Heute hatten wir eine angeregte Diskussion während einer Risikoanalyse, weil jemand die Frage aufwarf, welche Auswirkungen die beiden Auswahlfelder „Schwachstelle“ und „Bedrohung“ auf die Risikoanalyse haben. Sie stehen immer(?) auf „unbearbeitet“, aber ich meine, da auch schon ab und zu per default plausible Werte gesehen zu haben.
Letzlich blieben zwei Fragen übrig:
a) Wo kommen eigentlich die in den Feldern auswählbaren Werte her?
b) Wozu dienen diese Eingaben?
Hallo @phff,
die beiden Felder haben keinerlei „Auswirkung“ sondern dienen allein der Dokumentation. Die Angabe ist optional, weswegen die Felder solange unbearbeitet sind, bis Werte ausgewählt werden.
Die Betrachtung von Schwachstellen und Bedrohungen einer Gefährdung basiert auf dem Ansatz in der ISO 27005, im BSI-Standard 200-3 findet dies keine Beachtung. Die Felder sind auf Wunsch einiger Anwenderinnen und Anwender dennoch in der Perspektive IT-Grundschutz gelandet.
Die Inhalte sind in der Datei SNCA.xml definiert und können per Customizing geändert und erweitert werden.
MfG mflue
Moin und danke für die Info, wir hatten uns schon gewundert, weil die nirgendwo richtig hin passen! 
