/

Wer oder was ist Informationssicherheit?

Informationssicherheit steht im Fokus des BSI IT-Grundschutzes. Dieser Begriff wird oft unterschiedlich interpretiert.

Laut Definition hat Informationssicherheit das Ziel, Informationen jeglicher Art und Herkunft zu schützen. Dabei können Informationen auf Papier, in IT-Systemen oder auch in den Köpfen der Benutzer gespeichert sein. IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.

Erstellung einer Sicherheitskonzeption nach der Vorgehens­
weise Basis-Absicherung
Die Erstellung der Sicherheitskonzeption für die Institution erfolgt nach der Vorgehensweise Basis-Ab­
sicherung, wenn die folgenden Voraussetzungen erfüllt sind:
• ein Informationssicherheitsprozess wurde initiiert,
• die Sicherheitsleitlinie und Informationssicherheitsorganisation wurden definiert,
• eine Übersicht der vorhandenen Assets der Institution wurde erstellt,
Im Hinblick auf die Sicherheitskonzeption sollten für die Komponenten von Geschäftsprozessen, An­
wendungen und IT-Systemen organisatorische, personelle, infrastrukturelle und technische Anforde­
rungen aus dem IT-Grundschutz-Kompendium erfüllt werden. Diese sind in Bausteine strukturiert,
sodass sie modular aufeinander aufsetzen.
Abbildung 8: Basis-Absicherung
Die Erstellung einer Sicherheitskonzeption nach Basis-Absicherung gliedert sich in folgende Aktions­
felder, die anschließend noch näher vorgestellt werden sollen:
• Festlegung des Geltungsbereichs:
Es muss der Informationsverbund festgelegt werden, für den die Sicherheitskonzeption erstellt und
umgesetzt werden soll.
• Auswahl und Priorisierung:
Der betrachtete Informationsverbund muss mithilfe der vorhandenen Bausteine aus dem IT-Grund­
schutz-Kompendium nachgebildet werden.
• IT-Grundschutz-Check:
In diesem Schritt wird überprüft, ob die Basis-Anforderungen nach dem IT-Grundschutz bereits
ganz oder teilweise umgesetzt sind und welche Sicherheitsmaßnahmen noch fehlen.
• Realisierung:
Für die bisher nicht erfüllten Basis-Anforderungen müssen geeignete Sicherheitsmaßnahmen fest­
gelegt und umgesetzt werden.
61
• die Basis-Absicherung wurde als IT-Grundschutz-Vorgehensweise ausgewählt.6.2 Auswahl und Priorisierung für die Basis-Absicherung
• Auswahl der folgenden Vorgehensweise:
Die Basis-Absicherung dient als Einstiegsvorgehensweise. Es muss daher festgelegt werden, zu
welchem Zeitpunkt und mit welcher IT-Grundschutz-Vorgehensweise das Sicherheitsniveau ange­
hoben werden soll.
Im Unterschied zur Standard-Absicherung sind die Aktionsfelder bei der Basis-Absicherung kein ge­
schlossener Zyklus, sondern eine Einstiegsvorgehensweise, die mit der Standard-Absicherung fortge­
führt werden kann (eventuell mit der Kern-Absicherung als Zwischenschritt).
6.1
Festlegung des Geltungsbereichs für die Basis-Absicherung
Bei der Erstellung einer Sicherheitskonzeption muss als Erstes festgelegt werden, welchen Bereich der
Institution sie abdecken soll (Geltungsbereich).
Der Geltungsbereich kann die gesamte Institution umfassen oder auch nur einzelne Bereiche. Auf
jeden Fall muss der Geltungsbereich klar abgegrenzt und sinnvoll in sich abgeschlossen sein, mit we­
nigen, eindeutig definierten Schnittstellen. So könnte eine Institution beispielsweise für eine neu hin­
zugekommene Abteilung mit ihren Geschäftsprozessen und Assets zunächst die Basis-Absicherung
umsetzen. Vertiefende Informationen zur Abgrenzung des Geltungsbereichs sind im Kapitel 3.4.3
Festlegung des Geltungsbereichs und Inhalt der Sicherheitsleitlinie zu finden.
Informationsverbund
Der Geltungsbereich für die Erstellung der Sicherheitskonzeption wird im Folgenden „Informations­
verbund“ genannt. Ein Informationsverbund umfasst die Gesamtheit von infrastrukturellen, organi­
satorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung in einem be­
stimmten Anwendungsbereich der Informationsverarbeitung dienen. Ein Informationsverbund kann
dabei als Ausprägung die gesamte Informationsverarbeitung einer Institution oder auch einzelne Be­
reiche umfassen, die nach organisatorischen oder technischen Strukturen (z. B. Abteilungsnetz) oder
gemeinsamen Geschäftsprozessen bzw. Anwendungen (z. B. Personalinformationssystem) geglie­
dert sind. Für die Erstellung der Sicherheitskonzeption werden auf Grundlage der bereits während
der Vorarbeiten erfolgten Ersterfassung (siehe Kapitel 3.2.4 Ersterfassung der Prozesse, Anwendun­
gen und IT-Systeme) die relevanten Bestandteile des betrachteten Informationsverbunds identifiziert.
6.2
Auswahl und Priorisierung für die Basis-Absicherung
Der nächste Schritt besteht darin, den betrachteten Informationsverbund mithilfe der in der Erster­
fassung identifizierten Prozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen und
Räume und den vorhandenen Bausteinen aus dem IT-Grundschutz-Kompendium nachzubilden. Das
Ergebnis ist ein IT-Grundschutz-Modell des Informationsverbunds, das aus verschiedenen, gegebe­
nenfalls auch mehrfach verwendeten Bausteinen besteht und durch die Verwendung der Bausteine
die sicherheitsrelevanten Aspekte des Informationsverbunds beinhaltet.
6.2.1 Modellierung nach IT-Grundschutz
Um einen im Allgemeinen komplexen Informationsverbund nach IT-Grundschutz zu modellieren,
müssen die passenden Bausteine des IT-Grundschutz-Kompendiums ausgewählt und umgesetzt wer­
den. Um die Auswahl zu erleichtern, sind die Bausteine im IT-Grundschutz-Kompendium zunächst in
prozess- und systemorientierte Bausteine aufgeteilt. Ein Überblick über die Struktur des IT-Grund­
626 Erstellung einer Sicherheitskonzeption nach Basis-Absicherung
schutz-Kompendiums mit den System- und Prozessbausteinen ist in Kapitel 8.3.1 Das IT-Grund­
schutz-Kompendium zu finden.
Die Modellierung nach IT-Grundschutz besteht nun darin, für die Bausteine einer jeden Schicht zu
entscheiden, ob und wie sie zur Abbildung des Informationsverbunds herangezogen werden können.
Je nach betrachtetem Baustein können die Zielobjekte dieser Abbildung von unterschiedlicher Art
sein: einzelne Geschäftsprozesse oder Komponenten, Gruppen von Komponenten, Gebäude, Liegen­
schaften, Organisationseinheiten usw. Können einzelne Zielobjekte nicht unmittelbar mit den vorhan­
denen Bausteinen abgebildet werden, muss gewährleistet sein, dass ähnliche, verallgemeinerte Bau­
steine berücksichtigt werden.
Um grundlegende Risiken abzudecken und eine ganzheitliche Informationssicherheit aufzubauen,
müssen die essenziellen Sicherheitsanforderungen frühzeitig erfüllt und entsprechende Sicherheits­
maßnahmen umgesetzt werden. Daher wird im IT-Grundschutz eine Reihenfolge für die umzusetzen­
den Bausteine vorgeschlagen.
Im IT-Grundschutz-Kompendium wird im Kapitel Schichtenmodell und Modellierung beschrieben,
wann ein einzelner Baustein sinnvollerweise eingesetzt werden soll und auf welche Zielobjekte er
anzuwenden ist. Zudem sind die Bausteine danach gekennzeichnet, ob sie vor- oder nachrangig um­
gesetzt werden sollten.
Diese Kennzeichnung zeigt nur die sinnvolle zeitliche Reihenfolge für die Umsetzung der jeweiligen
Anforderungen der Bausteine auf und stellt keine Gewichtung der Bausteine untereinander dar.
Grundsätzlich müssen alle für den jeweiligen Informationsverbund relevanten Bausteine des IT-Grund­
schutz-Kompendiums umgesetzt werden.
Die Kennzeichnung der Bausteine stellt des Weiteren nur eine Empfehlung dar, in welcher Reihenfolge
die verschiedenen Bausteine sinnvoll umgesetzt werden könnten. Jede Institution kann hier eine ab­
weichende, für sich sinnvolle Reihenfolge festlegen.
6.2.3 Zuordnung von Bausteinen
Die Zuordnung von Bausteinen zu Zielobjekten sollte in Form einer Tabelle mit folgenden Spalten
dokumentiert werden:
• Vollständiger Titel des Bausteins (z. B. SYS.3.1 Laptop)
• Zielobjekt: Dieses kann z. B. die Identifikationsnummer einer Komponente oder einer Gruppe um­
fassen bzw. der Name eines Gebäudes oder einer Organisationseinheit sein.
• Ansprechpartner: Diese Spalte dient zunächst nur als Platzhalter. Der Ansprechpartner wird nicht
im Rahmen der Modellierung, sondern erst bei der Planung des eigentlichen Soll-Ist-Vergleichs im
IT-Grundschutz-Check ermittelt.
• Reihenfolge: Es sollte die Umsetzungsreihenfolge (R1, R2, R3) des Bausteins eingetragen werden.
• Hinweise: In dieser Spalte können Randinformationen und Begründungen für die Modellierung
dokumentiert werden.
6.2.4 Ermittlung konkreter Maßnahmen aus Anforderungen
Über die Modellierung wurden die Bausteine des IT-Grundschutz-Kompendiums ausgewählt, die für
die einzelnen Zielobjekte des betrachteten Informationsverbunds umzusetzen sind. In den Bausteinen
63
6.2.2 Reihenfolge der Baustein-Umsetzung6.3 IT-Grundschutz-Check für Basis-Absicherung
werden die Anforderungen aufgeführt, die typischerweise für diese Komponenten geeignet und an­
gemessen sind.
Für die Erstellung eines Sicherheitskonzepts oder für ein Audit müssen jetzt die einzelnen Anforde­
rungen bearbeitet und zur Erfüllung geeignete Sicherheitsmaßnahmen formuliert werden, hierbei
unterstützen die zu vielen Bausteinen zugehörigen Umsetzungshinweise. Vertiefende Informationen
hierzu sind in Kapitel 8.3.6 Anpassung der Baustein-Anforderungen zu finden.
6.3
IT-Grundschutz-Check für Basis-Absicherung
Schon bevor eine IT-Grundschutz-Vorgehensweise ausgewählt wurde, wurden während der Vorar­
beiten in der Erstaufnahme (siehe Kapitel 3.2.4 Ersterfassung der Prozesse, Anwendungen und IT-Sys­
teme) die geschäftskritischen Informationen und Kernprozesse der Institution ermittelt und die be­
troffenen Anwendungen, IT-Systeme, Netze und Räume erfasst. Der betrachtete Informationsver­
bund wurde mithilfe der vorhandenen Bausteine aus dem IT-Grundschutz-Kompendium
nachgebildet. Die Auswahl und Priorisierung der IT-Grundschutz-Bausteine (wie im vorherigen Kapitel
beschrieben) wird nun als Prüfplan benutzt, um anhand eines Soll-Ist-Vergleichs herauszufinden, wel­
che Basis-Anforderungen ausreichend oder nur unzureichend erfüllt sind.
Bei dem hier anzuwendenden IT-Grundschutz-Check für die Basis-Absicherung müssen lediglich die
Basis-Anforderungen erfüllt sein. Für eine Standard- oder Kern-Absicherung ist innerhalb dieser Vor­
gehensweisen ein separater IT-Grundschutz-Check durchzuführen, bei dem die Standard-Anforde­
rungen der betreffenden Bausteine hinzukommen. Um Mehraufwände zu vermeiden und Synergie­
effekte erzielen zu können, sollten die Ergebnisse des für die Basis-Absicherung durchzuführenden
IT-Grundschutz-Checks so aufbereitet sein, dass sie direkt in die Standard- oder Kern-Absicherung
integriert werden können.
Unabhängig von der IT-Grundschutz-Vorgehensweise besteht der IT-Grundschutz-Check aus drei un­
terschiedlichen Schritten. Im ersten Schritt werden die organisatorischen Vorbereitungen getroffen,
insbesondere die relevanten Ansprechpartner für den Soll-Ist-Vergleich werden ausgewählt. Im zwei­
ten Schritt wird der eigentliche Soll-Ist-Vergleich mittels Interviews und Stichproben durchgeführt. Im
letzten Schritt werden die erzielten Ergebnisse des Soll-Ist-Vergleichs einschließlich der erhobenen
Begründungen dokumentiert.
Organisatorische Vorarbeiten für den IT-Grundschutz-Check
Zunächst sollten alle hausinternen Papiere, die die sicherheitsrelevanten Abläufe regeln, gesichtet
werden. Diese Dokumente können bei der Ermittlung des Umsetzungsgrades hilfreich sein.
Die geeigneten Interviewpartner müssen identifiziert werden. Für jeden Baustein, der für die Model­
lierung des Informationsverbunds herangezogen wurde, sollte ein Hauptansprechpartner festgelegt
werden. Bei den Anforderungen in den Bausteinen werden die Rollen genannt, die für die Umsetzung
der Anforderungen zuständig sind. Hieraus können die geeigneten Ansprechpartner für die jeweilige
Thematik in der Institution identifiziert werden. Für die Bausteine der Schicht APP (Anwendungen)
sind dies beispielsweise die Betreuer der einzelnen Anwendungen.
Als Nächstes sollte festgestellt werden, ob und in welchem Umfang externe Stellen an der Ermittlung
des Umsetzungsstatus beteiligt werden müssen. Dies kann beispielsweise bei Firmen, die Teile von
Geschäftsprozessen oder des IT-Betriebes als outgesourcte Dienstleistungen übernehmen, erforder­
lich sein.
646 Erstellung einer Sicherheitskonzeption nach Basis-Absicherung
Für die anstehenden Interviews sollte ein Terminplan erstellt werden. Ein besonderes Augenmerk gilt
hier der Terminkoordination mit Personen aus anderen Organisationseinheiten oder anderen Institu­
tionen. Außerdem erscheint es sinnvoll, schon vorab Ausweichtermine abzustimmen.
Durchführung des Soll-Ist-Vergleichs
Bei der Erhebung des erreichten Sicherheitsstatus werden die Sicherheitsanforderungen des jeweili­
gen Bausteins der Reihe nach durchgearbeitet. Diese können vollständig, teilweise oder nicht erfüllt
sein. Als Umsetzungsstatus ist daher jeweils eine der folgenden Aussagen möglich:
„ja“ Zu der Anforderung wurden geeignete Maßnahmen vollständig, wirksam und ange­
messen umgesetzt.
„teilweise“ Die Anforderung wurde nur teilweise umgesetzt.
„nein“ Die Anforderung wurde noch nicht erfüllt, also geeignete Maßnahmen sind größten­
teils noch nicht umgesetzt.
Es ist sinnvoll, bei den Interviews nicht nur die Bausteintexte, sondern auch die Umsetzungshinweise
oder andere ergänzende Materialien griffbereit zu haben. Den Befragten sollte der Zweck des
IT-Grundschutz-Checks kurz vorgestellt werden. Es bietet sich an, mit den Anforderungsüberschriften
fortzufahren und die Anforderung kurz zu erläutern. Dem Gesprächspartner sollte die Möglichkeit
gegeben werden, auf die bereits umgesetzten Anforderungen und Maßnahmen einzugehen und
danach noch offene Punkte zu besprechen.
Zum Abschluss jedes Bausteins sollte den Befragten das Ergebnis (Umsetzungsstatus der Anforderun­
gen: entbehrlich/ja/teilweise/nein) mitgeteilt und diese Entscheidung erläutert werden.
Dokumentation der Ergebnisse
Die Ergebnisse des IT-Grundschutz-Checks sollten so dokumentiert werden, dass sie für alle Beteilig­
ten nachvollziehbar sind und als Grundlage für die Umsetzungsplanung der defizitären Anforderun­
gen und Maßnahmen genutzt werden können. Es sollten geeignete Hilfsmittel verwendet werden,
die bei der Erstellung und Aktualisierung aller im Sicherheitsprozess erforderlichen Dokumente unter­
stützen, beispielsweise spezielle IT-Grundschutz-Tools oder selbst entwickelte Tabellen. Als Hilfsmittel
stehen auch auf der IT-Grundschutz-Website entsprechende Formulare für die jeweiligen Bausteine
zur Verfügung.
Die Ergebnisse des Soll-Ist-Vergleichs sollten tabellarisch erfasst werden. Dabei sollten zu jeder Anfor­
derung des jeweiligen Bausteins folgende Informationen festgehalten werden:
• Umsetzungsgrad (entbehrlich/ja/teilweise/nein)
• Verantwortliche: Welche Mitarbeiter sind für die vollständige Umsetzung einer defizitären Anfor­
derung verantwortlich? Bis wann ist diese umzusetzen?
• Bemerkungen: Ein solches Feld ist wichtig, um getroffene Entscheidungen später nachvollziehen
zu können. Bei Anforderungen, deren Umsetzung entbehrlich erscheint, ist hier die Begründung zu
nennen. Bei Anforderungen, die noch nicht oder nur teilweise umgesetzt sind, sollte in diesem Feld
dokumentiert werden, welche Maßnahmen noch umgesetzt werden müssen. In dieses Feld sollten
auch alle anderen Bemerkungen eingetragen werden, die bei der Beseitigung von Defiziten hilf­
reich oder im Zusammenhang mit der Anforderung zu berücksichtigen sind.
65
„entbehrlich“ Die Erfüllung der Anforderung ist in der vorgeschlagenen Art nicht notwendig, weil
die Anforderung im betrachteten Informationsverbund nicht relevant ist (z. B. weil
Dienste nicht aktiviert wurden).6.5 Auswahl einer folgenden Vorgehensweise
• Defizite/Kostenschätzung: Für Anforderungen, die nicht oder nur teilweise erfüllt wurden, ist das
damit verbundene Risiko in geeigneter Form zu ermitteln und zu dokumentieren. Des Weiteren
sollte geschätzt werden, welchen finanziellen und personellen Aufwand die Beseitigung der Defi­
zite erfordert.
Diese Schritte werden detailliert im Kapitel 8.4 IT-Grundschutz-Check beschrieben.
6.4
Realisierung
In diesem Kapitel wird beschrieben, wie für die Basis-Absicherung aus den Anforderungen die Sicher­
heitsmaßnahmen abgeleitet und wie diese dann geplant, durchgeführt, begleitet und überwacht
werden können. Es liegen die Ergebnisse des IT-Grundschutz-Checks, also des Soll-Ist-Vergleichs, vor.
Generell müssen für die Basis-Absicherung alle identifizierten Basis-Anforderungen erfüllt werden.
Auch für die Erfüllung der Basis-Anforderungen stehen in der Regel nur beschränkte Ressourcen an
Geld und Personal zur Verfügung. Das primäre Ziel der nachfolgend beschriebenen Schritte ist es
daher, eine möglichst effiziente Erfüllung der vorgesehenen Basis-Anforderungen zu erreichen (eine
vollständige Beschreibung für alle IT-Grundschutz-Vorgehensweisen ist im Kapitel 9 „Umsetzung der
Sicherheitskonzeption“ zu finden):
• Sichtung der Untersuchungsergebnisse
In einer Gesamtsicht sollten zuerst die fehlenden oder nur teilweise erfüllten Basis-Anforderungen
ausgewertet werden.
• Konsolidierung der Basis-Anforderungen
In diesem Schritt werden zunächst die noch zu erfüllenden Basis-Anforderungen konsolidiert.
• Kosten- und Aufwandsschätzung
Es sollte für jede zu erfüllende Basis-Anforderung festgehalten werden, welche Investitionskosten
und welcher Personalaufwand dafür notwendig sind.
• Festlegung der Umsetzungsreihenfolge der Basis-Anforderungen
Wenn das vorhandene Budget oder die personellen Ressourcen nicht ausreichen, um die fehlenden
Basis-Anforderungen sofort erfüllen zu können, muss eine Umsetzungsreihenfolge festgelegt wer­
den.
• Festlegung der Aufgaben und der Verantwortung
Es muss festgelegt werden, wer bis wann welche Basis-Anforderungen erfüllen muss.
• Realisierungsbegleitende Basis-Anforderungen
Überaus wichtig ist es, notwendige realisierungsbegleitende Basis-Anforderungen, wie beispiels­
weise Schulungen, rechtzeitig zu konzipieren und für die Realisierung mit einzuplanen.
6.5
Auswahl einer folgenden Vorgehensweise
Informationssicherheit muss gelebt werden. Um das Sicherheitsniveau aufrechtzuerhalten und kon­
tinuierlich verbessern zu können, müssen nicht nur die erforderlichen Sicherheitsmaßnahmen umge­
setzt und fortlaufend aktualisiert werden, sondern auch der gesamte Prozess der Informationssicher­
heit muss regelmäßig auf seine Wirksamkeit und Effizienz hin überprüft werden.
Die Basis-Absicherung ist eine IT-Grundschutz-Vorgehensweise für den Einstieg, um zunächst zeitnah
die wichtigsten Sicherheitsempfehlungen für den ausgewählten Einsatzbereich identifizieren und um­
setzen zu können. Ziel ist es daher, mittelfristig ein vollständiges Sicherheitskonzept gemäß der Stan­
666 Erstellung einer Sicherheitskonzeption nach Basis-Absicherung
dard-Absicherung zu erstellen. Als Zwischenschritt könnte nach der Basis-Absicherung und vor der
Standard-Absicherung die nun erstellte Sicherheitskonzeption um die Kern-Absicherung ergänzt wer­
den.
Nachdem die Basis-Absicherung realisiert wurde, sollte zeitnah entschieden werden, wann mit dem
notwendigen Verbesserungsprozess begonnen wird. In Abhängigkeit der Sicherheitsansprüche und
der verfügbaren Ressourcen ist zu entscheiden, ob im nächsten Schritt eine Sicherheitskonzeption
nach der Standard- oder der Kern-Absicherung erstellt werden soll. Informationen zur Auswahl sind
in Kapitel 3.3 Entscheidung ffr Vorgehensweise zu finden.