FACHHOCHSCHULE LAUSITZ University of Applied Sciences. Studiengang Informatik MASTERARBEIT

Größe: px
Ab Seite anzeigen:

Download "FACHHOCHSCHULE LAUSITZ University of Applied Sciences. Studiengang Informatik MASTERARBEIT"

Transkript

1 FACHHOCHSCHULE LAUSITZ University of Applied Sciences Studiengang Informatik MASTERARBEIT Informationssicherheit in Kliniken: Erstellung eines IT-Grundschutz-Profils für Kliniken auf Basis des BSI Standards Robert Vattig (geb. am ) 1. Betreuer: Prof. Dr.-Ing. Ingrid Bönninger 2. Betreuer: Prof. Dr. rer. nat. Dietmar Henrich 3. Betreuer: Dipl. Inf. Anastasia Eifer 4. Betreuer: Dipl. Inf. Holger Schildt Senftenberg, April 2011

2 Vorwort Durch die Etablierung von Informationstechnik im Gesundheitswesen in verschiedenen Bereichen, wie etwa der Telemedizin und der Einführung der elektronischen Gesundheitskarte, steigt das Risiko von Gefährdungen für die Informationssicherheit in Kliniken. Um den Sicherheitsgefährdungen bezüglich der Verfügbarkeit, der Integrität und der Vertraulichkeit entgegenzuwirken und ein angemessenes Informationssicherheitsniveau zu erreichen, werden umfangreiche Informationssicherheitskonzepte benötigt. In diesem Bereich haben sich Standards etabliert, die nicht nur das Sicherheitskonzept, sondern weiterführend z. B. spezielle informationssicherheitstechnische Maßnahmen und Best-Practice Vorgehensweisen erläutern. Das Bundesamt für Sicherheit in der Informationstechnik entwickelt einen dieser Standards der Empfehlungen zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Sicherheitsmaßnahmen enthält. Um Kliniken die Nutzung dieses Standards zu erleichtern, wurde im Zuge dieser Arbeit ein IT-Grundschutz-Profil für ein Klinikum entwickelt. In diesem Profil wird der IT- Grundschutz mit Beispielen aus dem Gesundheitswesen und Auszügen aus der ISO erläutert. Dabei muss die komplette Infrastruktur analysiert und erfasst werden, um Sicherheitsmängel zu finden bzw. zu beseitigen. Diese umfangreichen und teils heterogenen Netzwerke benötigen eine standardisierte Vorgehensweise, um einheitliche Abläufe und Prozesse zur Etablierung eines angemessenen Sicherheitsniveaus einzuführen. 1 DIN EN ISO 27799, Sicherheitsmanagement im Gesundheitswesen bei der Verwendung der ISO/IEC IT-Sicherheitsverfahren Leitfaden für das Informationssicherheitsmanagement. I

3 Abstract Die vorliegende Arbeit beschreibt die IT-Grundschutz-Vorgehensweise des Bundesamts für Sicherheit in der Informationstechnik für Kliniken. Dabei wird mit Handlungsempfehlungen und Beispiel aus einem Klinikum der Anwender bei der Umsetzung des IT- Grundschutz unterstützt und geleitet. Die Vorgehensweise nach IT-Grundschutz ist im BSI-Standard beschrieben und die Kenntnis dieses Standards ist eine Voraussetzung zum Verständnis dieser Arbeit. Der inhaltliche Aufbau des Profils, ist am Standard und am Webkurs des BSI orientiert. Das Ziel ist, das Schließen der Lücke, einer beispielhaften Beschreibung der Vorgehensweise nach IT-Grundschutz an einem Klinikum und das vorstellen und einordnen andere bekannter Strategien bzw. Modelle bezüglich der inhaltlichen Tiefe und Breite bzw. der Anwendbarkeit in der Informationssicherheit. II

4 Inhaltsverzeichnis VORWORT... 1 ABSTRACT EINLEITUNG GRUNDLAGEN Die drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit Gefährdungen Höhere Gewalten Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen SICHERHEITSSTRATEGIEN, -MODELLE UND -ANALYSEN Committee of Sponsoring Organizations of the Treadway Commission (COSO) Control Objectives for Information and Related Technology (CobiT) Domäne Plan & Organise Domäne Acuire & Implement Domäne Deliver & Support Domäne Monitor & Evaluate Information Technology Infrastructure (ITIL) British Standards (BS 7799) International Organization for Standardization (ISO-Reihe 2700x) Die BSI-Standards Risikoanalyse...20 III

5 3.8 Managementsystem für Informationssicherheit ANWENDUNG DES IT-GRUNDSCHUTZES AN EINEM KLINIKUM Einleitung Zielsetzung des Profils Die BSI-Standards zur Informationssicherheit Die IT-Grundschutz-Kataloge Rahmenbedingungen Erläuterungen zum Schutzbedarf Rechtliche Rahmenbedingungen Verantwortlichkeiten und Vorgehensweise Die Unternehmensziele und Aufgaben Definition und Abgrenzung des Informationsverbundes Leitlinie zur Informationssicherheit und Sicherheitskonzept Leitlinie zur Informationssicherheit Vorgehensweise bei der Erstellung eines Sicherheitskonzepts Strukturanalyse Netzplan Erhebung der IT-Systeme, Anwendungen und Räume IT-Systeme Komplexitätsreduktion durch Gruppenbildung Das GSTOOL des BSI Schutzbedarfsfeststellung Vorarbeiten Besonderheiten von Daten aus dem Gesundheitswesen Schutzbedarfsfeststellung für Anwendungen Schutzbedarfsfeststellung für IT-Systeme Schutzbedarfsfeststellung für Räume Schutzbedarfsfeststellung für Kommunikationsverbindungen Modellierung Vorgehensweise, das Schichtenmodell Probleme bei der Modellierung Anpassung von Maßnahmen IV

6 4.8 Basis-Sicherheitscheck Organisatorische Vorbereitungen Durchführung des Soll-Ist-Vergleichs Dokumentation der Ergebnisse Ergänzende Sicherheitsanalyse Vorgehensweise der ergänzenden Sicherheitsanalyse Risikoanalyse auf Basis von IT-Grundschutz Risikoanalyse eines Zielobjekts am Beispiel-Informationsverbund Umsetzung der Sicherheitskonzeption Aufrechterhaltung und kontinuierliche Verbesserung Zertifizierung ZUSAMMENFASSUNG QUELLENVERZEICHNIS ANHANG 1: LEITLINIE ZUR INFORMATIONSSICHERHEIT EIDESSTATTLICHE VERSICHERUNG V

7 Abbildungsverzeichnis Abbildung 1: Einordnung der Regelwerke bezügl. der Vollständigkeit... 6 Abbildung 2: COSO Würfel... 7 Abbildung 3: Der Management-Zyklus nach Hopstraken & Kranendonk... 8 Abbildung 4: Der Governance Würfel von CobiT... 9 Abbildung 5: Diagramm der Planung und Organisation Abbildung 6: Diagramm der Akquisition und Implementierung Abbildung 7: Diagramm Delivery & Support Abbildung 8: Diagramm Monitoring & Evaluierung Abbildung 9: Überblick über die Bereiche von ITIL Abbildung 10: Der Risikomanagement-prozess Abbildung 11: Allgemeiner Risiko-Management-Prozess Abbildung 12: Bestandteile eines Managementsystems für Informationssicherheit Abbildung 13: Lebenszyklus nach Deming (PDCA-Zyklus) Abbildung 14: Beispiel einer IS-Organisationsstruktur in einem Klinikum Abbildung 15: Aufbau einer IS-Organisation in einer großen Institution Abbildung 16: Integration der Risikoanalyse in den IT-Grundschutz-Prozess Abbildung 17: Erfassung der Unternehmensziele, um darauf aufbauend Sicherheitsziele zu definieren Abbildung 18: Inhalte der Sicherheitsleitlinie Abbildung 19: Erstellung der Sicherheitskonzeption im Informationssicherheitsmanagement Abbildung 20: Bereinigter Netzplan des Beispiel Informationsverbunds Abbildung 21: Beispiel Netzplan mit kritischen Verbindungen am Beispiel- Informationsverbund Abbildung 22: Die Schichten und Zuständigkeiten der Bausteine der IT- Grundschutzkataloge Abbildung 23: Entscheidungsprozess im Basis-Sicherheitscheck Abbildung 24: Der Basis-Sicherheitscheck als Ist-Soll-Vergleich zur Identifikation fehlender Sicherheitsmaßnahmen Abbildung 25: Übersicht zum Umgang mit Risiken VI

8 Tabellenverzeichnis Tabelle 1: Schutzbedarfsfeststellung Tabelle 2: Die Kataloge zu den Bausteinen, Gefährdungen und Maßnahmen Tabelle 3: Definition der Schutzbedarfskategorien Tabelle 4: Abgrenzung der Schutzbedarfskategorie "normal" auf die entsprechenden Schadensszenarien Tabelle 5: Ausschnitt aus der Erhebung der IT-Systeme des Beispiel- Informationsverbunds Tabelle 6: Ausschnitt aus der Erhebung der Anwendungen am Beispiel- Informationsverbund Tabelle 7: Ausschnitt aus der Erhebung der Räume am Beispiel-Informationsverbund 51 Tabelle 8: Ausschnitt aus der Zuweisung der Anwendungen zu den IT-Systemen am Beispiel-Informationsverbund Tabelle 9: Ausschnitt aus der Schutzbedarfsfeststellung der Anwendungen am Beispiel- Informationsverbund Tabelle 10: Ausschnitt aus der Schutzbedarfsfeststellung der IT-Systeme am Beispiel Klinikum Tabelle 11: Ausschnitt aus der Schutzbedarfsfeststellung der Räume am Beispiel- Informationsverbund Tabelle 12: Ausschnitt aus der Erfassung der Netzwerkverbindungen am Beispiel- Informationsverbund Tabelle 13: Ausschnitt aus der Dokumentation der Modellierung am Beispiel- Informationsverbund Tabelle 14: Bedeutung der einzelnen Umsetzungsstatus Tabelle 18: Zu erfassende Informationen für den Status einer Maßnahme Tabelle 16: Gefährdungen der Bausteine Server unter Windows 2003 und Allgemeine Server Tabelle 17: Weitere Gefährdungen, die auf das Zielobjekt zutreffen Tabelle 18: Zusammenfassung der wesentlichen Informationen zur IT-Grundschutz- Zertifizierung VII

9 1 Einleitung 1 Einleitung In einer vorhergehenden Diplomarbeit wurde der Standard des Bundesamts für Sicherheit in der Informationstechnik (BSI) am Klinikum der Universität München umgesetzt. Der BSI Standard beschreibt die Vorgehensweise nach IT-Grundschutz und damit ein Managementsystem für Informationssicherheit (ISMS). Das Ziel der Diplomarbeit war eine modellhafte Umsetzung der Vorgehensweise nach BSI Standard 100-2, in Form einer Anforderungsanalyse. Auf Grund der historisch gewachsenen Infrastruktur und spezieller Medizintechnik, wurde die Anwendbarkeit der IT- Grundschutz-Kataloge in Frage gestellt. Die IT-Grundschutz-Kataloge bieten unteranderem Standard-Sicherheitsmaßnahmen für typische IT-Infrastrukturen. Ein Klinikum stellt, nicht nur durch Nutzung spezieller Medizintechnik, eine Besonderheit dar, sondern auch durch die Verarbeitung von besonders kritischen Patientendaten. Im Zuge der Diplomarbeit wurden, während der Vorgehensweise nach IT-Grundschutz, am Klinikum Sicherheitslücken aufgedeckt. Der IT-Grundschutz bot mit dem BSI-Standard zusätzlich Lösungsansätze für die spezielle Informationstechnik im Gesundheitswesen. Dieser beschreibt die Risikoanalyse auf der Basis von IT-Grundschutz für Zielobjekte, für die die Standard-Sicherheitsmaßnahmen nicht ausreichen, um auch für diese ein angemessenes Sicherheitsniveau zu erreichen. Auf Grundlage der Diplomarbeit, wird mit der vorliegenden Masterarbeit die IT-Grundschutz-Vorgehensweise an einem Klinikum detailliert beschrieben. Das Ziel der Masterarbeit ist die Erstellung eines IT-Grundschutz-Profils, um die Lücke aus der mangelnden Informationssicherheit in Kliniken durch die nachfolgende Erarbeitung des Profils zu schließen. Das Profil beschreibt detailliert die IT-Grundschutz- Vorgehensweise mit Hilfe von Beispielen aus einem Klinikum und gibt Handlungsempfehlungen, die den Anwender bei der Umsetzung unterstützt und leitet. Außerdem bekommt der Leser einen Überblick über gängige Sicherheitsstrategien und Modelle, mit dem Fokus auf die IT-Grundschutz-Methodik. Kapitel 1 gibt einen kurzen Überblick über das Thema Informationssicherheit. Im nachfolgenden Kapitel werden gängige Sicherheitsmodelle bzw. -strategien und Standards 1

10 1 Einleitung vorgestellt, dazu gehören beispielsweise CobiT (Control Objectives for Information and Related Techology), ITIL (Information Technology Infrastructure Library), die ISO 2700x-Reihe und weitere. Im Hauptteil der Arbeit, Kapitel 4, wird der IT-Grundschutz des BSI (Bundesamts für Sicherheit in der Informationstechnik) detailliert, mit Beispielen aus einem Klinikum, beschrieben. Im abschließenden kritischen Fazit werden eine Zusammenfassung der Arbeit sowie der weitere Forschungsbedarf formuliert. 2

11 2 Grundlagen 2 Grundlagen Informationssicherheit beschreibt den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in allen Ebenen, sowohl IT-Unterstützt als auch in Dokumenten oder in mündlicher Form. Das BSI hat den Begriff der Informationssicherheit eingeführt, da IT-Sicherheit wörtlich gesprochen auf die Informationstechnik beschränkt und Informationssicherheit auch andere Bereiche mit abdeckt und damit passender für ein komplettes Sicherheitskonzept ist. [BSI_100-1] 2.1 Die drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit Die Vertraulichkeit bezieht sich auf den Schutz sensibler Daten, vor dem nicht autorisierten Zugriff. Um die Vertraulichkeit zu gewährleisten muss sichergestellt werden, dass schützenswerte Daten nur von autorisierten Personen eingesehen werden können. Die Integrität hat das Ziel, dass Informationen nicht verändert werden bzw. alle Veränderungen (absichtlich, unabsichtlich oder durch technische Fehler) nachvollziehbar sein müssen. Außerdem muss die Vollständigkeit der Information gewährleistet werden. Die Verfügbarkeit bedeutet, dass Daten oder Services innerhalb eines vereinbarten Zeitraumes zur Verfügung stehen. Somit müssen bei wichtigen Systemen Ausfälle verhindert bzw. innerhalb kürzester Zeit behoben werden. [GS-Kataloge] 2.2 Gefährdungen Informationssicherheit dient der Vermeidung und Minimierung von Schäden und Risiken. Als Grundlage dafür werden in diesem Kapitel mögliche Gefährdungen betrachtet, da Gefährdungen zu einem bestimmten (Sicherheits-) Risiko führen. Negative Auswirkungen eines Ereignisses sind oft mit Schäden verbunden und Stellen ein Risiko für Unternehmen dar. Das Bundesamt für Sicherheit in der Informationstechnik hat eine Gefährdungsübersicht entwickelt, die hier als Grundlage dient und in den IT- Grundschutz-Kataloge enthalten ist Höhere Gewalten Höhere Gewalten sind schadensverursachende Ereignisse, die nicht auf eine Person oder das Zielobjekt selbst zurückführbar sind. Dazu gehören Beispielsweise Naturkatastrophen wie Unwetter, Erdbeben, Überschwemmung, aber auch Brand, Terrorismus oder Streiks. 3

12 2 Grundlagen Organisatorische Mängel Organisatorische Mängel können beispielsweise in Form von fehlende oder unzureichende Dokumentation, fehlende oder unzureichende Schulungen und weiteres. Oft sind technische Maßnahmen auf organisatorische Maßnahmen zurückführbar. Das kann beispielsweise der Fall sein, wenn die Mitarbeiter nicht ordnungsgemäß geschult werden und dadurch unzureichende Kenntnisse über Regelungen haben. So kann eine Regelung für den Umgang mit der IT und die entsprechende Schulung als organisatorische Maßnahme gesehen werden. Werden als technische Maßnahme verschieden Benutzerprofile eingerichtet und die Mitarbeit nutzen dessen ungeachtet andere Benutzerprofile, als das für sie vorgesehene Profil, greift diese technische Maßnahme nicht. Somit müssen die Mitarbeit geschult werden, dass sie nur ihr Profil nutzen und ihre Profildaten nicht an andere weitergeben Menschliche Fehlhandlungen Menschliche Fehlhandlungen haben verschiedene Ursachen, das kann psychisch als auch körperlich bedingt sein, z. B. mangelnde Konzentration, Übermüdung, Unsorgfältigkeit, falsche Annahmen, Leichtsinn, Überforderung, fehlende Kenntnisse etc. Ein Szenario wäre der ungeeignete Umgang mit Passwörtern, so kann an vielen Arbeitsplätzen verschiedener Unternehmen immer wieder beobachtet werden, das Mitarbeiter ihre Benutzernamen autospeichern und Kennwörter unter der Tastatur oder sogar mit Merkzetteln am Monitor unsicher aufbewahren Technisches Versagen Technisches Versagen kann sich beispielsweise auf IT-Systeme im laufenden Betrieb beziehen, aber auch auf Datenträger zur Archivierung, die defekt sind. Dabei wird die Verfügbarkeit beeinträchtigt. Grade bei defekten Datenträgern können in Krankhäusern rechtliche Probleme auftreten, da die Archivierung medizinischer Daten für längere Zeiträume gewährleistet werden muss. Aber auch die Integrität kann gefährdet werden, wenn beispielsweise Datenübertragungsfehler verschlüsselter Daten nicht erkannt werden. Ein technischer Defekt kann auch von einer Netzwerkkomponente ausgehen und die Vertraulichkeit gefährden, wenn durch den technischen Fehler der Zugriff nicht Autorisierter Benutzer auf sensible Daten erlaubt wird. 4

13 2 Grundlagen Vorsätzliche Handlungen Vorsätzliche Handlungen können in verschiedensten Formen auftreten, z. B. Manipulation oder Zerstörung von Geräten, Manipulation oder Löschung von Daten, Diebstahl, Vandalismus etc. Dabei wird zwischen internen und externen Angriffen unterschieden. Dabei gibt es die verschiedensten Motive, z. B. einfaches ausprobieren, Rache, aus Spaß, für Anerkennung oder sogar Wirtschaftsspionage. Bei den internen Angriffen wird ein großer Teil von eigenen Mitarbeitern abgedeckt, wenn sie beispielsweise aus Rache handeln und weil sie sich schlecht behandelt fühlen oder wenn sie auf Grund ihres hohen Know-Hows einfach mal ausprobieren was so möglich ist. Aus technischer Sicht gibt es eine Vielzahl an Gefährdungen, z. B. Social Engineering 2 und eine Masse an Malware 3 wie Viren, Würmer, Trojaner, Spyware, Adware, Scareware etc. 2 Social Engineering benutzt Techniken der Beeinflussung und Überredungskunst zur Manipulation oder zur Vortäuschung falscher Tatsachen, über die sich ein Social Engineer eine gefälschte Identität aneignet. Damit kann der Social Engineer andere zu seinem Vorteil ausbeuten, um mit oder ohne Verwendung von technischen Hilfsmitteln an Informationen zu gelangen. [Mitnick02] 3 Mit dem Begriff Malware (Schadprogramm) werden alle Arten von Schadprogrammen zusammengefasst. 5

14 3 Sicherheitsstrategien, -modelle und -analysen 3 Sicherheitsstrategien, -modelle und -analysen Nach dem im vorherigen Kapitel einige mögliche Gefährdungen aufgezeigt wurden, werden in diesem Kapitel verschiedene Möglichkeiten, ein angemessenes Sicherheitsniveau zu erreichen, vorgestellt. Dabei wird von einem Modell oder einer Strategie aus gegangen, da Sicherheitsmaßnahmen alleine nicht ausreichen, um dieser Vielzahl von Gefährdungen entgegenzuwirken. In einer Strategie werden technische und organisatorische Maßnahmen bzw. Regeln, Verhaltensrichtlinien, Verantwortlichkeiten und Rollen festgelegt und beschrieben. In der folgenden Abbildung werden die gängigen Regelwerke bezüglich der Vollständigkeit in eingeordnet. Das betrifft die Unterstützungstiefe, also technischer und betrieblicher Detaillierungsgrad und die Anwendungsbreite, also Vollständigkeit der adressierten Sicherheitsanliegen. Abbildung 1: Einordnung der Regelwerke bezügl. der Vollständigkeit vgl. [Königs06] 6

15 3 Sicherheitsstrategien, -modelle und -analysen 3.1 Committee of Sponsoring Organizations of the Treadway Commission (COSO) 1992 veröffentlichte das Committee of Sponsoring Organization of the Treadway Commission ein Rahmenwerk, dass Unternehmen und andere Organisation bei der Beurteilung und Verbesserung interner Überwachungssysteme unterstützt. Als von der SEC anerkannter Standard wurde das Rahmenwerk als COSO-Modell veröffentlicht und dient der Dokumentation, Analyse und Aufbau des internen Kontrollsystems mit dem Schwerpunkt auf Finanzberichterstattung, Risikomanagement und interne Prozesssteuerung. Die Ziele sind gemäß COSO: 1. Effectiviness and efficiency of operations 2. Reliability of financial reporting 3. Compliance with applicable laws and regulations Das COSO-Modell ist in folgende Bestandeile: das Kontrollumfeld, die Risikobeurteilung, die Kontrollaktivitäten, die Information / Kommunikation und die Überwachung gegliedert. 12 Jahre später veröffentliche COSO als Ergänzung das COSO ERM Framework auch COSO-Modell 2. Zu den Bestandteilen des Kontrollumfeldes des COSO-Modell 1, werden die Bestandteile: das Internes Kontrollumfeld, die Zielsetzung, die Ereignisidentifikation und die Risikoreaktion hinzugefügt. [Goltsche06], [COSO_Sum] Abbildung 2: COSO Würfel [COSO_Sum] COSO beinhaltet zwar die Risikoanalyse, jedoch aus marktwirtschaftlicher Sicht. Der Bereich Informationssicherheit wird mit diesem Modell nur oberflächlich betrachtet, dies geht auch aus Abbildung 1 hervor. Aus diesem Grund wird es in dieser Arbeit als ungeeignet angesehen, für das betrachtete Thema Informationssicherheit an einem Klinikum. 7

16 3 Sicherheitsstrategien, -modelle und -analysen 3.2 Control Objectives for Information and Related Technology (CobiT) CobiT wurde erstmals 1996 veröffentlicht und wurde von der ISACA (Information Systems Audit and Control Association) entwickelt wurde CobiT an das IT- Governance Institut übertragen, welches unabhängig von der ISACA ist. Wie der Name schon sagt, dient CobiT zur Auditierung und allgemein zur Kontrolle der gesamten IT einer Institution. CobiT wurde an COSO angelehnt, jedoch nicht wie COSO auf Corporate Governance 4 ausgelegt, sondern auf IT-Governance spezialisiert, wirkt aber unterstützend zur Corporate Governance. Es gibt in CobiT drei Ebenen, die untere Ebene beschreibt Aktivitäten, die mittlere Ebene ist die Zusammenfassung von Aktivitäten zu Aufgabengruppen und wird Prozesse genannt und in der oberen Ebene werden in sogenannten Domänen Prozesse zusammengeführt, womit eine organisatorische Zuordnung erreicht wird. Es wird dabei in vier Domänen unterschieden, die einen strategischen Regelkreis darstellen, wie in Abbildung 3 dargestellt. Somit ist CobiT Zusammenfassend ein Modell für IT-Governance integriert in Corporate Governance und bietet zusätzlich Tools zur Diagnostik und Selbstbeurteilung der IT-Prozesse. [Goltsche06], [Königs06] Plan and Organise Monitor & Evaluate (ME) Acquire & Implement (AI) Deliver & Support (DS) Abbildung 3: Der Management-Zyklus nach Hopstraken & Kranendonk vgl. [Goltsche06] 4 Corporate Governance (CG) bezeichnet den rechtlichen und faktischen Ordnungsrahmen für die Leitung und Überwachung eines Unternehmens - Prof. Dr. Axel v. Werder 8

17 3 Sicherheitsstrategien, -modelle und -analysen Werden die genannten Ebenen um die zwei Dimensionen IT-Ressourcen und Geschäftsanforderungen ergänzt, entsteht der Governance-Würfel von CobiT Abbildung 4. Abbildung 4: Der Governance Würfel von CobiT [Goltsche06] Domäne Plan & Organise Der Schwerpunkt dieser Domäne liegt auf Strategie und Taktik. Zur Erreichung der Geschäftsziele wird eine bestimmte Vorgehensweise ausgearbeitet, die die Strategie darstellt. Diese Domäne besteht aus 10 Prozessen, von denen die ersten vier als Hauptprozesse angesehen werden können: 1. Definieren eines strategischen Plans 2. Definieren der Informationsarchitektur 3. Definieren der technischen Ausrichtung 4. Definition der IT Organisation und ihrer Beziehungen Diese vier Prozesse stehen mit allen Prozessen wechselseitige in Beziehungen und müssen ständig wiederholt und optimiert werden. Jede Änderung hat unmittelbaren Einfluss auf die anderen Prozesse. Die anschließenden drei Prozesse benötigen als Input den Output der vorhergehenden Prozesse: 5. IT-Investitionsmanagement 6. Kommunizieren der Management-Ziele und Strategien 7. Personalführungsmanagement Die letzten Prozesse: 8. Risikomanagement, 9. Projektmanagement und 10. Qualitätsmanagement, sind Domän-übergreifend, wie in Abbildung 5 dargestellt. [Goltsche06] 9

18 3 Sicherheitsstrategien, -modelle und -analysen Abbildung 5: Diagramm der Planung und Organisation vgl. [Goltsche06] Domäne Acuire & Implement In dieser Domäne werden die Strategien der Planung und Organisation technologisch umgesetzt. Die Ergebnisse aus den vier Hauptprozessen der ersten Domäne dienen als Input für den ersten Prozess Identifizierung automatischer Lösungen der zweiten Domäne Acuire & Implement. In dem die Änderungen aus diesem Prozess zum Prozess Chance Management weitergeleitet werden, wird die IT dort auf die Strategie ausgerichtet. Die Prozesse Erwerb und Pflege von Applikationssoftware, Befähigung des Betriebs und Zur Verfügungsstellung von IT-Ressourcen sind gemeinsam für die Sicherstellung der Funktionsfähigkeit der IT-Lösung aus dem Change Management verantwortlich. Der letzte Schritt ist der Prozess Installieren und Abnehmen von Systemen und Änderungen, der die Informationen des Change Managements verarbeitet. [Goltsche06] 10

19 3 Sicherheitsstrategien, -modelle und -analysen Abbildung 6: Diagramm der Akquisition und Implementierung vgl. [Goltsche06] Domäne Deliver & Support Der wichtigste Prozess stellt das Service Level Management dar, in dem IT-Services definiert, kontrolliert und optimiert werden. IT-Services die die Unterstützung von Partnern benötigen werden vom Prozess Lieferanten-Management verwaltet. Beide Prozesse sind in einer Ebene mit dem Prozess Kosten-Management verbunden. Im Service Level Management werden die Service Level Agreements 5 (SLA) definiert und überwacht. Die Prozesse Data Management, Facility Management und Operationsmanagement beziehen ihre Informationen aus dem Service Level Management, das auch über die Ausrichtung der Services entscheidet. Der Prozess Anwenderunterstützung, ist die Schnittstelle für die Anwender und beinhaltet den Service-Desk und das Incident-Management und operiert mit dem Problem Management zusammen. Beide sind vom Konfigurationsmanagement abhängig, der für die Dokumentation ver- 5 Service Level Agreements dienen der Beschreibung von IT-Services in Form von Leistungseigenschaften z. B. Reaktionszeit, zwischen dem Servicenehmer und dem Dienstleister. 11

20 3 Sicherheitsstrategien, -modelle und -analysen antwortlich ist. Die letzten vier Prozesse dienen unterstützend zur gesamten Domäne und sind deshalb in Abbildung 7 außerhalb der Domäne dargestellt. [Goltsche06] Abbildung 7: Diagramm Delivery & Support vgl. [Goltsche06] Domäne Monitor & Evaluate Diese Domäne dient der Überwachung und Evaluierung 6 von IT und gesetzlicher Vorschriften und sorgt für Kontrollen, z. B. in Form von internen oder externen Audits. Das geschieht aus der Management-Sicht durch den Prozess Sorgen für IT Governance, dieser dient als Grundlage der Prozesse: Überwachung und Evaluierung der IT Performance Überwachung und Evaluierung interner Kontrollen Sicherstellung der Einhaltung gesetzlicher Vorschriften Die IT-Performance bezieht sich auf die Service Ziele, die in den SLA s definiert wurden. Im Prozess Überwachung und Evaluierung interner Kontrollen ist ein Hauptziel die Einführung eines Kontrollsystems zur Eigen- und Fremdbewertung, um die Evaluierung zu optimieren. [Goltsche06] 6 Evaluierung ist die Bewertung oder Beurteilung von Prozessen, Verfahren oder Strukturen. 12

21 3 Sicherheitsstrategien, -modelle und -analysen Abbildung 8: Diagramm Monitoring & Evaluierung vgl. [Goltsche06] Cobit dient der Steuerung bzw. Lenkung aus der Managementsicht (Top-Down), um Risiken bei der Nutzung von Informationstechnologie besser zu verstehen und einschätzen zu können. Durch die IT-Governance und das Definieren von Kontrollzielen für IT- Prozesse, können Chancen und Risiken bei der Nutzung von Informationstechnologie erkannt werden. Ähnlich wie bei COSO, fehlt jedoch die detaillierte technische Sicht auf IT-Systeme, Anwendungen, etc. Aus diesem Grund, ist auch dieses Modell für die Betrachtung der Informationssicherheit an einem Klinikum ungeeignet. 13

22 3 Sicherheitsstrategien, -modelle und -analysen 3.3 Information Technology Infrastructure (ITIL) ITIL beinhaltet Best Practice -Leitfäden, die von der CCTA (Central Computer and Telecommunications Agency), heute OGC (Office of Government Commerce), als Studie erfasst wurden. Dabei wurden IT-Dienstleistungsunternehmen, Rechenzentren, bei Kunden und Lieferanten Ist-Aufnahmen und Befragungen durchgeführt, um die IT- Geschäftsprozesse zu analysieren. In der Erstveröffentlichung 1989 wurden 100 Bücher publiziert, die nach einigen Überarbeitungen auf 70 Bücher zusammengefasst werden konnten. In der Praxis finden in der ITIL Version 3 fünf Kernpublikationen Anwendung: 1. Service Strategy beinhaltet eine Anleitung zur Definition und Positionierung von Services. Der erste Aspekt dieser Publikation ist die Value Creation (Wertschöpfung aus Sicht des Kunden), in der der Wert eines Services durch zwei Elemente definiert wird. Die Utility (Nutzwert, Zweckmäßigkeit) beschreibt die Aufgabe oder auch Funktionalitäten, die ein Service erfüllt bzw. anbietet. Die Warranty (Garantie, Gewährleistung) steht für die Zuverlässigkeit der vereinbarten Anforderungen des Services, z. B. die Verfügbarkeit. Der zweite Aspekt sind die Service Assets, die den Wert eines Service beschreiben. Dabei bilden die Ressourcen (z. B. Finanzmittel und Infrastruktur) und die Capabilities (die Fähigkeiten bzw. Fertigkeiten des Services Anbieters, z. B. Technologien, Systeme und Prozesse), gemeinsam die Service Assets. Der dritte Aspekt dieser Publikation, stellt die Service Provider Arten dar. Diese werden unterschieden in: Interne Service Provider, Shared Service Provider, Externe Service Provider. Dabei werden die verschiedenen Arten der Service Erbringer beschrieben, mit den dazugehörigen unterschiedlichen Geschäftsmodellen. Der vierte und letzte Aspekt stellt die Strategy Generation dar, der das strategische denken und handeln eines Services Provider definiert, mit den Aktivitäten: Marktdefinition Entwicklung des Angebots Entwicklung der strategischen Vermögenswerte Vorbereitungsmaßnahmen zu Umsetzung der Strategie 14

23 3 Sicherheitsstrategien, -modelle und -analysen 2. Service Design beinhaltet Leitfäden, die das Design der Entwicklung von Services und Service Management Prozesse beschreibt. Durch zusätzliche Hinweise wird beschrieben wie: der Mehrwert des Services erhöht oder erhalten, die Kontinuität sichergestellt werden kann, die Service Levels erreicht und die regulatorisch Anforderungen erfüllt werden können. 3. Service Transition beschreibt wie die Notwendigen Fähigkeiten, um einen Service in den Betrieb zu überführen, verbessert werden können und wie dabei der Misserfolg und Ausfallrisiko vermindert wird. 4. Service Operation beschreibt Praktiken zum täglichen Betrieb der Services und Anleitungen zur effizienten Lieferung und Kontrolle der Services. Zudem sind in dieser Publikation Anweisungen enthalten, die die Gewährleistung der Stabilität der Services beschreiben. 5. Continual Service Improvement beinhaltet Anleitungen zur Verbesserungen im Design, der Einführung und dem Betreib von Services. Das Ziel ist eine Steigerung der Qualität der angebotenen Services durch Optimierungen der verschiedenen Bereiche ITIL s. Dazu kommen zwei weitere Publikationsbereiche, einerseits die unterstützenden Produkte und andererseits die ergänzenden Produkte. ITIL beschreibt IT-Servicestrukturen und welche Prozesse, Rollen, Aufgaben und Abhängigkeiten definiert werden müssen. Jedoch soll die praktische Umsetzung bzw. der konkrete Fall einer Umsetzung unternehmensspezifisch auf die Anforderungen und Bedürfnisse abgestimmt bzw. definiert werden. ITIL ist stark Service- und Kundenorientiert und beim Informationssicherheitsprozess wird auf die britische Norm BS 7799 verwiesen. Durch die Einführung strategischer IT Managementprozesse bzw. Steuerungsprozesse werden Risiken deutlich verringert. Außerdem beinhaltet das Service Design ein Information Security Management, ein IT-Service Availability Management (Verfügbarkeit) und ein Capacity Management. 15

24 3 Sicherheitsstrategien, -modelle und -analysen Im Information Security Management werden: Sicherheitsleitlinien definiert, ein Information Security Management System, eine umfassende Sicherheitsstrategie, ein Risikomanagement, Überwachungsprozesse, eine Kommunikationsstrategie und Schulungsstrategien eingeführt. Zur Zertifizierung des ISMS wird Verwendung der ISO empfohlen. In Abbildung 9 werden die Bereiche von ITIL übersichtlich dargestellt. Dabei ist ersichtlich, dass der Kern von ITIL die Service Strategien darstellt und die restlichen Bereiche in Form eines Zyklus bzw. Prozesses zu betrachten sind. Der Bereich Continual Service Improvment hat Einfluss auf alle anderen Bereiche und ist in den Prozess integriert. [Goltsche06], [ITILorg] Abbildung 9: Überblick über die Bereiche von ITIL [ITILorg] Informationssicherheit bzw. das Security Management stellt in ITIL eine Komponente dar. Für die Umsetzung eines ISMS wird auf die ISO verwiesen. Das bedeutet, für eine Informationssicherheitsbetrachtung muss die ISO herangezogen werden. 16

25 3 Sicherheitsstrategien, -modelle und -analysen 3.4 British Standards (BS 7799) Im Jahr 1995, wurde der erste Teil des British Standards als Leitfaden zum Management von Informationssicherheit veröffentlicht. Dieser Leitfaden enthält Sicherheitsmaßnahmen und Hinweise, für das Vorgehen bei der Umsetzung von Informationssicherheit. Die Maßnahmen sind allgemein gehalten und nicht produktorientiert, um eine individuelle Anpassung für unterschiedliche Geschäftszweige und Unternehmensgrößen zu ermöglichen. Der zweite Teil des British Standards, wurde 1998 als Information Security Management System Specification with guidance for use veröffentlicht, der das Informationssicherheitsmanagementsystem (ISMS) beschreibt. Die Standards bauen auf die best practice Veröffentlichung A code of practice for information security management des National Computing Centre (NCC) auf. Nach einer gründlichen Revision des BS 7799, mit dem Ziel, die internationale Akzeptanz des Standards zu erhöhen, wurde 1999 eine neue Fassung veröffentlicht, sodass im Dezember 2000 der erste Teil des BS 7799 fast vollständig in der ISO veröffentlicht wurde. Der zweite Teil des BS 7799, wurde im Rahmen eines kompletten Re-Design der ISO-Standards im Jahr 2005 in die Normenreihe ISO 2700x eingegliedert. Somit wurde der zweite Teil des BS 7799 im Jahr 2005 in der ISO und der erste Teil in der ISO im Jahr 2008 veröffentlicht. [Völker05], [KerReuSchr08] 3.5 International Organization for Standardization (ISO-Reihe 2700x) Wie aus dem Kapitel 3.4 hervor geht, ist die ISO-Reihe 2700x auf den British Standard 7799 zurück zu führen und behandelt weitere Themen. Der Inhalt der ISO gliedert sich in: 1. Management Responsibility 2. Internal Audits 3. ISMS Improvement 4. Annex A Control objectives and controls 5. Annex B OECD principles and this international standard 6. Annex C Correspondence between ISO 9001, ISO and this standard 7 Um die gleiche Bedeutung des Wortes ISO in allen Mitgliedsländern zu gewährleisten, wurde als Namenspatron das Altgriechische Wort Iso = Gleich gewählt. Daher steht ISO nicht, wie häufig vermutet, für International Standards Organization. [Brunnstein06] 17

26 3 Sicherheitsstrategien, -modelle und -analysen Es beschreibt das Informationssicherheitsmanagementsystem (ISMS), also Regelungen für die Steuerung und Lenkung im Bereich der Informationssicherheit. Dabei werden Instrumente und Methoden erläutert, die dem Management bei der Planung, dem Einsatz, der Durchführung, der Überwachung und der Verbesserung von Aktivitäten und Aufgaben unterstützt. Die ISO umfasst folgende Themen: 1. Security Policy 2. Organization of Information Security 3. Asset Management 4. Human Resources Security 5. Physical Security 6. Communications and Ops Management 7. Access Control 8. Information Systems Acquisition, Development, Maintenance 9. Information Security Incident management 10. Business Continuity 11. Compliance Jedes dieser Managementgebiete enthält Maßnahmenziele, die wiederum Maßnahmen für die Zielerreichung enthalten. Da der BS :2000 analog zur Gliederung der ISO 9000 (Quality Management Systems, QMS) und der ISO (Environmental Management System, EMS) erstellt wurde, trifft dies ebenfalls auf die ISO zu. Somit werden auch andere bereits etablierte Standards in der ISO-Riehe 2700x berücksichtigt. Außerdem wurde bei der Überarbeitung, das bereits bekannte Plan-Do-Check-Act Modell von Deming übernommen. [KerReuSchr08], [ISO-2700x] Die ISO Standards zur Informationssicherheit werden in den BSI-Standards berücksichtigt, jedoch bietet der IT-Grundschutz einen höheren Detailgrad. Das betrifft vor allem, die technischen und konzeptionellen Standard-Sicherheitsmaßnahmen. Die ISO-2700x Reihe ist allgemeiner gehalten und ist auch bei spezieller Informationstechnik anwendbar. Technische Sicherheitslösungen sind von den Administratoren des jeweiligen Zielobjektes selbst zu identifizieren bzw. definieren. 18

27 3 Sicherheitsstrategien, -modelle und -analysen 3.6 Die BSI-Standards 1991 nimmt das BSI seine Arbeit auf und führt 1994 den IT-Grundschutz und die IT- Grundschutz-Kataloge ein. Die IT-Grundschutz-Kataloge enthalten Baustein zur Modellierung eines Informationsverbundes, Maßnahmenempfehlungen für die Erreichung eines angemessen Sicherheitsniveau, Gefährdungen und Modellierungshinweise. Das Ziel, des bis zum 2005 unter den Namen bekannten Grundschutzhandbuchs (GHSB), war es den organisatorischen Aufwand für die Risikoanalyse zu verringern. Hierzu werden für einen hohen Anteil der Informationstechnologie (bis mittleren Schutzbedarf) Standardsicherheitsmaßnahmen zur Erreichung eines angemessenen Sicherheitsniveaus zur Verfügung gestellt werden. [GS-Leitfaden] BSI-Standards enthalten Empfehlungen des BSI zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit. [BSI-Webkurs] Sie umfassen folgende Werke: BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Wie der ISO Standard beschreibt der BSI-Standard ein ISMS. Das BSI hat seine Standards mit der ISO abgestimmt und zusätzlich enthalten die BSI- Standards Empfehlungen der anderen ISO-Standards der Reihe 2700x. Mit den BSI- Standards und den IT-Grundschutz-Katalogen, gibt das BSI Empfehlungen, für bewährte Methoden, Prozesse, Verfahren und Vorgehensweise und betrachtet zusätzlich die technische Sicht mit beispielsweise Sicherheitsmaßnahmen für konkrete IT-Systeme wie Server unter Windows Zur Umsetzung einer Sicherheitskonzeption mittel IT- Grundschutz, gibt es außerdem verschiedene Tools. Auch das BSI stellt ein Tool zur Verfügung, mit dem Namen GSTOOL, das als Datenbankanwendung die Bausteine und Maßnahmen der IT-Grundschutz-Kataloge zur Erstellung eines Informationsverbundes beinhaltet. Im GSTOOL wird die Strukturanalyse direkt mit den Bausteinen durchgeführt, die Referenzen auf die entsprechenden Maßnahmen, für die spätere Sicherheitsbetrachtung, enthalten. [BSI-Webkurs] 19

28 3 Sicherheitsstrategien, -modelle und -analysen 3.7 Risikoanalyse In allen bisher genannten Standards, Modellen und Richtlinien werden anhand der Risikoanalyse Zielobjekte, Gefährdungen bzw. Bedrohungen und Schwächen bewertet, die als Grundlage für die Behandlung von Risiken genutzt werden. Bei der Vorgehensweise werden zuerst Risiken identifiziert, dann eingeschätzt, um sie zu bewerten und zu bewältigen. Die Risiko-Identifikation wird nach Königs in verschieden Teil-Analysen durchgeführt: Abbildung 10: Der Risikomanagementprozess vgl. [AhrMart08] 1. Impact-Analyse (Analyse der potentiellen Schäden) 2. Bedrohungs-Analyse (Analyse der relevanten Bedrohungen) 3. Schwächen-Analyse (Analyse der relevanten Schachstellen) 4. Beliebige Kombination der Analysen 1-3 Danach erfolgt eine Risiko-Einschätzung, bei der die Auftretenswahrscheinlichkeiten bzw. Häufigkeiten bestimmter Geldwerte des Unternehmens gegenübergestellt werden. Die Geldwerte beschreiben ein Schadensausmaß und sollten spezifisch auf das Unternehmen abgestimmt sein, z. B. bemessen durch einen prozentualen Teil am Umsatz. Schadenshöhe pro Fall Häufigkeit E Klein (bis 50 T. ) D Mittel (bis 500 T. ) C Groß (bis 5 Mio. ) B Sehr Groß (bis 15 Mio. ) A Katastrophal (> 15 Mio. ) Sehr Oft Mittel Groß Sehr Groß irreal Irreal (10 mal pro Jahr) Oft (1 mal pro Klein Mittel Groß Sehr Groß Irreal Jahr) Selten (1 mal in 10 Sehr Klein Klein Mittel Groß Katastrophal Jahren) Sehr Selten (1 mal Sehr Klein Sehr Klein Klein Mittel Katastrophal in 30 Jahren) Unwahrscheinlich Sehr Klein Sehr Klein klein Mittel Katastrophal (1 mal in mehr als 30 Jahren) Tabelle 1: Schutzbedarfsfeststellung [Königs06] 20

29 Risiko-Kommunikation Risiko-Kontrolle und Reporting 3 Sicherheitsstrategien, -modelle und -analysen In der Risikobewertung, werden die Zielobjekte durch die ordinal Größen, die in Tabelle 1 definiert wurden, bewertet. Zusätzlich werden die Fragen gestellt: 1. Muss die Häufigkeit, der Schaden oder beides verringert werden? 2. Wir wird die Dringlichkeit bewertet? (Priorisierung) 3. Steht die Verminderung von Risiken irgendwelchen Chancen gegenüber? (z. B. wirkt eine Verschlüsselung eventuell der Verfügbarkeit entgegen) Die Risikobehandlung stellt den letzten Schritt dar, mit den folgenden Möglichkeiten: 1. Risiko-Reduktion (z. B. durch zusätzliche Maßnahmen) 2. Risiko-Vermeidung (z. B. durch Verlagerung bestimmter Räumlichkeiten) 3. Risiko-Übernahme (z. B. alle anderen Behandlungsstrategien sind zu teuer) 4. Risiko-Transfer (z. B. in Form einer Versicherung) [Königs06] Kontext-Definition Risikoanalyse Risiko-Identifikation Risiko-Einschätzung Risiko-Bewertung Risiko-Bewältigung Risiko-Strategie Maßnahmen-Definition und Umsetzung Kriterien für Prozess-Wiederholung Abbildung 11: Allgemeiner Risiko-Management-Prozess [Königs06] 21

30 3 Sicherheitsstrategien, -modelle und -analysen 3.8 Managementsystem für Informationssicherheit Als Teil der ISO und der BSI-Standards ist das ISMS übergreifend zu betrachten. Da sich die Informationstechnologie weiterentwickelt und Aufgaben, Geschäftsprozesse und weiteres ständigen Änderungen unterliegen, muss Informationssicherheit als ein Prozess aufgebaut werden. Dieser Prozess steht in Abhängigkeit zu einem Lebenszyklus und wird immer wieder neu durchlaufen. Um ein Managementsystem für Informationssicherheit aufzubauen und zu betreiben, werden verschiedene grundlegende Komponenten benötigt. Die erste Komponente sind die Management-Prinzipien. Diese Beschreiben wie ein effizientes Informationssicherheits-Management aussieht und welche Pflichten und Aufgaben das Management bzw. die Leitung haben. Die Pflichten und Aufgaben des Managements sind gemäß IT-Grundschutz: 1. Übernahme der Gesamtverantwortung für Informationssicherheit 2. Integration der IS in alle Prozesse und Projekte der Institution 3. Informationssicherheit steuern und aufrechterhalten 4. Erreichbare Ziele setzen 5. Sicherheitskosten gegen Nutzen abwägen 6. Vorbildfunktion Um den Prozess aufrechtzuhalten und kontinuierlich zu verbessern, müssen in regelmäßigen Abständen Audits und Übungen durchgeführt werden sowie Sensibilisierungsmaßnahmen. Außerdem ist die Kommunikation im Sicherheitsprozess eine wesentliche Grundlage. Dazu gehören Berichte an die Leitungsebene, einem Informationsfluss und Meldewegen für die schnelle Erfassung von Änderungen und Notfällen und eine geregelte und ausführliche Dokumentation. Die zweite Komponente sind die Ressourcen für Informationssicherheit. Das betrifft die zeitlichen Ressourcen, sodass den Mitarbeitern, z. B. dem IT-Sicherheitsbeauftragten, genügend Zeit für die Umsetzung von Maßnahmen oder Analyse von Rahmenbedingungen gegeben wird. Außerdem betrifft das personelle Ressourcen, z. B. das Maßnahmen nicht als Nebenprojekt durchgeführt werden, sondern von dem Mitarbeit als vollwertige Aufgabe. Letztlich müssen die finanziellen Ressourcen betrachtet werden, z. B. für die Umsetzung von Maßnahmen. Die letzte Komponente ist der Sicherheitsprozess und das Vorgehen dieses Prozesses, wird durch eine Sicherheitsstrategie definiert. Die Umsetzung der Strategie erfolgt durch das 22

31 3 Sicherheitsstrategien, -modelle und -analysen Sicherheitskonzept und einer Informationssicherheitsorganisation. Abbildung 12 zeigt die Komponenten eines Managementsystems für Informationssicherheit. [BSI_100-1] Abbildung 12: Bestandteile eines Managementsystems für Informationssicherheit [BSI_100-1] 23

32 4 Anwendung des IT-Grundschutzes an einem Klinikum Das BSI hat verschiedene Dokumente veröffentlicht, die die Anwender bei der Umsetzung der IT-Grundschutz-Methodik unterstützen. Dazu gehören auch die IT- Grundschutz-Profile, die die Anwendung des IT-Grundschutzes auf verschiedene Branchen bzw. Größen einer Institution beschreiben. Derzeit werden folgende Anwendungsbeispiele vom BSI frei zur Verfügung gestellt: produzierendes Gewerbe große Institution Mittelstand kleine Institution Mit einem Profil für Kliniken soll diese Liste erweitert werden. Der Schwerpunkt in einer Klinik, liegt bei der Verarbeitung von Patientendaten (nach BDSG 3 Abs. 9 besondere Arten personenbezogener Daten). Die Patientenversorgung steht in einer Klinik im Mittelpunkt und es werden stetig und verteilt im Krankenhaus neue Patienteninformationen erfasst. Von der Patientenaufnahme bis hin zu speziellen medizinischen IT-Systemen, werden in einer Klinik hoch schutzbedürftige Informationen bei der Mehrheit der IT-Systeme verarbeitet. Da die Maßnahmen der IT-Grundschutz-Kataloge für Systeme mit normalem Schutzbedarf konzipiert sind, würden für eine Klinik überwiegend ergänzende Sicherheitsanalysen bzw. Risikoanalysen durchgeführt werden müssen. Ein Ziel der IT-Grundschutz-Methodik ist es, mit Standard-Sicherheitsmaßnahmen den Aufwand für umfangreiche Risikoanalyen zu verringern. Bei Kliniken würde dieser Vorteil nicht oder nur bedingt zutreffen, da wie schon erwähnt, der Schutzbedarf der meisten Systeme höher zu bewerten ist. Außerdem werden in einem Klinikum spezielle Anwendungen und IT-Systeme verwendet (bspw. bildgebende System wie Computertomographen), die sich mit den Bausteinen aus den IT-Grundschutz- Katalogen nicht abbilden lassen. In einem Praxistest an einem Universitätsklinikum konnte jedoch festgestellt werden, dass die organisatorischen Maßnahmen der IT- Grundschutz-Methodik und die Einführung eines ISMS das Sicherheitsniveau deutlich erhöhen. Dabei wurden die meisten Sicherheitsmängel auf organisatorischer oder konzeptioneller Ebene lokalisiert. Viele der Sicherheitsmaßnahmen aus den IT- Grundschutz-Katalogen sind ebenso für hoch schutzbedürftige Zielobjekte geeignet, womit auch bei der Patientenversorgung ein angemessenes Sicherheitsniveau erreicht 24

33 werden kann. Für Zielobjekte, für die eine Risikoanalyse durchgeführt werden sollte, wird die Vorgehensweise im BSI-Standard Risikoanalyse auf der Basis von IT- Grundschutz erläutert. Da der IT-Grundschutz die Anforderungen der ISO-Reihe 2700x erfüllt, ist es empfehlenswert die ISO bei der Umsetzung des IT-Grundschutzes an einem Klinikum mit einzubeziehen. Die ISO ist eine Ergänzung zur ISO und ist spezifiziert auf die Belange des Sicherheitsmanagements im Gesundheitswesen. Auf Basis der Ergebnisse der vorangehenden Diplomarbeit, bei der die weitere Umsetzung der IT-Grundschutz-Methodik empfohlen wird, wurde im Rahmen dieser Arbeit die Vorgehensweise nach BSI-Standard anhand eines Profils für Kliniken mit praktischen Beispielen und Handlungsempfehlungen erstellt. Dieses Profil wurde als eigenständige Arbeit entwickelt und in der vorliegenden Arbeit dem Kapitel 4 untergeordnet. Die BSI-Standards, der Webkurs auf der Website des BSI und die bereits vorhanden Profile, dienen als Grundlage und Quelle für das erstellte Profil (Kapitel 4). 25

34 4.1 Einleitung Der Einzug der Informationstechnik in nahezu alle Geschäftsbereiche birgt Gefahren, die der Gewährleistung der Verfügbarkeit, Vertraulichkeit und Integrität entgegenwirken. Um die Geschäftsprozesse aufrechtzuhalten und Schäden abzuwehren, hat das Bundesamt für Sicherheit in der Informationstechnik Standards entwickelt, mit denen ein Sicherheitskonzept erstellt werden kann. Durch die Identifizierung von Gefährdungen und geeignete Sicherheits-Maßnahmen kann ein angemessenes Sicherheitsniveau erreicht werden. Für Organisationen unterschiedlicher Größe und fachlichen Bereichen dienen spezialisierte Profile als praxisnahe Hilfestellung. Dabei wird die Vorgehensweisen zur Erstellung und Einführung einer Sicherheitskonzeption mit Hilfe von Tipps und Beispielen beschrieben Zielsetzung des Profils Das Ziel ist die Schaffung eines adäquaten Profils für Kliniken, das den Anwender bei der Umsetzung der IT-Grundschutz-Vorgehensweise unterstützt. Dabei ist die Kenntnis des Standards eine Voraussetzung zum Verständnis dieses Dokuments. Die bisher vom BSI bereitgestellten Profile, Hilfsmittel sowie weitere Informationen zur IT- Grundschutz-Vorgehensweise und den IT-Grundschutz-Katalogen werden vom BSI auf Ihrer Webpräsenz kostenlos zur Verfügung gestellt. Durch Beispiele aus dem Gesundheitswesen werden in diesem Dokument praktische Lösungen vorgestellt. Zusätzlich werden Handlungsempfehlungen ausgesprochen, die bei der Anwendung des IT- Grundschutzes unterstützen und als Wegweiser dienen. Beispiele innerhalb des Dokuments werden durch einen Rahmen mit einem grauen Schatten hervorgehoben. Handlungsempfehlungen innerhalb des Dokuments werden durch einen doppelten Rahmen hervorgehoben. 26

35 4.1.2 Die BSI-Standards zur Informationssicherheit Die BSI-Standards enthalten Methoden, Prozesse und Verfahren sowie Vorgehensweisen, die von grundsätzlicher Bedeutung für die Informationssicherheit sind. Dabei berücksichtigen die BSI-Standards die Empfehlungen der ISO-Reihe 2700x und werden vom Bundesamt für Sicherheit in der Informationstechnik frei zur Verfügung gestellt. Die Standards werden unterteilt in den: - BSI-Standard Managementsysteme für Informationssicherheit (ISMS) - BSI-Standard IT-Grundschutz-Vorgehensweise - BSI-Standard Risikoanalyse auf der Basis von IT-Grundschutz - BSI-Standard Notfallmanagement Der BSI-Standard definiert Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Durch den BSI-Standard wird die Vorgehensweise der IT-Grundschutz-Methodik erläutert, wobei die IT-Grundschutz-Kataloge verwendet werden. Diese enthalten Standard-Sicherheitsmaßnahmen in den Bereichen Organisation, Personal, Infrastruktur und Technik. Durch die Umsetzung des BSI-Standards kann eine Zertifizierung nach ISO auf der Basis von IT-Grundschutz erreicht werden. Für Zielobjekte, deren Sicherheitsanforderungen deutlich über das normale Maß hinausgehen, ist die ergänzende Sicherheitsanalyse vorgesehen. Die ergänzende Sicherheitsanalyse ist ein Entscheidungsprozess und gilt außerdem für Zielobjekte, die mit Hilfe der IT-Grundschutz-Kataloge nicht oder nur bedingt modellierbar sind. Dazu gehören außerdem Zielobjekte, die in einer für das Anwendungsgebiet des IT- Grundschutzes untypischen Weise oder Einsatzumgebung betrieben werden. Im BSI- Standard wird die Risikoanalyse auf der Basis von IT-Grundschutz beschrieben. Der Aufbau eines Notfallmanagements wird im BSI-Standard beschrieben. Das Ziel des Notfallmanagement ist es, die Ausfallsicherheit zu erhöhen, um wichtige Geschäftsprozesse schnellst möglich wieder aufnehmen zu können. Außerdem können größere Schäden aus Notfällen oder Krisen minimiert werden, um die Kontinuität des Geschäftsbetriebs sicherzustellen und den Fortbestand der Institution zu sichern. Die IT- Grundschutz-Methodik sowie die Verfahrensweise für die IT-Grundschutz- Zertifizierung sind an die internationale Normentwicklung angepasst, z. B. an den ISO- Standard (früher 17799). Da dieses Profil für Kliniken konzipiert ist und in Kliniken Gesundheitsdaten verarbeitet werden, wird zusätzlich auf die ISO einge- 27

36 gangen. Die ISO baut auf die ISO auf und behandelt spezielle Belange des Informationssicherheitsmanagements im Gesundheitssektor Die IT-Grundschutz-Kataloge Die IT-Grundschutz-Kataloge sind vom BSI veröffentlichte Dokumente, die unter anderem Sammlungen von Bausteinen, Gefährdungen und Maßnahmen enthalten. Mit Hilfe der Bausteine wird der Informationsverbund nach dem Baukastenprinzip erstellt, der den betrachteten Bereich, z. B. das Rechenzentrum als Organisationseinheit, darstellt. Die Bausteine enthalten eine kurze Beschreibung der Thematik und die zutreffenden Gefährdungen sowie eine Liste der relevanten Standardsicherheitsmaßnahmen. In den Gefährdungskatalogen werden die Gefährdungen und in den Maßnahmen-Katalogen die Standardsicherheitsmaßnahmen ausführlich beschrieben. Außerdem beinhalten die IT- Grundschutz-Kataloge Hinweise, beispielsweise zur richtigen Reihenfolge der Realisierung notwendiger Maßnahmen eines Bausteins. [BSI-Webkurs] Die Bausteine, Gefährdungs- und Maßnahmenkataloge werden wiederum in folgende Schichten unterteilt: Bausteine Gefährdungskataloge Maßnahmenkataloge Übergreifende Aspekte Höhere Gewalt Infrastruktur Infrastruktur Organisatorische Mängel Organisation IT-Systeme Menschliche Fehlhandlungen Personal Netze Technisches Versagen Hard- und Software Anwendungen Vorsätzliche Handlungen Kommunikation Notfallvorsorge Tabelle 2: Die Kataloge zu den Bausteinen, Gefährdungen und Maßnahmen [BSI-Webkurs] 28

37 4.2 Rahmenbedingungen In diesem Kapitel werden die Rahmenbedingungen definiert, unter denen das dargestellte IT-Grundschutz-Profil auf einen Informationsverbund einer Klinik angewendet werden kann. Als Grundlage dient der BSI Standard Die Rahmenbedingungen gehören zur Planungsphase, die Phasen werden in Abbildung 13 dem Lebenszyklus nach Deming dargestellt. Der Lebenszyklus des Informationssicherheitsprozesses ist dem Modell nach Deming nachempfunden. Dabei sind die Phasen des PDCA folgendermaßen aufgeteilt: 1. Plan: Planung und Konzeption 2. Do: Umsetzung der Planung 3. Check: Erfolgskontrolle, Überwachung der Zielerreichung 4. Act: Optimierung, Verbesserung Mit dieser Modellvorstellung kann nicht nur der gesamte Informationssicherheitsprozess, sondern auch der Lebenszyklus eines Informationssicherheitskonzepts oder einer Informationssicherheitsorganisation beschrieben werden Erläuterungen zum Schutzbedarf Abbildung 13: Lebenszyklus nach Deming (PDCA-Zyklus) Der Schutzbedarf kann in Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit unterteilt werden. Die Vertraulichkeit ist eine Eigenschaft einer Information und beschreibt, dass ausschließlich befugte Personen Zugriff erhalten dürfen. Die Integrität definiert die Korrektheit bzw. Unverfälschtheit einer Information. Somit wird die Integrität gewährleistet, wenn die Information vollständig und unverändert ist. Die Verfügbarkeit bedeutet, dass Funktionen eines IT-Systems innerhalb einer vorgegebenen Zeit oder sogar ununterbrochen erreichbar bzw. verfügbar sind. Beispiele für die Vertraulichkeit, Integrität und Verfügbarkeit in einer Klinik: Durch das informationelle Selbstbestimmungsrecht der Patienten und der ärztlichen Schweigepflicht sind Informationen von Patienten vertraulich zu behandeln. Bei Veröf- 29

38 fentlichung können soziale Nachteile entstehen. Bei einer Bluttransfusion (Fremdblutspende) können nur bestimmte Blutgruppen miteinander kombiniert werden. Die Information "Blutgruppe" kann bei der Datenübertragung einen Übertragungsfehler aufweisen. Erhält der Patient eine Transfusion der falschen Blutgruppe, kann er daran sterben. Aus diesem Grund ist die Integrität der Information "Blutgruppe" zu gewährleisten. Bei einer komplizierten Operation können unerwartete Komplikationen auftreten. Um diese zu beheben bzw. ihnen vorzubeugen, sollten alle Informationen, die den entsprechenden Patienten betreffen, vor und während der Operation verfügbar sein. Die im BSI-Standard beschriebenen Schutzbedarfskategorien sind in Tabelle 3 dargestellt. Schutzbedarfskategorien "normal" "hoch" "sehr hoch" Die Schadensauswirkungen sind begrenzt und überschaubar. Die Schadensauswirkungen können beträchtlich sein. Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. Tabelle 3: Definition der Schutzbedarfskategorien [BSI_100-2] Gemäß BSI-Standard sind typische Schadensszenarien: - Verstoß gegen Gesetze/Vorschriften/Verträge - Beeinträchtigung des informationellen Selbstbestimmungsrechts - Beeinträchtigungen der persönlichen Unversehrtheit - Beeinträchtigung der Aufgabenerfüllung - negative Innen- oder Außenwirkung - finanzielle Auswirkungen Um die Komponenten in eine Schutzbedarfskategorie einzustufen, sollte sich an den möglichen Schäden orientiert werden. Dabei bietet es sich an, Grenzen für die einzelnen Schadensszenarien bezüglich der Schutzbedarfskategorien zu definieren. Als Beispiel für solch eine Abgrenzung, dient Tabelle 4 für die Schutzbedarfskategorie "normal". 30

39 Schutzbedarfskategorie "normal" Verstoß gegen Gesetze/ Vorschriften/Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Beeinträchtigung der persönlichen Unversehrtheit Beeinträchtigung der Aufgabenerfüllung Negative Innen- oder Außenwirkung Finanzielle Auswirkungen - Verstöße gegen Vorschriften und Gesetze mit geringfügigen Konsequenzen - Geringfügige Vertragsverletzungen mit maximal geringen Konventionalstrafen - Es handelt sich um personenbezogene Daten, durch deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden kann. - Eine Beeinträchtigung erscheint nicht möglich. - Die Beeinträchtigung würde von den Betroffenen als tolerabel eingeschätzt werden. - Die maximal tolerierbare Ausfallzeit ist größer als 24 Stunden. - Eine geringe bzw. nur interne Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten. - Der finanzielle Schaden bleibt für die Institution tolerabel. Tabelle 4: Abgrenzung der Schutzbedarfskategorie "normal" auf die entsprechenden Schadensszenarien [BSI_100-2] 31

40 4.2.2 Rechtliche Rahmenbedingungen Um einen möglichst allgemeinen Rahmen zu finden, wird in diesem Abschnitt auf das Bundesdatenschutzgesetz (BDSG) eingegangen. Das hilft bei der Abgrenzung von Verantwortungen und Aufgaben und bei eventuell notwendigen Überzeugungsarbeiten, z. B. bei der Leitungsebene. Beispielsweise fordert folgender Paragraph aus dem BDSG technische und organisatorische Maßnahmen, um personenbezogene Daten zu schützen: 9 BDSG Technische und organisatorische Maßnahmen Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Als Anhang dieses Gesetzes werden Maßnahmen vorgegeben, die umgesetzt werden müssen. 7 BDSG Schadensersatz Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. Mit der Umsetzung eines ISMS und einer Zertifizierung kann die gebotene Sorgfalt erfüllt werden. Das BDSG betont medizinische Daten als besondere Art personenbezogener Daten. Das verdeutlicht, dass medizinische personenbezogene Informationen besonders kritisch gegenüber Datenschutzverletzungen zu betrachten sind. 3 Abs. 9 Weitere Begriffsbestimmungen BDSG Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. 32

41 Auch wenn das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmen) nicht für jede Unternehmensform zutrifft, umfasst es jedoch die gängigen. Dazu gehören die Aktiengesellschaft, die Kommanditgesellschaft und die Gesellschaft mit beschränkter Haftung. Es formuliert Vorschriften, die zur Einführung eines Früherkennungssystems für Risiken dienen und Regelungen für die Haftung vom Vorstand, dem Aufsichtsrat und Wirtschaftsprüfern bei fahrlässigem Verhalten, bezüglich nicht beachteter Risiken. Somit wird ein Risikomanagementsystem gesetzlich vorgeschrieben Verantwortlichkeiten und Vorgehensweise Auf der Website des BSI werden unter dem Punkt Rollendefinitionen Verantwortliche für die Initiierung bzw. für die Umsetzung einzelner Maßnahmen beschrieben. Da die Bezeichnungen der Rollen nicht in allen Organisationen einheitlich sind, gibt es in den IT-Grundschutz-Katalogen kurze Beschreibungen der wesentlichen Rollen. In diesem Kapitel wird der Schwerpunkt auf die IT-Grundschutz-Vorgehensweise gelegt und die Aufgaben und Verantwortungen folgender Rollen erläutert: 1. der Unternehmensleitung, 2. des Informationssicherheitsmanagements und 3. des Beauftragten für Informationssicherheit Die Unternehmensleitung ist für die Initiierung, Steuerung und Kontrolle des Informationssicherheitsprozesses verantwortlich. Die Leitungsebene entscheidet über den Umgang mit Risiken und muss benötigte Ressourcen zur Verfügung stellen. Das können zeitliche Ressourcen von Mitarbeitern sein oder personelle Ressourcen durch Anstellung neuer Mitarbeiter oder Umbesetzung bereits eingestellter Mitarbeiter sowie das Berufen externer Mitarbeiter z. B. für Audits. Weiterhin sollten finanzielle Ressourcen bei Bedarf zur Verfügung gestellt werden. Initiiert die Leitungsebene den Informationssicherheitsprozess, wird die Einstellung eines Beauftragten für Informationssicherheit empfohlen, mit den Aufgabenfeldern gemäß IT-Grundschutz: - Hauptansprechpartner für Informationssicherheit - Informationssicherheit koordinieren und vorantreiben - Beratende und unterstützende Funktion der Leitungsebene - Informationssicherheitsprozess steuern und bei allen zusammenhängenden Aufgaben mitwirken 33

42 - Leitungsebene bei der Erstellung der Leitlinie unterstützen - Sicherheitskonzepte erstellen, Notfallvorsorgekonzept und System- Sicherheitsrichtlinien - koordinieren und weitere Richtlinien und Regelungen zur Informationssicherheit erlassen - Sicherheitsmaßnahmen realisieren, initiieren und überprüfen - Die Leitung über den Status quo der Informationssicherheit berichten - Sicherheitsrelevante Projekte koordinieren - Sicherheitsvorfälle untersuchen - Sensibilisierungs- und Schulungsmaßnahmen zur IS initiieren und koordinieren Bei größeren Institutionen bietet es sich an, Beauftragte für Informationssicherheit für einzelne Abteilungen bzw. Bereiche zu berufen. Die Funktion als Beauftragter für Informationssicherheit für eine Abteilung kann von Ihnen als Teilaufgabe umgesetzt werden. Zusätzlich sollte ein Informationssicherheits-Management-Team (IS-Management- Team) eingerichtet werden, in dem der Beauftragte für Informationssicherheit als Leiter sowie verschiedene Administratoren und mindestens ein Vorstandsmitglied in regelmäßigen Abständen z. B. über Maßnahmen, Risiken oder Problemen tagen. Für zeitlich befristete Projekte können Beauftragte für Informationssicherheit benannt werden, die für diese Projekte die Aufgabe mit übernehmen. Je nach Größe der Institution sollte eine geeignete Informationssicherheits-Organisationsstruktur aufgebaut werden, ein Beispiel ist in Abbildung 14 dargestellt. Institutionsleitung IS-Leitlinie und Vorgaben IS-Management- Team Beauftragter für Informationssicherheit Datenschutzbeauftragter Gesamtorganisationsebene Bereichsebene Verwaltung (Bereichs- IT-Sicherheitsbeauftragter) Nicht klinische Abteilung (Bereichs- IT-Sicherheitsbeauftragter) Klinische Abteilung (Bereichs- IT-Sicherheitsbeauftragter) Abbildung 14: Beispiel einer IS-Organisationsstruktur in einem Klinikum 34

43 Zum Vergleich zeigt die folgende Abbildung die Beispiel-Organisationsstruktur für größere Institutionen aus dem BSI-Standard Abbildung 15: Aufbau einer IS-Organisation in einer großen Institution [BSI_100-2] Übernahme von Verantwortung durch die Leitungsebene (BSI-Standard 100-2): - Die Leitungsebene wird über mögliche Risiken und Konsequenzen aufgrund fehlender Informationssicherheit aufgeklärt. - Die Leitungsebene übernimmt die Gesamtverantwortung für Informationssicherheit. - Die Leitungsebene initiiert den IS-Prozess innerhalb der Institution. Sind die Aufgaben und Verantwortlichkeiten geklärt, kann mit der Umsetzung des ISMS begonnen werden. Der Ablauf der IT-Grundschutz-Vorgehensweise, mit der Integration der Risikoanalyse, ist in Abbildung 16 dargestellt. Zuerst wird der Sicherheitsprozess von der Leitung initiiert, um darauf aufbauend die Erstellung einer Sicherheitskonzeption durchzuführen. Die erstellte Sicherheitskonzeption wird im nächsten 35

44 Schritt umgesetzt und durch die Aufrechterhaltung und kontinuierliche Verbesserung entsteht ein Prozess, der als Informationssicherheitsprozess bezeichnet wird. Durch die Umsetzung der Maßnahmen der IT-Grundschutze-Kataloge wird eine Standard- Sicherheit erreicht. Zielobjekte, für die eine ergänzende Sicherheitsanalyse notwendig ist, - haben einen erhöhten Schutzbedarf, - können nicht durch die Bausteine der IT-Grundschutz-Kataloge abgebildet werden, - werden in einer für den IT-Grundschutz untypischen Weise oder Einsatzumgebung betrieben. Abbildung 16: Integration der Risikoanalyse in den IT-Grundschutz-Prozess [BSI_100-2] Sollten die Standard-Sicherheitsmaßnahmen für Zielobjekte nicht ausreichend sein, kann das Schutzniveau mittels der Risikoanalyse auf Basis von IT-Grundschutz erhöht werden. Dabei werden Gefährdungen erfasst und bewertet, um die Risiken bestmöglich zu behandeln. Einen Kernpunkt der IT-Grundschutz-Vorgehensweise stellt der Basis- Sicherheitscheck dar. Dieser ähnelt einem Ist-Soll-Vergleich, bei dem der Umsetzungsstatus der Sicherheitsmaßnahmen erfasst wird. Aus den Informationen des Basis- Sicherheitschecks wird ein Realisierungsplan definiert, der die umzusetzenden Maßnahmen enthält. [BSI_100-2] 36

45 4.2.4 Die Unternehmensziele und Aufgaben Die Unternehmensziele dienen als Grundlage für alle Geschäftsprozesse bzw. Fachver fahren und Aktivitäten und somit auch für die Informationssicherheitsziele. Die Ziele und Aufgaben der Institution sollten vor dem Beginn der Erstellung der Sicherheitskonzeption definiert werden. Beispielsweise können strategische Ziele zur Unterstützung bei der Beschreibung umfangreicher oder komplexer Sekundärziele Abbildung 17: Erfassung der Unternehmensziele, um darauf aufbauend Sicherheitsziele zu definieren definiert werden. Im Gesundheitswesen steht die Patientenversorgung im Mittelpunkt, darauf sollten die Primärziele ausgelegt sein. Zusätzlich wird an vielen Einrichtungen Forschung und Lehre betrieben, die ebenfalls als Primärziele direkt untergeordnet werden können. Der Umsatz bzw. Gewinn oder Verlust eines Unternehmens sollte hier als übergeordnetes Ziel betrachtet werden und steht in Abhängigkeit zu den Geschäftszielen. Die Primärziele eines Universitätsklinikums könnten unterteilt werden in Lehre, Forschung und die Patientenversorgung. Als Sekundärziel könnten niedrige Kosten angesetzt werden. Daraus lassen sich beispielsweise folgende IS-Ziele ableiten: - Patientendaten sind vertraulich zu behandeln, um das informelle Selbstbestimmungsrecht der Patienten zu wahren und um Risiken und Gefahren für Patienten und Klinikum vorzubeugen. - Patientendaten dürfen für Forschungszwecke ausschließlich anonymisiert und pseudonymisiert verarbeitet werden und dürfen keine Rückschlüsse auf die Person selbst geben. - In der Lehre und Forschung ist das Einverständnis der Patienten vor der Verwendung ihrer Daten einzuholen. - Um Sicherheit zu gewährleisten und um teure Sicherheitsmaßnahmen zu vermeiden, ist jeder Mitarbeiter dazu aufgerufen, seine Passwörter für Benutzerkonten ausreichend kompliziert zu wählen und geheim zu halten. 37

46 Mögliche Sicherheitsziele einer Institution [BSI_100-2]: - Hohe Verlässlichkeit des Handelns, auch in Bezug auf den Umgang mit Informationen (Verfügbarkeit, Integrität, Vertraulichkeit), - Gewährleistung des guten Rufs der Institution in der Öffentlichkeit, - Erhaltung der in Technik, Informationen, Arbeitsprozesse und Wissen investierten Werte, - Sicherung der hohen, möglicherweise unwiederbringl. Werte der verarbeiteten Informationen, - Sicherung der Qualität der Informationen, z. B. wenn sie als Basis für weitreichende Entscheidungen dienen, - Gewährleistung der aus gesetzlichen Vorgaben resultierenden Anforderungen, - Reduzierung der im Schadensfall entstehenden Kosten (sowohl durch Schadensvermeidung wie Schadensverhütung) und - Sicherstellung der Kontinuität der Arbeitsabläufe innerhalb der Institution. Eine Analyse der Geschäftsprozesse verschafft einen Überblick über die Auswirkungen von Sicherheitsvorfällen. Gemäß BSI-Standard sollten dabei folgende Fragen beantwortet werden: - Welche Geschäftsprozesse gibt es in der Organisation und wie hängen diese mit den Geschäftszielen zusammen? - Welche Geschäftsprozesse hängen von einer funktionierenden, also einer ordnungsgemäßen und anforderungsgerecht arbeitenden Informationstechnik ab? - Welche Informationen werden für diese Geschäftsprozesse verarbeitet? - Welche Informationen sind besonders wichtig und damit in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit schützenswert und warum (z. B. personenbezogene Daten, Kundendaten, strategische Informationen, Geheimnisse wie Entwicklungsdaten, Patente, Verfahrensbeschreibungen)? Um die Rahmenbedingungen vollständig nach BSI-Standard zu erfassen, sollten noch folgende externe Rahmenbedingungen betrachtet werden: - gesetzliche Rahmenbedingungen (Kapitel 2.2), - Umwelteinflüsse, beispielsweise aufgrund der geographischen Lage oder aufgrund von sozialen kulturellen Rahmenbedingungen, 38

47 - Anforderungen von Kunden, Lieferanten und Geschäftspartnern, aktuelle Marktlage, Wettbewerbssituation und weitere relevante marktspezifische Abhängigkeiten, - branchenspezifische Sicherheitsstandards (z. B. ISO im Gesundheitswesen). Nachdem diese Informationen gesammelt und ausgewertet wurden, kann ein angemessenes Sicherheitsniveau der Geschäftsprozesse bestimmt werden. Das heißt, es werden richtungsweisende Aussagen mit den Bewertungskriterien: "sehr hoch", "hoch" und "normal" definiert. 39

48 4.3 Definition und Abgrenzung des Informationsverbundes Bevor die Sicherheitskonzeption erstellt werden kann, muss ein Geltungsbereich in Form eines Informationsverbundes definiert werden. Gemäß IT-Grundschutz wird der Informationsverbund als "Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen", definiert. Es können einzelne Teilbereiche oder die komplette Institution betrachtet werden. Jedoch sollten die betrachteten Geschäftsaufgaben bzw. die betrachteten Geschäftsprozesse komplett im Geltungsbereich enthalten sein. Der Informationsverbund wird in unserem Beispiel an einem fiktiven größeren Klinikum erstellt. Aktionspunkte zur Definition des Geltungsbereichs für die Sicherheitskonzeption [BSI_100-2]: - Festlegen, welche kritischen Geschäftsprozesse, Fachaufgaben oder Teile der Institution der Geltungsbereich beinhalten soll, - den Geltungsbereich eindeutig abgrenzen und - Schnittstellen zu externen Partnern beschreiben. Der Geltungsbereich bezieht sich auf den Fachbereich der elektronischen Patientenakte (epa). In der Strukturanalyse werden die Zielobjekte erfasst, die mit der epa in Zusammenhang stehen: - die Server der Rechenzentren, - andere IT-Systeme, - Anwendungen, - die Netzinfrastruktur im Klinikum Die Forschung und Lehre wird nur in den Bereichen abgedeckt, die auf den erfassten Servern in den Rechenzentren durchgeführt werden. Services von externen Partnern die keine Anwendungen oder Systeme aus den Rechenzentren verwenden, werden nicht betrachtet, z. B. diverse Baudienstleister. Als Räume werden die Rechenzentren erfasst. Als externe Partner muss das Küchenpersonal erfasst werden, da es einen Server zur Verwaltung der Essensausgabe von Patienten nutzt. 40

49 4.4 Leitlinie zur Informationssicherheit und Sicherheitskonzept Da die Unternehmensziele definiert worden sind, können nun in der Leitlinie zur Informationssicherheit die Informationssicherheitsziele der Institution erfasst und beschrieben werden. Unter den bereitgestellten Hilfsmitteln auf der Website des BSI, befinden sich unter anderem Beispiele für die Sicherheitsleitlinie, verschiedene Konzepte wie dem Datensicherungskonzept, Sicherheitshinweise, z. B. für Benutzer, oder Sicherheitsrichtlinien, z. B. für die IT-Nutzung. Das Sicherheitskonzept beschreibt ausführlich die Anforderungen und die zugehörigen Maßnahmen, um die gesetzten Informationssicherheitsziele der Institution zu erreichen. Abbildung 18: Inhalte der Sicherheitsleitlinie [BSI_100-2] Leitlinie zur Informationssicherheit Wie bereits erwähnt, stellt das BSI ein Beispiel für eine Informationssicherheitsleitlinie zur Verfügung. Im Folgenden werden die Teilaspekte einer Sicherheitsleitlinie gemäß BSI-Standard kurz dargestellt: Stellenwert der Informationsverarbeitung Hier wird beschrieben in welchen Geschäftszweigen IT verwendet wird und ob ein Ausfall der verwendeten IT der Geschäftszweige kompensiert werden kann. Übergreifende Ziele Bei den übergreifenden Aspekten wird auf die einzelnen Teilbereiche der Institution und deren Verfügbarkeit, Integrität und Vertraulichkeit eingegangen. 41

50 Detailziele Die Detailziele beschreiben grob die Geschäftszweige, die besonders kritisch bezüglich Sicherheitsvorfällen sind und warum sie besonders kritisch sind, z. B. an Hand gesetzlicher Grundlagen. Das Informationssicherheitsmanagement Hier wird der Aufbau des Informationssicherheitsmanagement der Institution beschrieben und welche Aufgaben die einzelnen Mitarbeiter des Informationssicherheitsmanagement übernehmen. Sicherheitsmaßnahmen Unter diesem Punkt werden allgemeine Sicherheitsmaßnahmen definiert, z. B. dass für alle verantwortlichen Funktionen Vertretungen einzurichten sind, die Dokumentation sichergestellt werden muss, damit die Vertretung ihre Aufgaben erfüllen kann, wie vorhandene Zutrittskontrollen und Zugriffe auf Daten geregelt sind und weitere. Dabei werden konzeptionelle Sicherheitsmaßnahmen mit der höchsten Priorität kurz zusammengefasst. Verbesserungen der Sicherheit Die Verbesserung der Sicherheit bezieht sich auf den Abschnitt ''kontinuierliche Verbesserung und Aufrechterhaltung der Sicherheitskonzeption'' der IT-Grundschutz- Methodik. Hier wird kurz auf die Prüfung der Aktualität und Wirksamkeit der Maßnahmen sowie die Revision eingegangen. Die Sicherheitsleitlinie sollte möglichst allgemein gehalten werden und Leitsätze enthalten. Dabei sollte eine geringe Seitenanzahl von beispielsweise 20 Seiten eingehalten werden, da sich dies in der Praxis bewährt hat. Die Konsolidierung bereits vorhandener Dokumente kann als Ausgangspunkt für die Erstellung der Sicherheitsleitlinie dienen. Durch die Unternehmensleitung wird die spätere Bekanntgabe der Informationssicherheitsleitlinie offiziell durchgeführt, um die Bedeutung der Leitlinie zu verdeutlichen. Dabei sollten alle Mitarbeiter die Inhalte kennen, auch neuen Mitarbeitern sollte die Leitlinie vorgelegt werden. Im Normalfall ändert sich die allgemeine Sicherheitsleitlinie selten, jedoch sollte sie dennoch in regelmäßigen Abständen auf Aktualität überprüft werden. Gemäß der ISO sollten bei der Erstellung einer Leitlinie zur Informati- 42

51 onssicherheit in Institutionen, die im Gesundheitswesen tätig sind, folgende zusätzliche Faktoren berücksichtigt werden: - den Umfang der Gesundheitsinformationen; - die Rechte und ethischen Verantwortlichkeiten des Personals, so wie sie in Gesetzen verankert sind und wie sie von den Mitgliedern der Standesorganisationen akzeptiert sind; - die anwendbaren Rechte der behandelten Person bezüglich Privatsphäre und Zugriff auf ihre Akten; - die Verpflichtungen der Klinikärzte, den informierten Konsens von behandelten Personen zu erhalten und die Vertraulichkeit der persönlichen Gesundheitsinformationen aufrechtzuerhalten; - die legitimen Zwänge der Klinikärzte und der Organisationen im Gesundheitswesen, die gewöhnlichen Sicherheitsprotokolle zu überschreiten, wenn Prioritäten der Gesundheitsversorgung, oft verbunden mit der Unfähigkeit einzelner behandelter Personen ihre Vorlieben auszudrücken, solche Überschreitungen erfordern; ebenso die dafür genutzten Verfahren; - die Verpflichtungen der jeweiligen Organisationen im Gesundheitswesen, und der behandelten Personen, wenn Gesundheitsversorgung auf der Basis von geteilter Fürsorge oder erweiterter Fürsorge erbracht wird; - die anzuwendenden Protokolle und Verfahren zur gemeinsamen Nutzung von Informationen für Zwecke der Forschung und klinischer Versuchsreihen; - die Vereinbarungen mit und die Grenzen der Befugnisse von zeitweilig beschäftigtem Personal, wie z. B. Stellvertretern, Studenten und Personal auf Abruf ; - die Vereinbarungen und die darin festgelegten Grenzen bezüglich des Zugriffs auf persönliche Gesundheitsinformationen für Freiwillige und unterstützendes Personal, wie z. B. kirchliches Personal oder Personal von Wohltätigkeitsorganisationen. Ein Beispiel für die Leitlinie zur Informationssicherheit, bzgl. des in diesem Profil definierten Informationsverbundes, befindet sich im Anhang. 43

52 Fragen zum Finden möglicher Veränderungen der Leitlinie (BSI Standard 100-2): Haben sich Geschäftsziele oder Aufgaben und damit Geschäftsprozesse geändert? Haben sich wesentliche IT-Verfahren geändert? Wurde die Organisationsstruktur neu ausgerichtet? Wurden neue IT-Systeme eingeführt, die in die Leitlinie aufgenommen werden müssen? Vorgehensweise bei der Erstellung eines Sicherheitskonzepts Die Erstellung des Sicherheitskonzepts gliedert sich in verschiedene Phasen, die in der folgenden Abbildung detailliert dargestellt sind. Für die Durchführung ist der Beauftragte für Informationssicherheit verantwortlich. Dabei sollte er die einzelnen Phasen koordinieren und steuern. Zu Beginn sollte er bereits vorhandene Dokumente sichten, um sich einen Überblick zu verschaffen und z. B. vertraglich festgelegte Verfahren oder bewährte Methoden im Unternehmen, die für die Schaffung von Informationssicherheit bereits in der Institution etabliert sind, in das Konzept zu integrieren. In den meisten Institutionen kann ein angemessenes Sicherheitsniveau für 80% der Zielobjekte mit den Standardsicherheitsmaßnahmen erreicht werden, sodass für lediglich 20% der Zielobjekte eine Risikoanalyse notwendig ist. Somit wird der Aufwand für eine umfangreiche Risikoanalyse reduziert. In Kliniken besitzen jedoch sehr viele Zielobjekte einen sehr hohen Schutzbedarf oder sind mit den Bausteinen nicht modellierbar, z. B. IT zur Patientenversorgung wie Computertomographen oder spezielle medizinische Anwendungen. Da der Hauptgeschäftszweig die Verarbeitung personenbezogener Daten (Patienteninformationen) beinhaltet und andererseits Kliniken öffentlich zugänglich sind, nimmt die Risikoanalyse einen größeren Anteil der Sicherheitskonzeption ein. Dennoch wird empfohlen, die IT-Grundschutz-Vorgehensweise zu verwenden, da die organisatorischen und konzeptionellen Vorarbeiten auch bei der Risikoanalyse relevant sind und die IT-Grundschutzmaßnahmen eine gute Basis für die Absicherung hoch schutzbedürftiger IT-Systeme bietet. 44

53 Informations- Verbund - Organisation - Infrastruktur - IT-Systeme - Anwendungen - Mitarbeiter IT-Strukturanalyse Feststellung des Schutzbedarfs Modellierung des Informationsverbundes (Auswahl der Maßnahmen) Basis-Sicherheitscheck (Ist-Soll-Vergleich) Ergänzende Sicherheitsanalyse 80% 20% Risikoanalyse Konsolidierung der Maßnahmen Basis-Sicherheitscheck 2 (berücksichtigt die Ergänzenden Sicherheitsanalyse) Realisierung der Maßnahmen Abbildung 19: Erstellung der Sicherheitskonzeption im Informationssicherheitsmanagement [BSI_100-2] 45

54 4.5 Strukturanalyse In der Strukturanalyse werden die Zielobjekte wie Räume, IT-Systeme, Anwendungen, Netze und weitere erfasst, die der Geltungsbereich enthält. Es gibt zwei Möglichkeiten die Strukturanalyse durchzuführen. Eine Vorgehensweise ist, zuerst die Anwendungen zu erfassen und daran anschließend die IT-Systeme. Da es bei größeren Infrastrukturen oft schwierig ist, abstrakte Anwendungen ohne konkrete technische Komponenten zu erfassen, wird als zweite Variante erst mit der Erfassung der IT-Systeme begonnen. Aufbauend auf die technischen Komponenten werden die Anwendungen erfasst. Die Strukturanalyse wird in folgende Teilaufgaben durchgeführt: - Erfassung der zum Geltungsbereich zugehörigen Geschäftsprozesse, Anwendungen und Informationen - Netzplanerhebung - Erhebung von IT-Systemen und ähnlichen Objekten - Erfassung der Räume Für die erste Teilaufgabe wurde in den vorherigen Kapiteln die Grundlage geschaffen, sodass als nächster Schritt die Netzplanerhebung folgt. Außerdem werden in diesem Profil zuerst die IT-Systeme erfasst und darauf aufbauend die Anwendungen. Zur Erhebung sollten bereits vorhandene Dokumente genutzt werden, z. B. Serverlisten Netzplan Für eine Analyse der Infrastruktur ist der Netzplan als grafische Übersicht geeignet. Dabei sollten alle im Informationsverbund befindlichen Komponenten der Informations- und Kommunikationstechnik und deren Vernetzung dargestellt werden. Bei größeren Institutionen existiert im Normalfall eine solche grafische Darstellung bereits, welche durchaus genutzt werden sollte. Es sollten gemäß IT-Grundschutz folgende Objekte enthalten sein: - IT-Systeme, d. h. Client- und Server-Computer, aktive Netzkomponenten (wie Switches, Router, WLAN Access Points), Netzdrucker etc. - Netzverbindungen zwischen diesen Systemen, d. h. LAN-Verbindungen (wie Ethernet, Token-Ring), WLANs, Backbone-Techniken (wie FDDI, ATM) etc. 46

55 - Verbindungen des betrachteten Bereichs nach außen, d. h. Einwahl-Zugänge über ISDN oder Modem, Internet-Anbindungen über analoge Techniken oder Router, Funkstrecken oder Mietleitungen zu entfernten Gebäuden oder Liegenschaften etc. Sollten medizinische Geräte z. B. zur Bildgebung (CT, Ultraschall) im Informationsverbund enthalten sein, sollten diese auch in den Netzplan aufgenommen werden. Im gewählten Beispiel-Informationsverbund sind aus der technischen Sicht alle Zielobjekte an einem Netz angeschlossen, jedoch werden durch IP-Adressvergabe zwei virtuelle Netze bereitgestellt. Einerseits das medizinische Netz für die Patientenversorgung und andererseits das Wissenschaftsnetz, in dem Forschung durchgeführt wird und die Verbindung zum Internet besteht. Nur aus dem medizinischen Netz kann auf medizinische Daten in den Rechenzentren zugegriffen werden. Zwischen dem Rechenzentrum und dem wissenschaftlichen Netz sind zwei Firewall geschaltet. Der bereinigte Netzplan in Abbildung 20 zeigt das Rechenzentrum und die Netzwerkkomponenten. Von den Switches erfolgt der Zugriff der Clients auf das Netzwerk. Die Zahl hinter dem Namen eines Servers ist die Anzahl der Server, die mit der entsprechenden Anwendung als Gruppe zusammengefasst wurden. Abbildung 20: Bereinigter Netzplan des Beispiel Informationsverbunds 47

56 4.5.2 Erhebung der IT-Systeme, Anwendungen und Räume IT- Systeme Da die Infrastruktur des definierten Informationsverbundes umfangreich und heterogen ist, wird zuerst mit der Erhebung der IT-Systeme begonnen. Bereits vorhandene Dokumente sollten als Grundlage für die Erhebung der IT-Systeme genutzt werden, z. B. Serverlisten der Administratoren. Bei der Erhebung der IT-Systeme sollten gemäß IT-Grundschutz folgende Informationen enthalten sein: - eine eindeutige Bezeichnung des IT-Systems, - Beschreibung (Typ und Funktion), - Plattform (z. B. Hardware-Architektur/Betriebssystem), - bei Gruppen: Anzahl der zusammengefassten IT-Systeme, - Aufstellungsort des IT-Systems, - Status des IT-Systems (in Betrieb, im Test, in Planung) und - Anwender bzw. Administratoren des IT-Systems Nachfolgend wird ein Auszug aus der Erfassung der erhobenen IT-Systeme und der dazugehörigen Informationen für das fiktive Beispiel eines Klinikums dargestellt. Id.-Nr. Beschreibung Plattform An- Stand- Status Anwender/ zahl ort Administratoren RAD1 Radiologisches Solaris 5 RZ1 In Ärzte Klinische Radio- Bildarchiv Betrieb logie/ Herr Schmidt ZAH1 Server für Windows 3 RZ1 In Ärzte Zahnklinik/ Zahnklinik Betrieb Herr Müller EXCH1 Exchange Server SBLU1 Blutdepot- Server KVW1 Küchenverwaltungsserver Windows 12 RZ1 In Betrieb Linux 7 RZ1 In Betrieb Windows 3 RZ1 In Planung Alle Mitarbeiter/ Herr Schulz Über SAP geregelt/ Herr Meyer Küchenpersonal/ Herr Schulz 48

57 PV1 Patienten- Windows 23 RZ1 In Be- Med. Personal/ verwaltung trieb SAP-Team Tabelle 5: Ausschnitt aus der Erhebung der IT-Systeme des Beispiel-Informationsverbunds Erfassung der Anwendungen Anwendungen dienen der Unterstützung und Optimierung von Geschäftsprozessen und Fachaufgaben. Beispielsweise ist der Geschäftsprozess Personalverwaltung IT unterstützt, demzufolge können die entsprechenden Anwendungen zu diesem Geschäftsprozess erfasst werden, z. B. SAP Human Capital Management für die Personalwirtschaft. Aus diesem Grund müssen die Zusammenhänge zwischen Anwendungen und Geschäftsprozessen bzw. Fachaufgaben identifiziert werden. Abhängigkeiten zwischen Anwendungen sollten ebenfalls erfasst werden. So können Bestellungen, z. B. von Arzneimitteln, nicht bearbeitet werden, wenn der Lagerbestand nicht vorliegt. Gemäß IT- Grundschutz empfiehlt es sich bei der Erfassung der Anwendungen Datenträger und Dokumente zu betrachten. Können Dokumente oder Datenträger nicht direkt einer Anwendung oder einem IT-Systeme zugeordnet werden, sollten diese gesondert analysiert und erfasst werden. Dazu können beispielsweise Archiv- und Backup-Datenträger, Datenträger für den Austausch mit externen Kommunikationspartnern, USB-Sticks, Notfallhandbücher in ausgedruckter Form, Mikrofilme und Verträge mit Partnern oder Kunden gehören. Die Tabelle 6 zeigt einen Auszug der Erfassung der Anwendungen des fiktiven Beispiels eines Klinikums. 49

58 Id.- Beschrei- Art der Verant- Benutzer Geschäfts- Abhän- IT- Nr. bung Infor- wortlich prozess gigkeit Systeme mation A1 DB Archi- PP Klinischer Klinische Patienten- keine RAD1 vierung Radiologie Radiologie versorgung Radiologie A2 Patienten- PP Zahnklinik Zahnklinik Patienten- keine ZAH1 verwaltung versorgung Zahnklinik A3 MS Exchange P/V/F/ S IT Alle Alle keine EXCH1 A4 Küchen- V IT Küchen- Patienten- PV1 bzgl. KVW1 verwaltung personal versorgung Allergien Tabelle 6: Ausschnitt aus der Erhebung der Anwendungen am Beispiel-Informationsverbund *Legende: PP = personenbezogene Patientendaten V = verwaltungsspezifische Informationen F = fachliche Informationen S = systemspezifische/technische Informationen Erfassung von Räumen Da eine Klinik öffentlich zugänglich ist, müssen Räumlichkeiten genauestens untersucht und erfasst werden. Sind beispielsweise IT-Systeme oder vertrauliche Dokumente bzw. Datenträger in öffentlich zugänglichen Räumen aufzufinden, kann ein erhöhtes Sicherheitsrisiko entstehen. Für ein Rechenzentrum sollte eine Sicherheitszone eingerichtet werden. Das heißt, Server, die zur Verarbeitung, Verwaltung oder Administration personenbezogener Daten verwendet werden, sollten von öffentlich zugänglichen Bereichen räumlich getrennt sein. Der Zugang sollte nur autorisierten Personen gestattet sein. Ein Sicherheitsvorfall muss nicht in jedem Fall durch teure Sicherheitsmaßnahmen vorgebeugt werden, hier kann auch eine Verlagerung der Informationstechnik in anderen nicht öffentlichen Bereichen zu einem angemessenen Sicherheitsniveau führen. Räume z. B. zur Lagerung von nicht-elektronischen personenbezogenen Informationen 50

59 wie Mikrobänder, sollten ebenfalls erfasst werden. Im Nachfolgenden wird ein Ausschnitt der Erfassung der Räume am fiktiven Beispiel eines Klinikums dargestellt. Bezeichnung Art Gebäude IT-Systeme / Datenträger RZ1 Rechenzentrum 1 Im Klinikum Alle IT-Systeme mit einer 1 am Ende der Id.-Nr. RZ2 Rechenzentrum 2 Gemietet Innenstadt Alle IT-Systeme mit einer 2 am Ende der Id.-Nr. R 1.12 Technikraum Im Klinikum SW, PR Switches und Port (IT- Replicatoren für Abteilung) Clients R 1.13 Datenträger Im Klinikum Backup-Datenträger (Sicherung der Archiv (IT- Server RAD1, ZH1,SBLU1 und PV1) Abteilung) Tabelle 7: Ausschnitt aus der Erhebung der Räume am Beispiel-Informationsverbund Zuweisung der Anwendungen zu den IT-Systemen Nachfolgende Tabelle ist ein Ausschnitt aus der Zuweisung der Anwendungen zu den entsprechenden IT-Systemen am fiktiven Beispiel-Informationsverbund. Beschreibung der Anwendungen IT-Systeme Nr. Anwendung/ Information RAD1 ZAH1 EXCH1 KVW1... A1 DB zur Archivierung der Radiologie X A2 Patientenverwaltung für die Zahnklinik X A3 Microsoft Exchange X A4 Küchenverwaltungsserver X Tabelle 8: Ausschnitt aus der Zuweisung der Anwendungen zu den IT-Systemen am Beispiel- Informationsverbund 51

60 4.5.3 Komplexitätsreduktion durch Gruppenbildung Gerade bei einer hohen Anzahl an Informationstechnik sollte eine Gruppenbildung durchgeführt werden, damit die Datenmenge handhabbar wird und übersichtlicher dargestellt werden kann. Gruppen können gemäß IT-Grundschutz anhand folgender Merkmale gebildet werden: - gleicher Typ - ähnlich konfiguriert - ähnlich in das Netz eingebunden - unterliegen ähnlichen administrativen und infrastrukturellen Rahmenbedingungen - bedienen ähnliche Anwendungen Bei der Gruppenbildung sollte darauf geachtet werden, dass die zusammengefassten Objekte den gleichen Schutzbedarf aufweisen. Der Schutzbedarf wird jedoch erst nach der Strukturanalyse bestimmt, demzufolge sollte die Gruppenbildung ebenfalls erst im Nachhinein erfolgen, dadurch wird eine falsche Schutzbedarfsfeststellung, aufgrund einer falsch Gruppenzuordnung vermieden. Jedoch können auch Gruppen direkt bei der Strukturanalyse gebildet werden, beispielsweise für Server, die komplett die gleichen Aufgaben erledigen. [BSI_100-2] Die Anwendung MS Exchange ist auf 12 gleich konfigurierten Servern verteilt, um die Verfügbarkeit zu erhöhen. Da alle 12 Server nur die Anwendung Exchange installiert haben und gleich konfiguriert sind, kann davon ausgegangen werden, dass der Schutzbedarf identisch ist. Aus diesem Grund werden alle 12 Server durch ein IT-System, mit Angabe der Anzahl der Server, dargestellt (EXCH1). Es kann von Vorteil sein, Anwendungen auf den Servern organisatorisch neu zu verteilen, um Anwendungen anhand ihres Schutzbedarfs besser unterscheiden zu können. Somit können teure Sicherheitsmaßnahmen eingespart werden. 52

61 4.5.4 Das GSTOOL des BSI Das GSTOOL ist genau auf die Anforderungen der BSI-Standards abgestimmt und verwendet die IT-Grundschutz-Kataloge des BSI. Bei der Einpflege der IT-Systeme können folgende Zielobjekt-Typen ausgewählt werden: Gebäude, Raum, IT-System, Netz, Anwendung und Mitarbeiter. Diese unterteilen sich wiederum in Zielobjekt- Subtypen, um ein Zielobjekt zu spezifizieren. Der Zielobjekt-Typ IT-Systeme enthält unter anderem die Subtypen Server unter Windows NT, Client unter Windows 2000, Speichersysteme und weitere. Somit wird das IT-System Server mit dem Betriebssystem Windows NT, das im Rechenzentrum steht, durch den Zielobjekttyp IT-Systeme angelegt und als Subtyp wird Server unter Windows NT angegeben. Durch eine Baumstruktur dargestellt, kann im GSTOOL eine technische und eine logische Ansicht erstellt werden. Neben Pflichtfeldern wie dem Namen, Kürzel, Subtyp und der Anzahl können zu jedem Zielobjekt optionale Felder ausgefüllt werden, z. B. eine Beschreibung zum Zielobjekt. Durch die strukturierte Darstellung der Bausteine in einer 5-Schichten-Ansicht und farbiger Kennzeichnungen über den Umsetzungsstatus der Maßnahmen für die Zielobjekte werden die umfangreichen Informationen aus den IT- Grundschutz-Katalogen übersichtlich dargestellt. Ein Vorteil bei der Nutzung des GSTOOLs liegt darin, dass das GSTOOL bei der Strukturanalyse die Bausteine automatisch durch die Subtypen zuordnet, während bei der Umsetzung der IT-Grundschutz- Methodik ohne Tool-Unterstützung die Bausteine den Zielobjekten manuell zugeordnet werden müssen. Auch in der Modellierung wird vom GSTOOL ein Vorschlag durch eine automatische Zuordnung der Maßnahmen zu den Zielobjekten angeboten und erleichtert dadurch den Aufwand enorm. Dieser Vorschlag wird aus den Maßnahmen- Empfehlungen, die in den Bausteinen enthalten sind, erzeugt. Das GSTOOL bietet die Möglichkeit Berichte zu erstellen, um die erfassten Informationen übersichtlich zusammenzufassen. Es gibt vorgefertigte Berichte und es besteht die Möglichkeit, eigene Berichte zu erstellen bzw. bestehende Berichte zu verändern; diese dienen als Zusammenfassung und Auswertung der Ergebnisse. Außerdem können Datenbanken in Form einer CSV oder Text-Datei in das GSTOOL direkt eingelesen werden, damit ggf. bereits vorhandene Dokumente genutzt werden können. 53

62 4.6 Schutzbedarfsfeststellung Die Schutzbedarfsfeststellung beinhaltet die Schritte: - Definition der Schutzbedarfskategorien - Schutzbedarfsfeststellung für Anwendungen - Schutzbedarfsfeststellung für IT-Systeme - Schutzbedarfsfeststellung für Räume - Schutzbedarfsfeststellung für Kommunikationsverbindungen - Schlussfolgerungen aus den Ergebnissen der Schutzbedarfsfeststellung Bei der Schutzbedarfsfeststellung sollten die Anwender einbezogen werden, da sie den Mehraufwand bei Ausfall, Fehlern oder Kompromittierung eines Systems besser einschätzen können. Der Schutzbedarf orientiert sich dabei an möglichen Schäden für die Institution und den Geschäftsprozessen sowie einzelnen Personen. Anhand des Schutzbedarfs der Zielobjekte wird entschieden, ob das jeweilige Zielobjekt durch den IT- Grundschutz abgedeckt wird oder eine ergänzende Sicherheitsanalyse notwendig ist. Gemäß IT-Grundschutz wird das Maximum-Prinzip angewendet, d. h. ist ein Zielobjekt beispielsweise bei der Vertraulichkeit und Verfügbarkeit mit "normal", jedoch bei der Integrität mit "hoch" bewertet, wird das Zielobjekt insgesamt nach dem Maximum- Prinzip mit "hoch" bewertet. Sollte kein Tool bei der Umsetzung der IT-Grundschutz- Methodik verwendetet werden, bietet es sich an, die Tabellen aus der Strukturanalyse um die Spalten Integrität, Verfügbarkeit und Vertraulichkeit zu erweitern. Beachtung von Abhängigkeiten Tritt ein Problem (z. B. Absturz) beim DNS Server auf, sind auch medizinische Anwendungen nicht mehr erreichbar. Aus diesem Grund wird die Verfügbarkeit des DNS Servers durch die Abhängigkeit zu medizinischen Anwendungen mit "sehr hoch" bewertet. Kumulationseffekt Fällt der Fax-Server aus, kann auf andere Kommunikationsmittel wie und Telefon zurückgegriffen werden. Somit ist die Verfügbarkeit mit dem Attribut "normal" einzustufen. Da auf dem Fax-Server jedoch gleichzeitig und Telefon verwaltet wird, fällt die komplette Kommunikation aus, sodass der Fax-Server mit einem hohen Schutzbedarf bewertet werden muss. 54

63 Verteilungseffekt Die ist eines der wichtigsten Kommunikationsmittel und muss daher mit einem hohen Schutzbedarf bei der Verfügbarkeit bewertet werden. Da die Anwendung MS Exchange jedoch auf mehrere Server verteilt ist, ist eine hohe Verfügbarkeit gewährleistet und somit kann die Verfügbarkeit niedriger bewertet werden Vorarbeiten Zu den Vorarbeiten gehört zunächst die Definition der Schutzbedarfskategorien. Gemäß IT-Grundschutz werden die Schutzbedarfskategorien "normal", "hoch" und "sehr hoch" definiert, jedoch können auch eigene Schutzbedarfskategorien erstellt werden. Beispielsweise könnten die Kategorien des IT-Grundschutzes um eine Kategorie "niedrig" erweitert werden, die Systeme beschreibt, die solch einen geringen Schutzbedarf aufweisen, dass keine speziellen Sicherheitsmaßnahmen darauf angewendet werden müssen. Jede Kategorie sollte dabei durch bestimmte Schadensauswirkungen beschrieben werden. Die Schadensauswirkungen für Zielobjekte, die mit der Kategorie "sehr hoch" bewertet wurden, sind existentiell bedrohlich und können ein katastrophales Ausmaß erreichen. Die Schadensauswirkungen sollten am Umsatz der Institution gemessen werden. Die in Kapitel Erläuterungen zum Schutzbedarf beschriebenen Schadensszenarien dienen als Grundlage zur Bestimmung der Schutzbedarfskategorien. Bei der Verarbeitung von Patientendaten treten zusätzliche Schadensszenarien auf, die beachtet werden müssen. Dazu gehört beispielsweise folgendes Schadensszenarium: - Verstoß gegen berufsspezifische Standards und Ethikvorgaben. (Ärztliche Schweigepflicht) Die Schadensszenarien sollten wie die Schutzbedarfskategorien erfasst und dokumentiert sowie auf die Institution und deren Geschäftsziele abgestimmt werden. Verschiedene Schadensszenarien können auch gleichzeitig bzw. direkt nacheinander eintreten. Beispielsweise wird gegen das informationelle Selbstbestimmungsrecht verstoßen, wenn Daten zur Forschung freigegeben werden, die nicht pseudonymisiert bzw. anonymisiert sind und keine Einwilligung der betreffenden Personen eingeholt wurde. Werden diese Daten veröffentlicht, kann die persönliche Unversehrtheit der betreffen- 55

64 den Personen nicht mehr gewährleistet werden. Außerdem folgen unmittelbare negative Innen- oder Außenwirkungen sowie finanzielle Auswirkungen. Am Beispiel-Informationsverbund dieses Profils werden zur Schutzbedarfsfeststellung die Schutzbedarfskategorien und Schadensszenarien des IT-Grundschutzes verwendet Besonderheiten von Daten aus dem Gesundheitswesen Wie schon bei den rechtlichen Rahmenbedingungen erwähnt, sind Patientendaten eine besondere Art personenbezogener Daten. Dabei sind die Hauptaspekte das Patientengeheimnis, das Recht auf informationeller Selbstbestimmung und auf körperliche Unversehrtheit. Das Recht auf körperlicher Unversehrtheit wird schon allein durch eine nicht gewährleistete Verfügbarkeit oder Integrität gefährdet und kann die Patientenversorgung beeinflussen und im schlimmsten Fall bis zum Tod eines Patienten führen. Zusätzlich kann die Veröffentlichung einer Krankheit (z. B. Geschlechtskrankheit) eine Person gesellschaftlich schaden, sodass beispielsweise potentielle Arbeitgeber auf Grund der Krankheit eine Absage erteilen. Das kann auch bei Versicherungen oder Krediten der Fall sein, wenn z. B. eine unheilbare Krankheit mit möglicher Todesfolge veröffentlicht wurde. Im Strafgesetzbuch 203 wird das Patientengeheimnis geregelt. Nach diesem Gesetz ist der behandelnde Arzt dazu verpflichtet über alles zu schweigen, was ihm von einem Patienten anvertraut wird. Da bei jeder Patientenbehandlung neue sensible personenbezogene Informationen erfasst werden, findet im Krankenhaus eine permanente und räumlich verteilte Verarbeitung hoch sensibler Patienteninformationen statt. Jeder Fall eines Arztes hat unterschiedliche Sicherheitsanforderungen, was die Schutzbedarfsfeststellung einzelner Bereiche erschwert. Zudem dürfen Heilberufler ohne Einwilligung der betreffenden Person nicht einmal untereinander personenbezogene Informationen austauschen. Deshalb muss sogar unter den Heilberuflern eine Abschottung der Informationsverarbeitung stattfinden. Während der größte Teil der Wirtschaftsunternehmen sich in bestimmte Bereiche unterteilen lässt, von denen nur bestimmte Bereiche sensible Daten, z. B. Personalabteilung oder Entwicklungsdaten bzw. Forschungsdaten, verarbeiten, werden in einem Krankenhaus in fast jedem Bereich sensible Daten verarbeitet. Der Schutzbedarf von Informationen im Gesundheitswesen ist oft schwer einzu- 56

65 schätzen, da der Schutzbedarf stark subjektiv und kontextabhängig bestimmt werden muss. Die folgenden drei Beispiele sind dem ISO-Standard Kapitel entnommen: a) Die Vertraulichkeit von persönlichen Gesundheitsinformationen ist oft reichlich subjektiv, anstatt objektiv. Mit anderen Worten, letztlich kann nur die betroffene Person (d. h. die behandelte Person) eine geeignete Bestimmung der entsprechenden Vertraulichkeit der verschiedenen Datenfelder oder gruppierungen machen. Zum Beispiel wird eine Person, die aus einer gewalttätigen Beziehung flieht, ihre neue Adresse und Telefonnummer als wesentlich vertraulicher einstufen als klinische Daten über das Richten ihres gebrochenen Armes. b) Die Vertraulichkeit von persönlichen Gesundheitsinformationen ist kontextabhängig. Zum Beispiel können der Name und die Adresse einer behandelten Person in einer Liste von Aufnahmen in die Notfallabteilung eines Krankenhauses von dem Betroffenen als nicht besonders vertraulich angesehen werden, wohingegen derselbe Name und dieselbe Adresse in einer Liste von Aufnahmen in eine Klinik, die sexuelle Impotenz behandelt, von dem Betroffenen als hoch vertraulich angesehen werden können. c) Die Vertraulichkeit von persönlichen Gesundheitsinformationen kann sich über die Lebensdauer der Gesundheitsakte des Betroffenen verändern. Zum Beispiel haben sich verändernde gesellschaftliche Einstellungen in den letzten 20 Jahren dazu geführt, dass viele behandelte Personen ihre sexuelle Orientierung nicht länger als vertraulich ansehen. Umgekehrt haben Einstellungen gegenüber Drogen und Alkoholabhängigkeit dazu geführt, dass einige behandelte Personen Suchtberatungsdaten heute, falls überhaupt vorhanden, für noch vertraulicher halten als dies vor 20 Jahren der Fall gewesen wäre. Laut ISO sollten alle persönlichen Gesundheitsdaten sorgfältig geschützt werden. Dadurch ist der Hauptgeschäftszweig, die Patientenversorgung, als sehr hoch schützenswert einzustufen. 57

66 4.6.3 Schutzbedarfsfeststellung für Anwendungen Für die Schutzbedarfsfeststellung der Anwendungen sollten die Anwender befragt werden. Zwar haben die Anwender im Normalfall, z. B. Medizinisches Personal, ein geringes technisches Verständnis, jedoch können sie den Mehraufwand bei Ausfall besser einschätzen. Dabei sollten realistische Schadensszenarien entwickelt und die zu erwartenden materiellen oder ideellen Schäden beschrieben werden. Es sollten die maximalen Schäden und Folgeschäden betrachtet werden, wobei die Höhe dieser möglichen Schäden letztendlich den Schutzbedarf bestimmen. Es wird die Anwendung Patientenmanagementsystem (PMS) des Beispiel- Informationsverbunds bezüglich der Verfügbarkeit betrachtet. Dazu wurde verschiedenes medizinisches Personal (Anwender) zu realistischen Schadensszenarien befragt, falls das PM bis zu einer Stunde, bis zu 24 Stunden oder länger als 24 Stunden ausfallen würde. Dabei sagten fast alle befragten Personen, dass mittlerweile jede Behandlung ITunterstützt durchgeführt wird. Es gibt Notfälle bei der Patientenbehandlung, bei denen wenige Minuten darüber entscheiden, ob der Patient überlebt. Um die Überlebenschancen des Patienten bei einer Notfallbehandlung zu erhöhen, müssen alle Patienteninformationen permanent verfügbar sein. Ist demzufolge das PMS nicht verfügbar, wird die körperliche Unversehrtheit des Patienten bedroht. Aus diesem Grund ist das PMS in der Verfügbarkeit mit "sehr hoch" zu bewerten. Weiterhin wurden Szenarien über finanzielle Schäden und negativer Innen- oder Außenwirkung erfasst, die zur gleichen Verfügbarkeitsanforderung führten und diese damit bestätigten. Id.- Bezeich- Perso- Schutzbedarf Begründung Nr. nung nenbe- zogene Daten A1 DB Archi- Ja Vertraulichkeit: Es können Rückschlüsse auf die vierung Hoch Krankheit des Patienten gezogen wer- Radiologie den. Integrität: Eine nicht gegebene Integrität kann zu 58

67 Sehr Hoch einer Fehlbehandlung führen. Verfügbarkeit: Bei akuten Fällen muss der Zugriff auf Sehr Hoch die Daten für eine sofortige Behandlung gewährleistet werden. A2 Patienten- Ja Vertraulichkeit: Es können Rückschlüsse auf die verwaltung Sehr Hoch Krankheit des Patienten gezogen wer- Zahnklinik den. Integrität: Behandlungsfehler können zu Klagen Hoch führen, die mit einer schlechten Außen- und Innenwirkung und hohen Kosten in Form von Schadensersatz einhergehen. Außerdem kann eine ordnungsgemäße Patientenversorgung nicht durchgeführt werden. Verfügbarkeit: Bei akuten Fällen muss der Zugriff auf Hoch die Daten für eine Behandlung gewährleistet werden. Ausfälle von bis zu 24 Stunden sind tolerabel, da auch akute Fälle nicht lebensbedrohlich sind. A3 MS Ggf. Vertraulichkeit: Es ist möglich, dass personenbezogene Exchange Hoch Daten übermittelt werden, z. B. in der Personalabteilung. Die Übertragung von Patientendaten ist nicht erlaubt. Da die Übertragung personenbezogener Daten nur sporadisch stattfindet, ist die Vertraulichkeit nicht sehr hoch. Integrität: Fehler können schnell erkannt und Normal korrigiert werden. Kritische Ge- 59

68 schäftszweige wie die Patientenversorgung oder medizinisches Bestellwesen werden über SAP geregelt. Verfügbarkeit: Durch Alternativen wie Fax oder Tele- Normal fon sind Ausfälle über 24 Stunden tolerabel. A4 Küchenver- Ja Vertraulichkeit: Es sind vage Rückschlüsse auf die waltungs- Hoch Krankheit des Patienten möglich. server Integrität: Durch Allergien oder Medikamen- Sehr Hoch tenunverträglichkeiten bei bestimmten Nahrungsmitteln muss die Integrität gewährleistet werden, da ansonsten Gefahr für Leib und Leben des Patienten entstehen kann. Verfügbarkeit: Ausfälle über 24 Stunden sind tolera- Normal bel, da die Versorgung auch durch andere Hilfsmittel aufrecht erhalten werden kann, z. B. in Papierform Tabelle 9: Ausschnitt aus der Schutzbedarfsfeststellung der Anwendungen am Beispiel- Informationsverbund Schutzbedarfsfeststellung für IT-Systeme Der Schutzbedarf der IT-Systeme wird über die darauf befindlichen Anwendungen bestimmt. Zur Schutzbedarfsfeststellung sollten die möglichen Schäden der relevanten Anwendungen in ihrer Gesamtheit betrachtet werden. Über die Summe der Schäden bzw. die Schadensauswirkung der schützenswertesten Anwendung, wird über den Schutzbedarf entschieden. 60

69 Verfahren Sie nach dem Maximum-Prinzip und beachten Sie - den Kumulationseffekt - den Verteilungseffekt - Abhängigkeiten Das GSTOOL schlägt einen Schutzbedarf auf Grundlage verknüpfter Zielobjekte vor, beispielsweise wird bei einem Server der Schutzbedarf der darunterliegenden Anwendung vorgeschlagen. Dieser Vorschlag sollte überprüft werden, bzgl. der Beachtung von Abhängigkeiten, des Kumulations- und des Verteilungseffekts. Im Folgenden wird ein Auszug der Schutzbedarfsfeststellung der IT-Systeme des fiktiven Beispiels Klinikum tabellarisch dargestellt. Id.-Nr. Bezeich- Schutzbedarf Begründung nung RAD1 Radiolog. Vertraulichkeit: Schutzbedarf von der darauf befindlichen Bildarchiv Hoch Anwendung A1 geerbt. Integrität: Schutzbedarf von der darauf befindlichen Sehr Hoch Anwendung A1 geerbt. Verfügbarkeit: Aufgrund des Verteilungseffekts wird der Normal Schutzbedarf für die Verfügbarkeit bei den Servern niedriger eingeschätzt, wie bei der darauf befindlichen Anwendung. ZAH1 Server für Vertraulichkeit: Schutzbedarf von der darauf befindlichen Zahnklinik Sehr Hoch Anwendung A2 geerbt. Integrität: Schutzbedarf von der darauf befindlichen Hoch Anwendung A2 geerbt. Verfügbarkeit: Aufgrund des Verteilungseffekts wird der Normal Schutzbedarf für die Verfügbarkeit bei den Servern niedriger eingeschätzt, wie bei der darauf befindlichen Anwendung. 61

70 EXCH1 Exchange Server KVW1 Küchenverwaltungsserver Vertraulichkeit: Hoch Integrität: Normal Verfügbarkeit: Normal Vertraulichkeit: Hoch Integrität: Sehr Hoch Verfügbarkeit: Normal Schutzbedarf von der darauf befindlichen Anwendung A3 geerbt. Schutzbedarf von der darauf befindlichen Anwendung A3 geerbt. Schutzbedarf von der darauf befindlichen Anwendung A3 geerbt. Schutzbedarf von der darauf befindlichen Anwendung A4 geerbt. Schutzbedarf von der darauf befindlichen Anwendung A4 geerbt. Schutzbedarf von der darauf befindlichen Anwendung A4 geerbt Tabelle 10: Ausschnitt aus der Schutzbedarfsfeststellung der IT-Systeme am Beispiel Klinikum Schutzbedarfsfeststellung für Räume Der Schutzbedarf eines Raums wird anhand der im Raum befindlichen IT-Systeme, verarbeiteten Informationen oder der Datenträger, die in diesem Raum gelagert und benutzt werden, nach dem Maximum-Prinzip bestimmt. Auch bei der Schutzbedarfsfeststellung der Räume sollten eventuelle Abhängigkeiten und der Kumulations- bzw. Verteilungseffekt berücksichtigt werden. Wenn beispielsweise mehrere verschiedene IT- Systeme in einem Raum sind, kann der Kumulationseffekt eintreten. 62

71 Die nachfolgende Tabelle zeigt einen Auszug aus der Schutzbedarfsfeststellung der Räume am Beispiel Klinikum. Schutzbedarf Bezeich Art Lokation IT-Systeme / Vertrau- Integ- Verfüg- zeich- Datenträger lichkeit rität barkeit nung RZ1 Rechenzentrum 1 Im Klini- Alle IT-Systeme Sehr Sehr Sehr kum mit einer 1 am Hoch Hoch Hoch Ende der Id.-Nr. RZ2 Rechenzentrum 2 Gemietet Alle IT-Systeme Sehr Sehr Sehr Innenstadt mit einer 2 am Hoch Hoch Hoch Ende der Id.-Nr. R 1.12 Technikraum Im Klini- SW, PR Sehr Sehr Sehr Switches und kum Hoch Hoch Hoch Port Replicatoren (IT- für Clients Abteilung) R 1.13 Datenträger Ar- Im Klini- Backup- Sehr Sehr Normal chiv kum (IT- Datenträger (Si- Hoch Hoch Abteilung) cherungen der Server RAD1, ZH1, SBLU1 und PV1) Tabelle 11: Ausschnitt aus der Schutzbedarfsfeststellung der Räume am Beispiel- Informationsverbund Da in den erfassten Räumen immer IT-System oder Komponenten vorhanden sind, auf denen medizinische Daten erfasst, verarbeitet oder übertragen werden, ist der Schutzbedarf oft mit Sehr Hoch bewertet. 63

72 4.6.6 Schutzbedarfsfeststellung für Kommunikationsverbindungen Die Schutzbedarfsfeststellung der Kommunikationsverbindungen sollte anhand des Netzplans erfolgen. Als Entscheidungshilfe für die Schutzbedarfsfeststellung einer Kommunikationsverbindung sollte gemäß IT-Grundschutz vorbereitend erfasst werden: - auf welchen Kommunikationsstrecken kryptographische Sicherheitsmaßnahmen eingesetzt werden sollten, - welche Strecken redundant ausgelegt sein sollten und - über welche Verbindungen Angriffe durch Innen- oder Außentäter erfolgen könnten. Um kritische Kommunikationsstrecken zu identifizieren, werden folgende Sachverhalte überprüft: [BSI_100-2] - Ist die Kommunikationsverbindung eine Außenverbindung, d. h. eine Kommunikationsverbindung die in oder über unkontrollierte Bereiche führt? (z. B. Internet, öffentliche Gebäude - Dazu können auch drahtlose Kommunikationsverbindungen zählen, da Versuche eines Angriffs nur schwer zu verhindern sind.) - Werden über die Kommunikationsverbindung hochschutzbedürftige Informationen übertragen? (Vertraulichkeit, Integrität, Verfügbarkeit) - Dürfen über die Kommunikationsverbindung bestimmte hochschutzbedürftige Informationen übertragen werden? (z. B. Falls nicht, könnten falsch konfigurierte oder ungeeignete Netzkoppelelemente verwendet worden sein, die neu konfiguriert bzw. ausgetauscht werden sollten.) Vorgehensweise: 1. Erfassung sämtlicher Außenverbindungen. 2. Erfassung sämtlicher Verbindungen, die von einem IT-System mit hohem oder sehr hohem Schutzbedarf ausgehen und über die hochschutzbedürftige Informationen übertragen werden. 3. Erfassung sämtlicher Verbindungen, über die diese hochschutzbedürftigen Informationen weiter übertragen werden. 4. Erfassung sämtlicher Kommunikationsverbindungen, über die keine hochschutzbedürftigen Informationen übertragen werden dürfen. 64

73 Bei einem Netzplan ist es vorteilhaft, die kritischen Verbindungen farblich hervorzuheben. Welche Informationen sollten gemäß IT-Grundschutz erfasst werden: - die Verbindungsstrecke, - ob es sich um eine Außenverbindung handelt, - ob hochschutzbedürftige Informationen übertragen werden und ob der Schutzbedarf aus der Vertraulichkeit, Integrität oder Verfügbarkeit resultiert und - ob hochschutzbedürftige Informationen nicht übertragen werden dürfen. Abbildung 21: Beispiel Netzplan mit kritischen Verbindungen am Beispiel-Informationsverbund 65

74 Verbindung ZAH1 ATM Switch EXCH1 ATM Switch SBLU1 ATM Switch KVW1 ATM Switch ATM Switch Firewall 1 ATM Switch Firewall 2 ATM Switch Router 1 ATM Switch Router 2 K1- hohe Vertraulichkeit X X X X K2- hohe Vertraulichkeit K3- Außenverbindung Tabelle 12: Ausschnitt aus der Erfassung der Netzwerkverbindungen am Beispiel- Informationsverbund X X X X... 66

75 4.7 Modellierung In der Modellierung werden den Zielobjekten Bausteine zugeordnet, in denen unter anderem die zu erwartende Gefährdungslage beschrieben wird. Die Gefährdungen stammen aus einer vereinfachten Risikoanalyse für typische Umgebungen der Informationsverarbeitung und daraus resultieren die spezifische Standard-Sicherheitsmaßnahmen. Die Maßnahmen wurden vom BSI entwickelt und geben dem Anwender die Möglichkeit, für Zielobjekte mit einem durchschnittlichen Schutzbedarf, ohne aufwendige Risikoanalysen, ein ausreichendes Sicherheitsniveau zu erreichen. In jedem Baustein stehen neben der Gefährdungslage Maßnahmen-Empfehlungen. Jede Maßnahme ist durch einen Buchstaben gekennzeichnet, er definiert, welche Qualifizierungsstufe erreicht werden kann. Es gibt drei Ausprägungen der Qualifizierung, die im Kapitel 4.12 Zertifizierung näher erläutert werden. Im Folgenden werden die Buchstaben und ihre Bedeutung aufgelistet: A (Einstieg): Diese Maßnahmen sind vorrangig und müssen für alle Ausprägungen der Qualifizierung nach IT-Grundschutz umgesetzt werden. B (Aufbau): Diese Maßnahmen sollten zügig realisiert werden und müssen für das Auditor-Testat "IT-Grundschutz Aufbaustufe" und für das ISO Zertifikat auf Basis von IT-Grundschutz umgesetzt werden. C (Zertifikat): Diese Maßnahmen sind für das ISO Zertifikat auf Basis von IT- Grundschutz umzusetzen. Eine zeitlich nachrangige Umsetzung auf Grund von Engpässen ist möglich. Z (zusätzlich): Diese Maßnahmen sind für keins der drei Ausprägungen der Qualifizierung nach IT-Grundschutz notwendig, sie sind bei höheren Sicherheitsanforderungen jedoch hilfreich. W (Wissen): Diese Maßnahmen sind ebenfalls für keine der Qualifizierungsstufen erforderlich, vermitteln jedoch Grundlagen und Kenntnisse für die Umsetzung anderer Maßnahmen. [BSI_Webkurs] 67

76 4.7.1 Vorgehensweise, das Schichtenmodell Bei der Vorgehensweise sollte sich gemäß IT-Grundschutz an dem Schichtenmodell gehalten werden, eine Darstellung der Schichten ist in Abbildung 22 ersichtlich. Abbildung 22: Die Schichten und Zuständigkeiten der Bausteine der IT-Grundschutzkataloge vgl. [BSI-Webkurs] Vorteile des Schichtenmodells gemäß IT-Grundschutz: Die Komplexität der Darstellung wird durch eine sinnvolle Aufteilung der Einzelaspekte, z. B. organisatorische Bedingungen, infrastrukturelle Gegebenheiten und Besonderheiten der technischen Systeme, reduziert. Da übergeordnete Aspekte und infrastrukturelle Fragestellungen getrennt von den IT- Systemen betrachtet werden, werden Redundanzen vermieden, weil diese Aspekte nur einmal bearbeitet werden müssen und nicht wiederholt für jedes IT-System. Aufgrund der Aufteilung der Sicherheitsaspekte in Schichten, können Einzelaspekte in den Informationssicherheitskonzepten leichter aktualisiert und erweitert werden, ohne dass andere Schichten umfangreich tangiert werden. Die einzelnen Schichten sind so gewählt, dass auch die Zuständigkeiten für die betrachteten Aspekte gebündelt sind. Schicht 1 betrifft Grundsatzfragen des IT-Einsatzes und damit in erster Linie die Unternehmensleitung und das Informationssicherheitsmanagement. Schicht 2 beinhaltet den Bereich Haustechnik, Schicht 3 die Ebene der Ad- 68

77 ministratoren und IT-Nutzer, Schicht 4 die Netz- und Systemadministratoren und Schicht 5 schließlich die IT-Anwendungsverantwortlichen und -betreiber. Da die Bausteine der IT-Grundschutz-Kataloge Maßnahme-Empfehlungen enthalten, wird die Zuordnung der Maßnahmen bei der Zuordnung der Bausteine mit abgedeckt. Bei der Modellierung kann der modellierte Informationsverbund als Prüfplan oder Entwicklungsplan erstellt werden. Der Prüfplan findet Anwendung, wenn die Bausteine auf einen bereits existierenden Informationsverbund abgebildet werden. Handelt es sich jedoch um einen geplanten Informationsverbund, kann das Modell als Entwicklungsplan dienen. Die Modellierung findet in den folgenden Schritten statt: 1. Schritt: Zuordnung der Bausteine aus den einzelnen Schichten In der 1. Schicht "Übergreifende Aspekte" wird mit der Auswahl der Bausteine begonnen. Die einzelnen Bausteine sind auf der Webseite des BSI in einer Übersicht detailliert aufgeführt. Mit der Schicht "Übergreifende Aspekte" werden organisatorische Anforderungen abgedeckt, die für den kompletten Informationsverbund zu treffen, z. B. B 1.0 Sicherheitsmanagement. In der Schicht 2 "Infrastruktur" werden baulichtechnische Fragen und der physische Schutz wie beispielsweise vor Feuer, Wasser oder Diebstahl behandelt, z. B. B 2.2 Elektronische Verkabelung. Die Schicht 3 "IT- Systeme" beschreibt Sicherheitsaspekte von IT-Systemen, z. B. B Server unter Unix, B Router und Switches und andere. Mit der Schicht 4 werden die Netze abgedeckt, z. B. Bausteine für B 4.1 Heterogene Netze, B 4.4 VPN und in der 5. Schicht gibt es Bausteine, um die Sicherheit von Anwendungen zu gewährleisten, z. B. B 5.3 E- Mail, B 5.4 Webserver und weitere. 2. Schritt: Prüfung auf Vollständigkeit Das Ziel ist eine vollständige Abbildung des betrachteten Informationsverbunds durch die Bausteine. Bei der Prüfung auf Vollständigkeit sollte gemäß IT-Grundschutz sichergestellt werden, ob: - alle übergeordneten Aspekte korrekt modelliert sind, - alle beteiligten Gebäude, Räume, Schutzschränke und die Verkabelung im Hinblick auf die bautechnische Sicherheit berücksichtigt sind, - alle in der Liste der IT-Systeme enthaltenen Systeme abgedeckt sind, - die netztechnischen Sicherheitsaspekte durch die zugehörigen Bausteine korrekt modelliert sind, 69

78 - diejenigen Anwendungen berücksichtigt sind, für die es Bausteine gibt, - diejenigen IT-Komponenten, für die keine unmittelbar passenden Bausteine vorhanden sind, angemessen durch andere geeignete Bausteine modelliert sind. Baustein Zielobjekt Hinweis B1 Übergreifende Aspekte B 1.0 Sicherheitsmanagement Gesamtes Klinikum Wird eingebettet in die Managementstruktur. B 1.1 Organisation Gesamtes Klinikum Gilt einheitlich für alle Betriebsteile.... B2 Infrastruktur B 2.1 Gebäude R.1.3 Datenträger Archiv In der IT-Abteilung B 2.4 Serverraum B 2.4 Serverraum... RZ1 Klinikum (IT-Abteilung) RZ2 In der Innenstadt Der Baustein muss auf beide Räume angewendet werden. Tabelle 13: Ausschnitt aus der Dokumentation der Modellierung am Beispiel-Informationsverbund Probleme bei der Modellierung Bei der Modellierung kann es vorkommen, dass Bausteine veraltet oder gar nicht erst vorhanden sind. Auch für diesen Fall hat das BSI Lösungen ausgearbeitet. Sollte ein Zielobjekt bei der Modellierung nicht mit den Bausteinen abbildbar sein, kann dennoch eine erfolgreiche Zertifizierung erreicht werden. Das Problem fehlender Bausteine tritt gerade bei der Nutzung branchenspezifischer Informationstechnik auf, wie es in einer Klinik der Fall ist. Für die Lösung dieser Probleme gibt es verschiedene Möglichkeiten: 1. Durchführung einer Risikoanalyse 2. Verwenden von ähnlichen Bausteinen 3. Verwenden selbst erstellter individueller Bausteinen 70

79 Zielobjekte, die durch selbst erstelle Bausteine modelliert wurden, werden bei einer Zertifizierung nicht beachtet. Betrifft es wesentliche Komponenten, kann der Informationsverbund nicht zertifiziert werden. Falls die Entscheidung auf die Erstellung eines individuellen Bausteins fällt, sollte sich an den bereits vorhandenen Bausteinen orientieren werden. Um die Zertifizierung nicht zu gefährden, wird gemäß IT-Grundschutz empfohlen, den nicht vorhandenen Baustein durch ähnliche bereits vorhandene Bausteine zu modellieren. Im Beispiel-Informationsverbund wird ein Server mit dem Betriebssystem Windows Server 2008 betrieben. Ein Baustein für diese Betriebssystemversion ist in den Grundschutzkatalogen nicht vorhanden. Um den Server zu modellieren, wird auf die Verwendung ähnlicher Bausteine zurückgegriffen und somit der Baustein B Windows Server 2003 verwendet. Dabei werden die Maßnahmen entsprechend angepasst und erweitert. Sobald ein Baustein für Windows Server 2008 bereitgestellt wird, wird die Modellierung entsprechend angepasst. Da in einem Klinikum viele Zielobjekte mit erhöhtem Schutzbedarf vorhanden sind und branchenspezifische Informationstechnik verwendet wird, ist für viele Zielobjekte eine ergänzende Sicherheitsanalyse notwendig. Die Vorgehensweise und Beispiele sind im Kapitel 4.9 Ergänzende Sicherheitsanalyse beschrieben. Fehlende oder veraltete Bausteine können individuell erstellt oder durch Anwendung ähnlicher Bausteine modelliert werden. Weiterhin kann bei Zielobjekten, bei denen Bausteine fehlen oder veraltet sind, die ergänzende Sicherheitsanalyse durchgeführt werden. Wird ein individuell erstellter Baustein verwendet, wird das betroffene Zielobjekt für die Zertifizierung nicht beachtet. Trifft dies auf entscheidende Komponenten im Informationsverbund zu, kann das die Zertifizierung gefährden. Das BSI bittet darum den Bedarf an fehlenden Bausteinen zu melden und neu erstellte Bausteine betrachteter Komponenten oder Vorgehensweisen, die nicht zu speziell sind, dem IT-Grundschutz-Team zur Verfügung zu stellen. Es wird geprüft, ob andere Anwender von den Dokumenten profitieren können und es besteht die Möglichkeit, dass neue Bausteine über die Vertriebswege der IT-Grundschutz-Kataloge für alle Anwender bereitgestellt werden. 71

80 4.7.3 Anpassung von Maßnahmen Die in den Bausteinen empfohlenen Maßnahmen sind typisch für diese Komponente und werden als angemessen und geeignet betrachtet. Die Maßnahmen sind so formuliert, dass sie in möglichst vielen Umgebungen anwendbar sind, jedoch ausführlich genug um als Umsetzungshilfe zu dienen. Aus diesem Grund müssen die Maßnahmen an die Rahmenbedingungen Abbildung 23: Entscheidungsprozess im Basis-Sicherheitscheck [BSI-Webkurs] der Institution angepasst werden. Für die Anpassung gibt es die Möglichkeiten, dass die Maßnahmen gemäß IT-Grundschutz: - weiter konkretisiert werden, z. B. um technische Details zu ergänzen, - dem Sprachgebrauch der Institution angepasst werden, z. B. andere Rollenbezeichnungen, - um nicht relevante Empfehlungen im betrachteten Bereich gestrichen werden. Dabei sollten Änderungen immer dokumentiert werden, um die Gründe später nachvollziehen zu können. Maßnahmen, die durch andere adäquate Maßnahmen bereits umgesetzt sind, können als entbehrlich gekennzeichnet werden. Bei der Auswahl und Anpassung der Maßnahmen ist zu beachten, dass diese immer angemessen sind. Gemäß IT- Grundschutz bedeutet Angemessen: - Wirksamkeit (Effektivität): Sie müssen vor den möglichen Gefährdungen wirksam schützen, also den identifizierten Schutzbedarf abdecken. - Eignung: Sie müssen in der Praxis tatsächlich umsetzbar sein, dürfen also z. B. nicht die Organisationsabläufe behindern oder andere Sicherheitsmaßnahmen aushebeln. 72

81 - Praktikabilität: Sie sollen leicht verständlich, einfach anzuwenden und wenig fehleranfällig sein. - Akzeptanz: Sie müssen für alle Benutzer anwendbar (barrierefrei) sein und dürfen niemanden diskriminieren oder beeinträchtigen. - Wirtschaftlichkeit: Mit den eingesetzten Mitteln sollte ein möglichst gutes Ergebnis erreicht werden. Die Maßnahmen sollten also einerseits das Risiko bestmöglich minimieren und andererseits in geeignetem Verhältnis zu den zu schützenden Werten stehen. 73

82 4.8 Basis-Sicherheitscheck Während des Basis-Sicherheitschecks wird der Umsetzungsstatus der Maßnahmen erfasst. Die Durchführung ist eine Aufgabe des Beauftragten für Informationssicherheit gemeinsam mit den entsprechenden Verantwortlichen. Dabei wird entschieden, ob eine Maßnahme nicht umgesetzt, umgesetzt, teilweise umgesetzt oder entbehrlich ist. Der Basis-Sicherheitscheck wird in drei Schritten durchgeführt: Schritt 1: Organisatorische Vorarbeiten Schritt 2: Durchführung des Soll-Ist-Vergleichs Schritt 3: Dokumentation der Ergebnisse Die drei Schritte des Basis-Sicherheitschecks werden in diesem Kapitel mit Beispielen aus dem fiktiven Informationsverbund erläutert. Abbildung 24: Der Basis-Sicherheitscheck als Ist-Soll-Vergleich zur Identifikation fehlender Sicherheitsmaßnahmen vgl. [BSI-Webkurs] Organisatorische Vorbereitungen Zu den organisatorischen Vorarbeiten gehört zuerst die Sichtung bereits bestehender Dokumente. Außerdem müssen passende Interviewpartnern für die jeweiligen Maßnahmen gefunden werden und es sollte herausgefunden werden, in welchem Umfang externe Stellen bei der Ermittlung des Umsetzungsstatus einbezogen werden müssen. Bereits bestehende Dokumente können z. B. Handbücher, Arbeitshinweise oder Sicherheitsanweisungen sein, diese können bei der Ermittlung des Umsetzungsgrades sehr 74

83 hilfreich sein. Wenn bei der Durchführung des Soll-Ist-Vergleichs nach den Schichten der Bausteine vorgegangen wird, kann der Interviewpartner leichter gefunden werden, da die Schichten auf organisatorischer Ebene und verschiedenen technischen Ebenen getrennt sind. Wird ein Rechenzentrum von einem Outsourcing Dienstleister übernommen, muss dieser in die Ermittlung des Umsetzungsstatus einbezogen werden, da er z. B. für infrastrukturelle Maßnahmen zuständig ist. [BSI_100-2] Durchführung des Soll-Ist-Vergleichs Der Soll-Ist-Vergleich wird in Form von Interviews durchgeführt. Die Texte der Maßnahmenempfehlungen sind nicht für ein Zwiegespräch konzipiert, aus diesem Grund sollten diese Texte im Interview nicht vorgelesen werden. Eine Checkliste mit Stichworten sollte, ergänzend zu den inhaltlichen Kenntnissen, erstellt werden. Trotzdem sollte der Text der Maßnahmenempfehlungen griffbereit sein, um mögliche Verständnisprobleme beseitigen zu können. [BSI_100-2] Bei der Erfassung des Umsetzungsgrades kommen folgende Aussagen in Betracht: Umsetzungsstatus entbehrlich ja teilweise nein Bedeutung Die Umsetzung der Maßnahmenempfehlungen ist in der vorgeschlagenen Art nicht notwendig, weil andere adäquate Maßnahmen gegen die entsprechenden Gefährdungen wirken (z. B. Maßnahmen, die nicht in den IT-Grundschutz-Katalogen aufgeführt sind, aber dieselbe Wirkung erzielen), oder weil die Maßnahmenempfehlungen nicht relevant sind (z. B. weil Dienste nicht aktiviert wurden). Alle Empfehlungen in der Maßnahme sind vollständig, wirksam und angemessen umgesetzt. Einige der Empfehlungen sind umgesetzt, andere noch nicht oder nur teilweise. Die Empfehlungen der Maßnahme sind größtenteils noch nicht umgesetzt. Tabelle 14: Bedeutung der einzelnen Umsetzungsstatus vgl. [BSI-Webkurs] 75

84 4.8.3 Dokumentation der Ergebnisse Gemäß IT-Grundschutz sollten folgende Informationen dokumentiert werden: - die Nummer und die Bezeichnung der Komponente oder Gruppe von Komponenten, der der Baustein bei der Modellierung zugeordnet wurde, - der Standort der zugeordneten Komponente bzw. Gruppe von Komponenten, - das Erfassungsdatum und der Name des Erfassers und - die befragten Ansprechpartner. Zu jeder Maßnahme kommen hinzu: Umsetzungsgrad der jeweiligen Maßnahme (entbehrlich/ja/teilweise/nein) Umsetzung bis, dieses Feld wird während des Basis-Sicherheitschecks allgemein nicht ausgefüllt, sondern im Realisierungsplan, um festzuhalten, bis wann die Maßnahme umgesetzt sein soll. Verantwortlich, sollte der Verantwortliche nicht eindeutig bestimmbar sein, kann das Feld im späteren Realisierungsplan ausgefüllt werden, wo dann ein Verantwortlicher bestimmt wird. Bemerkung / Begründung, für entbehrliche Maßnahmen ist hier eine Begründung bzw. Ersatzmaßnahmen zu nennen. Für Maßnahmen, die noch nicht oder nur teilweise umgesetzt sind, sollten Empfehlungen der noch umzusetzenden Maßnahmen eingetragen werden sowie weitere Bemerkungen oder Informationen. Kostenschätzung für Maßnahmen, dies gilt nur für Maßnahmen, die noch nicht oder nur teilweise umgesetzt sind, und beruht auf einer Schätzung für den finanziellen und personellen Aufwand einer Maßnahme. Tabelle 15: Zu erfassende Informationen für den Status einer Maßnahme vgl. [BSI-Webkurs] Es wird eine ausführliche und vollständige Dokumentation während der gesamten Vorgehensweise nach IT-Grundschutz empfohlen, da die Auswertung und Revision der Ergebnisse bedeutend erleichtert und komfortabel wird, z. B. für die Suche nach bestimmten Einträgen, für die Generierung von Reports, für die Kostenauswertungen sowie für Statistikfunktionen. 76

85 4.9 Ergänzende Sicherheitsanalyse Die ergänzende Sicherheitsanalyse wird gemäß IT-Grundschutz bei Zielobjekten eingesetzt, die: - einen hohen oder sehr hohen Bedarf an Vertraulichkeit, Integrität oder Verfügbarkeit haben - sich nicht durch einen Baustein der IT-Grundschutz-Kataloge modellieren lassen - sich zwar modellieren lassen, aber in einer für das Anwendungsgebiet des IT- Grundschutzes untypischen Weise oder Einsatzumgebung betrieben werden. Mögliche Zielobjekte, im fiktiven Beispiel Informationsverbund, auf die eine erhöhter Schutzbedarfs zutrifft sind beispielsweise Server, auf denen medizinische Patienten und damit (besondere Arten) personenbezogene Daten verarbeitet werden, wie dem Patientenmanagementsystem oder dem Blutdepot. Zusätzlich gibt es in der Medizintechnik Zielobjekte, die mit den Bausteinen der IT-Grundschutz-Kataloge nicht modellierbar sind, dazu könnten beispielsweise bildgebende Geräte wie Computertomographen (CT) oder Magnetresonanztomografen (MRT) gehören oder Medizintechnik in einem Labor. Auf den Servern, auf denen zu Forschungszwecken anonymisierte und pseudonymisierte Patientendaten verarbeitet werden, könnten beispielsweise Zielobjekte in untypischer Weise oder Einsatzumgebung betrieben werden, sodass eine ergänzende Sicherheitsanalyse notwendig ist Vorgehensweise der ergänzenden Sicherheitsanalyse In der ergänzenden Sicherheitsanalyse wird entschieden, ob die IT-Grundschutz- Maßnahmen für ein bestimmtes Zielobjekt ausreichend Sicherheit bieten oder die Risikoanalyse auf Basis von IT-Grundschutz erforderlich ist. Gemäß IT-Grundschutz ist die ergänzende Sicherheitsanalyse für Zielobjekte durchzuführen, die - einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit haben oder - mit den existierenden Bausteinen der IT-Grundschutz-Kataloge nicht hinreichend abgebildet (modelliert) werden können oder - in Einsatzszenarien (z. B. in Umgebungen oder mit Anwendungen) betrieben werden, die im Rahmen des IT-Grundschutzes nicht vorgesehen sind. 77

86 4.9.2 Risikoanalyse auf Basis von IT-Grundschutz Erstellung der Gefährdungsübersicht Als Grundlage wird die Tabelle für den Informationsverbund genutzt, in der die Modellierung vorgenommen wurde. Im Web Kurs des BSI wird empfohlen, diese Tabelle zu modifizieren und daraus die Gefährdungen zu erfassen. Dies geschieht gemäß IT- Grundschutz in folgenden Schritten: 1. Der Informationsverbund wird auf diejenigen Zielobjekte reduziert, für die in der ergänzenden Sicherheitsanalyse entschieden wurde eine ergänzende Risikoanalyse durchzuführen. 2. Anschließend werden alle Bausteine gestrichen, für die keine Zielobjekte mehr vorhanden sind. 3. Danach wird für jedes betrachtete Zielobjekt eine Tabelle mit den Gefährdungen zusammengefasst, auf die in den Bausteinen verwiesen wird. 4. Alle doppelt oder mehrfach genannten Gefährdungen werden gestrichen. 5. Die verbliebenen Gefährdungen werden thematisch sortiert, um die Tabellen übersichtlicher zu gestalten. 6. Für jedes Zielobjekt und in allen drei Schutzzielen (Vertraulichkeit, Integrität, Verfügbarkeit), wird der ermittelte Schutzbedarf vermerkt. Ermittlung zusätzlicher Gefährdungen Zur Ermittlung zusätzlicher Gefährdungen wird vom IT-Grundschutz empfohlen, einen Workshop durchzuführen, der vom Beauftragten für Informationssicherheit moderiert wird. Beispielsweise Administratoren, Anwendungsbetreuer oder Benutzer, die mit dem betrachteten Zielobjekt in Verbindung stehen, sollen gemeinsam zusätzliche Gefährdungen finden. Dabei können Quellen wie Herstellerdokumentationen, Publikationen im Internet und die Gefährdungskataloge des BSI unterstützend herangezogen werden. Gemäß IT-Grundschutz sollte bei der Ermittlung zusätzlicher relevanter Gefährdungen folgendes berücksichtigt werden: 1. Hat das Zielobjekt in einem bestimmten Grundwert den Schutzbedarf sehr hoch, sollten primär die Gefährdungen gesucht werden, die diesen Grundwert beeinträchtigen. Bei dieser Schutzbedarfskategorie ist davon auszugehen, dass es relevante Gefährdungen gibt, die nicht in den IT-Grundschutz-Katalogen enthalten sind. 78

87 2. Auch wenn das Zielobjekt in einem bestimmten Grundwert den Schutzbedarf hoch hat, sollten solche Gefährdungen gesucht werden, die diesen Grundwert beeinträchtigen. Bei dieser Schutzbedarfskategorie gibt es unter Umständen relevante Gefährdungen, die nicht in den IT-Grundschutz-Katalogen enthalten sind. 3. Hat das Zielobjekt in einem bestimmten Grundwert den Schutzbedarf normal, sind die in den IT-Grundschutz-Katalogen aufgeführten Gefährdungen - und somit auch die empfohlenen Sicherheitsmaßnahmen - für diesen Grundwert in der Regel ausreichend. Für eine strukturierte Suche nach zusätzlichen Gefährdungen sollten die Bereiche höhere Gewalt, organisatorische Mängel, menschliches Fehlhandeln, technisches Versagen, Außentäter, Innentäter und externe Objekte (z. B. fremde Anwendungen, IT-Systeme oder bauliche Gegebenheiten) berücksichtigt werden. Gefährdungsbewertung Die Gefährdungen werden bewertet, um den Bedarf an zusätzlichen Schutzmaßnahmen zu untersuchen, und um Schwachstellen zu finden. Gemäß IT-Grundschutz wird dies anhand folgender Prüfkriterien durchgeführt: - Vollständigkeit: Bieten die Standard-Sicherheitsmaßnahmen ausreichend Schutz gegen alle Aspekte der jeweiligen Gefährdung? (Beispiel: Wurde auch an die Hintertür zum Gebäude und an die Notausgänge gedacht?) - Mechanismenstärke: Wirken die in den Standard-Sicherheitsmaßnahmen empfohlenen Schutzmechanismen der jeweiligen Gefährdung ausreichend stark entgegen? (Beispiel: Sind die Vorgaben zur Mindest-Schlüssellänge ausreichend?) - Zuverlässigkeit: Können die vorgesehenen Sicherheitsmechanismen nicht zu leicht umgangen werden? (Beispiel: Wie leicht können sich Benutzer Zutritt zum Serverraum verschaffen und dadurch die Zugriffskontrolle auf Dateien umgehen?) 79

88 Behandlung von Risiken Die folgende Grafik ist eine Übersicht über die Handlungsalternativen zum Umgang mit Risiken. Abbildung 25: Übersicht zum Umgang mit Risiken Risikoanalyse eines Zielobjekts am Beispiel-Informationsverbund Die Risikoanalyse auf Basis vom IT-Grundschutz wird anhand der 23 Windowsserver der Patientenverwaltung beispielhaft durchgeführt. In der Schutzbedarfsfeststellung wurde die Patientenverwaltung in der Verfügbarkeit mit hoch bewertet. Da durch den Verteilungseffekt die Verfügbarkeit schon erheblich erhöht wurde, wurde von einer sehr hohen Bewertung abgesehen. Der Verteilungseffekt ließ sich einerseits durch die hohe Anzahl der Server für die Patientenverwaltung zurückführen und andererseits auf das Ausweichrechenzentrum, in dem 15 Server für die Patientenverwaltung betriebsbereit stehen. Bei der Integrität wurde die Patientenverwaltung ebenfalls mit hoch bewertet. Zwar können bei einer nicht gewährleisteten Integrität bei der Patientenbehandlung Fehler auftreten, jedoch sollten grobe Fehler, die zur Gefährdung von Leib und Leben für den Patienten führen können, vom behandelnden Arzt erkannt werden. Anders als bei 80

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger.

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger. I T I L ITIL ein systematisches und professionelles Vorgehen für das Management von IT Dienstleistungen. 1 ITIL Was ist ITIL? ITIL wurde von der Central Computing and Telecommunications Agency (CCTA) entwickelt,

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 11. Kommunales IuK-Forum

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Überblick zur ISO/IEC 20000 Norm

Überblick zur ISO/IEC 20000 Norm Überblick zur ISO/IEC 20000 Norm Der internationale IT Service Management Standard Gegenwärtig ist nicht nur in Deutschland eine Tendenz zu erkennen, dass große IT- Unternehmen und auch Kunden von ihren

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement datenschutz nord GmbH Mai 2007 Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement 1. Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement Das Thema IT-Sicherheit hat

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit mit TÜV Rheinland geprüfter Qualifikation 16. 20. November 2015, Berlin Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de IT-Sicherheitsbeauftragte

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Dr. Andreas Gabriel Ethon GmbH 24.09.2015

Dr. Andreas Gabriel Ethon GmbH 24.09.2015 Wie meistern Sie nachhaltig die Kann Ihnen eine Zertifizierung ISO 27001 helfen? Dr. Andreas Gabriel Ethon GmbH KURZE VORSTELLUNG 2 Profil der Ethon GmbH; Ulm Über die Ethon GmbH Informationssicherheit

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL Frank Reiländer, Berater IT-Sicherheit/Datenschutz IT Security & Risk Management, INFODAS GmbH f.reilaender@infodas.de www.save-infodas.de

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand Cloud- und Informationssicherheit -praktisch umgesetzt in KMU- IHK München (27. Februar 2014)

Mehr

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90 ISO/IEC 20000 Eine Einführung Wie alles begann in den 80 & 90 1986 1988 1989 1990 CCTA initiiert ein Programm zur Entwicklung einer allgemein gültigen Vorgehensweise zur Verbesserung der Effizienz und

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

scalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG

scalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG scalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG Welches sind die 3 Top-Risiken Ihrer Unternehmung? «Risk

Mehr

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI Vorwort Sarbanes-Oxley-Act, Basel II oder KonTraG immer mehr gesetzliche Rahmenbedingungen haben einen deutlichen Bezug zur IT-Sicherheit. Sie erhöhen den Druck auf die Verantwortlichen, die Sicherheit

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Grundlagen Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der IT-Sicherheit 2. Kategorisierung von Sicherheitsmaßnahmen 3. Standards der

Mehr

2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn

2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn 2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung 5 1.1 Versionshistorie 5 1.2 Zielsetzung 5 1.3

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

IT-Risiko- Management mit System

IT-Risiko- Management mit System Hans-Peter Königs 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. IT-Risiko- Management mit System Von den Grundlagen

Mehr

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie

Mehr

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITIL in 60 Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Reifegradmodelle. Skiseminar Software Engineering. Robin Schultz

Reifegradmodelle. Skiseminar Software Engineering. Robin Schultz Reifegradmodelle Skiseminar Software Engineering Robin Schultz Agenda Grundlagen Die IT Infrastructure Library Entwicklung Aufbau Kritik Kombination mit anderen Modellen Praktischer Einsatz Fazit und Ausblick

Mehr

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL Orientierung organisiertes IT Management in der BWI IT auf Basis ITIL 97. AFCEA-Fachveranstaltung Diensteorientierung aber mit Management Heiko Maneth, BWI IT Delivery, Leitung Prozessarchitektur und -management

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Informationssicherheitsmanagement in der betrieblichen Praxis Anforderungen nach ISO/IEC 27001:2013 und das Zusammenwirken mit dem Qualitätsmanagement ISO 9001 IKS Service

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

IT Service Management und IT Sicherheit

IT Service Management und IT Sicherheit 5. FIT-ÖV V am 9.2. in Bochum IT Management und IT Sicherheit Volker Mengedoht krz Lemgo Logo IT- Management und IT-Sicherheit Agenda 1. Einführung - Definitionen 2. IT- Management (ITSM) und IT Infrastructure

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

IT-Sicherheit mit System

IT-Sicherheit mit System IT-Sicherheit mit System Stefanie Lang, Senior IT Consultant Fujitsu Technology Solutions GmbH 0 Copyright 2014 FUJITSU Inhalt Kurzvorstellung Fujitsu Grundlagen Informationssicherheit Bedrohungen, Versäumnisse,

Mehr

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1 Ulrich Heun, CARMAO GmbH CARMAO GmbH 2013 1 Roter Faden Mit wem haben Sie es heute zu tun? Was ist Informationssicherheit? ISMS nach ISO 27001 ISMS und ITIL CARMAO GmbH 2013 2 CARMAO Das Unternehmen Gegründet

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

Test GmbH Test 123 20555 Hamburg Hamburg

Test GmbH Test 123 20555 Hamburg Hamburg Test GmbH Test 123 20555 Hamburg Hamburg 29.07.2015 Angaben zum Unternehmen Unternehmensdaten Unternehmen Test GmbH Adresse Test 123 20555 Hamburg Hamburg Internetadresse http://www.was-acuh-immer.de Tätigkeitsangaben

Mehr

Handbuch Interne Kontrollsysteme (IKS)

Handbuch Interne Kontrollsysteme (IKS) Handbuch Interne Kontrollsysteme (IKS) Steuerung und Überwachung von Unternehmen Von Dr. Oliver Bungartz ERICH SCHMIDT VERLAG Vorwort 5 Abkürzungsverzeichnis 11 Abbildungsverzeichnis 15 Tabellenverzeichnis

Mehr

Modernisierung des IT-Grundschutzes

Modernisierung des IT-Grundschutzes Modernisierung des IT-Grundschutzes Isabel Münch Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik netzdialog 2014 06.11.2014

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Dennis Feiler, DFC-SYSTEMS GmbH München/Mannheim

Dennis Feiler, DFC-SYSTEMS GmbH München/Mannheim ITIL I undco. Servicekonzepte/IT-Servicemanagement Servicemanagement Dennis Feiler, DFC-SYSTEMS GmbH München/Mannheim ITIL I IT Infrastructure Library Entstehung und Definition: Bestehende Best-Practices-Sammlung

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement INDUSTRIAL Informationssicherheitsmanagement 0 Inhaltsverzeichnis Ziel eines Informationssicherheitsmanagements Was ist die ISO/IEC 27000 Die Entstehungsgeschichte Die Struktur der ISO/IEC 27001 Spezielle

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

DS DATA SYSTEMS GmbH Consulting is our business!

DS DATA SYSTEMS GmbH Consulting is our business! DS Anforderungen des IT-Sicherheitsgesetzes Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" (Referentenentwurf) DS Referent: Dipl.-Ing. Henning Kopp Leiter Information Security 2 Externer

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr