Management von Informationssicherheit

Transkript

1 Management von Informationssicherheit 1 Gliederung Einführung IT-Security-Risiken in Zahlen Phasenmodell zur Realisierung von Sicherheit Konzepte des Sicherheitsmanagements Standards für das Sicherheitsmanagement BSI IT-Grundschutz Toolunterstützung Bezüge von IT-Governance und IT-Compliance zum IT-Sicherheitsund Datenschutzmanagement Datenschutzmanagement Strafrechtliche Aspekte 2 1

2 Management von Informationssicherheit Definition IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik (IT) realisierten Produktions- und Geschäftsprozesse in Unternehmen und Organisationen systematisch gegen beabsichtigte Angriffe (Security) und unbeabsichtigte Ereignisse (Safety) zu schützen. Sicherheit im Großen betrifft die an der Informationsverarbeitung beteiligten Menschen, Prozesse und IT-Systeme behandelt die übergreifenden Aspekte der Informationssicherheit betrifft sowohl organisatorische als auch technische Aspekte Ziel Schaffung unternehmensweiter Sicherheit: Enterprise Security Aufbau eines Information Security Management Systems (ISMS) Sicherheit über einen längeren Zeitraum hinweg gewährleisten 3 FUD-Strategie Fear, Uncertainty, Doubt Wieviel muss wirklich in Sicherheit investiert werden? vs. Furcht, Ungewissheit, Zweifel Sicherheitsbewusstsein nach: Edelbacher et al., 2000 Zeit 4 2

3 IT-Security-Risiken in Zahlen 5 Computer Crime and Security Surveys Herausgegeben vom U.S. Computer Security Institute CSI bekannteste Langzeit- Umfrage zu IT- Sicherheitsvorfällen 2011 eingestellt Stichprobe über 500 IT- Sicherheitsspezialisten aus verschiedenen Branchen 6 3

4 Computer Crime and Security Surveys Hauptergebnisse (2003) Schäden in Unternehmen Hauptschäden entstehen durch Datendiebstahl Zweite Stelle: Schäden durch Denial-of-Servcie-Angriffe Angriffsarten 82 Prozent Virenangriffe 80 Prozent Datenmissbrauch durch Insider Reaktion auf Angriffe 93 Prozent schließen Sicherheitslöcher 50 Prozent verheimlichen Sicherheitslöcher 30 Prozent verfolgen Angreifer (law enforcement) 7 Computer Crime and Security Surveys Hauptergebnisse 2007 Anstieg der Verluste durch Sicherheitsprobleme von Dollar (2006) auf Dollar (2007) höchster Wert seit Prozent der Befragten waren Opfer eines gezielten Angriffs Hauptursache von Verlusten in den vergangenen sieben Jahren: Viren (Schadsoftware) nun an erster Stelle:»Financial fraud«insider-angriffe 59 Prozent der Fälle: unerlaubte Netznutzung 52 Prozent der Fälle: Verseuchung mit Viren 8 4

5 Computer Crime and Security Surveys Hauptergebnisse 2010/11 Malware als verbreitetste Angriffsform 67 Prozent der Teilnehmer berichten darüber Anzahl der»financial fraud«vorfälle gegenüber der Vorjahre gesunken auf 8,7 Prozent Gezielte Angriffe nehmen weiter zu Bei etwa der Hälfte der Teilnehmer trat mindestens ein Informationssicherheitsvorfall auf 46 Prozent dieser Teilnehmer berichten von mindestens einem gezielten Angriff Erhöhte Sensibilität in Sicherheitsfragen Immer weniger Teilnehmer sind bereit, genaue Angaben über monetäre Verluste preiszugeben 9 Gründe für mangelnde Informationssicherheit Es fehlt an Geld 55 % Es fehlt an Bewusstsein bei den Mitarbeitern 52 % Es fehlt an Bewusstsein und Unterstützung im Topmanagement 45 % Es fehlt an Bewusstsein und Unterstützung beim mittleren Management 37 % Es fehlen verfügbare und kompetente Mitarbeiter 32 % Es fehlt an Möglichkeiten zur Durchsetzung sicherheitsrelevanter Maßnahmen 31 % Es fehlen die strategischen Grundlagen/Gesamtkonzepte 29 % Die Kontrolle und Einhaltung ist unzureichend 27 % Anwendungen sind nicht für Informationssicherheitsmaßnahmen vorbereitet 25 % Die vorhandenen Konzepte werden nicht umgesetzt 22 % Es fehlen realisierbare (Teil)-Konzepte 19 % Basis: 158 Antworten Quelle: <kes>/microsoft-sicherheitsstudie 2006 aus: ZIEL:SICHER 01/2007, Microsoft 2007, S

6 Welchen Einfluss haben Sicherheitsvorfälle auf das Image? Garg, Curtis, Halper, 2003: Messung des Börsenwerts eines Unternehmens Beeinflussung durch einen Vorfall am Tag t ist an t+1 und t+2 in einigen Fällen (signifikant) nachweisbar Garg, Curtis, Halper,

7 Motivation hinter Angriffen im Wandel der Zeit Hackerethik Chaos Computer Club Zugang zu Computern und allem, was einem zeigen kann, wie diese Welt funktioniert, sollte unbegrenzt und vollständig sein. Alle Informationen müssen frei sein. Misstraue Autoritäten fördere Dezentralisierung. Beurteile einen Hacker nach dem, was er tut und nicht nach üblichen Kriterien wie Aussehen, Alter, Rasse, Geschlecht oder gesellschaftlicher Stellung. Man kann mit einem Computer Kunst und Schönheit schaffen. Computer können dein Leben zum Besseren verändern. Motto von Anonymous We are Anonymous. We are Legion. We do not forgive. We do not forget. Expect us. 13 Phasenmodell zur Realisierung von Sicherheit

8 Einordnung bzgl. technischem Detaillierungsgrad Granularität der technischen Beschreibung Bedeutung organisatorischer Aspekte IT-Sicherheit im Großen: Sicherheitsmanagement - Sicherer Betrieb - Infrastruktur - Notfallmanagement - Schulung - IT-Entwurf sicherer IT-Systeme: Phasenmodell für den Entwurf IT-Sicherheitsmechanismen im Kleinen: Angreifermodell und konkreter Mechanismus - Kryptoalgorithmen - Protokolle - Mechanismen der IT-Sicherheit 15 Angreifermodell Ein Angreifermodell definiert die Stärke eines Angreifers, gegen den ein bestimmter Schutzmechanismus (z.b. ein ganz bestimmtes Verschlüsselungsverfahren) gerade noch sicher ist. 1. Aktive oder passive Rolle des Angreifers Was kann der Angreifer maximal passiv beobachten? Was kann der Angreifer maximal aktiv kontrollieren? Was kann der Angreifer aktiv verändern? 2. Mächtigkeit des Angreifers Wieviel Rechenkapazität besitzt der Angreifer? Wieviel finanzielle Mittel besitzt der Angreifer? Wieviel Zeit besitzt der Angreifer? Welche Verbreitung hat der Angreifer? Oder spezieller: Welche Leitungen, Kanäle, Stationen kann der Angreifer beherrschen? Ist der Angreifer ein Insider oder Outsider?

9 Mechanismen (Beispiele) Vertraulichkeit Verdecktheit Verschlüsselung Steganographie Anonymität Unbeobachtbarkeit Web-Anonymisierer, R er, anonyme Zahlungssysteme Integrität Message Authentication Codes Zurechenbarkeit Rechtsverbindlichkeit Digitale Signatur Verfügbarkeit Erreichbarkeit Diversität, Redundanz 17 Wechselwirkungen zwischen Schutzzielen Vertraulichkeit + + Anonymität Verdecktheit Unbeobachtbarkeit Integrität Zurechenbarkeit Verfügbarkeit Erreichbarkeit 18 + impliziert verstärkt schwächt Rechtsverbindlichkeit A. Pfitzmann, G. Wolf, 2000 Beobachtungen zum Monotonieverhalten: Vertraulichkeitseigenschaften können nur geringer werden. Integrität und Zurechenbarkeit können nur größer werden. 9

10 Abhängigkeiten zwischen Schutzzielen Integrität Inhaltsintegrität Zurechenbarkeit Inhaltsvertraulichkeit unabhängig realisierbar weitgehend unabhängig realisierbar (Dritte erfahren bei Beweis ggf. Inhalt) Vertraulichkeit Anonymität unabhängig realisierbar Pseudonymität Unbeobachtbarkeit unabhängig realisierbar Trusted Third Parties decken ggf. Kommunikationsbeziehung auf 19 Einordnung bzgl. technischem Detaillierungsgrad Granularität der technischen Beschreibung Bedeutung organisatorischer Aspekte IT-Sicherheit im Großen: Sicherheitsmanagement - Sicherer Betrieb - Infrastruktur - Notfallmanagement - Schulung - IT-Entwurf sicherer IT-Systeme: Phasenmodell für den Entwurf IT-Sicherheitsmechanismen im Kleinen: Angreifermodell und konkreter Mechanismus - Kryptoalgorithmen - Protokolle - Mechanismen der IT-Sicherheit

11 Phasenmodell für den Entwurf sicherer Systeme eignet sich sowohl für den Entwurf einzelner Mechanismen als auch für die Realisierung großer Systeme 1. Definition der Schutzziele Was sind die Schutzziele, die das System erfüllen muss? Definition von Szenarien für den sicheren Betrieb des Systems. 2. Definition des Angreifermodells Wer ist der Angreifer? Was ist dessen Stärke? 3. Analyse existierender Mechanismen und Verfahren auf Eignung für die Realisierung der eigenen Schutzziele des Stands der Technik und Wissenschaft 4. Auswahl vorhandener und ggf. Entwicklung neuer Mechanismen Definition, Bewertung und Dokumentation der Lösung 5. Einbettung in das Gesamtsystem 21 Konzepte des Sicherheitsmanagements (IT-Sicherheit im Großen)

12 Einordnung bzgl. technischem Detaillierungsgrad Granularität der technischen Beschreibung Bedeutung organisatorischer Aspekte IT-Sicherheit im Großen: Sicherheitsmanagement - Sicherer Betrieb - Infrastruktur - Notfallmanagement - Schulung - IT-Entwurf sicherer IT-Systeme: Phasenmodell für den Entwurf IT-Sicherheitsmechanismen im Kleinen: Angreifermodell und konkreter Mechanismus - Kryptoalgorithmen - Protokolle - Mechanismen der IT-Sicherheit 23 ISMS-Views Initiierung Si-Konzept Umsetzung Erhaltung»Operator«: Grundschutz- Vorgehensmodell (Sicherheitspolitik, Sicherheitskonzept, Umsetzung, Erhaltung im laufenden Betrieb) ISMS Information Security Management System Identifikation Plan Überwachung Bewertung Act Do Steuerung»Controller«: Risikomanagement (Identifikation, Bewertung, Steuerung, Überwachung) Check»Management«: Deming-Kreislauf (Plan, Do, Check, Act)

13 Von der Bedrohung zum Sicherheitsvorfall Gründe, IT-Sicherheitsmanagement zu betreiben Schutz von Unternehmenswerten (Assets) Anforderung von Handelspartnern IT-Compliance Initiierung Si-Konzept Umsetzung Erhaltung Asset 1 Asset 3 Schutzziele - Vertraulichkeit - Integrität - Verfügbarkeit Asset 2 Organisation 25 Von der Bedrohung zum Sicherheitsvorfall Bedrohungen, z.b. - Viren, Würmer - DoS - Hacking - Spionage - Social Engineering Verwundbarkeiten, z.b. - Konfigurationsfehler - Buffer Overflows Asset 1 Asset 3 Schutzziele - Vertraulichkeit - Integrität - Verfügbarkeit 26 Asset 2 Organisation vgl. Nowey, 2011 Maßnahmen - Präventiv - Detektiv - Reaktiv 13

14 Sicherheitsmanagement Im Rahmen des Sicherheitsmanagements sind folgende Maßnahmen zu treffen Initiierung 1. Entwicklung einer Sicherheitspolitik 2. Erstellung eines Sicherheitskonzepts 3. Realisierung der IT-Sicherheitsmaßnahmen 4. Erhaltung der IT-Sicherheit im laufenden Betrieb Si-Konzept Umsetzung Erhaltung Sicherheit als Teil des Unternehmensmanagements auffassen explizit zum Unternehmensziel machen 27 Entwicklung einer Sicherheitspolitik 1. Aufstellen eines IT-Sicherheitsmanagement-Teams 2. Formulierung der Unternehmensziele aus Sicherheitssicht Es fließen ein Unternehmenspolitik und -kultur Spezifika des Unternehmens IT-Strategie Rechtliche Rahmenbedingungen Initiierung Si-Konzept Umsetzung Erhaltung Warnung keine vorformulierten Textbausteine, Policy-Vorlagen oder gar "Policy-Generatoren" verwenden

15 Vorgehensmodell zur Erstellung eines Sicherheitskonzepts 1. Bedrohungsmodell Erkennnen und Formulieren der relevanten potentiellen Bedrohungen 2. Risikoanalyse Bewertung der Bedrohungen 3. Definition von Schutzobjekten und konkreten Sicherheitsanforderungen Initiierung Si-Konzept Umsetzung Erhaltung 4. Sicherheitsarchitektur Erstellen eines Realisierungskonzeptes Alternativ zu 1. und 2.: Vertrauensmodell bisher eher unüblich»was ist nötig?«und nicht»was ist möglich?«29 Bedrohungs- vs. Vertrauensmodell Was ist bedroht? Wem kann ich vertrauen? Bedrohungsmodell Vertrauensmodell Risikoanalyse Definition von Schutzobjekten und konkreten Sicherheitsanforderungen Realisierungskonzept (Sicherheitsarchitektur) vorzugsweise für die Realisierung von Safety- Aspekten vorzugsweise für die Realisierung von Security- Aspekten

16 Risikomanagement Kreislauf Identifikation Überwachung Risiko = Eintrittswahrscheinlichkeit Schadenshöhe Bewertung Steuerung 31 Identifikation von Bedrohungen Frage»Welche Bedrohungen sind für das jeweilige Schutzobjekt relevant?«methoden & Werkzeuge OCTAVE-Methodik, CORAS-Framework Checklisten Workshops Fehlerbäume, Attack-Trees Szenarioanalysen Herausforderungen Vollständige Erfassung aller Bedrohungen

17 Bewertung von Risiken Frage»Wie groß sind Eintrittswahrscheinlichkeit und Schadenshöhe eines potentiellen Schadensereignisses?«Methoden & Werkzeuge Qualitative Bewertung Quantitative Bewertung Spieltheorie Maximalwirkungsanalyse Schadenswahrscheinlichkeit low med high Herausforderungen Abhängigkeit von den Assets Strategische Angreifer Korrelationen Quantifizierbarkeit Schadenshöhe low med high Risiko 33 Steuerung der Risiken Frage»Welche Risiken sollen wie behandelt werden?«methoden Risikovermeidung Risikobehandlung (z.b. nach IT-Grundschutz und ISO 27002) Risikoüberwälzung Risikoakzeptanz Herausforderungen Komplexität der Problemstellung Finden von geeigneten Musterlösungen Komposition eines sicheren Gesamtsystems aus sicheren Teillösungen

18 Risiko-Management für IT-Systeme Gesamtrisiko Risikovermeidung Risikoanalyse Schutzmaßnahmen Schadensbegrenzung Sicherheitsarchitektur Katastrophenplan Überwälzung Restrisiko Versicherungen nach: Schaumüller-Bichl 35 Risiko-Management für IT-Systeme Gesamtrisiko Risikovermeidung Risikoanalyse Schutzmaßnahmen Schadensbegrenzung Sicherheitsarchitektur Katastrophenplan Überwälzung Restrisiko Versicherungen nach: Schaumüller-Bichl

19 Notfall- bzw. Katastrophenplan zur Schadensbegrenzung IT-Sicherheitskonzept kann Risiko niemals 100-prozentig beseitigen Notfallplan sollte Teil der Maßnahmenplanung sein Methoden Back-Up-Planung (Rechenzentrum, Daten) Notlaufkonzepte Wiederbeschaffungs- und Wiederanlaufpläne Verlust von Verfügbarkeit Notfallpläne sind primär ausgerichtet auf die schnelle Beseitigung von Verlusten der Verfügbarkeit. Verlust von Integrität Schaden kann schleichend eintreten schwer umkehrbar, Backup-Konzepte können helfen Verlust von Vertraulichkeit Schaden kann schleichend eintreten nahezu nicht umkehrbar, da Löschung aller Kopien kaum herbeiführbar 37 Risiko-Management für IT-Systeme Gesamtrisiko Risikovermeidung Risikoanalyse Schutzmaßnahmen Schadensbegrenzung Sicherheitsarchitektur Katastrophenplan Überwälzung Restrisiko Versicherungen nach: Schaumüller-Bichl

20 Risiko-Management im Datenschutz Gesamtrisiko Risikovermeidung Überwälzung nicht anwendbar auf Datenschutz (und (strafrechtliche Anforderungen) Risikoanalyse Schutzmaßnahmen Schadensbegrenzung Sicherheitsarchitektur Katastrophenplan Überwälzung Restrisiko Versicherungen nach: Schaumüller-Bichl 39 Risiko-Management im Datenschutz IT-Sicherheit: Risiko = Wahrscheinlichkeit Schadenshöhe Schäden sind systematisch tolerierbar Datenschutz: Alles-Oder-Nichts-Ansatz Rechtliche Vorgaben müssen umgesetzt werden Gesamtrisiko Risikovermeidung Risikoanalyse Schutzmaßnahmen Schadensbegrenzung Sicherheitsarchitektur Katastrophenplan Überwälzu ng Restrisiko Versicherungen nach: Schaumüller-Bichl

21 Risiko-Management für IT-Systeme Schadenswahrscheinlichkeit low med high low Schadenshöhe med high Risiko 41 Risiko-Management für IT-Systeme Typische Positionen für Vermeidung, Akzeptanz und Überwälzung: Schadenswahrscheinlichkeit low med high low Akzeptanz Vermeidung Schadenshöhe med high Überwälzung Schutzmaßnahmen

22 Überwachung der Risiken und Maßnahmen Frage»Waren die Maßnahmen effektiv und effizient? Wie sicher ist die Organisation?«Methoden Kennzahlen- und Scorecard-Systeme Return on Security Investment (ROSI) Herausforderungen Die»richtigen«Kennzahlen verwenden Kennzahlen»richtig«ermitteln/messen Kennzahlen aktuell halten 43 nach: Loomans, 2002 Überwachung der Risiken und Maßnahmen Frage»Waren die Maßnahmen effektiv und effizient? Wie sicher ist die Organisation?«Viel hilft nicht unbedingt viel, es kommt auch darauf an, wie das Geld ausgegeben wird Grenznutzen Grenzkosten Investitionshöhe

23 Überwachung der Risiken und Maßnahmen Frage»Waren die Maßnahmen effektiv und effizient? Wie sicher ist die Organisation?«Viel hilft nicht unbedingt viel, es kommt auch darauf an, wie das Geld ausgegeben wird Effektivität = die richtigen Maßnahmen ergreifen Weniger ist manchmal mehr. Probleme Funktionen sind schwierig zu ermitteln Funktionen sind nicht stetig, häufig sind Sicherheitsmaßnahmen binäre Entscheidungen 45 Quantitative Daten werden als Basis benötigt Daten zur Charakterisierung von Risiken Eintrittswahrscheinlichkeit Schadenshöhe Verteilungsfunktion Anforderungen an Datenquellen Hohe Datenqualität und Aktualität Vollständigkeit und Organisationsbezogenheit Einfachheit

24 Mögliche Quellen für quantitative Daten Quelle Beispiel Bewertung Expertenurteile Interviews mit internen oder externen Experten CSI/FBI Survey Häufig verwendet, aber nicht messbar Subjektiv, unvollständig Simulationen Historische oder Monte Carlo Simulationen Noch kaum verbreitet Gut, wenn Ausgangsdaten vorhanden Marktmechanismen Kapitalmarktanalysen Bug Challenges Derivative Produkte Nicht für alle Bereiche anwendbar Noch nicht verfügbar Historische Daten CERTs/CSIRTs Interne Vorfallsbearbeitungssysteme In anderen Bereichen weit verbreitet Prognosequalität? Kaum verfügbar 47 sec-compare: Kollaboratives IT-Sicherheitsmanagement Idee Entwurf eines Systems zur Sammlung von quantitativen Daten über Sicherheitsmechanismen und -vorfälle in Organisationen. Ziel Aufbau einer Datenbasis die Informationen über Schadenshöhe, Eintrittswahrscheinlichkeit und Wahrscheinlichkeitsverteilungen von Sicherheitsvorfällen in verschiedenen Organisationen gibt. Verschiedene Möglichkeiten zur Verwendung der generierten Daten Risikobewertung, Evaluation von Investitionsentscheidungen Benchmarking zwischen Organisationen Untersuchung Korrelationen zwischen Schadensereignissen Wissenstransfer von Organisation zu Organisation

25 sec-compare: Basisarchitektur Teilnehmer A Teilnehmer C Vorfallsdaten Aggreg. Daten Platform Provider Zusätzl. Daten Externe Quellen CERTs Honeynets Experten Studien Teilnehmer B 49 sec-compare: Security Benchmarking Einfache Teilnahme Keine Anmeldung notwendig Angabe von Unternehmenseckdaten optional Schnelle Einschätzung Fragebogenbasierte Benutzerführung Dauer ca min Vergleichsmöglichkeiten Mit anderen Unternehmen (Grundgesamtheit) Mit ausgewählten Fragebögen Beantwortung durch Kollegen, Berater, Vorgesetzte... Eigene Fragebögen im Zeitverlauf vergleichen Dient einer ersten Selbsteinschätzung, ersetzt aber keine umfassende Grundschutzanalyse

26 Return on Security Investment (ROSI) Frage»Waren die Maßnahmen effektiv und effizient? Wie sicher ist die Organisation?«ROSI basiert auf dem ALE-Konzept (Annual Loss Expenditure) aus den 70er Jahren soll Analogie zum klassischen Return on Investment herstellen verschiedene Darstellungsformen und Weiterentwicklungen ROSI Return on Security Investment»Ersparnis«durch Abwenden der wahrscheinlichen Schäden abzügl. der Kosten der Sicherheitsmaßnahmen 51 Return on Security Investment (ROSI) R Recovery Costs Kosten der wahrsch. Schäden S Savings Reduzierung der K. der wahrsch. S. T Total Costs Kosten der Maßnahmen ALE Annual Loss Expenditure verbl. Schadenskosten nach Vorfall ALE = R S + T ROSI = R ALE ROSI = S T ROSI Return on Security Investment»Ersparnis«durch Abwenden der wahrscheinlichen Schäden abzügl. der Kosten der Sicherheitsmaßnahmen 52 nach: Pohlmann

27 Return on Security Investment (ROSI) Beispiel Webservice Savings Reduz. d. K. der wahrsch. Schäden S = EUR p.a. (Kunden- und Imageverlust) Total Costs Kosten der Maßnahmen T = EUR p.a. (Zertifikat, Firewall, Updates etc.) ROSI = S T = EUR p.a. ROSI Return on Security Investment»Ersparnis«durch Abwenden der wahrscheinlichen Schäden abzügl. der Kosten der Sicherheitsmaßnahmen 53 nach: Pohlmann 2006 Return on Security Investment (ROSI) Kritik am ROSI Kosten und Nutzen schwer ermittelbar à Unterschiede zu klassischen Investitionsprojekten Es geht nicht nur um operative Entscheidungen: Sicherheitsmanagement beginnt auf der strategischen Ebene Worin liegt der Nutzen? Erfüllung gesetzlicher Anforderungen, Generierung zusätzlicher Einnahmen, Effizienzgewinne, Reduktion von Risiken Wie setzen sich die Kosten zusammen? Ausgaben für Anschaffung, Einführung, laufenden Betrieb, Kosten durch Änderung betriebl. Abläufe Risikomanagement-Ansatz auf operativer Ebene erforderlich

28 Risikomanagement Kreislauf Checklisten Workshops Experten Histor. Daten Identifikation Checklisten Scorecards Kennzahlen Überwachung Risiko = Eintrittswahrscheinlichkeit Schadenshöhe Bewertung Basisansatz Kategorien Quantitative Verfahren Steuerung Best Practice Scoring Quant. Verfahren 55 Sicherheitsmanagement beginnt auf der Strategieebene Strategieebene/ Sicherheitspolitik Business Engineering Festlegung der Unternehmensaufgaben; Strategische Planung Sicherheitsmanagement Definition strategischer Ziele, Grundsätze und Richtlinien; Formulierung der Unterneh- mensziele aus Sicherheitssicht Prozessebene/ Sicherheitskonzept Gestaltung der Abläufe in Form von Prozessen Übersetzung der Politik in Maßnahmen; Risikoanalyse Systemebene/ Mechanismen Unterstützung der Prozesse durch den Einsatz von Systemen; Analyse und Spezifikation der Anwendungssysteme Detaillierung der Maßnahmen durch konkrete Mechanismen

29 Sicherheitsmanagement beginnt auf der Strategieebene Aussagen für die strategische Ebene Wer nur auf vorgefertigte Lösungen setzt, verliert auf lange Sicht wertvolles Know How. Heterogene IT-Landschaften schützen vor Kumulrisiken. IT-Sicherheit ist mehr als nur Technik. Sicherheit sollte von Beginn an integraler Bestandteil der Prozesse werden und nicht hinterher hinzugebastelt werden. Die Sicherheit sollte im Einklang mit anderen Disziplinen entwickelt werden, z.b. Synergien mit dem Business Engineering nutzen. 57 Standards für das Sicherheitsmanagement Einordnung, ISO 27000er Reihe, BSI IT-Grundschutz, Datenschutzmanagement

30 Kriterienlandschaft Sicherheitsbezogene Standards existieren für Vorgehensmodelle zum Sicherheitsmanagement Spezielle Sicherheitsfunktionen (z.b. Kryptographie) Zertifizierung und Auditierung... teilweise sogar branchenspezifische Standards (z.b. Banking) Ausrichtung Bewertung Evaluierung von IT-Sicherheit Informationssicherheits- Managementsysteme Richtlinie Sicherheitsmaßnahmen Und Monitoring Quelle: BITKOM, Kompass der IT- Sicherheitsstandards Technik Kryptographische und IT-Sicherheitsverfahren Physische Sicherheit Produkt System Prozess Umgebung Architekturebene 59 Übersicht: Die ISO Familie ISO (2009) Vocabulary and Definitions ISO (2005) ISMS Information Security Management Systems ISO (2005/2007) Code of Practice (entspricht ISO 17799:2005, seit 2007) ISO (2010) ISMS Implementation Guidance vgl. TR13335, Anhang B von BS als Grundlage ISO (2009) Information Security Management Metrics and Measurements ISO (2008) Information Security Risk Management ISO (2007) Requirements for Bodies providing Audit and Certification ISO (gepl.) 60 Auditing Guidelines 30

31 Die ISO 27000er Familie Terminologie Überblick Anforderungen ISMS Anforderungen Akkreditierungs Anforderungen Leitfäden für Betrieb und Audit von ISMS Code of Practice Implementierung Messung und Metriken Risiko Management Standards zu den einzelnen Sicherheitsmaßnahmen Audit nach ISO 27000, n.v. 61 ISO Kurzes Basisdokument für die 27000er Reihe Gibt Gesamtüberblick über die 27000er Reihe und ordnet die einzelnen Standards ein Verweis auf OECD Guidelines for the Security of Information Systems and Networks Enthält grundlegende Begriffe und Definitionen für die Bereiche Informationssicherheit (z.b.»vertraulichkeit«) Management (z.b.»effektivität«) Sicherheitsrisiken (z.b.»verwundbarkeit«) Auditierung (z.b.»audit«) Dokumentation (z.b.»sicherheitspolicy«)

32 Entwicklung des BS 7799 Code of practice BS ISO 17799:2000 ISO17799:2005 ISO27002:2007 ISO27002:2013 ISMS specification BS BS :2002 ISO 27001:2005 ISO27001: t 63 ISO ISMS (Information Security Management System) Standard basiert auf BS beschreibt die Anforderungen an ein ISMS mit Hilfe eines Prozess-Ansatzes ist, genau wie ISO 9001, ein Management-System-Standard Grundlage für Zertifizierung Eher generische Anforderungen, keine technischen Details Definition: ISMS that part of the overall management system, based on a business risk approach, to establish, implement, operate, monitor, review, maintain and improve information security NOTE: The management system includes organizational structure, policies, planning activities, responsibilities, practices, procedures, processes and resources

33 ISO Information technology Security techniques Code of practice for information security management «Guidelines and general principles for initiating, implementing, maintaining, and improving information security management in an organization» Internationaler «Code of practice» für das Management der Informationssicherheit Umfang der 2013er Fassung 90 Seiten, 14 Gliederungspunkte (Mangementbereiche) und 114 Managementaufgaben (Controls) kontinuierliche Aktualisierung keine verbindlichen Zyklen festgelegt, aber vorgesehen prinzipiell nicht unbedingt nötig, da generische Formulierungen 66 Vergleich der Versionen von ISO er Fassung 2005er Fassung 2013er Fassung Security Policy Security Policy Security Policy Security Organisation Organising Information Security Organization of Information Security Asset Classification & Control Asset Management Human Resources Security Personnel Security Human Resources Security Asset Management Physical & Environmental Security Physical & Environmental Security Access Control Communications & Operations Management Communications & Operations Management Cryptography Access Control Access Control Physical and Environmental Security Systems Development & Maintenance Business Continuity Management Information Systems, Acquisition, Development and Maintenance Information Security Incident Management Business Continuity Management Operations security Communications Security Information Systems Acquisition, Development, Maintenance Supplier Relationships Compliance Compliance Compliance Information Security Incident Management Information Security Aspects of Business Continuity

34 Grundsätzlicher Aufbau der Controls Controls=Maßnahmen Control Was? + Implementation Guidance Wie? + Other Information 71 Beispiel für ein Control Bewusstsein, Ausbildung und Schulung für Informationssicherheit nach ISO27002: nach ISO27002:2013 Maßnahme Alle Angestellten der Organisation, und, falls relevant, Auftragnehmer und Drittbenutzer, sollten geeignete Schulungen zur Bewusstseinsbildung erhalten, und regelmäßige Aktualisierungen bei organisationseigenen Politiken und Verfahren, die für ihre Arbeit von Bedeutung sind. Anleitung zur Umsetzung Die Schulung zur Bewusstseinsbildung sollte mit einem formalen Einführungsprozess beginnen, um die Sicherheitspolitiken und Erwartungen der Organisation vorzustellen, bevor Zugang zu Informationen oder Services gestattet wird. Fortlaufende Schulungen sollten Sicherheitsanforderungen, gesetzliche Verantwortung und Geschäftsmaßnahmen beinhalten, genauso wie Schulungen in der ordnungsgemäßen Anwendung von informationsverarbeitenden Einrichtungen, z.b. Verfahren zum Einloggen, Benutzung von Programmpaketen und Informationen über Disziplinarverfahren (siehe 8.2.3); Weitere Informationen Die Aktivitäten für Sicherheitsbewusstsein, Ausbildung und Schulung sollten passend und von Bedeutung für die Aufgaben, Verantwortung und Fähigkeiten der Person sein, und sollten Informationen über bekannte Bedrohungen, wer für weiteren Rat in Sicherheitsfragen zu kontaktieren ist, und die geeigneten Kanäle für das Berichten von Informationssicherheitsvorfällen (siehe auch 13.1) enthalten. Schulungen zur Verbesserung des Bewusstseins sollten es ermöglichen, dass Personen Informationssicherheitsprobleme und Vorfälle erkennen, und dass sie im Einklang mit den Erfordernissen ihrer Arbeitsaufgabe reagieren

35 Security policy Definiert die grundsätzliche Position des Unternehmens bzgl. Informationssicherheit 1. Erstellung eines Policy-Dokuments Definition von Informationssicherheit aus Unternehmenssicht Ziele und Prinzipien bzgl. Informationssicherheit Zuweisung der Zuständigkeiten für Informationssicherheit Verweise auf Dokumente, die zur Umsetzung der Policy dienen 2. regelmäßiger Review und Anpassung an neue Gegebenheiten 73 Organization of information security 1. Interne Organisation Managementrahmen zur Umsetzung von Informationssicherheit innerhalb der Organisation Maßnahmen Rollen und Zuständigkeiten für Informationssicherheit Aufteilung von Zuständigkeiten Kontakt mit Behörden (authorities) Kontakt mit speziellen Interessengruppen Informationssicherheit innerhalb des Projektmanagements 2. Mobiles Arbeiten und Telearbeit ursprünglich von Access Control stammend (bis 2005) Policy für mobile Geräte Telearbeit

36 Human Resources Security 1. Vor der Anstellung Maßnahmen Aufgaben und Verantwortlichkeiten definieren und dokumentieren Sicherheitsüberprüfung der Mitarbeiter Überprüfung der Korrektheit von Referenzen, CV, Qualifikationen, Identitätsüberprüfung, Detailprüfungen Anstellungsbedingungen Arbeitsvertrag mit Klausel versehen, die auf die Einhaltung der Sicherheitsmaßnahmen hinweist 75 Human Resources Security 2. Während der Anstellung Verantwortung des Managements Bewusstsein, Ausbildung und Schulung für Informationssicherheit Disziplinarverfahren z.b. Passwortregeln 3. Beendigung oder Änderung der Anstellung Verantwortlichkeiten bei der Beendigung definieren Rückgabe von Werten Aufheben von Zugangsrechten

37 Asset Management 1. Verantwortung für Assets Führen einer «Inventarliste» (Abschnitt 7.1.1) Information assets Datenbanken, Dateien, Systemdokumentationen, Schulungsmaterial, Notfallpläne, archivierte Daten Software assets Anwendungs- und Systemsoftware, Entwicklungswerkzeuge, Utilities Physical assets Computertechnik (inkl. deren Innenleben), Kommunikationstechnik (Router, Fax, Telefonanlage,...), Speichermedien, Stromversorgungsanlage, Klimaanlage, Möbel, Räume Services Kommunikations- und Datenverarbeitungsdienste, allgemeine Einrichtungen, z.b. Heizung, Licht, Strom, Aircondition Personen und ihre Qualifikationen, Fähigkeiten und Erfahrung Immaterielle Werte Wie der gute Ruf und Image der Organisation 77 Asset Management 1. Verantwortung für Assets (Forts.) Eigentum von Assets (Abschnitt 7.1.2) Alle Informationen und Assets in Verbindung mit informationsverarbeitenden Einrichtungen sollten Eigentum eines bestimmten Teils der Organisation sein. Zulässiger Gebrauch von Assets (Abschnitt 7.1.3) Regeln für den zulässigen Gebrauch von Informationen und Assets in Verbindung mit informationsverarbeitenden Einrichtungen sollten identifiziert, dokumentiert und umgesetzt werden

38 Asset Management 2. Klassifizierung von Information Identifikation von Notwendigkeit und Wichtigkeit von Informationen Maßnahmen: Festlegen des notwendigen Schutzgrades von sensitiv/kritisch unwichtig/egal keine konkreten Vorgaben einer Klassifikation Beachten, dass sich Schutzwürdigkeit mit der Zeit verändern kann z.b. Informationen über ein neues Produkt «Überklassifikation» kann unnötige Kosten verursachen 3. Handhabung von Medien Löschung nicht mehr genutzter Medien Autorisierung zur Löschung und Entsorgung Aufbewahrung in Safe, sicherer Umgebung, Access control 1. Business requirements of access control Access control policy 2. Benutzerverwaltung Nutzerregistrierung Rechtevergabe und -überprüfung Passwort-Management Überprüfung der Zugriffsrechte 3. Verantwortlichkeiten der Nutzer Passwortsicherheit Verhalten beim Verlassen des Rechners 4. System and application access control Netze Betriebssysteme Geräte

39 Cryptography Maßnahmen zum richtigen und effektiven Einsatz von Kryptographie zum Schutz der Vertraulichkeit, Authentizität und Integrität von Daten 2 Controls Krypto-Policy Schlüsselmanagement 81 Physical and environmental security 1. Sicherheitsbereiche festlegen Maßnahmen Aufbau physischer Barrieren z.b. physischer Schutz Mauern, Türen, Alarmsysteme, Sensoren Definition von Besucherrichtlinien Schaffen von Besucherbereichen, -badges Zugangskontrollen an Gebäuden, Räumen und Systemen Audit-Trails aller sicherheitsrelevanten Ereignisse Absicherung von Büros, Räumen und Einrichtungen Schutz vor Bedrohungen von außen und aus der Umwelt Brandbekämpfungsausstattung, Backups Arbeitsplätze in Sicherheitsbereichen Geheimhaltung von Existenz und Tätigkeiten Sicherheit von Verladebereichen Schleusen, Registrierung von ein- und ausgehenden Gütern

40 Physische Sicherheit: Grundfunktionen Exkurs Beobachtende Angriffe: Schirmung (elektromagnetische Abstrahlung, Energieverbrauch unabhängig von den zu schützenden Geheimnissen) Verändernde Angriffe: Erkennen, Bewerten,Verzögern und ggf. Löschen der geheimen Informationen. Verzögern (z.b. hartes Material) Erkennen (z.b. Erschütterungs-, Drucksensoren) Schirmen, Bewerten SM löschen 83 Physische Sicherheit Sicherheitsmodul Exkurs Bild: Brandschutz Zutrittsschutz Klimatisierung Unabhängige Stromversorgung

41 Physical and environmental security 2. Sicherheit von Ausstattung und Ausrüstung 85 Maßnahmen Generelle Empfehlungen «Nicht essen am Computer» Geeignete Energieversorgung UPS, Notstrom Sicherheit der Verkabelung nur benötigte Dosen verkabeln («patchen») redundante Verkabelung Glasfaser verwenden Wartung und Reparatur von Geräten Sensible Daten auf Datenträgern, Schutz vor Datenverlust Entsorgung von Geräten, Datenträgern vorher Daten löschen/unkenntlich machen Entfernung von Eigentum aus dem Standort Sollte nicht ohne Genehmigung möglich sein Politik des aufgeräumten Schreibtischs und des leeren Bildschirms Operations security 1. Sichere Betriebsabläufe und Zuständigkeiten Maßnahmen Dokumentation von Betriebsabläufen (Prozessen) Change Management Ressourcenmanagement Verteilung von Verantwortung z.b. Verschiedene Personen für Rechneradministration, Netzwerk-Admin, Rechtevergabe, Protokollierung, -einsicht Aufteilung von Entwicklungs-, Test- und Produktiveinrichtungen

42 Operations security 2. Schutz vor Malware 1 Control mit zahlreichen Punkten; Beispiele: Virenscanner auf Dateien, s Update-Management Sicherstellung, dass Warnhinweise korrekt sind 3. Backup Notwendigen Backup-Grad definieren Dokumentierte Verfahren zur Wiederherstellung Regelmäßige Prüfung der Backup-Medien Physischer Schutz der Backup-Medien Backups ggf. verschlüsseln z.b. Hoaxes 87 Beispiel für eine Hoax-Mail 88 Von: Doris Külper Datum: :25:12 Betreff: WICHTIGE INFO Handy Fangnummern im Umlauf Für alle zur Info Wenn auf dem Handydisplay die Mitteilung "Anruf in Abwesenheit" und dann die Nummer: oder erscheint, nicht zurückrufen. Es handelt sich hierbei um eine Fangnummer, die den Anruf bis zu einer Stunde und länger hält. Der Anrufer selbst hat keine Möglichkeit, den Anruf zu beenden. Bitte geben Sie diese Nummer jedem weiter, den Sie kennen, damit böse Überraschungen im Vorfeld schon vermieden werden. Mit freundlichem Gruss Doris Külper Staatsanwaltschaft Hamburg? siehe auch: Wahr & falsch: Handy-Betrug mit 0137-Nummern

43 Operations security 4. Logging und Monitoring Auditprotokolle Überwachung der Systemnutzung Schutz von Protokollinformationen Administrator und Betreiber Protokolle Zeitsynchronisation 5. Control of operational software Update management Konfigurationsmanagement Rollback 6. Technical vulnerability management 2 Controls zum Vorgehen bei Verletzlichkeiten 7. Information systems audit considerations 1 Control zur Systemüberprüfung 89 Communications security 1. Management von Netzwerksicherheit Schutzmaßnahmen für Netzwerke Gewaltenteilung zwischen Rechner- und Netzadministration Sicherheitsmaßnahmen zur Gewährleistung von Vertraulichkeit und Integrität Verschlüsselung auf Übertragungsstrecken Angemessene Protokollierung und Überwachung 2. Austausch von Informationen Politik zum Austausch von Informationen Vereinbarungen zum Infoaustausch Datenträgertransport Elektronische Nachrichten Geschäftsinformationssysteme

44 System acquisition, development and maintenance Maßnahmen 1. Definition von Sicherheitsanforderungen bereits beim Systemdesign 2. Sicherheit innerhalb des Entwicklungsprozesses und beim Support Schutz von Systemdateien (z.b verwendete Bibliotheken) 3. Testdaten adressiert die Entwicklung sicherer Systeme betrifft insb. Unternehmen, die selbst SW entwickeln strukturierter SW-Entwicklungsprozess Macht deutlich: Sicherheit ist ein Querschnittsthema! 91 Supplier relationships Aufrechterhaltung der Sicherheit von Informationen und informationsverarbeitenden Einrichtungen der Organisation, die von Externen verarbeitet oder verwaltet werden, auf die Externe zugreifen, oder die an Externe verteilt werden. Maßnahmen Identifizierung von Risiken in Zusammenhang mit Externen Adressieren von Sicherheit beim Umgang mit Kunden Adressieren von Sicherheit in Vereinbarungen mit Dritten Beispiele Kunden Outsourcing, Hardware- und Software-Support Reinigungskräfte Praktikanten, Studenten, Leiharbeitskräfte Berater

45 Information security incident management 1. Melden von Informationssicherheitsereignissen und Schwachstellen Geeignete Feedbackverfahren Formulare Kriterien für korrektes Verhalten 2. Management von Informationssicherheitsvorfällen und Verbesserungen Managementverwantwortlichkeiten und Verfahren einrichten Verfahren zur Wiederherstellung Lernen von Vorfällen Sammeln von Beweisen 93 Business continuity management Schutz vor Unterbrechungen von Geschäftsaktivitäten, um kritische Geschäftsprozesse von den Auswirkungen von größeren Störungen von Informationssystemen oder Katastrophen zu schützen und ihre rechtzeitige Wiederaufnahme sicherzustellen 2 Maßnahmen: Prozess zur Information security continuity Redundancies Adressiert i.w. die Verfügbarkeit

46 Compliance 1. Übereinstimmung mit den gesetzlichen Rahmenbedingungen Copyright, Softwarerecht Datenschutz Missbrauch, Strafverfolgung, Prüfen, ob ergriffene Maßnahmen zur Informationssicherheit mit der Security Policy übereinstimmen (security reviews) ggf. Änderungen vornehmen 95 Für welche Bereiche ist ISO geeignet? Unternehmenstypen Server-Betreiber Inhalte-Anbieter Unternehmen als Anwender Software-Hersteller Kommunikationsnetzbetreiber bevorzugt weniger Innerhalb des Unternehmens Unternehmensmanagement Projektmanagement IT-Leitung IT-Sicherheitsbeauftragte Administratoren Revisoren

47 Bewertung von ISO Zielgruppe Unternehmen und Behörden aller Größenordnungen jedoch eher geeignet für größere Organisationen Aufwand für kleinere Organisationen ist überproportional hoch nicht gut geeignet für Privatanwender Alternative: Grundschutz-Ansatz des BSI 97 Bewertung von ISO System-/Produkttypen geschaffen für Bewertung eines sozio-technischen Gesamtsystems Top-Down-Ansatz zur Schaffung von Informationssicherheit hauptsächlich generische Sicherheitsmaßnahmen weniger geeignet zur Zertifizierung einzelner Produkte gut: Einbettung eines Produktes in das Gesamtsystem Problem: Bei Zerlegung des Systems in Teilsysteme keine geeigneten Maßnahmenempfehlungen, die das sichere Zusammenfügen der Teilsysteme unterstützen

48 Bewertung von ISO Anwendungsweise 1. Verwendung als Nachschlagewerk für Fragen zum Einsatz einzelner (High-Level)-Maßnahmen 2. Aufbau eines Information Security Management Systems (ISMS) nach dem State-of-the-Art 3. Aufbau eines zertifizierbaren ISMS 2. und 3. erfordern systematische und vollständige Abarbeitung der Maßnahmenempfehlungen 99 Bewertung von ISO Erreichbares Sicherheitsniveau recht umfassender Maßnahmenkatalog definiert größtenteils Standard-Sicherheitsmaßnahmen für Hochsicherheit weiter gehende Maßnahmen erforderlich jedoch: Management von Hochsicherheit wird durch Managementansatz unterstützt Aufwand für Umsetzung hängt vom Organisationsgrad des Unternehmens ab hoher Organisationsgrad weniger Aufwand Umsetzung der Maßnahmen kann durch Tools unterstützt werden

49 BSI IT-Grundschutz 101 Die Idee von Grundschutz Angemessene IT-Sicherheit kann nur durch eine sinnvolle Kombination technisch-organisatorischer Maßnahmen erreicht werden. Beschreibung von Standardsicherheitsmaßnahmen für typische IT- Systeme mit»normalem«schutzbedarf Baukastenprinzip: Bausteine repräsentieren typische Bereiche des IT-Einsatzes keine Maßnahmen für Individuallösungen keine traditionelle Risikoanalyse stattdessen sog. Soll-Ist-Vergleich zwischen empfohlenen und bereits realisierten Maßnahmen

50 Das klassische IT-Grundschutzhandbuch (GSHB) bis 2004 Zusammenstellung von Standardsicherheitsmaßnahmen, Umsetzungshinweisen und Hilfsmitteln für zahlreiche IT-Konfigurationen vom Bundesamt für die Sicherheit in der Informationstechnik (BSI) herausgegeben hatte etwa 2000 Seiten Papier war auch Online und auf CD-ROM erhältlich wurde halbjährlich aktualisiert Hilfsmittel BSI-Tool zum IT-Grundschutz: Unterstützung der gesamten Vorgehensweise BSI-Tool USEIT: Sicherheitsüberprüfung von Unix-Systemen 103 IT-Grundschutz seit : ISMS Online erhältlich unter BSI-Standards grundsätzliche Empfehlungen Grundschutz-Kataloge Handlungsempfehlungen ca Seiten 100-2: IT-Grundschutz-Vorgehensweise 100-3: Risikoanalyse 100-4: Notfallmanagement Bausteine Gefährdungskataloge Maßnahmenkataloge Grundschutz-Zertifikat Bestätigung der Umsetzung

51 Die BSI-Standards der 100er Reihe Zielsetzung Empfehlungen des BSI zu Methoden, Prozessen, Verfahren, Vorghensweisen und Maßnahmen mit Bezug zur Informationssicherheit darstellen Bewährte Herangehensweisen in ein einheitliches Konzept integrieren Zitierfähigkeit Managementsystem für Informationsicherheit (ISMS) Definiert Anforderungen an ein ISMS Integriert Inhalte des ISO-Standards unter Berücksichtigung von ISO 13335, Gliederung entsprechend der Grundschutz-Vorgehensweise 105 Die BSI-Standards der 100er Reihe IT-Grundschutz-Vorgehensweise Beschreibt Aufbau und Betrieb von IT-Sicherheitsmanagement in der Praxis Konkrete Umsetzungshinweise in Verbindung mit den Grundschutz-Katalogen Risikoanalyse auf Basis von IT-Grundschutz Baut auf (IT-Grundschutz-Vorgehensweise) auf Für Bereiche mit besonderen Sicherheitsanforderungen Für Einsatzszenarien die vom Grundschutz nicht abgedeckt werden Integration in den Sicherheitsprozess Notfallmanagement Aufzeigen eines systematischen Wegs zur Reaktion in Notfällen

52 Aufbau der IT-Grundschutz-Kataloge Vorgehensweise nach BSI-Standard Bausteine B1 Übergreifende Aspekte B2 Infrastruktur B3 IT-Systeme B4 Netze B5 Anwendungen Gefährdungskataloge G1 Höhere Gewalt G2 Organisatorische Mängel G3 Menschliche Fehlhandlungen G4 Technisches Versagen G5 Vorsätzliche Handlungen Maßnahmenkataloge M1 Infrastruktur M2 Organisation M3 Personal M4 Hardware und Software M5 Kommunikation M6 Notfallvorsorge Bausteine repräsentieren typische Bereiche des IT- Einsatzes, eingeteilt in die fünf Schichten B1 bis B5. Gefährdungskataloge enthalten ausführliche Beschreibungen der Gefährdungen, die in den einzelnen Bausteinen als Gefährdungslage bezeichnet wurden; eingeteilt in die fünf Gefährdungsbereiche G1 bis G5. Maßnahmenkataloge enthalten ausführliche Beschreibungen der in den Bausteinen zitierten IT- Sicherheitsmaßnahmen. Typischer Aufbau einer Bausteinbeschreibung Beschreibung Allgemeine Beschreibung des Bausteins und der entsprechenden Besonderheiten im Bezug auf IT-Sicherheit Gefährdungslage Unterteilung entsprechend der fünf Gefährdungsbereiche Tabellarischer Verweis auf die entsprechenden Bereiche der Gefährdungskataloge Maßnahmenempfehlungen Textuelle Beschreibung der Maßnahmenempfehlungen unterteilt nach den Lebenszyklusphasen von der Planung bis zur Aussonderung Tabellarischer Verweis auf die entsprechenden Bereiche der Maßnahmenkataloge Verweis auf andere Bausteine wenn Abhängigkeiten bestehen

53 Bsple. f. Bausteine der Schicht»Übergreifende Aspekte«IT-Sicherheitsmanagement: Zeigt, wie ein funktionierendes IT- Sicherheitsmanagement systematisch eingerichtet und im laufenden Betrieb weiterentwickelt werden kann. Organisation: Notwendige organisatorische Regelungen für die IT- Sicherheit, die für jedes IT-System umzusetzen sind. Personal: Maßnahmen im Personalbereich bzgl. IT-Sicherheit, sie sind unabhängig von der Art des eingesetzten IT-Systems zu beachten. Notfallmanagement: Notfallvorsorge mit Präventivmaßnahmen zur Vermeidung von Notfällen und Krisen sowie die Planung der Notfallbewältigung mit der Wiederherstellung von Geschäftsprozessen und Systemen Datensicherungskonzept: Systematische Erarbeitung eines fundierten Datensicherungskonzepts, v. a. bei größeren IT- Systemen nötig. Datenschutz: Rahmenbedingungen für einen praxisgerechten Datenschutz und die Verbindung zur IT-Sicherheit, gemeinsam mit dem Bundesbeauftragten für Datenschutz entwickelt. 109 Bsple. f. Bausteine der Schicht»Übergreifende Aspekte«Schutz vor Schadprogrammen: Maßnahmen, die das Auftreten von Computer-Viren auf den in einer Organisation eingesetzten IT- Systemen verhindern bzw. möglichst früh erkennen, um Gegenmaßnahmen vornehmen zu können und Schäden zu minimieren. Kryptokonzept: Zeigt, wie in einer heterogenen Umgebung sowohl die lokal gespeicherten Daten als auch die zu übertragenden Daten wirkungsvoll durch kryptographische Verfahren und Techniken geschützt werden können. Behandlung von Sicherheitsvorfällen: Sicherheitsvorfälle (Ereignisse, deren Auswirkungen großen Schaden anrichten können) sollten zügig und effizient behandelt werden, um Schäden zu verhüten bzw. zu begrenzen. Hard- und Software-Management: Ordnungsgemäßen IT-Betrieb im Hinblick auf Management bzw. Organisation sicherstellen. Standardsoftware: Maßnahmen zur Gestaltung des Lebenszyklus von Standardsoftware

54 Bsple. f. Bausteine der Schicht»Übergreifende Aspekte«Outsourcing: Berücksichtigung von IT-Sicherheitsaspekten technischer und organisatorischer Natur in allen Phasen eines Outsourcing-Projekts Archivierung: Maßnahmen für ein Archivsystem zur dauerhaften Speicherung elektronischer Dokumente unter Berücksichtigung der konfliktären Anforderungen Verfügbarkeit und Vertraulichkeit/ Integrität IT-Sicherheitssensibilisierung und schulung: Etablierung eines Programms zur Etablierung einer Sicherheitskultur und Schaffung von Sicherheitsbewusstsein Patch- und Änderungsmanagement: Eingriffe in Anwendungen, Infrastruktur, Dokumentationen, Prozessen und Verfahren steuerund kontrollierbar gestalten Löschen und Vernichten von Daten: geregelte Vorgehensweise, um Daten und Datenträger vollständig und zuverlässig zu löschen oder zu vernichten Anforderungsmanagement: Überblick über gesetzliche, vertragliche, strukturelle und interne Richtlinien und Vorgaben 111 Bsple. f. Bausteine der Schicht»Infrastruktur«Gebäude: Gefährdungen und Maßnahmen, die in jedem Gebäude, in dem Datenverarbeitung stattfindet, zu beachten sind. Verkabelung: Gefährdungen und Maßnahmen, die für die Verkabelung eines Gebäudes mit Versorgungs- und Kommunikationsleitungen relevant sind. Büroraum: Gefährdungen und Maßnahmen, die im Zusammenhang mit dem IT-Einsatz in einem Büro zu beachten sind. Serverraum: Gefährdungen und Maßnahmen, die bei der Nutzung eines Raumes, in dem ein Server (für IT-Systeme oder TK-Anlagen) aufgestellt ist, beachtet werden müssen. Datenträgerarchiv: Gefährdungen und Maßnahmen für Räume, die als Datenträgerarchive genutzt werden. Raum für technische Infrastruktur: Gefährdungen und Maßnahmen für Räume, in denen technische Infrastruktur installiert wird

55 Bsple. f. Bausteine der Schicht»Infrastruktur«Schutzschränke: Gefährdungen und Maßnahmen für die Beschaffung, Aufstellung und Nutzung eines Schutzschranks zur sicheren Aufbewahrung von Datenträgern und Hardware. Häuslicher Arbeitsplatz: Gefährdungen und Maßnahmen, um einen häuslichen Arbeitsplatz mit angemessenem Sicherheitsstandard einzurichten, so dass er für dienstliche Aufgaben genutzt werden kann Rechenzentrum: Gefährdungen und Maßnahmen für ein Rechenzentrum (Einrichtungen und Räumlichkeiten, die für den Betrieb einer größeren, zentral für mehrere Stellen eingesetzten Datenverarbeitungsanlage nötig sind) mittlerer Art und Güte (d.h. die Sicherheitsanforderungen liegen zwischen denen eines Serverraums und denen von Hochsicherheitszentren) Mobiler Arbeitsplatz: Gefährdungen und Maßnahmen, zur Erreichung einer einem Büroraum vergleichbaren Sicherheitssituation für mobile Arbeitsplätze. Besprechungs-, Veranstaltungs- und Schulungsräume: Festlegung und Umsetzung von Sicherheitsregelungen für Räume mit spezieller Nutzung. IT-Verkabelung: Schutz der passiven Netzkomponenten 113 Bsple. f. Bausteine der Schicht»IT-Systeme«Bausteingruppe Server Gefährdungen und Maßnahmen für IT-Systeme, die als Server in einem Netz Dienste anbieten Bausteingruppe Client Gefährdungen und Maßnahmen die beim Einsatz von handelsüblichen, vernetzten Mehrbenutzer-PCs beachtet werden müssen Bausteingruppe Netzwerkkomponenten Gefährdungen und Maßnahmen die beim Einsatz von Netzwerkkomponenten beachtet werden müssen Bausteingruppe Telekommunikationssysteme Gefährdungen und Maßnahmen für Endgeräte in einem Telekommunikationsnetz