrolle erstellen.PNG|left|thumb|903px|Maske zum erstellen einer Kontrolle]]

'''Eigenschaften:'''

*Gliederung und Titel: Die Gliederung sollte logisch und nachvollziehbar gewählt werden. Der Titel sollte schlagkräftig sein damit klar ist, was die Kontrolle kontrolliert.

*Beschreibung: Hier sollten Sie die Kontrolle genauer beschreiben, d.h. erklären Sie, was bei der Durchführung der Kontrolle genau zu erledigen ist.

<!--
*Kategorie: 
::Hier müssen Sie festlegen, mit welcher Kategorie sich eine Kontrolle beschäftigt. Diese Kategorien sind vom Hersteller festgelegt.
::Sie lauten:
::*Infrastruktur
::*Organisation
::*Personal
::*Hard- und Software
::*Kommunikation
::*Notfallvorsorge

*Detailebene: 
::Die Detailebene bestimmt, auf welcher Ebene der Struktur die Kontrolle durchgeführt werden soll. (Ressource, Ressourcen Gruppe, ModelSegment)
-->

*Wiederkehrende Kontrolle: Hier kann ein Intervall festgelegt werden, welches dafür sorgt, dass diese Kontrolle alle x Jahre/Monate/etc. durchgeführt werden soll.

*Norm-Mapping: Beschäftigt sich die Kontrolle mit einem oder mehreren Normkapiteln, sollte dies hier eingetragen werden. Dadurch lässt sich ein Managementsystem auf Compliance Deckung analysieren.

*Stand: Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.

*ID in Drittsystemen: Durch diese ID kann die Kontrolle durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Kontrolle des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Kontrolle eigentlich aus einem Drittsystem stammt, aber die Kontrolle vor einem Import bereits manuell angelegt wurde und die Kontrolle in Zukunft durch Imports aktualisiert werden soll.

=== Begründungsvorlagen ===

----
In diesem Reiter werden alle Begründungsvorlagen, welche in der WDB existieren, aufgelistet. Dieser Reiter bietet auch die Option, neue Begründungsvorlagen zu erstellen.

[[Datei:WDB Begründungsvorlagen.png|left|thumb|900px|WDB Reiter Begründungsvorlagen]]

==== '''Begründungsvorlage erstellen, bearbeiten und löschen''' ====

Um eine Begründungsvorlage zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Begründungsvorlage erstellen" Button klicken.
Um eine Begründungsvorlage zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Begründungsvorlage doppelklicken. Anschließend kann die Begründungsvorlage über die Maske bearbeitet oder gelöscht werden (löschen über das "Mülleimer" Symbol).

[[Datei:WDB Maske Begründungsvorlagen erstellen.PNG|left|thumb|903px|Maske zum Erstellen einer Begründungsvorlage]]

'''Eigenschaften:'''

*Gliederung und Titel: Die Gliederung sollte logisch und nachvollziehbar gewählt werden. Der Titel sollte schlagkräftig sein, damit klar ist, welchem Zweck die Begründungsvorlage dient.

*Beschreibung: Hier können Sie einen Text eingeben, der in Abweichungsanalysen als Vorlage für eine Begründung verwendet werden kann.

*Stand: Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.

*ID in Drittsystemen: Durch diese ID kann die Begründungsvorlage durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Begründungsvorlage des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Begründungsvorlage eigentlich aus einem Drittsystem stammt, aber die Begründungsvorlage vor einem Import bereits manuell angelegt wurde und die Begründungsvorlage in Zukunft durch Imports aktualisiert werden soll.

=== Bedrohungen ===

----
In diesem Reiter werden alle Bedrohungen, welche in der WDB existieren aufgelistet. Dieser Reiter bietet auch die Option, neue Bedrohungen zu erstellen.

[[Datei:WDB Bedrohungen.png|left|thumb|900px|WDB Reiter Bedrohungen]]

==== '''Bedrohung erstellen, bearbeiten und löschen''' ====

Um eine Bedrohung zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Bedrohung erstellen" Button klicken.
Um eine Bedrohung zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Bedrohung doppelklicken. Anschließend kann die Bedrohung über die Bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das "Mülleimer" Symbol).

[[Datei:WDB Maske Bedrohung erstellen.PNG|left|thumb|903px|Maske zum Erstellen einer Bedrohung]]

'''Eigenschaften:'''

*Gliederung und Titel: Die Gliederung sollte logisch und nachvollziehbar gewählt werden. Der Titel sollte schlagkräftig sein, damit klar ist was die Bedrohung ist, z.B. fehlende oder unzureichende Absicherung bei der Verarbeitung personenbezogener Daten.

*Beschreibung: Hier sollten Sie die Bedrohung genauer beschreiben, d.h. erklären, was genau die Bedrohung ist.

<!--
*Kategorie: 
::Hier müssen Sie festlegen, welcher Natur eine Bedrohung ist. Diese Kategorien sind vom Hersteller festgelegt.
::Sie lauten:
::*Elementare Gefährdung
::*Höhere Gewalt
::*Organisatorische Mangel
::*Menschliche Fehlhandlungen
::*Technisches Versagen
::*Vorsätzliche Handlungen

*Detailebene: 
::Die Detailebene bestimmt auf welcher Ebene der Struktur die Kontrolle durchgeführt werden soll. (Ressource, Ressourcen Gruppe, ModelSegment)

*Schadensverlauf: 
:: Hier stellen Sie ein wie der Schaden der Bedrohung auftritt. Ein Schaden kann rasant oder schleichend auftreten.

*Vermutlicher Entdeckungszeitpunkt: 
:: Hier sollten Sie auswählen wann eine Bedrohung vermutlich entdeckt wird.
-->

*Zugewiesene Schutzziele und Gewichtungen: 
:: Hier sollten Sie auswählen, welche Schutzziele betroffen wären, wenn diese Bedrohung auftreten würde. Beispiel:
:::Bedrohung Einbruch
:::*Ein Einbrecher könnte in den Serverraum vordringen, um dort eine Festplatte mit sensiblen Informationen zu entwenden.
::: Geschieht dies, können große Schäden im Bereich der Vertraulichkeit, Verfügbarkeit und Integrität entstehen.
:::{| class="wikitable"
|-
! Schutzziel !! Gewichtung!! Erklärung
|-
| Vertraulichkeit 
|style="text-align:center;"| 4
| Einbruch und Diebstahl einer Festplatte
|-
| Verfügbarkeit
|style="text-align:center;"| 4
| Der Einbrecher könnte etwas zerstören
|-
| Integrität
|style="text-align:center;"| 3
| Er könnte auch am System etwas ändern
|}

*Norm-Mapping: Beschäftigt sich die Bedrohung mit einem oder mehreren Normkapiteln, sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.

*Stand: Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.

*ID in Drittsystemen: Durch diese ID kann die Bedrohung durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Bedrohung des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Bedrohung eigentlich aus einem Drittsystem stammt, aber die Bedrohung vor einem Import bereits manuell angelegt wurde und die Bedrohung in Zukunft durch Imports aktualisiert werden soll.