Das Beispielunternehmen RECPLAST

Webkurs IT-Grundschutz

Beschreibung des Beispielunternehmens RECPLAST GmbH

Ausgabe Juni 2006

Dieses Dokument ergänzt den Webkurs IT-Grundschutz und enthält die Darstellungen, Tabellen und Erläuterungen zu dem (fiktiven) Unternehmen RECPLAST, das in dem Kurs als Beispiel zur Veranschaulichung der IT-Grundschutz-Vorgehensweise verwendet wird.

Grundlage: IT-Grundschutz-Kataloge vom Dezember 2005.

Der Webkurs IT-Grundschutz wurde im Auftrag des BSI vom Fraunhofer-Institut für Sichere Informationstechnologie SIT, Bereich Sichere Prozesse und Infrastrukturen SPI, Sankt Augustin erstellt. Internet: www.sit.fraunhofer.de.

Bundesamt für Sicherheit in der Informationstechnik

Referat 114

Postfach 20 03 63

53133 Bonn

Telefon: 0228 99 9582-5369

E-Mail: [email protected]

Internet: www.bsi.bund.de

© Bundesamt für Sicherheit in der Informationstechnik 2006

Webkurs IT-Grundschutz – das Beispielunternehmen RECPLAST

Inhaltsverzeichnis 1 Das Beispielunternehmen Recplast GmbH ..................................................................................... 2

1.1 Organisatorische Gliederung ................................................................................................. 2 1.2 Informationstechnik ............................................................................................................... 3

2 IT-Sicherheitsmanagement.............................................................................................................. 4 2.1 Vorschläge für die IT-Sicherheitsleitlinie.............................................................................. 5 2.2 Einführung der IT-Sicherheitsleitlinie im Unternehmen ....................................................... 7

3 IT-Strukturanalyse........................................................................................................................... 8 3.1 Netzplan ................................................................................................................................. 8 3.2 Erhebung IT-Systeme .......................................................................................................... 11 3.3 Erhebung IT-Anwendungen................................................................................................. 13

4 Schutzbedarfsfeststellung.............................................................................................................. 16 4.1 Anpassung der Schutzbedarfskategorien ............................................................................. 16 4.2 Schutzbedarfsfeststellung der IT-Anwendungen ................................................................. 17 4.3 Schutzbedarfsfeststellung der IT-Systeme........................................................................... 21 4.4 Schutzbedarf der Kommunikationsverbindungen................................................................ 26 4.5 Schutzbedarfsfeststellung der IT-genutzten Räume............................................................. 29

5 Modellierung gemäß IT-Grundschutz ........................................................................................... 30 5.1 Schicht 1: Übergreifende Aspekte ....................................................................................... 30 5.2 Schicht 2: Infrastruktur ........................................................................................................ 31 5.3 Schicht 3: IT-Systeme.......................................................................................................... 31 5.4 Schicht 4: Netze ................................................................................................................... 34 5.5 Schicht 5: Anwendungen ..................................................................................................... 35

6 Basis-Sicherheitscheck.................................................................................................................. 36 6.1 Beispiel aus Schicht 1: B 1.0 IT-Sicherheitsmanagement ................................................... 37 6.2 Beispiel aus Schicht 1: B 1.2 Personal................................................................................. 39 6.3 Beispiel aus Schicht 2: B 2.4 Serverraum............................................................................ 41 6.4 Beispiel II aus Schicht 3: B 3.101 Allgemeiner Server ....................................................... 43 6.5 Beispiel II aus Schicht 3: B 3.106 Server unter Windows 2000.......................................... 46 6.6 Beispiel aus Schicht 4: B 4.1 Heterogene Netze.................................................................. 49 6.7 Beispiel aus Schicht 5: B 5.7 Datenbanken ......................................................................... 51

7 Ergänzende Risikoanalyse............................................................................................................. 54 7.1 Erstellung der Gefährdungsübersicht................................................................................... 55 7.2 Ermittlung zusätzlicher Gefährdungen ................................................................................ 57 7.3 Bewertung der Gefährdungen .............................................................................................. 58 7.4 Behandlung der Risiken und Maßnahmenauswahl .............................................................. 62

8 Realisierungsplanung .................................................................................................................... 64 8.1 Konsolidierter Realisierungsplan......................................................................................... 64 8.2 Abgestimmter Realisierungsplan ......................................................................................... 68

Seite 1


1 Das Beispielunternehmen Recplast GmbH Die Vorgehensweise bei der Anwendung der IT-Grundschutz-Kataloge soll ein Beispiel veranschau-lichen und zwar ein Unternehmen mittlerer Größe, das selbstverständlich rein fiktiv ist. Es handelt sich dabei um die RECPLAST GmbH, die aus Recyclingmaterialien etwa 400 unterschiedliche Kunststoff-produkte produziert und vertreibt, zum Beispiel Bauelemente wie Rund- und Brettprofile, Zäune, Blumenkübel oder Abfallbehälter – und zwar teils in größeren Serien für Endkunden, teils spezifisch für einzelne Geschäftskunden. Auftragsvolumen, Häufigkeit der Aufträge und die Kunden variieren: Es gibt einige wenige Stamm- und Großkunden und zahlreiche Einmalkunden. Der jährliche Gesamt-umsatz des Unternehmens beläuft sich auf ca. 50 Millionen Euro bei einem Gewinn von etwa 1 Millionen Euro.

Dem Beispiel liegt die Version vom Dezember 2005 der IT-Grundschutz-Kataloge zugrunde.

1.1 Organisatorische Gliederung Die organisatorische Gliederung der RECPLAST GmbH gibt folgendes Organigramm wieder:

Geschäfts-führung

Einkauf Produktion Marketing/Vertrieb Lager/Logistik

Personal Entwicklung

Verwaltung

Informations-technik

Buchhaltung

Fertigung VertriebsbüroBerlin

VertriebsbüroHamburg

VertriebsbüroMünchen

Haus- undGebäudetechnik

ZentraleBad Godesberg

Abbildung 1: Organigramm der RECPLAST GmbH

Verwaltung sowie Produktion und Lager befinden sich in Bonn, allerdings an unterschiedlichen Standorten: Die Geschäftsführung hat zusammen mit den Verwaltungsabteilungen und den Abteilun-gen für Einkauf sowie Marketing und Vertrieb vor kurzem ein neues Gebäude in Bad Godesberg (BG) bezogen, während Produktion, Material- und Auslieferungslager am ursprünglichen Firmensitz im Stadtteil Beuel verblieben sind. Zusätzlich gibt es Vertriebsbüros in Berlin, Hamburg und München. Das Unternehmen beschäftigt insgesamt 180 Mitarbeiter, von denen 40 in der Verwaltung in Bad Godesberg, 134 in Produktion und Lager in Beuel und jeweils 2 Mitarbeiter in den Vertriebsbüros in Berlin, Hamburg und München tätig sind.

Seite 2


1.2 Informationstechnik Am Standort Bad Godesberg ist im Zuge des Umzugs ein zentral administriertes Windows 2000-Netz mit insgesamt 30 angeschlossenen Arbeitsplätzen eingerichtet worden. Die Arbeitsplatzrechner sind einheitlich mit dem Betriebssystem Windows 2000, üblichen Büro-Anwendungen (Standardsoftware für Textverarbeitung, Tabellenkalkulation und Präsentationen) und Client-Software zur E-Mail-Nutzung ausgestattet. Zusätzlich gibt es je nach Aufgabengebiet auf verschiedenen Rechnern Spezial-software.

Im Netz des Standorts Bad Godesberg werden insgesamt 5 Server für folgende Zwecke eingesetzt:

• Ein Server dient als Domänen-Controller,

• ein weiterer Server dient der Dateiablage- und als Druck-Server,

• ein Server dient als Datenbankserver für die Personal- und Finanzdaten,

• ein weiterer Datenbank-Server dient der Kunden- und Auftragsbearbeitung und

• der fünfte Server dient als interner Kommunikations-Server (interner Mail-Server, Termin- und Adressverwaltung).

Der Standort Bonn-Beuel ist mit einem weiteren Server und 12 Arbeitsplatzrechnern über eine an-gemietete Standleitung in das Firmennetz eingebunden. Der Server dient als zusätzlicher Domänen-Controller sowie als Datei- und Druckserver für diesen Standort. Die Grundausstattung der Arbeits-platzrechner in Beuel stimmt mit der der Rechner in der Verwaltung überein. Zusätzlich ist auf 4 Rechnern CAD/CAM-Software installiert.

Die Vertriebsbüros sind jeweils mit einem Windows-2000 Einzelplatzrechner ausgestattet und haben eine Internet-Anbindung über ISDN, die mit Hilfe eines VPN-Clients bei Bedarf auch genutzt werden kann, um unter Ausnutzung der VPN-Funktionalität der Firewall Zugang zum Firmennetz zu erhalten.

Das Firmennetz ist über DSL an das Internet angebunden. Der Internet-Zugang ist über eine Firewall und einen Router mit Paketfilter abgesichert. Alle Client-Rechner haben Zugang zum Internet (für WWW und E-Mail). Die WWW-Seiten des Unternehmens einschließlich eines Produktkatalogs und der Möglichkeit, Bestellungen per E-Mail abzugeben, werden auf einem Web-Server des Providers vorgehalten.

An zusätzlicher Informationstechnik sind zu berücksichtigen:

• Telekommunikationsanlagen in Bad Godesberg und Beuel,

• insgesamt 8 Faxgeräte (davon 4 in Bad Godesberg, je 1 in den Vertriebsbüros und 1 in Beuel) und

• 8 Laptops (4 in Bad Godesberg, je 1 in den Vertriebsbüros und 1 in Beuel), die bei Bedarf in das Netz eingebunden werden können; von entfernten Standorten aus über VPN.

Für das reibungslose Funktionieren der Informationstechnik an allen Standorten ist die zentrale DV-Abteilung in Bad Godesberg zuständig.

Zum Umgang mit der betrieblichen Informationstechnik gibt es eine Anweisung, der zufolge diese ausschließlich für Firmenzwecke genutzt werden darf und das Einbringen von privater Hard- und Software untersagt ist.

Seite 3


2 IT-Sicherheitsmanagement Die Geschäftsführung beabsichtigt, ein IT-Sicherheitskonzept für das Unternehmen ausarbeiten zu lassen, das in allen Unternehmensbereichen umgesetzt werden soll. Dazu müssen die Unternehmenspolitik zur IT-Sicherheit und die vorhandenen Sicherheitsrichtlinien präzisiert werden. Zuerst wird für die Analysen, Konzepte und Folgearbeiten des IT-Sicherheitsprozesses ein IT-Sicher-heitsbeauftragter ernannt.

Da diese Aufgabe umfangreiche IT-Kenntnisse erfordert, wird hierfür ein Mitarbeiter der Abteilung „Informationstechnik“ bestimmt. Danach wird ein zeitlich befristetes Projekt „IT-Sicherheitskonzept“ eingerichtet, in dem neben dem IT-Sicherheitsbeauftragten der Datenschutzbeauftragte und Zuständige für IT-Anwendungen und IT-Systeme zu folgenden Ergebnissen zusammenarbeiten sollen:

1. Vorschläge und Entscheidungsvorlage für eine IT-Sicherheitsleitlinie,

2. Erstellung einer Übersicht vorhandener IT-Systeme,

3. Ausarbeitung und Entscheidungsvorlage des IT-Sicherheitskonzepts und eines Realisierungsplans inklusive Maßnahmen zur Notfallvorsorge und Benutzerinformation,

4. Vorschläge für Maßnahmen zur Aufrechterhaltung der IT-Sicherheit,

5. Dokumentation aller Entscheidungsvorlagen, Entscheidungen und der umgesetzten Maßnahmen des IT-Sicherheitsprozesses.

Mehrere Bereichsleiter wollen, dass auch ein Mit-arbeiter aus ihrem Bereich in dem Projektteam vertreten sein soll. Aus drei Bereichen können wegen dringender Terminarbeiten keine Mit-arbeiter am Projekt teil-nehmen. Die Geschäfts-führung schließt diese Dis-kussion damit ab, dass maxi-mal drei Mitarbeiter im Pro-jekt arbeiten sollen:

1. der IT-Sicherheitsbeauf-tragte sowie

2. ein Mitarbeiter, der im Vertrieb für die IT-Anwendungen zuständig und gleichzeitig Datenschutzbeauftragter ist, und

3. die kaufmännische Geschäftsleitung.

Alle Bereiche sollen den Projektmitarbeitern die erforderlichen Auskünfte über den Stand der IT-Sicherheit angesichts der gegenwärtigen und geplanten Informationstechnik geben.

Zwischen- und Endergebnisse sollen in der Managementsitzung und mit dem Betriebsrat beraten und dann von der Geschäftsführung entschieden werden. Die Ergebnisse will sie selbst den Beschäftigten mitteilen.

Nach Vorarbeiten des IT-Sicherheitsbeauftragten und Beratungen des Projektteams „IT-Sicherheits-konzept“ werden folgende Vorschläge für die IT-Sicherheitsleitlinie mit der Geschäftsführung beraten:

Seite 4


2.1 Vorschläge für die IT-Sicherheitsleitlinie

Stellenwert der IT und Bedeutung der IT-Sicherheitsleitlinie Der Geschäftserfolg des Unternehmens ist abhängig von aktuellen und korrekten Geschäftsinforma-tionen, die das Unternehmen mit Kunden, Zulieferern, Kooperationspartnern, Geldinstituten und ande-ren Institutionen zunehmend elektronisch austauscht. Die Informationstechnik ist ein wichtiger, unter-stützender Teil unseres Geschäfts und unserer Arbeiten in allen Abteilungen.

Eine funktionsfähige Informationstechnik und ein sicherheitsbewusster Umgang mit ihr sind wesent-liche Voraussetzungen für die Einhaltung der IT-Sicherheitsziele Verfügbarkeit, Integrität und Ver-traulichkeit von Informationen.

Die Unternehmensleitung hat aufgrund ihrer Verantwortung für die Informationssicherheit einen IT-Sicherheitsprozess in Gang gesetzt. Dazu gehören die Entwicklung und Umsetzung dieser Leitlinie und eines IT-Sicherheitskonzepts. Die Einhaltung der Leitlinie sowie Aktualität und Angemessenheit des Sicherheitskonzepts werden regelmäßig überprüft.

IT-Sicherheitsniveau und Ziele Die Unternehmensleitung schätzt die strategische und operative Bedeutung der Informationstechnik folgendermaßen ein:

Die Informationstechnik dient unserem Unternehmen wesentlich zur Erfüllung des Massen-geschäfts im Vertrieb und Einkauf, für die Aufgaben der Finanz- und Lohnbuchhaltung und für qualitative Aufgaben in der Entwicklung, Auftragsabwicklung und im Management. Insbesondere für auftragsbezogene Entscheidungen und Investitionen sind aktuelle und korrekte Unternehmens-daten erforderlich. Ein Ausfall von IT-Systemen ist bis zu einem Tag überbrückbar, darüber hinaus wären Beeinträchtigungen der Managementdispositionen, der Auftragsabwicklung und der Unter-nehmenskommunikation zwischen Verwaltung, Produktion und Lager riskant.

In Abwägung der Gefährdungen, der Werte der zu schützenden Güter sowie des vertretbaren Auf-wands an Personal und Finanzmitteln für IT-Sicherheit, hat die Unternehmensleitung bestimmt, dass ein mittleres IT-Sicherheitsniveau angestrebt werden soll.

Dieses Sicherheitsniveau bedingt folgende Sicherheitsziele und Strategie:

1. Informationssicherheit soll mit Sicherheitsbewusstsein der Beschäftigten bezüglich möglicher Gefährdungen und mit ihrem persönlich-verantwortlichen Verhalten praktiziert und mit organisatorischen und technischen Maßnahmen unterstützt werden. Dafür sollen regelmäßige Fortbildungsmaßnahmen zur IT-Sicherheit durchgeführt werden.

2. Die für das Unternehmen wichtigen Informationen sollen gemäß ihrer Vertraulichkeit und bezüglich ihrer Integrität geschützt werden. Das bedeutet, dass auch im Umgang mit elektronischen Dokumenten und Daten Geheimhaltungsanweisungen strikt Folge zu leisten ist.

3. Die für das Unternehmen relevanten Gesetze und Vorschriften sowie vertragliche und aufsichts-rechtliche Verpflichtungen müssen eingehalten werden.

4. Ziel ist, die Sicherheit der IT (gleichwertig neben Leistungsfähigkeit und Funktionalität) im Unternehmen aufrechtzuerhalten, so dass die Geschäftsinformationen bei Bedarf verfügbar sind. Ausfälle der IT haben Beeinträchtigungen des Unternehmens zur Folge. Lang andauernde Ausfälle, die zu Terminüberschreitungen von mehr als einem Tag führen, sind nicht tolerierbar.

5. Durch Sicherheitsmängel im Umgang mit IT verursachte Ersatzansprüche, Schadensregulierun-gen und Image-Schäden müssen verhindert werden. [Kleinere Fehler können toleriert werden.]

Seite 5


6. Im Unternehmen sollen für die Zugangskontrolle sowohl physikalische als auch logische Sicherheitsmaßnahmen angewandt werden.

7. Bereits betriebene und geplante Informationstechnik soll nach der Vorgehensweise des IT-Grundschutzes des BSI in einem IT-Sicherheitskonzept erfasst, im Schutzbedarf eingeschätzt, modelliert und auf Sicherheitsmaßnahmen überprüft werden. Sicherheit der IT soll u. a. auch durch Anwenden von Normen und Standards und durch den Einsatz zertifizierter Systeme erreicht werden.

Verantwortungen • Für Daten, Informationen, Geschäftsverfahren, unterstützende Systeme, Netze und Infrastruktur

werden so genannte „Informationseigentümer“ benannt. Sie sollen verantwortlich für die Ein-schätzung der geschäftlichen Bedeutung (der Information, Technik), für die sichere Nutzung und Kontrolle, inklusive der Einhaltung von Sicherheitsgrundsätzen, Standards und Richtlinien sein. Die „Eigentümer“ definieren die erforderliche Zugänglichkeit (der Information, Technik) sowie Art und Umfang der Autorisierung. Sie sind für die Verwaltung der zustehenden Zugriffsrechte der Benutzer verantwortlich und gegenüber der Leitung in Rechenschaftspflicht.

• Ein „Informationstreuhänder“, der z. B. aufgrund eines Serviceauftrags für das Unternehmen Leistungen erbringt, hat Vorgaben des „Informationseigentümers“ und diese IT Sicherheitsleitlinie einzuhalten. Damit ist er verantwortlich für die Einhaltung der IT Sicherheitsziele (Wahrung der Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Rechenschaftspflicht und Verbindlichkeit der Informationen). Bei erkennbaren Mängeln oder Risiken eingesetzter Sicherheitsmaßnahmen hat er den „Informationseigentümer“ zu informieren.

• Jeder Mitarbeiter soll im Rahmen seines Umgangs mit IT (als Benutzer, Berater, Geschäftspartner) die erforderliche Integrität und Vertraulichkeit von Informationen sowie Verbindlichkeit und Beweisbarkeit von Geschäftskommunikation gewährleisten und die Richtlinien des Unternehmens einhalten. Unterstützt durch sensibilisierende Schulung und Benutzerbetreuung am Arbeitsplatz soll jeder im Rahmen seiner Möglichkeiten, Sicherheitsvorfälle von innen und außen vermeiden. Erkannte Fehler sind den Zuständigen umgehend zu melden, damit schnellstmöglich Abhilfemaßnahmen eingeleitet werden können.

• Das Sicherheitsmanagement, bestehend aus IT-Sicherheitsbeauftragtem, Mitarbeitern des Projekts „IT-Sicherheitskonzept“, Zuständigen für die IT-Anwendungen, Datenschutz und IT-Service, ist gemäß den Sicherheitsvorgaben verantwortlich für die Sicherheit im Umgang mit der IT und den Schutz der Geschäftsinformationen, einschließlich der Kunden-, Entwicklungs- und Manage-mentdaten. Ebenso ist es zuständig für die Weiterentwicklung des IT-Sicherheitsniveaus, des IT-Sicherheitskonzepts und für seine Umsetzung und Aufrechterhaltung von Sicherheit im Betrieb.

• Für die Überprüfung der IT-Sicherheit bei der Bearbeitung, Nutzung und Kontrolle von Informa-tionen werden jeweils unabhängige Verantwortliche eingesetzt, die z. B. Zugriffsmöglichkeiten auf Finanzdaten und den Umgang mit Finanztransaktionen und zugehörige Sicherheits-maßnahmen kontrollieren.

Verstöße und Folgen • Beabsichtigte oder grob fahrlässige Handlungen, die die Sicherheit von Daten, Informationen,

Anwendungen, IT-Systemen oder des Netzes gefährden, werden als Verstöße verfolgt. Dazu gehören beispielsweise:

– der Missbrauch von Daten, der finanziellen Verlust verursachen kann,

Seite 6


– der unberechtigte Zugriff auf Informationen bzw. ihre Änderung und unbefugte Übermittlung,

– die illegale Nutzung von Informationen aus dem Unternehmen,

– die Gefährdung der IT-Sicherheit der Mitarbeiter, Geschäftspartner und des Unternehmens und

– die Schädigung des Rufes des Unternehmens.

• Bewusste Zuwiderhandlungen gegen die IT-Sicherheitsleitlinie werden bestraft – gegebenenfalls disziplinarisch, arbeitsrechtlich oder mit zivil- und strafrechtlichen Verfahren, in denen auch Haftungsansprüche und Regressforderungen erhoben werden können.

Geltung und Detaillierung • Diese IT-Sicherheitsleitlinie gilt für das gesamte Unternehmen. Jeder Beschäftigte ist daher ver-

pflichtet, die IT-Sicherheitsleitlinie im Rahmen seiner Zuständigkeiten und Arbeiten einzuhalten und die Informationen und die Technik angemessen zu schützen.

• Unter den Vorgaben dieser IT-Sicherheitsleitlinie und der IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik, werden Ziele, Anforderungen, organisatorische und technische Sicherheitsmaßnahmen in dem IT-Sicherheitskonzept detailliert, geplant, dokumentiert und dann umgesetzt.

2.2 Einführung der IT-Sicherheitsleitlinie im Unternehmen Die Unternehmensleitung lässt sich zu den Inhalten der IT-Sicherheitsleitlinie von dem IT-Sicher-heitsbeauftragten, der Projektgruppe „IT-Sicherheitskonzept“ und dem IT-Sicherheitsmanagement-Team ausgiebig beraten. Dann stellt sie die IT-Sicherheitsleitlinie in der Managementsitzung der Bereichsleiter vor, an der auch der Betriebsrat teilnimmt. Nach Diskussion der Aussagen zur Bedeu-tung der IT und zum Sicherheitsniveau, der Sicherheitsziele, Strategieaussagen, organisatorischen Regelungen und Konsequenzen werden Vorschläge für Änderungen eingebracht. Nach einer Überar-beitung durch den IT-Sicherheitsbeauftragten lädt die Unternehmensleitung alle Beschäftigten zu einer Versammlung ein (ggf. im Einvernehmen mit dem Betriebsrat im Rahmen einer Betriebsversamm-lung). Sie erläutert im Vortrag die Wichtigkeit der Leitlinie für das Unternehmen und erklärt Ziele, Maßnahmen und Konsequenzen. Jeder Mitarbeiter bekommt eine schriftliche Ausfertigung der Leit-linie. Die Unternehmensleitung kündigt eine Reihe von Fortbildungsveranstaltungen zur IT-Sicherheit an, damit die Mitarbeiter für mögliche Gefährdungen sensibilisiert und auf einzuhaltende IT-Sicher-heitsmaßnahmen vorbereitet werden. Die Unternehmensleitung gibt den Termin bekannt, ab dem die Leitlinie in Kraft gesetzt ist und verlangt ihre Einhaltung.

Weitere Informationen zum IT-Sicherheitsmanagement finden Sie in folgenden Dokumenten:

• in dem BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS),

• in den Kapiteln 2 und 3 der Beschreibung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2) sowie

• im Baustein B 1.0 IT-Sicherheitsmanagement der IT-Grundschutz-Kataloge.

Seite 7


3 IT-Strukturanalyse Grundlage eines jeden IT-Sicherheitskonzepts ist eine genaue Kenntnis der im festgelegten IT-Verbund vorhandenen Informationstechnik, ihrer organisatorischen und personellen Rahmenbedingungen sowie ihrer Nutzung. Bei der IT-Strukturanalyse geht es darum, die dazu erfor-derlichen Informationen zusammenzustellen und so aufzubereiten, dass sie die weiteren Schritte bei der Anwendung der IT-Grundschutz-Kataloge unterstützen.

Dazu gehören die folgenden Teilschritte:

1. Netzplanerhebung und Komplexitätsreduktion durch Gruppenbildung,

2. Erfassung der IT-Systeme sowie

3. Erfassung der IT-Anwendungen und der zugehörigen Informationen.

Weitere Informationen zur IT-Strukturanalyse finden Sie in Kapitel 4.1 der Beschreibung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2).

3.1 Netzplan

3.1.1 Erhebung Ausgangspunkt für die IT-Strukturanalyse bei RECPLAST ist der Netzplan in Abbildung 2. Um die Übersichtlichkeit zu bewahren, wurde darauf verzichtet, Geräte und Informationen in den Netzplan einzutragen, die bei den nachfolgenden Beschreibungen nicht weiter benötigt werden (zum Beispiel Netzdrucker, Sicherungslaufwerke, Netzadressen).

3.1.2 Bereinigung Nicht alle Informationen des vorliegenden Netzplans sind für die nachfolgenden Schritte beim Vorgehen gemäß IT-Grundschutz tatsächlich erforderlich. So können Komponenten zu einer Gruppe zusammengefasst werden, die

• vom gleichen Typ sind,

• gleich oder nahezu gleich konfiguriert sind,

• gleich oder nahezu gleich in das Netz eingebunden sind,

• den gleichen administrativen und infrastrukturellen Rahmenbedingungen unterliegen und

• die gleichen Anwendungen bedienen.

Im Netzplan ist dieser Schritt noch nicht vollzogen worden. Daneben weist dieser Netzplan noch weitere Mängel auf. So fehlen für eine Reihe von Komponenten eindeutige Bezeichnungen, zum Beispiel für die Netzkopplungselemente.

Seite 8


Internet

Verwaltung Bad Godesberg

Dom.-ControllerDatei- und

Druckserver

Betrieb Bonn-Beuel

Switch

TK-Anlage

Standleitung

VP

N

Laptop

Server und Clients werden einheitlich mit dem Betriebssystem Windows 2000 betrieben

Router

Clients Einkauf

Domänen-Controller

Komm.-Server(Exchange)

Datei- undDruckserver

DB-ServerKunden- und

Auftragsbearb:

Router

DB-ServerFibu

ClientsGeschäftsführung

Clients Lohn/Fibu

TK-Anlage

Switch

RouterFirewall

Faxgerät

Vertriebsbüro Berlin

Client

Laptop Faxgerät

Vertriebsbüro Hamburg

Client

Laptop Faxgerät

Vertriebsbüro München

Client

Laptop Faxgerät

Switch

Clients Produktion

Clients Entwicklung

Clients Lager

Clients Personal

ClientsMarket./Vertrieb

Clients IT

LaptopsFaxgeräte

Abbildung 2: Netzplan der RECPLAST GmbH

Im bereinigten Netzplan (siehe Abbildung 3) sind sowohl diese Mängel behoben als auch Gruppen gebildet worden:

• Die Clients der Abteilungen „Produktion“ und „Lager“ wurden zusammengefasst, da sie grund-sätzlich gleich ausgestattet sind und mit ihnen auf weitgehend identische Datenbestände zuge-griffen werden kann.

• Die drei Vertriebsbüros zeichnen sich durch eine einheitliche IT-Ausstattung, übereinstimmende Aufgaben und Regelungen sowie einer identischen Zugangsmöglichkeit zum Firmennetz aus. Sie lassen sich in gewisser Weise mit häuslichen Telearbeitsplätzen vergleichen. Sie wurden deswegen zu einer Gruppe zusammengefasst.

• Die nicht vernetzten Komponenten Laptops und Faxgeräte wurden Standort übergreifend zu je-weils einer Gruppe zusammengefasst, da für den Umgang mit diesen Geräten übereinstimmende organisatorische Regelungen gelten.

Seite 9


Folgende Clients sollten nicht zusammengefasst werden:

• Bei den Rechnern der Geschäftsführung kann man von einem höheren Schutzbedarf ausgehen (z. B. könnte auf ihnen besonders vertrauliche Korrespondenz gespeichert sein).

• Die größere Sensibilität der Daten ist auch ein Grund dafür, die Rechner der Entwicklungs-abteilung gesondert zu erfassen. Auf ihnen befinden sich Konstruktionspläne und unter Umständen kundenspezifische Entwicklungen und Verfahrensbeschreibungen, die z. B. vor Wirtschaftsspionage und damit möglichen gravierenden wirtschaftlichen Folgen für die Firma zu schützen sind.

• Eine hohe Vertraulichkeit besitzen ferner auch die Daten, die in der Personalabteilung bearbeitet werden, sowie die Daten der Finanz- und Lohnbuchhaltung.

• Auf Rechnern der IT-Administratoren laufen Anwendungen, die für die Verwaltung des Netzes erforderlich sind. Von daher verlangen auch diese Rechner eine besondere Aufmerksamkeit.

Internet


S6: Domänen-Controller, Datei-u. Druckserver

Betrieb Bonn-Beuel

N7: Switch

T2: TK-Anlage

Standleitung

VP

N

N6: Router

C5: 14 ClientsEinkauf/Marketing/

Vertrieb

S1: Domänen-Controller

S2: Komm.-Server(Exchange)

S3: Datei- undDruckserver

S4: DB-ServerKunden- und

Auftragsbearb.

N5: Router

S5: DB-ServerFibu

C2: 3 ClientsGeschäfts-

führung

C1: 5 ClientsLohn/Fibu

T1: TK-Anlage

N4: Switch

N1: RouterN2: Firewall

C9: 8 Laptops

Vertriebsbüros

C8: 3 ClientsVertriebsbüros

N3: Switch

C6: 12 ClientsFertigung/Lager

C7: 6 ClientsEntwicklung

C3: 4 ClientsPersonal

C4: 4ClientsIT

T3: 8 Faxgeräte

Server und Clients werden einheitlich mit dem Betriebssystem Windows 2000 betrieben Abbildung 3: Bereinigter Netzplan der RECPLAST GmbH

Seite 10


3.2 Erhebung IT-Systeme Bei der Erhebung der IT-Systeme geht es darum, die vorhandenen und geplanten IT-Systeme und die sie jeweils charakterisierenden Angaben zusammenzustellen. Dazu zählen

• alle im Netz vorhandenen Computer (Clients und Server), Gruppen von Computern und aktiven Netzkomponenten, Netzdrucker, aber auch

• nicht vernetzte Computer wie Internet PCs und Laptops,

• Telekommunikationskomponenten wie TK-Anlagen, Faxgeräte, Mobiltelefone und Anrufbeant-worter.

Aufgrund der damit verbundenen besseren Übersichtlichkeit empfiehlt sich eine tabellarische Darstellung, die folgende Angaben enthalten sollte:

• eindeutige Bezeichnung,

• Beschreibung (insbesondere der Einsatzzweck und der Typ, z. B. Server für Personalverwaltung, Router zum Internet),

• Plattform (Welcher Hardwaretyp, welches Betriebssystem?),

• Standort (Gebäude und Raumnummer),

• bei Gruppen: Anzahl der zusammengefassten IT-Systeme,

• Status (in Betrieb, im Test, in Planung) und

• Benutzer und Administrator.

Die Erhebung der IT-Systeme bei der RECPLAST GmbH ergab die nachfolgend abgebildeten Über-sichten.

Die IT-Systeme sind jeweils durchnummeriert. Ein vorangestellter Buchstabe kennzeichnet dessen Typ (S = Server, C = Client, N = Netzkomponente, T = Telekommunikationskomponente).

3.2.1 Übersicht Server

Nr. Beschreibung Plattform Standort Anzahl Status Benutzer/Administrator

S1 Domänen-Controller Windows 2000 Server

BG, R. 1.02 (Serverraum)

1 In Betrieb Alle IT-Benutzer/ IT-Administration

S2 Interner Kommunikations-server

Windows 2000 Server



S3 Datei- und Druckserver Windows 2000 Server



S4 DB-Server Kunden- und Auftragsbearbeitung

Windows 2000 Server


1 In Betrieb Marketing und Vertrieb, Fertigung, Lager/ IT-Administration

S5 DB-Server Finanzbuchhaltung

Windows 2000 Server


1 In Betrieb Mitarbeiter Lohn/Fibu

S6 Server Beuel Windows 2000 Server

Beuel, R. 2.01 (Serverraum)

1 In Betrieb Alle Mitarbeiter in Beuel

Seite 11


3.2.2 Übersicht Clients


C1 Clients in der Finanzbuchhaltung

Windows 2000 Client

BG, R. 2.10 – 2.12

4 In Betrieb Mitarbeiter in der Finanzbuchhaltung

C2 Clients der Geschäftsführung

Windows 2000 Client

BG, R. 1.10 – 1.13

3 In Betrieb Geschäftsführung

C3 Clients der Personalabteilung

Windows 2000 Client

BG, R. 1.07 – 1.09

In Betrieb Mitarbeiter der Personalabteilung

C4 Clients der Informationstechnik

Windows 2000 Client

BG, R. 1.03 – 1.06

4 In Betrieb Mitarbeiter IT / IT-Administration

C5 Clients Kunden- und Auftragsbearbeitung

Windows 2000 Client

BG, R. 2.03 – 2.09

14 In Betrieb Einkauf, Marketing und Vertrieb

C6 Clients Fertigung und Lager Windows 2000 Client

Beuel, R. 2.10 – 2.13

12 In Betrieb Mitarbeiter Fertigung und Lager

C7 Clients in Entwicklungs-abteilung

Windows 2000 Client

Beuel, R. 2.14 – 2.20

6 In Betrieb Entwicklung/ IT-Administration

C8 Clients in Vertriebsbüros Windows 2000 Client

Vertriebsbüros (Berlin, Ham-burg, München)

3 In Betrieb Mitarbeiter in Vertriebsbüros/ IT-Administration

C9 Laptops Windows 2000 Client

4 in BG, je 1 in Beuel und in den Vertriebsbüros

8 In Betrieb Mitarbeiter Vertrieb/ IT-Administration

3.2.3 Übersicht Netzkomponenten


N1 Router zum Internet DSL-Router BG, R. 1.02 (Serverraum)


N2 Firewall Windows 2000 BG, R. 1.02 (Serverraum)


N3 Zentraler Switch in Bad Godesberg



N4 Switch für Personalabteilung


1 In Betrieb Personalabteilung, GF, Lohn, Fibu/ IT-Administration

N5 Router zur Anbindung des Standorts Beuel

Router BG, R. 1.02 (Serverraum)


N6 Router zur Anbindung nach Bad Godesberg

Router Beuel, R. 2.02 (Technikraum)


N7 Switch in Beuel Beuel, R. 2.02 (Technikraum)


Seite 12


3.2.4 Übersicht Telekommunikationskomponenten


T1 Telefonanlage BG ISDN-TK-Anlage

BG, R. 1.01 1 In Betrieb Alle Mitarbeiter in BG/ IT-Administration

T2 Telefonanlage Beuel ISDN-TK-Anlage

Beuel, R. 2.02 1 In Betrieb Alle Mitarbeiter in Beuel/IT-Administration

T3 Faxgeräte 4 in BG, je 1 in Beuel und in den Vertriebsbüros

8 In Betrieb Alle Mitarbeiter

3.3 Erhebung IT-Anwendungen Bei der Erhebung der IT-Anwendungen werden die wichtigsten Anwendungen einer Organisation erfasst, also diejenigen

• deren Daten, Informationen und Programme den höchsten Bedarf an Geheimhaltung (Vertraulich-keit) haben,

• deren Daten, Informationen und Programme den höchsten Bedarf an Korrektheit und Unverfälschtheit (Integrität) haben oder

• die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben.

Unter Berücksichtigung der Auskünfte der Benutzer und fachlich Verantwortlichen wurden bei RECPLAST die folgenden Anwendungen in diesem Sinne als wesentlich identifiziert:

Nr. Beschreibung Nr. Beschreibung A1 Personaldatenverarbeitung A9 Druckservice BG A2 Reisekostenabrechnung A10 Druckservice Beuel A3 Finanzbuchhaltung A11 Office-Anwendungen (Textverarbeitung,

Tabellenkalkulation, Präsentation) A4 Auftrags- und Kundenverwaltung A12 Internet-Zugang A5 Benutzerauthentisierung A13 Application Gateway A6 Systemmanagement A14 Filterfunktionalität A7 E-Mail, Terminkalender A15 TK-Vermittlung A8 Zentrale Dokumentenverwaltung A16 Faxen

In den folgenden Tabellen sind die Anwendungen den Servern, Clients, Netz- und Tele-kommunikationskomponenten zugeordnet, die für deren Ausführung erforderlich sind. Zusätzlich ist für jede IT-Anwendung vermerkt, ob sie personenbezogene Daten verarbeitet oder nicht.

Seite 13


3.3.1 Zuordnung der Anwendungen zu den Servern

Nr. Beschreibung Pers.-bez. Daten

S1 S2 S3 S4 S5 S6

A1 Personaldatenverarbeitung X X

A2 Reisekostenabrechnung X X

A3 Finanzbuchhaltung X X

A4 Auftrags- und Kundenverwaltung X X

A5 Benutzerauthentisierung X X X

A6 Systemmanagement X X

A7 E-Mail, Terminkalender X X

A8 Zentrale Dokumentenverwaltung X X

A9 Druckservice BG X

A10 Druckservice Beuel X

A11 Office-Anwendungen (Textverarbeitung, Tabellenkalkulation, Präsentation)

A12 Internet-Zugang

A13 Application Gateway

A14 Filterfunktionalität

A15 TK-Vermittlung

A16 Faxen

3.3.2 Zuordnung der Anwendungen zu den Clients


C1 C2 C3 C4 C5 C6 C7 C8 C9

A1 Personaldatenverarbeitung X X X



A4 Auftrags- und Kundenverwaltung X X X X X X

A5 Benutzerauthentisierung X

A6 Systemmanagement X

A7 E-Mail, Terminkalender X X X X X X X X X X

A8 Zentrale Dokumentenverwaltung X X

Seite 14


Nr. Beschreibung Pers.-bez. C1 C2 C3 C4 C5 C6 C7 C8 C9 Daten

A9 Druckservice BG X X X X X


A11 Office-Anwendungen (Textverarbeitung, Tabellen-kalkulation, Präsentation)

X X X X X X X X

A12 Internet-Zugang X X X X X X X X X


A14 Filterfunktionalität

A15 TK-Vermittlung

A16 Faxen X

3.3.3 Zuordnung der Anwendungen zu den Netz- und Telekommunikationskomponenten


N1 N2 N3 N4 N5 N6 N7 T1 T2 T3

A1 Personaldatenverarbeitung X X



A4 Auftrags- und Kundenverwaltung X X X X X

A5 Benutzerauthentisierung X X X X X X

A6 Systemmanagement X X X X X

A7 E-Mail, Terminkalender X X X X X X X X

A8 Zentrale Dokumentenverwaltung X X X X

A9 Druckservice BG X


A11 Office-Anwendungen (Textverarbeitung, Tabellen-kalkulation, Präsentation)

A12 Internet-Zugang X X X X X X X

A13 Application Gateway X

A14 Filterfunktionalität X

A15 TK-Vermittlung X X

A16 Faxen X

Seite 15


4 Schutzbedarfsfeststellung Wie viel Schutz benötigen die Informationstechnik und die durch diese unterstützten Anwendungen? Wie kommt man zu begründeten und nachvollziehbaren Einschätzungen des Schutzbedarfs? Welche Komponenten der Informationstechnik benötigen mehr Sicherheit, bei welchen genügen elementare Schutzmaßnahmen?

Ziel der Schutzbedarfsfeststellung ist es, diese Fragen zu klären und damit die Auswahl angemessener Sicherheitsmaßnahmen für die verschiedenen Komponenten der Informationstechnik (Systeme, Anwendungen, Räume, Kommunikationsverbindungen) zu unterstützen.

Zur Schutzbedarfsfeststellung gehören die folgenden Aktivitäten:

1. die auf Ihre Organisation zugeschnittene Definition von Schutzbedarfskategorien (z. B. „normal“, „hoch“, „sehr hoch“),

2. die Schutzbedarfsfeststellung der in der IT-Strukturanalyse erfassten Anwendungen mit Hilfe der festgelegten Kategorien,

3. die Ableitung des Schutzbedarfs der IT-Systeme aus dem Schutzbedarf der Anwendungen,

4. daraus abgeleitet die Feststellung des Schutzbedarfs der Kommunikationsverbindungen und IT-genutzten Räume sowie

5. die Dokumentation und Auswertung der vorgenommenen Einschätzungen.

Weitere Informationen zur Schutzbedarfsfeststellung finden Sie in Kapitel 4.2 der Beschreibung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2).

4.1 Anpassung der Schutzbedarfskategorien Bei der RECPLAST GmbH wurden die Schutzbedarfskategorien vom zuständigen Sicherheits-managementteam folgendermaßen definiert und mit der Geschäftsführung abgestimmt:

Schutzbedarfskategorie normal: Ein möglicher Schaden hätte begrenzte, überschaubare Auswirkungen auf die RECPLAST GmbH:

• Bei Verstößen gegen Gesetze, Vorschriften oder Verträge drohen allenfalls geringfügige juristische Konsequenzen oder Konventionalstrafen.

• Beeinträchtigungen des informationellen Selbstbestimmungsrechts und der Missbrauch personenbezogener Daten hätten nur geringfügige Auswirkungen auf die davon Betroffenen und würden von diesen toleriert.

• Die persönliche Unversehrtheit wird nicht beeinträchtigt.

• Die Abläufe bei RECPLAST werden allenfalls unerheblich beeinträchtigt. Ausfallzeiten von mehr als 24 Stunden können hingenommen werden.

• Es droht kein Ansehensverlust bei Kunden und Geschäftspartnern.

• Der mögliche finanzielle Schaden ist kleiner als 50.000 Euro.

Schutzbedarfskategorie hoch: Ein möglicher Schaden hätte beträchtliche Auswirkungen auf die RECPLAST GmbH:

Seite 16


• Bei Verstößen gegen Gesetze, Vorschriften oder Verträge drohen schwerwiegende juristische Konsequenzen oder hohe Konventionalstrafen.

• Beeinträchtigungen des informationellen Selbstbestimmungsrechts und der Missbrauch per-sonenbezogener Daten hätten beträchtliche Auswirkungen auf die davon Betroffenen und würden von diesen nicht toleriert.


• Die Abläufe bei RECPLAST werden erheblich beeinträchtigt. Ausfallzeiten dürfen maximal 24 Stunden betragen.

• Das Ansehen des Unternehmens bei Kunden und Geschäftspartnern wird erheblich beeinträchtigt.

• Der mögliche finanzielle Schaden liegt zwischen 50.000 und 500.000 Euro.

Schutzbedarfskategorie sehr hoch: Ein möglicher Schaden hätte katastrophale Auswirkungen:

• Bei Verstößen gegen Gesetze, Vorschriften oder Verträge drohen juristische Konsequenzen oder Konventionalstrafen, die die Existenz des Unternehmens gefährden.

• Beeinträchtigungen des informationellen Selbstbestimmungsrechts und der Missbrauch per-sonenbezogener Daten hätten ruinöse Auswirkungen auf die gesellschaftliche oder wirtschaftliche Stellung der davon Betroffenen.


• Die Abläufe bei RECPLAST werden so stark beeinträchtigt, dass Ausfallzeiten, die über 2 Stunden hinausgehen, nicht toleriert werden können.

• Das Ansehen des Unternehmens bei Kunden und Geschäftspartnern wird grundlegend und nachhaltig beschädigt.

• Der mögliche finanzielle Schaden liegt über 500.000 Euro.

4.2 Schutzbedarfsfeststellung der IT-Anwendungen Bei der Schutzbedarfsfeststellung der IT-Anwendungen ist für alle in der IT-Strukturanalyse erfassten Anwendungen und differenziert nach den drei Grundwerten Vertraulichkeit, Integrität und Verfügbarkeit eine Zuordnung zu den zuvor festgelegten Schutzbedarfskategorien vorzunehmen.

Die folgende Tabelle zeigt, welche Zuordnungen bei der RECPLAST GmbH vorgenommen wurden:

Seite 17


IT-Anwendung Schutzbedarfsfeststellung

Nr. Bezeichnung Pers.-bez. Daten

Grundwert Schutz-bedarf

Begründung

Vertraulichkeit hoch Personaldaten sind besonders schutzbedürftige Daten, deren Bekanntwerden die Betroffenen erheblich beeinträchtigen kann.

Integrität normal Fehler werden rasch erkannt und können entweder aus der Datensicherung eingespielt oder durch Eingabe korrigiert werden.

A1 Personaldaten-verarbeitung

X

Verfügbarkeit normal Ausfälle bis zu einer Woche können mit manuellen Verfahren überbrückt werden.

Vertraulichkeit hoch Auch Reisekostendaten sind personenbezogene Daten und damit schützenswert.

Integrität normal Fehler werden rasch erkannt und können nachträglich korrigiert werden.

A2 Reisekosten-abrechnung

X

Verfügbarkeit normal Ausfälle können mittels manueller Verfahren überbrückt werden.

X Vertraulichkeit hoch Es werden vertrauliche Finanzdaten des Unternehmens verarbeitet, deren Bekanntwerden dem Unternehmen u. U. hohen finanziellen Schaden und Ansehensverlust zufügen kann.

Integrität hoch Alle Finanzdispositionen setzen korrekte Daten voraus. Bei falschen Daten sind finanzielle Schäden über 50.000 EURO möglich.

A3 Finanz-buchhaltung

Verfügbarkeit normal Ein Ausfall bis zu drei Tagen kann (mit zumutbarem Mehraufwand) manuell überbrückt werden.

Vertraulichkeit hoch Es werden personenbezogene Daten verarbeitet, deren Bekanntwerden dem Unternehmen großen Schaden zufügen kann (z. B. besondere Kundenkonditionen).

Integrität hoch Falls Mengen- oder Preisangaben verändert werden, kann dem Unternehmen großer Schaden entstehen, der leicht 100.000 Euro überschreiten kann und zu großem Ansehensverlust führen kann.

A4 Auftrags- und Kunden-verwaltung

X

Verfügbarkeit hoch Da mit dieser Anwendung alle Funktionen vom Einkauf über die Bestellabwicklung und das Schreiben der Lieferscheine, bis hin zum Lagerbestand abgedeckt werden, kann ein Ausfall höchstens bis zu 24 Stunden manuell überbrückt werden.

Vertraulichkeit normal Die Passwörter sind verschlüsselt gespeichert und damit praktisch nicht zugänglich.

Integrität hoch Der hohe Schutzbedarf ergibt sich daraus, dass sich alle Mitarbeiter hierüber identifizieren.

A5 Benutzer-authentisierung

Verfügbarkeit hoch Bei Ausfall dieser Anwendung sind keine Identifizierung und damit keine Ausführung von IT-Verfahren möglich. Ein Ausfall ist allenfalls bis zu 24 Stunden tolerabel.

Seite 18



Nr. Bezeichnung Pers.-bez. Grundwert Schutz- Begründung Daten bedarf

Vertraulichkeit normal Es werden keine vertraulichen Daten erzeugt oder gespeichert.

Integrität hoch Fehler in den Konfigurationsdateien können alle Rechner und insbesondere auch die Sicherheitseinstellungen betreffen.

A6 System-management

Verfügbarkeit normal Bei Ausfall der Anwendung können Administration und Konfiguration an den einzelnen Rechnern durchgeführt werden. Ein Ausfall ist daher kurzzeitig vertretbar.

Vertraulichkeit hoch Es existiert eine Organisationsvereinbarung, die es verbietet, vertrauliche Daten (z. B. Personaldaten zu versenden. Da aber immer häufiger Kunden per E-Mail bestellen oder Konditionen erfragen, ist der Schutzbedarf hoch.

Integrität hoch Kundenanfragen oder Bestellungen müssen gegen fehlerhafte Daten geschützt werden.

A7 E-Mail, Terminkalender

Verfügbarkeit hoch Sowohl die interne Kommunikation als auch ein großer Teil der Kommunikation mit Kunden erfolgt über E-Mail. Ein Ausfall führt zu hohem Ansehensverlust und evtl. zum Verlust von Bestellungen. Ein Ausfall ist daher höchstens für 24 Stunden akzeptabel.

Vertraulichkeit normal Die Dokumentenvorlage und auch die hier gespeicherten Dokumente sind nicht vertraulich. Sie werden zum Teil sogar öffentlich gemacht.

Integrität normal Fehler werden in der Regel schnell erkannt und können nachträglich bereinigt werden.

A8 Zentrale Dokumenten-verwaltung

Verfügbarkeit normal Bei Ausfall der Anwendung können die Vorlagen manuell erstellt werden. Dokumente werden auf den Arbeitsplatzrechnern gespeichert und können bei Verfügbarkeit gespeichert werden.

Vertraulichkeit normal Es werden keine vertraulichen Daten verarbeitet. Abtei-lungen, die vertrauliche oder personenbezogene Daten ausdrucken, sind mit Arbeitsplatzdruckern ausgestattet.

Integrität normal Wenn Daten fehlerhaft ausgedruckt werden, kann dies leicht festgestellt werden.

A9 Druckservice für den Standort Bad Godesberg

Verfügbarkeit normal Da an wichtigen Arbeitsplätzen lokale Drucker vorhanden sind, kann ein Ausfall bis zu drei Tagen hingenommen werden.

Seite 19




Vertraulichkeit normal Es werden in der Hauptsache Lieferscheine und Lagerbestände gedruckt, die keine vertraulichen Angaben enthalten.

Integrität normal Falsch ausgedruckte Daten werden leicht erkannt und können korrigiert werden.

A10 Druckservice für den Beueler Standort

Verfügbarkeit normal Da noch ein weiterer Arbeitsplatzdrucker vorhanden ist, können Daten bei Ausfall der Anwendung darüber ausgedruckt werden.

Vertraulichkeit normal Es werden keine vertraulichen Daten verarbeitet.

Integrität normal Fehlerhafte Daten können leicht erkannt und korrigiert werden. es sind keine finanzielle Schäden zu erwarten.

A11 Office-Anwendungen

Verfügbarkeit normal Der Ausfall auf einem Client ist bis zu einer Woche hinnehmbar. Ersatzweise kann auf einem Laptop weitergearbeitet werden.

Vertraulichkeit normal Es werden keine vertraulichen Daten verarbeitet.

Integrität normal Fehlerhafte Daten können in der Regel leicht erkannt werden.

A12 Internet-Zugang

Verfügbarkeit hoch Die Recherche im Internet ist für einige Abteilungen wichtig (insbesondere die Einkaufsabteilung). Ein Ausfall ist höchstens 24 Stunden hinnehmbar.

Vertraulichkeit normal Über das System werden keine vertraulichen Daten geleitet.

Integrität hoch An die Integrität der Konfigurations- und Betriebssystemdateien sind hohe Anforderungen zu stellen, um Netzeinbrüche auszuschließen. Bei Netzeinbrüchen können vertrauliche Daten kompromittiert werden.


Verfügbarkeit hoch E-Mail und Internet-Recherche sind wesentliche Bestandteile der Tätigkeit der Fachabteilungen. Ein Ausfall der Anwendung ist allenfalls für 24 Stunden tolerabel.

Vertraulichkeit normal Über diese Anwendungen werden keine vertraulichen Daten geleitet.

Integrität hoch An die Integrität der Konfigurations- und Routing-Tabellen sind hohe Anforderungen zu stellen, da ansons-ten Netzeinbrüche möglich werden, die dazu führen können, dass vertrauliche Daten kompromittiert werden.

A14 Filter-funktionalität

Verfügbarkeit hoch E-Mail und Recherche im Internet sind wesentliche Bestandteile der Arbeit der Fachabteilung. Ein Ausfall ist höchstens für 24 Stunden hinnehmbar.

Seite 20




Vertraulichkeit normal Die Betroffenen werden nur unerheblich beeinträchtigt, wenn die Daten bekannt werden.

Integrität normal Fehler in der Konfigurationsdatei können leicht erkannt und korrigiert werden. Evtl. Schäden aufgrund fehlerhafter Gebührenerfassung liegen unter 500 Euro.

A15 TK-Vermittlung

Verfügbarkeit hoch Die TK-Anlage ist ein wesentliches Kommuni-kationsmittel mit den Kunden. Ein Ausfall würde die Arbeit erheblich beeinträchtigen und zu einem wesentlichen Ansehensverlust führen.

Vertraulichkeit hoch Über die Faxgeräte werden Kunden Angebote und Konditionen unterbreitet. Diese sollten nur den Betroffenen bekannt werden.

Integrität normal Veränderungen an den übermittelten Daten können in der Regel leicht erkannt werden oder führen zu Rückfragen.

A16 Faxen

Verfügbarkeit normal Da mehrere Faxgeräte in der Verwaltung vorhanden sind, führt der Ausfall eines Faxgeräts nur zu einer minimalen Einschränkung. Bei Ausfall in den Vertriebsbüros oder der Produktionsstätte kann per Telefon oder E-Mail kommuniziert werden.

4.3 Schutzbedarfsfeststellung der IT-Systeme Der Schutzbedarf eines IT-Systems hängt im Wesentlichen von dem Schutzbedarf derjenigen Anwen-dungen ab, für deren Ausführung es benötigt wird. Der Schutzbedarf der Anwendung vererbt sich auf den Schutzbedarf des IT-Systems. Bei der Vererbung lassen sich folgende Fälle unterscheiden:

• In vielen Fällen lässt sich der höchste Schutzbedarf aller Anwendungen, die das IT-System benötigen, übernehmen (Maximumprinzip).

• Der Schutzbedarf des IT-Systems kann höher sein als der Schutzbedarf der einzelnen Anwendungen (Kumulationseffekt). Dies ist z. B. dann der Fall, wenn auf einem Server mehrere Anwendungen mit mittlerem Schutzbedarf in Betrieb sind. Der Ausfall einer dieser Anwendungen könnte überbrückt werden. Wenn aber alle Anwendungen gleichzeitig ausfallen würden, dann kann ein hoher Schaden entstehen.

• Der Schutzbedarf kann niedriger sein als der Schutzbedarf der zugeordneten Anwendungen, wenn eine Anwendung mit hohem Schutzbedarf auf mehrere Systeme verteilt ist, und auf dem betreffenden IT-System nur weniger wichtige Teile dieser Anwendung ausgeführt werden (Verteilungseffekt). Bei Anwendungen, die personenbezogene Daten verarbeiten, sind z. B. Komponenten weniger kritisch, in denen die Daten nur in pseudonymisierter oder aggregierter Form verwendet werden.

Auch der Schutzbedarf für die IT-Systeme sollte für jeden der drei Grundwerte (Vertraulichkeit, Integrität und Verfügbarkeit) festgelegt und anschließend z. B. tabellarisch dokumentiert werden.

Die folgenden Tabellen enthalten die Schutzbedarfsfeststellung für die Server, Clients, Netz- und Telekommunikationskomponenten der RECPLAST GmbH.

Seite 21


Schutzbedarf Server

IT-System Schutzbedarfsfeststellung

Nr. Beschreibung Grundwert Schutz-bedarf

Begründung

Vertraulichkeit normal Maximumprinzip gemäß Anwendung A5 (Benutzerauthentisierung)

Integrität hoch Maximumprinzip gemäß Anwendung A5 (Benutzerauthentisierung)

S1 Domänen-Controller BG

Verfügbarkeit normal Gemäß Anwendung A5 (Benutzerauthentisierung) ist der Schutz-bedarf hoch. Da jedoch in Beuel ein zweiter Domänencontroller (S6) steht, ist eine Anmeldung auch für Benutzer aus Godesberg über diesen Rechner möglich. Ein Ausfall bis zu drei Tagen ist hinnehmbar (Verteilungseffekt).

Vertraulichkeit hoch Maximumprinzip gemäß Anwendung A7 (E-Mail)

Integrität hoch Maximumprinzip gemäß Anwendung A7 (E-Mail)

S2 Interner Kommuni-kationsserver

Verfügbarkeit hoch Maximumprinzip gemäß Anwendung A7 (E-Mail)

Vertraulichkeit normal Maximumprinzip gemäß Anwendung A9

Integrität normal Maximumprinzip gemäß Anwendung A9

S3 Datei- und Druckserver BG

Verfügbarkeit normal Maximumprinzip gemäß Anwendung A9

Vertraulichkeit hoch Maximumprinzip. Die Standardanwendung „Auftrags- und Kundenverwaltung“ (A4) hat hohen Schutzbedarf.

Integrität hoch Maximumprinzip. Die Standardanwendung „Auftrags- und Kundenverwaltung“ (A4) hat hohen Schutzbedarf.

S4 Server für Kunden- und Auftrags-bearbeitung

Verfügbarkeit hoch Maximumprinzip. Die Standardanwendung „Auftrags- und Kundenverwaltung“ (A4) hat hohen Schutzbedarf.

Vertraulichkeit hoch Maximumprinzip, da hohe Vertraulichkeit bei Anwendungen A1 (Personaldatenverarbeitung) und A3 (Finanzbuchhaltung)

Integrität normal Maximumprinzip von Anwendung A3 (Finanzbuchhaltung)

S5 DB-Server Finanzbuch-haltung

Verfügbarkeit normal Ausfälle können mittels manueller Verfahren überbrückt werden.

Vertraulichkeit normal Maximumprinzip von A5 und A10

Integrität normal Maximumprinzip von A5 und A10

S6 Server Beuel

Verfügbarkeit normal Gemäß Anwendung A5 ist der Schutzbedarf hoch. Da die Mitarbeiter in Beuel sich aber auch über den zweiten Domänencontroller (S1) in Bad Godesberg identifizieren und anmelden können, ist ein Ausfall bis zu drei Tagen tolerierbar.

Seite 22


Schutzbedarf Clients



Begründung

Vertraulichkeit hoch Maximumprinzip von Anwendung A3

Integrität normal Maximumprinzip von Anwendung A3

C1 Clients in der Finanzbuch-haltung

Verfügbarkeit normal Bei Ausfall eines Clients kann die Aufgabe an einem anderen Client wahrgenommen werden oder kurzfristig ein Laptop zur Verfügung gestellt werden.

Vertraulichkeit hoch Es werden personenbezogene Daten verarbeitet. Maximumprinzip von Anwendung A1

Integrität normal Auf den PCs werden keine wichtigen Daten gespeichert.

C2 Clients der Geschäfts-führung

Verfügbarkeit normal Der Ausfall eines Rechners kann bis zu drei Tagen toleriert werden. Ein Laptop steht als Reserve bereit.

Vertraulichkeit hoch Es werden personenbezogene Daten verarbeitet.

Integrität normal Auf dem PC werden keine wichtigen Daten gespeichert.

C3 Clients in der Personal-abteilung

Verfügbarkeit normal Ein Ausfall bis zu drei Tagen kann toleriert werden. Ein Laptop steht als Ersatz zur Verfügung.

Vertraulichkeit normal Es werden keine personenbezogenen Daten verarbeitet. Auf den System- und Netzmanagement-Server kann nur mit Passwort zugegriffen werden.

Integrität normal Es werden keine wichtigen Daten auf dem PC gespeichert.

C4 Clients in der Informations-technik

Verfügbarkeit normal Bei Ausfall eines PCs kann kurzfristig ein Laptop zur Verfügung gestellt werden.

Vertraulichkeit hoch Maximumprinzip von Anwendung A4

Integrität hoch Maximumprinzip von Anwendung A4

C5 Clients für die Kunden- und Auftragsbearbeitung im Ein-kauf, Marketing und Vertrieb

Verfügbarkeit normal Bei Ausfall eines Clients kann die Aufgabe an einem anderen Client wahrgenommen oder kurzfristig ein Laptop zur Verfügung gestellt werden.

Vertraulichkeit hoch Da auch auf Kundendaten zugegriffen wird, ist die Vertraulichkeit als hoch zu bewerten.

Integrität normal Auf den PCs werden keine wichtigen Daten gespeichert.

C6 Clients in Beuel für Fertigung und Lager

Verfügbarkeit normal Bei Ausfall eines Clients kann die Aufgabe an einem anderen Client wahrgenommen werden oder kurzfristig ein Laptop zur Verfügung gestellt werden.

Seite 23



Nr. Beschreibung Grundwert Schutz- Begründung bedarf

Vertraulichkeit sehr hoch Auf den Rechnern befinden sich Konstruktionspläne und unter Um-ständen kundenspezifische Entwicklungen und Verfahrensbeschrei-bungen, die z. B. vor Wirtschaftsspionage und damit möglichen gravierenden wirtschaftlichen Folgen für die Firma zu schützen sind.

Integrität normal Fehler werden in der Regel schnell und leicht erkannt.

C7 Clients in der Entwicklungs-abteilung

Verfügbarkeit normal Bei Ausfall eines Rechners kann auf den anderen Rechnern weiter gearbeitet werden. Ein Laptop kann als Ersatzrechner zur Verfügung gestellt werden.

Vertraulichkeit hoch Da auch auf Kundendaten zugegriffen wird, ist die Vertraulichkeit als hoch zu bewerten.

Integrität normal Fehler werden in der Regel leicht erkannt. Die Daten können dann neu aus der Kundendatenbank herunter geladen werden.

C8 Clients in den Vertriebsbüros

Verfügbarkeit normal Bei Ausfall des Rechners kann ersatzweise mit dem Laptop gearbei-tet werden. Ein Ausfall bis zu 8 Tagen erscheint tolerierbar.

Vertraulichkeit hoch Da auf den Laptops der Außendienstmitarbeiter (Vertrieb) auch Kundendaten und Konditionen gespeichert sind, ist die Vertraulichkeit hoch.

Integrität normal Fehler in den Kundendaten werden in der Regel schnell bemerkt. Die Daten können dann aus der Kundendatenbank neu auf den Laptop geladen werden.

C9 Laptops

Verfügbarkeit normal In Bad Godesberg steht ein Laptop als Ersatzrechner. Die Daten können auf diesen Rechner überspielt werden. In den Vertriebsbüros ist ein Ausfall bis zu 72 Stunden tolerierbar. Der Vertrieb kann sich dann vor Kundenbesuch Listen ausdrucken.

4.3.3 Schutzbedarf Netzkomponenten



Begründung

N1 Router zum Internet

Vertraulichkeit normal Es werden keine vertraulichen Daten übermittelt. Vertrauliche E-Mails werden vorher verschlüsselt.

Integrität hoch Durch Fehler in der Konfiguration können Sicherheitseinstellungen beeinträchtigt werden und E-Mails an einen falschen Adressaten weitergeleitet werden.

Verfügbarkeit hoch Maximumprinzip von Anwendung A7 und A12

Seite 24



Nr. Beschreibung Grundwert Schutz- Begründung bedarf

Vertraulichkeit normal Es laufen keine vertraulichen Daten unverschlüsselt über die Firewall.

Integrität hoch Von der korrekten Konfiguration hängt die Sicherheit des internen Netzes und aller angeschlossenen IT-Geräte ab.

N2 Firewall

Verfügbarkeit hoch Bei Ausfall muss die gesamte Verbindung zum Internet, einschließ-lich E-Mail unterbrochen werden. Dies ist nur bis zu 24 Stunden tolerabel.

Vertraulichkeit normal Über dieses System fließen keine vertraulichen Daten.

Integrität normal Fehler in den übertragenen Daten werden leicht erkannt und korrigiert.

N3 Zentraler Switch

Verfügbarkeit hoch Bei einem Ausfall des Switches ist ein IT-gestütztes Arbeiten nicht mehr möglich, da kein Zugriff zu den Servern mit den Daten besteht. Ein Ausfall ist höchstens 3 Stunden tolerierbar.

Vertraulichkeit hoch Über diesen Switch sind die Clients in der Personalverwaltung mit dem Server S5 verbunden. Über diese Netzkomponente fließen vertrauliche Personaldaten. Daher ist der Schutzbedarf hoch.

Integrität normal Fehlerhafte Daten werden leicht erkannt und können korrigiert werden.

N4 Switch für Personalbereich

Verfügbarkeit normal Ausfälle bis zu 5 Arbeitstagen können die Mitarbeiter mit manuellen Verfahren überbrücken, ohne dass beträchtliche Schadensauswirkun-gen entstehen.

Vertraulichkeit normal Es werden keine vertraulichen Daten gespeichert.

Integrität normal Bei Fehlern in der Konfigurationsdatei ist die gesamte interne Kommunikation gestört. Diese Fehler können aber leicht erkannt und korrigiert werden.

N5 Router zur Beuel-Anbindung

Verfügbarkeit hoch Maximumprinzip lt. Anwendung A4. Ein Ausfall erscheint höchstens bis zu 24 Stunden tolerabel.

Vertraulichkeit normal Es werden keine vertraulichen Daten gespeichert.

Integrität normal Bei Fehlern in der Konfigurationsdatei ist die gesamte interne Kommunikation gestört. Diese Fehler können aber leicht erkannt und korrigiert werden.

N6 Router zur Anbindung nach Bad Godesberg

Verfügbarkeit hoch Maximumprinzip lt. Anwendung A4. Ein Ausfall erscheint höchstens bis zu 24 Stunden tolerabel.

Vertraulichkeit normal Alle Anforderungen der Schadenskategorie niedrig treffen zu. Insbe-sondere fließen keine vertraulichen Daten über diese Komponente.

Integrität normal Fehler können leicht erkannt und korrigiert werden.

N7 Switch in Beuel

Verfügbarkeit hoch Bei Ausfall des Switches können die Mitarbeiter aus Beuel nicht mehr auf die Kunden-, Auftrags-, Lager- und Materialdaten zugreifen und aktualisieren. Ein Ausfall ist höchstens bis zu 3 Stunden tolerierbar.

Seite 25


4.3.4 Schutzbedarf Telekommunikationskomponenten

Komponente Schutzbedarfsfeststellung


Begründung



T1 TK-Anlage Bad Godesberg

Verfügbarkeit hoch Maximumprinzip gemäß Anwendung A15



T2 TK-Anlage Beuel

Verfügbarkeit hoch Maximumprinzip gemäß Anwendung A15

Vertraulichkeit hoch Maximumprinzip gemäß Anwendung A16.


T3 Faxgeräte

Verfügbarkeit normal Bei Ausfall eines Faxgeräts stehen weitere Faxgeräte zur Verfügung. Ein Ausfall eines Geräts führt nur zu minimalen Einschränkungen.

4.4 Schutzbedarf der Kommunikationsverbindungen Im nächsten Arbeitsschritt geht es darum, den Schutzbedarf für die Kommunikationsverbindungen feststellen. Es gibt Verbindungen, die gefährdeter sind als andere und durch doppelte Auslegung oder durch besondere Maßnahmen gegen Angriffe von außen oder innen geschützt werden müssen.

Als kritische Verbindungen gelten:

• Verbindungen, die aus dem Unternehmen in ein öffentliches Netz (z. B. Telefonnetz, Internet) oder über ein öffentliches Gelände reichen. Über solche Verbindungen können Computer-Viren und trojanische Pferde in das Unternehmensnetz eingeschleust werden, Unternehmens-Server an-gegriffen werden oder Mitarbeiter vertrauliche Daten an Nichtbefugte weiterleiten.

• Verbindungen, über die besonders schützenswerte Informationen übertragen werden. Mögliche Gefährdungen sind Abhören, vorsätzliche Manipulation und betrügerischer Missbrauch. Vom Ausfall solcher Verbindungen sind Anwendungen, für die eine hohe Verfügbarkeit erforderlich ist, besonders betroffen.

• Verbindungen, über die vertrauliche Informationen überhaupt nicht übertragen werden dürfen. Personaldaten dürfen zum Beispiel nur von Mitarbeitern der Personalabteilung und der Geschäftsführung eingesehen und bearbeitet werden. Daher muss verhindert werden, dass diese Daten bei ihrer Übertragung von unbefugten Mitarbeitern eingesehen werden können.

Nachfolgend sehen Sie nochmals den bereinigten Netzplan RECPLAST GmbH. Die kritischen Verbindungen sind hervorgehoben (siehe Abbildung 4).

Seite 26


Internet


S6: Domänen-Controller, Datei-u. Druckserver

Betrieb Bonn-Beuel

N7: Switch

T2: TK-Anlage

Standleitung

VP

N

N6: Router

C5: 14 ClientsEinkauf/Marketing/

Vertrieb

S1: Domänen-Controller

S2: Komm.-Server(Exchange)

S3: Datei- undDruckserver

S4: DB-ServerKunden- und

Auftragsbearb.

N5: Router

S5: DB-ServerFibu

C2: 3 ClientsGeschäfts-

führung

C1: 5 ClientsLohn/Fibu

T1: TK-Anlage

N4: Switch

N1: RouterN2: Firewall

C9: 8 Laptops

Vertriebsbüros

C8: 3 ClientsVertriebsbüros

N3: Switch

C6: 12 ClientsFertigung/Lager

C7: 6 ClientsEntwicklung

C3: 4 ClientsPersonal

C4: 4ClientsIT

T3: 8 Faxgeräte

Server und Clients werden einheitlich mit dem Betriebssystem Windows 2000 betrieben

1

1 4, 5 41

4, 5

4

2

2

2

2

2

2

Abbildung 4: Kritische Kommunikationsverbindungen der RECPLAST GmbH

Die kritischen Verbindungen sind zusätzlich mit Ziffern versehen, die als Kürzel für die Begrün-dungen dafür eingesetzt sind, warum eine Verbindung jeweils als kritisch eingestuft ist. Die Auflösung der Kürzel finden Sie in den Spaltenüberschriften der folgenden Tabelle:

Beschreibung der Verbindung

Kritisch aufgrund Nicht übertragen werden dürfen Informationen mit

Nr. Beschreibung 1

Außen-verbindung

2 hoher Ver-traulichkeit

3 hoher

Integrität

4 hoher Ver-fügbarkeit

5 hoher Ver-traulichkeit

6 hoher

Integrität

7 hoher Ver-fügbarkeit

V1 N1 <-> Internet X X

V2 N5 <-> N6 X

V3 S5 <-> N4 X

V4 S2<-> N3 X

V5 N1<->N2 X X

V6 N2<->N3 X

Seite 27


Beschreibung der Kritisch aufgrund Nicht übertragen werden dürfen Verbindung Informationen mit

1 2 3 4 5 6 7 Nr. Beschreibung Außen- hoher Ver- hoher hoher Ver- hoher Ver- hoher hoher Ver-

verbindung traulichkeit Integrität fügbarkeit traulichkeit Integrität fügbarkeit

V7 N4 <-> N3 X X

V8 S4<->N3 X

V9 N3<->C5 X

V10 C1<->N4 X

V11 C2<->N4 X

V12 C3<->N4 X

V13 C8<->Internet X

Die folgende Tabelle enthält die Begründungen dafür, dass die genannten Verbindungen als kritisch eingestuft wurden:

Nr. Begründung

V1 Alle Verbindungen nach außen sind als kritisch anzusehen.

V2 Dies ist eine Verbindung nach außen und deshalb kritisch

V3 Die übertragenen Daten sind vertraulich und die Anwendungen, deren Daten über diese Verbindungen übertragen werden, haben einen hohen Schutzbedarf an Vertraulichkeit.

V4 Der Kommunikationsserver S3 weist hohen Schutzbedarf in Bezug auf Verfügbarkeit auf und es ist keine redundante Verbindung vorhanden. Den Schutzbedarf für die Grundwerte Vertraulichkeit und Verfügbarkeit erbt die Verbindung nicht, da die schutzbedürftigen Daten hauptsächlich durch Außenangriffe gefährdet werden können.

V5 Die Verbindung erbt den hohen Schutzbedarf für den Grundwert „Verfügbarkeit“ vom System N1. Sie ist außerdem kritisch, da verhindert werden muss, dass aus dem Internet unkontrolliert auf das interne Netz zugegriffen wird.

V6 Die Verbindung erbt den hohen Schutzbedarf vom System N2 (Firewall).

V7 Die Kommunikationsverbindung ist kritisch, da hierüber keine vertraulichen Daten vom Server S2 in das hinter dem Switch N4 liegende Netz übertragen werden dürfen.

V8 Die Verbindung erbt den hohen Schutzbedarf der Systeme S4 und N3, da zum einen vertrauliche Daten übermittelt werden, zum anderen keine redundante Verbindung vorhanden ist, um die Verfügbarkeit bei Ausfall der Verbindung zu sichern.

V9 Die Verbindung ist kritisch, da vertrauliche Kundendaten übermittelt werden.

V10

V11

V12

Diese Verbindungen sind kritisch, da vertrauliche Kundendaten übermittelt werden.

V13 Die Verbindung ist kritisch, da es eine Außenverbindung über das Internet ist.

Seite 28


4.5 Schutzbedarfsfeststellung der IT-genutzten Räume Bei der Schutzbedarfsfeststellung für Räume werden sowohl Räume berücksichtigt,

• die zum Betrieb von IT-Systemen dienen (z. B. Serverräume, Räume für eine TK-Anlage und andere Räume mit technischer Infrastruktur), als auch solche,

• in denen IT-Systeme genutzt werden (z. B. Büroräume).

Der Schutzbedarf eines Raumes bemisst sich nach dem Schutzbedarf der IT-Systeme, die sich in die-sem Raum befinden. Auch hier können Sie (wie schon bei der Schutzbedarfsfeststellung der IT-Sys-teme) wieder im Allgemeinen das Maximumprinzip anwenden. Befinden sich jedoch in einem Raum mehrere Systeme, dann kann sich für den Raum ein höherer Schutzbedarf als für jedes einzelne IT-System ergeben (Kumulationseffekt). Dies gilt z. B. für Serverräume.

Die folgende Tabelle zeigt das Ergebnis der Schutzbedarfsfeststellung für die IT-genutzten Räume bei der RECPLAST GmbH. Der Schutzbedarf der Räume wird hier festgelegt nach dem jeweils höchsten Schutzbedarf der darin befindlichen IT-Systeme (Maximumprinzip).

Raum IT Schutzbedarf

Bezeichnung Art Lokation Installierte IT Vertraulichkeit Integrität Verfügbarkeit

BG, R. 1.01

Technikraum Verwaltungs-gebäude

TK-Anlage T1 normal normal hoch

BG, R. 1.02

Serverraum Verwaltungs-gebäude

S1 bis S5 N1 bis N5

hoch hoch hoch

BG, R. 1.03 – 1.06

Büroräume Verwaltungs-gebäude

C4 hoch normal normal

BG, R. 1.07 – 1.09



BG, R. 1.10 – 1.13



BG, R. 2.03 – 2.09


C5, einige mit Faxgeräten

hoch normal normal

BG, R. 2.10 – 2.12



Beuel, R. 2.01

Serverraum Produktions-halle

S6, N6, N7 normal normal normal

Beuel, R. 2.02

Technikraum Produktions-halle

TK-Anlage T2 normal normal hoch

Beuel, R. 2.10 – 2.13

Büroräume Produktions-halle

C6, einige mit Faxgeräten

hoch normal normal

Beuel, R. 2.14 – 2.20

Büroräume Produktions-halle

C7 sehr hoch normal normal

Seite 29


5 Modellierung gemäß IT-Grundschutz Ziel der Modellierung gemäß IT-Grundschutz ist es festzulegen, welche Bausteine der IT-Grundschutz-Kataloge auf welche Zielobjekte der Informationstechnik einer Organisation anzuwenden sind.

Das Ergebnis ist ein IT-Grundschutz-Modell, das für geplante IT als Entwicklungskonzept und für bestehende IT als Prüfplan verwendet werden kann.

Im Beispielunternehmen RECPLAST dient dieses Modell als Prüfplan für den Basis-Sicherheitscheck. Die nachfolgenden Tabellen zeigen die Dokumentation der bei RECPLAST vorgenommenen Modellierung.

Weitere Informationen zur Modellierung gemäß IT-Grundschutz finden Sie in Kapitel 4.3 der Beschreibung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2) sowie in Kapitel 2 der IT-Grundschutz-Kataloge.

5.1 Schicht 1: Übergreifende Aspekte

Baustein Zielobjekt Hinweise

B 1.0 IT-Sicherheitsmanagement Gesamte Organisation Gilt einheitlich für alle Betriebsteile.

B 1.1 Organisation Gesamte Organisation Gilt einheitlich für alle Betriebsteile.

B 1.2 Personal Gesamte Organisation Gilt einheitlich für alle Betriebsteile.

B 1.3 Notfallvorsorgekonzept Gesamte Organisation Gilt einheitlich für alle Betriebsteile.

B 1.4 Datensicherungskonzept Gesamte Organisation Gilt einheitlich für alle Betriebsteile.

B 1.6 Computer-Virenschutzkonzept Gesamte Organisation Gilt einheitlich für alle Betriebsteile.

B 1.7 Kryptokonzept Gesamte Organisation Gilt einheitlich für alle Betriebsteile.

B 1.8 Behandlung von Sicherheitsvorfällen Gesamte Organisation Einheitliches Konzept für alle Betriebsteile.

B 1.9 Hard- und Software-Management Gesamte Organisation Wird zentral von der IT festgelegt.

B 1.10 Standardsoftware Gesamte Organisation Gilt einheitlich für alle Betriebsteile.

B 1.12 Archivierung Gesamte Organisation Gilt für die Buchhaltungsabteilung.

B 1.13 IT-Sicherheitssensibilisierung und -schulung

Gesamte Organisation Gilt einheitlich für alle Betriebsteile

Seite 30


5.2 Schicht 2: Infrastruktur


B 2.1 Gebäude Verwaltungsgebäude

B 2.1 Gebäude Produktionshalle

Der Baustein Gebäude muss auf beide Gebäude getrennt angewendet werden.

B 2.2 Verkabelung Verwaltungsgebäude

B 2.2 Verkabelung Produktionshalle

Die Verkabelung muss für beide Gebäude gesondert betrachtet werden.

B 2.3 Büroraum Büroräume in Bad Godesberg

Da alle Räume denselben Standard haben, sollen als Stichprobe ein Raum der Geschäftsführung sowie ein einzeln und ein doppelt besetztes Mitarbeiterbüro untersucht werden.

B 2.3 Büroraum Büroräume in Beuel Als Stichprobe sollen jeweils ein Raum der Ent-wicklungsabteilung und ein Raum der Mitarbeiter aus Fertigung/Lager untersucht werden.

B 2.4 Serverraum Serverraum BG, R. 1.02

B 2.4 Serverraum Serverraum Beuel, R. 2.01

Der Baustein muss auf beide Serverräume getrennt angewendet werden.

B 2.6 Raum für technische Infrastruktur BG 1.01

B 2.6 Raum für technische Infrastruktur BN 2.02

In beiden Räumen ist die TK-Anlage unter-gebracht. Der Baustein muss auf jeden Raum getrennt angewendet werden.

B 2.8 Häuslicher Arbeitsplatz Vertriebsbüros Berlin, Hamburg und München

Die drei Vertriebsbüros zeichnen sich durch eine einheitliche IT-Ausstattung, übereinstimmende Aufgaben und Regelungen sowie einer identi-schen Zugangsmöglichkeit zum Firmennetz aus und sind daher in einer Gruppe zusammengefasst.

B 2.10 Mobiler Arbeitsplatz Vertrieb BG Die Vertriebsmitarbeiter benutzen ihre Laptops bei externen Kundenterminen

B 2.10 Mobiler Arbeitsplatz Vertriebsbüros Berlin, Hamburg und München

Die Vertriebsmitarbeiter benutzen ihre Laptops bei externen Kundenterminen

5.3 Schicht 3: IT-Systeme

Server


B 3.101 Allgemeiner Server S1






Dieser Baustein behandelt die Sicherheitsaspekte von Servern, die nicht betriebssystem-spezifisch sind. Die Server S1 bis S6 und die Firewall N2 sind unterschiedlich konfiguriert. Der Baustein wird daher auf jedes System getrennt angewendet.

Seite 31



B 3.101 Allgemeiner Server N2

B 3.106 Windows 2000 Server S1




Alle Server und die Firewall werden mit dem Betriebssystem Windows 2000 betrieben. Sie sind jedoch unterschiedlich konfiguriert. Daher wird der Baustein auf jedes dieser Gruppen von Clients gesondert angewendet, da diese unterschiedliche Sicherheitsanforderungen stellen.



B 3.106 Windows 2000 Server N2

Clients


B 3.201 Allgemeiner Client C1









Der Baustein behandelt die Eigenschaften von Clients, die nicht betriebssystemspezifisch sind. Er ist auf jede Gruppe von Clients anzuwenden, da diese jeweils besondere Sicherheits-anforderungen stellen.

B 3.203 Tragbarer PC C9 Die tragbaren PCs in den Vertriebsbüros, in Bad Godesberg und in Beuel werden von den Vertriebsmitarbeitern benutzt und sind in einer Gruppe zusammengefasst.

B 3.209 Windows 2000 Client C1 Ein Client aus der Finanzbuchhaltung wird als Stichprobe untersucht. Hier soll besonders darauf geachtet werden, dass die Rechner einen hohen Schutzbedarf für den Grundwert Vertraulichkeit haben.

B 3.209 Windows 2000 Client C2 Ein Client der Geschäftsführung wird untersucht. Hier soll besonders darauf geachtet werden, dass die Rechner einen hohen Schutzbedarf für den Grundwert Vertraulichkeit haben.

B 3.209 Windows 2000 Client C3 Ein Client aus der Personalabteilung wird unter-sucht. Hier soll besonders darauf geachtet wer-den, dass die Rechner einen hohen Schutzbedarf für den Grundwert Vertraulichkeit haben.

Seite 32



B 3.209 Windows 2000 Client C4 Ein Client aus der IT-Abteilung wird untersucht. Hier soll besonders darauf geachtet werden, dass die Rechner einen hohen Schutzbedarf für den Grundwert Vertraulichkeit haben.

B 3.209 Windows 2000 Client C5 Ein Client aus der Vertriebsabteilung wird untersucht. Hier soll besonders darauf geachtet werden, dass die Rechner einen hohen Schutz-bedarf für den Grundwert Vertraulichkeit haben.

B 3.209 Windows 2000 Client C6 Ein Client aus der Fertigungsabteilung in Beuel wird untersucht. Hier soll besonders darauf ge-achtet werden, dass die Rechner einen hohen Schutzbedarf für den Grundwert Vertraulichkeit haben.

B 3.209 Windows 2000 Client C7 Ein Client aus der Entwicklungsabteilung wird als Stichprobe untersucht.

B 3.209 Windows 2000 Client C8 Ein Client aus den Vertriebsbüros wird unter-sucht. Die Clients in den Vertriebsbüros sind gleich konfiguriert. Der hohe Schutzbedarf dieser Rechner für den Grundwert Vertraulichkeit muss besonders berücksichtigt werden.

B 3.209 Windows 2000 Client C9 Hier werden die betriebssystemspezifischen Aspekte des gleichen Rechners wie beim Baustein B 3.203 Tragbarer PC untersucht.

Netzkomponenten


B 3.301 Sicherheitsgateway (Firewall) N2

B 3.302 Router und Switches N1






Der Baustein wird auf die jede einzelne Netz-komponente gesondert angewendet, da diese IT-Systeme sich an unterschiedlichen Standorten befinden, unterschiedliche Aufgaben erfüllen und damit unterschiedliche Sicherheitsanforderungen erfüllen müssen.

Sonstige IT-Systeme


B 3.401 TK-Anlage T1 (Bad Godesberg)

B 3.401 TK-Anlage T2 (Beuel)

Beide TK-Anlagen werden getrennt mit diesem Baustein untersucht.

B 3.402 Faxgeräte T3 Ein Faxgerät wird als Stichprobe untersucht.

Seite 33


5.4 Schicht 4: Netze


B 4.1 Heterogene Netze Teilnetz an Switch 1 (FIBU und Personal-datenverarbeitung)

Besonders ist darauf zu achten, dass keine vertraulichen Daten aus dem Teilnetz nach außen gelangen.

B 4.1 Heterogene Netze Übriges Netz in Bad Godesberg

B 4.1 Heterogene Netze Netz in Beuel

Da die Netzsegmente aufgrund der geringen Anzahl an Systemen übersichtlich sind, reicht es aus, diesen Baustein jeweils einmal für das restliche Netz in Bad Godesberg und für das Netz in Beuel zu bearbeiten.

B 4.2 Netz- und Systemmanagement Gesamtes Unternehmen Mit dem Server S1 werden alle Clients im Unternehmen verwaltet.

B 4.3 Modem C9 Die Laptops haben ein eingebautes Modem. Als Stichprobe wird ein Rechner untersucht.

B 4.4 Remote Access C8, N1, N2 Ein RAS-Konzept und Sicherheitsleitlinien, Installation, Konfiguration und Verschlüsse-lungskonzept zur Kommunikation mit den Vertriebsbüros sind zu überprüfen.

B 4.4 Remote Access C9, N1, N2 Ein RAS-Konzept und Sicherheitsleitlinien, Installation, Konfiguration und Verschlüsse-lungskonzept zur Kommunikation der Laptops mit dem internen Netz sind zu überprüfen.

B 4.4 Remote Access N5, N6, S1, S6 Ein RAS-Konzept und Sicherheitsleitlinien, Installation, Konfiguration und Verschlüsse-lungskonzept zur Kommunikation zwischen dem Verwaltungsgebäude und den Fertigungshallen sind zu überprüfen.

B 4.5 LAN-Anbindung eines IT-Systems über ISDN

C8, N1 Die Sicherheit der Kommunikation zwischen den Vertriebsbüros und dem internen Netz ist zu überprüfen.

Seite 34


5.5 Schicht 5: Anwendungen


B 5.3 E-Mail Gesamtes Unternehmen Erarbeitung einer Sicherheitspolitik für E-Mail und Überprüfung des Mail-Servers S2 sowie als Stichprobe ein E-Mail Client der Geschäftsführung.

B 5.7 Datenbanken A3 Finanzbuchhaltung

B 5.7 Datenbanken A4 Auftrags- und Kundenverwaltung

Die Datenbanksysteme unterscheiden sich bezüglich der verwendeten Server, ihrer Benutzer und ihres Schutzbedarfs. Der Baustein ist daher getrennt auf beideDatenbanken anzuwenden.

B 5.8 Telearbeit C8 Die Vertriebsbüros werden behandelt wie Tele-arbeiter. Dementsprechend wird ein Rechner als Stichprobe untersucht. Die übrigen werden gleich konfiguriert. Besonderer Wert ist darauf zu legen, dass die Rechner einen hohen Schutzbedarf für den Grundwert Vertraulichkeit haben und eine vertrauliche Kommunikation über VPN sichergestellt werden muss. Außerdem wird der Router N1, der die Kommunikation herstellt, auf richtige Konfiguration hin untersucht.

B 5.8 Telearbeit C9 Da die Laptops von den Vertriebsbeauftragten auch genutzt werden, um evtl. von Kunden oder von zu Hause aus auf das Firmennetz zuzugrei-fen, müssen die Maßnahmen dieses Bausteins auch für diese Rechner umgesetzt werden und die entsprechenden organisatorischen Regelungen erstellt werden. Als Stichprobe wird ein Rechner untersucht.

Seite 35


6 Basis-Sicherheitscheck Mit einem Basis-Sicherheitscheck ermitteln Sie, ob und inwieweit die Maßnahmen-Empfehlungen der IT-Grundschutz-Kataloge für die einzelnen Zielobjekte des betrachteten IT-Verbunds umgesetzt sind. Sie greifen dazu auf die Ergebnisse der vorangegangenen Schritte zurück:

• Bei der IT-Strukturanalyse haben Sie die vorhandenen IT-Systeme und die von diesen unterstützten Anwendungen erfasst.

• Anschließend haben Sie den Schutzbedarf der IT-Systeme, Anwendungen, Räume und Kommunikationsverbindungen bestimmt und

• bei der Modellierung durch Auswahl der anzuwendenden Bausteine einen Prüfplan („IT-Grund-schutz-Modell“) für die verschiedenen Zielobjekte (gesamter IT-Verbund, Räume, Rechner, Kommunikationsverbindungen, Anwendungen) zusammengestellt.

Den Prüfplan wenden Sie beim Basis-Sicherheitscheck an, indem Sie für jedes Zielobjekt und für jede Maßnahme, die in den anzuwendenden Bausteinen empfohlenen wird, prüfen,

• ob sie überhaupt auf das Zielobjekt anzuwenden ist, und falls ja,

• ob sie vollständig, teilweise oder überhaupt nicht umgesetzt ist.

Die nachfolgenden Tabellen zeigen in Auszügen einen Basis-Sicherheitscheck für das Beispiel-unternehmen RECPLAST und zwar die Anwendung des zentralen Bausteins

• B 1.0 IT-Sicherheitsmanagement auf die gesamte Organisation

sowie die Anwendung der Bausteine

• B 1.2 Personal auf die gesamte Organisation,

• B 2.4 Serverraum auf den Serverraum in Bad Godesberg,

• B 3.101 Allgemeiner Server und B 3.106 Server unter Windows 2000 auf den Datenbankserver für Finanzbuchhaltung in Bad Godesberg,

• B 4.1 Heterogene Netze auf ein Teilnetz des Standorts Bad Godesberg sowie

• B 5.7 Datenbanken auf die Datenbank für Finanzbuchhaltung.

In der Praxis dürfen Sie für einen umfassenden IT-Grundschutz bei einem Basis-Sicherheits-check selbstverständlich kein Zielobjekt und keinen Baustein auslassen.

Die folgenden Tabellen enthalten in der ersten Spalte zusätzlich zur Nummer der Maßnahme einen Hinweis darauf, für welche Stufe der Qualifizierung gemäß IT-Grundschutz die Umsetzung einer Maßnahme erforderlich ist. Die Hinweise bedeuten im Einzelnen:

• A: Diese Maßnahme muss für alle drei Ausprägungen der Qualifizierung nach IT-Grundschutz (Einstiegsstufe, Aufbaustufe und IT-Grundschutz-Zertifikat) umgesetzt sein.

• B: Diese Maßnahme muss für die Aufbaustufe und für das IT-Grundschutz-Zertifikat umgesetzt sein.

• C: Diese Maßnahme muss lediglich für das IT-Grundschutz-Zertifikat umgesetzt sein.

• Z: Diese Maßnahme muss weder für eine Qualifizierungsstufe noch für das IT-Grundschutz-Zertifikat verbindlich umgesetzt werden.

Mehr zum Basis-Sicherheitscheck finden Sie in Kapitel 4.4 und zur IT-Grundschutz-Qualifizierung in Kapitel 5.3 der Beschreibung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2).

Seite 36


6.1 Beispiel aus Schicht 1: B 1.0 IT-Sicherheits-management

Der Baustein B1.0 IT-Sicherheitsmanagement gehört zu den Pflichtbausteinen. Zielobjekt ist bei RECPLAST die gesamte Organisation, da an allen Standorten einheitliche Regelungen zur IT-Sicherheit gelten (sollen).

Erfasst am: 18. August Erfasst durch: P. Muster

Baustein: B 1.0 IT-Sicherheitsmanagement

Befragung am: 18. August

Leiter der Befragung: P. Muster

Befragte Personen: A. Admin (Leiter IT), M. Müller (Geschäftsführung)

Maßnahmen:

Maßnahme (erforderl. ab Stufe)

Name entbehr-lich ja teilweise nein Bemerkung/

Begründung bei Nicht-Umsetzung

M 2.192 (A)

Erstellung einer IT-Sicherheitsleitlinie

X

M 2.193 (A)

Aufbau einer geeigneten Organisationsstruktur für IT-Sicherheit

X

M 2.195 (A)

Erstellung eines IT-Sicherheitskonzepts

X Bislang gibt es kein definiertes IT-Sicherheitskonzept. Es wird derzeit erarbeitet. Projektlaufzeit:32. – 45. KW.

M 2.197 (A)

Integration der Mitarbeiter in den Sicherheitsprozess

X Bislang nicht vorhanden.

M 2.199 (A)

Aufrechterhaltung der IT-Sicherheit

X Bislang wurden dazu keine Maßnahmen geplant.

M 2.200 (C)

Managementreporte und -bewertungen der IT-Sicherheit

X Aufgrund der Größe der Firma und des Schutzbedarfs wird diese Maßnahme als entbehrlich eingestuft.

M 2.201 (C)

Dokumentation des IT-Sicherheitsprozesses

X Bislang nicht dokumentiert.

M 2.335 (A)

Festlegung der IT-Sicherheitsziele und -strategie

X

Seite 37


Maßnahme entbehr- Bemerkung/ Name ja teilweise nein (erforderl. ab Stufe) lich Begründung bei Nicht-Umsetzung

M 2.336 (A)

Übernahme der Gesamtverantwortung für IT-Sicherheit durch die Leitungsebene

X

M 2.337 (A)

Integration der IT-Sicherheit in organisationsweite Abläufe und Prozesse

X

M 2.338 (Z)

Erstellung von zielgruppengerechten IT-Sicherheitsrichtlinien

X Für einzelne Aspekte/Benutzer (z. B. Datensicherung, Virenschutz) sind entsprechend fokussierte Regelungen im Einsatz.

M 2.339 (Z)

Wirtschaftlicher Einsatz von Ressourcen für IT-Sicherheit

X Ein angemessenes Budget für IT-Sicherheit ist bereitgestellt. Auf den wirtschaftlichen Einsatz der Mittel wird geachtet.

M 2.340 (A)

Beachtung rechtlicher Rahmenbedingungen

X Auf geltende Rechtsvorschriften wird im erforderlichen Umfang hingewiesen (z. B. durch Verweise in Richtlinien und Anweisungen).

Seite 38


6.2 Beispiel aus Schicht 1: B 1.2 Personal

Der Baustein B 1.2 Personal enthält Empfehlungen zu allgemeinen Regelungen im Bereich des Personalwesens für den sicheren Betrieb der Informationstechnik. Er gehört zu den Pflichtbausteinen und wird im Beispiel auf die gesamte Organisation angewendet.


Baustein: B 1.2 Personal



Befragte Personen: A. Admin (Leiter IT), K. Vogel (Leiter Personalabteilung)

Maßnahmen:




M 3.1 (A)

Geregelte Einarbeitung/ Einweisung neuer Mitarbeiter

X Die betriebliche Anweisung Nr. 43 regelt diesbezügliche Verfahrens-weisen bei der Neueinstellung eines Mitarbeiters sowie für den Fall, dass ein Mitarbeiter neue Aufgaben übernimmt.

M 3.2 (A)

Verpflichtung der Mit-arbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen

X Entsprechende Verpflichtungs-erklärungen sind Bestandteil der Arbeitsverträge.

M 3.3 (A)

Vertretungsregelungen X Grundsätzlich ist geregelt, dass für jede Aufgabe Vertreter zu bestimmen sind.

M 3.4 (A)

Schulung vor Programmnutzung

X Soweit Mitarbeiter bestimmte Programme für die Erfüllung ihrer Aufgaben benötigen, werden diese auch in deren Benutzung eingewiesen. Dies sieht auch die Anweisung Nr. 43 vor.

Seite 39



M 3.5 (A)

Schulung zu IT-Sicherheitsmaßnahmen

X Bislang fanden keine Schulungen speziell zu IT-Sicherheitsmaßnahmen statt, das vorhandene Schulungs-konzept berücksichtigt lediglich die Einarbeitung in die funktionalen Eigenschaften der eingesetzten Anwendungen und IT-Systeme.

M 3.6 (A)

Geregelte Verfahrens-weise beim Ausscheiden von Mitarbeitern

X In der betrieblichen Anweisung Nr 39 angemessen geregelt.

M 3.7 (Z)

Anlaufstelle bei persönlichen Problemen

X Der Betriebsrat bietet sich als ver-trauliche Anlaufstelle an und wird als solche auch von der Geschäfts-führung akzeptiert.

M 3.8 (Z)

Vermeidung von Störun-gen des Betriebsklimas

X Geschäftsführung und Betriebsrat pflegen einen offenen Umgang miteinander und sind in ihren regelmäßigen Besprechungen bestrebt, die Ursachen für mögliche Probleme frühzeitig zu beseitigen.

M 3.10 (A)

Auswahl eines vertrauens-würdigen Administrators und Vertreters

X Administrator und Vertreter wurden mit angemessener Sorgfalt ausgewählt. Neben der fachlichen Qualifikation wurde dabei auch auf die Persönlichkeit der ausgewählten Mitarbeiter geachtet.

M 3.11 (A)

Schulung des Wartungs- und Administrations-personals

X Die Administratoren erhalten regelmäßige Schulungen und Fortbildungen zu den funktionalen Eigenschaften der von ihnen betreuten Hard- und Software..

M 3.33 (Z)

Sicherheitsprüfung von Mitarbeitern

X Die Referenzen von Mitarbeitern, die für Arbeitsplätze mit besonderen Vertraulichkeitsanforderungen vorgesehen sind, werden sorgfältig geprüft.

M 3.50 (Z)

Auswahl von Personal X Personal für besonders sicherheitsrelebvante Aufgabengebiete wird sehr sorgfältig ausgewählt.

M 3.51 (Z)

Geeignetes Konzept für Personaleinsatz und -qualifizierung

X Teilaspekte sind geregelt (Vertretungsregelungen, Aufgabendefinitionen etc.); ein grundlegenden Schulungs- und Qualifizierungskonzept ist bislang jedoch nicht vorhanden.

Seite 40


6.3 Beispiel aus Schicht 2: B 2.4 Serverraum

Dieser Baustein ist auf die Serverräume in Bad Godesberg und Beuel getrennt anzuwenden. Die nachfolgende Tabelle dokumentiert den Basis-Sicherheitscheck für den Serverraum des Verwaltungsgebäudes Bad Godesberg.

Raum: BG, R. 1.02 Serverraum


Baustein: B 2.4 Serverraum



Befragte Personen: A. Admin (Leiter IT), M. Wachsam (Haustechnik)

Maßnahmen:




M 1.3 (A)

Angepasste Aufteilung der Stromkreise

X Bislang wurde die Elektroinstallation nicht geprüft.

M 1.7 (A)

Handfeuerlöscher X Die betroffenen Mitarbeiter wurden nicht im Umgang mit den vorhandenen CO2-Löschern geschult.

M 1.10 (C)

Verwendung von Sicher-heitstüren und -fenstern

X Der Raum hat kein Sicherheitsfenster, nur eine Sicherheitstür.

M 1.15 (A)

Geschlossene Fenster und Türen

X

M 1.18 (Z)

Gefahrenmeldeanlage X Eine solche Anlage wurde bislang als unnötig kostspielig eingestuft.

M 1.23 (A)

Abgeschlossene Türen X Die Tür hat flurseitig einen Blind-knauf.

M 1.24 (C)

Vermeidung von wasser-führenden Leitungen

X Im Raum sind Heizkörper. Die Dich-tigkeit der Leitungen wurde bislang nicht kontrolliert. Im Raum befindet sich ferner eine Klimaanlage mit Zuleitungen. Ein Rechner befindet sich direkt unter einer Zuleitung. Es fehlen Absperrventile außerhalb des Raums, mit denen die Wasserzufuhr zum Serverraum gezielt unterbrochen werden kann.

Seite 41



M 1.25 (B)

Überspannungsschutz X

M 1.26 (Z)

Not-Aus-Schalter X

M 1.27 (B)

Klimatisierung X

M 1.28 (B)

Lokale unterbrechungs-freie Stromversorgung

X

M 1.31 (Z)

Fernanzeige von Störungen

X Dies wurde bislang als unnötig teuer eingestuft.

M 1.52 (Z)

Redundanzen in der technischen Infrastruktur

X Es werden keine Ersatzgeräte vorrätig gehalten, da der IT-Lieferant die Lieferung von Ersatzgeräten innerhalb von 4 Stunden vertraglich zugesichert hat.

M 1.58 (A)

Technische und organisa-torische Vorgaben für Serverräume

X

M 1.62 Brandschutz von Patchfeldern

X Die verwendeten Abschottungen entsprechen den Anforderungen der Funktionserhaltsklasse E 90.

M 2.17 (A)

Zutrittsregelung und -kontrolle

X Für Zugangsregelungen gilt die betriebliche Anweisung Nr. 26.

M 2.21 (A)

Rauchverbot X Laut Betriebsanweisung Nr. 19; im Raum befinden sich zusätzlich Rauchverbotsschilder.

Seite 42


6.4 Beispiel II aus Schicht 3: B 3.101 Allgemeiner Server

Der Baustein B 3.101 Allgemeiner Server beschreibt die generellen IT-Sicherheitsmaßnahmen für Server. Er ist gesondert für alle Server der RECPLAST GmbH anzuwenden. Als Beispiel dient hier die Erhebung für den Datenbankserver Finanzbuchhaltung.

IT-System: S5, DB-Server Finanzbuchhaltung


Baustein: B 3.101 Allgemeiner Server



Befragte Personen: A. Admin (Leiter IT)

Maßnahmen:




M 1.28 (B)

Lokale unterbrechungs-freie Stromversorgung

X USV ist angeschlossen.

M 2.22 (A)

Hinterlegen des Passwortes

X Bislang ist die Hinterlegung von Passwörtern nicht geregelt.

M 2.31 (A)

Dokumentation der zugelassenen Benutzer und Rechteprofile

X Eine entsprechende aktuelle Dokumentation ist vorhanden.

M 2.32 (Z)

Einrichtung einer eingeschränkten Benutzerumgebung

X Berechtigte Benutzer haben nur Zugriff auf die Datenbank, ansonsten auf keine Systemressourcen.

M 2.35 (B)

Informationsbeschaffung über Sicherheitslücken des Systems

X Relevante Newsletter sind abonniert und werden ausgewertet.

M 2.138 (B)

Strukturierte Datenhaltung X Server wird ausschließlich als Datenbank-Server genutzt. Die Benutzer legen keine Dateien ab.

M 2.273 (A)

Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates

X Aktuelle Patches werden zeitnah eingespielt.

M 2.314 (Z)

Verwendung von hochverfügbaren Architekturen für Server

X Der Server stellt keine hohen Verfügbarkeitsanforderungen.

Seite 43



M 2.315 (A)

Planung des Server-einsatzes

X Die Einführung des Servers wurde angemessen geplant. Diesbezügliche Dokumentation liegt vor.

M 2.316 (A)

Festlegen einer Sicher-heitsrichtlinie für einen Server

X Das Planungsdokument enthält eine entspechende Sicherheitsrichtlinie.

M 2.317 (C)

Beschaffungskriterien für einen Server

X Das System ist seit 2 Jahren im Einsatz. Neuanschaffung ist derzeit nicht geplant.

M 2.318 (A)

Sichere Installation eines Servers

X System wurde konkret untersucht: Kriterien sind erfüllt.

M 2.319 (C)

Migration eines Server X Derzeit nicht aktuell

M 2.320 (A)

Geregelte Außerbetrieb-nahme eines Servers

X Maßnahme steht derzeit nicht an. Vergleichbare Anforderungen sind jedoch in einer allgemeinen Dienstanweisung zur Aussonderung von IT-Systemen enthalten

M 4.7 (A)

Änderung voreingestellter Passwörter

X Default-Passwörter wurden bei der Installation der Software geändert.

M 4.15 (A)

Gesichertes Login X Die technischen Möglichkeiten des Systems für den Zugriffsschutz werden genutzt (z. B. Sperrung eines Accounts nach dreimaliger Fehleingabe des Passworts).

M 4.16 (A)

Zugangsbeschränkungen für Accounts und / oder Terminals

X Zugriffsmöglichkeiten für berechtigte Benutzer sind auf die regulären Arbeitszeiten begrenzt.

M 4.17 (A)

Sperren und Löschen nicht benötigter Accounts und Terminals

X Es gibt eine Verfahrensanweisung für das Anlegen und Löschen von Benutzeraccounts. Diese wird auch beachtet.

M 4.24 (A)

Sicherstellung einer konsistenten Systemverwaltung

X Änderungen werden dokumentiert.

M 4.40 (C)

Verhinderung der unautorisierten Nutzung des Rechnermikrofons

X An den Rechner kann kein Mikrofon angeschlossen werden.

M 4.93 (B)

Regelmäßige Integritätsprüfung

X Die Integrität wichtiger Dateien wird wöchentlich automatisiert geprüft.

M 4.237 (A)

Sichere Grundkonfigu-ration eines IT-Systems

X

M 4.238 (A)

Einsatz eines lokalen Paketfilters

X

Seite 44



M 4.239 (A)

Sicherer Betrieb eines Servers

X Anforderungen werden erfüllt.

M 4.240 (Z)

Einrichten einer Test-umgebung für einen Server

X Server ist im Einsatz; Erweiterungen sind nicht geplant.

M 5.8 (B)

Regelmäßiger Sicherheits-check des Netzes

X Die sicherheitsrelevanten Einstellun-gen des Servers werden wöchentlich mit Hilfe eines Scanners überprüft.

M 5.9 (A)

Protokollierung am Server X Bei sicherheitskritischen Zugriffen auf den Server werden die Administratoren automatisiert informiert, ansonsten werden die Protokolle wöchentlich ausgewertet.

M 5.10 (A)

Restriktive Rechtevergabe X

M 5.37 (B)

Einschränken der Peer-to-Peer-Funktionalitäten in einem servergestützten Netz

X Auf dem Server sind keine über-flüssigen Freigaben eingerichtet worden.

M 6.24 (A)

Erstellen eines Notfall-Bootmediums

X Medium wurde erstellt; Funktionieren wurde getestet.

M 6.96 (A)

Notfallvorsorge für einen Server

X Handlungsanweisung liegt vor.

Seite 45


6.5 Beispiel II aus Schicht 3: B 3.106 Server unter Windows 2000

Der Baustein B 3.106 Server unter Windows 2000 beschreibt die Maßnahmen, die für einen Server mit diesem Betriebssystem spezifisch sind. Er ist gesondert für alle Server der RECPLAST GmbH anzuwenden. Als Beispiel dient hier die Erhebung für den Datenbankserver Finanzbuchhaltung.

IT-System: S5, DB-Server Finanzbuchhaltung


Baustein: B 3.106 Windows 2000 Server




Maßnahmen:




M 2.227 (A)

Planung des Windows 2000 Einsatzes

X Die Planungsphase ist seit Längerem abgeschlossen. Die Maßnahme ist derzeit nicht relevant.

M 2.228 (A)

Festlegen einer Windows 2000 Sicherheitsrichtlinie

X Die vorhandene Sicherheitsrichtlinie deckt die wesentlichen Aspekte ab.

M 2.229 (A)

Planung des Active Directory

X In der Dokumentation, die im Basis-Sicherheitscheck zu B 1.9 Hard- und Software-Management erwähnt wird (siehe dort M 2.25), sind die wesentlichen Aspekte abgedeckt.

M 2.230 (A)

Planung der Active Directory-Administration

X

M 2.231 (A)

Planung der Gruppenrichtlinien unter Windows 2000

X

M 2.232 (B)

Planung der Windows 2000 CA-Struktur

X Die Windows 2000 CA wird nicht genutzt.

M 2.233 (B)

Planung der Migration von Windows NT auf Windows 2000

X Die Migration ist schon seit Längerem abgeschlossen.

Seite 46



M 3.27 (A)

Schulung zur Active Directory-Verwaltung

X Die Administratoren wurden bei Einführung des Systems umfassend geschult.

M 4.48 (A)

Passwortschutz unter Windows NT/2000/XP

M 4.56 (C)

Sicheres Löschen unter Windows-Betriebs-systemen

X Auf dem Rechner ist ausschließlich Windows 2000 installiert. Die Regeln für das sichere Löschen werden beachtet.

M 4.75 (A)

Schutz der Registrierung unter Windows NT/2000/XP

X

M 4.136 (A)

Sichere Installation von Windows 2000

X

M 4.137 (A)

Sichere Konfiguration von Windows 2000

X

M 4.138 (A)

Konfiguration von Windows 2000 als Domänen-Controller

X Dieser Rechner wird nicht als Domänen-Controller genutzt.

M 4.139 (A)

Konfiguration von Windows 2000 als Server

X Die Empfehlungen (z. B. die Deakti-vierung nicht benötigter Dienste) sind umgesetzt.

M 4.140 (A)

Sichere Konfiguration wichtiger Windows 2000 Dienste

X

M 4.141 (A)

Sichere Konfiguration des DDNS unter Windows 2000

X

M 4.142 (B)

Sichere Konfiguration des WINS unter Windows 2000

X Dienst wird nicht benötigt und ist deaktiviert.

M 4.143 (B)

Sichere Konfiguration des DHCP unter Windows 2000

X

M 4.144 (B)

Nutzung der Windows 2000 CA

X Dienst wird nicht genutzt.

M 4.145 (A)

Sichere Konfiguration von RRAS unter Windows 2000

X Dienst wird nicht genutzt und ist deaktiviert.

M 4.146 (A)

Sicherer Betrieb von Windows 2000/XP

X

M 4.147 (Z)

Sichere Nutzung von EFS unter Windows 2000/XP

X

Seite 47



M 4.148 (B)

Überwachung eines Windows 2000/XP Systems

X Die Protokollfunktion des Betriebs-systems ist für wesentliche Ereignisse aktiviert (z. B: An- und Abmeldung, Zugriffe auf wichtige Dateien, Änderung der Konfiguration); die Protokolldateien werden täglich überprüft.

M 4.149 (A)

Datei- und Freigabe-berechtigungen unter Windows 2000/XP

X Nur der Zugriff auf die Datenbank ist für die befugten Mitarbeiter auf dem Rechner freigegeben.

M 5.89 (A)

Konfiguration des sicheren Kanals unter Windows 2000/XP

X

M 5.90 (Z)

Einsatz von IPSec unter Windows 2000/XP

X

M 6.43 (Z)

Einsatz redundanter Windows NT/2000 Server

X Aufgrund der Verfügbarkeits-anforderungen wird ein zweiter Server nicht für erforderlich gehalten.

M 6.76 (C)

Erstellen eines Notfall-plans für den Ausfall eines Windows 2000/XP Netzes

X Bislang existiert kein Notfallplan für das Gesamtnetz und auch nicht speziell für diesen Server.

M 6.77 (A)

Erstellung von Rettungs-disketten für Windows 2000

X Rettungsdisketten sind vorhanden.

M 6.78 (A)

Datensicherung unter Windows 2000/XP

X Datensicherung erfolgt mit spezieller Backup-Software.

Seite 48


6.6 Beispiel aus Schicht 4: B 4.1 Heterogene Netze

Dieser Baustein ist gemäß Modellierung auf die Teilnetze

• an Switch 1 (FIBU und Personaldatenverarbeitung),

• das übrige Netz in Bad Godesberg und

• das Netz in Beuel

gesondert anzuwenden.

Nachfolgend die Dokumentation für das Teilnetz der Finanzbuchhaltung und Personaldatenverarbeitung in Bad Godesberg.

Netz: Teilnetz an Switch 1 (FIBU und Personaldatenverarbeitung)


Baustein: B 4.1 Heterogene Netze




Maßnahmen




M 2.139 (A)

Ist-Aufnahme der aktuellen Netzsituation

X

M 2.140 (Z)

Analyse der aktuellen Netzsituation

X

M 2.141 (B)

Entwicklung eines Netzkonzeptes

X Im Zusammenhang mit dem Umzug der Verwaltung und der damit verbundenen Umstrukturierung des Netzes wurde ein Konzept entwickelt und dokumentiert.

M 2.142 (B)

Entwicklung eines Netz-Realisierungsplans

X Maßnahme ist derzeit nicht aktuell.

M 4.7 (A)


X

M 4.79 (A)

Sichere Zugriffs-mechanismen bei lokaler Administration

X

M 4.80 (A)

Sichere Zugriffs-mechanismen bei Fernadministration

X

Seite 49



M 4.81 (B)

Audit und Protokollierung der Aktivitäten im Netz

X

M 4.82 (A)

Sichere Konfiguration der aktiven Netzkomponenten

X

M 4.83 (C)

Update/Upgrade von Soft- und Hardware im Netzbereich

X Bislang gibt es keine Testumgebung, in der Tests der Hard- und Software vor ihrem produktiven Einsatz möglich sind.

M 5.2 (A)

Auswahl einer geeigneten Netz-Topographie

X Maßnahme vermittelt nur Hintergrundwissen

M 5.7 (A)

Netzverwaltung X Netzverwaltung ist zentral geregelt

M 5.13 (A)

Geeigneter Einsatz von Elementen zur Netzkopplung

X Maßnahme vermittelt nur Hintergrundwissen

M 5.60 (A)

Auswahl einer geeigneten Backbone-Technologie

X

M 5.61 (A)

Geeignete physikalische Segmentierung

X

M 5.62 (Z)

Geeignete logische Segmentierung

X

M 5.77 (Z)

Bildung von Teilnetzen X

M 6.52 (A)

Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten

X

M 6.53 (Z)

Redundante Auslegung der Netzkomponenten

X Aufgrund der dokumentierten Ver-fügbarkeitsanforderungen ist das Netz nicht redundant ausgelegt. Es existie-ren aber Verträge mit dem Lieferan-ten, die im Bedarfsfall einen raschen Austausch defekter Komponenten ermöglichen.

M 6.54 (B)

Verhaltensregeln nach Verlust der Netzintegrität

X Bislang gibt es hierzu keine definierten Regelungen

Seite 50


6.7 Beispiel aus Schicht 5: B 5.7 Datenbanken

Dieser Baustein ist gemäß Modellierung auf die beiden Datenbankanwendungen A3 (Finanzbuchhaltung) und A4 (Auftrags- und Kundenverwaltung) gesondert anzuwenden. Nachfolgend die Dokumentation für die Anwendung A3 Finanzbuchhaltung.

IT-Anwendung: A3 Finanzbuchhaltung


Baustein: B 5.7 Datenbanken




Maßnahmen




M 2.31 (A)

Dokumentation der zugelassenen Benutzer und Rechteprofile

X Es existiert zwar eine Dokumentation, diese ist aber nicht auf dem neuesten Stand.

M 2.34 (A)

Dokumentation der Veränderungen an einem bestehenden System

X Es existiert zwar eine Dokumentation, diese ist aber nicht auf dem neuesten Stand.

M 2.65 (B)

Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System

X

M 2.80 (A)

Erstellung eines Anforderungskatalogs für Standardsoftware

X Das gekaufte Produkt entspricht den Anforderungen, die vor der Anschaf-fung dokumentiert wurden.

M 2.124 (A)

Geeignete Auswahl einer Datenbank-Software

X Das gekaufte Produkt entspricht den Anforderungen, die vor der Anschaf-fung dokumentiert wurden.

M 2.125 (A)

Installation und Konfigu-ration einer Datenbank

X

M 2.126 (A)

Erstellung eines Datenbanksicherheits-konzeptes

X

Seite 51



M 2.127 (B)

Inferenzprävention X

M 2.128 (A)

Zugangskontrolle einer Datenbank

X Zugang ist aufgabenbezogen reglementiert. Normale Benutzer haben keine direkten SQL-Zugriffe. Remote-Zugriffe sind nicht möglich.

M 2.129 (A)

Zugriffskontrolle einer Datenbank

X Zugriffsmöglichkeiten werden restriktiv gehandhabt. Zugriffe werden protokolliert.

M 2.130 (A)

Gewährleistung der Datenbankintegrität

X

M 2.131 (C)

Aufteilung von Admi-nistrationstätigkeiten bei Datenbanksystemen

X Aufgrund der geringen Anzahl an IT-Mitarbeitern ist eine Aufteilung we-nig zweckmäßig.

M 2.132 (A)

Regelung für die Einrichtung von Datenbankbenutzern/ -benutzergruppen

X

M 2.133 (A)

Kontrolle der Protokoll-dateien eines Datenbank-systems

X Protokolldateien werden täglich kontrolliert.

M 2.134 (B)

Richtlinien für Datenbank-Anfragen

X Die Benutzer haben keine Möglich-keit für SQL-Abfragen. Nur die Standardfunktionalität der Software wird genutzt, es gibt keine Eigenentwicklungen.

M 2.135 (C)

Gesicherte Datenüber-nahme in eine Datenbank

X Derzeit wird kein Bedarf für Datenübernahmen gesehen.

M 3.18 (A)

Verpflichtung der Benutzer zum Abmelden nach Aufgabenerfüllung

X Ist in betrieblicher Anweisung 1/2001 geregelt.

M 4.7 (A)


X

M 4.67 (B)

Sperren und Löschen nicht benötigter Datenbank-Accounts

X

M 4.68 (A)

Sicherstellung einer konsistenten Daten-bankverwaltung

X Die Administratoren haben zwar zusätzliche Benutzerkennungen mit geringeren Rechten und sind angehal-ten die Administratorkennung nur dann zu benutzen, wenn dies erfor-derlich ist. Diese Anweisung wird jedoch häufig nicht beachtet.

M 4.69 (B)

Regelmäßiger Sicherheitscheck der Datenbank

X Sicherheitscheck wird monatlich durchgeführt und dokumentiert.

Seite 52



M 4.70 (C)

Durchführung einer Datenbanküberwachung

X

M 4.71 (C)

Restriktive Handhabung von Datenbank-Links

X Datenbank-Links werden nicht genutzt.

M 4.72 (Z)

Datenbank-Verschlüsselung

X

M 4.73 (C)

Festlegung von Ober-grenzen für selektierbare Datensätze

X Das vergleichsweise geringe Daten-volumen macht auf absehbare Zeit eine derartige Festlegung entbehrlich.

M 5.58 (B)

Installation von ODBC-Treibern

X

M 6.48 (A)

Verhaltensregeln nach Verlust der Datenbank-integrität

X Bislang gibt es hierzu keine definierten Regelungen.

M 6.49 (A)

Datensicherung einer Datenbank

X

M 6.50 (A)

Archivierung von Datenbeständen

X Es existiert ein Archivierungs-konzept. Die erforderlichen Fristen werden eingehalten.

M 6.51 (B)

Wiederherstellung einer Datenbank

X Es gibt hierzu weder ein Konzept, noch praktische Tests.

Seite 53


7 Ergänzende Risikoanalyse Immer dann, wenn ein Zielobjekt mindestens eine der folgenden drei Charakteristiken aufweist, ist zu prüfen, ob die Standard-Sicherheitsmaßnahmen der IT-Grundschutz-Kataloge hinreichend und angemessen sind, um den vorhandenen Risiken zu begegnen:

• Das Zielobjekt hat einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit haben.

• Das Zielobjekt kann mit den vorhandenen Bausteinen des IT-Grundschutzes nicht hinreichend abgebildet (modelliert) werden.

• Es wird in einer für das Anwendungsgebiet des IT-Grundschutzes untypischen Weise oder Einsatzumgebung betrieben.

Im Rahmen der IT-Grundschutz-Vorgehensweise wird in einer ergänzenden Sicherheitsanalyse erwogen, welche Zielobjekte mit Hilfe einer Risikoanalyse genauer untersucht werden sollen. Diese ergänzende Risikoanalyse umfasst die Schritte:

1. Erstellung einer Gefährdungsübersicht

2. Ermittlung zusätzlicher Gefährdungen

3. Bewertung der Gefährdungen

4. Behandlung der Risiken und Maßnahmenauswahl

5. Konsolidierung des IT-Sicherheitskonzepts

Diese Schritte werden nachfolgend an einem Beispiel veranschaulicht und zwar dem Zielobjekt C7, den Clients in der Entwicklungsabteilung, deren Schutzbedarf bezüglich Vertraulichkeit mit sehr hoch bewertet wurde. In diesem Zusammenhang sind ebenfalls die Büroräume zu berücksichtigen, in denen diese IT-Systeme untergebracht sind (Räume 2.14 – 2.20 in Bonn-Beuel).

Weitere Informationen zur ergänzenden Risikoanalyse und zu ihrer Einordnung in die IT-Grundschutz-Vorgehensweise finden Sie in Kapitel 4.5 von BSI-Standard 100-2 sowie umfassend in dem BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz.

Seite 54


7.1 Erstellung der Gefährdungsübersicht In einem ersten Schritt werden alle Zielobjekte gestrichen, für die gemäß ergänzender Sicherheitsanalyse kein Bedarf für eine Risikoanalyse besteht. Anschließend werden aus der Tabelle alle Bausteine gestrichen, für die keine Zielobjekte mehr übrig sind. Für die Clients in der Entwicklungsabteilung und die Räume, in denen sie untergebracht sind, ergibt sich damit nach diesen beiden Schritten der folgende Tabellenauszug.

Nr. Titel des Bausteins Zielobjekt

B 1.0 IT-Sicherheitsmanagement Gesamte Organisation

B 1.1 Organisation Gesamte Organisation

B 1.2 Personal Gesamte Organisation

B 1.4 Datensicherungskonzept Gesamte Organisation

B 1.6 Computer-Virenschutzkonzept Gesamte Organisation

B 1.7 Kryptokonzept Gesamte Organisation

B 1.8 Behandlung von Sicherheitsvorfällen Gesamte Organisation

B 1.9 Hard- und Software-Management Gesamte Organisation

B 1.10 Standardsoftware Gesamte Organisation

B 1.13 Sicherheitssensibilisierung und -Schulung Gesamte Organisation

B 2.3 Büroraum Räume 2.14 – 2.20 in Bonn-Beuel

B 3.201 Allgemeiner Client C7 Clients in Entwicklungsabteilung

B3.209 Windows 2000 Client C7 Clients in Entwicklungsabteilung

Anmerkungen: Die meisten Bausteine der Schicht 1 gelten übergeordnet für beide Zielobjekte. Daher wurden sie nicht aus der Tabelle gestrichen. Die in diesen Bausteinen enthaltenen Gefährdungen sind folglich auch bei den nachfolgenden Schritten zu berücksichtigen. Damit die Darstellung übersichtlicher wird, wurde in den nachfolgenden Tabellen jedoch darauf verzichtet, die in den Bausteinen der Schicht 1 enthaltenen Gefährdungen aufzuführen.

Anschließend werden den Zielobjekten die Gefährdungen aus den verbliebenen Bausteinen zugeordnet. Dabei wird darauf geachtet, dass für ein Zielobjekt keine Gefährdung doppelt aufgeführt wird. Ferner werden die Gefährdungen werden thematisch sortiert. In den resultierenden Gefährdungsübersichten für die einzelnen Zielobjekte sollte zusätzlich der jeweilige Schutzbedarf bezüglich der drei Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit vermerkt werden. Die folgenden Tabellen zeigen Auszüge der Gefährdungsübersichten für die ausgesuchten Zielobjekte.

Zielobjekt: Räume B 2.14 – 2.20 in Bonn-Beuel

Vertraulichkeit: Integrität: Verfügbarkeit:

sehr hoch normal normal

G 2.1 Fehlende oder unzureichende Regelungen

G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen

Seite 55



G 2.14 Beeinträchtigung der IT-Nutzung durch ungünstige Arbeitsbedingungen

G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal

G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör

G 5.2 Manipulation an Daten oder Software

G 5.4 Diebstahl

G 5.5 Vandalismus

Zielobjekt: C7 Clients in der Entwicklungsabteilung



G 1.1 Personalausfall

G 1.2 Ausfall des IT-Systems

G 1.4 Feuer

G 1.5 Wasser

G 1.8 Staub, Verschmutzung


G 2.7 Unerlaubte Ausübung von Rechten

G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz

G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern

G 2.24 Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes

G 2.25 Einschränkung der Übertragungs- oder Bearbeitungsgeschwindigkeit durch Peer-to-Peer-Funktionalitäten

G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen

G 3.2 Fahrlässige Zerstörung von Gerät oder Daten

G 3.3 Nichtbeachtung von IT-Sicherheitsmaßnahmen

G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal

G 3.8 Fehlerhafte Nutzung des IT-Systems

G 3.9 Fehlerhafte Administration des IT-Systems

G 3.17 Kein ordnungsgemäßer PC-Benutzerwechsel

G 4.1 Ausfall der Stromversorgung

G 4.7 Defekte Datenträger

G 4.8 Bekanntwerden von Softwareschwachstellen

G 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen

Seite 56



G 4.13 Verlust gespeicherter Daten

G 4.23 Automatische CD-ROM-Erkennung

G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör

G 5.2 Manipulation an Daten oder Software

G 5.4 Diebstahl

G 5.7 Abhören von Leitungen

G 5.9 Unberechtigte IT-Nutzung

G 5.18 Systematisches Ausprobieren von Passwörtern

G 5.20 Missbrauch von Administratorrechten

G 5.21 Trojanische Pferde

G 5.23 Computer-Viren

G 5.40 Abhören von Räumen mittels Rechner mit Mikrofon

G 5.43 Makro-Viren

G 5.52 Missbrauch von Administratorrechten im Windows NT/2000 System

G 5.71 Vertraulichkeitsverlust schützenswerter Informationen

G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows NT/2000/XP Systemen

G 5.83 Kompromittierung kryptographischer Schlüssel

G 5.85 Integritätsverlust schützenswerter Informationen

7.2 Ermittlung zusätzlicher Gefährdungen Im zweiten Schritt ist zu prüfen, ob weitere Gefährdungen zu berücksichtigen sind. Zu betrachten sind in diesem Zusammenhang höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen technisches Versagen, vorsätzliche Angriffe von Außen und Innentätern können mögliche Ursachen sein. Die Gefährdungsübersichten sind um die gefundenen Gefährdungen zu ergänzen.

Die Diskussion im IT-Sicherheitsmanagementteam bei RECPLAST ergab, dass für das Schutzziel Vertraulichkeit, die Gefährdungskataloge bereits vielfältige Bedrohungsquellen berücksichtigen – und zwar sowohl in Bezug auf die Sicherheit der Räumlichkeiten als auch auf die der IT-Systeme. Zusätzlich wurden die folgenden beiden Gefahrenquellen identifiziert:

• unzureichender Zugangsschutz, der dazu führen kann, dass Betriebsfremde aber auch eigene Mitarbeiter Einsicht in

• Ausspionieren der elektromagnetischen Abstrahlung der IT-Systeme

Da die sich daraus ergebenden Gefährdungen in den berücksichtigten Bausteinen bereits genannt sind, wurde die Gefährdungsübersicht zu den Räumen nicht erweitert. Hingegen wurde die Gefährdungsübersicht zu den IT-Systemen um die Gefährdung Abhören der elektromagnetischen Abstrahlung von IT-Komponenten ergänzt (siehe folgende Tabelle).

Seite 57


Zielobjekt: C 7 Clients in Entwicklungsabteilung



G 5.B1 Abhören der elektromagnetischen Abstrahlung von IT-Komponenten

Die Informationen auf den Clients können das Ziel von Industriespionage sein. Die elektromagnetische Abstrahlung der Geräte kann für derartige Zwecke ausgespäht werden. Diese Gefährdung ist in den Grundschutzkatalogen nicht aufgeführt.

7.3 Bewertung der Gefährdungen Für jede Gefärdung ist zu prüfen, ob sie durch die bereits umgesetzten oder geplanten Maßnahmen abgedeckt ist oder nicht. Dabei müssen Sie auf die Vollständigkeit, Mechanismenstärke und Zuverlässigkeit der Maßnahmen achten. Das Ergebnis dieser Risikobewertung dokumentieren Sie folgendermaßen in der Gefährdungsübersicht:

• Mit OK=J drücken Sie aus, dass die umgesetzten oder beabsichtigten Sicherheitsmaßnahmen einen ausreichenden Schutz gegen die jeweilige Gefährdung bieten.

• Mit OK=“N drücken Sie aus, dass der Schutz gegen die betreffende Gefährdung noch nicht ausreicht.

Nachfolgend sind Auszüge der Gefährdungstabellen für die betrachteten Zielobjekte abgebildet, in denen dokumentiert ist, wie die Gefährdungen bewertet wurden.





Der Zugang zu den Räumenist bislang nicht ausreichend geregelt. Die bestehende Regelung reicht zwar für alle anderen Räumlichkeiten aus, wird aber den besonderen Anforderungen der Entwicklungsabteilung nicht gerecht.

OK=N

G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen OK=N

Aufgrund der unzureichenden Regelungen können unbefugte Zutritte nicht ausgeschlossen werden.

G 2.14 Beeinträchtigung der IT-Nutzung durch ungünstige Arbeitsbedingungen OK=J

Gefährdung ist für das Schutzziel Vertraulichkeit nicht relevant.

G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal OK=N

Die bisherigen Regelungen für Reinigungs- und Fremdpersonal werden den besonderen Anforderungen dieser Räume nicht gerecht. Insbesondere sollte ein unbeaufsichtigter Zugang von Reinigungs- oder Wartungspersonal ausgeschlossen werden.

G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör OK=N

Aufgrund des noch nicht ausreichenden Zugangs- und Zugriffsschutzes können Manipulationen nicht ausgeschlossen werden.

Seite 58



G 5.2 Manipulation an Daten oder Software OK=N

Siehe vorstehende Gefährdung

G 5.4 Diebstahl OK=N

Wenn der Diebstahl eines der IT-Systeme gelingt, ist die Vertraulichkeit der gespeicherten Daten nicht mehr im erforderlichen Umfang gewährleistet. Der Zugangsschutz zu den Räumen ist verbesserungsbedürftig.

G 5.5 Vandalismus OK=J

Diese Gefährdung betrifft nicht das Schutzziel Vertraulichkeit.




G 1.1 Personalausfall OK=J

Die Gefährdung bedroht nicht die Vertraulichkeit der Daten auf den Rechnern.

G 1.2 Ausfall des IT-Systems OK=J


G 1.4 Feuer OK=J


G 1.5 Wasser OK=J


G 1.8 Staub, Verschmutzung OK=J


G 2.1 Fehlende oder unzureichende Regelungen OK=N

Aufgrund der noch nicht ausreichend geregelten Zutrittsregelungen zu den Räumen gibt es Probleme für die Vertraulichkeit der Daten.

G 2.7 Unerlaubte Ausübung von Rechten OK=J

Die vorhandenen Regelungen werden als ausreichend angesehen.

G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz OK=J


G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern OK=J


G 2.24 Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes OK=J

Die IT-Systeme sind gegen die in der Gefährdung beschriebenen Angriffe angemessen geschützt.

OK=J

Seite 59



G 2.25 Einschränkung der Übertragungs- oder Bearbeitungsgeschwindigkeit durch Peer-to-Peer-Funktionalitäten

OK=J

Die Gefährdung ist für das Schutzziel nicht relevant. (Unabhängig davon sind keine Peer-to-Peer-Funktionen aktiv.)

G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen OK=J

In die Rechner sind nur übliche Netzwerkkarten eingebaut.

G 3.2 Fahrlässige Zerstörung von Gerät oder Daten OK=J


G 3.3 Nichtbeachtung von IT-Sicherheitsmaßnahmen OK=J

Der Gefährdung soll durch Schulungs- und Sensibilisierungsmaßnahmen begegnet werden.

G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal OK=N

Die bisherigen Regelungen für Reinigungs- und Fremdpersonal werden den besonderen Anforderungen dieser Räume nicht gerecht. Insbesondere sollte ein unbeaufsichtigter Zugang von Reinigungs- oder Wartungspersonal ausgeschlossen werden.

G 3.8 Fehlerhafte Nutzung des IT-Systems OK=J

Fehler können nie ausgeschlossen werden. Die betreffenden Mitarbeiterinnen und Mitarbeiter sind aber sehr gut qualifiziert.

G 3.9 Fehlerhafte Administration des IT-Systems OK=J

Der Gefährdung wird ausreichend vorgebeugt.

G 3.17 Kein ordnungsgemäßer PC-Benutzerwechsel OK=J

Der Benutzerwechsel ist ausreichend geregelt.

G 4.1 Ausfall der Stromversorgung OK=J

Die Gefährdung betrifft nicht das Schutzziel Vetraulichkeit.

G 4.7 Defekte Datenträger OK=J


G 4.8 Bekanntwerden von Softwareschwachstellen OK=J

Das Patch-Management ist gut organisiert.

G 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen OK=J

Die in der Gefährdung beschriebenen Dienste sind auf den Rechnern nicht aktiviert.

G 4.13 Verlust gespeicherter Daten OK=J


G 4.23 Automatische CD-ROM-Erkennung OK=J

Die automatische CD-ROM-Erkennung ist deaktiviert.

G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör OK=N

Manipulationen der IT-Systeme, die zu Vertraulichkeitsverlusten führen können, sind zwar

Seite 60



sehr aufwändig. Sie können jedoch nicht mit hinreichender Sicherheit ausgeschlossen werden.

G 5.2 Manipulation an Daten oder Software OK=N

Manipulationen der IT-Systeme, die zu Vertraulichkeitsverlusten führen können, sind zwar sehr aufwändig. Sie können jedoch nicht mit hinreichender Sicherheit ausgeschlossen werden.

G 5.4 Diebstahl OK=N

Der Diebstahl eines Geräts kann dazu führen, dass die auf ihm gespeicherten Informationen missbraucht werden können. Der Zugangsschutz zu den Räumen kann verbessert werden.

G 5.7 Abhören von Leitungen OK=N

Ein Abhören der Leitungen kann nicht mit hinreichender Wahrscheinlichkeit ausgeschlossen werden.

G 5.9 Unberechtigte IT-Nutzung OK=N

Der Zugriff auf ein IT-Systeme ist nur mit Passwort möglich. Das Bekanntwerden von Passwörtern kann nicht gänzlich ausgeschlossen werden.

G 5.18 Systematisches Ausprobieren von Passwörtern OK=J

Ein Missbrauch setzt voraus, dass die Passwortdatei in fremde Hände gelangt und anschließend ein physischer Zugriff auf den Rechner möglich ist. In dieser Kombination wird diese Gefährdung als eher unwahrscheinlich angesehen.

G 5.20 Missbrauch von Administratorrechten OK=J

Die technischen Möglichkeiten, mit denen sich derartige Missbräuche verhindern oder erschweren lassen, werden genutzt.

G 5.21 Trojanische Pferde OK=J

Den Risiken wird angemessen vorgebeugt (aktueller Scanner, restriktive Internet-Nutzung, organisatorische Vorschriften).

G 5.23 Computer-Viren OK=J


G 5.40 Abhören von Räumen mittels Rechner mit Mikrofon OK=J

Die Rechner sind nicht mit einem Mikrofon ausgestattet

G 5.43 Makro-Viren OK=J


G 5.52 Missbrauch von Administratorrechten im Windows NT/2000/XP System OK=J


G 5.71 Vertraulichkeitsverlust schützenswerter Informationen OK=N

Vertraulichkeitsverluste drohen insbesondere durch unzureichenden Zugangsschutz in die Räume und damit mögliche „zufällige“ Blicke auf Bildschirme, Unterlagen usw.

Seite 61



G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows NT/2000/XP Systemen OK=J


G 5.83 Kompromittierung kryptographischer Schlüssel OK=J


G 5.85 Integritätsverlust schützenswerter Informationen OK=J

Die Gefährdung betrifft nicht das Schutzziel Vertraulichkeit.

7.4 Behandlung der Risiken und Maßnahmenauswahl Für alle Gefährdungen, die nicht abgedeckt sind, ist zu überlegen, wie diese zu behandeln sind. Als Handlungsalternativen kommen infrage:

• A: die Risiko-Reduktion durch weitere Sicherheitsmaßnahmen,

• B: die Risiko-Reduktion durch Umstrukturierung,

• C: die Risiko-Übernahme,

• D: der Risiko-Transfer.

Zielobjekt: Räume 2.14 – 2.20 in Bonn-Beuel




„B“ Umstrukturierung: Die bestehenden Regelungen zum Zugangsschutz werden so geändert, dass auch Betriebsangehörige, Wartungsarbeiter und Reinigungskräfte die Räume der Entwicklungsabteilung nicht mehr unbeaufsichtigt betreten können. Für die Umsetzung der Regelung werden die entsprechenden Büroräume so verlegt, dass sie durch eine flurseitig mit einem Blindknauf versehene Zwischentür von den anderen Räumen abgetrennt sind.

G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen

Siehe unter G 2.1.

usw.

Seite 62


Zielobjekt: C7 Clients in Entwicklungsabteilung



G 5.B1 Abhören der elektromagnetischen Abstrahlung von IT-Komponenten

„A“ M 6.B1

Zusätzliche Sicherheitsmaßnahme Verringern der elektronmagnetischen Abstrahlung von IT-Geräten Die elektromagnetische Abstrahlung der vorhandenen IT-Systeme wird von einer darauf spezialisierten Firma so weit reduziert, dass sie nicht mehr außerhalb der Büroräume wahrnehmbar ist.

usw.

Mit den getroffenen Entscheidungen wird der IT-Sicherheitsprozess fortgesetzt. Dies bedeutet insbesondere, dass die zusätzlichen Maßnahmen in das IT-Sicherheitskonzept zu integrieren sind (= Konsolidierung des IT-Sicherheitskonzepts) sowie deren Umsetzung zu planen ist. Gegebenenfalls ist außerdem in einem erneuten Basis-Sicherheitscheck der Umsetzungsstatus der neuen oder geänderten Maßnahmen zu prüfen.

Seite 63


8 Realisierungsplanung Insbesondere dann, wenn viele Sicherheitsmaßnahmen umzusetzen sind, ist es hilfreich, wenn Sie sich bei der Realisierungsplanung an die folgende Reihenfolge halten:

1. Ergebnisse ichten Sichten Sie zunächst die Ergebnisse des Basis-Sicherheitschecks und ggf. einer ergänzenden Sicherheitsanalyse und stellen Sie die noch nicht oder nur teilweise realisierten Sicherheitsmaßnahmen tabellarisch zusammen.

2. Maßnahmen konsolidieren Prüfen und konkretisieren Sie die Maßnahmen im Zusammenhang. Dies reduziert gegebenenfalls die umzusetzenden Maßnahmen. Das Ergebnis ist ein konsolidierter Realisierungsplan.

3. Aufwand schätzen Schätzen Sie den finanziellen und personellen Aufwand, der mit der Umsetzung der einzelnen Maßnahmen verbunden ist. Unterscheiden Sie dabei zwischen dem einmaligen Aufwand bei der Einführung einer Maßnahme und dem wiederkehrenden Aufwand im laufenden Betrieb.

4. Umsetzungsreihenfolge festlegen Legen Sie eine sinnvolle Umsetzungsreihenfolge fest. Berücksichtigen Sie dabei sowohl die sachlogischen Zusammenhänge der einzelnen Maßnahmen, als auch deren Wirkung auf das Sicherheitsniveau des IT-Verbunds.

5. Verantwortliche bestimmen Entscheiden Sie, bis zu welchem Termin eine Maßnahme umzusetzen ist und wer für die Realisierung und deren Überwachung zuständig sein soll.

6. Begleitende Maßnahmen festlegen Die praktische Wirksamkeit der Sicherheitsmaßnahmen hängt von der Akzeptanz und dem Verhalten der betroffenen Mitarbeiter ab. Planen Sie daher Schritte zu ihrer Sensibilisierung und Schulung ein.

Die Schritte 1, 3 und 4 können entfallen, falls nur wenige Maßnahmen zu realisieren sind oder die Maßnahmen insgesamt nur geringe personelle und finanzielle Ressourcen benötigen.

Weitere Informationen zur Realisierungsplanung finden Sie in Kapitel 4.6 der Beschreibung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2).

8.1 Konsolidierter Realisierungsplan Einige der fehlenden Maßnahmen können kurzfristig korrigiert werden und bedürfen daher keiner umfangreichen Realisierungsplanung. So sollten Mängel in einer Dokumentation in der Regel um-gehend und leicht behebbar sein (siehe die unzureichend umgesetzten Maßnahmen 2.25, 2.31 und 2.34 zum Zielobjekt A3 Finanzbuchhaltung sowie Maßnahme 2.25 zum Zielobjekt DB-Server Finanzbuch-haltung). Wer derartige Maßnahmen bis wann umzusetzen hat und wer überprüft, ob dies tatsächlich geschehen ist, kann unkompliziert bereits beim Basis-Sicherheitscheck dokumentiert werden. Diese und vergleichbare Maßnahmen werden daher in der Darstellung nicht weiter berücksichtigt.

Die folgenden Tabellen enthalten alle übrigen Maßnahmen, die im Basis-Sicherheitscheck als nicht oder nur teilweise umgesetzt identifiziert wurden. Sie beschränken sich ferner auf die exemplarisch ausgewählten Zielobjekte und Bausteine und geben den Stand der Realisierungsplanung nach dem Schritt 3 (Konsolidierung der Maßnahmen).

Seite 64


Legende: AT = Arbeitstage a) Einmalige Investitionskosten b) Einmaliger Personalaufwand c) Wiederkehrende Kosten d) Wiederkehrender Personalaufwand

Zielobjekt: Gesamte Organisation RECPLAST GmbH


Maßnahme (erforderlich ab Stufe)

Aufwand Bemerkungen

M 2.195 Erstellung eines IT-Sicherheitskonzepts (A)

a) 0,- Euro b) 40 AT c) 0,- Euro d) 5 AT/Jahr

Projektlaufzeit 33. – 46. Kalenderwoche parallel zu anderen Arbeiten; regelmäßiger Aufwand für die Fortschreibung des Konzepts ist berücksichtigt.

M 2.196 Umsetzung des IT-Sicherheitskonzepts nach einem Realisierungsplan (A)


Umsetzung in Arbeitsteilung

M 2.197 Erstellung eines Schulungs-konzepts zur IT-Sicherheit (B)


Wird bei der Erarbeitung des IT-Sicherheitskonzepts berücksichtigt. Das Schulungskonzept soll jährlich aktualisiert werden.

M 2.198 Sensibilisierung der Mitarbeiter für IT-Sicherheit (A)

a) 800,- Euro b) 0,5 AT c) 800,- Euro d) 0,5 AT

Durchführung mit externen Dozenten; es sind jährliche Veranstaltungen geplant.

M 2.199 Aufrechterhaltung der IT-Sicherheit (A)


IT-Sicherheitsrevision in der 20. Kalenderwoche des nächsten Jahres, Aktualisierung spätestens zwei Jahre danach geplant.

M 2.201 Dokumentation des IT-Sicherheitsprozesses (B)


In elektronischen Dokumenten, die von den Mitarbeitern jederzeit abgerufen werden können.



Aufwand Bemerkungen

M. 3.5 Schulung zu IT-Sicherheits-maßnahmen (A)


Die Administratoren erhalten jährliche Schulungen durch externe Dozenten. Die Benutzer werden von diesen in den sicheren Umgang mit den jeweiligen Anwendungen eingearbeitet.

Zielobjekt: BG, R. 1.02 Serverraum



Aufwand Bemerkungen

M 1.3 Angepasste Aufteilung der Stromkreise (A)

a) 0,- Euro b) 0,3 AT c) 0,- Euro d) 0,3 AT/Jahr

Die Elektroinstallation wird von der Haustechnik geprüft. Eine mindestens jährliche Überprüfung wird festgelegt.

Seite 65


Zielobjekt: BG, R. 1.02 Serverraum



Aufwand Bemerkungen

M 1.7 Handfeuerlöscher (A)

a) 0,- Euro b) 0,3 AT c) 0,- Euro d) 0 AT/Jahr

Alle Mitarbeiter mit Zugangsberechtigung zum Serverraum sollen in die Handhabung der vorhandenen CO2-Löscher eingewiesen werden.

M 1.10 Verwendung von Sicherheitstüren und Fenstern (C)


Der Einbau eines Sicherheitsfensters zum Serverraum und eines Außengitters empfiehlt sich, da der Raum im Erdgeschoss liegt und insgesamt einen hohen Schutzbedarf hat.

M 1.24 Vermeidung von wasserführenden Leitungen (C)

a) 20.000,- Euro b) 12 AT c) 0,- Euro d) 0 AT/Jahr

Die Maßnahme übersteigt das derzeit vorhandene Budget. Ersatzweise wird die Zusatzmaßnahme Z1 realisiert.

M 1.31 Fernanzeige von Störungen (Z)

a) 300,- Euro b) 2 AT c) 100,- Euro d) 0,5 AT/Jahr

Die vorhandenen Geräte bieten keine Möglichkeit zur Fernanzeige von Funktionsstörungen der USV oder eines Ausfalls der Klimaanlage, lassen sich aber mit vertretbarem Aufwand um diese Funktionen erweitern.

Z1: Einbau von Wasser ableitenden Blechen und Installation eines Wassermelders mit Sirene


Diese Maßnahme ersetzt Maßnahme M 1.24.

Zielobjekt: S5 DB-Server Finanzbuchhaltung



Aufwand Bemerkungen

M 2.22 Hinterlegen des Passwortes (A)


Alle Passwörter für die Administration des Servers werden in einem Safe im Büro der Geschäftsführung hinterlegt. Ein Zugriff auf die Passwörter ist ohne Zustimmung der Geschäftsführung nicht möglich.



Aufwand Bemerkungen

M 6.76 Erstellen eines Notfallplans für den Ausfall des Windows 2000 Netzes (C)


Im Rahmen des insgesamt zu entwickelnden Notfallplans wird ein Konzept speziell für diesen Server entwickelt.

Seite 66


Zielobjekt: Teilnetz an Switch 1



Aufwand Bemerkungen

M 4.83 Update/Upgrade von Soft- und Hardware im Netzbereich (C)

a) 2000,- Euro b)2 AT c) 0,- Euro d) 0 AT/Jahr

Ein zusätzlicher Rechner für Testzwecke wird beschafft.

M 6.54 Verhaltensregeln nach Verlust der Netzintegrität (A)


Die Formulierung entsprechender Verhaltensregeln ist Bestandteil des zu entwickelnden Sicherheitskonzepts. Es entsteht hier kein zusätzlicher Aufwand.

Zielobjekt: Anwendung A3 Finanzbuchhaltung



Aufwand Bemerkungen

M 6.48 Verhaltensregeln nach Verlust der Datenbankintegrität (A)


Die Formulierung entsprechender Verhaltensregeln ist Bestandteil des zu entwickelnden Sicherheitskonzepts. Es entsteht hier kein zusätzlicher Aufwand.

M 6.51 Wiederherstellung einer Datenbank (B)


Das vorhandene Datensicherungskonzept wird um Regelungen ergänzt, die entsprechende Überprüfungen und deren Dokumentation vorschreiben.

Seite 67


8.2 Abgestimmter Realisierungsplan Die folgenden Tabellen enthalten den mit der Unternehmensleitung abgestimmten Realisierungsplan mit eingetragenen Verantwortlichen und Umsetzungsterminen. Legende: Z = Zusatzmaßnahme AT = Arbeitstage KW = Kalenderwoche

a) Einmalige Investitionskosten b) Einmaliger Personalaufwand c) Wiederkehrende Kosten d) Wiederkehrender Personalaufwand

Zielobjekt: Gesamte Organisation der RECPLAST GmbH.



Umzusetzen bis Verantwortlich Budgetrahmen Bemerkungen

M 2.195 Erstellung eines IT-Sicherheitskonzepts (A)

46. KW Umsetzung: IT-Sicherheitsteam Kontrolle: P. Muster


Betriebsrat wird vor der Verabschiedung des Konzepts beteiligt

M 2.196 Umsetzung des IT-Sicherheitskonzepts nach einem Realisierungsplan (A)

49. KW Umsetzung: IT-Sicherheitsteam Kontrolle: P. Muster


Umsetzung in Arbeitsteilung

M 2.197 Erstellung eines Schulungskonzepts zur IT-Sicherheit (B)

47. KW Umsetzung: M. Müller Kontrolle: P. Muster


Das Konzept soll jährlich aktualisiert werden.

M 2.198 Sensibilisierung der Mitarbeiter für IT-Sicherheit (A)

51. KW Umsetzung: M. Müller Kontrolle: P. Muster

a) 800,- Euro b) 0,5 AT c) 800,- Euro d) 0,5 AT

Durchführung mit externen Dozenten; es sind jährliche Veranstaltungen geplant.

M 2.199 Aufrechterhaltung der IT-Sicherheit (A)

20 KW des nächsten Jahres, (fortlaufend)

Umsetzung: IT-Sicherheitsteam Kontrolle: P. Muster


IT-Sicherheitsrevision in der 20. Kalenderwoche des nächsten Jahres, Aktualisierung spätestens zwei Jahre danach geplant.

M 2.201 Dokumentation des IT-Sicherheitsprozesses (B)

46. KW Umsetzung: A. Admin Kontrolle: P. Muster


In elektronischen Dokumenten, die von den Mitarbeitern jederzeit abgerufen werden können.




M 3.5 Schulung zu IT-Sicherheitsmaßnahmen (A)

ab 1. KW (fortlaufend)

Umsetzung: A. Admin Kontrolle: P. Muster


Die Administratoren erhalten jährliche Schulungen durch externe Dozenten. Die Benutzer werden von diesen in den sicheren Umgang mit den jeweiligen Anwendungen eingearbeitet.

Seite 68


Zielobjekt: BG, R. 10 Serverraum




M 1.3 Angepasste Aufteilung der Stromkreise (A)

38. KW Umsetzung: M. Wachsam Kontrolle: P. Muster


Die Elektro-Installation wird von der Haustechnik geprüft. Eine mindestens jährliche Überprüfung wird festgelegt.

M 1.7 Handfeuerlöscher (A)



Alle Mitarbeiter, die Zugang zum Serverraum haben, werden im Umgang mit den CO2-Löschern geschult.

M 1.10 Verwendung von Sicherheitstüren und Fenstern (C)



Der Serverraum erhält ein Sicherheitsfenster mit Außengitter.

M 1.31 Fernanzeige von Störungen (Z)



Beschaffung und Installation von Geräten zur Fernanzeige von Störungen der Klimaanlage und der USV.

Z1: Einbau von Wasser ableiten-den Blechen und Installation eines Wassermelders mit Sirene



Diese Maßnahme ersetzt M 1.24.

Zielobjekt: S5 DB-Server Finanzbuchhaltung




M 2.22 Hinterlegen des Passwortes (A)



Alle Passwörter für die Administration des Servers werden in einem Safe im Büro der Geschäftsführung hinter-legt. Ein Zugriff auf die Passwörter ist ohne Zustimmung der Geschäfts-führung nicht möglich.




M 6.76 Erstellen eines Notfall-plans für den Ausfall des Windows 2000 Netzes (C)



Besondere Berücksichtigung bei der Notfallplanung

Seite 69


Zielobjekt: Teilnetz an Switch 1




M 4.83 Update/Upgrade von Soft- und Hardware im Netzbereich (C)


a) 1000,- Euro b)2 AT c) 0,- Euro d) 0 AT/Jahr

Budgetrahmen verringert, da kein teurer Rechner notwendig ist.

M 6.54 Verhaltensregeln nach Verlust der Netzintegrität (A)



Es entsteht hier kein zusätzlicher Aufwand.

Zielobjekt: Anwendung A3 Finanzbuchhaltung




M 6.48 Verhaltensregeln nach Verlust der Datenbankintegrität (A)



Die Formulierung entsprech-ender Regeln ist Bestandteil des Sicherheitskonzepts. Es entsteht hier kein zusätzlicher Aufwand.

M 6.51 Wiederherstellung einer Datenbank (B)



Das Datensicherungskonzept wird um Regelungen ergänzt, die Überprüfungen und deren Dokumentation vorschreiben.

Seite 70

Documents

Das Beispielunternehmen RECPLAST