special IT-Grundschutz nach BSI IT-Security SecuMedia Grundschutz- Überarbeitung: Stand der Dinge

Transkript

1 Verlagsbeilage, August 2015 Die Zeitschrift für Informations-Sicherheit special Grundschutz- Überarbeitung: Stand der Dinge S. 5 IT-Security Prozessorientierte Umsetzung: Vom Wasserfall zur Lebensader S. 10 IT-Grundschutz nach BSI SecuMedia

2 CYBER-ANGRIFFE: SIND IHRE DATEN SICHER? Nahezu jede Institution kann Ziel eines Cyber-Angriffs werden, dessen Absicht das Manipulieren oder Entwenden von Daten ist. Die verursachten Schäden können erheblich sein. Standards wie IT-Grundschutz oder die ISO/IEC liefern Richtwerte zur Etablierung von Informationssicherheitsmanagementsystemen (ISMS). Wir unterstützen Sie dabei, die Forderungen der Standards gemäß Ihrer Zielstellung zu adaptieren und so ein angemessenes Maß an Informationssicherheit für Ihre Institution sicherzustellen. Ob Mittelstand, international agierender Konzern oder Behörde Wir helfen Ihnen, Ihre Werte zu schützen. ADV-Audits IT-Grundschutz BCMS Optimierung Externer Datenschutzbeauftragter Coaching ISO/IEC Business Continuity Crisis Management ISMS Sicherheits-Architekturen Wirtschaftsschutz Cyber Exercise Forschung Risikobehandlung Informationssicherheit Technische Audits IT-Risk-Management IT-Forensik Industrial Security Zertifizierungsvorbereitung Wirtschaftsschutz Seit mehr als 20 Jahren bietet die HiSolutions ihren Kunden unterschiedlichster Branchen und aus der öffentlichen Verwaltung ein umfassendes Portfolio an Dienstleistungen rund um die Themen IT- und Informationssicherheit, Datenschutz, Business Continuity Management, Business Security Management, Krisen- und Risikomanagement. Dabei vereinen wir strategische Beratungskompetenz mit fundierten methodischen Vorgehensweisen und technischer Expertise. ISMS Audits Vorbereitung auf ADV-Prüfungen Grundschutznovellierung Cyber Response Risiko-Analysen Training IT-Risk-Management ISMS Implementierung Penetrations-Tests Technische Risikoanalysen Krisenmanagement System Security Cyber Security Information Security Prüfung von Dienstleistern HiSolutions AG Berlin Frankfurt Köln München

3 Editorial Mitherausgeber Management der Informationssicherheit aber welcher Standard ist der Richtige? Aktuell stehen viele Organisationen vor der Herausforderung, die immer weiter wachsende Menge an Daten und Informationen zu beherrschen und zu verwalten. Hierbei darf natürlich die Informationssicherheit nicht außer Acht gelassen werden. Cyber-Angriffe auf Unternehmen und Behörden haben in der Vergangenheit zugenommen und sind allgegenwärtig. Dieses musste kürzlich selbst der Deutsche Bundestag erfahren. Die Absicherung vor Angriffen ist ein komplexes Thema und stellt Organisationen jeglicher Größe vor eine anspruchsvolle Aufgabe. Gerade solche, die zu den Kritischen Infrastrukturen gehören, müssen nun handeln, da mit dem IT-Sicherheitsgesetz für diese Zielgruppe der Aufbau eines Mindestniveaus an Informationssicherheit zur gesetzlichen Pflicht wird. Dieser Anforderung wird man in der Praxis effektiv nur durch ein Informationssicherheits- Managementsystem (ISMS) gerecht, da hierdurch die Informationssicherheit als Prozess in der Organisation implementiert wird. Viele Unternehmen und öffentliche Institutionen sehen im Aufbau eines solchen ISMS zunächst vor allem enorme Kosten und Aufwände, jedoch gewinnen sie mit dem Management der Informationssicherheit erheblichen Schutz ihrer Prozesse und das Vertrauen von Marktpartnern beziehungsweise Bürgern. Viele Institutionen stellen sich berechtigterweise die Frage, welcher Standard nun die richtige Basis für ihr ISMS darstellt. Die ISO erscheint auf den ersten Blick schneller umsetzbar als der IT-Grundschutz. Hingegen bietet der IT-Grundschutz als Best Practice-Standard konkrete Handlungsempfehlungen und einen strukturierten Aufbau des Sicherheitskonzeptes. Die Menge an Sicherheitsmaßnahmen bietet dabei ausführliche Hinweise zur Erreichung eines guten Schutzniveaus. Dennoch ist die ISO nicht unbedingt einfacher umzusetzen als der IT-Grundschutz. In der Praxis kommt es daher sehr häufig vor, dass ein ISMS mit Hilfe der BSI-Standards und der Grundschutz-Kataloge aufgebaut aber nach ISO nativ zertifiziert wird. Dieses ist durch die Konformität des Grundschutzes zur ISO möglich und (durch nur einen geringen Mehraufwand) sehr gut realisierbar. Die Wahl des passenden Standards hängt von vielen Faktoren ab und ist letztendlich eine individuelle Entscheidung jeder einzelnen Organisation. Der IT-Grundschutz stellt dabei eine langjährig bewährte Methode dar. Es ist zu erwarten, dass der IT-Grundschutz nach seiner Reformierung diesen hohen Qualitätsstandard beibehält, individuell anpassbarer und als Best Practice-Standard weiterhin eine große Rolle spielen wird. logo+slogan_possitiv.pdf 2 4/2/2013 4:38:25 PM Security made simple. Ich wünsche Ihnen eine informative Lektüre mit vielen interessanten Impulsen für Ihren Arbeitsalltag Tobias Kippert Product Manager Enterprise Security bei der TÜV Informationstechnik GmbH (TÜV NORD GROUP)

4 Inhalt Einer für alle alle für einen Tradition ist gut und notwendig das gilt auch für IT-Sicherheitslösungen. Allerdings ist das alleinige Vertrauen auf Tradition eine Sackgasse. Es müssen neue Wege gefunden werden, Hackerangriffen einen Riegel vorzuschieben. Seite 28 Management und Wissen Zeit für Erneuerung Der IT-Grundschutz ist in die Jahre gekommen. Das BSI hat sich nun dazu entschieden, eine vollständige Überarbeitung nicht nur der IT-Grundschutz-Kataloge, sondern auch der zugehörigen Methode durchzuführen. Aber was ist eigentlich der aktuelle Stand der geplanten Neuerungen, und welche Auswirkungen haben diese auf den Arbeitsalltag? Seite 5 Vom Wasserfall zur Lebensader Der IT-Grundschutz setzt bei der ISMS-Einführung auf das Wasserfall -Modell. Langjährige Projekterfahrung zeigt allerdings, dass ein alternatives Vorgehen mit einer bewussten Parallelisierung geeigneter Aufgaben größeren Erfolg verspricht. Seite 10 Optimierte Sicherheitskonzepterstellung nach IT-Grundschutz Eine von secunet entwickelte Vorgehensweise ermöglicht eine schnelle Umsetzung eines IT-Sicherheitskonzepts auf Basis des IT-Grundschutzes nach BSI. Seite 14 Maßgefertigter Grundschutz?! Unser Autor beschreibt, warum die Individualisierung der BSI IT-Grundschutz-Vorgehensweise oft sinnvoll ist, Entscheidungen nicht für die Ewigkeit sind und wie man trotzdem das richtige Tool findet. Seite 16 Notfallplan minimiert Schäden und Spätfolgen Trotz aller Schutzmaßnahmen und Umsicht der Mitarbeiter gelangt immer wieder Malware auf Rechner und Mobilgeräte. IT-Verantwortliche sind gut beraten, einen Notfallplan fertig ausgearbeitet in der Tasche zu haben. Seite 18 Vulnerability-Management: Integraler Bestandteil der IT-Sicherheitsinfrastruktur Der überwiegende Teil aller erfolgreichen Angriffe auf die IT eines Unternehmens nutzt Schwachstellen aus, die schon länger als zwölf Monate bekannt waren. Das Ziel muss also sein, diese Angriffsfläche deutlich zu reduzieren. Seite 26 Bedrohung Schwachstelle Domain-Name-System Ein häufiger Angriffspunkt von Cyber-Attacken ist das Domain- Name-System (DNS), das als allgegenwärtiges Adressbuch des Internets überall vorhanden, jedoch nur selten durch entsprechende Sicherheitserweiterungen geschützt ist. Seite 22 Cybersicherheit in deutschen Unternehmen Wie steht es um die IT-Sicherheit? Welche Gefahren und Risiken gibt es und wo besteht Handlungsbedarf? Unser Beitrag fasst die wichtigsten Ergebnisse der KMU-Studie Cybersicherheit - Ein aktuelles Stimmungsbild deutscher Unternehmen zusammen. Seite 32 Anwenderbericht Moderne Brandbekämpfung schützt Hochsicherheits-Rechenzentrum Das Rechenzentrum der DARZ GmbH befindet sich im ehemaligen Tresorgebäude der Hessischen Landesbank. Brandgeschützt wird das RZ mit moderner Gaslöschtechnik und einer Sauerstoffreduzierungsanlage. Seite 30 Impressum SecuMedia Verlags-GmbH Postanschrift: Postfach 12 34, Ingelheim (DE) Hausanschrift: Lise-Meitner-Straße 4, Gau-Algesheim (DE) Telefon Fax info@secu.media Web: Beteiligungsverhältnisse (Angabe gem. 9, Abs. 4 Landesmedienges. RLP): Gesellschafter zu je 1/6 sind Gerlinde Hohl, Klaus-Peter Hohl, Peter Hohl (GF, 2/6), Nina Malchus (GF), Steffi Petersen Handelsregister AG Mainz HRB Herausgeber: Peter Hohl Anzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil), Tel , anzeigenleitung@secu.media Satz: BlackArt Werbestudio, Stromberger Straße 47, Weiler bei Bingen Druck: Bonifatius GmbH, Karl-Schurz-Straße 26, Paderborn Titelbild: leminuit / istockphoto.com Alle Rechte vorbehalten, auch die des auszugsweisen Nachdrucks, der Reproduktion durch Fotokopie, Mikrofilm und andere Verfahren, der Speicherung und Auswertung für Datenbanken und ähnliche Einrichtungen. 4

5 Management und Wissen Überarbeitung des IT-Grundschutz nach BSI Zeit für Erneuerung Der IT-Grundschutz ist in die Jahre gekommen. Zu unflexibel, zu aufwändig und den Anforderungen der heutigen Zeit nicht mehr entsprechend, urteilen viele. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich nun dazu entschieden, eine vollständige Überarbeitung nicht nur der IT-Grundschutz-Kataloge, sondern auch der zugehörigen Methode durchzuführen. Aber was ist eigentlich der aktuelle Stand der geplanten Neuerungen, und welche Auswirkungen haben diese auf den Arbeitsalltag? Von Joern Maier, HiSolutions AG Als der IT-Grundschutz 1995 das Licht der Welt erblickte, sah es in den IT-Landschaften von Behörden und Unternehmen vollkommen anders aus als heute. Zwar gab es bereits Clients und Server, die Daten über ein internes Netz austauschten, das Internet und die Verbindung zu anderen Institutionen steckten jedoch noch in den Kinderschuhen. Datentransferraten von 56 Kbit galten als schnell, ein Internetanschluss von 2 Mbit war eine kleine Sensation. Wenn man von Sicherheit sprach, dann allenfalls von IT-Sicherheit und Virenschutz. Die Zeiten haben sich geändert. Die Vernetzung von Institutionen untereinander ist allgegenwärtig. Neue Techniken wie das Internet der Dinge oder Industrie 4.0 verstärken die Abhängigkeit von der IT genauso wie von der vernetzten Welt. Auch der IT-Grundschutz hat sich in dieser Zeit weiterentwickelt und wurde mehrfach umstrukturiert. Im Jahr 2005 wurde das damalige IT- Grundschutzhandbuch aufgeteilt. Es entstanden die BSI-Standards 100-1, und 100-3, die die Methodenbeschreibung enthalten, sowie die zugehörigen IT-Grundschutzkataloge, in denen die Bausteine und Maßnahmen mit den Umsetzungshinweisen beschrieben werden. Aus dem IT-Grundschutz-Zertifikat wurde ein ISO Zertifikat auf Basis von IT-Grundschutz, was die Kompatibilität zur international bekannten ISO/IEC verdeutlichte. Obwohl die IT-Grundschutzkataloge für viele Institutionen als unverzichtbarer Fundus für Sicherheitsmaßnahmen gelten, gab es immer wieder Kritik am angeblich starren Regelwerk der Methodik und den Zertifizierungsanforderungen. Darüber hinaus waren viele Anwender unzufrieden mit der Geschwindigkeit, mit der das BSI neue Technologien in die GS-Kataloge aufnahm. Windows 8 zum Beispiel ist bislang nicht in den IT-Grundschutzkatalogen enthalten (allerdings als Vorab-Baustein auf den BSI-Webseiten verfügbar), sondern wird erst mit der 15. Ergänzungslieferung dort aufgenommen, also drei Jahre nach Veröffentlichung durch Microsoft. Das BSI hat sich der Kritik nicht verschlossen, sondern begann bereits Ende 2013 mit den Planungen zur grundlegenden Überarbeitung des Standards. Startschuss für das Projekt bildete eine Bedarfsumfrage nach IT-Grundschutzleistungen. Darüber hinaus veranstaltete das BSI 2014 rund zwanzig Diskussionsrunden und Workshops, in denen Der alte und neue Aufbau der IT-Grundschutzkataloge im Vergleich. 5

6 Management und Wissen die Teilnehmer ihre Wünsche und Kritikpunkte am Standard äußern konnten. Bei der Auswertung der Ergebnisse zeigte sich relativ klar, was die Anwendergemeinde bislang vermisste. Auf dieser Grundlage wurden die Ziele für das anstehende Projekt definiert: Skalierbarkeit nach Unternehmensgröße und Schutzbedarf, Flexibilisierung der Vorgehensweise, stärkere Berücksichtigung anwenderspezifischer Anforderungen durch Profilbildung, bessere Strukturierung und Verschlankung der IT-Grundschutz- Kataloge, Beschleunigung der Maßnahmenumsetzung, Dynamisierung durch Adaption von Lageinformationen. Mit Festlegung der Projektziele wurde schnell klar, dass das Projekt einen Umfang haben würde, der über die Ressourcenkapazitäten des BSI deutlich hinausgeht. Aus diesem Grund wurde die HiSolutions AG damit beauftragt, das BSI zu unterstützen. Die zuvor angeführten Ziele machen deutlich, dass sowohl die Methodik als auch die Bausteine und Maßnahmen der IT-Grundschutzkataloge selbst einer Überarbeitung bedürfen. Einer der häufigsten Wünsche der Anwender war eine stärkere Berücksichtigung kleiner und mittelständischer Unternehmen. Der Ansatz einer einzigen Vorgehensweise für alle Institutionen wird dadurch infrage gestellt. Die Definition unterschiedlicher Vorgehensweisen, die sowohl den Reifegrad des Sicherheitsmanagements einer Institution als auch deren gewünschtes Sicherheitsniveau berücksichtigen, scheint der Wunsch vieler Anwender zu sein. Diese Aussage ist durchaus nachvollziehbar. Eine Institution, deren Management ein Sicherheitsniveau definiert, das gerade so die gesetzlichen Anforderungen erfüllen soll, dürfte das aktuelle Vorgehen nach als zu aufwändig erachten, wogegen ein Unternehmen mit besonders sensiblen Daten deutlich mehr Maßnahmen als die in den IT- Grundschutz-Katalogen geforderten umsetzen wird. Die aktuelle Methode nach lässt hier durchaus Spielraum. So kann sich eine Institution auf den Schutz ihrer Kronjuwelen konzentrieren, indem sie den zu betrachtenden Informationsverbund entsprechend definiert. Eine vereinfachte Erhebung (Strukturanalyse) und Bewertung (Schutzbedarfsfeststellung) von Informationswerten lässt das Vorgehen nach BSI-Standard jedoch nicht zu. Dreiteilung der Methodik Die aktuellen Bestrebungen im Projekt deuten auf eine Dreiteilung der Methodik hin. So soll ein Verfahren erarbeitet werden, das den Schwerpunkt auf die Implementierung der wichtigsten grundlegenden Sicherheitsmaßnahmen legt, ohne dabei einen zu großen organisatorischen Aufwand für die Erhebung und Bewertung von Informationswerten zu generieren. Ziel dieser Methode ist die möglichst kurzfristige Anhebung des Sicherheitsniveaus einer Institution, ohne dabei einzelne Bereiche auszuschließen. Ein weiteres Verfahren soll es Institutionen ermöglichen, sich in einem ersten Schritt ganz auf den Schutz besonders wichtiger Informationen zu konzentrieren und diese schnell und effizient abzusichern. Dabei sollen neben einer angepassten Vorgehensweise auch sogenannte Hochschutzmaßnahmen helfen, dem Endanwender einen beispielhaften Eindruck zu vermitteln, welche Sicherheitsmaßnahmen über ein normales Grundschutzniveau hinausgehen. Die bisherige Methode gemäß BSI-Standard wird ebenfalls überarbeitet, aber parallel weiter erhalten bleiben, da sie einen vollumfänglichen Ansatz bietet, Sicherheit innerhalb einer Institution zu managen und unterschiedlichen Sicherheitsanforderungen aus unterschiedlichen Bereichen gerecht zu werden. Aus Sicht der Anwender ist eine gewisse Durchlässigkeit der Methoden sicherlich wichtig. Das bedeutet, dass eine Institution nach der Entscheidung für eine Vorgehensweise nicht darin gefangen sein darf. Vielmehr muss ein einfacher Übergang zwischen den Methoden möglich sein, schon allein deswegen, weil sich der Reifegrad eines Unternehmens oder einer Behörde über die Jahre verändern wird, was sowohl ein Mehr als auch ein Weniger an Sicherheit bedeuten kann. Ziel dürfte es dennoch sein, alle Institutionen dazu zu bewegen, ein umfassendes Informationssicherheitsmanagementsystem (ISMS) zu etablieren, das sich stark an der Vorgehensweise des BSI-Standards orientiert. Die zuvor angeführte Dreiteilung der Methodik bedingt eine eindeutige Gewichtung der Maßnahmen hinsichtlich ihrer Bedeutung für die Informationssicherheit. So ist eine Einteilung in Basismaßnahmen, Standardmaßnahmen (Stand der Technik) und Anforderungen für erhöhten Schutzbedarf denkbar. Zwar gibt es im aktuellen IT-Grundschutz bereits eine ähnliche Aufteilung in A-, B-, C- und Z-Maßnahmen, die jedoch vielen Anwendern nicht geläufig ist und insbesondere bei der Erstellung neuer Bausteine stark verwässert wurde, da diese besonders viele A-Maßnahmen enthalten. Die Einteilung der Maßnahmen zeigt aber auch ein anderes Problem. Zwar kann das BSI eine grundsätzliche Einschätzung vornehmen, es wird jedoch immer Kontexte geben, für die diese Einteilung nicht passt oder nur bedingt sinnvoll erscheint. Je detaillierter die Maßnahmen definiert werden, umso häufiger kann es zu Problemen kommen. Die detaillierte Beschreibung von Maßnahmen bildet jedoch gerade den Mehrwert der IT-Grundschutzkataloge. Hier bedarf es somit nicht nur einer Anpassung durch das BSI, sondern auch eines Umdenkens bei den Anwendern. Ein stumpfes Abarbeiten von Maß- 6

7 nahmenkatalogen mag zwar einfach sein, hilft der jeweiligen Institution aber nicht immer im gewünschten Umfang. Kürzere Bausteine Ein weiterer Wunsch der Anwender betrifft die Verschlankung der Bausteine. Aus der Historie heraus wurden die Grundschutzbausteine für Personen geschrieben, die sich dem Thema Sicherheit zum ersten Mal nähern und somit detaillierte Erläuterungen benötigen. Dies führte zu Bausteinen mit vielen und umfangreichen erklärenden Passagen. Auch Informationssicherheitsexperten, denen eine simple Checkliste ausreichen würde, um die Anforderungen verstehen und einschätzen zu können, müssen diese Fließtexte lesen, was die Anwendung des IT-Grundschutzes für diese Klientel erschwert. Da seit Einführung des IT-Grundschutzes die Anzahl der Sicherheitsexperten in den Institutionen deutlich zugenommen hat, strebt das BSI eine radikale Verschlankung der Bausteine an. Deren Länge soll auf circa zehn Seiten inklusive Maßnahmeninhalte begrenzt werden. Dies soll zum einen die Lesbarkeit der Bausteine verbessern, zum anderen die Erstellzeit deutlich beschleunigen. Bei einer solch starken Kürzung reduziert sich selbstverständlich auch der Informationsgehalt der einzelnen Bausteine. Dabei bilden jedoch die Detailinformationen genau den Mehrwert, den viele Anwender am IT-Grundschutz so schätzen. Hier will sich das BSI nach aktuellem Stand mit einem Trick behelfen. Enthielten die bisherigen Bausteine sowohl die Anforderungen, was umgesetzt werden muss, als auch wie diese Anforderungen umzusetzen sind, soll es in Zukunft eine Trennung geben. Die Bausteine werden sich darauf konzentrieren, was umzusetzen ist. Wie etwas umzusetzen ist, soll in sogenannten Umsetzungshinweisen definiert werden. Dies hätte mehrere Vorteile: Experten können sich einen schnellen Überblick über die notwendigen Sicherheitsmaßnahmen verschaffen, Administratoren und anderes Fachpersonal sich auf die Abarbeitung der Umsetzungshinweise konzentrieren. Hier hat das BSI aus Problemen der Vergangenheit gelernt. Viele Anwender sahen die Texte der Maßnahmen oft als gesetzesgleiche Vorgaben an, deren Wortlaut 1:1 in die Praxis umzusetzen ist. Daran konnten auch offizielle Aussagen des BSI wie zum Beispiel in Kapitel 4.4 des Auditierungsschemas nichts ändern. Hier wurde bereits seit 2011 Folgendes definiert: Aufgrund der Vielfalt der unterschiedlichen Einsatzszenarien und Realisierungsmöglichkeiten ist es nicht immer sinnvoll, die Maßnahmen der IT-Grundschutz-Kata- 7

8 Management und Wissen loge wörtlich und ohne Anpassung an das Einsatzumfeld umzusetzen. Der Auditor berücksichtigt, ob die Maßnahmen ihrem Sinn und Zweck nach realisiert sind. Würde eine entsprechende Aufteilung der Kataloge wie zuvor beschrieben stattfinden, könnte das BSI in den Bausteinen definieren, was zwingend notwendig ist zur Erreichung eines entsprechenden Sicherheitsniveaus. Die Beschreibungen in den Umsetzungshinweisen könnten dann unverbindlicher sein und im besten Fall sogar unterschiedliche Einsatzszenarien wie Größe und Sicherheitsniveau einer Institution berücksichtigen. Mithilfe dieser Aufteilung wäre es zudem möglich, eine höhere Aktualität der IT-Grundschutz-Kataloge zu gewährleisten, indem sich das BSI auf die Erstellung der Bausteine fokussiert und damit auf die Definition dessen, was zu tun ist. Die Umsetzungshinweise könnten dann nachgelagert erstellt werden. Bei diesem Vorgehen wäre es nur wichtig, darauf zu achten, dass die Umsetzungshinweise weiterhin gepflegt werden, da sie einen sehr großen Mehrwert im Vergleich zu anderen Standards wie zum Beispiel ISO/IEC oder ISO/IEC darstellen. Dieses Vorgehen böte auch die Chance, andere Schriftstücke des BSI in den IT-Grundschutz integrieren zu können. So gibt es eine Reihe von Dokumenten wie die ISi-Schriftenreihe, Empfehlungen der Allianz für Cybersicherheit, Empfehlungen zu Themen wie Industrial Control Systems oder generelle Studien zu Sicherheitsthemen, die über diesen Weg relativ einfach in das Gesamtkonstrukt Grundschutz eingebettet und dem Endanwender zugänglich gemacht werden könnten. Neue Schichten- Einteilung Aber nicht nur die einzelnen Bausteine sollen neu gestaltet werden. Insbesondere wird über eine Optimierung und Verbesserung der bisherigen Aufteilung in die fünf Schichten Übergreifende Aspekte, Infrastruktur, IT-Systeme, Netze und Anwendungen nachgedacht. Auch hier ist das Ziel, Redundanzen in den Bausteinen zu vermeiden und die entsprechende Zielgruppe besser zu berücksichtigen. Bislang wurden die Maßnahmen innerhalb der Bausteine in die Themenblöcke Planung und Konzeption, Beschaffung, Umsetzung, Betrieb, Aussonderung und Notfallvorsorge aufgeteilt. Dies hatte zur Folge, dass bestimmte Maßnahmen, zum Beispiel Planung des XY oder Notfallvorsorge für XY, sowohl in den einzelnen Bausteinen der Schichten 2 bis 5 als auch in den Übergreifenden Aspekten, wie zum Beispiel Notfallmanagement beziehungsweise Hard- und Softwaremanagement, betrachtet wurden. Die neue Struktur wird weiterhin IT- und Infrastrukturobjekte vorsehen, diese aber deutlich detaillierter untergliedern. So wird es für Clients und Server vermutlich getrennte Kapitel geben. Die darin enthaltenen Bausteine können, sofern sinnvoll, unterschiedliche Sichtweisen auf bestimmte Zielobjekte berücksichtigen. Denkbar wären auch unterschiedliche Bausteine für den Betrieb und die Nutzung von WLAN. Darüber hinaus werden vermutlich vollkommen neue Techniken, wie zum Beispiel Industrial Control Systems, Einzug in die Grundschutzkataloge erhalten. Neben den technischen Zielobjekten werden die neuen IT- Grundschutz-Kataloge auch Prozessbausteine enthalten. Hierbei sollen nicht nur das Security Management, sondern auch sicherheitsrelevante Themen für den IT-Betrieb und die Themenfelder Detection und Response näher betrachtet und mit Bausteinen versehen werden. Ein weiterer wichtiger Aspekt des neuen IT-Grundschutzes werden Profile sein. Zwar existieren bereits Profile für kleine, mittlere und große Institutionen, deren Inhalt wird aber stark optimiert werden. Die neuen Profile sollen Maßnahmensammlungen enthalten, die für typische Einsatzszenarien und Branchen als notwendig und sinnvoll erachtet werden. Die Erstellung dieser Profile soll durch Branchenverbände vorangetrieben werden. Das BSI sieht sich hier als qualitätssichernde Stelle, die die Vorgaben für die Erstellung der Profile bereitstellt und die Inhalte mit Blick auf die Einhaltung eines Mindestsicherheitsniveaus qualitätssichert. Ob sich einzelne Unternehmen die Erfüllung der Anforderungen aus diesen Profilen bestätigen oder testieren lassen können, ist derzeit noch offen. Fazit Zusammengefasst kann man sagen, dass die angestrebten Änderungen sämtliche Aspekte des IT- Grundschutzes betreffen und weit mehr als nur kosmetischer Natur sind. Sowohl die Bereitstellung neuer Methoden als auch die radikale Veränderung der IT-Grundschutz-Kataloge zeigen, dass das BSI die Modernisierung wirklich ernst meint. Auch die Möglichkeit der Profilbildung für bestimmte Anwendungsbereiche, die eine branchenspezifische Anpassung der IT-Grundschutzkataloge ermöglichen soll und gegebenenfalls zu einer vereinfachten Anwendung in manchen Institutionen führen kann, zeigt dies. Der IT-Grundschutz befindet sich somit auf einem sehr guten Weg, auch die kommenden 20 Jahre seine Stellung als einer der wichtigsten Informationssicherheitsstandards in Deutschland zu behaupten. n 8

9 DIE NEUE EU-DATENSCHUTZVERORDNUNG KOMMT. BEREITEN SIE SICH VOR! Schützen Sie Daten ganz einfach: mit Verschlüsselungslösungen von Sophos Sophos SafeGuard Enterprise > Leistungsstarke Verschlüsselung > Transparent für die Benutzer > Gewaltentrennung: 4-Augen-Prinzip > Audit-sicheres Reporting + Sophos Security: Verschlüsselung per Mausklick. Ihr kostenloser 60-Sekunden Compliance Check: Security made simple.

10 Management und Wissen Datensicherheit mit IT-Grundschutz prozessorientiert umsetzen Vom Wasserfall zur Lebensader Der IT-Grundschutz setzt bei der ISMS-Einführung auf das Wasserfall -Modell ein auf den ersten Blick logisches und leicht zu beherrschendes Verfahren. Langjährige Projekterfahrung zeigt allerdings, dass ein alternatives Vorgehen mit einer bewussten Parallelisierung geeigneter Aufgaben größeren Erfolg verspricht und das angestrebte Informationssicherheits-Management-System (ISMS) besser mit der Sicherheitspraxis verzahnt. Von Knut Haufe, Marcel Schulz und Knud Brandis, PERSICON AG Für den IT-Grundschutz des BSI als potenziellen Orientierungsrahmen eines professionellen Umgangs mit dem Thema Informationssicherheit interessieren sich Organisationen heute aus mehreren Gründen. Erstens hat der nationale Standard für Informationssicherheits-Management inzwischen den Bogen zu internationalen Normen geschlagen und erlaubt eine Zertifizierung gemäß ISO auf der Basis von IT-Grundschutz, und zweitens lockt das IT-Grundschutz- Konzept Organisationen mit normalem Schutzbedarf nach wie vor durch die Besonderheit, keine detaillierte Risikoanalyse durchführen zu müssen. Die IT-Grundschutztypischen Kataloge vorgefertigter Basis-Maßnahmen versprechen Organisationen mit eher durchschnittlichen Infrastruktur- und Anwendungslandschaften eine deutliche Reduktion möglicher Sicherheitsrisiken. Auch die Tatsache, dass der IT-Grundschutz für die ISMS- Einführung auf das aus der Softwareentwicklung vertraute Wasserfall - Vorgehensmodell setzt, stützt auf den ersten Blick den Eindruck, eine ISMS-Implementierung nach diesem Standard sei durchweg logisch strukturiert, einfach zu überwachen und gerade deshalb erfolgversprechend. Die Phasen Strukturanalyse (Er- hebung der vorhandenen IT-Landschaft, Infrastruktur, Informationen und Anwendungen), Schutzbedarfsfeststellung, Modellierung und Basis-Sicherheitscheck (Auswahl der Sicherheitsmaßnahmen und Abgleich mit bereits umgesetzten Sicherheitsmaßnahmen), Maßnahmenplanung und Umsetzung sowie gegebenenfalls Ergänzende Sicherheitsanalyse und Maßnahmenumsetzung laufen Schritt für Schritt nacheinander ab jeder Schritt ist die Voraussetzung für den nächsten. Die Arbeitsschritte lassen sich leicht in Projektcharts pressen und mit Kalenderdaten versehen. Am Ende steht, so scheint es, fast zwangsläufig die Zertifizierung. Die Realität allerdings zeigt ein anderes Bild. Gerade das sympathisch-serielle Wasserfall-Modell harmoniert nur wenig mit der Wirklichkeit der Sicherheits-Praxis und den zentralen Anliegen einer IT-Grundschutz- Zertifizierung und führt deshalb durchaus nicht so häufig zum Ziel wie anfangs erwartet. Resultate von Anfang an erzielen Die wohl gravierendste Folge einer unreflektierten Anwendung des Wasserfall-Modells sind lange Analysephasen, in denen keinerlei konkrete Sicherheitsmaßnahmen umgesetzt werden. Zu einer spürbaren Erhöhung des Sicherheitsniveaus kommt es beim üblichen Vorgehen oft erst ein bis zwei Jahre nach dem Projektstart. Die ISMS- Einführung gerät damit leicht in die Position einer separaten, eventuell lästigen und mit dem Arbeitsalltag der Fachabteilungen kaum verknüpften Spezialmaßnahme, an der die Stakeholder in der Organisation das Interesse verlieren und die sie mangels vorzeigbarer Ergebnisse womöglich irgendwann stoppen. Die Autoren dieses Beitrags schlagen vor, der geschilderten Problematik durch eine stärkere Prozessorientierung der IT-Grundschutz-Vorgehensweise und durch eine Parallelisierung wichtiger Aufgaben abzuhelfen. Erfahrungsgemäß lässt sich so eine weitaus bessere Integration des IT-Grundschutzes in bestehende Abläufe und Managementsysteme erreichen. Für die Modifikation des Ablaufs sind folgende Aspekte zentral (siehe auch Bild 1): 1) Gleich zu Beginn der IT-Grundschutz-Einführung sind eine Schulung und Sensibilisierung aller Beteiligten in der Organisation und die Definition ihrer Rollen im ISMS-Prozess unumgänglich. Ein entscheidender Erfolgsfaktor ist es dabei, auch die Leitungsebene ein- 10

11 zubeziehen. Sie muss für das ISMS die Ziele vorgeben und es regelmäßig bewerten sowie dem Sicherheitsteam die für die nachgelagerte Linienorganisation sichtbare Autorität geben, in seinem Namen die Sicherheitsziele umzusetzen. Ohne eine solche Rückendeckung scheitern die meisten Einführungsprojekte an den internen Widerständen oder verlaufen im Sande. 2) A0-Dokumente, Basis-Prozesse und Basis-Sicherheitscheck der IT-Grundschutz-Bausteine in der Schicht 1 ( Übergreifende Aspekte ) können und sollten auch ohne bereits vollständig vorliegende Strukturanalyse erstellt werden. Sie sind zumindest teilweise eine wichtige Voraussetzung für das erfolgreiche Durchführen und Aufrechterhalten der Strukturanalyse. 3) Die Strukturanalyse selbst sollte möglichst auf eine vorhandene Basis aus Konfigurationsmanagement-Datenbank (CMDB) und Änderungsmanagement-Prozessen zugreifen. Gibt es diese Ressourcen nicht, sollte das ISMS-Team die zuständigen Fachabteilungen dazu bewegen, eine solche Basis zu schaffen vorzugsweise als Maßnahme außerhalb des eigentlichen ISMS-Projekts. Die Modellierung und der Basis-Sicherheitscheck in den Schichten 2-5 sind an das Vorhandensein der Strukturanalyse gekoppelt. 4) Die Schutzbedarfsfeststellung hat von einigen wenigen Bausteinen wie Kryptokonzept, Behandlung von Sicherheitsvorfällen oder Notfallmanagement abgesehen keinen direkten Einfluss auf die Modellierung und den Basis- Sicherheitscheck. Deshalb ist es ungünstig, wenn sie zeitlich nach der Strukturanalyse erfolgt, wie es die Standard-Vorgehensweise vorsieht. Sinnvoller ist es, diese Phase nach dem Basis-Sicherheitscheck oder parallel dazu durchzuführen. Bei den Schutzbedarfsstufen ist es sinnvoll, sich auf Normal und Hoch zu beschränken, da eine Differenzierung zwischen den Bewertungen Sehr hoch und Hoch keine Auswirkungen auf die weitere Vorgehensweise nach sich zieht, jedoch höhere Aufwände für diese Differenzierung verursacht. Die Schutzbedarfsfeststellung ist, wenn sie auf diese Weise durchgeführt wird, besser an die praxisrelevanten Erhebungen der Ist-Zustände angebunden, erfordert geringeren Aufwand und führt zu einer frühzeitigeren Umsetzung von Maßnahmen. Für die Parallelisierung ist der Ansatzpunkt mit der höchsten Wirksamkeit die in Punkt 3 angedeutete Verzahnung mit einer zentralen Inventarisierungslösung. Die Basis für diese Einschätzung ist, dass sich hinter dem Arbeitsschritt der Strukturanalyse nichts anderes verbirgt als eine Ist-Aufnahme des produktiv genutzten Informationsverbunds: Datenbestände, Anwendungen und die zugrundeliegende Infrastruktur werden erfasst, um anschließend den Schutzbedarf für die verwalteten Informationen beurteilen zu können. In Projekten stoßen die ISMS-Verantwortlichen hier oft auf fundamentale Probleme: Wenn weder die IT-Abteilung zur eingesetzten Hard- und Software noch die Organisationsabteilung zu Geschäftsprozessen und Fach- Eine parallelisierte und prozessorientierte Vorgehensweise beim IT-Grundschutz reduziert die Projektrisiken (Quelle: PERSICON) 11