Sicherheitsmanagement mit ITIL und BSI-Grundschutz - Hochschule Furtwangen University

 
Sicherheitsmanagement
                                   mit
     ITIL und BSI-Grundschutz

            Hochschule Furtwangen University

Veranstaltung   : Aktuelle Themen der Informatik
Professor       : Dr. F. Kaspar
Studiengang     : Computer Networking
Zeitraum        : WS 2006/07
Referentin      : Simone Günther
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

Inhalt

Einführung.......................................................................................................... 3

1. Sicherheitsmanagement mit ITIL ....................................................................... 4

         1.1 ITIL Allgemein ..................................................................................... 4
                   1.1.1 Was ist ITIL?......................................................................... 4
                   1.1.2 Weshalb wurde ITIL entwickelt? .............................................. 4
                   1.1.3 Für wen wurde ITIL entwickelt? ............................................... 5
                   1.1.4 Der Nutzen vom Einsatz von ITIL ............................................ 5
                   1.1.5 Weshalb ITIL einsetzen? ......................................................... 6
                   1.1.6 Die wesentlichen Hauptgebiete................................................ 6

         1.2 Security Management ........................................................................... 9
                   1.2.1 Gründe für IT-Security ........................................................... 9
                   1.2.2 Ziele des IT-Security Managements ....................................... 10
                   1.2.3 Das Etablieren des IT-Security Management Prozesses............. 10
                   1.2.4 Der Umfang des IT-Security Management Prozesses ................ 11
                   1.2.5 Reporting ........................................................................... 11
                   1.2.6 Behandlung von security insidents ......................................... 11

2. Sicherheitsmanagement mit dem BSI-Grundschutz ............................................ 12

         2.1 Allgemeines zum BSI.......................................................................... 12
                   2.1.1 Ziel des IT-Grundschutzes .................................................... 12
                   2.1.2 IT-Grundschutzkatalog ......................................................... 12
                   2.1.3 BSI-Standards .................................................................... 15
                   2.1.4 IT-Grundschutz-Vorgehensweise ........................................... 17

         2.2 IT-Sicherheitsmanagement ................................................................. 18
                   2.2.1 Managementaufgaben laut BSI-Standard 100-2 ...................... 18
                   2.2.2 Wichtige Maßnahmen zur Steuerung eines systematischen
                            IT-Sicherheitsprozesses........................................................ 19
                   2.2.3 IT-Sicherheitsstrategie........................................................... 19
                   2.2.4 Managementmängel und Maßnahmen ...................................... 19
                   2.2.5 Rollen und Zuständigkeiten .................................................... 20
                   2.2.6 IT-Sicherheitsleitlinie ............................................................. 21
                   2.2.7 IT-Sicherheitskonzept ............................................................ 22

                                              Simone Günther, CN 8                                                  2
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

Einführung

Warum IT-Security?
Falsche oder nicht ausreichende IT Security ist nicht nur ein existenzbedrohendes
Wettbewerbsrisiko, sondern kann unter Umständen auch finanzielle wie strafrechtliche
Haftungsrisiken nach sich ziehen - bis hin zur persönlichen Haftung von Vorstand oder
Geschäftsführung.

Insbesondere deshalb kommt es für Unternehmen und Organisationen entscheidend
darauf an, geeignete und angemessene Präventivmaßnahmen zu ergreifen, um die
Verfügbarkeit, Vertraulichkeit und Integrität von Daten in einem sinnvoll definierten
Umfang gewährleisten zu können.

Ein heute als sicher geltendes System kann schon morgen gravierende Sicherheitslücken
aufweisen. Die Praxis zeigt:
   •   IT- Systeme werden ständig komplexer. Damit steigt die Wahrscheinlichkeit, die
       Systeme nicht mehr bis ins Detail zu beherrschen.
   •   Immer mehr Komponenten innerhalb von IT-Infrastrukturen sind nicht
       ausreichend sicher konfiguriert.
   •   Das Wissen und die Möglichkeiten potentieller Angreifer wachsen stetig.
   •   Immer neue Schwachstellen werden bekannt.
   •   Attacken erfolgen in der Regel umgehend.

                                    Simone Günther, CN 8                                3
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

1. Sicherheitsmanagement mit ITIL

1.1 ITIL Allgemein

1.1.1Was ist ITIL?
ITIL ist die Abkürzung für den durch die CCTA in Norwich (England) im Auftrage der
britischen Regierung entwickelte Leitfaden IT Infrastructure Library.
Für ihre Anwender bedeutet ITIL jedoch viel mehr als nur diese Bücher.
Hinter ITIL verbergen sich heute eine Vielfalt von Produkten und Dienstleistungen aus
den Bereichen
   •   Training
   •   Berufsqualifikation
   •   Beratung
   •   Software-Tools und
   •   Erfahrungsaustausch
die in zahlreichen Ländern auf der ganzen Welt zur Weiterentwicklung und Unterstützung
von IT Serviceorganisationen verwendet werden.

1.1.2 Weshalb wurde ITIL entwickelt?
Die Feststellung, dass Unternehmen und die öffentliche Verwaltung heute in hohem Maß
von der Verfügbarkeit von Informationssystemen abhängig sind, hat Ende der Achtziger
Jahre zur Konzeption und Entwicklung von ITIL geführt. Initiator war die CCTA (Central
Computer and Telecommunications Agency), eine IT Dienstleistungsorganisation der
britischen Regierung.
Die Anforderungen der untersuchten Unternehmen und Organisationen glichen sich,
ungeachtet ob es sich um die öffentliche Hand oder die Privatwirtschaft handelte, ob groß
oder klein, ob zentralisiert oder dezentralisiert. Kosten mussten reduziert und die Qualität
der IT Dienstleistungen musste verbessert werden.

Als das ITIL-Projekt begonnen wurde, gab es keine umfassende Grundlage für die
wirtschaftliche und zweckmäßige Erbringung von IT Services.
Heute sind die anerkannten Verfahrensweisen des IT Servicemanagement in ITIL
dokumentiert.
Zur Erarbeitung dieser "Best practice" sicherte sich die CCTA der Zusammenarbeit von
Experten, Beratern und erfahrenen Berufsleuten. ITIL ist bis heute die einzige
umfassende, nicht-proprietäre und öffentlich zugängliche Verfahrensbibliothek in diesem
Bereich.
Das macht sie zum einzigartigen und wertvollen Produkt für alle IT Professionals.

                                    Simone Günther, CN 8                                 4
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

1.1.3 Für wen wurde ITIL entwickelt?
Die IT Infrastructure Library wurde in erster Linie für Leute geschrieben, die für die
Planung, Überwachung und Steuerung von qualitativ hoch stehenden IT Services
verantwortlich sind.
Die Bücher beschreiben hauptsächlich was getan werden muss und weniger wie es
getan werden soll.
Die Bücher vermitteln jedoch insgesamt einen guten Überblick und ein gutes Verständnis
der Zusammenhänge innerhalb einer IT Serviceorganisation.
Die Anleitung ist für Organisationen jeder Größe, ob öffentliche Hand oder
Privatwirtschaft, hilfreich und wird heute rund um den Erdball eingesetzt.
ITIL beschreibt in erster Linie Prozesse und Rollen.
Diese behalten ungeachtet der eingesetzten Technologie ihre Gültigkeit.
Ob interne Dienstleister, externe Lieferanten, Manager, Mitarbeiter, Softwareentwickler,
Wartungsverantwortliche oder Testspezialisten: sie alle müssen die Anforderungen des IT
Service Management kennen, damit sie den von ihnen erwarteten Beitrag leisten können.

1.1.4 Der Nutzen vom Einsatz von ITIL
ITIL beschreibt ein systematisches, professionelles Vorgehen für das Management von IT
Dienstleistungen. Die Library stellt nachdrücklich die Bedeutung der wirtschaftlichen
Erfüllung der Unternehmens-Anforderungen in den Mittelpunkt.
Die Arbeit nach den in ITIL beschriebenen "Best Practice" bringt der Organisation:
   •   IT Dienstleistungen, die den Anforderungen entsprechen.
   •   Höhere Kundenzufriedenheit.
   •   Weniger Aufwand bei der Entwicklung von Prozessen, Prozeduren und
       Arbeitsanweisungen.
   •   Höhere Produktivität und der gezielte Einsatz von Wissen und Erfahrung.
   •   Grundlage für eine QM-Systematik im IT Servicemanagement.
   •   Bessere Kommunikation und Information zwischen den IT Mitarbeitern und ihren
       Kunden.
   •   Höhere Mitarbeiterzufriedenheit und niedrigere Personalfluktuation.

                                    Simone Günther, CN 8                                 5
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

1.1.5 Weshalb ITIL einsetzen?
Organisationen können auf folgende drei miteinander eng verbundene Arten vom Einsatz
eines ITIL-basierten Ansatzes profitieren:
   •   Durch den Einsatz von zweckmäßigen und wirtschaftlichen Vorgehen, können die
       Leistungserstellungskosten reduziert werden.
   •   Auf die wirklichen Bedürfnisse der Kunden zugeschnittene gute Dienstleistungen
       führen zu zufriedenen Kunden.
   •   Durch die Anerkennung ihres beruflichen Wissens, im Speziellen durch die
       Trainings- und Qualifikationsmaßnahmen, werden die Mitarbeiter im Bereich des
       IT Service Management professionalisiert. Die Folge davon ist, dass sich in diesem
       Bereich die Zufriedenheit und die Motivation der betroffenen Mitarbeiter erheblich
       steigern.

1.1.6 Die wesentlichen Hauptgebiete
Die neue ITIL Library hat folgende wesentliche Bücher:

I) The Business Perspective (strategische Ebene)
The Business Perspective will eine gemeinsame Basis zwischen dem Kunden (Business)
und der seinen Geschäftsprozessen hinterlegten IT Infrastruktur schaffen.
Dem Kunden soll für diese Zusammenhänge auch ein Verständnis von verbesserten
Verfahren auf Basis von IT Service Management nahe gebracht werden:
   •   Business Continuity Management
   •   Partnerships and Outsourcing
   •   Surviving Changes
   •   Radical Change Transformations

                                    Simone Günther, CN 8                               6
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

II) Applications Management (taktische Ebene)
Das Application Management stellt ein Planungsmodell zur Verfügung. Es soll neue und
bestehende Applikationen in einer produktiven IT Umgebung besser (weniger Fehler,
wartungsfreundlicher) und im Hinblick auf kostengünstige Umsetzungen für künftige
Anforderungen berücksichtigen. Es beschreibt umfassend das Management für den
gesamten Lebenszyklus (life cycle) einer Applikation (Software, Anwendung). Der Zyklus
beinhaltet sowohl die Applikationsentwicklung (Application Development) als auch deren
Nutzung (Service Management). Ziel ist, in den beiden Phasen immer den gesamten
Zyklus zu berücksichtigen. Nur so können sicher betreibbare, stabile und veränderbare IT
Services aus den Applikationen generiert werden.

III) Security Management (taktische Ebene)
Das Security Management ist ein eigener Teil eines Rahmenkonzepts für
Informationssicherheit. Ziel muss die Gewährleistung der Sicherheit von Informationen
sein:
   •    Fundamentals of information security
   •    ITIL and Security Management
   •    Security Management measures
   •    Guidelines for implementing Security Management

IV) Service Delivery (taktische Ebene)
Aufgabe der planerischen und steuernden Prozesse ist die Anforderungen zwischen den
Kunden und dem IT Bereich bestmöglich zu treffen, zu planen und zu überwachen.
Zielsetzung ist eine bessere Kundenorientierung zu erreichen. Die zur Erfüllung
notwendigen Aufwendungen sind wirtschaftlich zu erbringen und verursachergerecht zu
verrechnen.

Service Delivery besteht aus folgenden Modulen:
   •    Service Level Management
   •    Availability Management
   •    IT Service Continuity Management
   •    Capacity Management
   •    Financial Management for IT Services

                                    Simone Günther, CN 8                                7
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

V) Service Support (operative Ebene)
Service Support sorgt für den effizienten und störungsfreien Betrieb von IT
Dienstleistungen.
Die wirkungsvolle Betreuung dieser IT Services wird durch folgende Prozesse
sichergestellt:
   •   Incident Management and Service Desk
   •   Problem Management
   •   Configuration Management
   •   Change Management
   •   Release Management

VI) Infrastructure Management (operative Ebene)
ICT Infrastructure Management (ICTIM) hat die Management-Disziplinen in 4 Prozesse
gegliedert:
   •   Design & Plan
   •   Deployment
   •   Operations
   •   Technical Support

Sie beschreiben die Entwicklung und Wartung von IT Strategien und Prozessen für den
Aufbau und die Einführung der benötigten IT Infrastruktur Lösungen für ein
Unternehmen:
   •   Koordination aller Aspekte IT Design und Planung
   •   einheitliche IT Planungs-Anlaufstelle für alle Geschäfts- und Serviceplaner
   •   Unterstützung bei der Erstellung von Policies und Standards

Folgende Infrastruktur-Komponenten werden betrachtet:
   •   Network Service Management
   •   Operations Management
   •   Management of Local Processors
   •   Computer Installation and Acceptance
   •   Systems Management

                                    Simone Günther, CN 8                              8
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

1.2 Security Management

Allein der potentielle Schaden, der einem Unternehmen aufgrund von Datenverlust oder
-diebstahl entstehen kann, lässt eine einfache Formel zur Notwendigkeit von IT Security
zu:
               IT Security kostet Geld, keine IT Security kostet auch Geld.

          Quelle: CSI/FBI 2002 Computer Crime & Security Survey, Computer Security Institute

1.2.1 Gründe für IT Security
Dabei ist IT Security in der Regel kein eigenes unternehmerisches Ziel, sondern
eine Unterstützung für die eigentlichen Geschäftsprozesse. Dass diese, bzw. deren
Darstellung in der IT Infrastruktur geschützt sein sollten - etwa mit regelmäßigen
Backups, oder Verschlüsselungstechnologien -, liegt schon im Interesse des
Unternehmens. Aber neben dieser inneren Motivation gibt es auch externe Gründe, IT
Security im Unternehmen einzuführen:
      •   Gesetzliche Vorgaben & Haftungsgründe
      •   Kreditwürdigkeit
      •   Versicherungsschutz
      •   Minimierung der Kosten
      •   Gesichtsverlust

Eine Reihe von gesetzlichen Bestimmungen (u.a. KonTraG, BGB, AktG, BmbhG und HGB)
nehmen die Unternehmen in die Pflicht, sorgsames Security Management zu betreiben,
beispielsweise um persönliche Mitarbeiterdaten vor Missbrauch zu schützen.
Wie ernst es dem Gesetzgeber mit diesen Vorschriften ist, zeigt sich daran, dass sowohl
Unternehmer als auch Angestellte bei diesbezüglichen Versäumnissen die
persönliche Haftung droht.

                                        Simone Günther, CN 8                                   9
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

Neben betriebswirtschaftlichen und haftungsmotivierten Risiken werden auch immer
öfters IT-spezifische Aspekte als Grundlage zur Bewertung der Kreditwürdigkeit
herangezogen.
Basel II (Neuer Basler Akkord zur Eigenkapitalsicherung von Krediten) sieht als
wesentliche Veränderung die Einführung eines nach der Ausfallwahrscheinlichkeit
differenziertem Systems der Eigenkapitalsicherung vor.

IT Security leistet auch einen Beitrag zur günstigeren Einstufung bei Versicherungen,
deren Prämien immer öfters vor dem Hintergrund vorhandener IT Security Konzepte
festgesetzt werden. Im Schadensfall kann eine mangelhafte IT Security auch als grob
fahrlässig eingestuft werden und eigene Versicherungsansprüche gefährden.

1.2.2 Ziele des IT Security Managements
Was sicher ist, was nicht und wie sicher "sicher" sein soll - das wird im IT Security
Management Prozess definiert, etabliert und überwacht.
Sollten Security Incidents das definierte Sicherheitsniveau gefährden, werden über den
IT Security Management Prozess geplante Gegenmaßnahmen eingeleitet, um das System
wirksam zu schützen.

1.2.3 Das Etablieren des IT Security Managements Prozesses
IT Security Management ist Chefsache. Die Entscheidung ob, wie und zu welchen
Kosten derartige Prozesse im Unternehmen eingeführt werden, setzen eine Abstimmung
und Zustimmung mit bzw. durch die Geschäftsführung voraus. Die dazu ebenfalls
notwendigen Managementrichtlinien zu Organisation und Verantwortlichkeiten, deren
Umfang und Detaillierung, sowie weitere Rahmenbedingungen werden sodann in einer
Sicherheitsstrategie (security policy) verbindlich festgeschrieben.

Das notwendige Maß an IT Security wird anhand einer Risikoanalyse bestimmt, welche
sowohl die Kundensicht (business perspective), als auch die technische Sicht (technical
perspective) berücksichtigt. Aus ihr gehen schließlich der aktuelle Status und die Qualität
der vorhandenen IT Security hervor. Alle Vorschläge für weitere Sicherheitsmaßnahmen
werden dann aus der Risikoanalyse abgeleitet und das daraus resultierende
Sicherheitsniveau in definierter Form im IT Security Plan festgeschrieben.

IT Security Management Prozesse enden nicht an der Stelle der Implementierung
bedarfsgerechter IT Security. Viel mehr folgt eine kontinuierliche Überwachung der
Sicherheitsmaßnahmen, um deren Effektivität und Effizienz fortwährend zu bewerten und
eine Grundlage für neuerliche Anpassungen und weitere Maßnahmen zu erhalten.

                                    Simone Günther, CN 8                                  10
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

1.2.4 Der Umfang des IT Security Management Prozesses
Konkret müssen IT Security Management Prozesse den Anforderungen der inneren
Sicherheit (internal security) und äußeren Sicherheit (external security) genügen.

Das Fundament für die innere Sicherheit sind Sicherheitsansprüche aus einem
Standardgrundschutz (standard security baseline; siehe auch: Bundesamt für Sicherheit
in der Informationstechnik BSI), die dann durch individuelle Sicherheitsanforderungen
erweitert werden. Auf diese Weise können diesbezügliche Sicherheitsanforderungen
(security requirements) für die einzelnen Vertragsanforderungen (Service Level
Agreements; SLAs) mit dem Provider festgeschrieben werden.

Die Äußere Sicherheit wird durch die Sicherheitsanforderung an die verschiedenen
SLAs ebenso beeinflusst, wie von zusätzlich gesetzlich vorgeschrieben Verpflichtungen.

1.2.5 Reporting
Inwieweit definierte Sicherheitsanforderungen eingehalten werden konnten, oder nicht,
wird in eigenen Berichten (reports) festgehalten, die dem Kunden, dem eigenen
Management und den anderen Prozessen bereitgestellt werden.

1.2.6 Behandlung von Sicherheitszwischenfällen (security incident)
Wie eingangs erwähnt zählt neben der Definition, Etablierung und Überwachung von IT
Security auch die geplante Reaktion auf Sicherheitsvorfälle (security incident) mit dem
Ziel diese künftig abzuwenden zu den Aufgaben des IT Security Manegment Prozesses.

Die Voraussetzung dazu ist, dass im Rahmen der inneren und äußeren Sicherheit (im
Standardgrundschutz bzw. den SLAs) genaue Anweisungen über die Einstufung von
Vorfällen als sicherheitsrelevant hinterlegt und entsprechende Reaktionen und
Eskalationswege vorgesehen sind. Diese schließen Informationsanweisungen an
bestimmte Personen(-gruppen) ebenso ein, wie das Auslösen definierter
Gegenmaßnahmen (Security Incident Control).

Mögliche und tatsächliche Security Incidents laufen grundsätzlich beim Service Desk auf.
In Ausnahmefällen sollten jedoch Security Manager direkt informiert werden, oder eine
anonymisierte Anzeige von Zwischenfällen möglich sein (Security Incident Registration).

Informationen und Reportings über Sicherheitsvorfälle sollten, wie auch jeder
Sicherheitsvorfall selbst, vertraulich behandelt werden.

                                    Simone Günther, CN 8                                  11
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

2. Sicherheitsmanagement mit dem BSI-Grundschutz

2.1 Allgemeines zum BSI

2.1.1 Ziel des IT-Grundschutzes
Ziel des IT-Grundschutzes ist es, durch geeignete Anwendung von Standard-
Sicherheitsmaßnahmen für die eingesetzten IT-Systeme ein Sicherheitsniveau zu
erreichen, das für normalen Schutzbedarf angemessen ist. Darüber hinaus ist dieser
Grundschutz auch eine Basis für weitere Sicherheitsmaßnahmen bei
hochschutzbedürftigen IT-Anwendungen.

2.1.2 IT-Grundschutzkatalog
Die IT-Grundschutz-Vorgehensweise unterstützt alle Arbeiten am IT-Sicherheits-
konzept. In den IT-Grundschutz-Katalogen findet man mögliche Gefährdungen und
Standard-Sicherheitsmaßnahmen für typische und weit verbreitete IT-Systeme, Netze
und Anwendungen.

I) Bausteine
Die Bausteine der IT-Grundschutz-Kataloge enthalten jeweils eine Kurzbeschreibung für
die betrachteten Komponenten, Vorgehensweisen und IT-Systeme sowie einen Überblick
über die Gefährdungslage und die Maßnahmenempfehlungen. Die Bausteine sind nach
dem IT-Grundschutz-Schichtenmodell in die folgenden Kataloge gruppiert:
   •   B 1: Übergeordnete Aspekte der IT-Sicherheit
   •   B 2: Sicherheit der Infrastruktur
   •   B 3: Sicherheit der IT-Systeme
   •   B 4: Sicherheit im Netz
   •   B 5: Sicherheit in Anwendungen

                                    Simone Günther, CN 8                             12
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

Die Themen einer Schicht können organisatorische und technische Aspekte, also auch
Zuständigkeiten und systemtypische Eigenschaften umfassen. Diesen Schichten sind
typische IT-Komponenten, die so genannten IT-Grundschutz-Bausteine wie
Datensicherungskonzept, Serverraum, Allgemeiner Server, Heterogene Netze oder E-Mail
zugeordnet.

II) Gefährdungskataloge
In den Gefährdungskatalogen sind mögliche Schadenszenarien für die
Informationstechnik dargestellt. Die Gefährdungen sind in fünf Kataloge gruppiert:
   •   G 1: Höhere Gewalt
   •   G 2: Organisatorische Mängel
   •   G 3: Menschliche Fehlhandlungen
   •   G 4: Technisches Versagen
   •   G 5: Vorsätzliche Handlungen

III) Maßnahmenkataloge
In den Maßnahmenkatalogen sind die Empfehlungen für technische und
organisatorische Sicherheitsmaßnahmen in die folgenden Bereiche gegliedert
   •   M 1: Infrastruktur
       Beispiele: Schutz vor Einbrechern, Brandschutzmaßnahmen, Energieversorgung
   •   M 2: Organisation
       Beispiele: Zuständigkeiten, Dokumentationen, Arbeitsanweisungen
   •   M 3: Personal
       Beispiele: Vertretungsregelungen, Schulung, Maßnahmen beim Ausscheiden von
                  Mitarbeitern
   •   M 4: Hard- und Software
       Beispiele: Passwortgebrauch, Protokollierung, Vergabe von Berechtigungen
   •   M 5: Kommunikation
       Beispiele: Konfiguration, Datenübertragung, E-Mail, SSL, Firewall
   •   M 6: Notfallvorsorge
       Beispiele: Notfallpläne, Datensicherung, Vorsorgemaßnahmen (z. B. redundante
                  Systemauslegung)

Die zentrale Rolle der IT-Grundschutz-Kataloge spielen die Bausteine, deren Aufbau im
Prinzip gleich ist. Jeder Baustein beginnt mit einer kurzen Beschreibung der betrachteten
Komponente, der Vorgehensweise bzw. des IT-Systems.

Im Anschluss daran wird die Gefährdungslage dargestellt.

                                    Simone Günther, CN 8                                13
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

Den wesentlichen Teil eines jeden Bausteins bilden die Maßnahmenempfehlungen, die
sich an die Gefährdungslage anschließen. Zunächst erfolgen kurze Hinweise zum
jeweiligen Maßnahmenbündel. So enthalten diese Ausführungen z. B. Hinweise zur
folgerichtigen Reihenfolge bei der Realisierung der notwendigen Maßnahmen.

In jedem Baustein wird für das betrachtete Themengebiet vor der Maßnahmen-Liste eine
Übersicht in Form eines "Lebenszyklus" gegeben, welche Maßnahmen in welcher Phase
der Bearbeitung zu welchem Zweck umgesetzt werden sollten. In der Regel können die
folgenden Phasen identifiziert werden, wobei für jede dieser Phasen typische Arbeiten
angegeben sind, die im Rahmen einzelner Maßnahmen durchgeführt werden.

Phasenübergreifend wirken dabei das IT-Sicherheitsmanagement und die Revision, die
den gesamten Lebenszyklus begleiten und kontrollieren.

Da alle Geschäftsprozesse, IT-Systeme und Einsatzbedingungen sich ständig ändern und
weiterentwickelt werden, müssen die Phasen erfahrungsgemäß immer wieder
durchlaufen werden. Dies sicherzustellen ist Aufgabe des IT-Sicherheitsmanagements.

                                    Simone Günther, CN 8                                14
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

2.1.3 BSI-Standards
BSI-Standards enthalten Empfehlungen des BSI zu Methoden, Prozessen und Verfahren
sowie Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit. Das BSI
greift dabei Themenbereiche auf, die von grundsätzlicher Bedeutung für die
Informationssicherheit in Behörden oder Unternehmen sind und für die sich national oder
international sinnvolle und zweckmäßige Herangehensweisen etabliert haben.

I) BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)
                                         Der vorliegende BSI-Standard definiert
                                         allgemeine Anforderungen an ein ISMS. Er ist
                                         vollständig kompatibel zum ISO-Standard 27001
                                         und berücksichtigt weiterhin die Empfehlungen
                                         der ISO-Standards 13335 und 17799.

II) BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise
                                         In diesem Standard ist die Vorgehensweise
                                         gemäß IT-Grundschutz als bewährte Methodik
                                         beschrieben. Sie bietet einen effizienten Weg, die
                                         allgemeinen Anforderungen des ISO-
                                         Standards 27001 zu konkretisieren und
                                         umzusetzen.

                                    Simone Günther, CN 8                                 15
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

III) BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
                                         Die IT-Grundschutz-Kataloge des BSI enthalten
                                         Standard-Sicherheitsmaßnahmen aus den
                                         Bereichen Organisation, Personal, Infrastruktur
                                         und Technik, die bei normalen
                                         Sicherheitsanforderungen in der Regel
                                         angemessen und ausreichend zur Absicherung
                                         von typischen IT-Landschaften sind.
                                         Viele Anwender, die bereits erfolgreich mit dem
                                         IT-Grundschutz-Ansatz arbeiten, stehen vor der
                                         Frage, wie sie mit Bereichen umgehen sollen,
                                         deren Sicherheitsanforderungen deutlich über
das normale Maß hinausgehen.
Wichtig ist dabei, dass die zugrundeliegende Methodik möglichst wenig zusätzlichen
Aufwand mit sich bringt und möglichst viele Ergebnisse aus der IT-Grundschutz-
Vorgehensweise wiederverwendet.

Vor diesem Hintergrund hat das BSI einen Standard zur Risikoanalyse auf der Basis von
IT-Grundschutz erarbeitet. Diese Vorgehensweise bietet sich an, wenn Unternehmen oder
Behörden bereits erfolgreich mit den IT-Grundschutz-Maßnahmen arbeiten und möglichst
nahtlos eine ergänzende Risikoanalyse an die IT-Grundschutz-Analyse anschließen
möchten.

Hierfür kann es verschiedene Gründe geben:
   •   Die Sicherheitsanforderungen des Unternehmens bzw. der Behörde gehen
       teilweise deutlich über das normale Maß hinaus (hoher oder sehr hoher
       Schutzbedarf).
   •   Die Institution betreibt wichtige Anwendungen oder Komponenten, die (noch)
       nicht in den IT-Grundschutz-Katalogen des BSI behandelt werden.
   •   Die Zielobjekte werden in Einsatzszenarien (Umgebung, Anwendung) betrieben,
       die im Rahmen des IT-Grundschutzes nicht vorgesehen sind.
Die Vorgehensweise richtet sich sowohl an Anwender der Informationstechnik (IT-
Sicherheitsverantwortliche und -beauftragte) als auch an Berater und Experten. Häufig
ist es allerdings empfehlenswert, bei der Durchführung von Risikoanalysen auf
Expertensachverstand zurückzugreifen.

                                    Simone Günther, CN 8                                   16
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

2.1.4 IT-Grundschutz-Vorgehensweise

                                    Simone Günther, CN 8                             17
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

2.2 IT-Sicherheitsmanagement
Aufgaben und Aktivitäten, mit denen für eine Organisation ein angemessenes
IT-Sicherheitsniveau erreicht und erhalten werden soll, gehören zum Management der
Informations- und IT-Sicherheit. Zuständig sind dafür Verantwortliche für die IT-
Sicherheit und für den IT-Betrieb sowie von diesen intern und extern Beauftragte. Sie
tragen zum IT-Sicherheitsmanagement bei, indem sie IT-Sicherheit organisieren sowie
IT-Sicherheitsmaßnahmen planen, umsetzen und ihre Wirksamkeit kontrollieren.
Die Initiative zum IT-Sicherheitsmanagement muss von der Leitung (des Unternehmens
bzw. der Behörde) ausgehen. Sie trägt die volle Verantwortung dafür, dass im
Unternehmen gesetzliche Anforderungen und Geschäftsbedingungen eingehalten und
interne Regelungen beachtet werden. Bei Verstößen kann sie haftbar gemacht werden.

2.2.1 Managementaufgaben laut BSI-Standard 100-2
                                            •   Initiierung eines IT-Sicherheitsprozesses
                                                mit Übernahme von Verantwortung durch
                                                die Leitungsebene,
                                            •   Konzeption und Planung des IT-
                                                Sicherheitsprozesses mit
                                                Rahmenbedingungen, übergeordneten
                                                Zielen und IT-Strategie in einer IT-
                                                Sicherheitsleitlinie,
                                            •   Aufbau einer IT-Sicherheitsorganisation
                                                mit Bereitstellung von Ressourcen für die
                                                IT-Sicherheit,
   •   Erstellung einer IT-Sicherheitskonzeption inklusive Abwägen von Kosten und
       Nutzen,
   •   Umsetzung der IT-Sicherheitskonzeption durch Realisierung der IT-
       Sicherheitsmaßnahmen,
   •   Einbindung aller Mitarbeiter und Integration der erforderlichen Ressourcen in den
       IT-Sicherheitsprozess und seine Steuerung und
   •   Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung.

                                    Simone Günther, CN 8                                  18
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

2.2.2 Wichtigen Maßnahmen zur Steuerung eines systematischen IT-
Sicherheitsprozesses
   •   der Aufbau einer angemessenen Organisationsstruktur für IT-Sicherheit,
   •   die Formulierung der grundsätzlichen Vorgaben in einer IT-Sicherheitsleitlinie
       sowie
   •   die Entwicklung von dazu passenden IT-Sicherheitskonzepten.

2.2.3 IT-Sicherheitsstrategie
Die Gewährleistung von IT-Sicherheit ist eine strategische Aufgabe des Managements,
welche die Festlegung von Zielen, den Aufbau und die Entwicklung angemessener
Organisationsstrukturen und Prozesse sowie die Auswahl konkreter Maßnahmen umfasst.
Die getroffenen Entscheidungen müssen kontinuierlich überprüft und bei Bedarf an
geänderte Bedingungen angepasst werden, wenn ein bestimmtes IT-Sicherheitsniveau
gehalten werden soll. Veränderungen der inneren Strukturen einer Institution
(Geschäftsprozesse, Fachaufgaben, organisatorische Gliederung) sind ebenso zu
berücksichtigen wie solche in den äußeren Rahmenbedingungen (Gesetze, Verordnungen,
Verträge), neuartige Bedrohungsszenarien ebenso wie Weiterentwicklungen der
Sicherheitstechnik.

2.2.4 Managementmängel und Maßnahmen
Beispiele für Gefährdungen
   •   fehlende persönliche Verantwortung,
   •   mangelnde Unterstützung durch die Leitungsebene,
   •   unzureichende strategische und konzeptionelle Vorgaben,
   •   unzureichende und fehlgeleitete Investitionen,
   •   unzureichende Durchsetzbarkeit von Maßnahmenkonzepten und
   •   fehlende Aktualisierung im IT-Sicherheitsprozess

Solche organisatorische Mängel können vermieden werden, wenn das Management
folgende Aufgaben und Pflichten erfüllt und in der Praxis bewährte Maßnahmen umsetzt:
   •   Die Leitung des Unternehmens bzw. der Behörde ist sich ihrer
       Gesamtverantwortung und Vorbildfunktion für die IT-Sicherheit bewusst, vertritt
       die Sicherheitsziele entschieden und beispielhaft, initiiert, steuert und kontrolliert
       einen kontinuierlichen Sicherheitsprozess und unterstützt alle delegierten Arbeiten
       für IT-Sicherheit.
   •   Im Unternehmen ist eine eigene Kompetenz für IT-Sicherheit aufzubauen und die
       Hauptverantwortung für IT-Sicherheitsfragen an eine Person zu delegieren, die
       auch für eine geeignete Organisationsstruktur für IT-Sicherheit und deren
       Aufrechterhaltung sorgt.

                                    Simone Günther, CN 8                                   19
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

   •   Zum Unternehmen passende IT-Sicherheitsziele und -strategie sind in einer IT-
       Sicherheitsleitlinie festzuschreiben.
   •   Zur Umsetzung und Integration der angestrebten IT-Sicherheit sind die
       erforderlichen organisatorischen Strukturen aufzubauen, ein IT-Sicherheits-
       konzept zu erstellen, die Mitarbeiter einzubeziehen und die Ressourcen für
       IT-Sicherheit wirtschaftlich einzusetzen.
   •   Zur Aufrechterhaltung der IT-Sicherheit tragen zielgruppengerechte
       IT-Sicherheitsrichtlinien ebenso bei wie eine umfassende Dokumentation des
       IT-Sicherheitsprozesses sowie regelmäßige Statusberichte.

2.2.5 Rollen und Zuständigkeiten
I) IT-Sicherheitsbeauftragte
Zu den Aufgaben von IT-Sicherheitsbeauftragten gehört es,
   •   den IT-Sicherheitsprozess zu steuern und zu koordinieren,
   •   die Leitung bei der Erstellung der IT-Sicherheitsleitlinie zu unterstützen,
   •   die Erstellung des IT-Sicherheitskonzepts, des Notfallvorsorgekonzepts und
       anderer Teilkonzepte und System-Sicherheitsrichtlinien zu koordinieren sowie
       weitere Richtlinien und Regelungen zur IT-Sicherheit zu erlassen,
   •   den Realisierungsplan für IT-Sicherheitsmaßnahmen zu erstellen und ihre
       Umsetzung zu initiieren und zu überprüfen,
   •   dem IT-Sicherheitsmanagement-Team und der Leitungsebene über den Status der
       IT-Sicherheit zu berichten,
   •   sicherheitsrelevante Projekte zu koordinieren,
   •   sicherheitsrelevante Vorfälle zu untersuchen und
   •   Sensibilisierungs- und Schulungsmaßnahmen zur IT-Sicherheit zu initiieren und zu
       koordinieren.

II) IT-Sicherheitsmanagement-Team
In größeren Organisationen wird ein solches Team aus mehreren Zuständigen für IT-
Sicherheit gebildet, um den IT-Sicherheitsbeauftragten zu unterstützen. Zuständig ist es
für die Regelung sämtlicher übergreifenden Belange der IT-Sicherheit. Es koordiniert,
berät und kontrolliert die zugehörigen Analysen, Pläne und Konzepte, Richtlinien,
Vorgaben und Kontrollregelungen.

                                     Simone Günther, CN 8                               20
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

Die Aufgaben des IT-Sicherheitsmanagement-Teams sind es,
   •   die IT-Sicherheitsziele und -strategien zu bestimmen sowie die IT-
       Sicherheitsleitlinie zu entwickeln,
   •   die Umsetzung der IT-Sicherheitsleitlinie zu überprüfen,
   •   den IT-Sicherheitsprozess zu initiieren, zu steuern und zu kontrollieren,
   •   bei der Erstellung des IT-Sicherheitskonzepts mitzuwirken,
   •   zu überprüfen, ob die im IT-Sicherheitskonzept geplanten IT-
       Sicherheitsmaßnahmen wie beabsichtigt funktionieren sowie geeignet und
       wirksam sind,
   •   Schulungs- und Sensibilisierungsprogramme für IT-Sicherheit zu konzipieren
       sowie
   •   den IT-Koordinierungsausschuss und die Leitung(sebene) in IT-Sicherheitsfragen
       zu beraten.

2.2.6 IT-Sicherheitsleitlinie
Für ein zentral organisiertes und unternehmensweit gesteuertes IT-Sicherheits-
management ist eine IT-Sicherheitsleitlinie die wichtigste Positionierung der
Unternehmensleitung zum Stellenwert der IT-Sicherheit, zum anzustrebenden
Sicherheitsniveau und zu den verbindlichen Prinzipien der IT-Sicherheit. Deshalb
muss die Entwicklung einer Leitlinie von der Geschäftsführung angestoßen und bis zum
Ergebnis aktiv unterstützt werden. Möglichst viele Bereiche der Organisation sollten
während der Erstellung einbezogen werden, damit die Mitarbeiter später die Vorgaben
mittragen. Die IT-Sicherheitsleitlinie soll für alle Mitarbeiter die IT-Sicherheitsziele, die
Strategie, die Organisation und die Mittel, mit denen die Ziele verwirklicht werden sollen,
verständlich beschreiben.
Es geht darum, Antworten auf folgende Fragen zu formulieren:
   •   Welche Geschäftsvorgänge, Arbeitsvorgänge können ohne funktionierende IT
       nicht oder nur mit großem Aufwand anders bearbeitet werden?
   •   Für welche Geschäftsvorgänge und Unternehmensdaten ist die Einhaltung der IT-
       Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit wichtig? Welche
       Informationen, die mittels IT bearbeitet werden, haben korrekt und aktuell zu sein
       und müssen deshalb besonders geschützt werden?
   •   Welche Bedeutung und Folgen könnten von innen oder außen verursachte
       Sicherheitsvorfälle haben? Was könnten Angriffe auf die IT oder fehlerhafter
       Umgang mit IT-Systemen und Anwendungen auslösen?

                                     Simone Günther, CN 8                                       21
Aktuelle Themen der Informatik: Sicherheitsmanagement mit ITIL und BSI-Grundschutz

2.2.7 IT-Sicherheitskonzept
Ein IT-Sicherheitskonzept ist erforderlich, damit die in der IT-Sicherheitsleitlinie
vorgegebenen IT-Sicherheitsziele und die IT-Sicherheitsstrategie verfolgt und dazu
passende Maßnahmen geplant, umgesetzt und aktualisiert werden können. Das Konzept
wird unter den organisatorischen Bedingungen, die in der IT-Sicherheitsleitlinie
beschrieben sind, für das anzustrebende IT-Sicherheitsniveau erarbeitet.
Im IT-Sicherheitskonzept werden zunächst die Risiken für die Geschäftsprozesse, IT-
Anwendungen und IT-Systeme bewertet und dann konzipiert, welche
Sicherheitsmaßnahmen einen angemessenen Schutz bieten. Im BSI-Standard 100-1
werden dazu folgende Teilschritte unterschieden:
   •   Auswahl einer Methode zur Risikobewertung
   •   Klassifikation von Risiken beziehungsweise Schäden
   •   Risikobewertung
   •   Entwicklung einer Strategie zur Behandlung von Risiken
   •   Auswahl von IT-Sicherheitsmaßnahmen

                                    Simone Günther, CN 8                               22
Sie können auch lesen
NÄCHSTE FOLIEN ... Stornieren