Sicherheitsmanagement

Transkript

1 Schicht Übergreifende Aspekte GR 1.0 GR 1.0 Sicherheitsmanagement Mit (Informations-)Sicherheitsmanagement wird die Planungs- und Lenkungsaufgabe bezeichnet, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen. Ein funktionierendes Sicherheitsmanagement muss in die existierenden Managementstrukturen einer jeden Institution eingebettet werden. - Die Leitungsebene muss die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen. - Die Leitungsebene muss eine übergeordnete Leitlinie zur Informationssicherheit verabschieden, die den Stellenwert der Informationssicherheit, die Sicherheitsziele und die wichtigsten Aspekte der Sicherheitsstrategie beschreibt. - Die Sicherheitsleitlinie muss allen Mitarbeitern und sonstigen Mitgliedern der Institution bekannt gegeben werden. - Die Leitungsebene muss einen IT-Sicherheitsbeauftragten benennen, der die Informationssicherheit in der Institution fördert und den Sicherheitsprozess steuert und koordiniert. - Der IT-Sicherheitsbeauftragte muss mit angemessenen Ressourcen ausgestattet werden und berichtet bei Bedarf direkt an die Leitungsebene. - Im Rahmen des Sicherheitsprozesses müssen für die gesamte Informationsverarbeitung ausführliche und angemessene Sicherheitsmaßnahmen festgelegt werden. - Alle Sicherheitsmaßnahmen müssen systematisch in Sicherheitskonzepten dokumentiert und regelmäßig aktualisiert werden. - Der Sicherheitsprozess und die Sicherheitskonzepte müssen die individuell geltenden Vorschriften und Regelungen berücksichtigen. Sie sollten auf anerkannten Standards basieren. - Alle Mitarbeiter der Institution und sonstige relevante Personen (wie extern Beschäftigte oder Projektmitarbeiter) müssen systematisch und zielgruppengerecht zu Sicherheitsrisiken sensibilisiert und zu Fragen der Informationssicherheit geschult werden. - Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie zur Informationssicherheit und die Organisationsstruktur für Informationssicherheit müssen regelmäßig auf Wirksamkeit und Angemessenheit überprüft und aktualisiert werden. Die Sicherheitsempfehlungen zum Thema Sicherheitsmanagement müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Sicherheitsmanagement finden sich im Baustein B 1.0 Sicherheitsmanagement der IT-Grundschutz-Kataloge sowie in den BSI-Standards und

2 Schicht Übergreifende Aspekte GR 1.1 GR 1.1 Organisation Viele Sicherheitsmaßnahmen sind auf organisatorischer Ebene zu ergreifen, insbesondere gehören dazu die allgemeinen und übergreifenden Maßnahmen, die als organisatorische Standardmaßnahmen zur Erreichung eines Mindestschutzniveaus erforderlich sind. - Für alle Aufgaben im Sicherheitsprozess müssen sowohl Verantwortlichkeiten als auch Befugnisse festgelegt sein. Alle Mitarbeiter müssen auf ihre Verantwortung für die Informationssicherheit in ihrem Einflussbereich hingewiesen worden sein. - Für alle Informationen, Anwendungen und IT-Komponenten sollte festgelegt werden, wer für diese und deren Sicherheit verantwortlich ist. Es muss auch klar geregelt sein, welche Informationen mit wem ausgetauscht werden dürfen und wie diese dabei zu schützen sind. - Es müssen konkrete Handlungsanweisungen und Verantwortlichkeiten zur Informationssicherheit festgelegt werden. Diese Regelungen sind den betroffenen Mitarbeitern in geeigneter Weise bekannt zu geben. - Die Aufgabenverteilung und die hierfür erforderlichen Funktionen sind so zu strukturieren, dass operative und kontrollierende Funktionen auf verschiedene Personen verteilt werden, um Interessenskonflikte bei den handelnden Personen zu verhindern (Funktionstrennung). - In allen Geschäftsprozessen muss es funktionierende Vertretungsregelungen geben. - Auf den verschiedenen Ebenen müssen angemessene und praktikable Berechtigungen vergeben werden (z. B. für den Zutritt zu Räumen, Zugang zu IT-Systemen, Zugriff auf Anwendungen). Es sollten immer nur so viele Rechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist. Es muss ein geregeltes Verfahren für die Vergabe, die Verwaltung und den Entzug von Berechtigungen geben. - Die Betriebsmittel, die zur Aufgabenerfüllung und zur Einhaltung der Sicherheitsanforderungen erforderlich sind, müssen in ausreichender Menge vorhanden sein. Es muss geeignete Prüfverfahren vor Einsatz der Betriebsmittel geben. Für die Bestandsführung müssen die Betriebsmittel in Bestandsverzeichnissen aufgelistet werden. Um den Missbrauch von Daten zu verhindern, sollte die zuverlässige Löschung oder Vernichtung von Betriebsmitteln geregelt sein. - Es sind Regelungen für Ersatzteilbeschaffung, Reparaturen und Wartungsarbeiten festzulegen, um auf Störungen bei einer nicht funktionierenden Infrastruktur adäquat reagieren zu können. Bei bestehenden Wartungsverträgen sind feste Wartungsintervalle und Wartungsdetails einzelner IT-Systeme (oder Gruppen) verbindlich zu regeln. - Betriebs- und Sachmittel, die besonderen Schutzbedingungen unterliegen, müssen so entsorgt werden, dass keine Rückschlüsse auf ihre Verwendung oder Inhalte gezogen werden können. Den Mitarbeitern sollte bekannt sein, wie mit ausgesonderten Datenträgern vor einer Vernichtung umzugehen ist. Es sollte hierfür ein Handlungsleitfaden zur Verfügung stehen. - Es muss geregelt sein, welche Reaktionen auf Verletzungen der Sicherheitsvorgaben erfolgen sollen. Nur so ist eine zielgerichtete und zeitnahe Reaktion möglich. Die Sicherheitsempfehlungen zum Thema Organisation müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Organisation finden sich im Baustein B 1.1 Organisation und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

3 Schicht Übergreifende Aspekte GR 1.2 GR 1.2 Personal Informationssicherheit ist nicht nur eine Frage der Technik, sondern hängt in erheblichem Maße von den organisatorischen und personellen Rahmenbedingungen ab. Im Personalbereich sind daher von der Einstellung bis zum Weggang von Mitarbeitern aus der Institution eine Reihe von Sicherheitsmaßnahmen erforderlich. - Zur geregelten Einarbeitung neuer Mitarbeiter müssen diese auf bestehende Regelungen und Handlungsanweisungen zur Informationssicherheit hingewiesen werden. - Alle Mitarbeiter sollten umgehend über Regelungen zur Informationssicherheit, deren Veränderungen und ihre spezifischen Auswirkungen auf einen Geschäftsprozess oder auf das jeweilige Arbeitsumfeld unterrichtet werden. - Alle Mitarbeiter sollten explizit darauf verpflichtet werden, einschlägige Gesetze, Vorschriften und interne Regelungen einzuhalten. Außerdem sollten alle Mitarbeiter darauf hingewiesen werden, dass alle während der Arbeit erhaltenen Informationen ausschließlich zum internen Gebrauch bestimmt sind, solange sie nicht anders gekennzeichnet sind. - Vor der Einstellung neuer Mitarbeiter sollten deren akademische und berufliche Qualifikationen und (soweit möglich) deren Vertrauenswürdigkeit verifiziert werden. Die Vertrauenswürdigkeit von Personen mit besonderen Funktionen und Berechtigungen ist besonders wichtig. Daher müssen beispielsweise Administratoren sorgfältig ausgewählt werden. - Die Mitarbeiter sollten dazu motiviert werden, Regelungen zur Informationssicherheit eigenverantwortlich umzusetzen. Dazu sollten sie durch geeignete Schulungen motiviert und gefördert werden. - Administrations- und Wartungspersonal muss detailliert über die von ihnen betreuten Systeme und deren Sicherheitseigenschaften ausgebildet werden, da diese aufgrund der weitgehenden Rechte im Umgang mit der IT eine hohe Verantwortung tragen. - Es muss Vertretungsregelungen in allen Bereichen geben. Um eine kontinuierliche Verfügbarkeit wichtiger Prozesse zu erreichen, muss insbesondere dafür gesorgt werden, dass Schlüsselpositionen immer besetzt sind, sobald dies von den Abläufen her gefordert wird. - Kommunikationsprobleme innerhalb der Institution, persönliche Probleme von Mitarbeitern, ein schlechtes Betriebsklima und andere Faktoren können zu Unzufriedenheit und damit zu Sicherheitsrisiken führen. Um hier rechtzeitig vorbeugen zu können, sollten geeignete Anlaufstellen (z. B. Mitarbeitervertretungen) eingerichtet werden. - Bei Mitarbeitern, die die Institution verlassen oder andere Funktionen übernehmen, müssen bestehende Regelungen mit erhöhter Sorgfalt überprüft werden. Nachfolger müssen eingearbeitet werden, Unterlagen sind zurückzugeben und erteilte Berechtigungen sind wieder zu entziehen. Vor der Verabschiedung sollte noch einmal explizit auf Verschwiegenheitsverpflichtungen hingewiesen werden. Die Sicherheitsempfehlungen zum Thema Personal müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema personelle Sicherheit finden sich im Baustein B 1.2 Personal und in weiteren Bereichen der IT-Grundschutz-Kataloge.

4 Schicht Übergreifende Aspekte GR 1.3 GR 1.3 Notfallmanagement Der Notfallmanagement einer Behörde oder eines Unternehmens umfasst sowohl die Notfallvorsorge, als auch Aspekte zur Bewältigung eines Notfalls. Dazu ist der Aufbau geeigneter Organisationsstrukturen und Regelungen für den Umgang mit Notfällen aller Art notwendig. - Die Leitungsebene muss hinter den Zielen des Notfallmanagements stehen und sich ihrer Verantwortung dafür bewusst sein. Die Leitungsebene muss den Notfallmanagement-Prozess initiieren, steuern und kontrollieren, damit dieser in der Institution auch in allen Bereichen umgesetzt wird. - Es müssen die organisatorischen Voraussetzungen für das Notfallmanagement geschaffen werden, d. h. Rollen und Verantwortlichkeiten müssen definiert und von der Leitungsebene ein ausreichendes Budget zur Verfügung gestellt werden. Es muss ein Notfallbeauftragter benannt werden, der den Notfallmanagement-Prozess steuert und koordiniert. - Auf Basis einer Schutzbedarfsanalyse oder einer Business Impact Analyse und einer anschließenden Risikoanalyse müssen die Auswirkungen von Geschäftsunterbrechungen untersucht sowie die Verfügbarkeitsanforderungen an die Geschäftsprozesse und deren benötigten Ressourcen ermittelt werden. - Die kritischen Prozesse müssen definiert und analysiert werden, danach folgt die Auswahl einer angemessenen Strategie, um einerseits Ausfallrisiken zu reduzieren und andererseits nach dem Auftreten von Notfällen Ausfallzeiten verkürzen zu können. Diese werden in einem Notfallvorsorgekonzept dokumentiert. - Für eine rasche Notfallbewältigung ist ein Notfallhandbuch zu erstellen, in dem beschrieben wird, welche Maßnahmen bei einem Notfall durchgeführt und umgesetzt werden müssen. Das Notfallhandbuch sollte mindestens Alarmierungspläne, Meldewege, Notfall-, Wiederanlauf-, Wiederherstellungs- und Geschäftsfortführungspläne, sowie alle wichtigen Informationen und Aufgabenzuordungen der Mitglieder des Notfallteams enthalten. - Die entwickelten Maßnahmen und Verfahren zur Notfallbewältigung müssen regelmäßig durch Übungen und Tests auf ihre Wirksamkeit untersucht werden. Notfall-Übungen erleichtern es, sich rechtzeitig im Vorfeld auf eine Notfallsituation einstellen und Fehler in der Notfallkonzeption erkennen zu können. - Um ein effizientes Notfallmanagement aufrecht zu erhalten, müssen nicht nur die Dokumente regelmäßig aktualisiert werden, sondern auch die Notfallvorsorgemaßnahmen überprüft und angepasst werden. - Alle Mitarbeiter der Institution müssen systematisch und zielgruppengerecht sensibilisiert und im Umgang mit Notfallsituationen geschult werden. So wird in der Institution eine Notfallmanagement-Kultur etabliert. Die Richtlinien und Vorgaben zum Thema Notfallmanagement müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Notfallmanagement finden sich im Baustein B 1.3 Notfallmanagement und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

5 Schicht Übergreifende Aspekte GR 1.4 GR 1.4 Datensicherungskonzept Computersysteme und Datenträger (z. B. Festplatten) können ausfallen oder manipuliert werden. Durch den Verlust oder die Veränderungen von gespeicherten geschäftsprozessrelevanten Daten können gravierende Schäden verursacht werden. Durch regelmäßige Datensicherungen können Schäden durch Ausfälle von Datenträgern, Schadsoftware oder Manipulationen an Datenbeständen zwar nicht verhindert, deren Auswirkungen aber minimiert werden. - Um zu gewährleisten, dass alle Datenbestände regelmäßig gesichert werden, müssen für alle IT- Systeme und Anwendungen geeignete Datensicherungsverfahren festgelegt werden. Datensicherungen sollten weitgehend automatisiert erfolgen. - Es muss festgelegt werden, wer für die Datensicherung der einzelnen IT-Systeme zuständig ist. - Neben dem Datum müssen Umfang, Art der Durchführung der Sicherung sowie gewählte Parameter und die eingesetzte Hard- und Software der Datensicherungen dokumentiert werden. Ebenso sollten die wichtigsten Informationen für eine spätere Datenrekonstruktion festgehalten werden. - Die eingesetzten Speichermedien sollten ausreichend Speicherkapazität haben und müssen eindeutig beschriftet sein. - Auch die Daten mobiler IT-Systeme wie Laptops, PDAs, Handys müssen regelmäßig gesichert werden. - Backup-Datenträger müssen einerseits im Bedarfsfall schnell verfügbar sein, andererseits sollten sie aber räumlich getrennt von den gesicherten IT-Systemen aufbewahrt werden, damit sie bei Notlagen wie z. B. Brand oder Hochwasser verfügbar sind. - Es sollten nur befugte Personen auf die Datensicherungsmedien zugreifen dürfen. Vertrauliche Daten sollten vor der Sicherung möglichst verschlüsselt werden. - Es muss regelmäßig getestet werden, ob die Datensicherung auch wie gewünscht funktioniert, vor allem, ob gesicherte Daten problemlos zurückgespielt werden können. Die Sicherheitsempfehlungen zum Thema Datensicherung müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Datensicherung finden sich im Baustein B 1.4 Datensicherungskonzept und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

6 Schicht Übergreifende Aspekte GR 1.5 GR 1.5 Datenschutz Aufgabe des Datenschutzes ist es, den Einzelnen davor zu schützen, dass er durch die Verarbeitung und den Umgang seiner personenbezogenen Daten in dem Recht beeinträchtigt wird, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen ("informationelles Selbstbestimmungsrecht"). - Die Leitungsebene muss die Gesamtverantwortung für den Datenschutz in der Institution übernehmen. - Die Leitungsebene muss einen Datenschutzbeauftragten benennen, der den Datenschutz in der Institution fördert und den ordnungsmäßigen Umgang mit personenbezogenen Daten steuert und kontrolliert. - Der Datenschutzbeauftragte muss mit angemessenen Ressourcen ausgestattet werden. Er muss bei Bedarf direkt an die Leitungsebene berichten können. - Es sollte klare Regeln für den Umgang mit personenbezogenen Daten geben, die allen Mitarbeitern und sonstigen Mitgliedern der Institution bekannt gegeben werden. Alle Beschäftigten sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten bzw. darüber zu unterrichten. - Alle Datenschutzmaßnahmen müssen systematisch in einem Datenschutzkonzept dokumentiert und regelmäßig aktualisiert werden. - Der Datenschutzbeauftragte muss bei allen Änderungen in Geschäftsprozessen und neuen Projekten eingebunden werden, so dass er die rechtlichen Rahmenbedingungen für die Datenverarbeitung prüfen und geeignete Vorkehrungen ausarbeiten kann. - Alle Mitarbeiter der Institution und sonstige relevante Personen (wie extern Beschäftigte oder Projektmitarbeiter) müssen systematisch und zielgruppengerecht zu Datenschutzfragen sensibilisiert und zum Umgang mit personenbezogenen Daten geschult werden. Die Richtlinien und Vorgaben zum Thema Datenschutz müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Datenschutz finden sich im Baustein B 1.5 Datenschutz und in weiteren Bereichen der IT-Grundschutz-Kataloge.

7 Schicht Übergreifende Aspekte GR 1.6 GR 1.6 Schutz vor Schadprogrammen Wenn IT-Systeme mit Schadsoftware (Viren, Würmer, Trojanische Pferde usw.) befallen werden, kann dies die Verfügbarkeit, Integrität und Vertraulichkeit der Systeme und der darauf gespeicherten Daten gefährden. Für einen effizienten Computer-Virenschutz ist daher zu sorgen. - Es müssen zentrale Ansprechpartner mit der notwendigen Fachkunde für das Thema Schadsoftware benannt werden. - Innerhalb der vernetzten Strukturen einer Institution müssen Viren-Schutzprogramme so auf den IT-Systemen platziert werden, dass alle möglichen Infektionswege abgedeckt sind. Dabei muss sichergestellt werden, dass auch die mobilen Endgeräte ausreichend geschützt sin - Die Viren-Schutzprogramme müssen regelmäßig durch zeitnahes Einspielen von Updates und Patches auf den aktuellen Stand gebracht werden. - Schadprogramm-Signaturen müssen in möglichst kurzen Abständen, mindestens täglich, aktualisiert werden. - Auf allen IT-Systemen müssen für die Betriebssysteme sowie für alle installierten Treiber und Programme zeitnah die jeweils hierfür veröffentlichten sicherheitsrelevanten Updates und Patches eingespielt werden. Dies gilt besonders für Programme, mit denen auf Fremdnetze zugegriffen wird, beispielsweise Browser. - Die Mitarbeiter müssen darüber informiert sein, wie sie eine Infektion mit Schadsoftware verhindern können, woran sie sie erkennen und wie sie sich in einem solchen Fall zu verhalten haben. - Erkannte Infektionen mit Schadprogrammen müssen zeitnah an die zuständigen Fachkräfte gemeldet werden. Die Meldung sollte möglichst automatisch erfolgen. - Infizierte IT-Systeme müssen unverzüglich von allen Datennetzen getrennt werden und dürfen bis zur vollständigen Bereinigung nicht mehr produktiv genutzt werden. - Entdeckte Schadprogramme müssen zeitnah durch fachkundiges Personal entfernt werden. Die Sicherheitsempfehlungen zum Thema Schutz vor Schadprogrammen müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Schutz vor Schadprogrammen finden sich im Baustein B 1.6 Schutz vor Schadprogrammen und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

8 Schicht Übergreifende Aspekte GR 1.7 GR 1.7 Kryptokonzept Damit schützenswerte Informationen nicht manipuliert werden oder in falsche Hände geraten, sollten sie durch zuverlässige kryptographische Verfahren und Techniken geschützt werden. Dies betrifft sowohl die auf den verschiedensten IT-Systemen lokal gespeicherten Daten als auch die zu übertragenen Daten. Da beim Einsatz kryptographischer Verfahren sehr viele komplexe Einflussfaktoren zu betrachten sind, sollte hierfür ein Kryptokonzept erstellt werden. - Alle Informationen sollten in Punkto Vertraulichkeit und Integrität klassifiziert sein, damit jederzeit klar ist, welche Informationen wie verschlüsselt oder signiert werden müssen - Allen Mitarbeitern müssen geeignete kryptographische Produkte zur Verfügung stehen, um Informationen verschlüsseln, signieren oder anders schützen zu können. - Dafür müssen kryptographische Produkte ausgewählt werden, die alle für den jeweiligen Einsatzzweck erforderlichen Sicherheitsfunktionalitäten bieten. Solche Produkte können dabei aus Hardware, Software, Firmware oder aus einer diesbezüglichen Kombination bestehen. Sie müssen nach dem Stand der Technik sicher und zuverlässig arbeiten, einfach zu bedienen und wenig fehleranfällig sein, außerdem sollten sie bei möglichst vielen Geschäftsprozessen, IT-Systemen und Kommunikationspartnern einsetzbar sein. - Es sollte ein Kryptokonzept entwickelt werden, in dem alle Einflussgrößen und Entscheidungskriterien für die Wahl eines konkreten kryptographischen Verfahrens und der entsprechenden Produkte berücksichtigt werden und das gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist. - Kryptographische Produkte müssen sicher betrieben werden. Dazu gehört, dass sie gegen unmittelbare Angriffe und Fremdeinwirkung geschützt werden müssen. Voreingestellte Schlüssel müssen bei der Installation geändert werden. - Die Mitarbeiter sollten im Umgang mit den von ihnen zu bedienenden Kryptoprodukten geschult werden. Sie sollten darüber hinaus für den Nutzen der kryptographischen Verfahren sensibilisiert werden und einen Überblick über kryptographische Grundbegriffe erhalten. - Kryptoprodukte können nur dann sicher betrieben werden, wenn geeignete Schlüssel vertraulich, integer und authentisch erzeugt, verteilt und installiert worden sind (Schlüsselmanagement). Die Schlüsselerzeugung sollte in sicherer Umgebung und unter Einsatz geeigneter Schlüsselgeneratoren erfolgen. Schlüsselverteilung und Schlüsselaustausch müssen so abgesichert werden, dass unbefugte Kenntnisnahme bzw. Verfälschung der Schlüssel verhindert oder wenigstens erkannt werden können. Kryptographische Schlüssel müssen regelmäßig gewechselt werden. - Es muss geklärt werden, wie Datensicherungen der verschlüsselten Daten angefertigt werden. Ebenso muss auch überlegt werden, ob und wie die benutzten kryptographischen Schlüssel gespeichert werden sollen. Die Sicherheitsempfehlungen zum Thema Kryptokonzept müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Kryptokonzept finden sich im Baustein B 1.7 Kryptokonzept und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

9 Schicht Übergreifende Aspekte GR 1.8 GR 1.8 Behandlung von Sicherheitsvorfällen Sicherheitsvorfälle können große Schäden nach sich ziehen, wenn deren professionelle Behandlung nicht konzipiert und eingeübt wurde. Um Schäden zu verhüten bzw. zu begrenzen, sollte die Behandlung von Sicherheitsvorfällen zügig und effizient ablaufen. Dazu ist der Aufbau geeigneter Organisationsstrukturen und Regelungen für den Umgang mit IT-Sicherheitsvorfällen aller Art notwendig. - Um jedem Mitarbeiter das richtige Verhalten beim Auftreten eines Sicherheitsvorfalls vorzugeben, sind zielgruppengerechte Richtlinien zur Behandlung von Sicherheitsvorfällen zu erstellen, abzustimmen und bekannt zu geben. Oberste Regel ist dabei, dass alle Beteiligten Ruhe bewahren und keine übereilten Maßnahmen ergreifen. - Es müssen organisatorische Voraussetzungen für den Umgang mit IT-Sicherheitsvorfällen geschaffen werden. Dafür müssen Rollen und Verantwortlichkeiten (d. h. Kompetenzen, Aufgaben und Verhaltensregeln) festgelegt und benannt werden. - Es sind Meldewege und Eskalationsstrategien für die verschiedenen Arten von Sicherheitsvorfällen zu definieren. Hierbei sollte der IT-Support mit einbezogen werden, da bereits vorhandene Vorgehensweisen zur Fehlermeldung und -behebung integriert werden sollten. - Um die Ursachen von Sicherheitsvorfällen und die entstandenen Schäden effizient und in einer sinnvollen Reihenfolge beheben zu können, ist es wichtig, die Prioritäten für die Problembeseitigung vorab festzulegen. Diese Prioritätensetzung muss regelmäßig aktualisiert werden. - Sobald die Ursache eines Sicherheitsvorfalls identifiziert worden ist, müssen Maßnahmen zu dessen Behebung ergriffen werden. Dazu muss zunächst das Problem eingegrenzt und beseitigt und anschließend der "normale" Zustand wiederhergestellt werden. Häufig ist es notwendig, die betroffenen IT-Systeme oder Standorte zu isolieren, um die Auswirkung des Sicherheitsvorfalls einzudämmen. - Die Behebung von Sicherheitsvorfällen muss ausführlich dokumentiert werden, um aufgetretene Probleme nachvollziehbar zu machen und sie sowohl bereinigen als auch um vorbeugende Maßnahmen ausarbeiten zu können, damit ein einmal erkanntes Problem nicht wieder auftritt. Zur Dokumentation gehören sowohl alle durchgeführten Aktionen inklusive der Zeitpunkte, als auch die Protokolldateien der betroffenen IT-Systeme. - Es sind geeignete Beweissicherungsmaßnahmen zu etablieren, um für eine mögliche Strafverfolgung Beweise zu sammeln. Die zuständigen Mitarbeiter sind im Umgang mit Detektions- und Beweismittelwerkzeugen zu schulen. - Von einem Sicherheitsvorfall müssen alle betroffenen internen und externen Stellen informiert werden. Hierzu muss ein klares Konzept entwickelt werden, wer durch wen in welcher Reihenfolge und in welcher Tiefe informiert wird. Auskünfte über Sicherheitsvorfälle dürfen ausschließlich durch benannte Verantwortliche, wie zum Beispiel das Sicherheitsmanagement oder die Pressestelle, gegeben werden. Die Sicherheitsempfehlungen zum Thema Behandlung von Sicherheitsvorfällen müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Behandlung von Sicherheitsvorfällen finden sich im Baustein B 1.8 Behandlung von Sicherheitsvorfällen und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

10 Schicht Übergreifende Aspekte GR 1.9 GR 1.9 Hard- und Software-Management Für den sicheren Einsatz von IT-Systemen und IT-Anwendungen in einer Institution müssen sowohl die einzelnen IT-Komponenten angemessen geschützt, als auch alle Abläufe und Vorgänge, die diese IT- Systeme berühren, so gestaltet werden, dass das angestrebte IT-Sicherheitsniveau erreicht und beibehalten wird. Sicherheit sollte integrierter Bestandteil des gesamten Lebenszyklus eines IT-Systems bzw. eines Produktes sein. Hierfür sind klare Regelungen erforderlich, um einen ordnungsgemäßen und sicheren IT-Betrieb sicherstellen zu können. - Durch eine geeignete Benutzerkonten- und Rechteverwaltung muss sichergestellt werden, dass nur diejenigen Personen Zugang auf IT-Systeme und Zugriff auf Applikationen und Informationen haben, die aufgrund ihrer Aufgaben dazu berechtigt sind. - Die Verantwortung für die Administration von IT-Systemen und Anwendungen muss klar definiert werden. - Es sollten Standardarbeitsplätze und Standardsysteme definiert werden, die nur mit festgelegter Hardware und Software betrieben werden dürfen. Dadurch wird die Verwaltung von IT-Systemen effizienter und sicherer. - Es müssen Richtlinien für den IT-Betrieb und die IT-Nutzung definiert werden und den Benutzern bekannt gemacht werden. Dazu gehören auch Richtlinien für die Informationssicherheit. - Die Mitarbeiter sowie alle, die Zugang zu internen Informationen haben, müssen zum sicheren Umgang mit Informationstechnik und Informationen sensibilisiert und geschult werden. Für Fragen der Benutzer zur Informationssicherheit und zu IT-Themen sollte eine Betreuung sichergestellt sein. - Systemkonfigurationen müssen ausreichend dokumentiert werden. Außerdem müssen Installationshinweise, Benutzerhandbücher und -Anleitungen vorhanden sein, um Probleme zu vermeiden und um den Betrieb nach Ausfällen wieder herzustellen. - Um sicherzustellen, dass nur Befugte auf Systeme und Informationen zugreifen können, ist es wichtig, dass sich jeder vor Nutzung von IT-Systemen und IT-Anwendungen authentisieren muss. Dazu sind Regelungen, z. B. für den Umgang mit Passwörtern und deren Gestaltung, zu definieren. Die Benutzer müssen über die Regelungen und deren Anwendung sowie deren Hintergründe informiert werden. - IT-Systeme sind weniger angreifbar, wenn sie nur minimal nach außen geöffnet sind. Daher muss genau überlegt werden, welche Anwendungen und Dienste auf einem System (Internet, Fernzugriff,...) sinnvoll sind. Nur diese sollten installiert oder aktiviert werden. - Um IT-Systeme sicher betreiben zu können, ist eine regelmäßige Informationsbeschaffung zu Schwachstellen und Schadsoftware notwendig. Aktuelle sicherheitsrelevante Updates und Patches müssen zeitnah auf allen Systemen installiert werden. - Der Hard- und Software-Bestand muss regelmäßig kontrolliert werden, nicht freigegebene Hardoder Software muss entfernt werden, bei Verlust oder Diebstahl von IT-Systemen oder Komponenten müssen sofort geeignete Maßnahmen ergriffen werden. Die Sicherheitsempfehlungen zum Thema Hard- und Software-Management müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Hardund Software-Management finden sich im Baustein B 1.9 Hard- und Software-Management und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

11 Schicht Übergreifende Aspekte GR 1.10 GR 1.10 Standardsoftware Als Standardsoftware wird Software bezeichnet, die als vorgefertigtes Produkt z. B. über den Fachhandel erworben werden kann. Sie zeichnet sich dadurch aus, dass sie vom Anwender selbst installiert wird und dass nur geringer Aufwand für die anwenderspezifische Anpassung notwendig ist. - Es sollte klare Regeln und Prozesse für den sicheren Umgang mit Standardsoftware gebe - Alle Mitarbeiter sollten wissen, dass nur explizit freigegebene Standardsoftware eingesetzt werden darf. - Die Nutzung nicht zugelassener Hard- und Software sollte möglichst technisch unterbunden werden. - Um geeignete Standardsoftware auszuwählen, sollte von den Fach- und den IT-Verantwortlichen gemeinsam ein Anforderungskatalog erstellt werden. - Bevor Standardsoftware zum Einsatz kommt, muss sie ausreichend getestet werden. Außerdem muss die optimale Konfiguration festgelegt und dokumentiert werden. - Standardsoftware muss entsprechend der bei den Tests festgelegten Installations- und Konfigurationsanweisungen auf den dafür vorgesehenen IT-Systemen installiert werden. Es sollte sichergestellt werden, dass Standardsoftware nicht in anderer Form oder auf anderen IT-Systemen installiert wird. - Die Mitarbeiter sollten angemessenen über die Anwendung der von ihnen genutzten Standardsoftware geschult sein. Dazu gehört auch die Aufklärung über eventuelle Sicherheitsrisiken und Sicherheitsfunktionalitäten der IT-Anwendungen. Die Sicherheitsempfehlungen zum Thema Standardsoftware müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Standardsoftware finden sich im Baustein B 1.10 Standardsoftware und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

12 Schicht Übergreifende Aspekte GR 1.11 GR 1.11 Outsourcing Beim Outsourcing werden Arbeits- oder Geschäftsprozesse einer Organisation ganz oder teilweise zu externen Dienstleistern ausgelagert. Outsourcing kann sowohl Nutzung und Betrieb von Hardware und Software, aber auch Dienstleistungen betreffen. Dabei ist es unerheblich, ob die Leistung in den Räumlichkeiten des Auftraggebers oder in einer externen Betriebsstätte des Outsourcing-Dienstleisters erbracht wird. Typische Beispiele sind der Betrieb eines Rechenzentrums, einer Applikation, einer Webseite oder des Wachdienstes. - Vor der Entscheidung Geschäftsprozesse auszulagern, muss überlegt werden, ob und in welcher Form dies möglich ist. Hierbei müssen neben anderen Rahmenbedingungen auch die sicherheitsrelevanten Aspekte einbezogen werden. - Sobald die Entscheidung zum Outsourcing gefallen ist, müssen die wesentlichen übergeordneten Sicherheitsanforderungen für das Outsourcing-Vorhaben festgelegt werden. Diese sind unter anderem die Basis für die Auswahl eines Outsourcing-Dienstleisters. - Bei der Auswahl eines geeigneten Outsourcing-Dienstleisters müssen Qualifikationen der Mitarbeiter und Sicherheitsnachweise nachgefragt werden. Hierbei können Zertifikate hilfreich sein. - Bei der Vertragsgestaltung mit dem Outsourcing-Dienstleisters müssen möglichst detailliert die IT-Sicherheitsanforderungen und die Kriterien zur Messung von Servicequalität und Sicherheit beschrieben werden. Im Vertrag müssen auch Auskunfts-, Mitwirkungs- und Revisionspflichten geregelt sein. - Zwischen Auftraggeber und Outsourcing-Dienstleister muss ein detailliertes Sicherheitskonzept inklusive Notfallvorsorgekonzept abgestimmt werden. - Bei der Übertragung der Aufgaben müssen klare Führungsstrukturen geschaffen und auf beiden Seiten eindeutige Ansprechpartner benannt werden. Außerdem müssen ausreichende Tests geplant und durchgeführt werden, damit die Produktionseinführung reibungslos erfolgen kann. - Auch während des laufenden Betriebs eines Outsourcing-Vorhabens muss der Auftraggeber regelmäßige Kontrollen zur Aufrechterhaltung der IT-Sicherheit beim Dienstleister durchführen (lassen). - Nichts dauert ewig. Daher müssen Eigentumsrechte an Hard- und Software sowie die Rückgabe der Datenbestände vom Dienstleister geklärt sein. Außerdem müssen alle erforderlichen Informationen für die Weiterführung des Betriebs von IT-Systemen und IT-Anwendungen ausreichend dokumentiert sein. Die Sicherheitsempfehlungen zum Thema Outsourcing müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Outsourcing finden sich im Baustein B 1.11 Outsourcing und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

13 Schicht Übergreifende Aspekte GR 1.12 GR 1.12 Archivierung Bei nahezu allen Geschäftsprozessen entstehen Daten, die geeignet archiviert werden müssen, um sie später wiederfinden und verwenden zu können. Die dauerhafte und unveränderbare Speicherung von elektronischen Dokumenten und anderen Daten wird als Archivierung bezeichnet. Diese ist an Regeln gebunden wie Unveränderbarkeit, langfristige Wiederauffindbarkeit und Wiedergabefähigkeit. Die Aufbewahrungsfrist muss zum Archivierungszeitpunkt festgelegt werden, es kann unter Umständen eine zeitlich unbegrenzte Verfügbarkeit gefordert sein. - Elektronische Archivierungssysteme sollten in einem dreigliedrigen Prozess (Planung, Einführung/Betrieb, Migration) eingeführt werden. Neben den Phasen "Planung" und "Einführung/Betrieb" muss eine Migrationsphase durchgeführt werden, da die eingesetzten Archivsysteme und -medien mit der Zeit technologisch und physikalisch veralten. - Vor dem Einsatz einer Archivierungslösung sind die Ziele festzulegen, die mit der Archivierung erreicht werden sollen. Die technischen, rechtlichen und organisatorischen Rahmenbedingungen müssen ermittelt werden. Die Ergebnisse müssen in einem Archivierungskonzept erfasst werden. - Es sind Richtlinien zur Administration und Benutzung des Archivsystems festzulegen, die sicherstellen, dass das Archivierungskonzept in vorgesehener Weise umgesetzt wird und die festgelegten Rahmenbedingungen eingehalten werden. - Benutzer und Administratoren sind in die Bedienung des verwendeten Archivsystems in geeigneter Weise einzuweisen. - Für Archivierungssysteme sowie die Lagerung der entstehenden Archivierungsmedien sind geeignete Standorte, Gerätschaften, Software und Datenformate zu wählen. Der Aufstellungsort des Systems sowie der Lagerungsort der Archivmedien sind vor unbefugtem Zutritt und anderen Gefährdungen zu schützen. - Der Archivierungsprozess ist kontinuierlich zu überwachen und auf Korrektheit zu prüfen. - System- und Archivdaten sowie Index-Datenbanken sind im Hinblick auf Integrität und Verfügbarkeit durch geeignete Maßnahmen besonders zu schützen. Die Richtlinien und Vorgaben zum Thema Archivierung müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Archivierung finden sich im Baustein B 1.12 Archivierung und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

14 Schicht Übergreifende Aspekte GR 1.13 GR 1.13 Sensibilisierung und Schulung zur Informationssicherheit Um Sicherheitsmaßnahmen wirkungsvoll umsetzen zu können, muss in jeder Institution eine IT-Sicherheitskultur aufgebaut und ein Sicherheitsbewusstsein gebildet werden. Informationssicherheit betrifft ohne Ausnahme alle Mitarbeiter. Daher müssen alle Mitarbeiter in Hinblick auf die Bedeutung von Sicherheitsmaßnahmen und ihre Anwendung geschult und sensibilisiert werden. Dafür müssen Schulungskonzepte für verschiedene Zielgruppen (z. B. Administratoren, Manager, Anwender, Wachpersonal) erstellt werden. - Ein effektives Schulungs- und Sensibilisierungsprogramm zur Informationssicherheit muss aufgebaut und aufrechterhalten werden. Nur langfristige und kontinuierliche Maßnahmen bewirken eine Verhaltensänderung der Mitarbeiter hin zu einer sicheren Institution. - Die Durchführung von Schulungs- und Sensibilisierungsmaßnahmen muss nachhaltig unterstützt werden. Daher ist es wichtig, dass das Management auf die Bedeutung der Informationssicherheit aufmerksam gemacht wird. - Den Mitarbeitern muss die notwendige Kompetenz zur Informationssicherheit vermittelt werden, die sie bei der Ausführung ihrer Fachaufgaben benötigen. Den Mitarbeitern soll eine Basis gegeben werden, um die Folgen und Auswirkungen ihrer Tätigkeit sowohl im beruflichen und als auch privaten Umfeld besser einschätzen können. - Alle Mitarbeiter, die neu eingestellt oder denen neue Aufgaben zugewiesen wurden, müssen gründlich eingearbeitet und ausgebildet werden. Auch erfahrene IT-Benutzer sollten in regelmäßigen Abständen ihr Wissen auffrischen und ergänzen. - Mitarbeiter müssen über den Sinn von Sicherheitsmaßnahmen aufgeklärt werden. Dies ist besonders wichtig, wenn sie Komfort- oder Funktionseinbußen zur Folge haben. - Alle Mitarbeiter müssen die firmeninternen Abläufe kennen und wissen, an wen sie sich wenden können, falls Sicherheitsfragen auftreten oder Sicherheitsprobleme gelöst werden müssen. Die Sicherheitsempfehlungen zum Thema Schulung und Sensibilisierung müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Schulung und Sensibilisierung finden sich im Baustein B 1.13 Sensibilisierung und Schulung zur Informationssicherheit und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

15 Schicht Übergreifende Aspekte GR 1.14 GR 1.14 Patch- und Änderungsmanagement Sicherheitslücken und Störungen im IT-Betrieb sind häufig auf fehlerhafte oder nicht erfolgte Änderungen zurückzuführen. Ein fehlendes oder vernachlässigtes Patch- oder Änderungsmanagement führt schnell zu Lücken in der Sicherheit der einzelnen Komponenten und damit zu möglichen Angriffspunkten. Ein Änderungsmanagement ist dafür zuständig, Änderungen an Anwendungen, Infrastruktur, Dokumentationen, Prozessen und Verfahren steuer- und kontrollierbar zu gestalten. - Jede Institution sollte ein funktionierendes Patch- und Änderungsmanagement haben. Alle Änderungen von Hard- und Softwareständen und Konfigurationen sollten über den Prozess des Patchund Änderungsmanagements gesteuert und kontrolliert werden. - Der Patch und Änderungsmanagementprozess muss in die Geschäftsprozesse integriert werden. - Es sollte sichergestellt werden, dass das angestrebte Sicherheitsniveau während und nach dem Einspielen von Änderungen und Patches erhalten bleibt. - Die Freigabe und Durchführung von Änderungen sollten zwischen Fachbereichen und IT-Betrieb abgestimmt und die jeweiligen Ressourcen und Interessen berücksichtigt werden. - Die Integrität und Authentizität von Softwarepaketen muss während des gesamten Patch- und Änderungsmanagementprozesses sichergestellt sein. - Die Verantwortlichkeiten für die verschiedenen Aktivitäten beim Patch- und Änderungsmanagement sollten klar definiert sein. - Es sollte einen fest definierten Ablauf geben, wie Änderungsanforderungen eingereicht, koordiniert, umgesetzt, evaluiert und abgeschlossen werden. Dieser sollte auch den Umgang mit fehlgeschlagenen Änderungen beinhalten. - Zeitweise oder permanent nicht erreichbare Geräte, wie zum Beispiel Laptops, müssen im Patchund Änderungsmanagement durch geeignete Mechanismen berücksichtigt werden. - Der Umgang mit automatischen Update-Mechanismen (Autoupdate) der verwendeten Software muss geklärt werden und passend konfiguriert werden. - Alle Änderungen an IT-Systemen sollten dokumentiert werden. Die Sicherheitsempfehlungen zum Thema Patch- und Änderungsmanagement müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Patchund Änderungsmanagement finden sich im Baustein B 1.14 Patch- und Änderungsmanagement und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

16 Schicht Übergreifende Aspekte GR 1.15 GR 1.15 Löschen und Vernichten von Daten Damit Informationen nicht in falsche Hände geraten können, muss in einem Unternehmen oder einer Behörde die Vorgehensweise geregelt sein, wie Daten und Datenträger vollständig und zuverlässig zu löschen oder zu vernichten sind. Dabei müssen sowohl die schutzbedürftigen Informationen auf Papier oder anderen analogen Datenträgern wie Mikrofilm als auch solche, die auf digitalen Datenträgern (elektronisch, magnetisch, optisch) gespeichert sind, betrachtet werden. - Es muss klare und einfache Regeln zum Löschen und zur Entsorgung von Informationen und Datenträgern geben. - Den Mitarbeitern müssen geeignete Werkzeuge und Geräte zur Entsorgung von Informationen und Datenträgern zur Verfügung stehen. - Alle Mitarbeiter sollten über die vorhandenen Methoden zum Löschen von Informationen oder zur Vernichtung von Datenträgern informiert sein. - Informationen sollten strukturiert gehalten und nach Schutzbedarf kategorisiert werden. Dies erleichtert es, alle zu löschenden oder zu vernichtenden Informationen zu identifizieren. - Alle Arten von Information und Datenträgern müssen sicher entsorgt werden. Hierzu gehören nicht nur Server-Festplatten, auch Mobiltelefone, USB-Sticks, Ausdrucke oder Fax-Material dürfen nicht vergessen werden. - Vor der Weitergabe von Datenträgern müssen alle Restinformationen sorgfältig gelöscht werden. Die Richtlinien und Vorgaben zum Thema Löschen und Vernichten müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Löschen und Vernichten finden sich im Baustein B 1.15 Löschen und Vernichten von Daten und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

17 Schicht Übergreifende Aspekte GR 1.16 GR 1.16 Anforderungsmanagement In jeder Institution gibt es eine Vielzahl gesetzlicher, vertraglicher und interner Richtlinien und Vorgaben, die beachtet werden müssen. Aufgabe der Leitungsebene einer Institution ist es, die Einhaltung der Anforderungen durch angemessene Überwachungsmaßnahmen sicherzustellen, also "Compliance" zu gewährleisten. - Es müssen geeignete Prozesse und Organisationsstrukturen aufgebaut werden, um den Überblick über die verschiedenen Anforderungen an die einzelnen Bereiche der Institution zu gewährleisten. Dafür müssen Verantwortliche benannt und deren Aufgaben in Bezug auf das Anforderungsmanagement festgelegt werden. - Es sollte eine strukturierte Übersicht über die Anforderungen geben, die für die Institution und deren Geschäftsprozesse relevant sind. Die Übersicht muss auf dem aktuellen Stand gehalten werden. - Es müssen geeignete Maßnahmen identifiziert und umgesetzt werden, um Verstöße gegen relevante Anforderungen zu vermeiden. - Mitarbeiter, aber auch Besucher und externe Dienstleister müssen auf ihre Sorgfaltspflichten im Umgang mit Informationen und IT-Systemen hingewiesen werden, bevor sie Zugang oder Zugriff darauf erhalten. - Es muss regelmäßig überprüft werden, ob die Sicherheitsvorgaben, die die Institution zur Erfüllungen der Anforderungen erstellt hat, eingehalten werden. Ebenso muss regelmäßig überprüft werden, ob die internen Regelungen und die rechtlichen Rahmenbedingungen noch aktuell sind. - Wenn Verstöße gegen relevante Anforderungen erkannt werden, müssen sachgerechte Korrekturmaßnahmen ergriffen werden, um die Abweichungen zu beheben. Die Richtlinien und Vorgaben zum Thema Anforderungsmanagement müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Anforderungsmanagement finden sich im Baustein B 1.16 Anforderungsmanagement und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

18 Schicht Übergreifende Aspekte GR 1.17 GR 1.17 Cloud-Nutzung Die Nutzung von Cloud Services bietet die Möglichkeit, IT-Infrastrukturen (zum Beispiel Rechenleistung, Speicherkapazitäten), IT-Plattformen (zum Beispiel Datenbanken, Applikations-Server) oder IT-Anwendungen (zum Beispiel Auftragssteuerung, Groupware) nach kundenspezifischen Bedürfnissen als Dienst über ein Netz zu beziehen. Dabei kann die Leistung sowohl in den Räumlichkeiten des Auftraggebers als auch in einer externen Betriebsstätte des Cloud-Diensteanbieters erbracht werden. Die so ermöglichte bedarfsgerechte, skalierbare und flexible Nutzung von IT-Diensten wird unterstützt durch neuartige Geschäftsmodelle, bei denen die Abrechnung je nach Funktionsumfang, Nutzungsdauer und Anzahl der Benutzer erfolgen kann. - Die Entscheidung Cloud Services zu nutzen,ist strategischer Natur. Daher sollten relevante wirtschaftliche, technische und organisatorische Randbedingungen sowie sicherheitsrelevante Aspekte betrachtet werden und in die Erstellung einer Cloud-Nutzungs-Strategie einfließen. - Aus der Cloud-Nutzungs-Strategie ergeben sich konkrete Sicherheitsvorgaben für die Umsetzung innerhalb der Institution. Diese sollten in ausreichend detaillierter Form in einer Sicherheitsrichtlinie für die Cloud-Nutzung dokumentiert werden. - Die ermittelten Anforderungen der Institution hinsichtlich der Sicherheitsvorgaben, der relevanten Schnittstellen und des benötigten Service-Levels sollten die Grundlage für die Service-Definition des zu verwendenden Cloud-Dienstes bilden. - Voraussetzung für die anschließende Auswahl eines geeigneten Cloud-Diensteanbieters ist die Erstellung eines möglichst detaillierten Anforderungsprofils. In dieses Lastenheft sollten die Sicherheitsanforderungen sowie die Definition des Cloud-Dienstes vollständig einfließen. Das Lastenheft ist mit verfügbaren Angeboten von Cloud-Diensteanbietern abzugleichen. - Alle relevanten Aspekte des Cloud-Nutzungs-Vorhabens sollten vertraglich festgehalten und geregelt werden. Der Vertrag sollte neben Aussagen zu IT-Sicherheitsanforderungen und Kriterien zur Messung von Service-Qualität und Sicherheit auch Regelungen zu Auskunfts-, Mitwirkungs- und Revisionspflichten sowie zu einer möglichen Beendigung des Vertragsverhältnisses beinhalten. - Bevor ein Cloud Service genutzt wird, sollte dessen Einbindung in die IT der Institution geplant und umgesetzt werden. Hierbei sind insbesondere die Bandbreite der Netzanbindungen und die Sicherheitsanforderungen an die Sicherheitsgateways zu berücksichtigen. - Die Migration zu einem Cloud Service erfolgt auf Basis eines Migrationskonzeptes, in dem Vorgaben zur geplanten Form der Migration (Testphase, Pilotphase etc.) sowie zu den technischen und organisatorischen Voraussetzungen für eine Migration festgeschrieben sind. - Um die Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb aufrechtzuerhalten, sind Dokumentationen und Richtlinien regelmäßig zu aktualisieren sowie regelmäßige Kontrollen, Abstimmungsrunden und die Planung und Durchführung von Übungen beziehungsweise Tests sicherzustellen. Weitere Informationen hierzu sind der Maßnahme M Aufrechterhaltung der Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb zu entnehmen. - Um ein Cloud-Nutzungs-Verhältnisses geordnet zu beenden, müssen Eigentumsrechte an Hardund Software sowie die Rückgabe der Datenbestände vom Dienstleister geklärt sein. Außerdem müssen alle erforderlichen Informationen für die Weiterführung des Betriebs von IT-Systemen und IT-Anwendungen ausreichend dokumentiert sein. - Als wichtige Maßnahme zur Notfallvorsorge zählt die Erstellung eines IT-Notfallkonzeptes für die internen Prozesse bei Cloud-Nutzung. In diesem sollten relevante organisatorische und technische Punkte thematisiert werden. Die Sicherheitsempfehlungen zum Thema Cloud-Nutzung müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Cloud-Nutzung finden sich im Baustein B 1.17 Cloud-Nutzung und in weiteren Bereichen der IT-Grundschutz-Kataloge.

19 Schicht Infrastruktur GR 2.1 GR 2.1 Allgemeines Gebäude Ein Gebäude ermöglicht einer Institution durch seine Infrastruktureinrichtungen erst den Betrieb der Geschäftsprozesse und der zugehörigen IT. Es bildet den äußeren Schutz der Informationen und Ressourcen und muss deshalb ausreichend geschützt werden. Dabei muss einerseits das Bauwerk (Wände, Decken, Böden, Dach, Fenster und Türen) betrachtet werden und andererseits alle gebäudeweiten Versorgungseinrichtungen wie Strom, Wasser, Gas, Heizung, Rohrpost etc.. - Bei einem Gebäude müssen viele verschiedene Sicherheitsaspekte beachtet werden, von Brandschutz über Elektrik bis hin zur Zutrittskontrolle, die häufig von verschiedenen Personen betreut werden. Daher müssen aufbauend auf den Schutzzielen die verschiedenen Aufgaben und Sicherheitsmaßnahmen abgestimmt werden. - Schützenswerte Räume oder Gebäudeteile sollten nicht in exponierten oder besonders gefährdeten Bereichen untergebracht sein. - Für schutzbedürftige Gebäudeteile, Räume, Verteiler der Versorgungseinrichtungen (Strom, Wasser, Gas, Telefon, etc.) ist eine Zutrittsregelung und -kontrolle festzulegen. Hierbei sollten die betroffenen Bereiche eindeutig bestimmt und die Zahl der zutrittsberechtigten Personen auf ein Mindestmaß reduziert werden. Andere Personen sollten erst nach vorheriger Prüfung der Notwendigkeit Zutritt erhalten. Alle erteilten Zutrittsberechtigungen sollten dokumentiert werden. - Bei der Raumplanung sind die zu erwartenden elektrischen Anschlusswerte und die abzuführende Wärmemenge zu bestimmen. Bei Änderungen der Raumnutzung oder der IT-Ausstattung sind die Elektroinstallation und die Kühlung zu prüfen und anzupassen, wenn nötig. - Es muss ein umfassendes Blitz- und Überspannungsschutzkonzept erstellt und realisiert werden. - Die aus der Bauordnung erwachsenden Vorschriften zum Brandschutz sind für die Anforderungen des Brandschutzes der IT nicht ausreichend. Daher ist ein IT-bezogenes Brandschutzkonzept zu erstellen und umzusetzen. Es muss ein Brandschutzbeauftragter benannt werden. Brandschutzbegehungen sollten ein- bis zweimal im Jahr stattfinden. - Der Brandschutzbeauftragte muss über alle Tätigkeiten an Rohr- und Kabeltrassen, die Wanddurchbrüche, sowie Flure, Flucht- und Rettungswege berühren, informiert sein, um die ordnungsgemäße Ausführung von Brandschutzmaßnahmen zu kontrollieren. - Für alle Schlösser des Gebäudes ist ein Schließplan zu erstellen, dabei ist die Verwaltung der Schlüssel zentral zu regeln. Es müssen Reserveschlüssel vorhanden sein und sicher, aber für Notfälle griffbereit aufbewahrt werden. - In unbenutzten Räumen sind Fenster und nach außen gehende Türen (Balkone, Terrassen) zu schließen. - Für Notfälle sind Alarmierungspläne zu erstellen. Diese sollten unter anderem die Maßnahmen enthalten, die bei einem Notfall zu ergreifen sind, welche Gebäudeteile zu räumen sind und wer zu informieren ist. Die Alarmierungspläne sind in regelmäßigen Abständen zu überprüfen und zu aktualisieren. Die Sicherheitsempfehlungen zum Thema Gebäude müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Gebäude finden sich im Baustein B 2.1 Allgemeines Gebäude und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

20 Schicht Infrastruktur GR 2.2 GR 2.2 Elektrotechnische Verkabelung Die ordnungsgemäße und normgerechte Ausführung der elektrotechnischen Verkabelung ist Grundlage für einen sicheren IT-Betrieb. Dabei umfasst die elektrotechnische Verkabelung von IT-Systemen und anderen Geräten alle Kabel und Verteilungen im Gebäude vom Einspeisepunkt des Verteilungsnetzbetreibers bis zu den Elektro-Anschlüssen der Verbraucher. - Die elektrotechnische Verkabelung muss für den Bedarf angemessen sein, eine Überlast ist zu vermeiden. - Für die elektrotechnische Verkabelung sind geeignete Kabeltypen unter physikalisch-mechanischer Sicht auszuwählen, die dem jeweiligen Einsatzzweck gerecht werden. - Bei der Auswahl der Trassensysteme ist darauf zu achten, dass genügend Platz für alle über die Trasse geführten Kabel vorhanden ist und dass Normen beim Verlegen der Kabel, wie z. B. maximale Biegeradien der Kabel, eingehalten werden. - Brandschutzbestimmungen müssen auf jeden Fall beachtet und elektrische Zündquellen, wie z. B. nicht überprüfte Steckdosenleisten oder ähnliches, vermieden werden. Der Brandschutzbeauftragte ist aus diesen Gründen frühzeitig mit einzubeziehen. - Es muss ein geeigneter Überspannungsschutz vorhanden sein, um mögliche Schäden an IT-Geräten in Netzen durch direkten Blitzeinschlag, Einkopplung und Schalthandlungen zu reduzieren. Überspannungsschutzeinrichtungen sollten periodisch und nach bekannten Ereignissen geprüft und ersetzt werden, wenn dies erforderlich ist. - Leitungen und Verteiler sind gegen unbefugte Zugriffe zu sichern. Die Zahl der Stellen, an denen das Kabel oder Verteiler zugänglich sind, sollte auf ein Mindestmaß reduziert werden. - Die elektrotechnische Verkabelung ist so zu gestalten, dass Fehlerstromfreiheit gewährleistet ist, da solche Fehlerströme zu schädlichen Ausgleichsströmen auf Schirmungen führen können. Die Fehlerstromfreiheit muss im laufenden Betrieb aufrechterhalten werden. - Insofern Veränderungen an der elektrotechnischen Verkabelung vorgenommen werden oder Gebäude und Räume neu verkabelt werden, ist die elektrotechnische Verkabelung genau zu dokumentieren, beispielsweise auf einem Gebäude- oder Raumplan. Bei der Dokumentation an den Kabeln ist darauf zu achten, dass diese für Befugte nachvollziehbar, aber ansonsten neutral ist. - Nicht benötigte Kabel sind zu entfernen. Damit werden Brandlasten und die Gefahr von elektrischen Störungen, z. B. durch das Verschleppen von Überspannungen, reduziert. - Die Verwendung von Mehrfachsteckdosen sollte wegen der Brandgefahr konsequent vermieden werden. Fehlende Steckdosen sollten nachgerüstet werden. Die Sicherheitsempfehlungen zum Thema Elektrotechnische Verkabelung müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Elektrotechnische Verkabelung finden sich im Baustein B 2.2 Elektrotechnische Verkabelung und in den weiteren Bereichen der IT-Grundschutz-Kataloge.