/

Wer oder was ist Informationssicherheit?

Informationssicherheit steht im Fokus des BSI IT-Grundschutzes. Dieser Begriff wird oft unterschiedlich interpretiert.

Laut Definition hat Informationssicherheit das Ziel, Informationen jeglicher Art und Herkunft zu schützen. Dabei können Informationen auf Papier, in IT-Systemen oder auch in den Köpfen der Benutzer gespeichert sein. IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.

9
Umsetzung der Sicherheitskonzeption
In diesem Kapitel werden verschiedene Aspekte vorgestellt, die bei der Planung und Realisierung von
Sicherheitsmaßnahmen beachtet werden müssen. Dabei wird beschrieben, wie die Umsetzung von
Sicherheitsmaßnahmen geplant, durchgeführt, begleitet und überwacht werden kann. Zu vielen Bau­
steinen des IT-Grundschutzes existieren Umsetzungshinweise mit beispielhaften Empfehlungen für
Sicherheitsmaßnahmen, mittels derer die Anforderungen der Bausteine umgesetzt werden können.
Diese basieren auf Best Practices und langjähriger Erfahrung von Experten aus dem Bereich der Infor­
mationssicherheit. Die Maßnahmen aus den Umsetzungshinweisen sind jedoch nicht als verbindlich
zu betrachten, sondern können und sollten durch eigene Maßnahmen ergänzt oder ersetzt werden.
Solche eigenen Maßnahmen sollten wiederum dem IT-Grundschutz-Team des BSI mitgeteilt werden,
vor allem, wenn sie neue Aspekte enthalten, damit die Umsetzungshinweise entsprechend ergänzt
werden können.
Bei der Erstellung der Sicherheitskonzeption sind für den untersuchten Informationsverbund die
Strukturanalyse, die Schutzbedarfsfeststellung und die Modellierung erfolgt. Ebenso liegen zu diesem
Zeitpunkt die Ergebnisse des IT-Grundschutz-Checks, also des daran anknüpfenden Soll-Ist-Ver­
gleichs, vor. Sollte für ausgewählte Bereiche eine Risikoanalyse durchgeführt worden sein, so sollten
die dabei erarbeiteten Maßnahmenvorschläge ebenfalls vorliegen und nachfolgend berücksichtigt
werden.
Für die Realisierung der Maßnahmen stehen in der Regel nur beschränkte Ressourcen an Geld und
Personal zur Verfügung. Ziel der nachfolgend beschriebenen Schritte ist daher, eine möglichst effizi­
ente Umsetzung der vorgesehenen Sicherheitsmaßnahmen zu erreichen. Ein Beispiel zur Erläuterung
der Vorgehensweise findet sich am Ende dieses Kapitels.
9.1
Sichtung der Untersuchungsergebnisse
In einer Gesamtsicht sollte ausgewertet werden, welche Anforderungen aus den IT-Grundschutz-Bau­
steinen nicht oder nur teilweise umgesetzt wurden. Dazu bietet es sich an, diese aus den Ergebnissen
des IT-Grundschutz-Checks zu extrahieren und in einer Tabelle zusammenzufassen.
Durch Risikoanalysen könnten eventuell weitere zu erfüllende Anforderungen sowie zu realisierende
Maßnahmen identifiziert worden sein. Diese sollten ebenfalls tabellarisch erfasst werden. Diese zu­
sätzlichen Anforderungen und Maßnahmen sollten den vorher betrachteten Zielobjekten der Model­
lierung und den entsprechenden IT-Grundschutz-Bausteinen thematisch zugeordnet werden.
Die zu erfüllenden Anforderungen aus den IT-Grundschutz-Bausteinen müssen passend zu den orga­
nisatorischen und technischen Gegebenheiten der Institution zu Sicherheitsmaßnahmen konkretisiert
werden. Die Umsetzungshinweise des IT-Grundschutzes geben dazu für viele Bausteine und Anfor­
derungen praxisnahe Empfehlungen. Außerdem sollten alle Anforderungen und alle daraus abgelei­
teten Sicherheitsmaßnahmen noch einmal daraufhin überprüft werden, ob sie auch geeignet sind: Sie
müssen vor den möglichen Gefährdungen wirksam schützen, aber auch in der Praxis tatsächlich um­
setzbar sein, dürfen also z. B. nicht die Organisationsabläufe behindern oder andere Sicherheitsmaß­
nahmen aushebeln. Des Weiteren müssen sie wirtschaftlich sein, siehe unten. In solchen Fällen kann
es notwendig werden, bestimmte IT-Grundschutz-Anforderungen so anzupassen, dass dieselben Si­
cherheitsziele erreicht werden. Basis-Anforderungen sind so elementar, dass diese im Normalfall nicht
ersetzt werden können.
Um auch später noch nachvollziehen zu können, wie die konkrete Maßnahmenliste erstellt und ver­
feinert wurde, sollte dies geeignet dokumentiert werden.
1589 Umsetzung der Sicherheitskonzeption
Weiterführende Hinweise zur Konsolidierung der Sicherheitsmaßnahmen finden sich außerdem im
BSI-Standard 200-3 Risikoanalyse auf der Basis von IT-Grundschutz.
Beispiele:
• Im Sicherheitskonzept ffr ein Krankenhaus wurde festgelegt, dass ffr alle IT-Systeme eine
Authentifizierung erforderlich ist und ein Time-out nach zehn Minuten erfolgt. Beim IT-Grund­
schutz-Check stellt sich heraus, dass die Vorgabe zu pauschal und in dieser Form nicht praxis­
tauglich ist. Daher wird diese jetzt im Sicherheitskonzept differenziert:
• IT-Systeme im Verwaltungsbereich erfordern eine erneute Authentisierung nach 15 Minu­
ten Inaktivität.
• Bei IT-Systemen in Bereichen, wo Patienten- und Besucherverkehr herrscht, erfolgt ein
Time-out nach ffnf Minuten.
• Bei IT-Systemen in Behandlungsräumen wird die automatische Abmeldung deaktiviert.
Die Mitarbeiter erhalten die Anweisung, sich nach dem Verlassen der Räume abzumel­
den.
9.2
Kosten- und Aufwandsschätzung
Da das Budget zur Umsetzung von Sicherheitsmaßnahmen praktisch immer begrenzt ist, sollte für
jede zu realisierende Maßnahme festgehalten werden, welche Investitionskosten und welcher Perso­
nalaufwand dafür benötigt werden. Hierbei sollte zwischen einmaligen und wiederkehrenden Inves­
titionskosten bzw. Personalaufwand unterschieden werden. An dieser Stelle zeigt sich häufig, dass
Einsparungen bei technischen oder infrastrukturellen Sicherheitsmaßnahmen dazu führen, dass sie
einen hohen fortlaufenden Personaleinsatz verursachen. Umgekehrt führen Einsparungen beim Per­
sonal schnell zu kontinuierlich immer größeren werden Sicherheitsdefiziten.
In diesem Zusammenhang ist zu ermitteln, ob alle im ersten Zug aus den Anforderungen abgelei­
teten Maßnahmen wirtschaftlich umsetzbar sind. Falls es Maßnahmen gibt, die nicht wirtschaftlich
sind, sollten Überlegungen angestellt werden, durch welche Ersatzmaßnahmen die Anforderungen
dennoch erfüllt werden könnten. Auch bei Informationssicherheit führen häufig viele Wege zum
Ziel. Oftmals gibt es verschiedene Optionen, Anforderungen mit geeigneten Maßnahmen zu erfül­
len. Falls keine angemessene Maßnahme gefunden werden kann, muss das entstehende Restrisiko
sowie die Entscheidung dokumentiert werden. Basis-Anforderungen müssen im Normalfall immer
erfüllt werden, die Akzeptanz eines Restrisikos ist aufgrund ihrer elementaren Natur nicht vorgese­
hen.
Stehen die geschätzten Ressourcen für Kosten- und Personaleinsatz zur Verfügung, muss üblicher­
weise noch eine Entscheidung herbeigeführt werden, wie viele Ressourcen für die Umsetzung der
Sicherheitsmaßnahmen tatsächlich eingesetzt werden sollen. Hierfür bietet es sich an, der Leitungs­
ebene die Ergebnisse der Sicherheitsuntersuchung darzustellen. Geordnet nach Schutzbedarf soll­
159
• Bei einer Risikoanalyse wurde festgestellt, dass zusätzlich zu den IT-Grundschutz-Anforderun­
gen auch eine chipkartengestftzte Authentisierung und lokale Verschlfsselung der Festplat­
ten an Clients der Personaldatenverarbeitung notwendig sind. Diese zusätzlichen Anforderun­
gen sollten im Sicherheitskonzept ergänzt werden.9.3 Festlegung der Umsetzungsreihenfolge der Maßnahmen
ten die festgestellten Schwachstellen (nicht oder unzureichend erfüllte Sicherheitsanforderungen)
zur Sensibilisierung vorgestellt werden. Auch auf die spezifischen Gefährdungen, die in den jewei­
ligen Bausteinen genannt werden, kann hierbei zurückgegriffen werden. Darüber hinaus bietet es
sich an, die für die Realisierung der noch notwendigen Maßnahmen anfallenden Kosten und den zu
erwartenden Aufwand aufzubereiten. Im Anschluss sollte eine Entscheidung über das Budget er­
folgen.
Kann kein ausreichendes Budget für die Realisierung aller fehlenden Maßnahmen bereitgestellt wer­
den, so sollte aufgezeigt werden, welches Restrisiko dadurch entsteht, dass einige Anforderungen gar
nicht oder nur verzögert erfüllt werden. Zu diesem Zweck können die sogenannten Kreuzreferenzta­
bellen aus den Hilfsmitteln zum IT-Grundschutz hinzugezogen werden. Die Kreuzreferenztabellen
geben für jeden Baustein eine Übersicht darüber, welche Anforderungen gegen welche elementaren
Gefährdungen wirken. Analog lässt sich anhand dieser Tabellen ebenfalls ermitteln, gegen welche
elementaren Gefährdungen kein ausreichender Schutz besteht, wenn Anforderungen aus den Bau­
steinen nicht erfüllt werden. Das entstehende Restrisiko sollte für zufällig eintretende oder absichtlich
herbeigeführte Gefährdungen transparent beschrieben und der Leitungsebene zur Entscheidung vor­
gelegt werden. Die weiteren Schritte können erst nach der Entscheidung der Leitungsebene, dass das
Restrisiko tragbar ist, erfolgen, da die Leitungsebene letztlich auch die Verantwortung für die Konse­
quenzen tragen muss.
9.3
Festlegung der Umsetzungsreihenfolge der Maßnahmen
Kapitel 8.3.3 beschreibt eine Reihenfolge, in der die Bausteine umgesetzt werden sollten, von grund­
legenden und übergreifenden Bausteinen bis hin zu solchen, die speziellere Themen abdecken und
daher in der zeitlichen Reihenfolge eher nachrangig betrachtet werden können. Diese Reihenfolge
der Baustein-Umsetzung ist vor allem bei der Basis-Absicherung wichtig. Sie kann aber auch allgemein
bei der Festlegung der Umsetzungsreihenfolge für die einzelnen Maßnahmen eines Sicherheitskon­
zepts herangezogen werden.
Grundsätzlich sind als Erstes die aus den Basis-Anforderungen abgeleiteten Maßnahmen umzuset­
zen, dann die der Standard-Anforderungen. Die zusätzlichen Maßnahmen für den erhöhten Schutz­
bedarf sollten erst anschließend angepasst und realisiert werden.
Wenn das vorhandene Budget oder die personellen Ressourcen nicht ausreichen, um sämtliche noch
notwendigen Maßnahmen sofort umsetzen zu können, muss hier eine Priorisierung festgelegt wer­
den.
Die weitere Umsetzungsreihenfolge orientiert sich daran, was für die jeweilige Institution am sinn­
vollsten ist. Tipps dazu sind:
• Die Umsetzungsreihenfolge lässt sich daran festmachen, wann im Lebenszyklus eines Zielobjektes
die jeweiligen Maßnahmen umzusetzen sind. Bei neuen Zielobjekten sind beispielsweise Maßnah­
men aus den Bereichen Planung und Konzeption vor solchen umzusetzen, bei denen es um den
sicheren Betrieb geht, während bei schon länger im Informationsverbund vorhandenen Zielobjek­
ten zunächst die Absicherung des Betriebs im Vordergrund stehen sollte.
• Bei einigen Maßnahmen ergibt sich durch Abhängigkeiten und logische Zusammenhänge eine
zwingende zeitliche Reihenfolge. So kann eine restriktive Rechtevergabe (Basis-Anforderung) auf
einem neuen Server nur erfolgen, wenn dieser zunächst sicher installiert wurde (Standard-Anfor­
derung). Diese Reihenfolge kann mit der Klassifikation in Basis- und Standard-Anforderungen auf
1609 Umsetzung der Sicherheitskonzeption
den ersten Blick kollidieren. Dennoch haben Basis-Anforderungen inhaltlich stets Priorität, sofern
sie bereits erfüllbar sind, im Beispiel etwa bei einem bestehenden Server.
• Es gibt Bausteine, die auf das angestrebte Sicherheitsniveau einen größeren Einfluss haben als
andere. Maßnahmen eines solchen Bausteins sollten bevorzugt behandelt werden, insbesondere
wenn hierdurch Schwachstellen in hochschutzbedürftigen Bereichen beseitigt werden. So sollten
immer zunächst die Server abgesichert werden (unter anderem durch Umsetzung des Bausteins
SYS.1.1 Allgemeiner Server) und dann erst die angeschlossenen Clients.
• Bausteine mit auffallend vielen nicht umgesetzten Anforderungen repräsentieren Bereiche mit vie­
len Schwachstellen. Sie sollten ebenfalls bevorzugt behandelt werden.
Die Entscheidung, welche Sicherheitsmaßnahmen ergriffen oder zunächst verschoben werden
und wo Restrisiken akzeptiert werden können, sollte auch aus juristischen Gründen sorgfältig
dokumentiert werden. In Zweifelsfällen sollten hierfür weitere Meinungen eingeholt und diese
ebenfalls dokumentiert werden, um in späteren Streitfällen die Einhaltung der erforderlichen Sorg­
faltspflicht belegen zu können.
Hinweis
Bereits einleitend wurde darauf hingewiesen, dass die Erffllung von Anforderungen an fehlen­
den Ressourcen scheitern kann. Die oben angeffhrten Aspekte ermöglichen eine erste Priori­
sierung. Bei dieser Vorgehensweise werden jedoch die verbleibenden Restrisiken nicht hinrei­
chend betrachtet. Wenn Anforderungen aus IT-Grundschutz-Bausteinen nicht erffllt sind, ist es
empfehlenswert, im Rahmen einer vereinfachten Risikoanalyse die entstandenen Defizite zu
betrachten. In diesem Fall kann die in der Risikoanalyse durchzuffhrende Ermittlung von Ge­
fährdungen entfallen. Dies ist bereits bei der Erstellung der Grundschutz-Bausteine geschehen.
Es verbleibt somit die Bewertung des Risikos aufgrund der fehlenden Umsetzung von Anforde­
rungen.
9.4
Festlegung der Aufgaben und der Verantwortung
Nachdem die Reihenfolge für die Umsetzung der Maßnahmen bestimmt wurde, muss anschließend
festgelegt werden, wer bis wann welche Maßnahmen realisieren muss. Ohne eine solche verbindliche
Festlegung verzögert sich die Realisierung erfahrungsgemäß erheblich bzw. unterbleibt ganz. Dabei
ist darauf zu achten, dass der als verantwortlich Benannte ausreichende Fähigkeiten und Kompeten­
zen zur Umsetzung der Maßnahmen besitzt und dass ihm die erforderlichen Ressourcen zur Verfü­
gung gestellt werden.
Ebenso ist festzulegen, wer für die Überwachung der Realisierung verantwortlich ist bzw. an wen der
Abschluss der Realisierung der einzelnen Maßnahmen zu melden ist. Typischerweise wird die Meldung
an den ISB erfolgen. Der ISB muss kontinuierlich über den Fortschritt der Realisierung und über die
161
• Manche Maßnahmen erzielen eine große Breitenwirkung, manche jedoch nur eine einge­
schränkte lokale Wirkung. Oft ist es sinnvoll, zuerst auf die Breitenwirkung zu achten. Auch
daher sollten bevorzugt die Basis-Anforderungen umgesetzt werden, da mit diesen die schnells­
te Absicherung in der Breite erreicht werden kann. Es lohnt sich aber auch durchaus, die Maß­
nahmen aus den verschiedenen Bereichen danach zu gewichten, wie schnell sie sich umsetzen
lassen und welchen Sicherheitsgewinn sie liefern. Sogenannte „Quick Wins“ lassen sich häufig
im organisatorischen Bereich finden oder durch zentrale Konfigurationseinstellungen errei­
chen.9.5 Realisierungsbegleitende Maßnahmen
Ergebnisse der Umsetzung informiert werden. Der ISB wiederum muss regelmäßig die Leitungsebene
über den Fortschritt und die damit verbundene Absenkung vorhandener Risiken informieren.
Der Realisierungsplan sollte mindestens folgende Informationen umfassen:
• Bezeichnung des Zielobjektes als Einsatzumfeld,
• Nummer bzw. Titel des betrachteten Bausteins,
• Titel bzw. Beschreibung der zu erfüllenden Anforderung,
• Beschreibung der umzusetzenden Maßnahme bzw. Verweis auf die Beschreibung im Sicherheits­
konzept,
• Terminplanung für die Umsetzung, Budgetplanung, beispielsweise für Beschaffung und Betriebs­
kosten von Komponenten,
• Verantwortliche für die Umsetzung der Maßnahmen.
9.5
Realisierungsbegleitende Maßnahmen
Überaus wichtig ist es, notwendige realisierungsbegleitende Maßnahmen rechtzeitig zu identifizieren
bzw. zu konzipieren und für die Realisierung entsprechend einzuplanen. Zu diesen Maßnahmen ge­
hören insbesondere Sensibilisierungsmaßnahmen, die darauf abzielen, die Belange der Informations­
sicherheit zu verdeutlichen und die von neuen Sicherheitsmaßnahmen betroffenen Mitarbeiter über
die Notwendigkeit und die Konsequenzen der Maßnahmen zu unterrichten.
Darüber hinaus müssen die betroffenen Mitarbeiter geschult werden, die neuen Sicherheitsmaßnah­
men korrekt um- und einzusetzen. Wird diese Schulung unterlassen, können die Maßnahmen oft
nicht umgesetzt werden und verlieren ihre Wirkung, wenn sich die Mitarbeiter unzureichend infor­
miert fühlen, was oft zu einer ablehnenden Haltung gegenüber der Informationssicherheit führt.
Beispiel: RECPLAST GmbH
Die obigen Schritte werden nachfolgend anhand des fiktiven Beispiels RECPLAST GmbH auszugs­
weise beschrieben. In der nachfolgenden Tabelle werden einige zu realisierende Maßnahmen
einschließlich der Budgetplanungen dargestellt.
1629 Umsetzung der Sicherheitskonzeption
A.6 Realisierungsplan der RECPLAST GmbH
umzusetzende Maßnahmen Termin-
planung
Verant­
wortlich
für die Um­
setzung
Budget
S008 – SYS.1.1 SYS.1.1.A3 In der Rechtevergabe müssen Q3
des
Print-- Allgemei- Restriktive die letzten Gruppenberech- Jahres
Server ner Server Rechtverga­ tigungen aufgelöst werden.
be - E Herr
Schmidt
(IT-Betrieb)
S008 – SYS.1.1 SYS.1.1.A4 Es sind noch nicht für jeden Ad­ 31.07. des
Print-­ Allgemei­ Rollentren­ ministrator separate Benut­ Jahres
Server ner Server nung
zer-Kennungen eingerichtet. - E Herr
Schmidt
(IT-Betrieb)
S008 – SYS.1.1 SYS.1.1.A8 Die Datensicherungen werden Q1 Folge-
Anschaf- Frau Meyer
Print-- Allgemei- Regelmäßi­ derzeit auf Bändern innerhalb jahr
fung: (Einkauf)
Server ner Server ge Datensi­ des Serverraumes aufbewahrt.
15.000 E
cherung
Geplant ist hierzu ein externes
Betriebs­
Backup-System. Ein Angebot
kosten:
für die Initialisierung liegt be­
noch offen
reits vor (15.000 E). Die Be­
triebskosten müssen noch ver­
handelt werden.
Abbildung 33: Realisierungsplan der RECPLAST GmbH (Auszug)
Anhand dieser Informationen kann die Umsetzung der Maßnahmen überwacht und gesteuert wer­
den.
Aktionspunkte zu 9 Umsetzung der Sicherheitskonzeption
• Fehlende oder nur teilweise umgesetzte IT-Grundschutz-Anforderungen sowie ergänzende Si­
cherheitsmaßnahmen in einer Tabelle zusammenfassen
• Sicherheitsmaßnahmen konsolidieren, d. h. überflüssige Maßnahmen streichen, allgemeine
Maßnahmen an die Gegebenheiten anpassen und alle Maßnahmen auf Eignung prüfen
• Einmalige und wiederkehrende Kosten und den Aufwand für die umzusetzenden Maßnahmen
ermitteln
• Ersatzmaßnahmen für nicht finanzierbare oder nicht leistbare Maßnahmen auflisten
• Entscheidung herbeiführen, welche Ressourcen für die Umsetzung der Maßnahmen eingesetzt
werden sollen
• Gegebenenfalls Restrisiko aufzeigen und Entscheidung der Leitungsebene dazur einholen
• Umsetzungsreihenfolge für die Maßnahmen festlegen, begründen und dokumentieren
• Termine für die Umsetzung festlegen und Verantwortung zuweisen
• Verlauf der Umsetzung und Einhaltung der Termine überwachen
• Betroffene Mitarbeiter schulen und sensibilisieren