Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Systembetreiber und Administratoren

Transkript

1 Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Systembetreiber und Administratoren Dokumenthistorie: Version Name Org.-Einheit Datum Bemerkung 1.0 Fröhlich, Hafner Audi I/GO, VW K-GOT

2 Inhaltsverzeichnis: 1. Zweck Kontext Geltungsbereich Einstufung und Kontrolle der Werte Personelle Sicherheit Physische und umgebungsbezogene Sicherheit Management der Kommunikation und des Betriebs Betriebsverfahren und verantwortlichkeiten Dokumentierte Betriebsverfahren Kontrolle von Veränderungen Verfahren für das Management von Vorfällen Pflichtentrennung Trennung von Entwicklungs- und Betriebsanlagen Externe Verwaltung von Geräten Systemplanung und -abnahme Schutz vor bösartiger Software Haushaltsorganisation Back-up von Informationen Bedienerprotokolle Fehlerprotokoll Netzwerkmanagement Sicherheit von Systemdokumentation Austausch von Informationen und Software Zugangskontrolle Geschäftsanforderungen an die Zugangskontrolle Verwaltung der Zugriffsrechte der Benutzer Netzzugriffskontrolle Kontrolle des Betriebssystemzugriffs Zugriffskontrolle für Anwendungen Überwachung des Systemzugriffs und der Systembenutzung Mobile Computing Systementwicklung und wartung Management des kontinuierlichen Geschäftsbetriebs Aspekte zur Aufrechterhaltung des Geschäftsbetriebs Prozess für das Management des kontinuierlichen Geschäftsbetriebs Aufrechterhaltung des Geschäftsbetriebs und Auswirkungsanalyse Verfassen und Implementieren von Plänen zur Aufrechterhaltung des Geschäftsbetriebs Rahmen für die Pläne zur Aufrechterhaltung des Geschäftsbetriebs Testen, Aufrechterhaltung und erneute Analyse von Plänen zur Gewährleistung des kontinuierlichen Geschäftsbetriebs Einhaltung der Verpflichtungen Einhaltung gesetzlicher Verpflichtungen Überprüfung der Sicherheitspolitik und technischen Normerfüllung Überlegungen zum Systemaudit Verantwortlichkeit Anhang: Seite 2 von 14

3 1. Zweck Die für die Nutzung von Informationen und Kommunikationsgeräten (z. B. Personalcomputer, Workstations einschließlich mobiler Rechner wie Notebooks, PDAs) zu beachtenden IT- Sicherheitsregelungen für Systembetreiber und Administratoren sind in diesen IT- Sicherheitshandlungsleitlinien zusammengefasst. Für den Schutz von Speicherprogrammierbaren Steuerungen (SPS) und Robotersteuerungen gelten innerhalb dieser Handlungsleitlinien ausschließlich die Regelungen im Anhang, Ziff. 1. Die IT-Sicherheitsregelungen dienen dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sowie der Wahrung der Rechte und Interessen des Unternehmens und aller natürlichen und juristischen Personen, die mit unserer Konzerngesellschaft in geschäftlicher Beziehung stehen bzw. für diese arbeiten. Die Basis für dieses Dokument stellt die IT-Sicherheitspolitik dar. Die Grundsätze der IT-Sicherheitspolitik werden für die Zielgruppe Systembetreiber und Administratoren konkretisiert. Die Struktur dieses Dokumentes basiert auf dem internationalen Standard ISO/IEC Dieses Dokument steht über das Intranet zur Verfügung (siehe Anhang, Ziff. 2). Die Bekanntgabe von Informationen hinsichtlich Änderungen bzw. Aktualisierungen erfolgen ausschließlich über das Intranet (siehe Anhang, Ziff. 2). 2. Kontext Folgende Übersicht zeigt die Einordnung der IT-Sicherheitshandlungsleitlinien in das IT- Sicherheitsregelwerk: IT-Sicherheitspolitik Definition der grundlegenden Ziele, Strategien und Verantwortlichkeiten zur Gewährleistung der IT-Sicherheit IT-Sicherheitshandlungsleitlinien Ausgestaltung der Politik in organisatorische Anweisungen für einzelne Benutzergruppen IT-Sicherheitsregelungen Spezifikation der organisatorischen Standards im technischen Umfeld und Beschreibung von technischen Funktionen und Prozessen Für alle Nur für eingeschränkten Nutzerkreis IT-Sicherheitsregelwerk Seite 3 von 14

4 3. Geltungsbereich Die Handlungsleitlinien gelten für die AUDI AG und sind im gesamten Audi Konzern anzuwenden und durch konkrete IT-Regelungen im Einzelfall auszugestalten. 4. Einstufung und Kontrolle der Werte Betriebsnotwendige IT-Systeme (siehe Anhang, Ziff. 3) sind in einem Verzeichnis zu erfassen. Die Systemverantwortung ist einer Organisationseinheit, einem Gremium oder Beauftragten zuzuordnen. Als betriebsnotwendig sind IT-Systeme einzustufen, deren Funktionsstörung den Fortbestand des Unternehmens ernsthaft gefährden könnte oder deren Wiederherstellung bzw. Wiederbeschaffung einen hohen Zeitaufwand und/oder hohe Kosten erfordern würde. Ferner sind Originale von wichtigen Urkunden (z. B. Kaufverträge, Versicherungspolicen, Lizenzen) in diese Kategorie einzustufen. Dieses Verzeichnis der erfassten IT-Systeme hat mindestens die folgenden Angaben zu enthalten: Beschreibung der IT-Systeme einschließlich ihrer Schnittstellen zu anderen IT-Systemen, Verantwortliche Stelle oder Person, Bedeutung der IT-Systeme für die Geschäftsprozesse, Einsatzort (physisch), Einsatzbereich (fachlich), Klassifizierung der Daten und ggf. Hinweise auf besondere Schutzerfordernisse und -maßnahmen, Vorhandensein personenbezogener Daten. 5. Personelle Sicherheit Nach der Bearbeitung von IT-Sicherheitsvorfällen, IT-Sicherheitsschwachstellen oder ITsicherheitsrelevanten Funktionsstörungen sind Erkenntnisse über mögliche Auswirkungen auf andere Geschäftsprozesse oder Sicherheitsmaßnahmen an den Vorgesetzten und an die IT-Sicherheitsorganisation (siehe Anhang, Ziff. 4) zu melden. Sind diese Vorfälle gravierend oder treten sie öfter auf, so sind sie im Rahmen der Qualitätssicherung kontinuierlich zu prüfen, um ihre Entstehung in Zukunft möglichst zu verhindern und den Umgang mit diesen Ereignissen zu verbessern. 6. Physische und umgebungsbezogene Sicherheit Betriebsnotwendige IT-Systeme sind vor Stromausfall oder schwankungen zu schützen (z. B. durch unterbrechungsfreie Stromversorgung, durch Notstromaggregat). Unmittelbar nach der Installation einer Daten- und Stromnetzkomponente sind vorhandene systemspezifische Schutzmechanismen (z. B. Passwortschutz) zu aktivieren, um unzulässige Manipulationen zu verhindern oder zumindest möglichst frühzeitig erkennen zu können. Der Betreiber hat u. a. durch Wartung der Geräte sicherzustellen, dass die Verfügbarkeit, Vertraulichkeit und Integrität von Daten gewährleistet ist. Vor der Entsorgung oder Wiederverwendung von Geräten sind alle darauf enthaltenen Informationen nachhaltig zu löschen. Seite 4 von 14

5 7. Management der Kommunikation und des Betriebs 7.1. Betriebsverfahren und verantwortlichkeiten Dokumentierte Betriebsverfahren Anweisungen, die für den Betrieb eines IT-Systems zu berücksichtigen sind, sind vom Betreiber zu erstellen und aktuell zu halten, z. B. in Form von Betriebshandbüchern. Bei Veröffentlichungen ist darauf zu achten, dass keine sicherheitsrelevanten Fakten (z. B. Firewallkonfiguration) an unberechtigte Dritte bekannt gemacht werden. Die Dokumentation ist gemäß gesellschaftsspezifischer Regelungen (siehe Anhang, Ziff. 5) zu archivieren Kontrolle von Veränderungen Änderungen an produktiven IT-Systemen müssen über ein definiertes Verfahren geplant, getestet, genehmigt und dokumentiert werden, bevor sie im produktiven Betrieb umgesetzt werden. Änderungsabsichten (change requests) sind schriftlich zu dokumentieren und von der verantwortlichen Stelle (z. B. Änderungen an Anwendungssytemen durch den Informationseigentümer, Änderungen an der Infrastruktur durch den Betreiber) zu genehmigen. Die Auswirkungen der geplanten Änderungen sind an einem Testsystem zu untersuchen. Das Testsystem ist in Abwägung des potentiellen Risikos mit dem dafür erforderlichen Aufwand aufzubauen. Im Notfall kann vom Betreiber ein beschleunigtes Verfahren im IT-Notfallplan (siehe Kapitel 10) definiert werden. Dabei ist sicherzustellen, dass durch die Änderungen keine Sicherheitsmaßnahmen unterlaufen werden. Das Sicherheitsniveau muss während und nach der Änderung erhalten bleiben. Wenn Risiken nicht ausgeschlossen werden können, hat die Planung auch eine Rückfalllösung vorzusehen und Kriterien vorzugeben, wann diese zum Tragen kommen soll. Änderungen am IT-System sind zu protokollieren. Bei einer fehlgeschlagenen Änderung ist das IT-System möglichst in den ursprünglichen Zustand zu versetzen. Vor einer neuen Durchführung ist die Ursache festzustellen. Sofern Änderungen an produktiven Daten nicht über das Anwendungssystem gemacht werden können, sind auch diese Änderungen zu protokollieren. Alle von den Änderungen betroffenen Personen sind rechtzeitig zu informieren Verfahren für das Management von Vorfällen Um bei IT-Sicherheitsvorfällen rasch und effektiv reagieren zu können, ist es notwendig, dass der Systembetreiber Verfahren, d. h. Anweisungen, Maßnahmen, eingesetzte Mittel etc., zur Behandlung von Vorfällen erarbeitet, umsetzt und aktuell hält Pflichtentrennung Ausführende (z. B. Programmierung, Entwicklung) und kontrollierende (z. B. Audit, Abnahme) Tätigkeiten sind personell voneinander zu trennen. Zudem sind Tätigkeiten dann zu trennen, wenn ohne eine Trennung ein erhöhtes Risiko einer willentlichen oder unwissentlichen Fehlhandhabung zu Lasten des Konzerns besteht (Vier-Augen-Prinzip). Vor der Einführung von Software sind die Verantwortlichkeiten zu regeln (z. B. für die Erstellung von Pflichtenheften, die Produktvorauswahl, das Testen, das Freigeben, die Installation und den Betrieb) Trennung von Entwicklungs- und Betriebsanlagen Entwicklungs-, Testsoftware und Software im laufenden Betrieb müssen auf unterschiedlichen IT- Systemen und/oder Netzbereichen laufen. Seite 5 von 14

6 Um Fehlbedienungen zu verhindern, sind Entwicklungs-, Test- und Produktivsysteme z. B. durch unterschiedliche Benutzerkennungen oder Anmeldeverfahren zu sichern. Entwicklungs-/Testpersonal darf nur einen zur Durchführung der erforderlichen Arbeit eingeschränkten oder zeitlich begrenzten Zugriff auf Produktivumgebungen erhalten Externe Verwaltung von Geräten Vor einer Betreuung und Verwaltung von IT-Systemen durch Fremdpersonal ist folgendes zu prüfen und durchzuführen: Genehmigungen der für Anwendung/Prozess zuständigen Personen sind einzuholen. Verantwortlichkeiten und Verfahren für die Meldung und Behandlung von IT-Sicherheitsvorfällen sind festzulegen. IT-Notfallpläne sind neu zu bewerten und anzupassen (siehe Kapitel ) Systemplanung und -abnahme Systemplaner sowie Betreiber von IT-Systemen/-Netzen haben bereits bei der Planung der Kapazitäten die Anforderungen des späteren Betriebes zu berücksichtigen. Die Sicherheitsanforderungen an ein IT-System sind mit den Benutzern/Benutzervertretern während der Planung zu definieren und zu dokumentieren. Der Systembetreiber hat unter Berücksichtigung des geltenden IT-Sicherheitsregelwerkes zusammen mit den Benutzern/Benutzervertretern die zu erreichende IT-Sicherheit des IT-Systems zu planen. Dabei ist ein Sollzustand des IT-Systems festzulegen. Der Istzustand ist nach Realisierung des IT-Systems zu prüfen und freizugeben. Die Systemplanung (Fachkonzeption, Systemdesign, Systemrealisierung) und -abnahme (Systemeinführung) ist mittels des Systementwicklungsprozesses (SEP) durchzuführen Schutz vor bösartiger Software Kommunikationsgeräte, die von Schadsoftware befallen sind, sind unter Berücksichtigung möglicher Auswirkungen (z. B. Produktionsstillstand) vom internen Netzwerk zu trennen. Von den zuständigen Stellen (siehe Anhang, Ziff. 6) freigegebene Virensoftware ist auf jedem Kommunikationsgerät zu installieren. Die entsprechenden Virensignaturen sind regelmäßig zu aktualisieren. Die durch die zuständigen Stellen (siehe Anhang, Ziff. 7) freigegebenen Sicherheitspatche müssen zeitnah installiert werden. Vom Systembetreiber sind geeignete Netzübergangskomponenten (z. B. Intrusion Prevention System) einzusetzen, um das Firmennetz vor Schadsoftware und einer Verbreitung derselben im Netzwerk zu schützen Haushaltsorganisation Back-up von Informationen Alle Verantwortlichen für IT-Systeme, Applikationen oder Datenbanken haben sicherzustellen, dass eine ausreichende Sicherung der Daten durch die zuständigen Stellen erfolgt. Sicherungsverfahren sind zu planen, zu überwachen und zu dokumentieren. Sicherungsdatenträger unterliegen den gleichen Sicherheitsanforderungen wie die Original-Daten (z. B. Schutz gegen Diebstahl und unbefugten Zugriff). Sie sind getrennt vom IT-System aufzubewahren, um bei einer Beschädigung oder Zerstörung des IT-Systems und seiner unmittelbaren Umgebung unversehrt zu bleiben. Seite 6 von 14

7 Vor Ablauf der technologieabhängigen Lebensdauer des jeweiligen Datenträgers sind die Daten auf neue Datenträger zu überspielen. Es ist dabei sicherzustellen, dass die erforderliche Hardware und Software zum Lesen und Beschreiben der Datenträger über die gesamte Aufbewahrungsdauer der Daten vorhanden ist. Bei der Archivierung von Daten sind firmeninterne und gesetzliche Aufbewahrungsfristen einzuhalten. Die Lesbarkeit von archivierten Datenträgern ist in angemessenen Zeitabständen zu überprüfen Bedienerprotokolle Die Tätigkeiten der Systembetreiber an IT-Systemen mit vertraulichen und/oder geheimen Informationen sind zu protokollieren. Die Protokolle haben mindestens Folgendes zu enthalten: eine eindeutige Identifikation der protokollierten Person (z. B. Name oder Kennung), Beginn und Beendigung der Tätigkeit am IT-System, aufgetretene Systemfehler, durchgeführte Maßnahmen. Protokollauswertungen haben regelmäßig im Rahmen von Audits und bei Verdacht auf IT- Sicherheitsvorfälle zu erfolgen Fehlerprotokoll Von Benutzern gemeldete Fehler und Fehlfunktionen sind zu protokollieren. Die vom Betreiber veranlassten Maßnahmen zur Fehlerbehebung müssen technisch korrekt und von berechtigtem Personal durchgeführt werden Netzwerkmanagement Der sichere Betrieb von IT-System/-Netzen ist vom jeweiligen Betreiber zu gewährleisten. Das Sicherheitsniveau der Kommunikations- und der Netzwerkressourcen ist der Gefährdung und der Sensibilität der zu übertragenden Daten anzupassen Sicherheit von Systemdokumentation Der Zugriff auf schützenswerte Systemdokumentation ist auf die Personen zu beschränken, die diese Informationen zur Erfüllung ihrer definierten Arbeitsumfänge benötigen Austausch von Informationen und Software Der Systembetreiber ist für die Zuverlässigkeit von Kommunikationsdiensten (z. B. , ftp) verantwortlich. Bei den diensten ist folgendes zu beachten: Bei der Vergabe von Adressen ist auf Eindeutigkeit zu achten. Gruppen- Adressen dürfen nur für den -Empfang verwendet werden. Postfächer sind gegen Zugriffe Unbefugter zu schützen. Für nicht zustellbare Nachrichten erfolgt eine automatische Rückmeldung. Öffentlich zugängliche IT-Systeme sind für alle (z. B. Mitarbeiter, Kunden, Geschäftspartner, Medien) frei zugänglich und zur Nutzung verfügbar. Informationen, die in das öffentlich zugängliche IT-System eingegeben und dort verarbeitet werden, sind vollständig, korrekt und zügig zu verarbeiten. Sie sind während des Bearbeitungsprozesses und bei der Speicherung zu schützen. Öffentlich zugängliche IT-Systeme dürfen nur über sichere Netzübergangskomponenten Zugang zu internen Netzen haben. Seite 7 von 14

8 8. Zugangskontrolle 8.1. Geschäftsanforderungen an die Zugangskontrolle Der Zugriff auf nicht öffentliche Informationen darf nur authentisiert und autorisiert erfolgen. Der Informationseigentümer hat sicherzustellen, dass die Zugriffsrechte der Anwender und -gruppen auf die Ihnen zugewiesenen Ressourcen für jedes IT-System geregelt sind. Nicht benötigte Daten, Dienste und Benutzerkennungen sind durch den Systembetreiber zu löschen bzw. gezielt zu sperren. Administratorkennungen dürfen nur zu administrativen Aufgaben genutzt werden. Routinetätigkeiten, die kein Administrationsrecht erfordern, sind mit Benutzerkennungen mit eingeschränkten Rechten durchzuführen Verwaltung der Zugriffsrechte der Benutzer Die Beantragung einer Zugangs-/Zugriffsberechtigung für ein internes IT-System erfolgt entsprechend gesellschaftsspezifischer Regelungen (siehe Anhang, Ziff. 8). Es ist vom Systembetreiber sicherzustellen, dass dieselbe Kennung nicht an verschiedene Benutzer vergeben wird. Für Gruppen von Benutzern mit ähnlichen Aufgaben sind Rollen zu definieren und in Systemen umzusetzen, soweit dies technisch möglich ist. Diesen Rollen sind standardmäßig Kategorien von Zugriffsrechten zuzuordnen. Ein Benutzer erhält die Rechte, die seiner Rolle zugeordnet sind. Der Systembetreiber hat eine Übersicht über die zugelassenen Benutzer, Benutzergruppen und Rechteprofile zu führen. Es sind Verfahren für die Vergabe und die Rücksetzung von Passwörtern festzulegen und zu veröffentlichen. Einem Ausprobieren von Benutzerkennungen und Passwörtern ist durch geeignete Maßnahmen zu begegnen (z. B. Verlängerung der Wartezeit nach jedem Fehlversuch und/oder eine Sperrung nach einer definierten Anzahl von Fehlversuchen). Die Dokumentation der zugelassenen Benutzer und Rechteprofile ist regelmäßig darauf zu überprüfen, ob sie den tatsächlichen Stand der Rechtevergabe widerspiegelt und ob die Rechtevergabe noch den Sicherheitsanforderungen und den aktuellen Aufgaben der Benutzer entspricht Netzzugriffskontrolle Nur authentisierte und autorisierte Benutzer dürfen Zugang zum internen Konzernnetzwerk erhalten. Der Systemzugang für externe Verbindungen ist mindestens mittels "Wissen und Besitz" zu schützen (z. B. SecurID-Karte: dort ist Wissen die Kenntnis der PIN-Nummer und Besitz das Haben der Karte selber). Zum Schutz vor unberechtigten und ungewollten Verbindungen sind Rückrufverfahren und maßnahmen einzusetzen (z. B. die Verwendung von Rückruf-Modems). Die Anbindung eines externen Geschäftspartners darf erst nach unterschriebener Geschäfts- und Geheimhaltungsvereinbarung erfolgen. Nicht benötigte Dienste sind von den zuständigen Stellen abzuschalten. Seite 8 von 14

9 8.4. Kontrolle des Betriebssystemzugriffs Das Netzwerk ist auf nicht autorisierte Endgeräte zu prüfen. IT-Systeme, die den Zugang Unbefugter ungehindert zulassen, dürfen nicht eingesetzt werden, sondern sind durch geeignete IT-Systeme zu ersetzen, durch geeignete Maßnahmen zu schützen oder durch entsprechende Zusatzsoftware oder hardware nachzurüsten. Pflicht der Systemverantwortlichen ist es, ein sicheres Anmeldeverfahren umzusetzen. Dazu sind folgende Vorgaben zu erfüllen: Bei falscher Eingabe bei der Anmeldung darf das IT-System nicht anzeigen, welcher Teil der Daten fehlerhaft war. Erfolglose Versuche sind aufzuzeichnen. Die für das Anmeldeverfahren erlaubte maximale Zeit ist zu begrenzen. Bei Überschreitung hat das IT-System die Anmeldung abzubrechen. Allen Benutzern ist eine eindeutige Benutzerkennung für ihren persönlichen und alleinigen Gebrauch zuzuweisen, damit Aktivitäten auf die verantwortliche Einzelperson zurückgeführt werden können. Die Benutzerkennungen dürfen, soweit technisch möglich, keinerlei Auskunft über die Zugriffsrechte des Benutzers geben. Die Systemverantwortlichen haben die Mindestforderungen bei der Passwortfestlegung (siehe IT- Sicherheitshandlungsleitlinien für Mitarbeiterinnen und Mitarbeiter ) durch entsprechende Systemumsetzungen zu unterstützen. Dialogsitzungen, die über einen längeren Zeitraum nicht mehr aktiv benutzt werden, sind zu deaktivieren oder durch geeignete Maßnahmen zu schützen Zugriffskontrolle für Anwendungen Vom Administrator ist sicherzustellen, dass der Anwender innerhalb der Anwendung nur Zugriff auf die für ihn freigegebenen Informationen erhält Überwachung des Systemzugriffs und der Systembenutzung IT-Sicherheitsvorfälle sind zu dokumentieren. Bei der Passwortvergabe/-änderung ist zu überprüfen, ob Passwörter gemäß den Passwortregeln gebildet werden Mobile Computing Mobiles Arbeiten im Netz außerhalb des Konzernnetzwerkes mit einem tragbaren Computer erfordert eine sichere Remote Anbindung. Die Identifikation und Authentisierung erfolgt mittels Wissen und Besitz. Die Datenübertragung ist mit einer sicheren Verschlüsselung zu schützen. 9. Systementwicklung und wartung Die Installation von Software darf nur von autorisierten Personen (siehe Anhang, Ziff. 9) durchgeführt werden. Neue oder geänderte Programme für Produktivsysteme dürfen nur nach erfolgreichen Tests sowie nach Freigabe durch Informationseigentümer und Systembetreiber eingesetzt werden. Die Versions- /Korrekturstände der eingesetzten Software sind zu dokumentieren und gemäß gesellschaftsspezifischer Regelungen (siehe Anhang, Ziff. 10) zu archivieren. Beim Zugriff auf Testdaten ist der Grundsatz Kenntnis, nur wenn nötig zu beachten. Der Test von Software ist nur in der dafür vorgesehenen Testumgebung zulässig. Dabei ist sicherzustellen, dass der produktive Betrieb nicht in Mitleidenschaft gezogen wird. Seite 9 von 14

10 Personenbezogene, vertrauliche oder geheime Daten sind vor der Übernahme von produktiven IT-Systemen in die Testsysteme so zu verfälschen, dass ein Rückschluss auf die Original-Daten nicht mehr möglich ist, sofern auf diese Daten Personen Zugriff erhalten, die diese nicht unbedingt für die Erfüllung ihrer vertragsgegenständlichen Arbeiten benötigen. Das Kopieren oder die Nutzung von Informationen aus laufenden IT-Systemen ist nur nach vorheriger Genehmigung durch den Informationseigentümer zulässig. Die kopierten Daten unterliegen den gleichen IT-Sicherheitsanforderungen wie die Original-Daten. Benutzte Informationen aus laufenden IT-Systemen sind nach Durchführung des Tests nicht wiederherstellbar zu löschen. Zugriffsberechtigungen, die für laufende IT-Systeme gelten, müssen auch für Testanwendungen beachtet werden. Sicherheitsupdates von Software-Herstellern sind zeitnah einzuspielen. Die Sicherheit von Anwendungen darf durch den Einsatz von Administrationswerkzeugen und protokollen nicht gefährdet werden. Vor der Installation neuer Softwareversionen oder Patches ist durch Tests sicherzustellen, dass weder der Betrieb noch die Sicherheit durch die Änderungen gefährdet sind. Bei Änderungen sind die betroffenen Beschreibungen der Benutzerverfahren und der Betriebsdokumentation anzupassen. Wenn Änderungen an gekauften Softwarepaketen durchgeführt werden, sind die Auswirkungen auf bestehende Regelungen und Sicherheitsmaßnahmen zu klären. Änderungen dürfen nur erfolgen, wenn dies lizenzrechtlich und aufgrund der Wartungsverträge zulässig ist. 10. Management des kontinuierlichen Geschäftsbetriebs Aspekte zur Aufrechterhaltung des Geschäftsbetriebs Unvorhergesehene oder unerwartete Ereignisse, die einen Ausfall von IT-Systemen über eine nicht tolerierbare Zeit und einen Schaden für Geschäftsprozesse zur Folge haben, werden im Folgenden einheitlich als IT-Notfall bezeichnet Prozess für das Management des kontinuierlichen Geschäftsbetriebs Zur Aufrechterhaltung des kontinuierlichen IT-Geschäftsbetriebs hat der Systembetreiber organisatorische Maßnahmen/Prozesse für das Management aufzubauen, um kritische IT-Geschäftsprozesse zu identifizieren und zu bewerten Aufrechterhaltung des Geschäftsbetriebs und Auswirkungsanalyse Eine Organisationseinheit oder das Gesamtunternehmen darf durch den Eintritt eines unerwarteten IT- Ereignisses (z. B. Ausfall) nicht handlungs- oder geschäftsunfähig werden. Um dieses zu erreichen, sind zum einen vorsorgliche Maßnahmen erforderlich, damit ein unerwartetes IT- Ereignis keinen Notfall zur Folge hat. Zum anderen sind Maßnahmen zu bestimmen, die bei Eintritt des IT- Notfalls durchzuführen sind. Die IT-Notfallvorsorge muss sich an den Anforderungen der Geschäftsprozesse, die beim Ausfall von IT entstehen, orientieren. Mit Hilfe von Risikoanalysen sind mögliche Schadensfälle bezüglich der Eintrittswahrscheinlichkeit und der Schadenshöhe zu bewerten. Bei der Bewertung von Notfallschäden ist die Anzahl der betroffenen Anwender zu berücksichtigen sowie die geschäftliche Bedeutung der IT für Geschäftsprozesse Verfassen und Implementieren von Plänen zur Aufrechterhaltung des Geschäftsbetriebs Das notwendige Niveau der Dienstleistung und die maximal zu akzeptierenden Ausfallzeiten von geschäftskritischen informationsverarbeitenden IT-Systemen sind zu definieren und zu dokumentieren. Seite 10 von 14

11 Der IT-Notfallplan regelt das Vorgehen im IT-Notfall. Er enthält in komprimierter Form alle entscheidungsrelevanten Angaben, um im IT-Notfall die notwendigen Schritte einzuleiten Rahmen für die Pläne zur Aufrechterhaltung des Geschäftsbetriebs Mit Hilfe des IT-Notfallplans muss schnell entschieden werden können, welche Maßnahmen durch welche Verantwortliche als erstes bzw. in welcher Reihenfolge durchzuführen sind. Die für IT-Notfallmaßnahmen verantwortlichen Mitarbeiter sowie ihre Vertreter sind namentlich und als Funktion im IT-Notfallplan anzugeben und ihre Erreichbarkeit ist sicherzustellen. Alle Personen, die über den IT-Notfall zu informieren sind, sind festzulegen Testen, Aufrechterhaltung und erneute Analyse von Plänen zur Gewährleistung des kontinuierlichen Geschäftsbetriebs Die Sicherstellung des kontinuierlichen Geschäftsbetriebes wird mit folgenden Maßnahmen und Techniken von den Systembetreibern überprüft: Planspiele von IT-Notfallszenarien, Simulationen zur Schulung des Personals auf ihre Rollen im Krisenmanagement, Technische Tests zur Wiederherstellung von Informationssystemen, Test der Wiederherstellung des Betriebs an einem Ausweichstandort, Prüfen der Vertragserfüllung von ihren externen Dienstleistern, Regelmäßige IT-Notfallübungen. 11. Einhaltung der Verpflichtungen Einhaltung gesetzlicher Verpflichtungen Beim Einsatz von Verschlüsselung und/oder von elektronischen Signaturen (siehe Anhang, Ziff. 11) insbesondere über Ländergrenzen hinweg sind die länderspezifischen Regelungen für den Import/Export/Zugriff von bzw. auf Hardware/Software/Informationen zu beachten. Bei Fragen zu den länderspezifischen Regelungen sind die zuständigen Stellen (siehe Anhang, Ziff. 12) zu kontaktieren Überprüfung der Sicherheitspolitik und technischen Normerfüllung Jeder Betreiber von IT-Systemen hat seine IT-Systeme stichprobenartig auf die Einhaltung der sicherheitsrelevanten Vorschriften und Richtlinien zu überprüfen. Mechanismen und Tools zur Systemüberwachung (z. B. die Auditfunktion der Betriebs-systeme) sind einzurichten und zu nutzen. Dafür vorgeschriebene Genehmigungsverfahren sind zu beachten (siehe Anhang, Ziff. 13). Die Betreiber von IT-Systemen sind verpflichtet, bekannt gewordene Sicherheitslücken der IT-Systeme durch geeignete Maßnahmen zu schließen Überlegungen zum Systemaudit Auditanforderungen/ aktivitäten sind sorgfältig zu planen (insbesondere für Produktiv-systeme), um das Risiko von Störungen der Geschäftsprozesse zu minimieren. Folgende Punkte sind zu beachten: Der Anwendungsbereich der Prüfungen ist zu vereinbaren und zu kontrollieren. Die Prüfungen sind auf nur lesenden Zugriff für Software und Daten zu begrenzen. IT-Ressourcen sind für die Prüfungen zu identifizieren und verfügbar zu machen. Sämtliche Verfahren, Anforderungen und Zuständigkeiten sind zu dokumentieren. Um einen Missbrauch oder die Kompromittierung des Audittools zu verhindern, darf der Zugriff auf Systemaudittools nur für autorisiertes Personal erlaubt werden. Das uneingeschränkte Prüfungsrecht der internen Revision ist hiervon nicht betroffen. Seite 11 von 14

12 12. Verantwortlichkeit Diese Handlungsleitlinien sind von allen Systembetreibern und Administratoren anzuwenden und einzuhalten. Verstöße gegen die Handlungsleitlinien werden individuell nach geltenden betrieblichen und gesetzlichen Vorschriften und Vereinbarungen geprüft und entsprechend geahndet. Abweichungen von diesen Handlungsleitlinien, die das Sicherheitsniveau senken, sind nur in Abstimmung mit den zuständigen Stellen (siehe Anhang, Ziff. 14) und nur zeitlich begrenzt zulässig. Seite 12 von 14

13 Anhang: Gültigkeit: Diese Regelungen sind für den Betrieb und die Administration von neuen IT-Systemen mit der Veröffentlichung sofort bindend. Für bestehende Systeme und Prozesse ist vom Systembetreiber ein Migrationskonzept zu erarbeiten, um diese entsprechend anzupassen. Die Migration muss bis zum abgeschlossen sein. Ziffer 1. Speicherprogrammierbare Steuerungen (SPS) und Robotersteuerungen sind in verschließbaren Schränken aufzubewahren oder durch entsprechende anderweitige geeignete Maßnahmen zu sichern. Der Zugang ist nur Berechtigten zu ermöglichen. Speicherprogrammierbare Steuerungen (SPS) und Robotersteuerungen sind in Netzen zu betreiben, in denen nur die Kommunikation erlaubt ist, die für den Betrieb unbedingt erforderlich ist. 2. Die jeweils aktuellen Informationen werden im Audi mynet veröffentlicht. 3. Ein IT-System ist ein Gesamtsystem bestehend aus sämtlichen HW/SW-Komponenten inklusive deren Kommunikationsbeziehungen untereinander. 4. Die IT-Sicherheitsorganisation besteht aus dem Informations- und Datenschutz, dem IT-Sicherheitsteam, der Expertengruppe IT-Sicherheit, den Competence Centern im Kontext der IT-Sicherheitsorganisation und den IT-Sicherheitsbeauftragten in den Fachbereichen. 5. Die Dokumentation ist in Abhängigkeit von gesetzlichen Anforderungen und Fachbereichsanforderungen zu archivieren. So ist z. B. jegliche Dokumentation, die auch indirekt mit der Rechnungslegung zu tun hat, laut den Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) während der Lebenszeit des Systems und danach 10 Jahre zu archivieren. 6. Die Freigabe von Virenschutzsoftware erfolgt durch das Viren Competence Center (VCC). 7. Verantwortlichkeit: I/FP. 8. Die Beantragung einer Zugangs-/Zugriffsberechtigung für ein internes IT-System erfolgt schriftlich mit dem Benutzerantrag. Alle Personen, die zur Benutzung eines Systems oder einer Applikation berechtigt sind, sind formal zu erfassen. 9. Verantwortlichkeit: Systemadministratoren, Mitarbeiter mit administrativen Rechten. 10. Die Versions-/Korrekturstände sind in Abhängigkeit von gesetzlichen Anforderungen und Fachbereichsanforderungen zu archivieren. So ist z. B. jegliche Dokumentation, die auch indirekt mit der Rechnungslegung zu tun hat, laut den Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) während der Lebenszeit des Systems und danach 10 Jahre zu archivieren. 11. Nationale Gesetze zur Anerkennung der elektronischen Signatur: In der Bundesrepublik Deutschland gilt das Signaturgesetz SigG. Hier sind die nationalen gesetzlichen Rahmenbedingungen für den Einsatz elektronischer Signaturen beschrieben. Das an die EU-Richtlinie über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen vom [ECRL99] Seite 13 von 14

14 angepasste Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften [SigG01] ist am in Kraft getreten und löst das Signaturgesetz von 1997 ab. Das Gesetz soll Rahmenbedingungen schaffen, bei deren Einhaltung eine qualifizierte elektronische Signatur als mindestens gleichwertig sicher zu einer eigenhändigen Unterschrift angesehen werden kann. Es enthält Festlegungen darüber, wann qualifizierte elektronische Signaturen nach dem Signaturgesetz der handschriftlichen Unterschrift gleichgestellt sind. Im Ergebnis wird digitalen Signaturen nach dem Signaturgesetz auch vor Gericht eine hohe Sicherheit zugebilligt. 12. Verantwortlichkeit: Zentraler Rechtsservice. 13. Personenbezogene Audits sind schriftlich vom Leiter Informations- und Datenschutz und der zuständigen Personalabteilung genehmigen zu lassen. Eine Abstimmung mit dem Betriebsrat ist notwendig. 14. Verantwortlichkeit: Informations- und Datenschutz. Seite 14 von 14