Sicherheitsdienste. Funktionen, die ein IT-System bereitstellen muss. Quelle: Raepple

Transkript

1 2 Sicherheit Schutzziele: Vertraulichkeit Integrität Verfügbarkeit Randthemen und verwandte Begriffe Authentizität Verbindlichkeit/Nachvollziehbarkeit Nicht-Anfechtbarkeit Zugriffssteuerung Anonymität Funktionalität Einhaltung/Regeln Sicherheitstechniken Vorsorgemaßnahmen Notfallszenarien

2 2 Sicherheit Schutzziele: Informationssicherheit bezieht sich auf alle relevanten Informationen einer Organisation oder eines Unternehmens einschließlich personenbezogener Daten Vertraulichkeit: Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung. Integrität: Daten dürfen nicht unbemerkt verändert werden, resp. es müssen alle Änderungen nachvollziehbar sein. Verfügbarkeit: Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet werden. Randthemen und verwandte Begriffe Authentizität: Echtheit und Glaubwürdigkeit einer Person oder eines Dienstes müssen überprüfbar sein. Verbindlichkeit/Nachvollziehbarkeit: Urheber von Veränderungen müssen erkennbar sein und dürfen Veränderung nicht abstreiten können. Nicht-Anfechtbarkeit: der Nachweis, dass eine Nachricht versendet und empfangen worden ist (Authentizität/Nachweisbarkeit) Zugriffssteuerung: Reglementierung des Zugriffes von außen Anonymität: in bestimmtem Kontext (z. B. im Internet) Kontinuität: Einrichtung und Aufrechterhaltung geeigneter betrieblicher und technischer Maßnahmen, um die Einhaltung der Schutzziele der Informationssicherheit bei IT-gestützter Verarbeitung von Informationen zu gewährleisten Funktionalität: Hardware und Software sollen erwartungsgemäß funktionieren. Einhaltung der betrieblichen Prozesse Einrichtung geeigneter Sicherheitstechniken (Firewall, Zugriffschutz, Intrusion Detection, ) Vorsorgemaßnahmen zur möglichst reibungslosen Weiterführung bzw. Wiederaufnahme der Produktion nach Störungen

3 Sicherheitsdienste Funktionen, die ein IT-System bereitstellen muss Quelle: Raepple

4 Kosten-/Nutzenverhältnis angemessenes Maß an Sicherheitsmaßnahmen stark abhängig von der Risikobewertung Quelle: Raepple

5 2.1 Sicherheitsmanagement Aufgaben in der Praxis: Initiierung eines IT-Sicherheitsprozesses mit Übernahme von Verantwortung durch die Leitungsebene, Konzeption und Planung des IT- Sicherheitsprozesses mit Rahmenbedingungen, übergeordneten Zielen und IT-Strategie in einer IT- Sicherheitsleitlinie, Aufbau einer IT- Sicherheitsorganisation mit Bereitstellung von Ressourcen für die IT- Sicherheit, Erstellung einer IT- Sicherheitskonzeption inklusive Abwägen von Kosten und Nutzen, Umsetzung der IT-Sicherheitskonzeption durch Realisierung der IT- Sicherheitsmaßnahmen, Einbindung aller Mitarbeiter und Integration der erforderlichen Ressourcen in den IT- Sicherheitsprozess und seine Steuerung und Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung. Quelle: BSI

6 Sicherheitsstrategie Die Gewährleistung von IT-Sicherheit ist eine strategische Aufgabe des Managements. Sie umfasst die Festlegung von Zielen, den Aufbau und die Entwicklung angemessener Organisationsstrukturen und Prozesse sowie die Auswahl konkreter Maßnahmen. Die getroffenen Entscheidungen müssen kontinuierlich überprüft und bei Bedarf an geänderte Bedingungen angepasst werden. Veränderungen der inneren Strukturen einer Institution sind ebenso zu berücksichtigen wie solche in den äußeren Rahmenbedingungen (Gesetze, Verordnungen, Verträge), neuartige Bedrohungsszenarien ebenso wie Weiterentwicklungen der Sicherheitstechnik.

7 Sicherheitsstrategie Die Initiative zum IT- Sicherheitsmanagement muss von der Leitung (des Unternehmens bzw. der Behörde) ausgehen. Sie trägt die volle Verantwortung dafür, dass im Unternehmen gesetzliche Anforderungen und Geschäftsbedingungen eingehalten und interne Regelungen beachtet werden. Bei Verstößen kann sie haftbar gemacht werden. Eine wichtige Maßnahme ist die zentrale Organisation eines für das Unternehmen angemessenen und von einem gemeinsamen Verständnis für die Bedeutung der Aufgabe getragenen IT-Sicherheitsmanagements.

8 Sicherheitsstrategie Die Gewährleistung von IT-Sicherheit ist eine strategische Aufgabe des Managements, welche die Festlegung von Zielen, den Aufbau und die Entwicklung angemessener Organisationsstrukturen und Prozesse sowie die Auswahl konkreter Maßnahmen umfasst. Die getroffenen Entscheidungen müssen kontinuierlich überprüft und bei Bedarf an geänderte Bedingungen angepasst werden, wenn ein bestimmtes IT- Sicherheitsniveau gehalten werden soll. Veränderungen der inneren Strukturen einer Institution (Geschäftsprozesse, Fachaufgaben, organisatorische Gliederung) sind ebenso zu berücksichtigen wie solche in den äußeren Rahmenbedingungen (Gesetze, Verordnungen, Verträge), neuartige Bedrohungsszenarien ebenso wie Weiterentwicklungen der Sicherheitstechnik. Die Initiative zum IT-Sicherheitsmanagement muss von der Leitung (des Unternehmens bzw. der Behörde) ausgehen. Sie trägt die volle Verantwortung dafür, dass im Unternehmen gesetzliche Anforderungen und Geschäftsbedingungen eingehalten und interne Regelungen beachtet werden. Bei Verstößen kann sie haftbar gemacht werden. Beispielsweise sind die Vorstände größerer Kapitalgesellschaften durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) zu einem angemessenen Risikomanagement verpflichtet. Die Leitung wird dementsprechend ein Interesse daran haben, dass auch die Gewährleistung der IT-Sicherheit zur Unternehmenskultur gehört. Und es sollte ihr bewusst sein, dass eigenes vorbildliches Sicherheitsverhalten ein motivierendes Vorbild für die Mitarbeiter ist. Eine wichtige Maßnahme ist die zentrale Organisation eines für das Unternehmen angemessenen und von einem gemeinsamen Verständnis für die Bedeutung der Aufgabe getragenen IT-Sicherheitsmanagements.

9 Lebenszyklus im Sicherheitsprozess Phasen Zyklen (PDCA- Modell) Quelle: BSI Quelle: BSI

10 Aufgaben des Managements Die Leitung des Unternehmens bzw. der Behörde ist sich ihrer Gesamtverantwortung und Vorbildfunktion für die IT-Sicherheit bewusst, vertritt die Sicherheitsziele entschieden und beispielhaft, initiiert, steuert und kontrolliert einen kontinuierlichen Sicherheitsprozess und unterstützt alle delegierten Arbeiten für IT- Sicherheit. Im Unternehmen ist eine eigene Kompetenz für IT-Sicherheit aufzubauen und die Hauptverantwortung für IT-Sicherheitsfragen an eine Person zu delegieren, die auch für eine geeignete Organisationsstruktur für IT-Sicherheit und deren Aufrechterhaltung sorgt. Zum Unternehmen passende IT-Sicherheitsziele und -strategie sind in einer IT-Sicherheitsleitlinie festzuschreiben. Zur Umsetzung und Integration der angestrebten IT-Sicherheit sind die erforderlichen organisatorischen Strukturen aufzubauen, ein IT- Sicherheitskonzept zu erstellen, die Mitarbeiter einzubeziehen und die Ressourcen für IT-Sicherheit wirtschaftlich einzusetzen. Zur Aufrechterhaltung der IT-Sicherheit tragen zielgruppengerechte IT- Sicherheitsrichtlinien ebenso bei wie eine umfassende Dokumentation des IT-Sicherheitsprozesses sowie regelmäßige Statusberichte.

11 Fehler des Managements fehlende persönliche Verantwortung, mangelnde Unterstützung durch die Leitungsebene, unzureichende strategische und konzeptionelle Vorgaben, unzureichende und fehlgeleitete Investitionen, unzureichende Durchsetzbarkeit von Maßnahmenkonzepten und fehlende Aktualisierung im IT- Sicherheitsprozess

12 Rollen IT-Sicherheitsbeauftragter IT-Sicherheitsmanagement-Team Abhängig von der Größe, Beschaffenheit und Struktur einer Institution Ausstattung mit ausreichenden Ressourcen (personell und materiell) Quelle: BSI

13 Sicherheitsbeauftragter Ein IT-Sicherheitsbeauftragter ist für alle IT-Sicherheitsfragen in der Organisation zuständig. Er sollte organisatorisch unabhängig sein und ein unmittelbares Vortragsrecht bei der Unternehmensoder Behördenleitung haben. Es empfiehlt sich daher, diese Funktion als Stabsstelle der Organisationsleitung zuzuordnen.

14 Sicherheitsbeauftragter - Aufgaben den IT-Sicherheitsprozess steuern und koordinieren, die Leitung bei der Erstellung der IT- Sicherheitsleitlinie unterstützen, die Erstellung des IT-Sicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte und System-Sicherheitsrichtlinien koordinieren sowie weitere Richtlinien und Regelungen zur IT-Sicherheit erlassen, den Realisierungsplan für IT-Sicherheitsmaßnahmen erstellen und deren Umsetzung initiieren und überprüfen, dem IT-Sicherheitsmanagement-Team und der Leitungsebene über den Status der IT-Sicherheit berichten, sicherheitsrelevante Projekte koordinieren, sicherheitsrelevante Vorfälle untersuchen und Sensibilisierungs- und Schulungsmaßnahmen zur IT- Sicherheit initiieren und koordinieren.

15 Sicherheitsmanagement-Team In größeren Organisationen wird ein solches Team aus mehreren Zuständigen für IT-Sicherheit gebildet, um den IT- Sicherheitsbeauftragten zu unterstützen. Zuständig ist es für die Regelung sämtlicher übergreifenden Belange der IT- Sicherheit. Es koordiniert, berät und kontrolliert die zugehörigen Analysen, Pläne und Konzepte, Richtlinien, Vorgaben und Kontrollregelungen. In kleineren Institutionen fallen die unterschiedlichen Rollen bis auf wenige Personen (im Extremfall nur den Sicherheitsbeauftragten) zusammen.

16 Sicherheitsmanagement-Team- Aufgaben die IT-Sicherheitsziele und -strategien bestimmen sowie die IT-Sicherheitsleitlinie entwickeln, die Umsetzung der IT-Sicherheitsleitlinie überprüfen, den IT-Sicherheitsprozess initiieren, steuern und kontrollieren, bei der Erstellung des IT-Sicherheitskonzepts mitwirken, überprüfen, ob die im IT-Sicherheitskonzept geplanten IT-Sicherheitsmaßnahmen wie beabsichtigt funktionieren sowie geeignet und wirksam sind, Schulungs- und Sensibilisierungsprogramme für IT-Sicherheit konzipieren sowie den IT-Koordinierungsausschuss und die Leitungsebene in IT-Sicherheitsfragen beraten.

17 Teambildung Quelle: BSI

18 Teambildung am Beispiel Zuerst wird für die Analysen, Konzepte und die Folgearbeiten des IT- Sicherheitsprozesses kurzfristig ein IT-Sicherheitsbeauftragter ernannt. Wegen der für diese Aufgabe notwendigen IT-Kenntnisse, wird hierfür ein Mitarbeiter der Abteilung "Informationstechnik" bestimmt. Danach wird ein zeitlich befristetes Projekt "IT-Sicherheitskonzept" eingerichtet, in dem neben dem IT-Sicherheitsbeauftragten der Datenschutzbeauftragte sowie Zuständige für IT-Anwendungen und IT- Systeme folgende Punkte erarbeiten sollen: Vorschläge und Entscheidungsvorlage für eine IT-Sicherheitsleitlinie, Erstellung einer Übersicht der vorhandenen IT-Systeme, Ausarbeitung der Entscheidungsvorlage des IT-Sicherheitskonzepts und eines Realisierungsplans inklusive Maßnahmen zur Notfallvorsorge und Benutzerinformation, Vorschläge für Maßnahmen zur Aufrechterhaltung der IT-Sicherheit, Dokumentation aller Entscheidungsvorlagen, Entscheidungen und der umgesetzten Maßnahmen des IT-Sicherheitsprozesses. Die Geschäftsführung schließt diese Diskussion damit ab, dass maximal drei Mitarbeiter im Projekt arbeiten sollen: der IT-Sicherheitsbeauftragte, dazu ein Mitarbeiter, der im Vertrieb für die IT-Anwendungen zuständig ist und gleichzeitig Datenschutzbeauftragter ist, und die kaufmännische Geschäftsleitung.

19 Sicherheitsrichtlinie Für ein zentral organisiertes und unternehmensweit gesteuertes IT-Sicherheitsmanagement ist eine IT- Sicherheitsleitlinie die wichtigste Positionierung der Unternehmensleitung zum Stellenwert der IT- Sicherheit, zum anzustrebenden Sicherheitsniveau und zu den verbindlichen Prinzipien der IT- Sicherheit. Deshalb muss die Entwicklung einer Leitlinie von der Geschäftsführung angestoßen und bis zum Ergebnis aktiv unterstützt werden. Möglichst viele Bereiche der Organisation sollten während der Erstellung einbezogen werden, damit die Mitarbeiter später die Vorgaben mittragen. Die IT-Sicherheitsleitlinie soll für alle Mitarbeiter die IT-Sicherheitsziele, die Strategie, die Organisation und die Mittel, mit denen die Ziele verwirklicht werden sollen, verständlich beschreiben.

20 Schritte zur Sicherheitsrichtlinie Quelle: BSI

21 Schritte zur Sicherheitsrichtlinie (im Detail) 1. Verantwortung der Behörden- bzw. Unternehmensleitung Es wird schriftlich festgehalten, dass die Organisationsleitung die Gesamtverantwortung für die IT-Sicherheit hat und in vollem Umfang hinter den in der Sicherheitsleitlinie formulierten Zielen und den daraus abgeleiteten und abzuleitenden Konzepten und Maßnahmen steht. Diese Gesamtverantwortung gilt auch dann, wenn einzelne Aufgaben an bestimmte Mitarbeiter oder Abteilungen delegiert sind. 2. Festlegung des Geltungsbereichs In der IT-Sicherheitsleitlinie wird beschrieben, für welche Bereiche einer Institution sie gelten soll (inklusive der zugehörigen Geschäftsaufgaben und -prozesse). Der Geltungsbereich kann auch das gesamte Unternehmen oder die gesamte Behörde umfassen. 3. Inhalte Folgende Inhalte sollten in der IT-Sicherheitsleitlinie kurz und verständlich beschrieben sein: Stellenwert der IT-Sicherheit und Bedeutung der IT für die Aufgabenerfüllung, Bezug der IT-Sicherheitsziele zu den Geschäftszielen oder Aufgaben der Institution, Sicherheitsziele und die Kernelemente der Sicherheitsstrategie für die eingesetzte IT, Zusicherung, dass die IT-Sicherheitsleitlinie von der Leitung durchgesetzt wird, und zusätzliche Leitaussagen zur Erfolgskontrolle und Beschreibung der für die Umsetzung des IT-Sicherheitsprozesses etablierten Organisationsstruktur. Ergänzt werden kann die Leitlinie durch die Aufzählung relevanter Gefährdungen, die Nennung einzuhaltender gesetzlicher oder vertraglicher Vorgaben, die Beschreibung der Aufgaben der am IT-Sicherheitsprozess beteiligten Personen, die Benennung von Ansprechpartnern sowie Hinweisen auf Schulungs- und Sensibilisierungsmaßnahmen. Die IT-Sicherheitsleitlinie legt fest, welche Wertigkeit IT-Sicherheit in einer Organisation hat. Sie sollte so formuliert sein, dass deutlich wird, warum ein bestimmtes IT-Sicherheitsniveau angestrebt wird (z. B. ein normales, hohes oder sehr hohes). 4. Einberufung einer Entwicklungsgruppe Gibt es im Unternehmen noch kein funktionierendes IT-Sicherheitsmanagement-Team, ist für die Erstellung der IT- Sicherheitsleitlinie eine Entwicklungsgruppe einzuberufen, die später die Funktionen eines solchen Teams weiter ausfüllen kann. In dieser Gruppe sollten neben dem IT-Sicherheitsbeauftragten weitere Mitarbeiter mit Kenntnissen über IT- Sicherheit, Vertreter des IT-Betriebs und der IT-Anwender und zeitweise auch je eine Person aus der Leitung und aus dem Datenschutz einbezogen werden. 5. Bekanntgabe der IT-Sicherheitsleitlinie Es ist Aufgabe der Unternehmensleitung, sich voll hinter die Anforderungen der Leitlinie zu stellen, ihr formell zuzustimmen, sie in Kraft zu setzen und den Mitarbeitern bekannt zu geben. Dazu gehört nicht nur, sie anzukündigen, sondern auch die Mitarbeiter zu ihrer Einhaltung anzuhalten. Alle Mitarbeiter sollten die Aussagen der IT-Sicherheitsleitlinie kennen, Zugang zu der schriftlich fixierten Fassung haben und auf ihren Anteil an Beiträgen zur IT-Sicherheit verpflichtet werden. 6. Aktualisierung der IT-Sicherheitsleitlinie Da sich Geschäftsprozesse und dafür eingesetzte IT ändern, ist regelmäßig (z. B. alle zwei Jahre) sowie bei Bedarf zu prüfen, ob die Aussagen der IT-Sicherheitsleitlinie noch aktuell sind oder an neue Anforderungen angepasst werden müssen. Bei dieser Aktualisierung werden alle zuvor erläuterten fünf Schritte erneut durchlaufen.

22 Aussagen der Sicherheitsrichtlinie Antworten auf folgende Fragen formulieren: Welche Geschäftsvorgänge, Arbeitsvorgänge können ohne funktionierende IT nicht oder nur mit großem Aufwand anders bearbeitet werden? Für welche Geschäftsvorgänge und Unternehmensdaten ist die Einhaltung der IT- Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit wichtig? Welche Informationen, die mittels IT bearbeitet werden, haben korrekt und aktuell zu sein und müssen deshalb besonders geschützt werden? Welche Bedeutung und Folgen könnten von innen oder außen verursachte Sicherheitsvorfälle haben? Was könnten Angriffe auf die IT oder fehlerhafter Umgang mit IT-Systemen und Anwendungen auslösen?

23 Beispiel Für ein Beispielunternehmen sind diese Fragen zur schutzwürdigen IT in einem gesonderten Dokument beantwortet und dazu Sicherheitsziele bestimmt worden, z. B.: Die für das Unternehmen relevanten Gesetze und Vorschriften sowie vertragliche und aufsichtsrechtliche Verpflichtungen müssen eingehalten werden. Ziel ist, die Sicherheit der IT (gleichwertig neben Leistungsfähigkeit und Funktionalität) im Unternehmen aufrechtzuerhalten, so dass die Geschäftsinformationen bei Bedarf verfügbar sind. Ausfälle der IT haben Beeinträchtigungen des Unternehmens zur Folge. Lang andauernde Ausfälle, die zu Terminüberschreitungen von mehr als einem Tag führen, sind nicht tolerierbar. Jeder Mitarbeiter soll im Rahmen seines Umgangs mit IT (als Benutzer, Berater, Geschäftspartner) die erforderliche Integrität und Vertraulichkeit von Informationen sowie Verbindlichkeit und Beweisbarkeit von Geschäftskommunikation gewährleisten und die Richtlinien des Unternehmens einhalten. Unterstützt durch sensibilisierende Schulung und Benutzerbetreuung am Arbeitsplatz soll jeder im Rahmen seiner Möglichkeiten, Sicherheitsvorfälle von innen und außen vermeiden. Erkannte Fehler sind den Zuständigen umgehend zu melden, damit schnellstmöglich Abhilfemaßnahmen eingeleitet werden können. Durch Sicherheitsmängel im Umgang mit IT verursachte Ersatzansprüche, Schadensregulierungen und Image-Schäden müssen verhindert werden. Derartige Aussagen zur Bedeutung der IT und IT-Sicherheitsziele dokumentiert die Entwicklungsgruppe des Beispielunternehmens in ihrer IT-Sicherheitsleitlinie. Zusätzlich hält sie Aussagen zur IT-Sicherheitsstrategie fest, beschreibt also, was unternommen wird, um die Ziele zu erreichen, z. B.: Aus der Entwicklungsgruppe für die IT-Sicherheitsleitlinie soll ein IT-Sicherheitsmanagement-Team aufgebaut werden. Die bisher gesetzten IT-Sicherheitsziele sollen noch verfeinert werden und die einzuhaltenden rechtlichen Anforderungen zusammengetragen werden. Es soll ein IT-Sicherheitskonzept (z. B. gemäß IT-Grundschutz) für das gesamte Unternehmen erstellt werden. Das IT-Sicherheitskonzept soll unter Einbeziehung aller Unternehmensbereiche in einem Jahr umgesetzt werden. Regelmäßige Kontrollen und Aktualisierungen des Konzepts sollen zur Aufrechterhaltung der IT- Sicherheit beitragen. Außerdem werden organisatorische Definitionen und Regelungen in der IT- Sicherheitsleitlinie festgehalten, z. B. welche Verantwortlichkeiten für bestimmte Informationen und Systeme verteilt werden und welche Verpflichtungen damit verknüpft sind, wie die Verwaltung, Nutzung und Kontrolle von Informationen von Unabhängigen überprüft wird und welche Verstöße gegen die IT-Sicherheitsleitlinie sanktioniert werden.

24 Wiederholung 1. Welche Komponenten/Einheiten sind vom Thema IT-Sicherheit betroffen? 2. Welche 3 (Haupt-)Schutzziele verbindet man mit Datensicherheit? 3. Aus welchen Teilaufgaben besteht gemäß BSI Empfehlung das Sicherheitsmanagement? 4. Wie sieht das Kosten-Nutzen (Maß an Sicherheit)-Verhältnis aus? 5. Welche Rollen werden beim Sicherheitsmanagement definiert und müssen besetzt werden?

25 Wiederholung - Antworten 1. Welche Komponenten/Einheiten sind vom Thema IT-Sicherheit betroffen? IT Systeme Organisation Personal räumliche Infrastruktur Arbeitsplätze Betriebsabläufe 2. Welche 3 (Haupt-)Schutzziele verbindet man mit Datensicherheit? Vertraulichkeit Integrität Verfügbarkeit 3. Aus welchen Teilaufgaben besteht gemäß BSI Empfehlung das Sicherheitsmanagement? Initiierung (Management) Konzeption und Planung Aufbau einer IT-Sicherheitsorganisation Erstellung einer IT-Sicherheitskonzeption Umsetzung Einbindung aller Mitarbeiter Aufrechterhaltung 4. Wie sieht das Kosten-Nutzen(Maß an Sicherheit)-Verhältnis aus? 5. Welche Rollen werden beim Sicherheitsmanagement definiert und müssen besetzt werden? Sicherheitsbeauftragter Sicherheitsmanagement-Team

26 Sicherheitskonzept Ein IT-Sicherheitskonzept ist erforderlich, damit die in der IT- Sicherheitsleitlinie vorgegebenen IT- Sicherheitsziele und die IT- Sicherheitsstrategie verfolgt und dazu passende Maßnahmen geplant, umgesetzt und aktualisiert werden können. Das Konzept wird unter den organisatorischen Bedingungen, die in der IT-Sicherheitsleitlinie beschrieben sind, für das anzustrebende IT- Sicherheitsniveau erarbeitet.

27 Teilschritte Auswahl einer Methode zur Risikobewertung Klassifikation von Risiken beziehungsweise Schäden Risikobewertung Entwicklung einer Strategie zur Behandlung von Risiken Auswahl von IT- Sicherheitsmaßnahmen

28 Sicherheitskonzept gemäß IT-Grundschutz- Vorgehensweise Die Leitung hat dem IT- Sicherheitsmanagement- Team den Auftrag zu erteilen, für einen definierten IT-Verbund die Analysen, Bewertungen und Planungen in folgenden Schritten auszuführen und die Ergebnisse zusammenhängend zu dokumentieren. Quelle: BSI

29 Fragen zum Sicherheitskonzept (1) 1. Fragen zur IT-Strukturanalyse Ist irgendwann zuvor für das Unternehmen bereits ein Sicherheitskonzept erstellt oder aktualisiert worden? Ist Ihnen oder anderen Personen das Dokument zugänglich? Gibt es eine aktuelle Beschreibung aller IT- Komponenten, die für die Geschäftsaufgaben des Unternehmens eingesetzt werden? Eine solche Liste erleichtert die IT- Strukturanalyse. Dafür sind ausgehend von einem Netzplan des IT-Verbunds die IT- Systeme und Anwendungen zu erfassen und zu gruppieren, soweit dies sinnvoll ist.

30 Fragen zum Sicherheitskonzept (2) 2. Fragen zur Schutzbedarfsfeststellung Hat jemand im Unternehmen (vielleicht im IT- Service) mögliche Schadensfälle, vorhandene Schwachstellen, vorhandene, geplante und noch fehlende Sicherheitsmaßnahmen bereits zusammengestellt? Wie groß schätzen den maximalen Schaden, wenn die zu untersuchenden IT-Systeme ausfallen (nicht verfügbar sind) oder gegen die Integrität und Vertraulichkeit der Informationen verstoßen wird. Bei der Schutzbedarfsfeststellung ermittelt man, wie wichtig die einzelnen Komponenten der vorhandenen Informationstechnik für das Unternehmen sind, und wie viel Schutz sie folglich benötigen.

31 Fragen zum Sicherheitskonzept (3) 3. Fragen zur IT-Grundschutzanalyse Wie wird eine IT-Grundschutzanalyse durchgeführt? Wie findet man in einer Modellierung die für den betrachteten IT-Verbund passenden Sicherheitsmaßnahmen? Wie werden in einem Basis-Sicherheitscheck die Sicherheitsmaßnahmen überprüft? Ziel ist die Anwendung der IT-Grundschutz- Bausteine auf die konkrete Informationstechnik (Modellierung), die Durchführung und Überprüfung eines Basis-Sicherheitscheck in einem einfachen Soll-Ist-Vergleich und damit, ob die in den Bausteinen empfohlenen Standard-Sicherheitsmaßnahmen hinreichend umgesetzt sind oder nicht.

32 Fragen zum Sicherheitskonzept (4) 4. Fragen zur ergänzenden Sicherheitsanalyse und ergänzenden Risikoanalyse Reichen die Grundschutzmaßnahmen immer aus? Wie wird eine ergänzende Risikoanalyse durchgeführt? Eine ergänzende Sicherheitsanalyse ist nur für IT-Komponenten mit mindestens hohem Schutzbedarf erforderlich oder für solche, für die es keinen angemessenen IT-Grundschutz- Baustein gibt. Es existieren verschiedene Verfahren zur ergänzenden Sicherheitsanalyse und zum Vorgehen bei einer ergänzenden Risikoanalyse nach IT-Grundschutz.

33 Fragen zum Sicherheitskonzept (5) 5. Fragen zur Realisierungsplanung Was ist zu tun, wenn notwendige Sicherheitsmaßnahmen noch nicht umgesetzt sind? Passen die als fehlend ermittelten Maßnahmen stimmig zusammen? In welcher zeitlichen Reihenfolge sind sie umzusetzen? Wer ist dafür verantwortlich? Gibt es Zweifel, ob alle Maßnahmen überhaupt aus dem beschränkten Budget des Unternehmens finanziert werden können?

34 Umsetzung Quelle: BSI

35 Umsetzung Das Sicherheitskonzept muss von der Geschäftsleitung abgenommen werden! Der Realisierungsplan enthält zu jeder umzusetzenden Maßnahme Aussagen zu ihrer Priorität und dem beabsichtigten Umsetzungstermin, außerdem wer für die Umsetzung zuständig ist und welche Ressourcen dafür bereitzustellen sind. Das IT-Sicherheitsmanagement-Team bzw. der IT-Sicherheitsbeauftragte hat mit folgenden Aufgaben für seine Umsetzung zu sorgen: Aufstellen von Regeln für die praktische Anwendung der IT- Sicherheitsmaßnahmen, Empfehlungen zu angemessenen Verhaltensweisen, Auswahl und Einsatz geeigneter Hilfsmittel für die Sicherheitsanwendungen, organisatorische Anpassung von Aufgaben und Arbeitsabläufen, Sensibilisierung, Anleitung und Betreuung der Benutzer, Schulung und Information der Anwender der Sicherheitsmaßnahmen, Dokumentation des IT-Sicherheitsprozesses und Erstellung von Managementreports zur IT-Sicherheit und zur Aufrechterhaltung der IT-Sicherheit die IT- Sicherheitsmaßnahmen auf Funktionalität und Aktualität zu überprüfen und sie ggf. anzupassen und zu korrigieren.

36 Zeitplan Datum Inhalt Einführung, Sicherheitsmanagement Strukturanalyse, Schutzbedarf, Modellierung Schwachstellen, Angriffe Kryptografie und PKI OpenSSL & Prüfungsvorbereitung

37 Sicherheitslücken Sicherheitslücken oder mögliche Gefahren durch Vernachlässigung üblicher Sicherheitsvorschriften Quelle: BSI

38 Kontrollfragen (1) Überlegen Sie bitte zu den folgenden Fragen, welche der zugeordneten Antworten zutrifft und welche nicht. Mehrere Antworten können richtig sein. Frage 1: Was sollte eine IT-Sicherheitsleitlinie enthalten? 1. Die Leitlinie enthält vor allem Verhaltensregeln für die Mitarbeiter. 2. Die Bedeutung der IT-Komponenten und der IT-Sicherheit für das Unternehmen, Sicherheitsziele und eine Strategie zur Erreichung der Ziele. 3. Eine Beschreibung der Sicherheitsverantwortung der Unternehmensleitung. 4. Richtlinien, Regeln und Vorgaben zur Organisation der IT-Sicherheit. 5. Eine Vorschrift zur Sicherheitsüberwachung der Beschäftigten. Korrekte Antworten: 2. Die Bedeutung der IT-Komponenten und der IT-Sicherheit für das Unternehmen, Sicherheitsziele und eine Strategie zur Erreichung der Ziele. 3. Eine Beschreibung der Sicherheitsverantwortung der Unternehmensleitung. 4. Richtlinien, Regeln und Vorgaben zur Organisation der IT-Sicherheit.

39 Kontrollfragen (2) Überlegen Sie bitte zu den folgenden Fragen, welche der zugeordneten Antworten zutrifft und welche nicht. Mehrere Antworten können richtig sein. Frage 2: Wie wird ein IT-Sicherheitsmanagement-Team gebildet? 1. Jeder, der sich für IT-Sicherheit interessiert und sich freiwillig dafür meldet, wird Teammitglied. 2. Die Geschäftsleitung richtet eine Stabsstelle ein, besetzt diese mit einem Sicherheitsbeauftragten und setzt ein Sicherheitsmanagement- Team aus Verantwortlichen für bestimmte IT-Systeme, Anwendungen, Datenschutz und IT-Service zusammen. 3. Der IT-Leiter beauftragt fachkundige Mitarbeiter aus der IT-Abteilung. Korrekte Antworten: 2. Die Geschäftsleitung richtet eine Stabsstelle ein, besetzt diese mit einem IT-Sicherheitsbeauftragten und setzt ein IT- Sicherheitsmanagement-Team aus Verantwortlichen für bestimmte Informationstechnik, Anwendungen, Datenschutz und IT-Service zusammen.

40 Kontrollfragen (3) Überlegen Sie bitte zu den folgenden Fragen, welche der zugeordneten Antworten zutrifft und welche nicht. Mehrere Antworten können richtig sein. Frage 3: Welche Aufgaben eines IT-Sicherheitsmanagements sind besonders wichtig? 1. Es gibt zwei wichtige Aufgaben: Formulieren der Sicherheitsziele und Erarbeiten eines Sicherheitskonzepts. 2. Es müssen vier Verantwortliche verpflichtet werden. Sie müssen die Vorgaben für IT-Sicherheit festlegen. Sie haben herauszufinden, ob IT-Sicherheitsmaßnahmen nicht angewandt werden und IT- Sicherheitsreports fehlen. Sie müssen Aktualisierungen veranlassen. Es sind Investitionen in Sicherheitsmaßnahmen und Sicherheitssysteme zu planen. 3. Zuerst sind Organisation, Verantwortung und Zuständigkeiten festzulegen, dann IT-Sicherheitsziele und eine Sicherheitsleitlinie aufzustellen. Ein IT-Sicherheitskonzept ist zu erarbeiten, das anschließend umzusetzen ist. Korrekte Antworten: 3. Zuerst sind Organisation, Verantwortung und Zuständigkeiten festzulegen, dann IT-Sicherheitsziele und eine IT-Sicherheitsleitlinie aufzustellen. Ein IT-Sicherheitskonzept ist zu erarbeiten, das anschließend umzusetzen ist.

41 Weiterer Zeitplan Datum Inhalt Strukturanalyse, Schutzbedarf Modellierung (hier bleibt Stoff übrig) Schwachstellen Angriffe Ggf. Prof. Schenke; wird geklärt Kryptografie und PKI Anwendungen - OpenSSL

42 Zeitplan Datum Inhalt Einführung, Sicherheitsmanagement Strukturanalyse, Schutzbedarf, Modellierung Schwachstellen, Angriffe Kryptografie und PKI, OpenSSL & Prüfungsvorbereitung

43 2.2 Strukturanalyse Grundlage eines jeden IT- Sicherheitskonzepts ist eine genaue Kenntnis der im festgelegten IT-Verbund vorhandenen Informationstechnik, ihrer organisatorischen und personellen Rahmenbedingungen sowie ihrer Anwendungen. IT-Strukturanalyse bedeutet, die erforderlichen Informationen zusammenzustellen und so aufzubereiten, dass sie die weiteren Schritte bei der IT- Grundschutz-Vorgehensweise unterstützen.

44 Strukturanalyse - Teilschritte Überblick in Form eines Netzplans (welche IT-Systeme werden eingesetzt) die Komplexität dieses Plans verringern (ihn "bereinigen"), indem Sie Komponenten zusammenfassen, für die gleiche oder ähnliche Sicherheitsmaßnahmen angewendet werden können die im Netz vorhandenen und zusätzlich auch die nicht vernetzten IT-Systeme erfassen sowie die wichtigsten mit Hilfe der IT-Systeme genutzten Anwendungen zusammenstellen Quelle: BSI

45 Netzplan Ein Netzplan ist eine graphische Übersicht über die Komponenten eines Netzes und ihre Verbindungen. Im Einzelnen sollte der Plan mindestens die folgenden Objekte enthalten: die in das Netz eingebundenen IT-Systeme; dazu zählen Computer (Clients und Server), Netzdrucker, aktive Netzkomponenten (Hubs, Switches und Router) die Verbindungen zwischen diesen IT-Systemen; LAN-Verbindungen (Ethernet, WLAN), Backbone-Techniken (Ethernet, ATM, VLAN) die Außenverbindungen der IT-Systeme; bei diesen sollte zusätzlich die Art der Verbindung gekennzeichnet sein (z. B. Internet-Anbindung, Remote Access/RAS, VPN) In der Regel hat der IT-Administrator einen solchen Netzplan bereits erstellt (oder begonnen). Ein Netz und die darin eingesetzten Komponenten unterliegen jedoch häufigen Veränderungen, so dass die Aktualität der vorhandenen Pläne nicht unbedingt gewährleistet ist.

46 Netzplan - Beispiel Quelle: BSI

47 Netzplan - Erläuterungen Das Beispiel zeigt den Netzplan unseres fiktiven Beispielunternehmens, der RECPLAST GmbH, einem Unternehmen, das aus Recyclingmaterialien etwa 400 unterschiedliche Kunststoffprodukte produziert und vertreibt. Verwaltung sowie Produktion und Lager der Firma befinden sich in Bonn, allerdings an unterschiedlichen Standorten: Die Geschäftsführung hat zusammen mit den Verwaltungsabteilungen sowie den Abteilungen "Einkauf" und "Marketing und Vertrieb" vor kurzem ein neues Gebäude in Bad Godesberg bezogen, während die Entwicklungsabteilung, Produktion, Material- und Auslieferungslager am ursprünglichen Firmensitz im Stadtteil Beuel verblieben sind. Zusätzlich gibt es Vertriebsbüros in Berlin, Hamburg und München. Wie das Beispiel zeigt, kann man auch nicht vernetzte Komponenten wie Laptops oder Telekommunikationskomponenten in den Netzplan aufnehmen.

48 Bereinigung des Netzplans Reduzieren der Komplexität des Netzplans durch sinnvolle Gruppenbildungen! Generell gilt, dass Sie Komponenten zusammenfassen sollten, die vom gleichen Typ sind, gleich oder nahezu gleich konfiguriert sind, gleich oder nahezu gleich in das Netz eingebunden sind, den gleichen administrativen und infrastrukturellen Rahmenbedingungen unterliegen und die gleichen Anwendungen bedienen In der Regel bieten sich Gruppenbildungen für Clients an. Sie sind aber auch für Server möglich, wenn diese die oben genannten Kriterien erfüllen (dies trifft z. B. auf redundant ausgelegte Server zu). Überlegen Sie sich sorgfältig, welche IT-Systeme Sie zu Gruppen zusammenfassen. Wenn Sie Komponenten zusammenfassen, die unterschiedlichen Schutzbedarf haben, dann können Sicherheitslücken entstehen.

49 Netzplan Bereinigtes Beispiel Quelle: BSI

50 Netzplan Erläuterungen Bereinigung Nachfolgend sehen Sie den bereinigten Netzplan der RECPLAST GmbH. In ihm wurden die folgenden Gruppen gebildet: Die Clients der Abteilungen "Produktion" und "Lager" wurden zusammengefasst, da sie grundsätzlich gleich ausgestattet sind und mit ihnen auf weitgehend identische Datenbestände zugegriffen werden kann. Die drei Vertriebsbüros zeichnen sich durch eine einheitliche IT-Ausstattung, übereinstimmende Aufgaben und Regelungen sowie einer identischen Zugangsmöglichkeit zum Firmennetz aus. Sie lassen sich in gewisser Weise mit häuslichen Telearbeitsplätzen vergleichen. Sie wurden deswegen zu einer Gruppe zusammengefasst. Die nicht vernetzten Komponenten Laptops und Faxgeräte wurden standortübergreifend zu jeweils einer Gruppe zusammengefasst, da für den Umgang mit diesen Geräten übereinstimmende organisatorische Regelungen gelten. Folgende Clients sollten nicht zusammengefasst werden: Bei den Rechnern der Geschäftsführung kann man von einem höheren Schutzbedarf ausgehen, z. B. könnte auf ihnen besonders vertrauliche Korrespondenz gespeichert sein. Die größere Sensibilität der Daten ist auch ein Grund dafür, die Rechner der Entwicklungsabteilung gesondert zu erfassen. Auf ihnen befinden sich Konstruktionspläne und unter Umständen kundenspezifische Entwicklungen und Verfahrensbeschreibungen, die z. B. vor Wirtschaftsspionage und damit möglichen gravierenden wirtschaftlichen Folgen für die Firma zu schützen sind. Eine hohe Vertraulichkeit besitzen ferner auch die Daten, die in der Personalabteilung bearbeitet werden, sowie die Daten der Finanz- und Lohnbuchhaltung. Auf den Rechnern der IT-Administratoren laufen Anwendungen, die für die Verwaltung des Netzes erforderlich sind. Von daher verlangen auch diese IT- Systeme eine besondere Aufmerksamkeit.

51 Netzplan mit Microsoft Visio

52 Erhebung der IT-Systeme Bei der Erhebung der IT-Systeme werden die vorhandenen und geplanten IT-Systeme des IT-Verbunds und die sie jeweils charakterisierenden Angaben zusammengestellt (tabellarische Darstellung). Was zählt zu den IT-Systemen? alle im Netz vorhandenen Computer (Clients und Server), Gruppen von Computern und aktiven Netzkomponenten, Netzdrucker, nicht vernetzte (im LAN) Computer wie Internet PCs und Laptops, Telekommunikationskomponenten wie TK-Anlagen, Faxgeräte, Mobiltelefone und Anrufbeantworter (auch für diese Geräte finden Sie IT-Grundschutz-Bausteine!). Welche Angaben sind für IT-Systeme erforderlich? eindeutige Bezeichnung, Beschreibung (Einsatzzweck und den Typ, z. B. "Server für Personalverwaltung", "Router zum Internet"), Plattform (Hardwaretyp, Betriebssystem), Standort (Gebäude und Raumnummer), bei Gruppen: Anzahl der zusammengefassten IT-Systeme, Status (in Betrieb, im Test, in Planung) Benutzer und Administrator.

53 IT-Systeme - Beispiel

54 IT-Anwendungen Was sind IT-Anwendungen? Bei der Erfassung der IT-Anwendungen muss/soll nicht jedes einzelne eingesetzte Programm aufgenommen werden. Es ist ausreichend, die fachlichen Aufgaben (z. B. "Textverarbeitung") zu erfassen, die mit Hilfe von Informationstechnik erledigt werden. Auch hier können Sie Anwendungen zusammenfassen (z. B. unter dem Begriff "Office-Anwendungen" die Programme für Textverarbeitung, Tabellenkalkulation und Präsentationserstellung). Sofern diese einen besonderen Schutzbedarf haben, sollten jedoch auch einzelne Programme erfasst werden.

55 Erhebung der IT-Anwendungen Welche IT-Anwendungen sollten Sie erfassen? Eine vollständige Liste aller Anwendungen ist im Allgemeinen nicht erforderlich. Konzentration auf die wichtigsten Anwendungen, deren Daten, Informationen und Programme den höchsten Bedarf an Geheimhaltung (Vertraulichkeit) haben, deren Daten, Informationen und Programme den höchsten Bedarf an Korrektheit und Unverfälschtheit (Integrität) haben oder die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben. Für eine angemessene Auswahl der Anwendungen sollten Auskünfte der Benutzer und der fachlich Verantwortlichen einbezogen werden. Anwendungen, in denen personenbezogene vertrauliche Daten verarbeitet werden und Anwendungen wie oder Recherche im Internet, die über ein externes, unsicheres Netz laufen, sollten immer erfasst; ebenso alle Anwendungen, die wichtig sind für die Durchführung des Geschäftsprozesses, wie die Auftrags- und Kundenverarbeitung. Die Auswahl der maßgeblichen Anwendungen wird erleichtert, wenn man sich in der Erfassungsreihenfolge an den IT-Systemen orientiert: Zunächst IT-Anwendungen, die von den zentralen Komponenten (Server, TK- Anlagen) unterstützt werden, anschließend Clients und sonstigen IT-Systeme.

56 Angaben bei der Erhebung Welche Angaben sind für die IT-Anwendungen erforderlich? Die Bedeutung, die ein IT-System für eine Organisation hat, hängt von den Anwendungen ab, für deren Ausführung das betreffende IT-System erforderlich ist. Erfassung der IT-Anwendungen: Beschreiben, welche Fachaufgabe die Anwendung erfüllt, für jede Anwendung die IT-Systeme angeben, die für deren Ausführung nötig sind Abhängigkeiten (dazu gehören sowohl die Systeme, auf denen die IT-Anwendungen laufen, als auch die Systeme, die Daten von und zu der jeweiligen Anwendung übertragen), vermerken, ob die Anwendung personenbezogene Daten speichert oder verarbeitet (zur Unterstützung des Datenschutzbeauftragten und zur Vermeidung doppelter Auflistungen der kritischen Anwendungen), Zusätzlich sollten die Anwendungen durchnummeriert werden und jede Anwendung eine eindeutige Bezeichnung erhalten, um spätere Referenzierungen zu vereinfachen. Oft ist es sinnvoll, zusätzlich Abhängigkeiten zwischen den Anwendungen zu erfassen (z. B. dass eine Anwendung eine funktionierende SQL-Server-Installation voraussetzt).

57 IT-Anwendungen - Beispiel Zuordnung zu IT-Systemen Zuordnung zu Netz- und den Telekommunikationskomponenten

58 Kontrollfragen (1) Frage 1: Kann man alle Clients, auf denen die gleichen Anwendungen laufen, im bereinigten Netzplan zusammenfassen? Begründen Sie Ihre Meinung. Clients mit gleichen Anwendungen kann man nur dann zusammenfassen, wenn sie auch das gleiche Betriebssystem benutzen, im gleichen Netzsegment angesiedelt sind und annähernd gleich konfiguriert sind. Frage 2: Welche Arten von Geräten müssen Sie bei der Erhebung der IT-Systeme erfassen? Bei der Erhebung der IT-Systeme erfassen Sie alle Computer, z. B. Server, Clients, Laptops und solche an Telearbeitsplätzen, die aktiven Netzkomponenten wie Switches, Hubs, Router, Firewall-Rechner, Modems und Netzdrucker sowie die Telekommunikationskomponenten wie TK-Anlagen und Faxgeräte. Frage 3: Welche Informationen sollten Sie bei Erhebung der IT-Anwendungen mindestens dokumentieren? Bei der Erhebung der IT-Anwendungen sind erforderlich: eine eindeutige Bezeichnung, die Beschreibung der damit erfüllten Fachaufgabe, die Angabe, ob personenbezogene Daten verarbeitet werden oder nicht, die Zuordnung der IT-Systeme, die für die Ausführung der Anwendung nötig sind.

59 Kontrollfragen (2) Frage 4: Welche der folgenden Beispiele sind IT-Anwendungen? 1. WWW-Recherche, 2. Textverarbeitung, 3. Personaldatenbearbeitung, 4. Tabellenkalkulation, 5. Druckservice. Alle Antworten sind richtig. Frage 5: Welche IT-Anwendungen sollten Sie erfassen? 1. Alle IT-Anwendungen, da sonst Sicherheitslücken entstehen könnten. 2. Nur die Anwendungen, die den höchsten Grad an Vertraulichkeit, Integrität oder Verfügbarkeit haben. Die Antwort 2. ist richtig. Frage 6: Die IT-Grundschutz-Kataloge enthalten Bausteine für eine Vielzahl an typischen IT-Systemen. Welcher der folgenden Aussagen würden Sie zustimmen? 1. Bei der Erfassung der IT-Systeme erfassen Sie nur diejenigen Systeme, für die ein Baustein vorhanden ist? 2. Bei der Erfassung der IT-Systeme erfassen Sie auch IT-Systeme, für die kein Baustein vorhanden ist. Die Antwort 2. ist richtig.

60 2.3 Schutzbedarfsfeststellung Ziel der Schutzbedarfsfeststellung ist es, die Auswahl angemessener Sicherheitsmaßnahmen für die verschiedenen Komponenten Ihrer Informationstechnik (IT- Systeme, Anwendungen, Räume, Kommunikationsverbindungen) zu steuern. Die Schutzbedarfsfeststellung sensibilisiert das Unternehmen in Bezug auf IT-Sicherheit, schafft eine einheitliche Sicherheitsdefinition und ein abgestimmtes Sicherheitsverständnis, erleichtert die Auswahl der IT-Grundschutz-Maßnahmen und identifiziert Komponenten, für die eventuell höherwertige Maßnahmen erforderlich sind. Die Entscheidungen zur Schutzbedarfsfeststellung sollten nachvollziehbar dokumentiert werden und die Zustimmung aller Beteiligten finden, insbesondere auch des Managements.

61 Schutzbedarfsfeststellung - Fragen Wie viel Schutz benötigt Ihre Informationstechnik und die durch diese unterstützten Anwendungen? Wie kommen Sie zu begründeten und nachvollziehbaren Einschätzungen des Schutzbedarfs? Welche Komponenten Ihrer Informationstechnik benötigen mehr Sicherheit, bei welchen genügen elementare Schutzmaßnahmen?

62 Schutzbedarfsfeststellung - Aktivitäten Zur Schutzbedarfsfeststellung gehören die folgenden Aktivitäten: 1. die auf Ihre Organisation zugeschnittene Definition von Schutzbedarfskategorien (z. B. "normal", "hoch", "sehr hoch"), 2. die Schutzbedarfsfeststellung der in der IT- Strukturanalyse erfassten Anwendungen mit Hilfe der festgelegten Kategorien, 3. die Ableitung des Schutzbedarfs der IT-Systeme aus dem Schutzbedarf der Anwendungen, 4. daraus abgeleitet die Feststellung des Schutzbedarfs der Kommunikationsverbindungen und ITgenutzten Räume sowie 5. die Dokumentation und Auswertung der vorgenommenen Einschätzungen.

63 Aktivitäten bebildert Quelle: BSI

64 Kategorien Der Schutzbedarf der IT-Komponenten orientiert sich an den möglichen Schäden, die durch Beeinträchtigungen ihrer Funktionsweise entstehen können. Da die Höhe des Schadens häufig nicht genau bestimmt werden kann, wird eine für Ihren Anwendungszweck passende Anzahl von Kategorien definiert, anhand derer sich der Schutzbedarf unterscheiden lässt. Die IT-Grundschutz-Vorgehensweise empfiehlt drei Schutzbedarfskategorien: normal: Die Schadensauswirkungen sind begrenzt und überschaubar. hoch: Die Schadensauswirkungen können beträchtlich sein. sehr hoch: Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

65 Kategorien - Grundwerte Bei der Schutzbedarfsfeststellung ist danach zu fragen, welcher Schaden entstehen kann, wenn die Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit eines Objekts verletzt werden, wenn also vertrauliche Daten unberechtigt zur Kenntnis genommen oder weitergegeben werden (Verletzung der Vertraulichkeit), die Korrektheit der Daten und der Funktionsweise von Systemen nicht mehr gegeben ist (Verletzung der Integrität), autorisierte Benutzer am Zugriff auf Daten und Systeme behindert werden (Verletzung der Verfügbarkeit).

66 Schadensszenarien Der Schaden, der von einer Verletzung der Grundwerte ausgehen kann, kann sich auf verschiedene Schadensszenarien beziehen: Verstöße gegen Gesetze, Vorschriften oder Verträge, Beeinträchtigungen des informationellen Selbstbestimmungsrechts, Beeinträchtigungen der persönlichen Unversehrtheit, Beeinträchtigungen der Aufgabenerfüllung, negative Außenwirkung oder finanzielle Auswirkungen.

67 Schadensszenarien - Beispiel Ein Schadensfall kann mehr als ein Szenario betreffen. Wenn beispielsweise Bestelldaten in der Datenbank des Unternehmens zerstört wurden und nicht wiederhergestellt werden können, drohen folgende Schadensszenarien: eingegangene Bestellungen können nicht bearbeitet werden (Beeinträchtigung der Aufgabenerfüllung), Verpflichtungen gegenüber den Kunden können nicht eingehalten werden (Verstoß gegen Verträge), beträchtliche Einnahmeausfälle für das Unternehmen (finanzielle Auswirkungen) und Ansehensverlust bei den Kunden (negative Außenwirkung). "Was wäre wenn...?"-fragen

68 Kategorien - Beispiel Für das Beispielunternehmen wurde bezüglich der Schadensszenarien "finanzielle Auswirkungen" und "Beeinträchtigung der Aufgabenerledigung" folgendes festgelegt (abhängig vom Unternehmen!): Normaler Schutzbedarf: "Der finanzielle Schaden ist kleiner als Euro." "Die Abläufe im Unternehmen werden allenfalls unerheblich beeinträchtigt. Ausfallzeiten von mehr als 24 Stunden können hingenommen werden." Hoher Schutzbedarf: "Der mögliche finanzielle Schaden liegt zwischen und Euro." "Die Abläufe im Unternehmen werden erheblich beeinträchtigt. Ausfallzeiten dürfen maximal 24 Stunden betragen." Sehr hoher Schutzbedarf: "Der mögliche finanzielle Schaden beträgt mehr als Euro." "Die Abläufe im Unternehmen werden so stark beeinträchtigt, dass Ausfallzeiten, die über 2 Stunden hinausgehen, nicht toleriert werden können."

69 Schutzbedarfsfeststellung Beispiel Anwendungen

70 Schutzbedarfsfeststellung - Systeme Der Schutzbedarf eines IT-Systems hängt im Wesentlichen von dem Schutzbedarf derjenigen Anwendungen ab, für deren Ausführung es benötigt wird. Der Schutzbedarf der Anwendung vererbt sich auf den Schutzbedarf des IT-Systems. Bei der Vererbung lassen sich folgende Fälle unterscheiden: In vielen Fällen lässt sich der höchste Schutzbedarf aller Anwendungen, die das IT-System benötigen, übernehmen (Maximumprinzip). Der Schutzbedarf des IT-Systems kann höher sein als der Schutzbedarf der einzelnen Anwendungen (Kumulationseffekt). Dies ist z. B. dann der Fall, wenn auf einem Server mehrere Anwendungen mit mittlerem Schutzbedarf in Betrieb sind. Der Schutzbedarf kann niedriger sein als der Schutzbedarf der zugeordneten Anwendungen, wenn eine Anwendung mit hohem Schutzbedarf auf mehrere Systeme verteilt ist, und auf dem betreffenden IT-System nur weniger wichtige Teile dieser Anwendung ausgeführt werden (Verteilungseffekt). Bei Anwendungen, die personenbezogene Daten verarbeiten, sind z. B. Komponenten, in denen die Daten nur in pseudonymisierter Form verwendet werden, weniger kritisch.

71 Schutzbedarfsfeststellung Beispiel Systeme

72 Schutzbedarfsfeststellung - Kommunikationsverbindungen Kritische Verbindungen: Verbindungen, die aus dem Unternehmen in ein öffentliches Netz (z. B. Telefonnetz, Internet) oder über ein öffentliches Gelände reichen: Einfallstor für Computer-Viren und trojanische Pferde Ausfallstor für vertrauliche Daten Verbindungen, über die besonders schützenswerte Informationen übertragen werden. Mögliche Gefährdungen: Abhören vorsätzliche Manipulation Missbrauch Vom Ausfall solcher Verbindungen sind Anwendungen, für die eine hohe Verfügbarkeit erforderlich ist, besonders betroffen. Verbindungen, über die vertrauliche Informationen nicht übertragen werden dürfen: Personaldaten Zugang nur für Mitarbeiter der Personalabteilung und der Geschäftsführung In der Dokumentation sollten die kritischen Verbindungen durch Hervorhebung im Netzplan oder eine tabellarische Zusammenstellung gesondert ausgewiesen werden.

73 Schutzbedarfsfeststellung - Beispiel Kritische Verbindungen

74 Kritische Verbindungen - Beispiel Die markierten kritischen Verbindungen sind zusätzlich mit Ziffern versehen. Bedeutung: 1: kritisch aufgrund Außenverbindung, 2: kritisch aufgrund hoher Vertraulichkeit, 3: kritisch aufgrund hoher Integritätsanforderungen, 4: kritisch aufgrund hoher Verfügbarkeitsanforderungen, 5: nicht übertragen werden dürfen Informationen mit hoher Vertraulichkeit, 6: nicht übertragen werden dürfen Informationen mit hohen Integritätsanforderungen, 7: nicht übertragen werden dürfen Informationen mit hohen Verfügbarkeitsanforderungen.

75 Schutzbedarfsfeststellung - Räume Bei der Schutzbedarfsfeststellung für Räume müssen alle Räume berücksichtigt werden, die zum Betrieb von IT- Systemen dienen. Dazu zählen Serverräume, Räume für technische Infrastruktur (z. B.TK- Anlagen) sowie alle weiteren Räume, in denen IT-Systeme benutzt werden (z. B. Büroräume). Bei der Erhebung der Räume sind auch Schutzschränke für das Datenträgerarchiv, Server, Router oder andere IT- Geräte zu erfassen. Der Schutzbedarf eines Raumes bemisst sich nach dem Schutzbedarf der IT-Systeme, die sich in diesem Raum befinden. Auch hier kann (wie schon bei der Schutzbedarfsfeststellung der IT-Systeme) wieder im Allgemeinen das Maximumprinzip Anwendung finden. Befinden sich jedoch in einem Raum mehrere Systeme, dann kann sich für den Raum ein höherer Schutzbedarf als für jedes einzelne IT-System ergeben (Kumulationseffekt), z. B. für Serverräume.

76 Schutzbedarfsfeststellung - Beispiel Räume

77 Abstimmung Schutzbedarfskategorien sollten abgestimmt werden mit: Geschäftsleitung (Abschätzung finanzieller Schäden) Datenschutzbeauftragten (Umgang mit vertraulichen Daten) Schutzbedarfsfeststellungen von der Geschäftsleitung bestätigen lassen. Geschäftsführung kommt ferner auch eine entscheidende Rolle zu, falls in den Beratungen des Sicherheitsmanagement-Teams unterschiedliche Ansichten zum Schutzbedarf einzelner Komponenten entstanden sind. detaillierte und plausible Begründungen leichter für die Leitung nachvollziehbar. Abweichungen nach oben oder unten, die von der Geschäftsführung vorgenommen werden, schriftlich bestätigen lassen, damit bei höheren Kosten oder evtl. auftretenden Schadensfällen darauf verwiesen werden kann.

78 Abstimmung Die Schutzbedarfskategorien sollten Sie mit der Geschäftsleitung besprechen, bevor Sie die Schutzbedarfsfeststellungen für die einzelnen Komponenten Ihrer Informationstechnik vornehmen. Häufig kann auch nur diese entscheiden, bis zu welchen finanziellen Verlusten nur ein geringer bis mittlerer Schaden und ab welchen Verlusten ein hoher oder sehr hoher Schaden anzunehmen ist. Bei einigen Aspekten der Definition der Schutzbedarfskategorien, insbesondere bei der Berücksichtigung der rechtlichen Regelungen beim Umgang mit vertraulichen Daten sollten Sie auch den Datenschutzbeauftragten einbeziehen. Er kann sicher wertvolle Hinweise über die Folgen von fahrlässigem Umgang mit vertraulichen Daten geben. Die Schutzbedarfsfeststellungen für die einzelnen IT-Komponenten sind die Grundlage für die auszuwählenden Sicherheitsmaßnahmen. Damit die erforderlichen Maßnahmen von der Geschäftsführung unterstützt werden, sollten Sie sich auch die Ergebnisse der Schutzbedarfsfeststellung von der Geschäftsleitung bestätigen lassen. Der Geschäftsführung kommt ferner auch eine entscheidende Rolle zu, falls in den Beratungen des Sicherheitsmanagement-Teams unterschiedliche Ansichten zum Schutzbedarf einzelner Komponenten entstanden sind. Je detaillierter und plausibler Ihre Begründungen sind, desto leichter sind sie auch für die Leitung nachvollziehbar. Wenn Sie - wie empfohlen - auch die Bedeutung einer Fachaufgabe für den Geschäftsprozess erfasst haben, sollte auch dieser Punkt mit der Geschäftsleitung diskutiert werden. Laufen auf einem IT-System mehrere Anwendungen mit nur normalem Schutzbedarf und zusätzlich eine oder wenige mit hohem Schutzbedarf, so können Sie auch überlegen, die hochschutzbedürftigen Anwendungen auf ein anderes System zu bringen. Eine solche Entscheidung sollte jedoch von der Geschäftsleitung getragen sein. Abweichungen nach oben oder unten, die von der Geschäftsführung vorgenommen werden, lassen Sie sich am besten schriftlich bestätigen, damit Sie bei höheren Kosten oder evtl. auftretenden Schadensfällen darauf verweisen können.

79 Kontrollfragen (1) Frage 1: Warum müssen Sie den Schutzbedarf für die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit getrennt bestimmen? Die Maßnahmen zum Schutz der Grundwerte können verschieden sein, z. B. kann zum Schutz der Verfügbarkeit der Einsatz eines Spiegelservers sinnvoll sein, während zum Schutz vertraulicher Daten eine Zugriffsregelung erforderlich ist. Frage 2: Bei der Beispielfirma gibt es eine Anwendung "Personaldatenverarbeitung", unter anderem für die Lohn- und Gehaltsabrechnung sowie die Reisekostenabrechnung. Bestimmen Sie den Schutzbedarf dieser Anwendung für die drei Schutzwerte Vertraulichkeit, Integrität und Verfügbarkeit. Begründen Sie bitte diese Einschätzung.

80 Kontrollfragen (2) Frage 3: Auf die Anwendung A1 "Personaldatenverarbeitung" (siehe Tabelle Schutzbedarfsfeststellung Beispiel Anwendungen ) können vier Mitarbeiter von Windows 2000 Clients aus zugreifen. Die Personaldaten sind auf einem Windows 2000 Server gespeichert. Die Rechner der Mitarbeiter sind über einen eigenen Switch mit dem Server verbunden. Bestimmen Sie den Schutzbedarf der für die Anwendung "Personaldatenverarbeitung" verwendeten IT-Systeme! Der Schutzbedarf der verwendeten IT-Systeme kann aus dem Schutzbedarf der Anwendung A1 abgeleitet werden. Da der Schutzbedarf dieser Anwendung in Bezug auf den Grundwert Vertraulichkeit hoch ist, ist auch der Schutzbedarf für den Server S5 und die Clients C3 in Bezug auf diesen Grundwert hoch. Als Schutzbedarf hinsichtlich der beiden anderen Grundwerte wird für die beteiligten IT-Systeme ebenfalls der Schutzbedarf der Anwendung übernommen.

81 Kontrollfragen (3) Frage 4: Unter welchen Bedingungen kann der Schutzbedarf der IT-Systeme größer sein als der der IT-Anwendungen, die auf ihnen laufen? Der Schutzbedarf der IT-Systeme kann dann höher sein als der höchste Schutzbedarf der auf ihm laufenden IT-Anwendungen, wenn bei Ausfall oder inkorrekten Daten mehrere Anwendungen geringeren Schaden herbeiführen können, der Schaden sich jedoch durch die Summe der betroffenen Anwendungen erhöht (Kumulationseffekt). Frage 5: Unter welchen Voraussetzungen kann der Schutzbedarf der IT- Systeme geringer sein als der der Anwendungen, die auf ihnen laufen? Der Schutzbedarf kann dann geringer sein, wenn nur einige weniger bedeutende Teile von Anwendungen mit hohem Schutzbedarf auf diesem IT-System laufen (Verteilungseffekt).

82 2.4 Modellierung Bei der Modellierung bildet man den IT-Verbund und seine einzelnen Komponenten mit Hilfe von Bausteinen nach. Das Ergebnis ist ein IT- Grundschutz-Modell. Quelle: BSI Identifikation von Bausteinen für typische IT- Komponenten wie " ", "Windows Client", "Firewall", "Serverraum" oder "IT- Sicherheitsmanagement BSI stellt umfangreiche Bausteine bereit (Grundschutz-Kataloge) Dieses Modell können Sie für die bestehenden Teile Ihrer Informationstechnik als Prüfplan verwenden und für geplante Teile als Entwicklungskonzept.

83 Modellierung Lego-Prinzip Bei der Modellierung wählt man diejenigen IT-Grundschutz- Bausteine aus, die für die Sicherheit Ihrer Informationstechnik benötigt werden. Es gibt Pflichtbausteine, die immer angewendet werden müssen, und Baustein, die nur ausgewählt werden müssen, wenn spezielle Bedingungen vorliegen. Ziel der Modellierung ist eine möglichst vollständige Abbildung des betrachteten IT-Verbunds auf die Bausteine der IT-Grundschutz- Kataloge. Quelle: BSI

84 Bausteine Den Kern der IT-Grundschutz-Kataloge bilden die Bausteine (Dokumente B ), über die sich die relevanten Gefährdungen (Dokumente G ) und Maßnahmen (Dokumente M ) erschließen. Alle Bausteine sind gleichartig gegliedert: Kurzbeschreibung Jeder Baustein beginnt mit einer kurzen Beschreibung und Abgrenzung des betrachteten Gegenstands. Gefährdungslage Dieser Abschnitt zeigt auf, welchen Gefährdungen die im Baustein beschriebenen Objekte ausgesetzt sein können. Die Gefährdungslage wird pauschal betrachtet, also ohne Berücksichtigung von Eintrittswahrscheinlichkeiten. Die Gefährdungen werden als Referenzen auf ihre ausführliche Beschreibung in den Gefährdungskatalogen angeführt und sind gegliedert in die möglichen Ursachen "Höhere Gewalt", "Organisatorische Mängel", "Menschliche Fehlhandlungen", "Technisches Versagen" und "Vorsätzliche Handlungen". Maßnahmenempfehlungen Danach folgen die Maßnahmenempfehlungen, die mit kurzen Erläuterungen zum jeweiligen Maßnahmenbündel eingeleitet werden, z. B. Hinweisen zu einer sinnvollen Umsetzungsreihenfolge. Die Maßnahmen sind als Referenzen auf die ausführliche Beschreibung in den Maßnahmenkatalogen angeführt und in Anlehnung an ein Lebenszyklusmodell gegliedert in die Rubriken "Planung und Konzeption", "Beschaffung", "Umsetzung", "Betrieb", "Aussonderung" und "Notfallvorsorge".

85 Schichtenmodell Die Bausteine sind in den IT-Grundschutz-Katalogen in fünf Schichten gruppiert: Übergreifende Aspekte: Die hier zugeordneten Bausteine betreffen grundsätzliche organisatorische Aspekte der IT-Sicherheit und gelten in der Regel für den gesamten IT- Verbund. Dazu gehören die Bausteine B 1.0 IT- Sicherheitsmanagement, B 1.1 Organisation und B 1.4 Datensicherungskonzept. Infrastruktur: Diese Bausteine (z. B. B 2.1 Gebäude oder B 2.4 Serverraum) behandeln die baulich-technische Fragen und dienen insbesondere dem physischen Schutz etwa vor Feuer, Wasser oder Diebstahl. IT-Systeme: Diese Bausteine beschreiben die Sicherheitsaspekte von IT-Systemen (z. B. B Allgemeiner Server oder B Allgemeiner Client). Netze: Hier finden Sie Bausteine für Netzaspekte (z. B. B 4.1 Heterogene Netze, B 4.2 Netz- und Systemmanagement). IT-Anwendungen: Zur Sicherheit ausgewählter Anwendungen gibt es hier Bausteine (B 5.3 E- Mail, B 5.7 Datenbanken, B 5.8 Telearbeit).

86 Schichten und Zuständigkeiten Quelle: BSI Vorzüge des Schichtenmodells Die Komplexität der Darstellung wird durch eine sinnvolle Aufteilung der Einzelaspekte, z. B. organisatorische Bedingungen, infrastrukturelle Gegebenheiten und Besonderheiten der technischen Systeme, reduziert. Da übergeordnete Aspekte und gemeinsame infrastrukturelle Fragestellungen getrennt von den IT-Systemen betrachtet werden, werden Redundanzen vermieden, weil diese Aspekte nur einmal bearbeitet werden müssen und nicht wiederholt für jedes IT-System. Aufgrund der Aufteilung der Sicherheitsaspekte in Schichten können Einzelaspekte in den IT-Sicherheitskonzepten leichter aktualisiert und erweitert werden, ohne dass andere Schichten umfangreich tangiert werden. Die einzelnen Schichten sind so gewählt, dass auch die Zuständigkeiten für die betrachteten Aspekte gebündelt sind. Schicht 1 betrifft Grundsatzfragen des IT-Einsatzes, damit in erster Linie die Unternehmensleitung und das IT- Sicherheitsmanagement, Schicht 2 den Bereich Haustechnik, Schicht 3 die Ebene der Administratoren und IT-Nutzer, Schicht 4 die Netz- und Systemadministratoren und Schicht 5 schließlich die IT- Anwendungsverantwortlichen und -betreiber.

87 Schichten und Zuständigkeiten Vorzüge des Schichtenmodells Die Gewährleistung der IT-Sicherheit ist eine komplexe Aufgabe, bei der viele Abhängigkeiten und Einflussfaktoren zu berücksichtigen sind. Die Sicherheit einer Anwendung hängt beispielsweise ab von den besonderen Merkmalen der Anwendung selber (Welche Risiken ergeben sich durch die Anwendung? Welche Schutzvorkehrungen sind in sie integriert?), von den Merkmalen und Sicherheitsmechanismen des Rechners, mit dem sie genutzt wird (Welche Schwachstellen hat das Betriebssystem? Wie sieht eine sichere Konfiguration aus?), von der baulichen und räumlichen Umgebung des Rechners (Wie gut ist der Zugang zum Rechner geschützt? Wie anfällig ist er gegen Gefährdungen durch Feuer oder Wasser?), von den Sicherheitsmerkmalen des Netzes, in das er eingebunden ist (Sind unerlaubte Zugriffe über das Netz möglich? Wie geschützt sind die Daten bei ihrer Übertragung?) sowie von den organisatorischen Regelungen und Bedingungen, die für den Einsatz der Informationstechnik gelten. Wollte man alle diese Abhängigkeiten in einem Sicherheitskonzept für jede IT-Komponente einzeln berücksichtigen, käme man zu umfangreichen und kaum handhabbaren Konzepten. Das Schichtenmodell soll diese Komplexität überschaubar machen und zu übersichtlichen IT-Sicherheitskonzepten führen.

88 Schicht 1: Übergreifende Aspekte Die in dieser Schicht beschriebenen übergreifenden Aspekte haben die Besonderheit, dass die vorgeschlagenen Konzepte und Regelungen für den ganzen IT-Verbund einheitlich gelten sollten und daher meistens nur einmal angewendet werden müssen. Beispiele: B 1.0 IT-Sicherheitsmanagement, B1.1 Organisation oder B 1.13 Sicherheitssensibilisierung und Schulung. Die Bausteine B 1.3 Notfallvorsorge-Konzept und B1.8 Behandlung von Sicherheitsvorfällen werden insbesondere für die IT-Komponenten mit hohem oder sehr hohem Schutzbedarf hinzugezogen (z. B. Verfügbarkeit des Kommunikationsservers). Der Baustein B 1.7 Kryptokonzept ist zumindest dann anzuwenden, wenn in der Schutzbedarfsfeststellung Komponenten identifiziert wurden, die einen hohen oder sehr hohen Schutzbedarf in Bezug auf Vertraulichkeit oder Integrität haben, oder wenn bereits kryptographische Verfahren im Einsatz sind. Mögliche Einsatzfelder für Verschlüsselung sind im Beispielunternehmen der Austausch von s mit sensiblen Inhalten zwischen den Vertriebsbüros und der Verwaltung oder die Verschlüsselung geheimer Geschäftsdaten.

89 Schichte 2: Infrastruktur Während die Bausteine der Schicht 1 in der Regel für einen IT- Verbund nur einmal anzuwenden sind, sind die Bausteine der Schicht Infrastruktur differenzierter zu betrachten: Der Baustein B2.1 Gebäudesollte immer dann gesondert für jedes Gebäude eines IT-Verbunds angewandt werden, wenn sich die Gebäude in wesentlichen Merkmalen unterscheiden. Zum Beispiel unterscheiden sich Verwaltungs- und Produktionsgebäude in ihrer Struktur und in den dort erledigten Arbeiten so sehr, dass sie auch bezüglich IT-Sicherheit gesondert betrachtet werden sollten. Außerdem muss der Baustein B 2.2 Verkabelung sowohl für das Verwaltungs- als auch das Produktionsgebäude zusätzlich zum Baustein B2.1 Gebäudegesondert betrachtet werden. Die IT-Grundschutz-Kataloge enthalten Bausteine für unterschiedliche Arten von Räumen: Büroraum, Serverraum, Raum für technische Infrastruktur sowie Besprechungs-, Veranstaltungs- und Schulungsräume. Dabei wird davon ausgegangen, dass die in den jeweiligen Räumen untergebrachte Informationstechnik einen unterschiedlichen Schutzbedarf hat und dementsprechend angepasste Sicherheitsvorkehrungen erforderlich sind. Die Bausteine zu den IT-genutzten Räumen wie B 2.3 Büroraum oder B 2.4 Serverraum erfordern immer eine Anwendung des Bausteins B2.1 Gebäude, in dem wesentliche Informationen zur Umsetzung stehen, die in den speziellen Bausteinen wie Büro- oder Serverraum nur um weitere Maßnahmen ergänzt werden.

90 Schicht 3: IT-Systeme Die Bausteine der Schicht 3 sind für jedes IT-System oder jede Gruppe von IT-Systemen gesondert zu berücksichtigen. Für die im Netz vorhandenen Computer sind dies z. B. die Bausteine B Server unter Windows 2000, B Laptop und B Client unter Windows 2000, für jeden Server zusätzlich der Baustein B Allgemeiner Server sowie für die jeweiligen Telekommunikationsgeräte die Bausteine B TK-Anlage und B Faxgerät.

91 Schicht 4: Netze Insbesondere bei großen Netzen, die sich über mehrere Standorte erstrecken, erleichtert es die Modellierung, wenn Sie das Netz abhängig vom jeweiligen Schutzbedarf aufteilen und die dadurch gebildeten Teilnetze gesondert betrachten. Grundsätzlich ist dies für alle Verbindungen zweckmäßig, die Sie bei der Schutzbedarfsfeststellung als kritisch identifiziert haben und über die bestimmte Daten auf keinen Fall übertragen werden dürfen. Teilnetze sollten sich nicht über mehrere Standorte oder Liegenschaften erstrecken. BSI-Bausteine: B 4.1 Heterogene Netze B 4.2 Netz- und Systemmanagement B 4.3 Modem B 4.4 Remote Access B 4.5 LAN-Anbindung eines IT-Systems über ISDN B 4.6 WLAN B 4.7 VoIP

92 Schicht 5: IT-Anwendungen Beispiele: B 5.1 Peer-to-Peer-Dienste B 5.2 Datenträgeraustausch B 5.3 B 5.4 Webserver B 5.5 Lotus Notes B 5.6 Faxserver B 5.7 Datenbanken B 5.8 Telearbeit B 5.9 Novell edirectory B 5.10 Internet Information Server B 5.11 Apache Webserver B 5.12 Exchange 2000 / Outlook 2000 B 5.13 SAP System B 5.14 Mobile Datenträger

93 Prüfung auf Vollständigkeit Um sicherzustellen, dass keine Komponenten des IT- Verbunds oder wesentliche Sicherheitsaspekte übersehen wurden, prüft man abschließend, ob im entstandenen IT-Grundschutz-Modell alle übergeordneten Aspekte korrekt modelliert sind, alle beteiligten Gebäude, Räume, Schutzschränke und die Verkabelung im Hinblick auf die bautechnische Sicherheit berücksichtigt sind, alle in der Liste der IT-Systeme enthaltenen Systeme abgedeckt sind, die netztechnischen Sicherheitsaspekte durch die zugehörigen Bausteine korrekt modelliert sind, diejenigen Anwendungen berücksichtigt sind, für die es IT-Grundschutz-Bausteine gibt, diejenigen IT-Komponenten, für die keine unmittelbar passenden Bausteine vorhanden sind, angemessen durch andere geeignete Bausteine modelliert sind (ergänzende Bausteine).

94 Prüfung - Beispiel

95 Bausteine-Katalog (Auswahl) 1 Übergreifende Aspekte B 1.0 IT-Sicherheitsmanagement B 1.1 Organisation B 1.2 Personal B 1.3 Notfallvorsorge-Konzept B 1.4 Datensicherungskonzept B 1.5 Datenschutz B 1.6 Computer-Viren-Schutzkonzept B 1.7 Kryptokonzept B 1.8 Behandlung von Sicherheitsvorfällen B 1.9 Hard- und Software-Management B 1.10 Standardsoftware B 1.11 Outsourcing B 1.12 Archivierung B 1.13 IT-Sicherheitssensibilisierung und -schulung 2 Infrastruktur B 2.1 Gebäude B 2.2 Elektrotechnische Verkabelung B 2.3 Büroraum B 2.4 Serverraum B 2.5 Datenträgerarchiv B 2.6 Raum für technische Infrastruktur B 2.7 Schutzschränke B 2.8 Häuslicher Arbeitsplatz B 2.9 Rechenzentrum B 2.10 Mobiler Arbeitsplatz B 2.11 Besprechungs-, Veranstaltungs- und Schulungsräume B 2.12 IT-Verkabelung 3 IT-Systeme B Allgemeiner Server B Server unter Unix B Server unter Windows NT B Server unter Novell Netware 3.x B Server unter Novell Netware Version 4.x B Server unter Windows 2000 B S/390- und zseries-mainframe B Windows Server 2003 B Allgemeiner Client B Allgemeines nicht vernetztes IT-System 3 IT-Systeme (Fortsetzung) B Laptop B Client unter Unix B Client unter Windows NT B Client unter Windows 95 B Client unter Windows 2000 B Internet-PC B Client unter Windows XP B Sicherheitsgateway (Firewall) B Router und Switches B Speichersysteme und Speichernetze B TK-Anlage B Faxgerät B Anrufbeantworter B Mobiltelefon B PDA B Drucker, Kopierer und Multifunktionsgeräte 4 Netze B 4.1 Heterogene Netze B 4.2 Netz- und Systemmanagement B 4.3 Modem B 4.4 Remote Access B 4.5 LAN-Anbindung eines IT-Systems über ISDN B 4.6 WLAN B 4.7 VoIP 5 Anwendungen B 5.1 Peer-to-Peer-Dienste B 5.2 Datenträgeraustausch B 5.3 B 5.4 Webserver B 5.5 Lotus Notes B 5.6 Faxserver B 5.7 Datenbanken B 5.8 Telearbeit B 5.9 Novell edirectory B 5.10 Internet Information Server B 5.11 Apache Webserver B 5.12 Exchange 2000 / Outlook 2000 B 5.13 SAP System B 5.14 Mobile Datenträger

96 Kontrollfragen Frage 1: Eine kleinere Firma ohne Filialen möchte ihre Auftrags- und Kundendatenverarbeitung modernisieren. Bisher waren Auftrags- und Kundendaten in einer Excel-Anwendung und einer in Word geführten Adressdatei auf einem Windows NT Server gespeichert. Dieser Server soll durch einen neuen Server unter Windows 2003 ersetzt werden. Die Auftrags- und Kundendatenverarbeitung soll auf eine neu zu beschaffende, datenbankbasierte Standardsoftware umgestellt werden. Zugriff auf den neuen Server sollen die gleichen Mitarbeiter haben, die auch bislang mit der Anwendung befasst waren. Diese Mitarbeiter haben einen Windows XP Client an ihrem Arbeitsplatz und sind wie bisher auch über einen Switch an den Server angebunden. Die Firma hat bisher ihr IT-Sicherheitskonzept mit den IT- Grundschutz-Bausteinen entwickelt. Welche zusätzlichen Bausteine müssen für diese neue Anwendung betrachtet werden? Zu Frage 1: Zunächst ist der Baustein B 1.10 Standardsoftware aus Schicht 1 zur Auswahl, Installation und Benutzung der zu beschaffenden Software für die Kunden- und Auftragsbearbeitung anzuwenden. Alle infrastrukturellen Sicherheitsmaßnahmen (Schicht 2) gelten unverändert weiter. In Schicht 3 wird der neue Windows 2003 Server dem Baustein B Server unter Windows 2003 zugeordnet. Außerdem ist der Baustein B Allgemeiner Server zu prüfen und sind dessen Maßnahmen anzupassen. Da eine Betriebssystemumstellung von Windows NT auf Windows 2003 erfolgt, muss aus Schicht 4 auch der Baustein B 4.2 Netz- und Systemmanagement bearbeitet werden. Die bisherigen Maßnahmen sind entsprechend anzupassen. Aus Schicht 5 ist der Baustein B5.7 Datenbankenzu bearbeiten. Da eine Standardsoftware häufig nur mit ausgewählten Datenbanksystemen zusammenarbeitet, ist dieser Baustein bei einigen Aspekten eventuell im Zusammenhang mit dem Baustein B 1.10 Standardsoftware zu betrachten.

97 Kontrollfragen (2) Frage 2: Die Beispielfirma möchte einem bisherigen Mitarbeiter, der Werbematerial und Produktkataloge der Firma gestaltet, einen Telearbeitsplatz einrichten. Zu diesem Zweck soll ihm ein PC mit dem Betriebssystem Windows XP zur Verfügung gestellt werden. Der Zugriff auf das Firmennetz soll über die VPN- Funktionalität der Firewall abgesichert sein, also genauso wie bislang schon der Zugriff der Vertriebsmitarbeiter. Für die Datenübertragung soll DSL genutzt werden. Welche Bausteine sind für die Sicherheit dieses Telearbeitsplatzes einzubeziehen? Zu Frage 2: Da der Mitarbeiter auch bisher in der Firma gearbeitet hat, gelten für ihn die organisatorischen und personellen Regelungen aus der Schicht 1 weiter. Aus Schicht 2 sind die Bausteine B 2.8 Häuslicher Arbeitsplatz und B 2.10 Mobiler Arbeitsplatz anzuwenden. Dabei können bereits bestehende Regelungen für die Mitarbeiter der Vertriebsbüros übernommen und gegebenenfalls angepasst werden. Aus Schicht 3 sind die Bausteine B Client unter Windows XP und B Allgemeiner Client zu ziehen. Aus Schicht 5 ist der Baustein B 5.8 Telearbeit zu bearbeiten. Aus Schicht 4 können für die DSL-Anbindung ersatzweise die Bausteine B4.3 Modem und B 4.5 LAN-Anbindung eines IT-Systems über ISDN zur Auswahl geeigneter Sicherheitsmaßnahmen herangezogen und angepasst werden.

98 Kontrollfragen (3) Frage 3: In einer Firma, in der bisher der WWW-Zugang mit starken Einschränkungen nur auf wenige Personen beschränkt war, soll allen Mitarbeitern die Gelegenheit gegeben werden, bei betrieblichen Erfordernissen im Web zu recherchieren. Um jedoch höchste Sicherheit zu gewährleisten, werden dafür zwei Windows XP PCs bereitgestellt, die nicht an das lokale Netz angeschlossen sind, sondern nur über ISDN an das Internet angebunden sind. Welche Bausteine der IT-Grundschutz-Kataloge sind speziell für diese Anwendung zu bearbeiten? Zu Frage 3: Da die PCs keine Anbindung an das firmeninterne Netz haben sollen, sind für diese beiden zusätzlichen Geräte nur die Maßnahmen aus B Internet-PC umzusetzen.

99 2.5 Basis-Sicherheitscheck Der Basis-Sicherheitscheck ist ein effizientes Instrument zur Beantwortung dieser Fragen: Ist meine Informationstechnik hinreichend geschützt? Was bleibt noch zu tun? Prinzip: Die bereits umgesetzten Sicherheitsmaßnahmen werden mit den Empfehlungen der IT-Grundschutz-Kataloge verglichen, um das erreichte IT-Sicherheitsniveau zu identifizieren, Verbesserungsmöglichkeiten aufzuzeigen und die Planung ihrer Umsetzung einzuleiten. Quelle: BSI

100 Basis-Sicherheitscheck Ergebnisse der vorangegangenen Schritte: IT-Strukturanalyse (Erfassung) Schutzbedarfsbestimmung der IT-Systeme, Anwendungen, Räume und Kommunikationsverbindungen Modellierung Prüfplan Den Prüfplan wendet man beim Basis-Sicherheitscheck an, indem Sie für jedes Zielobjekt und für jede Maßnahme, die in den anzuwendenden Bausteinen empfohlen wird, beurteilen, ob sie überhaupt auf das Zielobjekt anzuwenden ist, und falls ja, ob sie vollständig, teilweise oder überhaupt nicht umgesetzt ist. Sollte der Basis-Sicherheitscheck ergeben, dass alle Standard-Sicherheitsmaßnahmen konsequent umgesetzt sind, so sind weitergehende Sicherheitsmaßnahmen (ergänzende Sicherheitsanalyse) damit zwar oft nicht mehr erforderlich, ihre Notwendigkeit kann aber - abhängig vom Schutzbedarf - nicht pauschal ausgeschlossen werden.

101 Basis-Sicherheitscheck Bei einem systematischen Vorgehen greifen Sie dazu auf die Ergebnisse der vorangegangenen Schritte zurück: Bei der IT-Strukturanalyse haben Sie die vorhandenen IT-Systeme und die von diesen unterstützten Anwendungen erfasst. Anschließend haben Sie den Schutzbedarf der IT-Systeme, Anwendungen, Räume und Kommunikationsverbindungen bestimmt und bei der Modellierung durch Auswahl der anzuwendenden Bausteine einen Prüfplan ("IT-Grundschutz-Modell") für die verschiedenen Zielobjekte (gesamter IT-Verbund, Räume, Rechner, Kommunikationsverbindungen, Anwendungen) zusammengestellt. Den Prüfplan wenden Sie beim Basis-Sicherheitscheck an, indem Sie für jedes Zielobjekt und für jede Maßnahme, die in den anzuwendenden Bausteinen empfohlen wird, beurteilen, ob sie überhaupt auf das Zielobjekt anzuwenden ist, und falls ja, ob sie vollständig, teilweise oder überhaupt nicht umgesetzt ist. Sollte der Basis-Sicherheitscheck ergeben, dass alle Standard-Sicherheitsmaßnahmen konsequent umgesetzt sind, so sind weitergehende Sicherheitsmaßnahmen (ergänzende Sicherheitsanalyse) damit zwar oft nicht mehr erforderlich, ihre Notwendigkeit kann aber - abhängig vom Schutzbedarf - nicht pauschal ausgeschlossen werden.

102 Bestandteile einer Maßnahme Im Allgemeinen enthält eine Maßnahme die folgenden drei Abschnitte: Verantwortlichkeiten Hier ist angegeben, welche Organisationseinheit oder Person üblicherweise jeweils für die Initiierung und die Umsetzung einer Maßnahme verantwortlich ist oder sein sollte. Sie können auf diese Angaben bei der Realisierungsplanung zurückgreifen, wenn es darum geht, die Verantwortung für die Umsetzung ausstehender Maßnahmen festzulegen. Maßnahmentext Dieser benennt und erläutert die einzelnen Empfehlungen zum jeweiligen Sachverhalt. Ergänzende Kontrollfragen Die in diesem Abschnitt angeführten Fragen betonen abschließend Aspekte, die für die Umsetzung der beschriebenen Maßnahme wesentlich sind oder ergänzen im Maßnahmentext noch nicht angesprochene Punkte.

103 Maßnahmenkataloge M 1 Infrastruktur (>70) M 2 Organisation (>400) M 3 Personal (>60) M 4 Hardware und Software (>300) M 5 Kommunikation (>140) M 6 Notfallvorsorge (>100)

104 Vorgehen Grundlage des Basis-Sicherheitschecks ist das in der Modellierung aufgrund der vorhandenen Informationstechnik und ihres Schutzbedarfs zusammengestellte IT-Grundschutz-Modell des IT-Verbunds. In diesem Modell ist festgelegt, welche Bausteine und damit Maßnahmenbündel für die einzelnen Zielobjekte des IT-Verbunds anzuwenden sind. Den Umsetzungsgrad der einzelnen Maßnahmen für das jeweilige Zielobjekt ermittelt und dokumentiert man beim Basis- Sicherheitscheck in Interviews mit den zuständigen Mitarbeitern und Überprüfungen vor Ort, z. B. der Begehung von Serverräumen oder der Kontrolle von Konfigurationseinstellungen. Quelle: BSI

105 Regeln Die Qualität der Ergebnisse der Interviews hängt auch von einer guten Vorbereitung und der Beachtung einiger Regeln bei der Durchführung ab. Regeln: regelmäßig überprüfen, ob die eingeführten Sicherheitsmaßnahmen noch einen angemessenen Schutz bieten Dokumente sichten Geeignete Ansprechpartner auswählen Interviews nach Möglichkeit nicht alleine führen Kenntnis und Verständnis über Maßnahmen Gespräche in entspanntem Klima durchführen

106 Regeln Die Qualität der Ergebnisse der Interviews hängt auch von einer guten Vorbereitung und der Beachtung einiger Regeln bei der Durchführung ab: Regeln: Die Informationstechnik ändert sich kontinuierlich, so dass regelmäßig geprüft werden muss, ob die eingeführten Sicherheitsmaßnahmen noch einen angemessenen Schutz bieten. Aus diesem Grunde werden die IT-Grundschutz-Kataloge fortlaufend angepasst und um neue Bausteine ergänzt. Benutzen Sie bitte für den Basis-Sicherheitscheck die aktuelle Version der IT-Grundschutz-Kataloge, da nur diese einen dem Stand der Technik entsprechenden Grundschutz unterstützt. Die vorhandenen Dokumente über sicherheitsrelevante Abläufe, Regelungen und Sachverhalte enthalten bereits viele Informationen, die bei der Ermittlung des Umsetzungsgrads der Maßnahmen helfen (Papiere vorab sichten!). Geeignete Ansprechpartner auswählen. Klären Sie in diesem Zusammenhang auch, ob externe Stellen hinzuzuziehen sind, z. B. Fremdfirmen, an die Teilaufgaben des IT- Verbunds delegiert wurden. Ansprechpartner ergeben sich im Übrigen oft direkt aus dem sachlichen Zusammenhang der jeweiligen Bausteine: So können Mitarbeiter der Personalabteilung oder Benutzerbetreuer gute Ansprechpartner für den Baustein B1.2 Personal sein, während es sich anbietet, für die Bausteine der Schichten IT-Systeme, Netze und IT-Anwendungen die jeweils zuständigen Administratoren und Anwendungsbetreuer zu befragen. Vier Augen und Ohren sehen und hören mehr als zwei. Führen Sie die Interviews nach Möglichkeit daher nicht alleine durch. Es empfiehlt sich eine Arbeitsteilung: Einer führt das Gespräch und stellt die Fragen, ein anderer protokolliert die Ergebnisse. Selbstverständlich sollten Sie bei der Befragung den Inhalt der Maßnahmenbeschreibungen kennen, deren Umsetzungsstatus Sie überprüfen. Gegebenenfalls können stichpunktartige Zusammenfassungen zu einzelnen Maßnahmen nützlich sein. Der Basis-Sicherheitscheck ist eine Chance, die IT-Sicherheit zu verbessern, und kein Verhör. Sorgen Sie daher für ein entspanntes Klima, und zwar sowohl beim Gespräch als auch bei Begehungen und Überprüfungen vor Ort.

107 Entscheidungsprozess Quelle: BSI

108 Dokumentation Damit die Ergebnisse des Basis-Sicherheitschecks später und auch von Dritten nachvollzogen und gegebenenfalls überprüft werden können, ist es wichtig, dass Sie diese sorgfältig dokumentieren. Bei Maßnahmen, die als entbehrlich, nur teilweise oder nicht umgesetzt eingestuft wurden, ist in der Dokumentation die Begründung anzugeben. Zur Dokumentation gehören natürlich auch formale Angaben: Bei jedem Interview angeben, auf welches Zielobjekt es sich bezieht wann es stattfand wer es durchgeführt hat wer befragt wurde

109 Dokumentation Den Umsetzungsgrad der IT-Grundschutz-Empfehlungen für die verschiedenen Komponenten des betrachteten IT- Verbunds dokumentiert man mit folgenden Kategorien: "entbehrlich", wenn die Umsetzung der Empfehlungen nicht notwendig ist, da den möglichen Gefährdungen mit mindestens gleichwertigen Ersatzmaßnahmen entgegengewirkt wird (z. B. erübrigen sich Passwortregeln, wenn Chipkarten für die Authentisierung eingesetzt werden) oder wenn die Empfehlungen für den betrachteten Einsatzzweck nicht relevant sind (so ist M 5.33 Absicherung der per Modem durchgeführten Fernwartung nur dann bedeutsam, wenn tatsächlich auch Fernwartung über Modem erfolgt), "ja", wenn alle Empfehlungen in der Maßnahme vollständig und wirksam umgesetzt sind, "teilweise", wenn einige der Empfehlungen umgesetzt sind, andere noch nicht oder nur teilweise, "nein", wenn die Empfehlungen der Maßnahme größtenteils noch nicht umgesetzt sind.

110 Dokumentation - Beispiel Erhebungsformular Maßnahmen Ausprägungen (= Siegelstufe) der Qualifizierung: A (= Einstieg) Diese Maßnahmen sind essentiell für die Sicherheit. B (= Aufbau) Diese Maßnahmen sind besonders wichtig. C (= Zertifikat) Diese Maßnahmen sind wichtig für den Erwerb des Zertifikats. Z (= zusätzlich) Diese Maßnahmen stellen Ergänzungen dar.

111 Kontrollfragen (1) Frage 1: Sie erinnern sich an das Suchbild zu den Sicherheitslücken! Welche Maßnahmen des Bausteins B 2.4 Serverraum sind offensichtlich nicht umgesetzt? Offensichtlich werden viele Maßnahmen des Bausteins B 2.4 Serverraum nicht beachtet: M 1.15 Geschlossene Fenster und Türen ist nicht umgesetzt, denn Türen und Fenster des Serverraums stehen offen. Damit wird auch M 1.23 Abgeschlossene Türen missachtet. M 2.21 Rauchverbot ist nicht umgesetzt. Fraglich ist auch, ob es sich bei den abgebildeten Türen und Fenstern um Sicherheitstüren handelt (vgl. M 1.10 Verwendung von Sicherheitstüren und -fenstern). Wenn wasserführende Leitungen in Serverräumen vermieden werden sollten (M 1.24 Vermeidung von wasserführenden Leitungen), dann sollten elektronische Geräte auch vor anderen Flüssigkeitsquellen geschützt werden. Auf einem Rechner hat eine Kaffeetasse also nichts zu suchen.

112 Kontrollfragen (2) Frage 2: Wird die Maßnahme M 1.33 Geeignete Aufbewahrung tragbarer IT- Systeme bei mobilem Einsatz entbehrlich, wenn auf einem Laptop alle Daten verschlüsselt abgelegt sind? Die Verschlüsselung aller Daten auf der Festplatte eines Laptops schützt davor, dass vertrauliche Daten von Unbefugten eingesehen werden können - vorausgesetzt es wurde ein hinreichend sicheres Verschlüsselungsverfahren gewählt. Sie macht damit aber die Maßnahme M 1.33 Geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz nicht entbehrlich. Verschlüsselung schützt nämlich nicht vor den Kosten und dem Aufwand, die aus dem Verlust oder Diebstahl des Gerätes entstehen (Wiederbeschaffungskosten, erforderliche Neuinstallationen, Rekonstruktion der gespeicherten Daten), und den Nachteilen, die aus dem Verlust der gespeicherten Daten erwachsen können.

113 2.6 Risikoanalyse Alternative bzw. ergänzende Vorgehensweisen: Klassifizierter Grundschutzansatz z.b. BSI IT-Grundschutz-Katalog enthält Beispiele für unterschiedliche Zielgruppen: Kleine Institution wenig IT-Systemen und geringe IT-Sicherheitskenntnissen Mittelstand Große Institution am Beispiel eines RZ Behörde Detaillierte Risikoanalyse

114 Detaillierte Risikoanalyse Alternative Vorgehensweise aufwendiger Quelle: Raepple

115 Ergänzenden Sicherheitsanalyse Der IT-Grundschutz bietet für typische IT- Infrastrukturen mit normalem Schutzbedarf ein angemessenes und kostengünstiges Sicherheitsniveau. Wie wird verfahren, wenn eine IT-Komponente einen hohen oder sehr hohen Bedarf an Vertraulichkeit, Integrität oder Verfügbarkeit hat, es für eine IT-Komponente (noch) keinen Baustein in den IT- Grundschutz-Katalogen gibt (Beispiel: Labormessgerät mit direkter Netzanbindung) oder aber ein solcher Baustein zwar vorhanden ist, die Komponente allerdings in einer für das Anwendungsgebiet des IT-Grundschutzes untypischen Weise oder Einsatzumgebung betrieben wird? Die Lösung: In einer ergänzenden Sicherheitsanalyse prüft man, wie diejenigen Zielobjekte zu behandeln sind, die eines der drei oben genannten Kriterien erfüllen. Diese Überlegungen können zu dem Ergebnis führen, dass die Umsetzung der IT-Grundschutz- Maßnahmen genügt, sie können aber auch einen Bedarf an zusätzlichen oder höherwertigen Maßnahmen aufzeigen.

116 Vorgehensweise Zur Beurteilung von Gefährdungsszenarien ist die Risikoanalyse ein weit verbreitetes und auf vielen Fachgebieten angewendetes Verfahren. Bei einer klassischen, quantitativen Risikoanalyse wird dabei das Risiko, dem ein Objekt ausgesetzt ist, in Abhängigkeit von der Eintrittswahrscheinlichkeit eines Schadensereignisses und der möglichen Schadenshöhe definiert. Es werden daher in einer Bedrohungsanalyse die Bedrohungen, denen ein System ausgesetzt ist, und in einer Schwachstellenanalyse die Angriffspunkte, aufgrund derer die Bedrohungen erst wirksam werden können, eingeschätzt. Anschließend wird unter Berücksichtigung von vermuteten Eintrittswahrscheinlichkeiten und ebenso angenommenen Schadensausmaßen das individuelle Risiko eines Systems bestimmt und bewertet. Die mit Hilfe einer Risikoanalyse auszuwählenden Sicherheitsmaßnahmen sollen die Risiken verringern, also die Eintrittswahrscheinlichkeiten oder Schadensausmaße auf ein vertretbares Restrisiko senken. Gleichzeitig sollen sie in einem (insbesondere auch in finanzieller Hinsicht) angemessenen Verhältnis zur vermuteten Schadenshöhe stehen.

117 Bedrohungsanalyse Workshop Quelle: BSI

118 Gefährdungsübersicht Unter Umständen können in dem Workshop zahlreiche und vielfältige Gefährdungen diskutiert werden. Um die sich anschließende Bewertung der Gefährdungen zu erleichtern, sollte man sich möglichst auf diejenigen Gefährdungen konzentrieren, die Grundwerte beeinträchtigen, in denen das betrachtete Zielobjekt den Schutzbedarf sehr hoch oder hoch hat, alle Gefahrenbereiche berücksichtigen, nach denen die Gefährdungskataloge gruppiert sind, also höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen und vorsätzliche Angriffe von Außenund Innentätern, und die Gefährdungen entsprechend gruppieren, auf die Relevanz der Vorschläge achten, also nur solche Gefährdungen weiter verfolgen, die zu nennenswerten Schäden führen können und im behandelten Zusammenhang realistisch sind, bei jedem vorgebrachten Vorschlag prüfen, ob die betreffende Gefährdung nicht bereits durch eine vorhandene Gefährdung abgedeckt wird, sowie die verbleibenden Vorschläge verallgemeinern, um die Anzahl der in den künftigen Schritten zu berücksichtigenden Gefährdungen zu verringern.

119 Bewertung der Gefährdungen Ziel der ergänzenden Risikoanalyse ist es zu untersuchen, ob angesichts der Gefährdungslage ein Bedarf an zusätzlichen Schutzmaßnahmen besteht, und falls dem so ist, zweckmäßige Maßnahmen auszuwählen. Im nächsten Schritt prüfen Sie daher, ob auch nach Umsetzung der vorgesehenen IT- Sicherheitsmaßnahmen noch Schwachstellen verbleiben. Dazu bewerten Sie für jede einzelne Gefährdung in der vervollständigten Gefährdungsübersicht, ob die bereits umgesetzten oder in Ihrem (bisherigen) IT-Sicherheitskonzept enthaltenen Maßnahmen der Gefährdung vollständig, hinreichend stark und zuverlässig entgegenwirken. Prüfung auf: Vollständigkeit Mechanismenstärke Zuverlässigkeit Das Ergebnis dieser Prüfung dokumentieren Sie in einer eigenen Spalte OK der Gefährdungsübersicht wie folgt: "J" (ausreichenden Schutz vorhanden oder Gefährdung nicht relevant). "N, wenn die vorhandenen oder geplanten Maßnahmen keinen ausreichenden Schutz vor der jeweiligen Gefährdung bieten. Als Ergebnis erhält man eine Übersicht, aus der deutlich hervorgeht, bei welchen Gefährdungen noch Handlungsbedarf besteht und bei welchen nicht.

120 Bewertung der Gefährdungen Ziel der ergänzenden Risikoanalyse ist es zu untersuchen, ob angesichts der Gefährdungslage ein Bedarf an zusätzlichen Schutzmaßnahmen besteht, und falls dem so ist, zweckmäßige Maßnahmen auszuwählen. Im nächsten Schritt prüfen Sie daher, ob auch nach Umsetzung der vorgesehenen IT- Sicherheitsmaßnahmen noch Schwachstellen verbleiben. Dazu bewerten Sie für jede einzelne Gefährdung in der vervollständigten Gefährdungsübersicht, ob die bereits umgesetzten oder in Ihrem (bisherigen) IT-Sicherheitskonzept enthaltenen Maßnahmen der Gefährdung vollständig, hinreichend stark und zuverlässig entgegenwirken. Bei der Prüfung auf Vollständigkeit prüfen Sie, ob die Maßnahmen Schutz gegen alle Aspekte der jeweiligen Gefährdung bieten (Sind wirklich alle Türen geschlossen? Wurde auch an die Hintertür zum Gebäude gedacht?). Bei der Prüfung auf Mechanismenstärke prüfen Sie, ob die Maßnahmen gegen die jeweilige Gefährdung hinreichend wirksam sind (Wie einbruchssicher ist das Schließsystem? Wie sicher sind die verwendeten Schlüssel?). Bei der Prüfung auf Zuverlässigkeit prüfen Sie, wie schwer es ist, die Maßnahmen zu umgehen (Ist gewährleistet, dass nur Berechtigte Zugriff auf die Schlüssel haben? Wie sicherheitsbewusst gehen die Mitarbeiter mit den Schlüsseln um?). Das Ergebnis dieser Prüfung dokumentieren Sie in einer eigenen Spalte OK der Gefährdungsübersicht wie folgt: Ein "J" tragen Sie ein, wenn die vorhandenen oder geplanten Maßnahmen ausreichenden Schutz vor der jeweiligen Gefährdung bieten oder die jeweilige Gefährdung nicht relevant ist (zum Beispiel, weil ein anderer Grundwert betroffen ist). Ein "N" tragen Sie ein, wenn die vorhandenen oder geplanten Maßnahmen keinen ausreichenden Schutz vor der jeweiligen Gefährdung bieten. Als Ergebnis erhalten Sie eine Übersicht, aus der deutlich hervorgeht, bei welchen Gefährdungen noch Handlungsbedarf besteht und bei welchen nicht.

121 Bewertung der Gefährdungen - Beispiel

122 Risikostrategien Quelle: BSI

123 Risikostrategien - Alternativen Möglichkeiten: 1. Risiko-Reduktion durch weitere Sicherheitsmaßnahmen 2. Risiko-Reduktion durch Umstrukturierung 3. Risiko-Übernahme 4. Risiko-Transfer

124 Risikostrategien - Alternativen Möglichkeiten: 1. Risiko-Reduktion durch weitere Sicherheitsmaßnahmen Die Risiken können durch zusätzliche, höherwertige Sicherheitsmaßnahmen verringert werden. Abhängig vom Typ des jeweiligen Zielobjekts findet man Hinweise auf geeignete Maßnahmen beispielsweise in Produktdokumentationen, in Standards zur IT-Sicherheit oder in Fachveröffentlichungen. Vorschläge für höherwertige IT- Sicherheitsmaßnahmen findet man auch in den IT-Grundschutz-Katalogen mit den als "zusätzlich" gekennzeichneten Sicherheitsmaßnahmen. 2. Risiko-Reduktion durch Umstrukturierung Die Risken können vermieden werden, indem der IT-Verbund so umstrukturiert wird, dass die Gefährdung nicht mehr wirksam werden kann. 3. Risiko-Übernahme Die Risiken können akzeptiert werden, sei es, weil die Gefährdung nur unter äußerst speziellen Bedingungen zu einem Schaden führen könnte, sei es, weil keine hinreichend wirksamen Gegenmaßnahmen bekannt sind oder aber weil der Aufwand für mögliche Schutzmaßnahmen unangemessen hoch ist. 4. Risiko-Transfer Die Risiken werden verlagert. Durch Abschluss von Versicherungen oder durch Auslagerung der risikobehafteten Aufgabe an einen externen Dienstleister kann zum Beispiel ein möglicher finanzieller Schaden (zumindest teilweise) auf Dritte abgewälzt werden. Achten Sie bei dieser Lösung auf eine sachgerechte, eindeutige Vertragsgestaltung!

125 Kontrollfragen Frage 1: Nachfolgend sind die Gefährdungen des Bausteins B 2.4 Serverraum aufgeführt. Welche von ihnen können ein unmittelbares Risiko für das Schutzziel Vertraulichkeit sein? G1.4 Feuer G1.5 Wasser G1.7 Unzulässige Temperatur und Luftfeuchte G 1.16 Ausfall von Patchfeldern durch Brand G2.1 Fehlende oder unzureichende Regelungen G2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen G4.1 Ausfall der Stromversorgung G4.2 Ausfall interner Versorgungsnetze G4.6 Spannungsschwankungen/Überspannung/Unterspannung G5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör G5.2 Manipulation an Daten oder Software G5.3 Unbefugtes Eindringen in ein Gebäude G5.4 Diebstahl G5.5 Vandalismus Frage 2: Angenommen, eine Anwendung besitzt einen hohen Schutzbedarf an Verfügbarkeit. Welcher der folgenden Aussagen entspricht der IT-Grundschutz-Vorgehensweise? 1. Für diese Anwendung ist eine Risikoanalyse zwingend erforderlich. 2. Bei einem hohen Schutzbedarf an Verfügbarkeit genügt es, die Bausteine B 1.3 Notfallvorsorge-Konzept und B 1.8 Behandlung von Sicherheitsvorfällen umzusetzen, denn diese enthalten alle notwendigen Maßnahmen zum Schutz der Verfügbarkeit der Anwendung. 3. Sie prüfen in diesem Fall in einer ergänzenden Sicherheitsanalyse, ob ein zusätzlicher Analysebedarf besteht oder nicht. Frage 3: Die IT-Grundschutz-Bausteine werden kontinuierlich erweitert und um neue Bausteine ergänzt. Dennoch kann es vorkommen, dass in einem IT-Verbund Komponenten im Einsatz sind, für die es noch keinen passenden Baustein gibt (z. B. gibt es derzeit noch keinen Baustein zu AS/400). Inwiefern können Ihnen die IT-Grundschutz-Kataloge beim Vorgehen gemäß IT-Grundschutz in solchen Fällen trotzdem behilflich sein?

126 Antworten Zu Frage 1: Die richtigen Lösungen sind: G2.1 Fehlende oder unzureichende Regelungen G2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen G5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör G5.2 Manipulation an Daten oder Software G5.3 Unbefugtes Eindringen in ein Gebäude G5.4 Diebstahl Beachten Sie jedoch, dass auch die übrigen Gefährdungen durch Verkettung von Umständen (mittelbar) zur Verletzung der Vertraulichkeit führen können. Zu Frage 2: 3. - die Durchführung einer ergänzenden Sicherheitsanalyse - entspricht der IT-Grundschutz- Vorgehensweise. Eine solche Untersuchung könnte dann zum Beispiel ergeben, dass eine Risikoanalyse erforderlich und zweckmäßig ist oder aber dass die IT-Grundschutz-Maßnahmen ausreichenden Schutz bieten. Zu Frage 3: Bei IT-Komponenten ohne passenden Baustein in den IT-Grundschutz-Katalogen ist im Rahmen einer ergänzenden Sicherheitsanalyse zu entscheiden, ob eine Risikoanalyse durchzuführen ist. Dabei identifizieren und bewerten Sie die Gefährdungen, denen die Komponente ausgesetzt ist und bestimmen geeignete Schutzmaßnahme. Bei dieser Aufgabe können Ihnen die IT-Grundschutz- Kataloge in folgender Weise helfen: Die Gefährdungs-Kataloge sind eine umfangreiche Quelle für die Auswahl der maßgeblichen Gefährdungen. Die Maßnahmen-Kataloge geben Ihnen Hinweise auf geeignete Schutzmaßnahmen. Möglicherweise enthalten die Baustein-Kataloge zwar keinen hundertprozentig passenden, wohl aber einen ähnlichen Baustein, an dem Sie sich bei der Auswahl der Gefährdungen und Maßnahmen orientieren können (z. B. können Sie für AS/400 auf den Baustein B S/390- und zseries- Mainframe zugreifen).

127 2.7 Realisierung Reihenfolge: 1. Ergebnisse sichten 2. Maßnahmen konsolidieren 3. Aufwand schätzen 4. Umsetzungsreihenfolge festlegen 5. Verantwortliche bestimmen 6. Begleitende Maßnahmen festlegen

128 Realisierung Reihenfolge: 1. Ergebnisse sichten Sichten Sie zunächst die Ergebnisse des Basis-Sicherheitschecks und gegebenenfalls einer ergänzenden Sicherheitsanalyse und stellen Sie die noch nicht oder nur teilweise realisierten Sicherheitsmaßnahmen tabellarisch zusammen. 2. Maßnahmen konsolidieren Prüfen und konkretisieren Sie die Maßnahmen im Zusammenhang. Dies reduziert gegebenenfalls die Anzahl der umzusetzenden Maßnahmen. 3. Aufwand schätzen Schätzen Sie den finanziellen und personellen Aufwand, der mit der Umsetzung der einzelnen Maßnahmen verbunden ist. Unterscheiden Sie dabei zwischen dem einmaligen Aufwand bei der Einführung einer Maßnahme und dem wiederkehrenden Aufwand im laufenden Betrieb. 4. Umsetzungsreihenfolge festlegen Legen Sie eine sinnvolle Umsetzungsreihenfolge fest. Berücksichtigen Sie dabei sowohl die sachlogischen Zusammenhänge der einzelnen Maßnahmen, als auch deren Wirkung auf das Sicherheitsniveau des IT-Verbunds. 5. Verantwortliche bestimmen Entscheiden Sie, bis zu welchem Termin eine Maßnahme umzusetzen ist und wer für die Realisierung und deren Überwachung zuständig sein soll. 6. Begleitende Maßnahmen festlegen Die praktische Wirksamkeit der Sicherheitsmaßnahmen hängt von der Akzeptanz und dem Verhalten der betroffenen Mitarbeiter ab. Planen Sie daher Schritte zu ihrer Sensibilisierung und Schulung ein.

129 Realisierungsplan Im Realisierungsplan sind für jede Maßnahme nach Abstimmung mit der Geschäftsführung die folgenden Angaben festzuhalten: Spezifikation der Maßnahme (Nummer und Titel der Maßnahme, zugehöriger Baustein, Zielobjekt), spätester Umsetzungstermin, bereitgestellte finanzielle und personelle Ressourcen für die Einführung und den laufenden Betrieb der Maßnahme, Verantwortlicher für die Umsetzung und Verantwortlicher für die Kontrolle der Umsetzung.

130 Realisierungsplan - Beispiel

131 Betrieb Quelle: BSI