Modul. Management der Informationssicherheit

Transkript

1 Modul Management der Informationssicherheit Studienbrief 1: Einleitung und Motivation Studienbrief 2: Governance im Bereich der IS Studienbrief 3: Risikomanagement im Bereich IS Studienbrief 4: Umsetzung im IS-Programm Studienbrief 5: Vorfallsmanagement im Bereich der IS Studienbrief 6: Vorgehensweise nach BSI IT-Grundschutz Studienbrief 7: Zusammenfassung und Fazit Autor: Dr. Christoph Wegener, CCSK, CISA, CISM, CRISC, GDDcert 1. Auflage Ruhr-Universität Bochum

2 2014 Dr. Christoph Wegener Ruhr-Universität Bochum Fakultät für Elektrotechnik und Informationstechnik Gebäude ID 1/ Bochum 1. Auflage (1. Oktober 2014) Didaktische und redaktionelle Bearbeitung: Der Autor bedankt sich bei zahlreichen Personen, die ihn durch konstruktive Kritik bei der Erarbeitung des vorliegenden Moduls unterstützt haben. Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Jede Verwendung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung der Verfasser unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Um die Lesbarkeit zu vereinfachen, wird auf die zusätzliche Formulierung der weiblichen Form bei Personenbezeichnungen verzichtet. Wir weisen deshalb darauf hin, dass die Verwendung der männlichen Form explizit als geschlechtsunabhängig verstanden werden soll.

3 Inhaltsverzeichnis Seite 3 Inhaltsverzeichnis Einleitung zu den Studienbriefen 5 I. Abkürzungen der Randsymbole und Farbkodierungen II. Zu den Autoren III. Modullehrziele Studienbrief 1 Einleitung und Motivation Informationssicherheit vs. IT-Sicherheit Standards zur Informationssicherheit BSI-Standards zur Informationssicherheit Wichtige Prinzipien Ausblick auf die folgenden Kapitel Studienbegleitende Literatur Studienbrief 2 Governance im Bereich der IS Aufbau und Aufrechterhaltung einer IS-Strategie Aufbau und Aufrechterhaltung eines IS-Governance Frameworks Integration der IS-Governance in die Corporate Governance Aufbau und Fortschreibung eines IS-Policy Frameworks Business Cases - Entwicklung von praxisnahen Beispielen Berücksichtigung von internen und externen Faktoren Einholen der Unterstützung des Managements Festlegen von Rollen und Verantwortlichkeiten Grundlagen für die Kommunikation mit dem Management Studienbrief 3 Risikomanagement im Bereich IS Prozess zur Klassifizierung der Informationswerte Rechtliche und regulatorische Randbedingungen Regelmäßiges Risikoassessment Möglichkeiten der Risikominimierung Kontrollen im Bereich Informationssicherheit Der Prozess des Risikomanagements Einbindung in die normalen Prozesse der Organisation Monitoring von Risiken Bericht von Compliance-Verletzungen Studienbrief 4 Umsetzung im IS-Programm Ausrichtung des IS-Programms an den übrigen Prozessen der Organisation Bestimmung von internen und externen Ressourcen Architektur der Informationssicherheit Standards, Arbeitsanweisungen und Handlungsempfehlungen Security Awareness und Security Training Integration in die Geschäftsprozesse Berücksichtigung von Verträgen Aufbau eines Monitoring- und Reportingsystems unter Nutzung von Metriken Studienbrief 5 Vorfallsmanagement im Bereich der IS Festlegung Was ist ein Sicherheitsvorfall? Entwicklung und Aufrechterhaltung eines Incident Response-Plans Aufbau eines Prozesses, der die Erkennung von Vorfällen sicher stellt Aufbau eines Prozesses zur Untersuchung von Sicherheitsvorfällen Aufbau eines Prozesses zur Eskalation und Kommunikation von Vorfällen Aufbau und Training der Incident Response-Teams Regelmäßige Übungen Aufbau von Kommunikationsprozessen

4 Seite 4 Inhaltsverzeichnis 5.9 Durchführen von Nachvorfallsbehandlungen Integration in Desaster Recovery- und Business Continuity-Prozesse Studienbrief 6 Vorgehensweise nach BSI IT-Grundschutz Initiierung des Informationssicherheitsprozesses Erstellung einer Sicherheitskonzeption Schutzbedarfsfeststellung Umsetzung der Sicherheitskonzeption Aufrechterhaltung und Verbesserung Zertifizierung Studienbrief 7 Zusammenfassung und Fazit 105 Verzeichnisse Abbildungen Literatur

5 Einleitung zu den Studienbriefen Seite 5 Einleitung zu den Studienbriefen I. Abkürzungen der Randsymbole und Farbkodierungen Axiom Beispiel Definition Exkurs Kontrollaufgabe Merksatz Quelle Satz Übung A B D E K M Q S Ü

6 Seite 6 Einleitung zu den Studienbriefen II. Zu den Autoren Dr. Christoph Wegener (CCSK, CISA, CISM, CRISC, GDDcert) ist seit 1999 als freiberuflicher Berater mit der wecon.it-consulting in den Bereichen Informationssicherheit, Datenschutz und Open Source aktiv. Zudem ist er nach mehr als achtjähriger Tätigkeit am Horst Görtz Institut für IT-Sicherheit (HGI) an der Ruhr-Universität Bochum nun der IT-Leiter der dortigen Fakultät für Elektrotechnik und Informationstechnik. In dieser Position verantwortet er insbesondere die Themen Informationssicherheit und Datenschutz. Herr Dr. Wegener ist Autor zahlreicher Fachbeiträge und Sprecher auf nationalen und internationalen Konferenzen und engagiert sich in der Ausbildung im Bereich der Informationssicherheit. Darüber hinaus ist er Mitglied des Beirats der Zeitschrift "Datenschutz und Datensicherheit DuD", Gründungsmitglied der Arbeitsgruppe Identitätsschutz im Internet (a-i3) und des German Chapters der Cloud Security Alliance (CSA) und dort, sowie von 2007 bis 2014 in der German Unix User Group (GUUG), Mitglied des Vorstands.

7 Modullehrziele Seite 7 III. Modullehrziele Informationssicherheit ist mehr als (die Umsetzung der technischen Aspekte im Rahmen der) IT-Sicherheit. Neben den technischen Fragen müssen auch die Aspekte Personen und Prozesse mit berücksichtigt werden. Darüber hinaus stehen jeder Organisation nur begrenzte Ressourcen zur Verfügung, allein dies schließt das Erreichen von 100 %iger Sicherheit aus und macht deutlich, dass Informationssicherheit wie IT-Sicherheit als Dienstleistungsfunktionen verstanden werden müssen, die sich dem eigentlichen Geschäftsprozess einer Organisation unterordnen. Im Rahmen dieses Moduls sollen nun -auf Basis der Vorgehensweisen der amerikanischen Information Systems Audit and Control Association (kurz: ISACA) [7] bzw. der des deutschen Bundesamts für Sicherheit in der Informationstechnik (kurz: BSI ) [2]- die Grundlagen des Managements der Informationssicherheit vermittelt werden. Dazu gehört zunächst ein Verständnis für die Fragen der Governance, damit die Informationssicherheit von vorneherein an den Prozessen der Organisation ausgerichtet wird. Daneben spielt auch das Risikomanagement eine wichtige Rolle, das die Grundlagen für die zahlreichen Entscheidungen im Kontext Wann sollen welche Maßnahmen wie umgesetzt werden? und damit im Bereich des Managements der Informationssicherheit liefert. Auf dieser Basis wird dann vermittelt, wie die Informationssicherheit in der Organisation verankert werden kann, es wird ein Programm zur Informationssicherheit etabliert. Da es aber -allen Vorbereitungen zum Trotz- dennoch zu Sicherheitsvorfällen kommen kann, muss die Organisation auch darauf entsprechend vorbereitet sein. Hierzu wird auf Grundlage der Frage rund um den Aspekt Was ist ein Sicherheitsvorfall? vermittelt, was zu einer angemessenen Vorbereitung auf diese Problemfälle zu zählen ist. Schließlich gibt es mit dem BSI-Standard eine -insbesondere in Deutschland- etablierte Vorgehensweise für die Umsetzung der Informationssicherheit, dessen Grudnzüge ebefalls vermittelt werden.

8

9 Studienbrief 1 Einleitung und Motivation Seite 9 Studienbrief 1 Einleitung und Motivation Obwohl schwer greifbar, stellen Informationen die eigentlichen Werte für Unternehmen und Behörden dar. Gehen Informationen verloren, drohen Unternehmen und Behörden nicht nur entsprechende rechtliche Konsequenzen oder ein schwer messbarer Imageschaden, auch der Betrieb an sich wird negativ beeinträchtigt und das, obwohl die die Informationen verarbeitenden Systeme vielleicht sogar noch völlig intakt sind. Interessanterweise bestreitet heute niemand mehr, dass die Systeme, die die Informationen verarbeiten, also die Informationstechnologie (IT) im Unternehmen entsprechend zu schützen sind. Informationen liegen aber eben gerade nicht nur als Bits und Bytes auf den Speichermedien der IT vor, sondern tauchen in Unternehmen und Behörden an vielfältigen Stellen auf. Beispielhaft seien hier die immer noch existierenden Papierakten und sonstige Informationen auf Papier oder auch die Informationen in den Köpfen der Mitarbeiter genannt. Da mit den oben genannten Auswirkungen des Verlustes von Informationen regelmäßig auch hohe Kosten verbunden sein werden, sind Informationen daher in allen Phasen der Prozesse einer Organisation und an allen Stellen der Organisation zu schützen. Die Vergangenheit hat allerdings gezeigt, dass ein adäquates Sicherheitsniveau für Informationswerte oft nicht vorhanden ist. Dies hat vorrangig damit zu tun, dass Informationen - im Gegensatz zur eigentlichen IT - nur schwer greifbar sind. Daher findet man häufig gute technische Schutzvorkehrungen für die technischen Systeme (und ggf. damit auch für die auf den Systemen befindlichen Informationswerte), für Informationen in anderen Phasen der betrieblichen Prozesse liegt aber meist kein oder zumindest kein adäquates Sicherheitsmanagement vor. Oftmals verbessert aber gerade die Einführung bzw. die Optimierung des Sicherheitsmanagements die Informationssicherheit in einem höheren Ausmaße bzw. trägt zu einer Effektivitätssteigerung der Informationssicherheit bei. Informationen repräsentieren enorme Werte Informationen finden sich an vielfältigen Stellen Sicherheitsniveau ist oft nicht angemessen Bevor die Fragen des angemessenen Sicherheitsniveaus betrachtet werden, soll die Informationssicherheit nun von der IT-Sicherheit (in technischer Sicht) abgegrenzt werden. 1.1 Informationssicherheit vs. IT-Sicherheit IT-Sicherheit steht zunächst einmal für den Schutz der IT-Systeme, spricht also vor allem technische Maßnahmen an und beschäftigt sich damit schwerpunktmäßig mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Wenngleich der Begriff IT-Sicherheit oft synonym für den Begriff Informationssicherheit verwendet wird, soll hier doch klar zwischen beiden Begrifflichkeiten unterschieden werden, wenn im Rahmen eines modernen Sicherheitsmanagements von Sicherheitsmaßnahmen die Rede ist. Informationssicherheit ist im Vergleich zur IT-Sicherheit nicht auf den Schutz elektronisch gespeicherter Informationen beschränkt, sondern berücksichtigt Informationen in allen Phasen der Geschäftsprozesse. Dabei werden als klassische Grundwerte der Informationssicherheit häufig die drei Begriffe Vertraulichkeit, Integrität und Verfügbarkeit bezeichnet. Im englischen Sprachraum fasst man diese drei Begriffe auch unter dem Akronym CIA-Triade (vgl. Abbildung 1.1) zusammen, als Kurzform für die Anfangsbuchstaben der englischen Begriffe confidentiality, integrity und availability. Informationssicherheit vs. IT-Sicherheit CIA-Triade

10 Seite 10 Studienbrief 1 Einleitung und Motivation Abb. 1.1: Illustration der CIA-Triade zur Darstellung der drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. ConfidentialityIntegrity Availability Vertraulichkeit (engl.: confidentiality) bezeichnet den Umstand, dass Informationen nur Berechtigten zur Verfügung stehen. Durch Schutzmaßnahmen wie beispielsweise einer angemessenen Zugriffskontrolle wird dabei verhindert, dass Nicht-Berechtigte Zugriff auf Informationen erhalten. Integrität (engl.: integrity) bezeichnet die Unversehrtheit einer Information. Dabei kann allerdings nicht der Umstand der Unversehrtheit selbst, sondern nur die Nicht-Erkennung der Verletzung der Unversehrtheit durch Maßnahmen ermöglicht werden. Verfügbarkeit (engl.: availability) bezeichnet den Umstand, dass Informationen den Berechtigten (vgl. dazu auch Vertraulichkeit) innerhalb einer angemessenen Zeit zur Verfügung stehen. Mögliche Verletzung der Schuztziele Für mögliche Verletzungen der genannten Schutzziele geben wir nun einige ausgewählte Beispiele an, die stellvertretend für die Vielzahl von potentiellen Gefährdungen stehen: Fälle, in denen die Verfügbarkeit beeinträchtigt wird, sind: Datenträger und/oder IT-Systeme werden durch höhere Gewalt zerstört; nach einem notwendigen Software-Update funktionieren wichtige Anwendungen nicht mehr; ein Mitarbeiter erkrankt, dadurch verzögert sich ein wichtiger Geschäftsprozess. Fälle, in denen aufgrund einer fehlenden Integritätssicherungsmaßnahme die Integrität der Daten beeinträchtigt wird, sind: Ein (böswilliger) Mitarbeiter manipuliert wichtige Produktionsdaten, dadurch entsteht wirtschaftlicher Schaden, da die produzierten Güter nicht verwertbar sind. Fälle, in denen die Vertraulichkeit der Daten beeinträchtigt wird, sind: Vertrauliche Informationen werden unverschlüsselt über das Internet übertragen; personenbezogene Daten werden unverschlüsselt auf einem USB-Stick verschickt, dieser geht jedoch auf dem Transportweg verloren. Zutritts-, Zugriffs- und Zugangskontrollen Zur Sicherherstellung der Schutzziele kommen zudem unterschiedliche Kontrollen in Frage, die im weiteren Verlauf dieses Moduls noch eine wichtige Rolle spielen werden und daher bereits an dieser Stelle kurz erläutert werden sollen: Zutritt (engl.: physical access) bezeichnet die Möglichkeit des Betretens bspw. eines Serverraums. Allgemeiner kann man Zutritt auch damit erklären, dass der Zutritt jemanden in die Lage versetzt, die Gegenstände im Raum anfassen zu können. Eine typische Zutrittskontrolle stelle ein Schloss an der Tür zum Serverraum dar. Zugang (engl.: logical access) bezeichnet die Möglichkeit, sich an einem System, bspw. dem Betriebssystem eines Rechners, anmelden zu können. Eine typische Zugriffskontrolle ist bspw. die Passwort-Eingabe bei der Anmeldung am Betriebssystem. Zugriff (engl.: data access) bezeichnet die Möglichkeit, Zugriff auf die Daten auf einem System nehmen zu können. Eine typische Zugriffskontrolle ist die Abbildung der entsprechenden Dateirechte im Dateisystem und deren Kontrolle durch die Sicherheitsfunktionen des Betriebssystems

11 1.2 Standards zur Informationssicherheit Seite 11 Die Schutzziele können dabei sowohl durch vorsätzliche Handlungen (gezieltes Abhören/Abfangen von Informationen) als auch Formen von höherer Gewalt beeinträchtigt werden. Da die Verarbeitung von Informationen in der heutigen Zeit meist elektronisch erfolgt und nahezu alle Lebensbereiche durchdrungen hat, macht eine Unterscheidung, ob Informationen elektronisch mit Hilfe von IT- Systemen, mittels Kommunikationstechnik oder auf Papier verarbeitet werden, keinen Sinn mehr. Informationssicherheit Mögliche Gefährdungen Abb. 1.2: Darstellung des Säulen-Modells zur Informationssicherheit: Die Informationssicherheit fußt auf den drei Säulen Personen, Prozesse und Technik. Personen Prozesse Technik Daher geht man vom Begriff der IT-Sicherheit über zum Begriff der Informationssicherheit, die sich auf alle Informationen in allen Phasen des Geschäftsprozesses bezieht. Dabei werden Aspekte der drei Säulen berücksichtigt, neben der rein technischen Sicht (Säule: Technik ) auch die Fragestellungen bzgl. der Geschäftsprozesse (Säule: Prozesse ) und der Mitarbeiter (Säule: Mensch ). Drei Säulen-Modell 1.2 Standards zur Informationssicherheit Im Bereich Informationssicherheit haben sich seit längerer Zeit einige (internationale) Standards etabliert, die im Folgenden kurz vorgestellt werden sollen. Auch wenn diese Standards aufgrund ihrer historischen Entwicklung zum Teil unterschiedliche Ausrichtung haben, so erleichtern sie doch die strukturierte Planung und Umsetzung der Informationssicherheit in einer Organisation. Im Bereich der Internationalen Organisation für Normung (kurz: ISO) existiert eine ganze Reihe von Standards im Bereich der Informationssicherheit, die so genannten 27000er-Reihe. Standards zur Informationssicherheit ISO-Standards zur Informationssicherheit ISO Information security management systems - Overview and vocabulary gibt einen Überblick über Managementsysteme für Informationssicherheit (ISMS) und die Zusammenhänge zwischen den Standards der 2700x-Reihe. Zudem werden in der ISO die wesentlichen Begriffe, Definitionen und Prinzipien für ISMS erläutert. ISO ISO ISO Information technology - Security techniques - Information security management systems - Requirements beschreibt auf knappen zehn Seiten die Anforderungen an die Einführung, den Betrieb und die ständige Verbesserung eines dokumentierten Managementsystems zur Informationssicherheit (ISMS) und bildet die Grundlage für eine Zertifizierung. Dabei werden auch die Risiken für die Informationssicherheit innerhalb der gesamten Organisation berücksichtigt. Der Standard selbst gibt keine Kontrollmaßnahmen

12 Seite 12 Studienbrief 1 Einleitung und Motivation ISO Weitere ISO-Normen Weitere Subnormen Normen für technische Aspekte zur Erreichung dieses Zieles an (diese werden vielmehr im Standard ISO beschrieben), sondern spricht lediglich allgemeine Empfehlungen zum Einsatz eines ISMS aus. ISO Code of practice for information security management ergänzt die ISO und beinhaltet Empfehlungen für diverse Kontrollmechanismen. Da es sich hierbei aber um reine Empfehlungen handelt, ist eine Zertifizierung auf Grundlage dieses Standards grundsätzlich nicht möglich, diese erfolgt immer auf Grundlage der ISO Darüber hinaus gibt es noch weitere Normen, die hier nur der Vollständigkeit halber kurz erwähnt werden sollen. Dazu gehören die ISO Information security management systems - Implementation Guidelines, die ISO Information security management measurements, die ISO Information security risk management, die ISO Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems, die ISO Information technology - Security techniques - Guidelines for information security management systems auditing und die ISO TR Information technology - Security techniques - Guidance for auditors on information security management systems controls. Hinzu kommen die Normen ISO bis ISO 27019, die als fachspezifische Subnormen die ISO ergänzen. Darunter finden sich mit der ISO TR Auditing and Reviews eher allgemein gehaltene Normen, aber auch sehr spezielle, wie bspw. die ISO Security techniques Code of practice for information security controls for cloud computing services. Die Normen ISO bis ISO sollen schließlich die technischen Aspekte der IS abdecken, dazu gehören bspw. ISO Business Continuity oder ISO bis zu den Themen der Netzwerksicherheit. 1.3 BSI-Standards zur Informationssicherheit IT-Grundschutzhandbuch BSI-Standards zur Informationssicherheit Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem IT- Grundschutzhandbuch eine Vorgehensweise entwickelt, die Betreiber der IT innerhalb einer Organisation dabei unterstützt, Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Zielsetzung ist dabei nicht eine 100 %ige Sicherheit zu erreichen, sondern vielmehr Maßnahmen zu ergreifen, die angemessen sind und ein ausreichendes Schutzniveau realisieren. Im Rahmen der Umstrukturierung im Jahre 2006 wurden die Standards von den IT-Grundschutz-Katalogen separiert. Aktuell gibt es insgesamt die folgenden vier Standards: BSI-Standard Managementsysteme für Informationssicherheit (ISMS) [1] BSI-Standard IT-Grundschutz-Vorgehensweise [2] BSI-Standard Risikoanalyse auf der Basis von IT-Grundschutz [3] BSI-Standard Notfallmanagement [4] Auf den BSI-Standard IT-Grundschutz-Vorgehensweise gehen wir in Studienbrief 6 noch gesondert im Detail ein.

13 1.4 Wichtige Prinzipien Seite Wichtige Prinzipien Im Rahmen der Umsetzung der Informationssicherheit spielen einige wesentliche Konzepte immer wieder eine Rolle. Im Folgenden sollen drei ausgewählte Konzepte, auf die wir im Verlauf dieses Moduls noch zurück kommen werden, kurz erläutert werden. Oft wird Informationssicherheit als (singuläres) Projekt betrachtet - doch dies erweist sich allerdings als der grundlegend falsche Ansatz. Wird Informationssicherheit nicht als kontinuierlicher Prozess verstanden, so läuft eine Organisation Gefahr, dass die Informationssicherheit zwar zu einem definierten Zeitpunkt ausreichend war, danach aber immer weniger den Anforderungen der Organisation genügt, da sich die Randbedingungen stetig ändern, die Maßnahmen im Bereich der Informationssicherheit aber aufgrund des fehlenden Prozessansatzes nicht oder nur in unzureichendem Maße angepasst werden. Ein weiterer wichtiger und häufig diskutierter Aspekt ist die Frage nach der angemessene Sicherheit. 100 %ige Sicherheit ist allein aufgrund der begrenzten Ressourcen und einem dabei ins unermessliche steigenden Aufwand nicht erreichbar. Auf diese Fragestellung gehen wir bspw. in Studienbrief 3 und Studienbrief 6 nochmals genauer ein. Auch das Konzept der Verteidung in mehreren Ebenen (engl.: Layered Defense) ist ein wichtiger Grundsatz im Rahmen der Informationssicherheit. Es bedeutet, dass nicht auf singuläre Schutzmechanismen gesetzt, sondern vielmehr versucht wird, Maßnahmen auf unterschiedlichen Ebenen parallel umzusetzen. Es ähnelt damit dem mittelalterlichen Ansatz der Verteidigung von Burganlagen, bei dem auch ein Burggraben, eine hohe Mauer und ggf. noch weitere Abwehrmaßnahmen parallel eingesetzt wurden. Zielsetzung ist wie damals auch, dass dem Angreifer, der eine Maßnahme überwunden hat, dennoch der Weg -in usnerem Fall also bspw. der Zugriff auf die Informationen- verbaut ist. Auf diesen Ansatz gehen wir im Studienbrief 2 nochmals genauer ein. Darüber hinaus ist bspw. noch der Ansatz des Need-to-know-Prinzips zu nennen, nach dem Informationen bzw. Zugriffsrechte auf dieselbem nur im zur Ausführung der zugewiesenen Prozesse bzw. Tatigkeiten erforderlichen Umfang und nur an die wirklich Berechtigten zugeteilt werden. Zusätzlich wären zahlreiche weitere Konzepte zu nennen, was den Rahmen dieses Studienbriefs sprengen würde. Der interessieret Leser wird in diesem Zusammenhang insbesondere auf die Grundlagenliteratur, bspw. die des BSI [1], verwiesen. Grundlegende Konzepte Lebenszyklus Informationssicherheit als Prozess Angemessene Sicherheit Konzept der Layered Defense Need-to-know-Prinzip Weitere Konzepte 1.5 Ausblick auf die folgenden Kapitel Nun folgt ein kurzer Überblick über die folgenden Studienbriefe dieses Moduls: Ausblick auf die folgenden Kapitel Im Studienbrief 2 Governance im Bereich der IS lernen wir die wesent- Governance im Bereich der IS lichen Konzepte und Ideen der Governance im Bereich der Informationssicherheit kennen. Dabei werden sowohl die wesentlichen Elemente der Governance behandelt als auch aufgezeigt, wie eine effektive Governance betrieben werden kann. Im Studienbrief 3 Risikomanagement im Bereich der IS lernen wir an- Risikomanagement im Bereich der IS schließend die Grundzüge des Risikomanagements kennen. Nach einem einleitenden Teil, der unter anderem die grundlegenden Begrifflichkeiten

14 Seite 14 Studienbrief 1 Einleitung und Motivation Umsetzung im IS-Programm Vorfallsmanagement im Bereich der IS Vorgehensweise nach BSI IT-Grundschutz vermittelt, wird dabei aufgezeigt, wie der Prozess des Risikomanagements im Bereich der Informationssicherheit betrieben werden sollte. Nach einführenden Überlegungen zum Thema IS-Programm gliedert sich der Studienbrief 4 Umsetzung im IS-Programm in zwei wesentliche Abschnitte. Dabei wird zunächst der Prozess der Entwicklung eines IS- Programms behandelt. In diesem Abschnitt wird vermittelt, aus welchen Komponenten ein IS-Programm besteht und was beim Aufbau eines IS- Programms beachtet werden muss. Anschließend geht der zweite Abschnitt auf das Thema Management eines IS-Programms ein. Dabei werden unter anderem die Fragen, wie ein IS-Programm aufrecht erhalten werden kann und welche Prozesse dafür aufzubauen sind, behandelt. Insbesondere wird aber auch thematisiert, wie gewährleistet werden kann, dass die zur Verfügung stehenden Ressourcen möglichst effizient eingesetzt werden. Im Studienbrief 5 Vorfallsmanagement im Bereich der IS wird vermittelt, was im Falle eines Falles zu tun ist. Dabei werden vor allem die Fallkonstellationen behandelt, die im Rahmen des Risikomanagement nicht bzw. nicht ausreichend berücksichtigt werden konnten und die somit unvorhergesehene Ereignisse darstellen. Im Studienbrief 6 Vorgehensweise nach BSI IT-Grundschutz wird abschließend vermittelt, was beim Aufbau eines Informationssicherheits- Managementsystems auf Basis von BSI IT-Grundschutz zu beachten ist. 1.6 Studienbegleitende Literatur Grundlagen dieses Moduls Begleitende Literatur Studienbrief 2 bis Studienbrief 5 dieses Moduls sind im Rahmen des Aufbaus eines IS-Managements eng an die etablierten Vorgehensweise der amerikanischen Information Systems Audit and Control Association (kurz: ISACA) [7] angelehnt 1, der Studienbrief 6 orientiert sich an den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (kurz: BSI ) nach BSI-Standard IT-Grundschutz- Vorgehensweise [2]. Daher wird die studienbegleitende Lektüre der zugehörigen Literatur empfohlen. Darüber hinaus ist es für ein tieferes Verständnis der Thematik hilfreich, die grundlegenden Fragestellungen der Governance und des Risikomanagements anhand weiterer einschlägiger Literatur zu erarbeiten. 1 Im Rahmen der Ausbildung zum Certified Information Security Manager (kurz: CISM) wird diese Vorgehensweise seit vielen Jahren erfolgreich angewendet.

15 Studienbrief 2 Governance im Bereich der IS Seite 15 Studienbrief 2 Governance im Bereich der IS In diesem Kapitel soll ein Verständnis für die Anforderungen einer effektiven Information Security Governance (kurz: IS-Governance), sowie Kenntnis der Elemente und Vorgehensweisen bei der Entwicklung und Implementierung einer Information Security Strategie (kurz: IS-Strategie) vermittelt werden. Damit wird in diesem Kapitel auch die Grundlage für eine angemessene Betrachtung von Risiken gelegt, und die Voraussetzungen dafür geschaffen, dass das IS-Management die notwendige Rückendeckung bei der Entwicklung und Implementierung einer organisationsweiten Informationssicherheit von Seiten des Management bekommt. Ziele dieses Kapitels Grundlagen der Information Security Governance Unter Information Security Governance versteht man eine Sammlung von Verantwortlichkeiten (engl.: responsibilities) und Vorgehensweisen (engl.: practices) des Vorstands bzw. der Aufsichtsgremien und dem Management (engl.: board) bzw. der Geschäftsführung (engl.: executive managament) einer Organisation, die die Zielsetzung haben, die Organisation in der Art und Weise strategisch auszurichten, dass die (betrieblichen) Ziele der Organisation erreicht werden und dabei gleichzeitig die Risiken gemanagt und alle Ressourcen verantwortungsbewusst eingesetzt werden. In diesem Kapitel werden wir - wie bereits der Beschreibung der Ziele zu entnehmen - die Grundlagen kennen lernen, auf deren Basis die IS organisationsweit effektiv aufgebaut werden kann. Der Manager der Informationssicherheit, kurz: IS-Manager 1, treibt diesen Prozess voran und ist dafür verantwortlich, dass die hier zunächst zusammenfassend dargestellten und in den folgenden Abschnitten weiter ausgeführten Teilschritte umgesetzt werden. Dabei (vgl. dazu auch [7]) handelt es sich um Begrifflichkeit Information Security Governance Wichtige Teilschritte zum Aufbau der IS Koordination durch den IS-Manager 1. die Erstellung einer Strategie im Bereich der Informationssicherheit, die an den Geschäftszielen und den Geschäftszwecken des Unternehmens ausgerichtet ist, 2. den Aufbau und die Aufrechterhaltung eines IS-Rahmenwerks, das alle Aktivitäten so steuert, dass sie die IS-Strategie unterstützen, 3. die Ausrichtung der IS-Strategie an der Unternehmensstrategie (engl.: Corporate Governance), 4. den Aufbau und Aufrechterhaltung von IS-Leitlinien, 5. die Entwicklung von geschäftlich relevanten Fällen, die die IS-Investitionen stützen und rechtfertigen, 6. die Identifizierung aktueller und zukünftig möglicher rechtlicher und regulatorischer Anforderungen bzw. Randbedingungen bei der IS-Einführung, 7. die Identifizierung möglicher treibender Kräfte, 8. die Definition von Rollen und Verantwortlichkeiten und 1 Der Begriff Informationssicherheit wird im weiteren Verlauf des Textes insbesondere aufgrund der besseren Lesbarkeit durch die Abkürzung IS ersetzt.

16 Seite 16 Studienbrief 2 Governance im Bereich der IS 9. den Aufbau von internen und externen Kommunikationskanälen. Die weiteren Abschnitte dieses Kapitels gehen nun auf die konkreten Fragen bei der Umsetzung dieser einzelnen Teilschritte ein. Dabei werden wir uns zunächst mit der Frage beschäftigen, warum eine IS-Governance notwendig ist, welche Aufgaben der IS-Manager übernehmen muss und welche spezifischen Aufgaben im Bereich der IS-Governance eine Rolle spielen. Zur besseren Einordnung in den Gesamtkontext werden wir auch die wesentlichen Sicherheitskonzepte nochmals kurz stichpunktartig wiederholen. Die Idee des Managementprozesses Phasen eines Managementprozesses Planung Vorbereitung zur Umsetzung Umsetzung Kontrolle Abb. 2.1: Schematische Darstellung des PDCA- Zyklus mit den vier Phasen Plan, Do, Check und Act [5]. Jeder Managementprozess besteht aus vier grundlegenden, in der nachfolgenden Abbildung 2.1 dargestellten Schritten. a) Jeder Zyklus eines Managementprozesses beginnt mit der Planung. In diesem Teilschritt werden die Anforderungen, die der Prozess erfüllen soll erhoben und auf Basis dieser die Leistungsmerkmal des Prozesses festgelegt. Gleichzeitig wird auch definiert, wie eine nachfolgende Bewertung des Erfolgs bei der Umsetzung des Prozesses erfolgen soll. b) Nach der im ersten Schritt beschriebenen Planungsphase folgt die konkrete Vorbereitung zur Umsetzung. c) Hieran schließt sich die Phase der Umsetzung an. d) Der letzte Schritt besteht aus der Kontrolle der Umsetzung und der Reaktion auf geänderte Rahmenbedingungen. Wichtig ist aber nun, dass mit dieser Phase der Prozess nicht zu Ende ist. Vielmehr entsteht ein Kreislauf: Der Gesamtzyklus wird, wenn immer es notwendig ist, wiederholt. Dadurch erreicht man eine kontinuierliche Anpassung des Prozesses an geänderte Bedingungen und somit einen kontinuierlichen Verbesserungsprozess. Plan Act Do Check PDCA-Zyklus Dieser Managementprozess wird alternativ oft auch als PDCA-Zyklus beschrieben, wenngleich die Bezeichnung der einzelnen Phasen hier etwas anders definiert ist. Von William Edwards Deming [5] auf Grundlage der Arbeiten von Walter Andrew Shewhart [10] eingeführt, beschreibt der PDCA-Kreislauf mit seinen vier Phasen Plan, Do, Check und Act einen ähnlichen Ansatz.

17 Studienbrief 2 Governance im Bereich der IS Seite 17 Ursprünglich ging es Deming darum, betriebswirtschaftlich sinnvolle Abläufe bei der Einführung von Software im Unternehmen zu schaffen 2. Es liegt auf der Hand, dass vor Entwicklung der Software eine Erhebung stattfinden sollte, was die Software überhaupt leisten soll ( Plan ). Im anschließenden Do ist dann -entgegen der häufig getroffenen Annahme- nicht das Roll-out gemeint, vielmehr geht es darum, die Anforderungen und die Leistungsfähigkeit der Software abzugleichen und potentielle Lücken zu identifizieren. Man kann daher beim Do auch von einem Test in kleiner Umgebung sprechen, dieser Tatsache wird heute im Bereich der IT durch Testumgebungen Rechnung getragen. Der Teilschritt des Check überprüft nun, ob die im Plan gesetzten Anforderungen durch die im Do ausgerollte Software erfüllt werden können. Erst im folgenden Schritt des Act hat Deming vorgesehen, dass die Software nunmehr ausgerollt wird, nachdem die während des Check aufgedeckten Defizite beseitigt wurden. Der Kreislauf schließt sich und der Prozess ist - ebenso wie im klassischen Managementprozess - kontinuierlich. Dieser Aspekt ist gerade im Bereich der IT besonders relevant, da hier bedingt durch neue IT-Prozess und beispielsweise durch Software-Releases häufig geänderte Bedingungen vorliegen. Nachdem nun klar geworden ist, warum das Management der IT und insbesondere auch der IS keine einmalige Angelegenheit ist, sondern einen kontinuierlichen Prozess darstellt, bleibt noch offen, wie oft die Phasen der Vorbereitung der Umsetzung, der Umsetzung und der Kontrolle der Umsetzung durchlaufen werden sollen. Dies ist eine oft und zudem kontrovers diskutierte Frage, denn letztendlich benötigt auch der Management-Prozess Ressourcen und darf daher nicht überstrapaziert werden. Als Goldene Regel hat sich folgendes Vorgehen etabliert: Immer wenn es zu Änderungen in den Geschäftsprozessen kommt, mindestens aber einmal pro Jahr, werden alle Managamentprozesse auf ihre Wirksamkeit hin überprüft. Bei der Vielzahl der in einer Organisation anzutreffenden Teilprozesse muss dabei aber ebenfalls strategisch vorgegangen werden: Es ist eine priorisierte Liste notwendig, da ansonsten nicht sicher gestellt werden kann, dass bei der Vielzahl der Prozesse auch wirklich alle wesentlichen Prozesse angemessen berücksichtigt werden. Die Priorisierung innerhalb dieser Liste kann wiederum auf unterschiedlichsten Parametern beruhen, beispielsweise der Relevanz des zu betrachtenden Prozesses für das Unternehmen. Bei der Umsetzung einer IS-Governance leistet der IS-Manager Hilfestellung. Damit dies sinnvoll funktionieren kann, sollte er einige Voraussetzungen erfüllen: Zunächst ist die Kenntnis der Anforderungen des Geschäftsbetriebs eine unabdingbare Voraussetzung für den Aufbau einer IS-Governance und den sich daraus ergebenden weiteren Aspekten im Bereich IS-Management. Wenngleich oft falsch verstanden, verfolgt die IT einer Organisation keinen Selbstzweck - sie dient vielmehr zur Unterstützung des Geschäftsbetriebs und erfüllt damit eine Dienstleitung. Dadurch folgt sie den Anforderungen, die sich aus den Anforderungen der Organisation ergeben. Selbiges gilt nun auch für die IS, die sowohl der IT als auch den Anforderungen aus dem Geschäftsbetrieb folgt - und ebenfalls keinen Selbstzweck verfolgt. Dieser Grundsatz muss bei allen weiteren Planungen entsprechend berücksichtigt werden. Historie des PDCA-Zyklus IS ist ein Prozess Goldenen Regel: Wie oft wird ein PDCA- Zyklus durchlaufen? Priorisierung notwendig IT und IS sind kein Selbstzweck, sondern Dienstleistungsfunktionen 2 Eine gute Übersicht zur Entwicklungsgeschichte des Deming-Zyklus findet sich unter

18 Seite 18 Studienbrief 2 Governance im Bereich der IS Die Rolle des IS-Managers Aufgaben des IS-Manager Leitlinien, Standards und Co. Verständnis für den Geschäftsbetrieb Rolle des IS-Manager Eine der wesentlichen Aufgaben des IS-Manager ist es, dafür Sorge zu tragen, dass die Maßnahmen im Rahmen des Aufbaus des ISMS umgesetzt werden, und zudem fortlaufend zu kontrollieren, dass die Sicherheitsleitlinien, -standards und -arbeitsanweisungen die Geschäftsziele des Unternehmens unterstützen und damit an der Geschäftsstrategie ausgerichtet sind. Dazu muss der IS-Manager natürlicherweise die Anforderungen des Geschäftsbetriebs verstehen und -das ist jetzt der wesentliche Schritt- diese in Bezug auf das Thema Sicherheit so umsetzen, dass die notwendigen Sicherheitsmaßnahmen etabliert werden. Neben dem "Verständnis"der Governance muss der IS-Manager zudem dazu in der Lage sein, die entsprechenden Anforderungen an die Beteiligten kommunizieren zu können. Dieser Aspekt ist vor allem deswegen relevant, weil nicht der IS-Manager alle notwendigen Schritte selbst umsetzen wird. Vielmehr ist er der Vermittler (zwischen den Anforderungen des Geschäftsbetriebs und den eigentlichen Akteuren) und Kontrolleur (der Einhaltung der Anforderungen, die sich aus der IS-Governance ergeben). IS-Governance im Überblick IS-Governance im Überblick Zahlreiche Governance-Aktivitäten Governance ist Technik-neutral Finanzierung der Governance-Aktivitäten Im Rahmen der IS-Governance werden alle (am Prozess) Beteiligten darüber informiert, was von ihnen erwartet wird und welche Regeln dabei einzuhalten sind. Damit wird gleichzeitig die Basis für kontinuierliche und wiederholbare Prozesse in der Organisation gelegt. Da die Anforderungen dokumentiert sind, wird zugleich auch ein moving target vermieden und es stehen entsprechende Kriterien für ein Audit zur Verfügung. Darüber hinaus übernimmt die Managementebene auch die Verantwortung und demonstriert ggb. Mitarbeitern, Geschäftspartner, Kunden und weiteren Interessensgruppen die angemessene Sorgfalt (engl.: due care). Entsprechende Governance-Aktivitäten, insbesondere die Festlegung formalisierter Regeln, sind in allen (Geschäfts-)prozessen einer Organisation unabdingbar, bspw. in den Ein- und Verkaufsprozessen oder den Prozessen zur Neu-Anstellung bzw. Versetzung von Mitarbeitern. Dies gilt auch -sogar insbesondere- im Bereich der IS, wo die Komplexität der Regeln höher ist und daher ein besonderes Augenmerk darauf zu legen ist, diese den Mitarbeitern nahe zu bringen (Stichwort: Training und Awareness). Beachtet werden muss dabei aber, dass Governance auf Prinzipien bzw. Grundsätzen basiert, die Technologie-neutral und vielmehr in vernünftigen Zielen und Idealen verankert sind. So ist bspw. die Anforderung, dass Informationswerte vor unbefugtem Zugriff zu schützen sind, Technologie-neutral formuliert und geht vielmehr davon aus, dass zum jeweiligen Zeitpunkt eine dazu angemessene Technologie (früher rein Passwort-basierte Systeme, heute eher Systeme mit einer Zwei-Faktor-Authentifizierung) eingesetzt wird. Wer in der Organisation die Aktivitäten im Bereich der IS-Governance finanziert, an wen also der Verantwortliche für den Bereich IS berichtet, hängt von der Eingliederung der IS in der Organisation ab. Generell gilt, dass das Reporting so hoch wie möglich im Management angesiedelt sein sollte. Allerdings wird dies je nach Organisationsstruktur unterschiedlch gehandhabt, teilweise berichten die IS-Verantwortlichen (engl.: Chief Information Security Officer) dem Security-Komittee oder der Rechtsabteilung, häufig aber auch direkt an die Geschäftsführung bzw. Leitungsspitze.

19 Studienbrief 2 Governance im Bereich der IS Seite 19 Zu den wesentlichen Zielen der IS-Governance zählen Strategische Ausrichtung (engl.: strategic alignment) an der Strategie der Organisation, um auch im Rahmen der IS die Ziele der Strategie der Organisation zu unterstützen. Wesentliche Ziele der IS-Governance a) Strategische Ausrichtung b) Risikomanagement (engl.: risk management), das dazu dient, die Risiken so Risikomanagement weit zu reduzieren, dass ihre Auswirkungen tragbar sind. c) Schaffung von Mehrwerten (engl.: value delivery) durch Investitionen in IS, Mehrwerte schaffen die die (strategischen) Ziele der Organisation optimal unterstützen. d) Ressourcenmanagement (engl.: ressource management), dass dazu dient, Wissen Ressourcenmanagement und Infrastruktur im Bereich der IS effektiv und effzient zu nutzen. e) Messen der Leistung (engl.: performance management), um die Zielerreichung Leistung messen durch regelmäßige/kontinuierliche Überwachung und Dokumentation sicher zu stellen. f) Einbinden von Sicherungsfunktionen (engl.: assurance integration), um Sicherheitsfunktionen sicher zu stellen, dass die Prozesse wie vorgesehen funktionieren. Wichtige Sicherheitskonzepte Da die Umsetzung des IS-Prozesses ohne entsprechende Maßnahmen nicht möglich ist, diese aber auf grundlegenden Sicherheitskonzepten beruhen, ist ein Verstädnis dieser Konzepte für eine effektive Arbeit des IS-Managers eine unerlässliche Voraussetzung. Daher wollen wir im Folgenden die wichtigsten Konzepte kurz zuammenfassend darstellen: Vertraulichkeit (engl.: confidentiality) ist die Tatsache, dass sicher gestellt werden kann, dass nur Berechtigte Zugriff auf Informationen haben. Zur Sicherstellung der Vertraulichkeit werden häufig kryptographische Mechanismen (bspw. Verschlüsselung) eingesetzt. Integrität (engl.: integrity) ist das Verhindern von unbemerkten Veränderungen durch Integritätssicherungsmaßnahmen. Diese stellen sicher, dass es nicht zu unbemerkten Veränderungen während sämtlicher Phasen des Lebenszyklusses von Daten kommen kann. Wichtig ist, dass die Veränderung selber nicht verhindert werden kann, wohl aber Methoden zur Verfügung gestellt werden können, die es erlauben, eine Veränderung zu bemerken. Häufig kommen zur Sicherstellung der Integrität kryptographische Maßnahmen, beispielsweise im Zuge einer Digitale Signatur, zum Einsatz. Verfügbarkeit (engl.: availability) :Im Rahmen der Verfügbarkeit muss sicher gestellt werden, dass Befugte in angemessener Zeit auf die Daten zugreifen können. Wichtig sind hier die Aspekte, dass der Zugriff nur für Befugte möglich sein darf, und dass die Frage, wie schnell auf die Daten zugegriffen werden können muss, von der Kritikalität des Geschäftsprozesses abhängt, der diese Daten benötigt. Nicht-Abstreitbarkeit (engl.: non-repudiation) beinhaltet zwei Aussagen: Der empfangende Kommunikationspartner kann sicher sein, dass die Nachricht auch tatsächlich vom Absender stammt, und dieser kann nicht bestreiten, die Nachricht verschickt zu haben. Zur Umsetzung der Nicht-Abstreitbarkeit Wichtige Sicherheitskonzepte Vertraulichkeit Integrität Verfügbarkeit Nicht-Abstreitbarkeit

20 LAN DMZ Seite 20 Studienbrief 2 Governance im Bereich der IS Authentifizierung Zugangskontrolle Authorisierung Layered Defense werden häufig kryptographische Mechanismen, insbesondere Digitale Signaturen, eingesetzt. Authentifizierung (engl.: authentication) ist die Überprüfung der Identität. Dies kann anhand von Wissen (etwa einem Passwort), Besitz (etwa einer Chipkarte) oder Sein (etwa einem Fingerabdruck) geschehen. Je nach Anzahl der verwendeten Merkmale spricht man von einer Einfaktor- oder Zwei-/Mehrfaktorauthentifizierung. Der Unterschied zur Authentisierung besteht darin, dass die agierende Partei eine andere ist. Während sich der Nutzer an einem System authentisiert, authentifiziert das System den Nutzer. Zugangskontrolle (engl.: access control) meint im Deutschen i.d.r. die Überprüfung von Berechtigungen an einem System, also beispielsweise den Login-Prozess an einem Betriebssystem. Soll dieser Sachverhalt im Englischen ausgedrückt werden, so spricht man -um Missverständnisse zu vermeiden- auch von logical access control. Demgegenüber steht die Zutrittskontrolle (engl.: physical access control), die beim Zutritt zu Räumlichkeiten zum Einsatz kommt. Der eigentliche Zugriff auf Daten wird durch die Zugriffskontrolle (engl.: data access control) beschränkt. Authorisierung (engl.: authorization) legt fest, welches Subjekt wie auf welches Objekt zugreifen bzw. wie es dieses benutzen darf. Authorisierungsinformationen werden bspw. im Betriebssystem (etwa in Form der Metadaten im Dateisystem) abgelegt und dann im Rahmen des Zugriffsversuchs überprüft. Dazu muss sicher 1gestellt sein, dass das Subjekt 3 einwandfrei identifiziert worden ist - was durch eine ordnungsgemäße Authentifizierung erreicht werden kann. FW FW IDS IDS Layered Defense ist der Ansatz in der IS, Sicherheitsmaßnahmen in unterschiedlichen Schichten des Gesamtsystems einzubringen. Betrachtet man dazu etwa das ISO/OSI-Modell, 2so bedeutet Layered Defense 4 in diesem Fall, dass bspw. sowohl auf der Vermittlungsschicht (engl.: network layer, Layer 3), als auch auf der Transportschicht (engl.: transport layer, Layer 4) und der Anwendungsschicht (engl.: application layer, Layer 7) Sicherheitsmaßnahmen eingesetzt werden. Dadurch wird sicher gestellt, dass bei Versagen einer der Sicherheitsmaßnahmen weiterhin verhindert wird, dass ein Angreifer auf die Nutzdaten zugreifen kann. Zu beachten ist dabei allerdings, dass ein Versagen von Sicherheitsmaßnahmen in einer der unteren Schichten nicht mehr durch Sicherheitsmaßnahmen in einer der höheren Schichten kompensiert werden kann. Abb. 2.2: Layered Defense am Beispiel der Absicherung oberhalb und unterhalb der Betriebssystemebene. Applikation Middleware Betriebssystem Hardware Netzwerk Zugriffskontrolle Absicherung der DB Zugangskontrolle Zutrittskontrolle Network Admission Control Ein weiteres Besipiel ist in Abbildung 2.2 gezeigt, bei dem in Sicherheitsmechanismen nicht nur im Betriebssystem, sondern auch in den darunter und darüber liegenden Schichten eingebracht werden.

21 2.1 Aufbau und Aufrechterhaltung einer IS-Strategie Seite 21 Auditierbarkeit (engl.: auditabiliy) :Ein Audit ist ein Instrument für eine systematische, unabhängige und dokumentierte Untersuchung bei der festgestellt werden soll, ob die geplanten Anforderungen und Ziele eingehalten werden. Der Begriff Auditierbarkeit bezeichnet also die Tatsache, dass das Auditobjekt über klar definierte Merkmale verfügt und dass entsprechende Kriterien zur Überprüfung bereits im Vorfeld eines Audits festgelegt werden. Im Rahmen der Auditierbarkeit spielt auch die so genannten Policy-Pyramide eine Rolle. Auditierbarkeit Die Policy-Pyramide Wie bereits angesprochen bilden die IS-Leitlinie, IS-Standards, sowie IS- Arbeitsanweisung und IS-Handlungsempfehlungen die so genannte Policy- Pyramide 3. Von der Spitze zur Basis nimmt die Änderungshäufigkeit und der Detailgrad der Dokumente zu. Die IS-Leitlinie ist demnach eher allgemein und übergreifend formuliert und wird sich -auch weil sie aus der IS-Strategie abgeleitet ist- eher im 3-5 Jahrestakt ändern. Aufgrund des geringen Detailgrads reichen die Vorgaben der IS-Leitlinie aber somit auch nicht für ein Audit aus. Im Gegensatz dazu geben die IS-Arbeitsanweisungen im Detail an, wie die Mitarbeiter vorzugehen haben; sie definieren also, wie die Mitarbeiter die Anforderungen, die sich aus IS-Standards und letztendlich auch aus der IS-Leitlinie ergeben, zu verstehen haben. Daraus wird auch ersichtlich, dass sich die IS-Arbeitsanweisungen häufiger ändern werden, etwa, weil sich die Parametrisierung von kryptographischen Algorithmen geändert hat. Auditierbarkeit ist ab der Ebene der IS-Standards gegeben, IS-Handlungsempfehlungen werden als echte Empfehlung verstanden und müssen nicht zwingend befolgt werden. Policy-Pyramide Beispielhafte Eigenschaften Wenden wir uns -nach dieser Darstellung der Grundlagen im Bereich IS- Governance- im nächsten Abschnitt nun den anfangs bereits angesprochenen Teilschritten zu. 2.1 Aufbau und Aufrechterhaltung einer IS-Strategie Der Aufbau und die Aufrechterhaltung einer an den Unternehmenszwecken und vor allem Unternehemnszielen ausgerichteten IS-Strategie ist eines der Kernkonzepte im Bereich des ISMS und vor allem während des Aufbaus eines ISMS wichtig. Ausgehend von der IS-Strategie wird das IS-Programm aufgebaut und entsprechend fortgeschrieben. Somit bildet die IS-Strategie die wesentliche Grundlage für alle Elemente des IS-Programms. Unterlaufen dem IS-Manager bzw. den sonstigen Verantwortlichen bei der Entwicklung der IS-Strategie Fehler, so pflanzen sich diese in allen Elementen des IS-Programms fort und verursachen damit erhebliche Korrekturaufwände. Grundlegend ist zunächst die Frage, was überhaupt als Strategie verstanden wird. Dass sich die IS-Strategie aus der Unternehmensstrategie ableitet, wurde bereits erwähnt. Was aber bedeutet Strategie in diesem Fall? Hier kann man unterschiedliche Perspektiven der Bedeutung aufzeigen: Zum einen ist eine Strategie im Gegensatz zu taktischen und operativen Maßnahmen grundsätzlich durch einen übergreifenden, längerfristigen und großflächigeren Ansatz geprägt. Auf der anderen Seite bezeichnet eine Strategie aber auch in weniger formaler Hinsicht eine Von der IS-Strategie zum IS-Programm Was ist die IS-Strategie? 3 Für die detaillierte Diskussion zur IS-Policy-Pyramide siehe auch Abschnitt Aufbau und Fortschreibung eines IS-Policy Frameworks

22 Seite 22 Studienbrief 2 Governance im Bereich der IS Sammlung von Sicherheitszielen, Prozessen sowie Methoden, Werkzeugen und technischen Verfahren. Letztendlich führen aber beide Bedeutungen im Bereich des ISMS in die gleiche Richtung: Der Schaffung von übergreifenden Lösungsansätzen für spezifische Probleme. IS-Strategie ist kongruent zur Geschäftsstrategie Anerkennung durch die Mitarbeiter Anforderungen an den IS-Manager Elemente der Strategie Strategische Elemente Desired State Abbildung der Strategie Mögliche Probleme Ein wichtiger Aspekt ist, dass sich die IS-Strategie kongruent zur Geschäftsstrategie und damit zu den übrigen Geschäftsprozessen ausrichten muss. Konträre oder nicht angemessene Ansätze sind zum Scheitern verurteilt, da die Notwendigkeit nicht erkannt bzw. die Ansätze als Hemmnisse gesehen werden. So würde Sicherheit auf einem Niveau, das typischerweise im Bankensektor vorzufinden ist, von großen Teilen der mittelständischen Industrie schlichtweg nicht akzeptiert werden. Im Gegensatz dazu begünstigt eine an den sonstigen Geschäftsprozessen ausgerichtete IS-Strategie (und damit auch ein entsprechend ausgerichtetes IS-Programm) die Akzeptanz und damit letztendlich auch die (finanzielle) Unterstützung durch das Management. Nicht weniger wichtig ist aber auch der Aspekt, dass auch die Mitarbeiter einer Organisation erkennen, dass die Elemente eines ISMS sie nicht bei ihrer Arbeit hemmen, sondern letztendlich die Geschäftsprozesse sogar unterstützen. Erst dadurch wird die IS auch von den IT-Nutzern und den Mitarbeitern umgesetzt, sie wird im Unternehmen gelebt. Damit das Ziel, die IS-Strategie an der Unternehmensstrategie auszurichten, erreicht werden kann, muss der IS-Manager derjenige sein, der allen voran ein Verständnis für die Sichtweise, den Auftrag und die Werte des Geschäftsbetriebs entwickelt. Insbesondere ist es auch wichtig, dass er die Geschäftsziele und die dazu notwendigen (kritischen) Geschäftsprozesse versteht. Nur dadurch kann letztendlich auch die IS-Strategie sinnvoll an den Geschäftszielen ausgerichtet werden. Informationen zur Geschäftsstrategie finden sich in Unternehmen in unterschiedlichsten Bereichen, meist existiert aber keine spezielle Beschreibung der Unternehmensstrategie bzw. keine Übersicht zu den bereits vorhandenen Informationen. Einzelne und ggf. auch explizite Aussagen zur Strategie finden sich aber etwa in unterschiedlichen Äußerungen des Unternehmens. So kann als interne Quelle etwa das Mitarbeiterhandbuch dienen, als externe zugängliche Quelle kommen etwa Aussagen in den Jahresabschlüssen oder auch auf der Webseite des Unternehmens in Frage. Eine besondere Schwierigkeit für den IS-Manager stellt nun die Sichtung all dieser Aussagen dar, denn häufig werden sich die Verfasser der einzelnen Quellen nicht mehr daran erinnern, dass sie Aussagen zur Strategie der Organisation getroffen haben. Neben echten strategischen Elementen können auch eher technische Fragestellungen im Kontext des IS-Management als strategisch bezeichnet werden. Dies trifft beispielsweise für die Aspekte der Authentifizierung (Stichwort: Identity Management), der Authorisierung (Stichwort: rollenbasiert) oder auch der Administration (Stichwort: Einsatz eines Helpdesk) zu. Darüber hinaus kommen aber eher übergeordnete Aspekte, wie etwa die Frage von Enabling Technologies oder der Organisationsstruktur (etwa anhand der Fragestellung Wo ist der CISO angesiedelt? ) in Betracht. Die IS-Strategie bildet -wie bereist erläutert- die längerfristige Perspektive im Bereich des ISMS ab. Zur konkreten Umsetzung ist es nun aber erforderlich, Werkzeuge zu nutzen, die die Abbildung der strategischen Ziele messbar machen. Dazu können unterschiedlichste Ansätze genutzt werden, bspw. die der ISO 27000er- Serie, die Vorgaben im Bereich IS aus den Control Objectives for IT (COBIT) [6], dem Ansatz der Balanced Scorecard [8] oder auch nach dem Capability Maturity Model (CMM) [11]. Wie immer kann es auch bei der Entwicklung der IS-Strategie zu Problemen kommen. Insbesondere im Falle, dass der IS-Manager die strategische Ausrichtung