$XWRUHQÃ5LFKDUGÃ5RWKÃ-RKDQQHVÃ6FKHXULQJÃ 0LWÃ*HQHKPLJXQJÃGHUÃ&RPSHQGLRÃ%LOGXQJVPHGLHQÃ$*Ã &+= ULFKÃ Ã&RPSHQGLRÃ%LOGXQJVPHGLHQÃ$*Ã&+= ULFKÃÃ

Transkript

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lKQWHQ 6RIW XQG +DUGZDUHEH]HLFKQXQJHQ VLQG LQ GHQ PHLVWHQ )loohq DXFK HLQJHWUDJHQH 0DUNHQ XQG XQWHUOLHJHQ DOV VROFKH GHQ JHVHW]OLFKHQ%HVWLPPXQJHQ 7H[W $EELOGXQJHQ XQG 3URJUDPPH ZXUGHQ PLW JUR HU 6RUJIDOW HUDUEHLWHW 9HUODJ hehuvhw]hu XQG $XWRUHQ N QQHQ MHGRFK I U HYHQWXHOO YHUEOLHEHQH IHKOHUKDIWH $QJDEHQ XQG GHUHQ )ROJHQ ZHGHU HLQH MXULVWLVFKH 9HUDQWZRUWXQJ QRFK LUJHQGHLQH +DIWXQJ EHUQHKPHQ 'LHYRUOLHJHQGH3XEOLNDWLRQLVWXUKHEHUUHFKWOLFKJHVFK W]W )4ç3ICHERHEIT %YJKEFIRYRH7GLPÚWWIPIPIQIRXI -'8

2 Inhaltsverzeichnis 3 Inhaltsverzeichnis Über dieses Lehrmittel 5 Teil A IT-Sicherheit: Strategie und Managementsystem 9 Einleitung, Lernziele und Schlüsselbegriffe 10 1 Strategien Unternehmensstrategie IT-Strategie IT-Sicherheitsstrategie 13 Wiederholungsfragen 15 2 Informationssicherheits-Managementsystem (ISMS) Notwendigkeit und Nutzen Voraussetzungen Ebenen, Elemente und Aufgaben Modelle und Standards ISMS nach Grundschutzhandbuch etablieren ISMS nach BS 7799 etablieren Kritische Erfolgsfaktoren 31 Wiederholungsfragen 34 Teil B Schlüsselelemente eines ISMS 35 Einleitung, Lernziele und Schlüsselbegriffe Funktion Inhalte und Struktur 40 Wiederholungsfragen 44 4 IT-Sicherheitsorganisation Funktion und Aufgaben Schlüsselprozesse (Ablauforganisation) IT-Sicherheitsforum IT-Sicherheitsbeauftragter 47 Wiederholungsfragen 50 5 IT-Sicherheitsrichtlinien Funktion und Zielgruppen Inhalte (Themen) Praxisbeispiel: IPSec-Konfiguration 53 Wiederholungsfragen 55 6 IT-Sicherheitskonzepte Funktion und Umfang Projektbezug Struktur Anwendungsbereiche Praxisbeispiel aus dem Netzwerkumfeld Praxisbeispiel Überwachung eines Applikationsumfelds 67 Wiederholungsfragen 71 Teil C IT-Sicherheit und Personal 73 Einleitung, Lernziele und Schlüsselbegriffe 74 7 Sicherheitsmaßnahmen beim Personal Sicherheitsmaßnahmen nach ISO

3 4 Inhaltsverzeichnis 7.2 Sicherheitsmaßnahmen nach BSI-Grundschutzhandbuch 78 Wiederholungsfragen 79 8 Sicherheitsbewusstsein beim Personal Problematik Sicherheitsbewusstsein Sicherheitsbewusstsein stufen- und funktionsgerecht fördern Trainingsprogramme Schulungen Checkliste 86 Wiederholungsfragen 87 9 Sicherheitsweisungen Zum Begriff «Weisung» Weisungszweck und Weisungswesen Weisungen zur IT-Sicherheit 89 Wiederholungsfragen Sicherheitsvorfälle Ursachen-Wirkungs-Zusammenhänge Ziele bei der Behandlung von Sicherheitsvorfällen Behandlung von Sicherheitsvorfällen im Rahmen des ISMS 94 Wiederholungsfragen 98 Teil D IT-Sicherheit kontrollieren 99 Einleitung, Lernziele und Schlüsselbegriffe Grundlagen zum IT-Sicherheitsaudit Begriffserklärungen Audit als Phase des PDCA-Modells Zweck des IT-Sicherheitsaudits Vorgaben für das IT-Sicherheitsaudit Vorgehensmodell beim IT-Sicherheitsaudit Bereiche des IT-Sicherheitsaudits 104 Wiederholungsfragen Audit eines IT-Sicherheitskonzepts Vorgehensweise Durchführung Auswertung 108 Wiederholungsfragen Audit einer E-Business-Lösung Vorgehensweise Ausgangslage und Ziele System abgrenzen Sicherheitsaudit durchführen Design analysieren Auditbericht erstellen und präsentieren 120 Wiederholungsfragen 123 Teil E Anhang 125 Gesamtzusammenfassung 126 Antworten zu den Wiederholungsfragen 136 Glossar 142 Stichwortverzeichnis 149

4 Teil B Schlüsselelemente eines ISMS 39 In diesem Kapitel wird aufgezeigt, was unter einer IT-Sicherheitspolitik zu verstehen ist, welche generellen Zielsetzungen darin zum Ausdruck kommen (sollten) und wie eine IT- Sicherheitspolitik konkret aufgebaut werden kann (verdeutlicht anhand von Beispielen aus der Praxis). 3.1 Funktion Im angelsächsischen Sprachraum wird für die Sicherheitspolitik der Begriff «Security Policy» verwendet. Eine einheitliche und exakte Definition des Begriffs «Policy» gibt es nicht. Allerdings besteht weitgehend Einigkeit darüber, dass eine «Policy» eine Sammlung von Richtlinien und Regeln darstellt. In diesem Lehrmittel wird «Information Security Policy» als Zusammenstellung unternehmerischer Grundsätze bezüglich der IT-Sicherheit verstanden und als IT-Sicherheitspolitik bezeichnet. Die IT-Sicherheitspolitik macht u. a. Aussagen zu den generellen IT-Sicherheitszielen und regelt in groben Zügen die damit verbundenen Verantwortlichkeiten. Aufgrund dieser Vorgaben werden sämtliche Aktivitäten abgeleitet, die mit der IT-Sicherheit zusammenhängen. Die IT-Sicherheitspolitik stellt somit gleichzeitig Leitfaden und Legitimitätsgrundlage für diese Aktivitäten dar, indem sie wegweisende und nachprüfbare Vorgaben zur unternehmerischen IT-Sicherheit macht. Im Rahmen der IT-Sicherheitspolitik werden üblicherweise Aussagen zu folgenden generellen IT-Sicherheitszielen gemacht: Generelles IT-Sicherheitsziel Vertraulichkeit Integrität Verfügbarkeit Authentizität Verbindlichkeit Zugehörige Frage Wer hat Einsicht in bzw. Zugriff auf bestimmte Daten oder Informationen? Sind die Daten oder Informationen korrekt, vollständig und gültig? Wann und wo stehen die Daten oder Informationen zur Verfügung? Ist mein Gegenüber [1] tatsächlich diejenige Person, für die er sich ausgibt? Wann ist eine Geschäftsabwicklung rechtsgültig? [1] Mit dem «Gegenüber» ist hier der Kommunikationspartner gemeint. In der Praxis ist die Gewichtung und Ausprägung dieser generellen IT-Sicherheitsziele von Unternehmen zu Unternehmen verschieden. Beispiele Ärzte und Krankenhäuser oder andere medizinische Institutionen verwalten streng vertrauliche Daten bzw. Informationen über ihre Patienten. Solch sensible Personendaten fallen unter das Datenschutzgesetz und das Arztgeheimnis und müssen deshalb besonders sorgfältig geschützt werden. Werbe- und Versandfirmen investieren viel Zeit in die Berichtigung und Aktualisierung ihres Adressenstamms, da eine hohe Rücklaufquote wegen mangelhafter Anschriften aus Kostengründen nicht toleriert werden kann. Reiseunternehmen müssen dem Ziel «Verfügbarkeit» ein höheres Gewicht beimessen. Der Grund: Das Verkaufspersonal muss sich darauf verlassen können, dass die am POS [1] (z. B. am Schalter) benötigten Daten bzw. Informationen bei Anfrage jederzeit zur Verfügung stehen. [1] Abk. für: «Point of Sale» (engl. für: Verkaufspunkt bzw. Verkaufsort).

5 40 Teil B Schlüsselelemente eines ISMS Versicherungsunternehmen stellen sicher, dass der Fernzugriff [1] auf ihr System nur durch die tatsächlich berechtigten Außendienstmitarbeiter erfolgt, indem sie neben dem User-ID und dem Passwort ein weiteres Element zur Authentifizierung verlangen. Unternehmen, die größere Bestellungen über das Internet abwickeln, verlangen eine schriftliche Bestätigung, bevor es zur Auslieferung kommt. 3.2 Inhalte und Struktur Über den Inhalt und den Umfang einer unternehmerischen IT-Sicherheitspolitik bestehen keine allgemein verbindlichen Vorgaben oder Vorschriften. In der Praxis wird die IT-Sicherheitspolitik meist schriftlich festgehalten und je nach Zielgruppe eher abstrakt (für das Management) oder sehr konkret (für die Mitarbeiter) formuliert. Gemäß ISO bringt eine IT-Sicherheitspolitik gleichermaßen die Vorgaben und die Unterstützung des Topmanagements zum Ausdruck. Insofern stellt die IT-Sicherheitspolitik ein Dokument dar, das den Standpunkt der obersten Führungsebene in Bezug auf die IT-Sicherheit vermittelt. Idealerweise wird dieses Dokument deshalb durch die Geschäftsleitung abgesegnet, veröffentlicht und allen Mitarbeitern stufengerecht [2] kommuniziert. Einfache und klare Aussagen zur IT-Sicherheit zeugen hierbei nicht nur von einer hohen Sicherheitskultur, sondern erzeugen ihrerseits bereits eine gewisse Sicherheit. Die IT-Sicherheitspolitik ist i. d. R. durch folgende Bestandteile und Inhalte gekennzeichnet: Bestandteil Definition der Sicherheit Commitment der Geschäftsleitung (GL) Anwendungsbereich Sicherheitsorganisation Sicherheitsziele Überprüfung Inhalt Bedeutung bzw. Stellenwert der IT-Sicherheit für das Unternehmen und für den einzelnen Mitarbeiter. Bekenntnis bzw. Selbstverpflichtung der obersten Führungsebene zu den Zielen, Prinzipien und Regeln der unternehmerischen IT-Sicherheitspolitik. Abgrenzung des Bereichs, für den die vorliegende IT-Sicherheitspolitik gilt. Aufbau einer Sicherheitsorganisation, die für die Sicherstellung der IT-Sicherheit die notwendigen Kompetenzen hat. Übergeordnetes Ziel ist ein kontinuierlicher Geschäftsbetrieb sowie die Einhaltung rechtlicher Verpflichtungen wie z. B. das Datenschutzgesetz. Zu diesem Zweck werden folgende Aussagen getroffen: Aussagen zum Umgang mit vertraulichen Daten bzw. Informationen Aussagen zur Gewährleistung der Datenintegrität Aussagen zur gewünschten Verfügbarkeit von Daten, Informationen, Diensten bzw. Funktionen Aussagen zur Sicherstellung der Authentizität eines Kommunikationspartners Aussagen zur Sicherstellung der Verbindlichkeit einer Geschäftsabwicklung Aussagen zur Überprüfung der IT-Sicherheit [1] Engl. Fachbegriff: Remote-Login. [2] Die IT-Sicherheitspolitik sollte so kommuniziert werden, dass sie für die betroffene Zielgruppe innerhalb des Unternehmens relevant, verständlich und umsetzbar ist.

6 Teil B Schlüsselelemente eines ISMS 41 Bei der Erstellung der IT-Sicherheitspolitik sind generell folgende Punkte zu beachten: Definition der Sicherheit: Hier sind die grundsätzlichen IT-Sicherheitsziele des Unternehmens zu definieren und die Mitverantwortung der einzelnen Mitarbeiter herauszuheben (namentlich die Notwendigkeit eines sicherheitskonformen Verhaltens der Mitarbeiter im Umgang mit Daten). Commitment der GL: Hier ist die Unterstützung der Ziele, Prinzipien und Regeln der IT-Sicherheitspolitik durch die Geschäftsleitung schriftlich zu verankern. Anwendungsbereich: Hier ist der Gültigkeitsbereich der IT-Sicherheitspolitik zu definieren (z. B. für die gesamte Informatik, für Outsourcing-Dienstleistungen, für den Internet-Anschluss, für die Notfallvorsorge etc.). Sicherheitsorganisation: Hier ist die für die IT-Sicherheit zuständige Organisation zu skizzieren. Zur Abstimmung mit der bestehenden Organisationsstruktur des Unternehmens sind auch die entsprechenden Kompetenzen und Verantwortlichkeiten (inklusive Rapportierung von Zwischenfällen) grob zu regeln. Sicherheitsziele: Hier ist für wesentliche Sicherheitsbereiche [1] eine Erklärung zur unternehmerischen Sicherheitspolitik sowie zu den zugrunde liegenden Prinzipien, Standards und gesetzlichen oder vertraglichen Anforderungen abzugeben. Darüber hinaus ist auf die Konsequenzen bei Nichteinhaltung der Sicherheitspolitik zu verweisen. Überprüfung: Hier ist die Art und Häufigkeit der Kontrollen festzuhalten (z. B. monatliches Review, jährliches Audit). Die folgenden Beispiele zeigen, dass die unternehmerische IT-Sicherheitspolitik in der Praxis je nach Branche, Art der Dienstleistungen bzw. Bedeutung der IT-Sicherheit unterschiedlich ausfallen kann: Beispiel 1: Inhaltsverzeichnis einer IT-Sicherheitspolitik im Hochschulumfeld 1. Überblick 2. Begründung 3. Gültigkeitsbereich 4. Versionen 5. Einleitung 6. Regelwidrige Benutzung 7. Anforderungen für den Betrieb eines Computers 8. Konsequenzen bei Nichteinhaltung der Policy 9. Definitionen [1] Wesentliche Sicherheitsbereiche betreffen z. B. den Datenschutz, den Virenschutz, die Datensicherung, die Reaktion auf Zwischenfälle sowie die Katastrophenvorsorge.

7 42 Teil B Schlüsselelemente eines ISMS Beispiel 2: IT-Sicherheitspolitik eines KMU IT-Sicherheitspolitik Die Geschäftsleitung hat diese Politik an ihrer Sitzung vom genehmigt. Ziel der Informatik-Sicherheit Die Informatik-Sicherheit hat zum Ziel, die Geschäftskontinuität sicherzustellen und Geschäftsschäden, hervorgerufen durch Sicherheitsvorfälle, zu verhindern oder zu reduzieren. Zweck der IT-Sicherheitspolitik Zweck der IT-Sicherheitspolitik ist es, die Firmeninformationen vor internen oder externen Bedrohungen zu schützen, wobei nicht maßgebend ist, ob der Schaden bewusst oder versehentlich herbeigeführt wurde. Dabei ist sicherzustellen, dass 1. Informationen [1] vor unberechtigtem Zugriff geschützt sind, 2. die Vertraulichkeit der Informationen [2] sichergestellt ist, 3. die Integrität der Informationen [3] gewährleistet ist, 4. den Weisungen und Gesetzen Folge geleistet wird, 5. Pläne für die Geschäftskontinuität im Katastrophenfall erstellt, getestet und aktualisiert werden [4], 6. Schulungsprogramme für alle Mitarbeiter bereitgestellt werden, 7. alle tatsächlichen oder vermuteten Sicherheitsvorfälle dem IT-Sicherheitsmanager gemeldet und von diesem untersucht werden. [1] Informationen können in vielfältigster Form auftreten; beispielsweise auf Computern gespeichert, über Netzwerke gesendet, auf Papier ausgedruckt oder aufgeschrieben, als Fax gesendet, auf Bändern und Disketten gespeichert oder gesprochen. [2] Schutz sensibler Informationen vor unberechtigter Einsicht. [3] Gewährleistung der Genauigkeit und Vollständigkeit der Informationen mittels Schutz vor unberechtigter Änderung. [4] Dies stellt sicher, dass wichtige Informationen und Anwendungen jederzeit verfügbar sind, wenn sie benötigt werden.

8 Teil B Schlüsselelemente eines ISMS 43 Beispiel 3: IT-Sicherheitspolitik eines Versicherers mit Internet-Dienstleistungen Allgemeines Mit dem Anschluss ans Internet will das Unternehmen einerseits die Vorteile des Internets nutzen, andererseits Kunden durch die Bereitstellung von Dienstleistungen stärker binden. Bedrohungen Die Unternehmensführung ist sich bewusst, dass das Unternehmen aufgrund der Vernetzung mit dem Internet immer wieder sich ändernden Risiken ausgesetzt ist. Die Gründe für diese Bedrohung sind nicht einheitlich und nur schwer im Voraus zu kalkulieren. Die Bedrohung kann von außen erfolgen (z. B. durch Viren oder Hacker), aber auch von innen ausgelöst werden (z. B. durch Fehlhandlungen eines Mitarbeiters). Vertraulichkeit Der Vertraulichkeit der personenbezogenen Daten (speziell der Versicherungsdaten) ist höchste Aufmerksamkeit zu schenken. Dies betrifft sowohl die fest abgespeicherten Daten als auch diejenigen Daten, welche auf bzw. von den mobilen Arbeitsstationen der Außendienst-Mitarbeiter übertragen werden. Darüber hinaus sind alle Daten und Informationen zu schützen, die nur für den internen Gebrauch bestimmt sind. Verfügbarkeit Wenn die RAS [1] -Verbindung mit den Außendienst-Mitarbeitern und die Verbindung mit den Filialen über das Internet erfolgen, muss eine hohe Verfügbarkeit sichergestellt werden. Kurze Ausfallzeiten von höchstens 15 Minuten pro Tag werden toleriert. Integrität Die Gewährleistung der Integrität ist auf mittlerem Niveau einzustufen. Außer bei der Buchhaltung können kleinere Fehler toleriert werden. Anforderungen an den Internet-Anschluss Mit dem Internet-Anschluss werden folgende Services bereitgestellt: Browsing auf geschäftsrelevanten Seiten. Außerhalb der Arbeitszeiten sind weitere Services offen. Diese sind durch das Security Board zu bestimmen. Mailverkehr, wobei die Übertragung vertraulicher Informationen nur bei ausreichendem Schutz möglich ist. Webauftritt der Firma. Änderungen auf den Webseiten sind nachvollziehbar und die Verfügbarkeit ist hoch. Geschäftspartner können bereitstehende Informationen und Dienste nutzen sowie Versicherungen direkt über das Internet abschließen. Allerdings ist ihnen kein Zugang zum Firmen-Netzwerk zu gewähren. Der RAS-Anschluss ist durch eine verschlüsselte Internet-Verbindung abzulösen. Die Anschlüsse der Filialen sind durch eine kostengünstige, verschlüsselte Internet-Verbindung abzulösen. Eine Backup-Lösung ist aufgrund der hohen Anforderung an die Verfügbarkeit sicherzustellen. Hier nicht explizit aufgeführte Services sind beim Security Officer antragspflichtig. Verantwortlichkeiten Durch funktionale Trennungen ist der Betrieb des Internet-Anschlusses jederzeit zu gewährleisten. Mitarbeiter auf allen Stufen sind bezüglich IT-Sicherheit in die Verantwortung mit einzubinden. Der Internet-Anschluss ist jährlich durch eine externe Stelle zu prüfen und das Ergebnis der Kontrolle an das Security Board zu rapportieren. Schlussbemerkungen Anschlüsse, insbesondere Modems, die den Internet-Anschluss unterlaufen, sind zu verhindern bzw. zu eliminieren. Ausnahmen sind durch den Security Officer zu bewilligen und zu protokollieren. [1] Abk. für: Remote Access Service (engl. für: Fernzugriff-Service). Software, die einem Benutzer über ein Modem aktiven Zugriff auf einen Netzwerkserver erlaubt.

9 44 Teil B Schlüsselelemente eines ISMS Die IT-Sicherheitspolitik definiert die unternehmerischen Grundsätze bezüglich der IT- Sicherheit, indem sie wegweisende und nachprüfbare Vorgaben zur unternehmerischen IT-Sicherheit macht. Im Rahmen der IT-Sicherheitspolitik werden Aussagen zu folgenden generellen IT- Sicherheitszielen gemacht: Vertraulichkeit Integrität Verfügbarkeit Authentizität Verbindlichkeit Die IT-Sicherheitspolitik sollte schriftlich festgehalten, durch die Geschäftsleitung abgesegnet, veröffentlicht und allen Mitarbeitern stufengerecht kommuniziert werden. Sie ist i. d. R. durch folgende Bestandteile gekennzeichnet: Definition der Sicherheit Commitment der Geschäftsleitung Anwendungsbereich Sicherheitsorganisation Sicherheitsziele Überprüfung Bestandteile einer IT-Sicherheitspolitik Der allgemeine Aufbau der IT-Sicherheitspolitik kann grafisch wie folgt dargestellt werden: ICT041DUBAde.eps IT-Sicherheitspolitik Commitment der Geschäftsleitung Anwendungsbereich Sicherheitsorganisation Sicherheitsziele Überprüfung Wiederholungsfragen 2 Beschreiben Sie in zwei bis drei Sätzen die Bedeutung einer IT-Sicherheitspolitik. 8 Nennen Sie die wesentlichen Bestandteile der IT-Sicherheitspolitik und erläutern Sie kurz, welche inhaltlichen Aspekte dabei zu beachten sind.