Strukturanalyse

Es gibt in der Strukturanalyse mehrere Sichten, um den Benutzer nicht mit einem überdimensionalen und unübersichtlichen Graphen zu konfrontieren. Diese fünf Betrachtungsbereiche sind vorhanden:

• Organisationssicht

Die Organisationssicht stellt die Aufbauorganisation des Unternehmens/Konzerns/Verbandes in den Fokus. Ziel ist es aus dieser Betrachtungsperspektive heraus Antworten auf Fragen wie "Von welchen Systemen ist die Organisationseinheit am stärksten hinsichtlich Verfügbarkeit abhängig“, „Wie groß ist das Risiko hinsichtlich der Vertraulichkeit für die OrgEh über alle Systeme“ (klassisch, die Ergebnisse aus Business Impact Analysen), „Welche Datenarten werden in der Organisationseinheit verarbeitet“, „Welche Verarbeitungstätigkeiten erfolgen in der Organisationseinheit “.

• Ressourcensicht

Die Ressourcensicht stellt die Techniklandschaft dar, die IT-Systeme, Medizinprodukte, Gebäudesicherheit etc. abbildet. Über diese Darstellung erfolgt auch die Risikoanalyse. Hier werden Abweichungen in der Risikobewertung im technischen wie organisatorischen Bereich erkennbar. Daraus sind Maßnahmen zur Behebung der Abweichungen zu planen.

• Datensicht

Die Datensicht lässt erkennen in welchen Organisationseinheiten, welche Daten verarbeitet werden, wer die Data Owner sind und wie die Daten klassifiziert sind (Datenklassen bzw. Unterscheidung ob personenbezogene oder nicht personenbezogene Daten). Weiters lässt die Darstellung erkennen, durch welche Ressourcen die Daten laufen und in welchen Prozessen sie verarbeitet werden.

• Prozesssicht

Die Prozesssicht lässt erkennen, welche Prozesse existieren, welche Daten sie verarbeiten, welche Ressourcen damit verknüpft sind und wie stark eine Organisationseinheit von einem Prozess abhängig ist und vice versa.

• Lieferantensicht

Die Lieferantensicht lässt erkennen, welche Lieferanten angelegt wurden, mit welchen Organisationseinheiten, Ressourcen, Daten und Prozessen sie in Verbindung stehen und welche Risiken mit ihnen verknüpft sind.

Eine Sicht bildet dabei immer die Hauptsicht. Diese kann mittels Auswahlknopf (Radiobutton) oder per Doppelklick auf den Namen der Sicht ausgewählt werden. Zu einer Hauptsicht können zusätzliche Knoten aus anderen Sichten per Auswahl ergänzt werden.

Link Buttons neben den Namen der Ansichten führen Sie zu den jeweiligen Seiten im Tool.

Der Aufbau der Organisationsstruktur wird in Organisationseinheiten beschrieben.

Ein Unternehmen besteht aus Organisationseinheiten, die sich an den einzelnen Verarbeitungsprozessen beteiligen. Diese finden wiederum in einer oder mehreren Organisationseinheiten statt. Das Erstellen und Verarbeiten von Daten erfolgt in diesen Organisationseinheiten während der einzelnen Prozessschritte überwiegend IT gestützt unter Verwendung von IT-Systemen.

Annahme: Je kritischer die Organisationseinheit, desto größer der potenzielle Schaden, umso größer die Anforderungen an Verfügbarkeit, Vertraulichkeit und Integrität der Daten bzw. Systeme.

Daher müssen jedenfalls folgende Informationen erhoben werden:

• Modellierung der Organisationsstruktur (Organisationseinheiten)
• Erhebung des Business Impacts der Business IT-Services auf die tägliche Arbeit des Fachbereichs (Kritikalität einer Organisationseinheit feststellen)

Die Sicht auf die IT-Systeme, die sich in mehrere Kategorien unterteilen lässt, zeigt wie viele Abhängigkeiten untereinander existieren. Weiters besteht die Möglichkeit, dass nicht alle Komponenten des Systems gleich sicher ausgelegt sind. Durch die Abhängigkeiten zwischen unterschiedlich sicher ausgelegten Systemen werden die Systeme gegenseitig beeinflusst. Diese Wechselwirkungen sind über eine Risikobewertung zu erheben und können in der Strukturanalyse in Form eines Graphen dargestellt werden. Mehr dazu finden Sie unter Ressourcen.

Beispiel:

Ein Krankenhausinformationssystem (KIS) hat eine Schnittstelle ins SAP. SAP ist hinsichtlich des Schutzziels Verfügbarkeit vom KIS abhängig (zwar beträgt die Abhängigkeit nicht 100%, kann aber beispielsweise 30% ausmachen) Dies ist der Fall, da es ohne die Patientenstammdaten, die es vom KIS mehrmals täglich über die Schnittstelle erhält und die bei der Aufnahme eines Patienten im KIS erfasst werden, keine Abrechnung für diesen Patienten vornehmen kann. Das KIS hingegen ist vom SAP unabhängig. Das KIS benötigt aber, um funktionstüchtig zu sein, einen Datenbankserver. Es ist zu 100% von diesem Server abhängig.

In der Datensicht zeigt sich die Struktur unter den verwalteten Datenkategorien. Die Erstellung und Strukturierung von Datenkategorien wird im Kapitel Datenkategorien beschrieben.

Setzt man diese Sicht in Verbindung zur Prozesssicht lässt sich erkennen, welche Daten in welchen Prozessen verarbeitet werden.

In der Prozesssicht sehen Sie alle Prozesse mit ihrer Hierarchie. Die Erstellung und Strukturierung von Prozessen wird im Kapitel Prozesse beschrieben.

In der Lieferantensicht sehen Sie alle Lieferanten, die angelegt wurden, sofern das Add-on Lieferantenrisikomanagement aktiviert ist.

Nachfolgende Abbildung zeigt rechts den Konfigurationsbereich der Strukturanalyse:

• Zwischen dem "Entwurfsmodus" und dem "Analysemodus" wechseln Sie durch einen Klick auf die Umschaltschaltfläche (Switch-Button). Dieser Button zeigt immer den aktiven Modus.

• Ein Doppelklick auf eine Sicht ändert diese zur Hauptsicht, diese ist unterstrichen. Dies kann auch mit den Radiobuttons erwirkt werden. Von der Hauptsicht aus werden immer alle Entitäten angezeigt.

• In den einzelnen Sichten können Sie auswählen, welche Elemente im aktuellen Kontext angezeigt werden sollen.

• Bei der Organisationssicht gibt es die zusätzliche Option für das Selektieren aller im Managementsystem aktiven Organisationseinheiten.
• Wählen Sie einen Knoten aus, werden alle darunter liegenden Organisationseinheiten mit aktiviert. Wollen Sie das vermeiden, so müssen Sie den Knoten mit einem Rechtsklick und einem Klick auf „Auswählen“ selektieren.
• Bei der Ressourcensicht können sie Ressourcengruppen ein- und ausblenden.

• Ebenso können Sie einstellen wie Schutzziele angezeigt werden sollen und nach bestimmten Risiken filtern.

• Nehmen Sie im Menü Änderungen bei den Konfigurationen vor, muss auf "Anwenden" geklickt werden um die Änderung wirksam zu machen.

• Über die Wolken-Symbole können Sie die aktuelle Konfiguration speichern oder eine bereits vorhandene laden.

Wichtig: Schadensausmaßklassifikation wählen!

• Existiert mehr als eine Schadensausmaßklassifikation, dann sind diese hier auswählbar. Es werden nur SBA-Schutzzielgewichtungen der aktuellen Schadensausmaßklassifikation angezeigt. Weiters wird, falls vorhanden, die Schutzzielausprägung eines Schutzzieles angezeigt.

Durch Klicken auf ein Risiko, öffnet sich ein Dialog. Durch diesen kann auf die Detailseite des Risikos gewechselt werden.

Es können zusätzlich zur Hauptsicht auch einzelne oder alle Entitäten aus anderen Sichten angezeigt werden. Die Kombination von Sichten ist frei konfigurierbar. Das heißt: Es gibt keine Einschränkungen wie die Sichten kombiniert werden können. Um eine Sicht zur Hauptsicht zu ergänzen, wählen Sie das Häkchen der gewünschten Sicht im Navigationsbereich der Strukturanalyse und klicken anschließend auf "Anwenden".

Die Kombination von Sichten ist vorteilhaft, wenn Verbindungen zwischen verschiedenen Entitätstypen erstellt oder analysiert werden sollen. Diese kombinierten Sichten, können für Wiederverwendungszwecke, weil zum Beispiel die Auswirkung einer Maßnahme analysiert werden soll, als Konfigurationen gespeichert werden.

Hinweis:

• Bei der Organisationssicht kann man jede Einheit einzeln ein- und ausblenden. Wählt man einen Knoten aus, dann werden alle darunterliegenden Einheiten mit ausgewählt. Will man das nicht, kann man mit einem Rechtsklick auf den Knoten, den man auswählen will, ein kleines Menü öffnen, in dem man auf „Auswählen“ klicken kann. Dadurch wird die Einheit ausgewählt, ohne die darunter liegenden Einheiten mit auszuwählen.
• Bei Ressourcen kann man keine einzelnen Ressourcen ein- und ausblenden. Dafür kann man die Modellsegmente sowie Ressourcengruppen gesammelt ein- und ausblenden. Will man Ressourcengruppen ausblenden, darf man nicht vergessen, das darüberliegende Modellsegment abzuwählen.
• Datenkategorien können wie Organisationseinheiten ein- und ausgeblendet werden.
• Prozesse können wie Organisationseinheiten ein- und ausgeblendet werden.
• Lieferanten (nur verfügbar, wenn das Add-on aktiviert ist) können wie Organisationseinheiten ein- und ausgeblendet werden.

Wichtig:

• Abhängig davon, ob Sie im Entwurfs- oder im Analysemodus arbeiten, werden alle oder nur explizit ausgewählte Entitäten (nämlich jene, zu denen bereits Beziehungen aus der Hauptsicht existieren) aus den zusätzlich gewählten Sichten angezeigt.

In umfangreicheren Ansichten wird die Suche unterstützt, um schnell zu einem bestimmten Knoten zu gelangen.

Geben Sie hierzu den Suchbegriff des Knotens in das Feld "Knoten finden..." ein und schließen Sie Ihre Eingabe mit der Enter- oder Eingabe-Taste ab. Die Suche zentriert anschließend den ersten gefundenen Knoten. Wird nochmals die Eingabe- oder Enter-Taste gedrückt, wird der nächste gefundene Knoten zentriert usw. Ist die Suche beendet, wird eine Meldung angezeigt. Wenn anschließend erneut die Eingabe- oder Enter-Taste gedrückt wird, wird wieder das erste Suchergebnis angezeigt.

Die Suche ignoriert Groß- und Kleinschreibung. Spezielle Wortanfänge und -endungen oder Formulierungen finden Sie mit einem Sternchen (*):

• sap* findet z.B. "SAP MM" und "SAP HCM" und "SAP FI/CO",
• sap*co findet "SAP FI/CO",
• *mm findet "SAP MM" und "Personalstamm"
• *fi* findet "SAP FI/CO" und "Finanzabteilung"

Konfigurationen speichern alle Einstellungen, die zum Speicherzeitpunkt vorhanden waren. Das heißt: Es speichert die Hauptsicht, die Sichten oder Entitäten, die zusätzlich angezeigt wurden, wie die Schutzziele angezeigt werden und ob die Risiken angezeigt werden sollen.

Konfigurationen können vor allem dazu verwendet werden, um große und komplexe Strukturen auf verschiedene Konfigurationen aufzuteilen und dadurch auf übersichtliche Weise darzustellen. Dies erleichtert das Arbeiten mit großen Strukturen erheblich.

Über die Wolken-Symbole kann die aktuelle Konfiguration gespeichert, oder eine bereits vorhandene Konfiguration geladen werden.

Beispiel für die Verwendung einer Konfiguration:

• Es wurde eine Schutzbedarfsanalyse durchgeführt und in der Strukturanalyse wurden die Auswirkungen analysiert. Als nächsten Schritt werden Maßnahmen für entstandene Risiken festgelegt und umgesetzt. Die zuvor durchgeführte Strukturanalyse in einer Konfiguration gespeichert, kann mit wenig Aufwand erneut durchgeführt werden. Dadurch werden die Auswirkungen der Maßnahmen analysiert.

Durch einen Rechtsklick auf einen Knoten im Graphen, öffnet sich ein Kontextmenü in dem die Option "Zeige Abhängigkeiten" vorkommt.

Diese Option ermöglicht es die Strukturanalyse auf die für den ausgewählten Knoten relevanten Elemente einzuschränken. Dies kann dabei helfen einen besseren und übersichtlicheren Überblick auf die Abhängigkeiten zu bekommen und erleichtert auch das Analysieren.

Ein Beispiel zum Verdeutlichen: Ich interessiere mich gerade nur für die Ressource SAP MM und möchte wissen, wovon diese Ressource abhängt, ich tue mir aber schwer dies zu erkennen, da so viele Knoten angezeigt werden.

Ich kann auf SAP MM einen Rechtsklick machen und wähle "Zeige Abhängigkeiten" aus. Dadurch werden alle nicht relevanten Knoten ausgeblendet und ich bekomme einen viel besseren Überblick.

Im Entwurfsmodus können Sie Elemente aus den ausgewählten Sichten in Verbindungen setzen und ihre Abhängigkeiten auf Basis von Schutzzielen definieren. Sie können aber keine Verbindungen oder Schutzziel-Gewichtungen bearbeiten, wenn diese durch eine Schutzbedarfsanalyse definiert wurden. Um diese zu bearbeiten führen Sie eine neue Schutzbedarfsanalyse durch.

Im Entwurfsmodus werden alle Entitäten aus den gewählten Sichten angezeigt. Dies hat den Zweck, dass zwischen allen Elementen Beziehungen erstellt werden können.

Sie können Elemente einzeln oder auch mehrere Elemente gleichzeitig bewegen. Um ein Element zu bewegen, fahren Sie mit dem Mauszeiger über das gewünschte Element halten die linke Maustaste gedrückt.

Um mehrere Elemente zu verschieben haben Sie zwei Optionen:

1. Halten Sie die linke Maustaste gedrückt bis ein Kreuz erscheint. Anschließend ziehen Sie das Rechteck über die Elemente, die Sie bewegen möchten.
2. Halten Sie STRG gedrückt, können Sie mehrere Elemente durch Klicken auswählen

Um Elemente miteinander zu verbinden gibt es mehrere Möglichkeiten:

1. Klicken Sie mit der rechten Maustaste auf ein Element und wählen Sie "Beziehung hinzufügen" aus. Anschließend wählen Sie ein anderes Element aus. (Ausgangspunkt zu Endpunkt)
   

   

   
   
2. "Alt" gedrückt halten, Element 1 auswählen und anschließend auf das zweite Element klicken.
   

   

   
   
3. Bei Daten, Prozessen und Organisationseinheiten können Sie, wenn Sie doppelt auf das Element klicken, in der Maske ein übergeordnetes Element auswählen oder die Verbindung zum übergeordneten Element aufheben.
   

   

   
   
4. Bei Ressourcen können Sie, wenn Sie doppelt auf das Element klicken, in der Maske über den Reiter "Beziehungen" neue Verbindungen erstellen oder bestehende bearbeiten.
   

   

   
   

Die Verbindung mit Ressourcen geschieht immer mit Schutzzielen. Diese Schutzziele können aber von Ihnen angepasst werden. Ausnahmen sind Schutzziele, die durch Schutzbedarfsanalysen gewichtet wurden. Diese können nur durch eine neue Schutzbedarfsanalyse verändert werden (zum Erstellen von Schutzzielen siehe Schutzziele), auch wenn sie normal gelöscht werden können.

Um die Schutzziele einer Verbindung zu bearbeiten klicken Sie entweder doppelt auf die Verbindungspfeile oder auf das Element und wechseln auf den Reiter "Beziehungen". Bei letzterer Option können keine Gewichtungen eingestellt werden. Hier wird immer von einer 100%-Gewichtung ausgegangen.

Wenn Sie in der Strukturanalyse mit der rechten Maustaste ins Leere klicken, können Sie neue Ressourcen, Organisationseinheiten, Prozesse oder Datenkategorien erstellen. Wählen Sie ein Element zum Erstellen aus, öffnet sich die jeweilige Maske zum Erstellen des neuen Elementes.

Hinweis: Wenn eine unter- oder übergeordnete Ressource erstellt wird, so wird diese automatisch als Typ Ressource erstellt und dies kann auch nicht geändert werden.

Klicken Sie doppelt auf ein Element, öffnet sich die "Bearbeiten"-Maske. In dieser können Sie die Elemente auch löschen.

Für mehr Informationen siehe Ressourcen, Organisationseinheit, Prozesse, Datenkategorie erstellen / bearbeiten / löschen.

Der Analysemodus dient zur Analyse der Unternehmensstruktur. Sie können analysieren, welche Elemente auf welche Art voneinander abhängig sind. Hierfür können Sie auswählen wie die Abhängigkeit dargestellt werden soll:

• Was hängt von mir ab?
• Wovon hänge ich ab?

Zusätzlich können Sie auch einen Schwellwert festlegen. Dieser bestimmt, ab welcher prozentualen Abhängigkeit eine Verbindung zwischen zwei Elementen angezeigt werden soll.

Im Analysemodus werden nur Entitäten aus den gewählten Sichten angezeigt, die mit einer Entitäten aus der Hauptansicht in Verbindung stehen.

Hier kann analysiert werden, wie stark andere Entitäten im Bezug auf ihre Schutzziele, von einer Entität abhängen.

Es besteht die Möglichkeit zu analysieren, wie Risiken auf die gesamte Struktur wirken. Dabei kann auch untersucht werden, wie diese mit den einzelnen Schutzzielen zusammenhängen. Dadurch lässt sich schnell erkennen, welche Folgen ein Risiko auf andere Entitäten hat.

Entitäten von denen die gewählte Entität nicht abhängig ist, werden in grau angezeigt.

Hiermit kann untersucht werden, wie stark eine Entität im Bezug auf ihre Schutzziele von anderen Entitäten abhängt.

Die Abhängigkeit kann auf Schutzziel-Basis entweder gebündelt oder je Schutzziel einzeln untersucht werden. Durch das Ändern des Schwellwerts lässt sich einstellen, ab welcher prozentualen Gewichtung des Schutzziels man von einer Entität abhängt.

Entitäten, von denen die gewählte Entität nicht abhängt, werden in grau angezeigt.

In der Strukturanalyse kann auch die Erfüllung der RTO (Recovery Time Objective) und RPO (Recovery Point Objective) analysiert werden.

Achtung:

Damit RTO bzw. RPO-Erfüllung in der Strukturanalyse untersucht werden kann, muss unter "Risikomanagement → Risikopolitik → Schutzziele" das Schutzziel RTO bzw. RPO aktiviert werden. Ansonsten werden die Checkboxen in der Strukturanalyse nicht angezeigt.

Die RTO bzw. RPO-Erfüllung zeigt, ob die Schutzbedarfsanforderung hinsichtlich RTO bzw. RPO für die jeweiligen Ressourcen eingehalten werden kann. Dafür wird im Graphen die Kante zu den Ressourcen mit einem SOLL und IST gewichtet. Dabei stammt der SOLL-Wert aus einer Schutzbedarfsanalyse . Das IST wird aus den jeweiligen abhängigen Ressourcen berechnet, das heißt es wird die maximale Zeit aller abhängigen Ressourcen für die RTO bzw. RPO ermittelt.

Hinweis: Wenn Sie sich in der kombinierten Sicht Organisationseinheiten (Hauptsicht) und Ressourcensicht (Anwendungsebene eingeblendet) befinden und an dieser Stelle RTO und RPO einblenden, so kann es sein, dass Sie bei der Erfüllung IST-Werte sehen, die nicht den Werten der Ressourcen darunter entsprechen. Das liegt daran, dass alle abhängigen Ressourcen (also die Ressourcen aller Ebenen, auch wenn sie nicht eingeblendet sind) eingerechnet werden. Sie können dies veranschaulichen, indem Sie für die Organisationseinheit auf Zeige Abhängigkeiten gehen.

Ablauf

• Schutzbedarfsanalyse

Um analysieren zu können, ob die RPO bzw. RTO für eine Ressource eingehalten wird, muss zuerst eine Schutzbedarfsanalyse für die Ressourcen mit einer Organisationseinheit oder einem Prozessverantwortlichen durchgeführt werden. Daraus ergibt sich die SOLL- bzw. keine Anforderung.

• Ressourcen bewerten

Damit das IST für RTO bzw. RPO berechnet werden kann, müssen die Ressourcen von denen die zu untersuchende Organisationseinheit bzw. Prozess abhängig ist nach RTO bzw. RPO bewertet werden. Hierfür gibt es drei Möglichkeiten:

• nicht bewertet:

RTO bzw. RPO wurde noch nicht bewertet / eingetragen. Diese Werte gehen nicht in die Berechnung ein, werden aber als noch nicht bewertet markiert (gelbes Zahnrad bei RTO und gelbe Uhr bei RPO).

• undefiniert / nicht relevant:

Die RTO bzw. RPO ist für die Berechnung nicht weiter relevant. Diese Werte gehen ebenfalls nicht in die Berechnung ein, werden aber mit einem grauen Symbol markiert um darzustellen, das diese Werte bewusst nicht hinterlegt wurden.

• RTO Wiederherstellzeit bzw. das RPO Backup Intervall liegt vor:

Die RTO bzw. RPO wurde für Ressourcen bereits ermittelt. Diese Werte können dann bei den Ressourcen hinterlegt werden.

Für RTO gibt es zusätzlich noch die Option, dass die Wiederherstellzeit von Ressourcen Dritter z.B. durch eine SLA gesichert sind. Es kann diese SLA bei der Ressource hinterlegt werden.

N / B bedeutet Netto bzw. Brutto. Netto ist der Wert der bei der direkt bei der Ressource eingetragen ist. Brutto ist die maximale Zeit die durch alle abhängigen Pfade erreicht wird (nur längster Pfad relevant).

• RTO bzw. RPO-Erfüllung analysieren:

Um die Erfüllung analysieren zu können, müssen in der Strukturanalyse mindestens die Organisationssicht und die Ressourcensicht ausgewählt werden. Sind diese ausgewählt, muss in den Analysemodus gewechselt werden (Schalter ganz oben im rechten Menü). Im Analysemodus kann nun RTO bzw. RPO-Erfüllung ausgewählt werden.

Werden zu viele nicht relevante Ressourcen bzw. Organisationseinheiten angezeigt, kann man auf die zu untersuchende Organisationseinheit rechts klicken und im Kontextmenü den Punkt "Zeige Abhängigkeiten" auswählen. Dadurch werden alle nicht relevanten Knoten ausgeblendet.

Organisationseinheiten bzw. Geschäftsprozesse verwenden Ressourcen (Business Applikationen , communication services, Medizinisch administrative Applikationen, etc). Es können daher mehrere Applikationen mehreren Organisationseinheiten zugeordnet werden. Durch die Schutzbedarfsanalyse wird die Beziehung zwischen der jeweiligen Organisationseinheit und der Ressource gewichtet (z.B. sehr geringes Risiko bis katastrophales Risiko).

Die Applikation hat zu unterschiedlichen Geschäftsbereichen unterschiedliche Gewichtungen im Bezug auf ihre Schutzziele. Die kritischste Gewichtung gibt vor, wie technisch anspruchsvoll die Ressource hinsichtlich ihrer Schutzziele z.B. Verfügbarkeit, Vertraulichkeit oder Integrität ausgelegt werden muss. Auf diese Art können für die Applikationen kritische Risiken aufgrund der Gewichtung ihrer Schutzziele festgelegt werden.

Beispiel:

Auf einer Festplatte sind vertrauliche Kundendaten gespeichert. Diese Daten werden im KIS nur selten gebraucht, weshalb ihre Verfügbarkeit auf 20% gewichtet wurde. Die Vertraulichkeit beträgt jedoch 100%, da es sich um vertrauliche Daten handelt. Dadurch können z.B. die Risiken Diebstahl und Serverausfall festgestellt werden. Durch die Gewichtung lässt sich erkennen, dass ein Diebstahl vertraulicher Daten wesentlich kritischer ist als ein Serverausfall. Das heißt: Ein Diebstahl wäre ein kritisches Risiko, ein Serverausfall jedoch nicht.

Ressourcen können voneinander abhängig sein. Es kann Ressourcen geben, die nicht funktionsfähig oder nur eingeschränkt funktionsfähig sind, wenn eine andere Ressource nicht verfügbar ist. Ressourcen benötigen z.B. eine IT-Infrastruktur, Datenspeicher und ggf. Medizinprodukte um funktionsfähig zu sein.

Diese Abhängigkeiten können auch bidirektional sein. Dies wäre zum Beispiel der Fall, wenn zwei Ressourcen (z.B. Applikationen) aktiv Daten austauschen. Würde eine der beiden ausfallen hätte das Einfluss auf die andere Ressource.

All diese Abhängigkeiten können über die Strukturanalyse analysiert werden.

Strukturelemente (Business-Applikationen oder IT-Infrastruktur Services) können untereinander in Beziehung stehen. Zwischen zwei in Beziehung stehenden Strukturelementen gibt es dabei eine Ausprägung der Beziehung je Schutzziel. Je Schutzziel ist dabei festgelegt welche Richtung die Beziehung hat und wie stark die Abhängigkeit gewichtet ist. Standardmäßig ist die Gewichtung der Beziehung mit 100% zu sehen, aber auch eine andere Gewichtung ist einstellbar. All diese Beziehungen können uni- oder bidirektional sein. Das definiert die Abhängigkeiten der Objekte zueinander.

Beispiel: Ein Krankenhausinformationssystem (KIS) und ein Laborinformationssystem (LIS) stehen in Beziehung

Schutzziel Verfügbarkeit: Das LIS ist zu 100% vom KIS abhängig. Wenn das KIS nicht funktioniert kann das LIS nicht auf die Patientenstammdaten zugreifen und es kann nicht gearbeitet werden. Das KIS hingegen ist in unserem Beispiel nur zu 10% vom LIS abhängig. Wenn dieses nicht funktioniert, kann das KIS die Laborwerte nicht abrufen, alle anderen Funktionen stehen aber uneingeschränkt zur Verfügung.

Links unten in der Anzeige der Strukturanalyse finden Sie fünf Optionen:

1. Zoombalken: vergrößern oder verkleinern Sie die Anzeige
2. Fit to screen: zentrieren Sie die Strukturanalyse am Bildschirm
3. Rearrange elements: lassen Sie das Tool die Elemente automatisch positionieren
4. Lock all/Unlock all: sperren bzw. entsperren Sie die Positionierung der Elemente
5. Toggle fullscreen mode: verwenden Sie den Vollbildmodus

• Manchmal ist weniger mehr. Gerade zu Beginn kann eine importierte CMDB eher zu Frust statt Lust führen, wenn der Anwender vor einem Berg von Assets sitzt und Zusammenhänge und nachvollziehbare Beziehungen in diesen einarbeiten möchte.
• Bauen Sie Ihr Managementsystem lieber schrittweise auf. Bilden Sie die Organisationsstruktur mit den wichtigsten Bereichen Ihres Unternehmens ab. Erfassen Sie Kernprozesse und die wichtigsten Services Ihres Unternehmens. Fassen Sie Elemente zusammen, wenn sie gleichartig sind (z. B. Serverinstanzen für Load Balancing).
• Erfassen Sie keine zentralen Strukturelemente wie ein Active Directory, das nahezu in alle Bereichen verknüpft ist. Es bedarf keiner Analyse um festzustellen, dass ein Ausfall des AD zu einem größeren Problem im Unternehmen führen würde. Hinweis: Ein solches Element kann in HITGuard natürlich trotzdem betrachtet und analysiert werden, insbesondere hinsichtlich seiner Sicherheitskonfiguration, dafür bietet HITGuard die Abweichungsanalyse und damit verbunden Funktionen.