IT -Grundschutz-Methodik

Inhaltsverzeichnis

BSI-Standard 200-2 IT-Grundschutz-Methodik

1 Einleitung 7 11 Versionshistorie 7 12 Zielsetzung 7 13 Adressatenkreis 8 14 Anwendungsweise 9 15 Aufbau des BSI-Standards 200-2 9

2 Informationssicherheitsmanagement mit IT-Grundschutz 11 21 Ganzheitliches Konzept 11 22 Managementsystem fuumlr die Informationssicherheit 11 23 Verantwortung fuumlr die Informationssicherheit 12 24 Elemente des IT-Grundschutzes 12 25 Thematische Abgrenzung 14 26 Uumlbersicht uumlber den Informationssicherheitsprozess 14 27 Anwendung des IT-Grundschutz-Kompendiums 17

3 Initiierung des Sicherheitsprozesses 20 31 Uumlbernahme von Verantwortung durch die Leitungsebene 20 32 Konzeption und Planung des Sicherheitsprozesses 21

321 Ermittlung von Rahmenbedingungen 21 322 Formulierung von allgemeinen Informationssicherheitszielen 23 323 Bestimmung des angemessenen Sicherheitsniveaus der Geschaumlftsproshy

zesse 24 324 Ersterfassung der Prozesse Anwendungen und IT-Systeme 26

33 Entscheidung fuumlr Vorgehensweise 28 331 Basis-Absicherung 29 332 Kern-Absicherung 29 333 Standard-Absicherung 30 334 Festlegung des Geltungsbereichs 30 335 Managemententscheidung 31

34 Erstellung einer Leitlinie zur Informationssicherheit 32 341 Verantwortung der Behoumlrden- bzw Unternehmensleitung fuumlr die Sichershy

heitsleitlinie 33 342 Einberufung einer Entwicklungsgruppe fuumlr die Sicherheitsleitlinie 33 343 Festlegung des Geltungsbereichs und Inhalt der Sicherheitsleitlinie 33 344 Bekanntgabe der Sicherheitsleitlinie 34 345 Aktualisierung der Sicherheitsleitlinie 35

4 Organisation des Sicherheitsprozesses 36 41 Integration der Informationssicherheit in organisationsweite Ablaumlufe und Prozesse 36 42 Aufbau der Informationssicherheitsorganisation 37 43 Aufgaben Verantwortungen und Kompetenzen in der IS-Organisation 39 44 Der Informationssicherheitsbeauftragte 40 45 Das IS-Management-Team 43

Inhaltsverzeichnis

46 Bereichs- und Projekt-Sicherheitsbeauftragte bzw Beauftragter fuumlr IT-Sicherheit 44 47 Der ICS-Informationssicherheitsbeauftragte (ICS-ISB) 45 48 IS-Koordinierungsausschuss 46 49 Der Datenschutzbeauftragte 47 410 Zusammenspiel mit anderen Organisationseinheiten und Managementdisziplinen 49 411 Einbindung externer Sicherheitsexperten 50

5 Dokumentation im Sicherheitsprozess 52 51 Klassifikation von Informationen 52 52 Informationsfluss im Informationssicherheitsprozess 54

521 Berichte an die Leitungsebene 55 522 Dokumentation im Informationssicherheitsprozess 55 523 Anforderungen an die Dokumentation 57 524 Informationsfluss und Meldewege 59

6 Erstellung einer Sicherheitskonzeption nach der Vorgehensweise Basis-Absicheshyrung 61 61 Festlegung des Geltungsbereichs fuumlr die Basis-Absicherung 62 62 Auswahl und Priorisierung fuumlr die Basis-Absicherung 62

621 Modellierung nach IT-Grundschutz 62 622 Reihenfolge der Baustein-Umsetzung 63 623 Zuordnung von Bausteinen 63 624 Ermittlung konkreter Maszlignahmen aus Anforderungen 63

63 IT-Grundschutz-Check fuumlr Basis-Absicherung 64 64 Realisierung 66 65 Auswahl einer folgenden Vorgehensweise 66

7 Erstellung einer Sicherheitskonzeption nach der Vorgehensweise Kern-Absicheshyrung 68 71 Die Methodik der Kern-Absicherung 68 72 Festlegung des Geltungsbereichs fuumlr die Kern-Absicherung 69 73 Identifikation und Festlegung der kritischen Assets (Kronjuwelen) 70 74 Strukturanalyse 72 75 Schutzbedarfsfeststellung 72 76 Modellierung Auswahl und Anpassung von Anforderungen 73 77 IT-Grundschutz-Check 74 78 Risikoanalyse und weiterfuumlhrende Sicherheitsmaszlignahmen 74 79 Umsetzung und weitere Schritte 74

8 Erstellung einer Sicherheitskonzeption nach der Vorgehensweise der Standard-Absicherung 76 81 Strukturanalyse 78

811 Komplexitaumltsreduktion durch Gruppenbildung 79 812 Erfassung der Geschaumlftsprozesse und der zugehoumlrigen Informationen 80 813 Erfassung der Anwendungen und der zugehoumlrigen Informationen 82 814 Netzplanerhebung 87 815 Erhebung der IT-Systeme 91 816 Erhebung der ICS-Systeme 95 817 Erhebung sonstiger Geraumlte 97 818 Erfassung der Raumlume 100

Inhaltsverzeichnis

82 Schutzbedarfsfeststellung 104 821 Definition der Schutzbedarfskategorien 104 822 Vorgehen bei der Schutzbedarfsfeststellung 108 823 Schutzbedarfsfeststellung fuumlr Geschaumlftsprozesse und Anwendungen 110 824 Schutzbedarfsfeststellung fuumlr IT-Systeme 114 825 Schutzbedarfsfeststellung fuumlr ICS-Systeme 119 826 Schutzbedarfsfeststellung fuumlr sonstige Geraumlte 121 827 Schutzbedarfsfeststellung fuumlr Raumlume 123 828 Schutzbedarfsfeststellung fuumlr Kommunikationsverbindungen 125 829 Schlussfolgerungen aus den Ergebnissen der Schutzbedarfsfeststellung 130

83 Modellierung eines Informationsverbunds 132 831 Das IT-Grundschutz-Kompendium 132 832 Modellierung eines Informationsverbunds Auswahl von Bausteinen 134 833 Reihenfolge der Baustein-Umsetzung 137 834 Zuordnung von Bausteinen 138 835 Modellierung bei Virtualisierung und Cloud-Systemen 139 836 Anpassung der Baustein-Anforderungen 142 837 Einbindung externer Dienstleister 144

84 IT-Grundschutz-Check 145 841 Organisatorische Vorarbeiten fuumlr den IT-Grundschutz-Check 146 842 Durchfuumlhrung des Soll-Ist-Vergleichs 150 843 Dokumentation der Ergebnisse 151

85 Risikoanalyse 152

9 Umsetzung der Sicherheitskonzeption 158 91 Sichtung der Untersuchungsergebnisse 158 92 Kosten- und Aufwandsschaumltzung 159 93 Festlegung der Umsetzungsreihenfolge der Maszlignahmen 160 94 Festlegung der Aufgaben und der Verantwortung 161 95 Realisierungsbegleitende Maszlignahmen 162

10 Aufrechterhaltung und kontinuierliche Verbesserung der Informationssichershyheit 164 101 Uumlberpruumlfung des Informationssicherheitsprozesses auf allen Ebenen 164

1011 Uumlberpruumlfung anhand von Kennzahlen 165 1012 Bewertung des ISMS mithilfe eines Reifegradmodells 165 1013 Uumlberpruumlfung der Umsetzung der Sicherheitsmaszlignahmen 167 1014 Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz 168

102 Eignung der Informationssicherheitsstrategie 168 103 Uumlbernahme der Ergebnisse in den Informationssicherheitsprozess 169

11 Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz 171

12 Anhang 173 121 Erlaumluterungen zu den Schadensszenarien 173 122 Literaturverzeichnis 178

1 Einleitung

Einleitung

11 Versionshistorie

Der BSI-Standard 200-2 loumlst den BSI-Standard 100-2 ab

Stand Version Aumlnderungen

Maumlrz 2017 CD 10 Neukonzeption basierend auf BSI-Standard 100-2

bull Im Rahmen der Modernisierung des IT-Grundschutzes wurden neben der Standard-Absicherung die Vorgehensweisen zur Bashysis-Absicherung und Kern-Absicherung eingefuumlgt

bull Erweiterung um Virtualisierung Cloud- ICS- und IoT-Absicheshyrung

bull Klarstellung der Rollen und Aufgaben von IT-SiBe und ISB

bull Anpassungen an Fortschreibung der ISO-Standards

bull Informationsklassifizierung staumlrker herausgearbeitet

bull Informationsfluss im Informationssicherheitsprozess uumlberarbeishytet Angleichung mit 100-4

bull Beispiel BoV durch RECPLAST ausgetauscht

Oktober 2017 Version 10 Einarbeitung von Anwenderkommentaren

bull im Wesentlichen sprachliche Praumlzisierungen

bull Aumlnderung des Begriffs bdquoAktivaldquo in bdquoAssetsldquo

12 Zielsetzung

Mit dem BSI-Standard 200-2 stellt das BSI eine Methodik fuumlr ein effektives Management von Inforshymationssicherheit zur Verfuumlgung Diese kann an die Anforderungen von Institutionen verschiedenster Art und Groumlszlige angepasst werden Im BSI-Standard 200-2 wird dies uumlber die drei Vorgehensweisen bdquoStandard-Absicherungldquo bdquoBasis-Absicherungldquo und bdquoKern-Absicherungldquo realisiert

Die Methodik baut auf dem BSI-Standard 200-1 Managementsysteme ffr die Informationssicherheit (ISMS) (siehe [BSI1]) und damit auch auf ISO 27001 [27001] auf In diesem Dokument wird aufgezeigt wie der im BSI-Standard 200-1 vorgestellte grundlegende Rahmen fuumlr ein Informationssicherheitsmashynagementsystem durch IT-Grundschutz konkretisiert wird Ein Managementsystem fuumlr die Informatishyonssicherheit (ISMS) ist das geplante und organisierte Vorgehen um ein angemessenes Sicherheitsshyniveau fuumlr die Informationssicherheit zu erzielen und aufrechtzuerhalten

Der IT-Grundschutz ist ein etablierter Standard zum Aufbau und zur Aufrechterhaltung eines angeshymessenen Schutzes aller Informationen einer Institution Die vom BSI kontinuierlich weiterentwickelte Methodik bietet sowohl Anleitungen fuumlr den Aufbau eines ISMS als auch eine umfassende Basis fuumlr die Risikoanalyse die Uumlberpruumlfung des vorhandenen Sicherheitsniveaus und die Implementierung eines angemessenen Grades an Informationssicherheit

13 Adressatenkreis

Eines der wichtigsten Ziele des IT-Grundschutzes ist es den Aufwand im Informationssicherheitsproshyzess zu reduzieren Dazu werden bekannte Ansaumltze und Methoden zur Verbesserung der Informatishyonssicherheit gebuumlndelt und kontinuierlich aktualisiert Ergaumlnzend veroumlffentlicht das BSI im IT-Grundshyschutz-Kompendium Bausteine mit konkreten Sicherheitsanforderungen fuumlr typische Geschaumlftsproshyzesse Anwendungen Systeme Kommunikationsverbindungen und Raumlume die nach Bedarf in der eigenen Institution eingesetzt werden koumlnnen Im IT-Grundschutz werden alle Bereiche einer Institushytion betrachtet dazu gehoumlren Produktion und Fertigung mit Industrial Control Systems (ICS) ebenso wie Komponenten aus dem Bereich des Internet of Things (IoT)

Durch die Umsetzung von organisatorischen personellen infrastrukturellen und technischen Sichershyheitsanforderungen wird mit der Vorgehensweise bdquoStandard-Absicherungldquo ein Sicherheitsniveau fuumlr die betrachteten Geschaumlftsprozesse erreicht das fuumlr den normalen Schutzbedarf angemessen und ausreichend ist um geschaumlftsrelevante Informationen zu schuumltzen Bei der Umsetzung der Vorgeshyhensweise bdquoBasis-Absicherungldquo wird ein Sicherheitsniveau erreicht das zwar deutlich unter dem der Standard-Absicherung liegt aber eine gute Grundlage fuumlr ISMS-Einsteiger bietet Mit der Vorgeshyhensweise bdquoKern-Absicherungldquo koumlnnen besonders schuumltzenswerte Informationen und Geschaumlftsshyprozesse vorrangig abgesichert werden

Die IT-Grundschutz-Methodik wird regelmaumlszligig erweitert und an die aktuellen Entwicklungen angeshypasst die sich durch neue Prozesse Normen und Regularien vor allem aber durch die stetig fortschreishytende Digitalisierung ergeben Aufgrund des engen Erfahrungsaustauschs mit den Anwendern des IT-Grundschutzes flieszligen stetig neue Anforderungen und Aspekte in die Veroumlffentlichungen ein Die Anwender koumlnnen daher mit aktuellen Empfehlungen an einem ISMS fuumlr ihre Institution arbeiten und typische Sicherheitsprobleme schnell identifizieren und beheben

13 Adressatenkreis

Der BSI-Standard 200-2 richtet sich primaumlr an Sicherheitsverantwortliche -beauftragte -experten -berater und alle Interessierten die mit dem Management von Informationssicherheit betraut sind Er ist zugleich eine sinnvolle Grundlage fuumlr IT- und ICS-Verantwortliche Fuumlhrungskraumlfte und Projektshymanager die dafuumlr Sorge tragen dass Aspekte der Informationssicherheit in ihrer Institution bzw in ihren Projekten ausreichend beruumlcksichtigt werden

Der IT-Grundschutz bietet Institutionen jeder Groumlszlige und Sparte eine kosteneffektive und zielfuumlhrende Methode zum Aufbau und zur Umsetzung der fuumlr sie angemessenen Informationssicherheit Der Beshygriff bdquoInstitutionldquo wird im folgenden Text fuumlr Unternehmen Behoumlrden und sonstige oumlffentliche oder private Organisationen verwendet

IT-Grundschutz kann sowohl von kleinen als auch groszligen Institutionen eingesetzt werden Dabei sollshyte aber beachtet werden dass alle Empfehlungen im Kontext der jeweiligen Institution betrachtet werden sollten und an die jeweiligen Rahmenbedingungen angepasst werden muumlssten

Im IT-Grundschutz gilt die Voraussetzung dass die Informations- und Kommunikationstechnik ebenso wie die vorhandene industrielle Steuerungs- und Automatisierungstechnik von Fachpersonal admishynistriert wird dass es also einen IT-Betrieb mit klar definierten Rollen gibt Dieser kann von einem einzelnen Administrator bis hin zu einer oder mehreren IT-Abteilungen reichen Davon ausgehend werden die verschiedenen Aktivitaumlten im Sicherheitsprozess beschrieben

1 Einleitung

14 Anwendungsweise

Im BSI-Standard 200-1 Managementsysteme ffr Informationssicherheit (ISMS) wird beschrieben mit welchen Methoden Informationssicherheit in einer Institution generell initiiert und gesteuert werden kann Der vorliegende BSI-Standard 200-2 bietet konkrete Hilfestellungen wie ein Managementsysshytem fuumlr die Informationssicherheit Schritt fuumlr Schritt eingefuumlhrt werden kann Im Fokus stehen hier somit einzelne Phasen dieses Prozesses sowie bewaumlhrte Best-Practice-Loumlsungen

Die IT-Grundschutz-Methodik bietet ein umfangreiches Geruumlst fuumlr ein ISMS und ist auf die individushyellen Rahmenbedingungen einer Institution anzupassen damit ein geeignetes Managementsystem fuumlr die Informationssicherheit aufgebaut werden kann Fuumlr einen kontinuierlichen und effektiven Proshyzess der Informationssicherheit ist es entscheidend eine ganze Reihe von Aktionen durchzufuumlhren Hierfuumlr liefern die IT-Grundschutz-Methodik und das IT-Grundschutz-Kompendium zentrale Hinweise und praktische Umsetzungshilfen

Des Weiteren bietet dieser Standard die Moumlglichkeit einer Zertifizierung an Damit kann eine Institushytion nicht nur die Umsetzung von IT-Grundschutz sondern auch die Qualitaumlt des eigenen ISMS mitshyhilfe eines ISO 27001-Zertifikates auf Basis von IT-Grundschutz nachweisen Das Zertifikat dient zushygleich anderen Institutionen als Kriterium um sich uumlber den Reifegrad eines ISMS einer anderen Inshystitution informieren zu koumlnnen

Eine Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz kann auch als Sicherheitsanforshyderung fuumlr moumlgliche Kooperationspartner verwendet werden um das erforderliche Niveau an Inforshymationssicherheit bei der anderen Institution zu definieren

Auch wenn als Grundlage fuumlr das ISMS eine andere Methodik angewendet wird ist es trotzdem moumlglich vom IT-Grundschutz zu profitieren So bietet der IT-Grundschutz auch Loumlsungsansaumltze fuumlr einzelne Aufgabenstellungen beispielsweise fuumlr die Erstellung von Konzepten oder die Durchfuumlhrung von Revisionen und Zertifizierungen im Bereich der Informationssicherheit Je nach Anwendungsbeshyreich bilden bereits einzelne Bausteine Umsetzungshinweise oder weitere Hilfsmittel die der IT-Grundschutz zur Verfuumlgung stellt hilfreiche Grundlagen fuumlr die Arbeit des Sicherheitsmanageshyments

15 Aufbau des BSI-Standards 200-2

Kapitel 2 enthaumllt die wichtigsten Schritte fuumlr die Einfuumlhrung eines ISMS sowie der Erstellung einer Sicherheitskonzeption

In Kapitel 3 wird beschrieben wie die grundlegende Phase der Initiierung des Informationssicherheitsshyprozesses aussehen kann und welche Hintergrundinformationen erforderlich sind um eine fundierte Entscheidung uumlber die fuumlr die Institution geeignete Vorgehensweise zur Absicherung ihrer Informashytionen und Geschaumlftsprozesse zu treffen Als wesentliche Grundlage fuumlr die weiteren Aktivitaumlten ist eine Leitlinie zur Informationssicherheit zu erstellen

Fuumlr den Sicherheitsprozess muumlssen geeignete Organisationsstrukturen aufgebaut und ein funktionieshyrendes Sicherheitsmanagement muss eingerichtet werden siehe Kapitel 4

Im Rahmen eines funktionierenden Sicherheitsprozesses muumlssen diverse Dokumentationen erstellt werden Was hierbei zu beachten ist wird in Kapitel 5 naumlher beschrieben

Kapitel 6 veranschaulicht wie vorzugehen ist wenn als Vorgehensweise die Basis-Absicherung ausshygewaumlhlt wurde Die Basis-Absicherung verfolgt das Ziel als Einstieg in den IT-Grundschutz zunaumlchst eine breite grundlegende Erst-Absicherung uumlber alle Geschaumlftsprozesse bzw Fachverfahren einer

Institution hinweg zu erzielen Nach der Festlegung des Geltungsbereichs muss eine Auswahl und Zuordnung der IT-Grundschutz-Bausteine erfolgen und die Reihenfolge ihrer Anwendung festgelegt werden Mit einem IT-Grundschutz-Check wird gepruumlft inwieweit die Basis-Anforderungen bereits umgesetzt sind Anschlieszligend muumlssen konkrete Maszlignahmen zur Erfuumlllung der offenen Anforderunshygen abgeleitet und umgesetzt werden Durch die Auswahl einer der nachfolgenden Vorgehensweisen sollte das so erreichte Sicherheitsniveau aufrechterhalten und verbessert werden

Wie ein vorgezogener Schutz der essenziellen Assets nach IT-Grundschutz mit der Kern-Absicherung erzielt werden kann wird in Kapitel 7 verdeutlicht Die Vorgehensweise orientiert sich dabei stark an den Schritten der Vorgehensweise zur Standard-Absicherung die im darauffolgenden Kapitel 8 naumlher beschrieben werden soll

Kapitel 8 widmet sich demnach der Vorgehensweise zur Standard-Absicherung Dabei wird aufgeshyzeigt wie zunaumlchst die Grundinformationen uumlber einen Informationsverbund erhoben werden und diese durch Gruppenbildung reduziert werden koumlnnen Anschlieszligend muss ausgehend von den Geshyschaumlftsprozessen der Schutzbedarf fuumlr Anwendungen IT-Systeme Kommunikationsverbindungen und Raumlume festgestellt werden Aus den Empfehlungen des IT-Grundschutz-Kompendiums muumlssen ferner die fuumlr den jeweiligen Informationsverbund passenden Bausteine und Anforderungen ausgeshywaumlhlt also die Modellierung nach IT-Grundschutz durchgefuumlhrt werden Aus den gewaumlhlten Anforshyderungen erfolgt die Ableitung von Sicherheitsmaszlignahmen Vor der Realisierung von Sicherheitsmaszligshynahmen muumlssen vorhandene und zusaumltzliche Sicherheitsmaszlignahmen die beispielsweise durch die Risikoanalyse auf der Basis von IT-Grundschutz gemaumlszlig BSI-Standard 200-3 (siehe [BSI3]) ermittelt wurshyden in das Sicherheitskonzept integriert werden

Wie die Umsetzung der identifizierten und konsolidierten Sicherheitsmaszlignahmen durchgefuumlhrt wershyden sollte wird anschlieszligend in Kapitel 9 beschrieben

Die wesentliche Aufgabe eines ISMS ist es die Aufrechterhaltung der Informationssicherheit zu geshywaumlhrleisten und diese fortlaufend zu verbessern Dieses Thema wird in Kapitel 10 vertiefend behanshydelt

Die Vorgehensweisen nach IT-Grundschutz und das IT-Grundschutz-Kompendium werden nicht nur fuumlr die Sicherheitskonzeption sondern auch als Referenzen im Sinne eines Sicherheitsstandards vershywendet Durch eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz kann eine Institution nach innen und auszligen hin dokumentieren dass sie sowohl ISO 27001 als auch den IT-Grundschutz in der erforderlichen Tiefe umgesetzt hat Kapitel 11 liefert einen kurzen Uumlberblick daruumlber welche Schritte hierfuumlr notwendig sind und erlaumlutert abschlieszligend welche Bedingungen fuumlr eine erfolgreishyche Zertifizierung erfuumlllt werden muumlssen

2 Informationssicherheitsmanagement mit IT-Grundschutz

2 Informationssicherheitsmanagement mit IT-Grundschutz Informationen sind ein wesentlicher Wert fuumlr Unternehmen und Behoumlrden und muumlssen daher angeshymessen geschuumltzt werden Die meisten Informationen werden heutzutage mit Informationstechnik (IT) erstellt gespeichert transportiert oder weiterverarbeitet Moderne Geschaumlftsprozesse sind heute in Wirtschaft und Verwaltung ohne IT-Unterstuumltzung laumlngst nicht mehr vorstellbar In Produktion und Fertigung hat mit Industrial Control Systems (ICS) die Informations- und Kommunikationstechnik ebenso Einzug gehalten wie das Internet of Things (IoT) in fast jedem anderem Bereich

Unzureichend geschuumltzte Informationen stellen einen haumlufig unterschaumltzten Risikofaktor dar der fuumlr eine Institution existenzbedrohend werden kann Dabei ist ein vernuumlnftiger Informationsschutz ebenshyso wie eine Grundsicherung der IT schon mit verhaumlltnismaumlszligig geringen Mitteln zu erreichen

21 Ganzheitliches Konzept

Um zu einem bedarfsgerechten Sicherheitsniveau fuumlr alle Geschaumlftsprozesse Informationen und auch der IT-Systeme einer Institution zu kommen ist allerdings mehr als das bloszlige Anschaffen von Virenshyschutzprogrammen Firewalls oder Datensicherungssystemen notwendig Ein ganzheitliches Konzept ist wichtig Dazu gehoumlrt vor allem ein funktionierendes und in die Institution integriertes Sicherheitsshymanagement Informationssicherheitsmanagement (oder kurz IS-Management) ist jener Teil des allshygemeinen Risikomanagements der die Vertraulichkeit Integritaumlt und Verfuumlgbarkeit von Informatioshynen Geschaumlftsprozessen Anwendungen und IT-Systemen gewaumlhrleisten soll Dabei handelt es sich um einen kontinuierlichen Prozess dessen Strategien und Konzepte staumlndig auf ihre Leistungsfaumlhigshykeit und Wirksamkeit zu uumlberpruumlfen und bei Bedarf fortzuschreiben sind

Informationssicherheit ist nicht nur eine Frage der Technik sondern haumlngt in erheblichem Maszlige von den organisatorischen und personellen Rahmenbedingungen ab Der IT-Grundschutz traumlgt dem Ganshyzen Rechnung indem er uumlber die auf dem Stand der Technik basierenden Bausteine sowohl technishysche als auch nicht technische Sicherheitsanforderungen fuumlr typische Geschaumlftsbereiche Anwendunshygen und Systeme beschreibt Im Vordergrund stehen dabei praxisnahe und handlungsorientierte Sishycherheitsanforderungen mit dem Ziel die Einstiegshuumlrde in den Sicherheitsprozess so niedrig wie moumlglich zu halten und hochkomplexe Vorgehensweisen zu vermeiden

Unter dem Dach des IT-Grundschutzes werden mit der Basis- der Standard- und der Kern-Absicheshyrung verschiedene Vorgehensweisen angeboten um den Institutionen je nach Art und Groumlszlige passenshyde Instrumente zum Schutz ihrer Informationsverbuumlnde an die Hand zu geben

22 Managementsystem fuumlr die Informationssicherheit

Im BSI-Standard 200-2 wird dargestellt wie ein effizientes Managementsystem fuumlr die Informationsshysicherheit aufgebaut und wie das IT-Grundschutz-Kompendium im Rahmen dieser Aufgabe verwenshydet werden kann Die Vorgehensweisen nach IT-Grundschutz in Kombination mit dem IT-Grundshyschutz-Kompendium bieten eine systematische Methodik zur Erarbeitung von Sicherheitskonzepten und praxiserprobten Sicherheitsmaszlignahmen die in zahlreichen Behoumlrden und Unternehmen erfolgshyreich eingesetzt werden

Die Bausteine im IT-Grundschutz-Kompendium werden staumlndig weiterentwickelt und bedarfsgerecht um aktuelle Fachthemen ergaumlnzt Alle Informationen rund um den IT-Grundschutz sind kostenfrei uumlber die Website des BSI abrufbar Um die internationale Zusammenarbeit von Behoumlrden und Untershy

24 Elemente des IT-Grundschutzes

nehmen zu unterstuumltzen werden alle Dokumente rund um den IT-Grundschutz auch in englischer Sprache und in elektronischer Form zur Verfuumlgung gestellt

Immer mehr Geschaumlftsprozesse werden uumlber Informations- und Kommunikationstechnik miteinander verknuumlpft Dies geht einher mit einer steigenden Komplexitaumlt der technischen Systeme und mit einer hohen Abhaumlngigkeit vom korrekten Funktionieren der Technik Daher ist ein geplantes und organisiershytes Vorgehen aller Beteiligten notwendig um ein angemessenes und ausreichendes Sicherheitsniveau durchzusetzenundaufrechtzuerhalten EineVerankerungdiesesProzesses inallen Geschaumlftsbereichen kann nur gewaumlhrleistet werden wenn dieser zur Aufgabe der obersten Leitungs- bzw Managementshyebene wird Die oberste Managementebene ist verantwortlich fuumlr das zielgerichtete und ordnungsgeshymaumlszlige Funktioniereneiner Institutionunddamitauch fuumlrdieGewaumlhrleistungder Informationssicherheit nach innen und auszligen Daher muss diese den Sicherheitsprozess initiieren steuern und kontrollieren Dazu gehoumlren strategische Leitaussagen zur Informationssicherheit konzeptionelle Vorgaben und auch organisatorische Rahmenbedingungen sowie ausreichende Ressourcen um Informationssichershyheit innerhalb aller Geschaumlftsprozesse erreichen zu koumlnnen

23 Verantwortung fuumlr die Informationssicherheit

Die Verantwortung fuumlr Informationssicherheit verbleibt in jedem Fall bei der obersten Managementshyebene die Aufgabe bdquoInformationssicherheitldquo wird allerdings typischerweise an einen Beauftragten fuumlr Informationssicherheit delegiert In den IT-Grundschutz-Dokumenten wurde bisher die Bezeichshynung IT-Sicherheitsbeauftragter verwendet da dieser Begriff in Unternehmen und Behoumlrden lange Zeit der am weitesten verbreitete war Die Bezeichnung Informationssicherheitsbeauftragter oder kurz IS-Beauftragter (ISB) ist allerdings treffender und ersetzt daher im IT-Grundschutz die alte Beshyzeichnung Andere Varianten sind CISO (Chief Information Security Officer) oder Informationssichershyheitsmanager (ISM)

Informationssicherheit umfasst den umfangreicheren Bereich des Schutzes von Informationen zwar in und mit IT aber auch ohne IT bzw uumlber IT hinaus Somit ist IT-Sicherheit ein Teilbereich der Inforshymationssicherheit und beschaumlftigt sich gezielt mit dem Schutz der eingesetzten IT In groszligen Institushytionen kann es weiterhin neben dem ISB auch einen dedizierten Beauftragten fuumlr IT-Sicherheit geben Dieser ist dann typischerweise im IT-Bereich taumltig waumlhrend der ISB unmittelbar der Leitungsebene zuarbeitet

Wenn diese Randbedingungen in einer konkreten Situation nicht gegeben sind sollte zunaumlchst vershysucht werden die fehlenden Sicherheitsmaszlignahmen auf Arbeitsebene umzusetzen In jedem Fall sollte aber darauf hingewirkt werden die Leitungsebene fuumlr die Belange der Informationssicherheit zu sensibilisieren sodass sie zukuumlnftig ihrer Verantwortung Rechnung traumlgt Der vielfach zu beobachshytende sich selbst auf Arbeitsebene initiierende Informationssicherheitsprozess fuumlhrt zwar zu einer punktuellen Verbesserung der Sicherheitssituation garantiert jedoch kein dauerhaftes Fortentwickeln des Informationssicherheitsniveaus

Ein fundiertes und gut funktionierendes Sicherheitsmanagement ist die unerlaumlssliche Basis fuumlr die zuverlaumlssige und kontinuierliche Umsetzung von Sicherheitsmaszlignahmen in einer Institution Daher findet sich neben der ausfuumlhrlichen Behandlung in diesem Dokument im IT-Grundschutz-Kompendishyum ein Baustein Sicherheitsmanagement Dies dient sowohl dazu eine einheitliche Methodik bei der Anwendung des IT-Grundschutzes zu erreichen als auch dazu das Sicherheitsmanagement seiner

Bedeutung angemessen in die Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz einbezieshyhen zu koumlnnen

Ergaumlnzend zu den in diesem Standard beschriebenen Vorgehensweisen nach IT-Grundschutz werden im IT-Grundschutz-Kompendium Sicherheitsanforderungen nach dem Stand der Technik formuliert Der IT-Grundschutz verfolgt dabei einen ganzheitlichen Ansatz Durch die geeignete Umsetzung von organisatorischen personellen infrastrukturellen und technischen Sicherheitsanforderungen wird mit der Standard-Absicherung ein Sicherheitsniveau erreicht das fuumlr den normalen Schutzbedarf anshygemessen und ausreichend ist um geschaumlftsrelevante Informationen zu schuumltzen Bei der Umsetzung der Basis-Absicherung wird ein Sicherheitsniveau erreicht das zwar deutlich unter dem der Stanshydard-Absicherung liegt aber eine gute Grundlage fuumlr Einsteiger bietet Mit der Kern-Absicherung koumlnnen hochschutzbeduumlrftige Informationen und Geschaumlftsprozesse vorrangig geschuumltzt werden Fuumlr typische Prozesse Anwendungen und Komponenten in der Informations- Kommunikationsshyund Fertigungstechnik finden sich in den Bausteinen des IT-Grundschutz-Kompendiums geeignete bdquoBuumlndelldquo mit Sicherheitsanforderungen zur Basis- Standard- und Kern-Absicherung

Diese Bausteine sind entsprechend ihrem jeweiligen Fokus in prozess- und systemorientierte Bausteishyne aufgeteilt und nach zusammengehoumlrigen Themen in ein Schichtenmodell einsortiert Die prozessshyorientierten Bausteine finden sich in den folgenden Schichten

bull ISMS (Managementsysteme fuumlr Informationssicherheit)

bull ORP (Organisation und Personal)

bull CON (Konzepte und Vorgehensweisen)

bull OPS (Betrieb)

bull DER (Detektion und Reaktion)

Die systemorientierten Bausteine sind in die folgenden Schichten gruppiert

bull INF (Infrastruktur)

bull NET (Netze und Kommunikation)

bull SYS (IT-Systeme)

bull APP (Anwendungen)

bull IND (Industrielle IT)

Jeder Baustein enthaumllt eine kurze Beschreibung der Thematik und des Ziels das mit der Umsetzung des Bausteins erreicht werden soll sowie eine Abgrenzung zu anderen Bausteinen die einen aumlhnlishychen thematischen Bezug haben Weiterhin gibt es einen kurzen Uumlberblick uumlber die spezifischen Geshyfaumlhrdungen des betrachteten Themengebietes Die konkreten Sicherheitsanforderungen fuumlr die Bashysis- Standard- und Kern-Absicherung bilden den Hauptteil

Zusaumltzlich kann es zu den Bausteinen des IT-Grundschutz-Kompendiums Umsetzungshinweise geshyben Diese beschreiben wie die Anforderungen der Bausteine in der Praxis erfuumlllt werden koumlnnen und enthalten dafuumlr passende Sicherheitsmaszlignahmen mit detaillierten Beschreibungen die auf dem Erfahrungsschatz des BSI und von IT-Grundschutz-Anwendern basieren

26 Uumlbersicht uumlber den Informationssicherheitsprozess

25 Thematische Abgrenzung

Informationssicherheit hat den Schutz von Informationen als Ziel Dabei koumlnnen Informationen soshywohl in IT-Systemen aber auch auf Papier oder in Koumlpfen gespeichert sein IT-Sicherheit beschaumlftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeishytung Das Aktionsfeld der klassischen IT-Sicherheit wird bei der Cyber-Sicherheit auf den gesamten Cyber-Raum ausgeweitet Dieser umfasst saumlmtliche mit dem Internet und vergleichbaren Netzen vershybundene Informationstechnik und schlieszligt darauf basierende Kommunikation Anwendungen Proshyzesse und verarbeitete Informationen mit ein Der Begriff bdquoInformationssicherheitldquo statt IT-Sicherheit oder Cyber-Sicherheit ist daher umfassender Der IT-Grundschutz verfolgt seit Langem einen ganzshyheitlichen Ansatz mit dem auch geschaumlftsrelevante Informationen und Geschaumlftsprozesse geschuumltzt werden die nicht oder nur teilweise mit ITunterstuumltzt werden Da aber in der Literatur noch uumlberwieshygend der Begriff bdquoIT-Sicherheitldquo zu finden ist wird er auch in dieser sowie in anderen Publikationen des IT-Grundschutzes weiterhin verwendet allerdings werden die Texte sukzessive staumlrker auf die Betrachtung von Informationssicherheit ausgerichtet

Aufgabe der Informationssicherheit ist der angemessene Schutz der Grundwerte Vertraulichkeit Inshytegritaumlt (Unverfaumllschtheit) und Verfuumlgbarkeit von Informationen Dazu gehoumlrt auch die Absicherung der Informationsverarbeitung also insbesondere der IT Daruumlber hinaus muumlssen auch die Systeme einbezogen werden die haumlufig nicht unmittelbar als IT-Systeme wahrgenommen werden wie beishyspielsweise ICS- und IoT-Systeme Auszligerdem schlieszligt dies auch die Authentizitaumlt und Nicht-abstreitshybarkeit als Spezialfaumllle der Integritaumlt ein Je nach Anwendungsfall kann es hilfreich sein weitere Grundwerte in die Betrachtungen einzubeziehen Im Bereich Datenschutz werden im Rahmen des Standard-Datenschutzmodells (siehe [SDM]) weitere Schutzziele herangezogen naumlmlich Datenminishymierung Intervenierbarkeit (als technische Gestaltung von Verfahren zur Ausuumlbung der Betroffenenshyrechte) Transparenz und Nichtverkettung (als Sicherung der Zweckbindung)

Die Planungs- und Lenkungsaufgabe die erforderlich ist um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen wird als Informationssicherheitsmanagement bezeichnet Aus den gleichen Gruumlnden die oben fuumlr die Beshygriffe bdquoInformationssicherheitldquo und bdquoIT-Sicherheitldquo genannt sind wird in einigen BSI-Dokumenten statt Informationssicherheitsmanagement (oder der Kurzform IS-Management) noch der Begriff bdquoIT-Sicherheitsmanagementldquo verwendet

Die Vorgehensweisen nach IT-Grundschutz bieten Hilfestellung beim Aufbau und bei der Aufrechtershyhaltung des Prozesses der Informationssicherheit in einer Institution indem Wege und Methoden fuumlr das generelle Vorgehen aber auch fuumlr die Loumlsung spezieller Probleme aufgezeigt werden

Fuumlr die Gestaltung des Sicherheitsprozesses ist ein systematisches Vorgehen erforderlich damit ein angemessenes Sicherheitsniveau erreicht werden kann Im Rahmen des IT-Grundschutzes besteht der Sicherheitsprozess aus den folgenden Phasen

bull Initiierung des Sicherheitsprozesses

bull Uumlbernahme der Verantwortung durch die Leitungsebene

bull Konzeption und Planung des Sicherheitsprozesses

bull Bereitstellung von finanziellen personellen und zeitlichen Ressourcen

bull Entscheidung fuumlr eine Vorgehensweise

bull Erstellung der Leitlinie zur Informationssicherheit

bull Aufbau einer geeigneten Organisationsstruktur fuumlr das Informationssicherheitsmanagement

bull Erstellung einer Sicherheitskonzeption

bull Umsetzung der Sicherheitskonzeption

bull Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit

bull Fortentwicklung des ISMS

bull Erweiterung der gewaumlhlten Vorgehensweise

Die ganzheitliche Umsetzung von Informationssicherheit (Standard-Absicherung) in einem einzelnen groszligen Schritt ist oft ein zu ehrgeiziges Ziel Viele kleine Schritte und ein langfristiger kontinuierlicher Verbesserungsprozess ohne hohe Investitionskosten zu Beginn sind oft erfolgversprechender So kann es besser sein zunaumlchst nur die dringend erforderlichen Sicherheitsvorkehrungen umzusetzen (Bashysis-Absicherung) oder in Bereichen mit houmlchsten Sicherheitsanforderungen schnell das erforderliche hohe Sicherheitsniveau zu erreichen (Kern-Absicherung) Von diesen Keimzellen ausgehend sollte dann kontinuierlich die Sicherheit in der Gesamtorganisation verbessert werden

Informationssicherheitsverantwortliche koumlnnen die Vorgehensweisen nach IT-Grundschutz und das IT-Grundschutz-Kompendium aus verschiedenen Gruumlnden und Zielsetzungen anwenden Dementshysprechend ist auch die Reihenfolge und Intensitaumlt der einzelnen Phasen abhaumlngig vom bereits vorhanshydenen Sicherheitsumfeld und dem jeweiligen Blickwinkel der Anwender Beispielsweise werden bei einer regulaumlren Uumlberarbeitung des Sicherheitskonzepts haumlufig andere Schwerpunkte als bei der Inteshygration neuer Geschaumlftsprozesse gesetzt

Abbildung 1 Phasen des Sicherheitsprozesses

Einige der Phasen koumlnnen auch parallel durchgefuumlhrt werden z B kann die Konzeption und Planung des Sicherheitsprozesses gleichzeitig zum Aufbau der Informationssicherheitsorganisation erfolgen In diesem Fall muumlssen die vorgezogenen Phasen mit den neuen Ergebnissen zeitnah aktualisiert wershyden

Im Folgenden wird eine kurze Darstellung uumlber die Phasen des Sicherheitsprozesses gegeben

Initiierung des Sicherheitsprozesses

Die Leitungsebene muss den Sicherheitsprozess initiieren steuern und kontrollieren Hierfuumlr sind eishynerseits strategische Leitaussagen zur Informationssicherheit und andererseits organisatorische Rahshymenbedingungen erforderlich Wie ein funktionierender Sicherheitsprozess aufgebaut ist und welche Organisationsstrukturen dafuumlr sinnvoll sind ist in Kapitel 3 beschrieben

Erstellung der Leitlinie zur Informationssicherheit

Eine wesentliche Grundlage fuumlr die Ausgestaltung des Sicherheitsprozesses ist die Leitlinie zur Inforshymationssicherheit Sie beschreibt welche Sicherheitsziele und welches Sicherheitsniveau die Institushytion anstrebt was die Motivation hierfuumlr ist und mit welchen Maszlignahmen und mit welchen Struktushyren dies erreicht werden soll Alle Mitarbeiter sollten daher die Inhalte der Sicherheitsleitlinie kennen und nachvollziehen koumlnnen Was fuumlr die Leitlinie und andere Dokumente im Sicherheitsprozess zu beachten ist wird in Kapitel 34 beschrieben

Aufbau einer geeigneten Organisationsstruktur

Fuumlr das Informationssicherheitsmanagement muss eine fuumlr Groumlszlige und Art der Institution geeignete Organisationsstruktur aufgebaut werden siehe Kapitel 4

Erstellung einer Sicherheitskonzeption

Nachdem ein Informationssicherheitsprozess initiiert wurde und die Sicherheitsleitlinie und Informashytionssicherheitsorganisation definiert wurden wird die Sicherheitskonzeption fuumlr die Institution ershystellt Als Grundlage hierfuumlr finden sich in den Bausteinen des IT-Grundschutz-Kompendiums fuumlr tyshypische Komponenten von Geschaumlftsprozessen Anwendungen IT-Systeme und weitere Objekte entshysprechende Sicherheitsanforderungen nach dem Stand der Technik Diese sind thematisch in Bausteine strukturiert so dass sie modular aufeinander aufsetzen

Abhaumlngig davon ob eine Basis- Standard- oder Kern-Absicherung angestrebt ist sehen die einzelnen Aktivitaumlten zur Erstellung einer Sicherheitskonzeption etwas anders aus grundsaumltzlich basieren sie aber alle auf den Vorarbeiten die mit der Erstellung des IT-Grundschutz-Kompendiums geleistet worshyden sind

Bei Anwendung des IT-Grundschutzes wird ein Soll-Ist-Vergleich zwischen den Sicherheitsanforderunshygen aus den relevanten Bausteinen des IT-Grundschutz-Kompendiums und den in der Institution beshyreits realisierten Maszlignahmen durchgefuumlhrt Dabei festgestellte fehlende oder nur unzureichend ershyfuumlllte Anforderungen zeigen die Sicherheitsdefizite auf die es durch die Umsetzung von aus den Anshyforderungen abgeleiteten Maszlignahmen zu beheben gilt

Nur bei einem signifikant houmlheren Schutzbedarf muss zusaumltzlich eine Risikoanalyse unter Beachtung von Kosten- und Wirksamkeitsaspekten durchgefuumlhrt werden In der Regel reicht es hierbei aus die Sicherheitsanforderungen des IT-Grundschutz-Kompendiums durch entsprechende individuelle quashylitativ houmlherwertige Maszlignahmen zu ergaumlnzen Hierzu ist im BSI-Standard 200-3 Risikoanalyse auf der Basis von IT-Grundschutz (siehe [BSI3]) eine im Vergleich zu traditionellen Risikoanalyse-Methoden einfachere Vorgehensweise beschrieben

Umsetzung von Sicherheitskonzepten

Ein ausreichendes Sicherheitsniveau laumlsst sich nur erreichen wenn bestehende Defizite ermittelt der Status quo in einem Sicherheitskonzept festgehalten erforderliche Maszlignahmen identifiziert und dieshyse Maszlignahmen insbesondere auch konsequent umgesetzt werden In Kapitel 9 wird beschrieben was bei der Umsetzungsplanung von Sicherheitsmaszlignahmen beachtet werden muss

Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit

Ziel des Sicherheitsmanagements ist es das angestrebte Sicherheitsniveau zu erreichen und dieses auch dauerhaft aufrechtzuerhalten und zu verbessern Daher muumlssen der Sicherheitsprozess und die Organisationsstrukturen fuumlr Informationssicherheit regelmaumlszligig darauf uumlberpruumlft werden ob sie anshygemessen wirksam und effizient sind Ebenso ist zu analysieren ob die Maszlignahmen des Sicherheitsshykonzepts noch zum Informationsverbund passen ob sie praxisnah sind und ob sie korrekt umgesetzt wurden In Kapitel 10 wird uumlberblicksartig dargestellt welche Aktionen fuumlr die Aufrechterhaltung und Verbesserung der Informationssicherheit ergriffen werden sollten Dazu gehoumlrt auch zu uumlberlegen ob die gewaumlhlte Vorgehensweise ergaumlnzt oder erweitert werden soll beispielsweise von Basis- auf Standard- oder von Kern-Absicherung eines eingegrenzten Bereiches auf einen groumlszligeren Informatishyonsverbund

27 Anwendung des IT-Grundschutz-Kompendiums

Nachdem die Leitungsebene mit der Erstellung der Leitlinie zur Informationssicherheit und dem Aufshybau der Informationssicherheitsorganisation den Sicherheitsprozess auf der strategischen Ebene deshyfiniert hat wird dieser mithilfe der Sicherheitskonzeption auf der operativen Ebene fortgefuumlhrt Somit ist die Erstellung einer Sicherheitskonzeption eine der zentralen Aufgaben des Informationssichershyheitsmanagements Hier werden die erforderlichen Sicherheitsmaszlignahmen identifiziert und dokushymentiert

Um die sehr heterogenen Ausgestaltungen von Institutionen der verschiedenen Branchen und Groumlshyszligenordnungen sowie der von ihnen eingesetzten IT- oder ICS-Systeme einschlieszliglich der Einsatzumshygebung besser strukturieren und aufbereiten zu koumlnnen verfolgt der IT-Grundschutz das Baukastenshyprinzip Die einzelnen Bausteine die im IT-Grundschutz-Kompendium beschrieben werden spiegeln typische Bereiche und Aspekte der Informationssicherheit in einer Institution wider von uumlbergeordshyneten Themen wie dem IS-Management der Notfallvorsorge oder der Datensicherungskonzeption bis hin zu speziellen Komponenten einer IT- oder ICS-Umgebung Das IT-Grundschutz-Kompendium beschreibt die spezifische Gefaumlhrdungslage und die Sicherheitsanforderungen fuumlr verschiedene Komshyponenten Vorgehensweisen und Systeme die jeweils in einem Baustein zusammengefasst werden Das BSI uumlberarbeitet und aktualisiert zusammen mit vielen engagierten Anwendern regelmaumlszligig die bestehenden Bausteine um die Empfehlungen auf dem Stand der Technik zu halten Daruumlber hinaus wird das bestehende Werk regelmaumlszligig um weitere Bausteine ergaumlnzt Anwender koumlnnen Bausteine vorschlagen oder erstellen Unter Federfuumlhrung des IT-Grundschutz-Teams des BSI werden diese dann zunaumlchst als Community Draft aufbereitet in den dann weitere Anregungen einflieszligen koumlnnen bevor sie ins IT-Grundschutz-Kompendium aufgenommen werden

Die Bausteine spielen eine zentrale Rolle in der Methodik des IT-Grundschutzes Sie sind einheitlich aufgebaut um ihre Anwendung zu vereinfachen Jeder Baustein beginnt mit einer kurzen Beschreishybung der betrachteten Komponente der Vorgehensweise bzw des Systems inklusive Zielsetzung sowie einer Abgrenzung zu anderen Bausteinen mit thematischem Bezug Im Anschluss daran wird die spezifische Gefaumlhrdungslage dargestellt

Danach folgen die Sicherheitsanforderungen gegliedert nach Basis- und Standard-Anforderungen sowie Anforderungen bei erhoumlhtem Schutzbedarf Die im IT-Grundschutz-Kompendium aufgefuumlhrshyten Basis- und Standard-Anforderungen stellen zusammengenommen den Stand der Technik dar Diese muumlssen fuumlr die Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz erfuumlllt werden

In den Anforderungen werden die in Versalien geschriebenen Modalverben bdquoSOLLTEldquo und bdquoMUSSldquo in ihren jeweiligen Formen sowie den zugehoumlrigen Verneinungen genutzt um deutlich zu machen wie die jeweiligen Anforderungen zu interpretieren sind Die hier genutzte Definition basiert auf [RFC2119] sowie DIN 820-22012 Anhang H [820-2]

MUSSDARF NUR Dieser Ausdruck bedeutet dass es sich um eine Anforderung hanshydelt die unbedingt erfuumlllt werden muss (uneingeschraumlnkte Anforshyderung)

DARF NICHTDARF KEIN Dieser Ausdruck bedeutet dass etwas in keinem Fall getan wershyden darf (uneingeschraumlnktes Verbot)

SOLLTE Dieser Ausdruck bedeutet dass eine Anforderung normalerweise erfuumlllt werden muss es aber Gruumlnde geben kann dies doch nicht zu tun Dies muss aber sorgfaumlltig abgewogen und stichhaltig beshygruumlndet werden

SOLLTE NICHTSOLLTE KEIN Dieser Ausdruck bedeutet dass etwas normalerweise nicht getan werden sollte es aber Gruumlnde gibt dies doch zu tun Dies muss aber sorgfaumlltig abgewogen und stichhaltig begruumlndet werden

Sicherheitskonzepte die mithilfe des IT-Grundschutzes erstellt werden sind kompakt da innerhalb des Konzepts jeweils nur auf die entsprechenden Sicherheitsanforderungen im IT-Grundshyschutz-Kompendium referenziert werden muss Dies foumlrdert die Verstaumlndlichkeit und die Uumlbersichtshylichkeit Um die Sicherheitsanforderungen leichter umsetzen zu koumlnnen gibt es zu vielen Bausteishynen des IT-Grundschutz-Kompendiums zusaumltzlich Umsetzungshinweise Diese beschreiben wie die Anforderungen der Bausteine in der Praxis erfuumlllt werden koumlnnen und enthalten dafuumlr passende Sicherheitsmaszlignahmen mit einer detaillierten Beschreibung Bei der verwendeten Fachterminoloshygie wird darauf geachtet dass die Beschreibungen fuumlr diejenigen verstaumlndlich sind die die Maszligshynahmen realisieren muumlssen Zu beachten ist dass es sich bei den Umsetzungshinweisen um Hilfeshystellungen zur Erfuumlllung der Anforderungen des jeweiligen Bausteins und nicht um verbindliche Vorgaben handelt

Hinweis

Die umfangreichen Informationen rund um IT-Grundschutz ersetzen nicht den gesunden Menshyschenverstand Informationssicherheit zu verstehen umzusetzen und zu leben sollte Prioritaumlt haben Das IT-Grundschutz-Kompendium bietet zu vielen Aspekten eine Menge an Informatioshynen und Empfehlungen Bei deren Bearbeitung sollte immer im Auge behalten werden dass aus diesen die ffr die jeweilige Institution und ihre Rahmenbedingungen geeigneten Sicherheitsanshyforderungen ausgewaumlhlt und angepasst werden Weiterffhrende Informationen zur Anpassung der Baustein-Anforderungen finden sich in Kapitel 836 Weder die Anforderungen der Bausteishyne des IT-Grundschutz-Kompendiums noch die Maszlignahmen der Umsetzungshinweise sollten als pure Checklisten zur Statusfeststellung genutzt werden sondern mit Augenmaszlig an die individushyellen Bedingungen angepasst werden

Um die Realisierung der Maszlignahmen zu vereinfachen werden die IT-Grundschutz-Texte konsequent auch in elektronischer Form zur Verfuumlgung gestellt Daruumlber hinaus wird die Realisierung der Sichershyheitsanforderungen und Maszlignahmen auch durch Hilfsmittel und Musterloumlsungen unterstuumltzt die teilweise durch das BSI und teilweise auch von Anwendern des IT-Grundschutzes bereitgestellt wershyden

31 Uumlbernahme von Verantwortung durch die Leitungsebene

Initiierung des Sicherheitsprozesses Um ein angemessenes und ausreichendes Niveau der Informationssicherheit in der Institution zu ershyzielen bzw dieses aufrechtzuerhalten ist einerseits ein geplantes Vorgehen und andererseits eine adaumlquate Organisationsstruktur erforderlich Daruumlber hinaus ist es notwendig Sicherheitsziele und eine Strategie zur Erreichung dieser Ziele zu definieren sowie letztendlich einen kontinuierlichen Sishycherheitsprozess zur Aufrechterhaltung des einmal erreichten Sicherheitsniveaus einzurichten Aufshygrund der groszligen Bedeutung der weitreichenden Konsequenzen der zu treffenden Entscheidungen und der hohen Verantwortung muss dieses Thema von der obersten Leitungsebene initiiert werden

Die oberste Leitungsebene jeder Behoumlrde und jedes Unternehmens ist dafuumlr verantwortlich dass alle Geschaumlftsbereiche zielgerichtet und ordnungsgemaumlszlig funktionieren und dass Risiken fruumlhzeitig ershykannt und minimiert werden Mit der steigenden Abhaumlngigkeit der Geschaumlftsprozesse von der Inforshymationsverarbeitung steigen also auch die Anforderungen dass die Informationssicherheit nach inshynen und auszligen gewaumlhrleistet ist

Die oberste Leitungsebene muss den Sicherheitsprozess initiieren steuern und kontrollieren Die Leishytungsebene ist diejenige Instanz die die Entscheidung uumlber den Umgang mit Risiken treffen und die entsprechenden Ressourcen zur Verfuumlgung stellen muss Die Verantwortung fuumlr Informationssichershyheit verbleibt dort Die operative Aufgabe bdquoInformationssicherheitldquo wird allerdings typischerweise an einen Informationssicherheitsbeauftragten (ISB) delegiert

In der Einstiegsphase in den Sicherheitsprozess ist uumlblicherweise noch keine Sicherheitsorganisation aufgebaut und haumlufig auch noch nicht der spaumltere ISB benannt Fuumlr die Initiierung des Sicherheitsproshyzesses muss aber zumindest ein Verantwortlicher fuumlr Informationssicherheit benannt werden der die ersten Schritte zur Konzeption und Planung des Einstiegs in die Informationssicherheit durchfuumlhrt

Eine rechtzeitige Unterrichtung uumlber moumlgliche Risiken beim Umgang mit Informationen Geschaumlftsshyprozessen und IT kann von der Geschaumlftsfuumlhrung oder Behoumlrdenleitung nach einem Sicherheitsvorfall als Bringschuld der IT- oder Sicherheitsexperten gesehen werden Aus diesem Grund ist es fuumlr die Inhaber dieser Rollen empfehlenswert die oberste Leitungsebene uumlber moumlgliche Risiken und Konseshyquenzen aufgrund fehlender Informationssicherheit nachweislich aufzuklaumlren Auf jeden Fall ist aber die Leitungsebene ebenfalls dafuumlr verantwortlich sicherzustellen dass alle entscheidungsrelevanten Informationen sie rechtzeitig und im noumltigen Umfang erreichen Zu den sicherheitsrelevanten Themen gehoumlren beispielsweise

bull die Sicherheitsrisiken fuumlr die Institution und deren Informationen sowie die damit verbundenen Auswirkungen und Kosten

bull die Auswirkungen von Sicherheitsvorfaumlllen auf die kritischen Geschaumlftsprozesse

bull die Sicherheitsanforderungen die sich aus gesetzlichen und vertraglichen Vorgaben ergeben

bull die fuumlr die Branche typischen Standardvorgehensweisen zur Informationssicherheit

bull der aktuelle Stand der Informationssicherheit im Sinne eines Reifegrades und daraus abgeleitete Handlungsempfehlungen

Die Leitungsebene traumlgt zwar die Verantwortung fuumlr die Erreichung der Sicherheitsziele der Sichershyheitsprozess muss aber von allen Beschaumlftigten in einer Organisation mitgetragen und mitgestaltet werden

3 Initiierung des Sicherheitsprozesses

Die Leitungsebene muss sich vor allem dafuumlr einsetzen dass Informationssicherheit in alle relevanten Geschaumlftsprozesse bzw Fachverfahren und Projekte integriert wird Der ISB braucht hierbei erfahshyrungsgemaumlszlig die volle Unterstuumltzung der Behoumlrden- oder Unternehmensleitung um unter dem uumlbershyall herrschenden Leistungsdruck von den jeweiligen Fachverantwortlichen in jede wesentliche Aktivishytaumlt eingebunden zu werden

Die Leitungsebene muss die Ziele sowohl fuumlr das Informationssicherheitsmanagement als auch fuumlr alle anderen Bereiche so setzen dass das angestrebte Sicherheitsniveau in allen Bereichen mit den bereitshygestellten Ressourcen (Personal Zeit Finanzmittel) erreichbar ist

Aktionspunkte zu 31 Uumlbernahme von Verantwortung durch die Leitungsebene

bull Die Leitungsebene informiert sich uumlber moumlgliche Risiken und Konsequenzen aufgrund fehlender Informationssicherheit

bull Die Leitungsebene uumlbernimmt die Gesamtverantwortung fuumlr Informationssicherheit

bull Die Leitungsebene initiiert den Informationssicherheitsprozess innerhalb der Institution und beshynennt einen Verantwortlichen fuumlr Informationssicherheit

32 Konzeption und Planung des Sicherheitsprozesses

Um ein angemessenes Sicherheitsniveau zu erreichen und aufrechterhalten zu koumlnnen ist es notwenshydig einen kontinuierlichen Informationssicherheitsprozess zu etablieren und eine angemessene Strashytegie fuumlr Informationssicherheit (IS-Strategie) festzulegen Diese dient der Orientierung fuumlr die Plashynung des weiteren Vorgehens um die gesetzten Sicherheitsziele zu erreichen Sie wird von der Leishytungsebene vorgegeben und basiert auf den Geschaumlftszielen des Unternehmens bzw dem Auftrag der Behoumlrde Die Leitungsebene gibt grundlegende Sicherheitsziele vor und legt fest welches Inforshymationssicherheitsniveau im Hinblick auf die Geschaumlftsziele und Fachaufgaben angemessen ist Die dafuumlr erforderlichen Mittel muumlssen ebenfalls von der Leitungsebene zur Verfuumlgung gestellt werden

321 Ermittlung von Rahmenbedingungen

Um eine angemessene IS-Strategie festzulegen muumlssen alle relevanten Rahmenbedingungen identishyfiziert werden Daher sollte jede Institution ihre wichtigsten Geschaumlftsprozesse und Fachaufgaben sowie deren Bedarf an Informationssicherheit ermitteln Dazu gehoumlrt auch die Analyse der Stakeholshyder (also der relevanten internen und externen Parteien) von Geschaumlftszielen Aufgaben und deren Anforderungen an Sicherheit Die Zusammenhaumlnge zwischen Geschaumlftsablaumlufen und den dort verarshybeiteten Informationen sowie der eingesetzten Informationstechnik bilden die Basis fuumlr die Entscheishydung welches Sicherheitsniveau zum Schutz der Informationen und fuumlr die Informationstechnik jeshyweils angemessen ist

Die Ermittlung von Rahmenbedingungen ist eine wesentliche Grundlage fuumlr die weiteren Betrachtunshygen der Informationssicherheit da hierdurch identifiziert werden kann wo wichtige Hintergrundinshyformationen fehlen um die Bedeutung der Informationssicherheit fuumlr die Institution korrekt einschaumltshyzen zu koumlnnen Auszligerdem wird dadurch ein erstes Self Assessment moumlglich da bei der Zusammenshystellung der Hintergrundinformationen bereits deutlich wird wo Konfliktpotenzial liegt und wo Aktivitaumlten erforderlich sind

Allgemeine Einflussfaktoren

Informationssicherheit dient der Institution zur Erreichung der Geschaumlftsziele Daher muumlssen die sich hieraus abgeleiteten Einflussfaktoren betrachtet werden

bull Geschaumlftsziele Welche Faktoren sind wesentlich fuumlr den Erfolg des Unternehmens oder der Behoumlrshyde Welche Produkte Angebote und Auftraumlge bilden die Grundlage der Geschaumlftstaumltigkeit Was sind die generellen Ziele der Institution Welche Rolle spielt Informationssicherheit hierbei

bull Organisationsstruktur Wie ist die Institution organisiert und strukturiert Welche Managementshysysteme sind vorhanden (beispielsweise Risikomanagement oder Qualitaumltsmanagement)

bull Zusammenarbeit mit Externen Welche sind die wichtigsten internen und externen Kunden Partshyner und einflussnehmenden Gremien Was sind deren grundlegenden Anforderungen und Erwarshytungen an die Informationssicherheit der Institution Was sind die wichtigsten Dienstleister und Zulieferer Welche Rolle spielen diese fuumlr die Informationssicherheit der Institution

bull Strategischer Kontext Was sind die wesentlichen Herausforderungen fuumlr die Institution Wie ist die Wettbewerbsposition Wie beeinflusst dies den Risikoappetit der Institution und den Umgang mit Informationssicherheit

Interne Rahmenbedingungen

Viele interne Rahmenbedingungen koumlnnen Auswirkungen auf die Informationssicherheit haben und muumlssen folglich ermittelt werden Uumlber die Analyse der Geschaumlftsprozesse und Fachaufgaben lassen sich Aussagen uumlber die Auswirkungen von Sicherheitsvorfaumlllen auf die Geschaumlftstaumltigkeit und die Aufgabenerfuumlllung ableiten Es geht zu diesem fruumlhen Zeitpunkt jedoch nicht darum detailliert die Informationstechnik zu beschreiben Es sollte aber eine grobe Uumlbersicht vorliegen welche Informashytionen fuumlr einen Geschaumlftsprozess mit welchen Anwendungen und IT-Systemen verarbeitet werden

Oft gibt es in Institutionen schon Uumlbersichten von Geschaumlftsprozessen Objekten oder Datensammshylungen die fuumlr betriebliche Aspekte oder die Verwaltung benoumltigt werden Falls vorhanden koumlnnen vorhandene Prozesslandkarten Geschaumlftsverteilungsplaumlne Datenbanken Uumlbersichten Netzplaumlne und Inventarisierungstools genutzt werden um die wesentlichen Geschaumlftsprozesse zu identifizieren Werden diese Uumlbersichten beruumlcksichtigt sollte darauf geachtet werden dass hierdurch der Detailshylierungsgrad der Erfassung nicht zu tief wird damit der Umfang fuumlr einen ersten Uumlberblick und als Grundlage fuumlr spaumltere Entscheidungen nicht zu umfangreich ist

Folgende Aspekte sollten bedacht werden

bull Welche Geschaumlftsprozesse gibt es in der Institution und wie haumlngen diese mit den Geschaumlftszielen zusammen

bull Welche Geschaumlftsprozesse haumlngen von einer funktionierenden also einer ordnungsgemaumlszlig und anforderungsgerecht arbeitenden Informationstechnik ab

bull Welche Informationen werden im Rahmen dieser Geschaumlftsprozesse verarbeitet

bull Welche Informationen sind besonders wichtig und damit in Bezug auf Vertraulichkeit Integritaumlt und Verfuumlgbarkeit schuumltzenswert und warum Beispiele sind personenbezogene Daten Kundenshydaten strategische Informationen oder Geheimnisse wie z B Entwicklungsdaten Patente Vershyfahrensbeschreibungen

Zu jedem Geschaumlftsprozess und jeder Fachaufgabe muss ein verantwortlicher Ansprechpartner beshynannt werden der als sogenannter Informationseigentuumlmer fuumlr alle Fragen der Informationsverarbeishytung im Rahmen dieses Geschaumlftsprozesses verantwortlich ist

Externe Rahmenbedingungen

Daneben muumlssen ebenso alle externen Rahmenbedingungen ermittelt werden die Auswirkungen auf die Informationssicherheit haben wie beispielsweise

bull gesetzliche Rahmenbedingungen (nationale und internationale Gesetze und Bestimmungen)

bull Anforderungen von Kunden Lieferanten und Geschaumlftspartnern aktuelle Marktlage Wettbeshywerbssituation und weitere relevante marktspezifische Abhaumlngigkeiten

bull branchenspezifische Sicherheitsstandards

Brainstorming

Um alle relevanten Rahmenbedingungen fuumlr jeden wesentlichen Geschaumlftsprozess moumlglichst schnell und umfassend zu ermitteln empfiehlt es sich dass ein kurzes Sicherheitsgespraumlch (Brainstorming) zu jedem Geschaumlftsprozess durchgefuumlhrt wird Diese Sicherheitsgespraumlche sollten unter der Leitung des ISB mit den jeweiligen Informationseigentuumlmern bzw Fachverantwortlichen sowie dem entsprechenshyden IT-Verantwortlichen durchgefuumlhrt werden Ob insgesamt eine oder mehrere Besprechungen ershyforderlich sind haumlngt von der Groumlszlige und Komplexitaumlt der Institution ab

Es sollten vorrangig geschaumlftskritische Informationen und Kernprozesse ermittelt und die zugehoumlrishygen Anwendungen IT-Systeme Netze und Raumlume erfasst werden Dabei sollten ausgehend von den Kernprozessen der Institution die wesentlichen unterstuumltzenden Prozesse und die hauptsaumlchlich beshytroffenen Objekte ermittelt werden Es hat sich gezeigt dass es schwerfaumlllt abstrakte Prozesse losgeshyloumlst von konkreten technischen Komponenten zu betrachten Daher kann es gegebenenfalls sinnvoll sein nicht nur aus Prozesssicht kommend die Assets zu ermitteln sondern auch aus der Perspektive der bekannten Assets zu ermitteln welche Prozesse diese verwenden Dieses optionale Vorgehen ist besonders dann sinnvoll wenn keine vollstaumlndige Prozesslandkarte vorhanden ist und die Geschaumlftsshyfuumlhrung Schwierigkeiten hat diese zu definieren

Die Teilnahme der Leitungsebene am Brainstorming ist nicht zwingend notwendig Viel wichtiger ist es dass jeder Teilnehmer fuumlr den Bereich den er vertritt auskunftsfaumlhig ist und die wesentlichen Geschaumlftsprozesse seines Bereiches sowie die eingesetzten Assets benennen kann Die Erstaufnahme sollte typischerweise nicht mehr als einen halben Tag beanspruchen Die Ergebnisse sollten nach eishynem vorher festgelegten Schema dokumentiert und an die Leitungsebene berichtet werden

322 Formulierung von allgemeinen Informationssicherheitszielen

Zu Beginn jedes Sicherheitsprozesses sollten die Informationssicherheitsziele sorgfaumlltig bestimmt wershyden Anderenfalls besteht die Gefahr dass Sicherheitsstrategien und -konzepte erarbeitet werden die die eigentlichen Anforderungen der Institution verfehlen

Aus den grundsaumltzlichen Zielen der Institution und den allgemeinen Rahmenbedingungen sollten daher zunaumlchst allgemeine Sicherheitsziele abgeleitet werden Aus diesen werden spaumlter bei der Ershystellung des Sicherheitskonzepts und bei der Ausgestaltung der Informationssicherheitsorganisation konkrete Sicherheitsanforderungen bezuumlglich des Umgangs mit Informationen und mit dem IT-Beshytrieb abgeleitet Moumlgliche allgemeine Sicherheitsziele einer Institution koumlnnten z B sein

bull Hohe Verlaumlsslichkeit des Handelns auch in Bezug auf den Umgang mit Informationen (Verfuumlgbarshykeit Integritaumlt Vertraulichkeit)

bull Gewaumlhrleistung des guten Rufs der Institution in der Oumlffentlichkeit

bull Erhaltung der in Technik Informationen Arbeitsprozesse und Wissen investierten Werte

bull Sicherung der hohen moumlglicherweise unwiederbringlichen Werte der verarbeiteten Informatioshynen

bull Gewaumlhrleistung der aus gesetzlichen Vorgaben resultierenden Anforderungen

bull Schutz von natuumlrlichen Personen hinsichtlich ihrer koumlrperlichen und geistigen Unversehrtheit

Um die Sicherheitsziele definieren zu koumlnnen sollte zunaumlchst abgeschaumltzt werden welche Geschaumlftsshyprozesse bzw Fachverfahren und Informationen fuumlr die Aufgabenerfuumlllung notwendig sind und welshycher Wert diesen beigemessen wird Dabei ist es wichtig klarzustellen wie stark die Aufgabenerfuumllshylung innerhalb der Institution von der Vertraulichkeit Integritaumlt und Verfuumlgbarkeit von Informationen und von der eingesetzten ITund deren sicherem Funktionieren abhaumlngt Fuumlr die Definition der Sichershyheitsziele ist es sinnvoll die zu schuumltzenden Grundwerte Verfuumlgbarkeit Integritaumlt und Vertraulichkeit ausdruumlcklich zu benennen und eventuell zu priorisieren Diese Aussagen werden im Lauf des Sichershyheitsprozesses bei der Wahl der Sicherheitsmaszlignahmen und Strategien eine entscheidende Rolle spieshylen

An dieser Stelle muss keine detaillierte Analyse des Informationsverbunds und der moumlglichen Kosten von Sicherheitsmaszlignahmen erfolgen sondern lediglich die Aussage was fuumlr die Institution von beshysonderer Bedeutung ist und warum

323 Bestimmung des angemessenen Sicherheitsniveaus der Geschaumlftsprozesse

Zur besseren Verstaumlndlichkeit der Informationssicherheitsziele kann das angestrebte Sicherheitsnishyveau fuumlr einzelne besonders hervorgehobene Geschaumlftsprozesse bzw Bereiche der Institution in Beshyzug auf die Grundwerte der Informationssicherheit (Vertraulichkeit Integritaumlt Verfuumlgbarkeit) dargeshystellt werden Dies ist fuumlr die spaumltere Formulierung der detaillierten Sicherheitskonzeption hilfreich

Nachstehend sind einige beispielhafte Kriterien zur Bestimmung eines angemessenen Sicherheitsnishyveaus aufgefuumlhrt Anhand derjenigen Aussagen die am ehesten zutreffen laumlsst sich das Sicherheitsshyniveau (normal hoch oder sehr hoch) einzelner Geschaumlftsprozesse bzw Bereiche bestimmen In dieser Phase des Sicherheitsprozesses geht es um die Formulierung der ersten richtungweisenden Aussagen die in den spaumlteren Phasen als Grundlage dienen werden und nicht um eine detaillierte Schutzbeshydarfsfeststellung

Sehr hoch

bull Der Schutz vertraulicher Informationen muss unbedingt gewaumlhrleistet sein und in sicherheitskritishyschen Bereichen strengen Vertraulichkeitsanforderungen genuumlgen Die Offenlegung besonders kritischer oder hoch vertraulicher Information kann zu schweren Folgen fuumlr den Weiterbestand der Institution fuumlhren

bull Die Informationen muumlssen im houmlchsten Maszlige korrekt sein

bull Die zentralen Aufgaben der Institution sind ohne IT-Einsatz nicht durchfuumlhrbar Knappe Reaktionsshyzeiten fuumlr kritische Entscheidungen fordern eine staumlndige Praumlsenz der aktuellen Informationen Ausfallzeiten sind nicht akzeptabel

bull Der Schutz personenbezogener Daten muss unbedingt gewaumlhrleistet sein Anderenfalls kann es zu einer Gefahr fuumlr Leib und Leben oder fuumlr die persoumlnliche Freiheit des Betroffenen kommen

Insgesamt gilt Der Ausfall der IT oder wesentlicher Geschaumlftsprozesse oder die Offenlegung bzw Manipulation von kritischen Informationen fuumlhrt zum Zusammenbruch der Institution oder hat schwerwiegende Folgen fuumlr breite gesellschaftliche oder wirtschaftliche Bereiche

bull Der Schutz vertraulicher Informationen muss hohen Anforderungen genuumlgen und in sicherheitsshykritischen Bereichen staumlrker ausgepraumlgt sein

bull Die verarbeiteten Informationen muumlssen korrekt sein auftretende Fehler muumlssen erkennbar und vermeidbar sein

bull In zentralen Bereichen der Institution laufen zeitkritische Vorgaumlnge oder es werden dort Massenshyaufgaben wahrgenommen die ohne IT-Einsatz nicht zu erledigen sind Es koumlnnen nur kurze Ausshyfallzeiten toleriert werden

bull Der Schutz personenbezogener Daten muss hohen Anforderungen genuumlgen Anderenfalls besteht die Gefahr dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhaumlltnissen erheblich beeintraumlchtigt wird

Insgesamt gilt Im Schadensfall tritt Handlungsunfaumlhigkeit zentraler Bereiche der Institution ein Schaumlshyden haben erhebliche Beeintraumlchtigungen der Institution selbst oder betroffener Dritter zur Folge

Normal

bull Der Schutz von Informationen die nur fuumlr den internen Gebrauch bestimmt sind muss gewaumlhrshyleistet sein

bull Informationen sollten korrekt sein Kleinere Fehler koumlnnen toleriert werden Fehler die die Aufgashybenerfuumlllung erheblich beeintraumlchtigen muumlssen jedoch erkenn- oder vermeidbar sein

bull Laumlngere Ausfallzeiten die zu Terminuumlberschreitungen fuumlhren sind nicht zu tolerieren

bull Der Schutz personenbezogener Daten muss gewaumlhrleistet sein Anderenfalls besteht die Gefahr dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhaumlltnisshysen beeintraumlchtigt wird

Insgesamt gilt Schaumlden haben Beeintraumlchtigungen der Institution zur Folge

Hinweis

Jede Institution sollte die Formulierungen auf ihre individuellen Gegebenheiten anpassen Es kann auch sinnvoll sein weitere Kategorien zu definieren beispielsweise um Abgrenzungen nach oben oder unten deutlicher zu machen Die Sicherheitsziele spiegeln auch wider welche Sichershyheitskultur in einer Institution vorhanden ist also wie mit Sicherheitsrisiken und -maszlignahmen umgegangen wird

Fuumlr die Formulierung der Informationssicherheitsziele ist die Mitwirkung der Leitungsebene unbedingt notwendig Zur Bestimmung des angestrebten Sicherheitsniveaus muumlssen die Ziele der Institution in Bezug auf ihre Anforderungen zur Sicherheit betrachtet werden jedoch unter Beruumlcksichtigung der Tatsache dass in der Regel begrenzte Ressourcen fuumlr die Implementierung von Sicherheitsmaszlignahshymen zur Verfuumlgung stehen Aus diesem Grund ist es von besonderer Bedeutung den tatsaumlchlichen Bedarf an Verfuumlgbarkeit Integritaumlt und Vertraulichkeit zu identifizieren da ein hohes Sicherheitsnishyveau in der Regel auch mit einem hohen Implementierungsaufwand verbunden ist Es ist zudem empshyfehlenswert die formulierten Anforderungen zu priorisieren wenn dies zu diesem Zeitpunkt bereits moumlglich ist

Hinweis zur Beschreibungstiefe

In dieser fruumlhen Phase des Informationssicherheitsprozesses geht es nicht um eine detaillierte Betrachshytung aller Anwendungen und IT-Systeme oder eine aufwendige Risikoanalyse Wichtig ist eine Uumlbershysicht zu haben welche Sicherheitsanforderungen aufgrund der Geschaumlftsprozesse oder Fachverfahshyren an die Informationstechnik gestellt werden Zum Beispiel sollten sich nach der Bestimmung des angestrebten Sicherheitsniveaus die nachfolgenden Fragen beantworten lassen

bull Welche Informationen sind in Bezug auf Vertraulichkeit Integritaumlt und Verfuumlgbarkeit besonders kritisch fuumlr die Institution

bull Welche kritischen Aufgaben der Institution koumlnnen ohne Unterstuumltzung durch IT nicht nur unzushyreichend oder mit erheblichem Mehraufwand ausgefuumlhrt werden

bull Welche Auswirkungen koumlnnen absichtliche oder ungewollte Sicherheitszwischenfaumllle haben

bull Werden mit der eingesetzten IT Informationen verarbeitet deren Vertraulichkeit besonders zu schuumltzen ist

bull Welche wesentlichen Entscheidungen der Institution beruhen auf Vertraulichkeit Integritaumlt und Verfuumlgbarkeit von Informationen und IT-Systemen

bull Welche organisatorischen oder gesetzlichen Anforderungen (z B Datenschutz) haben besondere Maszlignahmen zur Folge

Die Beschreibungen des angestrebten Sicherheitsniveaus sollten auf das jeweilige Umfeld angepasst sein Kurze Begruumlndungen sind fuumlr die Motivation darauf aufbauender Maszlignahmen hilfreich Diese koumlnnte beispielsweise fuumlr ein Krankenhaus heiszligen bdquoIn der Roumlntgenabteilung ist ein sehr hohes Inforshymationssicherheitsniveau notwendig weil von der korrekten Funktion der IT-Systeme Menschenleben abhaumlngenldquo

324 Ersterfassung der Prozesse Anwendungen und IT-Systeme

Die Ergebnisse der vorherigen Schritte also der Ermittlung von Rahmenbedingungen der Formulieshyrung von Informationssicherheitszielen und der Bestimmung des angemessenen Sicherheitsniveaus der Geschaumlftsprozesse sollten als Naumlchstes in einer Uumlbersicht der vorhandenen Assets der Institution konsolidiert werden

Diese Uumlbersicht dient als Entscheidungshilfe fuumlr die Auswahl einer geeigneten Vorgehensweise und ist die Basis fuumlr die spaumlteren Schritte wie die Auswahl der relevanten IT-Grundschutz-Bausteine bei der Basis-Absicherung oder die Strukturanalyse bei der Standard-Absicherung Hierbei sollte die Erstaufshynahme der Prozesse Anwendungen und IT-Systeme insoweit vollstaumlndig sein dass sie als Entscheishydungshilfe fuumlr die Auswahl der geeigneten Vorgehensweise zur Absicherung der Institution verwenshydet werden kann sie ist aber bei Weitem nicht so umfangreich wie das Ergebnis einer Strukturanalyse

Die Ersterfassung liefert als Ergebnis eine vergleichsweise schnell und ressourcenschonend erstellbare Uumlbersicht Die bei der Standard-Absicherung durchzufuumlhrende Strukturanalyse kann darauf aufsetshyzen und liefert ein vollstaumlndigeres Bild des abzusichernden Informationsverbunds

Im Rahmen der Ersterfassung muumlssen ausgehend von den wesentlichen Geschaumlftsprozessen und Fachverfahren die Anwendungen IT-Systeme Netzkomponenten Raumlume und aumlhnliche Objekte idenshytifiziert werden die fuumlr die Durchfuumlhrung der Geschaumlftsprozesse wesentlich sind Hierbei sollten nicht nur die primaumlren Abhaumlngigkeiten betrachtet werden also die fuumlr einen Geschaumlftsprozess direkt beshynoumltigten Applikationen und IT-Systeme Auch sekundaumlre Abhaumlngigkeiten dh die kritischen Untershy

stuumltzungsprozesse bzw -systeme (wie Gebaumludetechnik Logistik usw) sollten bei der Betrachtung beruumlcksichtigt werden

Wenn moumlglich sollte zu diesem Zeitpunkt abgeschaumltzt werden ob die identifizierten Objekte ein houmlheres Sicherheitsniveau als bdquonormalldquo erfordern

Dabei ist es haumlufig nicht zweckmaumlszligig jedes Objekt einzeln zu erfassen da Informationsverbuumlnde meist aus vielen Einzelobjekten bestehen Stattdessen sollten aumlhnliche Objekte sinnvoll zu Gruppen zusammengefasst werden Fuumlr die Ersterfassung kann es auch einfacher sein in einem zweiten Schritt eine grafische Netzuumlbersicht zu erstellen und ausgehend von dieser die IT-Systeme zu erfassen Hierbei geht es nicht um Vollstaumlndigkeit oder Form Das Ziel ist eine stark vereinfachte Netzuumlbersicht

Bei der Ersterfassung sollten auch nur die wesentlichen Objekte aufgenommen werden nicht jede einzelne IT-Komponente Beispielsweise sollten bei dieser keine typischen Buumlroraumlume aufgelistet wershyden Serverraumlume mit ihrem speziellen meist houmlheren Sicherheitsniveau sollten jedoch Erwaumlhnung finden

Erfassung der relevanten Objekte

Ausgehend von jedem Geschaumlftsprozess bzw jeder Fachaufgabe die im Informationsverbund entshyhalten ist sollten folgende Objekte tabellarisch mit einem eindeutigen Bezeichner und mindestens folgenden Hinweisen erfasst werden

bull Geschaumlftsprozess oder Fachaufgabe Name und (falls erforderlich) Beschreibung fachverantwortshyliche Stelle

bull Anwendung Name (falls erforderlich) Beschreibung und dazugehoumlriger Geschaumlftsprozess

bull IT- ICS-Systeme und sonstige Objekte Name Plattform und sofern sinnvoll Aufstellungsort

bull fuumlr die Aufrechterhaltung des Betriebes wesentliche Raumlume die dadurch ein houmlheres Sicherheitsshyniveau erfordern (z B Rechenzentrum Serverraumlume) Art Raumnummer und Gebaumlude

Virtuelle IT-Systeme und Netze sollten wie physische Strukturen behandelt werden sollten aber geshyeignet gekennzeichnet sein

Abschaumltzung des Sicherheitsniveaus

Fuumlr spaumltere Betrachtungen kann es sich als sinnvoll erweisen schon zu einem fruumlhen Zeitpunkt das angestrebte Sicherheitsniveau der einzelnen Assets abzuschaumltzen Die eigentliche Schutzbedarfsfestshystellung sollte allerdings zu einem spaumlteren Zeitpunkt erfolgen Diese Abschaumltzung des Sicherheitsnishyveaus bietet eine grobe Orientierung fuumlr den zu erwartenden Aufwand und erleichtert eine geeignete Gruppenbildung der identifizierten Assets

Die bisher identifizierten Objekte bei denen ein houmlheres Sicherheitsniveau als bdquonormalldquo angestrebt wird sollten in der bereits erstellten Tabelle gekennzeichnet werden

Erstellung eines grafischen Netzplans

Auf Grundlage der erfassten Informationen sollte ein rudimentaumlrer Netzplan als Uumlbersicht erstellt werden Wenn ein aktueller Netzplan vorhanden ist kann dieser natuumlrlich genutzt werden Ein Netzshyplan ist eine grafische Uumlbersicht uumlber die im betrachteten Bereich der Informations- und Kommunishykationstechnik eingesetzten Komponenten und deren Vernetzung Im Gegensatz zu einem vollstaumlnshydigen oder vereinfachten Netzplan wie er in der spaumlter folgenden Strukturanalyse erstellt wird dient diese Netzuumlbersicht vielmehr als Uumlberblick die die weitere Diskussion vereinfacht und zeigt ob esshysenzielle IT-Systeme vergessen wurden Im Einzelnen sollte der Plan in Bezug auf die Informationssishycherheit mindestens folgende Objekte darstellen

33 Entscheidung fuumlr Vorgehensweise

bull IT-Systeme dh Clients und Server aktive Netzkomponenten

bull Netzverbindungen zwischen diesen Systemen

bull Verbindungen des betrachteten Bereichs nach auszligen

Die grafische Netzuumlbersicht sollte sich aber nicht auf physische Komponenten beschraumlnken sondern auch virtualisierte Strukturen beinhalten Hierbei koumlnnen entweder virtuelle Strukturen (geeignet geshykennzeichnet) direkt in der grafischen Netzuumlbersicht aufgenommen werden oder bei unuumlbersichtlishychen Architekturen in eine separate Netzuumlbersicht eingetragen werden

Ein Beispiel fuumlr eine Ersterfassung einschlieszliglich einer Netzuumlbersicht ist in den Hilfsmitteln zum IT-Grundschutz zu finden In der spaumlter durchzufuumlhrenden Strukturanalyse werden die hier gewonshynenen Ergebnisse praumlzisiert und vervollstaumlndigt

Aktionspunkte zu 32 Konzeption und Planung des Sicherheitsprozesses

bull Ansprechpartner fuumlr alle Geschaumlftsprozesse und Fachaufgaben benennen

bull Grobeinschaumltzung der Wertigkeit und des Sicherheitsniveaus von Informationen Geschaumlftsproshyzessen und Fachaufgaben durchfuumlhren

bull Interne und externe Rahmenbedingungen ermitteln

bull Bedeutung der Geschaumlftsprozesse Fachaufgaben und Informationen abschaumltzen

bull Allgemeine Informationssicherheitsziele festlegen

bull Konsolidierte Uumlbersicht der vorhandenen Assets mit den zuvor gewonnenen Erkenntnissen ershystellen

bull Zustimmung der Leitungsebene einholen

Der IT-Grundschutz bietet verschiedene Vorgehensweisen an die sich an unterschiedliche Anwendshyergruppen richten und unterschiedliche Ziele verfolgen Basis- Standard- und Kern-Absicherung In diesem Schritt erfolgt die Auswahl der fuumlr die Institution optimalen Vorgehensweise basierend auf der bereits vorliegenden Entscheidungshilfe unter Zuhilfenahme der oben durchgefuumlhrten Ersterfassung

Bei der Basis-Absicherung handelt es sich um eine grundlegende Absicherung der Geschaumlftsprozesse und Ressourcen einer Institution Sie ermoumlglicht einen ersten Einstieg in den Sicherheitsprozess um schnellstmoumlglich die groumlszligten Risiken zu senken Im naumlchsten Schritt koumlnnen die tatsaumlchlichen Sichershyheitsanforderungen im Detail analysiert werden Diese Vorgehensweise ist daher besonders fuumlr kleishynere Institutionen geeignet die noch am Anfang ihres Sicherheitsprozesses stehen

Die Kern-Absicherung dient als weitere Einstiegsvorgehensweise zum Schutz der essenziellen Geshyschaumlftsprozesse und Ressourcen einer Institution Diese Vorgehensweise unterscheidet sich vom klasshysischen IT-Grundschutz durch die Fokussierung auf einen kleinen aber sehr wichtigen Teil eines Inforshymationsverbunds die sogenannten bdquoKronjuwelenldquo Die Kern-Absicherung ist vor allem fuumlr Institutioshynen geeignet die einige wenige Geschaumlftsprozesse identifiziert haben die wesentlich fuumlr den Fortbestand der Institution sind und vorrangig abgesichert werden muumlssen

Die dritte und vom BSI praumlferierte Vorgehensweise ist die Standard-Absicherung Diese entspricht in den Grundzuumlgen der bekannten und bewaumlhrten IT-Grundschutz-Vorgehensweise

Die Basis- und die Kern-Absicherung sind jeweils Methoden um zunaumlchst zeitnah die wichtigsten Sishycherheitsempfehlungen fuumlr den ausgewaumlhlten Einsatzbereich identifizieren und umsetzen zu koumlnnen Ziel muss es sein mittelfristig ein vollstaumlndiges Sicherheitskonzept gemaumlszlig der Standard-Absicherung zu erstellen

331 Basis-Absicherung

Die Basis-Absicherung verfolgt das Ziel als Einstieg in den IT-Grundschutz zunaumlchst eine breite grundshylegende Erst-Absicherung uumlber alle relevanten Geschaumlftsprozesse bzw Fachverfahren einer Institution hinweg zu erlangen Diese Vorgehensweise ist fuumlr Institutionen empfehlenswert bei denen folgende Punkte zutreffen

bull Die Umsetzung von Informationssicherheit steht noch am Anfang d h die Informationssicherheit hat bisher nur einen niedrigen Reifegrad erreicht

bull Die Geschaumlftsprozesse weisen kein deutlich erhoumlhtes Gefaumlhrdungspotenzial bezuumlglich der Inforshymationssicherheit auf

bull Das angestrebte Sicherheitsniveau ist normal

bull Es sind keine Assets vorhanden deren Diebstahl Zerstoumlrung oder Kompromittierung einen exisshytenzbedrohenden Schaden fuumlr die Institution bedeutet

bull Kleinere Sicherheitsvorfaumllle koumlnnen toleriert werden ndash also solche die zwar Geld kosten oder anshyderweitig Schaden verursachen aber in der Summe nicht existenzbedrohend sind

Mit der Basis-Absicherung koumlnnen zeitnah zunaumlchst die wichtigsten Sicherheitsanforderungen umshygesetzt werden um darauf aufbauend zu einem spaumlteren Zeitpunkt das Sicherheitsniveau weiter zu erhoumlhen indem beispielsweise alle Bereiche mit der Standard-Absicherung oder kritische Geschaumlftsshyprozesse mit der Kern-Absicherung geschuumltzt werden

332 Kern-Absicherung

Uumlber die Kern-Absicherung kann eine Institution als Einstieg in den IT-Grundschutz bzw den Sichershyheitsprozess zunaumlchst besonders gefaumlhrdete Geschaumlftsprozesse und Assets vorrangig absichern Dieshyse Vorgehensweise ist empfehlenswert wenn fuumlr eine Institution folgende Aspekte uumlberwiegend zutreffen

bull Die Menge der Geschaumlftsprozesse mit deutlich erhoumlhtem Schutzbedarf ist uumlberschaubar bzw umshyfasst nur einen kleinen Anteil aller Geschaumlftsprozesse der Institution

bull Die Institution kann die Geschaumlftsprozesse die ein deutlich erhoumlhtes Gefaumlhrdungspotenzial bezuumlgshylich der Informationssicherheit aufweisen zuumlgig identifizieren und eindeutig abgrenzen

bull Die Institution besitzt eindeutig benennbare Assets deren Diebstahl Zerstoumlrung oder Kompromitshytierung einen existenzbedrohenden Schaden fuumlr die Institution bedeuten wuumlrde (sogenannte Kronjuwelen) Diese sollen vorrangig geschuumltzt werden

bull Kleinere Sicherheitsvorfaumllle die Geld kosten oder anderweitig Schaden verursachen aber keinen existenzbedrohenden Schaden bedeuten sind fuumlr die Institution akzeptabel

Mit der Kern-Absicherung koumlnnen zeitnah die wichtigsten Ressourcen und Geschaumlftsprozesse abgeshysichert werden So kann in einem ersten Schritt zunaumlchst der kritischste Geschaumlftsprozess abgesichert werden um in weiteren Schritten wahlweise die naumlchsten kritischen Geschaumlftsprozesse abzusichern oder fuumlr alle Bereiche der Institution die Basis- oder Standard-Absicherung zu beginnen Eine Zertifishy

zierung nach ISO 27001 ist fuumlr den betrachteten abgegrenzten Informationsverbund grundsaumltzlich moumlglich

333 Standard-Absicherung

Die Standard-Absicherung entspricht im Wesentlichen der klassischen IT-Grundschutz-Vorgehensweishyse nach BSI-Standard 100-2 Mit der Standard-Absicherung kann eine Institution umfassend und tief-gehend abgesichert werden Dies sollte grundsaumltzlich das Ziel jeglicher Anwendung des IT-Grundshyschutzes sein auch wenn zuvor zunaumlchst eine der beiden bereits genannten anderen Vorgehensweishysen gewaumlhlt wurde Ein direkter Einstieg in den Sicherheitsprozess mit der Standard-Absicherung ist empfehlenswert wenn fuumlr die Institution die folgenden Punkte uumlberwiegend zutreffen

bull Die Institution arbeitet bereits mit dem IT-Grundschutz

bull Es wurden schon Sicherheitskonzepte nach IT-Grundschutz oder ISO 27001 erstellt

bull Die Umsetzung von Informationssicherheit hat in der Institution bereits einen ausreichenden Reishyfegrad erreicht sodass in wesentlichen Bereichen bereits Sicherheitsmaszlignahmen vorhanden sind und keine grundlegende Erst-Absicherung mehr notwendig ist

bull Es besteht kein Handlungsbedarf einzelne Geschaumlftsprozesse vordringlich abzusichern die ein deutlich houmlheres Gefaumlhrdungspotenzial bezuumlglich der Informationssicherheit besitzen (vergleiche Kern-Absicherung)

bull Die Institution hat keine Assets derenDiebstahl Zerstoumlrung oder Kompromittierungeinen unmittelbar existenzbedrohenden Schaden nach sich ziehen koumlnnte und die daher vorrangig abgesichert werden sollten

bull Sicherheitsvorfaumllle die wahrnehmbar die Aufgabenerfuumlllung beeintraumlchtigen Geld kosten oder anderweitig erkennbaren Schaden verursachen sind fuumlr die Institution nicht akzeptabel auch wenn sie noch keinen existenzbedrohenden Schaden verursachen

Die Standard-Absicherung ist die Vorgehensweise die grundsaumltzlich angestrebt werden sollte um alle Bereiche einer Institution angemessen und umfassend zu schuumltzen Auch fuumlr eine angestrebte Zertishyfizierung des Informationsverbunds nach ISO 27001 ist diese Vorgehensweise (bzw die Kern-Absishycherung) die erforderliche Grundlage

334 Festlegung des Geltungsbereichs

Der Geltungsbereich fuumlr die Erstellung der Sicherheitskonzeption wird im Folgenden bdquoInformationsshyverbundldquo genannt Ein Informationsverbund umfasst die Gesamtheit von infrastrukturellen organishysatorischen personellen und technischen Komponenten die der Aufgabenerfuumlllung in einem beshystimmten Anwendungsbereich der Informationsverarbeitung dienen Ein Informationsverbund kann dabei als Auspraumlgung die gesamte Informationsverarbeitung einer Institution oder auch einzelne Beshyreiche umfassen die durch organisatorische oder technische Strukturen (z B Abteilungsnetz) oder gemeinsame Geschaumlftsprozesse bzw Anwendungen (z B Personalinformationssystem) gegliedert sind

Neben der Vorgehensweise muss also auch festgelegt werden wie der damit zu schuumltzende Informashytionsverbund aussehen soll Dieser kann die gesamte Institution umfassen oder aus Teilbereichen beshystehen Als Informationsverbund koumlnnen beispielsweise bestimmte Organisationseinheiten einer Inshystitution betrachtet werden Es koumlnnten aber auch Bereiche sein die definierte Geschaumlftsprozesse bearbeiten inklusive der dafuumlr notwendigen Infrastruktur Wichtig ist jedoch dabei dass die betrachshyteten Geschaumlftsprozesse komplett im Geltungsbereich enthalten sind

Waumlhrend bei der Basis- und Standard-Absicherung der Geltungsbereich haumlufig die gesamte Institutishyon umfasst konzentriert man sich bei der Kern-Absicherung auf einige herausragende besonders geschaumlftskritische Prozesse

Es kann auch sinnvoll sein Sicherheitskonzeptionen fuumlr mehrere kleinere Bereiche zu entwickeln Dies kann beispielsweise der Fall sein wenn der Aufwand fuumlr eine Gesamtabsicherung im ersten Schritt als zu hoch eingeschaumltzt wird und bestimmte Geschaumlftsprozesse priorisiert behandelt werden muumlssen Hierfuumlr koumlnnten beispielsweise Bereiche identifiziert werden fuumlr die parallel oder nacheinander Basis- Standard- bzw Kern-Absicherungen durchgefuumlhrt werden

So koumlnnte eine Institution beschlieszligen zunaumlchst fuumlr einen kleinen Bereich mit besonders gefaumlhrdeten Assets die Kern-Absicherung umzusetzen Damit aber auch fuumlr die restliche Institution ein Mindestshymaszlig an Sicherheit vorhanden ist sollte dort die Basis-Absicherung garantiert werden

Es sollten nicht nur technische sondern auch organisatorische Aspekte bei der Abgrenzung des Gelshytungsbereichs beruumlcksichtigt werden damit die Verantwortung und die Zustaumlndigkeiten eindeutig festgelegt werden koumlnnen In jedem Fall sollte klar sein welche Informationen Fachaufgaben oder Geschaumlftsprozesse in der Sicherheitskonzeption explizit betrachtet werden

Bei der Abgrenzung des Geltungsbereichs fuumlr die Sicherheitskonzeption muumlssen folgende Faktoren beruumlcksichtigt werden

bull Der Geltungsbereich sollte moumlglichst alle Bereiche Aspekte und Komponenten umfassen die zur Unterstuumltzung der Fachaufgaben Geschaumlftsprozesse oder Organisationseinheiten dienen und deshyren Verwaltung innerhalb der Institution stattfindet

bull Wenn dies nicht moumlglich ist weil Teile der betrachteten Fachaufgaben oder Geschaumlftsprozesse organisatorisch von externen Partnern abhaumlngig sind beispielsweise im Rahmen von Outsourcing sollten die Schnittstellen klar definiert werden damit dies im Rahmen der Sicherheitskonzeption beruumlcksichtigt werden kann

Aktionspunkte zu 334 Definition des Geltungsbereichs fuumlr die Sicherheitskonzeption

bull Festlegen welche kritischen Geschaumlftsprozesse Fachaufgaben oder Teile der Institution der Gelshytungsbereich beinhalten soll

bull Den Geltungsbereich eindeutig abgrenzen

bull Schnittstellen zu externen Partnern beschreiben

335 Managemententscheidung

Der von der Leitungsebene benannte Verantwortliche fuumlr Informationssicherheit muss basierend auf den ermittelten Rahmenbedingungen den formulierten Sicherheitszielen und dem angestrebten Sishycherheitsniveau einen Vorschlag erarbeiten wie die weiteren Schritte zur Erreichung der kurzfristigen sowie der langfristigen Sicherheitsziele aussehen sollten Das Management muss auf dieser Grundlashyge entscheiden fuumlr welche Bereiche der Institution welche Vorgehensweise zu deren Absicherung gewaumlhlt werden soll

Es sollte anschlieszligend dokumentiert werden fuumlr welchen Bereich mit welchem Zeitplan eine Basis- Standard- bzw Kern-Absicherung umgesetzt werden soll Die entsprechenden Geltungsbereiche des Informationsverbunds muumlssen festgelegt werden

Die folgende Uumlbersicht zeigt die wichtigsten Vor- und Nachteile der einzelnen Vorgehensweisen auf

34 Erstellung einer Leitlinie zur Informationssicherheit

Basis-Absicherung

Pro Der Aufwand ist verhaumlltnismaumlszligig niedrig Dadurch ist ein schneller Einstieg in die Informatishyonssicherheit moumlglich So laumlsst sich schnell eine grundlegende Erst-Absicherung erzielen

Contra Durch eine pauschale Erfuumlllung der Erstanforderungen wird nur ein niedriges Sicherheitsnishyveau erreicht Eventuell ist das erzielbare Schutzniveau nicht hoch genug fuumlr die tatsaumlchlishychen Sicherheitsanforderungen Eine Zertifizierung nach ISO 27001 ist auf dieser Basis nicht moumlglich

Kern-Absicherung

Pro Die Kern-Absicherung ermoumlglicht eine volle Fokussierung auf die Kronjuwelen also die exisshytenziell wichtigen Assets der Institution Die Umsetzung ist schneller als bei der Einbeziehung aller Geschaumlftsprozesse Eine Zertifizierung nach ISO 27001 ist fuumlr den betrachteten abgeshygrenzten Informationsverbund grundsaumltzlich moumlglich

Contra Kronjuwelen koumlnnen unter Umstaumlnden nicht isoliert betrachtet werden wodurch umfangshyreichere Anteile der Institution einbezogen werden muumlssen Alle nicht als kritisch eingestufshyten Geschaumlftsprozesse bleiben zunaumlchst unbeachtet Dabei besteht die Gefahr dass einershyseits wichtige Bereiche uumlbersehen und somit gaumlnzlich ungeschuumltzt gelassen werden Andeshyrerseits koumlnnten kumulierte Risiken uumlbersehen werden

Standard-Absicherung

Pro Die Standard-Absicherung bietet ein hohes und an die vorhandenen Geschaumlftsprozesse speshyzifisch angepasstes Sicherheitsniveau Es wird ein gleichmaumlszligiges Sicherheitsniveau uumlber die gesamte Institution erzielt Das erreichte Sicherheitsniveau ist mit jenem anderer Institutioshynen gut vergleichbar Eine Zertifizierung nach ISO 27001 und eine Messbarkeit des ISMS sind moumlglich Es werden alle notwendigen Ressourcen der Institution vollstaumlndig betrachtet

Contra Der Aufwand ist bei einem niedrigen Reifegrad der vorhandenen Informationssicherheit houmlshyher als bei den beiden anderen Vorgehensweisen

Aktionspunkte zu 335 Managemententscheidung

bull Erarbeitung einer Managementvorlage zur Entscheidungsfindung

bull Entscheidung fuumlr welche Bereiche der Institution welche Vorgehensweise zu deren Absicherung gewaumlhlt werden soll

bull Dokumentation der Entscheidung und des Zeitplans fuumlr die Umsetzung

Die Leitlinie zur Informationssicherheit beschreibt allgemein verstaumlndlich fuumlr welche Zwecke mit welchen Mitteln und mit welchen Strukturen Informationssicherheit innerhalb der Institution hergeshystellt werden soll Sie beinhaltet die von der Institution angestrebten Informationssicherheitsziele soshywie die verfolgte Sicherheitsstrategie Die Sicherheitsleitlinie beschreibt damit auch uumlber die Sichershyheitsziele das angestrebte Sicherheitsniveau in einer Behoumlrde oder einem Unternehmen Sie ist somit Anspruch und Aussage zugleich dass dieses Sicherheitsniveau auf allen Ebenen der Institution ershyreicht werden soll

Die Erstellung der Sicherheitsleitlinie sollte in den nachfolgenden Schritten vollzogen werden

341 Verantwortung der Behoumlrden- bzw Unternehmensleitung fuumlr die Sicherheitsleitlinie

Mit der Leitlinie zur Informationssicherheit wird dokumentiert welche strategische Position die Instishytutionsleitung zur Erreichung der Informationssicherheitsziele auf allen Ebenen der Organisation einshynimmt

Da die Sicherheitsleitlinie ein zentrales Strategiepapier fuumlr die Informationssicherheit einer Institution darstellt muss sie so gestaltet sein dass sich alle adressierten Organisationseinheiten mit ihrem Inhalt identifizieren koumlnnen An ihrer Erstellung sollten daher moumlglichst viele Bereiche beteiligt werden Jede Institution muss letztendlich aber selbst entscheiden welche Abteilungen und Hierarchieebenen an der Formulierung der Sicherheitsleitlinie mitwirken

Es empfiehlt sich bei der Erarbeitung der Sicherheitsleitlinie das Fachwissen der folgenden Organisashytionseinheiten zu nutzen Fachverantwortliche fuumlr wichtige Anwendungen IT-Betrieb Sicherheit (Inshyformations- IT- und Infrastruktur-Sicherheit) Datenschutzbeauftragter Produktion und Fertigung Personalabteilung Personalvertretung Revision Vertreter fuumlr Finanzfragen Rechtsabteilung

342 Einberufung einer Entwicklungsgruppe fuumlr die Sicherheitsleitlinie

Falls es innerhalb der Institution bereits ein IS-Management-Team gibt so sollte dieses die Informatishyonssicherheitsleitlinie entwickeln bzw uumlberpruumlfen und uumlberarbeiten Danach wird dieser Entwurf der Behoumlrden- bzw Unternehmensleitung zur Genehmigung vorgelegt

Befindet sich das Informationssicherheitsmanagement erst im Aufbau so sollte eine Entwicklungsshygruppe zur Erarbeitung der Sicherheitsleitlinie eingerichtet werden Diese Gruppe kann im Laufe des Sicherheitsprozesses die Funktion des IS-Management-Teams uumlbernehmen Sinnvollerweise sollten in dieser Entwicklungsgruppe Vertreter der IT- bzw ICS-Anwender Vertreter des IT- bzw ICS-Betriebs und ein oder mehrere in Sachen Informationssicherheit ausreichend vorgebildete Mitarbeiter mitwirshyken Idealerweise sollte zeitweise auch ein Mitglied der Leitungsebene das die Bedeutung der Inforshymationsverarbeitung fuumlr die Institution einschaumltzen kann hinzugezogen werden

343 Festlegung des Geltungsbereichs und Inhalt der Sicherheitsleitlinie

In der Informationssicherheitsleitlinie muss beschrieben werden fuumlr welche Bereiche diese gelten soll Der Geltungsbereich kann die gesamte Institution umfassen oder aus Teilbereichen dieser bestehen Wichtig ist jedoch dabei dass die betrachteten Geschaumlftsaufgaben und -prozesse in dem Geltungsshybereich komplett enthalten sind Insbesondere bei groumlszligeren Institutionen ist die Festlegung des Gelshytungsbereichs keine triviale Aufgabe Eine Orientierung nach den jeweiligen Verantwortlichkeiten kann dabei behilflich sein

Die Sicherheitsleitlinie sollte kurz und buumlndig formuliert sein da sich mehr als 20 Seiten in der Praxis nicht bewaumlhrt haben Sie sollte jedoch mindestens die folgenden Informationen beinhalten

bull Stellenwert der Informationssicherheit und Bedeutung der wesentlichen Informationen Geshyschaumlftsprozesse und der IT fuumlr die Aufgabenerfuumlllung

bull Bezug der Informationssicherheitsziele zu den Geschaumlftszielen oder Aufgaben der Institution

bull Sicherheitsziele und die Kernelemente der Sicherheitsstrategie fuumlr die Geschaumlftsprozesse und die eingesetzte IT

bull Zusicherung dass die Sicherheitsleitlinie von der Institutionsleitung durchgesetzt wird sowie Leitshyaussagen zur Erfolgskontrolle und

bull Beschreibung der fuumlr die Umsetzung des Informationssicherheitsprozesses etablierten Organisatishyonsstruktur

Zusaumltzlich koumlnnen z B noch folgende Aussagen hinzukommen

bull Zur Motivation koumlnnen einige fuumlr die Geschaumlftsprozesse wichtige Gefaumlhrdungen thematisiert und die wichtigsten gesetzlichen Regelungen und sonstige wichtige Rahmenbedingungen (wie vershytragliche Vereinbarungen) genannt werden

bull Die wesentlichen Aufgaben und Zustaumlndigkeiten im Sicherheitsprozess sollten aufgezeigt werden (insbesondere fuumlr das IS-Management-Team den IS-Beauftragten die Mitarbeiter und den IT-Beshytrieb ausfuumlhrliche Informationen zu den einzelnen Rollen finden sich in Kapitel 4 Organisation des Sicherheitsprozesses Auszligerdem sollten die Organisationseinheiten oder Rollen benannt werden die als Ansprechpartner fuumlr Sicherheitsfragen fungieren

bull Programme zur Foumlrderung der Informationssicherheit durch Schulungs- und Sensibilisierungsmaszligshynahmen koumlnnen angekuumlndigt werden

Abbildung 2 Inhalte der Sicherheitsleitlinie

344 Bekanntgabe der Sicherheitsleitlinie

Es ist wichtig dass die Behoumlrden- bzw Unternehmensleitung ihre Zielsetzungen und Erwartungshalshytungen durch Bekanntgabe der Sicherheitsleitlinie unterstreicht und den Stellenwert sowie die Bedeushytung der Informationssicherheit in der gesamten Institution verdeutlicht Alle Mitarbeiter sollten daher die Inhalte der Sicherheitsleitlinie kennen und nachvollziehen koumlnnen Neuen Mitarbeitern sollte die Sicherheitsleitlinie erlaumlutert werden bevor sie Zugang zur Informationsverarbeitung erhalten

Da die Verantwortung der Behoumlrden- bzw Unternehmensleitung in Bezug auf die Sicherheitsleitlinie entscheidend ist sollte die Leitlinie schriftlich fixiert sein Die Behoumlrden- bzw Unternehmensleitung sollte ihr formell zugestimmt haben Die Inhalte der Sicherheitsleitlinie sollten also innerhalb der Inshystitution nicht nur bekannt sein sondern auf diese sollte auch moumlglichst einfach zuzugreifen sein z B im Intranet der Institution Wenn die Leitlinie vertrauliche Aussagen enthaumllt sollten diese in einer Anlage abgespeichert werden die deutlich als vertraulich gekennzeichnet ist

Schlieszliglich sollten alle Mitarbeiter darauf aufmerksam gemacht werden dass nicht nur bei der Aufshygabenerfuumlllung allgemein sondern auch bei der Erfuumlllung der Aufgabe bdquoInformationssicherheitldquo von jedem Mitarbeiter ein engagiertes kooperatives sowie verantwortungsbewusstes Handeln erwartet wird

345 Aktualisierung der Sicherheitsleitlinie

Die Leitlinie zur Informationssicherheit sollte in regelmaumlszligigen Abstaumlnden auf ihre Aktualitaumlt hin uumlbershypruumlft und gegebenenfalls angepasst werden Hierbei sollte beispielsweise uumlberlegt werden ob sich Geschaumlftsziele oder Aufgaben und damit Geschaumlftsprozesse geaumlndert haben ob wesentliche IT-Vershyfahren oder ICS-Komponenten geaumlndert worden sind ob die Organisationsstruktur neu ausgerichtet wurde oder ob neue IT- oder ICS-Systeme eingefuumlhrt worden sind Bei den haumlufig rasanten Entwickshylungen im Bereich der IT einerseits und der Sicherheitslage andererseits empfiehlt es sich die Sichershyheitsleitlinie spaumltestens alle zwei Jahre erneut zu uumlberdenken

Aktionspunkte zu 34 Erstellung einer Sicherheitsleitlinie

bull Auftrag der Leitungsebene zur Erarbeitung einer Sicherheitsleitlinie einholen

bull Entwicklungsgruppe fuumlr die Sicherheitsleitlinie einberufen

bull Geltungsbereich und Inhalte festlegen

bull Inkraftsetzung der Sicherheitsleitlinie durch die Leitungsebene veranlassen

bull Sicherheitsleitlinie bekannt geben

bull Sicherheitsleitlinie regelmaumlszligig uumlberpruumlfen und gegebenenfalls aktualisieren

41 Integration der Informationssicherheit in organisationsweite Ablaumlufe und Prozesse

Organisation des Sicherheitsprozesses Das angestrebte Sicherheitsniveau kann nur erreicht werden wenn der Informationssicherheitsproshyzess fuumlr den gesamten Geltungsbereich umgesetzt wird Dieser uumlbergreifende Charakter des Sichershyheitsprozesses macht es notwendig Rollen innerhalb der Institution festzulegen und den Rollen die entsprechenden Aufgaben zuzuordnen Diese Rollen muumlssen dann qualifizierten Mitarbeitern uumlbershytragen und von diesen ausgefuumlhrt werden Nur so kann gewaumlhrleistet werden dass alle wichtigen Aspekte beruumlcksichtigt und saumlmtliche anfallende Aufgaben effizient und effektiv erledigt werden

Die Aufbauorganisation die zur Foumlrderung und Durchsetzung des Informationssicherheitsprozesses erforderlich ist wird als Informationssicherheitsorganisation oder kurz IS-Organisation bezeichnet

Wie viele Personen in welcher Organisationsstruktur und mit welchen Ressourcen mit Informationsshysicherheit beschaumlftigt sind haumlngt von der Groumlszlige Beschaffenheit und Struktur der jeweiligen Institushytion ab Auf jeden Fall sollte als zentraler Ansprechpartner fuumlr die Koordination Verwaltung und Kommunikation des Prozesses bdquoInformationssicherheitldquo ein Informationssicherheitsbeauftragter (ISB) benannt werden In groumlszligeren Institutionen gibt es daruumlber hinaus typischerweise weitere Personen die verschiedene Teilaufgaben fuumlr Informationssicherheit wahrnehmen Um deren Taumltigkeiten aufeinshyander abzustimmen sollte ein IS-Management-Team aufgebaut werden das saumlmtliche uumlbergreifenshyden Belange der Informationssicherheit regelt und Plaumlne Vorgaben und Richtlinien erarbeitet

Um den direkten Zugang zur Institutionsleitung sicherzustellen sollten diese Rollen als Stabsstelle organisiert sein Auf Leitungsebene sollte die Aufgabe der Informationssicherheit eindeutig einem verantwortlichen Manager zugeordnet sein an den der ISB berichtet

Unabhaumlngig davon wie eine optimale Struktur fuumlr die eigene IS-Organisation zu gestalten ist sind die drei folgenden Grundregeln dabei unbedingt zu beachten

Grundregeln bei der Definition von Rollen im Informationssicherheitsmanagement

bull Die Gesamtverantwortung fuumlr die ordnungsgemaumlszlige und sichere Aufgabenerfuumlllung (und damit fuumlr die Informationssicherheit) verbleibt bei der Leitungsebene

bull Es ist mindestens eine Person (typischerweise als Informationssicherheitsbeauftragter) zu benenshynen die den Informationssicherheitsprozess foumlrdert und koordiniert

bull Jeder Mitarbeiter ist gleichermaszligen fuumlr seine originaumlre Aufgabe wie fuumlr die Aufrechterhaltung der Informationssicherheit an seinem Arbeitsplatz und in seiner Umgebung verantwortlich

Das Management der Informationssicherheit ist zwar nur eine von vielen wichtigen Managementaufshygaben hat jedoch Einfluss auf nahezu alle Bereiche einer Institution Daher muss das Informationssishycherheitsmanagement vernuumlnftig in bestehende Organisationsstrukturen integriert und Ansprechshypartner festgelegt werden Aufgaben und Zustaumlndigkeiten muumlssen klar voneinander abgegrenzt sein Es muss dabei gewaumlhrleistet sein dass nicht nur bei einzelnen Maszlignahmen sondern bei allen strateshygischen Entscheidungen die notwendigen Sicherheitsaspekte beruumlcksichtigt werden Dazu gehoumlren zum Beispiel Entscheidungen uumlber Outsourcing oder die Nutzung neuer elektronischer Vertriebskashynaumlle ebenso wie die Anmietung neuer Raumlumlichkeiten Daher muss die IS-Organisation bei allen Proshyjekten die Auswirkungen auf die Informationssicherheit haben koumlnnten rechtzeitig beteiligt werden

4 Organisation des Sicherheitsprozesses

Vor allem in groumlszligeren Institutionen existiert bereits haumlufig ein uumlbergreifendes Risikomanagementsysshytem Da Informationssicherheitsrisiken ebenso wie IT-Risiken zu den wichtigsten operationellen Risishyken gehoumlren sollten die Methoden zum Informationssicherheitsmanagement und zum Management von Risiken mit den bereits etablierten Methoden und Managementsystemen abgestimmt werden siehe hierzu auch BSI-Standard 200-3 Risikoanalyse auf der Basis von IT-Grundschutz

42 Aufbau der Informationssicherheitsorganisation

In Abhaumlngigkeit von der Institutionsgroumlszlige bieten sich verschiedene Moumlglichkeiten fuumlr die Aufbauorshyganisation des Informationssicherheitsmanagements an

In den nachstehenden Abbildungen werden drei davon aufgezeigt Die Abbildung 3 zeigt die Struktur fuumlr die IS-Organisation in einer groszligen Institution Die Abbildung 4 zeigt den Aufbau in einer mittelshygroszligen Institution in der das IS-Management-Team und der Sicherheitsbeauftragte zusammengeshyfasst wurden Die Abbildung 5 zeigt eine Struktur fuumlr die IS-Organisation in einer kleinen Institution in der alle Aufgaben vom Informationssicherheitsbeauftragten wahrgenommen werden Die Abbilshydung 6 zeigt eine Struktur der IS-Organisation in der ein ICS-Bereich integriert ist

Abbildung 3 Aufbau einer IS-Organisation in einer groszligen Institution

Abbildung 4 Aufbau der IS-Organisation in einer mittelgroszligen Institution

Abbildung 5 Aufbau der IS-Organisation in einer kleinen Institution

Abbildung 6 Aufbau der IS-Organisation mit integriertem ICS-Bereich

An dieser Stelle sei deutlich darauf hingewiesen dass die in den Abbildungen dargestellten zentralen Rollen nicht unbedingt von verschiedenen Personen wahrgenommen werden muumlssen Die personelle Ausgestaltung richtet sich nach der Groumlszlige der jeweiligen Institution den vorhandenen Ressourcen und dem angestrebten Sicherheitsniveau Die Ressourcenplanung fuumlr die Unterstuumltzung der Informashytionssicherheit muss so erfolgen dass das beschlossene Sicherheitsniveau auch tatsaumlchlich erreicht werden kann

43 Aufgaben Verantwortungen und Kompetenzen in der IS-Organisation

Der Informationssicherheitsbeauftragte und das IS-Management-Team muumlssen klar definierte Aufshygaben Verantwortungsbereiche und Kompetenzen haben die von der Leitungsebene festzulegen sind Um ihre Aufgabe wahrnehmen zu koumlnnen sollten sie an allen relevanten Verfahren und Entshyscheidungen beteiligt werden Die Rollen sind so in die Organisationsstruktur einzubinden dass alle Beteiligten untereinander kommunizieren koumlnnen Auszligerdem muss geklaumlrt sein wer im Rahmen des Sicherheitsmanagements mit welchen internen und externen Stellen wann woruumlber kommunishyziert sowie welche Kommunikationskanaumlle fuumlr die jeweiligen Ansprechpartner genutzt und wie dieshyse geschuumltzt werden (siehe hierzu auch Kapitel 52 Informationsfluss im Informationssicherheitsproshyzess)

44 Der Informationssicherheitsbeauftragte

Mit der Wahrnehmung der Aufgaben als Sicherheitsbeauftragte bzw im IS-Management-Team sollte stets qualifiziertes Personal betraut werden Bei Bedarf koumlnnen unterstuumltzend Aufgaben an weitere Rollen wie beispielsweise

bull Bereichs-ISB (Informationssicherheitsbeauftragter fuumlr einen Bereich Abteilung Auszligenstelle oAuml)

bull Projekt-ISB sowie

bull ICS-ISB (Informationssicherheitsbeauftragter fuumlr den Bereich der industriellen Steuerung)

delegiert werden

Informationssicherheit wird haumlufig vernachlaumlssigt sodass sie hinter dem Tagesgeschaumlft zuruumlckfaumlllt Dadurch besteht bei unklarer Aufteilung der Zustaumlndigkeiten die Gefahr dass Informationssicherheit grundsaumltzlich zu einem bdquoProblem anderer Leuteldquo wird Damit wird die Verantwortung fuumlr Informatishyonssicherheit so lange hin- und hergeschoben bis keiner sie mehr zu haben glaubt Um dies zu vershymeiden sollte ein Hauptansprechpartner fuumlr alle Aspekte rund um die Informationssicherheit ein Informationssicherheitsbeauftragter oder kurz ISB ernannt werden der die Aufgabe bdquoInformationsshysicherheitldquo koordiniert und innerhalb der Institution vorantreibt Ob es neben einem solchen weitere Personen mit Sicherheitsaufgaben gibt und wie die Informationssicherheit organisiert ist haumlngt von der Art und Groumlszlige der Institution ab

Die Rolle des Verantwortlichen fuumlr Informationssicherheit wird je nach Art und Ausrichtung der Instishytution anders genannt Haumlufige Titel sind neben dem Informationssicherheitsbeauftragten auch Chief Information Security Officer (CISO) oder Informationssicherheitsmanager (ISM) In den IT-Grundshyschutz-Dokumenten wurde bislang die Bezeichnung IT-Sicherheitsbeauftragter (IT-SiBe) verwendet da dieser Begriff in Unternehmen und Behoumlrden lange Zeit der am weitesten verbreitete war Mit dem Titel bdquoSicherheitsbeauftragterldquo werden dagegen haumlufig diejenigen Personen bezeichnet die fuumlr Arshybeitsschutz Betriebssicherheit oder Werkschutz zustaumlndig sind

Aus diesen Titeln folgt aber auch haumlufig ein anderes Rollenverstaumlndnis So macht der Titel des Inforshymationssicherheitsbeauftragten statt des IT-Sicherheitsbeauftragten deutlich dass diese Person sich um die Absicherung aller Arten von Informationen kuumlmmert und nicht nur um IT-bezogene Aspekte Informationssicherheit sollte aber immer ein Teil des operationellen Risikomanagements einer Instishytution sein Aus diesem Grund ersetzt die Bezeichnung bdquoInformationssicherheitsbeauftragterldquo (ISB) im IT-Grundschutz in diesem Zusammenhang die Bezeichnung bdquoIT-Sicherheitsbeauftragterldquo (IT-SiBe)

Eng damit haumlngt auch die Frage zusammen wo der Sicherheitsbeauftragte organisatorisch verankert ist Es ist empfehlenswert die Position des Informationssicherheitsbeauftragten direkt der obersten Leitungsebene zuzuordnen Es ist davon abzuraten den Sicherheitsbeauftragten in der IT-Abteilung zu verorten da es hierbei zu Rollenkonflikten kommen kann

Um einen Sicherheitsprozess erfolgreich planen umsetzen und aufrechterhalten zu koumlnnen muumlssen die Verantwortlichkeiten klar definiert werden Es muumlssen also Rollen definiert sein die die verschieshydenen Aufgaben im Hinblick auf das Erreichen der Informationssicherheitsziele wahrnehmen muumlssen Zudem muumlssen Personen benannt sein die qualifiziert sind und denen im ausreichenden Maszlige Resshysourcen zur Verfuumlgung stehen um diese Rollen ausfuumlllen zu koumlnnen

Zustaumlndigkeiten und Aufgaben

Der Informationssicherheitsbeauftragte ist zustaumlndig fuumlr die Wahrnehmung aller Belange der Inforshymationssicherheit innerhalb der Institution Die Hauptaufgabe des ISB besteht darin die Behoumlrdenshybzw Unternehmensleitung bei deren Aufgabenwahrnehmung bezuumlglich der Informationssichershyheit zu beraten und diese bei der Umsetzung zu unterstuumltzen Seine Aufgaben umfassen unter anderem

bull den Informationssicherheitsprozess zu steuern und an allen damit zusammenhaumlngenden Aufgashyben mitzuwirken

bull die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit zu unterstuumltzen

bull die Erstellung des Sicherheitskonzepts des Notfallvorsorgekonzepts und anderer Teilkonzepte und System-Sicherheitsrichtlinien zu koordinieren sowie weitere Richtlinien und Regelungen zur Inforshymationssicherheit zu erlassen

bull die Realisierung von Sicherheitsmaszlignahmen zu initiieren und zu uumlberpruumlfen

bull der Leitungsebene und dem IS-Management-Team uumlber den Status quo der Informationssicherheit zu berichten

bull sicherheitsrelevante Projekte zu koordinieren

bull Sicherheitsvorfaumllle zu untersuchen und

bull Sensibilisierungs- und Schulungsmaszlignahmen zur Informationssicherheit zu initiieren und koordishynieren

Der ISB ist auszligerdem bei allen groumlszligeren Projekten die deutliche Auswirkungen auf die Informationsshyverarbeitung haben koumlnnten zu beteiligen um die Beachtung von Sicherheitsaspekten in den vershyschiedenen Projektphasen zu gewaumlhrleisten So sollte der ISB bei der Planung und Einfuumlhrung neuer Anwendungen und IT-Systeme ebenso beteiligt sein wie bei neuen ICS-Komponenten oder wesentshylichen Aumlnderungen der Infrastruktur

Anforderungsprofil

Zur Erfuumlllung dieser Aufgaben ist es wuumlnschenswert dass der Informationssicherheitsbeauftragte uumlber Wissen und Erfahrung auf den Gebieten der Informationssicherheit und IT verfuumlgt Ebenso sollte er Kenntnisse hinsichtlich der Geschaumlftsprozesse der Institution mitbringen Da diese Aufgabe eine Vielzahl von Faumlhigkeiten erfordert sollte bei der Auswahl des Weiteren darauf geachtet werden dass die folgenden Qualifikationen vorhanden sind

bull Identifikation mit den Zielsetzungen der Informationssicherheit Uumlberblick uumlber Aufgaben und Zieshyle der Institution

bull Kooperations- und Teamfaumlhigkeit aber auch Durchsetzungsvermoumlgen (Kaum eine Aufgabe erforshydert so viel Faumlhigkeit und Geschick im Umgang mit anderen Personen Die Leitungsebene muss in zentralen Fragen des Sicherheitsprozesses immer wieder eingebunden werden Entscheidungen muumlssen eingefordert werden und die Mitarbeiter muumlssen eventuell mithilfe des Bereichs-Sichershyheitsbeauftragten in den Sicherheitsprozess eingebunden werden)

bull Erfahrungen im Projektmanagement idealerweise im Bereich der Systemanalyse und Kenntnisse uumlber Methoden zur Risikoanalyse

bull Grundlegende Kenntnisse uumlber die Prozesse und Fachaufgaben innerhalb der Institution und soshyweit erforderlich Grundkenntnisse in den Bereichen IT und ICS

bull Ein Informationssicherheitsbeauftragter muss zudem die Bereitschaft mitbringen sich in neue Geshybiete einzuarbeiten und Entwicklungen in der IT zu verfolgen Er sollte sich so aus- und fortbilden dass er die erforderlichen Fachkenntnisse fuumlr die Erledigung seiner Aufgaben besitzt

Kooperation und Kommunikation

Die Zusammenarbeit mit den Mitarbeitern ebenso wie mit Externen verlangt viel Geschick da diese zunaumlchst von der Notwendigkeit der (fuumlr sie manchmal laumlstigen) Sicherheitsmaszlignahmen uumlberzeugt werden muumlssen Ein ebenfalls sehr sensibles Thema ist die Befragung der Mitarbeiter nach sicherheitsshykritischen Vorkommnissen und Schwachstellen Um den Erfolg dieser Befragungen zu garantieren muumlssen die Mitarbeiter davon uumlberzeugt werden dass ehrliche Antworten nicht zu Problemen fuumlr sie selbst fuumlhren

Die Kommunikationsfaumlhigkeiten des Informationssicherheitsbeauftragten sind nicht nur gegenuumlber den Mitarbeitern gefordert Genauso wichtig ist es dass der ISB in der Lage ist seine fachliche Meishynung gegenuumlber der Behoumlrden- oder Unternehmensleitung zu vertreten Er muss so selbstbewusst und kommunikationsstark sein um gelegentlich auch Einspruch gegen eine Entscheidung einzuleshygen die mit den Sicherheitszielen nicht vereinbar ist

Der Informationssicherheitsbeauftragte muss seine Kommunikationsfaumlhigkeit derart einsetzen koumlnshynen dass es in anderen Fachbereichen nicht zu Missverstaumlndnissen kommt Hierzu ist es besonders wichtig die jeweils anderen Sprachwelten und Kulturen zu verstehen und zu respektieren So vershywenden beispielsweise Ansprechpartner aus dem Bereich der industriellen Steuerung andere Begriffe fuumlr das IT-Equipment als IT-Experten

Unabhaumlngigkeit

Es ist empfehlenswert die Position des Informationssicherheitsbeauftragten organisatorisch als Stabsshystelle einzurichten also als eine direkt der Leitungsebene zugeordnete Position die von keinen andeshyren Stellen Weisungen bekommt In jedem Fall muss der ISB das direkte und jederzeitige Vorspracheshyrecht bei der Behoumlrden- bzw Unternehmensleitung haben um diese uumlber Sicherheitsvorfaumllle -risiken und -maszlignahmen informieren zu koumlnnen Er muss aber auch uumlber das Geschehen in der Institution soweit es einen Bezug zu seiner Taumltigkeit hat umfassend und fruumlhzeitig unterrichtet werden

Der Informationssicherheitsbeauftragte sollte nicht organisatorisch der IT-Abteilung zugeordnet sein Die Erfahrung hat zeigt dass dies haumlufig dazu fuumlhrt dass die Aufgabe der Informationssicherheit auf IT-Absicherung reduziert wird und der ganzheitliche Schutz von Informationen in den Hintergrund geruumlckt wird Dadurch kann es vorkommen dass Informationen so lange angemessen geschuumltzt wershyden wie sie ausschlieszliglich auf IT-Systemen verarbeitet werden aber diese dann beispielsweise nach dem Ausdrucken ungeschuumltzt beim Drucker liegen bleiben Ein anderes Problem ist der inhaumlrente Aufgabenkonflikt Es ist z B problematisch wenn ein bdquoaktiverldquo Administrator die Rolle des Informashytionssicherheitsbeauftragten zusaumltzlich zu seinen normalen Aufgaben wahrnimmt da es mit hoher Wahrscheinlichkeit zu Interessenkonflikten kommen wird Die Personalunion kann dazu fuumlhren dass er als Informationssicherheitsbeauftragter Einspruch gegen Entscheidungen einlegen muumlsste die ihm sein Leben als Administrator wesentlich erleichtern wuumlrden oder die gar von seinem Fachvorgesetzten stark favorisiert werden (siehe auch Kapitel 410 bdquoZusammenspiel mit anderen Organisationseinheishyten und Managementdisziplinenldquo)

Personalunion mit dem Datenschutzbeauftragten

Eine haumlufige Frage ist ob die Position des Informationssicherheitsbeauftragten gleichzeitig vom Dashytenschutzbeauftragten wahrgenommen werden kann (zu dessen Aufgaben siehe unten) Die beiden Rollen schlieszligen sich nicht grundsaumltzlich aus es sind allerdings einige Aspekte im Vorfeld zu klaumlren

bull Die Schnittstellen zwischen den beiden Rollen sollten klar definiert und dokumentiert werden Auszligerdem sollten auf beiden Seiten direkte Berichtswege zur Leitungsebene existieren Weiterhin sollte uumlberlegt werden ob konflikttraumlchtige Themen zusaumltzlich noch nachrichtlich an die Revision weitergeleitet werden sollten

bull Es muss sichergestellt sein dass der Informationssicherheitsbeauftragte uumlber ausreichend freie Ressourcen fuumlr die Wahrnehmung beider Rollen verfuumlgt Gegebenenfalls muss er durch entspreshychendes Personal unterstuumltzt werden

Es darf nicht vergessen werden dass auch der Informationssicherheitsbeauftragte einen qualifizierten Vertreter benoumltigt

45 Das IS-Management-Team

Das IS-Management-Team unterstuumltzt den Informationssicherheitsbeauftragten indem es uumlbergreishyfende Maszlignahmen in der Gesamtorganisation koordiniert Informationen zusammentraumlgt und Konshytrollaufgaben durchfuumlhrt Die genaue Auspraumlgung haumlngt von der Groumlszlige der jeweiligen Institution dem angestrebten Sicherheitsniveau und den vorhandenen Ressourcen ab Im Extremfall besteht das IS-Management-Team nur aus zwei Personen dem Informationssicherheitsbeauftragten dem in dieshysem Fall saumlmtliche Aufgaben im Sicherheitsprozess obliegen und seinem Stellvertreter

Aufgaben des IS-Management-Teams sind insbesondere

bull Informationssicherheitsziele und -strategien zu bestimmen sowie die Leitlinie zur Informationssishycherheit zu entwickeln

bull die Umsetzung der Sicherheitsleitlinie zu uumlberpruumlfen

bull den Sicherheitsprozess zu initiieren zu steuern und zu kontrollieren

bull bei der Erstellung des Sicherheitskonzepts mitzuwirken

bull zu uumlberpruumlfen ob die im Sicherheitskonzept geplanten Sicherheitsmaszlignahmen wie beabsichtigt funktionieren sowie geeignet und wirksam sind

bull die Schulungs- und Sensibilisierungsprogramme fuumlr Informationssicherheit zu konzipieren sowie

bull die Fachverantwortlichen den IT-Betrieb die Bereichs-ISBs eventuell den ICS-ISB und die Leitungsshyebene in Fragen der Informationssicherheit zu beraten

Zusammensetzung des Teams

Um seine Aufgaben erfuumlllen zu koumlnnen sollte sich das IS-Management-Team aus Personen zusamshymensetzen die uumlber Kenntnisse in Informationssicherheit und technische Kenntnisse uumlber die in der Institution eingesetzten IT- ICS- und IoT-Systeme verfuumlgen sowie Erfahrungen mit Organisation und Verwaltung haben Daruumlber hinaus sollte das IS-Management-Team die unterschiedlichen Aufgabenshybereiche und Geschaumlftsprozesse einer Institution kennen In groszligen Institutionen ist es sinnvoll wenn die verschiedenen Fachbereiche einer Institution jeweils einen Vertreter im IS-Management-Team hashyben Diese Person uumlbernimmt die Vertretung im IS-Management-Team neben ihren Fachaufgaben bringt die Expertise aus dem Fachbereich ein und wird dadurch gleichzeitig Ansprechpartner fuumlr Sishycherheitsfragen der Mitarbeiter aus diesem Bereich

46 Bereichs- und Projekt-Sicherheitsbeauftragte bzw Beauftragter fuumlr IT-Sicherheit

Bei groszligen Institutionen kann es erforderlich sein in den verschiedenen Bereichen eigene Sicherheitsshybeauftragte einzusetzen

Bereichs-Sicherheitsbeauftragter

Der Bereichs-Sicherheitsbeauftragte ist fuumlr alle Sicherheitsbelange der Geschaumlftsprozesse Anwenshydungen und IT-Systeme in seinem Bereich (z B Abteilung oder Auszligenstelle) verantwortlich Je nach Groumlszlige des zu betreuenden Bereiches kann die Aufgabe des Bereichs-Sicherheitsbeauftragten von einer Person uumlbernommen werden die bereits mit aumlhnlichen Aufgaben betraut ist z B dem Beshyreichs-Beauftragten (falls vorhanden) Auf jeden Fall ist bei der Auswahl des Bereichs-Sicherheitsbeshyauftragten darauf zu achten dass er die Aufgaben Gegebenheiten und Arbeitsablaumlufe in dem von ihm zu betreuenden Bereich gut kennt

Beauftragter fuumlr IT-Sicherheit

In groszligen Institutionen kann es auch einen Beauftragten fuumlr die IT-Sicherheit geben der fuumlr die Sishycherheit der IT zustaumlndig ist Der ISB gestaltet das Informationssicherheitsmanagement und erstellt die generellen Sicherheitsziele und -vorgaben ein Beauftragter fuumlr die IT-Sicherheit sorgt dafuumlr dass diese technisch umgesetzt werden Ein Beauftragter fuumlr die IT-Sicherheit ist somit typischerweise im IT-Beshytrieb taumltig waumlhrend der ISB unmittelbar der Leitungsebene zuarbeitet

Projekt-Sicherheitsbeauftragter

Fuumlr groszlige Projekte sollte ein Projekt-Sicherheitsbeauftragter benannt werden um sowohl den Sichershyheitsbedarf innerhalb des Projektes zu klaumlren als auch die sichere Einbindung der Projektergebnisse in die Geschaumlftsprozesse der Institution zu ermoumlglichen Der Projekt-Sicherheitsbeauftragter kann ein Mitarbeiter des Projektes oder ein Mitglied des IS-Management-Teams sein Die Verantwortung fuumlr die Informationssicherheit liegt immer beim Projektleiter bzw bei der Leitungsebene Der ISB bzw der Projekt-Sicherheitsbeauftragte unterstuumltzt die Projektleitung in Fragen der Informationssicherheit Dementsprechend muumlssen auch die erforderlichen Ressourcen fuumlr die Informationssicherheit vonseishyten der Projektleitung eingeplant und bereitgestellt werden

Die verschiedenen Geschaumlftsprozesse Anwendungen und IT-Systeme einer Institution haben oft vershyschiedene Sicherheitsanforderungen die unter Umstaumlnden in spezifischen Sicherheitsleitlinien zushysammengefasst sind und unterschiedlicher Sicherheitsmaszlignahmen beduumlrfen Aumlhnliches trifft fuumlr den Projekt-Sicherheitsbeauftragten zu mit dem Unterschied dass es sich bei den Aufgaben um projektspezifische nicht jedoch um IT-systemspezifische handelt

Als Aufgaben der Projekt- IT- bzw Bereichs-Sicherheitsbeauftragten sind die folgenden festzuhalten

bull die Vorgaben des ISB umsetzen

bull die Sicherheitsmaszlignahmen gemaumlszlig der IT-System-Sicherheitsleitlinie oder anderer spezifischer Sishycherheitsleitlinien umsetzen

bull projekt- oder IT-systemspezifische Informationen zusammenfassen und an den ISB weiterleiten

bull als Ansprechpartner der Mitarbeiter vor Ort dienen

bull an der Auswahl der Sicherheitsmaszlignahmen zur Umsetzung der spezifischen Sicherheitsleitlinien mitwirken

bull Information uumlber Schulungs- und Sensibilisierungsbedarf von Beschaumlftigten ermitteln

bull Protokolldateien regelmaumlszligig kontrollieren und auswerten sowie

bull eventuell auftretende sicherheitsrelevante Zwischenfaumllle an den ISB melden

Folgende Qualifikationen sollten vorhanden sein

bull detaillierte IT-Kenntnisse da diese die Gespraumlche mit Mitarbeitern vor Ort erleichtern und bei der Suche nach Sicherheitsmaszlignahmen fuumlr die speziellen IT-Systeme von Nutzen sind sowie

bull Kenntnisse im Projektmanagement die bei der Organisation von Benutzerbefragungen und der Erstellung von Plaumlnen zur Umsetzung und der Kontrolle von Sicherheitsmaszlignahmen hilfreich sind

47 Der ICS-Informationssicherheitsbeauftragte (ICS-ISB)

Institutionen mit industriellen Steuerungskomponenten (ICS) sollten aufgrund gesetzlicher und orgashynisatorischer Maszlignahmen einen Verantwortlichen fuumlr die Umsetzung von Anforderungen der Inforshymationssicherheit fuumlr diesen Bereich benennen

Industrielle Steuerungssysteme bringen zahlreiche Sicherheitsanforderungen mit sich die sich grundshylegend von denen der allgemeinen Buumlro-IT unterscheiden Im ICS-Bereich werden IT-Systeme und Anwendungen oftmals uumlber einen sehr langen Zeitraum eingesetzt Der Lebenszyklus dieser Objekte betraumlgt haumlufig mehr als zehn Jahre

Innerhalb von ICS-Bereichen kommen aber auch vermehrt noch Anwendungen und IT-Systeme aus dem Bereich der Buumlro-IT zum Einsatz Diese werden jedoch fuumlr ihren Anwendungszweck laumlnger als die in Buumlroumgebungen uumlbliche Zeitdauer verwendet

Um die speziellen Anforderungen im Bereich der industriellen Steuerung abzudecken und um die Sicherheitsorganisation aus dem Bereich der industriellen Steuerung in das Gesamt-ISMS einzubinshyden sollte die Institution einen ICS-Informationssicherheitsbeauftragten (ICS-ISB) benennen Dieser sollte Mitglied im IS-Management-Team sein Auszligerdem sollte er im IS-Koordinierungsausschuss (sieshyhe Kapitel 48 IS-Koordinierungsausschuss) vertreten sein Zwar betrifft das Thema der industriellen Steuerung nicht alle Bereiche aber aufgrund moumlglicher Veraumlnderungen in der Buumlro-IT koumlnnen Synershygien fuumlr die produzierenden Bereiche ausgenutzt werden

Je nach Groumlszlige der Institution kann es sinnvoll sein die Aufgaben fuumlr das Gesamt-ISMS und das ISMS im ICS-Bereich auf verschiedene personelle Ressourcen aufzuteilen

Die Sicherheitsorganisation der industriellen Steuerung sollte in die Sicherheitsorganisation der geshysamten Institution eingebunden und entsprechend betrieben werden Um Synergien zu nutzen und Fehlplanungen sowie Risiken zu vermeiden muss eine enge Kooperation zwischen dem ICS-ISB und dem ISB stattfinden Weitere Ansprechpartner innerhalb der Institution sind insbesondere die Mitarshybeiter der Haustechnik und die IT-Experten

Welche Struktur fuumlr eine Sicherheitsorganisation im Bereich ICS geeignet ist haumlngt stark von den vorhandenen Strukturen und eingespielten Prozessen innerhalb einer Institution ab Grundlegend muss die Kommunikation zwischen allen beteiligten Parteien sichergestellt werden Alle Parteien muumlsshysen ein grundlegendes Verstaumlndnis fuumlr die jeweiligen Besonderheiten des anderen Bereichs aufbrinshygen Nur durch ein vorangegangenes Verstaumlndnis fuumlr die Kultur und Sprache der jeweiligen Bereiche koumlnnen Missverstaumlndnisse vermieden werden

48 IS-Koordinierungsausschuss

Die Aufgaben des ICS-Informationssi cherheitsbeauftragten sind folgendermaszligen festzuhalten

bull die allgemeinguumlltigen Sicherheitsvorgaben der Informationssicherheitsleitlinie und weiterer Richtshylinien im Bereich ICS umsetzen

bull gemeinsame Ziele aus dem Bereich der industriellen Steuerung und dem Gesamt-ISMS verfolgen und Projekte aktiv unterstuumltzen

bull fuumlr den ICS-Bereich Risikoanalysen durchfuumlhren die den Vorgaben des Risikomanagements entshysprechen

bull Sicherheitsrichtlinien und Konzepte fuumlr den ICS-Bereich unter Einbeziehung der Anforderungen aus Safety und Security erstellen und schulen

bull eng mit dem Informationssicherheitsbeauftragten kooperieren

bull als Ansprechpartner fuumlr ICS-Sicherheit fuumlr die Mitarbeiter vor Ort und in der gesamten Institution dienen

bull ICS-Sicherheitsmaszlignahmen erstellen und bei der Umsetzung mitwirken

bull notwendige Dokumente zur ICS-Sicherheit erstellen und diese kommunizieren

bull Informationen uumlber Schulungs- und Sensibilisierungsbedarf der Beschaumlftigten im ICS-Bereich ershymitteln und Aktivitaumlten initiieren sowie

bull Sicherheitsvorfaumllle im ICS-Bereich zusammen mit dem Informationssicherheitsbeauftragten bearshybeiten

Folgende Qualifikationen sollten beim ICS-ISB vorhanden sein

bull spezielle Kenntnisse zu den Prozessen innerhalb der Institution und der industriellen Steuerung

bull ausreichende IT-Kenntnisse um Fragen der Mitarbeiter vor Ort der IT-Experten und weiterer Parshyteien umfassend beantworten zu koumlnnen

bull Kenntnisse zu Bedrohungen und Schwachstellen innerhalb der industriellen Steuerung

bull Kenntnisse zu Gefaumlhrdungen fuumlr die Buumlro-IT die innerhalb des ICS-Bereichs eingesetzt wird

bull Kenntnisse zum Projektmanagement sowie

bull Kenntnisse zu den Themen Change Management und Notfallmanagement

Der IS-Koordinierungsausschuss ist in der Regel keine Dauereinrichtung in einer Institution sondern wird bei Bedarf (z B zur Planung groumlszligerer Projekte) einberufen Er hat die Aufgabe das Zusammenshyspiel zwischen dem IS-Management-Team den Fachverantwortlichen dem Sicherheitsbeauftragten und der Behoumlrden- bzw Unternehmensleitung zu koordinieren

Ebenso wie den IS-Koordinierungsausschuss gibt es in vielen Institutionen einen IT-Koordinierungsshyausschuss Auch dieser ist keine Dauereinrichtung sondern seine Aufgabe besteht darin das Zusamshymenspiel zwischen den Vertretern der IT-Anwender dem ISB und der Behoumlrden- bzw Unternehmensshyleitung zu koordinieren

Es bietet sich an die beiden Koordinierungsausschuumlsse insoweit dies moumlglich ist zusammenarbeiten zu lassen und sie auch personell weitgehend identisch zu besetzen

Zusammensetzung des IS-Koordinierungsausschusses

Der IS-Koordinierungsausschuss sollte die unterschiedlichen Aufgabenbereiche einer Institution wishyderspiegeln Im IS-Koordinierungsausschuss sollten mindestens folgende Rollen vertreten sein ein IT-Verantwortlicher der Informationssicherheitsbeauftragte und Vertreter der Anwender Da haumlufig auch personenbezogene Daten betroffen sind sollte der Datenschutzbeauftragte ebenfalls Mitglied des IS-Koordinierungsausschusses sein Wenn die Institution einen ICS-Informationssicherheitsbeaufshytragten hat sollte auch dieser im IS-Koordinierungsausschuss vertreten sein Gibt es in der Institution bereits ein aumlhnliches Gremium koumlnnten dessen Aufgaben entsprechend erweitert werden Um die Bedeutung der Informationssicherheit zu unterstreichen ist es jedoch ratsam einen IS-Koordinieshyrungsausschuss einzurichten und diesen regelmaumlszligig einzuberufen

49 Der Datenschutzbeauftragte

Der Datenschutz wird oft nachrangig behandelt da er vermeintlich die effektive Informationsverarshybeitung behindert obwohl er in Deutschland und in vielen anderen Laumlndern auf gesetzlichen Vorshyschriften beruht und Verletzungen des damit verbundenen informationellen Selbstbestimmungsshyrechts empfindliche Geldbuszligen und Freiheitsstrafen nach sich ziehen koumlnnen

Oft werden die Aufgaben des Datenschutzbeauftragten Personen uumlbertragen die bereits eine andere Rolle innehaben mit der in der neuen Funktion auch eine Interessenkollision auftreten kann indem sie sich beispielsweise in ihrer urspruumlnglichen Funktion selbst kontrollieren (z B Leiter IT)

Um dies zu vermeiden sollte ein kompetenter und qualifizierter Ansprechpartner fuumlr Datenschutzfrashygen ernannt werden der alle Aspekte des Datenschutzes innerhalb der Institution begleitet und fuumlr eine angemessene Umsetzung und ausreichende Kontrolle sorgt In dieser Funktion arbeitet er eng mit dem Informationssicherheitsbeauftragten zusammen gehoumlrt zum IS-Koordinierungsausschuss ist weisungsunabhaumlngig und berichtet direkt der Behoumlrden- bzw Unternehmensleitung

Bei angemessener Verwirklichung wird der Datenschutz Arbeitsablaumlufe im Ergebnis eher foumlrdern als erschweren Wenn naumlmlich eine Behoumlrde bzw ein Unternehmen zu viele personenbezogene Daten sammelt personenbezogene Daten zu spaumlt loumlscht oder unberechtigt uumlbermittelt verstoumlszligt sie nicht nur gegen Datenschutzrecht sondern verursacht auch einen erhoumlhten Verwaltungsaufwand und Mehrkosten Vor allem ist der Datenschutz ein wichtiges Element eines buumlrger- und kundenfreundlishychen Verhaltens weil er die Verfahrensablaumlufe transparent macht

Jede Institution sollte einen Datenschutzbeauftragten ernennen In vielen Bereichen ist die Bestellung eines Datenschutzbeauftragten sogar gesetzlich vorgeschrieben Auch in Institutionen die keinen Datenschutzbeauftragten benannt haben muss die Einhaltung der datenschutzrechtlichen Anfordeshyrungen sichergestellt sein Dies kann auch durch das IS-Management-Team oder die interne Revision erfolgen

Anforderungsprofil

Zum Datenschutzbeauftragten kann nur bestellt werden wer die zur Erfuumlllung seiner Aufgaben ershyforderliche Fachkunde und Zuverlaumlssigkeit besitzt Zur Aufgabenerfuumlllung gehoumlren technische orgashynisatorische und rechtliche Kenntnisse Als Methodik zur effektiven und vollstaumlndigen Aufgabenershyfuumlllung empfehlen die deutschen Datenschutzaufsichtsbehoumlrden die Anwendung des Standard-Dashytenschutzmodells [SDM] Der Datenschutzbeauftragte muss die jeweiligen gesetzlichen Regelungen bereichsspezifische datenschutzrechtliche Regelungen und die fuumlr die Institution einschlaumlgigen Speshyzialvorschriften kennen und sicher anwenden koumlnnen Wichtige Rechtsnormen fuumlr den Datenschutz sind in Deutschland insbesondere das Bundesdatenschutzgesetz und die EU-Datenschutz-Grundvershy

ordnung Der Datenschutzbeauftragte sollte ferner gute Kenntnisse der Organisation und vertiefte Kenntnisse der Informationstechnik besitzen Soweit ihm die fachliche Qualifikation in Teilbereichen noch fehlt ist ihm Gelegenheit zu geben sich entsprechend weiterzubilden Mit den Aufgaben und der Arbeitsweise seiner Behoumlrde bzw seines Unternehmens sollte der Datenschutzbeauftragte moumlgshylichst aus eigener Erfahrung gut vertraut sein um seinen Kontroll- und Beratungsaufgaben nachkomshymen zu koumlnnen

Der Datenschutzbeauftragte muss nicht ausschlieszliglich mit diesen Funktionen betraut sein Je nach Art und Umfang der personenbezogenen Datenverarbeitung und der damit verbundenen Datenschutzshyprobleme kann es angebracht sein ihm daneben weitere Aufgaben zu uumlbertragen Dies wird besonshyders bei kleineren Institutionen in Betracht kommen Besonders ist darauf zu achten dass keine Intershyessenkonflikte oder Abhaumlngigkeiten entstehen die seine Aufgabenerfuumlllung gefaumlhrden Moumlglich ist auch die Zusammenlegung der Funktionen des Datenschutzbeauftragten mit denen des Informatishyonssicherheitsbeauftragten (zu den Rahmenbedingungen siehe auch Kapitel 44 Der Informationssishycherheitsbeauftragte)

Einbeziehungspflicht

Der Datenschutzbeauftragte muss das direkte und jederzeitige Vortragsrecht bei der Behoumlrden- bzw Unternehmensleitung haben und uumlber das Geschehen in der Behoumlrde bzw im Unternehmen soweit es einen Bezug zu seiner Taumltigkeit hat umfassend und fruumlhzeitig unterrichtet werden Er ist an dashytenschutzrelevanten Vorgaumlngen zu beteiligen und Planungen die den Umgang mit personenbezoshygenen Daten betreffen sind ihm bekannt zu geben Bei Bedarf muss er von anderen Mitarbeitern mit weitergehenden rechtlichen oder technischen Kenntnissen unterstuumltzt werden

Der Datenschutzbeauftragte soll dazu beitragen dass seine Institution den Erfordernissen des Datenshyschutzes umfassend Rechnung traumlgt Er hat die Einhaltung der Vorschriften des Datenschutzes in allen Bereichen zu uumlberwachen Er nimmt seine Aufgaben im Wesentlichen durch Beratung und Kontrollen wahr Seine vorrangige Aufgabe ist die Beratung Fuumlr die Mitarbeiter sollte der Datenschutzbeauftragshyte Ansprechpartner in allen Fragen des Datenschutzes sein an den sie sich jederzeit vertrauensvoll wenden koumlnnen Bei Schwachstellen und Versaumlumnissen sollte er zunaumlchst gemeinsam mit den Beshyteiligten nach konstruktiven Loumlsungen suchen

Der Datenschutzbeauftragte hilft der Behoumlrden- bzw Unternehmensleitung ihre Verantwortung fuumlr die Wahrung des Persoumlnlichkeitsschutzes wahrzunehmen und Zwischenfaumllle zu vermeiden die dem Ansehen der Institution abtraumlglich waumlren Er sollte auch Kontakt zum Personal- bzw Betriebsrat halshyten Eine gute Zusammenarbeit ist nicht nur aufgrund der Sensibilitaumlt der Personaldatenverarbeitung wuumlnschenswert

Der spezielle Zuschnitt der Aufgaben des Datenschutzbeauftragten richtet sich im Einzelfall nach den zu erfuumlllenden Aufgaben aber auch nach der Groumlszlige dem Aufbau und der Gliederung der jeweiligen Behoumlrde bzw des Unternehmens

410 Zusammenspiel mit anderen Organisationseinheiten und Managementdisziplinen

In den meisten Institutionen gibt es neben dem Informationssicherheitsmanagement auch andere Bereiche die Aufgaben im Bereich der Informationssicherheit wahrnehmen oder vergleichbare Aufshygaben haben sodass es sinnvoll ist ein koordiniertes Vorgehen und Schnittstellen abzustimmen Dieshyse Bereiche sind haumlufig als getrennte Disziplinen und teilweise auch in anderen Organisationseinheishyten organisiert Gemeinsam ist diesen Bereichen dass sie alle unter verschiedenen Blickwinkeln das Ziel verfolgen Werte der Institution zu schuumltzen Daher fuumlhren viele dieser Bereiche bereits bdquoSchutzldquo im Namen Beispielsweise gehoumlren hierzu neben dem Informationssicherheitsmanagement die Theshymenfelder Datenschutz Objektschutz Personenschutz Geheimschutz Notfallmanagement oder Rishysikomanagement So kann es neben dem Informationssicherheitsbeauftragten nicht nur einen Dashytenschutzbeauftragten geben sondern auszligerdem noch einen Geheimschutzbeauftragten einen Notfallbeauftragten oder einen Revisor In Institutionen mit einem Produktionsbereich ist auch die Zusammenarbeit mit den Verantwortlichen fuumlr die Produkt- und Anlagensicherheit wichtig

Zusammenarbeit mit dem IT-Betrieb

Viele Teilaufgaben des Sicherheitsmanagements haumlngen unmittelbar mit Aufgaben des IT-Betriebs zusammen Der ISB erstellt Vorgaben fuumlr den sicheren Betrieb von IT-Systemen und Netzen der IT-Beshytrieb muss diese umsetzen Daher muumlssen das Sicherheitsmanagement und der IT-Betrieb eng zusamshymenarbeiten und sich regelmaumlszligig uumlber Vorgehensweisen abstimmen ebenso wie uumlber aktuelle Geshyfaumlhrdungen und neu umzusetzende Sicherheitsanforderungen In groumlszligeren Institutionen kann es dashyher sinnvoll sein als Ansprechpartner des ISB im IT-Betrieb einen Beauftragten fuumlr IT-Sicherheit zu ernennen Dieser wird haumlufig als IT-Sicherheitsbeauftragter IT-Sicherheitsmanager oder auch IT-Sishycherheitskoordinator bezeichnet

Abbildung 7 IS-Organisation und IT-Betrieb

411 Einbindung externer Dienstleister

Rollenkonflikte vermeiden

Bei der Ausgestaltung der Rollen und der Verteilung der Aufgaben ist darauf zu achten welche Aufshygaben in Personalunion wahrgenommen werden koumlnnen und wo es zu Rollenkonflikten kommen koumlnnte Aus der Sicht des Informationssicherheitsmanagements ist zu klaumlren inwieweit der ISB weishytere Rollen uumlbernehmen kann wie z B die des Notfallbeauftragten

Diese Rollen schlieszligen sich nicht grundsaumltzlich aus Ausschlaggebend sind jedoch Faktoren wie die Groumlszlige und Ausrichtung der Institution die Durchdringung der Geschaumlftsprozesse mit ITund die Ausshypraumlgung des Sicherheitsmanagements

Grundsaumltzlich sind bei der Uumlbernahme weiterer Aufgaben folgende Aspekte im Vorfeld zu klaumlren

bull Die Schnittstellen zwischen den verschiedenen Rollen sollten klar definiert und dokumentiert wershyden

bull Beim Eintreten konflikttraumlchtiger Themen sollte eine Instanz benannt sein die diese klaumlren kann z B die Innenrevision

bull Es muss sichergestellt werden dass Personen mit mehreren Rollen ausreichend qualifiziert sind und genuumlgend Ressourcen fuumlr ihre Aufgaben zur Verfuumlgung haben

Es gibt aber auch Rollen die sich nicht ohne Weiteres mit den Aufgaben des Informationssicherheitsshymanagements kombinieren lassen Dazu koumlnnen z B Rollen wie jene des Revisors oder Auditors geshyhoumlren auch das haumlngt aber immer vom konkreten Aufgabenumfeld ab Grundsaumltzlich besteht bei einer kontrollierenden Taumltigkeit immer das Problem dass die Kontrollierenden nichts uumlberpruumlfen sollshyten was sie selbst konzeptioniert haben

411 Einbindung externer Sicherheitsexperten

Unter Umstaumlnden kann es erforderlich sein externe Sicherheitsexperten in der internen Sicherheitsshyorganisation einzusetzen Wenn wesentliche Rollen wie der ISB nicht durch interne Mitarbeiter wahrshygenommen werden koumlnnen muumlssen hierfuumlr qualifizierte Externe beauftragt werden Die notwendishygen Qualifikationen sind in den vorhergehenden Abschnitten dieses Kapitels beschrieben

Insbesondere in kleinen Unternehmen oder Behoumlrden kann es unter Umstaumlnden zweckmaumlszligig sein die Rolle des Informationssicherheitsbeauftragten nicht durch einen eigenen Mitarbeiter zu besetzen sondern hierfuumlr auf die Dienstleistung eines externen ISB zuruumlckzugreifen

In der Praxis fehlt den internen Sicherheitsexperten haumlufig die Zeit um alle sicherheitsrelevanten Einshyflussfaktoren und Rahmenbedingungen (z B gesetzliche Anforderungen oder technische Fragen) zu analysieren Teilweise fehlen ihnen auch die entsprechenden Grundlagen Auch in diesen Faumlllen ist es sinnvoll auf externe Experten zuruumlckzugreifen Dies muss von den internen Sicherheitsexperten doshykumentiert werden damit die Leitungsebene die erforderlichen Ressourcen bereitstellt

Aktionspunkte zu 4 Organisation des Sicherheitsprozesses

bull Rollen fuumlr die Gestaltung des Informationssicherheitsprozesses festlegen

bull Aufgaben und Verantwortungsbereiche den Rollen zuordnen

bull Personelle Ausstattung der Rollen festlegen

bull IS-Organisation dokumentieren

bull Informationssicherheitsmanagement in die organisationsweiten Ablaumlufe und Prozesse integrieshyren

bull Wenn erforderlich externe Experten hinzuziehen

51 Klassifikation von Informationen

Dokumentation im Sicherheitsprozess Vor und waumlhrend des Sicherheitsprozesses wird eine Vielzahl verschiedener Dokumente und Beschreishybungen erstellt Hierbei sollte immer darauf geachtet werden dass der Aufwand fuumlr die Erstellung von Dokumentationen in einem angemessenen Rahmen bleibt Die Dokumentation des Sicherheitsproshyzesses sollte so aussagekraumlftig sein dass auch spaumlter noch nachvollziehbar ist was zu fruumlheren Zeitshypunkten entschieden und umgesetzt wurde

Dieses Kapitel beschreibt idealtypische Anforderungen und Methoden bei der Dokumentation des Sishycherheitsprozesses Abhaumlngig von der gewaumlhlten IT-Grundschutz-Vorgehensweise und den vorhandeshynen Rahmenbedingungen kann und sollte der Dokumentationsprozess angepasst werden Insbesondeshyre bei der Basis-Absicherung sollte der Dokumentationsprozess moumlglichst einfach und zweckmaumlszligig geshyhalten werden

Wenn eine spaumltere Zertifizierung des ISMS angestrebt ist muumlssen einige Dokumente zwingend erstellt werden (siehe Kapitel 11 Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz) Davon abgesehen sollte der Dokumentationsaufwand moumlglichst minimiert werden Wenn es im IT-Grundshyschutz heiszligt dass etwas dokumentiert werden muss ist es hierfuumlr meistens nicht erforderlich eigenshystaumlndige Dokumente zu erstellen Im Allgemeinen reicht es die notwendigen Informationen an geshyeigneter Stelle zu notieren beispielsweise in einem Wiki in vorhandenen Texten oder Tabellen

Um Informationen angemessen schuumltzen zu koumlnnen muss deren Bedeutung fuumlr die Institution klar sein Um sich innerhalb einer Institution aber auch mit anderen Institutionen einfacher daruumlber ausshytauschen zu koumlnnen welchen Wert bestimmte Arten von Informationen haben wird ein Klassifikatishyonsschema benoumltigt in dem beschrieben ist welche Abstufungen der Wertigkeit es gibt und wie die verschiedenen Stufen gegeneinander abgegrenzt sind

Eine sinnvolle Vorgehensweise ist es daher ein Klassifikationsschema zu erarbeiten das es allen Mitshyarbeitern ermoumlglicht daraus fuumlr jede Art der Information die korrekte Einstufung abzuleiten ohne dass diese dafuumlr explizit gekennzeichnet werden muss Das Klassifikationsschema sollte nicht zu komshypliziert gewaumlhlt sein sodass es einfach verstaumlndlich und leicht anwendbar ist

Es bietet es sich an von den Grundwerten der Informationssicherheit auszugehen und Informationen in Bezug auf ihre Vertraulichkeit Integritaumlt und Verfuumlgbarkeit zu klassifizieren Je nach Institution koumlnnen hier auch weitere oder andere Parameter verwendet werden beispielsweise wenn diese in der Institution bereits in anderen Zusammenhaumlngen verwendet wurden Ein Nachteil davon das Klasshysifikationsschema zu erweitern ist dass die Klassifizierung komplexer wird Damit wird es fuumlr die Mitarbeiter schwieriger die Abgrenzung zwischen den einzelnen Stufen nachzuvollziehen und das Schema anzuwenden Ein weiterer Nachteil ist dass es somit schwieriger wird ein gemeinsames Verstaumlndnis uumlber die Klassifizierung von Informationen mit anderen Institutionen aufzubauen

Um die Vertraulichkeit zu klassifizieren wird haumlufig zwischen offen intern vertraulich und streng vertraulich abgestuft Bei der Verfuumlgbarkeit kann beispielsweise eine Klassifikation uumlber die zu erwarshytende bzw die tolerierbare Dauer bis zur Wiederherstellung bei einem Ausfall getroffen werden etwa eine Stunde ein Tag eine Woche ein Monat Schwieriger ist es die Integritaumlt zu klassifizieren etwa in essenziell wichtig und normal Kriterien koumlnnen hierfuumlr beispielsweise die moumlglichen Auswirkungen bei Integritaumltsverlust und deren Schweregrad sein oder der betriebene Aufwand zur Sicherstellung der Integritaumlt

5 Dokumentation im Sicherheitsprozess

In einfachen Faumlllen etwa auch im Kontext der Basis-Absicherung kann anfangs bereits eine zweistushyfige Klassifizierung ausreichend sein indem beispielsweise nur zwischen internen (bdquoalles im Intranetldquo) und oumlffentlichen Informationen unterschieden wird In diesem Fall empfiehlt es sich die fuumlr die Vershyoumlffentlichung vorgesehenen Informationen aber auch nur diese als solche zu klassifizieren (bdquooffenldquo)

Diese Klassifikation ist eine wesentliche Voraussetzung um spaumlter adaumlquate Sicherheitsmaszlignahmen auszuwaumlhlen und anzuwenden

Kennzeichnung Es ist erstrebenswert alle Informationen bereits bei ihrer Generierung zu kennshyzeichnen um diese konsequent waumlhrend ihres gesamten Lebenszyklus angemessen schuumltzen zu koumlnshynen Dies ist aber erfahrungsgemaumlszlig schwierig Die Erfahrung hat gezeigt dass ein Klassifikationsscheshyma einfach aufzubauen ist aber es sich als schwierig herausstellt dieses im laufenden Betrieb am Leben zu erhalten sodass es von allen Mitarbeitern konsequent und einheitlich angewendet wird Auszligerdem ist zu beruumlcksichtigen dass sich die Klassifikation im Lebenszyklus der Informationen aumlnshydern kann

Ein positiver Nebeneffekt der Klassifizierung von Daten ist dass dabei auffaumlllt welche Daten uumlbershyfluumlssig oder veraltet sind bzw nicht genutzt werden Eine konsequente Klassifikation hilft demnach den Datenmuumlll zu reduzieren

Um einen funktionierenden Prozess zur Klassifikation von Informationen aufzubauen und zu betreishyben sollten dafuumlr geeignete Rollen eingerichtet und deren Aufgaben festgelegt werden

Die nachfolgende Tabelle zeigt ein umfangreiches Beispiel zu moumlglichen Rollen um notwendige Aufshygaben zu verdeutlichen Auch hier koumlnnen in der Praxis geeignete Anpassungen vorgenommen wershyden Es sollte immer mindestens die Rolle eines Verantwortlichen fuumlr den Klassifikationsprozess geben sowie die Rollen derjenigen die diesen Prozess einhalten bzw umsetzen

Rolle deutsche Rollenshybezeichnung

Wer kann die Rolle uumlbernehmen

Aufgaben

Data Creator Ersteller jeder Mitarbeiter bull erzeugt Daten

bull Erst-Klassifikation

Data Owner Fachverantwortlicher Fachverantwortlishycher Linienvorgesetzer

bull konkretisiert Regelungen zur Klassifikation in seinem Bereich

bull klaumlrt Einstufungsfragen mit Ershystellern

bull uumlberwacht Klassifikationsproshyzess seitens der Ersteller

Data User Benutzer jeder Mitarbeiter bull benutzt Daten

bull beachtet Regeln zur Klassifikatishyon

bull gibt Feedback zu Einstufungshoumlshyhen

52 Informationsfluss im Informationssicherheitsprozess

Aufgaben

Data Auditor Klassifikationsverantshywortlicher

AnforderungsmanashygerCompliance Mashynager

bull erstellt institutionsweite Klassifishykationsstrategie und -vorgaben

bull stellt Hilfsmittel und Erlaumluterunshygen zur Verfuumlgung

bull klaumlrt Einstufungsfragen mit Fachverantwortlichen und Beshynutzern

bull uumlberwacht Klassifikationsproshyzess seitens der Fachverantwortshylichen

bull stimmt sich ab mit Risikomanashygement ISB Datenschutzbeaufshytragter

Tabelle 1 Aufgaben und Prozesse bei der Klassifizierung von Daten

Ein typisches Beispiel fuumlr ein Klassifikationsschema ist die im staatlichen Geheimschutz benutzte Einshyteilung in

bull VS ndash NUR FUumlR DEN DIENSTGEBRAUCH

bull VS ndash VERTRAULICH

bull GEHEIM

bull STRENG GEHEIM

Dieses Schema bezieht sich allerdings auf den kleinen Bereich der Verschlusssachen (VS) also der im oumlffentlichen Interesse geheimhaltungsbeduumlrftigen Informationen oder Gegenstaumlnde Es laumlsst daher groszlige Luumlcken bei der Vielzahl an Informationen die typischerweise in einem Unternehmen oder in einer Behoumlrde anfallen die aber ebenfalls geschuumltzt werden muumlssen In Institutionen in denen Vershyschlusssachen nur einen geringen Anteil der verarbeiteten Daten darstellen ist es daher sinnvoll fuumlr den groszligen Anteil der geschaumlftsrelevanten und teilweise geschaumlftskritischen Informationen ein eigeshynes Klassifikationsschema zu entwickeln

Aktionspunkte zu 51 Klassifikation von Informationen

bull Klassifikationsschema erstellen das eine korrekte unkomplizierte und nachvollziehbare Einstushyfung von Informationen ermoumlglicht

In den verschiedenen Schritten des Informationssicherheitsprozesses entsteht eine Vielzahl an untershyschiedlichen Berichten Konzepten Richtlinien Meldungen uumlber sicherheitsrelevante Ereignisse und an weiteren Dokumenten zur Informationssicherheit der Institution Die Dokumente muumlssen aussashygekraumlftig und fuumlr die jeweilige Zielgruppe verstaumlndlich sein Da nicht alle diese Informationen fuumlr die Leitungsebene geeignet sind ist es eine Aufgabe des ISB diese Informationen zu sammeln zu verarshybeiten und entsprechend kurz und uumlbersichtlich aufzubereiten

Dieses Kapitel beschreibt umfassend die wesentlichen Aspekte bezuumlglich einer angemessenen Dokushymentation sowie eines angemessenen Informationsflusses Die Beruumlcksichtigung dieser Aspekte unshyterstuumltzt bei der Erstellung einer guten Dokumentation Sie sind bewaumlhrt und empfehlenswert und muumlssen den Gegebenheiten der Institution angepasst werden Dies gilt insbesondere im Kontext der Basis-Absicherung Im Rahmen einer Zertifizierung werden sie verbindlich ansonsten sind sie als bdquoBest Practicesldquo zu verstehen

521 Berichte an die Leitungsebene

Damit die Unternehmens- bzw Behoumlrdenleitung die richtigen Entscheidungen bei der Steuerung und Lenkung des Informationssicherheitsprozesses treffen kann benoumltigt sie Eckdaten zum Stand der Informationssicherheit Diese Eckpunkte sollten in Managementberichten aufbereitet werden die unter anderem folgende Punkte abdecken

bull Status und Umsetzungsgrad des Sicherheitskonzepts

bull Ergebnisse von Audits und Datenschutzkontrollen (siehe auch Datenschutz-Grundverordnung [DSGVO])

bull Berichte uumlber Sicherheitsvorfaumllle

bull Berichte uumlber bisherige Erfolge und Probleme beim Informationssicherheitsprozess

bull Berichte uumlber die Reduzierung bestehender Umsetzungsdefizite und der damit verbundenen Risishyken (Risikobehandlungsplan siehe BSI-Standard 200-3)

Die Leitungsebene muss vom ISB regelmaumlszligig in angemessener Form uumlber die Ergebnisse der Uumlberpruumlshyfungen und den Status des Sicherheitsprozesses informiert werden Dabei sollten Erfolge Probleme und Verbesserungsmoumlglichkeiten aufgezeigt werden Die Leitungsebene nimmt die Managementbeshyrichte zur Kenntnis und veranlasst eventuell notwendige Maszlignahmen

Ebenso erarbeitet der Sicherheitsbeauftragte das Sicherheitskonzept und sorgt fuumlr dessen Umsetzung und regelmaumlszligige Aktualisierung Die Freigabe des Sicherheitskonzepts erfolgt durch die Leitungsebeshyne

522 Dokumentation im Informationssicherheitsprozess

Aus zahlreichen Gruumlnden ist die Dokumentation des IS-Prozesses auf allen Ebenen entscheidend fuumlr dessen Erfolg Nur durch eine ausreichende Dokumentation

bull werden getroffene Entscheidungen nachvollziehbar

bull sind Prozesse wiederholbar und standardisierbar

bull koumlnnen Schwaumlchen und Fehler erkannt und zukuumlnftig vermieden werden

Abhaumlngig vom Gegenstand und vom Verwendungszweck einer Dokumentation koumlnnen folgende Arten von Dokumentationen unterschieden werden

Dokumente fuumlr das Sicherheitsmanagement (Zielgruppe Sicherheitsmanagement)

Im Rahmen der verschiedenen Aktivitaumlten des Informationssicherheitsmanagements entstehen Konshyzepte Richtlinien Berichte und weitere Dokumente Nur durch eine ausreichende Dokumentation werden getroffene Entscheidungen nachvollziehbar Handlungen wiederholbar und Schwaumlchen ershykannt sodass diese in Zukunft vermieden werden koumlnnen

Die Menge und Auspraumlgung der Dokumentation haumlngt von den Notwendigkeiten der jeweiligen Inshystitutionen ab und kann sehr unterschiedlich sein Beispiele fuumlr zu erstellende Dokumente sind

bull Sicherheitskonzept mit den Berichten zur Risikoanalyse

bull Schulungs- und Sensibilisierungskonzept

bull Audit- oder Revisionsberichte

Technische Dokumentation und Dokumentation von Arbeitsablaumlufen (Zielgruppe Expershyten)

Hier wird der aktuelle Stand von Geschaumlftsprozessen und der damit verbundenen IT-Systeme und Anwendungen beschrieben Oft ist der Detaillierungsgrad technischer Dokumentationen ein Streitshythema Ein pragmatischer Ansatz ist dass andere Personen mit vergleichbarer Expertise in diesem Bereich die Dokumentation nachvollziehen koumlnnen muumlssen und dass der Administrator zwar auf sein Wissen aber nicht auf sein Gedaumlchtnis angewiesen sein muss um die Systeme und Anwendungen wiederherzustellen Bei Sicherheitsuumlbungen und bei der Behandlung von Sicherheitsvorfaumlllen sollte die Qualitaumlt der vorhandenen Dokumentationen bewertet und die gewonnenen Erkenntnisse zur Verbesserung genutzt werden Zu solcher Art von Dokumentationen gehoumlren unter anderem

bull Installations- und Konfigurationsanleitungen

bull Anleitungen fuumlr den Wiederanlauf nach einem Sicherheitsvorfall

bull Dokumentation von Test- und Freigabeverfahren

bull Anweisungen fuumlr das Verhalten bei Stoumlrungen und Sicherheitsvorfaumlllen

Anleitungen fuumlr Mitarbeiter (Zielgruppe Mitarbeiter)

Das Dokument das die grundlegenden Aussagen zum Umgang mit Informationssicherheit in der Institution enthaumllt ist die Leitlinie zur Informationssicherheit

Daneben muumlssen die umzusetzenden Sicherheitsmaszlignahmen fuumlr die Mitarbeiter verstaumlndlich in Form von Richtlinien dokumentiert werden Die Mitarbeiter muumlssen uumlber die Existenz und Bedeutung dieser Richtlinien informiert und entsprechend geschult sein Diese Gruppe von Dokumentationen umfasst beispielsweise

bull Arbeitsablaumlufe und organisatorische Vorgaben

bull Richtlinien zur Nutzung des Internets

bull Verhalten bei Sicherheitsvorfaumlllen

Aufzeichnung von Managemententscheidungen (Zielgruppe Leitungsebene)

Grundlegende Entscheidungen zum Informationssicherheitsprozess und zur Sicherheitsstrategie muumlssen aufgezeichnet werden damit diese jederzeit nachvollziehbar und wiederholbar sind

Gesetze und Regelungen (Zielgruppe Leitungsebene)

Fuumlr die Informationsverarbeitung koumlnnen eine Vielzahl unterschiedlicher Gesetze Regelungen und Anweisungen relevant sein Es sollte dokumentiert werden welche Gesetze Regelungen und Anweishysungen im vorliegenden Fall besondere Anforderungen an Geschaumlftsprozesse den IT-Betrieb oder an die Informationssicherheit stellen und welche konkreten Konsequenzen sich daraus ergeben

Referenzdokumente fuumlr die Zertifizierung (Zielgruppe Institutionen mit dem Ziel der Zertishyfizierung)

Strebt eine Institution eine Zertifizierung an so muumlssen verschiedene Dokumente fuumlr die Auditierung erstellt und aktualisiert werden Diese Dokumente werden den Auditoren und der Zertifizierungsstelle im BSI uumlberreicht bewertet und darauf aufbauend die Entscheidung fuumlr oder gegen ein Zertifikat getroffen Die erforderlichen Dokumente fuumlr die Zertifizierung werden im Internet in der Liste der Referenzdokumente gepflegt Dazu gehoumlren beispielsweise Richtlinien zur Risikoanalyse zur Lenshykung von Dokumenten und Aufzeichnungen zur Auditierung des Managementsystems fuumlr Informashytionssicherheit und zur Lenkung von Korrektur- und Vorbeugungsmaszlignahmen

Dokumentation im ICS-Bereich (Zielgruppe Anwender)

Viele der Dokumente zur Informationssicherheit aus dem IT-Bereich koumlnnen fuumlr den Bereich der indushystriellen Steuerung uumlbernommen werden Einige der Dokumente aus dem IT-Bereich lassen sich jeshydoch nicht ohne Weiteres fuumlr den Bereich der industriellen Steuerung uumlbertragen Hier muumlssen entshysprechend der Anforderungen Dokumente fuumlr den ICS-Bereich neu erstellt modifiziert oder geaumlndert werden Haumlufig ist es sinnvoll fuumlr den Bereich der industriellen Steuerung eine abgeleitete Leitlinie fuumlr die Informationssicherheit und eigene Richtlinien und Arbeitsanweisungen zu erstellen Zu beachten ist dass alle abgeleiteten Dokumente in das ISMS der Institution integriert werden sollten

Es muss sichergestellt werden dass alle Dokumentationen auf dem aktuellen Stand gehalten werden Dafuumlr muss die Dokumentation in den Aumlnderungsprozess einbezogen werden

523 Anforderungen an die Dokumentation

Eine angemessene Dokumentation des Informationssicherheitsprozesses sollte eine Reihe von Anforshyderungen bezuumlglich Kennzeichnung Detailtiefe Aktualisierungen Medium Sicherheit und Datenshyschutz erfuumlllen Diese werden nachfolgend detailliert beschrieben

Mindestanforderung an die Kennzeichnung der Dokumente zum Sicherheitsmanagement

Die Dokumente die im Rahmen des Sicherheitsmanagements erstellt bearbeitet und verwaltet wershyden muumlssen aussagekraumlftig und fuumlr die jeweilige Zielgruppe verstaumlndlich sein Es sollte soweit sinnshyvoll ein einheitlicher Aufbau der Dokumente genutzt werden Dies dient dem besseren Verstaumlndnis und der einfacheren Handhabung Die Dokumente muumlssen so gekennzeichnet sein dass sie im Beshydarfsfall schnell gefunden und zugeordnet werden koumlnnen Daher muumlssen mindestens folgende Anshygaben vorhanden sein

bull Eindeutige Bezeichnung (aussagekraumlftiger Titel)

bull Ersteller Autor Dokumenteninhaber

bull Funktion des Erstellers

bull Versionsnummer

bull letzte Uumlberarbeitung naumlchste geplante Uumlberarbeitung

bull freigegeben am durch

bull Klassifizierung (vertrauliche Inhalte muumlssen klassifiziert als solche gekennzeichnet und die Dokushymente sicher verwahrt werden) und

bull berechtigte Rollen (Verteilerkreis)

Optional koumlnnen folgende Informationen mit aufgenommen werden

bull Quellenangaben

bull Aufbewahrungszeitraum und

bull eine Aumlnderungsuumlbersicht

Externe Dokumente die fuumlr das Sicherheitsmanagement relevant sind muumlssen ebenfalls angemessen gekennzeichnet und verwaltet werden

Detailtiefe

Fuumlr die Detailtiefe der einzelnen Dokumente gilt das Prinzip bdquodem Ziel und Zweck angemessenldquo Strategiedokumente wie die Leitlinie sollten kurz und praumlgnant jedoch aussagekraumlftig gehalten werden Die bei der Konzeption anfallenden Dokumente sollten detaillierte Informationen enthalten um die daraus abgeleiteten Entscheidungen nachvollziehen zu koumlnnen Alle Entscheidungen sowie die Informationen auf denen die Entscheidungen basieren muumlssen dokumentiert werden

Fuumlr Richtlinien und Handlungsanweisungen fuumlr Mitarbeiter gilt in besonderem Maszlige dass sie klar und verstaumlndlich gehalten werden muumlssen Oftmals sind fuumlr bestimmte Bereiche einfache Checklisten ausreichend Diese ermoumlglichen einen schnellen Uumlberblick und helfen dabei nichts zu vergessen und die Reihenfolge einzelner Schritte einzuhalten

Aumlnderungsmanagement

Alle Dokumente zum Sicherheitsmanagement sollen regelmaumlszligig aktualisiert werden Dafuumlr empfiehlt es sich ein Aumlnderungsmanagement-Verfahren aufzusetzen mit dem alle Aumlnderungen erfasst bewershytet freigegeben und nachvollzogen werden koumlnnen Dazu sind fuumlr alle Dokumente klare schriftliche Aumlnderungsmanagement-Anweisungen vorzugeben Das Verfahren sollte des Weiteren festlegen wie Anwender Aumlnderungsvorschlaumlge einbringen koumlnnen und wie diese dann beurteilt und gegebenenshyfalls beruumlcksichtigt werden Das Aumlnderungsmanagement des Sicherheitsmanagements ist in das uumlbershygreifende Aumlnderungsmanagement der Institution zu integrieren

Fuumlr die Aktualisierung der einzelnen Dokumente sollten Intervalle vorgegeben werden Fuumlr den uumlbershywiegenden Teil der Dokumente hat sich eine jaumlhrliche Uumlberpruumlfung bewaumlhrt

Die Mechanismen die das Aumlnderungsmanagement anstoszligen sind in die entsprechenden Prozesse (z B Personalverwaltung Hausverwaltung Inventarisierung) zu integrieren Der Sicherheitsbeaufshytragte ist steuernd taumltig Die Verantwortung fuumlr die Aktualisierungen und Durchfuumlhrung der Aumlndeshyrungsanforderungen fuumlr ein einzelnes Dokument traumlgt der jeweilige Dokumenteneigentuumlmer

Dokumentationsmedium

Dokumente zum Sicherheitsmanagement muumlssen nicht immer in Papierform vorliegen Zur Dokushymentation koumlnnen auch lokale oder internetbasierte Software Tools genutzt werden Diese speichern alle noumltigen Informationen und sind von verschiedenen Standorten aus sowie kollaborativ nutzbar

Das Dokumentationsmedium sollte je nach Bedarf Phase (Planung Umsetzung oder Pruumlfung) oder Teilaufgabe gewaumlhlt werden Auch die Zielpersonen der Dokumente und deren Vertrautheit mit den unterschiedlichen Medien sollte in die Uumlberlegung eingeschlossen werden Waumlhrend die einen die Arbeit mit Papier bevorzugen ist fuumlr die anderen das einfache Suchen oder Filtern in elektronischen Dokumenten unverzichtbar

Sicherheit und Datenschutz

Da die Dokumente zum Sicherheitsmanagement sowohl sensitive Daten uumlber die Institution als auch personenbezogene Daten beinhalten muss die Informationssicherheit und der Datenschutz gewaumlhrshyleistet werden Neben der Verfuumlgbarkeit sind auch die Integritaumlt und insbesondere die Vertraulichkeit der Dokumente zu garantieren Die verschiedenen Dokumente des Sicherheitsmanagements sollten in Bezug auf ihre Vertraulichkeit eingestuft entsprechend gekennzeichnet und durch geeignete Maszligshynahmen geschuumltzt werden

Die jeweils berechtigten Empfaumlnger sollten in den Dokumenten genannt werden Der Zugriff auf die Dokumente ist auf die Personen zu beschraumlnken die die enthaltenen Informationen fuumlr ihre Taumltigkeit benoumltigen (bdquoNeed-to-know-Prinzipldquo) Eine sinnvolle Modularisierung der Dokumente ist daher empshyfehlenswert Diese ermoumlglicht eine auf die Empfaumlnger ausgerichtete Verteilung der Informationen Es sollte in der Institution einen Uumlberblick uumlber die Anzahl der klassifizierten Dokumente deren Art (z B Papier oder DVD) und deren Verteilung geben wie auch uumlber deren korrekte und vollstaumlndige Aktuashylisierung und Vernichtung bzw Ruumlcknahme

524 Informationsfluss und Meldewege

Uumlber die verschiedenen Aktivitaumlten im Rahmen des Sicherheitsmanagements muumlssen alle Betroffenen zeitnah informiert werden Allerdings ist es auch nicht sinnvoll Detailinformationen uumlber den Sichershyheitsprozess beliebig zu streuen Daher muss geklaumlrt sein welche Personen mit welchen internen und externen Stellen wann uumlber welche Details des Sicherheitsprozesses kommunizieren Zudem muss festgelegt werden welche Kommunikationskanaumlle fuumlr die jeweiligen Ansprechpartner genutzt und wie diese geschuumltzt werden

Fuumlr die Aufrechterhaltung des Informationssicherheitsprozesses ist die zeitnahe Aktualisierung der Meldewege und der Festlegungen fuumlr den Informationsfluss von elementarer Bedeutung Daruumlber hinaus bieten die Ergebnisse aus durchgefuumlhrten Uumlbungen Tests und Audits auch eine nuumltzliche Grundlage fuumlr die Verbesserung des Informationsflusses

Grundsaumltzliche Festlegungen zum Informationsfluss und zu den Meldewegen in Bezug auf den Inforshymationssicherheitsprozess sollten in einer entsprechenden Richtlinie dokumentiert und von der Leishytungsebene verabschiedet werden In der Richtlinie zum Informationsfluss und zu den Meldewegen sollten insbesondere die fuumlr den Informationssicherheitsprozess kritischen Informationsfluumlsse geregelt werden Dabei ist zwischen Hol- und Bringschuld zu unterscheiden

Nutzung von Synergieeffekten fuumlr den Informationsfluss

Viele Institutionen haben bereits Prozesse fuumlr die Bereitstellung von Dienstleistungen oder den IT-Beshytrieb definiert Haumlufig gelingt es Synergieeffekte zu nutzen und Aspekte der Informationssicherheit in bereits bestehende Prozesse einzugliedern Beispielsweise koumlnnten Meldewege fuumlr IT-Sicherheitsvorshyfaumllle in den IT-Betrieb integriert werden oder die Kapazitaumltsplanung um Aspekte der Notfallvorsorge erweitert werden

Viele Informationen die aus Sicherheitsgruumlnden erhoben werden koumlnnen auch zu anderen Zwecken genutzt werden Ebenso haben Sicherheitsmaszlignahmen auch andere positive Nebeneffekte besonshyders die Optimierung von Prozessen zahlt sich aus Beispielsweise sind die Bestimmung von Informashytionseigentuumlmern oder die Einstufung von Informationen nach einheitlichen Bewertungskriterien fuumlr viele Bereiche einer Institution relevant Ein Uumlberblick uumlber die Abhaumlngigkeit der Geschaumlftsprozesse von IT- bzw ICS-Systemen und Anwendungen ist ebenfalls nicht nur fuumlr das Sicherheitsmanagement

sinnvoll Zum Beispiel kann dadurch haumlufig auch eine exakte Zuordnung von IT-Kosten die oftmals als Gemeinkosten umgelegt werden auf einzelne Geschaumlftsprozesse oder Produkte erfolgen

Aktionspunkte zu 52 Informationsfluss im Informationssicherheitsprozess

bull Grundsaumltzliche Festlegungen zum Informationsfluss und zu den Meldewegen in Bezug auf den Informationssicherheitsprozess in einer entsprechenden Richtlinie dokumentieren und der Leishytungsebene zur Verabschiedung vorlegen

bull Leitungsebene uumlber die Ergebnisse von Uumlberpruumlfungen und den Status des Informationssichershyheitsprozesses informieren

bull Gegebenenfalls Entscheidungen uumlber erforderliche Korrekturmaszlignahmen einholen

bull Alle Teilaspekte des gesamten Informationssicherheitsprozesses nachvollziehbar dokumentieren und die Dokumentation auf dem aktuellen Stand halten

bull Bei Bedarf die Qualitaumlt der Dokumentation bewerten und gegebenenfalls nachbessern oder akshytualisieren

bull Meldewege die den Informationssicherheitsprozess betreffen auf dem aktuellen Stand halten

bull Synergien zwischen dem Informationssicherheitsprozess und anderen Managementprozessen ausfindig machen

6 Erstellung einer Sicherheitskonzeption nach Basis-Absicherung

Erstellung einer Sicherheitskonzeption nach der Vorgehensshyweise Basis-Absicherung

Die Erstellung der Sicherheitskonzeption fuumlr die Institution erfolgt nach der Vorgehensweise Basis-Abshysicherung wenn die folgenden Voraussetzungen erfuumlllt sind

bull ein Informationssicherheitsprozess wurde initiiert

bull die Sicherheitsleitlinie und Informationssicherheitsorganisation wurden definiert

bull eine Uumlbersicht der vorhandenen Assets der Institution wurde erstellt

bull die Basis-Absicherung wurde als IT-Grundschutz-Vorgehensweise ausgewaumlhlt

Im Hinblick auf die Sicherheitskonzeption sollten fuumlr die Komponenten von Geschaumlftsprozessen Anshywendungen und IT-Systemen organisatorische personelle infrastrukturelle und technische Anfordeshyrungen aus dem IT-Grundschutz-Kompendium erfuumlllt werden Diese sind in Bausteine strukturiert sodass sie modular aufeinander aufsetzen

Abbildung 8 Basis-Absicherung

Die Erstellung einer Sicherheitskonzeption nach Basis-Absicherung gliedert sich in folgende Aktionsshyfelder die anschlieszligend noch naumlher vorgestellt werden sollen

bull Festlegung des Geltungsbereichs Es muss der Informationsverbund festgelegt werden fuumlr den die Sicherheitskonzeption erstellt und umgesetzt werden soll

bull Auswahl und Priorisierung Der betrachtete Informationsverbund muss mithilfe der vorhandenen Bausteine aus dem IT-Grundshyschutz-Kompendium nachgebildet werden

bull IT-Grundschutz-Check In diesem Schritt wird uumlberpruumlft ob die Basis-Anforderungen nach dem IT-Grundschutz bereits ganz oder teilweise umgesetzt sind und welche Sicherheitsmaszlignahmen noch fehlen

bull Realisierung Fuumlr die bisher nicht erfuumlllten Basis-Anforderungen muumlssen geeignete Sicherheitsmaszlignahmen festshygelegt und umgesetzt werden

62 Auswahl und Priorisierung fuumlr die Basis-Absicherung

bull Auswahl der folgenden Vorgehensweise Die Basis-Absicherung dient als Einstiegsvorgehensweise Es muss daher festgelegt werden zu welchem Zeitpunkt und mit welcher IT-Grundschutz-Vorgehensweise das Sicherheitsniveau angeshyhoben werden soll

Im Unterschied zur Standard-Absicherung sind die Aktionsfelder bei der Basis-Absicherung kein geshyschlossener Zyklus sondern eine Einstiegsvorgehensweise die mit der Standard-Absicherung fortgeshyfuumlhrt werden kann (eventuell mit der Kern-Absicherung als Zwischenschritt)

61 Festlegung des Geltungsbereichs fuumlr die Basis-Absicherung

Bei der Erstellung einer Sicherheitskonzeption muss als Erstes festgelegt werden welchen Bereich der Institution sie abdecken soll (Geltungsbereich)

Der Geltungsbereich kann die gesamte Institution umfassen oder auch nur einzelne Bereiche Auf jeden Fall muss der Geltungsbereich klar abgegrenzt und sinnvoll in sich abgeschlossen sein mit weshynigen eindeutig definierten Schnittstellen So koumlnnte eine Institution beispielsweise fuumlr eine neu hinshyzugekommene Abteilung mit ihren Geschaumlftsprozessen und Assets zunaumlchst die Basis-Absicherung umsetzen Vertiefende Informationen zur Abgrenzung des Geltungsbereichs sind im Kapitel 343 Festlegung des Geltungsbereichs und Inhalt der Sicherheitsleitlinie zu finden

Informationsverbund

Der Geltungsbereich fuumlr die Erstellung der Sicherheitskonzeption wird im Folgenden bdquoInformationsshyverbundldquo genannt Ein Informationsverbund umfasst die Gesamtheit von infrastrukturellen organishysatorischen personellen und technischen Komponenten die der Aufgabenerfuumlllung in einem beshystimmten Anwendungsbereich der Informationsverarbeitung dienen Ein Informationsverbund kann dabei als Auspraumlgung die gesamte Informationsverarbeitung einer Institution oder auch einzelne Beshyreiche umfassen die nach organisatorischen oder technischen Strukturen (z B Abteilungsnetz) oder gemeinsamen Geschaumlftsprozessen bzw Anwendungen (z B Personalinformationssystem) geglieshydert sind Fuumlr die Erstellung der Sicherheitskonzeption werden auf Grundlage der bereits waumlhrend der Vorarbeiten erfolgten Ersterfassung (siehe Kapitel 324 Ersterfassung der Prozesse Anwendunshygen und IT-Systeme) die relevanten Bestandteile des betrachteten Informationsverbunds identifiziert

Der naumlchste Schritt besteht darin den betrachteten Informationsverbund mithilfe der in der Erstershyfassung identifizierten Prozesse Anwendungen IT-Systeme Kommunikationsverbindungen und Raumlume und den vorhandenen Bausteinen aus dem IT-Grundschutz-Kompendium nachzubilden Das Ergebnis ist ein IT-Grundschutz-Modell des Informationsverbunds das aus verschiedenen gegebeshynenfalls auch mehrfach verwendeten Bausteinen besteht und durch die Verwendung der Bausteine die sicherheitsrelevanten Aspekte des Informationsverbunds beinhaltet

621 Modellierung nach IT-Grundschutz

Um einen im Allgemeinen komplexen Informationsverbund nach IT-Grundschutz zu modellieren muumlssen die passenden Bausteine des IT-Grundschutz-Kompendiums ausgewaumlhlt und umgesetzt wershyden Um die Auswahl zu erleichtern sind die Bausteine im IT-Grundschutz-Kompendium zunaumlchst in prozess- und systemorientierte Bausteine aufgeteilt Ein Uumlberblick uumlber die Struktur des IT-Grundshy

schutz-Kompendiums mit den System- und Prozessbausteinen ist in Kapitel 831 Das IT-Grundshyschutz-Kompendium zu finden

Die Modellierung nach IT-Grundschutz besteht nun darin fuumlr die Bausteine einer jeden Schicht zu entscheiden ob und wie sie zur Abbildung des Informationsverbunds herangezogen werden koumlnnen Je nach betrachtetem Baustein koumlnnen die Zielobjekte dieser Abbildung von unterschiedlicher Art sein einzelne Geschaumlftsprozesse oder Komponenten Gruppen von Komponenten Gebaumlude Liegenshyschaften Organisationseinheiten usw Koumlnnen einzelne Zielobjekte nicht unmittelbar mit den vorhanshydenen Bausteinen abgebildet werden muss gewaumlhrleistet sein dass aumlhnliche verallgemeinerte Baushysteine beruumlcksichtigt werden

622 Reihenfolge der Baustein-Umsetzung

Um grundlegende Risiken abzudecken und eine ganzheitliche Informationssicherheit aufzubauen muumlssen die essenziellen Sicherheitsanforderungen fruumlhzeitig erfuumlllt und entsprechende Sicherheitsshymaszlignahmen umgesetzt werden Daher wird im IT-Grundschutz eine Reihenfolge fuumlr die umzusetzenshyden Bausteine vorgeschlagen

Im IT-Grundschutz-Kompendium wird im Kapitel Schichtenmodell und Modellierung beschrieben wann ein einzelner Baustein sinnvollerweise eingesetzt werden soll und auf welche Zielobjekte er anzuwenden ist Zudem sind die Bausteine danach gekennzeichnet ob sie vor- oder nachrangig umshygesetzt werden sollten

Diese Kennzeichnung zeigt nur die sinnvolle zeitliche Reihenfolge fuumlr die Umsetzung der jeweiligen Anforderungen der Bausteine auf und stellt keine Gewichtung der Bausteine untereinander dar Grundsaumltzlich muumlssen alle fuumlr den jeweiligen Informationsverbund relevanten Bausteine des IT-Grundshyschutz-Kompendiums umgesetzt werden

Die Kennzeichnung der Bausteine stellt des Weiteren nur eine Empfehlung dar in welcher Reihenfolge die verschiedenen Bausteine sinnvoll umgesetzt werden koumlnnten Jede Institution kann hier eine abshyweichende fuumlr sich sinnvolle Reihenfolge festlegen

623 Zuordnung von Bausteinen

Die Zuordnung von Bausteinen zu Zielobjekten sollte in Form einer Tabelle mit folgenden Spalten dokumentiert werden

bull Vollstaumlndiger Titel des Bausteins (z B SYS31 Laptop)

bull Zielobjekt Dieses kann z B die Identifikationsnummer einer Komponente oder einer Gruppe umshyfassen bzw der Name eines Gebaumludes oder einer Organisationseinheit sein

bull Ansprechpartner Diese Spalte dient zunaumlchst nur als Platzhalter Der Ansprechpartner wird nicht im Rahmen der Modellierung sondern erst bei der Planung des eigentlichen Soll-Ist-Vergleichs im IT-Grundschutz-Check ermittelt

bull Reihenfolge Es sollte die Umsetzungsreihenfolge (R1 R2 R3) des Bausteins eingetragen werden

bull Hinweise In dieser Spalte koumlnnen Randinformationen und Begruumlndungen fuumlr die Modellierung dokumentiert werden

624 Ermittlung konkreter Maszlignahmen aus Anforderungen

Uumlber die Modellierung wurden die Bausteine des IT-Grundschutz-Kompendiums ausgewaumlhlt die fuumlr die einzelnen Zielobjekte des betrachteten Informationsverbunds umzusetzen sind In den Bausteinen

63 IT-Grundschutz-Check fuumlr Basis-Absicherung

werden die Anforderungen aufgefuumlhrt die typischerweise fuumlr diese Komponenten geeignet und anshygemessen sind

Fuumlr die Erstellung eines Sicherheitskonzepts oder fuumlr ein Audit muumlssen jetzt die einzelnen Anfordeshyrungen bearbeitet und zur Erfuumlllung geeignete Sicherheitsmaszlignahmen formuliert werden hierbei unterstuumltzen die zu vielen Bausteinen zugehoumlrigen Umsetzungshinweise Vertiefende Informationen hierzu sind in Kapitel 836 Anpassung der Baustein-Anforderungen zu finden

Schon bevor eine IT-Grundschutz-Vorgehensweise ausgewaumlhlt wurde wurden waumlhrend der Vorarshybeiten in der Erstaufnahme (siehe Kapitel 324 Ersterfassung der Prozesse Anwendungen und IT-Sysshyteme) die geschaumlftskritischen Informationen und Kernprozesse der Institution ermittelt und die beshytroffenen Anwendungen IT-Systeme Netze und Raumlume erfasst Der betrachtete Informationsvershybund wurde mithilfe der vorhandenen Bausteine aus dem IT-Grundschutz-Kompendium nachgebildet Die Auswahl und Priorisierung der IT-Grundschutz-Bausteine (wie im vorherigen Kapitel beschrieben) wird nun als Pruumlfplan benutzt um anhand eines Soll-Ist-Vergleichs herauszufinden welshyche Basis-Anforderungen ausreichend oder nur unzureichend erfuumlllt sind

Bei dem hier anzuwendenden IT-Grundschutz-Check fuumlr die Basis-Absicherung muumlssen lediglich die Basis-Anforderungen erfuumlllt sein Fuumlr eine Standard- oder Kern-Absicherung ist innerhalb dieser Vorshygehensweisen ein separater IT-Grundschutz-Check durchzufuumlhren bei dem die Standard-Anfordeshyrungen der betreffenden Bausteine hinzukommen Um Mehraufwaumlnde zu vermeiden und Synergieshyeffekte erzielen zu koumlnnen sollten die Ergebnisse des fuumlr die Basis-Absicherung durchzufuumlhrenden IT-Grundschutz-Checks so aufbereitet sein dass sie direkt in die Standard- oder Kern-Absicherung integriert werden koumlnnen

Unabhaumlngig von der IT-Grundschutz-Vorgehensweise besteht der IT-Grundschutz-Check aus drei unshyterschiedlichen Schritten Im ersten Schritt werden die organisatorischen Vorbereitungen getroffen insbesondere die relevanten Ansprechpartner fuumlr den Soll-Ist-Vergleich werden ausgewaumlhlt Im zweishyten Schritt wird der eigentliche Soll-Ist-Vergleich mittels Interviews und Stichproben durchgefuumlhrt Im letzten Schritt werden die erzielten Ergebnisse des Soll-Ist-Vergleichs einschlieszliglich der erhobenen Begruumlndungen dokumentiert

Organisatorische Vorarbeiten fuumlr den IT-Grundschutz-Check

Zunaumlchst sollten alle hausinternen Papiere die die sicherheitsrelevanten Ablaumlufe regeln gesichtet werden Diese Dokumente koumlnnen bei der Ermittlung des Umsetzungsgrades hilfreich sein

Die geeigneten Interviewpartner muumlssen identifiziert werden Fuumlr jeden Baustein der fuumlr die Modelshylierung des Informationsverbunds herangezogen wurde sollte ein Hauptansprechpartner festgelegt werden Bei den Anforderungen in den Bausteinen werden die Rollen genannt die fuumlr die Umsetzung der Anforderungen zustaumlndig sind Hieraus koumlnnen die geeigneten Ansprechpartner fuumlr die jeweilige Thematik in der Institution identifiziert werden Fuumlr die Bausteine der Schicht APP (Anwendungen) sind dies beispielsweise die Betreuer der einzelnen Anwendungen

Als Naumlchstes sollte festgestellt werden ob und in welchem Umfang externe Stellen an der Ermittlung des Umsetzungsstatus beteiligt werden muumlssen Dies kann beispielsweise bei Firmen die Teile von Geschaumlftsprozessen oder des IT-Betriebes als outgesourcte Dienstleistungen uumlbernehmen erfordershylich sein

Fuumlr die anstehenden Interviews sollte ein Terminplan erstellt werden Ein besonderes Augenmerk gilt hier der Terminkoordination mit Personen aus anderen Organisationseinheiten oder anderen Institushytionen Auszligerdem erscheint es sinnvoll schon vorab Ausweichtermine abzustimmen

Durchfuumlhrung des Soll-Ist-Vergleichs

Bei der Erhebung des erreichten Sicherheitsstatus werden die Sicherheitsanforderungen des jeweilishygen Bausteins der Reihe nach durchgearbeitet Diese koumlnnen vollstaumlndig teilweise oder nicht erfuumlllt sein Als Umsetzungsstatus ist daher jeweils eine der folgenden Aussagen moumlglich

bdquoentbehrlichldquo Die Erfuumlllung der Anforderung ist in der vorgeschlagenen Art nicht notwendig weil die Anforderung im betrachteten Informationsverbund nicht relevant ist (z B weil Dienste nicht aktiviert wurden)

bdquojaldquo Zu der Anforderung wurden geeignete Maszlignahmen vollstaumlndig wirksam und angeshymessen umgesetzt

bdquoteilweiseldquo Die Anforderung wurde nur teilweise umgesetzt

bdquoneinldquo Die Anforderung wurde noch nicht erfuumlllt also geeignete Maszlignahmen sind groumlszligtenshyteils noch nicht umgesetzt

Es ist sinnvoll bei den Interviews nicht nur die Bausteintexte sondern auch die Umsetzungshinweise oder andere ergaumlnzende Materialien griffbereit zu haben Den Befragten sollte der Zweck des IT-Grundschutz-Checks kurz vorgestellt werden Es bietet sich an mit den Anforderungsuumlberschriften fortzufahren und die Anforderung kurz zu erlaumlutern Dem Gespraumlchspartner sollte die Moumlglichkeit gegeben werden auf die bereits umgesetzten Anforderungen und Maszlignahmen einzugehen und danach noch offene Punkte zu besprechen

Zum Abschluss jedes Bausteins sollte den Befragten das Ergebnis (Umsetzungsstatus der Anforderunshygen entbehrlichjateilweisenein) mitgeteilt und diese Entscheidung erlaumlutert werden

Dokumentation der Ergebnisse

Die Ergebnisse des IT-Grundschutz-Checks sollten so dokumentiert werden dass sie fuumlr alle Beteiligshyten nachvollziehbar sind und als Grundlage fuumlr die Umsetzungsplanung der defizitaumlren Anforderunshygen und Maszlignahmen genutzt werden koumlnnen Es sollten geeignete Hilfsmittel verwendet werden die bei der Erstellung und Aktualisierung aller im Sicherheitsprozess erforderlichen Dokumente untershystuumltzen beispielsweise spezielle IT-Grundschutz-Tools oder selbst entwickelte Tabellen Als Hilfsmittel stehen auch auf der IT-Grundschutz-Website entsprechende Formulare fuumlr die jeweiligen Bausteine zur Verfuumlgung

Die Ergebnisse des Soll-Ist-Vergleichs sollten tabellarisch erfasst werden Dabei sollten zu jeder Anforshyderung des jeweiligen Bausteins folgende Informationen festgehalten werden

bull Umsetzungsgrad (entbehrlichjateilweisenein)

bull Verantwortliche Welche Mitarbeiter sind fuumlr die vollstaumlndige Umsetzung einer defizitaumlren Anforshyderung verantwortlich Bis wann ist diese umzusetzen

bull Bemerkungen Ein solches Feld ist wichtig um getroffene Entscheidungen spaumlter nachvollziehen zu koumlnnen Bei Anforderungen deren Umsetzung entbehrlich erscheint ist hier die Begruumlndung zu nennen Bei Anforderungen die noch nicht oder nur teilweise umgesetzt sind sollte in diesem Feld dokumentiert werden welche Maszlignahmen noch umgesetzt werden muumlssen In dieses Feld sollten auch alle anderen Bemerkungen eingetragen werden die bei der Beseitigung von Defiziten hilfshyreich oder im Zusammenhang mit der Anforderung zu beruumlcksichtigen sind

65 Auswahl einer folgenden Vorgehensweise

bull DefiziteKostenschaumltzung Fuumlr Anforderungen die nicht oder nur teilweise erfuumlllt wurden ist das damit verbundene Risiko in geeigneter Form zu ermitteln und zu dokumentieren Des Weiteren sollte geschaumltzt werden welchen finanziellen und personellen Aufwand die Beseitigung der Defishyzite erfordert

Diese Schritte werden detailliert im Kapitel 84 IT-Grundschutz-Check beschrieben

64 Realisierung

In diesem Kapitel wird beschrieben wie fuumlr die Basis-Absicherung aus den Anforderungen die Sichershyheitsmaszlignahmen abgeleitet und wie diese dann geplant durchgefuumlhrt begleitet und uumlberwacht werden koumlnnen Es liegen die Ergebnisse des IT-Grundschutz-Checks also des Soll-Ist-Vergleichs vor

Generell muumlssen fuumlr die Basis-Absicherung alle identifizierten Basis-Anforderungen erfuumlllt werden Auch fuumlr die Erfuumlllung der Basis-Anforderungen stehen in der Regel nur beschraumlnkte Ressourcen an Geld und Personal zur Verfuumlgung Das primaumlre Ziel der nachfolgend beschriebenen Schritte ist es daher eine moumlglichst effiziente Erfuumlllung der vorgesehenen Basis-Anforderungen zu erreichen (eine vollstaumlndige Beschreibung fuumlr alle IT-Grundschutz-Vorgehensweisen ist im Kapitel 9 bdquoUmsetzung der Sicherheitskonzeptionldquo zu finden)

bull Sichtung der Untersuchungsergebnisse In einer Gesamtsicht sollten zuerst die fehlenden oder nur teilweise erfuumlllten Basis-Anforderungen ausgewertet werden

bull Konsolidierung der Basis-Anforderungen In diesem Schritt werden zunaumlchst die noch zu erfuumlllenden Basis-Anforderungen konsolidiert

bull Kosten- und Aufwandsschaumltzung Es sollte fuumlr jede zu erfuumlllende Basis-Anforderung festgehalten werden welche Investitionskosten und welcher Personalaufwand dafuumlr notwendig sind

bull Festlegung der Umsetzungsreihenfolge der Basis-Anforderungen Wenn das vorhandene Budget oder die personellen Ressourcen nicht ausreichen um die fehlenden Basis-Anforderungen sofort erfuumlllen zu koumlnnen muss eine Umsetzungsreihenfolge festgelegt wershyden

bull Festlegung der Aufgaben und der Verantwortung Es muss festgelegt werden wer bis wann welche Basis-Anforderungen erfuumlllen muss

bull Realisierungsbegleitende Basis-Anforderungen Uumlberaus wichtig ist es notwendige realisierungsbegleitende Basis-Anforderungen wie beispielsshyweise Schulungen rechtzeitig zu konzipieren und fuumlr die Realisierung mit einzuplanen

Informationssicherheit muss gelebt werden Um das Sicherheitsniveau aufrechtzuerhalten und konshytinuierlich verbessern zu koumlnnen muumlssen nicht nur die erforderlichen Sicherheitsmaszlignahmen umgeshysetzt und fortlaufend aktualisiert werden sondern auch der gesamte Prozess der Informationssichershyheit muss regelmaumlszligig auf seine Wirksamkeit und Effizienz hin uumlberpruumlft werden

Die Basis-Absicherung ist eine IT-Grundschutz-Vorgehensweise fuumlr den Einstieg um zunaumlchst zeitnah die wichtigsten Sicherheitsempfehlungen fuumlr den ausgewaumlhlten Einsatzbereich identifizieren und umshysetzen zu koumlnnen Ziel ist es daher mittelfristig ein vollstaumlndiges Sicherheitskonzept gemaumlszlig der Stanshy

dard-Absicherung zu erstellen Als Zwischenschritt koumlnnte nach der Basis-Absicherung und vor der Standard-Absicherung die nun erstellte Sicherheitskonzeption um die Kern-Absicherung ergaumlnzt wershyden

Nachdem die Basis-Absicherung realisiert wurde sollte zeitnah entschieden werden wann mit dem notwendigen Verbesserungsprozess begonnen wird In Abhaumlngigkeit der Sicherheitsanspruumlche und der verfuumlgbaren Ressourcen ist zu entscheiden ob im naumlchsten Schritt eine Sicherheitskonzeption nach der Standard- oder der Kern-Absicherung erstellt werden soll Informationen zur Auswahl sind in Kapitel 33 Entscheidung ffr Vorgehensweise zu finden

71 Die Methodik der Kern-Absicherung

Erstellung einer Sicherheitskonzeption nach der Vorgehensweise Kern-Absicherung

Der IT-Grundschutz des BSI bietet einen ganzheitlichen Schutz aller geschaumlftsrelevanten Informatioshynen einer Institution Fuumlr Institutionen die noch groszligen Handlungsbedarf im Bereich der Informatishyonssicherheit haben kann es zielfuumlhrend sein sich anfangs auf die Absicherung der essenziellen Asshysets zu beschraumlnken und erst nachfolgend ein breites Sicherheitskonzept umzusetzen Dieses Kapitel beschreibt wie vorzugehen ist wenn als Vorgehensweise Kern-Absicherung ausgewaumlhlt wurde

Nachdem ein Informationssicherheitsprozess initiiert die wesentlichen Rahmenbedingungen sowie die zu schuumltzenden Prozesse Anwendungen und IT-Systeme identifiziert wurden und eine Vorgeshyhensweise ausgewaumlhlt wurde wird die Sicherheitskonzeption fuumlr die Institution erstellt Zu diesem Zweck werden im IT-Grundschutz-Kompendium fuumlr typische Komponenten von Geschaumlftsprozessen Anwendungen IT-Systemen und anderen Objekten organisatorische personelle infrastrukturelle und technische Standardsicherheitsanforderungen gestellt Diese sind in Bausteinen strukturiert soshydass sie modular aufeinander aufsetzen

Abbildung 9 Kern-Absicherung

Die Vorgehensweise Kern-Absicherung des IT-Grundschutzes konzentriert sich auf den Schutz von besonders schuumltzenswerten Assets den sogenannten bdquoKronjuwelenldquo Bei der Anwendung der Kern-Absicherung erfolgt ein Soll-Ist-Vergleich zwischen den im IT-Grundschutz-Kompendium aufgeshystellten und den bereits in der Institution erfuumlllten Anforderungen fuumlr die Absicherung dieser Kronjushywelen Dabei nicht oder nur unzureichend erfuumlllte Anforderungen zeigen die Sicherheitsdefizite auf die es durch entsprechende Maszlignahmen zu beheben gilt

7 Erstellung einer Sicherheitskonzeption nach Kern-Absicherung

Das mittels der Kern-Absicherung erstellte Sicherheitskonzept ist die Basis fuumlr ein umfangreicheres Sicherheitskonzept wie es mit der Standard-Absicherung (siehe Kapitel 8) erstellt und etabliert wershyden kann

Da sich die Kern-Absicherung auf die besonders schuumltzenswerten Assets konzentriert ist hier grundshysaumltzlich von einem erhoumlhten Schutzbedarf auszugehen Daher muumlssen die in den relevanten Bausteishynen des IT-Grundschutz-Kompendiums aufgefuumlhrten Basis- und Standard-Anforderungen komplett umgesetzt werden Darauf aufbauend muss bei erhoumlhtem Schutzbedarf eine Risikoanalyse unter Beshyruumlcksichtigung von Kosten- und Wirksamkeitsaspekten durchgefuumlhrt werden damit die relevanten Risiken im Bereich der Kronjuwelen ganzheitlich behandelt werden koumlnnen Dabei duumlrfen die in den Bausteinen exemplarisch aufgefuumlhrten Anforderungen fuumlr einen erhoumlhten Schutzbedarf als Grundlashyge herangezogen werden um entsprechende individuelle Maszlignahmen zu ergaumlnzen

Hierzu ist im BSI-Standard 200-3 Risikoanalyse auf der Basis von IT-Grundschutz eine im Vergleich zu traditionellen Risikoanalyse-Methoden einfachere Vorgehensweise beschrieben

Die Kern-Absicherung bei der der Schutz von Kronjuwelen im Fokus steht ist kein allein stehendes Projekt sondern Teil des Sicherheitsprozesses Die Kern-Absicherung kann nur dann als Projekt beshytrachtet werden wenn sie anschlieszligend in die Standard-Absicherung integriert wird Solange dies nicht der Fall ist muss regelmaumlszligig der Prozess der Kern-Absicherung uumlberpruumlft und verbessert wershyden

Die Erstellung einer Sicherheitskonzeption fuumlr eine Kern-Absicherung nach dem IT-Grundschutz glieshydert sich grob in folgende Bereiche

bull Festlegung des Geltungsbereichs fuumlr die Kern-Absicherung

bull Identifikation und Festlegung der kritischen Assets (Kronjuwelen)

bull Strukturanalyse

bull Schutzbedarfsfeststellung

bull Modellierung Auswahl und Anpassung von Anforderungen

bull IT-Grundschutz-Check

bull Risikoanalyse und weiterfuumlhrende Sicherheitsmaszlignahmen

bull Umsetzung und weitere Schritte

72 Festlegung des Geltungsbereichs fuumlr die Kern-Absicherung

Die ganzheitliche Umsetzung von Informationssicherheit wie dies mit der Standard-Absicherung ershyfolgt ist in einem einzelnen groszligen Schritt oft ein zu ehrgeiziges Ziel Viele kleine Schritte und ein langfristiger kontinuierlicher Verbesserungsprozess ohne hohe Investitionskosten zu Beginn sind oft erfolgversprechender Daher konzentriert sich die Kern-Absicherung auf die besonders schuumltzenswershyten Assets und Ressourcen der Institution Von diesem ausgewaumlhlten und beschraumlnkten Bereich der Institution ausgehend sollte dann kontinuierlich die Sicherheit innerhalb der gesamten Institution verbessert werden

Zunaumlchst muss daher dieser Bereich festgelegt werden fuumlr den die Sicherheitskonzeption erstellt und umgesetzt werden soll Dieser umfasst unter anderem alle (Teil-)Geschaumlftsprozesse Anwendungen IT-Systeme Infrastrukturen die fuumlr die Bearbeitung der besonders kritischen Geschaumlftsprozesse und Informationen benoumltigt werden Dazu gehoumlren unter Umstaumlnden auch ICS-Systeme Der betrachtete Geltungsbereich fuumlr die Sicherheitskonzeption wird im IT-Grundschutz generell als bdquoInformationsvershy

73 Identifikation und Festlegung der kritischen Assets (Kronjuwelen)

bundldquo bezeichnet Die Kern-Absicherung betrachtet somit einen bewusst eingeschraumlnkten Informashytionsverbund

Bei der Kern-Absicherung ist es besonders wichtig den Informationsverbund nicht nur klar abzugrenshyzen sondern ihn auch moumlglichst klein zu halten Jedes weitere Zielobjekt das einem Informationsshyverbund hinzugefuumlgt wird erhoumlht die Komplexitaumlt der Absicherung Daher kann es in Zweifelsfaumlllen zielfuumlhrender sein die kritischen Objekte in kleinen uumlberschaubaren Bereichen zu betreiben die vom Rest der Institution abgeschottet sind Beispielsweise ist es sinnvoller geschaumlftskritische Informatioshynen in getrennten IT-Umgebungen zu verarbeiten und dafuumlr Unbequemlichkeiten in Kauf zu nehmen statt die im houmlchsten Maszlige schutzbeduumlrftigen Geschaumlftsprozesse mit vielen Anwendungen aus der gewohnten Buumlroumgebung zu verknuumlpfen und damit alle mit ihnen vernetzten Komponenten auf dem dann erforderlichen hohen Sicherheitsniveau absichern zu muumlssen

Als Kronjuwelen werden diejenigen Geschaumlftsprozesse und die Informationen bezeichnet die am wichtigsten fuumlr den Erhalt der Institution sind Es ist wichtig die moumlgliche Menge der schuumltzenswerten Daten gezielt einzugrenzen

Zu den kritischen Assets gehoumlren uumlblicherweise

bull Informationen die wesentlich zur erfolgreichen Durchfuumlhrung von essenziellen Geschaumlftsprozesshysen sind

bull Informationen und Geschaumlftsprozesse die ein deutlich erhoumlhtes Gefaumlhrdungspotenzial bezuumlglich der Informationssicherheit innehaben Dies betrifft Vertraulichkeit Integritaumlt und Verfuumlgbarkeit

bull Informationen und Geschaumlftsprozesse deren Diebstahl Zerstoumlrung Kompromittierung oder Beshyeintraumlchtigung einen existenzbedrohenden Schaden fuumlr die Institution bedeutet und die vorrangig geschuumltzt werden sollen

Die folgenden weiteren Charakteristika fuumlr Kronjuwelen helfen bei der Identifikation und Eingrenshyzung der kritischen Assets

bull Als Kronjuwelen werden Informationen oder Geschaumlftsprozesse bezeichnet nicht Dienstleistunshygen Anwendungen IT-Systeme oder aumlhnliche Objekte

bull Die Menge der Informationen und Geschaumlftsprozesse mit deutlich erhoumlhtem Schutzbedarf ist uumlbershyschaubar bzw umfasst nur einen kleinen Anteil aller Geschaumlftsprozesse der Institution Nur wenige Assets ragen in ihrer Bedeutung fuumlr die Fachaufgaben bzw Geschaumlftstaumltigkeit deutlich aus der Masse heraus und koumlnnen einen groszligen Schaden fuumlr die Institution verursachen

bull Kronjuwelen koumlnnen auch in Formen vorliegen die nicht auf den ersten Blick offensichtlich sind dies moumlgen einzelne Dateien Datensammlungen strukturierte oder unstrukturierte Informatioshynen bis hin zu handschriftlichen Notizen oder Gespraumlchen sein kann aber auch das Wissen und die Faumlhigkeiten einzelner Mitarbeiter betreffen

bull Kronjuwelen sind haumlufig die Informationen fuumlr die es wuumlnschenswert erscheint das vorhandene Klassifikationsschema um noch houmlhere Kategorien zu erweitern

bull Es ist davon auszugehen dass der Schutzbedarf der Kronjuwelen und aller damit verknuumlpften Ressourcen im Informationsverbund mindestens als bdquohochldquo einzuordnen ist

bull Der Schutzbedarf von Kronjuwelen kann sich mit der Zeit veraumlndern Typische Beispiele sind hier Informationen uumlber Produktneuerungen oder Jahresabschlussberichte

bull Es muss bei Kronjuwelen haumlufig zwischen verschiedenen bdquoBesitzernldquo der Information unterschieshyden werden Diese koumlnnen unterschiedliche Rollen und Verantwortlichkeiten haben Insbesondere betrifft dies bdquoZustaumlndigkeitldquo (Responsibility) versus bdquoRechenschaftspflichtldquo (Accountability)

bull Der Schutzbedarf von Kronjuwelen kann sogar als so hoch eingestuft werden dass die Sicherheitsshybeauftragten nicht die Berechtigungen bekommen diese selbst einzusehen aber den Auftrag haben sie zu schuumltzen

bull Es sind alle elementaren Gefaumlhrdungen des IT-Grundschutz-Kompendiums relevant haumlufig liegt ein besonderer Fokus auf den Angreifern Daruumlber duumlrfen aber Ursachen wie Umwelteinfluumlsse oder menschliche Fehlhandlungen nicht vergessen werden

Die Festlegung bei welchen Assets es sich um Kronjuwelen handelt erfolgt typischerweise durch die Leitungsebene Die Entscheidung bestimmte Informationen als Kronjuwelen einzustufen fuumlhrt unshymittelbar dazu dass adaumlquate Sicherheitsmaszlignahmen fuumlr diese ergriffen werden muumlssen Diese sind natuumlrlich entsprechend dem herausragenden Schutzbedarf der Kronjuwelen folgend umfangreich und damit tendenziell aufwendig und teuer Fachverantwortliche Sicherheitsbeauftragte und andere Instanzen koumlnnen vorschlagen diese Informationen als Kronjuwelen einzustufen die Entscheidung muss jedoch letztlich vonseiten der Leitungsebene erfolgen

Jede Institution sollte zur besseren Einordnung fuumlr sich selbst individuelle Beispiele fuumlr Kronjuwelen erarbeiten Zudem sollten auch Beispiele zur Abgrenzung von Kronjuwelen zu wichtigen Informatioshynen erstellt werden Nachfolgend sind einige typische Beispiele fuumlr Kronjuwelen aus der Praxis aufgeshyfuumlhrt

bull Details uumlber anstehende geschaumlftliche Entscheidungen z B Strategiepapiere fuumlr Firmenaufkaumlufe Finanzierungsplaumlne

bull Details uumlber Produktentwicklungen z B Hintergrundmaterial zu Patentantraumlgen Designentwuumlrfen usw

bull Informationen uumlber Standorte geschuumltzter Pflanzen gefaumlhrdeter Personen oder geheimer Anlashygen

bull Administrative Zugriffsdaten fuumlr Server (wenn nicht auffindbar ist kein schneller Zugriff moumlglich)

bull Kryptomaterial z B Masterschluumlssel fuumlr institutionsweit eingesetzte kryptografische Verfahren

bull Bauplaumlne oder Rezepturen fuumlr Produkte

Anmerkung Das geheime Familienrezept einer Koffeinbrause ist ein in der Oumlffentlichkeit immer wieshyder thematisiertes Beispiel fuumlr ein bdquoKronjuwelldquo Wird dies offenbart (Verlust der Vertraulichkeit) wuumlrshyde das einen groszligen Pressewirbel ausloumlsen aber die Existenz der Firma nicht gefaumlhrden sondern eventuell sogar zur Produktwerbung beitragen In diesem Kontext wird auch deutlich dass manche Kronjuwelen zu bdquoheiszligldquo sein koumlnnten um fuumlr einen Angreifer oder Konkurrenten wertvoll zu sein Eine unbemerkte Aumlnderung der Rezeptur (Verlust der Integritaumlt) koumlnnte aber zu einem schweren Imageshyschaden fuumlhren Der vollstaumlndige Verlust der Rezeptur wuumlrde schlieszliglich zu einem Produktionsstillshystand fuumlhren und waumlre damit das schwerwiegendste Problem

Es kann Kronjuwelen geben bei denen nicht ein einzelner Prozess oder ein Objekt im Fokus steht sondern wo die Kronjuwelen durch die Kumulation wichtiger geschaumlftskritischer Werte entstehen

75 Schutzbedarfsfeststellung

Beispiel

Wenn bei einem Buchverlag der streng vertrauliche Entwurf des letzten Bands einer Erfolgsreihe an die Offentlichkeit gelangt ist das ein schwerwiegender Sicherheitsvorfall Werden allerdings alle Daten der ffr das Geschaumlftsjahr geplanten Bestseller vernichtet und somit deren Veroumlffentlishychung verhindert kann dieser Vorfall ffr den Verlag zu einer wirtschaftlichen Katastrophe ffhren

Es kann somit Kronjuwelen geben bei denen nicht ein einzelner Prozess oder ein einziges Objekt die houmlchste Verfuumlgbarkeit aufweisen muss sondern wo die Verfuumlgbarkeit der Produktionskette oder soshygar der Schutzeinrichtungen selbst abzusichern ist Ein Beispiel hierfuumlr sind die Prozesse zur Energieshyerzeugung in einem Kernkraftwerk

74 Strukturanalyse

Fuumlr die Erstellung eines Sicherheitskonzepts und insbesondere fuumlr die Anwendung des IT-Grundshyschutz-Kompendiums ist es erforderlich das Zusammenspiel der Geschaumlftsprozesse der Anwendunshygen und der vorliegenden Informationstechnik zu analysieren und zu dokumentieren Aufgrund der heute uumlblichen starken Vernetzung von IT-Systemen bietet sich ein Netztopologieplan als Ausgangsshybasis fuumlr die weitere technische Analyse an Die folgenden Aspekte muumlssen beruumlcksichtigt werden

bull die fuumlr die Kern-Absicherung im eingeschraumlnkten Informationsverbund betriebenen Anwendunshygen und die dadurch gestuumltzten Geschaumlftsprozesse

bull die organisatorischen und personellen Rahmenbedingungen fuumlr diesen Informationsverbund

bull im Informationsverbund eingesetzte vernetzte und nicht vernetzte IT-Systeme

bull die Kommunikationsverbindungen zwischen den IT-Systemen und nach auszligen

bull die vorhandene Infrastruktur

Die einzelnen Schritte der Strukturanalyse werden im Detail in Kapitel 81 dieses Dokuments in Form einer Handlungsanweisung beschrieben

Zweck der Schutzbedarfsfeststellung ist es zu ermitteln welcher Schutz fuumlr die Geschaumlftsprozesse die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und anshygemessen ist Hierzu werden fuumlr jede Anwendung und die verarbeiteten Informationen die zu erwarshytenden Schaumlden betrachtet die bei einer Beeintraumlchtigung von Vertraulichkeit Integritaumlt oder Vershyfuumlgbarkeit entstehen koumlnnen Wichtig ist es dabei auch die moumlglichen Folgeschaumlden realistisch einshyzuschaumltzen Bewaumlhrt hat sich hierfuumlr eine Einteilung in die drei Schutzbedarfskategorien bdquonormalldquo bdquohochldquo und bdquosehr hochldquo Grundsaumltzlich ist bei den Assets die durch eine Kern-Absicherung geshyschuumltzt werden sollen von einem Schutzbedarf der Kategorien bdquohochldquo und bdquosehr hochldquo auszugehen Trotzdem muss der Schutzbedarf dieser wenigen besonders geschaumlftskritischen Assets dediziert einshygeschaumltzt werden

Abbildung 10 Schutzbedarf und Kronjuwelen

Neben den als Kronjuwelen identifizierten Assets gibt es typischerweise weitere Assets mit hohem oder sehr hohem Schutzbedarf die auch angemessen zu schuumltzen sind

Die einzelnen Schritte der Schutzbedarfsfeststellung werden im Detail in Kapitel 82 dieses Dokushyments erlaumlutert wobei zu beachten ist dass bei der Kern-Absicherung der Fokus auf einem hohen und sehr hohen Schutzbedarf liegt

76 Modellierung Auswahl und Anpassung von Anforderungen

Die Voraussetzung fuumlr die Anwendung des IT-Grundschutz-Kompendiums auf einen Informationsvershybund sind detaillierte Unterlagen uumlber seine Struktur und den Schutzbedarf der darin enthaltenen Zielobjekte Diese Informationen sollten uumlber die zuvor beschriebenen Arbeitsschritte ermittelt wershyden Um geeignete Sicherheitsmaszlignahmen fuumlr den vorliegenden Informationsverbund identifizieren zu koumlnnen muumlssen anschlieszligend die Bausteine des IT-Grundschutz-Kompendiums auf die Zielobjekte und Teilbereiche abgebildet werden

Dieser Vorgang der Modellierung wird in Kapitel 83 naumlher eroumlrtert

79 Umsetzung und weitere Schritte

77 IT-Grundschutz-Check

Der IT-Grundschutz-Check ist ein Organisationsinstrument das einen schnellen Uumlberblick uumlber das vorhandene Sicherheitsniveau bietet Mithilfe von Interviews wird der Status quo eines bestehenden (nach dem IT-Grundschutz modellierten) Informationsverbunds in Bezug auf den Grad der Erfuumlllung der Sicherheitsanforderungen des IT-Grundschutzes ermittelt Als Ergebnis liegt ein Katalog vor in dem fuumlr jede relevante Anforderung der Erfuumlllungsstatus bdquojaldquo bdquoteilweiseldquo bdquoneinldquo oder bdquoentbehrlichldquo (mit Begruumlndung nicht moumlglich bei Basis-Anforderungen) erfasst ist Durch die Identifizierung von noch nicht oder nur teilweise erfuumlllten Anforderungen werden Verbesserungsmoumlglichkeiten fuumlr die Sicherheit der betrachteten Geschaumlftsprozesse und der Informationstechnik aufgezeigt

Kapitel 84 beschreibt einen Aktionsplan fuumlr die Durchfuumlhrung eines IT-Grundschutz-Checks Dabei wird sowohl den organisatorischen Aspekten als auch den fachlichen Anforderungen bei der Projektshydurchfuumlhrung Rechnung getragen

78 Risikoanalyse und weiterfuumlhrende Sicherheitsmaszlignahmen

Die Erfuumlllung der Standard-Anforderungen nach IT-Grundschutz bietet im Normalfall einen angemesshysenen und ausreichenden Schutz Bei einem hohen oder sehr hohen Schutzbedarf wie er im Rahmen der Kern-Absicherung regelmaumlszligig auftritt ist zu pruumlfen ob sich zusaumltzliche Sicherheitsanforderungen ergeben und damit zusaumltzliche oder ersatzweise houmlherwertige Sicherheitsmaszlignahmen erforderlich sind Dies gilt auch wenn besondere Einsatzbedingungen vorliegen oder wenn Komponenten vershywendet werden die nicht mit den existierenden Bausteinen des IT-Grundschutz-Kompendiums abgeshybildet werden koumlnnen Dann ist zu entscheiden ob fuumlr die jeweils betroffenen Bereiche eine Risikoshyanalyse durchgefuumlhrt werden muss um angemessene Sicherheitsmaszlignahmen zu identifizieren

Eine Methode fuumlr Risikoanalysen ist die im BSI-Standard 200-3 Risikoanalyse auf der Basis von IT-Grundschutz beschriebene Vorgehensweise In Kapitel 85 wird diese Methode uumlberblicksartig darshygestellt Die erfolgreiche Durchfuumlhrung einer Risikoanalyse haumlngt entscheidend von den Fachkenntshynissen des Projektteams ab Daher ist es haumlufig sinnvoll fachkundiges externes Personal hinzuzuzieshyhen

Die identifizierten und konsolidierten Sicherheitsmaszlignahmen fuumlr die Kern-Absicherung muumlssen im Anschluss umgesetzt werden Was hierbei zu beachten ist wird in Kapitel 9 Umsetzung der Sichershyheitskonzeption ausfuumlhrlich diskutiert

Zu den Aufgaben eines ISMS gehoumlrt es nicht nur im betrachteten Informationsverbund die Informashytionssicherheit aufrechtzuerhalten sondern diese sollte auch fortlaufend verbessert werden (siehe Kapitel 10) Fuumlr die Kern-Absicherung bedeutet dies dass natuumlrlich regelmaumlszligig uumlberpruumlft werden muss ob die getroffenen Sicherheitsvorkehrungen noch der aktuellen Gefaumlhrdungslage entsprechen Des Weiteren sollte uumlberlegt werden ob nach der erfolgreichen Absicherung der Kronjuwelen nicht auch noch weitere Bereiche der Institution angemessen geschuumltzt werden sollten Hierfuumlr kann beishyspielsweise auf weitere Bereiche die Basis- oder die Standard-Absicherung angewendet werden oder auch der Informationsverbund der Kern-Absicherung erweitert werden

Wenn die Kern-Absicherung in einem abgegrenzten Informationsverbund erfolgreich umgesetzt wurshyde kann dies auch uumlber eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz nach innen und auszligen hin demonstriert werden Welche Schritte hierfuumlr notwendig sind und welche Bedingunshygen fuumlr eine erfolgreiche Zertifizierung erfuumlllt werden muumlssen wird in Kapitel 11 Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz naumlher ausgefuumlhrt

8 Erstellung einer Sicherheitskonzeption nach Standard-Absicherung

Erstellung einer Sicherheitskonzeption nach der Vorgehensshyweise der Standard-Absicherung

Eines der Ziele der Standard-Absicherung des IT-Grundschutzes ist es eine pragmatische und effektive Vorgehensweise zur Erzielung eines normalen Sicherheitsniveaus anzubieten das auch als Basis fuumlr ein houmlheres Sicherheitsniveau dienen kann

Nachdem ein Informationssicherheitsprozess initiiert die Sicherheitsleitlinie und Informationssichershyheitsorganisation definiert wurden wird die Sicherheitskonzeption fuumlr die Institution erstellt Als Grundlage hierfuumlr finden sich in den Bausteinen des IT-Grundschutz-Kompendiums Sicherheitsanforshyderungen nach dem jeweiligen Stand der Technik fuumlr typische Komponenten von Geschaumlftsprozesshysen Anwendungen IT-Systemen usw Diese sind in Bausteinen strukturiert sodass sie modular aufshyeinander aufsetzen

Abbildung 11 Erstellung der Sicherheitskonzeption bei der Standard-Absicherung

Die Durchfuumlhrung einer Standard-Absicherung nach IT-Grundschutz gliedert sich in die nachfolgenshyden Aktionsfelder

Festlegung des Geltungsbereichs

Bei der Entscheidung fuumlr die weitere Vorgehensweise (siehe Kapitel 33) wurde auch der Geltungsbeshyreich festgelegt fuumlr den die Sicherheitskonzeption erstellt und umgesetzt werden soll Dies koumlnnen beispielsweise bestimmte Organisationseinheiten einer Institution sein Es koumlnnten aber auch Bereishyche sein die definierte Geschaumlftsprozesse oder Fachaufgaben bearbeiten inklusive der dafuumlr notwenshydigen Infrastruktur Im IT-Grundschutz wird der Geltungsbereich fuumlr die Sicherheitskonzeption auch als bdquoInformationsverbundldquo bezeichnet Die Bestandteile des betrachteten Informationsverbunds sind

die mit den passenden Bausteinen des IT-Grundschutz-Kompendiums abzusichernden Komponenshyten

Strukturanalyse

Fuumlr die Erstellung eines Sicherheitskonzepts nach der Vorgehensweise Standard-Absicherung und insbesondere fuumlr die Anwendung des IT-Grundschutz-Kompendiums ist es erforderlich das Zusamshymenspiel der Geschaumlftsprozesse der Anwendungen und der vorliegenden Informationstechnik zu analysieren und zu dokumentieren Aufgrund der heute uumlblichen starken Vernetzung von IT-Systeshymen die sich auch auf die Bereiche ICS und IoT erstreckt bietet sich ein Netztopologieplan als Ausshygangsbasis fuumlr die weitere technische Analyse an Die folgenden Aspekte muumlssen beruumlcksichtigt wershyden

bull im Informationsverbund betriebene Anwendungen und die dadurch gestuumltzten Geschaumlftsprozesshyse

bull die organisatorischen und personellen Rahmenbedingungen fuumlr den Informationsverbund

bull im Informationsverbund eingesetzte vernetzte und nicht vernetzte IT-Systeme ICS- und IoT-Komshyponenten

bull die Kommunikationsverbindungen dazwischen und nach auszligen

Schutzbedarfsfeststellung

Zweck der Schutzbedarfsfeststellung ist es zu ermitteln welcher Schutz fuumlr die Geschaumlftsprozesse die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und anshygemessen ist Hierzu werden fuumlr jede Anwendung und die verarbeiteten Informationen die zu erwarshytenden Schaumlden betrachtet die bei einer Beeintraumlchtigung von Vertraulichkeit Integritaumlt oder Vershyfuumlgbarkeit entstehen koumlnnen Wichtig ist es dabei auch die moumlglichen Folgeschaumlden realistisch einshyzuschaumltzen Hierfuumlr hat sich eine Einteilung in die drei Schutzbedarfskategorien bdquonormalldquo bdquohochldquo und bdquosehr hochldquo bewaumlhrt

Die einzelnen Schritte der Schutzbedarfsfeststellung werden in Kapitel 82 ausfuumlhrlicher verhandelt

Auswahl von Anforderungen und Anpassung von Maszlignahmen (Modellierung)

Die Voraussetzung fuumlr die Anwendung des IT-Grundschutz-Kompendiums auf einen Informationsvershybund sind detaillierte Unterlagen uumlber seine Struktur und den Schutzbedarf der darin enthaltenen Zielobjekte Diese Informationen sollten uumlber die zuvor beschriebenen Arbeitsschritte ermittelt wershyden Um geeignete Sicherheitsanforderungen und daruumlber umzusetzende Maszlignahmen fuumlr den vorshyliegenden Informationsverbund identifizieren zu koumlnnen muumlssen anschlieszligend die Bausteine des IT-Grundschutz-Kompendiums auf die Zielobjekte und Teilbereiche abgebildet werden

Dieser Vorgang der Modellierung wird in Kapitel 83 detailliert besprochen

IT-Grundschutz-Check

Der IT-Grundschutz-Check ist ein Organisationsinstrument das einen schnellen Uumlberblick uumlber das vorhandene Sicherheitsniveau bietet Mithilfe von Interviews wird der Status quo eines bestehenden (nach IT-Grundschutz modellierten) Informationsverbunds in Bezug auf den Umsetzungsgrad der Sishycherheitsanforderungen des IT-Grundschutz-Kompendiums ermittelt Als Ergebnis liegt ein Katalog

81 Strukturanalyse

vor in dem fuumlr jede relevante Anforderung der Umsetzungsstatus bdquoentbehrlichldquo bdquojaldquo bdquoteilweiseldquo oder bdquoneinldquo erfasst ist Durch die Identifizierung von noch nicht oder nur teilweise erfuumlllten Anfordeshyrungen werden Verbesserungsmoumlglichkeiten fuumlr die Sicherheit der betrachteten Geschaumlftsprozesse und der Informationstechnik aufgezeigt

Risikoanalyse

Durch die Umsetzung der Sicherheitsanforderungen der Standard-Absicherung wird im Normalfall fuumlr einen Informationsverbund ein angemessener und ausreichender Schutz erzielt Bei einem hohen oder sehr hohen Schutzbedarf kann es jedoch sinnvoll sein zu pruumlfen ob zusaumltzlich oder ersatzweise houmlherwertige Sicherheitsmaszlignahmen erforderlich sind Dies gilt auch wenn besondere Einsatzbedinshygungen vorliegen oder wenn Komponenten verwendet werden die nicht mit den existierenden Baushysteinen des IT-Grundschutz-Kompendiums abgebildet werden koumlnnen In diesen Faumlllen ist eine Risishykoanalyse durchzufuumlhren Sie sollte in regelmaumlszligigen Abstaumlnden aktualisiert werden damit auch geshyaumlnderte Gefaumlhrdungslagen schnell erkannt werden koumlnnen

Reihenfolge der Bearbeitung

Die verschiedenen Aktivitaumlten die zur Erstellung einer Sicherheitskonzeption erforderlich sind also Strukturanalyse Schutzbedarfsfeststellung Modellierung eines Informationsverbunds IT-Grundshyschutz-Check Risikoanalyse muumlssen nicht zwingend nacheinander abgearbeitet werden Diese Akshytionsfelder koumlnnen soweit dies je nach vorhandenen Rahmenbedingungen und Groumlszlige des Sichershyheitsteams moumlglich ist auch unabhaumlngig und zeitgleich durchgefuumlhrt werden

81 Strukturanalyse

Die Strukturanalyse dient der Vorerhebung von Informationen die fuumlr die weitere Vorgehensweise in der Erstellung eines Sicherheitskonzepts nach IT-Grundschutz benoumltigt werden Dabei geht es um die Erfassung der Bestandteile (Geschaumlftsprozesse Informationen Anwendungen IT- und ICS-Systeme Raumlume Kommunikationsnetze) die zur Betrachtung des Geltungsbereichs benoumltigt werden

Hinweis

Haumlufig sind die Geschaumlftsprozesse noch nicht nicht durchgaumlngig oder nicht aktuell erfasst Dann mfssen zuerst die relevanten Geschaumlftsprozesse identifiziert werden z B durch eine Auswershytung von Geschaumlftsverteilungsplaumlnen Aufgabenbeschreibungen oder anderen organisationsbeshyschreibenden Papieren

Dazu muumlssen die fuumlr die Institution wesentlichen Geschaumlftsprozesse sowie die geschaumlftskritischen Inforshymationen und Anwendungen ermittelt und die betroffenen IT- ICS- oder IoT-Systeme Raumlume und Netze erfasst werden Die klassische Vorgehensweise ist zuerst die Anwendungen und ausgehend davon die weiteren betroffenen Objekte zu ermitteln Dieser Ansatz hat den Nachteil dass es haumlufig schwierig ist

abstrakte Anwendungen losgeloumlst von konkreten technischen Komponenten zu erfassen Daher kann es in einigen Faumlllen zweckmaumlszligig sein abweichend von der hier dargestellten Reihenfolge zunaumlchst die IT- und ICS-Systeme zu erheben da sich die Anwendungen haumlufig anhand der betrachteten Systeme leichter ermitteln lassen

Zu beachten ist dass die Objekte und Daten die im Rahmen einer Strukturanalyse erfasst werden meist nicht nur fuumlr den Sicherheitsprozess sondern auch fuumlr betriebliche Aspekte und die Verwaltung erforderlich sind Es sollte daher gepruumlft werden ob bereits Datenbanken oder Uumlbersichten gepflegt werden die im Rahmen der Strukturanalyse als Datenquellen genutzt werden koumlnnten In vielen Inshystitutionen werden beispielsweise Datenbanken fuumlr die Inventarisierung das Konfigurationsmanageshyment oder die Gestaltung von Geschaumlftsprozessen betrieben Dadurch koumlnnen sich Synergien ergeshyben

Die Strukturanalyse gliedert sich in folgende Teilaufgaben

bull Erfassung der zum Geltungsbereich zugehoumlrigen Geschaumlftsprozesse Anwendungen und Informashytionen

bull Netzplanerhebung

bull Erhebung von IT- ICS- und IoT-Systemen und aumlhnlichen Objekten

bull Erfassung der Raumlume und Gebaumlude (fuumlr den ICS-Bereich sind auch die produzierenden Raumlumlichshykeiten zu beruumlcksichtigen)

Bei allen Teilaufgaben ist zu beachten dass es haumlufig nicht zweckmaumlszligig ist jedes Objekt einzeln zu erfassen Stattdessen sollten aumlhnliche Objekte zu Gruppen zusammengefasst werden

811 Komplexitaumltsreduktion durch Gruppenbildung

Die Strukturanalyse liefert wichtige Grunddaten fuumlr den gesamten Sicherheitsprozess Der Informatishyonsverbund setzt sich meist aus vielen Einzelobjekten zusammen die bei der Konzeption beruumlcksichshytigt werden muumlssen Wenn alle logischen und technischen Objekte einzeln erfasst werden besteht jedoch die Gefahr dass die Ergebnisse der Strukturanalyse aufgrund der Datenmenge und der Komshyplexitaumlt nicht handhabbar sind Aumlhnliche Objekte sollten deshalb sinnvoll zu Gruppen zusammengeshyfasst werden

Bei technischen Komponenten hat eine konsequente Gruppenbildung zudem den Vorteil dass die Administration wesentlich vereinfacht wird wenn es nur wenige Grundkonfigurationen gibt Durch eine moumlglichst hohe Standardisierung innerhalb eines Informationsverbunds wird auszligerdem die Zahl potenzieller Sicherheitsluumlcken reduziert und die Sicherheitsmaszlignahmen fuumlr diesen Bereich koumlnnen ohne Unterscheidung verschiedenster Schwachstellen umgesetzt werden Dies kommt nicht nur der Informationssicherheit zugute sondern spart auch Kosten

Objekte koumlnnen dann ein und derselben Gruppe zugeordnet werden wenn die Objekte alle

bull vom gleichen Typ sind

bull aumlhnliche Aufgaben haben

bull aumlhnlichen Rahmenbedingungen unterliegen und

bull den gleichen Schutzbedarf aufweisen

Bei technischen Objekten bietet sich eine Gruppenbildung auszligerdem immer dann an wenn sie

bull aumlhnlich konfiguriert sind

81 Strukturanalyse

bull aumlhnlich in das Netz eingebunden sind (z B im gleichen Netzsegment) und

bull aumlhnlichen administrativen und infrastrukturellen Rahmenbedingungen unterliegen

bull aumlhnliche Anwendungen bedienen und

Aufgrund der genannten Voraussetzungen fuumlr die Gruppenbildung kann bezuumlglich der Informationsshysicherheit davon ausgegangen werden dass eine Stichprobe aus einer Gruppe in der Regel den Sishycherheitszustand der Gruppe repraumlsentiert

Wichtigstes Beispiel fuumlr die Gruppierung von Objekten ist sicherlich die Zusammenfassung von Clients In der Regel gibt es in einer Institution eine groszlige Anzahl von Clients die sich jedoch gemaumlszlig obigem Schema in eine uumlberschaubare Anzahl von Gruppen aufteilen lassen Auch in produzierenden und geshywerblichen Bereichen ist es empfehlenswert Objekte zu gruppieren wenn diese vergleichbar konfigushyriert und eingesetzt werden (z B Handscanner Arbeitsplatz-PCs) Dies gilt analog auch fuumlr Raumlume und andere Objekte In groszligen Informationsverbuumlnden wo aus Gruumlnden der Redundanz oder des Durchshysatzes viele Server die gleiche Aufgabe wahrnehmen koumlnnen durchaus auch Server zu Gruppen zusamshymengefasst werden

Zunehmend werden IT-Systeme virtualisiert Da hierbei typischerweise viele virtuelle Maschinen (VMs) auf einem Virtualisierungsserver betrieben werden ist eine sinnvolle Strukturanalyse bei virtualisierten Infrastrukturen oder Cloud Computing nur durch geeignete Gruppenbildung moumlglich Fuumlr die Grupshypenbildung gelten bei Virtualisierung dieselben Regeln wie fuumlr physische Zielobjekte Prinzipiell koumlnshynen auch solche VMs zu einer Gruppe zusammengefasst werden die auf verschiedenen physischen IT-Systemen laufen wenn sie aumlhnliche Aufgaben erfuumlllen gleichartig konfiguriert sind und denselben Schutzbedarf aufweisen

In der Regel bestehen Cloud Computing-Plattformen aus homogenen Hard- und Software-Komposhynenten Aufgrund der Homogenitaumlt kann eine Vielzahl von Aufgaben automatisiert und zentral durchgefuumlhrt werden Eine Gruppenbildung beispielsweise anhand des Schutzbedarfs ist beim Cloud Computing zwingend erforderlich

Die Teilaufgaben der Strukturanalyse werden nachfolgend beschrieben und durch ein begleitendes Beispiel erlaumlutert Eine ausfuumlhrliche Version des Beispiels findet sich in den Hilfsmitteln zum IT-Grundshyschutz auf den einzelnen Webseiten bzw auf der BSI-Website Bei allen Teilaufgaben sollten jeweils Objekte zu Gruppen zusammengefasst werden wenn dies sinnvoll und zulaumlssig ist

Aktionspunkte zu 811 Komplexitaumltsreduktion durch Gruppenbildung

bull Bei allen Teilaufgaben der Strukturanalyse gleichartige Objekte zu Gruppen zusammenfassen

bull Typ und Anzahl der jeweils zusammengefassten Objekte vermerken

812 Erfassung der Geschaumlftsprozesse und der zugehoumlrigen Informationen

Eine der Hauptaufgaben des Sicherheitsmanagements ist es der Leitungsebene die Informationssichershyheitsrisiken aufzuzeigen und damit Transparenz zu schaffen wo Entscheidungs- oder Handlungsbedarf erforderlich ist Hierzu muss sich der ISB einen Uumlberblick uumlber die fuumlr die Institution wesentlichen Geshyschaumlftsprozesse bzw Fachaufgaben verschaffen und darstellen was Informationssicherheitsrisiken bzw IT-Risiken fuumlr diese Geschaumlftsprozesse bedeuten

Somit erscheint es sinnvoll einen Bezug zwischen den Geschaumlftsprozessen und der Wertschoumlpfung einer Institution und den zu schuumltzenden Informationen sowie der verwendeten IT bzw den verwenshydeten Anwendungen herzustellen Hierfuumlr muumlssen die Geschaumlftsprozesse und deren Abhaumlngigkeit von den wichtigsten Anwendungen dokumentiert werden

Auf Basis des definierten Informationsverbunds sind in einem ersten Schritt die dort enthaltenen zenshytralen Geschaumlftsprozesse oder Fachaufgaben zu erfassen und zu dokumentieren Hierbei ist darauf zu achten dass eine sinnvolle Granularitaumlt gewaumlhlt wird Dies bedeutet dass nicht nur ein einzelner Hauptprozess wie z B das Personalmanagement sondern auch die zugehoumlrigen wichtigsten Subshyprozesse wie z B Personalgewinnung Mitarbeiterverwaltung Personalentwicklung usw erfasst werden sofern diese Bestandteil des Informationsverbunds sind Eine zu detaillierte Dokumentation z B durch eine Auflistung von nachgelagerten Prozessen sollte jedoch vermieden werden Auch im ICS-Bereich muumlssen fuumlr die Strukturanalyse die Geschaumlftsprozesse mit den zugehoumlrigen Informatioshynen erfasst werden Hier ist insbesondere darauf zu achten dass neben dem Kernprozess der Produkshytion auch weitere Nebenprozesse wie z B die logistischen Prozesse fuumlr den Warenfluss und die Inshystandhaltung beruumlcksichtigt werden

Die einzelnen Prozesse sind wie folgt zu erfassen

bull eindeutiger Bezeichner

bull Name

bull ProzessverantwortlicherFachabteilung

bull kurze Beschreibungen des Prozesses oder der Fachaufgabe und der dort verarbeiteten Informatioshynen

bull wichtige fuumlr den Prozess benoumltigte Anwendung(en)

Um die wesentlichen Geschaumlftsprozesse zu identifizieren kann in vielen Institutionen auf bestehende Prozesslandkarten zuruumlckgegriffen werden Wenn die Geschaumlftsprozesse noch nicht nicht durchgaumlnshygig oder nicht aktuell erfasst wurden sollten zunaumlchst Geschaumlftsverteilungsplaumlne Aufgabenbeschreishybungen oder andere organisationsbeschreibende Papiere ausgewertet werden um die relevanten Geschaumlftsprozesse zu identifizieren Daneben kann das Verfahrensverzeichnis des Datenschutzbeaufshytragten ein weiterer Startpunkt fuumlr die Erfassung der Prozesse Fachaufgaben und nachfolgenden Anwendungen sein auch wenn dies lediglich die Verfahren und Anwendungen abbildet die persoshynenbezogene Daten verarbeiten Sollten noch keine Prozessbeschreibungen vorliegen sind kurze Workshops oder Interviews mit den Fachverantwortlichen zu empfehlen

Es kann durchaus sinnvoll sein die Erhebung der Prozesse und Fachaufgaben mit der Erhebung der Anwendungen zu koppeln um damit redundante Fragen insbesondere in den Fachabteilungen zu vershymeiden

Aktionspunkte zu 812 Erfassung der Geschaumlftsprozesse und der zugehoumlrigen Informatioshynen

bull Uumlberblick uumlber die Geschaumlftsprozesse erstellen

bull Geschaumlftsprozesse mit eindeutigen Nummern oder Kuumlrzeln kennzeichnen

bull Zusammenhang zwischen Geschaumlftsprozessen und Anwendungen darstellen

81 Strukturanalyse

813 Erfassung der Anwendungen und der zugehoumlrigen Informationen

Ausgehend von jedem Geschaumlftsprozess bzw jeder Fachaufgabe die im Informationsverbund entshyhalten ist muumlssen in dieser Phase die damit zusammenhaumlngenden Anwendungen und die damit verarbeiteten Informationen identifiziert werden Anwendungen dienen der IT-technischen Untershystuumltzung von Geschaumlftsprozessen und Fachaufgaben in Behoumlrden und Unternehmen

Die geeignete Granularitaumlt fuumlr die betrachteten Anwendungen muss in jeder Institution individuell gewaumlhlt werden Ziel sollte dabei sein eine optimale Transparenz und Effizienz bei der Strukturanalyse und der Schutzbedarfsfeststellung zu erreichen Auch die im IT-Grundschutz-Kompendium betrachshyteten Bausteine aus der Schicht der Anwendungen koumlnnen fuumlr diesen Schritt Aufschluss geben

Zur weiteren Reduzierung des Aufwands kann die Strukturanalyse des Informationsverbunds auf die Anwendungen und Informationen beschraumlnkt werden die fuumlr die betrachteten Geschaumlftsprozesse oder Fachaufgaben erforderlich sind Dabei sollte darauf geachtet werden dass zumindest diejenigen Anwendungen und Informationen beruumlcksichtigt werden die aufgrund der Anforderungen der beshytrachteten Geschaumlftsprozesse oder Fachaufgaben ein Mindestniveau an

bull Geheimhaltung (Vertraulichkeit) oder

bull Korrektheit und Unverfaumllschtheit (Integritaumlt) oder

bull Verfuumlgbarkeit

erfordern

Bei der Erfassung der Anwendungen sollten auch die Benutzer bzw die fuumlr die Anwendung Verantshywortlichen sowie die fuumlr den Geschaumlftsprozess Verantwortlichen befragt werden wie sie das erforshyderliche Sicherheitsniveau einschaumltzen

Aufgrund der steigenden Komplexitaumlt von Anwendungen ist es jedoch oft fuumlr die Fachverantwortlishychen nicht klar welche Abhaumlngigkeiten zwischen einem Geschaumlftsprozess oder einer Fachaufgabe zu einer konkreten Anwendung bestehen Es sollte also fuumlr jede einzelne Fachaufgabe festgestellt wershyden welche Anwendungen fuumlr ihre Abwicklung notwendig sind und auf welche Daten dabei zugeshygriffen wird In einer gemeinsamen Sitzung der Fachabteilung der Verantwortlichen der einzelnen Anwendungen und der unterstuumltzenden IT-Abteilung koumlnnen diese Abhaumlngigkeiten erfasst werden Beispielsweise koumlnnen Bestellungen nicht abschlieszligend bearbeitet werden wenn keine Informatioshynen uumlber den Lagerbestand zur Verfuumlgung stehen

Falls abweichend von der hier vorgeschlagenen Reihenfolge zuerst die IT-Systeme erfasst wurden ist es haumlufig hilfreich die Anwendungen an erster Stelle orientiert an den IT-Systemen zusammenzutrashygen Aufgrund ihrer Breitenwirkung sollte dabei mit den Servern begonnen werden Um ein moumlglichst ausgewogenes Bild zu bekommen kann anschlieszligend diese Erhebung aufseiten der Clients und Einshyzelplatz-Systeme vervollstaumlndigt werden Abschlieszligend sollte noch festgestellt werden welche Netzshykoppelelemente welche Anwendungen unterstuumltzen Fuumlr die Erfassung der Anwendungen auf einem Standard-Client hat sich in der Praxis bewaumlhrt seitens der unterstuumltzenden IT-Abteilung die Stanshydard-Software der Clients als Paket zu betrachten So wird die Standard-Software nicht vergessen Oftmals wird diese als selbstverstaumlndlich angesehen und deren Anwendung wird in Interviews nicht mehr explizit genannt (z B die E-Mail-Anwendung oder Buumlrokommunikation)

Ausgehend von den Anwendungen koumlnnen die zugehoumlrigen Geschaumlftsprozesse auch im Nachgang erfasst werden (siehe Kapitel 812) Der Verantwortliche und die Benutzer der Anwendung sollten ebenfalls erfasst werden um Ansprechpartner fuumlr Sicherheitsfragen leichter identifizieren bzw beshytroffene Benutzergruppen schnell erreichen zu koumlnnen

Bei der Erfassung der Anwendungen ist es empfehlenswert auch Datentraumlger und Dokumente zu betrachten und diese aumlhnlich wie Anwendungen zu behandeln Sofern sie nicht fest mit einer Anshywendung oder einem IT-System verknuumlpft sind muumlssen Datentraumlger und Dokumente gesondert in die Strukturanalyse integriert werden Natuumlrlich ist es dabei nicht zweckmaumlszligig alle Datentraumlger einzeln zu erfassen Zum einen sollten nur Datentraumlger und Dokumente mit einem Mindestschutzbedarf beshytrachtet und zum anderen sollten moumlglichst Gruppen gebildet werden Beispiele fuumlr Datentraumlger und Dokumente die im Rahmen der Strukturanalyse gesondert erfasst werden sollten sind

bull Archiv- und Back-up-Datentraumlger

bull Datentraumlger fuumlr den Austausch mit externen Kommunikationspartnern

bull Massenspeicher fuumlr den mobilen Einsatz (z B USB-Sticks oder externe Festplatten)

bull Notfallhandbuumlcher die in ausgedruckter Form vorgehalten werden

bull Mikrofilme

bull wichtige Vertraumlge mit Partnern und Kunden

Es darf nicht vergessen werden virtualisierte Anwendungen im Rahmen der Strukturanalyse mit zu erfassen

Zur Dokumentation der Ergebnisse bietet sich die Darstellung in tabellarischer Form oder die Nutzung entsprechender Software-Produkte an

Beispiel RECPLAST GmbH

Im Folgenden wird anhand einer fiktiven Institution der RECPLAST GmbH beispielhaft dargestellt wie die erfassten Anwendungen dokumentiert werden koumlnnen Zu beachten ist dass die Struktur der RECPLAST GmbH im Hinblick auf die Informationssicherheit keineswegs optimal ist Sie dient lediglich dazu die Vorgehensweise bei der Anwendung des IT-Grundschutzes zu illustrieren In diesem Dokushyment werden anhand der RECPLAST GmbH die einzelnen Aktivitaumlten zur Erstellung einer Sicherheitsshykonzeption erlaumlutert Das komplette Beispiel findet sich unter den Hilfsmitteln zum IT-Grundschutz

Die RECPLAST GmbH ist eine fiktive Institution mit ca 500 Mitarbeitern von denen 130 an Bildschirmshyarbeitsplaumltzen arbeiten Raumlumlich ist die RECPLAST GmbH aufgeteilt in zwei Standorte innerhalb Bonns wo unter anderem die administrativen und produzierenden Aufgaben wahrgenommen wershyden und drei Vertriebsstandorte in Deutschland

Um die Geschaumlftsprozesse zu optimieren sind alle Arbeitsplaumltze vernetzt worden Die Auszligenstelle in Bonn ist uumlber eine angemietete Standleitung an die Zentrale angebunden Die Vertriebsstandorte sind mit abgesicherten Verbindungen uumlber das Internet an die Zentrale angebunden Alle fuumlr die Aufgashybenerfuumlllung und die Informationssicherheit wesentlichen Richtlinien und Vorschriften sowie Formushylare und Textbausteine sind staumlndig fuumlr jeden Mitarbeiter uumlber das Intranet abrufbar Alle relevanten Arbeitsergebnisse werden in eine zentrale Datenbank eingestellt Entwuumlrfe werden ausschlieszliglich elektronisch erstellt weitergeleitet und unterschrieben Die Realisierung und Betreuung aller benoumlshytigten Funktionalitaumlten uumlbernimmt eine IT-Abteilung in Bonn

Die Geschaumlftsprozesse der RECPLAST werden elektronisch gepflegt und sind nach einem zweistufigen Schema benannt Hinter dem Kuumlrzel GP wird die Nummer des Hauptprozesses angegeben zum Beishyspiel GP002 Ein Geschaumlftsprozess sollte immer beschrieben werden damit ein einheitliches Verstaumlndshynis fuumlr die Abgrenzung eines Prozesses vorhanden ist Optional kann eine Prozessart erfasst werden Diese dient lediglich zur Uumlbersicht welche Prozesse fuumlr eine Institution hauptsaumlchlich zum Fortbeshystand beitragen Die Unterstuumltzungsprozesse sind jedoch ebenso wichtig diese sind jedoch eher fuumlr den allgemeinen Betrieb einer Institution erforderlich

81 Strukturanalyse

Nachfolgend ist ein Auszug aus der Erfassung der Geschaumlftsprozesse und der dazugehoumlrigen Inforshymationen fuumlr die RECPLAST GmbH abgebildet

A1 Geschaumlftsprozesse der RECPLAST GmbH

Bezeichnung Beschreibung des Prozesses Prozess-Art Prozessverantshy

wortlicher Mitarbeiter

Produktion Die Produktion der Kunststoffartikel umfasst alle Phashysen von der Materialbereitstellung bis hin zur Einlagerung des produshyzierten Materials Hierzu gehoumlren innerhalb der Produktion die intershynen Transportwege die Produktishyon und Fertigung der verschiedeshynen Komponenten und das Verpashycken der Teile Kerngeschaumlft Leiter Produktion Alle Mitarbeiter

Angebotswesen In der Angeshybotsabwicklung werden die Kunshydenanfragen fuumlr Produkte verarshybeitet Im Regelfall werden Kunshydenanfragen formlos per E-Mail oder Fax geschickt Die Angebote werden elektronisch erfasst und ein schriftliches Angebot per Post an den Kunden versendet

Unterstuumltzender Prozess Leiter Angebotswesen Vertrieb

Auftragsabwicklung Kunden schicken die Bestellungen im Reshygelfall per Fax oder E-Mail Alle Beshylege muumlssen ausgedruckt und elektronisch erfasst werden Eine Auftragsbestaumltigung erhaumllt der Kunde nur wenn er dies ausdruumlckshylich wuumlnscht oder der Produktionsshyprozess von der uumlblichen Produktishyonszeit abweicht Kerngeschaumlft

Leiter Auftragsshyabwicklung Vertrieb

Einkaufsabteilung In der Einshykaufsabteilung werden alle erforshyderlichen Artikel bestellt die nicht fuumlr den Produktionsprozess erforshyderlich sind Indieser Abteilung wershyden externe Projekte verhandelt IT-Vertraumlge gestaltet und Vershybrauchsmaterial im organisatorishyschen Umfeld (Papier Toner etc) beschafft

Unterstuumltzender Prozess

Leiter Einkaufsabteishylung Einkauf

Disposition In der Disposition werden alle fuumlr die Produktion beshynoumltigten Materialien (Kunststoffe Schrauben Tuumlten etc) beschafft Hierzu liegen normalerweise Rahshymenvertraumlge vor Geplant wird in diesem Umfeld anhand von Jahresshyplanmengen und verschiedenen Bestellwerten Kerngeschaumlft Leiter Disposition

Disposition Proshyduktion

Abbildung 12 Auszug aus den Geschaumlftsprozessen der RECPLAST GmbH

Strukturanalyse der Anwendungen

Der zustaumlndige Informationssicherheitsbeauftragte der RECPLAST GmbH erfasst in der Strukturanashylyse neben den Geschaumlftsprozessen auch alle weiteren Objekte die zur Institution selbst gehoumlren Dazu zaumlhlen auch die Anwendungen die zur Aufrechterhaltung der bereits erfassten Geschaumlftsproshyzesse benoumltigt werden

Nachfolgend wird ein Auszug aus der Erfassung der Anwendungen und der zugehoumlrigen Informatioshynen fuumlr das fiktive Beispiel RECPLAST dargestellt B

81 Strukturanalyse

aumlud

schauml

Prauml

aumlszligig

zieshy

oshyre

Der Zusammenhang zwischen den Geschaumlftsprozessen und den Anwendungen muss immer dargeshystellt werden Diese Zuordnung sollte idealerweise mit Tools durchgefuumlhrt werden um bei der uumlblishychen Vielzahl von Prozessen und Anwendungen die Uumlbersichtlichkeit und Aktualitaumlt zu gewaumlhrleisshyten

Am Beispiel der RECPLAST GmbH wird nachfolgend dargestellt dass fuumlr einen Prozess normalerweise mehrere Anwendungen eingesetzt werden

Abbildung 14 Zuordnung der Geschaumlftsprozesse zu den Anwendungen der RECPLAST GmbH

Aktionspunkte zu 813 Erfassung der Anwendungen und der zugehoumlrigen Informationen

bull Unter Einbeziehung der Verantwortlichen bzw der Nutzer der Anwendungen herausfinden welshyche Anwendungen fuumlr die betrachteten Geschaumlftsprozesse erforderlich sind

bull Uumlbersicht uumlber die Anwendungen erstellen und mit eindeutigen Nummern oder Kuumlrzeln kennshyzeichnen

814 Netzplanerhebung

Einen geeigneten Ausgangspunkt fuumlr die weitere technische Analyse stellt ein Netzplan (beispielsweishyse in Form eines Netztopologieplans) dar Ein Netzplan ist eine grafische Uumlbersicht uumlber die im beshytrachteten Bereich der Informations- und Kommunikationstechnik eingesetzten Komponenten und deren Vernetzung Netzplaumlne oder aumlhnliche grafische Uumlbersichten sind auch aus betrieblichen Gruumlnshyden in den meisten Institutionen vorhanden Im Einzelnen sollte der Plan in Bezug auf die Informatishyonssicherheit mindestens folgende Objekte darstellen

bull IT-Systeme dh Client- und Server-Computer aktive Netzkomponenten (wie Switches Router WLAN Access Points) Netzdrucker usw

bull ICS- und IoT-Komponenten mit Netzanschluss d h Clients Handscanner Industriedrucker Geraumlshyte mit speicherprogrammierbarer Steuerung (SPS) Schaltschraumlnke usw

bull Netzverbindungen zwischen diesen Systemen d h LAN-Verbindungen (wie Ethernet) WLAN Backbone-Techniken (wie ATM) usw

bull Verbindungen des betrachteten Bereichs nach auszligen d h Einwahlzugaumlnge uumlber ISDN oder Moshydem Internetanbindungen uumlber analoge Techniken oder Router Funkstrecken oder Mietleitungen zu entfernten Gebaumluden oder Liegenschaften usw

81 Strukturanalyse

Zu jedem der dargestellten Objekte gehoumlrt weiterhin ein Minimalsatz von Informationen die einem zugeordneten Katalog zu entnehmen sind Fuumlr jedes IT-System und sonstige Geraumlte sollten zumindest

bull eine eindeutige Bezeichnung (beispielsweise der vollstaumlndige Hostname oder eine Identifikationsshynummer)

bull Typ und Funktion (beispielsweise Datenbank-Server fuumlr Anwendung X)

bull die zugrunde liegende Plattform (d h Hardware-Plattform und Betriebssystem)

bull der Standort (beispielsweise Gebaumlude- und Raumnummer)

bull der zustaumlndige Administrator

bull die vorhandenen Kommunikationsschnittstellen (z B Internetanschluss Bluetooth WLAN Adapshyter) sowie

bull die Art der Netzanbindung und die Netzadresse

vermerkt sein Bei Auszligenanbindungen oder drahtlosen Kommunikationsverbindungen (WLAN UMTS LTE) sollten zusaumltzlich Details zum externen Netz (z B Internet Geschaumlftspartner Name des Providers fuumlr die Datenuumlbertragung sowie die Art der Leitung z B MPLS Leased Line VPN) aufshygenommen werden

Virtuelle IT-Systeme (virtuelle Switches virtuelle Server usw) und virtuelle Netzverbindungen beishyspielsweise virtuelle LANs (VLANs) oder virtuelle private Netze (VPNs) sollten ebenfalls in einem Netzshyplan dargestellt werden Hierbei sind virtuelle IT-Systeme gemaumlszlig ihrem Typ und Einsatzzweck genauso wie physische IT-Systeme zu behandeln Daruumlber hinaus muss die Zuordnung von virtuellen IT-Systeshymen zu physischen Host-Systemen nachvollziehbar sein Um die Uumlbersichtlichkeit zu verbessern ist es bei zunehmender Groumlszlige eines Netzes sinnvoll den Netzplan in mehrere Teilnetzplaumlne aufzuteilen

Eine Cloud-Infrastruktur setzt sich aus einer Vielzahl von Elementen zusammen Neben den physishyschen (mit CPU Arbeitsspeicher und anderer Hardware) und gegebenenfalls virtuellen Servern zaumlhlen noch Netze und Speicherloumlsungen dazu Die aufgezaumlhlten Bereiche verfuumlgen in der Regel uumlber eine Verwaltungssoftware

Fuumlr den Bereich bdquoNetzeldquo sollten die eingesetzten Netzmanagement-Tools eine automatische Erzeushygung von Netzplaumlnen unterstuumltzen Neben physischen sollten auch virtuelle IT-Systeme (z B virtuelle Switches virtuelle Router virtuelle Sicherheitsgateways) automatisch abgebildet werden koumlnnen

Der ICS-Bereich kann als eigenstaumlndiges Netz betrieben werden Bei der Erfassung der Netzverbinshydungen sollten dabei auch die Schnittstellen erfasst werden (Auflistung der erlaubten und gesperrten Schnittstellen) Auch die Internetanbindung aus dem ICS-Bereich heraus sollte erfasst werden Die Trennung der Netze zwischen dem Office-Bereich und dem ICS-Bereich sollte im Netzplan dargestellt werden

Es empfiehlt sich Bereiche mit unterschiedlichem Schutzbedarf zu kennzeichnen Der Netzplan sollte moumlglichst in elektronischer Form erstellt und gepflegt werden Hat die Informationstechnik in der Institution einen gewissen Umfang uumlberschritten bietet es sich an bei der Erfassung und Pflege des Netzplans auf geeignete Hilfsprogramme zuruumlckzugreifen da die Unterlagen eine erhebliche Komshyplexitaumlt aufweisen koumlnnen und einem staumlndigen Wandel unterzogen sind

Aktualisierung des Netzplans

Da die IT-Struktur in der Regel staumlndig an die Anforderungen der Institution angepasst wird und die Pflege des Netzplans entsprechende Ressourcen bindet ist der Netzplan der Institution nicht immer

auf dem aktuellen Stand Vielmehr werden in der Praxis oftmals nur groumlszligere Aumlnderungen an der IT-Struktur einzelner Bereiche zum Anlass genommen den Plan zu aktualisieren

Im Hinblick auf die Verwendung des Netzplans fuumlr die Strukturanalyse besteht demnach der naumlchste Schritt darin den vorliegenden Netzplan (bzw die Teilplaumlne wenn der Gesamtplan aus Gruumlnden der Uumlbersichtlichkeit aufgeteilt wurde) mit der tatsaumlchlich vorhandenen IT-Struktur abzugleichen und geshygebenenfalls auf den neuesten Stand zu bringen Hierzu sind die IT-Verantwortlichen und Adminisshytratoren der einzelnen Anwendungen und Netze zu konsultieren Falls Programme fuumlr ein zentralisiershytes Netz- und Systemmanagement eingesetzt werden sollte auf jeden Fall gepruumlft werden ob diese Programme bei der Erstellung eines Netzplans Unterstuumltzung anbieten Zu beachten ist jedoch dass Funktionen zur automatischen oder halbautomatischen Erkennung von Komponenten temporaumlr zushysaumltzlichen Netzverkehr erzeugen Es muss sichergestellt sein dass dieser Netzverkehr nicht zu Beeinshytraumlchtigungen des IT-Betriebs fuumlhrt Ebenso sollte das Ergebnis von automatischen bzw halbautomashytischen Erkennungen stets dahingehend gepruumlft werden ob wirklich alle relevanten Komponenten ermittelt wurden

Der Bereich der industriellen Steuerung sollte ebenfalls in den Netzplan integriert werden Ansprechshypartner sind neben den IT-Verantwortlichen und Administratoren auch die Mitarbeiter der Haustechshynik

Ein bereinigter Netzplan ist auch an anderen Stellen hilfreich So kann dieser genutzt werden um Dritten schnell die Geschaumlftsprozess- und IT-Strukturen innerhalb der Institution darzustellen da in einem bereinigten Netzplan der Detaillierungsgrad auf das notwendige Maszlig reduziert wird Auch fuumlr eine Zertifizierung ist ein bereinigter Netzplan eine sinnvolle Grundlage

Die Netzplaumlne in der RECPLAST GmbH werden in der IT-Abteilung mit einem Tool verwaltet Die Darshystellung aller Netzplaumlne ist sehr detailliert und oftmals fuumlr Dritte sehr unuumlbersichtlich Die RECPLAST GmbH nutzt deshalb fuumlr die Darstellung der erfassten Zielobjekte einen bereinigten Netzplan

81 Strukturanalyse

Aktionspunkte zu 814 Netzplanerhebung

bull Existierende grafische Darstellungen des Netzes beispielsweise Netztopologieplaumlne sichten

bull Netzplaumlne gegebenenfalls aktualisieren oder neu erstellen

bull Existierende Zusatzinformationen uumlber die enthaltenen IT- ICS- und IoT-Systeme sichten und geshygebenenfalls aktualisieren und vervollstaumlndigen

bull Existierende Zusatzinformationen uumlber die enthaltenen Kommunikationsverbindungen sichten und gegebenenfalls aktualisieren und vervollstaumlndigen

815 Erhebung der IT-Systeme

Im Hinblick auf die spaumlter durchzufuumlhrende Schutzbedarfsfeststellung und Modellierung des Informashytionsverbunds sollte eine Liste der vorhandenen und geplanten IT-Systeme in tabellarischer Form aufshygestellt werden Der Begriff IT-System umfasst dabei nicht nur Computer im engeren Sinn sondern auch die IoT- und ICS-Geraumlte aktive Netzkomponenten Netzdrucker TK-Anlagen Smartphones virshytuelle IT-Systeme usw Die technische Realisierung eines IT-Systems steht im Vordergrund beispielsshyweise Apple MacBook Client unter Windows Linux-Server TK-Anlage usw An dieser Stelle sollen nur die Systeme als solche erfasst werden (z B Linux-Server) nicht die einzelnen Bestandteile aus denen die IT-Systeme zusammengesetzt sind (also nicht Rechner Tastatur Bildschirm usw)

Hinweis

Ffr einen ordnungsmaumlszligigen IT-Betrieb ist eine vollstaumlndige und korrekte Erfassung der vorhanshydenen und geplanten IT-Systeme notwendig beispielsweise ffr die Uberprffung Wartung Fehshylersuche und Instandsetzung von IT-Systemen Ffr die Erstellung eines Sicherheitskonzepts reicht es sich einen Uberblick fber die gruppierten IT-Systeme zu verschaffen

Zu erfassen sind sowohl die vernetzten als auch die nicht vernetzten IT-Systeme insbesondere also auch solche die nicht im zuvor betrachteten Netzplan aufgefuumlhrt sind IT-Systeme die im Netzplan zu einer Gruppe zusammengefasst worden sind koumlnnen weiterhin als ein Objekt behandelt werden Auch bei den IT-Systemen die nicht im Netzplan aufgefuumlhrt sind ist zu pruumlfen ob sie sinnvoll zusamshymengefasst werden koumlnnen Moumlglich ist dies beispielsweise bei einer groumlszligeren Anzahl von nicht vershynetzten Einzelplatz-PCs die die im Kapitel 811 Komplexitaumltsreduktion durch Gruppenbildung geshynannten Bedingungen fuumlr eine Gruppierung erfuumlllen

Bei dieser Erfassung sollten folgende Informationen vermerkt werden die fuumlr die nachfolgende Arbeit nuumltzlich sind

bull eine eindeutige Bezeichnung der IT-Systeme bzw der jeweiligen Gruppe (bei Gruppen sollte auch die Anzahl der zusammengefassten IT-Systeme vermerkt sein)

bull Beschreibung (z B Funktion Typ)

bull Plattform (z B Hardware-ArchitekturBetriebssystem)

bull Aufstellungsort der IT-Systeme (z B Ort Gebaumlude Raum)

bull Status der IT-Systeme (in Betrieb im Test in Planung) und

bull Benutzer bzw Administratoren der IT-Systeme

81 Strukturanalyse

Anschlieszligend werden die Anwendungen jeweils denjenigen IT-Systemen zugeordnet die fuumlr deren Ausfuumlhrung benoumltigt werden Dies koumlnnen die IT-Systeme sein auf denen die Anwendungen verarshybeitet werden oder auch diejenigen die Daten dieser Anwendungen transferieren Das Ergebnis ist eine Uumlbersicht in der die Zusammenhaumlnge zwischen den wichtigen Anwendungen und den entspreshychenden IT-Systemen dargestellt werden

jekshy

ebaumlu

tershy

ch ndash

rshyne

uumlber

G ndash

elUuml

fuumlr

81 Strukturanalyse

jekshy

ebaumlu

koumln

nfishy

uumlr d

eshyse

uumlr d

Fuumlr die Zuordnung der Anwendungen zu den IT-Systemen setzt die RECPLAST GmbH ein Tool ein da die Pflege in Form einer Tabelle aufwendig ist Jede Aumlnderung sei es ein IT-System oder eine Anwenshydung muss immer dokumentiert werden Diese Zuordnung ist fuumlr die spaumlter folgende Schutzbedarfsshyfeststellung erforderlich

816 Erhebung der ICS-Systeme

In Institutionen mit Produktion und Fertigung muumlssen auch die industriellen Steuerungssysteme (ICS) die von der Institution eingesetzt werden erhoben werden

Oftmals werden in der Produktion und Fertigung neben IT-Systemen noch eine Reihe weiterer Geraumlte eingesetzt Alle ICS-Geraumlte sollten entsprechend erfasst werden

Im ICS-Bereich gibt es Arbeitsplatz-PCs die auch hier zu Gruppen zusammengefasst werden sollten Oftmals sind diese PCs mit den gleichen Anwendungen wie die der Buumlroumgebung ausgestattet

Daruumlber hinaus sind auf einigen PCs spezielle Anwendungen installiert Zu vielen PC-Arbeitsplaumltzen gehoumlrt ein Drucker und neben der Standardperipherie (Maus Tastatur) werden weitere periphere Endgeraumlte (z B Handscanner) eingesetzt die mit den Arbeitsplatz-PCs direkt verbunden sind Bei allen peripheren Endgeraumlten muumlssen die Kommunikationsverbindungen (z B Bluetooth) ebenfalls beruumlcksichtigt werden

Im Bereich der Produktion und Fertigung werden weitere Endgeraumlte eingesetzt Fuumlr die industrielle Steuerung gibt es spezielle Endgeraumlte z B Geraumlte mit speicherprogrammierbaren Steuerungen (SPSen) WLAN-Module fuumlr Industriemaschinen selbstfahrende Gabelstapler (Flurfahrzeuge)

Bei der Erfassung der ICS-Systeme sollten folgende Informationen vermerkt werden die fuumlr die nachshyfolgenden Schritte erforderlich sind

bull eine eindeutige Bezeichnung der ICS-Systeme bzw der jeweiligen Geraumltegruppe (die Anzahl der Geraumlte in den Gruppen sollte ebenfalls vermerkt sein)

bull Beschreibung (Typ und Funktion)

bull Plattform (z B Betriebssystem Art der (Netz-)Anbindung)

bull Aufstellungsort der Geraumlte (z B Gebaumlude Halle Raum)

bull Status der ICS-Systeme (in Betrieb im Test in Planung) und

bull Verantwortliche fuumlr den Betrieb der ICS-Systeme

81 Strukturanalyse

fuumlr

ebaumlu

fuumlr

Proshy

rmoumlg

Uumlbe

tishyon

fuumlr

noumltig

817 Erhebung sonstiger Geraumlte

In Institutionen werden je nach Branche unterschiedlichste Geraumlte eingesetzt um die Geschaumlftsproshyzesse zu unterstuumltzen Neben IT-Systemen die unmittelbar als solche zu identifizieren sind koumlnnen auch viele andere Arten von Geraumlten Einfluss auf die Informationssicherheit haben Zu solchen Geraumlshyten gehoumlren beispielsweise Geraumlte mit Funktionalitaumlten aus dem Bereich IoT

Auch Geraumlte wie beispielsweise Klimaanlagen Gefahrenmeldeanlagen oder Kaffeemaschinen die nicht der direkten Unterstuumltzung der Informationsverarbeitung oder anderer Geschaumlftsprozesse dieshynen koumlnnen die Informationssicherheit beeintraumlchtigen wenn z B ein Kabelbrand Folgeschaumlden nach sich zieht aber auch wenn Geraumlte dieser Art zur besseren Ressourcensteuerung ins IT-Netz integriert werden

Daher sollte die Institution einen Uumlberblick daruumlber haben welche Geraumlte wo eingesetzt werden und welche Anforderungen an die Informationssicherheit sich hieraus ergeben koumlnnten wie regelmaumlszligige Uumlberpruumlfung der Betriebssicherheit Wartung oder das Einspielen von Patches

Fuumlr die IT-Grundschutz-Modellierung sollten die Geraumlte mit IoT-Funktionalitaumlt erfasst werden die vershynetzt sind insbesondere auch solche die nicht im zuvor betrachteten Netzplan aufgefuumlhrt sind Solshyche Geraumlte sollten moumlglichst zu Gruppen zusammengefasst und als ein Objekt behandelt werden

bull eine eindeutige Bezeichnung der Geraumlte bzw der jeweiligen Gruppe (bei Gruppen sollte auch die Anzahl der zusammengefassten Geraumlte vermerkt sein)

bull Plattform (z B Betriebssystem Art der Netzanbindung)

bull Aufstellungsort der Geraumlte

bull Verantwortliche fuumlr den Betrieb der Geraumlte

Internet of Things (IoT)

IoT-Geraumlte sind haumlufig dadurch gekennzeichnet dass sie uumlberschaubare begrenzte Auszligenmaszlige hashyben oftmals preislich unterhalb von Grenzen liegen die einen aufwendigen Beschaffungsvorgang in Institutionen nach sich ziehen undoder bei denen die Internetfunktionalitaumlt nicht hervorsticht Daher ist es wahrscheinlich dass bei jeder Art von Uumlbersicht oder Bestandserhebung IoT-Geraumlte uumlbersehen werden Es ist wichtig sich daruumlber einen Uumlberblick zu verschaffen

bull welche IoT-Geraumlte in der Institution derzeit oder demnaumlchst eingesetzt werden und

bull wer die Akteure in der Institution sind die typischerweise IoT-Geraumlte nutzen und mit diesen ins Gespraumlch zu kommen

Dafuumlr kann es ein sinnvoller Ansatz fuumlr den ISB sein in verschiedene Raumlumlichkeiten der Institution zu gehen und zu uumlberlegen welche der dort vorhandenen Komponenten Strom benoumltigen und ob diese uumlber IT-Netze vernetzt sein koumlnnten Der ISB sollte insbesondere mit den Kollegen der Haustechnik aber auch mit den anderen Geraumlteverantwortlichen sprechen und sich die Funktionalitaumlten der vershyschiedenen Geraumlte erlaumlutern lassen Die Vernetzung koumlnnte beispielsweise uumlber IT-Verkabelung oder WLAN mit dem LAN erfolgen uumlber Mobilfunk mit dem Internet aber auch uumlber freie WLANs in der

81 Strukturanalyse

Umgebung oder andere Funkschnittstellen wie Bluetooth erfolgen Zusaumltzlich sollten regelmaumlszligig Netzscans durchgefuumlhrt werden und dabei nach nicht zuzuordnenden Geraumlten gesucht werden

Geraumlte mit IoT-Funktionalitaumlten koumlnnen in Institutionen beispielsweise folgende sein

bull Durch Mitarbeiter oder Externe mitgebrachte private Geraumlte z B Smartwatches digitale Bildershyrahmen Wetterstationen Fitnessarmbaumlnder und andere Gadgets

bull Durch die Institution beschaffte und betriebene Geraumlte wie Brand- Gas- und andere Warnmelder Kaffeemaschinen oder Elemente der Gebaumludesteuerung Die Uumlbergaumlnge zu ICS-Systemen sind hier flieszligend

Dabei sind IoT-Geraumlte nicht immer direkt auf den ersten Blick als solche zu erkennen beispielsweise wenn die IoT-Funktionalitaumlt kein kaufentscheidendes Merkmal ist aber fuumlr den Hersteller dadurch eine fuumlr ihn gewinnbringende Datensammlung moumlglich wird z B uumlber die Art und Menge der Vershybrauchsmaterialien

Ein Beispiel fuumlr Geraumlte in denen sich IoT-Funktionalitaumlten verstecken koumlnnten sind Komfortmoumlbel die sich automatisch an die jeweiligen Benutzer anpassen und nicht nur lokal die Einstellungen speichern sondern diese uumlber IT-Netze mit anderen Arbeitsplaumltzen austauschen sodass Mitarbeiter an beliebishygen Arbeitsplaumltzen arbeiten koumlnnen (bdquoSmart Workplacesldquo)

fuumlr

aumlte

efuumlh

ebaumlu

ustauml

fuumlr

Pfoumlr

erfuuml

bgeshy

eo-Uuml

elaumln

Tuumlre

asuumlb

sshyga

uumlhls

fuumlh

Kuumlh

uumlche

eraumlt

81 Strukturanalyse

Aktionspunkte zu 815 816 und 817 Erhebung der IT- ICS-Systeme und sonstiger Geraumlte

bull Pruumlfen ob existierende Datenbanken oder Uumlbersichten uumlber die vorhandenen oder geplanten IT- ICS-Systeme sowie die sonstigen Geraumlte als Ausgangsbasis fuumlr die weitere Vorgehensweise geshyeignet sind

bull Liste der vernetzten und nicht vernetzten IT-Systeme IoT- und ICS-Geraumlte erstellen beziehungsshyweise aktualisieren und vervollstaumlndigen

bull IT- ICS- IoT-Systeme beziehungsweise Systemgruppen mit eindeutigen Nummern oder Kuumlrzeln kennzeichnen

bull Die Anwendungen den IT- ICS- IoT-Systemen (Servern Clients Netzkoppelelementen usw) zushyordnen die fuumlr ihre Ausfuumlhrung benoumltigt werden

818 Erfassung der Raumlume

Die betrachteten Geschaumlftsprozesse und Fachaufgaben werden nicht nur auf definierten IT-Systemen betrieben sondern auch innerhalb der Grenzen der raumlumlichen Infrastruktur einer Institution Je nach Groumlszlige der Institution und abhaumlngig von vielen anderen Faktoren kann sich eine Institution in einem allein genutzten Gebaumlude oder auch nur auf einer Etage befinden Viele Institutionen nutzen Liegenshyschaften die weit verstreut sind oder mit anderen Nutzern geteilt werden muumlssen Haumlufig sind Geshyschaumlftsprozesse und Fachaufgaben auch in fremden Raumlumlichkeiten angesiedelt zum Beispiel im Rahmen von Dienstleistungsvertraumlgen

In ein Sicherheitskonzept muumlssen alle Liegenschaften innerhalb derer die betrachteten Geschaumlftsproshyzesse und Fachaufgaben betrieben werden einbezogen werden Dazu gehoumlren Betriebsgelaumlnde Geshybaumlude Etagen Raumlume sowie die Wegstrecke zwischen diesen Alle Kommunikationsverbindungen die uumlber fuumlr Dritte zugaumlngliche Gelaumlnde verlaufen muumlssen als Auszligenverbindungen behandelt wershyden Dies gilt auch fuumlr drahtlose Kommunikationsverbindungen wenn nicht ausgeschlossen werden kann dass Dritte darauf zugreifen koumlnnen Nicht vergessen werden sollten auch Raumlumlichkeiten die auszligerhalb der offiziellen Liegenschaften liegen die aber auch sporadisch oder regelmaumlszligig genutzt werden um dort Geschaumlftsprozesse und Fachaufgaben zu bearbeiten Dazu gehoumlren beispielsweise Telearbeitsplaumltze oder temporaumlr angemietete Arbeitsplaumltze und Lagerflaumlchen

Fuumlr die weitere Vorgehensweise der Modellierung nach IT-Grundschutz und fuumlr die Planung des Soll-Ist-Vergleichs ist es hilfreich eine Uumlbersicht uumlber die Liegenschaften vor allem die Raumlume zu erstellen in denen IT- ICS- oder IoT-Systeme aufgestellt oder die fuumlr deren Betrieb genutzt werden Dazu gehoumlren Raumlume die ausschlieszliglich dem IT-Betrieb dienen (wie Serverraumlume Datentraumlgerarchishyve) solche in denen unter anderem IT- ICS- oder IoT-Systeme betrieben werden (wie Buumlroraumlume oder Werkhallen) aber auch die Wegstrecken uumlber die Kommunikationsverbindungen laufen Wenn IT-Systeme statt in einem speziellen Technikraum in einem Schutzschrank untergebracht sind ist der Schutzschrank ebenfalls wie ein Raum zu erfassen

Hinweis

Bei der Erhebung der IT- ICS- und IoT-Systeme sind schon die Aufstellungsorte aufgelistet worden

Zusaumltzlich muss untersucht werden ob schutzbeduumlrftige Informationen in weiteren Raumlumen aufbeshywahrt werden Diese Raumlume muumlssen dann ebenfalls benannt werden Hierbei muumlssen auch Raumlume hinzugezaumlhlt werden in denen nicht elektronische schutzbeduumlrftige Informationen aufbewahrt wershyden also beispielsweise Aktenordner oder Mikrofilme Die Art der verarbeiteten Informationen muss anhand dieser Dokumentation nachvollziehbar sein

81 Strukturanalyse

fiktiv

uumlber

Raumlum

enkouml

koumlnn

oumlglic

e Rauml

aumlhn

jekshy

ebaumlu

-Buumlr

nthauml

raumlnk

rshyfo

Praumlshy

fuumlr

rorauml

szligbar

uumlror

rshybe

Buumlro

aumlude

sraumlu

raumlum

uumlhle

chrauml

estuuml

Raumlum

uumlrfe

aumlude

jekshy

ebaumlu

Haumlu

duumlrf

aumlusl

uumltzt

koumlnshy

rshyhe

nkuumln

n hauml

oteshy

oumlnshy

auszlig

erRauml

uumlsse

duumlrf

Fuumlhr

kraumlf

(Raumlu

Aktionspunkte zu 818 Erfassung der Raumlume

bull Liste aller bei der Erfassung der IT- ICS- und IoT-Systeme notierten Liegenschaften Gebaumlude und Raumlume erstellen

bull Weitere Raumlume ergaumlnzen in denen schutzbeduumlrftige Informationen aufbewahrt oder auf andere Weise verarbeitet werden

Ziel der Schutzbedarfsfeststellung ist es fuumlr die erfassten Objekte im Informationsverbund zu entshyscheiden welchen Schutzbedarf sie bezuumlglich Vertraulichkeit Integritaumlt und Verfuumlgbarkeit besitzen Dieser Schutzbedarf orientiert sich an den moumlglichen Schaumlden die mit einer Beeintraumlchtigung der betroffenen Anwendungen und damit der jeweiligen Geschaumlftsprozesse verbunden sind

Die Schutzbedarfsfeststellung fuumlr den Informationsverbund gliedert sich in mehrere Schritte

bull Definition der Schutzbedarfskategorien

bull Schutzbedarfsfeststellung fuumlr Geschaumlftsprozesse und Anwendungen

bull Schutzbedarfsfeststellung fuumlr IT-Systeme IoT- und ICS-Geraumlte

bull Schutzbedarfsfeststellung fuumlr Gebaumlude Raumlume Werkhallen usw

bull Schutzbedarfsfeststellung fuumlr Kommunikationsverbindungen

bull Schlussfolgerungen aus den Ergebnissen der Schutzbedarfsfeststellung

Nach der Definition der Schutzbedarfskategorien wird anhand von typischen Schadensszenarien zushynaumlchst der Schutzbedarf der Geschaumlftsprozesse und Anwendungen bestimmt Anschlieszligend wird darshyaus der Schutzbedarf der einzelnen IT-Systeme Raumlume und Kommunikationsverbindungen abgeleitet

Die Vorgehensweise hierfuumlr wird in den folgenden Abschnitten detailliert dargestellt

821 Definition der Schutzbedarfskategorien

Da der Schutzbedarf meist nicht quantifizierbar ist beschraumlnkt sich der IT-Grundschutz somit auf eine qualitative Aussage indem der Schutzbedarf in drei Kategorien unterteilt wird

Schutzbedarfskategorien

bdquonormalldquo Die Schadensauswirkungen sind begrenzt und uumlberschaubar

bdquohochldquo Die Schadensauswirkungen koumlnnen betraumlchtlich sein

bdquosehr hochldquo Die Schadensauswirkungen koumlnnen ein existenziell bedrohliches katastrophales Ausmaszlig erreichen

Hinweis

Es kann ffr eine Institution auch sinnvoll sein weitere Kategorien zu definieren Beispielsweise kann eine Abstufung nach unten z B bdquounkritischldquo eingeffhrt werden (Diese koumlnnte wie folgt definiert sein bdquoSchaumlden an Ressourcen der Schutzbedarfskategorie unkritischlsquo haben keine oder nur minimale Beeintraumlchtigungen der Institution zur Folgeldquo)

Werden nur ein oder zwei Kategorien genutzt ist die damit erreichbare Abstufung meist nicht grashynular genug Werden dagegen fuumlnf oder mehr Schutzbedarfskategorien verwendet ist eine klare Unterscheidung zwischen den einzelnen Stufen schwieriger Zudem ist die Zuordnung von Ressourcen zu einer der moumlglichen Schutzbedarfskategorien schwer nachvollziehbar und es steigt dadurch auch der Aufwand sowohl bei der Zuordnung als auch bei Revisionen

Eine andere Moumlglichkeit ist es fuumlr Vertraulichkeit andere Kategorien als fuumlr Integritaumlt oder Verfuumlgbarshykeit zu nutzen Einige Institutionen unterteilen beispielsweise Vertraulichkeit in die Kategorien bdquoofshyfenldquo bdquointernldquo bdquovertraulichldquo und bdquogeheimldquo aber die Kategorien Integritaumlt oder Verfuumlgbarkeit nur in zwei Stufen bdquonormalldquo und bdquokritischldquo

Wenn mehr als drei Schutzbedarfskategorien definiert werden so ist zu uumlberlegen welche der neu definierten Kategorien den Schutzbedarfskategorien bdquohochldquo bzw bdquosehr hochldquo entsprechen denn diese Information wird zur Uumlberpruumlfung der Entscheidung benoumltigt welche Objekte in die Risikoanashylyse aufgenommen werden

Die nachfolgenden Schritte erlaumlutern wie fuumlr Geschaumlftsprozesse und die mit diesen verbundenen Anwendungen jeweils die adaumlquate Schutzbedarfskategorie ermittelt werden kann

Die Schaumlden die bei dem Verlust der Vertraulichkeit Integritaumlt oder Verfuumlgbarkeit fuumlr einen Geshyschaumlftsprozess bzw eine Anwendung einschlieszliglich ihrer Daten entstehen koumlnnen lassen sich typishyscherweise folgenden Schadensszenarien zuordnen

bull Verstoszlig gegen GesetzeVorschriftenVertraumlge

bull Beeintraumlchtigung des informationellen Selbstbestimmungsrechts

bull Beeintraumlchtigung der persoumlnlichen Unversehrtheit

bull Beeintraumlchtigung der Aufgabenerfuumlllung

bull negative Innen- oder Auszligenwirkung und

bull finanzielle Auswirkungen

Haumlufig treffen dabei fuumlr einen Schaden mehrere Schadensszenarien zu So kann beispielsweise der Ausfall einer Anwendung die Aufgabenerfuumlllung beeintraumlchtigen was direkte finanzielle Einbuszligen nach sich zieht und gleichzeitig auch zu einem Imageverlust fuumlhrt

Hinweis

Auch die Art und Anzahl der betrachteten Szenarien koumlnnen individuell angepasst werden Je nach Institution gibt es unterschiedliche Schwerpunkte auf die sich das Sicherheitsmanagement konzentrieren kann So koumlnnte das Szenario bdquoBeeintraumlchtigung des informationellen Selbstbeshystimmungsrechtsldquo entfallen wenn beispielsweise in der Institution das Datenschutzmanagement dieses Szenario bereits ausreichend betrachtet hat In vielen Institutionen kann das Szenario bdquoBeshyeintraumlchtigung der persoumlnlichen Unversehrtheitldquo weggelassen werden es sei denn es handelt sich um ein Unternehmen bei dem Fehlfunktionen von IT-Systemen unmittelbar Personenschaumlshyden nach sich ziehen koumlnnen Dies koumlnnte beispielsweise im Gesundheitswesen oder in Produkshytionsbereichen der Fall sein

Es koumlnnten auch zusaumltzliche Szenarien betrachtet werden wie beispielsweise

bull Einschraumlnkung der Dienstleistungen fuumlr Dritte oder

bull Auswirkungen auf weitere Infrastrukturen auszligerhalb des eigenen Informationsverbunds (z B Reshychenzentren IT-Betrieb von Kunden oder Dienstleistern)

Um die Schutzbedarfskategorien bdquonormalldquo bdquohochldquo und bdquosehr hochldquo voneinander abgrenzen zu koumlnnen bietet es sich an die Grenzen fuumlr die einzelnen Schadensszenarien zu bestimmen Zur Orishyentierung welchen Schutzbedarf ein potenzieller Schaden und seine Folgen erzeugen dienen die folgenden Tabellen Die Tabellen sollten von der jeweiligen Institution auf ihre eigenen Gegebenheiten angepasst werden

Schutzbedarfskategorie bdquonormalldquo

1 Verstoszlig gegen Gesetze VorschriftenVertraumlge

bull Verstoumlszlige gegen Vorschriften und Gesetze mit geringfuumlgigen Konsequenzen

bull Geringfuumlgige Vertragsverletzungen mit maximal geringen Konshyventionalstrafen

2 Beeintraumlchtigung des inforshymationellen Selbstbestimshymungsrechts

bull Es handelt sich um personenbezogene Daten durch deren Vershyarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhaumlltnissen beeintraumlchtigt wershyden kann

3 Beeintraumlchtigung der pershysoumlnlichen Unversehrtheit

bull Eine Beeintraumlchtigung erscheint nicht moumlglich

4 Beeintraumlchtigung der Aufshygabenerfuumlllung

bull Die Beeintraumlchtigung wuumlrde von den Betroffenen als tolerabel eingeschaumltzt werden

bull Die maximal tolerierbare Ausfallzeit liegt zwischen 24 und 72 Stunden

5 Negative Innen- oder Aushyszligenwirkung

bull Eine geringe bzw nur interne Ansehens- oder Vertrauensbeeinshytraumlchtigung ist zu erwarten

6 Finanzielle Auswirkungen bull Der finanzielle Schaden bleibt fuumlr die Institution tolerabel

Tabelle 2 Schutzbedarfskategorie bdquonormalldquo

Schutzbedarfskategorie bdquohochldquo

1 Verstoszlig gegen GesetshyzeVorschriftenVertraumlge

bull Verstoumlszlige gegen Vorschriften und Gesetze mit erheblichen Konshysequenzen

bull Vertragsverletzungen mit hohen Konventionalstrafen

bull Es handelt sich um personenbezogene Daten bei deren Verarshybeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhaumlltnissen erheblich beeintraumlchtigt werden kann

bull Eine Beeintraumlchtigung der persoumlnlichen Unversehrtheit kann nicht absolut ausgeschlossen werden

bull Die Beeintraumlchtigung wuumlrde von einzelnen Betroffenen als nicht tolerabel eingeschaumltzt

bull Die maximal tolerierbare Ausfallzeit liegt zwischen einer und 24 Stunden

bull Eine breite Ansehens- oder Vertrauensbeeintraumlchtigung ist zu ershywarten

6 Finanzielle Auswirkungen bull Der Schaden bewirkt beachtliche finanzielle Verluste ist jedoch nicht existenzbedrohend

Tabelle 3 Schutzbedarfskategorie bdquohochldquo

Schutzbedarfskategorie bdquosehr hochldquo

bull Fundamentaler Verstoszlig gegen Vorschriften und Gesetze

bull Vertragsverletzungen deren Haftungsschaumlden ruinoumls sind

bull Es handelt sich um personenbezogene Daten bei deren Verarshybeitung eine Gefahr fuumlr Leib und Leben oder die persoumlnliche Freishyheit des Betroffenen gegeben ist

bull Gravierende Beeintraumlchtigungen der persoumlnlichen Unversehrtshyheit sind moumlglich

bull Gefahr fuumlr Leib und Leben

bull Die Beeintraumlchtigung wuumlrde von allen Betroffenen als nicht toleshyrabel eingeschaumltzt werden

bull Die maximal tolerierbare Ausfallzeit ist kleiner als eine Stunde

bull Eine landesweite Ansehens- oder Vertrauensbeeintraumlchtigung eventuell sogar existenzgefaumlhrdender Art ist denkbar

6 Finanzielle Auswirkungen bull Der finanzielle Schaden ist fuumlr die Institution existenzbedrohend

Tabelle 4 Schutzbedarfskategorie bdquosehr hochldquo

Wenn bei individuellen Betrachtungen festgestellt wird dass uumlber diese sechs Schadensszenarien hishynaus weitere infrage kommen sollten diese entsprechend ergaumlnzt werden Fuumlr alle Schaumlden die sich nicht in diese Szenarien abbilden lassen muss ebenfalls eine Aussage getroffen werden wo die Grenshyzen zwischen bdquonormalldquo bdquohochldquo oder bdquosehr hochldquo zu ziehen sind

Daruumlber hinaus sollten die individuellen Gegebenheiten der Institution beruumlcksichtigt werden Bedeushytet in einem Groszligunternehmen ein Schaden in Houmlhe von 200000- E gemessen am Umsatz noch einen geringen Schaden so kann fuumlrein Kleinunternehmen schon ein Schaden in Houmlhe von 10000- E existenziell bedrohlich sein Daher kann es sinnvoll sein eine prozentuale Groumlszlige als Grenzwert zu definieren der sich am Gesamtumsatz am Gesamtgewinn oder an einer aumlhnlichen Bezugsgroumlszlige orishyentiert

Aumlhnliche Uumlberlegungen koumlnnen bezuumlglich der Verfuumlgbarkeitsanforderungen angestellt werden So kann beispielsweise ein Ausfall von 24 Stunden Dauer in der Schutzbedarfskategorie bdquonormalldquo als

noch tolerabel eingeschaumltzt werden Tritt jedoch eine Haumlufung dieser Ausfaumllle ein z B mehr als einshymal woumlchentlich so kann dies in der Summe nicht tolerierbar sein Die anhand der Schutzbedarfskashytegorien festgelegten Verfuumlgbarkeitsanforderungen sollten daher bei Bedarf konkretisiert werden

Es kann erforderlich sein fuumlr den Bereich ICS die Schutzbedarfskategorien separat festzulegen aber diese auf die des restlichen Informationsverbunds abzustimmen In produzierenden Bereichen ist es beispielsweise oftmals erforderlich fuumlr die jeweiligen Kategorien kuumlrzere Ausfallzeiten festzulegen als im Bereich der Buumlro-IT Zeitliche Vorgaben koumlnnen z B aus Wartungsvertraumlgen abgeleitet werden Unter Umstaumlnden muumlssen auch andere Punkte angepasst werden Auch im Datenschutz muss der Schutzbedarf festgelegt werden um angemessen technische und organisatorische Schutzmaszlignahshymen bestimmen und konfigurieren zu koumlnnen Das Standard-Datenschutzmodell (SDM) bietet eine ganze Reihe an Kriterien um das Risiko eines Grundrechtseingriffs und daraus folgend des Schutzshybedarfs anhand von drei Stufen zu bestimmen Das SDM bietet zudem Hilfestellungen sollten die Schutzbedarfe aus Sicht der Informationssicherheit und des Datenschutzes nicht uumlbereinstimmen

Bei der Festlegung der Grenze zwischen bdquonormalldquo und bdquohochldquo sollte beruumlcksichtigt werden dass fuumlr den normalen Schutzbedarf die Basis- und Standardsicherheitsanforderungen des IT-Grundschutzes ausreichen sollten Die getroffenen Festlegungen sind in geeigneter Weise im Sicherheitskonzept zu dokumentieren da hiervon die Auswahl von Sicherheitsmaszlignahmen und damit meist Folgekosten abhaumlngen

Aktionspunkte zu 821 Definition der Schutzbedarfskategorien

bull Typische Schadensszenarien fuumlr die Definition von Schutzbedarfskategorien betrachten

bull Schutzbedarfskategorien bdquonormalldquo bdquohochldquo und bdquosehr hochldquo definieren beziehungsweise an die eigene Institution anpassen

822 Vorgehen bei der Schutzbedarfsfeststellung

Zunaumlchst wird der Schutzbedarf der Geschaumlftsprozesse und Anwendungen bestimmt Anschlieszligend wird daraus der Schutzbedarf der einzelnen Objekte (z B IT-Systeme Raumlume und Kommunikationsshyverbindungen) abgeleitet

Die Grundlage zur Bestimmung des Schutzbedarfs verschiedener Objekte ist der Schutzbedarf der Geschaumlftsprozesse und der zugehoumlrigen Informationen Der fuumlr diese Elemente ermittelte Schutzbeshydarf vererbt sich auf die fuumlr deren Verarbeitung genutzten Objekte also Anwendungen IT-Systeme ICS- und sonstige Geraumlte Raumlume und Kommunikationsverbindungen (Vererbung)

Zur Ermittlung des Schutzbedarfs eines Objektes muumlssen die moumlglichen Schaumlden der relevanten Teilshyobjekte in ihrer Gesamtheit betrachtet werden Beispielsweise muumlsste bei einem IT-System beleuchtet werden welche Auswirkungen Schaumlden bei den darauf betriebenen Anwendungen und den damit verarbeiteten Informationen haben Im Wesentlichen bestimmt der Schaden bzw die Summe der Schaumlden mit den schwerwiegendsten Auswirkungen den Schutzbedarf eines Objektes (Maximumshyprinzip)

Bei der Betrachtung der moumlglichen Schaumlden und ihrer Folgen muss auch beachtet werden dass die verschiedenen betrachteten Objekte eines Informationsverbunds natuumlrlich eng miteinander verzahnt sind So kann z B eine IT-Anwendung Arbeitsergebnisse anderer Anwendungen als Input nutzen Eine fuumlr sich betrachtet weniger bedeutende Anwendung A kann wesentlich an Wert gewinnen wenn eine andere wichtige Anwendung B auf ihre Ergebnisse angewiesen ist In diesem Fall muss der ermittelte Schutzbedarf der Anwendung B auch auf die Anwendung A uumlbertragen werden Handelt

es sich dabei um Anwendungen verschiedener IT-Systeme dann muumlssen Schutzbedarfsanforderunshygen des einen IT-Systems auch auf das andere uumlbertragen werden (Beachtung von Abhaumlngigkeiten)

Werden mehrere Anwendungen bzw Informationen auf einem IT-System (oder in einem Raum oder uumlber eine Kommunikationsverbindung) verarbeitet so ist zu uumlberlegen ob durch Kumulation mehshyrerer (z B kleinerer) Schaumlden auf einem IT-System ein insgesamt houmlherer Gesamtschaden entstehen kann Dann erhoumlht sich der Schutzbedarf des Objektes also hier des IT-Systems entsprechend (Kushymulationseffekt)

Beispiel

Auf einem Netzserver befinden sich saumlmtliche ffr die Kundendatenerfassung benoumltigten Anwenshydungen einer Institution Der Schaden bei Ausfall einer dieser Anwendungen wurde als gering eingeschaumltzt da genfgend Ausweichmoumlglichkeiten vorhanden sind Faumlllt jedoch der Server (und damit alle Anwendungen die diesen Server benoumltigen) aus so ist der dadurch entstehende Schashyden deutlich houmlher zu bewerten Die Aufgabenerffllung kann unter Umstaumlnden nicht mehr inshynerhalb der notwendigen Zeitspanne gewaumlhrleistet werden Daher ist auch der Schutzbedarf dieser bdquozentralenldquo Komponente entsprechend houmlher zu bewerten

Auch der umgekehrte Effekt kann eintreten So ist es moumlglich dass eine Anwendung einen hohen Schutzbedarf besitzt ihn aber deshalb nicht auf ein betrachtetes IT-System uumlbertraumlgt weil auf diesem IT-System nur unwesentliche Teilbereiche der Anwendung laufen Hier ist der Schutzbedarf zu relatishyvieren (Verteilungseffekt) Der Verteilungseffekt kann natuumlrlich auch bei anderen Zielobjekten wie beispielsweise Raumlumen Gebaumluden oder Kommunikationsverbindungen auftreten

Beispiel Der Verteilungseffekt tritt hauptsaumlchlich bezuumlglich des Grundwertes der Verfuumlgbarkeit auf So kann bei redundanter Auslegung von IT-Systemen der Schutzbedarf der Einzelkomponenten niedshyriger sein als der Schutzbedarf der Gesamtanwendung Auch im Bereich der Vertraulichkeit sind Vershyteilungseffekte vorstellbar Falls sichergestellt ist dass ein Client nur unkritische Daten einer hochvershytraulichen Datenbankanwendung abrufen kann so besitzt der Client im Vergleich zum Datenbankshyserver unter Umstaumlnden einen geringeren Schutzbedarf

Ein Verteilungseffekt tritt haumlufig auf wenn bei der Einrichtung oder dem Aufbau von Zielobjekten durch entsprechende Redundanzen bereits den Anforderungen an einen hohen Schutzbedarf Rechshynung getragen wurde Dies ist im Grunde ein Vorgriff auf Betrachtungen die im Rahmen der Risikoshyanalyse erforderlich sind Deshalb sollten im Rahmen der Schutzbedarfsfeststellung getroffene Entshyscheidungen sorgfaumlltig dokumentiert werden

Beispiel

Bei Anwendungen die im Hinblick auf Verffgbarkeit einen hohen Schutzbedarf haben wurden bereits Redundanzen vorgesehen unter anderem Ausweicharbeitsplaumltze in Nachbargebaumluden Durch die entstandenen Verteilungseffekte haben diese Arbeitsplaumltze normalen Schutzbedarf bezfglich Verffgbarkeit solange ausreichend Ausweicharbeitsplaumltze zur Verffgung stehen

Die Schutzbedarfsfeststellung ist ein iterativer Prozess Bereits ganz am Anfang bei der ersten Disshykussion daruumlber welche Geschaumlftsprozesse und Informationen welche Bedeutung fuumlr die Institution haben wird eine erste grobe Schutzbedarfsfeststellung durchgefuumlhrt Auch nach Durchfuumlhrung von Risikoanalysen sollte die Schutzbedarfsfeststellung erneut dahingehend gepruumlft werden ob sie anshy

gepasst werden muss da sich waumlhrend der Risikoanalyse und der Auswahl von Maszlignahmen neue Erkenntnisse fuumlr den Schutzbedarf von Assets ergeben koumlnnen

823 Schutzbedarfsfeststellung fuumlr Geschaumlftsprozesse und Anwendungen

Um den Schutzbedarf in den verschiedenen Bereichen eines Informationsverbunds zu bestimmen muss zunaumlchst der Schutzbedarf der Geschaumlftsprozesse und der zugehoumlrigen Informationen ermittelt werden Darauf aufbauend wird daraus der Schutzbedarf der einzelnen Anwendungen IT-Systeme ICS- und sonstigen Geraumlte Raumlume und Kommunikationsverbindungen abgeleitet

Um den Schutzbedarf der Geschaumlftsprozesse zu ermitteln sollte zunaumlchst die Bedeutung der einzelshynen Geschaumlftsprozesse fuumlr die Institution beleuchtet werden Davon ausgehend sollte hinterfragt werden welche Abhaumlngigkeiten zwischen Geschaumlftsprozessen und Anwendungen bestehen und wie die sich daraus ergebenden Risiken entschaumlrft werden koumlnnen Hierzu hat es sich bewaumlhrt mit der Fragestellung bdquoWas waumlre wennldquo zusammen mit den Anwendern realistische Schadensszenashyrien zu diskutieren und die zu erwartenden materiellen oder ideellen Schaumlden zu beschreiben Oft fuumlhrt dies auch dazu dass kritische Abhaumlngigkeiten zwischen Geschaumlftsprozessen und weiteren Zielshyobjekten aufgedeckt werden die vorher nicht im Fokus standen

Aus dem Schutzbedarf der Geschaumlftsprozesse ergibt sich der Schutzbedarf der Anwendungen die fuumlr deren Erledigung eingesetzt werden

Hinweis

Zur Einschaumltzung des Schutzbedarfs sollten die geeigneten Ansprechpartner gesucht werden es ist nicht erforderlich groumlszligere Gruppe von Benutzern zu befragen Beispielsweise ist es zur Bewershytung des Schutzbedarfs bestimmter zentraler Dienste wie zum Beispiel DNS oder E-Mail ausreishychend den Schutzbedarf durch die Organisationseinheit festlegen zu lassen die als Dienstanbieshyter ffr die Institution auftritt (meist die IT-Abteilung oder das Provider-Management) Der Schutzshybedarf dieser Dienste ist in der Institution zu kommunizieren Wird ein houmlherwertiger Schutzbedarf der Dienste durch einzelne Fachabteilungen benoumltigt so sind moumlgliche Loumlsungen zwischen Fachabteilung Sicherheitsmanagement und dem Betreiber oder Anbieter des Dienstes zu eroumlrtern Ein IT-Dienstleister kann im Regelfall seine Services nicht ffr jede moumlgliche Schutzbeshydarfskategorie bereitstellen Deshalb wird er seine Dienste mit einer von ihm festgelegten Schutzshybedarfseignung anbieten Der Informationseigentfmer muss bei Nutzung eines Service ffr seinen Geschaumlftsprozess entscheiden ob die ihm vom IT-Dienstleister angebotene Schutzbedarfseigshynung ausreicht oder ob zusaumltzliche Sicherheitsmaszlignahmen infolge houmlheren Schutzbedarfs umshygesetzt werden mfssen

In die Schutzbedarfsfeststellung muumlssen auch die in der Strukturanalyse erfassten Gruppen von Dashytentraumlgern und Dokumenten einbezogen werden

Um die Ermittlung der moumlglichen Schaumlden und Auswirkungen zu vereinfachen werden im Anhang dieses Standards entsprechende Fragestellungen vorgestellt Diese Anregungen erheben nicht den Anspruch auf Vollstaumlndigkeit sie dienen lediglich zur Orientierung Um die individuelle Aufgabenstelshylung und die Situation der Institution zu beruumlcksichtigen muumlssen diese Fragen gegebenenfalls entshysprechend ergaumlnzt und angepasst werden

Die Festlegung des Schutzbedarfs der Geschaumlftsprozesse und Anwendungen ist eine Entscheidung im Rahmen des Risikomanagements und hat oft weitreichende Auswirkungen auf das Sicherheitskonshyzept fuumlr den betrachteten Informationsverbund Der Schutzbedarf der Geschaumlftsprozesse und Anshy

wendungen flieszligt in die Schutzbedarfsfeststellung der betroffenen technischen und infrastrukturellen Objekte wie zum Beispiel Server und Raumlume ein

Bei komplexen Geschaumlftsprozessen insbesondere wenn diese hohen oder sehr hohen Schutzbedarf haben kann es sinnvoll sein diese in Teilprozesse zu zerlegen Wenn dabei der Bereich mit einem hohen oder sehr hohen Schutzbedarf auf wenige Teilprozesse eingegrenzt werden kann hat das den Vorteil dass sich der hohe bzw sehr hohe Schutzbedarf auf wenige Objekte vererbt

Um die Ergebnisse der Schutzbedarfsfeststellung und die daraus resultierenden Entscheidungen im Rahmen des Informationssicherheitsmanagements spaumlter jederzeit nachvollziehen zu koumlnnen muumlsshysen die Ergebnisse der Schutzbedarfsfeststellung der Geschaumlftsprozesse und Anwendungen gut doshykumentiert werden Dabei ist darauf zu achten dass nicht nur die Festlegung des Schutzbedarfs festshygehalten wird sondern auch die entsprechenden Begruumlndungen Diese Begruumlndungen erlauben es spaumlter die Festlegungen zu uumlberpruumlfen und weiter zu verwenden

fuumlr

entshy

uumlndu

ielshy

shylic

ruumln

fuumlr

ritauml

egruuml

gfuuml

ritauml

erfuuml

egruuml

gfuuml

erfuuml

haumllt

eshych

tishyon

moumlg

Uumlbe

lishych

uumlsse

itaumlt

uumlshygu

nshyde

houmlch

ielshy

shylic

ruumln

fuumlr

ritauml

egruuml

gfuuml

ritauml

erfuuml

egruuml

gfuuml

erfuuml

aumlude

ebaumlu

dsaumlt

zshylic

ebaumlu

dsaumlt

zshylic

ebaumlu

dsaumlt

rshybe

et ndash

aumlusl

witshy

fuumlr

oshyris

moumlg

raumlt l

sshybe

tershy

sshybe

tershy

uumlber

An dieser Stelle kann es sinnvoll sein uumlber diese Informationen hinaus den Schutzbedarf auch aus einer gesamtheitlichen Sicht der Geschaumlftsprozesse oder Fachaufgaben zu betrachten Dazu bietet es sich an den Zweck einer Anwendung in einem Geschaumlftsprozess oder in einer Fachaufgabe zu beshyschreiben und daraus wiederum deren Bedeutung abzuleiten Diese Bedeutung kann wie folgt klasshysifiziert werden

Die Bedeutung der Anwendung ist fuumlr den Geschaumlftsprozess bzw die Fachaufgabe

bull normal Der Geschaumlftsprozess bzw die Fachaufgabe kann mit tolerierbarem Mehraufwand mit anderen Mitteln (z B manuell) durchgefuumlhrt werden

bull hoch Der Geschaumlftsprozess bzw die Fachaufgabe kann nur mit deutlichem Mehraufwand mit anderen Mitteln durchgefuumlhrt werden

bull sehr hoch Der Geschaumlftsprozess bzw die Fachaufgabe kann ohne die Anwendung uumlberhaupt nicht durchgefuumlhrt werden

Der Vorteil eine solche ganzheitliche Zuordnung vorzunehmen liegt insbesondere darin dass bei der Schutzbedarfsfeststellung die Leitungsebene als Regulativ fuumlr den Schutzbedarf der einzelnen Anshywendungen agieren kann So kann es sein dass ein Verantwortlicher fuumlr eine Anwendung deren Schutzbedarf aus seiner Sicht als bdquonormalldquo einschaumltzt die Leitungsebene aus Sicht des Geschaumlftsproshyzesses bzw der Fachaufgabe diese Einschaumltzung jedoch nach oben korrigiert

Diese optionalen Angaben sollten ebenfalls tabellarisch oder mithilfe entsprechender Software-proshydukte dokumentiert werden

Aktionspunkt zu 823 Schutzbedarfsfeststellung fuumlr Geschaumlftsprozesse und Anwendunshygen

bull Schutzbedarf der erfassten Geschaumlftsprozesse und Anwendungen anhand von Schadensszenashyrien und Fragenkatalogen ermitteln

bull Schutzbedarf der Geschaumlftsprozesse und Anwendungen und die entsprechenden Begruumlndungen tabellarisch dokumentieren

824 Schutzbedarfsfeststellung fuumlr IT-Systeme

Um den Schutzbedarf eines IT-Systems festzustellen muumlssen zunaumlchst die Anwendungen betrachtet werden die in direktem Zusammenhang mit dem IT-System stehen Eine Uumlbersicht welche Anwenshydungen fuumlr die unterschiedlichen IT-Systeme relevant sind wurde im Rahmen der Strukturanalyse (siehe Kapitel 81) ermittelt Der Schutzbedarf der Geschaumlftsprozesse und Anwendungen (siehe Kashypitel 823) flieszligt in die Schutzbedarfsfeststellung fuumlr die jeweils betroffenen IT-Systeme ein Hierbei ist darauf zu achten dass nicht nur die IT-Systeme beruumlcksichtigt werden auf denen die jeweilige Anshywendung installiert ist Vielmehr ist auch der Datenfluss der Anwendung zu beachten uumlber den der Schutzbedarf der Anwendung auf die dazwischenliegenden Netzkomponenten vererbt wird

Zur Ermittlung des Schutzbedarfs eines IT-Systems muumlssen nun die moumlglichen Schaumlden der relevanten Anwendungen in ihrer Gesamtheit betrachtet werden Die Ergebnisse der Schutzbedarfsfeststellung der IT-Systeme sollten wiederum in einer Tabelle festgehalten werden Darin sollte verzeichnet sein welchen Schutzbedarf jedes IT-System bezuumlglich Vertraulichkeit Integritaumlt und Verfuumlgbarkeit hat Der Gesamtschutzbedarf eines IT-Systems leitet sich wiederum aus dem Maximum des Schutzbedarfs beshyzuumlglich der drei Grundwerte Vertraulichkeit Integritaumlt und Verfuumlgbarkeit ab Ein IT-System ist also hochschutzbeduumlrftig wenn es bezuumlglich eines oder mehrerer Grundwerte den Schutzbedarf bdquohochldquo

hat Der Schutzbedarf eines IT-Systems sollte fuumlr alle drei Grundwerte einzeln dokumentiert werden da sich hieraus typischerweise verschiedene Arten von Sicherheitsmaszlignahmen ergeben

Bei einem IT-System kann sich beispielsweise der hohe Gesamtschutzbedarf daraus ableiten dass der Schutzbedarf bezuumlglich Vertraulichkeit hoch ist bezuumlglich Integritaumlt und Verfuumlgbarkeit allerdings norshymal Dann kann zwar der Gesamtschutzbedarf mit bdquohochldquo angegeben werden dies zieht aber nicht nach sich dass dadurch der Schutzbedarf bezuumlglich Integritaumlt und Verfuumlgbarkeit angehoben werden muss

Die Festlegungen des Schutzbedarfs der IT-Systeme muumlssen begruumlndet werden damit die Entscheishydungen auch fuumlr Auszligenstehende nachvollziehbar sind Hier kann auf die Schutzbedarfsfeststellung der Anwendungen zuruumlckverwiesen werden

g fuuml

ekouml

egruuml

ritauml

egruuml

gfuuml

ritauml

erfuuml

ruumln

erfuuml

nshydu

ushygr

uumlr a

moumlg

fuumlr

oshyris

moumlg

raumlt

ausshy

uumlsse

fuumlr

oshyris

moumlg

raumlt

ausshy

ndash V

ushygr

uumlr a

moumlg

fuumlr

oshyris

moumlg

raumlt

ausshy

ndash B

uumlsse

fuumlr

oshyris

moumlg

raumlt

ausshy

egruuml

ritauml

egruuml

gfuuml

ritauml

erfuuml

ruumln

erfuuml

rshyve

rshytr

onishy

koumlnn

virshy

onfishy

igeshy

ittsshy

rshyge

eruumlb

forshy

fuumlr

uumlckl

plaumlshy

ashytio

tishyon

muumls

nfuuml

lshyst

aumlndi

tuumlck

aumlne

duumlrf

raumlnd

aumlglic

ndash22

rfuumlshy

dsaumlt

Schutzbedarfsfeststellung bei virtualisierten Infrastrukturen

Wird Virtualisierung eingesetzt bleibt die Schutzbedarfsfeststellung im Prinzip gleich Um den Schutzbedarf eines IT-Systems zu bestimmen muumlssen zunaumlchst die Anwendungen betrachtet wershyden die im direkten Zusammenhang mit dem IT-System stehen In virtualisierten Infrastrukturen wer-den in der Regel mehrere IT-Systeme auf einem Virtualisierungsserver betrieben Der Schutzbedarf der Anwendungen vererbt sich auf die virtuellen IT-Systeme Die virtuellen IT-Systeme ihrerseits vererben ihren Schutzbedarf auf den Virtualisierungsserver Fuumlr den Schutzbedarf eines Virtualisierungsservers lassen sich folgende Faumllle unterscheiden

Vertraulichkeit

Ist der Schutzbedarf der virtuellen IT-Systeme beispielsweise bdquonormalldquo so vererbt sich dieser auf den Virtualisierungsserver Er bekommt in der Regel auch den Schutzbedarf bdquonormalldquo Es sollte uumlberlegt werden ob durch die Kumulation mehrerer (z B kleinerer) Schaumlden auf dem Virtualisierungsserver ein insgesamt houmlherer Gesamtschaden entstehen kann Dann erhoumlht sich der Schutzbedarf des Virshytualisierungsservers entsprechend auf bdquohochldquo (Kumulationseffekt)

Integritaumlt

Das Schutzziel Integritaumlt wird nicht gesondert betrachtet und ist wie Vertraulichkeit zu behandeln

Verfuumlgbarkeit

Ist der Schutzbedarf der virtuellen IT-Systeme beispielsweise bdquonormalldquo dann kommt es durch den Kumulationseffekt in der Regel zu einer Erhoumlhung der Verfuumlgbarkeit Gleichzeitig bietet Virtualisieshyrung mit Konzepten wie Cold- Warm- oder Hot-Standby die Moumlglichkeit Redundanzen zu schaffen Dabei wird parallel zum Produktivsystem ein identisches Ersatzsystem auf einem weiteren physischen Server aufgebaut und entweder ausgeschaltet (Cold-Standby) oder kurzfristig einschaltbar gehalten aber nicht eingesetzt (Warm-Standby) oder eingeschaltet und synchron gespiegelt mit Daten versorgt (Hot-Standby) Sind entsprechende Maszlignahmen umgesetzt dann sinkt der Schutzbedarf (Verteishylungseffekt) Es koumlnnen unter anderem folgende Faumllle auftreten

bull Die virtuellen Maschinen weisen in Bezug auf Verfuumlgbarkeit den Schutzbedarf bdquonormalldquo auf dann gibt es in der Regel eine Kumulation nach bdquohochldquo und dann durch Verteilung sinkt der Schutzbeshydarf wieder auf bdquonormalldquo In diesem Fall reicht der Warm-Standby-Ansatz aus

bull Die virtuellen Maschinen haben den Schutzbedarf bdquohochldquo in Bezug auf Verfuumlgbarkeit Aufgrund von Kumulation kann sich ein insgesamt sehr hoher Schutzbedarf ergeben der dann wegen Vershyteilung auf bdquohochldquo abgesenkt werden kann wenn entsprechende Maszlignahmen (z B Hot-Standshyby) umgesetzt werden

Schutzbedarfsfeststellung beim Cloud-Computing (IaaS Compute)

Auch beim Cloud Computing aumlndert sich gegenuumlber der oben beschriebenen Schutzbedarfsfeststelshylung wenig Bei Angeboten der Form bdquoIaaS Computeldquo werden den Benutzern virtuelle Maschinen zur Verfuumlgung gestellt z B uumlber eine Webschnittstelle Aumlhnlich wie bei der Virtualisierung wird der Schutzbedarf des Virtualisierungsservers durch den Schutzbedarf der auf ihm betriebenen virtuellen IT-Systeme beeinflusst Techniken wie Live Migration vMotion oder XenMotion ermoumlglichen dass die virtuellen Maschinen zwischen den Virtualisierungsservern verschoben werden oder Hostsysteme bei geringer Last in den Stand-by-Modus geschaltet oder sogar heruntergefahren werden koumlnnen um Strom zu sparen Die Vorteile die sich dadurch ergeben sind unbestritten Aber die Live Migration also die Verschiebung von VMs zwischen Virtualisierungsservern erschwert die Schutzbedarfsfestshy

stellung Daher wird empfohlen die Cloud-Computing-Plattform fuumlr unterschiedliche Bereiche (Virshytualisierungscluster) anzulegen abhaumlngig vom Schutzbedarf (zum Beispiel bdquonormalldquo oder bdquohochldquo)

Anwendungen die denselben Schutzbedarf aufweisen sollten dann auf einem hierfuumlr vorgesehenen Virtualisierungscluster betrieben werden Die einzelnen Bereiche sollten untereinander physisch geshytrennt sein und es ist sicherzustellen dass virtuelle Maschinen nicht bereichsuumlbergreifend verschoben werden koumlnnen

Auf eine gesonderte Schutzbedarfsfeststellung fuumlr virtuelle IT-Systeme und Virtualisierungsserver kann verzichtet werden

Hinweis

Besitzen die meisten Anwendungen auf einem IT-System nur einen normalen Schutzbedarf und sind nur eine oder wenige hochschutzbedfrftig so sollte in Erwaumlgung gezogen werden die hochschutzbedfrftigen Anwendungen auf ein isoliertes IT-System auszulagern da dies wesentshylich gezielter abgesichert werden kann und somit haumlufig kostengfnstiger ist Eine solche Alternashytive kann dem Management zur Entscheidung vorgelegt werden

825 Schutzbedarfsfeststellung fuumlr ICS-Systeme

Im Bereich industrieller Steuerungsanlagen muss der Schutzbedarf aller ICS-Systeme festgestellt wershyden Die ICS-Systeme wurden bereits in Kapitel 816 erfasst

Bei der Feststellung des Schutzbedarfes fuumlr die ICS-Systeme muss beruumlcksichtigt werden dass nicht per se alle Objekte einem sehr hohen Schutzbedarf unterliegen In enger Abstimmung ist es sinnvoll mit den Verantwortlichen der ICS-Systeme in einem Gespraumlch die Schutzbedarfsfeststellung durchshyzufuumlhren da diese wissen welche ICS-Geraumlte welche Anforderungen an Vertraulichkeit Integritaumlt und Verfuumlgbarkeit haben Der Schutzbedarf leitet sich hierbei aus dem Anwendungszweck der indushystriellen Steuerungsanlage ab

Dabei sollte beruumlcksichtigt werden dass ICS-Systeme fuumlr verschiedene Aufgaben verwendet werden koumlnnen So kann in einer Produktionsstraszlige im Wechsel ein fuumlr ein Unternehmen wichtiges umsatzshystarkes Produkt produziert werden und ein weniger umsatzstarkes Produkt Bei der Feststellung des Schutzbedarfs muumlssen diese Abhaumlngigkeiten beachtet werden (Maximumprinzip)

Fuumlr die Definition des Schutzbedarfes kann es sinnvoll sein die fuumlr alle weiteren Schutzbedarfsfestshystellungen definierten Klassifikationen zu uumlbernehmen Daruumlber hinaus koumlnnen die Schutzbedarfskashytegorien entsprechend angepasst formuliert werden

Fuumlr ein IT-System aus einer Buumlroumgebung liegt eine Ausfallzeit von bis zu 30 Stunden im normalen Bereich Diese Ausfallzeit kann auch fuumlr den Betrieb von ICS-Systemen sinnvoll sein moumlglicherweise ist es jedoch erforderlich die Ausfallzeit fuumlr die ICS-Geraumlte im normalen Schutzbedarf auf zwoumllf bis 24 Stunden zu reduzieren

Der Schutzbedarf fuumlr jedes ICS-System wird bezuumlglich Vertraulichkeit Integritaumlt und Verfuumlgbarkeit ermittelt Der Gesamtschutzbedarf der ICS-Systeme leitet sich nach dem Maximumprinzip bezuumlglich der drei Grundwerte der Vertraulichkeit Integritaumlt und Verfuumlgbarkeit ab

Die Festlegungen des Schutzbedarfs von ICS-Systeme muumlssen kurz begruumlndet werden damit die Entscheidungen fuumlr Dritte nachvollziehbar sind

egruuml

ritauml

egruuml

gfuuml

ritauml

erfuuml

egruuml

gfuuml

erfuuml

thaumll

hraumln

uumlsse

uumlgba

vershy

fuumlgb

thaumll

ushygr

oshyne

aumlnkt

muumls

llstauml

hanshy

koumlnn

rshybe

fuumlr

nshyer

uumlsse

fuumlr

nshyer

uumlsse

826 Schutzbedarfsfeststellung fuumlr sonstige Geraumlte

Um den Schutzbedarf sonstiger Geraumlte festzustellen muss zunaumlchst bestimmt werden fuumlr welche Geschaumlftsprozesse und Anwendungen diese Geraumlte eingesetzt werden und wie sich deren Schutzbeshydarf vererbt Diese Informationen wurden in Kapitel 817 ermittelt Dabei muss der Datenfluss uumlber diese Geraumlte beachtet werden uumlber den sich der Schutzbedarf auf die dazwischenliegenden Netzshykomponenten vererbt

Um den Schutzbedarf eines Geraumlts zu ermitteln muumlssen nun die moumlglichen Schaumlden der relevanten Geschaumlftsprozesse in ihrer Gesamtheit betrachtet werden Die Ergebnisse der Schutzbedarfsfeststelshylung von Geraumlten sollten wiederum in einer Tabelle festgehalten werden wenn diese Einfluss auf die Informationssicherheit haben Um nicht beliebig viele Geraumlte in einer Institution erfassen zu muumlssen sollten nur Geraumlte betrachtet werden die die Informationssicherheit nennenswert beeintraumlchtigen koumlnnten Diese sollten moumlglichst zu Gruppen zusammengefasst und als ein Objekt behandelt werden

Es sollte vermerkt werden welchen Schutzbedarf jedes Geraumlt bezuumlglich Vertraulichkeit Integritaumlt und Verfuumlgbarkeit hat Der Gesamtschutzbedarf eines Geraumlts leitet sich wiederum aus dem Maximum des Schutzbedarfs bezuumlglich der drei Grundwerte Vertraulichkeit Integritaumlt und Verfuumlgbarkeit ab

Die Festlegungen des Schutzbedarfs von Geraumlten muumlssen kurz begruumlndet werden damit die Entscheishydungen auch fuumlr Auszligenstehende nachvollziehbar sind Hier kann auf die Schutzbedarfsfeststellung der Geschaumlftsprozesse und Anwendungen zuruumlckverwiesen werden

In Institutionen werden je nach Branche unterschiedlichste Geraumlte eingesetzt um die Geschaumlftsproshyzesse zu unterstuumltzen Neben IT-Systemen die unmittelbar als solche zu identifizieren sind koumlnnen auch viele andere Arten von Geraumlten Einfluss auf die Informationssicherheit haben Zu solchen Geraumlshyten gehoumlren beispielsweise Geraumlte mit Funktionalitaumlten aus dem Bereich Internet of Things (IoT)

ielshy

egruuml

ritauml

egruuml

gfuuml

ritauml

erfuuml

egruuml

gfuuml

erfuuml

nbeshy

ishyge

schuuml

aumlude

rfuumlg

nbeshy

ishyge

schuuml

aumlude

rfuumlg

-Uumlbe

nbeshy

uumlber

ekouml

raumlnd

nshysi

Maszlig

uumlhls

Kuumlh

ashyte

uumlhls

Kuumlh

oumlffn

tunshy

eraumlt

Aktionspunkte zu 824 825 und 826 Schutzbedarfsfeststellung fuumlr IT- ICS-Systeme und sonstige Geraumlte

bull Schutzbedarf der IT- ICS-Systeme und sonstigen Geraumlte anhand des Schutzbedarfs der Geshyschaumlftsprozesse und Anwendungen ermitteln

bull Abhaumlngigkeiten das Maximumprinzip und gegebenenfalls den Kumulations- beziehungsweise Verteilungseffekt beruumlcksichtigen

bull Pro System(-Gruppe) die Ergebnisse fuumlr Vertraulichkeit Integritaumlt und Verfuumlgbarkeit sowie die Begruumlndungen dokumentieren

827 Schutzbedarfsfeststellung fuumlr Raumlume

Aus den Ergebnissen der Schutzbedarfsfeststellung der Geschaumlftsprozesse und Anwendungen sowie der IT-Systeme ICS- und sonstigen Geraumlte sollte abgeleitet werden welcher Schutzbedarf fuumlr die jeweiligen Liegenschaften bzw Raumlume daraus resultiert Dieser Schutzbedarf leitet sich aus dem Schutzbedarf der im jeweiligen Raum installierten Objekte verarbeiteten Informationen oder der Dashytentraumlger die in diesem Raum gelagert und benutzt werden nach dem Maximumprinzip ab Dabei sollten eventuelle Abhaumlngigkeiten und ein moumlglicher Kumulationseffekt beruumlcksichtigt werden wenn sich in einem Raum eine groumlszligere Anzahl von IT-Systemen oder ICS-Geraumlten Datentraumlgern usw befindet wie typischerweise bei Serverraumlumen Rechenzentren Werkhallen oder Datentraumlgerarchishyven Fuumlr jede Schutzbedarfseinschaumltzung sollte eine Begruumlndung dokumentiert werden

Hilfreich ist auch hier eine tabellarische Erfassung der notwendigen Informationen aufbauend auf der bereits vorher erstellten Uumlbersicht uumlber die erfassten Raumlume

gfuuml

eRauml

ielshy

egruuml

gfuuml

shytauml

egruuml

taumlt

fuumlg

ruumln

erfuuml

rorauml

Buumlro

uumlror

aumlum

ieszligb

aumlnke

fuumlgu

rshysc

szligen

Buumlr

oraumlu

koumlnn

Buumlro

raumlum

erfuuml

gsrauml

aumlushy

ngsshy

raumlum

n kouml

aumlum

shylic

uumlrht

aumlusl

duumlrf

rshytr

uumlrfe

haumlus

itaumlt

uumlror

aumlushy

il duuml

uumlrfe

eshyre

itaumlt

Buumlr

oshyrauml

(Raumlu

Aktionspunkte zu 827 Schutzbedarfsfeststellung fuumlr Raumlume

bull Schutzbedarf der Raumlume aus dem Schutzbedarf der Geschaumlftsprozesse Anwendungen und IT-Systeme ICS- und sonstigen Geraumlte ableiten

bull Abhaumlngigkeiten das Maximumprinzip und gegebenenfalls den Kumulationseffekt beruumlcksichtishygen

bull Ergebnisse und Begruumlndungen nachvollziehbar dokumentieren

828 Schutzbedarfsfeststellung fuumlr Kommunikationsverbindungen

Nachdem die Schutzbedarfsfeststellung fuumlr die betrachteten Geschaumlftsprozesse Anwendungen IT-Systeme ICS- und sonstigen Geraumlte und Raumlume abgeschlossen wurde wird nun der Schutzbedarf bezuumlglich der Vernetzungsstruktur erarbeitet Grundlage fuumlr die weiteren Uumlberlegungen ist der in Kapitel 814 Netzplanerhebung erarbeitete Netzplan des zu untersuchenden Informationsverbunds

Um die Entscheidungen vorzubereiten auf welchen Kommunikationsstrecken kryptografische Sichershyheitsmaszlignahmen eingesetzt werden sollten welche Strecken redundant ausgelegt sein sollten und uumlber welche Verbindungen Angriffe durch Innen- und Auszligentaumlter zu erwarten sind muumlssen die Komshymunikationsverbindungen analysiert werden Hierbei werden folgende Kommunikationsverbindunshygen als kritisch gewertet

bull Kommunikationsverbindungen die Auszligenverbindungen darstellen d h die in oder uumlber unkonshytrollierte Bereiche fuumlhren (z B ins Internet oder uumlber oumlffentliches Gelaumlnde) Dazu koumlnnen auch drahtlose Kommunikationsverbindungen gehoumlren da es hierbei schwierig ist zu verhindern dass auf diese von oumlffentlichem Gelaumlnde aus zugegriffen wird Bei Auszligenverbindungen besteht die Gefahr dass durch externe Angreifer Penetrationsversuche auf das zu schuumltzende System vorgeshynommen oder Schadprogramme eingespielt werden koumlnnen Daruumlber hinaus koumlnnten unter Umshystaumlnden Innentaumlter uumlber eine solche Verbindung vertrauliche Informationen nach auszligen uumlbertrashygen Auch in Bezug auf den Grundwert Verfuumlgbarkeit sind Auszligenverbindungen oft besonders gefaumlhrdet Es darf nicht vergessen werden Auszligenverbindungen fuumlr die Fernadministration mit zu erfassen

bull Kommunikationsverbindungen uumlber die hochschutzbeduumlrftige Informationen uumlbertragen wershyden wobei dies sowohl Informationen mit einem hohen Anspruch an Vertraulichkeit wie auch Integritaumlt oder Verfuumlgbarkeit sein koumlnnen Diese Verbindungen koumlnnen das Angriffsziel vorsaumltzlishychen Abhoumlrens oder vorsaumltzlicher Manipulation sein Daruumlber hinaus kann der Ausfall einer solshychen Verbindung die Funktionsfaumlhigkeit wesentlicher Teile des Informationsverbunds beeintraumlchshytigen

bull Kommunikationsverbindungen die im produzierenden Bereich eingesetzt werden muumlssen im Netzplan ebenfalls erfasst werden Dazu gehoumlren (z B bei einer Netztrennung) die Kommunikashytionsverbindungen zwischen den Netzen

Bei der Erfassung der kritischen Kommunikationsverbindungen kann wie folgt vorgegangen werden Zunaumlchst werden saumlmtliche bdquoAuszligenverbindungenldquo als kritische Verbindungen identifiziert und ershyfasst Anschlieszligend werden saumlmtliche Verbindungen untersucht die von einem IT-System oder einer Gruppe von IT-Systemen mit hohem oder sehr hohem Schutzbedarf ausgehen Dabei werden diejeshynigen Verbindungen identifiziert uumlber die hochschutzbeduumlrftige Informationen uumlbertragen werden Danach werden die Verbindungen untersucht uumlber die diese hochschutzbeduumlrftigen Daten weitershy

geleitet werden Abschlieszligend sind die Kommunikationsverbindungen zu identifizieren uumlber die dershylei Informationen nicht uumlbertragen werden duumlrfen Zu erfassen sind dabei

bull die Verbindungsstrecke

bull ob es sich um eine Auszligenverbindung handelt und

bull ob hochschutzbeduumlrftige Informationen uumlbertragen werden und ob der Schutzbedarf aus der Vershytraulichkeit Integritaumlt oder Verfuumlgbarkeit resultiert

Die Entscheidungen welche Kommunikationsverbindungen als kritisch zu betrachten sind sollten tabellarisch dokumentiert oder grafisch im Netzplan hervorgehoben werden

Fuumlr das Unternehmen RECPLAST GmbH ergeben sich die Kommunikationsverbindungen die im Netzshyplan im Kapitel 814 Netzplanerhebung dargestellt wurden Diese wurden bei der RECPLAST aufshygrund von aumlhnlichen Anforderungen gruppiert und sowohl in der Strukturanalyse als auch in der Schutzbedarfsfeststellung beschrieben und bewertet Anhand der folgenden Tabellen koumlnnen die oben dargestellten Kommunikationsverbindungen nachvollzogen werden

ebaumlu

ndash B

fuumlr

nshysc

ndash B

uumlr d

desshy

uumlber

oshyne

uumlber

trashy

ebaumlu

eraumlshy

eraumlt

enuumlb

laumltz

utzshy

enuumlb

ielshy

egruuml

gfuuml

shytauml

egruuml

taumlt

fuumlg

ruumln

erfuuml

et ndash

koumlnn

szligtei

tuumlb

enkouml

schauml

Auszlig

rshybi

ndash Bo

uumlsse

huumlb

koumlnn

rshyfauml

t kouml

ftrauml

ishysc

nershy

zeuumlb

koumlnn

ze uuml

koumln

raumlnd

aumlllt

moumlg

Aktionspunkte zu 828 Schutzbedarfsfeststellung fuumlr Kommunikationsverbindungen

bull Auszligenverbindungen erfassen und in tabellarischer oder grafischer Form dokumentieren

bull Verbindungen uumlber die kritische Informationen uumlbertragen werden identifizieren

bull Alle kritischen Kommunikationsverbindungen in tabellarischer oder grafischer Form dokumenshytieren

829 Schlussfolgerungen aus den Ergebnissen der Schutzbedarfsfeststellung

Die bei der Schutzbedarfsfeststellung erzielten Ergebnisse bieten einen Anhaltspunkt fuumlr die weitere Vorgehensweise der Sicherheitskonzeption Fuumlr den Schutz der von den in den IT-Grundschutz-Baushysteinen beschriebenen Sicherheitsanforderungen ausgeht wird bezuumlglich der Schutzbedarfskategoshyrien Folgendes angenommen

Schutzwirkung von Sicherheitsanforderungen nach IT-Grundschutz

Schutzbedarfskategorie bdquonormalldquo Sicherheitsanforderungen nach IT-Grundschutz sind im Allgemeinen ausreichend und angemessen

Schutzbedarfskategorie bdquohochldquo Sicherheitsanforderungen nach IT-Grundschutz liefern eine Standard-Absicherung sind aber unter Umstaumlnden alleine nicht ausreichend Weitergehende Maszlignahmen sollten auf Basis einer Risikoanalyse ermittelt werden

Schutzbedarfskategorie bdquosehr hochldquo Sicherheitsanforderungen nach IT-Grundschutz liefern eine Standard-Absicherung reichen aber alleine im Allshygemeinen nicht aus Die erforderlichen zusaumltzlichen Sishycherheitsmaszlignahmen muumlssen individuell auf der Grundshylage einer Risikoanalyse ermittelt werden

Tabelle 5 Schutzwirkung von Sicherheitsanforderungen nach IT-Grundschutz

Auszliger bei hohem oder sehr hohem Schutzbedarf muss eine Risikoanalyse auch dann durchgefuumlhrt werden wenn die Objekte des betrachteten Informationsverbunds

bull mit den existierenden Bausteinen des IT-Grundschutzes nicht hinreichend abgebildet (modelliert) werden koumlnnen oder

bull in Einsatzszenarien (Umgebung Anwendung) betrieben werden die im Rahmen des IT-Grundshyschutzes nicht vorgesehen sind

Ausfuumlhrliche Informationen zur Risikoanalyse finden sich in Kapitel 85

Bereiche mit unterschiedlichem Schutzbedarf

Bei der Schutzbedarfsfeststellung zeigt sich haumlufig dass es Bereiche innerhalb des betrachteten Inforshymationsverbunds gibt in denen Informationen verarbeitet werden die einen hohen oder sehr hohen Schutzbedarf haben Auch wenn nur wenige herausgehobene Daten besonders schutzbeduumlrftig sind fuumlhrt die starke Vernetzung und Kopplung von IT-Systemen ICS- und sonstigen Geraumlten und Anwendungen schnell dazu dass sich der houmlhere Schutzbedarf nach dem Maximumprinzip auf anshydere Bereiche uumlbertraumlgt

Um Risiken und Kosten einzudaumlmmen sollten daher Sicherheitszonen zur Trennung von Bereichen mit unterschiedlichem Schutzbedarf eingerichtet werden Solche Sicherheitszonen koumlnnen sowohl raumlumlich als auch technisch oder personell ausgepraumlgt sein

Beispiele

bull Raumlumliche Sicherheitszonen Um nicht jeden einzelnen Bfroraum permanent abschlieszligen oder fberwachen zu mfssen sollten Zonen mit starkem Besucherverkehr von hochschutzbeshydfrftigen Bereichen getrennt werden So sollten sich Besprechungs- Schulungs- oder Veranshystaltungsraumlume ebenso wie eine Kantine die externes Publikum anzieht in der Naumlhe des Geshybaumludeeingangs befinden Der Zugang zu Gebaumludeteilen mit Bfros kann dann von einem Pfoumlrtshyner einfach fberwacht werden Besonders sensitive Bereiche wie eine Entwicklungsabteilung sollten mit einer zusaumltzlichen Zugangskontrolle z B fber Chipkarten abgesichert werden

bull Technische Sicherheitszonen Um vertrauliche Daten auf bestimmte Bereiche innerhalb eines LANs zu begrenzen und um zu verhindern dass Stoumlrungen in bestimmten Komponenten oder Angriffe die Funktionsfaumlhigkeit beeintraumlchtigen ist es hilfreich das LAN in mehrere Teilnetze aufzuteilen (siehe auch Baustein NET11 Netzarchitektur und -design im IT-Grundschutz-Komshypendium)

bull Personelle Sicherheitszonen Grundsaumltzlich sollten an jede Person immer nur so viele Rechte vergeben werden wie es ffr die Aufgabenwahrnehmung erforderlich ist Darfber hinaus gibt es auch verschiedene Rollen die eine Person nicht gleichzeitig wahrnehmen sollte So sollte ein Revisor nicht gleichzeitig in der Buchhaltung und in der IT-Administration arbeiten da er sich nicht selbst kontrollieren kann und darf Um die Vergabe von Zugangs- und Zutrittsrechte zu vereinfachen sollten Personengruppen die nicht miteinander vereinbare Funktionen wahrshynehmen in getrennten Gruppen oder Abteilungen arbeiten

bull Zonenkonzept bei virtualisierten Infrastrukturen Wird Virtualisierung eingesetzt dann muss dies auch im technischen Zonenkonzept berfckshysichtigt werden Virtualisierung bedeutet eine Konsolidierung der Server d h die Moumlglichkeit mehrere Server virtuell auf einem physischen Host zu betreiben Hierbei koumlnnen die eingesetzshyten Server unterschiedlichem Schutzbedarf unterliegen aufgrund der verschiedenen Anwenshydungen und Dienste die darauf laufen Daher sollte vor einer Virtualisierung festgelegt wershyden welche Dienste oder Anwendungen zusammen in einer virtuellen Umgebung betrieben werden dfrfen und welche durch geeignete Maszlignahmen separiert werden mfssen Bei der Segmentierung sollte darauf geachtet werden dass alle Bereiche der IT-Infrastruktur (bdquoServerldquo bdquoNetzeldquo bdquoStorageldquo und bdquoManagementldquo) erfasst sind Bei der Entscheidung welche Systeme auf einer gemeinsamen physischen Hardware virtualishysiert werden dfrfen ist Folgendes zu beachten

bull Die Server sollten aus organisatorischer Sicht und aus Sicherheitsgrfnden sinnvoll in Zonen gruppiert werden Zonen sollten nicht zusammen mit der Sicherheitskomponente die ffr die Separierung der Zonen sorgt virtualisiert werden

bull Welche Komponenten zusammen auf einer gemeinsamen physischen Hardware virtualisiert werden koumlnnen ist abhaumlngig vom Schutzbedarf und Bedarfstraumlger Bedarfstraumlger koumlnnen unterschiedliche Mandanten (Hosting-Szenarien) unterschiedliche Orshyganisationseinheiten innerhalb eines Unternehmens oder einer Behoumlrde oder unterschiedliche Verfahren sein Im ersten Fall besteht die Herausforderung bei der Planung ein gleiches Vershystaumlndnis der Bedarfstraumlger fber die verwendeten Schutzbedarfskategorien zu erreichen

83 Modellierung eines Informationsverbunds

bull Zonenkonzept beim Cloud Computing

Um dem unterschiedlichen Schutzbedarf der Anwender Rechnung zu tragen mfssen Cloud-Comshyputing-Plattformen mandantenfaumlhig sein und eine verlaumlssliche und durchgaumlngige Trennung der Anwender fber den kompletten Cloud-Computing-Stack (Server Netze Storage und Manageshyment) gewaumlhrleisten Neben den gaumlngigen Sicherheitsmaszlignahmen wie Schadprogramm- und Spamschutz IDS und IPS sollte auf Netzebene auf eine geeignete Segmentierung geachtet werden indem abhaumlngig vom Schutzbedarf Sicherheitszonen definiert und eingerichtet werden Beispiele hierffr sind

bull Sicherheitszone ffr das Management der Cloud

bull Sicherheitszone ffr die Live Migration

bull Sicherheitszone ffr das Storage-Netz

bull Sicherheitszonen ffr die virtuellen Maschinen

Darfber hinaus wird empfohlen unterschiedliche Zonen ffr die Server-Hardware anhand des Schutzbedarfs einzurichten und diese untereinander unter Verwendung von Sicherheitsgateways zu trennen

Bei der Planung neuer Geschaumlftsprozesse Fachaufgaben oder Anwendungen sollte fruumlhzeitig gepruumlft werden ob es zweckmaumlszligig ist Sicherheitszonen einzurichten Haumlufig kann dadurch in allen nachfolshygenden Phasen bis hin zur Revision viel Arbeit gespart werden

Aktionspunkte zu 829 Schlussfolgerungen aus den Ergebnissen der Schutzbedarfsfestshystellung

bull Pruumlfen ob Objekte mit erhoumlhten Sicherheitsanforderungen in Sicherheitszonen konzentriert wershyden koumlnnen

bull Objekte mit erhoumlhten Sicherheitsanforderungen fuumlr eine Risikoanalyse vormerken

Nachdem die notwendigen Informationen aus der Strukturanalyse und der Schutzbedarfsfeststellung vorliegen besteht der naumlchste Schritt darin den betrachteten Informationsverbund mithilfe der vorshyhandenen Bausteine aus dem IT-Grundschutz-Kompendium nachzubilden Das Ergebnis ist ein IT-Grundschutz-Modell des Informationsverbunds das aus verschiedenen gegebenenfalls auch mehrfach verwendeten Bausteinen besteht und durch die Verwendung der Bausteine die sicherheitsshyrelevanten Aspekte des Informationsverbunds beinhaltet

831 Das IT-Grundschutz-Kompendium

Das IT-Grundschutz-Kompendium (siehe [GSK]) kann in der jeweils aktuellen Fassung vom BSI-Webshyserver heruntergeladen oder beim Bundesanzeiger Verlag erworben werden

Die IT-Grundschutz-Bausteine

Das IT-Grundschutz-Kompendium enthaumllt fuumlr verschiedene Vorgehensweisen Komponenten und IT-Systeme die Gefaumlhrdungslage Sicherheitsanforderungen und weiterfuumlhrende Informationen die jeweils in einem Baustein zusammengefasst sind

Um Innovationsschuumlbe und Versionswechsel vor allem im IT-Bereich zu beruumlcksichtigen ist das IT-Grundschutz-Kompendium mithilfe seiner Bausteinstruktur modular aufgebaut und konzentriert sich auf die Darstellung der wesentlichen Sicherheitsanforderungen fuumlr die jeweiligen Bausteine Dashymit ist es leicht erweiter- und aktualisierbar Uumlbergeordnet sind die Bausteine in prozess- und systemshyorientierte Bausteine aufgeteilt und nach zusammengehoumlrigen Themen in ein Schichtenmodell einshysortiert

Die prozessorientierten Bausteine sind in die folgenden Schichten gruppiert

bull OPS (Betrieb)

Gefaumlhrdungen

In jedem Baustein wird zunaumlchst die zu erwartende spezifische Gefaumlhrdungslage beschrieben Ergaumlnshyzend hierzu befindet sich im separaten Anhang der jeweiligen Bausteine eine Auflistung der elemenshytaren Gefaumlhrdungen die bei der Erstellung des Bausteins beruumlcksichtigt wurden Diese Gefaumlhrdungsshyliste ist Teil einer ersten Stufe der vereinfachten Risikoanalyse fuumlr typische Umgebungen der Informashytionsverarbeitung und bildet die Grundlage auf Basis derer das BSI spezifische Anforderungen zusammengestellt hat um ein angemessenes Niveau der Informationssicherheit in einer Institution zu gewaumlhrleisten Der Vorteil dabei ist dass die Anwender bei typischen Anwendungsfaumlllen keine aufwaumlndigen oder weiterfuumlhrenden Analysen benoumltigen um das fuumlr einen normalen Schutzbedarf notwendige Sicherheitsniveau zu erreichen Vielmehr ist es ausreichend die fuumlr die betrachteten Geshyschaumlftsprozesse und ihrer notwendigen Ressourcen relevanten Bausteine zu identifizieren und die darin empfohlenen Anforderungen konsequent und vollstaumlndig zu erfuumlllen

Auch wenn besondere Komponenten oder Einsatzumgebungen vorliegen die im IT-Grundschutz nicht hinreichend behandelt werden bietet das IT-Grundschutz-Kompendium dennoch eine wertvolle Arbeitshilfe Die dann notwendige Risikoanalyse kann sich auf die elementaren Gefaumlhrdungen dieser Komponenten oder Rahmenbedingungen konzentrieren

Sicherheitsanforderungen

In jedem Baustein werden die Sicherheitsanforderungen die fuumlr den Schutz des betrachteten Gegenshystands relevant sind aufgefuumlhrt Sie beschreiben was zu dessen Schutz zu tun ist Die Anforderungen sind in drei Kategorien unterteilt

bull Basis-Anforderungen muumlssen vorrangig erfuumlllt werden da bei diesen Empfehlungen mit (relativ) geringem Aufwand der groumlszligtmoumlgliche Nutzen erzielt werden kann Es handelt sich um uneingeshy

schraumlnkte Anforderungen Die Basis-Anforderungen sind ebenfalls die Grundlage fuumlr die Vorgeshyhensweise bdquoBasis-Absicherungldquo

bull Standard-Anforderungen bauen auf den Basis-Anforderungen auf und adressieren den normashylen Schutzbedarf Sie sollten grundsaumltzlich erfuumlllt werden aber nicht vorrangig Die Ziele der Stanshydard-Anforderungen muumlssen erreicht werden um eine Standard-Absicherung zu erzielen Es koumlnshynen sich aber durch die jeweiligen Rahmenbedingungen der Institution auch Gruumlnde ergeben warum eine Standard-Anforderung nicht wie beschrieben umgesetzt wird sondern die Sichershyheitsziele auf andere Weise erreicht werden Wenn eine Standard-Anforderung durch andere Sishycherheitsmaszlignahmen erfuumlllt wird muumlssen die dadurch entstehenden Auswirkungen sorgfaumlltig abgewogen und geeignet dokumentiert werden

bull Anforderungen bei erhoumlhtem Schutzbedarf sind eine Auswahl von Vorschlaumlgen fuumlr eine weishyterfuumlhrende Absicherung die bei erhoumlhten Sicherheitsanforderungen oder unter bestimmten Rahshymenbedingungen als Grundlage fuumlr die Erarbeitung geeigneter Anforderungen und Maszlignahmen beruumlcksichtigt werden koumlnnen

Die Bausteine wenden sich an Sicherheitsbeauftragte und Sicherheitsverantwortliche in Institutionen

Umsetzungshinweise

Zusaumltzlich zu den Bausteinen des IT-Grundschutz-Kompendiums kann es Umsetzungshinweise geshyben Diese beschreiben wie die Anforderungen der Bausteine umgesetzt werden koumlnnen und entshyhalten dafuumlr passende Sicherheitsmaszlignahmen mit einer detaillierten Beschreibung Die Sicherheitsshymaszlignahmen koumlnnen als Grundlage fuumlr Sicherheitskonzeptionen verwendet werden sollten aber unshyter Umstaumlnden noch an die Rahmenbedingungen der jeweiligen Institution angepasst werden

Die Umsetzungshinweise adressieren jeweils die Personengruppen die fuumlr die Umsetzung der Anforshyderungen aus den Bausteinen zustaumlndig sind beispielsweise den IT-Betrieb oder die Haustechnik Diese Umsetzungshinweise werden fuumlr ausgewaumlhlte vor allem fuumlr stark nachgefragte Themen beshyreitgestellt

832 Modellierung eines Informationsverbunds Auswahl von Bausteinen

Das erstellte IT-Grundschutz-Modell ist unabhaumlngig davon ob der Informationsverbund aus bereits im Einsatz befindlichen Komponenten besteht oder ob es sich um einen Informationsverbund handelt der sich ganz oder teilweise im Planungsstadium befindet Jedoch kann das Modell unterschiedlich verwendet werden

bull Das IT-Grundschutz-Modell eines bereits realisierten Informationsverbunds identifiziert uumlber die verwendeten Bausteine die relevanten Sicherheitsanforderungen Es kann in Form eines Pruumlfplans benutzt werden um einen Soll-Ist-Vergleich durchzufuumlhren

bull Das IT-Grundschutz-Modell eines geplanten Informationsverbunds stellt hingegen ein Entwickshylungskonzept dar Es beschreibt uumlber die ausgewaumlhlten Bausteine welche Sicherheitsanfordeshyrungen bei der Realisierung des Informationsverbunds erfuumlllt werden muumlssen

Die Einordnung der Modellierung und die moumlglichen Ergebnisse verdeutlicht die folgende Abbildung

Abbildung 27 Ergebnis der Modellierung nach IT-Grundschutz

Typischerweise wird ein im Einsatz befindlicher Informationsverbund sowohl realisierte als auch in Plashynung befindliche Anteile umfassen Das resultierende IT-Grundschutz-Modell beinhaltet dann sowohl einen Pruumlfplan wie auch Anteile eines Entwicklungskonzepts Alle im Pruumlfplan bzw im Entwicklungskonshyzept vorgesehenen Sicherheitsanforderungen bilden dann gemeinsam die Basis fuumlr die Erstellung des Sicherheitskonzepts Dazu gehoumlren neben den bereits erfuumlllten Sicherheitsanforderungen die bei Durchshyfuumlhrung des Soll-Ist-Vergleichs als unzureichend oder gar nicht erfuumlllt identifizierten Anforderungen soshywie diejenigen die sich fuumlr die in Planung befindlichen Anteile des Informationsverbunds ergeben

Um einen im Allgemeinen komplexen Informationsverbund nach IT-Grundschutz zu modellieren muumlsshysen die passenden Bausteine des IT-Grundschutz-Kompendiums ausgewaumlhlt und umgesetzt werden Um die Auswahl zu erleichtern sind die Bausteine im IT-Grundschutz-Kompendium zunaumlchst in prozessshyund systemorientierte Bausteine aufgeteilt und diese jeweils in einzelne Schichten untergliedert

Die Sicherheitsaspekte eines Informationsverbunds werden wie folgt den einzelnen Schichten zugeshyordnet

Abbildung 28 Das Schichtenmodell des IT-Grundschutzes

Prozessorientierte Bausteine

bull Die Schicht ISMS enthaumllt als Grundlage fuumlr alle weiteren Aktivitaumlten im Sicherheitsprozess den Baustein Sicherheitsmanagement

bull In der Schicht ORP finden sich Bausteine die organisatorische und personelle Sicherheitsaspekte abdecken wie die Bausteine Organisation und Personal

bull Die Schicht CON enthaumllt Bausteine die sich mit Konzepten und Vorgehensweisen befassen Typishysche Bausteine der Schicht CON sind unter anderem Kryptokonzept und Datenschutz

bull Die Schicht OPS umfasst alle Sicherheitsaspekte betrieblicher Art Insbesondere sind dies die Sichershyheitsaspekte des operativen IT-Betriebs sowohl bei einem Betrieb im Haus als auch bei einem IT-Beshytrieb der in Teilen oder komplett durch Dritte betrieben wird Ebenso enthaumllt er die Sicherheitsasshypekte die bei einem IT-Betrieb fuumlr Dritte zu beachten sind Beispiele fuumlr die Schicht OPS sind die Bausteine Schutz vor Schadprogrammen und Outsourcing fuumlr Kunden

bull In der Schicht DER finden sich alle Bausteine die fuumlr die Uumlberpruumlfung der umgesetzten Sicherheitsshymaszlignahmen und insbesondere fuumlr die Detektion von Sicherheitsvorfaumlllen sowie die geeigneten Reaktionen darauf relevant sind Typische Bausteine der Schicht DER sind Behandlung von Sichershyheitsvorfaumlllen und Forensik

System-Bausteine

bull Die Schicht APP beschaumlftigt sich mit der Absicherung von Anwendungen und Diensten unter anshyderem in den Bereich Kommunikation Verzeichnisdienste netzbasierte Dienste sowie Business-und Client-Anwendungen Typische Bausteine der Schicht APP sind Groupware Office-Produkte Webserver und Browser

bull Die Schicht SYS betrifft die einzelnen IT-Systeme des Informationsverbunds die gegebenenfalls in Gruppen zusammengefasst wurden Hier werden die Sicherheitsaspekte von Servern Deskshytop-Systemen Mobile Devices und sonstigen IT-Systemen wie Druckern und TK-Anlagen behanshydelt Zur Schicht SYS gehoumlren beispielsweise Bausteine zu konkreten Betriebssystemen Smartphoshynes und Tablets und Drucker Kopierer und Multifunktionsgeraumlte

bull Die Schicht NET betrachtet die Vernetzungsaspekte die sich nicht auf bestimmte IT-Systeme sonshydern auf die Netzverbindungen und die Kommunikation beziehen Dazu gehoumlren z B die Bausteishyne Netzmanagement Firewall und WLAN-Betrieb

bull Die Schicht INF befasst sich mit den baulich-technischen Gegebenheiten hier werden Aspekte der infrastrukturellen Sicherheit zusammengefuumlhrt Dies betrifft unter anderem die Bausteine Gebaumlushyde und Rechenzentrum

bull Die Schicht IND befasst sich mit Sicherheitsaspekten industrieller IT In diese Schicht fallen beispielsshyweise die Bausteine Maschine Sensoren und Speicherprogrammierbare Steuerung (SPS)

Die Einteilung in diese Schichten hat folgende Vorteile

bull Die Komplexitaumlt der Informationssicherheit wird reduziert indem eine sinnvolle Aufteilung der Einzelaspekte vorgenommen wird

bull Da uumlbergeordnete Aspekte und gemeinsame infrastrukturelle Fragestellungen getrennt von den IT-Systemen betrachtet werden kommt es zu einer Vermeidung von Redundanzen weil diese Aspekte nur einmal bearbeitet werden muumlssen und nicht wiederholt fuumlr jedes IT-System

bull Die einzelnen Schichten sind so gewaumlhlt dass auch die Zustaumlndigkeiten fuumlr die betrachteten Aspekte gebuumlndelt sind So betreffen beispielsweise die Schichten ISMS und ORP Grundsatzfragen des sicheren Umgangs mit Informationen die Schicht INF den Bereich Haustechnik die Schicht SYS die Zustaumlndigen fuumlr die IT-Systeme die Schicht NET die Ebene der Netzadministratoren und die Schicht APP schlieszliglich die Anwendungsverantwortlichen und -betreiber

bull Aufgrund der Aufteilung der Sicherheitsaspekte in Schichten koumlnnen Einzelaspekte in resultierenshyden Sicherheitskonzepten leichter aktualisiert und erweitert werden ohne dass andere Schichten umfangreich tangiert werden

Die Modellierung nach dem IT-Grundschutz besteht nun darin fuumlr die Bausteine einer jeden Schicht zu entscheiden ob und wie sie zur Abbildung des Informationsverbunds herangezogen werden koumlnnen Je nach betrachtetem Baustein koumlnnen die Zielobjekte dieser Abbildung von unterschiedlicher Art sein einzelne Geschaumlftsprozesse oder Komponenten Gruppen von Komponenten Gebaumlude Liegenshyschaften Organisationseinheiten usw

Im IT-Grundschutz-Kompendium ist im Kapitel Schichtenmodell und Modellierung beschrieben wann ein einzelner Baustein sinnvollerweise eingesetzt werden soll und auf welche Zielobjekte er anzuwenshyden ist Auszligerdem sind die Bausteine danach gekennzeichnet ob sie vor- oder nachrangig umgesetzt werden sollten

bull R1 Diese Bausteine sollten vorrangig umgesetzt werden da sie die Grundlage fuumlr einen effektiven Sicherheitsprozess bilden

bull R2 Diese Bausteine sollten als Naumlchstes umgesetzt werden da sie in wesentlichen Teilen des Inshyformationsverbunds fuumlr nachhaltige Sicherheit erforderlich sind

bull R3 Diese Bausteine werden zur Erreichung des angestrebten Sicherheitsniveaus ebenfalls benoumltigt und muumlssen umgesetzt werden es wird aber empfohlen diese erst nach den anderen Bausteinen zu betrachten

Mit R1 sind die Bausteine gekennzeichnet die notwendig sind um ein grundlegendes Sicherheitsgeshyruumlst zu erreichen Es handelt sich um die Bausteine der Bereiche

bull ISMS Managementsysteme fuumlr Informationssicherheit

bull ORP Organisation und Personal

bull OPS11 Kern-IT-Betrieb

Die im zweiten und dritten Schritt umzusetzenden Bausteine (R2 und R3) finden sich in allen anderen Schichten des IT-Grundschutz-Kompendiums

Diese Kennzeichnung zeigt nur die sinnvolle zeitliche Reihenfolge fuumlr die Umsetzung der Anforderunshygen des jeweiligen Bausteins auf und stellt keine Gewichtung der Bausteine untereinander dar Grundsaumltzlich muumlssen alle fuumlr den jeweiligen Informationsverbund relevanten Bausteine des IT-Grundshyschutz-Kompendiums umgesetzt werden

Die Kennzeichnung der Bausteine stellt auszligerdem nur eine Empfehlung dar in welcher Reihenfolge die verschiedenen Bausteine sinnvoll umgesetzt werden koumlnnten Jede Institution kann hier eine dashyvon abweichende fuumlr sich sinnvolle Reihenfolge festlegen

Die IT-Grundschutz-Modellierung also die Zuordnung von Bausteinen zu Zielobjekten sollte in Form einer Tabelle mit folgenden Spalten dokumentiert werden

bull Nummer und Titel des Bausteins

bull Relevanz Diese Spalte dient der Entscheidung ob ein Baustein fuumlr den zu modellierenden Inforshymationsverbund relevant ist oder nicht Sie liefert einen schnellen Uumlberblick daruumlber ob kein Baushystein vergessen wurde

bull Zielobjekt Wenn ein Baustein fuumlr den Informationsverbund relevant ist erfolgt uumlber diese Spalte die Zuordnung zum Zielobjekt bzw einer Zielobjektgruppe

bull Begruumlndung In dieser Spalte koumlnnen Randinformationen und Begruumlndungen fuumlr die Modellierung dokumentiert werden Sind Bausteine fuumlr den betrachteten Informationsverbund nicht relevant sollte dies hier explizit begruumlndet werden

bull Ansprechpartner Der konkrete Ansprechpartner wird nicht im Rahmen der Modellierung sondern erst bei der Planung des eigentlichen Soll-Ist-Vergleichs im IT-Grundschutz-Check ermittelt Basieshyrend auf den Rollen und Verantwortlichen die in den Bausteinen genannten werden kann hier jedoch schon eine entsprechende Vorarbeit geleistet werden

Die folgende Tabelle ist ein Auszug aus der Modellierung fuumlr das Unternehmen RECPLAST GmbH

A3 Modellierung der RECPLAST GmbH

Nummer und Titel des Bausteins Releshyvanz Zielobjekt Begruumlndung

Ansprechshypartner

APP52 Microsoft Exchange Outlook nein Wird nicht eingesetzt

APP 36 DNS-Server ja S019

BenutzerdefBS1 PC fuumlr die Industrieshysteuerung ja C005

CON7 Informationssicherheit auf Auslandsreisen nein

Auslandsreisen sind fuumlr Informationsverbund nicht relevant

INF1 Allgemeines Gebaumlude ja G001

INF7 Datentraumlgerarchiv nein Es gibt kein Datentraumlshygerarchiv

INF4 IT-Verkabelung ja Informationsshyverbund

ISMS1 (Sicherheitsmanagement) ja Informationsshyverbund

NET11 Netz-Architektur und -design ja Informationsshyverbund

NET31 Router und Switches ja S033

OPS112 Ordnungsgemaumlszlige IT-Admishynistration nein

Die IT-Administration findet auszligerhalb des Informationsverbunshydes statt

OPS24 Fernwartung ja Informationsshyverbund

SYS13 Server unter Unix ja S020

SYS41 Drucker Kopierer und Multishyfunktionsgeraumlte ja S048

Abbildung 29 Auszug aus der Modellierung der RECPLAST GmbH

Eine detaillierte Beschreibung der Vorgehensweise zur Modellierung eines Informationsverbunds finshydet sich im IT-Grundschutz-Kompendium im Kapitel Schichtenmodell und Modellierung

835 Modellierung bei Virtualisierung und Cloud-Systemen

Grundsaumltzlich erfolgt die Modellierung virtueller IT-Systeme nach den gleichen Regeln wie bei eigenshystaumlndigen physischen IT-Systemen d h es sind die Hinweise in Kapitel 2 des IT-Grundschutz-Komshypendiums zu beachten Die Zuordnung der IT-Grundschutz-Bausteine richtet sich bei IT-Komponenten in erster Linie nach der Funktion des IT-Systems (Server Client usw) nach dem verwendeten Betriebsshysystem (Linux Windows usw) und nach den darauf betriebenen Applikationen (Datenbank Websershyver usw)

Bei Virtualisierungssoftware gibt es Produkte die ein unterliegendes Betriebssystem benoumltigen (hostshybasierte Virtualisierungsloumlsungen) und andere die direkt auf der physischen Hardware laufen (Bare Metal Virtualisierung) ohne unterliegendes Betriebssystem Falls unterhalb der Virtualisierungsshyschicht ein vollwertiges und eigenstaumlndiges Betriebssystem eingesetzt wird muss der dazu passende Baustein ebenfalls zugeordnet werden (z B aus SYS12 Windows-Server) unabhaumlngig von den virshytuellen IT-Systemen

Wurde der Hypervisor direkt auf der physischen Hardware installiert (Bare Metal Virtualisierung) hanshydelt es sich hierbei um ein Zielobjekt das im IT-Grundschutz-Kompendium nicht enthalten ist da es sich hierbei um ein sehr spezielles Zielobjekt handelt Daher muss eine Risikoanalyse fuumlr das entspreshychende Zielobjekt durchgefuumlhrt und die Ergebnisse sollten anschlieszligend mit den Anforderungen des Bausteins SYS15 Virtualisierung konsolidiert werden

Beispielszenario

Als Beispiel wird ein physischer Server S1 betrachtet auf dem mithilfe einer Virtualisierungssoftshyware die drei virtuellen Server VM1 VM2 und VM3 betrieben werden Als Basis-Betriebssystem kommt auf dem physischen Server S1 eine Linux-Version zum Einsatz Die Virtualisierungsschicht ist in diesem Beispiel eine Software-Komponente die unter Linux laumluft also eine hostbasierte Servervirtualisierung (Typ 2) Die beiden virtuellen Server VM1 und VM2 werden mit Windows 2012 betrieben auf VM3 ist hingegen Linux installiert Applikationen koumlnnen sowohl auf den drei virtuellen Servern als auch (unter Umgehung der Virtualisierungsschicht) direkt auf dem Basis-Beshytriebssystem des physischen Servers S1 ablaufen Die folgende Abbildung zeigt ein Schema dieser Beispielkonfiguration

Abbildung 30 Schema einer Beispielkonfiguration

Baustein Zielobjekt

SYS11 Allgemeiner Server S1

SYS11 Allgemeiner Server VM3

SYS11 Allgemeiner Server Gruppe aus VM1 und VM2

SYS13 Server unter Unix S1

SYS13 Server unter Unix VM3

SYS122 Windows Server 2012 Gruppe aus VM1 und VM2

Tabelle 6 Zuordnung Bausteine aus Virtualisierungsschicht zu Zielobjekten

Modellierung beim Cloud-Computing

Um eine angemessene Gesamtsicherheit fuumlr den IT-Betrieb von Cloud-Diensten zu erreichen muumlssen alle Cloud-Dienste (mit ihren zugeordneten virtuellen IT-Systemen Netzen und weiteren Cloud-Komshyponenten) systematisch in der Sicherheitskonzeption beruumlcksichtigt werden Alle uumlber Cloud-Dienste bereitgestellten IT-Systeme Netze und Anwendungen die sich einerseits in der Betriebsverantworshytung und andererseits im Geltungsbereich des ISMS des Cloud-Diensteanbieters befinden muumlssen in der Modellierung gemaumlszlig der IT-Grundschutz-Vorgehensweise beruumlcksichtigt werden Hierbei kann der Geltungsbereich des Informationsverbunds gleichzeitig als Grenze der Verantwortlichkeit verstanshyden werden An der Grenze des Informationsverbunds endet die Verantwortung des Cloud-Diensteshyanbieters und beginnt die Verantwortung des Cloud-Anwenders Der Umfang des Informationsvershybunds unterscheidet sich dabei je nach dem Servicemodell

Modellierung von IaaS-Angeboten

Bei IaaS (Infrastructure as a Service) ist der Cloud-Diensteanbieter fuumlr den Verwaltungsserver fuumlr die Cloud und den Virtualisierungsserver verantwortlich Deshalb kommen bei IaaS aus den Schichten APP (Anwendungen) und SYS (IT-Systeme) nur die Verwaltungs- und die Virtualisierungssoftware als Zielobjekte vor Fuumlr diese muumlssen somit die zugehoumlrigen Bausteine ausgewaumlhlt werden Nach der IT-Grundschutz-Vorgehensweise sind dies die Bausteine fuumlr IT-Systeme als Server (Schicht SYS1) Fuumlr den Cloud-Verwaltungsserver muumlssen die Bausteine SYS 15 Virtualisierung und OPS32 Cloud-Anbieter umgesetzt werden

Fuumlr IaaS stellt der Cloud-Diensteanbieter nicht mehr als eine virtuelle bdquoHuumllleldquo uumlber ein virtuelles Netz bereit Die Absicherung des Netzes nach IT-Grundschutz verantwortet bei IaaS der Cloud-Diensteanshybieter wohingegen die Cloud-Anwender die IT-Systeme des Cloud-Angebotes verantworten Fuumlr das Netz sind die passenden Bausteine aus der Schicht Netze und Kommunikation zu modellieren (z B NET11 Netzarchitektur und -design) In der Regel wird dem virtuellen Server ein Speicherkontingent aus einem Speichernetz zugeordnet hierfuumlr ist der Baustein SYS18 SpeicherloumlsungenCloud Storage ebenfalls vom Cloud-Diensteanbieter umzusetzen

Ein virtueller Server aus der Cloud der per IaaS angeboten wird wird durch den Cloud-Anwender konfiguriert Die Umsetzungsverantwortung fuumlr seine Sicherheitsmaszlignahmen liegt somit ebenfalls beim Cloud-Anwender Im Hinblick auf die Abgrenzung des Informationsverbunds des Cloud-Diensshyteanbieters befindet sich also dieser virtuelle Server auszligerhalb des Informationsverbunds des Cloud-Diensteanbieters

Die Schnittstelle zur Bereitstellung von IaaS-Cloud-Diensten (Self-Service-Portal) ist durch geeignete Mechanismen zur Netztrennung (z B uumlber Netze virtuelle Firewalls Routing) vom Cloud-Diensteanshybieter abzusichern und gegebenenfalls der Baustein APP31 Webanwendungen umzusetzen

Eine Modellierung der IaaS-Server als IT-Systeme im Sicherheitskonzept des Cloud-Diensteanbieters ist moumlglich allerdings nicht notwendig da die Cloud-Anwender diese IT-Systeme verwalten

Modellierung von PaaS-Angeboten

Bei PaaS (Platform as a Service) ist der Cloud-Diensteanbieter zusaumltzlich zu IaaS fuumlr die sichere Bereitshystellung eines virtuellen Servers und einer angebotenen Plattform verantwortlich (z B einer Datenshybank oder eines Webservers) Dementsprechend muss der Cloud-Diensteanbieter im Servicemodell PaaS zunaumlchst wie bei IaaS den Cloud-Verwaltungsserver und dessen Verwaltungssoftware modelshylieren Dort erfolgt zentral die Zuordnung des Bausteins OPS32 Cloud-Anbieter

Daruumlber hinaus muss der Cloud-Diensteanbieter ein IT-System mit dem entsprechenden Betriebssysshytem modellieren Zu diesem IT-System ist je nach Cloud-Dienst auf Anwendungsschicht eine Datenshybank oder ein Webserver zu modellieren

Das PaaS-IT-System mit den verbundenen Cloud-Anwendungen muss fuumlr jeden Cloud-Mandanten modelliert werden wobei Mandanten mit gleichen Plattformen gleichen Anwendungen und gleishychem Schutzbedarf gemaumlszlig den Vorgaben in Kapitel 811 Komplexitaumltsreduktion durch Gruppenbilshydung in einer Gruppe zusammengefasst werden koumlnnen

In der Praxis werden Cloud-Dienste des Servicemodells PaaS uumlber virtuelle Profile bereitgestellt die fuumlr mehrere Cloud-Anwender bzw Mandanten eingesetzt werden koumlnnen Es bietet sich daher in der IT-Grundschutz-Modellierung an diese Kombinationen in Form von Musterservern zu modellieren und pro Mandant zu verknuumlpfen bzw zu vervielfachen

Modellierung von SaaS-Angeboten

Bei SaaS (Software as a Service) muumlssen zunaumlchst die fuumlr die unterliegende Cloud-Infrastruktur releshyvanten Zielobjekte wie bei IaaS und PaaS identifiziert und entsprechenden Bausteinen zugeordnet werden

Im Vergleich zu PaaS werden bei SaaS weitere Anwendungen auf den Cloud-IT-Systemen modelliert (z B ein Webservice eine Webanwendung oder ein SAP-System) Bei SaaS ist der Cloud-Diensteanshybieter praktisch fuumlr den gesamten Cloud-Computing-Stack (Server Netze Storage Management und Anwendungen) verantwortlich Die SaaS-Anwendungen liegen auch in seinem Verantwortungsbeshyreich und muumlssen somit in seinem Informationsverbund modelliert werden Dabei koumlnnen sowohl mehrfache Auspraumlgungen derselben SaaS-Anwendung als auch Gruppen von SaaS-Anwendungen gemaumlszlig den Vorgaben in Kapitel 811 zusammengefasst werden wenn die dort angegebenen Vorshyaussetzungen erfuumlllt sind

836 Anpassung der Baustein-Anforderungen

Uumlber die Modellierung wurden die Bausteine des IT-Grundschutz-Kompendiums ausgewaumlhlt die fuumlr die einzelnen Zielobjekte des betrachteten Informationsverbunds umzusetzen sind In den Bausteinen werden die Sicherheitsanforderungen aufgefuumlhrt die typischerweise fuumlr diese Komponenten geeigshynet und angemessen sind

Fuumlr die Erstellung eines Sicherheitskonzepts oder fuumlr ein Audit muumlssen jetzt die einzelnen Anfordeshyrungen bearbeitet und darauf aufbauend geeignete Sicherheitsmaszlignahmen formuliert werden

Die Anforderungen sind knapp und praumlzise Sie geben die Teilziele vor die zusammen zur Umsetzung der Ziele eines Bausteins beitragen Die Sicherheitsanforderungen muumlssen daher noch in Handlungsshyvorgaben fuumlr die verschiedenen Akteure im Sicherheitsprozess umgewandelt werden Dafuumlr muumlssen auf Basis der Anforderungen Sicherheitsmaszlignahmen ausgearbeitet werden die

bull an die jeweiligen Rahmenbedingungen und den Sprachgebrauch einer Institution angepasst sein muumlssen

bull ausreichend konkret sind um im vorliegenden Informationsverbund angewendet zu werden also z B ausreichend technische Details enthalten

Generell sollten die Anforderungen der IT-Grundschutz-Bausteine immer sinngemaumlszlig umgesetzt wershyden Alle Aumlnderungen gegenuumlber dem IT-Grundschutz-Kompendium sollten dokumentiert werden damit die Gruumlnde auch spaumlter noch nachvollziehbar sind

Zu vielen Bausteinen des IT-Grundschutz-Kompendiums gibt es Umsetzungshinweise in denen zu den Sicherheitsanforderungen detailliertere Maszlignahmen beschrieben sind Diese Maszlignahmen sind einerseits so allgemein formuliert dass sie in moumlglichst vielen Umgebungen anwendbar sind und andererseits so ausfuumlhrlich dass die Maszlignahmenbeschreibungen als Umsetzungshilfe dienen koumlnshynen

Auch die in den Umsetzungshinweisen vorgeschlagenen Maszlignahmen sollten noch an die jeweiligen Rahmenbedingungen einer Institution angepasst werden Es kann beispielsweise sinnvoll sein

bull Maszlignahmen weiter zu konkretisieren also z B um technische Details zu ergaumlnzen

bull Maszlignahmen dem Sprachgebrauch der Institution anzupassen also z B andere Rollenbezeichnunshygen zu verwenden und

bull aus Maszlignahmen die im betrachteten Bereich nicht relevanten Empfehlungen zu streichen

Um den Anwendern die zielgruppengerechte Anpassung der IT-Grundschutz-Texte zu erleichtern werden saumlmtliche Texte Bausteine Umsetzungshinweise Tabellen und Hilfsmittel auch in elektronishyscher Form zur Verfuumlgung gestellt Damit koumlnnen diese Texte bei der Erstellung eines Sicherheitskonshyzepts und bei der Realisierung von Sicherheitsmaszlignahmen weiterverwendet werden

Bei der Sichtung der Sicherheitsanforderungen kann sich ergeben dass einzelne Anforderungen unshyter den konkreten Rahmenbedingungen nicht umgesetzt werden koumlnnen Dies kann beispielsweise der Fall sein wenn die Anforderungen in der betrachteten Umgebung nicht relevant sind (z B weil Dienste nicht aktiviert wurden) In seltenen Faumlllen kann dies auch im Bereich der uneingeschraumlnkt notwendigen Basis-Anforderungen vorkommen wenn deren Umsetzung essenzielle Schwierigkeiten in anderen Bereichen mit sich bringen wuumlrde Dies koumlnnte beispielsweise der Fall sein wenn sich Anforderungen des Brand- und des Einbruchschutzes nicht miteinander vereinbaren lassen wuumlrden Dann muumlssten andere Loumlsungen gefunden und dies nachvollziehbar dokumentiert werden

Werden Sicherheitsanforderungen zusaumltzlich aufgenommen oder geaumlndert muss dies im Sicherheitsshykonzept dokumentiert werden Dies erleichtert auch die Durchfuumlhrung des IT-Grundschutz-Checks

Bei der Auswahl und Anpassung der Sicherheitsmaszlignahmen auf Basis der Anforderungen ist zu beshyachten dass diese immer angemessen sein muumlssen Angemessen bedeutet

bull Wirksamkeit (Effektivitaumlt) Sie muumlssen vor den moumlglichen Gefaumlhrdungen wirksam schuumltzen also den identifizierten Schutzbedarf abdecken

bull Eignung Sie muumlssen in der Praxis tatsaumlchlich umsetzbar sein duumlrfen also z B nicht die Organisashytionsablaumlufe zu stark behindern oder andere Sicherheitsmaszlignahmen aushebeln

bull Praktikabilitaumlt Sie sollen leicht verstaumlndlich einfach anzuwenden und wenig fehleranfaumlllig sein

bull Akzeptanz Sie muumlssen fuumlr alle Benutzer anwendbar (barrierefrei) sein und duumlrfen niemanden disshykriminieren oder beeintraumlchtigen

bull Wirtschaftlichkeit Mit den eingesetzten Mitteln sollte ein moumlglichst gutes Ergebnis erreicht wershyden Die Sicherheitsmaszlignahmen sollten also einerseits das Risiko bestmoumlglich minimieren und anshydererseits in geeignetem Verhaumlltnis zu den zu schuumltzenden Werten stehen

Viele Institutionen setzen externe oder interne Dienstleister ein um Geschaumlftsprozesse ganz oder teilweise durch diese durchfuumlhren zu lassen Grundsaumltzlich kann die Einbindung externer Dienstleister auf viele Arten erfolgen z B in Form von Personal das temporaumlr eingesetzt wird oder in Form von Auslagerungen von IT-Systemen

Bereits im Vorfeld der Einbindung externer Dienstleister muumlssen die Aufgaben im Bereich der Inforshymationssicherheit abgegrenzt und die Schnittstellen genau festgelegt werden Aufgaben koumlnnen an externe Dienstleister ausgelagert werden die Verantwortung fuumlr die Informationssicherheit verbleibt jedoch immer bei der auslagernden Institution

Es muss geklaumlrt sein welche sicherheitsrelevanten Aufgaben durch den externen Dienstleister und welche durch das eigene Sicherheitsmanagement abgedeckt werden Folgende Fragen sollten vor der Einbindung externer Dienstleister grundlegend geregelt werden

bull Welche Geschaumlftsprozesse welche IT-Systeme oder welche Dienstleistungen sollen an einen extershynen Dienstleister ausgelagert werden

bull Welchen Schutzbedarf haben die Zielobjekte die durch einen externen Dienstleister oder im Outshysourcing verarbeitet werden

bull Auf welche Zielobjekte und welche Informationen hat der externe Dienstleister Zugriff Hier muss einerseits beruumlcksichtigt werden welche Zielobjekte und Informationen im Fokus der Dienstleisshytungserbringung stehen aber andererseits auch auf welche Zielobjekte und Informationen die Dienstleister zugreifen koumlnnten wie z B Reinigungskraumlfte auf Informationen in Buumlroraumlumen

Sofern sich eine Institution fuumlr die Einbindung externer Dienstleister entscheidet muumlssen neben vertraglichen Rahmenbedingungen ebenfalls die Voraussetzungen fuumlr die Umsetzung der Anfordeshyrungen des IT-Grundschutzes erfuumlllt werden Generell muss die Modellierung der Bausteine geshytrennt fuumlr die eigene Institution und fuumlr jeden externen Dienstleister durchgefuumlhrt werden Die Vorshygehensweise der Modellierung erfolgt wie in Kapitel 834 bdquoZuordnung von Bausteinenldquo beschrieshyben

Auch bei der Einbindung externer Dienstleister muss es zu jedem Zeitpunkt fuumlr die auslagernde Instishytution moumlglich sein die Risiken im Bereich der Informationssicherheit zu identifizieren und zu kontrolshylieren Informationen und Geschaumlftsprozesse muumlssen immer auf einem vergleichbaren Niveau gemaumlszlig den Sicherheitszielen der Institution geschuumltzt werden auch wenn externe Dienstleister (oder wieshyderum deren Dienstleister) diese ganz oder in Teilen verarbeiten Des Weiteren ist eine hohe Ereignisshytransparenz erforderlich d h es muss Mechanismen geben die gewaumlhrleisten dass Gefaumlhrdungen und Risiken die Auswirkungen auf die Dienstleistungen haben koumlnnten erkannt und entsprechend kommuniziert werden

Hierfuumlr ist es erforderlich Sicherheitsanforderungen sowie die regelmaumlszligige Uumlberwachung ihrer Einshyhaltung in den Vertraumlgen aufzunehmen

Bei der Einbindung externer Dienstleister ist es moumlglich dass der Dienstleister bereits fuumlr die eingeshybundene Dienstleistung ein Zertifikat vorweisen kann Hierbei muss immer beruumlcksichtigt werden ob der Geltungsbereich des ausgestellten Zertifikates die Dienstleistung auch tatsaumlchlich umfasst

Aktionspunkte zu 83 Modellierung eines Informationsverbunds

bull Kapitel Schichtenmodell und Modellierung aus dem IT-Grundschutz-Kompendium systematisch durcharbeiten

bull Fuumlr jeden Baustein des IT-Grundschutz-Kompendiums ermitteln auf welche Zielobjekte er im betrachteten Informationsverbund anzuwenden ist

bull Zuordnung von Bausteinen zu Zielobjekten (bdquoIT-Grundschutz-Modellldquo) sowie die entsprechenden Ansprechpartner dokumentieren

bull Zielobjekte die nicht geeignet modelliert werden koumlnnen fuumlr eine Risikoanalyse vormerken

bull Festlegung einer Reihenfolge fuumlr die Umsetzung der Bausteine

bull Sicherheitsanforderungen aus den identifizierten Bausteinen sorgfaumlltig lesen und darauf aufbaushyend passende Sicherheitsmaszlignahmen festlegen

Fuumlr die nachfolgenden Betrachtungen wird vorausgesetzt dass fuumlr einen ausgewaumlhlten Informationsshyverbund folgende Teile des Sicherheitskonzepts nach IT-Grundschutz erstellt wurden

Anhand der Strukturanalyse des Informationsverbunds wurde eine Uumlbersicht uumlber die vorhandenen Geschaumlftsprozesse die IT und deren Vernetzung die unterstuumltzten Anwendungen und die Raumlumshylichkeiten erstellt Darauf aufbauend wurde anschlieszligend die Schutzbedarfsfeststellung durchgeshyfuumlhrt deren Ergebnis eine Uumlbersicht uumlber den Schutzbedarf der Geschaumlftsprozesse Anwendungen IT-Systeme der genutzten Raumlume und der Kommunikationsverbindungen ist Mithilfe dieser Inforshymationen wurde die Modellierung des Informationsverbunds nach IT-Grundschutz durchgefuumlhrt Das Ergebnis war eine Abbildung des betrachteten Informationsverbunds auf Bausteine des IT-Grundschutzes

Die Modellierung nach IT-Grundschutz wird nun als Pruumlfplan benutzt um anhand eines Soll-Ist-Vershygleichs herauszufinden welche Anforderungen ausreichend oder nur unzureichend erfuumlllt wurden

Dieses Kapitel beschreibt wie bei der Durchfuumlhrung des IT-Grundschutz-Checks vorgegangen wershyden sollte Der IT-Grundschutz-Check besteht aus drei unterschiedlichen Schritten Im ersten Schritt werden die organisatorischen Vorbereitungen getroffen insbesondere die relevanten Ansprechshypartner fuumlr den Soll-Ist-Vergleich ausgewaumlhlt Im zweiten Schritt wird der eigentliche Soll-Ist-Vershygleich mittels Interviews und stichprobenartiger Kontrolle durchgefuumlhrt Im letzten Schritt werden die erzielten Ergebnisse des Soll-Ist-Vergleichs einschlieszliglich der erhobenen Begruumlndungen dokushymentiert

Nachfolgend werden die Schritte des IT-Grundschutz-Checks detailliert beschrieben

841 Organisatorische Vorarbeiten fuumlr den IT-Grundschutz-Check

Fuumlr die reibungslose Durchfuumlhrung des Soll-Ist-Vergleichs sind einige Vorarbeiten erforderlich Zushynaumlchst sollten alle hausinternen Papiere z B Organisationsverfuumlgungen Arbeitshinweise Sichershyheitsanweisungen Handbuumlcher und bdquoinformelleldquo Vorgehensweisen die die sicherheitsrelevanten Ablaumlufe regeln gesichtet werden Auch die Dokumentation der bereits umgesetzten Sicherheitsmaszligshynahmen gehoumlrt dazu Diese Dokumente koumlnnen bei der Ermittlung des Umsetzungsgrades hilfreich sein insbesondere bei Fragen nach bestehenden organisatorischen Regelungen Weiterhin ist zu klaumlshyren wer gegenwaumlrtig fuumlr deren Inhalt zustaumlndig ist um spaumlter die richtigen Ansprechpartner bestimshymen zu koumlnnen

Als Naumlchstes sollte festgestellt werden ob und in welchem Umfang externe Stellen bei der Ermittlung des Umsetzungsstatus beteiligt werden muumlssen Dies kann beispielsweise bei externen Rechenzenshytren vorgesetzten Behoumlrden Firmen die Teile von Geschaumlftsprozessen oder des IT-Betriebes als Outshysourcing-Dienstleistung uumlbernehmen oder Baubehoumlrden die fuumlr infrastrukturelle Maszlignahmen zushystaumlndig sind erforderlich sein

Ein wichtiger Schritt vor der Durchfuumlhrung des eigentlichen Soll-Ist-Vergleichs ist die Ermittlung geshyeigneter Interviewpartner Hierzu sollte zunaumlchst fuumlr jeden einzelnen Baustein der fuumlr die Modellieshyrung des vorliegenden Informationsverbunds herangezogen wurde ein Hauptansprechpartner festshygelegt werden Bei den Anforderungen in den Bausteinen werden die Rollen genannt die fuumlr die Umsetzung der Anforderungen erforderlich sind Hieraus koumlnnen die geeigneten Ansprechpartner fuumlr die jeweilige Thematik in der Institution identifiziert werden Nachfolgend finden sich einige Beishyspiele fuumlr Ansprechpartner der verschiedenen Bereiche

bull Bei den Bausteinen der Schicht ORP CON und OPS ergibt sich ein geeigneter Ansprechpartner in der Regel direkt aus der im Baustein behandelten Thematik Beispielsweise sollte fuumlr den Baustein ORP2 Personal ein Mitarbeiter der zustaumlndigen Personalabteilung als Ansprechpartner ausgewaumlhlt werden Bei den konzeptionellen Bausteinen z B Baustein CON1 Kryptokonzept steht im Idealshyfall der Mitarbeiter zur Verfuumlgung der fuumlr die Fortschreibung des entsprechenden Dokuments zushystaumlndig ist Anderenfalls sollte derjenige Mitarbeiter befragt werden zu dessen Aufgabengebiet die Fortschreibung von Regelungen in dem betrachteten Bereich gehoumlrt

bull Im Bereich der Schicht INF (Infrastruktur) sollte die Auswahl geeigneter Ansprechpartner in Abstimshymung mit der Abteilung Innerer DienstHaustechnik vorgenommen werden Je nach Groumlszlige der betrachteten Institution koumlnnen beispielsweise unterschiedliche Ansprechpartner fuumlr die Infrashystrukturbereiche Gebaumlude und Technikraumlume zustaumlndig sein In kleinen Institutionen kann in vielen Faumlllen der Hausmeister Auskunft geben Zu beachten ist im Bereich der Infrastruktur dass hier unter Umstaumlnden externe Stellen zu beteiligen sind Dies betrifft insbesondere groumlszligere Institutioshynen

bull In den systemorientierten Bausteinen der Schichten SYS NETund IND werden in den zu pruumlfenden Sicherheitsmaszlignahmen verstaumlrkt technische Aspekte behandelt In der Regel kommt daher der Administrator derjenigen Komponente bzw Gruppe von Komponenten der der jeweilige Baustein bei der Modellierung zugeordnet wurde als Hauptansprechpartner infrage

bull Fuumlr die Bausteine der Schicht APP (Anwendungen) sollten die Betreuer bzw die Verantwortlichen der einzelnen Anwendungen als Hauptansprechpartner ausgewaumlhlt werden

Fuumlr die anstehenden Interviews mit den Systemverantwortlichen Administratoren und sonstigen Anshysprechpartnern sollte ein Terminplan erstellt werden Ein besonderes Augenmerk gilt hier der Terminshy

koordination mit Personen aus anderen Organisationseinheiten oder anderen Institutionen Zudem erscheint es sinnvoll bereits im Vorhinein Ausweichtermine abzustimmen

Je nach Groumlszlige der Projektgruppe sollten fuumlr die Durchfuumlhrung der Interviews Teams mit verteilten Aufgaben gebildet werden Es hat sich bewaumlhrt in jeder Gruppe zwei Personen fuumlr die Durchfuumlhrung des Interviews einzuplanen Dabei stellt eine Person die notwendigen Fragen und die andere Person notiert die Ergebnisse und Anmerkungen die durch den Interviewpartner gegeben werden

Uumlbe

fuumlr

itutio

chaumlf

tsfuuml

eshysc

haumlft

sfuumlh

chaumlf

fuumlhr

uumlrda

it uumlb

aszligna

erhauml

aumlfts

fuumlhr

stashy

Maszlig

itutio

aszligna

rshypf

aszligna

fuumlr

uumlhrli

jaumlhr

dafuuml

fuumlr d

Aktionspunkte zu 841 Organisatorische Vorarbeiten des IT-Grundschutz-Checks

bull Hausinterne Dokumente mit Verfuumlgungen und Regelungen sichten und Zustaumlndigkeiten fuumlr diese Unterlagen klaumlren

bull Feststellen in welchem Umfang externe Stellen beteiligt werden muumlssen

bull Hauptansprechpartner fuumlr jeden in der Modellierung angewandten Baustein festlegen

bull Terminplan fuumlr Interviews abstimmen

bull Team fuumlr Interviews zusammenstellen

842 Durchfuumlhrung des Soll-Ist-Vergleichs

Sind alle erforderlichen Vorarbeiten erledigt kann die eigentliche Erhebung an den zuvor festgesetzshyten Terminen beginnen Hierzu werden die Sicherheitsanforderungen des jeweiligen Bausteins fuumlr den die Interviewpartner zustaumlndig sind der Reihe nach durchgearbeitet

Als Antworten bezuumlglich des Umsetzungsstatus der einzelnen Anforderungen kommen folgende Aussagen in Betracht

bdquoentbehrlichldquo Die Erfuumlllung der Anforderung ist in der vorgeschlagenen Art nicht notwendig weil die Anforderung im betrachteten Informationsverbund nicht relevant ist (z B weil Dienste nicht aktiviert wurden) oder durch Alternativmaszlignahmen behandelt wurde Wird der Umsetzungsstatus einer Anforderung auf bdquoentbehrlichldquo gesetzt muumlssen uumlber die Kreuzreferenztabelle des jeweiligen Bausteins die zugehoumlrigen elementashyren Gefaumlhrdungen identifiziert werden Wurden Alternativmaszlignahmen ergriffen muss begruumlndet werden dass das Risiko das von allen betreffenden elementaren Gefaumlhrdungen ausgeht angemessen minimiert wurde Generell ist zu beachten dass bei Basis-Anforderungen das entstehende Risiko nicht uumlbernommen werden kann Anforderungen duumlrfen nicht auf bdquoentbehrlichldquo gesetzt werden wenn das Risiko fuumlr eine im Baustein identifizierte elementare Gefaumlhrdung uumlber die Kreuzreferenztabelshyle pauschal akzeptiert oder ausgeschlossen wird

Es ist sinnvoll bei den Interviews nicht nur die Bausteintexte sondern auch die Umsetzungshinweise oder andere ergaumlnzende Materialien griffbereit zu haben Den Befragten sollte der Zweck des IT-Grundschutz-Checks kurz vorgestellt werden Es bietet sich an mit den Anforderungsuumlberschriften fortzufahren und die Anforderungen kurz zu erlaumlutern Dem Gespraumlchspartner sollte die Moumlglichkeit gegeben werden auf die bereits umgesetzten Anforderungen und Maszlignahmen einzugehen und danach noch offene Punkte zu besprechen

Die Befragungstiefe richtet sich zunaumlchst nach dem Niveau von Basis- und Standard-Anforderungen uumlber diese hinausweisende Aspekte hochschutzbeduumlrftiger Anwendungen sollten erst nach Abshyschluss des IT-Grundschutz-Checks betrachtet werden Falls der Bedarf besteht die in den Interviews gemachten Aussagen zu verifizieren bietet es sich an stichprobenartig die entsprechenden Regelunshy

gen und Konzepte zu sichten im Bereich Infrastruktur gemeinsam mit dem Ansprechpartner die zu untersuchenden Objekte vor Ort zu besichtigen sowie Client- bzw Servereinstellungen an ausgewaumlhlshyten IT-Systemen zu uumlberpruumlfen

Aktionspunkte zu 842 Durchfuumlhrung des Soll-Ist-Vergleichs

bull Je nach Fachgebiet vorab Checklisten erstellen

bull Zielsetzung des IT-Grundschutz-Checks den Interviewpartner n erlaumlutern

bull Umsetzungsstatus der einzelnen Anforderungen erfragen

bull Antworten anhand von Stichproben am Objekt verifizieren

bull Den Befragten die Ergebnisse mitteilen

843 Dokumentation der Ergebnisse

Die Ergebnisse des IT-Grundschutz-Checks sollten so dokumentiert werden dass sie fuumlr alle Beteiligshyten nachvollziehbar sind und als Grundlage fuumlr die Umsetzungsplanung der defizitaumlren Anforderunshygen und Maszlignahmen genutzt werden koumlnnen Der Dokumentationsaufwand sollte nicht untershyschaumltzt werden Daher sollten geeignete Hilfsmittel genutzt werden die bei der Erstellung und Akshytualisierung aller im Sicherheitsprozess erforderlichen Dokumente unterstuumltzen

Dies koumlnnen zum einen geeignete IT-Grundschutz-Tools sein also Anwendungen die die gesamte Vorgehensweise nach IT-Grundschutz unterstuumltzen beginnend bei der Stammdatenerfassung uumlber die Schutzbedarfsfeststellung die Risikoanalyse sowie den Soll-Ist-Vergleich (IT-Grundschutz-Check) bis hin zur Erfuumlllung der Anforderungen Hierdurch ergeben sich komfortable Moumlglichkeiten zur Ausshywertung und Revision der Ergebnisse z B die Suche nach bestimmten Eintraumlgen die Generierung von Reports Kostenauswertungen sowie Statistikfunktionen

Des Weiteren stehen als Hilfsmittel zum IT-Grundschutz Formulare zur Verfuumlgung Zu jedem Baustein des IT-Grundschutz-Kompendiums gibt es eine Datei in der tabellarisch fuumlr jede Anforderung des Bausteins die Ergebnisse des Soll-Ist-Vergleichs erfasst werden koumlnnen

Zur Dokumentation des IT-Grundschutz-Checks sollten erfasst werden

bull Die Nummer und die Bezeichnung des Objektes oder Gruppe von Objekten der der Baustein bei der Modellierung zugeordnet wurde

bull der Standort der zugeordneten Objekte bzw Gruppe von Objekten

bull das Erfassungsdatum und der Name des Erfassers und

bull die befragten Ansprechpartner

Die eigentlichen Ergebnisse des Soll-Ist-Vergleichs sollten tabellarisch erfasst werden Dabei sollten zu jeder Anforderung des jeweiligen Bausteins folgende Informationen festgehalten werden

bull Umsetzungsgrad (entbehrlichjateilweisenein) Der im Interview ermittelte Umsetzungsstatus der jeweiligen Anforderung ist zu erfassen Im Hinshyblick auf eine moumlgliche Zertifizierung sollte zudem festgehalten werden durch welche Maszlignahshymen die Anforderungen konkret erfuumlllt werden

85 Risikoanalyse

bull Umsetzung bis Ein solches Feld ist sinnvoll auch wenn es waumlhrend eines IT-Grundschutz-Checks im Allgemeinen nicht ausgefuumlllt wird Es dient als Platzhalter um in der Realisierungsplanung an dieser Stelle zu dokumentieren bis zu welchem Termin die Anforderung vollstaumlndig umgesetzt sein soll

bull Verantwortliche Falls es bei der Durchfuumlhrung des Soll-Ist-Vergleichs eindeutig ist welche Mitarbeiter fuumlr die vollshystaumlndige Umsetzung einer defizitaumlren Anforderung oder Maszlignahme verantwortlich sind sollte das namentlich in diesem Feld dokumentiert werden Falls die Verantwortung nicht eindeutig erkennshybar ist sollte das Feld frei gelassen werden Im Zuge der spaumlteren Realisierungsplanung ist dann ein Verantwortlicher zu bestimmen dessen Name hier eingetragen werden kann

bull BemerkungenBegruumlndungen Ein solches Feld ist wichtig um getroffene Entscheidungen spaumlter nachvollziehen zu koumlnnen beishyspielsweise fuumlr die Zertifizierung Bei Anforderungen deren Umsetzung entbehrlich erscheint ist hier die Begruumlndung zu nennen Bei Anforderungen die noch nicht oder nur teilweise umgesetzt sind sollte in diesem Feld dokumentiert werden welche Maszlignahmen noch umgesetzt werden muumlssen In dieses Feld sollten auch alle anderen Bemerkungen eingetragen werden die bei der Beseitigung von Defiziten hilfreich oder im Zusammenhang mit der Anforderung zu beruumlcksichtishygen sind

bull DefiziteKostenschaumltzung Fuumlr Anforderungen die nicht oder nur teilweise erfuumlllt wurden ist das damit verbundene Risiko in geeigneter Form zu ermitteln und zu dokumentieren Dies ist beispielsweise fuumlr Audits und Zertishyfizierungen wichtig Bei solchen Maszlignahmen sollte auszligerdem geschaumltzt werden welchen finanshyziellen und personellen Aufwand die Beseitigung der Defizite erfordert

Aktionspunkte zu 843 Dokumentation der Ergebnisse

bull Stamminformationen uumlber jedes Zielobjekt erfassen

bull Informationen zum IT-Grundschutz-Check und zum Umsetzungsstatus dokumentieren

bull Felder beziehungsweise Platzhalter fuumlr die Realisierungsplanung vorsehen

85 Risikoanalyse

Eine Risikoanalyse im Kontext der Informationssicherheit hat die Aufgabe relevante Gefaumlhrdungen fuumlr den Informationsverbund zu identifizieren und die daraus moumlglicherweise resultierenden Risiken abzuschaumltzen Das Ziel ist es die Risiken durch angemessene Gegenmaszlignahmen auf ein akzeptables Maszlig zu reduzieren die Restrisiken transparent zu machen und dadurch das Gesamtrisiko systemashytisch zu steuern

Zweistufiger Ansatz der IT-Grundschutz-Vorgehensweise

In der Vorgehensweise nach IT-Grundschutz wird bei der Erstellung der IT-Grundschutz-Bausteine implizit eine Risikobewertung fuumlr Bereiche mit normalem Schutzbedarf durchgefuumlhrt Hierbei werden nur solche Gefaumlhrdungen betrachtet die nach sorgfaumlltiger Analyse eine so hohe Eintrittswahrscheinshylichkeit oder so einschneidende Auswirkungen haben dass Sicherheitsmaszlignahmen ergriffen werden muumlssen Typische Gefaumlhrdungen gegen die sich jeder schuumltzen muss sind z B Schaumlden durch Feuer Einbrecher Schadsoftware oder Hardware-Defekte Dieser Ansatz hat den Vorteil dass Anwender des IT-Grundschutzes fuumlr einen Groszligteil des InformationsverbundesInformationsverbunds keine individushy

elle Bedrohungs- und Schwachstellenanalyse durchfuumlhren muumlssen weil diese Bewertung vorab beshyreits vorgenommen wurde

In bestimmten Faumlllen muss jedoch eine explizite Risikoanalyse durchgefuumlhrt werden beispielsweise wenn der betrachtete Informationsverbund Zielobjekte enthaumllt die

bull einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichshykeit Integritaumlt oder Verfuumlgbarkeit haben oder

In diesen Faumlllen stellen sich folgende Fragen

bull Welchen Gefaumlhrdungen fuumlr die Informationsverarbeitung ist durch die Umsetzung der relevanten IT-Grundschutz-Bausteine noch nicht ausreichend oder sogar noch gar nicht Rechnung getragen worden

bull Muumlssen eventuell ergaumlnzende Sicherheitsmaszlignahmen die uumlber das IT-Grundschutz-Modell hinshyausgehen eingeplant und umgesetzt werden

Zur Beantwortung dieser Fragen empfiehlt das BSI die Anwendung einer Risikoanalyse auf der Basis von IT-Grundschutz wie sie im BSI-Standard 200-3 beschrieben ist

In dem Standard wird dargestellt wie fuumlr bestimmte Zielobjekte festgestellt werden kann ob und in welcher Hinsicht uumlber den IT-Grundschutz hinaus Handlungsbedarf besteht um Risiken fuumlr die Inforshymationsverarbeitung zu reduzieren Hierzu werden Risiken die von elementaren Gefaumlhrdungen ausshygehen eingeschaumltzt und anhand einer Matrix bewertet Die Einschaumltzung erfolgt uumlber die zu erwarshytende Haumlufigkeit des Eintretens und die Houmlhe des Schadens der bei Eintritt des Schadensereignisses entsteht Aus diesen beiden Anteilen ergibt sich das Risiko Die Methodik laumlsst sich wie folgt in den IT-Grundschutz-Prozess integrieren

Abbildung 32 Integration der Risikoanalyse in den IT-Grundschutz-Prozess

85 Risikoanalyse

Der Standard bietet sich an wenn Institutionen bereits erfolgreich mit der IT-Grundschutz-Methodik arshybeitenundmoumlglichstdirekt eine Risikoanalyseandie IT-Grundschutz-Analyse anschlieszligen moumlchtenHiershyzu empfiehlt der BSI-Standard 200-3 Risikoanalyse auf der Basis von IT-Grundschutz folgende zusaumltzliche Arbeitsschritte die hier kurz im Uumlberblick aufgefuumlhrt sind

bull Etablierung eines Risikomanagementprozesses Die Risikoanalyse ist ein wichtiger Bestandteil des Managementsystems fuumlr Informationssicherheit (ISMS) Daher sollten die Grundvoraussetzungen dafuumlr von der Institutionsleitung vorgegeben werden Die grundsaumltzliche Vorgehensweise der Institution zur Durchfuumlhrung von Risikoanalysen sollte in einer Richtlinie (siehe BSI-Standard 200-3 Kapitel 2) dokumentiert und durch die Leitungsshyebene verabschiedet werden

bull Erstellung der Gefaumlhrdungsuumlbersicht In diesem Arbeitsschritt wird fuumlr jedes zu analysierende Zielobjekt eine Liste der jeweils relevanten Gefaumlhrdungen zusammengestellt Bei der Ermittlung von Gefaumlhrdungen geht das BSI zweistufig vor Zunaumlchst werden die relevanten elementaren Gefaumlhrdungen identifiziert und darauf aufbaushyend werden weitere moumlgliche Gefaumlhrdungen (zusaumltzliche Gefaumlhrdungen) ermittelt die uumlber die elementaren Gefaumlhrdungen hinausgehen und sich aus dem spezifischen Einsatzszenario ergeben Dies erfolgt im Rahmen eines gemeinsamen Brainstormings

bull Risikoeinstufung Die Risikoanalyse ist zweistufig angelegt Fuumlr jedes Zielobjekt und jede Gefaumlhrdung wird eine Beshywertung unter der Annahme vorgenommen dass bereits Sicherheitsmaszlignahmen umgesetzt oder geplant worden sind In der Regel wird es sich hierbei um Sicherheitsmaszlignahmen handeln die aus den Basis- und Standard-Anforderungen des IT-Grundschutz-Kompendiums abgeleitet worden sind An die erste Bewertung schlieszligt sich eine zweite an bei der moumlgliche Sicherheitsmaszlignahmen zur Risikobehandlung betrachtet werden Durch einen Vorher-Nachher-Vergleich laumlsst sich die Wirksamkeit der Sicherheitsmaszlignahmen pruumlfen die zur Risikobehandlung eingesetzt worden sind

bull Behandlung von Risiken Abhaumlngig vom Risikoappetit einer Institution sind jeweils unterschiedliche Risikoakzeptanzkriterien moumlglich Risikoappetit bezeichnet die durch kulturelle interne externe oder wirtschaftliche Einshyfluumlsse entstandene Neigung einer Institution wie sie Risiken bewertet und mit ihnen umgeht Es gibt folgende Optionen zur Behandlung von Risiken

bull Risiken koumlnnen vermieden werden (z B durch Umstrukturierung von Geschaumlftsprozessen oder des Informationsverbunds)

bull Risiken koumlnnen durch entsprechende Sicherheitsmaszlignahmen reduziert werden

bull Risiken koumlnnen transferiert werden (z B durch Outsourcing oder Versicherungen)

Daran anschlieszligend muss eine Institution Risikoakzeptanzkriterien festlegen und die Behandlung des Risikos darauf abbilden Bei der Entscheidung wie mit den identifizierten Risiken umzugehen ist muss auf jeden Fall die Leitungsebene beteiligt werden da sich daraus unter Umstaumlnden erhebliche Schaumlshyden ergeben oder zusaumltzliche Kosten entstehen koumlnnen

Die Schritte Gefaumlhrdungsbewertung und Risikobehandlung werden so lange durchlaufen bis die Rishysikoakzeptanzkriterien der Institution erfuumlllt sind und das verbleibende Risiko (bdquoRestrisikoldquo) im Einshyklang mit den Zielen und Vorgaben der Institution steht Das verbleibende Risiko muss anschlieszligend

der Leitungsebene zur Zustimmung vorgelegt werden (bdquoRisiko-Akzeptanzldquo) Damit wird nachvollshyziehbar dokumentiert dass die Institution sich des Restrisikos bewusst ist

bull Konsolidierung des Sicherheitskonzepts Bevor der originaumlre IT-Grundschutz-Prozess fortgesetzt werden kann muss das erweiterte Sishycherheitskonzept konsolidiert werden Dabei werden die Eignung das Zusammenwirken die Benutzerfreundlichkeit und die Angemessenheit der Sicherheitsmaszlignahmen insgesamt uumlbershypruumlft

bull Auszligerdem wird im BSI-Standard 200-3 Risikoanalyse auf der Basis von IT-Grundschutz erlaumlutert wie die Methodik anzuwenden ist wenn der Informationsverbund Zielobjekte umfasst fuumlr die im IT-Grundschutz-Kompendium bislang kein geeigneter Baustein enthalten ist

Eine ausfuumlhrliche Darstellung der Methodik findet sich im BSI-Standard 200-3

Wichtig

Die Risikoanalyse auf der Basis von IT-Grundschutz ist eine Vorgehensweise um bei Bedarf Sishycherheitsvorkehrungen zu ermitteln die fber die im IT-Grundschutz-Kompendium genannten Sicherheitsanforderungen hinausgehen Obwohl diese Methodik gegenfber vielen anderen aumlhnlichen Verfahren vereinfacht wurde ist sie oft mit erheblichem Aufwand verbunden Um schnellstmoumlglich die wichtigsten Sicherheitsprobleme zu beseitigen ist es manchmal zweckmaumlshyszligig zuerst die IT-Grundschutz-Anforderungen vollstaumlndig zu erffllen und erst danach eine Risishykoanalyse durchzuffhren (abweichend von obigem Schema) Dadurch mfssen zwar insgesamt einige Schritte oumlfter durchlaufen werden die IT-Grundschutz-Anforderungen werden jedoch frfher erffllt

Diese alternative Reihenfolge bietet sich besonders dann an wenn

bull der betrachtete Informationsverbund bereits realisiert und in Betrieb ist und

bull die vorliegenden Zielobjekte mit den existierenden Bausteinen des IT-Grundschutz-Kompendiums hinreichend modelliert werden koumlnnen

Fuumlr geplante Informationsverbuumlnde oder fuumlr solche mit untypischen Techniken bzw Einsatzszenarien wird dagegen die oben abgebildete originaumlre Reihenfolge empfohlen Die folgende Tabelle fasst die jeshyweiligen Vor- und Nachteile der beiden alternativen Reihenfolgen zusammen

85 Risikoanalyse

Risikoanalyse direkt nach dem IT-Grundshyschutz-Check

Risikoanalyse erst nach vollstaumlndiger Umshysetzung der Sicherheitsmaszlignahmen

Moumlgliche Vorteile Moumlgliche Vorteile

bull Es wird Mehraufwand vermieden da keine bull Sicherheitsmaszlignahmen werden fruumlher um-Maszlignahmen umgesetzt werden die im Rah- gesetzt da die Risikoanalyse haumlufig aufwenshymen der Risikoanalyse eventuell durch staumlrkere dig ist Maszlignahmen ersetzt werden bull Elementare Sicherheitsluumlcken werden vorshy

bull Eventuell erforderliche Hochsicherheitsmaszligshy rangig behandelt bevor fortgeschrittene nahmen werden fruumlher identifiziert und umge- Gefaumlhrdungen analysiert werden setzt

Moumlgliche Nachteile

bull Sicherheitsmaszlignahmen werden spaumlter umgeshysetzt da die Risikoanalyse haumlufig aufwendig ist

bull Eventuell werden elementare Sicherheitsluumlcken vernachlaumlssigt waumlhrend fortgeschrittene Geshyfaumlhrdungen analysiert werden

bull Es kann Mehraufwand entstehen da evenshytuell einige Sicherheitsmaszlignahmen umgeshysetzt werden die spaumlter im Rahmen der Risishykoanalyse durch staumlrkere Maszlignahmen ershysetzt werden

bull Eventuell erforderliche Hochsicherheitsmaszligshynahmen werden erst spaumlter identifiziert und umgesetzt

Tabelle 7 Vor- und Nachteile der alternativen Reihenfolgen bei der Risikoanalyse

Wichtig ist auszligerdem dass eine Risikoanalyse auf der Basis von IT-Grundschutz haumlufig leichter durchshyzufuumlhren ist wenn sie nacheinander auf kleine Teilaspekte des Informationsverbunds angewandt wird Als ersten Schritt kann die Analyse beispielsweise auf die baulich-physische Infrastruktur beshyschraumlnkt werden d h auf den Schutz vor Brand Wasser und unbefugtem Zutritt sowie auf die ordshynungsgemaumlszlige Strom- und Klimaversorgung

In vielen Behoumlrden und Unternehmen existieren bereits Verfahren zur Risikoanalyse beziehungsweise zur Risikobehandlung Um eine einheitliche Methodik zu erreichen kann es in solchen Faumlllen zweckshymaumlszligig sein die vorhandenen Verfahren auf die Informationssicherheit auszudehnen und gegebenenshyfalls nur Teilaspekte des BSI-Standards 200-3 anzuwenden International haben sich eine Reihe von unterschiedlichen Ansaumltzen zur Durchfuumlhrung von Risikoanalysen im Bereich der Informationssichershyheit etabliert Diese Verfahren unterscheiden sich beispielsweise in Bezug auf den Detaillierungsgrad die Formalisierung und die thematischen Schwerpunkte Abhaumlngig von den Rahmenbedingungen einer Institution und der Art des Informationsverbunds kann es zweckmaumlszligig sein alternativ zum BSI-Standard 200-3 ein anderes etabliertes Verfahren oder eine angepasste Methodik fuumlr die Analyse von Informationsrisiken zu verwenden

Aktionspunkte zu 85 Risikoanalyse

bull Grundsaumltzliche Vorgehensweise der Institution zur Durchfuumlhrung von Risikoanalysen in einer Richtlinie dokumentieren und der Leitungsebene zur Verabschiedung vorlegen

bull Ermitteln fuumlr welche Zielobjekte oder Gruppen von Zielobjekten eine Risikoanalyse durchgefuumlhrt werden soll

bull BSI-Standard 200-3 Risikoanalyse auf der Basis von IT-Grundschutz systematisch durcharbeiten

bull Ergebnisse der Risikoanalysen in das Sicherheitskonzept integrieren

91 Sichtung der Untersuchungsergebnisse

Umsetzung der Sicherheitskonzeption In diesem Kapitel werden verschiedene Aspekte vorgestellt die bei der Planung und Realisierung von Sicherheitsmaszlignahmen beachtet werden muumlssen Dabei wird beschrieben wie die Umsetzung von Sicherheitsmaszlignahmen geplant durchgefuumlhrt begleitet und uumlberwacht werden kann Zu vielen Baushysteinen des IT-Grundschutzes existieren Umsetzungshinweise mit beispielhaften Empfehlungen fuumlr Sicherheitsmaszlignahmen mittels derer die Anforderungen der Bausteine umgesetzt werden koumlnnen Diese basieren auf Best Practices und langjaumlhriger Erfahrung von Experten aus dem Bereich der Inforshymationssicherheit Die Maszlignahmen aus den Umsetzungshinweisen sind jedoch nicht als verbindlich zu betrachten sondern koumlnnen und sollten durch eigene Maszlignahmen ergaumlnzt oder ersetzt werden Solche eigenen Maszlignahmen sollten wiederum dem IT-Grundschutz-Team des BSI mitgeteilt werden vor allem wenn sie neue Aspekte enthalten damit die Umsetzungshinweise entsprechend ergaumlnzt werden koumlnnen

Bei der Erstellung der Sicherheitskonzeption sind fuumlr den untersuchten Informationsverbund die Strukturanalyse die Schutzbedarfsfeststellung und die Modellierung erfolgt Ebenso liegen zu diesem Zeitpunkt die Ergebnisse des IT-Grundschutz-Checks also des daran anknuumlpfenden Soll-Ist-Vershygleichs vor Sollte fuumlr ausgewaumlhlte Bereiche eine Risikoanalyse durchgefuumlhrt worden sein so sollten die dabei erarbeiteten Maszlignahmenvorschlaumlge ebenfalls vorliegen und nachfolgend beruumlcksichtigt werden

Fuumlr die Realisierung der Maszlignahmen stehen in der Regel nur beschraumlnkte Ressourcen an Geld und Personal zur Verfuumlgung Ziel der nachfolgend beschriebenen Schritte ist daher eine moumlglichst effizishyente Umsetzung der vorgesehenen Sicherheitsmaszlignahmen zu erreichen Ein Beispiel zur Erlaumluterung der Vorgehensweise findet sich am Ende dieses Kapitels

In einer Gesamtsicht sollte ausgewertet werden welche Anforderungen aus den IT-Grundschutz-Baushysteinen nicht oder nur teilweise umgesetzt wurden Dazu bietet es sich an diese aus den Ergebnissen des IT-Grundschutz-Checks zu extrahieren und in einer Tabelle zusammenzufassen

Durch Risikoanalysen koumlnnten eventuell weitere zu erfuumlllende Anforderungen sowie zu realisierende Maszlignahmen identifiziert worden sein Diese sollten ebenfalls tabellarisch erfasst werden Diese zushysaumltzlichen Anforderungen und Maszlignahmen sollten den vorher betrachteten Zielobjekten der Modelshylierung und den entsprechenden IT-Grundschutz-Bausteinen thematisch zugeordnet werden

Die zu erfuumlllenden Anforderungen aus den IT-Grundschutz-Bausteinen muumlssen passend zu den orgashynisatorischen und technischen Gegebenheiten der Institution zu Sicherheitsmaszlignahmen konkretisiert werden Die Umsetzungshinweise des IT-Grundschutzes geben dazu fuumlr viele Bausteine und Anforshyderungen praxisnahe Empfehlungen Auszligerdem sollten alle Anforderungen und alle daraus abgeleishyteten Sicherheitsmaszlignahmen noch einmal daraufhin uumlberpruumlft werden ob sie auch geeignet sind Sie muumlssen vor den moumlglichen Gefaumlhrdungen wirksam schuumltzen aber auch in der Praxis tatsaumlchlich umshysetzbar sein duumlrfen also z B nicht die Organisationsablaumlufe behindern oder andere Sicherheitsmaszligshynahmen aushebeln Des Weiteren muumlssen sie wirtschaftlich sein siehe unten In solchen Faumlllen kann es notwendig werden bestimmte IT-Grundschutz-Anforderungen so anzupassen dass dieselben Sishycherheitsziele erreicht werden Basis-Anforderungen sind so elementar dass diese im Normalfall nicht ersetzt werden koumlnnen

Um auch spaumlter noch nachvollziehen zu koumlnnen wie die konkrete Maszlignahmenliste erstellt und vershyfeinert wurde sollte dies geeignet dokumentiert werden

9 Umsetzung der Sicherheitskonzeption

Weiterfuumlhrende Hinweise zur Konsolidierung der Sicherheitsmaszlignahmen finden sich auszligerdem im BSI-Standard 200-3 Risikoanalyse auf der Basis von IT-Grundschutz

Beispiele

bull Bei einer Risikoanalyse wurde festgestellt dass zusaumltzlich zu den IT-Grundschutz-Anforderunshygen auch eine chipkartengestftzte Authentisierung und lokale Verschlfsselung der Festplatshyten an Clients der Personaldatenverarbeitung notwendig sind Diese zusaumltzlichen Anforderunshygen sollten im Sicherheitskonzept ergaumlnzt werden

bull Im Sicherheitskonzept ffr ein Krankenhaus wurde festgelegt dass ffr alle IT-Systeme eine Authentifizierung erforderlich ist und ein Time-out nach zehn Minuten erfolgt Beim IT-Grundshyschutz-Check stellt sich heraus dass die Vorgabe zu pauschal und in dieser Form nicht praxisshytauglich ist Daher wird diese jetzt im Sicherheitskonzept differenziert

bull IT-Systeme im Verwaltungsbereich erfordern eine erneute Authentisierung nach 15 Minushyten Inaktivitaumlt

bull Bei IT-Systemen in Bereichen wo Patienten- und Besucherverkehr herrscht erfolgt ein Time-out nach ffnf Minuten

bull Bei IT-Systemen in Behandlungsraumlumen wird die automatische Abmeldung deaktiviert Die Mitarbeiter erhalten die Anweisung sich nach dem Verlassen der Raumlume abzumelshyden

92 Kosten- und Aufwandsschaumltzung

Da das Budget zur Umsetzung von Sicherheitsmaszlignahmen praktisch immer begrenzt ist sollte fuumlr jede zu realisierende Maszlignahme festgehalten werden welche Investitionskosten und welcher Persoshynalaufwand dafuumlr benoumltigt werden Hierbei sollte zwischen einmaligen und wiederkehrenden Invesshytitionskosten bzw Personalaufwand unterschieden werden An dieser Stelle zeigt sich haumlufig dass Einsparungen bei technischen oder infrastrukturellen Sicherheitsmaszlignahmen dazu fuumlhren dass sie einen hohen fortlaufenden Personaleinsatz verursachen Umgekehrt fuumlhren Einsparungen beim Pershysonal schnell zu kontinuierlich immer groumlszligeren werden Sicherheitsdefiziten

In diesem Zusammenhang ist zu ermitteln ob alle im ersten Zug aus den Anforderungen abgeleishyteten Maszlignahmen wirtschaftlich umsetzbar sind Falls es Maszlignahmen gibt die nicht wirtschaftlich sind sollten Uumlberlegungen angestellt werden durch welche Ersatzmaszlignahmen die Anforderungen dennoch erfuumlllt werden koumlnnten Auch bei Informationssicherheit fuumlhren haumlufig viele Wege zum Ziel Oftmals gibt es verschiedene Optionen Anforderungen mit geeigneten Maszlignahmen zu erfuumllshylen Falls keine angemessene Maszlignahme gefunden werden kann muss das entstehende Restrisiko sowie die Entscheidung dokumentiert werden Basis-Anforderungen muumlssen im Normalfall immer erfuumlllt werden die Akzeptanz eines Restrisikos ist aufgrund ihrer elementaren Natur nicht vorgeseshyhen

Stehen die geschaumltzten Ressourcen fuumlr Kosten- und Personaleinsatz zur Verfuumlgung muss uumlblichershyweise noch eine Entscheidung herbeigefuumlhrt werden wie viele Ressourcen fuumlr die Umsetzung der Sicherheitsmaszlignahmen tatsaumlchlich eingesetzt werden sollen Hierfuumlr bietet es sich an der Leitungsshyebene die Ergebnisse der Sicherheitsuntersuchung darzustellen Geordnet nach Schutzbedarf sollshy

93 Festlegung der Umsetzungsreihenfolge der Maszlignahmen

ten die festgestellten Schwachstellen (nicht oder unzureichend erfuumlllte Sicherheitsanforderungen) zur Sensibilisierung vorgestellt werden Auch auf die spezifischen Gefaumlhrdungen die in den jeweishyligen Bausteinen genannt werden kann hierbei zuruumlckgegriffen werden Daruumlber hinaus bietet es sich an die fuumlr die Realisierung der noch notwendigen Maszlignahmen anfallenden Kosten und den zu erwartenden Aufwand aufzubereiten Im Anschluss sollte eine Entscheidung uumlber das Budget ershyfolgen

Kann kein ausreichendes Budget fuumlr die Realisierung aller fehlenden Maszlignahmen bereitgestellt wershyden so sollte aufgezeigt werden welches Restrisiko dadurch entsteht dass einige Anforderungen gar nicht oder nur verzoumlgert erfuumlllt werden Zu diesem Zweck koumlnnen die sogenannten Kreuzreferenztashybellen aus den Hilfsmitteln zum IT-Grundschutz hinzugezogen werden Die Kreuzreferenztabellen geben fuumlr jeden Baustein eine Uumlbersicht daruumlber welche Anforderungen gegen welche elementaren Gefaumlhrdungen wirken Analog laumlsst sich anhand dieser Tabellen ebenfalls ermitteln gegen welche elementaren Gefaumlhrdungen kein ausreichender Schutz besteht wenn Anforderungen aus den Baushysteinen nicht erfuumlllt werden Das entstehende Restrisiko sollte fuumlr zufaumlllig eintretende oder absichtlich herbeigefuumlhrte Gefaumlhrdungen transparent beschrieben und der Leitungsebene zur Entscheidung vorshygelegt werden Die weiteren Schritte koumlnnen erst nach der Entscheidung der Leitungsebene dass das Restrisiko tragbar ist erfolgen da die Leitungsebene letztlich auch die Verantwortung fuumlr die Konseshyquenzen tragen muss

Kapitel 833 beschreibt eine Reihenfolge in der die Bausteine umgesetzt werden sollten von grundshylegenden und uumlbergreifenden Bausteinen bis hin zu solchen die speziellere Themen abdecken und daher in der zeitlichen Reihenfolge eher nachrangig betrachtet werden koumlnnen Diese Reihenfolge der Baustein-Umsetzung ist vor allem bei der Basis-Absicherung wichtig Sie kann aber auch allgemein bei der Festlegung der Umsetzungsreihenfolge fuumlr die einzelnen Maszlignahmen eines Sicherheitskonshyzepts herangezogen werden

Grundsaumltzlich sind als Erstes die aus den Basis-Anforderungen abgeleiteten Maszlignahmen umzusetshyzen dann die der Standard-Anforderungen Die zusaumltzlichen Maszlignahmen fuumlr den erhoumlhten Schutzshybedarf sollten erst anschlieszligend angepasst und realisiert werden

Wenn das vorhandene Budget oder die personellen Ressourcen nicht ausreichen um saumlmtliche noch notwendigen Maszlignahmen sofort umsetzen zu koumlnnen muss hier eine Priorisierung festgelegt wershyden

Die weitere Umsetzungsreihenfolge orientiert sich daran was fuumlr die jeweilige Institution am sinnshyvollsten ist Tipps dazu sind

bull Die Umsetzungsreihenfolge laumlsst sich daran festmachen wann im Lebenszyklus eines Zielobjektes die jeweiligen Maszlignahmen umzusetzen sind Bei neuen Zielobjekten sind beispielsweise Maszlignahshymen aus den Bereichen Planung und Konzeption vor solchen umzusetzen bei denen es um den sicheren Betrieb geht waumlhrend bei schon laumlnger im Informationsverbund vorhandenen Zielobjekshyten zunaumlchst die Absicherung des Betriebs im Vordergrund stehen sollte

bull Bei einigen Maszlignahmen ergibt sich durch Abhaumlngigkeiten und logische Zusammenhaumlnge eine zwingende zeitliche Reihenfolge So kann eine restriktive Rechtevergabe (Basis-Anforderung) auf einem neuen Server nur erfolgen wenn dieser zunaumlchst sicher installiert wurde (Standard-Anforshyderung) Diese Reihenfolge kann mit der Klassifikation in Basis- und Standard-Anforderungen auf

den ersten Blick kollidieren Dennoch haben Basis-Anforderungen inhaltlich stets Prioritaumlt sofern sie bereits erfuumlllbar sind im Beispiel etwa bei einem bestehenden Server

bull Manche Maszlignahmen erzielen eine groszlige Breitenwirkung manche jedoch nur eine eingeshyschraumlnkte lokale Wirkung Oft ist es sinnvoll zuerst auf die Breitenwirkung zu achten Auch daher sollten bevorzugt die Basis-Anforderungen umgesetzt werden da mit diesen die schnellsshyte Absicherung in der Breite erreicht werden kann Es lohnt sich aber auch durchaus die Maszligshynahmen aus den verschiedenen Bereichen danach zu gewichten wie schnell sie sich umsetzen lassen und welchen Sicherheitsgewinn sie liefern Sogenannte bdquoQuick Winsldquo lassen sich haumlufig im organisatorischen Bereich finden oder durch zentrale Konfigurationseinstellungen erreishychen

bull Es gibt Bausteine die auf das angestrebte Sicherheitsniveau einen groumlszligeren Einfluss haben als andere Maszlignahmen eines solchen Bausteins sollten bevorzugt behandelt werden insbesondere wenn hierdurch Schwachstellen in hochschutzbeduumlrftigen Bereichen beseitigt werden So sollten immer zunaumlchst die Server abgesichert werden (unter anderem durch Umsetzung des Bausteins SYS11 Allgemeiner Server) und dann erst die angeschlossenen Clients

bull Bausteine mit auffallend vielen nicht umgesetzten Anforderungen repraumlsentieren Bereiche mit vieshylen Schwachstellen Sie sollten ebenfalls bevorzugt behandelt werden

Die Entscheidung welche Sicherheitsmaszlignahmen ergriffen oder zunaumlchst verschoben werden und wo Restrisiken akzeptiert werden koumlnnen sollte auch aus juristischen Gruumlnden sorgfaumlltig dokumentiert werden In Zweifelsfaumlllen sollten hierfuumlr weitere Meinungen eingeholt und diese ebenfalls dokumentiert werden um in spaumlteren Streitfaumlllen die Einhaltung der erforderlichen Sorgshyfaltspflicht belegen zu koumlnnen

Hinweis

Bereits einleitend wurde darauf hingewiesen dass die Erffllung von Anforderungen an fehlenshyden Ressourcen scheitern kann Die oben angeffhrten Aspekte ermoumlglichen eine erste Priorishysierung Bei dieser Vorgehensweise werden jedoch die verbleibenden Restrisiken nicht hinreishychend betrachtet Wenn Anforderungen aus IT-Grundschutz-Bausteinen nicht erffllt sind ist es empfehlenswert im Rahmen einer vereinfachten Risikoanalyse die entstandenen Defizite zu betrachten In diesem Fall kann die in der Risikoanalyse durchzuffhrende Ermittlung von Geshyfaumlhrdungen entfallen Dies ist bereits bei der Erstellung der Grundschutz-Bausteine geschehen Es verbleibt somit die Bewertung des Risikos aufgrund der fehlenden Umsetzung von Anfordeshyrungen

94 Festlegung der Aufgaben und der Verantwortung

Nachdem die Reihenfolge fuumlr die Umsetzung der Maszlignahmen bestimmt wurde muss anschlieszligend festgelegt werden wer bis wann welche Maszlignahmen realisieren muss Ohne eine solche verbindliche Festlegung verzoumlgert sich die Realisierung erfahrungsgemaumlszlig erheblich bzw unterbleibt ganz Dabei ist darauf zu achten dass der als verantwortlich Benannte ausreichende Faumlhigkeiten und Kompetenshyzen zur Umsetzung der Maszlignahmen besitzt und dass ihm die erforderlichen Ressourcen zur Verfuumlshygung gestellt werden

Ebenso ist festzulegen wer fuumlr die Uumlberwachung der Realisierung verantwortlich ist bzw an wen der Abschluss der Realisierung der einzelnen Maszlignahmen zu melden ist Typischerweise wird die Meldung an den ISB erfolgen Der ISB muss kontinuierlich uumlber den Fortschritt der Realisierung und uumlber die

95 Realisierungsbegleitende Maszlignahmen

Ergebnisse der Umsetzung informiert werden Der ISB wiederum muss regelmaumlszligig die Leitungsebene uumlber den Fortschritt und die damit verbundene Absenkung vorhandener Risiken informieren

Der Realisierungsplan sollte mindestens folgende Informationen umfassen

bull Bezeichnung des Zielobjektes als Einsatzumfeld

bull Nummer bzw Titel des betrachteten Bausteins

bull Titel bzw Beschreibung der zu erfuumlllenden Anforderung

bull Beschreibung der umzusetzenden Maszlignahme bzw Verweis auf die Beschreibung im Sicherheitsshykonzept

bull Terminplanung fuumlr die Umsetzung Budgetplanung beispielsweise fuumlr Beschaffung und Betriebsshykosten von Komponenten

bull Verantwortliche fuumlr die Umsetzung der Maszlignahmen

Uumlberaus wichtig ist es notwendige realisierungsbegleitende Maszlignahmen rechtzeitig zu identifizieren bzw zu konzipieren und fuumlr die Realisierung entsprechend einzuplanen Zu diesen Maszlignahmen geshyhoumlren insbesondere Sensibilisierungsmaszlignahmen die darauf abzielen die Belange der Informationsshysicherheit zu verdeutlichen und die von neuen Sicherheitsmaszlignahmen betroffenen Mitarbeiter uumlber die Notwendigkeit und die Konsequenzen der Maszlignahmen zu unterrichten

Daruumlber hinaus muumlssen die betroffenen Mitarbeiter geschult werden die neuen Sicherheitsmaszlignahshymen korrekt um- und einzusetzen Wird diese Schulung unterlassen koumlnnen die Maszlignahmen oft nicht umgesetzt werden und verlieren ihre Wirkung wenn sich die Mitarbeiter unzureichend inforshymiert fuumlhlen was oft zu einer ablehnenden Haltung gegenuumlber der Informationssicherheit fuumlhrt

Die obigen Schritte werden nachfolgend anhand des fiktiven Beispiels RECPLAST GmbH auszugsshyweise beschrieben In der nachfolgenden Tabelle werden einige zu realisierende Maszlignahmen einschlieszliglich der Budgetplanungen dargestellt

A6 Realisierungsplan der RECPLAST GmbH

Ziel- Baustein Anfordeshy umzusetzende Maszlignahmen Termin- Budget Verantshyobjekt rungstext planung wortlich

fuumlr die Umshysetzung

S008 ndash SYS11 SYS11A3 In der Rechtevergabe muumlssen Q3 des - E Herr Print-- Allgemei- Restriktive die letzten Gruppenberech- Jahres Schmidt Server ner Server Rechtvergashy

be tigungen aufgeloumlst werden (IT-Betrieb)

S008 ndash Print-shyServer

SYS11 Allgemeishyner Server

SYS11A4 Rollentrenshynung

Es sind noch nicht fuumlr jeden Adshyministrator separate Benutshyzer-Kennungen eingerichtet

3107 des Jahres

- E Herr Schmidt (IT-Betrieb)

S008 ndash SYS11 SYS11A8 Die Datensicherungen werden Q1 Folge- Anschaf- Frau Meyer Print-- Allgemei- Regelmaumlszligishy derzeit auf Baumlndern innerhalb jahr fung (Einkauf) Server ner Server ge Datensishy

cherung des Serverraumes aufbewahrt Geplant ist hierzu ein externes Backup-System Ein Angebot fuumlr die Initialisierung liegt beshyreits vor (15000 E) Die Beshytriebskosten muumlssen noch vershyhandelt werden

15000 E Betriebsshy

kosten noch offen

Abbildung 33 Realisierungsplan der RECPLAST GmbH (Auszug)

Anhand dieser Informationen kann die Umsetzung der Maszlignahmen uumlberwacht und gesteuert wershyden

Aktionspunkte zu 9 Umsetzung der Sicherheitskonzeption

bull Fehlende oder nur teilweise umgesetzte IT-Grundschutz-Anforderungen sowie ergaumlnzende Sishycherheitsmaszlignahmen in einer Tabelle zusammenfassen

bull Sicherheitsmaszlignahmen konsolidieren d h uumlberfluumlssige Maszlignahmen streichen allgemeine Maszlignahmen an die Gegebenheiten anpassen und alle Maszlignahmen auf Eignung pruumlfen

bull Einmalige und wiederkehrende Kosten und den Aufwand fuumlr die umzusetzenden Maszlignahmen ermitteln

bull Ersatzmaszlignahmen fuumlr nicht finanzierbare oder nicht leistbare Maszlignahmen auflisten

bull Entscheidung herbeifuumlhren welche Ressourcen fuumlr die Umsetzung der Maszlignahmen eingesetzt werden sollen

bull Gegebenenfalls Restrisiko aufzeigen und Entscheidung der Leitungsebene dazur einholen

bull Umsetzungsreihenfolge fuumlr die Maszlignahmen festlegen begruumlnden und dokumentieren

bull Termine fuumlr die Umsetzung festlegen und Verantwortung zuweisen

bull Verlauf der Umsetzung und Einhaltung der Termine uumlberwachen

bull Betroffene Mitarbeiter schulen und sensibilisieren

101 Uumlberpruumlfung des Informationssicherheitsprozesses auf allen Ebenen

10 Aufrechterhaltung und kontinuierliche Verbesserung der Inshyformationssicherheit

Um den Informationssicherheitsprozess aufrechtzuerhalten und kontinuierlich verbessern zu koumlnnen muumlssen nicht nur angemessene Sicherheitsmaszlignahmen implementiert und Dokumente fortlaufend aktualisiert werden sondern auch der IS-Prozess selbst muss regelmaumlszligig auf seine Wirksamkeit und Effizienz hin uumlberpruumlft werden Dabei sollte regelmaumlszligig eine Erfolgskontrolle und Bewertung des IS-Prozesses durch die Leitungsebene stattfinden (Managementbewertung) Bei Bedarf (z B bei der Haumlufung von Sicherheitsvorfaumlllen oder gravierenden Aumlnderungen der Rahmenbedingungen) muss auch zwischen den Routineterminen getagt werden Alle Ergebnisse und Beschluumlsse muumlssen nachshyvollziehbar dokumentiert werden Die Dokumente muumlssen aussagekraumlftig und fuumlr die jeweilige Zielshygruppe verstaumlndlich sein siehe auch Kapitel 52 Informationsfluss im Informationssicherheitsprozess Es ist die Aufgabe des ISB diese Informationen zu sammeln zu verarbeiten und entsprechend kurz und uumlbersichtlich fuumlr die Leitungsebene aufzubereiten

Die Uumlberpruumlfung des Informationssicherheitsprozesses ist unabdingbar damit einerseits Fehler und Schwachstellen erkannt und abgestellt werden koumlnnen und andererseits der IS-Prozess in Bezug auf seine Effizienz optimiert werden kann Ziel dabei ist unter anderem die Verbesserung der Praxistaugshylichkeit von Strategie Maszlignahmen und organisatorischen Ablaumlufen Die wesentlichen Aspekte die dabei betrachtet werden muumlssen werden im Folgenden dargestellt

Zur Effizienzpruumlfung und Verbesserung des Informationssicherheitsprozesses sollten Verfahren und Mechanismen eingerichtet werden die einerseits die Realisierung der beschlossenen Maszlignahmen und andererseits ihre Wirksamkeit und Effizienz uumlberpruumlfen

Die Informationssicherheitsstrategie sollte daher auch Leitaussagen zur Messung der Zielerreichung machen dabei sollte mindestens definiert werden

bull Welche Ziele in welcher Form und sinnvoller Anzahl uumlberwacht oder gemessen werden (WAS)

bull Wer fuumlr die Uumlberwachung oder Messung der zuvor festgelegten Punkte verantwortlich ist (WER)

bull Wann und wie haumlufig die Ergebnisse auszuwerten sind (WANN)

Grundsaumltzlich sollte sich die Uumlberpruumlfung des Informationssicherheitsprozesses auf eine sinnvolle Anshyzahl von Zielen beschraumlnken Beispiele fuumlr Methoden koumlnnen sein

bull Definition Dokumentation und Auswertung von Kennzahlen (z B Aktualitaumlt des Virenschutzes und Anzahl detektierter Schadsoftware usw)

bull Detektion Dokumentation und Auswertung von Sicherheitsvorfaumlllen

bull Durchfuumlhrung von Uumlbungen und Tests zur Simulation von Sicherheitsvorfaumlllen und Dokumentation der Ergebnisse (z B Back-up-Wiederherstellung)

bull interne und externe Audits Datenschutzkontrollen

bull Zertifizierung nach festgelegten Sicherheitskriterien (z B ISO 27001 auf Basis von IT-Grundschutz)

Die erfolgreiche Umsetzung von Sicherheitsmaszlignahmen sollte regelmaumlszligig uumlberpruumlft werden Grundshysaumltzlich ist dabei wichtig dass Pruumlfungen und Audits nicht von denjenigen durchgefuumlhrt werden die die jeweiligen Sicherheitsvorgaben entwickelt haben und dass die Leitung der Institution uumlber den aus den Audits abgeleiteten Stand der Informationssicherheit informiert wird

10 Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit

Um Betriebsblindheit zu vermeiden kann es sinnvoll sein externe Experten mit der Durchfuumlhrung solcher Pruumlfungsaktivitaumlten zu beauftragen

Da der Aufwand bei Audits von der Komplexitaumlt und Groumlszlige des Informationsverbunds abhaumlngt sind die Anforderungen auch fuumlr kleine Institutionen sehr gut umzusetzen Mithilfe von automatisiertem Monitoring und Reporting kann eine kontinuierliche Analyse der Informationssicherheit bei geringer Ressourcenbelastung ermoumlglicht werden Mit einer Durchsicht vorhandener Dokumentationen um die Aktualitaumlt zu pruumlfen und einem Workshop bei dem Probleme und Erfahrungen mit dem Sichershyheitskonzept besprochen werden kann in kleinen Institutionen bereits ein ausreichender Uumlberblick uumlber den Status der Informationssicherheit gewonnen werden

1011 Uumlberpruumlfung anhand von Kennzahlen

Kennzahlen werden in der Informationssicherheit eingesetzt um den IS-Prozess bzw Teilaspekte dashyvon messbar zu machen Sie dienen dazu den Prozess zu optimieren und Guumlte Effizienz und Effekshytivitaumlt der vorhandenen Sicherheitsmaszlignahmen zu uumlberpruumlfen

Messungen und Kennzahlen dienen haumlufig der Kommunikation mit dem Management und koumlnnen dem Informationssicherheitsmanagement wertvolle Argumentationshilfen liefern Daher ist es wichshytig Messwerkzeuge so auszuwaumlhlen und durchgefuumlhrte Messungen so aufzubereiten dass sie in das strategische Umfeld der eigenen Institution passen

Kennzahlen zu ermitteln bedeutet immer auch Aufwand Dieser sollte in einer vernuumlnftigen Relation zu den erhofften bzw erzielten Ergebnissen stehen Kennzahlen haben eine begrenzte Aussagekraft da damit einzelne meist wenige Bereiche der Informationssicherheit punktuell beleuchtet werden naumlmlich meist diejenigen in denen sich leicht Messwerte erzielen lassen Dies betrifft im Allgemeinen die technische Sicherheit bei der uumlber Sensoren automatisiert Messwerte zuruumlckgemeldet werden koumlnnen und andere leicht quantifizierbare Aussagen wie z B

bull Anzahl der erkannten Schadsoftware-Muster

bull Anzahl der installierten Sicherheitspatches

bull Dauer der Systemausfaumllle

bull Anzahl der durchgefuumlhrten Sicherheitsschulungen

Kennzahlen lassen sich immer unterschiedlich interpretieren wichtig ist daher dass im Vorfeld klar ist welches Ziel mit Messungen verfolgt wird und wie und mit welchem Aufwand dies erreicht werden soll Gegen dieses Ziel kann dann gemessen werden

1012 Bewertung des ISMS mithilfe eines Reifegradmodells

Die Wirksamkeit des Managementsystems fuumlr Informationssicherheit einer Institution sollte regelmaumlshyszligig bewertet werden Dies kann mithilfe eines Reifegradmodells erfolgen Ein Reifegradmodell ershymoumlglicht den Fortschritt des ISMS nachvollziehbar uumlber die Jahre hinweg zu dokumentieren ohne sich dabei in Einzelmaszlignahmen zu verlieren Es stellt eine weitere potenzielle Kennzahl zur Steuerung der Informationssicherheit in einer Institution dar Eine beispielhafte Reifegradbewertung eines ISMS kann wie folgt aussehen

Reifegrad Erlaumluterung

0 Es existiert kein ISMS und es ist auch nichts geplant

1 ISMS ist geplant aber nicht etabliert

2 ISMS ist zum Teil etabliert

3 ISMS ist voll etabliert und dokumentiert

4 Zusaumltzlich zum Reifegrad 3 wird das ISMS regelmaumlszligig auf Effektivitaumlt uumlberpruumlft

5 Zusaumltzlich zum Reifegrad 4 wird das ISMS regelmaumlszligig verbessert

Die Bewertung des Reifegrads eines ISMS kann sich durchaus mehrdimensional anhand von Themenshyfeldern darstellen beispielsweise angelehnt an das Schichtenmodell des IT-Grundschutzes

bull OPS (Betrieb)

Informationssicherheit ist eine Querschnittsfunktion welche mit nahezu allen Bereichen einer Instishytution verzahnt ist Aus diesem Grund ist es notwendig die Informationssicherheit in bestehende Prozesse einer Institution zu integrieren Beispiele hierfuumlr sind

bull Projektmanagement Bereits in der Planungsphase eines Projektes muss der Schutzbedarf der zushykuumlnftig als Ergebnis zu verarbeitenden Informationen bewertet werden darauf aufbauend sollte zudem die Planung geeigneter Sicherheitsmaszlignahmen erfolgen

bull Incident-Management Bei Stoumlrungen des IT-Betriebs mit Auswirkungen auf die Informationssishycherheit muss das Vorgehen mit dem Sicherheitsmanagement abgestimmt sein Das Security-Incishydent-Management und Stoumlrungsmanagement der IT und des Facility-Managements muumlssen vershyzahnt sein

Existieren solche Managementprozesse nicht ist es moumlglich ein ISMS aufzubauen und zu betreiben es wird jedoch nicht effizient funktionieren Wenn das ISMS nicht mit dem Projektmanagement vershyzahnt ist kann der Schutzbedarf neuer oder geaumlnderter Geschaumlftsprozesse nur durch zyklische Abshyfragen (jaumlhrlich quartalsweise) ermittelt werden Dadurch ist es deutlich schwieriger eine vollstaumlndige und aktuelle Schutzbedarfsfeststellung aller Zielobjekte zu erhalten Wenn kein Stoumlrungsmanageshyment vorhanden ist werden Sicherheitsvorfaumllle nicht erkannt bzw nicht an die korrekte Stelle gemelshydet Der Reifegrad der Informationssicherheit haumlngt somit auch vom Reifegrad der anderen Manageshymentprozesse der Institution ab und ist keine selbststaumlndige Groumlszlige

Der Reifegrad der Informationssicherheit kann von Institution zu Institution sehr unterschiedlich sein Allein aus der Tatsache dass ein Sicherheitsmanagement vorhanden ist kann nicht darauf geschlosshysen werden dass die Institution Sicherheitsvorfaumllle gut bewaumlltigen kann Durch eine einheitliche und differenzierte Bewertung des Umsetzungsniveaus des ISMS einer Institution koumlnnen verschiedene wichtige Ziele erreicht werden

bull Uumlberpruumlfung ob die einzelnen Aspekte des Sicherheitsmanagements vollstaumlndig bearbeitet und umgesetzt wurden

bull Erkennung von Verbesserungs- und Weiterentwicklungspotenzialen

bull Vergleichbarkeit des Umsetzungsniveaus beim Sicherheitsmanagement zwischen verschiedenen Institutionen

bull Nachweisbarkeit des erreichten Umsetzungsniveaus gegenuumlber Dritten

Zusaumltzlich kann die Leitungsebene die Bewertungsergebnisse auch als Kennzahlen nutzen um das Sicherheitsmanagementsystem zu steuern und weiterzuentwickeln (siehe Kapitel 521)

Wird das Umsetzungsniveau regelmaumlszligig beurteilt kann die kontinuierliche Weiterentwicklung des Informationssicherheitsmanagements der Institution nachvollziehbar und effizient dokumentiert wershyden

1013 Uumlberpruumlfung der Umsetzung der Sicherheitsmaszlignahmen

Im Realisierungsplan ist fuumlr alle Maszlignahmen des Sicherheitskonzepts enthalten wer diese bis wann umzusetzen hat (Aufgabenliste und zeitliche Planung) Anhand dessen ist eine Auswertung moumlglich inwieweit diese Planungen eingehalten wurden Die Uumlberpruumlfung des Informationssicherheitsprozesshyses dient zur Kontrolle der Aktivitaumlten im Rahmen des Sicherheitskonzepts und zur Identifizierung von Planungsfehlern

Nach der Einfuumlhrung von neuen Sicherheitsmaszlignahmen sollte durch den ISB gepruumlft werden ob die notwendige Akzeptanz seitens der Mitarbeiter vorhanden ist Die Ursachen fehlender Akzeptanz sind herauszuarbeiten und abzustellen

Sicherheitsrevision

Die Informationssicherheitsrevision (IS-Revision) ist ein Bestandteil eines jeden erfolgreichen Informashytionssicherheitsmanagements Nur durch die regelmaumlszligige Uumlberpruumlfung der etablierten Sicherheitsshymaszlignahmen und des Informationssicherheitsprozesses koumlnnen Aussagen uumlber deren wirksame Umshysetzung Aktualitaumlt Vollstaumlndigkeit und Angemessenheit und damit uumlber den aktuellen Zustand der Informationssicherheit getroffen werden Die IS-Revision ist somit ein Werkzeug zum Feststellen Ershyreichen und Aufrechterhalten eines angemessenen Sicherheitsniveaus in einer Institution Das BSI hat hierzu mit dem Leitfaden ffr die IS-Revision auf Basis von IT-Grundschutz ein Verfahren entwickelt um den Status der Informationssicherheit in einer Institution festzustellen und Schwachstellen identifizieshyren zu koumlnnen (siehe [BSIR])

Die im IT-Grundschutz Kompendium enthaltenen Sicherheitsanforderungen koumlnnen auch fuumlr die Reshyvision der Informationssicherheit genutzt werden Hierzu wird die gleiche Vorgehensweise wie beim IT-Grundschutz-Check empfohlen Hilfreich und arbeitsoumlkonomisch ist es fuumlr jeden Baustein des IT-Grundschutz Kompendiums anhand der Anforderungen eine speziell auf die eigene Institution anshygepasste Checkliste zu erstellen Dies erleichtert die Revision und verbessert die Reproduzierbarkeit der Ergebnisse

102 Eignung der Informationssicherheitsstrategie

Cyber-Sicherheits-Check

Mithilfe eines Cyber-Sicherheits-Checks koumlnnen Institutionen das aktuelle Niveau der Cybersicherheit in ihrer Institution bestimmen Der Cyber-Sicherheits-Check richtet sich an Institutionen die sich bisshylang weniger intensiv mit dem Thema der Cyber-Sicherheit beschaumlftigt haben Zur Durchfuumlhrung eishynes Cyber-Sicherheits-Checks werden explizit keine obligatorischen Voraussetzungen an Dokumenshytenlage oder Umsetzungsstatus gestellt (siehe [CSC])

Der Cyber-Sicherheits-Check und die zugrunde liegenden Maszlignahmenziele fuumlr die Beurteilung der Cyber-Sicherheit wurden so konzipiert dass das Risiko einem Cyber-Angriff zum Opfer zu fallen durch regelmaumlszligige Durchfuumlhrung eines Cyber-Sicherheits-Checks minimiert werden kann Dabei wurshyde die Vorgehensweise auf Cyber-Sicherheitsbelange ausgerichtet

Das BSI und die ISACA stellen einen praxisnahen Handlungsleitfaden zur Verfuumlgung der konkrete Vorgaben und Hinweise fuumlr die Durchfuumlhrung eines Cyber-Sicherheits-Checks und die Berichtserstelshylung enthaumllt Ein besonders interessanter Mehrwert ist die Zuordnung der zu beurteilenden Maszlignahshymenziele zu den bekannten Standards der Informationssicherheit (IT-Grundschutz ISO 27001 COBIT PCI DSS)

1014 Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz

Eine Zertifizierung ist eine Methode um die Erreichung der Sicherheitsziele und die Umsetzung der Sicherheitsmaszlignahmen durch qualifizierte unabhaumlngige Stellen zu uumlberpruumlfen Durch eine Zertifizieshyrung nach ISO 27001 auf Basis von IT-Grundschutz erhaumllt eine Institution nachvollziehbare wiedershyholbare und vergleichbare Auditergebnisse

Um den Informationssicherheitsprozess erfolgreich steuern und lenken zu koumlnnen muss die Leitungsshyebene einen Uumlberblick daruumlber haben inwieweit die Sicherheitsziele mithilfe der eingesetzten Sichershyheitsstrategie tatsaumlchlich erreicht werden konnten

Aktualitaumlt von Sicherheitszielen Rahmenbedingungen und Sicherheitskonzeption

Bezuumlglich einer laumlngeren Perspektive ist es auch notwendig die gesetzten Sicherheitsziele und Rahshymenbedingungen zu uumlberpruumlfen Gerade in schnelllebigen Branchen ist eine entsprechende Anpasshysung der Sicherheitsleitlinie und der Sicherheitsstrategie von elementarer Bedeutung

Auch betriebliche Aumlnderungen (z B Einsatz neuer IT-Systeme Umzug) organisatorische Aumlnderungen (z B Outsourcing) und Aumlnderungen gesetzlicher Anforderungen muumlssen schon bei ihrer Planungsshyphase mit in die Sicherheitskonzeption einbezogen werden Die Sicherheitskonzeption und die dazushygehoumlrige Dokumentation muss nach jeder relevanten Aumlnderung aktualisiert werden Dies muss auch im Aumlnderungsprozess der Institution beruumlcksichtigt werden Dafuumlr muss der Informationssicherheitsshyprozess in das Aumlnderungsmanagement der Institution integriert werden

Wirtschaftlichkeitsbetrachtung

Die Wirtschaftlichkeit der Sicherheitsstrategie und die spezifischen Sicherheitsmaszlignahmen sollten konstant unter Beobachtung stehen Es ist zu pruumlfen ob die tatsaumlchlich angefallenen Kosten den urspruumlnglich geplanten Kosten entsprechen oder ob alternativ andere ressourcenschonendere Sishycherheitsmaszlignahmen eingesetzt werden koumlnnen Ebenso ist es wichtig regelmaumlszligig den Nutzen der vorhandenen Sicherheitsmaszlignahmen herauszuarbeiten

Rfckmeldungen von Internen und Externen

Ruumlckmeldungen uumlber Fehler und Schwachstellen in den Prozessen kommen im Allgemeinen nicht nur von der Informationssicherheitsorganisation oder der Revision sondern auch von Mitarbeitern Geshyschaumlftspartnern Kunden oder Partnern Die Institution muss daher eine wirksame Vorgehensweise festlegen um mit Beschwerden und anderen Ruumlckmeldungen von Internen und Externen umzugeshyhen Beschwerden von Kunden oder Mitarbeitern koumlnnen dabei auch ein Indikator fuumlr Unzufriedenshyheit sein Es sollte moumlglichst bereits entstehender Unzufriedenheit entgegengewirkt werden da bei zufriedenen Mitarbeitern die Gefahr von fahrlaumlssigen oder vorsaumltzlichen Handlungen die den Betrieb stoumlren koumlnnten geringer ist

Es muss daher ein klar definiertes Verfahren und eindeutig festgelegte Kompetenzen fuumlr den Umgang mit Beschwerden und fuumlr die Ruumlckmeldung von Problemen an die zustaumlndige Instanz geben So sollte auf Beschwerden schnellstmoumlglich geantwortet werden damit die Hinweisgeber sich auch ernst geshynommen fuumlhlen Die gemeldeten Probleme muumlssen bewertet und der Handlungsbedarf eingeschaumltzt werden Die Institution muss daraufhin angemessene Korrekturmaszlignahmen zur Beseitigung der Urshysachen von Fehlern ergreifen um deren erneutes Auftreten zu verhindern

Fortentwicklung des ISMS

Auch das ISMS muss kontinuierlich weiterentwickelt werden und an neue Erkenntnisse die sich beishyspielsweise aus der Uumlberpruumlfung des Informationssicherheitsprozesses ergeben haben koumlnnen angeshypasst werden

Erweiterung der gewaumlhlten Vorgehensweise

Bei Einstieg in den Sicherheitsprozess hat die Leitung der Institution sich fuumlr eine Vorgehensweise entschieden um auf Basis von IT-Grundschutz oder auch anderen Methoden ein bestimmtes Sichershyheitsniveau fuumlr einen definierten Geltungsbereich zu erreichen Wenn diese Vorgehensweise umgeshysetzt und die Phase der Aufrechterhaltung und kontinuierlichen Verbesserung der Informationssichershyheit erreicht wurde muss uumlberlegt werden ob

bull die gewaumlhlte Vorgehensweise ergaumlnzt werden soll (beispielsweise von Basis- auf Standard-Absishycherung) undoder

bull der Geltungsbereich erweitert werden soll (beispielsweise von Kern-Absicherung eines eingeshygrenzten Bereiches auf einen groumlszligeren Informationsverbund)

Ziel sollte es sein langfristig alle Bereiche der Institution auf ein ganzheitliches Sicherheitsniveau zu heben das mindestens Standard-Absicherung umfasst

103 Uumlbernahme der Ergebnisse in den Informationssicherheitsprozess

Die Ergebnisse der Bewertung sind fuumlr die Verbesserung des IS-Prozesses notwendig Es kann sich dabei herausstellen dass eine Aumlnderung der Sicherheitsziele der Sicherheitsstrategie oder des Sichershyheitskonzepts zu erfolgen hat und die Informationssicherheitsorganisation den Erfordernissen angeshypasst werden sollte Unter Umstaumlnden ist es sinnvoll Geschaumlftsprozesse Ablaumlufe oder die IT-Umgeshybung zu veraumlndern z B wenn Sicherheitsziele unter den bisherigen Rahmenbedingungen nicht oder nur umstaumlndlich (also mit hohem finanziellen oder personellen Aufwand) erreicht werden konnten Wenn groumlszligere Veraumlnderungen vorgenommen und umfangreiche Verbesserungen umgesetzt wershyden schlieszligt sich der Managementkreislauf wieder und es wird erneut mit der Planungsphase begonshynen

Die Uumlberpruumlfungen zu den einzelnen Themen muumlssen von geeigneten Personen durchgefuumlhrt wershyden die die notwendige Kompetenz und Unabhaumlngigkeit gewaumlhrleisten koumlnnen Vollstaumlndigkeitsshyund Plausibilitaumltskontrollen sollten nicht durch die Ersteller der Konzepte vollzogen werden Durchshygefuumlhrte Verbesserungen Korrekturen und Anpassungen sollten dokumentiert werden

Die grundsaumltzliche Vorgehensweise der Institution zur Uumlberpruumlfung und Verbesserung des Informashytionssicherheitsprozesses sollte in einer entsprechenden Richtlinie dokumentiert und von der Leishytungsebene verabschiedet werden In der Richtlinie zur Uumlberpruumlfung und Verbesserung des Inshyformationssicherheitsprozesses sollte insbesondere geregelt werden wie interne Audits im Beshyreich der Informationssicherheit durchzufuumlhren sind und wie die Ergebnisse in den Aumlnderungsprozess einflieszligen Pruumlfergebnisse und -berichte sind im Allgemeinen als vertraulich zu betrachten und muumlsshysen daher besonders gut geschuumltzt werden

Aktionspunkte zu 10 Aufrechterhaltung und kontinuierliche Verbesserung der Informatishyonssicherheit

bull Grundsaumltzliche Vorgehensweise der Institution zur Uumlberpruumlfung und Verbesserung des Informashytionssicherheitsprozesses in einer entsprechenden Richtlinie dokumentieren und der Leitungsshyebene zur Verabschiedung vorlegen

bull Messung der Zielerreichung in die Sicherheitsstrat egie integrieren

bull Einhaltung des Realisierungsplans pruumlfen

bull Realisierung der beschlossenen Maszlignahmen uumlberpruumlfen

bull Wirksamkeit und Effizienz der beschlossenen Maszlignahmen uumlberpruumlfen

bull Pruumlfen ob die Sicherheitsmaszlignahmen akzeptiert werden und gegebenenfalls nachbessern

bull Rollenkonflikt zwischen Ersteller und Pruumlfer beachten

bull Vertraulichkeit der Untersuchungsergebnisse sicherstellen

bull Eignung und Aktualitaumlt von Sicherheitszielen -strategien und -konzeption pruumlfen

bull Angemessenheit der bereitgestellten Ressourcen und die Wirtschaftlichkeit der Sicherheitsstrashytegie und der -maszlignahmen uumlberpruumlfen

bull Ergebnisse der Uumlberpruumlfungen in Form von Verbesserungen in den Informationssicherheitsproshyzess einflieszligen lassen

11 Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz

11 Zertifizierung nach ISO 27001 auf der Basis von IT-Grundshyschutz

Um die erfolgreiche Umsetzung von IT-Grundschutz nach auszligen transparent machen zu koumlnnen kann sich das Unternehmen oder die Behoumlrde nach ISOIEC 27001 zertifizieren lassen Das BSI hat ein Zertifizierungsschema fuumlr Informationssicherheit entwickelt das die Anforderungen an Manageshymentsysteme fuumlr die Informationssicherheit aus ISOIEC 27001 beruumlcksichtigt und als Pruumlfkataloge das IT-Grundschutz-Kompendium sowie die BSI-Standards 200-x zugrunde legt Dies wird deshalb als ISO 27001-Zertifizierung auf Basis von IT-Grundschutz bezeichnet Eine solche Zertifizierung ist fuumlr die Standard-Absicherung vorgesehen sowie fuumlr die Kern-Absicherung grundsaumltzlich moumlglich Bei einer reinen Basis-Absicherung reichen die umgesetzten Sicherheitsmaszlignahmen fuumlr eine Zertifizierung nicht aus koumlnnen aber als Einstieg fuumlr eine der anderen beiden Vorgehensweisen dienen

Das ISO 27001-Zertifikat auf der Basis von IT-Grundschutz bietet Unternehmen und Behoumlrden die Moumlglichkeit ihre Bemuumlhungen um Informationssicherheit transparent zu machen Dies kann sowohl gegenuumlber Kunden als auch gegenuumlber Geschaumlftspartnern als Qualitaumltsmerkmal dienen und somit zu einem Wettbewerbsvorteil fuumlhren

Dabei sind die Interessen an einer ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz vielfaumlltig

bull Dienstleister moumlchten mithilfe dieses Zertifikats einen vertrauenswuumlrdigen Nachweis fuumlhren dass sie die Maszlignahmen gemaumlszlig IT-Grundschutz realisiert haben

bull Kooperierende Unternehmen moumlchten sich daruumlber informieren welchen Grad von Informationsshysicherheit ihre Geschaumlftspartner zusichern koumlnnen

bull Von Institutionen die neu an ein Netz angeschlossen werden wird der Nachweis daruumlber verlangt dass sie eine ausreichende Informationssicherheit besitzen damit durch den Anschluss ans Netz keine untragbaren Risiken entstehen

bull Institutionen moumlchten dem Kunden bzw Buumlrger gegenuumlber ihre Bemuumlhungen um eine ausreishychende Informationssicherheit deutlich machen

Da der IT-Grundschutz mit der in diesem Dokument beschriebenen Vorgehensweise zum Sicherheitsshymanagement und den im IT-Grundschutz-Kompendium enthaltenen Sicherheitsanforderungen inshyzwischen einen Quasi-Standard fuumlr Informationssicherheit darstellt bietet es sich an dies als allgeshymein anerkanntes Kriterienwerk fuumlr Informationssicherheit zu verwenden

Grundlage fuumlr die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz ist die Durchshyfuumlhrung eines Audits durch einen externen beim BSI zertifizierten Auditor Das Ergebnis des Audits ist ein Auditbericht der der Zertifizierungsstelle vorgelegt wird die uumlber die Vergabe des ISO 27001-Zershytifikats auf der Basis von IT-Grundschutz entscheidet Kriterienwerke des Verfahrens sind neben der Norm ISO 27001 die in diesem Dokument beschriebene IT-Grundschutz-Vorgehensweise und das IT-Grundschutz Kompendium des BSI

Uumlber ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz wird zunaumlchst nachgewiesen dass IT-Grundschutz im betrachteten Informationsverbund erfolgreich umgesetzt worden ist Daruumlber hishynaus zeigt ein solches Zertifikat auch dass in der jeweiligen Institution

bull Informationssicherheit ein anerkannter Wert ist

bull ein funktionierendes IS-Management vorhanden ist und auszligerdem

bull zu einem bestimmten Zeitpunkt ein definiertes Sicherheitsniveau erreicht wurde

Weitere Informationen zur Zertifizierung nach ISO 27001 und zur Zertifizierung als ISO 27001-Auditor auf der Basis von IT-Grundschutz finden sich auf der Website des BSI (siehe [ZERT])

Aktionspunkte zu 11 Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz

bull Informationen zum Schema fuumlr die ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz lesen

bull Pruumlfen ob die Bemuumlhungen um Informationssicherheit anhand eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz transparent gemacht werden sollen

bull Gegebenenfalls pruumlfen ob das Informationssicherheitsmanagement und der Sicherheitszustand die entsprechenden Voraussetzungen erfuumlllen

bull Gegebenenfalls den Zertifizierungsprozess initiieren

12 Anhang

121 Erlaumluterungen zu den Schadensszenarien

Im Folgenden sind fuumlr die in Kapitel 821 definierten Schadensszenarien beispielhafte Fragestellunshygen aufgefuumlhrt Diese Fragen sollen als Hilfsmittel fuumlr die Schutzbedarfsfeststellung dienen vor allem im Bereich der Anwendungen Anhand der individuellen Anforderungen sollten die Fragen angepasst und ergaumlnzt werden

Schadensszenario bdquoVerstoszlig gegen GesetzeVorschriftenVertraumlgeldquo

Sowohl aus dem Verlust der Vertraulichkeit als auch der Integritaumlt und ebenso der Verfuumlgbarkeit koumlnshynen derlei Verstoumlszlige resultieren Die Schwere des Schadens ist dabei oftmals abhaumlngig davon welche rechtlichen Konsequenzen daraus fuumlr die Institution entstehen koumlnnen

Beispiele fuumlr relevante Gesetze sind (in Deutschland)

Grundgesetz Buumlrgerliches Gesetzbuch Strafgesetzbuch Bundesdatenschutzgesetz und Datenshyschutzgesetze der Laumlnder EU-Datenschutz-Grundverordnung (DSGVO [DSGVO]) Sozialgesetzbuch Handelsgesetzbuch Personalvertretungsgesetz Betriebsverfassungsgesetz Urheberrechtsgesetz Patentgesetz Informations- und Kommunikationsdienstegesetz (IuKDG) Gesetz zur Kontrolle und Transparenz im Unternehmen (KonTraG)

Beispiele fuumlr relevante Vorschriften sind

Verwaltungsvorschriften Verordnungen und Dienstvorschriften

Beispiele fuumlr Vertraumlge

Dienstleistungsvertraumlge im Bereich Datenverarbeitung Vertraumlge zur Wahrung von Betriebsgeheimshynissen

Fragen

Verlust der Vertraulichkeit

bull Erfordern gesetzliche Auflagen die Vertraulichkeit der Informationen

bull Ist im Falle einer Veroumlffentlichung von Informationen mit Strafverfolgung oder Regressforderungen zu rechnen

bull Sind Vertraumlge einzuhalten die die Wahrung der Vertraulichkeit bestimmter Informationen beinhalshyten

Verlust der Integritaumlt

bull Erfordern gesetzliche Auflagen die Integritaumlt der Informationen

bull In welchem Maszlige wird durch einen Verlust der Integritaumlt gegen Gesetze bzw Vorschriften verstoshyszligen

Verlust der Verffgbarkeit

bull Sind bei Ausfall der Anwendung Verstoumlszlige gegen Vorschriften oder sogar Gesetze die Folge

bull Schreiben Gesetze die dauernde Verfuumlgbarkeit bestimmter Informationen vor

bull Gibt es Termine die bei Einsatz der Anwendung zwingend einzuhalten sind

bull Gibt es vertragliche Bindungen fuumlr bestimmte einzuhaltende Termine

Schadensszenario bdquoBeeintraumlchtigung des informationellen Selbstbestimmungsrechtsldquo

Bei der Implementation und dem Betrieb von IT-Systemen und Anwendungen besteht die Gefahr einer Verletzung des informationellen Selbstbestimmungsrechts bis hin zu einem Missbrauch persoshynenbezogener Daten

Beispiele fuumlr die Beeintraumlchtigung des informationellen Selbstbestimmungsrechts sind

bull Unzulaumlssige Erhebung personenbezogener Daten ohne Rechtsgrundlage oder Einwilligung

bull unbefugte Kenntnisnahme bei der Datenverarbeitung bzw der Uumlbermittlung von personenbezoshygenen Daten

bull unbefugte Weitergabe personenbezogener Daten

bull Nutzung von personenbezogenen Daten zu einem anderen als dem bei der Erhebung zulaumlssigen Zweck und

bull Verfaumllschung von personenbezogenen Daten in IT-Systemen oder bei der Uumlbertragung

Die folgenden Fragen koumlnnen zur Abschaumltzung moumlglicher Folgen und Schaumlden herangezogen wershyden

Fragen

bull Welche Schaumlden koumlnnen fuumlr den Betroffenen entstehen wenn seine personenbezogenen Daten nicht vertraulich behandelt werden

bull Werden personenbezogene Daten fuumlr unzulaumlssige Zwecke verarbeitet

bull Ist es im Zuge einer zulaumlssigen Verarbeitung personenbezogener Daten moumlglich aus diesen Daten z B auf den Gesundheitszustand oder die wirtschaftliche Situation einer Person zu schlieszligen

bull Welche Schaumlden koumlnnen durch den Missbrauch der gespeicherten personenbezogenen Daten entstehen

bull Welche Schaumlden entstuumlnden fuumlr den Betroffenen wenn seine personenbezogenen Daten unabshysichtlich verfaumllscht oder absichtlich manipuliert wuumlrden

bull Wann wuumlrde der Verlust der Integritaumlt personenbezogener Daten fruumlhestens auffallen

bull Koumlnnen bei einem Ausfall der Anwendung oder bei einer Stoumlrung der Datenuumlbertragung persoshynenbezogene Daten verloren gehen oder verfaumllscht werden sodass der Betroffene in seiner gesellshyschaftlichen Stellung beeintraumlchtigt wird oder gar persoumlnliche oder wirtschaftliche Nachteile zu befuumlrchten hat

Schadensszenario bdquoBeeintraumlchtigung der persoumlnlichen Unversehrtheitldquo

Die Fehlfunktion von IT-Systemen oder Anwendungen kann unmittelbar die Verletzung die Invaliditaumlt oder den Tod von Personen nach sich ziehen Die Houmlhe des Schadens ist am direkten persoumlnlichen Schaden zu messen

Beispiele fuumlr solche Anwendungen und IT-Systeme sind

bull medizinische Uumlberwachungsrechner

12 Anhang

bull medizinische Diagnosesysteme

bull Flugkontrollrechner und

bull Verkehrsleitsysteme

Fragen

bull Kann durch das Bekanntwerden von Informationen eine Person physisch oder psychisch geschaumlshydigt werden

bull Koumlnnen Menschen durch manipulierte Programmablaumlufe oder Daten gesundheitlich gefaumlhrdet werden

bull Bedroht der Ausfall der Anwendung oder des IT-Systems unmittelbar die persoumlnliche Unversehrtshyheit von Personen

Schadensszenario bdquoBeeintraumlchtigung der Aufgabenerfuumlllungldquo

Gerade der Verlust der Verfuumlgbarkeit einer Anwendung oder der Integritaumlt von Informationen oder Daten kann die Aufgabenerfuumlllung in einer Institution erheblich beeintraumlchtigen Die Schwere des Schadens richtet sich hierbei nach der zeitlichen Dauer der Beeintraumlchtigung und nach dem Umfang der Einschraumlnkungen der angebotenen Dienstleistungen

Beispiele hierfuumlr sind

bull Fristversaumlumnisse durch verzoumlgerte Bearbeitung von Verwaltungsvorgaumlngen

bull verspaumltete Lieferung aufgrund verzoumlgerter Bearbeitung von Bestellungen

bull fehlerhafte Produktion aufgrund falscher Steuerungsdaten und

bull unzureichende Qualitaumltssicherung durch Ausfall eines Testsystems

Fragen

bull Gibt es Informationen deren Vertraulichkeit die Grundlage fuumlr die Aufgabenerfuumlllung ist (z B Strafverfolgungsinformationen Ermittlungsergebnisse)

bull Koumlnnen Veraumlnderungen an Informationen die Aufgabenerfuumlllung in der Art einschraumlnken dass die Institution handlungsunfaumlhig wird

bull Entstehen erhebliche Schaumlden wenn die Aufgaben trotz verfaumllschter Informationen wahrgenomshymen werden Wann werden unerlaubte Datenveraumlnderungen fruumlhestens erkannt

bull Koumlnnen verfaumllschte Informationen in der betrachteten Anwendung zu Fehlern in anderen Anwenshydungen fuumlhren

bull Welche Folgen entstehen wenn Daten faumllschlicherweise einer Person zugeordnet werden die diese Daten in Wirklichkeit gar nicht erzeugt hat

bull Gibt es Informationen bei denen eine Einschraumlnkung der Verfuumlgbarkeit schwerwiegende Auswirshykungen auf die Institution oder deren Geschaumlftsprozesse haumltte

bull Kann durch den Ausfall von Anwendungen die Aufgabenerfuumlllung der Institution so stark beeinshytraumlchtigt werden dass die Wartezeiten fuumlr die Betroffenen nicht mehr tolerabel sind

bull Sind von dem Ausfall dieser Anwendung andere Anwendungen betroffen

bull Ist es fuumlr die Institution bedeutsam dass der Zugriff auf Anwendungen nebst Programmen und Daten staumlndig gewaumlhrleistet ist

Schadensszenario bdquoNegative Innen- oder Auszligenwirkungldquo

Durch den Verlust einer der Grundwerte Vertraulichkeit Integritaumlt oder Verfuumlgbarkeit in einer Anwenshydung koumlnnen verschiedenartige negative Innen- oder Auszligenwirkungen entstehen zum Beispiel

bull Ansehensverlust einer Institution

bull Vertrauensverlust gegenuumlber einer Institution

bull Demoralisierung der Mitarbeiter

bull Beeintraumlchtigung der wirtschaftlichen Beziehungen zusammenarbeitender Institutionen

bull verlorenes Vertrauen in die Arbeitsqualitaumlt einer Institution und

bull Einbuumlszligen der Konkurrenzfaumlhigkeit

Die Houmlhe des Schadens orientiert sich an der Schwere des Vertrauensverlustes oder des Verbreitungsshygrades der Innen- oder Auszligenwirkung

Die Ursachen fuumlr solche Schaumlden koumlnnen vielfaumlltiger Natur sein

bull Handlungsunfaumlhigkeit einer Institution durch IT-Ausfall

bull fehlerhafte Veroumlffentlichungen durch manipulierte Daten

bull Fehlbestellungen durch mangelhafte Lagerhaltungsprogramme

bull Nichteinhaltung von Verschwiegenheitserklaumlrungen

bull Schuldzuweisungen an die falschen Personen

bull Verhinderung der Aufgabenerfuumlllung einer Abteilung durch Fehler in anderen Bereichen

bull Weitergabe von Fahndungsdaten an interessierte Dritte und

bull Zuspielen vertraulicher Informationen an die Presse

Fragen

bull Welche Konsequenzen ergeben sich fuumlr die Institution durch die unerlaubte Veroumlffentlichung von schutzbeduumlrftigen Informationen

bull Kann der Vertraulichkeitsverlust von Informationen zu einer Schwaumlchung der Wettbewerbspositishyon fuumlhren

bull Entstehen bei der Veroumlffentlichung von vertraulichen Informationen Zweifel an der Vertrauenswuumlrshydigkeit der Institution

12 Anhang

bull Koumlnnen Veroumlffentlichungen von Informationen zur politischen oder gesellschaftlichen Verunsicheshyrung fuumlhren

bull Koumlnnen Mitarbeiter durch die unzulaumlssige Veroumlffentlichung von Informationen das Vertrauen in ihre Institution verlieren

bull Welche Schaumlden koumlnnen sich durch die Verarbeitung Verbreitung oder Uumlbermittlung falscher oder unvollstaumlndiger Informationen ergeben

bull Wird die Verfaumllschung von Informationen oumlffentlich bekannt

bull Entstehen bei einer Veroumlffentlichung von verfaumllschten Informationen Ansehensverluste

bull Koumlnnen Veroumlffentlichungen von verfaumllschten Informationen zur politischen oder gesellschaftlichen Verunsicherung fuumlhren

bull Koumlnnen verfaumllschte Informationen zu einer verminderten Produktqualitaumlt und damit zu einem Anshysehensverlust fuumlhren

bull Schraumlnkt der Ausfall von Anwendungen die Informationsdienstleistungen fuumlr Externe ein

bull Verhindert die Nichtverfuumlgbarkeit von Informationen oder der Ausfall von Geschaumlftsprozessen die Erreichung von Geschaumlftszielen

bull Ab wann wird die Nichtverfuumlgbarkeit von Informationen oder der Ausfall von Anwendungen oder Geschaumlftsprozessen extern bemerkt

Schadensszenario bdquoFinanzielle Auswirkungenldquo

Unmittelbare oder mittelbare finanzielle Schaumlden koumlnnen durch den Verlust der Vertraulichkeit schutzbeduumlrftiger Informationen die Veraumlnderung von Informationen oder den Ausfall von Anwenshydungen entstehen Beispiele dafuumlr sind

bull unerlaubte Weitergabe von Forschungs- und Entwicklungsergebnissen

bull Manipulation von finanzwirksamen Daten in einem Abrechnungssystem

bull Ausfall eines IT-gesteuerten Produktionssystems und dadurch bedingte Umsatzverluste

bull unerlaubte Einsichtnahme in Marketingstrategiepapiere oder Umsatzzahlen

bull Ausfall eines Buchungssystems einer Reisegesellschaft

bull Ausfall eines E-Commerce-Servers

bull Zusammenbruch des Zahlungsverkehrs einer Bank

bull Diebstahl oder Zerstoumlrung von Hardware

Die Houmlhe des Gesamtschadens setzt sich zusammen aus den direkt und indirekt entstehenden Kosten etwa durch Sachschaumlden Schadenersatzleistungen und Kosten fuumlr zusaumltzlichen Aufwand (z B Wieshyderherstellung)

Fragen

bull Kann die Veroumlffentlichung vertraulicher Informationen Regressforderungen nach sich ziehen

122 Literaturverzeichnis

bull Gibt es innerhalb von Geschaumlftsprozessen oder Anwendungen Informationen aus deren Kenntnis ein Dritter (z B Konkurrenzunternehmen) finanzielle Vorteile ziehen kann

bull Werden mit Anwendungen Forschungsdaten gespeichert die einen erheblichen Wert darstellen Was passiert wenn sie unerlaubt kopiert und weitergegeben werden

bull Koumlnnen durch vorzeitige Veroumlffentlichung von schutzbeduumlrftigen Informationen finanzielle Schaumlshyden entstehen

bull Koumlnnen durch Datenmanipulationen finanzwirksame Daten so veraumlndert werden dass finanzielle Schaumlden entstehen

bull Kann die Veroumlffentlichung falscher Informationen Regressforderungen nach sich ziehen

bull Koumlnnen durch verfaumllschte Bestelldaten finanzielle Schaumlden entstehen (z B bei Just-in-Time-Proshyduktion)

bull Koumlnnen verfaumllschte Informationen zu falschen Geschaumlftsentscheidungen fuumlhren

bull Wird durch den Ausfall von Anwendungen oder Geschaumlftsprozessen die Produktion die Lagerhalshytung oder der Vertrieb beeintraumlchtigt

bull Ergeben sich durch den Ausfall von Anwendungen oder Geschaumlftsprozessen finanzielle Verluste aufgrund von verzoumlgerten Zahlungen bzw Zinsverlusten

bull Wie hoch sind die Reparatur- oder Wiederherstellungskosten bei Ausfall Defekt Zerstoumlrung oder Diebstahl von IT-Systemen

bull Kann es durch den Ausfall von Anwendungen oder Geschaumlftsprozessen zu mangelnder Zahlungsshyfaumlhigkeit oder zu Konventionalstrafen kommen

bull Wie viele wichtige Kunden waumlren von einem Ausfall der Anwendungen oder der Geschaumlftsprozesshyse betroffen

122 Literaturverzeichnis [27000] ISOIEC 270002016 International Organization for Standardization (Hrsg) Information

technology ndash Security techniques ndash Information Security management systems ndash Overview and vocabulary ISOIEC JTC 1SC 27 2016

[27001] ISOIEC 270012013 International Organization for Standardization (Hrsg) Information technology ndash Security techniques ndash Information security management systems ndash Requireshyments ISOIEC JTC 1SC 27 2013

[27002] ISOIEC 270022013 International Organization for Standardization (Hrsg) Information technology ndash Security techniques ndash Code of practice for information security controls ISOIEC JTC 1SC 27 2013

[27004] ISOIEC 270042016 International Organization for Standardization (Hrsg) Information technology ndash Security techniques ndash Information security management ndash Monitoring meshyasurement analysis and evaluation ISOIEC JTC 1SC 27 2016

[27005] ISOIEC 270052011 International Organization for Standardization (Hrsg) Information technology ndash Security techniques ndash Information security risk management ISOIEC JTC 1SC 27 2011

12 Anhang

[820-2] DIN 820-22012 Anhang H Gestaltung von Dokumenten ndash Verbformen zur Formulieshyrung von Festlegungen NA 173-00-02 AA 2012

[BSI1] Managementsysteme fuumlr Informationssicherheit (ISMS) BSI-Standard 200-1 Version 10 Oktober 2017 httpswwwbsibunddegrundschutz

[BSI3] Risikoanalyse auf der Basis von IT-Grundschutz BSI-Standard 200-3 Version 10 Oktober 2017 httpswwwbsibunddegrundschutz

[BSIR] Informationssicherheitsrevision ndash Ein Leitfaden fuumlr die IS-Revision auf Basis von IT-Grundshyschutz BSI Version 20 Maumlrz 2010 httpswwwbsibunddeis-revision

[CSC] Leitfaden Cyber-Sicherheits-Check anz-fuer-cybersicherheitde

BSI ISACA 07 03 2014 httpswwwallishy

[DSGVO] Verordnung (EU) 2016679 zum Schutz natuumlrlicher Personen bei der Verarbeitung persoshynenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 9546EG (Datenschutz-Grundverordnung) Europaumlisches Parlament und der Rat der Eushyropaumlischen Union 27 April 2016

[GSK] IT-Grundschutz-Kompendium BSI jaumlhrlich neu httpswwwbsibunddegrundschutz

[ISF] The Standard of Good Practice 2016 ISF ndash Information Security Forum httpswwwsecurityforumorgtoolthe-isf-standardrmation-security

[NIST53] NIST Special Publication 800-53 Revision 4 Security and Privacy Controls for Federal Inshyformation Systems and Organizations NIST 2015 httpcsrcnistgovpublicationsPubshysSPshtml

[RFC2119] RFC 2119 (Key words for use in RFCs to Indicate Requirement Levels) Network Working Group Stand 1997 httpswwwietforgrfcrfc2119txt

[SDM] Standard-Datenschutzmodell (SDM) SDM-Methodik-Handbuch Konferenz der Datenshyschutzbeauftragten des Bundes und der Laumlnder V10 kann von allen Webservern der deutschen Datenschutz-Aufsichtsbehoumlrden heruntergeladen werden z B httpswwwdatenschutz-mvdedatenschutzsdmsdmhtml

[ZERT] Informationen zur Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz BSI httpswwwbsibunddeiso27001-zertifikate

Inhaltsverzeichnis

1 Einleitung

11 Versionshistorie

12 Zielsetzung

13 Adressatenkreis

14 Anwendungsweise
























341 Verantwortung der Behrden- bzw Unternehmensleitung fuumlr die Sicherheitsleitlinie
























6 Erstellung einer Sicherheitskonzeption nach der Vorgehensweise Basis-Absicherung








64 Realisierung


7 Erstellung einer Sicherheitskonzeption nach der Vorgehensweise Kern-Absicherung




74 Strukturanalyse






8 Erstellung einer Sicherheitskonzeption nach der Vorgehensweise der Standard-Absicherung

81 Strukturanalyse













824 Schutzbedarfsfeststellung fr IT-Systeme

825 Schutzbedarfsfeststellung fr ICS-Systeme

















85 Risikoanalyse
















12 Anhang

