/

Wer oder was ist Informationssicherheit?

Informationssicherheit steht im Fokus des BSI IT-Grundschutzes. Dieser Begriff wird oft unterschiedlich interpretiert.

Laut Definition hat Informationssicherheit das Ziel, Informationen jeglicher Art und Herkunft zu schützen. Dabei können Informationen auf Papier, in IT-Systemen oder auch in den Köpfen der Benutzer gespeichert sein. IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.

0 Aufrechterhaltung und kontinuierliche Verbesserung der In­ formationssicherheit Um den Informationssicherheitsprozess aufrechtzuerhalten und kontinuierlich verbessern zu können, müssen nicht nur angemessene Sicherheitsmaßnahmen implementiert und Dokumente fortlaufend aktualisiert werden, sondern auch der IS-Prozess selbst muss regelmäßig auf seine Wirksamkeit und Effizienz hin überprüft werden. Dabei sollte regelmäßig eine Erfolgskontrolle und Bewertung des IS-Prozesses durch die Leitungsebene stattfinden (Managementbewertung). Bei Bedarf (z. B. bei der Häufung von Sicherheitsvorfällen oder gravierenden Änderungen der Rahmenbedingungen) muss auch zwischen den Routineterminen getagt werden. Alle Ergebnisse und Beschlüsse müssen nach­ vollziehbar dokumentiert werden. Die Dokumente müssen aussagekräftig und für die jeweilige Ziel­ gruppe verständlich sein, siehe auch Kapitel 5.2 Informationsfluss im Informationssicherheitsprozess. Es ist die Aufgabe des ISB, diese Informationen zu sammeln, zu verarbeiten und entsprechend kurz und übersichtlich für die Leitungsebene aufzubereiten. 10.1 Überprüfung des Informationssicherheitsprozesses auf allen Ebenen Die Überprüfung des Informationssicherheitsprozesses ist unabdingbar, damit einerseits Fehler und Schwachstellen erkannt und abgestellt werden können und andererseits der IS-Prozess in Bezug auf seine Effizienz optimiert werden kann. Ziel dabei ist unter anderem die Verbesserung der Praxistaug­ lichkeit von Strategie, Maßnahmen und organisatorischen Abläufen. Die wesentlichen Aspekte, die dabei betrachtet werden müssen, werden im Folgenden dargestellt. Zur Effizienzprüfung und Verbesserung des Informationssicherheitsprozesses sollten Verfahren und Mechanismen eingerichtet werden, die einerseits die Realisierung der beschlossenen Maßnahmen und andererseits ihre Wirksamkeit und Effizienz überprüfen. Die Informationssicherheitsstrategie sollte daher auch Leitaussagen zur Messung der Zielerreichung machen, dabei sollte mindestens definiert werden: • Welche Ziele in welcher Form und sinnvoller Anzahl überwacht oder gemessen werden (WAS), • Wer für die Überwachung oder Messung der zuvor festgelegten Punkte verantwortlich ist (WER), • Wann und wie häufig die Ergebnisse auszuwerten sind (WANN). Grundsätzlich sollte sich die Überprüfung des Informationssicherheitsprozesses auf eine sinnvolle An­ zahl von Zielen beschränken. Beispiele für Methoden können sein: • Definition, Dokumentation und Auswertung von Kennzahlen (z. B. Aktualität des Virenschutzes und Anzahl detektierter Schadsoftware usw.) • Detektion, Dokumentation und Auswertung von Sicherheitsvorfällen • Durchführung von Übungen und Tests zur Simulation von Sicherheitsvorfällen und Dokumentation der Ergebnisse (z. B. Back-up-Wiederherstellung) • interne und externe Audits, Datenschutzkontrollen • Zertifizierung nach festgelegten Sicherheitskriterien (z. B. ISO 27001 auf Basis von IT-Grundschutz) Die erfolgreiche Umsetzung von Sicherheitsmaßnahmen sollte regelmäßig überprüft werden. Grund­ sätzlich ist dabei wichtig, dass Prüfungen und Audits nicht von denjenigen durchgeführt werden, die die jeweiligen Sicherheitsvorgaben entwickelt haben, und dass die Leitung der Institution über den aus den Audits abgeleiteten Stand der Informationssicherheit informiert wird. 16410 Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit Um Betriebsblindheit zu vermeiden, kann es sinnvoll sein, externe Experten mit der Durchführung solcher Prüfungsaktivitäten zu beauftragen. Da der Aufwand bei Audits von der Komplexität und Größe des Informationsverbunds abhängt, sind die Anforderungen auch für kleine Institutionen sehr gut umzusetzen. Mithilfe von automatisiertem Monitoring und Reporting kann eine kontinuierliche Analyse der Informationssicherheit bei geringer Ressourcenbelastung ermöglicht werden. Mit einer Durchsicht vorhandener Dokumentationen, um die Aktualität zu prüfen, und einem Workshop, bei dem Probleme und Erfahrungen mit dem Sicher­ heitskonzept besprochen werden, kann in kleinen Institutionen bereits ein ausreichender Überblick über den Status der Informationssicherheit gewonnen werden. Kennzahlen werden in der Informationssicherheit eingesetzt, um den IS-Prozess bzw. Teilaspekte da­ von messbar zu machen. Sie dienen dazu, den Prozess zu optimieren und Güte, Effizienz und Effek­ tivität der vorhandenen Sicherheitsmaßnahmen zu überprüfen. Messungen und Kennzahlen dienen häufig der Kommunikation mit dem Management und können dem Informationssicherheitsmanagement wertvolle Argumentationshilfen liefern. Daher ist es wich­ tig, Messwerkzeuge so auszuwählen und durchgeführte Messungen so aufzubereiten, dass sie in das strategische Umfeld der eigenen Institution passen. Kennzahlen zu ermitteln, bedeutet immer auch Aufwand. Dieser sollte in einer vernünftigen Relation zu den erhofften bzw. erzielten Ergebnissen stehen. Kennzahlen haben eine begrenzte Aussagekraft, da damit einzelne, meist wenige Bereiche der Informationssicherheit punktuell beleuchtet werden, nämlich meist diejenigen, in denen sich leicht Messwerte erzielen lassen. Dies betrifft im Allgemeinen die technische Sicherheit, bei der über Sensoren automatisiert Messwerte zurückgemeldet werden können, und andere, leicht quantifizierbare Aussagen, wie z. B. • Anzahl der erkannten Schadsoftware-Muster, • Anzahl der installierten Sicherheitspatches, • Dauer der Systemausfälle, • Anzahl der durchgeführten Sicherheitsschulungen. Kennzahlen lassen sich immer unterschiedlich interpretieren, wichtig ist daher, dass im Vorfeld klar ist, welches Ziel mit Messungen verfolgt wird und wie und mit welchem Aufwand dies erreicht werden soll. Gegen dieses Ziel kann dann gemessen werden. 10.1.2 Bewertung des ISMS mithilfe eines Reifegradmodells Die Wirksamkeit des Managementsystems für Informationssicherheit einer Institution sollte regelmä­ ßig bewertet werden. Dies kann mithilfe eines Reifegradmodells erfolgen. Ein Reifegradmodell er­ möglicht, den Fortschritt des ISMS nachvollziehbar über die Jahre hinweg zu dokumentieren, ohne sich dabei in Einzelmaßnahmen zu verlieren. Es stellt eine weitere potenzielle Kennzahl zur Steuerung der Informationssicherheit in einer Institution dar. Eine beispielhafte Reifegradbewertung eines ISMS kann wie folgt aussehen: 165 10.1.1 Überprüfung anhand von Kennzahlen10.1 Überprüfung des Informationssicherheitsprozesses auf allen Ebenen Reifegrad Erläuterung 0 Es existiert kein ISMS und es ist auch nichts geplant. 1 ISMS ist geplant, aber nicht etabliert. 2 ISMS ist zum Teil etabliert. 3 ISMS ist voll etabliert und dokumentiert. 4 Zusätzlich zum Reifegrad 3 wird das ISMS regelmäßig auf Effektivität überprüft. 5 Zusätzlich zum Reifegrad 4 wird das ISMS regelmäßig verbessert. Die Bewertung des Reifegrads eines ISMS kann sich durchaus mehrdimensional anhand von Themen­ feldern darstellen, beispielsweise angelehnt an das Schichtenmodell des IT-Grundschutzes: • ISMS (Managementsysteme für Informationssicherheit) • ORP (Organisation und Personal) • CON (Konzepte und Vorgehensweisen) • OPS (Betrieb) • DER (Detektion und Reaktion) • INF (Infrastruktur) • NET (Netze und Kommunikation) • SYS (IT-Systeme) • APP (Anwendungen) • IND (Industrielle IT) Informationssicherheit ist eine Querschnittsfunktion, welche mit nahezu allen Bereichen einer Insti­ tution verzahnt ist. Aus diesem Grund ist es notwendig, die Informationssicherheit in bestehende Prozesse einer Institution zu integrieren. Beispiele hierfür sind: • Projektmanagement: Bereits in der Planungsphase eines Projektes muss der Schutzbedarf der zu­ künftig als Ergebnis zu verarbeitenden Informationen bewertet werden; darauf aufbauend sollte zudem die Planung geeigneter Sicherheitsmaßnahmen erfolgen. • Incident-Management: Bei Störungen des IT-Betriebs mit Auswirkungen auf die Informationssi­ cherheit muss das Vorgehen mit dem Sicherheitsmanagement abgestimmt sein. Das Security-Inci­ dent-Management und Störungsmanagement der IT und des Facility-Managements müssen ver­ zahnt sein. Existieren solche Managementprozesse nicht, ist es möglich, ein ISMS aufzubauen und zu betreiben, es wird jedoch nicht effizient funktionieren. Wenn das ISMS nicht mit dem Projektmanagement ver­ zahnt ist, kann der Schutzbedarf neuer oder geänderter Geschäftsprozesse nur durch zyklische Ab­ fragen (jährlich, quartalsweise) ermittelt werden. Dadurch ist es deutlich schwieriger, eine vollständige und aktuelle Schutzbedarfsfeststellung aller Zielobjekte zu erhalten. Wenn kein Störungsmanage­ ment vorhanden ist, werden Sicherheitsvorfälle nicht erkannt bzw. nicht an die korrekte Stelle gemel­ det. Der Reifegrad der Informationssicherheit hängt somit auch vom Reifegrad der anderen Manage­ mentprozesse der Institution ab und ist keine selbstständige Größe. 16610 Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit Der Reifegrad der Informationssicherheit kann von Institution zu Institution sehr unterschiedlich sein. Allein aus der Tatsache, dass ein Sicherheitsmanagement vorhanden ist, kann nicht darauf geschlos­ sen werden, dass die Institution Sicherheitsvorfälle gut bewältigen kann. Durch eine einheitliche und differenzierte Bewertung des Umsetzungsniveaus des ISMS einer Institution können verschiedene wichtige Ziele erreicht werden: • Überprüfung, ob die einzelnen Aspekte des Sicherheitsmanagements vollständig bearbeitet und umgesetzt wurden, • Erkennung von Verbesserungs- und Weiterentwicklungspotenzialen, • Vergleichbarkeit des Umsetzungsniveaus beim Sicherheitsmanagement zwischen verschiedenen Institutionen, Zusätzlich kann die Leitungsebene die Bewertungsergebnisse auch als Kennzahlen nutzen, um das Sicherheitsmanagementsystem zu steuern und weiterzuentwickeln (siehe Kapitel 5.2.1). Wird das Umsetzungsniveau regelmäßig beurteilt, kann die kontinuierliche Weiterentwicklung des Informationssicherheitsmanagements der Institution nachvollziehbar und effizient dokumentiert wer­ den. 10.1.3 Überprüfung der Umsetzung der Sicherheitsmaßnahmen Im Realisierungsplan ist für alle Maßnahmen des Sicherheitskonzepts enthalten, wer diese bis wann umzusetzen hat (Aufgabenliste und zeitliche Planung). Anhand dessen ist eine Auswertung möglich, inwieweit diese Planungen eingehalten wurden. Die Überprüfung des Informationssicherheitsprozes­ ses dient zur Kontrolle der Aktivitäten im Rahmen des Sicherheitskonzepts und zur Identifizierung von Planungsfehlern. Nach der Einführung von neuen Sicherheitsmaßnahmen sollte durch den ISB geprüft werden, ob die notwendige Akzeptanz seitens der Mitarbeiter vorhanden ist. Die Ursachen fehlender Akzeptanz sind herauszuarbeiten und abzustellen. Sicherheitsrevision Die Informationssicherheitsrevision (IS-Revision) ist ein Bestandteil eines jeden erfolgreichen Informa­ tionssicherheitsmanagements. Nur durch die regelmäßige Überprüfung der etablierten Sicherheits­ maßnahmen und des Informationssicherheitsprozesses können Aussagen über deren wirksame Um­ setzung, Aktualität, Vollständigkeit und Angemessenheit und damit über den aktuellen Zustand der Informationssicherheit getroffen werden. Die IS-Revision ist somit ein Werkzeug zum Feststellen, Er­ reichen und Aufrechterhalten eines angemessenen Sicherheitsniveaus in einer Institution. Das BSI hat hierzu mit dem Leitfaden ffr die IS-Revision auf Basis von IT-Grundschutz ein Verfahren entwickelt, um den Status der Informationssicherheit in einer Institution festzustellen und Schwachstellen identifizie­ ren zu können (siehe [BSIR]). Die im IT-Grundschutz Kompendium enthaltenen Sicherheitsanforderungen können auch für die Re­ vision der Informationssicherheit genutzt werden. Hierzu wird die gleiche Vorgehensweise wie beim IT-Grundschutz-Check empfohlen. Hilfreich und arbeitsökonomisch ist es, für jeden Baustein des IT-Grundschutz Kompendiums anhand der Anforderungen eine speziell auf die eigene Institution an­ gepasste Checkliste zu erstellen. Dies erleichtert die Revision und verbessert die Reproduzierbarkeit der Ergebnisse. 167 • Nachweisbarkeit des erreichten Umsetzungsniveaus gegenüber Dritten.10.2 Eignung der Informationssicherheitsstrategie Cyber-Sicherheits-Check Mithilfe eines Cyber-Sicherheits-Checks können Institutionen das aktuelle Niveau der Cybersicherheit in ihrer Institution bestimmen. Der Cyber-Sicherheits-Check richtet sich an Institutionen, die sich bis­ lang weniger intensiv mit dem Thema der Cyber-Sicherheit beschäftigt haben. Zur Durchführung ei­ nes Cyber-Sicherheits-Checks werden explizit keine obligatorischen Voraussetzungen an Dokumen­ tenlage oder Umsetzungsstatus gestellt (siehe [CSC]). Der Cyber-Sicherheits-Check und die zugrunde liegenden Maßnahmenziele für die Beurteilung der Cyber-Sicherheit wurden so konzipiert, dass das Risiko, einem Cyber-Angriff zum Opfer zu fallen, durch regelmäßige Durchführung eines Cyber-Sicherheits-Checks minimiert werden kann. Dabei wur­ de die Vorgehensweise auf Cyber-Sicherheitsbelange ausgerichtet. Das BSI und die ISACA stellen einen praxisnahen Handlungsleitfaden zur Verfügung, der konkrete Vorgaben und Hinweise für die Durchführung eines Cyber-Sicherheits-Checks und die Berichtserstel­ lung enthält. Ein besonders interessanter Mehrwert ist die Zuordnung der zu beurteilenden Maßnah­ menziele zu den bekannten Standards der Informationssicherheit (IT-Grundschutz, ISO 27001, COBIT, PCI DSS). 10.1.4 Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz Eine Zertifizierung ist eine Methode, um die Erreichung der Sicherheitsziele und die Umsetzung der Sicherheitsmaßnahmen durch qualifizierte unabhängige Stellen zu überprüfen. Durch eine Zertifizie­ rung nach ISO 27001 auf Basis von IT-Grundschutz erhält eine Institution nachvollziehbare, wieder­ holbare und vergleichbare Auditergebnisse. 10.2 Eignung der Informationssicherheitsstrategie Um den Informationssicherheitsprozess erfolgreich steuern und lenken zu können, muss die Leitungs­ ebene einen Überblick darüber haben, inwieweit die Sicherheitsziele mithilfe der eingesetzten Sicher­ heitsstrategie tatsächlich erreicht werden konnten. Aktualität von Sicherheitszielen, Rahmenbedingungen und Sicherheitskonzeption Bezüglich einer längeren Perspektive ist es auch notwendig, die gesetzten Sicherheitsziele und Rah­ menbedingungen zu überprüfen. Gerade in schnelllebigen Branchen ist eine entsprechende Anpas­ sung der Sicherheitsleitlinie und der Sicherheitsstrategie von elementarer Bedeutung. Auch betriebliche Änderungen (z. B. Einsatz neuer IT-Systeme, Umzug), organisatorische Änderungen (z. B. Outsourcing) und Änderungen gesetzlicher Anforderungen müssen schon bei ihrer Planungs­ phase mit in die Sicherheitskonzeption einbezogen werden. Die Sicherheitskonzeption und die dazu­ gehörige Dokumentation muss nach jeder relevanten Änderung aktualisiert werden. Dies muss auch im Änderungsprozess der Institution berücksichtigt werden. Dafür muss der Informationssicherheits­ prozess in das Änderungsmanagement der Institution integriert werden. Wirtschaftlichkeitsbetrachtung Die Wirtschaftlichkeit der Sicherheitsstrategie und die spezifischen Sicherheitsmaßnahmen sollten konstant unter Beobachtung stehen. Es ist zu prüfen, ob die tatsächlich angefallenen Kosten den ursprünglich geplanten Kosten entsprechen oder ob alternativ andere, ressourcenschonendere Si­ cherheitsmaßnahmen eingesetzt werden können. Ebenso ist es wichtig, regelmäßig den Nutzen der vorhandenen Sicherheitsmaßnahmen herauszuarbeiten. 16810 Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit Rfckmeldungen von Internen und Externen Es muss daher ein klar definiertes Verfahren und eindeutig festgelegte Kompetenzen für den Umgang mit Beschwerden und für die Rückmeldung von Problemen an die zuständige Instanz geben. So sollte auf Beschwerden schnellstmöglich geantwortet werden, damit die Hinweisgeber sich auch ernst ge­ nommen fühlen. Die gemeldeten Probleme müssen bewertet und der Handlungsbedarf eingeschätzt werden. Die Institution muss daraufhin angemessene Korrekturmaßnahmen zur Beseitigung der Ur­ sachen von Fehlern ergreifen, um deren erneutes Auftreten zu verhindern. Fortentwicklung des ISMS Auch das ISMS muss kontinuierlich weiterentwickelt werden und an neue Erkenntnisse, die sich bei­ spielsweise aus der Überprüfung des Informationssicherheitsprozesses ergeben haben können, ange­ passt werden. Erweiterung der gewählten Vorgehensweise Bei Einstieg in den Sicherheitsprozess hat die Leitung der Institution sich für eine Vorgehensweise entschieden, um auf Basis von IT-Grundschutz oder auch anderen Methoden ein bestimmtes Sicher­ heitsniveau für einen definierten Geltungsbereich zu erreichen. Wenn diese Vorgehensweise umge­ setzt und die Phase der Aufrechterhaltung und kontinuierlichen Verbesserung der Informationssicher­ heit erreicht wurde, muss überlegt werden, ob • die gewählte Vorgehensweise ergänzt werden soll (beispielsweise von Basis- auf Standard-Absi­ cherung) und/oder • der Geltungsbereich erweitert werden soll (beispielsweise von Kern-Absicherung eines einge­ grenzten Bereiches auf einen größeren Informationsverbund). Ziel sollte es sein, langfristig alle Bereiche der Institution auf ein ganzheitliches Sicherheitsniveau zu heben, das mindestens Standard-Absicherung umfasst. 10.3 Übernahme der Ergebnisse in den Informationssicherheitsprozess Die Ergebnisse der Bewertung sind für die Verbesserung des IS-Prozesses notwendig. Es kann sich dabei herausstellen, dass eine Änderung der Sicherheitsziele, der Sicherheitsstrategie oder des Sicher­ heitskonzepts zu erfolgen hat und die Informationssicherheitsorganisation den Erfordernissen ange­ passt werden sollte. Unter Umständen ist es sinnvoll, Geschäftsprozesse, Abläufe oder die IT-Umge­ bung zu verändern, z. B. wenn Sicherheitsziele unter den bisherigen Rahmenbedingungen nicht oder nur umständlich (also mit hohem finanziellen oder personellen Aufwand) erreicht werden konnten. Wenn größere Veränderungen vorgenommen und umfangreiche Verbesserungen umgesetzt wer­ den, schließt sich der Managementkreislauf wieder und es wird erneut mit der Planungsphase begon­ nen. 169 Rückmeldungen über Fehler und Schwachstellen in den Prozessen kommen im Allgemeinen nicht nur von der Informationssicherheitsorganisation oder der Revision, sondern auch von Mitarbeitern, Ge­ schäftspartnern, Kunden oder Partnern. Die Institution muss daher eine wirksame Vorgehensweise festlegen, um mit Beschwerden und anderen Rückmeldungen von Internen und Externen umzuge­ hen. Beschwerden von Kunden oder Mitarbeitern können dabei auch ein Indikator für Unzufrieden­ heit sein. Es sollte möglichst bereits entstehender Unzufriedenheit entgegengewirkt werden, da bei zufriedenen Mitarbeitern die Gefahr von fahrlässigen oder vorsätzlichen Handlungen, die den Betrieb stören könnten, geringer ist.10.3 Übernahme der Ergebnisse in den Informationssicherheitsprozess Die Überprüfungen zu den einzelnen Themen müssen von geeigneten Personen durchgeführt wer­ den, die die notwendige Kompetenz und Unabhängigkeit gewährleisten können. Vollständigkeits­ und Plausibilitätskontrollen sollten nicht durch die Ersteller der Konzepte vollzogen werden. Durch­ geführte Verbesserungen, Korrekturen und Anpassungen sollten dokumentiert werden. Die grundsätzliche Vorgehensweise der Institution zur Überprüfung und Verbesserung des Informa­ tionssicherheitsprozesses sollte in einer entsprechenden Richtlinie dokumentiert und von der Lei­ tungsebene verabschiedet werden. In der Richtlinie zur Überprüfung und Verbesserung des In­ formationssicherheitsprozesses sollte insbesondere geregelt werden, wie interne Audits im Be­ reich der Informationssicherheit durchzuführen sind und wie die Ergebnisse in den Änderungsprozess einfließen. Prüfergebnisse und -berichte sind im Allgemeinen als vertraulich zu betrachten und müs­ sen daher besonders gut geschützt werden. Aktionspunkte zu 10 Aufrechterhaltung und kontinuierliche Verbesserung der Informati­ onssicherheit • Grundsätzliche Vorgehensweise der Institution zur Überprüfung und Verbesserung des Informa­ tionssicherheitsprozesses in einer entsprechenden Richtlinie dokumentieren und der Leitungs­ ebene zur Verabschiedung vorlegen • Messung der Zielerreichung in die Sicherheitsstrat egie integrieren • Einhaltung des Realisierungsplans prüfen • Realisierung der beschlossenen Maßnahmen überprüfen • Wirksamkeit und Effizienz der beschlossenen Maßnahmen überprüfen • Prüfen, ob die Sicherheitsmaßnahmen akzeptiert werden, und gegebenenfalls nachbessern • Rollenkonflikt zwischen Ersteller und Prüfer beachten • Vertraulichkeit der Untersuchungsergebnisse sicherstellen • Eignung und Aktualität von Sicherheitszielen, -strategien und -konzeption prüfen • Angemessenheit der bereitgestellten Ressourcen und die Wirtschaftlichkeit der Sicherheitsstra­ tegie und der -maßnahmen überprüfen • Ergebnisse der Überprüfungen in Form von Verbesserungen in den Informationssicherheitspro­ zess einfließen lassen