Security-Management nach ITIL, ISO und BSI
Sicherheitsrichtlinien im Vergleich
Heute ist für Unternehmen ein adäquates IT-Sicherheitsniveau nötiger denn je. Geschäfts- und IT-Prozesse sind immer enger verzahnt: Die Qualität der Geschäftsprozesse hängt stark von der Verfügbarkeit der IT-Services ab. Deren Nichtverfügbarkeit birgt deshalb Wettbewerbsnachteile. Vor diesem Hintergrund gibt es bereits seit vielen Jahren Bestrebungen, Verfahren und Maßnahmen im Bereich der IT-Sicherheit zu standardisieren. Ansätze hierzu bieten ITIL, BS 7799 und ISO 17799 sowie das BSI-Grundschutzhandbuch.
Im Bereich der IT-Sicherheit haben sich in den letzten Jahren mehrere Standards etabliert. Alle
verfolgen das Ziel, einen adäquaten IT-Grundschutz zu etablieren. Zu den Regelwerken
beziehungsweise Referenzmodellen zählen das britische Regelwerk ITIL (IT Infrastructure Library),
der British Standard BS 7799, der daraus abgeleitete ISO-Standard ISO/IEC 17799 und das
Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Referenzmodell ITIL
ITIL ist ein auf Best Practices (praxisbewährten Verfahren) beruhendes Referenzmodell für
IT-Serviceprozesse. Das Modell verdankt seine Entstehung dem Bestreben britischer
Regierungsbehörden, ein standardisiertes Verfahren zu entwickeln, um die Qualität, Sicherheit und
Wirtschaftlichkeit von IT-Prozessen nachhaltig zu verbessern. Hierzu entwickelte das OGC (United
Kingdom’s Office of Government Commerce) in Zusammenarbeit mit Unternehmen und Behörden ein
Referenzmodell, das als Rahmen für IT-Prozesse universell anwendbar ist.
Das ITIL-Regelwerk stellt Prozessbibliotheken bereit, die ein praxisorientiertes
Verfahrensmodell für die Etablierung standardisierter Prozesse im IT-Service-Management (ITSM)
liefern. Das Ziel ist es, die IT-Servicequalität in einem kontinuierlichen Prozess zu verbessern
und für Kosteneffizienz zu sorgen. Die Prozessbibliothek gliedert sich in mehrere Bände. Die
wesentlichen Kernprozesse sind in den Bänden "Service-Devilery" und "Service-Support"
veröffentlicht. Dem Thema IT-Sicherheit widmet sich ITIL im Band "Security-Management".
Das Security-Management nach ITIL verfolgt zwei maßgebliche Ziele:
die Erfüllung der Sicherheitsanforderungen aus SLAs (Service-Level-Agreements)
und anderer externer Anforderungen, die in Verträgen, Gesetzen und gegebenenfalls den
Sicherheitsgrundsätzen (Policies) des Unternehmens festgelegt sind,
die Schaffung eines gewissen (nicht näher spezifizierten) Grundschutzes.
Der Ursprung von ITIL liegt, ähnlich wie der von BS 7799, in den 1980er-Jahren. Seitdem hat sich
ITIL als ein weltweiter De-facto-Standard für die Modellierung, Implementierung und das Management
von IT-Serviceprozessen etabliert. Eine Möglichkeit der Zertifizierung eines Unternehmens nach ITIL
besteht zurzeit nicht. Stattdessen können Personen ihren ITIL-Wissenstand zertifizieren lassen.
Hierzu bietet ITIL ein Grundlagenzertifikat, das ITIL Foundation Certificate. Es stellt die
Voraussetzung für das darauf aufbauende und wesentlich umfassendere ITIL Service Manager
Certificate dar.
BS 7799 und ISO 17799
Der British Standard (BS) 7799 enthält wie ITIL Best Practices, die Unternehmen und Behörden bei
der Umsetzung von IT-Sicherheitsmaßnahmen unterstützen. Bereits Ende der 1980er-Jahre stellten
britische Behörden erste grundsätzliche Überlegungen zur Einführung eines Standards im Bereich der
Informationssicherheit an. Dies führte zur Erarbeitung eines "Code of Practice for Information
Security Management" unter der Leitung des Handelsministeriums (Department of Trade and Industry).
Erstmalig als Standard veröffentlicht wurde der erste Teil des BS 7799 im Jahr 1995. BS 7799 setzt
sich aus zwei Teilen zusammen:
BS 7799 Teil 1 (ISO/IEC 17799): Leitfaden zum Management von
Informationssicherheit,
BS 7799 Teil 2: Spezifikation für Managementsysteme für
Informationssicherheit.
Während der Teil 1 des BS 7799 als Leitfaden lediglich Maßnahmenempfehlungen (Controls)
vorsieht, definiert der Teil 2 Methoden und Anforderungen, die an ein
Information-Security-Managementsystem (ISMS) zu stellen sind. Aufgrund des internationalen
Interesses an BS 7799 wurde der Teil 1 im Jahre 2000 in einen ISO-Standard (International
Organisation for Standardization) überführt. Die aktuelle Version ISO/IEC 17799:2000 (IEC:
International Electrotechnical Commission) befindet sich zurzeit in Überarbeitung und wird
voraussichtlich im Sommer dieses Jahres in der Version 17799:2005 öffentlich vorliegen.
Die Hauptziele des ISO/IEC 17799 umfassen:
die Definition praxisorientierter Mindestanforderungen im
IT-Sicherheitsbereich,
die Schaffung einer gemeinsamen Basis für Unternehmen, die eine effektive
Sicherheitsorganisation entwickeln, implementieren und messen wollen,
die Bereitstellung eines Prüfstandards für das IT-Sicherheitsmanagement
innerhalb einer Organisation.
Der ISO/IEC 17799:2000 ist in zehn Themengebiete gruppiert, aus denen sich 127
Maßnahmenempfehlungen ableiten. Diese Controls haben lediglich empfehlenden Charakter, stellen also
keine verbindlichen Vorgaben dar. Eine Zertifizierung ist daher nur im Rahmen von BS 7799-2
möglich.
BSI-Grundschutzhandbuch
Ein drittes Verfahren basiert auf dem IT-Grundschutzhandbuch des BSI. Das BSI aktualisiert
dieses Grundschutzhandbuch halbjährlich auf der Grundlage neuer Erkenntnisse über
Sicherheitsbedrohungen und -techniken. Das Handbuch enthält Standardsicherheitsmaßnahmen,
Umsetzungshinweise und Hilfsmittel für zahlreiche IT-Konfigurationen, die typischerweise im
IT-Einsatz anzutreffen sind. Es zielt darauf ab, zur zügigen Lösung häufiger Sicherheitsprobleme
beizutragen, die Anhebung des Sicherheitsniveaus von IT-Systemen zu unterstützen und die Erstellung
von IT-Sicherheitskonzepten zu vereinfachen. Die im IT-Grundschutzhandbuch zusammengestellten
Standardsicherheitsmaßnahmen orientieren sich dabei an einem mittleren Schutzbedarf, der für die
meisten IT-Systeme angemessen ist.
Ausgangspunkt für die Auswahl der adäquaten Sicherheitsmaßnahmen ist das so genannte
Sicherheitskonzept. Die Erstellung von Sicherheitskonzepten erfolgt anhand eines festgelegten
Prozesses: Zuerst führt ein Unternehmen eine Strukturanalyse durch, um den Ist-Sicherheitszustand
von IT-Systemen und Anwendungen zu erfassen. Dann stellt es den Schutzbedarf (Soll-Zustand) fest.
Der auf diesen Ergebnissen basierende Soll-/Ist-Vergleich deckt Sicherheitsdefizite auf, die zur
Festlegung passender IT-Sicherheitsmaßnahmen führen (Bild 1). Hilfreich ist dabei der Aufbau des
Handbuchs als Baukastensystem, das eine einfache Anwendung der Maßnahmenbündel zulässt.
Die Effektivität dieses Verfahrens beruht im Wesentlichen darauf, dass es das Ziel, einen
angemessenen IT-Grundschutz zu etablieren, ohne aufwändige Risikoanalysen erreicht. Lediglich bei
Systemen, für die das Unternehmen einen vom IT-Grundschutz abweichenden Schutzbedarf identifiziert
hat, sind weitere Analysen notwendig, zum Beispiel im Rahmen von Risiko- und Bedrohungsanalysen.
Das BSI bietet den Unternehmen eine Zertifizierung an: das IT-Grundschutzzertifikat. Zusätzlich
besteht die Möglichkeit einer "Selbsterklärung", die in zwei Stufen vorliegt: die "
IT-Grundschutz-Einstiegsstufe" und die "IT-Grundschutz-Aufbaustufe".
Die Ansätze im Vergleich
Im Vergleich der drei Standards zeigt sich: Alle verfolgen das Ziel, IT-Sicherheit nachhaltig zu
etablieren. Sie unterscheiden sich lediglich hinsichtlich des zugrunde gelegten Ansatzes.
Das IT-Grundschutzhandbuch des BSI bietet eine strukturierte Vorgehensweise für die Erstellung
von Sicherheitskonzepten und die Implementierung eines IT-Sicherheitsmanagements. Es erläutert klar
die erforderlichen Schritte für die Erstellung eines mit dem IT-Grundschutzhandbuch konformen
IT-Sicherheitskonzepts. Gerade diese Prozessstruktur macht die Anwendung des Handbuchs sehr
effektiv. Die Maßnahmenbündel, die sich aus den Prozesschritten ergeben, sind konkret und bieten
zum Teil Parametervorgaben, die sich direkt in den jeweiligen IT-Systemen umsetzen lassen. Das ist
eine ausgewiesene Stärke des BSI-Modells. Der Detaillierungsgrad der Maßnahmenempfehlungen
ermöglicht die schnelle, zielführende Umsetzung eines adäquaten IT-Standardsicherheitsniveaus.
Diese technische Tiefe ist jedoch für die Integration im Bereich der Geschäftsprozesse nicht immer
zweckmäßig, da dort ein höherer Abstraktionsgrad notwendig ist. So beschreibt das BSI-Handbuch zum
Beispiel nicht, wie ein Unternehmen ISMS in seine bestehenden Prozesse einbinden soll.
Das ISO/IEC 17799 hingegen beschreibt aus einer eher informationsbezogen Sichtweise die
Anforderungen an IT-Sicherheitsmaßnahmen. Es arbeitet im Vergleich zum IT-Grundschutzhandbuch auf
einer generischeren Ebene. Die 127 allgemein anerkannten Controls des ISO/IEC 17799 haben jedoch
lediglich Beispielscharakter: Sie dienen der Orientierung und sind nicht bindend. So findet der
Anwender zum Beispiel keine Empfehlungen bezüglich Passwortlänge und anderer Konfigurationsdetails
für IT-Systeme, wie das BSI-Handbuch sie bietet. Dieser Betrachtungsansatz ermöglicht eine
allgemeine Definition von Sicherheitszielen, ohne zu sehr in technische Details gehen zu
müssen.
Während die beiden vorgenannten Standards sich ausschließlich auf die IT-Sicherheit
konzentrieren, entstand ITIL aus einer anderen Motivation heraus. Zwar ist IT-Sicherheit ein
essentieller Bestandteil verschiedenster ITIL-Kernprozesse wie des Continuity-Managements, primär
jedoch ist die Einführung von ITIL durch Business-Ziele motiviert. ITIL zielt vorrangig darauf ab,
die IT-Landschaft den Anforderungen von Anwendern beziehungsweise Kunden anzupassen. In diesen
übergeordneten Prozessansatz fügt sich das Security-Management ein. Die Einführung eines
Security-Managements nach ITIL ist daher auch nur dann sinnvoll, wenn die IT-Organisation bereits
ITIL-konform gestaltet ist oder Planungen dafür bestehen. Nur dann kann es auf vorhandene
ITIL-Prozesse zurückgreifen und diese um Sicherheitsmerkmale und -prozesse erweitern.
Die Einführung des Security-Managements nach ITIL bringt beträchtliche Auswirkungen auf die
IT-Serviceorganisation mit sich: Das Regelwerk erweitert nahezu alle Kernprozesse um wesentliche
sicherheitsrelevante Inhalte, so auch den Service-Desk als Single Point of Contact (SPOC). Dabei
lassen sich vorhandene Prozessstrukturen und Reporting-Tools nutzen. ITIL bietet hier auch die
Möglichkeit der Definition von KPIs (Key Performance Indicators), um die Effizienz mit Kennzahlen
zu messen. So kann zum Beispiel die Anzahl von Sicherheitsvorfällen (Security Incidents) je
Zeiteinheit Aufschluss über die Wirksamkeit der IT-Sicherheitsmaßnahmen geben.
Zudem liegt mit der ITIL-CMDB (Configuration Management Database) eine zentrale
Datenbankstruktur vor. Diese lässt sich sehr gut um die Anforderungen aus den drei Schutzzielen
Verfügbarkeit, Vertraulichkeit und Integrität erweitern. Damit steht ein umfassendes Werkzeug mit
umfassender Schnittstellenbreite zur Verfügung. Zum Thema ISMS verweist ITIL im Band
Security-Management auf BS 7799 als Referenz für IT-Sicherheitsmanagement und gibt im Annex A einen
Vergleich von ITIL mit dem BS 7799.
Bei allen drei Verfahren handelt es sich um international anerkannte IT-Sicherheitsstandards,
wobei ITIL aufgrund seiner Historie eine Sonderrolle einnimmt. Jedes Verfahren setzt individuelle
Schwerpunkte. Ein mögliches Entscheidungskriterium kann die Frage nach einer gewünschten oder
geforderten Zertifizierung darstellen. ITIL bietet hier lediglich die Möglichkeit einer
personengebundenen Zertifizierung. Eine Zertifizierung im Rahmen des BS 7799 ist nur für den Teil 2
(7799-2) durchführbar. Im Gegensatz umfasst das IT-Grundschutz-Zertifikat eine Prüfung des dort
definierten IT-Sicherheitsmanagements wie auch der Umsetzung der IT-Sicherheitsmaßnahmen. In der
Praxis bietet sich häufig die Kombination der Verfahren an, um inhaltliche und methodische
Schwerpunkte bestmöglich zu nutzen.
British Standard Institute: www.bsi-global.com
Bundesamt für Sicherheit in der Informationstechnik (BSI): www.bsi.de
Deutsches IT-Servicemanagement-Forum: www.itsmf.de
ITIL-Seite des OGC: www.ogc.gov.uk/index.asp?id=2261
Lesen Sie mehr zum Thema
