/

Wer oder was ist Informationssicherheit?

Informationssicherheit steht im Fokus des BSI IT-Grundschutzes. Dieser Begriff wird oft unterschiedlich interpretiert.

Laut Definition hat Informationssicherheit das Ziel, Informationen jeglicher Art und Herkunft zu schützen. Dabei können Informationen auf Papier, in IT-Systemen oder auch in den Köpfen der Benutzer gespeichert sein. IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.

Der Sicherheitsprozess
Die Leitungsebene muss die Sicherheitsziele in Kenntnis aller relevanten Rahmenbedingungen, der Umfeldanalyse und basierend auf den Geschäftszielen des Unternehmens bzw. dem Auftrag der Be­hörde festlegen und die Voraussetzungen für deren Umsetzung schaffen. Mit einer Sicherheitsstrate­gie wird das Vorgehen geplant, um einen kontinuierlichen Sicherheitsprozess zu etablieren. Umge­setzt wird die Strategie mithilfe eines Sicherheitskonzepts und einer Sicherheitsorganisation. Im Fol­genden werden daher für jede Lebenszyklusphase die relevanten Managementtätigkeiten beschrieben. Aufgrund des Umfangs und zur besseren Übersicht werden die Tätigkeiten rund um das Sicherheitskonzept jeweils in einem eigenen Kapitel beschrieben.
7.1 Planung des Sicherheitsprozesses
Ermittlung von Rahmenbedingungen
Die Schaffung von Informationssicherheit ist kein Selbstzweck, sondern Informationssicherheit trägt dazu bei, dass die Ziele einer Institution erreicht und Geschäftsprozesse bzw. Aufgaben zuverlässig ausgeführt werden können. Hierzu ist es erforderlich, dass die Institution alle Rahmenbedingungen identifiziert und analysiert, die Sicherheitsziele festlegt und eine Sicherheitsstrategie ausarbeitet, die grundlegende Aussagen darüber enthält, wie die gesetzten Ziele erreicht werden sollen. Die Identifi­kation der Rahmenbedingungen beinhaltet auch eine Umfeldanalyse, bei der sowohl interne als auch externe Parteien sowie deren Sicherheitsanforderungen, deren Anforderungen an das ISMS und ihre gesetzlichen und regulatorischen Anforderungen berücksichtigt werden.
Die Ermittlung von Rahmenbedingungen ist eine wesentliche Grundlage für die weiteren Betrachtun­gen der Informationssicherheit, da hierdurch identifiziert werden kann, wo wichtige Hintergrundin­formationen fehlen, um die Bedeutung der Informationssicherheit für die Institution korrekt einschät­zen zu können. Zudem wird dadurch eine erste Selbsteinschätzung (Self-Assessment) möglich, da bei der Zusammenstellung der Hintergrundinformationen bereits deutlich wird, worin Konfliktpotenzialliegt und wo möglicherweise noch Handlungsbedarf besteht.
Formulierung von Sicherheitszielen und einer Leitlinie zur Informationssicherheit [DOK]
Zu Beginn eines jeden Sicherheitsprozesses sollten die Informationssicherheitsziele sorgfältig festge­legt werden. Anderenfalls besteht die Gefahr, dass Sicherheitsstrategien und -konzepte erarbeitet werden, die die eigentlichen Anforderungen der Institution verfehlen.
Aus den grundsätzlichen Zielen der Institution und den allgemeinen Rahmenbedingungen sollten daher zunächst allgemeine Sicherheitsziele abgeleitet und strategische Vorgaben gemacht werden, wie diese Sicherheitsziele zur Umsetzung gelangen können. Folgende Themen sollten bei der Entwicklung der Sicherheitsstrategie mindestens berücksichtigt werden:

  • Ziele des Unternehmens bzw. Aufgaben der Behörde,
  • gesetzliche Anforderungen und Vorschriften, wie z. B. zum Datenschutz,
  • Kundenanforderungen und bestehende Verträge,
  • interne Rahmenbedingungen (z. B. organisationsweites Risikomanagement), Umfeldanalyse,
  • (IT-gestützte) Geschäftsprozesse und Fachaufgaben und
  • globale Bedrohungen der Geschäftstätigkeit durch Sicherheitsrisiken (z. B. Imageschäden, Verstö­ße gegen Gesetze und vertragliche Verpflichtungen, Diebstahl von Forschungsergebnissen).

Die Kernaussagen der Sicherheitsstrategie werden in einer Leitlinie zur Informationssicherheit (englisch: „Information Security Policy“ oder „IT Security Policy“) dokumentiert. Die Sicherheitsleitlinie sollte mindestens Aussagen zu den folgenden Themen enthalten:

  • Stellenwert der Informationssicherheit und Bedeutung der wesentlichen Informationen, Ge­schäftsprozesse und der IT für die Aufgabenerfüllung,
  • Bezug der Informationssicherheitsziele zu den Geschäftszielen oder Aufgaben der Institution,
  • Sicherheitsziele und die Kernelemente der Sicherheitsstrategie für die Geschäftsprozesse und die eingesetzte IT,
  • Zusicherung, dass die Sicherheitsleitlinie von der Institutionsleitung durchgesetzt wird, sowie Leit­aussagen zur Erfolgskontrolle und
  • Beschreibung der für die Umsetzung des Informationssicherheitsprozesses etablierten Organisati­onsstruktur.

Zusätzlich können noch folgende Aussagen hinzukommen:
• Zur Motivation können einige, für die Geschäftsprozesse wichtige Gefährdungen diskutiert und die wichtigsten gesetzlichen Regelungen und sonstige wichtige Rahmenbedingungen (wie vertragli­che Vereinbarungen) genannt werden.
• Die wesentlichen Aufgaben und Zuständigkeiten im Sicherheitsprozess sollten aufgezeigt werden (insbesondere für das IS-Management-Team, den ISB, die Mitarbeiter und den IT-Betrieb, ausführ­liche Informationen zu den einzelnen Rollen finden sich in Kapitel 4 Organisation des Sicherheits­prozesses des BSI-Standards 200-2 IT-Grundschutz-Methodik. Außerdem sollten die Organisati­onseinheiten oder Rollen benannt werden, die als Ansprechpartner für Sicherheitsfragen fungie­ren.
• Programme zur Förderung der Informationssicherheit durch Schulungs- und Sensibilisierungsmaß­nahmen können angekündigt werden.
Bestimmung des angemessenen Sicherheitsniveaus der Geschäftsprozesse
Zur besseren Verständlichkeit der Informationssicherheitsziele kann das angestrebte Sicherheitsni­veau für einzelne, besonders hervorgehobene Geschäftsprozesse bzw. Bereiche der Institution in Be­zug auf die Grundwerte der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) darge­stellt werden. Dies ist für die spätere Formulierung der detaillierten Sicherheitskonzeption hilfreich.
Festlegung des Geltungsbereichs [DOK]
Zunächst muss der Geltungsbereich festgelegt werden, für den das ISMS zuständig sein soll. Der Geltungsbereich umfasst häufig die gesamte Institution, kann sich aber z. B. auch auf eine oder meh­rere Fachaufgaben oder Geschäftsprozesse oder eine oder mehrere Organisationseinheiten beziehen.
Hierbei ist es wichtig, dass die betrachteten Fachaufgaben und Geschäftsprozesse im gewählten Gel­tungsbereich vollständig enthalten und inhaltlich abgeschlossen sind, also bei keinem Geschäftspro­zess wesentliche Anteile außerhalb des Geltungsbereiches liegen. Im Rahmen des IT-Grundschutzes
wird für den Geltungsbereich der Begriff „Informationsverbund“ verwendet. Der Informationsver­bund umfasst auch alle infrastrukturellen, organisatorischen, personellen und technischen Kompo­nenten, die der Aufgabenerfüllung in diesem Anwendungsbereich der Informationsverarbeitung die­nen.
Während bei der Basis- und Standard-Absicherung der Geltungsbereich häufig die gesamte Instituti­on umfasst, konzentriert man sich bei der Kern-Absicherung auf einige herausragende, besonders geschäftskritische Assets (sogenannte „Kronjuwelen“).
7.2 Aufbau einer Sicherheitsorganisation [DOK]
Zur Planung und Durchsetzung eines Sicherheitsprozesses gehören die Festlegung von Organisationsstrukturen (z. B. Abteilungen, Gruppen, Kompetenzzentren) und die Definition von Rol­len und Aufgaben. In Bezug auf die Aufbauorganisation des Informationssicherheitsmanagements
bieten sich verschiedene Möglichkeiten an. Dabei richtet sich die personelle Ausgestaltung nach der Größe der jeweiligen Institution, den vorhandenen Ressourcen und dem angestrebten Sicherheitsni­veau. Die Ressourcenplanung für die Unterstützung der Informationssicherheit muss so erfolgen, dass
das beschlossene Sicherheitsniveau auch tatsächlich erreicht werden kann.

Bei der Definition von Rollen im Informationsmanagement sind die nachfolgenden Grundregeln zu beachten:

  1. Die Gesamtverantwortung für die Informationssicherheit verbleibt bei der Leitungsebene.
  2. Es muss mindestens eine Person benannt werden, die den Informationssicherheitsprozess fördert und koordiniert, typischerweise als Informationssicherheitsbeauftragter (ISB).
  3. Jeder Mitarbeiter ist gleichermaßen für seine originäre Aufgabe wie für die Aufrechterhaltung der Informationssicherheit an seinem Arbeitsplatz und in seiner Umgebung verantwortlich.

Um den direkten Zugang zur Institutionsleitung sicherzustellen, sollte die Rolle des ISB als Stabsstelle organisiert sein. Auf Leitungsebene sollte die Aufgabe der Informationssicherheit eindeutig einem verantwortlichen Manager zugeordnet sein, an den der ISB berichtet.
7.3 Umsetzung der Leitlinie zur Informationssicherheit
Um die gesetzten Sicherheitsziele zu erreichen, muss zunächst ein Sicherheitskonzept erstellt werden.
Zur besseren Übersichtlichkeit wird in einem eigenen Kapitel dargestellt, wie ein Sicherheitskonzept geplant, umgesetzt und das Informationssicherheitsniveau aufrechterhalten und verbessert werden kann. Die Ergebnisse der Überprüfung der Sicherheitsmaßnahmen gehen dann in die Erfolgskontrolle des Sicherheitsprozesses ein und werden von der Leitungsebene bewertet.