Webkurs IT-Grundschutz IT-Grundschutz im Selbststudium. Ausgabe Juni 2006 Druckversion zum Webkurs

Transkript

1 IT-Grundschutz im Selbststudium Ausgabe Juni 2006 Druckversion zum Webkurs

2 Der IT-Grundschutz bietet eine bewährte Methode für die Planung und Überprüfung von IT- Sicherheit. Als Einstieg bietet das BSI den Webkurs IT-Grundschutz an. Ein etwa vierstündiges Selbststudium ermöglicht Ihnen, eigene IT-Sicherheitskonzepte gemäß IT-Grundschutz anzufertigen. Dieses Dokument enthält eine Druckversion zum Webkurs. Grundlage: IT-Grundschutz-Kataloge vom Dezember Der Webkurs IT-Grundschutz wurde im Auftrag des BSI vom Fraunhofer-Institut für Sichere Informationstechnologie SIT, Bereich Sichere Prozesse und Infrastrukturen SPI, Sankt Augustin erstellt. Internet: Bundesamt für Sicherheit in der Informationstechnik Referat 114 Postfach Bonn Telefon: Internet: Bundesamt für Sicherheit in der Informationstechnik 2006

3 Inhaltsverzeichnis Kapitel 1: Warum IT-Grundschutz? Überblick Warum IT-Sicherheit? Gefahrenpotenziale Erkennen von Sicherheitslücken Übungsfragen Sicherheitslücken Lösungen Überprüfte Passwörter, Regelungen, Infrastruktur? Übungsfragen Sicherheitsangebote Hilfen aus dem IT-Grundschutz Einstieg: Auf dem Weg zum IT-Grundschutz Inhalt der BSI-Standards Inhalt der IT-Grundschutz-Kataloge Aufbau des Kurses...15 Kapitel 2: IT-Sicherheitsmanagement Überblick IT-Sicherheitsstrategie Managementmängel und Maßnahmen Rollen und Zuständigkeiten IT-Sicherheitsbeauftragte IT-Sicherheitsmanagement-Team Beispiel: IT-Sicherheitsorganisation im Unternehmen IT-Sicherheitsleitlinie Vorgehen Aussagen in einer IT-Sicherheitsleitlinie IT-Sicherheitskonzept Vorgehen Fragen zum IT-Sicherheitskonzept Umsetzung des Sicherheitskonzepts Test zum IT-Sicherheitsmanagement Fragen Lösungen Kapitel 3: IT-Strukturanalyse Überblick Seite 1

4 3.2 Erhebung des Netzplans Ausgangsplan Beispiel für einen Netzplan Bereinigung des Netzplans Bereinigtes Beispiel Erhebung der IT-Systeme Erhebung der IT-Anwendungen Vorgehen Erhebung der IT-Anwendungen Beispiel Test zur IT-Strukturanalyse Fragen Lösungen Kapitel 4: Schutzbedarfsfeststellung Überblick Schutzbedarfskategorien Definition Abgrenzung der Schutzbedarfskategorien Schutzbedarf und Schutzziele Schutzbedarfsfeststellung für die IT-Anwendungen Schutzbedarfsfeststellung für die IT-Systeme Schutzbedarfsfeststellung für die Kommunikationsverbindungen Kritische Verbindungen Beispiel für kritische Verbindungen Schutzbedarfsfeststellung für die Räume Abstimmung mit der Geschäftsleitung Test zur Schutzbedarfsfeststellung Fragen Lösungen Kapitel 5: Modellierung nach IT-Grundschutz Überblick Bausteine Schichtenmodell Vorgehen bei der Modellierung Schichten 1 und Seite 2

5 5.4.2 Vorgehen bei der Modellierung Schichten 3 bis Prüfung auf Vollständigkeit Test zur Modellierung Fragen Lösungen Kapitel 6: Basis-Sicherheitscheck Überblick Hinweise zu den Maßnahmen Zertifikatsrelevanz der Maßnahmen Bestandteile einer Maßnahme Konkrete und generische Maßnahmen Maßnahmen für Planungsphasen Zusammenfassung der Hinweise zu den Maßnahmen Vorgehen beim Basis-Sicherheitscheck Empfehlungen Dokumentation Beispiel Test zum Basis-Sicherheitscheck Fragen Lösungen zu den Fragen zum Basis-Sicherheitscheck Kapitel 7: Risikoanalyse Überblick Ergänzende Sicherheitsanalyse Risikoanalyse traditionelles Vorgehen und Ansatz des BSI Erstellung der Gefährdungsübersicht Ermittlung zusätzlicher Gefährdungen Bewertung der Gefährdungen Behandlung der Risiken Risikostrategien Alternativen Dokumentation der gewählten Risikostrategie Abschließende Arbeiten Test zur ergänzenden Risikoanalyse Fragen Lösungen Seite 3

6 Kapitel 8: Realisierungsplanung Überblick Schritte 1 und Schritte 3 bis Schritt 6: Schulung und Sensibilisierung Beispiel für einen Realisierungsplan Aufrechterhaltung der IT-Sicherheit Test zur Realisierungsplanung Fragen Lösungen Kapitel 9: Zertifizierung des II-Sicherheitsmanagements Warum Zertifizierung? Zertifizierungsprozess Zusammenfassung Seite 4

7 Kapitel 1: Warum IT-Grundschutz? 1.1 Überblick Wüssten Sie gern, ob die in Ihrer Institution angewandten Maßnahmen zur Sicherheit der Informationstechnik noch ausreichen? Haben Sie in Ihrem Zuständigkeitsbereich wirklich alle Vorkehrungen getroffen, damit keine schweren Schadensfälle passieren können und auf Sicherheitsvorfälle richtig reagiert werden kann? Benötigen Sie Hilfe für die Erstellung eines IT-Sicherheitskonzepts? Hätten Sie gern eine systematische Unterstützung für eine Überprüfung vorhandener oder geplanter Sicherheitsmaßnahmen? Suchen Sie für bestimmte IT-Systeme aufeinander abgestimmte personelle, organisatorische, infrastrukturelle und technische Sicherheitsmaßnahmen? Wenn Sie sicher sein wollen, dass Sie nichts übersehen haben und dass die in Ihrer Organisation umgesetzten Sicherheitsmaßnahmen zusammenpassen, dann sollten Sie sich mit dem IT- Grundschutz beschäftigen. Hier empfehlen erfahrene Sicherheitsexperten eine Vorgehensweise für die Erstellung oder Überprüfung eines Sicherheitskonzepts, die für kleine und große Unternehmen sowie Behörden gleichermaßen geeignet ist. Dieser Kurs hilft Ihnen dabei, diese Vorgehensweise zu verstehen und anzuwenden. Noch eine Anmerkungen vorweg: Im Bild sehen Sie einen Mann und eine Frau beim Zusammenbau eines IT-Sicherheitskonzepts: eine Geschäftsführerin und einen IT-Sicherheitsbeauftragten. Das Bild soll auch verdeutlichen, dass sich dieser Kurs in gleicher Weise an Männer wie Frauen richtet. Die ausschließliche Verwendung der maskulinen Form an vielen Stellen des Kurses erfolgte nur wegen der besseren Lesbarkeit des Textes. Seite 5

8 Zu den verwendeten Piktogrammen In diesem Dokument werden die folgenden Piktogramme zur Hervorhebung bestimmter Textpassagen verwendet: Besonders wichtige Textteile, z. B. Merksätze und Empfehlungen, sind durch dieses Zeichen hervorgehoben. Dieses Symbol kennzeichnet Abschnitte, in denen auf das in diesem Kurs durchgängig verwendete (fiktive) Beispielunternehmen, die RECPLAST GmbH, eingegangen wird. Dieses Symbol kennzeichnet Fragen und Übungen, mit denen Sie Ihr neu erworbenes Wissen überprüfen können. Mit diesem Zeichen eingeleitete Texte empfehlen Ihnen Hilfsmittel z. B. Formulare oder Programme, mit denen Sie Ihre eigenen Ausarbeitungen unterstützen können. Seite 6

9 1.2 Warum IT-Sicherheit? Gefahrenpotenziale Sicherheit gibt es nicht zum Nulltarif. Sie kostet Zeit und Geld. Doch viel mehr Aufwand, vielleicht sogar Einnahmeausfall und Imageschaden, kostet es Unternehmen, aufgetretene Schäden in IT-Geräten und Datenbeständen zu beseitigen, nachdem mangelhaft gesicherte Informationstechnik (IT) attackiert oder missbraucht wurde. Insgesamt passieren immer mehr Störfälle der IT. Obwohl es zunehmend schwerer wird, die Verursacher dafür herauszufinden, werden immer mehr Sicherheitsverstöße festgestellt, die von unautorisierten Benutzern verursacht wurden zunehmend auch von eigenen Mitarbeitern. Die gefährlichsten Angriffe gehen von Schadprogrammen mit Computer-Viren, Würmern und aus. Der allein durch Computer-Viren verursachte wirtschaftliche Schaden ergibt für Deutschland jährlich einen dreistelligen Millionen-Betrag mit steigender Tendenz. Bedrohlich sind für die Unternehmen die massenweise eingehenden s, Spam, die zusätzlich auch über mobile Geräte und über Instant Messaging in die Unternehmen eindringen. Zudem gefährden Web- Attacken von Hackern die Unternehmensrechner und auf ihnen gespeicherten Informationen. Die Angriffe auf die IT von Unternehmen verursachen zunehmend Datenverluste und durchschnittlich in jedem zwölften Störfall einen Totalausfall des Netzes und aller Dienste. Zunehmende Angriffe zielen mit neuen Phishing-Techniken und ferngesteuerten Computernetzen, Botnets, auf den Diebstahl von Daten und Passwörtern in Unternehmen. Meist folgt dem Diebstahl vertraulicher Informationen ein finanzieller Verlust für das Unternehmen. Wenn es sich dabei um Wirtschaftsspionage handelt, liegen die Schäden in Deutschland in einer Größenordnung von mehreren Milliarden Euro pro Jahr. Es sind die Gefahrenpotenziale technisches Versagen, menschliche Fehlhandlungen, vorsätzliche Handlungen, organisatorische Mängel und höhere Gewalt, die Vorkehrungen für die IT-Sicherheit erfordern. Weitere Informationen finden Sie in jährlich veröffentlichten Studien und Befragungsergebnissen z. B. des BSI zur Lage der IT-Sicherheit in Deutschland, von InfomationWeek und Steria Mummert Consulting, MessageLabs sowie von Datenschutzbeauftragten des Bundes und der Länder. Seite 7

10 1.2.2 Erkennen von Sicherheitslücken Übungsfragen IT-Sicherheitsvorfälle können vielfältige Ursachen haben. Oft sind die Betroffenen zu wenig dafür sensibilisiert, Gefahren für die Sicherheit der IT zu erkennen. Es fehlen technische und organisatorische Vorkehrungen zur Vorbeugung und Vermeidung von Schäden. Nicht selten sind gesetzlichen Auflagen (z. B. Datenschutzanforderungen), betriebsinterne Richtlinien oder vertragliche Verpflichtungen unbekannt und werden vorsätzlich oder fahrlässig missachtet. Erkennen Sie mögliche Sicherheitslücken in allen mit Informationstechnik ausgestatteten Bereichen? Finden Sie diese auch in den Regelungen bzw. der Organisation der IT-Sicherheit und auch im IT-Sicherheitskonzept? Versuchen Sie im folgenden Bild Gefährdungen für die IT in Büros und Serverraum herauszufinden. Ein Tipp: Insgesamt sind neun Sicherheitslücken oder mögliche Gefahren durch Vernachlässigung üblicher Sicherheitsvorschriften dargestellt. Seite 8

11 1.2.3 Sicherheitslücken Lösungen An welche Risiken denken Sie im Hinblick auf die rot markierten Situationen? 1. Türen und Fenster stehen offen: Rechner und Zubehör könnten aus den Räumen gestohlen werden. 2. Der Bildschirm und damit möglicherweise auch vertrauliche Informationen können von Unbefugten eingesehen werden. 3. Ein Zettel mit Passwörtern ist sichtbar und könnte von Unbefugten missbraucht werden. 4. Eine mit Sicherung beschriftete CD-ROM liegt zugänglich herum. 5. Ausdrucke und Kopien mit vertraulichen Daten liegen an Druckern und Kopierern. 6. Rechner mit direkter Verbindung an das Internet können den zentralen Firewallschutz des Netzes aushebeln. 7. Durch private Datenträger (im Bild eine CD-ROM) kann Schadsoftware in das Unternehmensnetz gelangen. 8. Austretende Flüssigkeiten gefährden die Hardware. 9. Rauchen bedeutet Brandgefahr Überprüfte Passwörter, Regelungen, Infrastruktur? Übungsfragen IT-Sicherheit betrifft nicht nur die IT-Komponenten, sondern auch die Organisation, das Personal, die räumliche Infrastruktur, die Arbeitsplätze und die Betriebsabläufe. Seite 9

12 Natürlich haben die erfahrenen Zuständigen für IT-Sicherheit die in dem Suchbild gezeigten Sicherheitsprobleme rasch herausgefunden. Vornamen, Automarken, Geburtstage, der Lieblingsfußballverein haben Sie schon einmal überprüft, wie viele Benutzer derart unsichere Passwörter wählen, da sie sich diese leichter merken können? Und falls Sie Administrator sind was ist mit Ihrem eigenen Passwort? Haben Sie es sicher beim Vorgesetzten oder Sicherheitsbeauftragten hinterlegt, damit Fehler im Netz auch behoben werden können, wenn Sie krank, auf Dienstreise oder im Urlaub sind? Gibt es Regelungen für die Einrichtung von Benutzern und Benutzergruppen sowie für eine angemessene Vergabe von Zugriffsrechten? Ist sichergestellt, dass alle Benutzer regelmäßig die Virendatenbanken der Virenschutzsoftware aktualisieren? Haben Sie Festplatten immer sicher gelöscht, ehe Sie diese zum Verschrotten gegeben haben? Sind wichtige Server in Ihrem Unternehmen vor Wasserschäden sicher? Was geschieht eigentlich mit eingehenden s an die Marketing- oder Verkaufs-Abteilung, wenn der zuständige Sachbearbeiter im Urlaub ist? Haben Sie Kollegen auch über mögliche Schäden für das Unternehmen durch undichte Stellen und über Möglichkeiten ihrer Vermeidung informiert? Zahlreiche Statistiken belegen, dass etwa die Hälfte der sicherheitsrelevanten Vorfälle durch Mitarbeiter im Unternehmen ausgelöst wird. In den wenigsten Fällen geschieht dies absichtlich, meistens ist es Unachtsamkeit, mangelnde Ausbildung oder Leichtfertigkeit. Die Sicherheit der Informationstechnik zu gewährleisten, ist eine Aufgabe, die professionell geplant und angemessen umgesetzt werden muss. Seite 10

13 1.2.5 Sicherheitsangebote Es gibt unzählige Angebote für IT-Sicherheit. Geeignete IT-Sicherheitsprodukte für ein angemessenes IT-Sicherheitsniveau herauszufinden, kann für die Geschäftsleitung und die Sicherheitsverantwortlichen sehr schwer werden. Sie haben die Wahl zwischen einerseits zahlreichen Hardware- und Softwareprodukten für jeweils einen Einsatzzweck und andererseits Produktfamilien, die scheinbar alle Sicherheitsanforderungen erfüllen. Eine gründliche Entscheidungsvorbereitung im Unternehmen erleichtert die Auswahl von Sicherheitsangeboten. Dafür werden Kriterien und Einschätzungen benötigt. Der IT-Grundschutz hilft, dieses IT- Sicherheitswissen im Unternehmen aufzubauen das spart Kosten für externe Berater. Ziel des IT-Grundschutzes ist es, durch geeignete Anwendung von Standard-Sicherheitsmaßnahmen für die eingesetzten IT-Systeme ein Sicherheitsniveau zu erreichen, das für normalen Schutzbedarf angemessen ist. Darüber hinaus ist dieser Grundschutz auch eine Basis für weitere Sicherheitsmaßnahmen bei hochschutzbedürftigen IT-Anwendungen. 1.3 Hilfen aus dem IT-Grundschutz Einstieg: Auf dem Weg zum IT-Grundschutz Das Angebot des BSI zum IT-Grundschutz trägt dazu bei, im Unternehmen systematisch nach Sicherheitslücken zu suchen, vorhandene IT-Sicherheitsmaßnahmen zu überprüfen und neue in ein IT- Sicherheitskonzept einzuplanen, das die Informationstechnik in den Zusammenhang mit den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen des Unternehmens stellt. Seite 11

14 Wenn ein Unternehmen Sicherheitsvorkehrungen von externen Firmen ausführen lässt, können die Aufträge mit Analysen und Konzepten definiert werden, die aus dem IT-Grundschutz abgeleitet sind. Und es ist eine systematische Kontrolle möglich, ob alle Sicherheitsanforderungen erfüllt und die Maßnahmen angemessen ausgeführt sind. So dienen die IT-Grundschutz-Kataloge auch dazu, Fehlinvestitionen zu vermeiden. Der Sicherheitsverantwortliche soll für die Informationstechnik des Unternehmens Schwachstellen aufspüren und ein IT-Sicherheitskonzept ausarbeiten. Seine Vorgaben sind die BSI-Standards und die IT-Grundschutz-Kataloge. Auf den ersten Blick erscheinen ihm diese Veröffentlichungen verwirrend umfangreich. Er muss diese aber nicht von Anfang bis Ende durchlesen. Relevant sind für ihn die BSI- Standards zum IT-Sicherheitsmanagement (100-1) und zur IT-Grundschutz-Vorgehensweise (100-2) sowie passende Ausschnitte aus den IT-Grundschutz-Katalogen. Die IT-Grundschutz-Vorgehensweise unterstützt alle Arbeiten am IT-Sicherheitskonzept. In den IT- Grundschutz-Katalogen findet er mögliche Gefährdungen und Standard-Sicherheitsmaßnahmen für typische und weit verbreitete IT-Systeme, Netze und Anwendungen. Das erspart für IT-Bereiche mit normalem Schutzbedarf aufwändige Risikoanalysen. In den folgenden Kapiteln wird der Kurs Ihnen helfen, die Methodik und das Wissen über IT-Sicherheit des IT-Grundschutzes effektiv für Ihre Zwecke zu nutzen. Im Internetangebot des BSI finden Sie die BSI-Standards zur IT-Sicherheit, IT-Sicherheitsmanagement und IT-Grundschutz. Unter finden Sie die aktuelle Version der IT-Grundschutz- Kataloge. Gedruckte Ausgaben der BSI-Standards zur IT-Sicherheit und der IT-Grundschutz-Kataloge werden vom Bundesanzeiger-Verlag herausgegeben. Weitere Informationen dazu finden Sie unter Die CD-ROM Sicherheit in der Informationstechnik mit dem vollständigen Informationsangebot rund um den IT-Grundschutz und vielen weiteren Hilfen zur IT-Sicherheit wird kostenfrei vom BSI verteilt. Seite 12

15 1.3.2 Inhalt der BSI-Standards Die BSI-Standards zur IT-Sicherheit: IT-Sicherheitsmanagement und IT-Grundschutz enthalten Empfehlungen für den organisatorischen Rahmen sowie das methodische Vorgehen zur Gewährleistung von Informationssicherheit. BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) Dieser Standard enthält Anforderungen an ein Managementsystem für Informationssicherheit (ISMS) ausgerichtet auf den ISO-Standard und unter Berücksichtigung der Standards ISO und ISO BSI-Standard 100-2: IT-Grundschutz- Vorgehensweise In diesem Standard ist die Vorgehensweise gemäß IT-Grundschutz als bewährte Methodik beschrieben. Sie bietet einen effizienten Weg, die allgemeinen Anforderungen des ISO-Standards zu konkretisieren und umzusetzen. BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz In diesem Standard ist ein gegenüber anderen Methoden vereinfachtes Verfahren zur Risikoanalyse beschrieben. Diese Methode ist immer dann wichtig und hilfreich, wenn Sie IT-Komponenten absichern wollen, für die unter Umständen die IT-Grundschutz-Maßnahmen alleine keine ausreichende Sicherheit bieten. Seite 13

16 BSI-Standards und IT-Grundschutz-Kataloge Die Kombination von Vorgaben aus den BSI-Standards mit dem Sicherheitswissen aus den IT-Grundschutz-Katalogen bietet Ihnen folgende Hilfen: ein Gesamtsystem aus typischen Komponenten des IT-Einsatzes wie Server und Clients, Verkabelung, Serverraum, , Datenbank, die nach dem Baukastenprinzip strukturiert sind und je nach Stand der Technik aktualisiert und erweitert werden, pauschalierte Gefährdungen und Eintrittswahrscheinlichkeiten (zu jedem Baustein), Empfehlungen geeigneter Bündel von Standard-Sicherheitsmaßnahmen (zu jedem Baustein als Hilfen zur Umsetzung), konkrete Beschreibungen der einzelnen IT-Sicherheitsmaßnahmen, die eine hohe Wirksamkeit haben, praxiserprobt und meistens kostengünstig anwendbar sind, Hinweise für die Umsetzung des IT-Grundschutzes in einer Organisation und eine einfache, arbeitsökonomische Verfahrensweise zur Ermittlung des erreichten IT-Sicherheitsniveaus mittels eines Soll-Ist-Vergleichs Inhalt der IT-Grundschutz-Kataloge Die IT-Grundschutz-Kataloge enthalten Bausteine, Gefährdungen und Maßnahmen. Sie umfassen vom BSI kontinuierlich aktualisiertes Wissen zur Sicherheit von IT-Systemen, Organisation und Personal, mit dem die in den BSI-Standards enthaltenen allgemeinen Empfehlungen zum Management von Informationssicherheit in Ihrem Unternehmen oder Ihrer Behörde umgesetzt werden können. Bausteine im Schichtenmodell Die vielfältige Informationstechnik, ihre Einsatzumgebung und dazu gegebene Empfehlungen sind nach dem Baukastenprinzip in Bausteine und Schichten strukturiert, damit Analysen zu IT-Sicherheitskonzepten und das Auffinden vordefinierter Maßnahmen erleichtert werden. Seite 14

17 Das Schichtenmodell setzt sich zusammen aus den fünf Schichten Übergreifende Aspekte, Infrastruktur, IT-Systeme, Netze und IT-Anwendungen. Die Themen einer Schicht können organisatorische und technische Aspekte, also auch Zuständigkeiten und systemtypische Eigenschaften umfassen. Diesen Schichten sind typische IT-Komponenten, die so genannten IT-Grundschutz-Bausteine wie Datensicherungskonzept, Serverraum, Allgemeiner Server, Heterogene Netze oder zugeordnet. In jedem Baustein wird das betrachtete Thema (z. B. ein IT-System, ein Netz) teils organisatorisch, teils technisch auf verbreitete Einsatzformen bezogen behandelt. Die zu erwartende Gefährdungslage wird mit typischen Gefährdungen und pauschalierten Eintrittswahrscheinlichkeiten beschrieben. Angemessen für diese Gefährdungslage werden im Baustein zueinander passende organisatorische und technische Maßnahmen entlang eines Lebenszyklus empfohlen, so dass ersichtlich wird, welche Maßnahmen in den Phasen Planung und Konzeption, Beschaffung (wo sinnvoll), Umsetzung, Betrieb, Aussonderung bzw. Außerbetriebnahme (soweit erforderlich) und Notfallvorsorge umgesetzt werden sollten. Eine Zusammenstellung aller empfohlenen Maßnahmen finden Sie am Ende jedes Bausteins in einer Liste, die zudem eine Kategorisierung der Maßnahmen im Hinblick auf eine Grundschutz-Zertifizierung enthält. In den Gefährdungskatalogen sind mögliche Schadenszenarien für die Informationstechnik dargestellt, und zwar gegliedert in die Rubriken Höhere Gewalt, Organisatorische Mängel, Menschliche Fehlhandlungen, Technisches Versagen und Vorsätzliche Handlungen. In den Maßnahmenkatalogen sind die Empfehlungen für technische und organisatorische Sicherheitsmaßnahmen in die Bereiche Infrastruktur, Organisation, Personal, Hardware / Software, Kommunikation und Notfallvorsorge gegliedert. Außerdem finden Sie in den Anhängen der IT-Grundschutz-Kataloge ergänzende Informationen, Checklisten und weitere Hilfsmittel. Es ist eine erhebliche Arbeitserleichterung für Sie, wenn Sie bei der Entwicklung eines IT- Sicherheitskonzepts für normalen IT-Grundschutz die Gefahrenanalysen und Maßnahmenbündel aus den IT-Grundschutz-Katalogen einfach übernehmen können! Ihre Leistung ist dabei, die auf den zu untersuchenden IT-Verbund zutreffenden Bausteine auszuwählen (siehe Kapitel 5 Modellierung) sowie die darin enthaltenen Maßnahmen einzuplanen und konsequent umzusetzen. Später können Sie auch Ihr IT-Sicherheitskonzept in einzelnen Schichten aktualisieren oder erweitern, ohne in anderen Schichten Änderungen vornehmen zu müssen. 1.4 Aufbau des Kurses Gliederung und Inhalte Dieser Kurs wird Sie in den folgenden Kapiteln mit der IT-Grundschutz-Vorgehensweise vertraut machen: Im Kapitel IT-Sicherheitsmanagement wird erklärt, mit welchen organisatorischen Strukturen und Maßnahmen ein effektives IT-Sicherheitsmanagement aufgebaut und aufrechterhalten werden kann. Die darauf folgenden Kapitel entsprechen der IT-Grundschutz-Vorgehensweise und konzentrieren sich der Reihe nach auf folgende Fragen: Seite 15

18 Im Kapitel IT-Strukturanalyse geht es darum, wie die Struktur der Informationstechnik erfasst werden kann. Dazu gehört, zuerst festzulegen, welcher Bereich der Informationstechnik einer Organisation betrachtet werden soll. Dieser Bereich wird als IT-Verbund bezeichnet. Für diesen Bereich sind die zugehörigen Komponenten (wie Netze, IT-Systeme und Anwendungen) zu erfassen. Das Kapitel Schutzbedarfsfeststellung beschreibt das Verfahren, den Wert und damit den Schutzbedarf der Informationstechnik zu bestimmen. Im Kapitel Modellierung wird gezeigt, wie mit Hilfe der IT-Grundschutz-Kataloge ein realer IT-Verbund nachgebildet (modelliert) werden kann. Im Kapitel Basis-Sicherheitscheck wird dargestellt, wie überprüft wird, ob die zu untersuchende Informationstechnik hinreichend gesichert ist oder ob grundlegende Standard-Sicherheitsmaßnahmen fehlen (Soll-Ist-Vergleich). Im Kapitel Risikoanalyse wird beschrieben, wie Sie den möglichen Handlungsbedarf prüfen bei hohem oder sehr hohem Schutzbedarf, bei Zielobjekten, die mit IT-Grundschutz-Bausteinen nicht hinreichend abgebildet werden können oder die untypisch eingesetzt werden. Das Kapitel Realisierungsplanung beschreibt Aspekte, die bei Umsetzung fehlender Maßnahmen zu beachten sind. Im Kapitel Zertifizierung wird darüber informiert, wie das erreichte IT-Sicherheitsniveau gegenüber Dritten mit einem IT-Grundschutz-Zertifikat nachgewiesen werden kann. Seite 16

19 Das Beispielunternehmen RECPLAST und weitere Beispiele zum IT-Grundschutz Die einzelnen Schritte der IT-Grundschutz-Vorgehensweise werden mit Hilfe eines durchgängig verwendeten Beispiels, der RECPLAST GmbH, veranschaulicht. Dieses fiktive Unternehmen stellt aus Recyclingmaterialien etwa 400 Kunststoffprodukte her und vermarktet diese. Eine zusammenhängende Darstellung des Beispiels finden Sie in einem eigenen PDF-Dokument. Der Anhang der IT-Grundschutz-Kataloge enthält weitere Beispiele für unterschiedliche Zielgruppen: Ein IT-Grundschutzprofil für eine kleine Institution ist speziell für die Anwendergruppe mit wenig IT-Systemen und geringen IT-Sicherheitskenntnissen entwickelt worden. IT-Grundschutz für den Mittelstand richtet sich an IT-Sicherheitsbeauftragte von mittelgroßen Institutionen, die sich ausführlich mit der IT-Grundschutz-Vorgehensweise beschäftigen wollen, und gibt ein vollständiges Beispiel für den Einsatz des GSTOOLs. Ein IT-Grundschutzprofil für eine große Institution stellt Lösungsvorschläge für häufig auftretende Probleme bei der IT-Grundschutz-Vorgehensweise dar, hier am Beispiel eines Rechenzentrums. Als Beispiel für die Anwendung der IT-Grundschutz-Vorgehensweise auf eine Behörde dient das fiktive Bundesamt für Organisation und Verwaltung (BOV). Seite 17

20 Kapitel 2: IT-Sicherheitsmanagement 2.1 Überblick Aufgaben und Aktivitäten, mit denen für eine Organisation ein angemessenes IT-Sicherheitsniveau erreicht und erhalten werden soll, gehören zum Management der Informations- und IT-Sicherheit. Zuständig sind dafür Verantwortliche für die IT-Sicherheit und für den IT-Betrieb sowie von diesen intern und extern Beauftragte. Sie tragen zum IT-Sicherheitsmanagement bei, indem sie IT-Sicherheit organisieren sowie IT-Sicherheitsmaßnahmen planen, umsetzen und ihre Wirksamkeit kontrollieren. Welche Verantwortlichkeiten und welche Prozesse haben sich dafür bewährt? Welche Aufgaben und Ergebnisse sind für IT-Sicherheitsmanagement wichtig? Wie kommen die Verantwortlichen zu einer Strategie, zu Zielen, einem Konzept, das umgesetzt und aktualisiert werden kann? Ausführliche Antworten und Empfehlungen finden Sie im BSI-Standard Managementsysteme für Informationssicherheit (ISMS) und im Baustein B 1.0 IT-Sicherheitsmanagement der IT-Grundschutz-Kataloge. Gemäß BSI-Standard wird durch ein Managementsystem für Informationssicherheit festgelegt, wie die Leitung einer Institution ihre Aufgaben zur IT-Sicherheit wahrnimmt. Zu einem ISMS gehören Management-Prinzipien, Ressourcen, die Bedeutung der Mitarbeiter, IT- Sicherheitsprozess inklusive IT-Sicherheitsleitlinie, IT-Sicherheitskonzept und IT-Sicherheitsorganisation. Wie die Aufgaben in der Praxis zu erfüllen sind, wird mit der IT-Grundschutz-Vorgehensweise angeleitet, die im BSI-Standard beschrieben ist. Dieser Standard beschreibt die folgenden Managementaufgaben: Initiierung eines IT-Sicherheitsprozesses mit Übernahme von Verantwortung durch die Leitungsebene, Konzeption und Planung des IT-Sicherheitsprozesses mit Rahmenbedingungen, übergeordneten Zielen und IT-Strategie in einer IT-Sicherheitsleitlinie, Aufbau einer IT-Sicherheitsorganisation mit Bereitstellung von Ressourcen für die IT- Sicherheit, Erstellung einer IT-Sicherheitskonzeption inklusive Abwägen von Kosten und Nutzen, Umsetzung der IT-Sicherheitskonzeption durch Realisierung der IT-Sicherheitsmaßnahmen, Einbindung aller Mitarbeiter und Integration der erforderlichen Ressourcen in den IT- Sicherheitsprozess und seine Steuerung und Seite 18

21 Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung. In diesem Kapitel werden Ihnen die folgenden wichtigen Maßnahmen zur Steuerung eines systematischen IT-Sicherheitsprozesses erläutert: der Aufbau einer angemessenen Organisationsstruktur für IT-Sicherheit, die Formulierung der grundsätzlichen Vorgaben in einer IT-Sicherheitsleitlinie sowie die Entwicklung von dazu passenden IT-Sicherheitskonzepten. 2.2 IT-Sicherheitsstrategie Die Gewährleistung von IT-Sicherheit ist eine strategische Aufgabe des Managements, welche die Festlegung von Zielen, den Aufbau und die Entwicklung angemessener Organisationsstrukturen und Prozesse sowie die Auswahl konkreter Maßnahmen umfasst. Die getroffenen Entscheidungen müssen kontinuierlich überprüft und bei Bedarf an geänderte Bedingungen angepasst werden, wenn ein bestimmtes IT-Sicherheitsniveau gehalten werden soll. Veränderungen der inneren Strukturen einer Institution (Geschäftsprozesse, Fachaufgaben, organisatorische Gliederung) sind ebenso zu berücksichtigen wie solche in den äußeren Rahmenbedingungen (Gesetze, Verordnungen, Verträge), neuartige Bedrohungsszenarien ebenso wie Weiterentwicklungen der Sicherheitstechnik. Der Lebenszyklus von IT-Komponenten kann mit den Phasen Planung und Konzeption, Beschaffung, Umsetzung, Betrieb, Aussonderung und Notfallvorsorge beschrieben werden. Entsprechend sind die Maßnahmen in den IT- Grundschutz-Bausteinen gruppiert. In vergleichbarer Weise gibt es auch einen Lebenszyklus im gesamten IT-Sicherheitsprozess: 1. Planung, 2. Umsetzung der Planung (bzw. Durchführung des Vorhabens), 3. Erfolgskontrolle (bzw. Überwachung der Zielerreichung) und 4. Beseitigung von erkannten Mängeln und Schwächen (bzw. Optimierung und Verbesserung). Seite 19

22 Diese Vorstellung eines Lebenszyklus basiert auf dem Modell nach Deming (PDCA-Modell nach den englisch bezeichneten Phasen PLAN, DO, CHECK und ACT) im ISO-Standard Mit dieser Modellvorstellung kann sowohl der gesamte IT-Sicherheitsprozess als auch der Lebenszyklus eines IT-Sicherheitskonzepts oder einer IT-Sicherheitsorganisation beschrieben werden. Die Initiative zum IT-Sicherheitsmanagement muss von der Leitung (des Unternehmens bzw. der Behörde) ausgehen. Sie trägt die volle Verantwortung dafür, dass im Unternehmen gesetzliche Anforderungen und Geschäftsbedingungen eingehalten und interne Regelungen beachtet werden. Bei Verstößen kann sie haftbar gemacht werden. Beispielsweise sind die Vorstände größerer Kapitalgesellschaften durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) zu einem angemessenen Risikomanagement verpflichtet. Die Leitung wird dementsprechend ein Interesse daran haben, dass auch die Gewährleistung der IT- Sicherheit zur Unternehmenskultur gehört. Und es sollte ihr bewusst sein, dass eigenes vorbildliches Sicherheitsverhalten ein motivierendes Vorbild für die Mitarbeiter ist. Eine wichtige Maßnahme ist die zentrale Organisation eines für das Unternehmen angemessenen und von einem gemeinsamen Verständnis für die Bedeutung der Aufgabe getragenen IT-Sicherheitsmanagements. 2.3 Managementmängel und Maßnahmen Vermeidung von Mängeln im Management Vor allem in kleinen Unternehmen fragen Leiter, ob es nicht ausreicht, die wichtigsten Sicherheitsprodukte von externen Firmen installieren zu lassen und von diesen mitgelieferte Anweisungen an die Beschäftigten zu verteilen. Sie fühlen sich selbst für eine Rolle im IT-Sicherheitsmanagement überfordert. Dies ist nur eine Erscheinungsform von unzureichendem IT-Sicherheitsmanagement. Weitere Gefährdungen wie fehlende persönliche Verantwortung, mangelnde Unterstützung durch die Leitungsebene, unzureichende strategische und konzeptionelle Vorgaben, unzureichende und fehlgeleitete Investitionen, unzureichende Durchsetzbarkeit von Maßnahmenkonzepten und fehlende Aktualisierung im IT-Sicherheitsprozess und ihre möglichen Folgen finden Sie im Baustein B 1.0 IT-Sicherheitsmanagement in den Gefährdungen G 2.66 Unzureichendes IT-Sicherheitsmanagement und G Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes IT-Sicherheitsmanagement erläutert. Solche organisatorische Mängel können vermieden werden, wenn das Management folgende Aufgaben und Pflichten erfüllt und in der Praxis bewährte Maßnahmen umsetzt: Die Leitung des Unternehmens bzw. der Behörde ist sich ihrer Gesamtverantwortung und Vorbildfunktion für die IT-Sicherheit bewusst, vertritt die Sicherheitsziele entschieden und beispielhaft, initiiert, steuert und kontrolliert einen kontinuierlichen Sicherheitsprozess und unterstützt alle delegierten Arbeiten für IT-Sicherheit. Seite 20

23 Im Unternehmen ist eine eigene Kompetenz für IT-Sicherheit aufzubauen und die Hauptverantwortung für IT-Sicherheitsfragen an eine Person zu delegieren, die auch für eine geeignete Organisationsstruktur für IT-Sicherheit und deren Aufrechterhaltung sorgt. Zum Unternehmen passende IT-Sicherheitsziele und -strategie sind in einer IT-Sicherheitsleitlinie festzuschreiben. Zur Umsetzung und Integration der angestrebten IT-Sicherheit sind die erforderlichen organisatorischen Strukturen aufzubauen, ein IT-Sicherheitskonzept zu erstellen, die Mitarbeiter einzubeziehen und die Ressourcen für IT-Sicherheit wirtschaftlich einzusetzen. Zur Aufrechterhaltung der IT-Sicherheit tragen zielgruppengerechte IT-Sicherheitsrichtlinien ebenso bei wie eine umfassende Dokumentation des IT-Sicherheitsprozesses sowie regelmäßige Statusberichte. Bereits zu Beginn eines IT-Sicherheitsprozesses tragen ein gemeinsames Verständnis der wichtigen Rollen und eine zweckmäßige Organisation von Zuständigkeiten im Unternehmen oder in der Behörde dazu bei, ein effektives IT-Sicherheitsmanagement aufzubauen. Wie sieht es bei Ihnen aus? Sind in Ihrem Unternehmen (oder Ihrer Behörde) alle oben genannten Anforderungen an IT-Sicherheitsmanagement erfüllt? Wenn nicht, ist es Zeit zu handeln. Halten Sie die erkannten Lücken oder Gefährdungen fest und formulieren Sie konstruktive Argumente für ein verbessertes IT-Sicherheitsmanagement. Versuchen Sie, der Leitung diese Vorschläge zu vermitteln. 2.4 Rollen und Zuständigkeiten Die IT-Sicherheitsorganisation hängt von der Größe, Beschaffenheit und Struktur einer Institution ab. Für eine wirksame IT-Sicherheitsorganisation empfiehlt der IT-Grundschutz IT-Sicherheitsbeauftragte und ein IT-Sicherheitsmanagement-Team einzusetzen und mit ausreichenden Ressourcen auszustatten. Die Ausgestaltung der IT-Sicherheitsorganisation hängt dabei von den konkreten Bedingungen der jeweiligen Institution ab, also von ihrer Größe, Beschaffenheit und Struktur IT-Sicherheitsbeauftragte Ein IT-Sicherheitsbeauftragter ist für alle IT-Sicherheitsfragen in der Organisation zuständig. Er sollte organisatorisch unabhängig sein und ein unmittelbares Vortragsrecht bei der Unternehmens- oder Behördenleitung haben. Es empfiehlt sich daher, diese Funktion als Stabsstelle der Organisationsleitung zuzuordnen. Zu den Aufgaben von IT-Sicherheitsbeauftragten gehört es, den IT-Sicherheitsprozess zu steuern und zu koordinieren, die Leitung bei der Erstellung der IT-Sicherheitsleitlinie zu unterstützen, die Erstellung des IT-Sicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte und System-Sicherheitsrichtlinien zu koordinieren sowie weitere Richtlinien und Regelungen zur IT-Sicherheit zu erlassen, Seite 21

24 den Realisierungsplan für IT-Sicherheitsmaßnahmen zu erstellen und ihre Umsetzung zu initiieren und zu überprüfen, dem IT-Sicherheitsmanagement-Team und der Leitungsebene über den Status der IT-Sicherheit zu berichten, sicherheitsrelevante Projekte zu koordinieren, sicherheitsrelevante Vorfälle zu untersuchen und Sensibilisierungs- und Schulungsmaßnahmen zur IT-Sicherheit zu initiieren und zu koordinieren IT-Sicherheitsmanagement-Team In größeren Organisationen wird ein solches Team aus mehreren Zuständigen für IT-Sicherheit gebildet, um den IT-Sicherheitsbeauftragten zu unterstützen. Zuständig ist es für die Regelung sämtlicher übergreifenden Belange der IT-Sicherheit. Es koordiniert, berät und kontrolliert die zugehörigen Analysen, Pläne und Konzepte, Richtlinien, Vorgaben und Kontrollregelungen. Im Team sollten der IT-Sicherheitsbeauftragte und sofern benannt die IT-Sicherheitsbeauftragen für einzelne Bereiche, IT-Projekte oder IT-Systeme sowie weitere Verantwortliche aus dem IT-Service, außerdem Datenschutzbeauftragte und Vertreter der IT-Anwender zusammenwirken. Für größere Koordinierungsaufgaben kann bei Bedarf zusätzlich ein IT-Koordinierungsausschuss die Zusammenarbeit zwischen dem IT-Sicherheitsmanagement-Team, der Leitung und der Vertretung der IT-Anwender zeitlich befristet koordinieren. Die Aufgaben des IT-Sicherheitsmanagement-Teams sind es, die IT-Sicherheitsziele und -strategien zu bestimmen sowie die IT-Sicherheitsleitlinie zu entwickeln, Seite 22

25 die Umsetzung der IT-Sicherheitsleitlinie zu überprüfen, den IT-Sicherheitsprozess zu initiieren, zu steuern und zu kontrollieren, bei der Erstellung des IT-Sicherheitskonzepts mitzuwirken, zu überprüfen, ob die im IT-Sicherheitskonzept geplanten IT-Sicherheitsmaßnahmen wie beabsichtigt funktionieren sowie geeignet und wirksam sind, Schulungs- und Sensibilisierungsprogramme für IT-Sicherheit zu konzipieren sowie den IT-Koordinierungsausschuss und die Leitung(sebene) in IT-Sicherheitsfragen zu beraten. Diese Aufgaben können in kleineren Organisationen auch nur von wenigen Zuständigen oder einer Person, dem (oder der) IT-Sicherheitsbeauftragten, wahrgenommen werden. Modelle zum Aufbau der IT-Sicherheitsorganisation in großen, mittelgroßen und kleinen Institutionen sowie Erläuterungen zu den Aufgaben von IT-Sicherheitsbeauftragtem und IT- Sicherheitsmanagement-Team finden Sie in Kapitel 3.2 des BSI-Standards 100-2, ferner in Maßnahme M Aufbau einer geeigneten Organisationsstruktur für IT-Sicherheit der IT- Grundschutz-Kataloge Beispiel: IT-Sicherheitsorganisation im Unternehmen Im Beispielunternehmen RECPLAST beabsichtigt die Geschäftsführung ein IT-Sicherheitskonzept für das Unternehmen ausarbeiten zu lassen, das in allen Unternehmensbereichen umgesetzt werden soll. Dazu müssen die Unternehmenspolitik zur IT-Sicherheit und die vorhandenen Sicherheitsrichtlinien präzisiert werden. Zuerst wird für die Analysen, Konzepte und die Folgearbeiten des IT-Sicherheitsprozesses kurzfristig ein IT-Sicherheitsbeauftragter ernannt. Wegen der für diese Aufgabe notwendigen IT-Kenntnisse, wird hierfür ein Mitarbeiter der Abteilung Informationstechnik bestimmt. Danach wird ein zeitlich befristetes Projekt IT-Sicherheitskonzept eingerichtet, in dem neben dem IT-Sicherheitsbeauftragten der Datenschutzbeauftragte sowie Zuständige für IT-Anwendungen und IT-Systeme folgende Punkte erarbeiten sollen: 1. Vorschläge und Entscheidungsvorlage für eine IT-Sicherheitsleitlinie, 2. Erstellung einer Übersicht der vorhandenen IT-Systeme, 3. Ausarbeitung der Entscheidungsvorlage des IT-Sicherheitskonzepts und eines Realisierungsplans inklusive Maßnahmen zur Notfallvorsorge und Benutzerinformation, 4. Vorschläge für Maßnahmen zur Aufrechterhaltung der IT-Sicherheit, 5. Dokumentation aller Entscheidungsvorlagen, Entscheidungen und der umgesetzten Maßnahmen des IT-Sicherheitsprozesses. Mehrere Bereichsleiter wollen, dass auch ein Mitarbeiter aus ihrem Bereich in dem Projektteam vertreten sein soll. Aus drei Bereichen können wegen dringender Terminarbeiten keine Mitarbeiter am Projekt teilnehmen. Seite 23

26 Die Geschäftsführung schließt diese Diskussion damit ab, dass maximal drei Mitarbeiter im Projekt arbeiten sollen: der IT-Sicherheitsbeauftragte, dazu ein Mitarbeiter, der im Vertrieb für die IT-Anwendungen zuständig ist und gleichzeitig Datenschutzbeauftragter ist, und die kaufmännische Geschäftsleitung. Alle Bereiche sollen den Projektmitarbeitern die erforderlichen Auskünfte über den Stand der IT- Sicherheit angesichts der gegenwärtigen und geplanten Informationstechnik geben. Zwischen- und Endergebnisse sollen in Managementsitzungen sowie mit dem Betriebsrat beraten und dann von der Geschäftsführung entschieden werden. Die Ergebnisse will die Geschäftsführung selbst den Beschäftigten mitteilen. Übung zur Anwendung In welchen Gesichtspunkten ist der IT-Sicherheitsprozess in Ihrem Unternehmen (oder Ihrer Behörde) anders initiiert und organisiert? Welche Vorteile und welche Nachteile sehen Sie? 2.5 IT-Sicherheitsleitlinie Für ein zentral organisiertes und unternehmensweit gesteuertes IT-Sicherheitsmanagement ist eine IT-Sicherheitsleitlinie die wichtigste Positionierung der Unternehmensleitung zum Stellenwert der IT-Sicherheit, zum anzustrebenden Sicherheitsniveau und zu den verbindlichen Prinzipien der IT-Sicherheit. Deshalb muss die Entwicklung einer Leitlinie von der Geschäftsführung angestoßen und bis zum Ergebnis aktiv unterstützt werden. Möglichst viele Bereiche der Organisation sollten während der Erstellung einbezogen werden, damit die Mitarbeiter später die Vorgaben Seite 24

27 mittragen. Die IT-Sicherheitsleitlinie soll für alle Mitarbeiter die IT-Sicherheitsziele, die Strategie, die Organisation und die Mittel, mit denen die Ziele verwirklicht werden sollen, verständlich beschreiben Vorgehen Ausgearbeitet wird eine IT-Sicherheitsleitlinie vom IT-Sicherheitsmanagement-Team bzw. in kleinen Organisationen vom IT-Sicherheitsbeauftragten in folgenden Schritten: 1. Verantwortung der Behörden- bzw. Unternehmensleitung Es wird schriftlich festgehalten, dass die Organisationsleitung die Gesamtverantwortung für die IT- Sicherheit hat und in vollem Umfang hinter den in der Sicherheitsleitlinie formulierten Zielen und den daraus abgeleiteten und abzuleitenden Konzepten und Maßnahmen steht. Diese Gesamtverantwortung gilt auch dann, wenn einzelne Aufgaben an bestimmte Mitarbeiter oder Abteilungen delegiert sind. 2. Festlegung des Geltungsbereichs In der IT-Sicherheitsleitlinie wird beschrieben, für welche Bereiche einer Institution sie gelten soll (inklusive der zugehörigen Geschäftsaufgaben und -prozesse). Der Geltungsbereich kann auch das gesamte Unternehmen oder die gesamte Behörde umfassen. 3. Inhalte Folgende Inhalte sollten in der IT-Sicherheitsleitlinie kurz und verständlich beschrieben sein: Stellenwert der IT-Sicherheit und Bedeutung der IT für die Aufgabenerfüllung, Bezug der IT-Sicherheitsziele zu den Geschäftszielen oder Aufgaben der Institution, Sicherheitsziele und die Kernelemente der Sicherheitsstrategie für die eingesetzte IT, Seite 25

28 Zusicherung, dass die IT-Sicherheitsleitlinie von der Leitung durchgesetzt wird, und zusätzliche Leitaussagen zur Erfolgskontrolle und Beschreibung der für die Umsetzung des IT-Sicherheitsprozesses etablierten Organisationsstruktur. Ergänzt werden kann die Leitlinie durch die Aufzählung relevanter Gefährdungen, die Nennung einzuhaltender gesetzlicher oder vertraglicher Vorgaben, die Beschreibung der Aufgaben der am IT-Sicherheitsprozess beteiligten Personen, die Benennung von Ansprechpartnern sowie Hinweisen auf Schulungs- und Sensibilisierungsmaßnahmen. Die IT-Sicherheitsleitlinie legt fest, welche Wertigkeit IT-Sicherheit in einer Organisation hat. Sie sollte so formuliert sein, dass deutlich wird, warum ein bestimmtes IT-Sicherheitsniveau angestrebt wird (z. B. ein normales, hohes oder sehr hohes). 4. Einberufung einer Entwicklungsgruppe Gibt es im Unternehmen noch kein funktionierendes IT-Sicherheitsmanagement-Team, ist für die Erstellung der IT-Sicherheitsleitlinie eine Entwicklungsgruppe einzuberufen, die später die Funktionen eines solchen Teams weiter ausfüllen kann. In dieser Gruppe sollten neben dem IT-Sicherheitsbeauftragten weitere Mitarbeiter mit Kenntnissen über IT-Sicherheit, Vertreter des IT-Betriebs und der IT- Anwender und zeitweise auch je eine Person aus der Leitung und aus dem Datenschutz einbezogen werden. 5. Bekanntgabe der IT-Sicherheitsleitlinie Es ist Aufgabe der Unternehmensleitung, sich voll hinter die Anforderungen der Leitlinie zu stellen, ihr formell zuzustimmen, sie in Kraft zu setzen und den Mitarbeitern bekannt zu geben. Dazu gehört nicht nur, sie anzukündigen, sondern auch die Mitarbeiter zu ihrer Einhaltung anzuhalten. Alle Mitarbeiter sollten die Aussagen der IT-Sicherheitsleitlinie kennen, Zugang zu der schriftlich fixierten Fassung haben und auf ihren Anteil an Beiträgen zur IT-Sicherheit verpflichtet werden. 6. Aktualisierung der IT-Sicherheitsleitlinie Da sich Geschäftsprozesse und dafür eingesetzte IT ändern, ist regelmäßig (z. B. alle zwei Jahre) sowie bei Bedarf zu prüfen, ob die Aussagen der IT-Sicherheitsleitlinie noch aktuell sind oder an neue Anforderungen angepasst werden müssen. Bei dieser Aktualisierung werden alle zuvor erläuterten fünf Schritte erneut durchlaufen Aussagen in einer IT-Sicherheitsleitlinie Welche Sicherheitsziele sind für das Unternehmen wichtig? Es geht darum, Antworten auf folgende Fragen zu formulieren: Welche Geschäftsvorgänge, Arbeitsvorgänge können ohne funktionierende IT nicht oder nur mit großem Aufwand anders bearbeitet werden? Seite 26

29 Für welche Geschäftsvorgänge und Unternehmensdaten ist die Einhaltung der IT-Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit wichtig? Welche Informationen, die mittels IT bearbeitet werden, haben korrekt und aktuell zu sein und müssen deshalb besonders geschützt werden? Welche Bedeutung und Folgen könnten von innen oder außen verursachte Sicherheitsvorfälle haben? Was könnten Angriffe auf die IT oder fehlerhafter Umgang mit IT-Systemen und Anwendungen auslösen? Beispiel Für das Beispielunternehmen sind diese Fragen zur schutzwürdigen IT in einem gesonderten Dokument beantwortet und dazu Sicherheitsziele bestimmt worden, z. B.: Die für das Unternehmen relevanten Gesetze und Vorschriften sowie vertragliche und aufsichtsrechtliche Verpflichtungen müssen eingehalten werden. Ziel ist, die Sicherheit der IT (gleichwertig neben Leistungsfähigkeit und Funktionalität) im Unternehmen aufrechtzuerhalten, so dass die Geschäftsinformationen bei Bedarf verfügbar sind. Ausfälle der IT haben Beeinträchtigungen des Unternehmens zur Folge. Lang andauernde Ausfälle, die zu Terminüberschreitungen von mehr als einem Tag führen, sind nicht tolerierbar. Jeder Mitarbeiter soll im Rahmen seines Umgangs mit IT (als Benutzer, Berater, Geschäftspartner) die erforderliche Integrität und Vertraulichkeit von Informationen sowie Verbindlichkeit und Beweisbarkeit von Geschäftskommunikation gewährleisten und die Richtlinien des Unternehmens einhalten. Unterstützt durch sensibilisierende Schulung und Benutzerbetreuung am Arbeitsplatz soll jeder im Rahmen seiner Möglichkeiten, Sicherheitsvorfälle von innen und außen vermeiden. Erkannte Fehler sind den Zuständigen umgehend zu melden, damit schnellstmöglich Abhilfemaßnahmen eingeleitet werden können. Durch Sicherheitsmängel im Umgang mit IT verursachte Ersatzansprüche, Schadensregulierungen und Image-Schäden müssen verhindert werden. Derartige Aussagen zur Bedeutung der IT und IT-Sicherheitsziele dokumentiert die Entwicklungsgruppe des Beispielunternehmens in ihrer IT-Sicherheitsleitlinie. Zusätzlich hält sie Aussagen zur IT- Sicherheitsstrategie fest, beschreibt also, was unternommen wird, um die Ziele zu erreichen, z. B.: Aus der Entwicklungsgruppe für die IT-Sicherheitsleitlinie soll ein IT-Sicherheitsmanagement- Team aufgebaut werden. Die bisher gesetzten IT-Sicherheitsziele sollen noch verfeinert werden und die einzuhaltenden rechtlichen Anforderungen zusammengetragen werden. Es soll ein IT-Sicherheitskonzept (z. B. gemäß IT-Grundschutz) für das gesamte Unternehmen erstellt werden. Das IT-Sicherheitskonzept soll unter Einbeziehung aller Unternehmensbereiche in einem Jahr umgesetzt werden. Regelmäßige Kontrollen und Aktualisierungen des Konzepts sollen zur Aufrechterhaltung der IT- Sicherheit beitragen. Außerdem werden organisatorische Definitionen und Regelungen in der IT-Sicherheitsleitlinie festgehalten, z. B. welche Verantwortlichkeiten für bestimmte Informationen und Systeme verteilt werden und welche Verpflichtungen damit verknüpft sind, Seite 27

30 wie die Verwaltung, Nutzung und Kontrolle von Informationen von Unabhängigen überprüft wird und welche Verstöße gegen die IT-Sicherheitsleitlinie sanktioniert werden. Weitere Informationen zur Entwicklung einer IT-Sicherheitsleitlinie finden Sie in der Maßnahme M Erstellung einer Sicherheitsleitlinie. Ein Beispiel für eine IT-Sicherheitsleitlinie finden Sie auch in den Musterrichtlinien und Beispielkonzepten unter den Hilfsmitteln zu den IT-Grundschutz-Katalogen. 2.6 IT-Sicherheitskonzept Ein IT-Sicherheitskonzept ist erforderlich, damit die in der IT-Sicherheitsleitlinie vorgegebenen IT-Sicherheitsziele und die IT-Sicherheitsstrategie verfolgt und dazu passende Maßnahmen geplant, umgesetzt und aktualisiert werden können. Das Konzept wird unter den organisatorischen Bedingungen, die in der IT-Sicherheitsleitlinie beschrieben sind, für das anzustrebende IT-Sicherheitsniveau erarbeitet Vorgehen Im IT-Sicherheitskonzept werden zunächst die Risiken für die Geschäftsprozesse, IT-Anwendungen und IT-Systeme bewertet und dann konzipiert, welche Sicherheitsmaßnahmen einen angemessenen Schutz bieten. Im BSI-Standard werden dazu folgende Teilschritte unterschieden: Auswahl einer Methode zur Risikobewertung Klassifikation von Risiken beziehungsweise Schäden Risikobewertung Entwicklung einer Strategie zur Behandlung von Risiken Auswahl von IT-Sicherheitsmaßnahmen IT-Sicherheitskonzept gemäß IT-Grundschutz-Vorgehensweise Die Initiative, ein IT-Sicherheitskonzept zu erstellen, muss von der Leitung ausgehen. Sie hat dem IT- Sicherheitsmanagement-Team den Auftrag zu erteilen, für einen definierten IT-Verbund die Analysen, Bewertungen und Planungen in folgenden Schritten auszuführen und die Ergebnisse zusammenhängend zu dokumentieren. Seite 28

31 Wie die dargestellten Schritte mit Hilfe der IT-Grundschutz-Kataloge durchgeführt werden, ist Inhalt der folgenden Kapitel. Weitere Ausführungen zur Erstellung einer IT-Sicherheitskonzeption nach IT-Grundschutz finden Sie im Kapitel 8 des BSI-Standards Managementsysteme für Informationssicherheit (ISMS) und im Kapitel 4 des BSI-Standards IT-Grundschutz-Vorgehensweise. Die systematische Vorgehensweise nach IT-Grundschutz, für einen IT-Verbund auf effiziente Weise Sicherheitskonzepte zu erstellen und vorhandene Konzepte zu überprüfen, wird Ihnen in den IT-Grundschutz-Katalogen in der Maßnahme M Erstellung eines IT-Sicherheitskonzepts erläutert. Seite 29