Klaus-Rainer Müller. IT-Sicherheit mit System

Transkript

1 Klaus-Rainer Müller IT-Sicherheit mit System

2 Leserstimmen zu vorangegangenen Auflagen: Sehr klar und ansprechend. Das beste Grundlagenbuch für den Management-Ansatz!. Prof. Dr. H. M. Winkels, FH Dortmund / / empfehle ich meinen Studenten, weil es eines der wenigen Bücher zur Sicherheit ist, das gut strukturiert ist. Prof. Dr.-Ing. Damian Weber, HTW Saarbrücken Das Buch,IT-Sicherheit mit System trifft genau meinen Geschmack. Es ist sachlich und verzichtet auf unnötige Angstmacherei, ohne dabei Sicherheitslücken zu beschönigen. Sehr strukturiert, methodisch und auf dem notwendigen Abstraktionslevel wird auf die Bedürfnisse der Zielgruppe /.../ eingegangen. /.../ Der Autor hat offensichtlich genug Praxiserfahrung, um zu sehen, worauf es ankommt. amazon.de, 07/2004 Pressestimmen zu vorangegangenen Auflagen: IT-Sicherheit mit System wird durch die konsequent strukturierte Vorgehensweise seinem Titel durchaus gerecht [...] und bietet dem Leser ein sehr praxisorientiertes Werkzeug, um das Sicherheitssystem seines Unternehmens aufzubauen oder kritisch zu prüfen. Wirtschaftsinformatik, 06/2006 [Dem Buch] merkt man sofort an, dass es von einem waschechten Experten geschrieben wurde. Das Themenspektrum ist so durchdacht, dass man am Ende nicht mehr glauben will, dass es jemals ohne dieses Prinzip geklappt hat. [...] Es sind im Vergleich zur ersten Aufgabe nicht weniger als 14 Themen hinzugekommen. hakin9, 02/2007

3 Klaus-Rainer Müller IT-Sicherheit mit System Sicherheitspyramide Sicherheits-, Kontinuitäts- und Risikomanagement Normen und Practices SOA und Softwareentwicklung 3., erweiterte und aktualisierte Auflage Mit 36 Abbildungen

4 Bibliografische Information Der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über < abrufbar. Das in diesem Werk enthaltene Material ist mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Der Autor übernimmt infolgedessen keine Verantwortung und wird keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieses Materials oder Teilen davon entsteht. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne von Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürfen. Höchste inhaltliche und technische Qualität unserer Produkte ist unser Ziel. Bei der Produktion und Auslieferung unserer Bücher wollen wir die Umwelt schonen: Dieses Buch ist auf säurefreiem und chlorfrei gebleichtem Papier gedruckt. Die Einschweißfolie besteht aus Polyäthylen und damit aus organischen Grundstoffen, die weder bei der Herstellung noch bei der Verbrennung Schadstoffe freisetzen. 1. Auflage Auflage , erweiterte und aktualisierte Auflage 2008 Alle Rechte vorbehalten Friedr.Vieweg & Sohn Verlag GWV Fachverlage GmbH, Wiesbaden 2008 Lektorat: Sybille Thelen / Andrea Broßler Der Vieweg Verlag ist ein Unternehmen von Springer Science+Business Media. Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Umschlaggestaltung: Ulrike Weigel, Druck und buchbinderische Verarbeitung: MercedesDruck, Berlin Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier. Printed in Germany ISBN

5 Vorwort Welches Ziel verfolgt dieses Buch? Effiziente Existenz- und Zukunftssicherung des Unternehmens sowie zielgerichtete Risikosteuerung sind entscheidende Managementaufgaben. Ihre Bedeutung wächst rasant aufgrund gesetzlicher Vorgaben wie KonTraG und Regularien wie Basel II, Solvency II und MaRisk. Wirtschaftliches, transparentes und durchgängiges Sicherheits-, Kontinuitäts- und Risikomanagement sind gefordert. Daher sind Investitionen notwendig, deren Umfang von der Effizienz und Effektivität des Sicherheitsmanagements abhängt. Trotz dieser hohen Bedeutung und der Haftungsrisiken weist die Sicherheits- und Risikosituation in Unternehmen häufig Defizite auf, z. B. hinsichtlich Zielen, Strategie, Struktur, Transparenz sowie anforderungsgerechter Umsetzung und Effizienz. Hinzu kommt eine Fokussierung des Sicherheits-, Kontinuitäts- und Risikomanagements auf den IT-Betrieb. Dadurch erfolgt oftmals keine oder eine nur unzureichende Integration in die IT-Prozesse sowie den Lebenszyklus von IT- Prozessen und -Systemen. Vor diesem Hintergrund habe ich die dreidimensionale Sicherheitspyramide entwickelt. Sie ist top-down strukturiert und berücksichtigt die IT-Prozesse, die IT-Ressourcen sowie den IT-Lebenszyklus. Sie dient als systematisches und ingenieurmäßiges Vorgehensmodell für den Aufbau und die Weiterentwicklung des Sicherheits-, Kontinuitäts- und Risikomanagements. In ihren mehrdimensionalen Rahmen können Sie die unterschiedlichsten Sicherheits-, Kontinuitäts- und Risikothematiken einklinken. So lassen sich Defizite reduzieren oder beseitigen und die Effizienz durch Standardisierung steigern. Die Sicherheitspyramide nach Dr.-Ing. Müller stellt ein gesamtheitliches, systematisches und dadurch effizientes Vorgehensmodell dar. Sie integriert auf innovative Weise neben den Disziplinen Sicherheits-, Kontinuitäts- und Risiko- sowie Compliancemanagement Kernelemente und methodiken, die in der folgenden Aufzählung angegeben sind. Diese kommen, wenn auch in unterschiedlicher Ausprägung, Vollständigkeit, Detaillierung, Konkretisierung und Qualität sowie teilweise nach Erscheinen meiner Publikationen in bestehenden Standards und Practices vor: Die Lösung Die Problemstellung Alleinstellungsmerkmal der Sicherheitspyramide V

6 Vorwort der PDCA-orientierte Sicherheits- und Kontinuitätsprozess (die ISO 27001:2005 nutzt ebenfalls einen PDCA-orientierten Sicherheitsprozess, die BS :2006 fordert in der BCM-Politik Prozesse zum Aufbau, zur Steuerung und Pflege des BCM, also einen Kontinuitätsprozess) die Sicherheitshierarchie (die ISO :2004 und die BSI-IT-Grundschutzkataloge seit 2005 enthalten Teilbereiche einer Sicherheitshierarchie) die Sicherheits-, Kontinuitäts- und Risikopolitik (die ISO 27001:2005 fordert eine Informationssicherheitsmanagementpolitik {ISMS-Politik}, die BS :2006 eine Kontinuitätspolitik) die IT-Prozesse und deren Sicherheitsanforderungen (ITIL und die ISO :2005 beschreiben Teile jener IT- Prozesse, die in der Sicherheitspyramide enthalten sind) der Lebenszyklus von IT-Prozessen, IT-Ressourcen einschließlich IT-Systemen, IT-Produkten und IT Leistungen (Services) (die ITSEC/CC enthalten ein Lebenszyklusmodell für IT-Produkte und -Systeme, die ISO spricht im Jahr 2004 überblicksartig erstmals das Thema Lebenszyklus-Management an, in den BSI-IT-Grundschutzkatalogen findet sich seit Ende 2006 in Form der Maßnahme M 2.378, System-Entwicklung, eine überblicksartige Beschreibung des Lebenszyklus für IT-Systeme, ITIL, Version 3, führt im Jahr 2007 einen IT-Service-Lebenszyklus {Lebenszyklus Leistungen/Dienste} ein, COBIT streift den Lebenszyklus im Rahmen des Projekt- und Qualitätsmanagements) der Sicherheitsregelkreis (COBIT benennt eine Vielzahl von Kontrollen für diverse Prozesse/Managementdisziplinen der IT, die Balanced Scorecard beschreibt ein allgemeines mehrdimensionales Steuerungssystem mit Leistungskennzahlen {KPI}) das integrative Sicherheits-, Kontinuitäts- und Risiko- sowie Compliancemanagement (die ISO 27001:2005 betrachtet das Sicherheits- und Risikomanagement und enthält Kontrollen zum Sicherheitsmanagement, zu BCM und zu Compliance) VI

7 Vorwort die Berücksichtigung der gesetzlichen, aufsichtsbehördlichen, normativen und vertraglichen Konformität (compliance) (die ISO 17799:2005, die seit Juli 2007 ISO 27002:2005 heißt, geht auf compliance ein, die ISO 27001:2005 nennt Kontrollen hierzu) die Sicherheitsrichtlinien, -konzepte und -maßnahmen (die IT-Grundschutzkataloge des BSI und die ISO 17799:2005 bzw. ISO 27002:2005 widmen sich diesen in unterschiedlicher Ausprägung, Detaillierung und Konkretisierung) Die 1995 erstmals vorgestellte Sicherheitspyramide [1] lässt sich für die gesamte Palette von Sicherheitsthemen eines Unternehmens nutzen. Dieses Buch beschreibt sie in der Version IV unter dem Fokus der IT- bzw. ITK-Sicherheit (IT + TK = ITK). Dementsprechend heißt sie IT- bzw. ITK-Sicherheits- bzw. Sicherheitsmanagementpyramide, kurz ISiPyr, ITK-SiPyr (ISP), ISimPyr oder ISMP. Sie berücksichtigt das Sicherheits-, Kontinuitäts- und Risiko- sowie Compliancemanagement. Das Buch bietet Ihnen durch die Struktur der Sicherheitspyramide das notwendige Handlungswissen, um die ITK, ihre Prozesse, Ressourcen und Organisation sowie den ITK-Lebenszyklus systematisch, anschaulich, effizient und ganzheitlich auf ITK-Sicherheit auszurichten. Neben den Erläuterungen illustrieren Abbildungen die Sachverhalte. Checklisten, Gliederungen und Tabellen aus der Beratungspraxis beschleunigen den Einstieg. Wer sollte dieses Buch lesen? Der Titel sagt es bereits das Buch richtet sich an Leserinnen und Leser, die sich direkt oder indirekt mit der IT-Sicherheit befassen: IT-Sicherheitsbeauftragte, die für die Sicherheit der Informationsverarbeitung insgesamt oder für Teile verantwortlich sind, sollten wissen, wie das Sicherheitsmanagement strukturiert aufgebaut und weiterentwickelt werden kann. Chief Information Security Officers, die für die Sicherheit der Informations- und Telekommunikationstechnologie (ITK) im Unternehmen sowie für deren zielgerichteten strategischen Aufbau verantwortlich sind, sollten wissen, wie sich der Schutzbedarf und die Bedrohungslage entwickeln und das Sicherheitsmanagement strategisch und effizient aufgebaut und gesteuert werden kann. Chief Information Officers, die für die Informations- und Telekommunikationstechnologie (ITK) sowie für deren Sicherheit verantwortlich sind, sollten wissen, mit welchem Vorgehensmodell Die Reichweite der Lösung Das Handlungswissen IT-Sicherheitsbeauftragte Chief Information Security Officers Chief Information Officers VII

8 Vorwort Notfallmanager Sicherheitsauditoren Risikomanager Bereichsleiter Vorstände und Geschäftsführer Fragen, die das Buch beantwortet das Sicherheitsmanagement aufgebaut, gesteuert und weiterentwickelt werden kann. Notfallmanager, die für die Notfall- und Katastrophenvorsorge des Unternehmens insgesamt oder für Teile davon verantwortlich sind, sollten wissen, wie die Notfallplanung zielgerichtet aufgebaut und weiterentwickelt werden kann. Sicherheitsauditoren, welche die ITK-Sicherheit im Unternehmen prüfen und weiterentwickeln, sollten wissen, wie diese Prüfungen in das Sicherheitsmanagement eingebettet sind und wie sie durchgeführt werden können. Risikomanager, die für das Risikomanagement im Unternehmen verantwortlich sind, sollten wissen, wie dieses mit dem Sicherheitsmanagement zusammenspielt. Bereichsleiter, welche die Informationsverarbeitung zur Unterstützung ihrer Geschäftsprozesse nutzen, sollten wissen, wie sie ihre Anforderungen erheben und an den IT-Bereich weitergeben können. Vorstände und Geschäftsführer, die für die Informationsverarbeitung im Unternehmen verantwortlich sind oder sie nutzen, sollten die Entwicklung der Bedrohungslage, die gesetzlichen Rahmenbedingungen und persönlichen Haftungsrisiken kennen und wissen, wie das Sicherheitsmanagement durch eine Sicherheitspolitik und den Sicherheitsregelkreis zielgerichtet und effizienzorientiert gesteuert werden kann. Wie können Sie dieses Buch nutzen? Das vorliegende Buch beantwortet Ihnen die folgenden Fragen Wie kann ich mir einen Überblick über Trends bei Bedrohungen und Schutzbedarf sowie häufige Schwachstellen verschaffen? das Sicherheitsmanagement zielorientiert und systematisch aufbauen? mir einen schnellen Überblick über das Sicherheitsmanagement anhand der Sicherheitspyramide verschaffen? eine Sicherheits-, Kontinuitäts- und Risikopolitik aufbauen? Sicherheitsziele bzw. Sicherheitsanforderungen ermitteln? Sicherheitsziele auf die Schutzobjekte, z. B. ITK, abbilden? eine umfassende Sicherheitsarchitektur konzipieren? Sicherheitsrichtlinien aufstellen? VIII

9 Vorwort Sicherheitskonzepte entwickeln? die Themen Prozesse, Ressourcen und Organisation in das Sicherheitsmanagement integrieren? die Sicherheitsschalen transparent gestalten? das Berechtigungsmodell anschaulich darstellen? den Lebenszyklus von Prozessen, Ressourcen, wie z. B. Systemen, und Produkten sowie Leistungen berücksichtigen? Sicherheitsprüfungen durchführen? den Status des Sicherheitsmanagements verfolgen und steuern? den Sicherheits(management)prozess konzipieren? Sie können das Buch darüber hinaus als Nachschlagewerk verwenden, indem Sie die bereitgestellten Checklisten, das Glossar und Abkürzungsverzeichnis, das Verzeichnis über Gesetze, Vorschriften, Standards, Normen sowie das Sachwortverzeichnis nutzen. Kapitel 2 bietet Eiligen einen ersten schnellen Überblick. Sie können das Buch insgesamt oder nur ausgewählte Kapitel lesen. Die Einleitungen der Kapitel geben Ihnen einen Überblick über die jeweils behandelten Themen. Die Zusammenfassungen am Kapitelende sind für den Schnelldurchlauf gedacht. Außerdem können Sie sich anhand der illustrierenden Abbildungen die Sachverhalte vor Augen führen oder die Checklisten, Gliederungen und Tabellen nutzen, um den Einstieg in die Sicherheitsthematik zu beschleunigen. Für welche Unternehmensgröße eignet sich der Buchinhalt? Die vorangegangenen Ausführungen deuten bereits an, dass die hier vorgestellte Vorgehensmethodik einem ganzheitlichen Ansatz folgt. Dies erweckt leicht den Eindruck, dass sie nur für mittlere und große Unternehmen geeignet ist. Ist dies tatsächlich so? Ich denke: nein. Gesetze, Verordnungen, Standards und Normen gelten meist für alle Unternehmensgrößen. Der Unterschied zwischen großen und kleinen Unternehmen liegt häufig darin, dass sich Umfang, Detaillierungsgrad, Sicherheits- und Regelungsbedarf unterscheiden. Während Sie bei größeren Unternehmen unterschiedliche Standorte, mehrere Gebäude, differenzierte Verantwortlichkeiten, vielfältige und zum Teil komplexe IT-Infrastruktur sowie eigene Softwareentwicklung finden, nehmen die Komplexität und die Sicherheitsanforderungen bei kleineren Unternehmen oftmals ab, sind aber vorhanden. Jedes Unternehmen sollte sich daher Gedanken über Sicherheitsbedarf und Risikofreudigkeit machen. Checklisten, Verzeichnisse, das Kapitel für Eilige und Zusammenfassungen verschaffen schnell gezielten Nutzen Sicherheitsmanagement: nur für Großunternehmen? Sicherheitsmanagement für jede Unternehmensgröße IX

10 Vorwort Kleine und mittlere Unternehmen (KMUs) Kennen Sie Ihre Risiken? Betreiben Sie eine angemessene Unternehmenssicherung? Kapitel 1: Ausgangssituation und Zielsetzung Kapitel 2: Überblick Kapitel 3: 10 Schritte Kapitel 4: Definitionen Ein häufig auch für kleine und mittlere Unternehmen (KMUs) erforderlicher zusätzlicher Regelungs- und Schutzbedarf wird so manches Mal übersehen und führt dann zu unliebsamen Folgen. Zwar ist es für viele Unternehmen selbstverständlich, dass der Zutritt zu den Räumlichkeiten geschützt ist, dass das Verhalten in Notfällen dokumentiert ist, dass Lizenzen eingehalten werden und dass Vereinbarungen zur Geheimhaltung, zum Datenschutz und zum Surfen im Internet existieren. Auch Datensicherungen und Virenscanner gehören quasi zum Standard, ebenso wie Firewalls und Spam-Filter. Doch ist bekannt, welche Folgen der Ausfall eines Geschäftsprozesses, der Räumlichkeiten, der IT, der Telefonanlage oder eines Service- Gebers hat und in welcher Kosten-Nutzen-Relation entsprechende Sicherheitsmaßnahmen stehen? Was dürfen Ihre Mitarbeiter? Kennen die Verantwortlichen die gesetzlichen Anforderungen? Werden Datensicherungen an einen sicheren Ort ausgelagert und ihre Lesbarkeit geprüft? Werden Virenscanner aktuell gehalten? Zugegebenermaßen: Fragen über Fragen und noch längst nicht alle. Doch ihre Beantwortung liefert einen Beitrag zur Risikolage und durch entsprechende oftmals einfache Umsetzung in der Folge zur Unternehmens- und Existenzsicherung. Geringere Komplexität und Anforderungsfülle bei kleinen Unternehmen führen so zu einem schlankeren Sicherheits-, Kontinuitäts- und Risikomanagement, das aber nichtsdestotrotz ganzheitlich, systematisch und unternehmensbezogen vollständig sein sollte. Wie ist dieses Buch aufgebaut? Das Kapitel 1, Ausgangssituation und Zielsetzung, geht ein auf Entwicklungstrends bei Bedrohungen und Schutzbedarf sowie die Sicherheitssituation in Unternehmen. Ferner erläutert es die Notwendigkeit für ein systematisches und strategisches Sicherheits-, Kontinuitäts- und Risikomanagement. Für Eilige gibt Kapitel 2 einen kurzgefassten Überblick über die Inhalte der Sicherheitspyramide. Kapitel 3 nennt Ihnen kurz und prägnant 10 Schritte zum Sicherheits-, Kontinuitäts- und Risikomanagement. Kapitel 4 stellt verschiedene Begriffe und Definitionen aus dem Sicherheits-, Kontinuitäts- und Risikomanagement vor, die in diesem Buch verwendet werden. Es behandelt u. a. das Sicherheitsmanagement einschließlich Standards und Practices, die ingenieurmäßige Sicherheit, die Sicherheitspyramide und politik, Ressourcen, Schutzobjekte und subjekte sowie Sicherheitskriterien, die Business Impact X

11 Vorwort Analysis, Geschäftskontinuität (Business Continuity), Risikodreiklang und Risikomanagement. Kapitel 5 gibt eine zusammenfassende Beschreibung des Aufbaus und der Inhalte der dreidimensionalen Sicherheitspyramide des Autors. Die Kapitel 6 bis 14 beschreiben die einzelnen Elemente der Sicherheitspyramide. Kapitelweise behandelt das Buch zuerst die hierarchischen Ebenen der Sicherheitspyramide, beginnend bei der Sicherheits-, Kontinuitäts- und Risikopolitik, über die Sicherheitsziele, deren Transformation, die Sicherheitsarchitektur, -richtlinien, -konzepte und -maßnahmen. Insbesondere der Architektur ist ein ausgiebiges Kapitel gewidmet, da sie Basis für die Richtlinien, Konzepte und Maßnahmen ist. Berücksichtigung finden prozessuale, ressourcenspezifische und organisatorische Aspekte. Zu den behandelten Themen gehören u. a. Datensicherung, Firewalls, Identitäts- und Accessmanagement, Intrusion-Prevention-Systeme, Virenscanner und biometrische Systeme. Entsprechend der pyramidenförmigen Darstellung nimmt der Umfang und Detaillierungsgrad in der Praxis von Ebene zu Ebene zu. Es folgt die Darstellung des IT-Lebenszyklus. Kapitel 14 enthält die Erläuterung des Sicherheitsregelkreises. Kapitel 15 erläutert Reifegradmodelle und insbesondere das vom Autor konzipierte Reifegradmodell der Sicherheit, mit dem sich der Leser einen ersten Überblick über den Reifegrad des Sicherheitsmanagements im eigenen Unternehmen verschaffen kann. Kapitel 16 beschreibt ausgehend von der Sicherheitspyramide den vom Autor konzipierten Sicherheitsprozess bzw. Sicherheitsmanagementprozess oder auch Sicherheits-, Kontinuitäts- und Risikomanagementprozess, durch den das Sicherheits-, Kontinuitäts- und Risikomanagement geplant, aufgebaut, betrieben, geprüft, weiterentwickelt und am Leben gehalten wird. Kapitel 17 führt in einer Checkliste Basiselemente zu wichtigen Sicherheitseckpunkten auf. Den Abschluss des Buchs bilden das Abbildungs- und Markenverzeichnis, das Verzeichnis über Gesetze, Vorschriften, Standards und Normen sowie das Literatur- und Quellenverzeichnis. Nach dem Glossar und Abkürzungs- sowie dem Sachwortverzeichnis folgen im letzten Kapitel Informationen über den Autor. Kapitel 5: Sicherheitspyramide Kapitel 6-14: Elemente der Sicherheitspyramide Kapitel 15: Reifegradmodell des Autors Kapitel 16: Sicherheitsmanagementprozess des Autors Kapitel 17: Minimale Sicherheit Gesetze, Normen, Literatur, Glossar, Sachwörter XI

12 Vorwort Generisches Maskulinum In diesem Buch verwendet der Autor ausschließlich aus Gründen der besseren Lesbarkeit das generische Maskulinum, d. h. die männliche Form, auch wenn beide Geschlechter gemeint sind. Struktur der Kapitel: Einführung, Unterkapitel, Hilfsmittel, Praxisbeispiele, Zusammenfassung Abbildungen und Tabellen Welche Struktur haben die Kapitel? Die Kapitel enthalten sofern sinnvoll eine Einführung und einleitende Darstellung der jeweils folgenden Unterkapitel. Im Anschluss an die thematischen Beschreibungen in den Unterkapiteln folgen verschiedentlich praxisorientierte Hilfsmittel, z. B. Checklisten und Vorgehenselemente, die den erstmaligen Aufbau unterstützen und zum Gegencheck bei bereits etablierten Sicherheitsmanagementsystemen dienen können. Verschiedene aus der und für die Praxis angepasste Beispiele veranschaulichen die jeweilige Thematik. Eine Zusammenfassung bildet den Abschluss insbesondere größerer Kapitel. Abbildungen und Tabellen visualisieren und strukturieren die Texte und machen sie transparent. Was bedeuten die Piktogramme? Dieses Symbol kennzeichnet Informationen, die z. B. aus der Presse stammen. Abschnitte, in denen Erlebnisse des Autors dargestellt sind, hebt dieses Zeichen hervor. Erlebnisse dienen der Illustration der jeweiligen Kapitel und stellen den Praxisbezug her. Dieses Zeichen macht Tipps kenntlich. Was war neu in der 2. Auflage? Gegenüber der ersten Auflage des Buchs IT-Sicherheit mit System vom Mai 2003, das Ende Juli 2003 erschienen ist, wurde die zweite Auflage aktualisiert und deutlich erweitert. Neu hinzugekommen waren dort insbesondere folgende Themen: Ingenieurmäßige Sicherheit (Safety and Security Engineering) Ressourcen, Schutzobjekte und subjekte sowie klassen Geschäftskontinuität (Business Continuity) 10 Schritte zum Sicherheitsmanagement das Konformitäts-, Risiko-, Ereignis-, Wartungs-, Architektur-, Innovations- und Identitätsmanagement sowie das Patch- als Teil des Änderungsmanagements und der USB-Token der Sicherheitsprozess bzw. Sicherheitsmanagementprozess. XII

13 Vorwort Erweitert wurden u. a.: die Sicherheitspyramide von der Version III zur Version IV der Risikodreiklang die Sicherheitspolitik zur Sicherheits- und Risikopolitik die Sicherheitsprinzipien das Leistungsmanagement um Sourcing und Provider-Management, ferner das Lizenz- und das Konfigurationsmanagement die Ausführungen zur Authentisierung und zu Firewalls das Glossar und Abkürzungsverzeichnis das Verzeichnis über Gesetze, Vorschriften, Standards, Normen. Was ist neu in dieser 3. Auflage? Gegenüber der zweiten Auflage des Buchs IT-Sicherheit mit System vom April 2005, die im August 2005 erschienen ist, ist die vorliegende dritte Auflage an verschiedenen Stellen aktualisiert und in folgenden Themenfeldern deutlich erweitert worden: ITK-Sicherheitsmanagement (ISO :2004, ISO 17799:2005, ISO 27001:2005, ISO 27002:2005, ITIL Security Management, IT- Grundschutzhandbuch 2006, COBIT 4.0, BS :2006) Business-Safety-Security-Continuity-Risk-Alignment Externe Sicherheitsanforderungen einschließlich Sarbanes-Oxley Act und EuroSOX Ereignismanagement und Kennzahlen Architekturmanagement (biometrische Systeme, serviceorientierte Architektur, SOA, SOA Security, Web Services Security, SOAP, SAML, XACML, XKMS, Grid Computing, Grid Security, Kontrollen/Kontrollelemente (Controls)) Sicherheitsrichtlinien Lebenszyklus (erweiterte Sicherheitselemente im Entwicklungsprozess) Reifegradmodelle Glossar, u. a. Botnet, CHAP, DLM, DNS, DRM, EICAR, etan, Fingerprinting, IMAP, itan, IT-Compliance, JCE, JSSE, Key- Logger, Konformität, LDAP, mtan, OASIS TM, PAP, Pharming, Phishing, POP, RADIUS, SAS No. 70, SQL-Injektion, TLS, VoIP, XSS XIII

14 Vorwort Familie Müller Lektorat Vieweg-IT ACG GmbH Leser von IT-Sicherheit mit System Qualität und Verbreitung der Sicherheitspyramide Wem sage ich Dank? Auch diese Auflage entstand an langen Abenden, an Wochenenden und in Urlauben. Von daher bedanke ich mich bei meiner Familie, deren Toleranz für einen viel beschäftigten Ehemann und Vater ich wieder einmal stark beanspruchte. Meiner Frau, selbst Herausgeberin und Co-Autorin verschiedener Lexika und Bücher sowie Lektorin und Übersetzerin, danke ich erneut für wertvolle Hinweise. Ich bedanke mich bei meinen zum einen germanistisch und geschichtlich studierten sowie zum anderen zeichnerisch-musikalisch bewanderten Eltern und ihrer erfolgreichen Förderung. Sie macht sich an vielen Stellen dieses Buchs positiv bemerkbar. Meinen Geschwistern danke ich für ihre Unterstützung. Dem Lektorat Vieweg-IT sage ich Dank und hier insbesondere Herrn Schulz für die Unterstützung bei der 3. Auflage, Herrn Dr. Klockenbusch für seine konstruktiven Hinweise und Vermarktungsideen zu den vorherigen Auflagen sowie Herrn Dapper, weil er mir vor der 1. Auflage den Anstoß gab, das Rohmanuskript zu einem Buch werden zu lassen. Herrn G. Neidhöfer, Geschäftsführer der ACG Automation Consulting Group GmbH in Frankfurt, einer renommierten Unternehmensberatung, danke ich, weil er meine Ambitionen als Fachautor, die sich bisher in verschiedenen Artikeln und Büchern niedergeschlagen haben, stets unterstützt hat. Nicht zuletzt danke ich den vielen Lesern der vorherigen Auflagen, deren Feedback mich bestätigt sowie zu weiterem Schreiben angeregt hat, und zwar einerseits in Form dieser Neuauflage und andererseits in Form des Handbuchs Unternehmenssicherheit, das die Sicherheit der IT und des Unternehmens als Ganzes betrachtet. Nicht zuletzt Ihr Kaufinteresse hat den Verlag zu einer Neuauflage des vorliegenden Buchs motiviert. (Am Rande bemerkt: Heißt es eigentlich motivieren zu oder für oder ist beides möglich? Die Antwort finden Sie vielleicht in dem einen oder anderen Wörterbuch und voraussichtlich ab 2008 oder 2009 in einem großvolumigen Welt-Unikat, dem Wörterbuch der deutschen Präpositionen von Dr. Wolfgang Müller, vorab vorgestellt in der Zeitschrift für germanistische Linguistik, 3/2004.) Die Bezeichnung Sicherheitspyramide wurde von mir Mitte der 90er Jahre des vorigen Jahrhunderts zusammen mit ihrer Darstellung veröffentlicht. Als Indiz für die Qualität und den Anklang meiner dreidimensionalen Sicherheitspyramide sowie meiner Artikel und XIV

15 Vorwort Bücher, so manches Mal sogar einer Vordenkerrolle, betrachte ich auch die seit jener Zeit und noch vermehrt nach Erscheinen meiner Bücher auftauchende Verwendung dieses Begriffs durch Dritte. Dies gilt ebenso für jene vereinzelt vorzufindenden Präsentationen und Grafiken Dritter, die eine bemerkenswerte strukturelle und/oder verbale Ähnlichkeit zur geschützten Darstellung meiner Sicherheitspyramide aufweisen. Ferner bezieht es sich auf Unterlagen und Darstellungen, die auf von mir geprägte Begriffe zurückgreifen. Zu finden sind sie in verschiedenen Publikationsmedien. Als Bestätigung des Vorgehensmodells in Form der Sicherheitspyramide und deren Inhalten bzw. als Zeichen hoher Wertschätzung meiner Bücher und Publikationen sehe ich es an, dass sich Kernelemente und methoden in Werken zur IT-Sicherheit wiederfinden. So manches Mal ist hierbei eine zeitliche Korrelation zwischen dem Erscheinen meiner Veröffentlichungen und dem anschließenden Auftauchen der darin vorgestellten Ideen, Ansätze, Begriffe, Hilfsmittel und Formulierungen feststellbar. Sie finden in diesem Buch nur sehr begrenzt Zitate Dritter bzw. Textpassagen anderer Werke, dafür aber vielfältige Quellen- und verschiedene Markenangaben. Dies geschieht in Anerkennung der jeweiligen Leistung sowie in Achtung des Urheber- und Markenschutzes sowie des geistigen Eigentums und der Marken Dritter. Ich gehe davon aus und finde dies bei Profis und in Diplomarbeiten bestätigt, dass Leser meiner Bücher ebenfalls urheberrechtskonforme Quellenangaben verwenden. Für diese und mich gilt folgender Aphorismus nicht: Wer sich mit fremden Federn schmückt, dem fehlen eigene. (kein asiatisches Sprichwort) (29. April 2007, Dr.-Ing. Klaus-Rainer Müller) Für die IT und ITK finden Sie das durchgängige und wegweisende Original der dreidimensionalen Sicherheitspyramide nach Dr.-Ing. Müller in diesem Buch und im Handbuch Unternehmenssicherheit. Letzteres ist Wegbereiter und Trendsetter für das Zusammenwachsen von IT- und Unternehmenssicherheit sowie von Sicherheits-, Kontinuitäts- und Risikomanagement. Es spricht neben diesen Themen außerdem externe Sicherheitsanforderungen durch Gesetze und Aufsichtsbehörden bis hin zu berufsgenossenschaftlichen Vorschriften an. Haben Sie es schon gelesen? XV

16 Vorwort Wem ist dieses Buch gewidmet? Für meine Familie, meine Eltern und Geschwister. Was ist sicher? Eins ist sicher: Nichts ist sicher. (01. August 1998, Dr.-Ing. Klaus-Rainer Müller) Lesbarkeit und Zielsetzung Ihr konstruktives Feedback ist gefragt Was können Sie tun? Ein weiterer für Sie wichtiger Aspekt ist die Lesbarkeit und Zielsetzung des Buchs. Ist das Buch eher wissenschaftlich trocken oder interessant lesbar und mit praktischen Beispielen und Tipps gewürzt? Ich selbst habe mir vorgenommen, ein fundiertes und angemessen schlankes Buch zu schreiben, das praxisorientiert auf dem Modell der Sicherheitspyramide aufbaut, dabei einen wissenschaftlichen Beitrag zum Sicherheits-, Kontinuitäts- und Risikomanagement liefert und außerdem verständlich und leicht lesbar sowie zum Zeitpunkt der Manuskripterstellung aktuell ist. Ich hoffe, das ist mir mit dem vorliegenden Buch gelungen. Beurteilen werden dies letztendlich Sie, die Leser, auf deren konstruktive Kritik ich mich unter dem von meinem Vater, einem international renommierten Germanisten, in seinem Gegenwort-Wörterbuch angegebenen leicht abgewandelten Motto freue: Wenn Ihnen dieses Buch gefällt, sagen Sie es weiter, wenn nicht, sagen Sie es mir. In diesem Sinne wünsche ich Ihnen eine spannende, interessante und weiterführende Lektüre. Groß-Zimmern, im Juli 2007 Dr.-Ing. Klaus-Rainer Müller Weitere Informationen des Autors finden Sie zum Zeitpunkt der Drucklegung unter XVI

17 Inhaltsübersicht 1 Ausgangssituation und Zielsetzung Kurzfassung und Überblick für Eilige Zehn Schritte zum Sicherheitsmanagement Definitionen zum Sicherheits-, Kontinuitäts- und Risikomanagement Die Sicherheitspyramide Strategie und Vorgehensmodell Sicherheits-, Kontinuitäts- und Risikopolitik Sicherheitsziele / Sicherheitsanforderungen Sicherheitstransformation Sicherheitsarchitektur Sicherheitsrichtlinien/-standards Generische Sicherheitskonzepte Spezifische Sicherheitskonzepte Sicherheitsmaßnahmen Lebenszyklus Sicherheitsregelkreis Reifegradmodell des Sicherheitsmanagements Safety/Security/Continuity Management Maturity Model Sicherheitsmanagementprozess Minimalistische Sicherheit Abbildungsverzeichnis Markenverzeichnis Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices Literatur- und Quellenverzeichnis Glossar und Abkürzungsverzeichnis Sachwortverzeichnis Über den Autor XVII

18 Inhaltsverzeichnis 1 Ausgangssituation und Zielsetzung Ausgangssituation Bedrohungen Schwachstellen Schutzbedarf Zielsetzung des Sicherheits-, Kontinuitäts- und Risikomanagements Lösung Zusammenfassung Kurzfassung und Überblick für Eilige Zehn Schritte zum Sicherheitsmanagement Definitionen zum Sicherheits-, Kontinuitäts- und Risikomanagement Unternehmenssicherheitsmanagementsystem Informationssicherheitsmanagementsystem Sicherheitsmanagement ITK-Sicherheitsmanagement ISO/IEC : ISO/IEC 17799:2005, ISO/IEC 27002: ISO/IEC 27001: ISO/IEC Reihe ITIL Security Management IT-Grundschutzhandbuch, IT-Grundschutzkataloge des BSI COBIT, Version BS : BS Fazit: Normen und Practices versus Sicherheitspyramide Ingenieurmäßige Sicherheit Safety, Security, Continuity Engineering Sicherheitspyramide Sicherheitspolitik nach IT-Grundschutzhandbuch/-katalogen (IT-GSHB 2006) nach ITSEC nach ISO/IEC : nach ISO (Common Criteria) nach ISO/IEC 17799:2005 bzw. ISO/IEC 27002: nach ISO/IEC 27001: nach Dr.-Ing. Müller Vergleich Sicherheit im Lebenszyklus...55 XVIII

19 Inhaltsverzeichnis 4.9 Ressourcen, Schutzobjekte und -subjekte sowie -klassen Sicherheitskriterien Geschäftseinflussanalyse (Business Impact Analysis) Geschäftskontinuität (Business Continuity) Sicherheit und Sicherheitsdreiklang Risiko und Risikodreiklang Risikomanagement Zusammenfassung Die Sicherheitspyramide Strategie und Vorgehensmodell Überblick Sicherheitshierarchie Sicherheits-, Kontinuitäts- und Risikopolitik Sicherheitsziele / Sicherheitsanforderungen Sicherheitstransformation Sicherheitsarchitektur Sicherheitsrichtlinien Spezifische Sicherheitskonzepte Sicherheitsmaßnahmen PROSim Lebenszyklus von Prozessen, Ressourcen, Produkten und Leistungen (Services) Geschäfts-, Support- und Begleitprozess-Lebenszyklus Ressourcen-/Systemlebenszyklus Dienstleistungs- und Produktlebenszyklus Sicherheitsregelkreis Sicherheitsmanagementprozess Zusammenfassung Sicherheits-, Kontinuitäts- und Risikopolitik Zielsetzung Umsetzung Inhalte Checkliste Praxisbeispiele Sicherheits-, kontinuitäts- und risikopolitische Leitsätze Versicherung Sicherheits-, Kontinuitäts- und Risikopolitik Zusammenfassung Sicherheitsziele / Sicherheitsanforderungen Schutzbedarfsklassen Schutzbedarfsanalyse Prozessarchitektur und Prozesscharakteristika XIX

20 Inhaltsverzeichnis Externe Sicherheitsanforderungen Geschäftseinflussanalyse (Business Impact Analysis) Betriebseinflussanalyse (Operational Impact Analysis) Tabelle Schadensszenarien Praxisbeispiele Schutzbedarf der Geschäftsprozesse ITK-Schutzbedarfsanalyse Schutzbedarfsklassen Zusammenfassung Sicherheitstransformation Haus zur Sicherheit House of Safety, Security and Continuity (HoSSC) Safety, Security and Continuity Function Deployment (SSCFD) Transformation der Anforderungen auf Sicherheitscharakteristika Detaillierung der Sicherheitscharakteristika Abbildung der Charakteristika auf den Lebenszyklus Schutzbedarfsklassen Praxisbeispiele Zusammenfassung Sicherheitsarchitektur Überblick Prinzipielle Sicherheitsanforderungen Prinzipielle Bedrohungen Strategien und Prinzipien Risikostrategie (Risk Strategy) Sicherheitsstrategie (Safety, Security and Continuity Strategy) Prinzip der Wirtschaftlichkeit Prinzip der Abstraktion Prinzip der Klassenbildung Poka-Yoke-Prinzip Prinzip der Namenskonventionen Prinzip der Redundanz (Principle of Redundancy) Prinzip des aufgeräumten Arbeitsplatzes (Clear Desk Policy) Prinzip des gesperrten Bildschirms (Clear Screen Policy) Prinzip der Eigenverantwortlichkeit Vier-Augen-Prinzip (Confirmed Double Check Principle) Prinzip der Funktionstrennung (Segregation of Duties) Prinzip der Sicherheitsschalen (Security Shells) Prinzip der Pfadanalyse Prinzip des generellen Verbots (Deny All Principle) Prinzip der minimalen Rechte (Need to Use Principle) Prinzip der minimalen Dienste XX

21 Inhaltsverzeichnis Prinzip der minimalen Nutzung Prinzip der Nachvollziehbarkeit und Nachweisbarkeit Prinzip des sachverständigen Dritten Prinzip des Closed-Shop-Betriebs und der Sicherheitszonen Prinzip der Prozess-, Ressourcen- und Lebenszyklusimmanenz Prinzip der Konsolidierung Prinzip der Standardisierung (Principle of Standardization) Prinzip der Plausibilisierung (Principle of Plausibleness) Prinzip der Konsistenz (Principle of Consistency) Prinzip der Untergliederung (Principle of Compartmentalization) Prinzip der Vielfältigkeit (Principle of Diversity) Sicherheitselemente Prozesse im Überblick Konformitätsmanagement (Compliance Management) Datenschutzmanagement (Privacy Management) Risikomanagement (Risk Management) Leistungsmanagement (Service Level Management) Finanzmanagement (Financial Management) Projektmanagement (Project Management) Qualitätsmanagement (Quality Management) Ereignismanagement (Incident Management) Problemmanagement (Problem Management) Änderungsmanagement (Change Management) Releasemanagement (Release Management) Konfigurationsmanagement (Configuration Management) Lizenzmanagement (Licence Management) Kapazitätsmanagement (Capacity Management) Wartungsmanagement (Maintenance Management) Kontinuitätsmanagement (Continuity Management) Securitymanagement (Security Management) Architekturmanagement (Architecture Management) Innovationsmanagement (Innovation Management) Personalmanagement (Human Resources Management) Ressourcen im Überblick ITK-Hard- und Software Infrastruktur Dokumente Personal Organisation im Überblick Lebenszyklus im Überblick Hilfsmittel Sicherheits- und Risikoarchitekturmatrix Zusammenfassung XXI

22 Inhaltsverzeichnis 10 Sicherheitsrichtlinien/-standards Generische Sicherheitskonzepte Übergreifende Richtlinien Sicherheitsregeln Prozessvorlage IT-Benutzerordnung Nutzung Internet-Nutzung Betriebs- und Begleitprozesse (Managementdisziplinen) Kapazitätsmanagement Kontinuitätsmanagement Securitymanagement Ressourcen Zutrittskontrollsystem Passwortspezifische Systemanforderungen Wireless LAN Organisation Zusammenfassung Spezifische Sicherheitskonzepte Prozesse Kontinuitätsmanagement Ressourcen Betriebssystem Zusammenfassung Sicherheitsmaßnahmen Ressourcen Betriebssystem: Protokoll Passworteinstellungen Zusammenfassung Lebenszyklus Beantragung Planung Fachkonzept, Anforderungsspezifikation Technisches Grobkonzept Technisches Feinkonzept Entwicklung Integrations- und Systemtest Freigabe Software-Evaluation Auslieferung Abnahmetest und Abnahme XXII

23 Inhaltsverzeichnis Software-Verteilung Inbetriebnahme Betrieb Außerbetriebnahme Hilfsmittel Phasen-Ergebnistypen-Tabelle Zusammenfassung Sicherheitsregelkreis Sicherheitsprüfungen Sicherheitsstudie/Risikoanalyse Penetrationstests IT-Security-Scans Sicherheitscontrolling Berichtswesen (Safety-Security-Reporting) Anforderungen Inhalte Safety-Security-Benchmarks Hilfsmittel IT-Sicherheitsfragen Zusammenfassung Reifegradmodell des Sicherheitsmanagements Safety/Security/Continuity Management Maturity Model Systems Security Engineering Capability Maturity Model Information Technology Security Assessment Framework Security-Maturity-Modell Reifegradmodell nach Dr.-Ing. Müller Stufe 0: unbekannt Stufe 1: begonnen Stufe 2: konzipiert Stufe 3: standardisiert Stufe 4: integriert Stufe 5: gesteuert Stufe 6: selbst lernend Checkliste Reifegrad Praxisbeispiel Zusammenfassung Sicherheitsmanagementprozess Deming- bzw. PDCA-Zyklus Planung Durchführung Prüfung Verbesserung XXIII

24 Inhaltsverzeichnis 16.6 Zusammenfassung Minimalistische Sicherheit Abbildungsverzeichnis Markenverzeichnis Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices Deutsche Gesetze und Verordnungen Österreichische Gesetze und Verordnungen Schweizer Gesetze, Verordnungen und Richtlinien Britische Gesetze, Verordnungen und Richtlinien Europäische Richtlinien US-amerikanische Gesetze, Verordnungen und Richtlinien Ausführungsbestimmungen, Grundsätze, Vorschriften Standards, Normen, Leitlinien und Rundschreiben Literatur- und Quellenverzeichnis Glossar und Abkürzungsverzeichnis Sachwortverzeichnis Über den Autor XXIV

25 Sicherheitspyramide IV nach Dr.-Ing. Müller PROSim Prozesse Ressourcen Organisation Sim = Sicherheitsmanagement Top-down: Aufbau und Weiterentwicklung S+R politik Sicherheitsziele Sicherheitstransformation Sicherheitsarchitektur Sicherheitsrichtlinien Bottom-up: Prüfung und Weiterentwicklung Sicherheitskonzepte Sicherheitsmaßnahmen Klaus-Rainer Müller, IT-Sicherheit mit System, Vieweg Prozess-, Ressourcen-, Dienstleistungs-, Produktlebenszyklus S+R = Sicherheit und Risiko Sicherheit = Betriebs- und Angriffssicherheit Sicherheitspyramide IV nach Dr.-Ing. Müller bzw. Sicherheitsmanagementpyramide IV nach Dr.-Ing. Müller Anmerkung: Sicherheit beinhaltet Betriebs- und Angriffssicherheit sowie Kontinuität, die Sicherheitspyramide umfasst Sicherheit und Risiko XXV

26 Safety, Security, Continuity and Risk Pyramid IV according to Dr.-Ing. Müller Processes PROSSCRM Resources Top down: Construction and Development Organisation SSCR Policy SSCR Objectives SSCR Function Deployment SSCR Architecture SSCR Guidelines Bottom up: Check and Development SSCR Specifications SSCR Measures Klaus-Rainer Müller, IT-Sicherheit mit System, Vieweg Process - -, Resource - -, Service - -, Product Life Cycle SSCRM = SSCR Management SSCR = Safety, Security, Continuity and Risk Safety, Security, Continuity and Risk Pyramid IV according to Dr.-Ing. Müller or Safety, Security, Continuity and Risk Management Pyramid IV according to Dr.-Ing. Müller XXVI