/

Wer oder was ist Informationssicherheit?

Informationssicherheit steht im Fokus des BSI IT-Grundschutzes. Dieser Begriff wird oft unterschiedlich interpretiert.

Laut Definition hat Informationssicherheit das Ziel, Informationen jeglicher Art und Herkunft zu schützen. Dabei können Informationen auf Papier, in IT-Systemen oder auch in den Köpfen der Benutzer gespeichert sein. IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.

Dokumentation im Sicherheitsprozess Vor und während des Sicherheitsprozesses wird eine Vielzahl verschiedener Dokumente und Beschrei­ bungen erstellt. Hierbei sollte immer darauf geachtet werden, dass der Aufwand für die Erstellung von Dokumentationen in einem angemessenen Rahmen bleibt. Die Dokumentation des Sicherheitspro­ zesses sollte so aussagekräftig sein, dass auch später noch nachvollziehbar ist, was zu früheren Zeit­ punkten entschieden und umgesetzt wurde. Dieses Kapitel beschreibt idealtypische Anforderungen und Methoden bei der Dokumentation des Si­ cherheitsprozesses. Abhängig von der gewählten IT-Grundschutz-Vorgehensweise und den vorhande­ nen Rahmenbedingungen kann und sollte der Dokumentationsprozess angepasst werden. Insbesonde­ re bei der Basis-Absicherung sollte der Dokumentationsprozess möglichst einfach und zweckmäßig ge­ halten werden. Wenn eine spätere Zertifizierung des ISMS angestrebt ist, müssen einige Dokumente zwingend erstellt werden (siehe Kapitel 11 Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz). Davon abgesehen, sollte der Dokumentationsaufwand möglichst minimiert werden. Wenn es im IT-Grund­ schutz heißt, dass etwas dokumentiert werden muss, ist es hierfür meistens nicht erforderlich, eigen­ ständige Dokumente zu erstellen. Im Allgemeinen reicht es, die notwendigen Informationen an ge­ eigneter Stelle zu notieren, beispielsweise in einem Wiki, in vorhandenen Texten oder Tabellen. 5.1 Klassifikation von Informationen Um Informationen angemessen schützen zu können, muss deren Bedeutung für die Institution klar sein. Um sich innerhalb einer Institution, aber auch mit anderen Institutionen einfacher darüber aus­ tauschen zu können, welchen Wert bestimmte Arten von Informationen haben, wird ein Klassifikati­ onsschema benötigt, in dem beschrieben ist, welche Abstufungen der Wertigkeit es gibt und wie die verschiedenen Stufen gegeneinander abgegrenzt sind. Eine sinnvolle Vorgehensweise ist es daher, ein Klassifikationsschema zu erarbeiten, das es allen Mit­ arbeitern ermöglicht, daraus für jede Art der Information die korrekte Einstufung abzuleiten, ohne dass diese dafür explizit gekennzeichnet werden muss. Das Klassifikationsschema sollte nicht zu kom­ pliziert gewählt sein, sodass es einfach verständlich und leicht anwendbar ist. Es bietet es sich an, von den Grundwerten der Informationssicherheit auszugehen und Informationen in Bezug auf ihre Vertraulichkeit, Integrität und Verfügbarkeit zu klassifizieren. Je nach Institution können hier auch weitere oder andere Parameter verwendet werden, beispielsweise wenn diese in der Institution bereits in anderen Zusammenhängen verwendet wurden. Ein Nachteil davon, das Klas­ sifikationsschema zu erweitern, ist, dass die Klassifizierung komplexer wird. Damit wird es für die Mitarbeiter schwieriger, die Abgrenzung zwischen den einzelnen Stufen nachzuvollziehen und das Schema anzuwenden. Ein weiterer Nachteil ist, dass es somit schwieriger wird, ein gemeinsames Verständnis über die Klassifizierung von Informationen mit anderen Institutionen aufzubauen. Um die Vertraulichkeit zu klassifizieren, wird häufig zwischen offen, intern, vertraulich und streng vertraulich abgestuft. Bei der Verfügbarkeit kann beispielsweise eine Klassifikation über die zu erwar­ tende bzw. die tolerierbare Dauer bis zur Wiederherstellung bei einem Ausfall getroffen werden, etwa eine Stunde, ein Tag, eine Woche, ein Monat. Schwieriger ist es, die Integrität zu klassifizieren, etwa in essenziell, wichtig und normal. Kriterien können hierfür beispielsweise die möglichen Auswirkungen bei Integritätsverlust und deren Schweregrad sein oder der betriebene Aufwand zur Sicherstellung der Integrität. 525 Dokumentation im Sicherheitsprozess In einfachen Fällen, etwa auch im Kontext der Basis-Absicherung, kann anfangs bereits eine zweistu­ fige Klassifizierung ausreichend sein, indem beispielsweise nur zwischen internen („alles im Intranet“) und öffentlichen Informationen unterschieden wird. In diesem Fall empfiehlt es sich, die für die Ver­ öffentlichung vorgesehenen Informationen, aber auch nur diese, als solche zu klassifizieren („offen“). Kennzeichnung: Es ist erstrebenswert, alle Informationen bereits bei ihrer Generierung zu kenn­ zeichnen, um diese konsequent während ihres gesamten Lebenszyklus angemessen schützen zu kön­ nen. Dies ist aber erfahrungsgemäß schwierig. Die Erfahrung hat gezeigt, dass ein Klassifikationssche­ ma einfach aufzubauen ist, aber es sich als schwierig herausstellt, dieses im laufenden Betrieb am Leben zu erhalten, sodass es von allen Mitarbeitern konsequent und einheitlich angewendet wird. Außerdem ist zu berücksichtigen, dass sich die Klassifikation im Lebenszyklus der Informationen än­ dern kann. Ein positiver Nebeneffekt der Klassifizierung von Daten ist, dass dabei auffällt, welche Daten über­ flüssig oder veraltet sind bzw. nicht genutzt werden. Eine konsequente Klassifikation hilft demnach, den Datenmüll zu reduzieren. Um einen funktionierenden Prozess zur Klassifikation von Informationen aufzubauen und zu betrei­ ben, sollten dafür geeignete Rollen eingerichtet und deren Aufgaben festgelegt werden. Die nachfolgende Tabelle zeigt ein umfangreiches Beispiel zu möglichen Rollen, um notwendige Auf­ gaben zu verdeutlichen. Auch hier können in der Praxis geeignete Anpassungen vorgenommen wer­ den. Es sollte immer mindestens die Rolle eines Verantwortlichen für den Klassifikationsprozess geben sowie die Rollen derjenigen, die diesen Prozess einhalten bzw. umsetzen. Rolle deutsche Rollen­ Wer kann die Rolle Aufgaben bezeichnung übernehmen? Data Creator Ersteller jeder Mitarbeiter • erzeugt Daten • Erst-Klassifikation Data Owner Fachverantwortlicher Fachverantwortli­ cher/ Linienvorgesetzer • konkretisiert Regelungen zur Klassifikation in seinem Bereich • klärt Einstufungsfragen mit Er­ stellern • überwacht Klassifikationspro­ zess seitens der Ersteller Data User Benutzer jeder Mitarbeiter • benutzt Daten • beachtet Regeln zur Klassifikati­ on • gibt Feedback zu Einstufungshö­ hen 53 Diese Klassifikation ist eine wesentliche Voraussetzung, um später adäquate Sicherheitsmaßnahmen auszuwählen und anzuwenden.5.2 Informationsfluss im Informationssicherheitsprozess Rolle deutsche Rollen­ Wer kann die Rolle Aufgaben bezeichnung übernehmen? Data Auditor Klassifikationsverant­ Anforderungsmana­ • erstellt institutionsweite Klassifi­ kationsstrategie und -vorgaben wortlicher ger/Compliance Ma­ nager • stellt Hilfsmittel und Erläuterun­ gen zur Verfügung • klärt Einstufungsfragen mit Fachverantwortlichen und Be­ nutzern • überwacht Klassifikationspro­ zess seitens der Fachverantwort­ lichen • stimmt sich ab mit Risikomana­ gement, ISB, Datenschutzbeauf­ tragter Tabelle 1: Aufgaben und Prozesse bei der Klassifizierung von Daten Ein typisches Beispiel für ein Klassifikationsschema ist die im staatlichen Geheimschutz benutzte Ein­ teilung in: • VS – NUR FÜR DEN DIENSTGEBRAUCH • VS – VERTRAULICH • GEHEIM • STRENG GEHEIM Dieses Schema bezieht sich allerdings auf den kleinen Bereich der Verschlusssachen (VS), also der im öffentlichen Interesse geheimhaltungsbedürftigen Informationen oder Gegenstände. Es lässt daher große Lücken bei der Vielzahl an Informationen, die typischerweise in einem Unternehmen oder in einer Behörde anfallen, die aber ebenfalls geschützt werden müssen. In Institutionen, in denen Ver­ schlusssachen nur einen geringen Anteil der verarbeiteten Daten darstellen, ist es daher sinnvoll, für den großen Anteil der geschäftsrelevanten und teilweise geschäftskritischen Informationen ein eige­ nes Klassifikationsschema zu entwickeln. Aktionspunkte zu 5.1 Klassifikation von Informationen • Klassifikationsschema erstellen, das eine korrekte, unkomplizierte und nachvollziehbare Einstu­ fung von Informationen ermöglicht 5.2 Informationsfluss im Informationssicherheitsprozess In den verschiedenen Schritten des Informationssicherheitsprozesses entsteht eine Vielzahl an unter­ schiedlichen Berichten, Konzepten, Richtlinien, Meldungen über sicherheitsrelevante Ereignisse und an weiteren Dokumenten zur Informationssicherheit der Institution. Die Dokumente müssen aussa­ gekräftig und für die jeweilige Zielgruppe verständlich sein. Da nicht alle diese Informationen für die Leitungsebene geeignet sind, ist es eine Aufgabe des ISB, diese Informationen zu sammeln, zu verar­ beiten und entsprechend kurz und übersichtlich aufzubereiten. 545 Dokumentation im Sicherheitsprozess Dieses Kapitel beschreibt umfassend die wesentlichen Aspekte bezüglich einer angemessenen Doku­ mentation sowie eines angemessenen Informationsflusses. Die Berücksichtigung dieser Aspekte un­ terstützt bei der Erstellung einer guten Dokumentation. Sie sind bewährt und empfehlenswert und müssen den Gegebenheiten der Institution angepasst werden. Dies gilt insbesondere im Kontext der Basis-Absicherung. Im Rahmen einer Zertifizierung werden sie verbindlich, ansonsten sind sie als „Best Practices“ zu verstehen. 5.2.1 Berichte an die Leitungsebene • Status und Umsetzungsgrad des Sicherheitskonzepts • Ergebnisse von Audits und Datenschutzkontrollen (siehe auch Datenschutz-Grundverordnung [DSGVO]) • Berichte über Sicherheitsvorfälle • Berichte über bisherige Erfolge und Probleme beim Informationssicherheitsprozess • Berichte über die Reduzierung bestehender Umsetzungsdefizite und der damit verbundenen Risi­ ken (Risikobehandlungsplan, siehe BSI-Standard 200-3) Die Leitungsebene muss vom ISB regelmäßig in angemessener Form über die Ergebnisse der Überprü­ fungen und den Status des Sicherheitsprozesses informiert werden. Dabei sollten Erfolge, Probleme und Verbesserungsmöglichkeiten aufgezeigt werden. Die Leitungsebene nimmt die Managementbe­ richte zur Kenntnis und veranlasst eventuell notwendige Maßnahmen. Ebenso erarbeitet der Sicherheitsbeauftragte das Sicherheitskonzept und sorgt für dessen Umsetzung und regelmäßige Aktualisierung. Die Freigabe des Sicherheitskonzepts erfolgt durch die Leitungsebe­ ne. 5.2.2 Dokumentation im Informationssicherheitsprozess Aus zahlreichen Gründen ist die Dokumentation des IS-Prozesses auf allen Ebenen entscheidend für dessen Erfolg. Nur durch eine ausreichende Dokumentation • werden getroffene Entscheidungen nachvollziehbar, • sind Prozesse wiederholbar und standardisierbar, • können Schwächen und Fehler erkannt und zukünftig vermieden werden. Abhängig vom Gegenstand und vom Verwendungszweck einer Dokumentation können folgende Arten von Dokumentationen unterschieden werden: Dokumente für das Sicherheitsmanagement (Zielgruppe: Sicherheitsmanagement) Im Rahmen der verschiedenen Aktivitäten des Informationssicherheitsmanagements entstehen Kon­ zepte, Richtlinien, Berichte und weitere Dokumente. Nur durch eine ausreichende Dokumentation werden getroffene Entscheidungen nachvollziehbar, Handlungen wiederholbar und Schwächen er­ kannt, sodass diese in Zukunft vermieden werden können. 55 Damit die Unternehmens- bzw. Behördenleitung die richtigen Entscheidungen bei der Steuerung und Lenkung des Informationssicherheitsprozesses treffen kann, benötigt sie Eckdaten zum Stand der Informationssicherheit. Diese Eckpunkte sollten in Managementberichten aufbereitet werden, die unter anderem folgende Punkte abdecken:5.2 Informationsfluss im Informationssicherheitsprozess Die Menge und Ausprägung der Dokumentation hängt von den Notwendigkeiten der jeweiligen In­ stitutionen ab und kann sehr unterschiedlich sein. Beispiele für zu erstellende Dokumente sind: • Sicherheitskonzept mit den Berichten zur Risikoanalyse, • Schulungs- und Sensibilisierungskonzept, • Audit- oder Revisionsberichte. Technische Dokumentation und Dokumentation von Arbeitsabläufen (Zielgruppe: Exper­ ten) Hier wird der aktuelle Stand von Geschäftsprozessen und der damit verbundenen IT-Systeme und Anwendungen beschrieben. Oft ist der Detaillierungsgrad technischer Dokumentationen ein Streit­ thema. Ein pragmatischer Ansatz ist, dass andere Personen mit vergleichbarer Expertise in diesem Bereich die Dokumentation nachvollziehen können müssen und dass der Administrator zwar auf sein Wissen, aber nicht auf sein Gedächtnis angewiesen sein muss, um die Systeme und Anwendungen wiederherzustellen. Bei Sicherheitsübungen und bei der Behandlung von Sicherheitsvorfällen sollte die Qualität der vorhandenen Dokumentationen bewertet und die gewonnenen Erkenntnisse zur Verbesserung genutzt werden. Zu solcher Art von Dokumentationen gehören unter anderem: • Installations- und Konfigurationsanleitungen, • Anleitungen für den Wiederanlauf nach einem Sicherheitsvorfall, • Dokumentation von Test- und Freigabeverfahren, • Anweisungen für das Verhalten bei Störungen und Sicherheitsvorfällen. Anleitungen für Mitarbeiter (Zielgruppe: Mitarbeiter) Das Dokument, das die grundlegenden Aussagen zum Umgang mit Informationssicherheit in der Institution enthält, ist die Leitlinie zur Informationssicherheit. Daneben müssen die umzusetzenden Sicherheitsmaßnahmen für die Mitarbeiter verständlich in Form von Richtlinien dokumentiert werden. Die Mitarbeiter müssen über die Existenz und Bedeutung dieser Richtlinien informiert und entsprechend geschult sein. Diese Gruppe von Dokumentationen umfasst beispielsweise: • Arbeitsabläufe und organisatorische Vorgaben, • Richtlinien zur Nutzung des Internets, • Verhalten bei Sicherheitsvorfällen. Aufzeichnung von Managemententscheidungen (Zielgruppe: Leitungsebene) Grundlegende Entscheidungen zum Informationssicherheitsprozess und zur Sicherheitsstrategie müssen aufgezeichnet werden, damit diese jederzeit nachvollziehbar und wiederholbar sind. Gesetze und Regelungen (Zielgruppe: Leitungsebene) Für die Informationsverarbeitung können eine Vielzahl unterschiedlicher Gesetze, Regelungen und Anweisungen relevant sein. Es sollte dokumentiert werden, welche Gesetze, Regelungen und Anwei­ sungen im vorliegenden Fall besondere Anforderungen an Geschäftsprozesse, den IT-Betrieb oder an die Informationssicherheit stellen und welche konkreten Konsequenzen sich daraus ergeben. 565 Dokumentation im Sicherheitsprozess Referenzdokumente für die Zertifizierung (Zielgruppe: Institutionen mit dem Ziel der Zerti­ fizierung) Strebt eine Institution eine Zertifizierung an, so müssen verschiedene Dokumente für die Auditierung erstellt und aktualisiert werden. Diese Dokumente werden den Auditoren und der Zertifizierungsstelle im BSI überreicht, bewertet und darauf aufbauend die Entscheidung für oder gegen ein Zertifikat getroffen. Die erforderlichen Dokumente für die Zertifizierung werden im Internet in der Liste der Referenzdokumente gepflegt. Dazu gehören beispielsweise Richtlinien zur Risikoanalyse, zur Len­ kung von Dokumenten und Aufzeichnungen, zur Auditierung des Managementsystems für Informa­ tionssicherheit und zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen. Viele der Dokumente zur Informationssicherheit aus dem IT-Bereich können für den Bereich der indu­ striellen Steuerung übernommen werden. Einige der Dokumente aus dem IT-Bereich lassen sich je­ doch nicht ohne Weiteres für den Bereich der industriellen Steuerung übertragen. Hier müssen ent­ sprechend der Anforderungen Dokumente für den ICS-Bereich neu erstellt, modifiziert oder geändert werden. Häufig ist es sinnvoll, für den Bereich der industriellen Steuerung eine abgeleitete Leitlinie für die Informationssicherheit und eigene Richtlinien und Arbeitsanweisungen zu erstellen. Zu beachten ist, dass alle abgeleiteten Dokumente in das ISMS der Institution integriert werden sollten. Es muss sichergestellt werden, dass alle Dokumentationen auf dem aktuellen Stand gehalten werden. Dafür muss die Dokumentation in den Änderungsprozess einbezogen werden. 5.2.3 Anforderungen an die Dokumentation Eine angemessene Dokumentation des Informationssicherheitsprozesses sollte eine Reihe von Anfor­ derungen bezüglich Kennzeichnung, Detailtiefe, Aktualisierungen, Medium, Sicherheit und Daten­ schutz erfüllen. Diese werden nachfolgend detailliert beschrieben. Mindestanforderung an die Kennzeichnung der Dokumente zum Sicherheitsmanagement Die Dokumente, die im Rahmen des Sicherheitsmanagements erstellt, bearbeitet und verwaltet wer­ den, müssen aussagekräftig und für die jeweilige Zielgruppe verständlich sein. Es sollte, soweit sinn­ voll, ein einheitlicher Aufbau der Dokumente genutzt werden. Dies dient dem besseren Verständnis und der einfacheren Handhabung. Die Dokumente müssen so gekennzeichnet sein, dass sie im Be­ darfsfall schnell gefunden und zugeordnet werden können. Daher müssen mindestens folgende An­ gaben vorhanden sein: • Eindeutige Bezeichnung (aussagekräftiger Titel), • Ersteller / Autor / Dokumenteninhaber, • Funktion des Erstellers, • Versionsnummer, • letzte Überarbeitung, nächste geplante Überarbeitung, • freigegeben am / durch, • Klassifizierung (vertrauliche Inhalte müssen klassifiziert, als solche gekennzeichnet und die Doku­ mente sicher verwahrt werden) und • berechtigte Rollen (Verteilerkreis). 57 Dokumentation im ICS-Bereich (Zielgruppe: Anwender)5.2 Informationsfluss im Informationssicherheitsprozess Optional können folgende Informationen mit aufgenommen werden: • Quellenangaben, • Aufbewahrungszeitraum und • eine Änderungsübersicht. Externe Dokumente, die für das Sicherheitsmanagement relevant sind, müssen ebenfalls angemessen gekennzeichnet und verwaltet werden. Detailtiefe Für die Detailtiefe der einzelnen Dokumente gilt das Prinzip „dem Ziel und Zweck angemessen“. Strategiedokumente, wie die Leitlinie, sollten kurz und prägnant, jedoch aussagekräftig gehalten werden. Die bei der Konzeption anfallenden Dokumente sollten detaillierte Informationen enthalten, um die daraus abgeleiteten Entscheidungen nachvollziehen zu können. Alle Entscheidungen sowie die Informationen, auf denen die Entscheidungen basieren, müssen dokumentiert werden. Für Richtlinien und Handlungsanweisungen für Mitarbeiter gilt in besonderem Maße, dass sie klar und verständlich gehalten werden müssen. Oftmals sind für bestimmte Bereiche einfache Checklisten ausreichend. Diese ermöglichen einen schnellen Überblick und helfen dabei, nichts zu vergessen und die Reihenfolge einzelner Schritte einzuhalten. Änderungsmanagement Alle Dokumente zum Sicherheitsmanagement sollen regelmäßig aktualisiert werden. Dafür empfiehlt es sich, ein Änderungsmanagement-Verfahren aufzusetzen, mit dem alle Änderungen erfasst, bewer­ tet, freigegeben und nachvollzogen werden können. Dazu sind für alle Dokumente klare schriftliche Änderungsmanagement-Anweisungen vorzugeben. Das Verfahren sollte des Weiteren festlegen, wie Anwender Änderungsvorschläge einbringen können und wie diese dann beurteilt und gegebenen­ falls berücksichtigt werden. Das Änderungsmanagement des Sicherheitsmanagements ist in das über­ greifende Änderungsmanagement der Institution zu integrieren. Für die Aktualisierung der einzelnen Dokumente sollten Intervalle vorgegeben werden. Für den über­ wiegenden Teil der Dokumente hat sich eine jährliche Überprüfung bewährt. Die Mechanismen, die das Änderungsmanagement anstoßen, sind in die entsprechenden Prozesse (z. B. Personalverwaltung, Hausverwaltung, Inventarisierung) zu integrieren. Der Sicherheitsbeauf­ tragte ist steuernd tätig. Die Verantwortung für die Aktualisierungen und Durchführung der Ände­ rungsanforderungen für ein einzelnes Dokument trägt der jeweilige Dokumenteneigentümer. Dokumentationsmedium Dokumente zum Sicherheitsmanagement müssen nicht immer in Papierform vorliegen. Zur Doku­ mentation können auch lokale oder internetbasierte Software Tools genutzt werden. Diese speichern alle nötigen Informationen und sind von verschiedenen Standorten aus sowie kollaborativ nutzbar. Das Dokumentationsmedium sollte je nach Bedarf, Phase (Planung, Umsetzung oder Prüfung) oder Teilaufgabe gewählt werden. Auch die Zielpersonen der Dokumente und deren Vertrautheit mit den unterschiedlichen Medien sollte in die Überlegung eingeschlossen werden. Während die einen die Arbeit mit Papier bevorzugen, ist für die anderen das einfache Suchen oder Filtern in elektronischen Dokumenten unverzichtbar. 585 Dokumentation im Sicherheitsprozess Sicherheit und Datenschutz Die jeweils berechtigten Empfänger sollten in den Dokumenten genannt werden. Der Zugriff auf die Dokumente ist auf die Personen zu beschränken, die die enthaltenen Informationen für ihre Tätigkeit benötigen („Need-to-know-Prinzip“). Eine sinnvolle Modularisierung der Dokumente ist daher emp­ fehlenswert. Diese ermöglicht eine auf die Empfänger ausgerichtete Verteilung der Informationen. Es sollte in der Institution einen Überblick über die Anzahl der klassifizierten Dokumente, deren Art (z. B. Papier oder DVD) und deren Verteilung geben, wie auch über deren korrekte und vollständige Aktua­ lisierung und Vernichtung bzw. Rücknahme. 5.2.4 Informationsfluss und Meldewege Über die verschiedenen Aktivitäten im Rahmen des Sicherheitsmanagements müssen alle Betroffenen zeitnah informiert werden. Allerdings ist es auch nicht sinnvoll, Detailinformationen über den Sicher­ heitsprozess beliebig zu streuen. Daher muss geklärt sein, welche Personen mit welchen internen und externen Stellen wann über welche Details des Sicherheitsprozesses kommunizieren. Zudem muss festgelegt werden, welche Kommunikationskanäle für die jeweiligen Ansprechpartner genutzt und wie diese geschützt werden. Für die Aufrechterhaltung des Informationssicherheitsprozesses ist die zeitnahe Aktualisierung der Meldewege und der Festlegungen für den Informationsfluss von elementarer Bedeutung. Darüber hinaus bieten die Ergebnisse aus durchgeführten Übungen, Tests und Audits auch eine nützliche Grundlage für die Verbesserung des Informationsflusses. Grundsätzliche Festlegungen zum Informationsfluss und zu den Meldewegen in Bezug auf den Infor­ mationssicherheitsprozess sollten in einer entsprechenden Richtlinie dokumentiert und von der Lei­ tungsebene verabschiedet werden. In der Richtlinie zum Informationsfluss und zu den Meldewegen sollten insbesondere die für den Informationssicherheitsprozess kritischen Informationsflüsse geregelt werden. Dabei ist zwischen Hol- und Bringschuld zu unterscheiden. Nutzung von Synergieeffekten für den Informationsfluss Viele Institutionen haben bereits Prozesse für die Bereitstellung von Dienstleistungen oder den IT-Be­ trieb definiert. Häufig gelingt es, Synergieeffekte zu nutzen und Aspekte der Informationssicherheit in bereits bestehende Prozesse einzugliedern. Beispielsweise könnten Meldewege für IT-Sicherheitsvor­ fälle in den IT-Betrieb integriert werden oder die Kapazitätsplanung um Aspekte der Notfallvorsorge erweitert werden. Viele Informationen, die aus Sicherheitsgründen erhoben werden, können auch zu anderen Zwecken genutzt werden. Ebenso haben Sicherheitsmaßnahmen auch andere positive Nebeneffekte, beson­ ders die Optimierung von Prozessen zahlt sich aus. Beispielsweise sind die Bestimmung von Informa­ tionseigentümern oder die Einstufung von Informationen nach einheitlichen Bewertungskriterien für viele Bereiche einer Institution relevant. Ein Überblick über die Abhängigkeit der Geschäftsprozesse von IT- bzw. ICS-Systemen und Anwendungen ist ebenfalls nicht nur für das Sicherheitsmanagement 59 Da die Dokumente zum Sicherheitsmanagement sowohl sensitive Daten über die Institution als auch personenbezogene Daten beinhalten, muss die Informationssicherheit und der Datenschutz gewähr­ leistet werden. Neben der Verfügbarkeit sind auch die Integrität und insbesondere die Vertraulichkeit der Dokumente zu garantieren. Die verschiedenen Dokumente des Sicherheitsmanagements sollten in Bezug auf ihre Vertraulichkeit eingestuft, entsprechend gekennzeichnet und durch geeignete Maß­ nahmen geschützt werden.5.2 Informationsfluss im Informationssicherheitsprozess sinnvoll. Zum Beispiel kann dadurch häufig auch eine exakte Zuordnung von IT-Kosten, die oftmals als Gemeinkosten umgelegt werden, auf einzelne Geschäftsprozesse oder Produkte erfolgen. Aktionspunkte zu 5.2 Informationsfluss im Informationssicherheitsprozess • Grundsätzliche Festlegungen zum Informationsfluss und zu den Meldewegen in Bezug auf den Informationssicherheitsprozess in einer entsprechenden Richtlinie dokumentieren und der Lei­ tungsebene zur Verabschiedung vorlegen • Leitungsebene über die Ergebnisse von Überprüfungen und den Status des Informationssicher­ heitsprozesses informieren • Gegebenenfalls Entscheidungen über erforderliche Korrekturmaßnahmen einholen • Alle Teilaspekte des gesamten Informationssicherheitsprozesses nachvollziehbar dokumentieren und die Dokumentation auf dem aktuellen Stand halten • Bei Bedarf die Qualität der Dokumentation bewerten und gegebenenfalls nachbessern oder ak­ tualisieren • Meldewege, die den Informationssicherheitsprozess betreffen, auf dem aktuellen Stand halten • Synergien zwischen dem Informationssicherheitsprozess und anderen Managementprozessen ausfindig machen