/

Die Planung am Anfang der Reise

bevor es losgeht, ist es wichtig zu klären, wie Informationssicherheitsziele erfüllt und ein gefordertes Sicherheitsniveau erreicht werden kann.

Laut Definition hat Informationssicherheit das Ziel, Informationen jeglicher Art und Herkunft zu schützen. Dabei können Informationen auf Papier, in IT-Systemen oder auch in den Köpfen der Benutzer gespeichert sein. IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.

, muss zunächst verstanden werden, wie die Erfüllung von Aufgaben und Geschäftsprozessen von der Vertraulichkeit, Integrität und Verfügbarkeit der Informationen abhängt. Dazu muss man auch be­rücksichtigen, durch welche Schadensursachen, wie zum Beispiel höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen oder auch Cyberrisiken, Geschäftsprozesse bedroht werden.
8.1 Erstellung des Sicherheitskonzepts
Danach muss eine Entscheidung erfolgen, wie mit diesen Risiken umgegangen werden soll. Im Ein­zelnen sind nachfolgende Teilschritte notwendig:
Auswahl einer Methode zur Risikoanalyse [DOK]
Die Risiken, die durch Schäden für die Geschäftstätigkeit und Aufgaben einer Institution durch Sicher­heitsvorfälle entstehen können, müssen analysiert werden. Eine Methode zur Risikoanalyse ist daher Bestandteil jedes Managementsystems für Informationssicherheit. Um ein Risiko bestimmen zu können,
müssen die Bedrohungen ermittelt, deren Schadenspotenzial und Eintrittswahrscheinlichkeit einge­schätzt und diese der Risikoakzeptanz der Institution gegenübergestellt werden. Je nach Anwendungs­fall, organisatorischen Randbedingungen, Branchenzugehörigkeit sowie angestrebtem Sicherheitsni­veau kommen unterschiedliche Methoden zur Risikoanalyse infrage. Das Informationssicherheitsmana­gement muss eine Methode auswählen, die für die Art und Größe der Institution angemessen ist. Die Methodenwahl beeinflusst den Arbeitsaufwand für die Erstellung des Sicherheitskonzepts entschei­dend.
Verschiedene Arten der Risikobeurteilung sind in den Standards ISO/IEC 31010 und ISO/IEC 27005
beschrieben. Das BSI hat hieraus abgeleitet ein zweistufiges Verfahren entwickelt. In der Vorgehens­weise nach IT-Grundschutz wird bei der Erstellung der IT-Grundschutz-Bausteine implizit eine Risiko­bewertung für typische Einsatzbereiche mit normalem Schutzbedarf durchgeführt. Hierbei werden
nur solche Gefährdungen betrachtet, die nach sorgfältiger Analyse eine so hohe Eintrittshäufigkeit oder so einschneidende Auswirkungen haben, dass Sicherheitsmaßnahmen ergriffen werden müs­sen. Typische Gefährdungen, gegen die sich jeder schützen muss, sind z. B. Schäden durch Feuer, Wasser, Einbrecher, Schadsoftware oder Hardware-Defekte. Dieser Ansatz hat den Vorteil, dass An­wender des IT-Grundschutzes für einen Großteil des Informationsverbundes keine individuelle Bedro­hungs- und Schwachstellenanalyse durchführen müssen, weil diese vorab vom BSI bereits durchge­führt wurde. In bestimmten Fällen muss jedoch eine explizite Risikoanalyse durchgeführt werden, beispielsweise wenn der betrachtete Informationsverbund Zielobjekte enthält, die

  • einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit haben oder
  • mit den existierenden Bausteinen des IT-Grundschutzes nicht hinreichend abgebildet (modelliert) werden können oder
  • in Einsatzszenarien (Umgebung, Anwendung) betrieben werden, die im Rahmen des IT-Grund­schutzes nicht vorgesehen sind.

Daher wird das weiter oben beschriebene Vorgehen bei normalem Schutzbedarf durch den im BSI-Standard 200-3 Risikoanalyse auf der Basis von IT-Grundschutz (siehe [BSI3]) beschriebenen An­satz ergänzt.
32Die Anwendung des IT-Grundschutzes hat den Vorteil, dass der eigene Arbeitsaufwand deutlich re­duziert wird, weil im Rahmen des IT-Grundschutzes bereits eine konkrete Methode beschrieben wird
und geeignete Sicherheitsanforderungen sowie Sicherheitsmaßnahmen vorgeschlagen werden.
Abbildung 6: Überblick über den Lebenszyklus eines Sicherheitskonzepts
Klassifikation von Risiken bzw. Schäden [DOK]
Das Informationssicherheitsmanagement muss in Abhängigkeit von der gewählten Methode zur Ri­sikoanalyse festlegen, wie Bedrohungen, Schadenspotenziale, Eintrittshäufigkeiten eingeschätzt und die daraus resultierenden Risiken bewertet werden. Allerdings ist es schwierig, aufwendig und zudem fehleranfällig, für Schäden und Eintrittshäufigkeiten individuelle Werte zu ermitteln. Es empfiehlt sich, nicht zu viel Zeit in die exakte Bestimmung von Eintrittshäufigkeiten und mögliche Schäden zu ste­cken. In den meisten Fällen ist es sowohl für die Eintrittshäufigkeit als auch für die potenzielle Scha­denshöhe praktikabler, mit qualitativen Kategorien zu arbeiten. Hierbei sollten pro Dimension nicht mehr als fünf Kategorien gewählt werden, z. B.
• Eintrittswahrscheinlichkeit: selten, mittel, häufig, sehr häufig
• Potenzielle Schadenshöhe: vernachlässigbar, begrenzt, beträchtlich, existenzbedrohend
8 Sicherheitskonzept8.1 Erstellung des Sicherheitskonzepts
Nachdem solche Kategorien in geeigneter Art und Weise innerhalb der Institution definiert wurden, können diese als Grundlage für eine qualitative Risikobetrachtung verwendet werden.
Risikoanalyse [DOK]
Jede Risikoanalyse muss die folgenden Schritte umfassen:

  • Die zu schützenden Informationen und Geschäftsprozesse müssen identifiziert werden.
  • Alle relevanten Bedrohungen für die zu schützenden Informationen und Geschäftsprozesse müs­sen ermittelt werden.
  • Schwachstellen, durch welche die Bedrohungen wirken könnten, müssen analysiert werden.
  • Die möglichen Schäden durch den Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit müs­sen benannt und eingeschätzt werden.
  • Die anzunehmenden Auswirkungen auf die Geschäftstätigkeit oder die Aufgabenerfüllung durch Sicherheitsvorfälle müssen untersucht werden.
  • Das Risiko, durch Sicherheitsvorfälle Schäden zu erleiden, muss bewertet werden.

Die hier verwendeten Begriffe „Bedrohung“, „Schwachstelle“ und „Risiko“ werden im Glossar näher definiert und sind dort entsprechend nachzuschlagen.
Entwicklung einer Strategie zur Behandlung von Risiken [DOK]
Die oberste Leitungsebene muss vorgeben, wie die erkannten Risiken behandelt werden sollen. Ab­hängig vom Risikoappetit einer Institution sind jeweils unterschiedliche Risikoakzeptanzkriterien mög­lich. „Risikoappetit“ bezeichnet die durch kulturelle, interne, externe oder wirtschaftliche Einflüsse entstandene Neigung einer Institution im Hinblick darauf, wie diese Risiken bewertet und mit ihnen umgeht. Die erkannten Risiken müssen vom Informationssicherheitsmanagement entsprechend auf­bereitet werden. Dazu gibt es folgende Optionen: Risiken können

  • vermieden werden, beispielsweise indem die Risikoursache ausgeschlossen wird,
  • reduziert werden, indem die Rahmenbedingungen, die zur Risikoeinstufung beigetragen haben, modifiziert werden,
  • transferiert werden, indem die Risiken mit anderen Parteien geteilt werden, z. B. durch Outsour­cing oder Versicherungen,
  • akzeptiert werden (auf Basis einer nachvollziehbaren Faktenlage), beispielsweise weil die mit dem Risiko einhergehenden Chancen wahrgenommen werden sollen.

Die Art des Umgangs mit Risiken muss dokumentiert, einem Risikoeigentümer zugeordnet und von der obersten Leitungsebene genehmigt werden. Die notwendigen Ressourcen zur Umsetzung der Strategie müssen geplant und zur Verfügung gestellt werden.
Bei der Ausgestaltung der Strategie ist neben den Kosten das verbleibende Restrisiko ein wesentliches Entscheidungskriterium, das von der Leitungsebene berücksichtigt werden muss.
In der Praxis werden die Schritte der Risikoeinstufung und Risikobehandlung so lange durchlaufen, bis die Risikoakzeptanzkriterien der Institution erfüllt sind und das verbleibende Risiko („Restrisiko“) im Einklang mit den Zielen und Vorgaben der Institution steht. Das verbleibende Risiko muss anschlie­ßend der Leitungsebene zur Zustimmung („Risiko-Akzeptanz“) vorgelegt werden. Damit wird nachvollziehbar dokumentiert, dass die Institution sich des Restrisikos bewusst ist.
Im Rahmen der Risikobewertung ergeben sich meist Risiken, die oberhalb der Risikoakzeptanzlinie (siehe BSI-Standard 200-3) liegen und daher behandelt werden müssen. Im Folgenden wird die Risi­kobehandlungsoption „Reduktion durch Umsetzung von Sicherheitsmaßnahmen“ näher betrachtet.
Auswahl von Sicherheitsmaßnahmen [DOK]
Aus den allgemeinen Sicherheitszielen und Sicherheitsanforderungen, die die Leitungsebene vorge­geben hat, leiten sich konkrete Sicherheitsmaßnahmen ab. Bei der Auswahl von Sicherheitsmaßnah­
men sind neben den Auswirkungen auf das Sicherheitsniveau auch Kosten-Nutzen-Aspekte und die Praxistauglichkeit zu beachten.
Neben technischen Sicherheitsmaßnahmen müssen auch organisatorische Abläufe und Prozesse (wie Benutzerrichtlinien, Rechtevergaben, Sicherheitsschulungen, Test- und Freigabeverfahren) eingerich­
tet werden. Es müssen dabei unter anderem die folgenden Themen geregelt werden:
• Organisation (inklusive Festlegung von Zuständigkeiten, Aufgabenverteilung und Funktionstren­nung, Regelung des Umgangs mit Informationen, Anwendungen und IT-Komponenten, Hard- und Software-Management, Änderungsmanagement usw.),
• Personal (z. B. Einweisung neuer Mitarbeiter, Vertretungsregelungen usw.),
• Schulung und Sensibilisierung zur Informationssicherheit,
• Identitäts- und Berechtigungsmanagement,
• Datensicherung (für alle Informationen, Anwendungen und IT-Komponenten),
• Compliance und Datenschutz,
• Schutz vor Schadprogrammen,
• Schutz von Informationen bei Verarbeitung, Übertragung und Speicherung (z. B. durch Einsatz von Kryptografie),
• Hard- und Softwareentwicklung,
• Detektion von Sicherheitsvorfällen,
• Verhalten bei Sicherheitsvorfällen (englisch: „incident handling“),
• Sicherheitsüberprüfungen (Audits und Revisionen, Penetrationstests usw.),
• Notfallvorsorge und Aufrechterhaltung der Geschäftstätigkeit im Notfall (englisch: „business con­tinuity“),
• Löschen und Vernichten von Daten und
• Outsourcing bzw. Cloud Computing.
Es muss nachvollziehbar dokumentiert werden, warum die ausgewählten Maßnahmen geeignet sind, die Sicherheitsziele und -anforderungen zu erreichen.
8.2 Umsetzung des Sicherheitskonzepts
Nach der Auswahl von Sicherheitsmaßnahmen müssen diese nach einem Realisierungsplan umge­setzt werden. Bei der Umsetzung sollten die folgenden Schritte eingehalten werden:
Erstellung eines Realisierungsplans für das Sicherheitskonzept [DOK]
Ein Realisierungsplan muss folgende Themen enthalten:
• Festlegung von Prioritäten (Umsetzungsreihenfolge),
• Festlegung von Verantwortlichkeiten für Initiierung,
• Bereitstellung von Ressourcen durch das Management und
• Umsetzungsplanung einzelner Maßnahmen (Festlegung von Terminen und Kosten, Festlegung von Verantwortlichen für die Realisierung sowie von Verantwortlichen für die Kontrolle der Um­setzung bzw. der Effektivität von Maßnahmen).
Umsetzung der Sicherheitsmaßnahmen
Die geplanten Sicherheitsmaßnahmen müssen gemäß dem Realisierungsplan umgesetzt werden. In­formationssicherheit muss dabei in die organisationsweiten Abläufe und Prozesse integriert werden.
Falls sich bei der Umsetzung Schwierigkeiten ergeben, sollten diese sofort kommuniziert werden, damit überlegt werden kann, wie diese behoben werden können. Als typische Lösungswege könnten beispielsweise sowohl Kommunikationswege oder Rechtezuweisungen geändert als auch technische Verfahren angepasst werden.
Steuerung und Kontrolle der Umsetzung [DOK]
Die Einhaltung der Zielvorgaben muss regelmäßig überprüft werden. Falls Zielvorgaben nicht einzu­halten sind, ist das für die Informationssicherheit zuständige Mitglied der Leitungsebene zu informie­ren, um auf Probleme rechtzeitig reagieren zu können.
8.3 Erfolgskontrolle des Sicherheitskonzepts
Zur Aufrechterhaltung des Sicherheitsniveaus müssen einerseits die als angemessen identifizierten Sicherheitsmaßnahmen korrekt angewendet und andererseits muss das Sicherheitskonzept fortlau­fend aktualisiert werden. Darüber hinaus ist es wichtig, Sicherheitsvorfälle rechtzeitig zu entdecken und schnell und adäquat auf diese zu reagieren. Es muss regelmäßig eine Erfolgskontrolle des Sicher­heitskonzepts durchgeführt werden. Die Analyse der Effektivität und Effizienz der umgesetzten Maß­nahmen sollte im Rahmen von internen Audits erfolgen. Wenn nicht genügend Ressourcen zur Ver­fügung stehen, um solche Audits von erfahrenen internen Mitarbeitern durchführen zu lassen, sollten externe Experten mit der Durchführung von Prüfungsaktivitäten beauftragt werden.
Da der Aufwand bei Audits von der Komplexität und Größe des Informationsverbunds abhängt, sind die Prüfanforderungen für kleine Institutionen entsprechend niedriger als für große und komplexe Institutionen und damit normalerweise sehr gut umzusetzen. Ein jährlicher technischer Check von IT-Systemen, eine Durchsicht vorhandener Dokumentationen, um die Aktualität zu prüfen, und ein Workshop, bei dem Probleme und Erfahrungen mit dem Sicherheitskonzept besprochen werden, können unter Umständen in kleinen Institutionen schon ausreichend sein.
Im Einzelnen sollten die folgenden Aktivitäten durchgeführt werden:
Reaktion auf Änderungen im laufenden Betrieb
Bei Änderungen im laufenden Betrieb (z. B. Einführung neuer Geschäftsprozesse, Organisationsän­derungen oder Einsatz neuer IT-Systeme) müssen das Sicherheitskonzept sowie die damit verbunde­nen Dokumente (wie auch die Liste der Zuständigkeiten oder der IT-Systeme) aktualisiert werden.
Detektion von Sicherheitsvorfällen im laufenden Betrieb [DOK]
Es müssen bestimmte Maßnahmen umgesetzt werden, um Fehler in der Informationsverarbeitung, welche die Vertraulichkeit, Verfügbarkeit oder Integrität beeinträchtigen können, sicherheitskritische Fehlhandlungen und Sicherheitsvorfälle möglichst zu verhindern, in ihrer Auswirkung zu begrenzen
oder zumindest frühzeitig zu bemerken. Die Behandlung von Fehlern muss dokumentiert werden.
Dazu gehört, dass die ergriffenen Maßnahmen, die Auswirkungen und möglicherweise resultierende Folgemaßnahmen festgehalten werden. Zur frühzeitigen Erkennung von Sicherheitsproblemen kön­nen beispielsweise Tools zu System- und Netzüberwachungen, Integritätsprüfungen, die Protokollie­rung von Zugriffen, Aktionen oder Fehlern, die Kontrolle des Zutritts zu Gebäuden und Räumen oder Brand-, Wasser- bzw. Klimasensoren beitragen.
Die Aufzeichnungen und Protokolle der Detektionsmaßnahmen müssen regelmäßig ausgewertet werden.
Überprüfung der Einhaltung von Vorgaben [DOK]
Es muss eine regelmäßige Prüfung stattfinden, ob alle Sicherheitsmaßnahmen wie im Sicherheitskon­zept vorgesehen angewendet und durchgeführt werden. Hierbei muss sowohl die Einhaltung der technischen Sicherheitsmaßnahmen (z. B. hinsichtlich der Konfiguration) als auch die der organisato­
rischen Regelungen (z. B. Prozesse, Verfahren und Abläufe) kontrolliert werden. Es sollte auch eine Überprüfung erfolgen, ob die notwendigen Ressourcen zur korrekten Umsetzung der Maßnahmen zur Verfügung stehen und alle Personen, denen bestimmte Rollen zur Umsetzung von Sicherheits­maßnahmen zugewiesen wurden, ihren Verpflichtungen nachkommen.
Überprüfung der Eignung und Wirksamkeit von Sicherheitsmaßnahmen [DOK]
Es muss regelmäßig geprüft werden, ob die Sicherheitsmaßnahmen geeignet sind, die gesetzten Sicherheitsziele zu erreichen. Zur Überprüfung auf ihre Eignung können z. B. zurückliegende Si­cherheitsvorfälle ausgewertet, Mitarbeiter befragt oder Penetrationstests durchgeführt werden.
Dazu gehört es auch, relevante Entwicklungen im Umfeld der Geschäftsprozesse oder Fachaufga­ben der Institution zu verfolgen. Beispielsweise könnten sich technische oder regulatorische Rah­menbedingungen geändert haben. Um sich auf dem aktuellen Stand zu halten, sollten die Sicher­heitsverantwortlichen beispielsweise externe Wissensquellen nutzen, Fachkonferenzen besuchen sowie Standards, Fachliteratur und Informationen aus dem Internet auswerten. Wenn intern nicht das erforderliche Wissen oder die Zeit dazu vorhanden ist, sollten externe Experten hinzugezogen werden.
In diesem Zusammenhang erscheint es zudem sinnvoll, kritisch zu hinterfragen, ob die eingesetzten Sicherheitsmaßnahmen effizient sind oder die Sicherheitsziele mit anderen Maßnahmen ressourcen­schonender erreicht werden könnten. Dabei ist auch zu prüfen, ob Prozesse und organisatorische Regelungen praxistauglich und effizient sind. Häufig ergibt sich hieraus die Gelegenheit, notwendige Organisationsverbesserungen und Restrukturierungen vorzunehmen.
8 Sicherheitskonzept8.4 Kontinuierliche Verbesserung des Sicherheitskonzepts
Managementbewertungen [DOK]
Die Leitungsebene muss vom Informationssicherheitsmanagement regelmäßig in angemessener Form Ergebnisse der Überprüfungen erhalten. Dabei sollten Probleme, Erfolge und Verbesserungs­möglichkeiten aufgezeigt werden.
Die Managementberichte müssen alle für die Leitungsebene notwendigen Informationen zur Steue­rung des Sicherheitsprozesses beinhalten. Solche Informationen sind beispielsweise:
• Übersicht über den aktuellen Status im Sicherheitsprozess,
• Begutachtung von Folgemaßnahmen vorangegangener Managementbewertungen,
• Rückmeldungen von Kunden und Mitarbeitern sowie
• Überblick über neu aufgetretene Bedrohungen und Sicherheitslücken.
Die Leitungsebene nimmt die Managementberichte zur Kenntnis und trifft die notwendigen Entschei­dungen, wie beispielsweise zur Verbesserung des Sicherheitsprozesses, zum Ressourcenbedarf sowie zu den Ergebnissen von Sicherheitsanalysen (z. B. Reduzierung oder Akzeptanz von Risiken).
8.4 Kontinuierliche Verbesserung des Sicherheitskonzepts
Die regelmäßige Überprüfung des Sicherheitskonzepts dient dazu, erkannte Fehler und Schwachstel­len abzustellen und die Sicherheitsmaßnahmen in Bezug auf Effizienz zu optimieren.
Ein wichtiger Punkt ist die Verbesserung der Praxistauglichkeit von technischen Maßnahmen und or­ganisatorischen Abläufen, um die Akzeptanz der Sicherheitsmaßnahmen zu erhöhen. Ebenso sollten die Formulierungen geeigneter Sicherheitsmaßnahmen immer wieder auch hinsichtlich ihrer Nach­vollziehbarkeit und Verständlichkeit beurteilt und gegebenenfalls modifiziert werden.