ISO 27001 und Grundschutz als Synergiepaket
ISO 27001 und Grundschutz als Synergiepaket Durch die Umstrukturierung des Grundschutzes hat das BSI seine Prüfkriterien mit den Grundsätzen der internationalen Sicherheitsnorm ISO 27001 vereinbar gemacht, ohne die Vorteile des Grundschutzes preiszugeben.
Mitte der neunziger Jahre zeigte es sich, dass die herkömmlichen Vorgehensweisen zur Festlegung und Realisierung von IT-Sicherheit gravierende Schwächen hatten. Die verfügbaren Risiko- und Maßnahmenkataloge waren relativ unspezifisch, deckten die zunehmende Komplexität der realen IT-Systeme immer weniger ab und erzeugten gleichzeitig einen wachsenden Aufwand bei der Erstellung von IT-Sicherheitskonzepten, ohne dass diese Konzepte wirklichen Nutzen brachten. Aus diesem Grund wurden neue Wege gesucht, das Thema IT-Sicherheit zu strukturieren. In Großbritannien wurde mit BS 7799 ein Standard entwickelt, der in knapper Form die Anforderungen an das Management der IT-Sicherheit beschrieb und dabei die wesentlichen technischen, personellen und organisatorischen Aspekte behandelte. In einem zweiten Teil dieses Standards wurde ein Prüfverfahren festgelegt, mit dem sich die in einer Institution vorhandene Sicherheit feststellen und dokumentieren ließ. Während das britische Verfahren theoretisch-analytisch orientiert war, verfolgte zu diesem Zeitpunkt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der Entwicklung des IT-Grundschutzes [1, 2] einen anderen, nämlich fallorientierten, Ansatz. Aus der Praxis wurden die wesentlichen Gefährdungen und Schutzmaßnahmen zusammengetragen, die die IT-Sicherheit weit verbreiteter Typen von Netzen beschrieben, und diese wurden um allgemeine, überall zu beachtende Aspekte ergänzt. Damit ließ sich mit akzeptablem Aufwand ein Sicherheitsniveau erreichen, das für mittlere Anforderungen ausreichte, ohne jedoch spezielle Situationen oder hohen Schutzbedarf abzudecken. Während jeder dieser Ansätze auf seinem Gebiet einen deutlichen Fortschritt darstellte, war es damit doch nicht möglich, komplexe reale IT-Strukturen in ihrer Gesamtheit sowohl auf der technischen als auch auf der organisatorischen Ebene vollständig abzudecken. Eine Kombination der Verfahren war ebenfalls nicht möglich, da die verfolgten Ansätze zu unterschiedlich waren.
Konvergierende Weiterentwicklung Ende der neunziger Jahre gelang den Briten ein ziemlicher Coup: Über den sogenannten Fast Track, also ohne weitere inhaltliche Prüfung und Abstimmung, brachten sie den ersten Teil ihres Standards in das Normungsverfahren der ISO ein, sodass dieser Standard dann als internationale Norm ISO 17799 verfügbar wurde. Dies führte dazu, dass vor allem international aufgestellte Unternehmen, insbesondere in Japan, ihre IT-Sicherheit nach dem britischen Verfahren überprüfen ließen. Dabei wurde allerdings in der Regel übersehen, dass der zweite Teil des Standards BS 7799 kein Teil der ISO-Norm wurde, sodass darauf basierende Zertifizierungen eben keine ISO-Zertifikate, sondern lediglich britische Zertifikate waren. Parallel dazu entwickelte das BSI den Grundschutz weiter, indem weitere Themenfelder wie Rechenzentren, Datenbanken und komplexe Netzstrukturen aufgenommen wurden. Gleichzeitig wurden zusätzliche Maßnahmen hinzugefügt, die über den mittleren Schutzbedarf hinausgingen, sodass jetzt auch anspruchsvollere IT-Strukturen mit dem Grundschutz behandelt werden konnten. Allerdings blieb die für den Hochsicherheitsschutz wichtige spezifische Risikoanalyse immer noch ausgeklammert, und auch das Thema des Sicherheitsmanagements war noch nicht in befriedigender Weise in das Gesamtkonzept eingebettet. Um die IT-Sicherheit extern dokumentierbar zu machen, führte auch das BSI ein Zertifizierungsverfahren ein, bei dem man über zwei Vorstufen zu einem Zertifikat gelangen konnte. [3] Zwar ließen sich eine Reihe von Unternehmen nach diesem Verfahren zertifizieren, doch blieb das Interesse daran vergleichsweise gering, weil das Grundschutz-Zertifikat als deutscher Sonderweg gesehen wurde, der international keine Bedeutung erlangen würde. Die Möglichkeit, auch den Grundschutz zu einer ISO-Norm aufzuwerten, wurde vom BSI abgelehnt, weil dadurch ein wesentlicher Vorteil, nämlich die Möglichkeit der permanenten und zeitnahen Aktualisierung, verloren gehen würde.
Zusammenführung in der Norm ISO 27001 Die Lösung dieses Problems wurde in einer grundlegenden Umstrukturierung des Grundschutzes im Jahr 2005 gefunden. Es wurde eine strikte Trennung zwischen dem Verfahren des Grundschutzes, das langfristig stabil und unverändert bleibt, und den maßnahmenspezifischen Details, die häufig anzupassen sind, vorgenommen. Das Verfahren wurde in drei BSI-Standards festgelegt, und die umfangreichen Gefährdungs- und Maßnahmenbeschreibungen wurden in den Grundschutz-Katalogen zusammengefasst, die jährlich aktualisiert werden. Dabei wurde das Verfahren weitgehend an die Entwicklungen bei der ISO angepasst, wo inzwischen der Standard ISO 17799 aktualisiert wurde und aus dem britischen Zertifizierungsverfahren eine neue Norm ISO 27001 [4] zur Strukturierung und Überprüfung des IT-Sicherheitsmanagements entwickelt wurde. Ein gewisses Problem ergibt sich dabei daraus, dass die Norm ihre Forderungen nur auf einer sehr hohen logischen Ebene stellt, sodass einem Prüfer ziemlich viele Freiheitsgrade bleiben, wie er in einer konkreten Situation vorzugehen und zu bewerten hat. Damit birgt die Zertifizierung nach ISO 27001 eine gewisse Gefahr, dass Zertifikate höchst unterschiedlicher Qualität ausgestellt werden. Hier wirkt sich nun die Zusammenführung des Grundschutzes mit der Norm ISO 27001 höchst vorteilhaft aus. Dieser stellt nach seiner Umstrukturierung eine in vollem Umfang kompatible nationale Ausprägung der Norm dar, die vor allem die zu geringe Detailliertheit der internationalen Norm ausgleicht. Während der BSI-Standard 100-1 die allgemeine Struktur des IT-Sicherheitsmanagements kompatibel zur Norm festlegt, beschreibt der Standard 100-2 das konkrete Vorgehen zur Umsetzung des Grundschutzes und der Anwendung der Grundschutz-Kataloge. Eine Überprüfung der IT-Sicherheit nach dem jetzigen Grundschutzverfahren führt zu einem Zertifikat gemäß der Norm ISO 27001, das damit internationale Anerkennung genießt. Diese Überprüfung ist wesentlich stärker reglementiert als dies für eine Überprüfung rein nach ISO 27001 ohne Abstützung auf den Grundschutz der Fall ist. Mit dem Grundschutz steht nicht nur die wohl umfangreichste und konkreteste Liste zu erwartender IT-Risiken zur Verfügung, sondern es werden auch konkrete Handlungsvorschläge gemacht, wie jedem dieser Risiken zu begegnen ist. Um die Anforderungen der Norm ISO 27001 abzudecken, wurde der Grundschutz durch ein Verfahren zur Risikoanalyse ergänzt, das die Mängel der klassischen Risikoanalyse weitgehend vermeidet. Dieses Verfahren wurde vom BSI als Standard 100-3 [5] veröffentlicht, und es erlaubt seit Anfang 2006, den Grundschutz so anzuwenden, dass damit auch Nicht-Standard-Umgebungen und Bereiche erhöhter Sicherheitsanforderungen adäquat zu behandeln sind.
Risikoanalyse ohne numerische Bewertung Durch Abstützung auf standardisierte Situationen und Verwendung pauschalierter Eintrittswahrscheinlichkeiten vermeidet man die methodischen Mängel des klassischen Ansatzes der Risikoanalyse, wo alle Risiken nummerisch bewerten werden sollen, was in der IT aber nur selten möglich ist. Das im Standard 100-3 angewendete Verfahren ist im Wesentlichen das der Wirkungsnetzanalyse, bei der festgestellt wird, welche Gefährdungen durch die umgesetzten Maßnahmen abgedeckt werden und umgekehrt, welche Maßnahmen erforderlich sind, um die identifizierten Gefährdungen abzudecken. Ergänzt man nun die im Grundschutz definierten Gefährdungen um spezifische Risiken einer speziellen Einsatzumgebung und ordnet man diesen Risiken geeignete Gefährdungen zu, so lässt sich die Entscheidung, welche Risiken tragbar sind und welche nicht, ohne die nummerische Bewertung der klassischen Risikoanalyse treffen. Man kommt hier relativ schnell zu aussagekräftigen und realistischen Ergebnissen, doch erschweren Umfang und Komplexität der zu beachtenden Zuordnungstabellen zwischen Gefährdungen und Maßnahmen die Durchführung dieser Analyse. Neben einer manuellen Bearbeitung unter Verwendung herkömmlicher Tabellenkalkulationsprogramme kann man hier vor allem datenbankgestützte Werkzeuge einsetzen, von denen inzwischen ein erstes (SAVe® [6]) die Risikoanalyse nach dem BSI-Standard 100-3 sowie die Abbildung der Grundschutz-maßnahmen auf die Anforderungen der Norm ISO 27001 unterstützt und auch die Abdeckung der Anforderungen dieser Norm grafisch veranschaulicht.
Dr. Gerhard Weck ist Leiter IT Security Consulting bei Infodas in Köln und Sprecher der speziellen Interessensgruppe (SIG) Security der HP User Society Decus.
