Sicherheitsmanagement nach GSHB und ISO 17799
IT-Sicherheit in Zeiten offener Netze
Die Zukunft gehört einer flexiblen und systemübergreifenden IT-Sicherheitsarchitektur, die Anwender authentisiert, Daten gezielt verschlüsselt und die Urheberschaft und Integrität von Informationen sicherstellt. Das Grundschutzhandbuch (GSHB) des BSI und der Standard ISO/IEC 17799 helfen bei der Implementierung.
Der schnelle und zugleich sichere Informationsaustausch mit Partnerunternehmen und Kunden ist
längst Alltag in modernen Unternehmen geworden. Dabei wird die Informations- und
Kommunikationstechnik zunehmend komplexer. Bei der Entscheidung für den Einsatz neuer Techniken
steht fast immer der Nutzen im Vordergrund: das Erschließen neuer Märkte und Kundengruppen,
schnellere und effizientere Prozessabläufe, weniger Personaleinsatz. Aber wer kümmert sich um die
neuen Risiken, die unweigerlich mit jeder neuen Chance verbunden sind? Heute verwenden wir die
Möglichkeiten der modernen Technik mit Begeisterung: versenden E-Mails, tragen das Firmenwissen
ganzer Jahrzehnte auf einem USB-Stick mit uns herum, fotografieren die neuesten Prototypen mit
unseren Fotohandys und diskutieren die Personalpolitik unseres Unternehmens im Internet. Erlaubt
scheint, was nicht explizit verboten ist!
"Die IT wird’s schon richten – bis heute hat es ja noch immer geklappt!" Viele Unternehmen
arbeiten in der Informationssicherheit noch immer mit Rezepten aus der Frühgeschichte der
Informationstechnik – als die IT noch isoliert in geschützten Rechenzent-ren aufgestellt war und
der Nutzer lediglich über einfachste Ein- und Ausgabegeräte verfügte. Das Ziel muss eine
IT-Sicherheitsorganisation sein, die wirkungsvoll arbeitet, aber zugleich schlank bleibt.
Sicherheitsmanagement nach ISO 17799
Der Standard ISO/IEC 17799 (www.iso.org) beschreibt den Aufbau eines
Sicherheitsmanagementsystems (ISMS, Information Security Management System). Ziel des ISMS ist es,
den Schutzbedarf von IT-Systemen, Anwendungen und Daten systematisch zu erfassen und durch
geeignete Schutzmaßnahmen vor unberechtigten Aktivitäten zu schützen.
Dabei entscheidet das Unternehmen selbst, welche IT-Komponenten in die Betrachtung einbezogen
werden und welches Sicherheitsniveau erzielt werden soll. Das Erreichen des gewünschten
Sicherheitsniveaus wird durch einen Kontrollkreislauf (PDCA, Plan/Do/Check/Act) sichergestellt:
Plan: Zentrale Bestandteile der Planungsphase sind die Bildung von
IT-Verbünden, die Feststellung des Schutzbedarfs sowie die Durchführung einer Risikoanalyse zur
Ermittlung von zusätzlichem Schutzbedarf.
Do: In der Ausführungsphase werden die erforderlichen Schutzmaßnahmen
umgesetzt. Dies umfasst sowohl technische Sicherheitssysteme wie Firewalls und Content Filter als
auch die organisatorische Einbettung in die Aufbau- und Ablauforganisation (Implementation des
Informationssicherheitssystems, ISMS).
Check: Zur Überprüfung der Wirksamkeit des umgesetzten ISMS ist ein geeignetes
Monitoringsystem einzurichten, welches Fehler erkennt und Risikobewertungen aktualisiert.
Act: In der vierten Phase wird das ISMS weiter verfeinert und verbessert.
Zur Implementierung eines Informationssicherheitssystems fordert ISO 17799 den Aufbau einer
angemessenen Sicherheitsorganisation sowie die Erstellung einer Sicherheitsleitlinie (Security
Policy). Wesentlich für die Wirksamkeit des ISMS ist die systematische Analyse von Schutzbedarf,
Bedrohungen und den verbleibenden Restrisiken. Hilfestellung bietet hierzu zum Beispiel der
Standard ISO/TR 13335.
Fazit: ISO 17799 lässt viel Freiraum, bietet jedoch im Gegenzug auch wenig konkrete
Hilfestellung. Die Implementation eines ISMS sollte in den entscheidenden Phasen durch externe
Berater unterstützt werden.
Sicherheitsmanagement nach IT-Grundschutzhandbuch
Das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Imformationstechnik enthält
einen umfangreichen Katalog von technischen und organisatorischen Schutzmaßnahmen. Die Maßnahmen
zum IT-Sicherheitsmanagement sind im Baustein 3.0 enthalten
(www.bsi.de/gshb/deutsch/baust/03000.html).
Die Vorgehensweise des IT-Grundschutzhandbuchs umfasst die Tätigkeiten Strukturanalyse
(Beschreibung von IT-Verbünden), Schutzbedarfsfeststellung, Auswahl der erforderlichen
Schutzmaßnahmen aus dem Maßnahmenkatalog (Modellierung), Basissicherheitscheck, ergänzende
Sicherheitsanalyse und die Realisierung von IT-Sicherheitsmaßnahmen. Diese Tätigkeiten werden im
Rahmen eines Kontrollkreislaufs fortwährend wiederholt, um die Schutzmaßnahmen auf einem aktuellen
Stand zu halten und deren Wirksamkeit regelmäßig zu überprüfen. Bei der Umsetzung ergibt sich so
ein Regelkreis der fortlaufenden Verbesserung.
Der Vorteil der Vorgehensweise nach IT-Grundschutzhandbuch liegt bei der Anwendung auf
IT-Systeme, Anwendungen und Daten mit einem niedrigen bis maximal mittleren Schutzbedarf, für die
der pragmatische Ansatz bestens geeignet ist. Hierbei kann auf die Durchführung einer ergänzenden
Sicherheitsanalyse verzichtet werden.
Gemeinsamkeiten
Beim Aufbau eines IT-Sicherheitsmanagements lohnt es sich, beide Ansätze zu betrachten und auf
die Anforderungen im eigenen Unternehmen zu adaptieren. Dabei bietet sich ISO 17799 an, um den
allgemeinen Rahmen zu beschreiben, während das IT-Grundschutzhandbuch den Weg hin zu einer
Grundsicherung der IT weist. Der IT-Sicherheitsbeauftragte definiert zusammen mit der
Geschäftsleitung die IT-Sicherheitsleitlinie und den IT-Sicherheitsprozess für das Unternehmen. Zu
seinen Aufgaben zählen darüber hinaus das Erstellen und Umsetzen von Richtlinien, etwa einer
Passwortrichtlinie. Durch regelmäßige Audits kontrolliert er die Umsetzung. Dabei kann und soll er
auf die IT-Mitarbeiter zurückgreifen. Die Geschäftsführung muss die personellen und finanziellen
Ressourcen zur Verfügung stellen.
Das GSHB unterstützt den Sicherheitsbeauftragten, indem es Maßnahmen für Bereiche wie
IT-Sicherheitsorganisation, Prozesse, IT-Systeme, IT-Plattformen und Datenbanken anbietet.
ISO 17799 bietet das Rahmenwerk für den systematischen Aufbau eines IT-Sicherheitsmanagements
insbesondere für operative IT-Systeme und Anwendungen.
Bestandteile des IT-Sicherheitsmanagements
Ein schlankes und effektives IT-Sicherheitsmanagement muss als Ziel der Unternehmenspolitik
folgende Elemente enthalten:
IT-Sicherheitsleitlinie: Die Geschäftsführung initiiert den IT-Sicherheitsprozess durch
Herausgabe einer IT-Sicherheitsleitlinie. Diese beschreibt die Bedeutung der IT für das
Unternehmen, legt allgemeine Sicherheitsziele fest und verpflichtet alle Mitarbeiter zur Mitarbeit.
Gleichzeitig wird die Rolle des IT-Sicherheitsbeauftragten beschrieben und dieser beauftragt, das
IT-Sicherheitsmanagement aufzubauen.
IT-Sicherheitsorganisation: Koordiniert durch den IT-Sicherheitsbeauftragten wird die
Verantwortung für die IT-Sicherheit in die bestehende Aufbau- und Ablauforganisation integriert.
Dabei muss der Aufbau einer Schattenorganisation vermieden werden. Das erforderliche Fachwissen
sollte direkt in den Fachabteilungen aufgebaut werden.
IT-Risikoanalyse: Die Abschätzung der wesentlichen Risiken kann durch eine erste Grobanalyse
vorgenommen werden. Danach sind die wichtigsten Schwachstellen im Sicherheitssystem des
Unternehmens bekannt, und Gegenmaßnahmen können definiert und priorisiert umgesetzt werden. Das
resultierende Risikoportfolio unterstützt die Entscheidung bezüglich neuer Sicherheitsmaßnahmen,
hilft aber auch dabei, die Wirksamkeit von Maßnahmen wie Intrusion Detection oder Security Incident
Management während der Konzeptionsphase in ihren Auswirkungen auf die Restrisiken zu
simulieren.
Monitoring und Audits: Das wichtigste Instrument der Überwachung stellen regelmäßige
Sicherheits-Audits dar, deren Ergebnisse gut dokumentiert werden. Ergänzt werden sollten die
Sicherheits-Audits durch eine fortlaufende Systemüberwachung und die Berücksichtigung von
CERT-Berichten der nationalen und internationalen Computer Emergency Readyness/Response Teams. Es
sind Melde- und Eskalationsprozesse zum Incident Response einzurichten.
Fazit: Externe Beratung unterstützt Fehlervermeidung
Eine schlagkräftiges und effizientes IT-Sicherheitsmanagement kostet Zeit und Geld. Umso
wichtiger ist es, Maßnahmen am tatsächlichen Schutzbedarf auszurichten und sich ein genaues Bild
über die verbleibenden Restrisiken zu machen. Dabei helfen (Quasi-) Standards wie das
IT-Grundschutzhandbuch oder ISO/IEC 17799 und ISO/TR 13335. Externe Beratung hilft, Fehler zu
vermeiden und Kosten durch Fehlentscheidungen zu sparen.
Lesen Sie mehr zum Thema
