IT-Sicherheitskonzept in einem internationalen Unternehmen

Transkript

1 Diplomarbeit zum Abschluss des Nachdiplomstudiums Informationssicherheit (NDS-INS 7) Thema: IT-Sicherheitskonzept in einem internationalen Unternehmen Autorin: Cornelia Haldemann Referent: Peter R. Bitterli, Bitterli Consulting AG, Zürich Korreferent: Paul Aeschimann, Zehnder Group AG, Gränichen Luzern, 2. Juni 2005

2 Kommentare und Rückfragen sind willkommen, bitte senden an: Cornelia Haldemann Zehnder Group Management AG Moortalstr Gränichen Telefonnummer: Mailadresse: cornelia.haldemann@zehndergroup.com Seite 2/45 Diplomarbeit NDS-INS 7 von Cornelia Haldemann 2. Juni 2005

3 Inhaltsverzeichnis Management Summary...5 Vorwort Einleitung Grundlagen IT-Sicherheit in der Zehnder Group Geltungsbereich des IT-Sicherheitskonzeptes Zukünftige Anwender des IT-Sicherheitskonzeptes Einbettung des IT-Sicherheitskonzeptes Methodik Auswahl der Grundlage und Entwicklungsvorgehen Festlegung der verschiedenen IT-Sicherheitsdokumente Festlegung des Inhalts des IT-Sicherheitskonzeptes Grundlagen zur Erarbeitung der Auswahlkriterien Kriterien zur Auswahl der relevanten Kapitel des ISO/IEC Resultate der Auswahl der Kapitel Kriterien zur Auswahl der relevanten Subkapitel und Absätze des ISO/IEC Resultate der Auswahl der Subkapitel und Absätze Anhang des IT-Sicherheitskonzeptes Formulierung und Präzisierung der Anforderungen System- und Vorgehensziele, Prüftabelle Klassifizierung und Schutzziele Kapitelaufbau im IT-Sicherheitskonzept Verwendung und Weiterentwicklung des IT-Sicherheitskonzeptes Beschreibung der Arbeit Ergebnisse Diskussion und Ausblick Betrachtungen zur Diplomarbeit Überlegungen zu den Folgearbeiten Literaturverzeichnis Anhang A1 IT-Sicherheitspolitik: Strategie A2 IT-Sicherheitskonzept Juni 2005 Diplomarbeit NDS-INS 7 von Cornelia Haldemann Seite 3/45

4 Abbildungsverzeichnis Abb. 1-1: Abb. 2-1: Die Zuordnung der IT-Sicherheitspolitik, des -konzeptes und -massnahmen zur strategischen, taktischen und operativen Ebene eines IT-Sicherheitsmanagementsystems...9 Überblick Business Units Zehnder Group...13 Abb. 2-2: Übersicht über das Netzwerk der Zehnder Group...14 Abb. 2-3: Organigramm für die IT-Sicherheit...15 Abb. 3-1: Vorgehen zur Entwicklung des IT-Sicherheitskonzeptes Abb. 3-2: Abb. 3-3: Abb. 4-1: Zuordnung der ISO/IEC17799-Kapitel zur IT-Sicherheitspolitik und dem IT- Sicherheitskonzept...20 Darstellung der Zusammenhänge zwischen Inventar, IT-Objekt, Klassifizierung, IT- Sicherheitskonzept, Prüftabelle und zu ergreifenden Massnahmen...29 Herleitung des Inhaltes des IT-Sicherheitskonzeptes und der Prüftabelle...33 Tabellenverzeichnis Tab. 2-1: Tab. 3-1: Tab. 3-2: Tab. 3-3: Überblick über die Adressaten der IT-Sicherheitsdokumente und -massnahmen...16 Die ausgewählten Kapitel des ISO/IEC17799 und deren Entsprechung im IT- Sicherheitskonzept...22 Die Anzahl Sicherheitsanforderungen im ISO/IEC17799 pro Kapitel und die entsprechende Anzahl Vorgehensziele im IT-Sicherheitskonzept...23 Exemplarische Inhaltsauswahl der Subkapitel und Absätze des Kapitels 9 des ISO/IEC17799 anhand des Kriterienkataloges...26 Tab. 3-4: Beschreibung der Schutzziel-Klassifizierung für IT-Objekte...30 Abkürzungsverzeichnis CoP Code of Practice (ISO/IEC 17799) ist eine weltweit anerkannter Standard für ein IT-Sicherheits-Management-System GEC Geschäftsleitung, Group Executive Committee ISO/IEC International Organization for Standardization / International Electrotechnical Commission. Siehe dazu auch den Literaturverweis für den ISO/IEC IT-Kodex beschreibt die geforderten Verhaltensweisen aller Zehnder Group Mitarbeitenden im IT-Bereich. Dieser Kodex ist von allen Mitarbeitenden der Zehnder Group zu unterschreiben. IT-Objekte umfassen Daten, IT-Anwendungen, IT-Systeme und IT-Netzwerke. IT SecCom IT-Sicherheitsausschuss, IT Security Committee IT SecOf IT-Sicherheitsbeauftragter IT Security Officer IT SecResp IT-Sicherheitsverantwortlicher, IT Security Responsible IT Information Technology, Informatik Seite 4/45 Diplomarbeit NDS-INS 7 von Cornelia Haldemann 2. Juni 2005

5 Management Summary Zehnder Group ist eine im Heizungs- und Lüftungsbereich tätige Industriegruppe, die in Europa, in den USA und in China produziert und verkauft. Um die Anforderungen des Marktes zu erfüllen, müssen die Geschäftsprozesse flexibel und schnell auf Bedürfnisse angepasst werden können. In den letzten Jahren wurden deshalb vermehrt IT-Systeme zur Unterstützung der Geschäftsabwicklung eingesetzt; heute sind diese Abläufe ohne IT-Systeme kaum mehr durchführbar. Die Anforderungen an die IT-Sicherheit sind dadurch gestiegen. Von aussen, z.b. durch den Gesetzgeber und die Öffentlichkeit, werden ebenfalls vermehrt Anforderungen an den sicherheitsbewussten Umgang mit IT-Systemen ans Unternehmen gestellt. Aus diesen Gründen hat Zehnder Group beschlossen, ein gruppenweites IT-Sicherheitsmanagementsystem einzuführen. Der erste Schritt war die Erarbeitung einer IT-Sicherheitspolitik mit den Teilen Strategie und Organisation, also Festlegungen auf der strategischen Ebene. Der zweite Schritt, die Erarbeitung des IT-Sicherheitskonzeptes mit den Festlegungen auf der taktischen Ebene war die Aufgabe der vorliegenden Diplomarbeit. Der dritte Schritt mit der Implementierung und Umsetzung von Massnahmen auf der operativen Ebene erfolgt anschliessend. Diese Diplomarbeit wurde im Rahmen des Nachdiplomstudiums Informationssicherheit an der Hochschule für Wirtschaft in Luzern im Frühling 2005 erarbeitet. Das IT-Sicherheitskonzept wurde auf Grundlage des Standards ISO/IEC17799 erarbeitet. Dieser Standard beschreibt ausführlich die strategische und taktische Ebene der IT-Sicherheit in einem Unternehmen. Die Empfehlungen des Standards wurden für die IT-Sicherheitspolitik und für das IT-Sicherheitskonzept an die Bedürfnisse der Zehnder Group angepasst. Diese Anpassung beinhaltet eine Priorisierung, Vereinfachung und Verdichtung der Sicherheitsanforderungen des ISO/IEC Als handliches Führungsinstrument für die IT-Sicherheit wurde eine Prüftabelle erarbeitet, die kurz und kompakt die IT- Sicherheitsanforderungen entsprechend einer Klassifikation aufzeigt. Die vorliegende Arbeit beschreibt im ersten Teil die Grundlagen, die den Ausgangspunkt und die Randbedingungen für die Erarbeitung des IT-Sicherheitskonzeptes bildeten. Das IT-Sicherheitskonzept hat Gültigkeit für alle europäischen Business Units der Zehnder Group. Die wichtigsten Adressaten des IT- Sicherheitskonzeptes sind die Mitglieder des IT Security Committees (das Steuerungsgremium für die IT- Sicherheit) und die IT Security Responsibles (diejenigen Personen, die regional für die Umsetzung der IT- Sicherheit zuständig sind). Im anschliessenden Teil wird die Methodik vorgestellt, nach der die konkrete Inhaltsbestimmung und Ausgestaltung des IT-Sicherheitskonzeptes durchgeführt wurde. Die Entwicklung erfolgte in vier Schritten: 1. Festlegen der für Zehnder Group relevanten Kapitel des Standards ISO/IEC Festlegen der für Zehnder Group relevanten Subkapitel des Standards ISO/IEC Festlegen des Kapitelaufbaus im IT-Sicherheitskonzept und Formulierung der Anforderungen. 4. Operationalisierung in Form einer Prüftabelle. Die Kriterien zur Inhaltsbestimmung wurden aufgrund der Anforderungen an das IT-Sicherheitskonzept aus der Aufgabenstellung abgeleitet. Das gewählte Entwicklungsvorgehen ist meines Erachtens auch in anderen Unternehmen mit vergleichbaren Bedürfnissen effizient anwendbar. Zum Schluss erfolgen eine Diskussion über den Verlauf der Arbeiten und ein Ausblick. Zehnder Group wird das erarbeitete IT-Sicherheitskonzept in der kommenden Zeit schrittweise einführen. Es wurde bereits entschieden, zunächst die beiden ersten Kapitel (Klassifikation der IT-Objekte und Personelle Sicherheit) umzusetzen. 2. Juni 2005 Diplomarbeit NDS-INS 7 von Cornelia Haldemann Seite 5/45

6 Diese Seite ist absichtlich leer. Seite 6/45 Diplomarbeit NDS-INS 7 von Cornelia Haldemann 2. Juni 2005

7 Vorwort IT-Sicherheit ist in den letzten Jahren zu einem neuen Schlagwort in der Informatik geworden. Während noch vor zehn oder fünfzehn Jahren sich kaum jemand etwas unter IT-Sicherheit vorstellen konnte, ausser Diebstahl- und Zutrittsschutz, gibt es heute eine Vielzahl von Beratungsunternehmen, Kongressen und Artikeln, die guten Rat zu unzähligen Themen in diesem Bereich bereithalten. Für Firmen aus dem Finanz- und Versicherungsbereich, bei denen schon seit vielen Jahren die Informatik die Kerntechnologie der Geschäftsprozesse darstellt und das Risikomanagement gut verankert ist, stellt die IT-Sicherheit zwar vielleicht einen neuen, aber aus anderen Gebieten verwandten Bereich dar. Für Firmen jedoch aus der verarbeitenden Industrie, die bis vor kurzer Zeit keine allzu grosse Abhängigkeit von der Informatik kannten und kein stark ausgeprägtes Risikomanagement brauchten, ist die IT-Sicherheit ein neues, aber an Wichtigkeit zunehmendes Thema. Zehnder Group ist eine Unternehmsgruppe, die in der verarbeitenden Industrie im Bereich Heizungskomponenten und Lüftungssysteme tätig ist. An mehreren Standorten in Europa und an je einem in USA und China wird produziert und die Produkte werden in ganz Europa, den USA und China vertrieben. Die Informatik hat einen zunehmend wichtigeren Stellenwert, sowohl im Produktions- wie im Vertriebsprozess, und die Vernetzung von standortübergreifenden IT-Systemen hat in den letzten Jahren stark zugenommen. Damit verbunden sind auch die IT-spezifischen Risiken gewachsen, die mit Hilfe der IT-Sicherheit gesteuert werden müssen. Zehnder Group hat deshalb eine IT-Sicherheitspolitik, die die beiden Teile Strategie und Organisation umfasst, im letzten Jahr eingeführt und will in einem nächsten Schritt ein gruppenweit einheitliches IT-Sicherheitsniveau erreichen. Das Thema der vorliegenden Diplomarbeit war die Erarbeitung eines dazu geeigneten IT-Sicherheitskonzeptes, das die spezifischen Bedingungen der Unternehmung berücksichtigt. Ein einfach handhabbares Führungsinstrument, das die IT-Sicherheitspolitik umsetzt und international einsetzbar ist, wurde gefordert. International einsetzbar bedeutet hier, dass die Regelungen nicht allzu detailliert sein dürfen, da sie sonst einerseits infolge gesetzlicher Regelungen, andererseits infolge lokaler Bedingungen, nicht umgesetzt werden können. Dennoch sollten die Regelungen aber so konkret und einfach wie möglich sein, um den Handlungsspielraum klar zu beschreiben. Die Herausforderung dieser Diplomarbeit bestand darin, ein IT-Sicherheitskonzept zur erarbeiten, das zwar einfacher und kürzer als viele der bekannten Standards und Normen in diesem Bereich ist, aber dennoch die IT-Sicherheitsbelange so weit als nötig abdeckt. Die Autorin hat das IT-Sicherheitskonzept in ihrer Rolle als IT Security Officer der Zehnder Group erarbeitet. Durch das Nachdiplomstudium Informatiksicherheit an der Hochschule für Wirtschaft in Luzern, zu dem die hier vorliegende Diplomarbeit der Abschluss bildet, konnte das geeignete fachliche Know-how aufgebaut werden. Die Kenntnisse der unternehmensspezifischen Randbedingungen aus einer mehrjährigen Tätigkeit in der Unternehmung als Koordinatorin von internationalen IT-Projekten flossen in die Ausgestaltung und Anpassung der IT-Sicherheitsvorgaben ein. In mehreren Gesprächen mit dem Referenten, Herrn Peter R. Bitterli, wurden die Überlegungen, die zum IT-Sicherheitskonzept geführt haben, vertieft und verifiziert. Für diese Gespräche und Diskussionen, die mir eine fachliche Weiterentwicklung ermöglichten, danke ich Herrn Peter R. Bitterli. Mit dem Korreferenten, Herrn Paul Aeschimann, konnten mehrere klärende Gespräche geführt werden, die mir auf dem Weg zu einer der Unternehmung angepassten IT-Sicherheit weiterhalfen, wofür ich Herrn Paul Aeschimann danke. 2. Juni 2005 Diplomarbeit NDS-INS 7 von Cornelia Haldemann Seite 7/45

8 Bedanken möchte ich mich auch bei meinen Studienkollegen, mit denen viele interessante und bereichernde Diskussionen zum Thema IT-Sicherheit stattfanden. Speziellen Dank gebührt hier den Herren René Fasan und Oliver Jäschke, die verlässliche Partner in allen Übungen waren und deren beruflicher Hintergrund eine reichhaltige und vielfältige Behandlung der Fragestellungen ermöglichte. Unternehmensintern wurden die ersten IT-Sicherheitsregelungen interessiert aufgenommen und erste neue Abläufe unkompliziert umgesetzt. Viele Beteiligte haben sich hier engagiert und die IT-Sicherheit zu ihrem Thema gemacht. Erwähnen möchte ich hier Herrn Markus Schumacher, der als Netzwerk- und Firewall-Koordinator die diesbezüglichen Regelungen sofort in seinen Verantwortungsbereich übernommen hat. Besonders danke ich meinem Vorgesetzten, Herrn Luciano Del Favero, der eine Stelle für die IT-Sicherheit, den IT Security Officer (IT SecOf), vorgeschlagen und meine IT-Sicherheitsausbildung an der Hochschule für Wirtschaft in Luzern unterstützt hat. Seite 8/45 Diplomarbeit NDS-INS 7 von Cornelia Haldemann 2. Juni 2005

9 1 Einleitung Zehnder Group ist eine im Heizungs- und Lüftungsbereich tätige Industriegruppe, die in Europa, in den USA und in China produziert und verkauft. Um die Anforderungen des Marktes zu erfüllen müssen die Geschäftsprozesse flexibel und schnell auf sich verändernde Bedürfnisse angepasst werden können. In den letzten Jahren wurden deshalb vermehrt IT-Systeme zur Unterstützung der Geschäftsabwicklung eingesetzt; heute sind diese Abläufe ohne IT-Systeme kaum mehr durchführbar. Die Anforderungen an die Sicherheit im Sinne von Verfügbarkeit und Integrität dieser IT-Systeme sind dadurch gestiegen. Von aussen werden ebenfalls vermehrt Anforderungen an den sicherheitsbewussten Umgang mit IT-Systemen ans Unternehmen gestellt. Der Gesetzgeber verlangt besondere Vorkehrungen für die Verarbeitung von vertraulichen Daten (Sury, o.jg.). Die Öffentlichkeit reagiert sehr kritisch, wenn Vorkommnisse, die auf ungenügende IT-Sicherheit im Unternehmen schliessen lassen, bekannt werden (siehe dazu beispielsweise Heise, 2005). Die Anforderungen an die Sicherheit im Sinne von Vertraulichkeit sind dadurch ebenfalls gestiegen. Durch die Entwicklungen im Business-to-Business-Bereich (B2B) hat sich die Bedeutung der Verbindlichkeit der Auftragserteilung durch Kunden verändert und erhöht. Aus diesen Gründen hat Zehnder Group beschlossen, ein gruppenweites IT-Sicherheitsmanagementsystem einzuführen. Der erste Schritt war die Erarbeitung einer IT-Sicherheitspolitik mit den Teilen Strategie (siehe dazu den Anhang 1) und Organisation (siehe dazu den Anhang 2), also Festlegungen auf der strategischen Ebene. Die Politik ist im Unternehmen kommuniziert, die Rolleninhaber sind bestimmt und die mittelfristige Planung ist abgesprochen. Der zweite Schritt ist nun die Erarbeitung des IT-Sicherheitskonzeptes, das die Grundlage für die zu erarbeitenden konkreten Massnahmen bildet und die Einordnung von bestehenden Massnahmen ermöglicht. Ausserdem wird es als Basis für IT-Sicherheitsaudits verwendet. Das IT-Sicherheitskonzept enthält die Festlegungen auf der taktischen Ebene, siehe dazu auch die nachfolgende Abbildung. Ein Probeaudit ist im vierten Quartal 2005 geplant. Strategische Ebene IT-Sicherheitspolitik Organisation Strategie Taktische Ebene IT-Sicherheitskonzept Klassifikation Ownerprinzip Operative Ebene IT-Sicherheitsmassnahmen Installation & Betrieb WLAN Abb. 1-1: Die Zuordnung der IT-Sicherheitspolitik, des -konzeptes und -massnahmen zur strategischen, taktischen und operativen Ebene eines IT-Sicherheitsmanagementsystems. 2. Juni 2005 Diplomarbeit NDS-INS 7 von Cornelia Haldemann Seite 9/45

10 Im Rahmen der vorliegenden Diplomarbeit wurde das IT-Sicherheitskonzept aufgrund folgender Anforderungen erarbeitet: 1. Das IT-Sicherheitskonzept setzt die IT-Sicherheitspolitik um. 2. Im IT-Sicherheitskonzept werden die IT-Sicherheitsanforderungen und ziele formuliert. Aus ihnen lassen sich die zu erarbeitenden konkreten Massnahmen ableiten. Bestehende Massnahmen lassen sich einordnen. 3. Das IT-Sicherheitskonzept basiert auf dem Standard ISO/IEC17799, setzt aber nur die in einer ersten Phase einzuführenden Teile um. 4. Das IT-Sicherheitskonzept lässt sich zu einem späteren Zeitpunkt problemlos erweitern und anpassen. 5. Das IT-Sicherheitskonzept lässt sich in jeder Ländergesellschaft verwenden und ist, nach Übersetzung in die jeweilige Landessprache, leicht verständlich. Wichtig ist hier insbesondere, dass einfache, günstige und griffige Konzepte zu entwickeln sind, die auch unter Berücksichtigung von beschränkten finanziellen und personellen Ressourcen umsetzbar sind. 6. Das IT-Sicherheitskonzept enthält die Beschreibung dessen, was an einem IT-Sicherheitsaudit durch eine kompetente, unabhängige Stelle (aber nicht die Revision) geprüft wird. Folgende Abgrenzungen gelten: 1. Die Kommunikation des IT-Sicherheitskonzeptes ist nicht Teil der Diplomarbeit. 2. Die Anforderungen an die IT-Sicherheitsaudits sind nicht Teil der Diplomarbeit. 3. Arbeiten für den dritten Schritt, also für die operative Ebene (siehe dazu Abb. 1-1), wie beispielsweise die Erfassung von vorhandenen und die Erarbeitung neuer Massnahmen, sind nicht Teil der Diplomarbeit. Kapitelübersicht Die Einleitung, das erste Kapitel, enthält einen Kurzüberblick über die Zehnder Group mit einer Begründung, warum IT-Sicherheit ein wichtiges Thema ist. Anschliessend folgt die eigentliche Aufgabenstellung für die Diplomarbeit. Das zweite Kapitel Grundlagen stellt die Zehnder Group, ihre Gruppenstruktur und ihre Informatikinfrastruktur ausführlich dar und die bisherigen Arbeiten bezüglich der IT-Sicherheit werden beschrieben. Der Rahmen für das IT-Sicherheitskonzept wird näher erläutert: Der Geltungsbereich, die zukünftigen Anwender und die Einbettung in weitere Randbedingungen werden besprochen. Im dritten Kapitel Methodik - dem Hauptteil der Diplomarbeit - wird das methodische Vorgehen zur Erarbeitung des IT-Sicherheitskonzeptes detailliert beschrieben. Die Erläuterungen zur Auswahl der Grundlage und zum Entwicklungsvorgehen legen die Basis für das Verständnis des Folgenden. Anschliessend wird die Aufteilung in die verschiedenen IT-Sicherheitsdokumente begründet. Als nächstes folgt die Beschreibung des Vorgehens zur inhaltlichen Festlegung des IT-Sicherheitskonzeptes. Dazu wurden die aus der Aufgabenstellung abgeleiteten Kriterien aufgelistet und an Hand von zwei Kapiteln des IT-Sicherheitskonzeptes wird exemplarisch aufgezeigt, wie die Kriterien angewendet wurden und zu welchem konkreten Resultat dies geführt hat. Des Weiteren wird dargestellt, wie die Formulierung und Präzisierung des festgelegten Inhaltes erfolgte, um die Anforderungen der guten Verständlichkeit, der leichten Anpassbarkeit und der Formulierung in Form von Zielen zu erfüllen. Auch der Kapitelaufbau wird erläutert, der ebenfalls zur guten Verständlichkeit beitragen soll. Anschliessend folgen Überlegungen zur Verwendung und Weiterentwicklung des IT-Sicherheitskonzeptes. Seite 10/45 Diplomarbeit NDS-INS 7 von Cornelia Haldemann 2. Juni 2005

11 Das vierte Kapitel Beschreibung der Arbeit ist ein Überblick und eine Kurzbeschreibung der Schritte, die zur Erarbeitung der beiden Teile IT-Sicherheitskonzept und Diplomarbeit als solche durchgeführt wurden. Das fünfte Kapitel Ergebnisse enthält den Verweis auf den Anhang 3, in dem das IT-Sicherheitskonzept zu finden ist. Im sechsten Kapitel Diskussion und Ausblick erfolgt eine Beurteilung der durchgeführten Arbeit und ein Ausblick auf die kommenden Arbeiten im Zusammenhang mit dem IT-Sicherheitskonzept und der IT-Sicherheit generell in der Zehnder Group aus Sicht der Verfasserin. Im Literaturverzeichnis sind die Quellen, die massgeblichen Einfluss auf die Diplomarbeit hatten, aufgelistet. In den Anhängen folgen die IT-Sicherheitsdokumente. Erst die IT-Sicherheitspolitik mit den Teilen Strategie und Organisation, die vor der Durchführung der Diplomarbeit entstanden sind, dann das IT-Sicherheitskonzept, das im Rahmen der Diplomarbeit erarbeitet wurde. Die Anhänge sind englisch, da das IT- Sicherheitskonzept nur auf Englisch vorliegt. Die IT-Sicherheitspolitik liegt zwar auch auf Deutsch vor, damit die Anhänge aber sprachlich einheitlich sind, wurde ebenfalls die englische Version beigelegt. (Zur Frage der Sprachwahl siehe auch das Kapitel 2.4 Einbettung des IT-Sicherheitskonzeptes.) 2. Juni 2005 Diplomarbeit NDS-INS 7 von Cornelia Haldemann Seite 11/45

12 Diese Seite ist absichtlich leer. Seite 12/45 Diplomarbeit NDS-INS 7 von Cornelia Haldemann 2. Juni 2005

13 2 Grundlagen 2.1 IT-Sicherheit in der Zehnder Group Zehnder Group fasst in der Gruppenstruktur rund 40 Ländergesellschaften in zehn Ländern mit rund 2500 Mitarbeitenden 1 zusammen (Zehnder Group, 2004). Die Gesellschaften werden unterschieden in Market Business Units (MBU), Production Business Units (PBU) und Shared Service Centers (SSC). Die Shared Service Centers (SSC) erbringen Dienstleistungen für mehrere, regional naheliegende oder sprachlich verwandte Gesellschaften, aber nicht alle Gesellschaften werden vollumfänglich von einem Shared Service Center (SSC) betreut (siehe dazu die Abb. 2-1). Zurzeit gibt es fünf Shared Service Centers (SSC), ein sechstes in Holland ist in Planung. Das Shared Service Center (SSC) Lahr in Deutschland erbringt Services für Standorte in Deutschland, Österreich und Italien; Evry in Frankreich für Standorte in Frankreich, Belgien und Spanien; Gränichen in der Schweiz für Standorte in der Schweiz, Holland und Polen; Campogalliano in Italien für Standorte in Italien und Portsmouth in England für Standorte in England und Irland. Die Anzahl der Mitarbeitenden an den Standorten ist sehr unterschiedlich. Die kleineren Standorte haben knapp zehn, die mittleren 100 bis 200 und die grössten 300 bis 400 Mitarbeitende. Rund 1'000 der 2'500 Arbeitsplätze sind mit IT-Infrastruktur ausgerüstet. An einem Produktionsstandort mit 400 Mitarbeitenden sind beispielsweise nur knapp 100 IT-Arbeitsplätze eingerichtet. Typischerweise haben alle Mitarbeitenden in Market Business Units (MBU) und Shared Service Centers (SSC) einen IT- Arbeitsplatz, in Production Business Units (PBU) hingegen nur wenige. Zehnder Group GIT Schweiz Deutschland Frankreich Italien PBU PBU PBU PBU PBU PBU SSC SSC SSC SSC SSC MBU Zehnder MBU Zehnder MBU Acova MBU Faral MBU Runtal Acova Faral Runtal Comfo Comfo Zehnder Abb. 2-1: Überblick Business Units Zehnder Group 1 Zahlen aus dem Geschäftsbericht 2003 der Zehnder Group (2004): Rund 1825 Mitarbeitende sind im EU-Raum beschäftigt, 225 in der Schweiz und 450 ausserhalb der EU (Polen, USA und China). 2. Juni 2005 Diplomarbeit NDS-INS 7 von Cornelia Haldemann Seite 13/45

14 Die lokalen Informatik-Lösungen werden von kleineren Gesellschaften zum Teil in eigener Verantwortung betrieben, zum Teil mit Unterstützung eines Shared Service Centers (SSC) oder vollumfänglich durch dieses. Die regionalen Informatik-Lösungen werden durch ein Shared Service Centers (SSC) betrieben. Die zentralen Informatik-Lösungen werden durch die Zehnder Group selbst betrieben (Abteilung Group IT). Informatik-Projekte werden je nach Bedeutung lokal, regional, zentral oder mit kombinierter Beteiligung durchgeführt. Die Grundsätze der IT-Sicherheit sind in Zehnder Group bislang noch nicht weit verbreitet. Bis vor wenigen Jahren gab es nur vereinzelt gemeinsam genutzte Informatik-Infrastrukturen. Pro Land und Marktauftritt (entsprechend den früheren Unternehmensgrenzen) wurden lokale EDV-Dienste aufgebaut. Diese dezentralen EDV-Abteilungen erbrachten die gewünschten Dienste sehr selbständig, unabhängig und zugeschnitten auf die Bedürfnisse ihres Unternehmens. Auswirkungen von IT-Sicherheitsproblemen beschränkten sich auf das jeweilige Unternehmen und waren überblickbar. Die Veränderungen des Marktes in den letzten Jahren und die damit verbundene Strategie der Zehnder Group verlangten nach integrierten Prozessen mit reibungsloser Zusammenarbeit über die Landesgrenzen hinweg, für die es eine gemeinsame Infrastruktur braucht. Heute besteht ein europaweites Netzwerk mit zentral und regional zur Verfügung gestellten IT-Diensten (siehe dazu die Abb. 2-2). Die EDV-Abteilungen wurden zu Organisationseinheiten in Shared Service Centers (SSC) und erbringen ihre Dienste für mehrere Business Units in Abstimmung mit gruppenweiten Regelungen. Auswirkungen von IT-Sicherheitsproblemen können ein weit grösseres Ausmass annehmen als es früher möglich war. Die IT-Sicherheit wird damit zu einem wichtigen Thema für die Zehnder Group. Global Internet Access England Frankreich Europaweites Netzwerk der Zehnder Group Italien Belgien Deutschland Spanien Polen Holland Schweiz Abb. 2-2: Übersicht über das Netzwerk der Zehnder Group (Standorte ohne Verbindungslinie zum Netzwerk sind noch nicht angeschlossen) Die heutige Infrastruktur, die auf moderner Informatik-Technologie beruht, ermöglicht zwar schnelle, länderübergreifende Geschäftsprozesse, birgt aber in ihrer Komplexität und Vernetzung neue und grosse Risiken. Diese Risiken muss das Unternehmen kennen und steuern können. Die IT-Sicherheit soll hierzu ihren Beitrag leisten, indem sie das Verständnis für die IT-bezogenen Risiken fördert und risikomindernde Massnahmen implementiert. Seite 14/45 Diplomarbeit NDS-INS 7 von Cornelia Haldemann 2. Juni 2005

15 Zu diesem Zweck wurde eine IT-Sicherheitspolitik (siehe Anhang 1 und 2) im Jahr 2004 erarbeitet und von der Geschäftsleitung der Zehnder Group genehmigt. Die IT-Sicherheitspolitik besteht aus zwei Teilen: - Die Strategie enthält die gruppenweit geltenden Grundsätze zur IT-Sicherheit. Sie wurde auf Basis von Musterstrategien entwickelt, die am Kurs "IT-Sicherheitspolitik" (Rieder, 2004) behandelt wurden. Die Entwicklung umfasste die Anpassung und konkrete Ausgestaltung der Mustervorlagen an die Gegebenheiten der Zehnder Group. - Die Organisation beschreibt die Ablauf- und Aufbauorganisation der IT-Sicherheit im Unternehmen. Sie wurde auf Basis der Fallstudienlösung "Sicherheitskonzept Organisation" der Gruppe Fasan, Haldemann, Jäschke, Mastrobuoni & Wagner (2004) erarbeitet. Dabei wurde der grundsätzliche Aufbau des Dokumentes übernommen, einige Teile wurden weiterentwickelt und den Gegebenheiten der Zehnder Group angepasst. Für die IT-Sicherheit wurden auf zentraler und regionaler Ebene folgende Rollen neu geschaffen (siehe dazu auch Abb. 2-3): - IT Security Officer (IT SecOf): Zentrale Funktion. Er leitet das IT Security Committee (IT SecCom), ist zuständig für die Initialisierung, Überwachung und Kontrolle der Umsetzung der IT-Sicherheitspolitik in der gesamten Unternehmensgruppe, rapportiert regelmässig gegenüber der Geschäftsleitung (GEC), berät und unterstützt bei Anfragen und in Projekten und unterstützt die IT-Sicherheitsverantwortlichen in ihrer Tätigkeit und ist Ansprechpartner für die Unternehmung in IT-Sicherheitsfragen. - IT Security Committee (IT SecCom): Zentrale Funktion. Es koordiniert die IT-Sicherheitsaktivitäten als Teil der integralen Sicherheit und entscheidet formell über Massnahmen zur Risiko-Begrenzung und allfällige Abweichungen vom Sicherheitsstandard. - IT Security Responsibles (IT SecResp): Regionale Funktion. Diese sind zuständig für die Initialisierung, Überwachung und Kontrolle der Umsetzung der IT-Sicherheitspolitik in einer oder mehreren Business Units einer bestimmten Region der Zehnder Group, rapportieren regelmässig gegenüber dem IT Security Officer (IT SecOf), beraten und unterstützen bei Anfragen und in Projekten und sind Ansprechpartner für die Business Units der Region in IT-Sicherheitsfragen. Geschäftsleitung (GEC) IT Security Committee (IT SecCom) IT Security Officer (IT SecOf) IT SecResp Region Belgien IT SecResp Region Schweiz IT SecResp Region Deutschland IT SecResp Region Frankreich, Spanien IT SecResp Region England IT SecResp Region Italien IT SecResp Region Polen Abb. 2-3: Organigramm für die IT-Sicherheit Auf lokaler Ebene gibt es ebenfalls neue Rollen, beispielsweise den Data Owner. Für die IT-Sicherheitsbelange werden dort aber hauptsächlich bestehende Rollen erweitert. 2. Juni 2005 Diplomarbeit NDS-INS 7 von Cornelia Haldemann Seite 15/45

16 In der IT-Sicherheitspolitik, Teil Strategie (siehe Anhang 1) befindet sich eine Kurzbeschreibung aller für die IT-Sicherheit relevanten Rollen und deren Verantwortlichkeiten. In der IT-Sicherheitspolitik, Teil Organisation (Anhang 2) befindet sich eine Tabelle mit der detaillierten Zuordnung von Aufgaben zu den einzelnen Rollen. Diese bestehende IT-Sicherheitspolitik mit den beiden Teilen Strategie und Organisation ist der Ausgangspunkt für die Erarbeitung des IT-Sicherheitskonzeptes. 2.2 Geltungsbereich des IT-Sicherheitskonzeptes Die Geschäftsleitung der Zehnder Group hat entschieden, dass die IT-Sicherheitspolitik und das IT-Sicherheitskonzept für alle europäischen Business Units der Zehnder Group gleichermassen gelten und anwendbar sein sollen. Die Anwendbarkeit für aussereuropäische Business Units (USA und China) wird zu einem späteren Zeitpunkt überprüft. Wenn im nachfolgenden Text der Einfachheit halber gelegentlich die Rede von der Gültigkeit der IT-Sicherheitsregelungen für die ganze Gruppe ist, so sind damit immer nur die europäischen Business Units gemeint. 2.3 Zukünftige Anwender des IT-Sicherheitskonzeptes Das vorliegende IT-Sicherheitskonzept enthält die IT-Sicherheitsanforderungen und -ziele, die die IT-Sicherheitspolitik einheitlich für die ganze Gruppe umsetzen. Es wurde durch die Autorin in ihrer Rolle als IT Security Officer (IT SecOf) erstellt. Die IT-Sicherheitspolitik ist an Linien- und Fachverantwortliche in der ganzen Gruppe adressiert, die in irgendeiner Form mit IT zu tun haben. Das Zielpublikum für das IT-Sicherheitskonzept ist einerseits das IT Security Committee (IT SecCom), das die Vorgaben genehmigt und andererseits sind es die IT Security Responsibles (IT SecResp), die die Umsetzung der Vorgaben regional und lokal veranlassen und koordinieren. Das IT-Sicherheitskonzept bildet die Grundlage für die Erarbeitung von konkreten Umsetzungsmassnahmen und ermöglicht die Einordnung von bestehenden Massnahmen. Somit sind ebenfalls weitere Personen, wie Projektleiter, Data Owner und andere Fachpersonen, die spezielle Aufgaben für die Umsetzung der IT-Sicherheit wahrnehmen, Empfänger des IT-Sicherheitskonzeptes. Diese Empfänger werden in ihrer Arbeit vom IT Security Responsible (IT SecResp) begleitet. Der IT SecResp klärt auch allfällige Unklarheiten oder Verständnisprobleme im Zusammenhang mit dem IT Sicherheitskonzept. Mitarbeitende ohne Spezialaufgaben für die IT-Security sind nicht direkte Empfänger des IT-Sicherheitskonzeptes. Sie sind nur indirekt durch allfällige Umsetzungsmassnahmen vom IT-Sicherheitskonzept betroffen. Des Weiteren ist das IT-Sicherheitskonzept die Basis für IT-Sicherheitsaudits; die Auditoren bilden also eine weitere Zielgruppe. Von dieser Zielgruppe ist anzunehmen, dass aufgrund ihres beruflichen Hintergrundes ein schnelles Einarbeiten in die Anforderungen aus einem standardnahen IT-Sicherheitskonzept möglich ist und kein spezielles Eingehen auf diese Zielgruppe notwendig ist. IT-Sicherheitsdokumente bzw. Wichtigste Adressaten Weitere Adressaten -massnahmen IT-Sicherheitspolitik Linien- und Fachverantwortliche IT-Sicherheitskonzept IT SecCom und IT SecResp Fachpersonen, Auditoren IT-Sicherheitsmassnahmen Betroffene Mitarbeitende Tab. 2-1: Überblick über die Adressaten der IT-Sicherheitsdokumente und -massnahmen Seite 16/45 Diplomarbeit NDS-INS 7 von Cornelia Haldemann 2. Juni 2005

17 Das bedeutet, dass das IT-Sicherheitskonzept in erster Linie für das IT Security Committee (IT SecCom) und die IT Security Responsibles (IT SecResp) geschrieben wird und auch von diesen verstanden werden muss. Die Mitglieder des IT Security Committees (IT SecCom) und die IT Security Responsibles (IT SecResp) haben verantwortliche Funktionen in der Unternehmung inne und damit verbunden hervorragende spezifische Unternehmenskenntnisse, teilweise gutes bis sehr gutes IT- und Finanz-Know-how aber eher wenig Kenntnisse der IT-Sicherheit. Die Anforderungen und Ziele im IT-Sicherheitskonzept müssen leicht verständlich und gut begründet sein. Sie müssen für alle Regionen und Geschäftsstellen unterschiedlicher Grösse mit vertretbarem Aufwand umsetzbar sein mit dem Ziel, ein IT-Sicherheitsniveau im Unternehmen zu erreichen, das es erlaubt, die IT-Risiken über die gesamte Gruppe unter Kontrolle zu haben. Das IT-Sicherheitskonzept widerspiegelt die heutigen Anforderungen an die IT-Sicherheit, die zukünftigen Erfahrungen werden Änderungen und Erweiterungen bringen. Diese können leicht eingearbeitet werden, indem in den entsprechenden Kapiteln neue Anforderungen definiert oder obsolete entfernt werden. 2.4 Einbettung des IT-Sicherheitskonzeptes Es existieren bisher nur wenige gruppenweite Richtlinien im Kontext der IT-Sicherheit. Die wichtigsten sind die Vereinbarungen zur Benutzung zentral zur Verfügung gestellter oder koordinierter Dienste wie Netzwerk-Plattform, Enterprise Resource Planning System (ERP) oder Mailinfrastruktur. Nicht alle Business Units sind jedoch bisher an die Netzwerk-Plattform angeschlossen (siehe dazu auch die Abb. 2-2). Gruppenweite Richtlinien bezüglich der Beschaffung von Software oder Hardware oder der Durchführung von Projekten sind nicht bekannt. In allen Production Business Units (PBU) wurde das Qualitätsmanagementsystem gemäss ISO 9001 zertifiziert, nicht aber in den anderen Business Units. Es kann deshalb nicht auf das Vorhandensein von weiteren Regelwerken im organisatorischen oder technischen Umfeld der Informatik in irgendeiner Form Bezug genommen werden. Eine Zertifizierung im Bereich IT-Sicherheit wird zurzeit nicht angestrebt. Die Sprache für die interne Kommunikation ist unterschiedlich. Häufig wird Englisch dann verwendet, wenn den Gesprächspartnern keine andere gemeinsame Sprache möglich ist. Englisch kann aber nicht bei allen Mitarbeitenden vorausgesetzt werden. Texte, die in der Gruppe weite Verbreitung finden sollen, müssen in die jeweilige Landessprache übersetzt werden. Für die IT-Sicherheitsdokumente bedeutet dies, dass - die IT-Sicherheitspolitik in die vier gängigsten europäischen Sprachen übersetzt wurde (Englisch, Deutsch, Französisch, Italienisch). - das IT-Sicherheitskonzept nur auf Englisch verfasst wird. - z.b. der IT-Kodex (Vereinbarung über die Benutzung von IT-Diensten und die Verantwortung, die von allen Mitarbeitenden unterschrieben wurde) in sieben europäischen Sprachen (Englisch, Deutsch, Französisch, Italienisch, Niederländisch, Spanisch, Polnisch) vorliegt. Es ist für jedes Dokument eine auf das jeweilige Zielpublikum zugeschnittene Sprachauswahl zu treffen. 2. Juni 2005 Diplomarbeit NDS-INS 7 von Cornelia Haldemann Seite 17/45

18 Diese Seite ist absichtlich leer. Seite 18/45 Diplomarbeit NDS-INS 7 von Cornelia Haldemann 2. Juni 2005

19 3 Methodik 3.1 Auswahl der Grundlage und Entwicklungsvorgehen Methodenevaluation Zehnder Group hat entschieden, IT-Sicherheit nach der Grundschutzmethode einzuführen (siehe dazu die IT-Sicherheitspolitik, Teil Strategie im Anhang 1). Um rasch ein gruppenweit einsetzbares Führungsinstrument für die IT-Sicherheit (insbesondere für die Kontrollen der IT-Sicherheit gemäss der IT-Sicherheitspolitik) zu erhalten, wurde eine Grundlage für die Top-down-Erarbeitung eines IT-Sicherheitskonzeptes evaluiert. Zur Erarbeitung des IT-Sicherheitskonzepts standen folgende Standards als Grundlagen zur Auswahl 2 : - IT-Grundschutzhandbuch (BSI, 2004; Brunner und Rieder, 2004) - ISO/IEC (2001en; Breu, 2004; Schmidt, 2004) 3 - Cobit (Bitterli, 2005) Der ISO/IEC wurde gewählt, da er als anerkannter Standard international sehr gut einsetzbar ist und als geeignete Grundlage für die effiziente Erarbeitung von IT-Sicherheitskonzepten beurteilt wird (Breu, 2004; Schmidt, 2004). Das IT-Grundschutzhandbuch ist deutscher Herkunft und deckt eher die taktische und operative Ebene ab (Schmidt, 2004). Cobit ist amerikanischer Herkunft und hat die IT Governance zum Ziel. Cobit ist sehr breit angelegt und erfordert einen eher grossen Aufwand zur Ableitung von IT-Sicherheitskonzepten (Gespräch mit P. R. Bitterli, 30. März 2005), so dass für den Bedarf der Zehnder Group der ISO/IEC als die am besten passende Grundlage ermittelt wurde. Entwicklungsvorgehen Zur Erarbeitung des IT-Sicherheitskonzeptes wurde in zwei Schritten der Inhalt aufgrund der Kapitel, Subkapitel und Absätze des /IEC17799 festgelegt. In einem dritten Schritt wurde der Aufbau der Kapitel des IT-Sicherheitskonzeptes festgelegt und deren Inhalt in Form von System- und Vorgehenszielen ausformuliert. Zuletzt wurden die Vorgehensziele in einer Prüftabelle präzisiert (siehe dazu die nachfolgende Abbildung). Erster Schritt: Zweiter Schritt: Dritter Schritt: Vierter Schritt: Festlegen der für Zehnder Group relevanten Kapitel des ISO/IEC Festlegen der für Zehnder Group relevanten Subkapitel und Absätze des ISO/IEC Festlegen des Kapitelaufbaus im IT- Sicherheitskonzept. Formulierung der Anforderungen in Form von System- und Vorgehenszielen. Operationalisierung der Vorgehensziele in Form einer Prüftabelle. Abb. 3-1: Vorgehen zur Entwicklung des IT-Sicherheitskonzeptes. 2 3 Diese drei Standards wurden im Nachdiplomstudium Informationssicherheit näher vorgestellt. In der Literatur (z.b. Initi@tive D21, 2001 oder Software Engineering Institute, 2004) und in Übersichtskursen (Breu, 2004) werden auch weitere Methoden und Standards aufgeführt, die zur Erarbeitung von IT-Sicherheitskonzepten verwendet werden können, diese wurden hier nicht berücksichtigt. Der ISO-Standard ISO/IEC17799 (früher: BS7799, Teil 1) zeigt die Massnahmen auf, die der Best-Practice in der Informationssicherheit genügen, der oft zusammen mit dem ISO/IEC17799 genannte British Standard BS7799, Teil 2 bildet die Basis für die Beurteilung eines Informationssicherheits-Managementsystems, das gemäss ISO/IEC17799 aufgebaut ist (Initi@tive D21, 2001). Für Zehnder Group ist nur der Standard ISO/IEC17799 relevant, da keine Zertifizierung angestrebt wird. 2. Juni 2005 Diplomarbeit NDS-INS 7 von Cornelia Haldemann Seite 19/45

20 3.2 Festlegung der verschiedenen IT-Sicherheitsdokumente Die IT-Sicherheitspolitik und das IT-Sicherheitskonzept wurden entlang der Kapitel des ISO/IEC entwickelt (vgl. Abb. 3-2): - Die beiden ersten Kapitel des ISO/IEC17799 ("1 Scope", "2 Terms and Definitions") entsprechen den einführenden Kapiteln in der IT-Sicherheitspolitik, Teil Strategie (Anhang 1). - Die beiden folgenden Kapitel ("3 Security Policy", "4 Organizational Security") entsprechen der IT- Sicherheitspolitik, Teil Organisation (Anhang 2). - Die folgenden acht Kapitel entsprechen dem IT-Sicherheitskonzept (Anhang 3). Strategische Ebene IT-Sicherheitspolitik Genehmigt durch Geschäftsleitung. Entspricht den Kapiteln 1-4 des ISO/IEC Taktische Ebene IT-Sicherheitskonzept Genehmigt durch IT SecCom. Entspricht den Kapiteln 5-12 des ISO/IEC Operative Ebene IT-Sicherheitsmassnahmen Genehmigt durch Verantwortliche. Kann nicht direkt aus dem ISO/IEC17799 abgeleitet werden. Abb. 3-2: Zuordnung der ISO/IEC17799-Kapitel zur IT-Sicherheitspolitik und dem IT-Sicherheitskonzept. Die IT-Sicherheitspolitik wurde vom IT-Sicherheitskonzept getrennt, da es sich dabei um generelle Aussagen handelt, die über drei bis fünf Jahre stabil bleiben und von der Geschäftsleitung genehmigt werden (Rieder, 2004). Die Strategie als Grundsatzdokument sollte nur wenige Seiten umfassen, um das Wesentliche schnell und einfach darzustellen, deshalb wurde auch die zugehörige Organisation als separates Dokument verfasst. Das IT-Sicherheitskonzept wird hingegen vom IT Security Committee (IT SecCom) genehmigt und wird voraussichtlich in kürzeren Abständen (zwei bis drei Jahre) überarbeitet. Das Dokument enthält die massgeblichen Sicherheitsanforderungen und -ziele. Es stellt ein zusammenhängendes Ganzes dar und braucht nicht weiter aufgesplittet zu werden. Die IT-Sicherheitsmassnahmen werden von den jeweiligen Verantwortlichen genehmigt, dies sind je nach Art der Massnahme und der betroffenen IT-Objekte z.b. der Projektleiter, der Data Owner, der Linienvorgesetzte, der IT Security Responsible (IT SecResp), der IT Security Officer (IT SecOf) oder auch das IT Security Committee (ITSecCom). Die IT-Sicherheitsmassnahmen setzen die Sicherheitsanforderungen und -ziele des IT-Sicherheitskonzeptes standortspezifisch auf der operativen Ebene um. Die IT- Sicherheitsmassnahmen können in verschiedenen Dokumenten beschrieben sein, diese werden entsprechend nummeriert (s. dazu das IT-Sicherheitskonzept im Anhang 3). Die Lebensdauer und der Änderungszyklus der IT-Sicherheitsmassnahmen sind sehr unterschiedlich, sodass in den meisten Fällen pro Massnahme mindestens ein beschreibendes Dokument sinnvoll ist. Seite 20/45 Diplomarbeit NDS-INS 7 von Cornelia Haldemann 2. Juni 2005

21 3.3 Festlegung des Inhalts des IT-Sicherheitskonzeptes Der ISO/IEC17799 enthält zwölf Kapitel mit etwas mehr als 130 Subkapiteln auf rund 70 Seiten. Dies ist für eine erste Einführungsphase in Zehnder Group zuviel. Es besteht die Gefahr, dass das IT-Sicherheitskonzept durch einen solchen Umfang abschreckend wirkt, wenig implementiert wird und die IT-Sicherheit in der Folge den Ruf eines "Papiertigers" erhält. Deshalb soll für eine erste Einführungsphase der Umfang des IT-Sicherheitskonzeptes gegenüber dem ISO/IEC17799 reduziert und verdichtet werden. Dieses Vorgehen wird vom ISO/IEC17799 unterstützt, indem im Kapitel "Introduction" folgendes empfohlen wird: "Developing your own guidelines This code of practice may be regarded as a starting point for developing organization specific guidance. Not all of the guidance and controls in this code of practice may be applicable. Furthermore, additional controls not included in this document may be required. When this happens it may be useful to retain cross-references which will facilitate compliance checking by auditors and business partners". In diesem Sinne wurden Kriterien zur Inhaltsauswahl und -zusammenstellung erarbeitet, die zu einem dem Unternehmen angepassten IT-Sicherheitskonzept führen, das die im Kapitel Einleitung des vorliegenden Dokumentes erwähnten Anforderungen erfüllt. Ein erster Kriterienkatalog wurde für die Kapitel als Ganzes und ein zweiter für die Subkapitel und Absätze erarbeitet. Anschliessend wurden die Kapitel, Subkapitel und Absätze aufgrund der Kriterien beurteilt und damit der Inhalt des IT-Sicherheitskonzeptes festgelegt Grundlagen zur Erarbeitung der Auswahlkriterien Nachfolgend ist eine Zusammenfassung der Anforderungen an das IT-Sicherheitskonzept aus dem Kapitel Einleitung aufgeführt, die die Basis für die Erarbeitung der Kriterien zur Inhaltsauswahl bildeten. 1. Die grundlegende Anforderung an das IT-Sicherheitskonzept ist die Umsetzung der IT-Sicherheitspolitik. In der IT-Sicherheitspolitik, Teil Strategie (siehe Anhang 1), sind Grundsätze zu folgenden Bereichen festgehalten: a) Umgang mit Risiken b) Wirtschaftlichkeit c) Standards d) Sicherheit als Aufgabe e) Kultur f) Nachvollziehbarkeit, Nachweisbarkeit g) Kontrolle der IT-Sicherheit 2. Aus den formulierten Zielen sollen sich Massnahmen ableiten lassen. 3. Nur die in einer ersten Einführungsphase für die Zehnder Group benötigten Teile sollen umgesetzt werden. 4. Problemloses Erweitern und Anpassen soll möglich sein. 5. Es soll leicht verständlich sein und auch mit beschränkten Ressourcen umsetzbar sein. 6. Es soll überprüfbar sein. Die Grundsätze 1.a) und 1.c) führten zur Methodenwahl, die Grundsätze 1.b) und 1.d) bis 1.g) sind in die Erarbeitung der Kriterien eingeflossen. Die Anforderungen 2, 3, 5 und 6 flossen in die Erarbeitung der Kriterien ein. Die Anforderungen 2, 4 und 5 wurden auch im nächsten Kapitel (Formulierung und Präzisierung der Anforderungen) berücksichtigt. 2. Juni 2005 Diplomarbeit NDS-INS 7 von Cornelia Haldemann Seite 21/45

22 3.3.2 Kriterien zur Auswahl der relevanten Kapitel des ISO/IEC17799 Folgende Kriterien wurden bei der Auswahl der Kapitel angewandt: 1. Behandelt das Kapitel ein Thema, das in mehreren Business Units wichtig ist? 2. Haben viele Business Units Regelungsbedarf bezüglich des Themas? 3. Ist das Thema für die erste Phase der Einführung der IT-Sicherheitskonzepte wichtig? 4. Gibt es zusätzliche Themen, die in vielen Business Units wichtig sind, Regelungsbedarf haben und nicht oder nicht ausreichend im ISO/IEC17799 behandelt werden? Resultate der Auswahl der Kapitel Für die Beantwortung der Kriterienfragen wurden interne Fachpersonen konsultiert und die eigene Einschätzung beigezogen. Bis auf ein Kapitel (das Kapitel 10, siehe unten) ergaben die ersten drei Auswahlkriterien positive Antworten für alle Themenblöcke des ISO/IEC17799, Kapitel Das Kapitel "5 Asset Classification and Control" des ISO/IEC17799 wurde übersetzt mit "C1 Einstufung und Kontrolle der IT-Objekte". Im IT-Sicherheitskonzept der Zehnder Group wird durchgängig anstelle von "Assets" der Begriff "IT-Objekte" verwendet, da es nicht um Werte in einem generellen Sinne geht sondern eingeschränkt um Werte aus dem Bereich IT, also IT-Objekte (damit sind Daten, Applikationen, Systeme und Netzwerke gemeint). Bei der Zehnder Group könnte der Begriff "Werte" auch z.b. für Lackfarbenvorräte oder Stahlrohrlager verwendet werden, was das Verständnis der IT-Sicherheitskonzepte erschweren würde. Für die Erarbeitung dieses Kapitels und die konkreten Anforderungen im Anhang des IT-Sicherheitskonzeptes zum Thema Inventar wurden auch die Unterlagen von Heer (2004) verwendet. Beim vierten Auswahlkriterium ergab sich zusätzlicher Regelungsbedarf bezüglich des Umgangs mit der IT-Sicherheit bei der Beschaffung von neuen Lösungen und bei der Durchführung von Projekten zur Anpassung von Standardsoftware. Dieses Thema ist im ISO/IEC17799 für die Bedürfnisse der Zehnder Group nicht ausreichend behandelt. Da die Beschaffung von Standardsoftware und das Anpassen und Einführen derselben in Form von Projekten für Zehnder Group eine grössere Bedeutung haben als die eigentliche Softwareentwicklung und die anschliessende Wartung wurde das Kapitel "10 Systems Development and Maintenance" des ISO/IEC17799 ersetzt durch "C6 Beschaffung und Projekte". Nur in seltenen Fällen werden eigene Anwendungen entwickelt, meist werden geeignete Standardprodukte evaluiert und, falls nötig, angepasst. Aus diesem Grunde wurde für die erste Phase der Einführung des IT-Sicherheitskonzeptes der Themenblock "Entwicklung und Wartung" nicht explizit einbezogen. Implizit ist dieser Themenblock dennoch enthalten, indem Entwicklungen immer Teil eines Projektes sind und die Wartung zumindest teilweise im Themenblock "Netzwerk- und Systembetrieb" abgehandelt ist. Kapitel im ISO/IEC17799 Ausgewählt? Kapitel im IT-Sicherheitskonzept Kap. 5 Asset Classification and Control Ja, "asset" mit "IT Object" ersetzt. Kap. C1 Classification and Control of the IT Objects Kap. 6 Personnel Security Ja. Kap. C2 Personnel Security Kap. 7 Physical and Environmental Security Ja. Kap. C3 Physical Security Kap. 8 Communications and Operations Management Ja. Kap. C4 Network and System Operation Management Kap. 9 Access Control Ja. Kap. C5 Access Control Kap. 10 Systems Development and Maintenance Nein, ersetzt durch Themenblock "Beschaffung und Projekte". Kap. C6 Procurement and Projects Kap. 11 Business Continuity Management Ja. Kap. C7 Business Continuity Management Kap. 12 Compliance Ja. Kap. C8 Compliance Tab. 3-1: Die ausgewählten Kapitel des ISO/IEC17799 und deren Entsprechung im IT-Sicherheitskonzept. Seite 22/45 Diplomarbeit NDS-INS 7 von Cornelia Haldemann 2. Juni 2005

23 3.3.4 Kriterien zur Auswahl der relevanten Subkapitel und Absätze des ISO/IEC17799 Folgende Kriterien wurden bei der Auswahl der Subkapitel und Absätze angewandt: 1. Behandelt das Subkapitel oder der Absatz ein Thema, das in mehreren Business Units wichtig ist? 2. Haben viele Business Units Regelungsbedarf bezüglich des Themas? 3. Ist das Thema für die erste Phase der Einführung des IT-Sicherheitskonzeptes wichtig? 4 4. Steht der Nutzen der Regelung in einem günstigen Verhältnis zum Aufwand? 5. Kann die Regelung für den Bedarf der Zehnder Group vereinfacht werden? 6. Lassen sich mehrere Regelungen der Einfachheit halber zusammenfassen? 7. Ist die Einhaltung einer Regelung in den meisten Business Units einfach überprüfbar? 8. Lassen sich Massnahmen aus den Regelungen ableiten oder bestehende einordnen? 9. Gibt es zusätzliche Themen, die in vielen Business Units wichtig sind, Regelungsbedarf haben und nicht oder nicht ausreichend im ISO/IEC17799 behandelt werden? Resultate der Auswahl der Subkapitel und Absätze In jedem für das IT-Sicherheitskonzept relevanten Kapitel des ISO/IEC17799 wurden die Subkapitel und Absätze anhand des Kriterienkataloges beurteilt. Die Kriterienfragen wurde vor allem auf Grund der persönlichen Erfahrung der Autorin beantwortet. Mit diesem Verfahren wurden die rund 115 Sicherheitsanforderungen des ISO/IEC17799 (ohne die zwölf Anforderungen der Kapitel 3 und 4, die das IT-Sicherheitskonzept nicht direkt betreffen) zu 40 Vorgehenszielen 5 im IT-Sicherheitskonzept reduziert beziehungsweise verdichtet (vgl. Tab. 3-2). Ich erachte für eine erste Phase der Einführung des IT-Sicherheitskonzeptes die Anzahl dieser Vorgehensziele als maximal 6. Diese Beschränkung auf den ungefähren Drittel des Inhalts des ISO/IEC17799 erforderte einen gewissen "Mut zur Lücke". Dieser Mut ist verbunden mit der Hoffnung, damit die Einführung des IT-Sicherheitskonzeptes zu erleichtern und nach einer ersten Phase allfällige Lücken bei Bedarf zu füllen. Kein Thema hat gefehlt (Kriterium 9), ausser dem Themenbereich "Beschaffung und Projekte", wie im vorangehenden Kapitel erwähnt. Kapitel im ISO/IEC17799 Anzahl Sicherheitsanf. Kapitel im IT-Sicherheitskonzept Anzahl Vorgehensziele Kap. 5 Asset Classification and Control 3 Kap. C1 Classification and Control of the IT Objects 4 Kap. 6 Personnel Security 10 Kap. C2 Personnel Security 8 Kap. 7 Physical and Environmental Security 13 Kap. C3 Physical Security 4 Kap. 8 Communications and Operations Management 24 Kap. C4 Network and System Operation Management 9 Kap. 9 Access Control 31 Kap. C5 Access Control 5 Kap. 10 Systems Development and Maintenance 18 Kap. C6 Procurement and Projects 4 Kap. 11 Business Cont. Management 5 Kap. C7 Business Continuity Management 3 Kap. 12 Compliance 11 Kap. C8 Compliance 3 Tab. 3-2: Die Anzahl Sicherheitsanforderungen im ISO/IEC17799 pro Kapitel und die entsprechende Anzahl Vorgehensziele im IT-Sicherheitskonzept In die Überlegung, ob ein Thema für die erste Phase der Einführung des IT-Sicherheitskonzeptes wichtig ist, sind folgende Punkte eingeflossen: Besteht Handlungsbedarf und Handlungsmöglichkeit? Kann ein "quick win" erreicht werden? Wird das Thema nicht schon in einem anderen Bereich oder Zusammenhang behandelt? Vorgehensziele werden im Kap erläutert. Siehe dazu auch die einleitende Bemerkung im Kapitel Juni 2005 Diplomarbeit NDS-INS 7 von Cornelia Haldemann Seite 23/45