/

Sicheres Wissen über Informationssicherheit

Informationssicherheit steht im Fokus des BSI IT-Grundschutzes. Dieser Begriff wird oft unterschiedlich interpretiert.

Laut Definition hat Informationssicherheit das Ziel, Informationen jeglicher Art und Herkunft zu schützen. Dabei können Informationen auf Papier, in IT-Systemen oder auch in den Köpfen der Benutzer gespeichert sein. IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.

4.2 Kommunikation und Wissen In allen Phasen des Sicherheitsprozesses ist Kommunikation ein wesentlicher Eckpfeiler, um die ge­steckten Sicherheitsziele zu erreichen. Missverständnisse und Wissensmängel sind die häufigsten Ur­sachen für auftretende Sicherheitsprobleme. Vor diesem Hintergrund muss auf allen Ebenen und in allen Bereichen einer Institution für einen reibungslosen Informationsfluss über Sicherheitsvorkomm­nisse und -maßnahmen gesorgt werden. Dazu gehören die folgenden Aspekte: • Berichte an die Leitungsebene Das Management muss sich regelmäßig über Probleme, Ergebnisse von Überprüfungen und Au­dits, aber auch über neue Entwicklungen, geänderte Rahmenbedingungen oder Verbesserungs­möglichkeiten informieren lassen, um seiner Steuerungsfunktion nachkommen zu können. Damit die Leitungsebene die richtigen Entscheidungen bei der Steuerung und Lenkung des Informations­sicherheitsprozesses treffen kann, benötigt sie Eckpunkte über den Stand der Informationssicher­heit. Diese Eckpunkte sollten in Managementberichten aufbereitet und der Leitungsebene vom ISB regelmäßig und in angemessener Form übermittelt werden. Die Leitungsebene nimmt die Mana­gementberichte zur Kenntnis und veranlasst eventuell notwendige Maßnahmen. • Informationsfluss Durch eine mangelhafte Kommunikation und fehlende Informationen kann es zu Sicherheitspro­blemen, aber auch zu Fehlentscheidungen oder überflüssigen Arbeitsschritten kommen. Dies muss durch personelle Maßnahmen und organisatorische Regelungen vermieden werden. Mitarbeiter müssen über den Sinn und Zweck von Sicherheitsmaßnahmen aufgeklärt werden, vor allem, wenn diese zusätzliche Arbeit verursachen oder Komforteinbußen zur Folge haben. Des Weiteren sollten die Mitarbeiter über die mit ihrer Arbeit verbundenen Rechtsfragen zur Informationssicherheit wie auch zum Datenschutz aufgeklärt werden. Mitarbeiter sollten außerdem in die Umsetzungspla­nung von Maßnahmen einbezogen werden, um eigene Ideen einbringen und die Praxistauglichkeit beurteilen zu können. • Klassifikation von Informationen Um Informationen angemessen schützen zu können, muss deren Bedeutung für die Institution klar erkennbar sein. Um sich innerhalb einer Institution, aber auch mit anderen Institutionen einfacher darüber austauschen zu können, welchen Wert bestimmte Arten von Informationen haben, wird ein Klassifikationsschema benötigt, in dem beschrieben ist, welche Abstufungen der Wertigkeit es gibt und wie die verschiedenen Stufen gegeneinander abgegrenzt sind. • Dokumentation Um die Kontinuität und Konsistenz des gesamten Sicherheitsprozesses sicherzustellen, ist es un­abdingbar, diesen zu dokumentieren. Nur so bleiben die verschiedenen Prozessschritte und Ent­scheidungen nachvollziehbar. Zudem stellen aussagekräftige Dokumentationen sicher, dass gleich­artige Arbeiten auf vergleichbare Art und Weise durchgeführt werden, also Prozesse messbar und wiederholbar werden. Zusätzlich helfen Dokumentationen dabei, grundsätzliche Schwächen im Prozess zu erkennen und die Wiederholung von Fehlern zu vermeiden. Die erforderlichen Doku­mentationen erfüllen bei den verschiedenen Sicherheitsaktivitäten unterschiedliche Funktionen und sind an unterschiedliche Zielgruppen gerichtet. Folgende Dokumentationsarten lassen sich unterscheiden: 1. Technische Dokumentation und Dokumentation von Arbeitsabläufen (Zielgruppe: Experten) Es muss bei Störungen oder Sicherheitsvorfällen möglich sein, den gewünschten Soll-Zustand in Geschäftsprozessen sowie innerhalb der zugehörigen IT wiederherstellen zu können. Techni­sche Einzelheiten und Arbeitsabläufe sind daher so zu dokumentieren, dass dies in angemesse­ner Zeit möglich ist. Beispiele hierfür sind Anleitungen zur Installation von IT-Anwendungen, zur Durchführung von Datensicherungen, zum Rückspielen einer Datensicherung, zur Konfiguration der TK-Anlage, zum Wiederanlauf eines Anwendungsservers nach einem Stromausfall, ebenso wie die Doku­mentation von Test- und Freigabeverfahren und Anweisungen für das Verhalten bei Störungen und Sicherheitsvorfällen. Arbeitsabläufe, organisatorische Vorgaben und technische Sicherheitsmaßnahmen müssen so dokumentiert werden, dass Sicherheitsvorfälle durch Unkenntnis oder Fehlhandlungen vermie­den werden. Beispiele hierfür sind Sicherheitsrichtlinien für die Nutzung von E-Mail und Inter­net, Hinweise zur Verhinderung von Virenvorfällen oder zum Erkennen von Social Engineering sowie Verhaltensregeln für Mitarbeiter beim Verdacht eines Sicherheitsvorfalls. 2. Managementberichte (Zielgruppe: Leitungsebene, Sicherheitsmanagement) Alle Informationen, die das Management benötigt, um seinen Lenkungs- und Steuerungsauf­gaben nachkommen zu können, sind im erforderlichen Detaillierungsgrad aufzuzeichnen (zum Beispiel Ergebnisse von Audits, Effektivitätsmessungen, Berichte über Sicherheitsvorfälle). 3. Aufzeichnung von Managemententscheidungen (Zielgruppe: Leitungsebene) Die Leitungsebene muss die gewählte Sicherheitsstrategie aufzeichnen und begründen. Zudem müssen auch auf allen anderen Ebenen Entscheidungen, die sicherheitsrelevante Aspekte be­treffen, ebenso dokumentiert werden, damit diese jederzeit nachvollziehbar und wiederholbar sind. In den nachfolgenden Kapiteln wird daher jede Aktion, die angemessen dokumentiert bzw. aufge­zeichnet werden muss, entsprechend mit „[DOK]“ gekennzeichnet. Formale Anforderungen an Dokumentationen Dokumentationen müssen nicht zwingend in Papierform vorliegen. Das Dokumentationsmedium sollte je nach Bedarf gewählt werden. Beispielsweise kann für das Notfallmanagement der Einsatz eines Softwarewerkzeugs hilfreich sein, mittels dessen vorab alle Notfallmaßnahmen und Ansprech­partner erfasst werden und das im Krisenfall mobil eingesetzt werden kann. Dann muss dieses Tool auch im Notfall mit allen erforderlichen Informationen und den benötigten IT-Systemen verfügbar sein, beispielsweise auf einem Laptop. Je nach Notfall kann es aber gegebenenfalls sinnvoller sein, alle Informationen in einem praktischen Handbuch in Papierform griffbereit zu haben. Es kann gesetzliche oder vertragliche Anforderungen an Dokumentationen geben, die zu beachten sind, z. B. zu Aufbewahrungsfristen und Detaillierungstiefe. Dokumentationen erfüllen nur dann ihren Zweck, wenn sie regelmäßig erstellt und aktuell gehalten werden. Außerdem müssen sie so bezeichnet und abgelegt werden, dass sie im Bedarfsfall nutzbar sind. Es muss klar erkennbar sein, wer wann wel­che Teile der Dokumentation erstellt hat. Dort, wo auf andere Dokumente verwiesen wird, müssen die Quellen explizit beschrieben sein. Weiterführende Dokumente müssen zudem im Bedarfsfall ebenfalls zur Verfügung stehen. Sicherheitsrelevante Dokumentationen können schutzbedürftige Informationen enthalten und müs­sen daher angemessen geschützt werden. Neben dem Schutzbedarf müssen die Aufbewahrungsart und -dauer und Optionen für die Vernichtung von Informationen festgelegt werden. In den Prozess­ beschreibungen muss aufgeführt sein, ob und wie Dokumentationen auszuwerten sind, wer diese in welchen Abständen zu bearbeiten hat und wer darauf zugreifen darf. Nutzung verfügbarer Informationsquellen und Erfahrungen Informationssicherheit ist ein komplexes Thema, sodass die hierfür Verantwortlichen sich sorgfältig einarbeiten müssen. Es gibt viele verfügbare Informationsquellen, die dazu genutzt werden können. Hierzu gehören bestehende Normen und Standards, Internetveröffentlichungen und sonstige Publi­kationen. Außerdem sollte die Kooperation mit Verbänden, Partnern, Gremien, anderen Unterneh­men oder Behörden sowie CERTs (Computer Emergency Response Teams) zum Erfahrungsaustausch über erfolgreiche Sicherheitsaktionen genutzt werden. Da das Thema Informationssicherheit sehr umfangreich ist, scheint es wichtig, die für die jeweilige Institution und die dort zu verortenden Rah­menbedingungen passenden Informationsquellen und Kooperationspartner zu identifizieren und entsprechend zu dokumentieren.