HOCHSCHULE LANDSHUT FAKULTÄT INFORMATIK. Weiterentwicklung des IT Grundschutzes. IT Grundschutz Profil für Open Source Software (GSProOSS)

Transkript

1 HOCHSCHULE LANDSHUT FAKULTÄT INFORMATIK Weiterentwicklung des IT Grundschutzes IT Grundschutz Profil für Open Source Software (GSProOSS) Masterarbeit vorgelegt von Nikolaus Lefin Betreuer: Prof. Dr. rer. nat. Peter Scholz Landshut, den 15. November 2010

2

3 Inhaltsverzeichnis 1 Einleitung Zielsetzung des Profils Open Source Software Informationssicherheit und Schutzbedarf Aufbau des Profils Rahmenbedingungen BSI Standards zur Informationssicherheit (aus [GSProPro]) BSI Standard 100 1: Managementsysteme für Informationssicherheit (ISMS) BSI Standard 100 2: IT Grundschutz Vorgehensweise BSI Standard 100 3: Risikoanalyse auf der Basis von IT Grundschutz BSI Standard 100 4: Notfallmanagement Die IT Grundschutz Kataloge (aus [GSProPro]) Der Informationssicherheitsprozess und die Verantwortlichkeiten Der Informationssicherheitsprozess Verantwortung der Leitungsebene Der IT Sicherheitsbeauftragte (aus [BSI 100 2]) Rechtliche und andere Anforderungen Definition und Abgrenzung des Informationsverbunds Geschäftsgegenstand Standorte und Organisationsaufbau Der betrachtete Informationsverbund IT Systeme und Netze Software und Anwendungen Räume Leitlinie zur Informationssicherheit Erarbeitung der Leitlinie zur Informationssicherheit Das Beispielunternehmen RECPLAST GmbH Leitlinie zur Informationssicherheit der RECPLAST GmbH Stellenwert der IT und Bedeutung der IT Sicherheitsleitlinie Ziele der Informationssicherheit und Kernelemente der Sicherheitsstrategie Organisationsstruktur für Informationssicherheit

4 4.3.4 Geltungsbereich und Maßnahmen bei Verstößen Sicherheitskonzept nach IT Grundschutz Geltungsbereich eines Sicherheitskonzepts Verfahrensschritte Sicherheitskonzept und Notfallvorsorge Konzept Hilfsmittel Strukturanalyse Vorgehen nach IT Grundschutz Anwendungen und zugehörige Informationen Zusammenfassen und Gruppenbildung der IT Systeme Netzplan Anwendungen, IT Systeme und Räume Besonderheiten und Probleme bei der Strukturanalyse Schutzbedarfsfeststellung Vorgehen nach IT Grundschutz Schutzbedarfskategorien Anwendungen, IT Systeme, Räume und Kommunikationsverbindungen Ergebnisse der Schutzbedarfsfeststellung Besonderheiten und Probleme bei der Schutzbedarfsfeststellung Auswahl und Anpassung von Maßnahmen Vorgehen nach IT Grundschutz Modellierung des Informationsverbunds anhand der IT Grundschutz Kataloge Ergänzung der Maßnahmenkataloge Besonderheiten und Probleme bei Auswahl und Anpassung von Maßnahmen Basis Sicherheitscheck Vorgehen nach IT Grundschutz Organisatorische Vorarbeiten Soll Ist Vergleich Ergebnisse Besonderheiten und Probleme beim Basis Sicherheitscheck Bausteine der Schicht 1: Übergreifende Aspekte Bausteine der Schicht 2: Infrastruktur Bausteine der Schicht 3: IT Systeme Bausteine der Schicht 4: Netze Bausteine der Schicht 5: Anwendungen

5 10 Ergänzende Sicherheitsanalyse und Risikoanalyse Vorgehen nach IT Grundschutz Ergänzenden Sicherheitsanalyse Risikoanalyse auf der Basis von IT Grundschutz Besonderheiten und Probleme bei ergänzender Sicherheitsanalyse und Risikoanalyse Schritt 1: Erstellung der Gefährdungsübersicht Schritt 2: Ermittlung zusätzlicher Gefährdungen Schritt 3: Gefährdungsbewertung Schritt 4: Behandlung der Risiken Konsolidierung des Sicherheitskonzepts Umsetzung des Sicherheitskonzepts Besonderheiten und Probleme Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicher heit Überprüfung des Informationssicherheitsprozesses Informationsfluss im Informationssicherheitsprozess Zertifizierung nach ISO auf Basis von IT Grundschutz Zusammenfassung Fazit Ausblick Anhang Anhang: Abbildungsverzeichnis Anhang: Tabellenverzeichnis Anhang: Literaturverzeichnis

6 6

7 1 Einleitung 1 Einleitung Das Ziel der Masterarbeit ist, ein IT-Grundschutz-Profil zu Open-Source-Software zu erstellen, das beschreibt, wie sich die IT-Grundschutz-Vorgehensweise in einem Unternehmen oder einer Behörde für den Einsatz von Open-Source-Software anwenden lässt. Die Struktur der Arbeit soll mit den bislang vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten Profilen zur Anwendung des IT-Grundschutzes für kleine, mittlere und große Organisationen und insbesondere für das produzierende Gewerbe vergleichbar sein. Anhand eines Praxisbeispiels soll Anwendern aufgezeigt werden, wie mit dem IT-Grundschutz-Ansatz Linux und Open-Source-Software in Behörden und Unternehmen sicher betrieben werden können. Der Kern der Arbeit ist, die typische IT-Grundschutz-Vorgehensweise darzustellen, um für den Einsatz von Open-Source-Software standardisierbare Sicherheitsempfehlungen auszuwählen. Als Musterfirma für das IT-Grundschutz-Profil Open-Source wird das im IT-Grundschutz-Profil Produktion und im Webkurs IT-Grundschutz abgebildete Beispielunternehmen RECPLAST dienen. Das Profil ist entsprechend der bereits vorhandenen Profile zu gliedern und muss die einzelnen Schritte der IT-Grundschutz-Vorgehensweise enthalten, die folgende Themenbereiche umfassen: Etablierung organisatorischer Strukturen und Entwicklung einer IT-Sicherheitsleitlinie, Entwicklung eines IT-Sicherheitskonzepts, Realisierungsplanung sowie Umsetzung und Aufrechterhaltung der IT-Sicherheit. In der Arbeit soll deutlich werden, inwieweit Open-Source-Software besondere Sicherheitsmaßnahmen erfordert, aber auch, worin ihre Vorteile liegen. Das Augenmerk wird dabei auf Sicherheitsempfehlungen für die Planung und Konzeption, Beschaffung, Umsetzung, den Betrieb und die Notfallvorsorge von Open-Source-Software gelegt und nicht auf die Beschreibung von einzelnen Funktionen oder technischen Aspekten, soweit diese für die Sicherheit nicht relevant sind. Als typische Gefährdungen sind die aus den IT-Grundschutz-Katalogen zu betrachten. Diese umfassen sowohl höhere Gewalt, menschliche Fehlhandlungen, technisches Versagen, organisatorische Mängel als auch vorsätzliche Handlungen. 1.1 Zielsetzung des Profils Geschäftsprozesse in Unternehmen und Behörden werden heutzutage zunehmend durch Informationstechnik (IT) unterstützt. Das gesamte Tagesgeschäft ist abhängig von Informationsund Telekommunikationsanlagen, insbesondere von Computern und Softwareprogrammen. Auf den meisten Arbeitsplatzrechnern sind standardmäßig proprietäre Betriebssysteme und Büroanwendungen installiert. Im privaten wie auch im öffentlichen Sektor dominiert das Be 7

8 1 Einleitung triebssystem Microsoft Windows. Nach den Untersuchungen des Marktforschungsunternehmens Net Applications im März 2010 verzeichnet das Microsoft-Betriebssystem einen Marktanteil von 92,12 Prozent. Im Bereich der Bürosoftware ist das Unternehmen Microsoft mit seiner Office-Suite ebenfalls führend mit einem Anteil von über 90 Prozent. Mit der Einführung von Microsoft Windows 7 im Oktober 2009 und dem Verkaufsstart von Microsoft Office 2010 wird für viele Institutionen die Umstellung der Softwarelizenzen erforderlich. Verstärkt wird dieser Prozess durch den auslaufenden Support älterer Windows-Versionen (Windows 2000, Windows P mit Service Pack 2 und Windows Vista ohne Service Packs). Microsoft hat das "End to Life"-Datum von Windows P mit Service Pack 3 auf den 8. April 2014 verschoben. Für den Endanwender hat dies jedoch negative Folgen, weil bis dahin nur noch Sicherheitsupdates, kostenpflichtiger Support oder kostenpflichtige Hotfixes erhältlich sind. Aufgrund dieser ohnehin unternehmensweiten anstehenden Lizenzmigrationen ist ein Wechsel zu Open-Source-Software oft eine interessante Option. Es können die erheblichen Kosten der Lizenzgebühren eingespart und bei Softwareaktualisierungen können erneute Lizenzkosten vermieden werden. Support-Dienstleister, die die Applikationen warten und administrieren, können frei gewählt werden, um sich somit in Zukunft nicht durch proprietäre Softwareprodukte von bestimmten Softwareherstellern abhängig zu machen. Dabei muss beachtet werden, dass das notwendige Wissen bei den Dienstleistern vorhanden ist oder in Einzelfällen Mängel durch den Hersteller oder Entwickler selbst beseitigt werden können. Gerade in den Bereichen Betriebssysteme und Büroanwendungen gibt es mittlerweile viele Open-Source-Alternativen, die den proprietären Produkten in nichts mehr nachstehen. Die Umstellung auf Open Source ist keine fiktive Alternative. Das bekannteste Beispiel, ist wohl der Umstieg der Münchner Stadtverwaltung von Windows NT4 und Microsoft Office auf das Betriebssystem Linux und die Bürosoftware OpenOffice. Gründe dafür waren in erster Linie nicht nur das Einsparpotential durch Lizenzgebühren, die für proprietäre Software zu entrichten sind, sondern auch der vielmals durch die Open-Source-Gemeinde propagierte Vorteil, sich nicht in Abhängigkeiten von genau einem Hersteller zu begeben. Diesem Beispiel sind bereits auch andere Kommunen und Unternehmen gefolgt, wenn auch nicht mit einer kompletten Umstellung der Betriebssysteme, so zumindest durch die Verwendung von freien Büroanwendungen und -Clients. Die Möglichkeit des freien Zugangs zum Quelltext ermöglicht einerseits den Einblick in die verwendeten Algorithmen und Verfahren, um sicherzustellen, dass die Anwendung dem geforderten Schutzbedarf entsprechen. Andererseits macht es gerade dieser Umstand auch für Angreifer möglich, entsprechende Sicherheitslücken zu entdecken und diese auszunutzen. Somit ist auch Open-Source-Software den klassischen Sicherheitsproblemen wie Schadsoftware (Viren, Würmer, Trojanische Pferde) oder Hackerangriffen ausgesetzt. Die IT-Grundschutz-Vorgehensweise und die Maßnahmenempfehlungen der IT-GrundschutzKataloge dienen der effizienten und effektiven Absicherung informationstechnisch geschützter Geschäftsprozesse. Das Profil soll verdeutlichen, inwieweit sich die gegen diese Gefähr8

9 1 Einleitung dungen entwickelten Konzepte und Schutzmechanismen des IT-Grundschutz auf Open-Source-Software anwenden lassen oder ob es besondere Sicherheitsmaßnahmen erfordert. Das Augenmerk wird dabei auf Sicherheitsempfehlungen für die Planung und Konzeption, Beschaffung, Umsetzung, den Betrieb und die Notfallvorsorge von Open-Source-Software gelegt und nicht auf die Beschreibung von einzelnen Funktionen oder technischen Aspekten, soweit diese für die Sicherheit nicht relevant sind. Als typische Gefährdungen werden solche aus den IT-Grundschutz-Katalogen betrachtet. Diese umfassen sowohl höhere Gewalt, menschliche Fehlhandlungen, technisches Versagen, organisatorische Mängel als auch vorsätzliche Handlungen. Die Anwendung der IT-Grundschutz-Vorgehensweise auf Open-Source-Software wird in diesem Profil anhand eines prägnanten, durchgehenden Beispiels aufgezeigt. 1.2 Open Source Software Open-Source-Software wird oft mit kostenloser Software gleichgesetzt. Das hat den Ursprung in der ersten Begriffsdefinition von freier Software durch die Free Software Foundation1, die mit frei den Freiheitsaspekt der Software-Entwicklung betonen sollte. Dieser Umstand wurde oft missverstanden und frei von den Anwendern als kostenlos interpretiert, da viele Open-Source-Produkte kostenlos im Internet verfügbar sind. Um diesem Umstand entgegenzuwirken, wurde schließlich der Begriff Open-Source eingeführt, der diese Fehlinterpretation vermeiden soll. In Deutschland kann ein Autor und damit auch ein Programmierer sein Urheberrecht nicht einfach der Öffentlichkeit als Public Domain übertragen, da dies nach deutschem Recht nicht vorgesehen ist. Der Autor besitzt immer die Rechte an seinen Werken, auch wenn er davon nicht Gebrauch macht. Deshalb ist das Thema Open-Source-Software in Deutschland nicht so einfach zu behandeln. Auf die Rechtslage zum Thema Open-Source-Software und zum deutschen Urheberrecht wird an dieser Stelle nicht näher eingegangen. Eine allgemeine Open-Source-Definition, wie sie auch im Sinn der Open Source Initiative 2 zu verstehen ist, betrifft nicht nur den Zugang zum Quellcode, sondern enthält auch die folgenden Anforderungen: 1. Freie Weitergabe: Die Lizenz darf niemanden darin hindern, die Software als eine (Teil-)Komponente einer Software-Distribution, die sich aus Programmen von verschiedenen Quellen zusammensetzt, zu verkaufen oder weiterzugeben. Die Lizenz ist kostenfrei nutzbar. Es werden weder Lizenzgebühren noch sonstige Entgelte für die Nutzung einer Lizenz erhoben. 2. Quellcode: Die Software-Distribution muss auch den Quellcode umfassen und die Verteilung muss die Weitergabe in Form des Quellencodes sowie als kompiliertes Produkt erlauben. Wird der Quellcode nicht mit der Software herausgegeben, müssen die Gründe dafür dokumentiert werden. Für die Herausgabe des Quellcodes dürfen dann nur die dafür anfallenden Kosten (z.b. Kosten für Kopien, Datenträger und Versand)

10 1 Einleitung verlangt werden, vorzugsweise sollte der Quellcode im Internet ohne Gebühr herunterzuladen sein. Den Quellcode vorsätzlich zu ändern, ist nicht erlaubt, der Quellcode muss in einer für den Programmierer nutzbaren Form vorliegen. 3. Abgeleitete Werke: Die Lizenz muss Modifikationen am Quellcode und davon abgeleitete Werke erlauben, sowie deren Distribution unter derselben Lizenz wie die Originalsoftware. 4. Integrität des Autoren-Quellcodes: Die Lizenz muss explizit das Verteilen von Software erlauben, die auf einer modifizierten Version des Originalquellcodes beruhen. Die Lizenz kann verlangen, dass solche Änderungen zu einem neuen Namen oder einer neuen Versionsnummer der Software führen und solche Änderungen dokumentiert werden. 5. Keine Diskriminierung von Personen oder Gruppen: Die Lizenz muss einzelnen Personen oder Gruppen gleiche Rechte gewähren, ihren Beitrag am Quellcode leisten zu dürfen und ihnen nicht die Nutzung der Software verweigern. 6. Keine Nutzungseinschränkung: Die Lizenz darf niemanden durch Vorgaben bestimmter Anwendungsbereiche bei der Nutzung der Software einschränken, z.b. kein Ausschluss kommerzieller Nutzung oder Nutzung bei Genforschung. 7. Lizenzerteilung: Werden Änderungen am Quellcode vorgenommen und wird die Software dann weiterverteilt, darf dadurch die Lizenz nicht berührt werden. Die Lizenz darf ihre Gültigkeit nicht verlieren und muss auch dann für alle zutreffen, die die Software bei der Weiterverteilung erhalten, ohne eine andere Lizenz erwerben zu müssen. 8. Produktneutralität: Die Lizenz darf nicht davon abhängig sein, dass das Produkt Teil einer bestimmten Software-Distribution ist. Falls das Produkt daraus extrahiert wird und Teil einer neuen Distribution wird, sollten für diese Distribution auch die gleichen Lizenzrechte gelten wie für die Originaldistribution. 9. Keine Einschränkung anderer Software: Die Lizenz darf keine Beschränkungen für Software enthalten, die mit der lizenzierten Software verteilt wird, z.b. darf nicht verlangt werden, dass die Software nur zusammen mit Open-Source-Software weitergegeben wird. 10. Technologie-neutrale Lizenz: Keine Klausel in der Lizenz darf sich auf eine bestimmte Technologie oder einen Schnittstellen-Typ zur Weitergabe festlegen, z.b. darf nicht ausschließlich der Download mit vorherigem Akzeptieren der Lizenz der einzige Vertriebsweg sein, sondern auch die Offline-Weitergabe per CD soll möglich sein. Genauso muss es möglich sein, die Lizenz bei der Installation auf Systemen ohne grafischer Benutzeroberfläche zu akzeptieren, wo es nicht möglich ist, einen Popup-Dialog anzuzeigen. 10

11 1 Einleitung 1.3 Informationssicherheit und Schutzbedarf Informationssicherheit hat als Ziel, den Schutz von Informationen jeglicher Art und Herkunft. Dabei können Informationen sowohl auf Papier, in Rechnersystemen oder auch in den Köpfen der Nutzer gespeichert sein. IT-Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung ([BSI 100-1]). Die IT-Grundschutz-Vorgehensweise und die in den IT-Grundschutz-Katalogen empfohlenen Sicherheitsmaßnahmen zielen darauf ab, Geschäftsprozesse so abzusichern, dass sie möglichst störungsfrei bleiben. Eine Störung liegt immer dann vor, wenn die Vertraulichkeit, Verfügbarkeit oder Integrität von Informationen, Daten, Anwendungen und IT-Systemen verletzt werden ([GSProPro]). Diese drei so genannten Grundwerte der Informationssicherheit bedeuten, wie in [GSProPro] erläutert, Folgendes: Vertraulichkeit ist gewährleistet, wenn Informationen nicht unbefugt und ungewollt preisgegeben worden sind. Beispielsweise können innovative Produktionsverfahren und neuartige Produkte einem Unternehmen Wettbewerbsvorteile sichern. Sie sind deshalb, ebenso wie Informationen zu den Kunden und vorbereiteten Angeboten, ein mögliches Ziel von Wirtschaftsspionage. Maßnahmen, mit denen derartigen Angriffen gegen geheime Geschäftsinformationen begegnet wird, zielen also darauf ab, deren Vertraulichkeit zu sichern. Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, Anwendungen, Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können. Fertigungsbetriebe streben eine möglichst hohe, effiziente Ausnutzung ihrer Kapazitäten an. In der Produktion ist die Verfügbarkeit oftmals das höchste Sicherheitsziel. Ist diese nicht gewährleistet, können beispielsweise je nach Anlage sehr hohe Folgekosten für den Wiederanlauf entstehen. Der Grundwert Integrität bedeutet, dass Informationen unversehrt, also vollständig und nicht unbefugt oder unbemerkt verändert vorliegen und Systeme korrekt funktionieren. Integrität umfasst also Datensicherheit (Schutz vor Verlust) und Fälschungssicherheit (Schutz vor vorsätzlicher Veränderung). Beispielsweise müssen Fertigungsanlagen wie geplant arbeiten, damit die Produkte in der gewünschten Zeit, Quantität und Qualität hergestellt werden können. Dazu müssen die Mechanik der Anlagen und deren Bedienung fehlerfrei sein. Bei Maschinen, die mittels Informationstechnik gesteuert werden, hängt die Funktionssicherheit insbesondere aber auch davon ab, dass die beteiligte Software und die von ihr verwendeten Informationen unverfälscht und korrekt, also integer sind. Fehlerhafte Steuerungssoftware kann nicht nur schwerwiegende wirtschaftliche Nachteile für ein Unternehmen nach sich ziehen, je nach Art der Produktionsanlage ist sie auch ein mehr oder weniger hohes Risiko für die Unversehrtheit der Personen und der Umwelt in der Umgebung der Produktionsstätte. Viele Anwender ziehen in ihre Betrachtungen weitere Grundwerte mit ein. Das kann je nach Anwendungsfall sehr hilfreich sein. Weitere generische Oberbegriffe der Informationssicher 11

12 1 Einleitung heit sind beispielsweise Authentizität, Verbindlichkeit, Zuverlässigkeit und Nichtabstreitbarkeit ([BSI 100-1]). Die Sicherheit von Informationen wird nicht nur durch vorsätzliche Handlungen bedroht (z. B. Computer-Viren, Abhören der Kommunikation, Diebstahl von Rechnern). Die folgenden Beispiele aus [BSI 100-1] verdeutlichen dies: Durch höhere Gewalt (z. B. Feuer, Wasser, Sturm, Erdbeben) werden Datenträger und IT-Systeme in Mitleidenschaft gezogen oder der Zugang zum Rechenzentrum versperrt. Dokumente, IT-Systeme oder Dienste stehen damit nicht mehr wie gewünscht zur Verfügung. Nach einem missglückten Software-Update funktionieren Anwendungen nicht mehr oder Daten wurden unbemerkt verändert. Ein wichtiger Geschäftsprozess verzögert sich, weil die einzigen Mitarbeiter, die mit der Anwendungssoftware vertraut sind, erkrankt sind. Vertrauliche Informationen werden versehentlich von einem Mitarbeiter an Unbefugte weitergegeben, weil Dokumente oder Dateien nicht als vertraulich gekennzeichnet waren. 1.4 Aufbau des Profils Um die Informationssicherheit nach IT-Grundschutz in einer Institution einzuführen, sind bestimmte Rahmenbedingungen zu schaffen, die für ein Sicherheitsmanagementsystem notwendig sind. In Kapitel 2 werden diese Rahmenbedingungen beschrieben, angefangen bei den BSI-Standards und Grundschutzkatalogen, bis hin zur Sicherheitsorganisation mit dem IT-Sicherheitsbeauftragten und der Verantwortung, die von der Leitungsebene übernommen werden muss. Anschließend wird in Kapitel 3 für das Beispielunternehmen der Informationsverbund beschrieben, auf dessen Grundlage die Informationssicherheit im Weiteren betrachtet wird und worauf die in Kapitel 4 erstellte Leitlinie zu Informationssicherheit aufbaut. In Kapitel 5 wird das Sicherheitskonzept nach IT-Grundschutz beschrieben und es legt die Schritte fest, die in den Kapiteln 6 bis 12 abgehandelt werden. Die Verfahrensschritte bestehen aus der Strukturanalyse in Kapitel 6, in der ermittelt wird, welche Anwendungen, IT-Systeme, Kommunikationsnetze und infrastrukturelle Gegebenheiten zu dem betrachteten Informationsverbund gehören. Kapitel 7 beschreibt die Schutzbedarfsfeststellung, das heißt, welche Sicherheitsanforderungen die zuvor identifizierten Zielobjekte haben. Bei der Auswahl und Anpassung der Maßnahmen in Kapitel 8 werden die zu berücksichtigenden Bausteine aus den IT-Grundschutz-Katalogen ausgewählt und diese bilden zusammengenommen das IT-Grundschutz-Modell des Informationsverbunds. Anschließend wird in Kapitel 9 im Basissicherheitscheck auf Grundlage des IT-Grundschutz-Modells ein Soll-Ist-Vergleich durchgeführt und ermittelt, wo Handlungsbedarf besteht. Der nächste Schritt in Kapitel 10 prüft die betroffenen Zielobjekte in einer ergänzenden Sicherheitsanalyse und gegebenenfalls in einer erforderlichen Risikoanalyse. Kapitel 11 beschreibt die Umset12

13 1 Einleitung zung des erarbeiteten Sicherheitskonzepts. Wie es aufrechterhalten und kontinuierlich verbessert werden kann, wird in Kapitel 12 erläutert. Zum Schluss wird in Kapitel 13 noch kurz darauf eingegangen, wie die Zertifizierung nach ISO auf Basis von IT-Grundschutz erlangt werden kann. Abschließend werden in Kapitel 14.1 die wichtigsten Punkte zusammengefasst. 13

14 14

15 2 Rahmenbedingungen 2 Rahmenbedingungen 2.1 BSI Standards zur Informationssicherheit (aus [GSProPro]) Informationssicherheit hat den Schutz von Informationen jeglicher Art und Herkunft als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnersystemen oder auch in den Köpfen der Nutzer gespeichert sein. Dies erfordert die Umsetzung von organisatorischen und technischen Sicherheitsmaßnahmen und einen kontinuierlichen Prozess, in dem immer wieder geprüft wird, ob diese Maßnahmen noch einen hinreichenden Schutz bieten. Die BSI-Standards zur Informationssicherheit enthalten dazu Empfehlungen für Herangehensweisen, die sich national und international bewährt haben. Im Einzelnen behandeln die BSI-Standards die folgenden Themen: BSI Standard 100 1: Managementsysteme für Informationssicherheit (ISMS) Der Standard [BSI 100-1] beschreibt allgemeine Anforderungen an ein ISMS. Er ist vollständig kompatibel zum ISO-Standard und berücksichtigt weiterhin die Empfehlungen der ISO-Standards und Er bietet Lesern eine leicht verständliche und systematische Einführung und Anleitung, unabhängig davon, mit welcher Methode sie die Anforderungen umsetzen möchten BSI Standard 100 2: IT Grundschutz Vorgehensweise Das Dokument [BSI 100-2] beschreibt detailliert die IT-Grundschutz-Vorgehensweise und enthält damit eine sehr konkrete Anleitung dazu, wie ein ISMS in der Praxis aufgebaut und betrieben werden kann. Wichtige Themen sind: die Aufgaben des Informationssicherheitsmanagements und der Aufbau einer Informationssicherheitsorganisation, die Anfertigung von Sicherheitskonzepten sowie die Auswahl und Umsetzung angemessener Sicherheitsmaßnahmen, die Aufrechterhaltung der Informationssicherheit im laufenden Betrieb und deren kontinuierliche Verbesserung BSI Standard 100 3: Risikoanalyse auf der Basis von IT Grundschutz Bei der Auswahl der geeigneten Sicherheitsmaßnahmen wird ein Anwender durch die ITGrundschutz-Kataloge unterstützt. Diese enthalten Empfehlungen für organisatorische und technische Maßnahmen, die bei normalen Sicherheitsanforderungen und für typische IT-Umgebungen einen angemessenen und ausreichenden Schutz bieten. Der Standard [BSI 100-3] beschreibt eine Vorgehensweise, mit der unter Verwendung der IT-Grundschutz-Kataloge ITRisiken analysiert werden können. Eine solche Analyse kommt immer dann in Frage, wenn 15

16 2 Rahmenbedingungen ein Objekt einen höheren Schutzbedarf hat oder (noch) nicht ausreichend in den IT-Grundschutz-Katalogen behandelt wird oder zwar behandelt wird, aber in einem Einsatzszenario, das für den IT-Grundschutz eher untypisch ist BSI Standard 100 4: Notfallmanagement In dem Standard [BSI 100-4] wird ein systematischer Weg aufgezeigt, die Fähigkeit einer Organisation zur angemessenen Reaktion auf krisenhafte Ereignisse (Notfälle) und zur möglichst raschen Wiederaufnahme ihrer wichtigen Geschäftsprozesse zu steigern. Ein Notfallmanagement ist besonders wichtig für die Geschäftsprozesse einer Organisation, bei denen längere Ausfallzeiten unbedingt zu vermeiden sind. In einem Fertigungsunternehmen dürften dazu alle Prozesse zählen, die für die Erzeugung der Produkte und die Abwicklung der Aufträge wesentlich sind. Der Standard beschreibt insbesondere auch, wie mit Hilfe einer so genannten Business-Impact-Analyse diese kritischen Geschäftsprozesse sowie die Ressourcen bestimmt werden, die von ihnen im Normalbetrieb und zur Wiederherstellung benötigt werden. 2.2 Die IT Grundschutz Kataloge (aus [GSProPro]) Während die BSI-Standards sinnvolle Vorgehensweisen und Organisationsformen beschreiben, wie Informationssicherheit und Notfallmanagement in einer Institution geschaffen und gelebt werden kann, enthalten die nach dem Baukastenprinzip gegliederten IT-GrundschutzKataloge [GSK] konkrete Hinweise zu den Gefährdungen und erforderlichen Sicherheitsmaßnahmen. Sie sind in drei Bestandteile gegliedert: Die Gefährdungs-Kataloge enthalten Zusammenstellungen wesentlicher Gefährdungen für die Informationssicherheit und sind entlang der möglichen Ursachen Höhere Gewalt, Organisatorische Mängel, Menschliche Fehlhandlungen, Technisches Versagen und Vorsätzliche Handlungen gegliedert. Die Maßnahmen-Kataloge enthalten detaillierte Maßnahmenbeschreibungen, die in die Bereiche Infrastruktur, Organisation, Personal, Hardware und Software, Kommunikation und Notfallvorsorge unterschieden sind. Die Baustein-Kataloge bilden die Klammer zwischen Gefährdungs- und Maßnahmenkatalogen. Ein Baustein beschreibt jeweils einen bestimmten Teilaspekt der Informationstechnik einer Organisation. Dies kann ein bestimmtes technisches System, ein zu regelnder organisatorischer Sachverhalt oder eine bestimmte Anwendung sein. Die Bausteine sind sortiert in die Schichten Übergreifende Aspekte (z. B. Hard- und Softwaremanagement), Infrastruktur (z. B. Verkabelung, Gebäude), IT-System (z. B. Client unter Windows P), Netze (z. B. WLAN oder Remote Access) und Anwendungen (z. B. Telearbeit, SAP System). Jeder Baustein enthält neben einer kurzen Darstellung seines Anwendungsgebiets Zusammenstel16

17 2 Rahmenbedingungen lungen der für den beschriebenen Sachverhalt relevanten Gefährdungen und empfohlenen Schutzmaßnahmen. Mit Hilfe der IT-Grundschutz-Kataloge kann eine Organisation auf einfache Weise ein Sicherheitskonzept erstellen, indem die jeweils erforderlichen Maßnahmen aus den anwendbaren Bausteinen ausgewählt und bei Bedarf ergänzt werden. 2.3 Der Informationssicherheitsprozess und die Verantwortlichkeiten Der Informationssicherheitsprozess Der Informationssicherheitsprozess ist ein kontinuierlicher Prozess, der geplant und organisiert werden muss. Ein methodisches Vorgehen für den Aufbau und die Aufrechterhaltung eines solchen Prozesses für Unternehmen und Behörden beschreibt [BSI 100-2] in der Vorgehensweise nach IT-Grundschutz. Der Standard enthält folgende Schritte, um ein angemessenes Sicherheitsniveau zu erreichen: Initiierung des Sicherheitsprozesses Übernahme der Verantwortung durch die Leitungsebene Konzeption und Planung des Sicherheitsprozesses Erstellung der Leitlinie zur Informationssicherheit Aufbau einer geeigneten Organisationsstruktur für das Informationssicherheitsmanagement Bereitstellung von finanziellen, personellen und zeitlichen Ressourcen Einbindung aller Mitarbeiter in den Sicherheitsprozess Erstellung einer Sicherheitskonzeption Umsetzung der Sicherheitskonzeption Aufrechterhaltung der Informationssicherheit im laufenden Betrieb und kontinuierliche Verbesserung Verantwortung der Leitungsebene Die Leitungsebene übernimmt zwar die Verantwortung für die Erreichung des Sicherheitsniveaus, aber alle Beschäftigten der Organisation müssen aktiv mithelfen, den Informationssicherheitsprozess und die Sicherheitsziele zu gewährleisten. Nach [BSI 100-2] sollten dabei folgende Prinzipien eingehalten werden: Die Initiative für Informationssicherheit geht von der Behörden- bzw. Unternehmensleitung aus. Die Gesamtverantwortung für Informationssicherheit verbleibt bei der obersten Leitungsebene. Die Aufgabe "Informationssicherheit" wird durch die Behörden- bzw. Unternehmens- 17

18 2 Rahmenbedingungen leitung aktiv unterstützt. Die Behörden- bzw. Unternehmensleitung benennt die für Informationssicherheit zuständigen Mitarbeiter und stattet diese mit den erforderlichen Kompetenzen und Ressourcen aus. Die Leitungsebene übernimmt auch im Bereich Informationssicherheit eine Vorbildfunktion. Dazu gehört unter anderem, dass auch die Leitungsebene alle vorgegebenen Sicherheitsregeln beachtet. Die Leitungsebene spielt die zentrale Rolle bei der Informationssicherheit und muss auf deren Einhaltung in allen relevanten Geschäftsprozessen und Projekten achten. Als zentrale Grundlage wird die Leitlinie für Informationssicherheit geschaffen, die Geltungsbereiche, Sicherheitsziele, die Sicherheitsstrategie und die Organisationsstruktur definiert und für alle Beschäftigten verbindlich ist. Zur Unterstützung und als Bindeglied zur Leitungsebene, sowie als Verantwortlicher für Informationssicherheit wird die Stelle des IT-Sicherheitsbeauftragten geschaffen, der für die Umsetzung der Leitlinie zuständig ist. In [BSI 100-2] heißt es weiter, der IT-Sicherheitsbeauftragte brauche hierbei erfahrungsgemäß die volle Unterstützung der Behörden- oder Unternehmensleitung, um unter dem überall herrschenden Erfolgsdruck von den jeweiligen Fachverantwortlichen in jede wesentliche Aktivität eingebunden zu werden. Die Leitungsebene muss die Ziele sowohl für das Informationssicherheitsmanagement als auch für alle anderen Bereiche so setzen, dass das angestrebte Sicherheitsniveau in allen Bereichen mit den bereitgestellten Ressourcen (Personal, Zeit, Finanzmittel) erreichbar ist Der IT Sicherheitsbeauftragte (aus [BSI 100 2]) Informationssicherheit wird häufig vernachlässigt, so dass es hinter dem Tagesgeschäft zurücksteckt. Dadurch besteht bei unklarer Aufteilung der Zuständigkeiten die Gefahr, dass Informationssicherheit grundsätzlich zu einem "Problem anderer Leute" wird. Damit wird die Verantwortung für Informationssicherheit so lange hin und her geschoben, bis keiner sie mehr zu haben glaubt. Um dies zu vermeiden, sollte ein Haupt-Ansprechpartner für alle Aspekte rund um Informationssicherheit, ein IT-Sicherheitsbeauftragter, ernannt werden, der die Aufgabe "Informationssicherheit" koordiniert und innerhalb der Institution vorantreibt. Ob es neben diesem weitere Personen mit Sicherheitsaufgaben gibt und wie die Informationssicherheit organisiert ist, hängt von der Art und Größe der Institution ab. Die Rolle des Verantwortlichen für Informationssicherheit wird je nach Art und Ausrichtung der Institution anders genannt. Häufige Titel sind IT-Sicherheitsbeauftragter oder kurz IT-SiBe, Chief Security Officer (CSO), Chief Information Security Officer (CISO) oder Information Security Manager. Mit dem Titel "Sicherheitsbeauftragter" werden dagegen häufig die Personen bezeichnet, die für Arbeitsschutz, Betriebssicherheit oder Werkschutz zuständig sind. Um einen Sicherheitsprozesses erfolgreich planen, umsetzen und aufrechterhalten zu können, müssen die Verantwortlichkeiten klar definiert werden. Es müssen also Rollen definiert sein, die die verschiedenen Aufgaben für die Erreichung der Informationssicherheitsziele wahrnehmen müssen. Außerdem müssen Personen benannt sein, die qualifiziert sind und denen ausreichend Ressourcen zur Verfügung stehen, um diese Rollen auszufüllen. 18