Webkurs IT-Grundschutz Beschreibung des Beispielunternehmens RECPLAST GmbH Ausgabe April 2011
Dieses Dokument ergänzt den Webkurs IT-Grundschutz und enthält die Darstellungen, Tabellen und Erläuterungen zu dem (fiktiven) Unternehmen RECPLAST GmbH, das in dem Kurs als Beispiel zur Veranschaulichung der IT-Grundschutz-Vorgehensweise verwendet wird. Grundlage: IT-Grundschutz-Kataloge, 11. Ergänzungslieferung, November 2009 Der Webkurs IT-Grundschutz wurde im Auftrag des BSI vom Fraunhofer-Institut für Sichere Informationstechnologie SIT, Forschungsbereich Anwendungs- und Prozesssicherheit, Sankt Augustin angefertigt. Internet: www.sit.fraunhofer.de. Bundesamt für Sicherheit in der Informationstechnik Referat 114 Postfach 20 03 63 53133 Bonn Telefon: 0228 99 9582-5369 + 49 228 99 9582-5369 E-Mail: grundschutz@bsi.bund.de Internet: www.bsi.bund.de Bundesamt für Sicherheit in der Informationstechnik 2011
Inhaltsverzeichnis 1 Das Beispielunternehmen RECPLAST GmbH...2 1.1 Organisatorische Gliederung...2 1.2 Informationstechnik...3 2 Informationssicherheitsmanagement...4 2.1 Vorschläge für die Leitlinie zur Informationssicherheit...4 2.2 Einführung der Leitlinie im Unternehmen...6 3 Strukturanalyse...8 3.1 Erfassung der Geschäftsprozesse, Anwendungen und Informationen...8 3.2 Erhebung des Netzplans...10 3.3 Erhebung IT-Systeme...12 3.4 Erhebung der räumlichen Gegebenheiten...17 4 Schutzbedarfsfeststellung...19 4.1 Anpassung der Schutzbedarfskategorien...19 4.2 Schutzbedarfsfeststellung für Anwendungen...20 4.3 Schutzbedarfsfeststellung der IT-Systeme...24 4.4 Schutzbedarf der Kommunikationsverbindungen...30 4.5 Schutzbedarfsfeststellung der Räumlichkeiten...33 5 Modellierung gemäß IT-Grundschutz...35 5.1 Schicht 1: Übergreifende Aspekte...35 5.2 Schicht 2: Infrastruktur...36 5.3 Schicht 3: IT-Systeme...37 5.4 Schicht 4: Netze...39 5.5 Schicht 5: Anwendungen...40 6 Basis-Sicherheitscheck...41 6.1 Beispiel aus Schicht 1: B 1.0 Sicherheitsmanagement...42 6.2 Beispiel aus Schicht 1: B 1.2 Personal...43 6.3 Beispiel aus Schicht 2: B 2.4 Serverraum...45 6.4 Beispiel I aus Schicht 3: B 3.101 Allgemeiner Server...47 6.5 Beispiel II aus Schicht 3: B 3.108 Windows Server 2003...50 6.6 Beispiel aus Schicht 4: B 4.1 Heterogene Netze...52 6.7 Beispiel aus Schicht 5: B 5.7 Datenbanken...54 7 Ergänzende Sicherheitsanalyse und Risikoanalyse...57 7.1 Erstellung der Gefährdungsübersicht...57 7.2 Ermittlung zusätzlicher Gefährdungen...60 7.3 Bewertung der Gefährdungen...61 7.4 Behandlung der Risiken und Maßnahmenauswahl...65 8 Realisierungsplanung...67 8.1 Konsolidierter Realisierungsplan...67 8.2 Abgestimmter Realisierungsplan...70 Kontakte...74 Seite 1
1 Das Beispielunternehmen RECPLAST GmbH Die Vorgehensweise bei der Anwendung der IT-Grundschutz-Kataloge soll ein Beispiel veranschau lichen und zwar ein Unternehmen mittlerer Größe, das selbstverständlich rein fiktiv ist. Es handelt sich dabei um die RECPLAST GmbH, die aus Recyclingmaterialien etwa 400 unterschiedliche Kunststoffprodukte produziert und vertreibt, zum Beispiel Bauelemente wie Rund- und Brettprofile, Zäune, Blumenkübel oder Abfallbehälter und zwar teils in größeren Serien für Endkunden, teils spezifisch für einzelne Geschäftskunden. Auftragsvolumen, Häufigkeit der Aufträge und die Kunden variieren: Es gibt einige wenige Stamm- und Großkunden und zahlreiche Einmalkunden. Der jährliche Gesamtumsatz des Unternehmens beläuft sich auf ca. 50 Millionen Euro bei einem Gewinn von etwa 1 Millionen Euro. Im Beispiel wird die im November 2009 veröffentlichte 11. Ergänzungslieferung der IT-Grundschutz- Kataloge verwendet. 1.1 Organisatorische Gliederung Die organisatorische Gliederung der RECPLAST GmbH gibt das in Abbildung 1 dargestellte Organigramm wieder. Geschäftsführung Verwaltung Einkauf Produktion Marketing/ Vertrieb Lager/Logistik Personal Entwicklung Zentrale Bad Godesberg Informationstechnik Fertigung Vertriebsbüro Berlin Buchhaltung Vertriebsbüro Hamburg Haus- und Gebäudetechnik Vertriebsbüro München Abbildung 1: Organigramm der RECPLAST GmbH Verwaltung sowie Produktion und Lager befinden sich in Bonn, allerdings an unterschiedlichen Standorten: Die Geschäftsführung hat zusammen mit den Verwaltungsabteilungen und den Abteilungen für Einkauf, Marketing und Vertrieb ein neues Gebäude in Bad Godesberg bezogen, während Produktion, Material- und Auslieferungslager am ursprünglichen Firmensitz im Stadtteil Beuel verblieben sind. Zusätzlich gibt es Vertriebsbüros in Berlin, Hamburg und München. Das Unternehmen beschäftigt insgesamt 180 Mitarbeiter, von denen 40 in der Verwaltung in Bad Godesberg, 134 in Produktion und Lager in Beuel und jeweils zwei Mitarbeiter in den Vertriebsbüros in Berlin, Hamburg und München tätig sind. Seite 2
1.2 Informationstechnik Am Standort Bad Godesberg ist im Zuge des Umzugs ein zentral administriertes Windows-Netz mit insgesamt 30 angeschlossenen Arbeitsplätzen eingerichtet worden. Die Arbeitsplatzrechner sind einheitlich mit dem Betriebssystem Windows Vista, üblichen Büro-Anwendungen (Standardsoftware für Textverarbeitung, Tabellenkalkulation und Präsentationen) und Client-Software zur E-Mail- Nutzung ausgestattet. Zusätzlich gibt es je nach Aufgabengebiet auf verschiedenen Rechnern Spezialsoftware. Im Netz des Standorts Bad Godesberg werden insgesamt fünf Server für folgende Zwecke eingesetzt: ein Server dient als Domänen-Controller, ein weiterer Server dient der Dateiablage und als Druck-Server, ein Server dient als Datenbankserver für die Personal- und Finanzdaten, ein weiterer Datenbank-Server dient der Kunden- und Auftragsbearbeitung und der fünfte Server dient als interner Kommunikations-Server (interner Mail-Server, Termin- und Adressverwaltung). Der Standort Bonn-Beuel ist mit einem weiteren Server und 18 Arbeitsplatzrechnern über eine angemietete Standleitung in das Firmennetz eingebunden. Der Server dient als zusätzlicher Domänen- Controller sowie als Datei- und Druckserver für diesen Standort. Die Arbeitsplatzrechner in Beuel haben die gleiche Grundausstattung wie die Rechner in der Verwaltung in Bad Godesberg. Zusätzlich ist auf vier PCs CAD/CAM-Software (CAD/CAM = Computer Aided Design/Computer Aided Manufacturing) installiert. Die Vertriebsbüros sind jeweils mit einem PC ausgestattet (Betriebssystem ist ebenfalls Windows Vista) und über DSL an das Internet angebunden. Der Zugriff auf das Unternehmensnetz erfolgt bei Bedarf mittels Authentisierung und VPN. Das Unternehmensnetz ist über DSL an das Internet angebunden. Der Internet-Zugang ist über eine Firewall und einen Router mit Paketfilter abgesichert. Alle Client-Rechner haben Zugang zum Internet (für WWW und E-Mail). Die Webseite des Unternehmens wird auf einem Webserver des Providers vorgehalten. An weiterer Informationstechnik sind zu berücksichtigen: Telekommunikationsanlagen in Bad Godesberg und Beuel, insgesamt acht Faxgeräte (davon vier in Bad Godesberg, je eins in den Vertriebsbüros und eins in Beuel) sowie acht Laptops (vier in Bad Godesberg, je einer in den Vertriebsbüros und einer in Beuel), die bei Bedarf in das Netz eingebunden werden können, von entfernten Standorten aus über VPN Für den reibungslosen Betrieb der Informationstechnik an allen Standorten ist die zentrale DV- Abteilung in Bad Godesberg verantwortlich. Zum Umgang mit der betrieblichen Informationstechnik gibt es eine Anweisung, der zufolge diese ausschließlich für Firmenzwecke genutzt werden darf und das Einbringen von privater Hard- und Software untersagt ist. Seite 3
2 Informationssicherheitsmanagement Die Geschäftsführung beabsichtigt, ein Sicherheitskonzept für das Unternehmen ausarbeiten zu lassen, das in allen Unternehmensbereichen umgesetzt werden soll. Dazu müssen die Unternehmens grundsätze zur Informationssicherheit und die vorhandenen Sicherheitsrichtlinien präzisiert werden. In einem ersten Schritt soll ein IT-Sicherheitsbeauftragter ernannt werden, der die zugehörigen Arbeiten koordinieren soll. Da diese Aufgabe umfangreiche IT-Kenntnisse erfordert, wird hierfür ein Mitarbeiter der Abteilung Informationstechnik bestimmt. Danach wird ein zeitlich befristetes Projekt Sicherheitskonzept eingerichtet, das folgende Ergebnisse erzielen soll: 1. Vorschläge und Entscheidungsvorlage für eine Leitlinie zur Informationssicherheit, 2. einen Vorschlag für ein Sicherheitskonzept, das Maßnahmen zur Notfallvorsorge und Benutzersensibilisierung einschließen soll, sowie einen zugehörigen Realisierungsplan, 3. Vorschläge für Maßnahmen zur Aufrechterhaltung der Informationssicherheit, 4. Dokumentation aller Entscheidungsvorlagen, Entscheidungen und der umgesetzten Maßnahmen des Informationssicherheitsprozesses. Mehrere Bereichsleiter wollen, dass auch ein Mitarbeiter aus ihrem Bereich in dem Projektteam vertreten ist. Aus drei Bereichen können wegen dringender Terminarbeiten keine Mitarbeiter am Projekt teilnehmen. Die Geschäftsführung schließt diese Diskussion damit ab, dass höchstens drei Personen im Projekt arbeiten sollen und zwar der IT-Sicherheitsbeauftragte, der Datenschutzbeauftragte (ein Mitarbeiter aus dem Vertrieb) sowie die kaufmännische Geschäftsleitung. Alle Abteilungen sollen dem Projekt die erforderlichen Auskünfte über den Stand der Informationssicherheit und vorhersehbare Entwicklungen in ihrem Zuständigkeitsbereich geben. Zwischen- und Endergebnisse sollen mit dem Betriebsrat abgestimmt und dann von der Geschäftsführung entschieden und den Beschäftigten bekannt gegeben werden. Der Vorschlag der Leitlinie zur Informationssicherheit, den das Projektteam der Geschäftsführung vorlegte, wird im nächsten Abschnitt dargestellt. 2.1 Vorschläge für die Leitlinie zur Informationssicherheit Stellenwert der Informationssicherheit und Bedeutung dieser Leitlinie Der Erfolg des Unternehmens ist abhängig von aktuellen und korrekten Geschäftsinformationen. Diese werden mit Kunden, Zulieferern, Kooperationspartnern, Geldinstituten und anderen Institutionen zunehmend elektronisch ausgetauscht. Die Informationstechnik ist ein wichtiger, unterstützender Teil des Geschäfts und der Arbeiten in allen Abteilungen. Seite 4
Eine funktionsfähige Informationstechnik und ein sicherheitsbewusster Umgang mit ihr sind wesentliche Voraussetzungen für die Gewährleistung von Verfügbarkeit, Integrität und Vertraulichkeit der für das Unternehmen wichtigen Informationen. Die Unternehmensleitung hat aufgrund ihrer Verantwortung für diese Aufgabe einen Informations sicherheitsmanagementprozess in Gang gesetzt. Dazu gehören die Entwicklung und Umsetzung dieser für alle Unternehmensbereiche verbindlichen Leitlinie und eines Sicherheitskonzepts. Es soll regelmäßig überprüft werden, ob die Leitlinie und das Sicherheitskonzept noch angemessen und aktuell sind. Sicherheitsniveau und Ziele Insbesondere für auftragsbezogene Entscheidungen und Investitionen sind aktuelle und korrekte Informationen unabdingbar. Informationstechnik wird hierfür in allen Unternehmensbereichen immer wichtiger. Ein Ausfall von IT-Systemen ist bis zu einem Tag überbrückbar. Darüber hinaus wären dadurch drohende Beeinträchtigungen für die Auftragsabwicklung, die Kommunikation zwischen den Unternehmensbereichen, sowie die Beziehungen zu Kunden und Geschäftspartnern nicht vertretbar. In Abwägung der Gefährdungen, der Werte der zu schützenden Güter sowie des vertretbaren Aufwands an Personal und Finanzmitteln für Informationssicherheit, hat die Unternehmensleitung bestimmt, dass ein angemessenes Sicherheitsniveau für einen normalen Schutzbedarf angestrebt werden soll. Dies bedeutet im Einzelnen: 1. Für die Gewährleistung der Informationssicherheit sind angemessene technische und organisatorische Maßnahmen erforderlich. Diese sind nur dann hinreichend wirksam, wenn alle Beschäftigten die möglichen Gefährdungen für die Informationssicherheit kennen und in ihren Aufgabenbereichen entsprechend verantwortlich handeln. Dies soll durch regelmäßige Fortbildungsmaßnahmen zur Informationssicherheit unterstützt werden. 2. Vertraulichkeit und Integrität der für das Unternehmen wichtigen Informationen sind zu schützen. Auch im Umgang mit elektronisch gespeicherten Dokumenten und Informationen ist daher den Geheimhaltungsanweisungen strikt Folge zu leisten. 3. Die für das Unternehmen relevanten Gesetze und Vorschriften sowie vertragliche und aufsichtsrechtliche Verpflichtungen müssen eingehalten werden. 4. Die Informationstechnik muss so betrieben werden, dass Geschäftsinformationen bei Bedarf hinreichend schnell verfügbar sind. Ausfälle, die zu Terminüberschreitungen von mehr als einem Tag bei der Abwicklung von Aufträgen oder anderen wichtigen Geschäftsvorhaben führen, sind nicht tolerierbar. 5. Durch unsicheren Umgang mit Informationen verursachte finanzielle Schäden und ein negatives Image für das Unternehmen müssen verhindert werden. Der Zugriff auf und der Zugang zu allen wichtigen Informationen im Unternehmen werden daher strikt geregelt und kontrolliert. Verantwortlichkeiten Die Geschäftsführung hat die Gesamtverantwortung für die Informationssicherheit im Unternehmen, den Sicherheitsprozess und die zugehörigen Maßnahmen. Für alle Informationen, Geschäftsverfahren, unterstützende technische Systeme und Infrastruktur einrichtungen werden Informationseigentümer benannt. Diese sind dafür verantwortlich, die geschäftliche Bedeutung der Informationen und der Technik einzuschätzen und deren sichere Benutzung zu kontrollieren. Sie verwalten Zugriffsrechte und Autorisierungen in ihrem Zuständigkeitsbereich und sind gegenüber der Leitung rechenschaftspflichtig. Informationstreuhänder, die für das Unternehmen Leistungen erbringen (z. B. aufgrund von Serviceaufträgen), haben Vorgaben der Informationseigentümer einzuhalten. Damit sind sie ver Seite 5
antwortlich für die Einhaltung der Sicherheitsziele. Bei erkennbaren Mängeln oder neuen Risiken haben sie die zuständigen Informationseigentümer zu benachrichtigen. Jeder Mitarbeiter soll dazu beitragen, Sicherheitsvorfälle und Verletzungen der Integrität, Vertraulichkeit und Verfügbarkeit von Informationen zu vermeiden. Erkannte Fehler sind den Zuständigen umgehend zu melden, damit schnellstmöglich Abhilfemaßnahmen eingeleitet werden können. Das Sicherheitsmanagement-Team besteht aus dem IT-Sicherheitsbeauftragten, den Mitarbeitern des Projekts Sicherheitskonzept sowie den Verantwortlichen für Anwendungen, Datenschutz und IT- Service. Es ist für die Aufrechterhaltung und Weiterentwicklung der organisatorischen und technischen Sicherheitsmaßnahmen im Unternehmen zuständig. Für die Überprüfung der Sicherheit bei der Bearbeitung, Nutzung und Kontrolle von Informationen werden jeweils unabhängige Verantwortliche eingesetzt, die z. B. Zugriffsmöglichkeiten auf Finanzdaten und den Umgang mit Finanztransaktionen und zugehörige Sicherheitsmaßnahmen kontrollieren. Verstöße und Folgen Beabsichtigte oder grob fahrlässige Handlungen, die die Sicherheit von Informationen, Anwendungen, IT-Systemen oder des Netzes gefährden, können finanzielle Verluste bedeuten, Mitarbeiter, Geschäftspartner und Kunden schädigen oder den Ruf des Unternehmens gefährden. Bewusste Zuwiderhandlungen gegen diese Sicherheitsleitlinie werden daher bestraft gegebenenfalls werden auch zivil- und strafrechtlichen Verfahren eingeleitet und Regressforderungen gestellt. Geltung und Detaillierung Diese Leitlinie zur Informationssicherheit gilt für das gesamte Unternehmen. Jeder Beschäftigte ist daher dazu verpflichtet, die enthaltenen Vorgaben im Rahmen seiner Zuständigkeiten und Arbeiten einzuhalten sowie die für das Unternehmen wichtigen Informationen und die technischen Systeme, auf denen sie verarbeitet und gespeichert werden, angemessen zu schützen. Um die Ziele dieser Leitlinie umzusetzen, wird für das Unternehmen ein Sicherheitskonzept umgesetzt, das mit Hilfe der IT-Grundschutz-Vorgehensweise und der Empfehlungen der IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik entwickelt wird. 2.2 Einführung der Leitlinie im Unternehmen Nach letzten Abstimmungen zwischen Geschäftsführung, dem IT-Sicherheitsbeauftragten und der Projektgruppe Sicherheitskonzept wird der Entwurf der Leitlinie in einer Managementsitzung den Abteilungsleitern und dem Betriebsrat vorgestellt. In der Diskussion zur Bedeutung der Informationssicherheit und zum anzustrebenden Sicherheitsniveau sowie den vorgesehenen organisatorischen Regelungen und Konsequenzen werden Vorschläge für Änderungen eingebracht. Nach einer Überarbeitung durch den IT-Sicherheitsbeauftragten lädt die Unternehmensleitung alle Beschäftigten zu einer Versammlung ein (ggf. im Einvernehmen mit dem Betriebsrat im Rahmen einer Betriebsversammlung). Sie erläutert in ihrem Vortrag die Wichtigkeit der Leitlinie für das Unter nehmen und erklärt Ziele, Maßnahmen und Konsequenzen. Jeder Mitarbeiter erhält eine schriftliche Ausfertigung. Die Unternehmensleitung kündigt eine Reihe von Fortbildungsveranstaltungen zur Informationssicherheit an, damit die Mitarbeiter für mögliche Gefährdungen sensibilisiert und auf einzuhaltende Sicherheitsmaßnahmen vorbereitet werden. Die Unternehmensleitung gibt den Termin bekannt, ab dem die Leitlinie in Kraft gesetzt ist und verlangt ihre Einhaltung. Seite 6
Weitere Informationen zum Informationssicherheitsmanagement finden Sie in folgenden Dokumenten: BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS), BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise, Kapitel 2 und 3, sowie IT-Grundschutz-Kataloge, B 1.0 Sicherheitsmanagement. Seite 7
3 Strukturanalyse Grundlage eines jeden Sicherheitskonzepts ist eine genaue Kenntnis über die im betrachteten Informationsverbund vorhandene Informationstechnik, ihrer organisatorischen und personellen Rahmenbedingungen sowie ihrer Nutzung. Bei der Strukturanalyse geht es darum, die dazu erforderlichen Informationen zusammenzustellen und so aufzubereiten, dass sie die weiteren Schritte der IT-Grundschutz-Vorgehensweise unterstützen. Ein sinnvoller Ausgangspunkt für die Strukturanalyse sind die Geschäftsprozesse einer Organisation. Es ist danach zu fragen, welche Anwendungen und Informationen jeweils wichtig für diese Geschäftsprozesse sind. Anschließend können dann die technischen Systeme und Infrastrukturkomponenten ermittelt und den Anwendungen zugeordnet werden. Zur Strukturanalyse gehören folglich die Teilschritte: 1. Erfassung der zum Geltungsbereich gehörigen Geschäftsprozesse, Anwendungen und Informationen, 2. Netzplanerhebung, 3. Erfassung der IT-Systeme sowie 4. Erfassung der Räume. Bei allen Schritten kann die Quantität und Komplexität der erhobenen Informationen durch die Bildung angemessener Gruppen reduziert werden. Weitere Informationen zur Strukturanalyse finden Sie in Kapitel 4.2 des BSI-Standards 100-2. 3.1 Erfassung der Geschäftsprozesse, Anwendungen und Informationen Bei der Erhebung der Anwendungen werden die wichtigsten Anwendungen einer Organisation erfasst, also diejenigen deren Daten, Informationen und Programme den höchsten Bedarf an Geheimhaltung (Vertraulichkeit) haben, deren Daten, Informationen und Programme den höchsten Bedarf an Korrektheit und Unverfälschtheit (Integrität) haben oder die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben. Das Organigramm in Abbildung 1 auf Seite 2 veranschaulicht die organisatorische Gliederung der RECPLAST GmbH. Jeder Abteilung lassen sich verschiedene Geschäftsprozesse zuordnen, beispielsweise der Abteilung Einkauf Prozesse wie Produktrecherche und Bestellung, der Abteilung Informationstechnik Prozesse wie die zum Betrieb von Servern und Clients, Benutzer-Service, Druckservice oder Netzadministration, der Personalabteilung Prozesse wie Einstellung, Gehaltszahlung und Fortbildung sowie der Unterabteilung Fertigung der Produktionsabteilung die beiden Prozesse zur Umwandlung der Altkunststoffe in wiederverwertbare Regranulate sowie zur Herstellung der neuen Produkte aus diesem Rohmaterialien. Viele dieser Prozesse können weiter untergliedert werden, beispielsweise die Server-Administration in die Teilprozesse Verwaltung von Mail-, Datei- und Datenbankservern, zu denen jeweils Aktivitäten wie Patch-Management, Datensicherung, Konfiguration oder Dokumentation gehören. Seite 8
Anwendungen Eine vollständige Übersicht aller Anwendungen, die im Zusammenhang mit den oben genannten Prozessen bedeutsam sind, wäre zu umfangreich für diesen Kurs. Die nachfolgende Tabelle enthält daher nur einen Ausschnitt derer. Die Geschäftsprozesse sind dabei nur als Kürzel angegeben (bestehend aus einem Präfix für die Abteilung, in der ein Prozess angesiedelt ist, und einer Zahlenfolge). Anwendungen, die in mehreren Abteilungen benutzt werden oder mehreren Geschäftsprozessen zugeordnet werden können, werden mit übergreifend gekennzeichnet. Die Tabelle enthält zur Vorbereitung auf die sich anschließende Schutzbedarfsfeststellung in der Spalte Art der Information auch Vermerke dazu, ob mit einer Anwendung personenbezogene Daten (= P), anderweitig vertrauliche und unternehmenskritische Informationen (= V) bearbeitet werden oder diese wichtige Systemdateien verwendet oder erzeugt (= S). Nr. Beschreibung Art der Informationen Benutzer Verantwortlich Geschäftsprozesse A1 Personaldatenverarbeitung P Personalabteilung Personalabteilung A2 Reisekostenabrechnung P Personalabteilung Personalabteilung PERS_01 PERS_02 PERS_03 PERS_04 PERS_05 A3 Finanzbuchhaltung P, V Buchhaltung Buchhaltung FIBU_01 FIBU_02 A4 Auftrags- und Kundenverwaltung P, V Marketing/ Vertrieb Marketing/ Vertrieb MARK_01 MARK_02 MARK_03 A5 Benutzerauthentisierung P, V, S übergreifend IT-Abteilung übergreifend A6 Systemmanagement S IT-Abteilung IT-Abteilung übergreifend A7 E-Mail, Terminkalender P, V übergreifend IT-Abteilung übergreifend A8 Zentrale Dokumentenverwaltung P, V übergreifend IT-Abteilung übergreifend A9 Druckservice BG V alle Abteilungen in Bad Godesberg A10 Druckservice Beuel V alle Abteilungen in Beuel IT-Abteilung IT-Abteilung übergreifend übergreifend A11 Office-Anwendungen (Textverarbeitung, Tabellenkalkulation, Präsentation) P, V übergreifend IT-Abteilung übergreifend A12 Internet-Recherche S übergreifend IT-Abteilung übergreifend A13 Application Gateway S übergreifend IT-Abteilung übergreifend A14 TK-Vermittlung P, S übergreifend IT-Abteilung übergreifend A15 Faxen P übergreifend IT-Abteilung übergreifend Seite 9
3.2 Erhebung des Netzplans Ausgangspunkt für die Erhebung der technischen Systeme im Rahmen der Strukturanalyse bei der RECPLAST GmbH ist der Netzplan in Abbildung 2. Um die Übersichtlichkeit zu bewahren, wurde darauf verzichtet, Geräte und Informationen in den Netzplan einzutragen, die bei den nachfolgenden Beschreibungen nicht weiter benötigt werden (zum Beispiel Netzdrucker, Sicherungslaufwerke, Netzadressen). Verwaltung Bad Godesberg Betrieb Bonn-Beuel Internet Router Firewall Switch Router Standleitung Router Switch Vertriebsbüro Berlin Client VPN DB-Server Fibu Switch Domänen- Controller Dom.-Controller Datei- und Druckserver Clients IT Laptop Faxgerät Komm.-Server (Exchange) Vertriebsbüro Hamburg Clients Lohn/Fibu Clients Fertigung Client Datei- und Druckserver Laptop Faxgerät Clients Geschäftsführung Vertriebsbüro München Clients Market./Vertrieb DB-Server Kunden- und Auftragsbearb: Clients Entwicklung Clients Personal Client Clients Einkauf Laptop Faxgerät Clients Lager Faxgeräte TK-Anlage Laptops Laptop Faxgerät TK-Anlage Abbildung 2: Netzplan der RECPLAST GmbH Durch angemessene Gruppenbildung kann der Netzplan weiter vereinfacht werden. So können Komponenten zu einer Gruppe zusammengefasst werden, die vom gleichen Typ sind, gleich oder nahezu gleich konfiguriert sind, gleich oder nahezu gleich in das Netz eingebunden sind, den gleichen administrativen und infrastrukturellen Rahmenbedingungen unterliegen, Seite 10
ähnliche Anwendungen bedienen und den gleichen Schutzbedarf haben. Im Ausgangsnetzplan ist dieser Schritt noch nicht vollzogen worden. Daneben weist dieser Netzplan noch weitere Mängel auf. So fehlen für eine Reihe von Komponenten eindeutige Bezeichnungen, zum Beispiel für die Netzkopplungselemente. Im bereinigten Netzplan (siehe Abbildung 3) sind sowohl diese Mängel behoben als auch Gruppen gebildet worden: Die Clients der Abteilungen Fertigung und Lager wurden zusammengefasst, da sie grundsätzlich gleich ausgestattet sind und mit ihnen auf weitgehend identische Datenbestände zugegriffen werden kann. Die drei Vertriebsbüros zeichnen sich durch eine einheitliche Ausstattung, übereinstimmende Aufgaben und Regelungen sowie einer identischen Zugangsmöglichkeit zum Firmennetz aus. Sie lassen sich in gewisser Weise mit häuslichen Telearbeitsplätzen vergleichen. Sie wurden deswegen zu einer Gruppe zusammengefasst. Die nicht vernetzten Komponenten Laptops und Faxgeräte wurden standortübergreifend zu jeweils einer Gruppe zusammengefasst, da für den Umgang mit diesen Geräten übereinstimmende organisatorische Regelungen gelten. Folgende Clients sollten nicht zusammengefasst werden: Bei den Rechnern der Geschäftsführung kann von einem höheren Schutzbedarf ausgegangen werden (z. B. könnte auf ihnen besonders vertrauliche Korrespondenz gespeichert sein). Die größere Vertraulichkeit der Daten ist auch ein Grund dafür, die Clients der Entwicklungsabteilung gesondert zu erfassen. Auf ihnen befinden sich Konstruktionspläne und unter Umständen kundenspezifische Entwicklungen und Verfahrensbeschreibungen, die z. B. vor Wirtschaftsspionage und damit möglichen gravierenden wirtschaftlichen Folgen für die Firma zu schützen sind. Eine hohe Vertraulichkeit besitzen ferner auch die Informationen, die in der Personalabteilung bearbeitet werden, sowie diejenigen der Finanz- und Lohnbuchhaltung. Auf Rechnern der IT-Administration laufen Anwendungen, die für die Verwaltung des Netzes erforderlich sind. Von daher verlangen auch diese IT-Systeme eine besondere Aufmerksamkeit. Seite 11
Verwaltung Bad Godesberg Betrieb Bonn-Beuel N3: Switch Internet N1: Router N2: Firewall N5: Router Standleitung N6: Router N7: Switch Vertriebsbüros C8: 3 Clients Vertriebsbüros VPN S5: DB-Server Fibu C1: 5 Clients Lohn/Fibu N4: Switch C4: 4 Clients IT S1: Domänen- Controller S2: Komm.-Server (Exchange) S6: Domänen- Controller, Dateiu. Druckserver C6: 12 Clients Fertigung/Lager T3: 8 Faxgeräte C9: 8 Laptops C2: 3 Clients Geschäftsführung C5: 14 Clients Einkauf/Marketing/ Vertrieb S3: Datei- und Druckserver C7: 6 Clients Entwicklung C3: 4 Clients Personal T1: TK-Anlage S4: DB-Server Kunden- und Auftragsbearb. T2: TK-Anlage Abbildung 3: Bereinigter Netzplan der RECPLAST GmbH 3.3 Erhebung IT-Systeme Bei der Erhebung der IT-Systeme geht es darum, die vorhandenen und geplanten IT-Systeme und die sie jeweils charakterisierenden Angaben zusammenzustellen. Dazu zählen: alle im Netz vorhandenen Computer (Clients und Server), Gruppen von Computern und aktiven Netzkomponenten, Netzdrucker, aber auch nicht vernetzte Computer (wie Internet PCs und Laptops), Telekommunikationskomponenten (wie TK-Anlagen, Faxgeräte, Mobiltelefone und Anrufbeantworter). Aufgrund der damit verbundenen besseren Übersichtlichkeit empfiehlt sich eine tabellarische Darstellung mit folgenden Angaben: eindeutige Bezeichnung, Beschreibung (insbesondere der Einsatzzweck und der Typ, z. B. Server für Personalverwaltung, Router zum Internet), Plattform (welcher Hardwaretyp, welches Betriebssystem?), Standort (Gebäude und Raumnummer), Seite 12
bei Gruppen: Anzahl der zusammengefassten IT-Systeme, Status (in Betrieb, im Test, in Planung usw.) und Anwender und Administratoren. Die Erhebung der IT-Systeme bei der RECPLAST GmbH ergab die nachfolgend abgebildeten Übersichten. Die IT-Systeme sind jeweils durchnummeriert. Ein vorangestellter Buchstabe kennzeichnet dessen Typ (S = Server, C = Client, N = Netzkomponente, T = Telekommunikationskomponente). 3.3.1 Übersicht Server Nr. Beschreibung Plattform Standort Anzahl Status Benutzer/Administrator S1 Domänen-Controller Windows Server 2003 BG, R. 1.02 (Serverraum) 1 In Betrieb Alle IT-Benutzer/ IT-Administration S2 Interner Kommunikationsserver Windows Server 2003 BG, R. 1.02 (Serverraum) 1 In Betrieb Alle IT-Benutzer/ IT-Administration S3 Datei- und Druckserver Windows Server 2003 BG, R. 1.02 (Serverraum) 1 In Betrieb Alle IT-Benutzer/ IT-Administration S4 DB-Server Kunden- und Auftragsbearbeitung Windows Server 2003 BG, R. 1.02 (Serverraum) 1 In Betrieb Marketing und Vertrieb, Fertigung, Lager/ IT-Administration S5 DB-Server Finanzbuchhaltung Windows Server 2003 BG, R. 1.02 (Serverraum) 1 In Betrieb Mitarbeiter Finanzbuchhaltung IT-Administration S6 Server Beuel Windows Server 2003 Beuel, R. 2.01 (Serverraum) 1 In Betrieb Alle Mitarbeiter in Beuel IT-Administration In der folgenden Tabelle sind Anwendungen und Server einander zugeordnet. Ein bedeutet, dass die Ausführung einer Anwendung von dem betreffenden Server abhängt. Nr. Beschreibung S1 S2 S3 S4 S5 S6 A1 Personaldatenverarbeitung A2 Reisekostenabrechnung A3 Finanzbuchhaltung A4 Auftrags- und Kundenverwaltung A5 Benutzerauthentisierung A6 Systemmanagement A7 E-Mail, Terminkalender A8 Zentrale Dokumentenverwaltung Seite 13
Nr. Beschreibung S1 S2 S3 S4 S5 S6 A9 Druckservice BG A10 Druckservice Beuel A11 A12 A13 A14 A15 Office-Anwendungen (Textverarbeitung, Tabellenkalkulation, Präsentation) Internet-Recherche Application Gateway TK-Vermittlung Faxen 3.3.2 Übersicht Clients Nr. Beschreibung Plattform Standort Anzahl Status Benutzer/Administrator C1 Clients in der Finanzbuchhaltung Windows Vista BG, R. 2.10 2.12 4 In Betrieb Mitarbeiter in der Finanzbuchhaltung IT-Administration C2 Clients der Geschäftsführung Windows Vista BG, R. 1.10 1.13 3 In Betrieb Geschäftsführung/ IT-Administration C3 Clients der Personalabteilung Windows Vista BG, R. 1.07 1.09 4 In Betrieb Mitarbeiter der Personalabteilung/ IT-Administration C4 Clients der Informationstechnik Windows Vista BG, R. 1.03 1.06 4 In Betrieb Mitarbeiter IT/ IT-Administration C5 Clients Kunden- und Auftragsbearbeitung Windows Vista BG, R. 2.03 2.09 14 In Betrieb Einkauf, Marketing und Vertrieb/ IT-Administration C6 Clients Fertigung und Lager Windows Vista Beuel, R. 2.10 2.13 12 In Betrieb Mitarbeiter Fertigung und Lager/IT-Administration C7 Clients in Entwicklungsabteilung Windows Vista Beuel, R. 2.14 2.20 6 In Betrieb Entwicklung/ IT-Administration C8 Clients in Vertriebsbüros Windows Vista Vertriebsbüros (Berlin, Hamburg, München) C9 Laptops Windows Vista 4 in BG, je 1 in Beuel und in den Vertriebsbüros 3 In Betrieb Mitarbeiter in Vertriebsbüros/ IT-Administration 8 In Betrieb Mitarbeiter Vertrieb/ IT-Administration Seite 14
In der folgenden Tabelle sind Anwendungen und Clients einander zugeordnet. Ein bedeutet, dass die Ausführung einer Anwendung von dem betreffenden Client abhängt. Nr. Beschreibung C1 C2 C3 C4 C5 C6 C7 C8 C9 A1 Personaldatenverarbeitung A2 Reisekostenabrechnung A3 Finanzbuchhaltung A4 A5 Auftrags- und Kundenverwaltung Benutzerauthentisierung A6 Systemmanagement A7 E-Mail, Terminkalender A8 Zentrale Dokumentenverwaltung A9 Druckservice BG A10 Druckservice Beuel A11 Office-Anwendungen (Textverarbeitung, Tabellenkalkulation, Präsentation) A12 Internet-Recherche A13 A14 A15 Application Gateway TK-Vermittlung Faxen 3.3.3 Übersicht Netzkomponenten Nr. Beschreibung Plattform Standort Anzahl Status Benutzer/Administrator N1 Router zum Internet DSL-Router BG, R. 1.02 (Serverraum) 1 In Betrieb Alle IT-Benutzer/ IT-Administration N2 Firewall Windows Server 2003 BG, R. 1.02 (Serverraum) 1 In Betrieb Alle IT-Benutzer/ IT-Administration N3 Zentraler Switch in Bad Godesberg BG, R. 1.02 (Serverraum) 1 In Betrieb Alle IT-Benutzer/ IT-Administration Seite 15
Nr. Beschreibung Plattform Standort Anzahl Status Benutzer/Administrator N4 Switch für Personalabteilung BG, R. 1.02 (Serverraum) 1 In Betrieb Personalabteilung, Geschäftsführung, Lohn, Fibu/ IT-Administration N5 Router zur Anbindung des Standorts Beuel Router BG, R. 1.02 (Serverraum) 1 In Betrieb Alle IT-Benutzer/ IT-Administration N6 Router zur Anbindung nach Bad Godesberg Router Beuel, R. 2.02 (Technikraum) 1 In Betrieb Alle IT-Benutzer/ IT-Administration N7 Switch in Beuel Beuel, R. 2.02 (Technikraum) 1 In Betrieb Alle IT-Benutzer/ IT-Administration 3.3.4 Übersicht Telekommunikationskomponenten Nr. Beschreibung Plattform Standort Anzahl Status Benutzer/Administrator T1 Telefonanlage BG ISDN-TK- Anlage T2 Telefonanlage Beuel ISDN-TK- Anlage BG, R. 1.01 1 In Betrieb Alle Mitarbeiter in BG/ IT-Administration Beuel, R. 2.02 1 In Betrieb Alle Mitarbeiter in Beuel/ IT-Administration T3 Faxgeräte 4 in BG, je 1 in Beuel und in den Vertriebsbüros 8 In Betrieb Alle Mitarbeiter 3.3.5 Zuordnung der Anwendungen zu Netz- und Telekommunikationskomponenten In der folgenden Tabelle sind Anwendungen und Netz- und Telekommunikationskomponenten einander zugeordnet. Ein bedeutet, dass die Ausführung der Anwendung von der betreffenden Komponente abhängt. Nr. Beschreibung N1 N2 N3 N4 N5 N6 N7 T1 T2 T3 A1 Personaldatenverarbeitung A2 Reisekostenabrechnung A3 Finanzbuchhaltung A4 Auftrags- und Kundenverwaltung A5 Benutzerauthentisierung Seite 16
Nr. Beschreibung N1 N2 N3 N4 N5 N6 N7 T1 T2 T3 A6 Systemmanagement A7 E-Mail, Terminkalender A8 Zentrale Dokumentenverwaltung A9 Druckservice BG A10 Druckservice Beuel A11 Office-Anwendungen (Textverarbeitung, Tabellenkalkulation, Präsentation) A12 Internet-Recherche A13 Application Gateway A14 TK-Vermittlung A15 Faxen 3.4 Erhebung der räumlichen Gegebenheiten Bei der Strukturanalyse wurden die folgenden Gebäude und Räume erfasst: Gebäude/Raum IT/Informationen Kürzel Bezeichnung Art Lokation IT-Systeme GB1 Verwaltungsgebäude Gebäude Bad Godesberg GB2 Produktionshalle Gebäude Bonn-Beuel R1 R2 R3 R4 Technikraum Bad Godesberg (BG, R. 1.01) Serverraum Bad Godesberg (BG, R. 1.02) Büros IT-Abteilung (BG, R. 1.03 1.06) Büros Personalabteilung (BG, R. 1.07 1.09) Technikraum GB1 TK-Anlage T1 Serverraum GB1 S1 bis S5 N1 bis N5 Büroräume GB1 C4 Büroräume GB1 C3 Seite 17
Gebäude/Raum IT/Informationen Kürzel Bezeichnung Art Lokation IT-Systeme R5 R6 R7 R8 R9 R10 R11 Büros Geschäftsführung (BG, R. 1.10 1.13) Büros Einkauf/ Marketing/Vertrieb (BG, R. 2.03 2.09) Büros Lohn/Fibu (BG, R. 2.10 2.12) Serverraum-Beuel (Beuel, R. 2.01) Technikraum-Beuel (Beuel, R. 2.02) Büros Fertigung/Lager (Beuel, R. 2.10 2.13 Büros Entwicklungsabteilung (Beuel, R. 2.14 2.20) Büroräume GB1 C2 Büroräume GB1 C5, einige mit Faxgeräten Büroräume GB1 C1 Serverraum GB2 S6, N6, N7 Technikraum GB2 TK-Anlage T2 Büroräume GB2 C6, einige mit Faxgeräten Büroräume GB2 C7 R12 Vertriebsbüros (3 Standorte) Häuslicher Arbeitsplatz Berlin, Hamburg, München C8 R13 Außendienst Mobiler Arbeitsplatz Mitarbeiter aller Standorte (mit Laptops) C9 Seite 18
4 Schutzbedarfsfeststellung Wie viel Schutz benötigen Informationen, Anwendungen und die zugehörigen technischen Systeme und Infrastruktur-Komponenten? Wie lässt sich der Schutzbedarf nachvollziehbar begründen? Welche Komponenten benötigen mehr Sicherheit, wann genügen elementare Schutzmaßnahmen? Ziel der Schutzbedarfsfeststellung ist es, diese Fragen zu klären und damit die Auswahl angemessener Sicherheitsmaßnahmen für Geschäftsprozesse, Informationen, Anwendungen, IT-Systeme, Räume und Kommunikationsverbindungen zu unterstützen. Zur Schutzbedarfsfeststellung gehören die folgenden Aktivitäten: 1. die auf eine Organisation zugeschnittene Definition von Schutzbedarfskategorien (z. B. normal, hoch, sehr hoch ), 2. die Feststellung des Schutzbedarfs der in der Strukturanalyse erfassten Anwendungen mit Hilfe dieser Kategorien, 3. die Ableitung des Schutzbedarfs der IT-Systeme aus dem Schutzbedarf der Anwendungen, 4. daraus abgeleitet die Feststellung des Schutzbedarfs der Kommunikationsverbindungen und ITgenutzten Räume sowie 5. die Dokumentation und Auswertung der vorgenommenen Einschätzungen. Weitere Informationen zur Schutzbedarfsfeststellung finden Sie in BSI-Standard 100-2, Kapitel 4.3. 4.1 Anpassung der Schutzbedarfskategorien Bei der RECPLAST GmbH wurden die Schutzbedarfskategorien vom einberufenen Sicherheitsmanagement-Team folgendermaßen definiert und mit der Geschäftsführung abgestimmt: Schutzbedarfskategorie normal: Ein möglicher Schaden hätte begrenzte, überschaubare Auswirkungen auf die RECPLAST GmbH: Bei Verstößen gegen Gesetze, Vorschriften oder Verträge drohen allenfalls geringfügige juristische Konsequenzen oder Konventionalstrafen. Beeinträchtigungen des informationellen Selbstbestimmungsrechts und der Missbrauch personenbezogener Daten hätten nur geringfügige Auswirkungen auf die davon Betroffenen und würden von diesen toleriert. Die persönliche Unversehrtheit wird nicht beeinträchtigt. Die Abläufe bei der RECPLAST GmbH werden allenfalls unerheblich beeinträchtigt. Ausfallzeiten von mehr als 24 Stunden können hingenommen werden. Es droht kein Ansehensverlust bei Kunden und Geschäftspartnern. Der mögliche finanzielle Schaden ist kleiner als 50.000 Euro. Schutzbedarfskategorie hoch: Ein möglicher Schaden hätte beträchtliche Auswirkungen auf die RECPLAST GmbH: Bei Verstößen gegen Gesetze, Vorschriften oder Verträge drohen schwerwiegende juristische Konsequenzen oder hohe Konventionalstrafen. Seite 19
Beeinträchtigungen des informationellen Selbstbestimmungsrechts und der Missbrauch personenbezogener Daten hätten beträchtliche Auswirkungen auf die davon Betroffenen und würden von diesen nicht toleriert werden. Die persönliche Unversehrtheit wird beeinträchtigt, allerdings nicht mit dauerhaften Folgen. Die Abläufe bei der RECPLAST GmbH werden erheblich beeinträchtigt. Ausfallzeiten dürfen maximal 24 Stunden betragen. Das Ansehen des Unternehmens bei Kunden und Geschäftspartnern wird erheblich beeinträchtigt. Der mögliche finanzielle Schaden liegt zwischen 50.000 und 500.000 Euro. Schutzbedarfskategorie sehr hoch: Ein möglicher Schaden hätte katastrophale Auswirkungen: Bei Verstößen gegen Gesetze, Vorschriften oder Verträge drohen juristische Konsequenzen oder Konventionalstrafen, die die Existenz des Unternehmens gefährden. Beeinträchtigungen des informationellen Selbstbestimmungsrechts und der Missbrauch personenbezogener Daten hätten ruinöse Auswirkungen auf die gesellschaftliche oder wirtschaftliche Stellung der davon Betroffenen. Die persönliche Unversehrtheit wird sehr stark und mit bleibenden Folgen beeinträchtigt. Die Abläufe bei der RECPLAST GmbH werden so stark beeinträchtigt, dass Ausfallzeiten, die über zwei Stunden hinausgehen, nicht toleriert werden können. Das Ansehen des Unternehmens bei Kunden und Geschäftspartnern wird grundlegend und nachhaltig beschädigt. Der mögliche finanzielle Schaden liegt über 500.000 Euro. 4.2 Schutzbedarfsfeststellung für Anwendungen Zunächst ist der Schutzbedarf der bei der Strukturanalyse erfassten Anwendungen festzustellen. Dies bedeutet, dass für jede Anwendung mit Hilfe der zuvor festgelegten Kategorien bestimmt werden muss, wie groß ihr Bedarf an Vertraulichkeit, Integrität und Verfügbarkeit ist. Die folgende Tabelle zeigt die Ergebnisse dieser Aktivität bei der RECPLAST GmbH. Seite 20
Anwendung Schutzbedarfsfeststellung Nr. Bezeichnung Grundwert Schutzbedarf Begründung A1 Personaldatenverarbeitung Vertraulichkeit hoch Personaldaten sind besonders schutzbedürftige Daten, deren Missbrauch die Betroffenen erheblich beeinträchtigen kann. Integrität normal Fehler werden rasch erkannt und können entweder aus der Datensicherung eingespielt oder durch manuelle Eingabe korrigiert werden. Verfügbarkeit normal Ausfälle bis zu einer Woche können mit manuellen Verfahren überbrückt werden. A2 Reisekostenabrechnung Vertraulichkeit hoch Auch Reisekostendaten sind personenbezogene Daten und damit schützenswert. Integrität normal Fehler werden rasch erkannt und können nachträglich korrigiert werden. Verfügbarkeit normal Ausfälle können mittels manueller Verfahren überbrückt werden. A3 Finanzbuchhaltung Vertraulichkeit hoch Wenn vertrauliche Finanzdaten des Unternehmens Unbefugten zugänglich werden, kann dies hohe finanzielle Schäden und Ansehensverluste bewirken. Integrität hoch Alle Finanzdispositionen setzen korrekte Daten voraus. Bei falschen Daten sind finanzielle Schäden über 50.000 EURO möglich. Verfügbarkeit normal Ein Ausfall bis zu drei Tagen kann (mit zumutbarem Mehraufwand) manuell überbrückt werden. A4 Auftrags- und Kundenverwaltung Vertraulichkeit hoch Es werden vertrauliche Daten (z. B. besondere Kundenkonditionen) verarbeitet, deren Missbrauch dem Unternehmen großen Schaden zufügen kann Integrität hoch Falls Mengen- oder Preisangaben verändert werden, kann dem Unternehmen großer Schaden entstehen, der leicht bis 500.000 Euro gehen und zu großem Ansehensverlust führen kann. Verfügbarkeit hoch Da mit dieser Anwendung alle Funktionen vom Einkauf über die Bestellabwicklung und das Schreiben der Lieferscheine, bis hin zum Lagerbestand abgedeckt werden, kann ein Ausfall höchstens bis zu 24 Stunden manuell überbrückt werden. A5 Benutzerauthentisierung Vertraulichkeit normal Die Passwörter sind ausschließlich verschlüsselt gespeichert und damit praktisch nicht zugänglich. Integrität hoch Der hohe Schutzbedarf ergibt sich daraus, dass sich alle Mitarbeiter hierüber identifizieren. Seite 21
Anwendung Schutzbedarfsfeststellung Nr. Bezeichnung Grundwert Schutzbedarf Begründung Verfügbarkeit hoch Bei Ausfall dieser Anwendung sind keine Identifizierung und damit keine Ausführung von IT-Verfahren möglich. Ein Ausfall ist allenfalls bis zu 24 Stunden tolerabel. A6 Systemmanagement Vertraulichkeit normal Es werden keine vertraulichen Daten erzeugt oder gespeichert. Integrität hoch Fehler in den Konfigurationsdateien können alle Rechner und insbesondere auch die Sicherheitseinstellungen betreffen. Verfügbarkeit normal Bei Ausfall der Anwendung können Administration und Konfiguration an den einzelnen Rechnern durchgeführt werden. Ein Ausfall ist daher kurzzeitig vertretbar. A7 E-Mail, Terminkalender Vertraulichkeit hoch Es gibt zwar eine Betriebsvereinbarung, gemäß der es untersagt ist, vertrauliche Daten unverschlüsselt zu versenden. Dies kann jedoch bei extern eingehender E- Mail nicht kontrolliert werden. Daher ist der Schutzbedarf als hoch zu bewerten. Integrität hoch Kundenanfragen oder Bestellungen müssen vor Verfälschungen geschützt werden. Verfügbarkeit hoch Sowohl die interne Kommunikation als auch ein großer Teil der Kommunikation mit Kunden erfolgt über E- Mail. Ein Ausfall führt zu hohem Ansehensverlust und evtl. zum Verlust von Bestellungen. Ein Ausfall ist daher höchstens für 24 Stunden akzeptabel. A8 Zentrale Dokumentenverwaltung Vertraulichkeit normal Die Dokumentenvorlage und auch die hier gespeicherten Dokumente sind nicht vertraulich. Integrität normal Fehler werden in der Regel schnell erkannt und können nachträglich bereinigt werden. Verfügbarkeit hoch Bei einem Ausfall der Anwendung können die Arbeitsabläufe in einem größeren Umfang gestört werden, da unter Umständen nicht mehr auf wichtige Dokumente zugegriffen werden kann. A9 Druckservice für den Standort Bad Godesberg Vertraulichkeit normal Es werden keine vertraulichen Daten verarbeitet. Abteilungen, die vertrauliche oder personenbezogene Daten ausdrucken, sind mit Arbeitsplatzdruckern ausgestattet. Integrität normal Wenn Daten fehlerhaft ausgedruckt werden, kann dies leicht festgestellt werden. Verfügbarkeit normal Da an wichtigen Arbeitsplätzen lokale Drucker vorhanden sind, kann ein Ausfall bis zu drei Tagen hingenommen werden. Seite 22
Anwendung Schutzbedarfsfeststellung Nr. Bezeichnung Grundwert Schutzbedarf Begründung A10 Druckservice für den Standort Beuel Vertraulichkeit normal Es werden in der Hauptsache Lieferscheine und Lagerbestände gedruckt, die keine vertraulichen Angaben enthalten. Integrität normal Falsch ausgedruckte Daten werden leicht erkannt und können korrigiert werden. Verfügbarkeit normal Da noch ein weiterer Arbeitsplatzdrucker vorhanden ist, können Daten bei Ausfall der Anwendung darüber ausgedruckt werden. A11 Office-Anwendungen Vertraulichkeit normal Zwar werden unter Umständen auch vertrauliche Dokumente mit den Anwendungen angefertigt, die Anwendung selber hat dadurch jedoch noch keinen hohen Schutzbedarf bezüglich Vertraulichkeit. Integrität normal Fehlerhafte Daten können leicht erkannt und korrigiert werden. Es sind keine finanziellen Schäden zu erwarten. Verfügbarkeit normal Der Ausfall auf einem Client ist bis zu einer Woche hinnehmbar. Ersatzweise kann auf einem Laptop weitergearbeitet werden. A12 Internet-Recherche Vertraulichkeit normal Es werden keine vertraulichen Daten verarbeitet. Integrität normal Fehlerhafte Daten können in der Regel leicht erkannt werden. Verfügbarkeit hoch Die Recherche im Internet ist für einige Abteilungen wichtig (insbesondere die Einkaufsabteilung). Ein Ausfall ist höchstens 24 Stunden hinnehmbar. A13 Application Gateway Vertraulichkeit normal Über das System werden keine vertraulichen Daten geleitet. Integrität hoch An die Integrität der Konfigurations- und Betriebssystemdateien sind hohe Anforderungen zu stellen, um Netzeinbrüche auszuschließen. Verfügbarkeit hoch E-Mail und Internet-Recherche sind wesentliche Bestandteile der Tätigkeit der Fachabteilungen. Ein Ausfall der Anwendung ist für maximal 24 Stunden tolerabel. A14 TK-Vermittlung Vertraulichkeit normal Die Betroffenen werden nur unerheblich beeinträchtigt, wenn die Daten bekannt werden. Integrität normal Fehler in der Konfigurationsdatei können leicht erkannt und korrigiert werden. Evtl. Schäden aufgrund fehlerhafter Gebührenerfassung liegen unter 500 Euro. Seite 23
Anwendung Schutzbedarfsfeststellung Nr. Bezeichnung Grundwert Schutzbedarf Begründung Verfügbarkeit hoch Die TK-Anlage ist ein wesentliches Kommunikationsmittel mit den Kunden. Ein Ausfall würde die Arbeitsabläufe wesentlich beeinträchtigen und zu einem wesentlichen Ansehensverlust führen. A15 Faxen Vertraulichkeit hoch Über die Faxgeräte werden Kunden Angebote und Konditionen unterbreitet. Diese sollten nur den Betroffenen bekannt werden. Integrität normal Veränderungen an den übermittelten Daten können in der Regel leicht erkannt werden oder führen zu Rückfragen. Verfügbarkeit normal Da mehrere Faxgeräte in der Verwaltung vorhanden sind, führt der Ausfall eines Faxgeräts nur zu einer minimalen Einschränkung. Bei Ausfall in den Vertriebsbüros oder der Produktionsstätte kann per Telefon oder E-Mail kommuniziert werden. 4.3 Schutzbedarfsfeststellung der IT-Systeme Der Schutzbedarf eines IT-Systems hängt im Wesentlichen von dem Schutzbedarf derjenigen Anwendungen ab, für deren Ausführung es benötigt wird. Der Schutzbedarf der Anwendung vererbt sich auf den Schutzbedarf des IT-Systems. Bei der Vererbung lassen sich folgende Fälle unterscheiden: In vielen Fällen lässt sich der höchste Schutzbedarf aller Anwendungen, die das IT-System benötigen, übernehmen (Maximumprinzip). Der Schutzbedarf des IT-Systems kann höher sein als der Schutzbedarf der einzelnen Anwendungen (Kumulationseffekt). Dies ist beispielsweise der Fall, wenn auf einem Server mehrere Anwendungen mit normalem Schutzbedarf in Betrieb sind. Der Ausfall einer dieser Anwendungen könnte überbrückt werden. Wenn aber alle Anwendungen gleichzeitig ausfallen würden, dann kann ein hoher Schaden entstehen. Der Schutzbedarf kann niedriger sein als der Schutzbedarf der zugeordneten Anwendungen, wenn eine Anwendung mit hohem Schutzbedarf auf mehrere Systeme verteilt ist, und auf dem betreffenden IT-System nur weniger wichtige Teile dieser Anwendung ausgeführt werden (Verteilungseffekt). Bei Anwendungen, die personenbezogene Daten verarbeiten, sind z. B. Komponenten weniger kritisch, in denen die Daten nur in pseudonymisierter Form verwendet werden. Auch der Schutzbedarf für die IT-Systeme sollte für jeden der drei Grundwerte (Vertraulichkeit, Integrität und Verfügbarkeit) festgelegt und anschließend (z. B. tabellarisch) dokumentiert werden. Die folgenden Tabellen enthalten die Schutzbedarfsfeststellung für die Server, Clients, Netz- und Telekommunikationskomponenten der RECPLAST GmbH. Seite 24
4.3.1 Schutzbedarf Server IT-System Schutzbedarfsfeststellung Begründung S1 Nr. Beschreibung Grundwert Schutzbedarf Domänen- Controller BG Vertraulichkeit normal Maximumprinzip gemäß Anwendung A5 (Benutzerauthentisierung) Integrität hoch Maximumprinzip gemäß Anwendung A5 (Benutzerauthentisierung) Verfügbarkeit normal Gemäß Anwendung A5 (Benutzerauthentisierung) ist der Schutzbedarf hoch. Da jedoch in Beuel ein zweiter Domänencontroller (S6) steht, ist eine Anmeldung auch für Benutzer aus Godesberg über diesen Rechner möglich. Ein Ausfall bis zu drei Tagen ist hinnehmbar (Verteilungseffekt). S2 Interner Kommunikationsserver Vertraulichkeit hoch Maximumprinzip gemäß Anwendung A7 (E-Mail) Integrität hoch Maximumprinzip gemäß Anwendung A7 (E-Mail) Verfügbarkeit hoch Maximumprinzip gemäß Anwendung A7 (E-Mail) S3 Datei- und Druckserver BG Vertraulichkeit normal Maximumprinzip gemäß der verknüpften Anwendungen A8 (Zentrale Dokumentenverwaltung) und A9 (Druckservice BG) Integrität normal Maximumprinzip gemäß der verknüpften Anwendungen A8 (Zentrale Dokumentenverwaltung) und A9 (Druckservice BG) Verfügbarkeit hoch Maximumprinzip gemäß der verknüpften Anwendungen A8 (Zentrale Dokumentenverwaltung) und A9 (Druckservice BG) S4 Server für Kunden- und Auftragsbearbeitung Vertraulichkeit hoch Maximumprinzip. Die Standardanwendung Auftrags- und Kundenverwaltung (A4) hat hohen Schutzbedarf. Integrität hoch Maximumprinzip. Die Standardanwendung Auftrags- und Kundenverwaltung (A4) hat hohen Schutzbedarf. Verfügbarkeit hoch Maximumprinzip. Die Standardanwendung Auftrags- und Kundenverwaltung (A4) hat hohen Schutzbedarf. S5 DB-Server Finanzbuchhaltung Vertraulichkeit hoch Maximumprinzip gemäß der verknüpften Anwendungen A1 (Personaldatenverarbeitung), A2 (Reisekostenabrechnung) und A3 (Finanzbuchhaltung) Integrität hoch Maximumprinzip gemäß der verknüpften Anwendungen A1 (Personaldatenverarbeitung), A2 (Reisekostenabrechnung) und A3 (Finanzbuchhaltung) Verfügbarkeit normal Ausfälle können mittels manueller Verfahren überbrückt werden. Seite 25