Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
5
Inhaltsverzeichnis
Vorwort von Dr. Markus Morawietz 11
Vorwort 15
1 Einführung in die IT-Sicherheit 25
1.1 IT-Sicherheit und wie man sie erreicht 25
1.2 Wichtige Begriffe 281.2.1 Normenreihe ISO 2700x und Dokumente des BSI 291.2.2 Information-Security-Management-System 301.2.3 IT-Sicherheitsorganisation 311.2.4 Unternehmenswerte 321.2.5 Dateneigentümer und Risikoeigentümer 331.2.6 Asset-Management 341.2.7 Schutzbedarf, Schutzziele, Schutzstufen und die
Klassifizierung 351.2.8 Risiko, Risikoberechnung, Risikobehandlung und
Maßnahmen 371.2.9 Angriffspfad, Schwachstellen und Bedrohungen 391.2.10 Richtlinien 391.2.11 IT-Sicherheitskonzept 40
1.3 Das Hamsterrad 41
1.4 Die allzu menschlichen Fallstricke 42
1.5 Motivation, die IT-Sicherheit zu erhöhen 451.5.1 Externe Vorgaben 451.5.2 Verpflichtung zur Datensicherheit 471.5.3 Haftung auf verschiedenen Ebenen 49
1.6 Reduzierung des Risikos 501.6.1 Angriffe durch eigene Mitarbeiter 501.6.2 Angriffe von außen 51
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
INHALTSVERZEICHNIS
6
2 Das IT-Sicherheitsprojekt 53
2.1 Kurz zusammengefasst 53
2.2 Rahmenbedingungen und Erfahrungen 562.2.1 Das Wesen eines Projekts 562.2.2 IT-Sicherheit als Top-down-Ansatz 572.2.3 Die kontinuierliche Verbesserung 59
2.3 Die Ziele des IT-Sicherheitsprojekts 612.3.1 Aufgabe: Der Geltungsbereich 622.3.2 Aufgabe: Sicherheitsniveau als Projektziel 64
2.4 Der Projektablauf 682.4.1 Das Vorgehen im Überblick 682.4.2 Aufgaben, Input und Output 692.4.3 Transparenz schaffen 712.4.4 Regeln einführen 752.4.5 Durchführung von Audits 78
3 Transparenz schaffen 81
3.1 Übersicht über die Vorgehensweise 81
3.2 Die Basisdokumente der IT-Sicherheit 833.2.1 Aufgabe: Information Security Policy 843.2.2 Aufgabe: Klassifizierungsrichtlinie 87
3.3 Der Workshop und die Erfassung des aktuellen Status 903.3.1 Zielsetzung und Ablauf 903.3.2 Eine kleine Business-Impact-Analyse (BIA) 94
3.4 Themengebiete der IT-Sicherheit 1023.4.1 Zugrunde liegende Standards 1023.4.2 Aufgabe: Themengebiete der IT-Sicherheit auswählen 103
4 Regeln einführen 109
4.1 Richtlinien als formalisierte Regeln 1104.1.1 Struktur und Inhalt von Richtlinien 110
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
INHALTSVERZEICHNIS
7
4.1.2 Richtlinien im Kontext 1144.1.3 Aufgabe: Prozessbeschreibung Erstellung und Pflege
von Richtlinien 1154.1.4 Der Richtlinienbaukasten 1174.1.5 Regeln und die Klassifizierung 119
4.2 Richtlinien umsetzen 1214.2.1 Umsetzung von Regeln 1214.2.2 Von der Richtlinie zur Guideline 1234.2.3 Anspruch und Wirklichkeit 1254.2.4 Eine fiktive IT-Umgebung 1274.2.5 Hilfestellungen durch genormte Vorgehensweisen 131
4.3 Die Richtlinien/Aufgaben des Projekts 1424.3.1 Aufgabe: Checklisten IT-Sicherheitsrichtlinien und
IT-Sicherheitsprozesse 1424.3.2 Aufgabe: Kommunikation von IT-Sicherheitsthemen 144
4.4 Die sechs Grundsatzthemen 1454.4.1 Aufgabe: Standardisierung von IT-Systemen und Software 1464.4.2 Aufgabe: Schutz vor Schadsoftware (Antivirus) 1484.4.3 Aufgabe: Patchmanagement 1514.4.4 Zugang zum Unternehmensnetzwerk 1534.4.5 Aufgabe: Dateiberechtigungen auf Servern analysieren 1564.4.6 Aufgabe: Grundregeln Benutzerverzeichnisse 160
4.5 Themengebiet IT-Sicherheitsprozesse 1624.5.1 Aufgabe: IT-Sicherheitsorganisation 1634.5.2 Aufgabe: Verwaltung der Unternehmenswerte (assets) 1684.5.3 Aufgabe: Prozess IT-Sicherheitsvorfälle melden 1694.5.4 Aufgabe: Prozess Schwachstellenanalyse 1734.5.5 Aufgabe: Prozess Notfallmanagement 1754.5.6 Aufgabe: Prozess Überwachung von (Sicherheits-)
Protokollen (logfiles) 1774.5.7 Aufgabe: Microsoft-Windows-Ereignisse überwachen 1804.5.8 Aufgabe: Dateizugriffe auf Servern überwachen 182
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
INHALTSVERZEICHNIS
8
4.5.9 Aufgabe: Prozess Änderungsmanagement (change management) 184
4.5.10 Aufgabe: Prozess Backup und Wiederherstellung 185
4.6 Themengebiet Benutzer 1864.6.1 Aufgabe: Benutzerverwaltung 1864.6.2 Aufgabe: Generelle Richtlinien für Benutzer 1884.6.3 Aufgabe: Richtlinien für Administratoren 1914.6.4 Aufgabe: Umgang mit Gerätschaften 1924.6.5 Aufgabe: Awareness-Maßnahmen 193
4.7 Themengebiet Zugriff auf Daten 1944.7.1 Aufgabe: Rollenkonzept erstellen 1944.7.2 Aufgabe: Temporärer administrativer Zugriff 1974.7.3 Aufgabe: Regeln zur Vergabe von Berechtigungen 198
4.8 Themengebiet Sichere Systeme 2004.8.1 Aufgabe: PCs und Laptops sicher konfigurieren 2004.8.2 Aufgabe: Sicherer Administrations-PC 2034.8.3 Aufgabe: Sichere Serversysteme 205
4.9 Themengebiet Physische Sicherheit 2064.9.1 Aufgabe: Zutritt zum Unternehmen 2074.9.2 Aufgabe: Kritische Bereiche absichern 208
4.10 Themengebiet Netzwerk 2124.10.1 Aufgabe: Datenübertragung und Verschlüsselung 2134.10.2 Aufgabe: Verbindungen zu anderen Unternehmen 2154.10.3 Aufgabe: Trennung von Netzwerken 2164.10.4 Aufgabe: Regeln zum Zugang zum internen Netzwerk 217
4.11 Aufgabe: Skript- und Softwareentwicklung 219
5 Audits durchführen 223
5.1 Das Audit und seine Komponenten 2235.1.1 Die Grundzüge 2235.1.2 Der Auditor 2265.1.3 Der Interview-Partner 227
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
INHALTSVERZEICHNIS
9
5.1.4 Art des Audits 2285.1.5 Audit-Planung, Geltungsbereich, Abstimmung mit
den Fachbereichen 2295.1.6 Fragenkatalog, Sammeln von Nachweisen 2305.1.7 Der Audit-Bericht 2305.1.8 Das Aufsichtsgremium 2315.1.9 Lessons learned – Verbesserung des Audit-Prozesses 233
5.2 Der Fragenkatalog und das Sammeln von Nachweisen 2335.2.1 Aufbau eines Fragenkatalogs 2335.2.2 Auswahl der Fragen und deren Bewertung 2375.2.3 Erbringung von Nachweisen 2395.2.4 Auswertung der Antworten 2405.2.5 Übergabe der Abweichungen zur Abarbeitung 241
5.3 Quellen für die Überprüfung von Regeln 2425.3.1 Dokumentation und das Asset-Management 2435.3.2 Auswertung von Protokolldateien 2435.3.3 Aktive Penetrationstests 2445.3.4 Ergebnisse aus dem CERT 245
Index 247
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
25
1
1 Einführung in die IT-Sicherheit
1.1 IT-Sicherheit und wie man sie erreicht
Die produktive Auseinandersetzung mit einem Thema, insbesondere wennman Ratgeber oder Literatur dafür hinzuzieht, setzt immer ein gemeinsamesVerständnis für die benutzten Begriffe voraus. Im vorliegenden Buch drehtsich alles um das Thema »IT-Sicherheit« und deshalb möchte ich voranschi-cken, was sich dahinter, meinem Verständnis nach, verbirgt. Im folgendenKapitel werden zudem weitere Begriffe erläutert.
Zunächst muss deutlich gemacht werden, dass, wie in vielen anderen Fachge-bieten auch, Themen aus verschiedenen Perspektiven und aus verschiedenenMotivationen heraus betrachtet werden können. So kann eine Person aus derAbteilung Firewall-Administration eine andere Definition des Begriffs »IT-Sicherheit« finden als ein Support-Mitarbeiter. Das ist zunächst kein Prob-lem, da beide Gruppen ihre Aufgabe getrennt voneinander bearbeiten. Tref-fen sie aber in einem Projekt aufeinander, in dem es um den Aufbau von IT-Sicherheit geht, dann kann es schnell zu Missverständnissen kommen. So isteinzusehen, dass eine Aufgabe, wie die Konfiguration und Überwachung vonFirewalls, Teil der IT-Sicherheit ist, genauso wie das Aufstellen und Betreibenvon Computern. Wie diese jeweils zu gewichten sind und wie sie zusammen-hängen, steht wiederum auf einem anderen Blatt. Insbesondere die Fragenach der Priorität führt zu Diskussionen, wenn es darum geht, Entscheidun-gen zu treffen und Geld zu investieren. In diesen fachlichen Auseinanderset-zungen ist es die Aufgabe des Verantwortlichen für die IT-Sicherheit, formaleKriterien mit in die Diskussion zu tragen, auf deren Basis die richtigen Ent-scheidungen getroffen werden können.
Es ist hilfreich, noch mal einen Schritt zurückzutreten und den Begriff »IT-Sicherheit« möglichst unvoreingenommen zu betrachten. Um zu einer ein-heitlichen Definition zu kommen, ist der gemeinsame Nenner zu finden. Dereinfachste gemeinsame Nenner ist die Definition, dass IT-Sicherheit immerdie Abwesenheit von IT-Unsicherheit ist. Unsicherheit wird in diesemZusammenhang mit dem Begriff »Gefahren« übersetzt. Die Abwesenheit vonGefahren ist demnach gleichzusetzen mit Sicherheit. Angenommen, man
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
KAPITEL 1 – EINFÜHRUNG IN DIE IT-SICHERHEIT
26
1übersetzt das Wort Gefahren mit einem Wort aus dem IT-Risikomanagement,und zwar dem Begriff »Bedrohung«, dann ist man noch ein bisschen näheram Wesen der IT-Sicherheit. Bedrohungen wiederum sind nur dann vorhan-den, wenn es sowohl eine Schwachstelle gibt als auch eine Möglichkeit, dieseauszunutzen. So ist ein Rechner unter Windows 8.1 auf Betriebssystem-Ebene nur dann einer Bedrohung ausgesetzt, wenn sowohl eine technischeSchwachstelle, wie z.B. ein Programmfehler, existiert als auch ein Exploit, derdiesen Fehler ausnutzen kann. Hat ein Hacker sowohl die Möglichkeit, zumZielrechner vorzudringen, als auch den Exploit zur Verfügung, dann entstehteine Bedrohung für diesen Rechner.
IT-Sicherheit ist also dann gegeben, wenn einem Angreifer entweder dieSchwachstelle entzogen wird, z.B. durch Patchen des Rechners, oder aber dieMöglichkeit zum Angriff über das Netzwerk, z.B. durch die Implementierungeiner Firewall, entzogen wird.
Beide vorher genannten Gruppen arbeiten damit an verschiedenen Stellenam gleichen Ziel mit, und zwar parallel zueinander und gleichberechtigt. Umzu beantworten, was denn nun wichtiger ist, die Firewall oder das Patchen desPC, ist eine Rechnung aufzustellen, die die Faktoren »Bedrohung«, »Eintritts-wahrscheinlichkeit der Gefährdung« und die dann entstehenden Kosten miteinbezieht. Ein solcherart errechnetes Risiko dient dann dazu, von subjekti-ven Meinungen zu objektiven Einschätzungen zu gelangen.
Hinweis
Die Abwesenheit von IT-Unsicherheit ist dann gegeben, wenn keineSchwachstellen oder keine Möglichkeiten, diese auszunutzen, vorliegen.Die IT-Sicherheit hat sich damit genau darum zu kümmern: Sie merztSchwachstellen aus oder macht das Ausnutzen derselben schwierig odergar unmöglich.
Um dies möglichst lückenlos zu bewerkstelligen, arbeitet die IT-Sicher-heit wie ein Uhrwerk, in dem zahllose kleine Zahnrädchen im Gleichtaktticken. Fällt ein Zahnrädchen aus, so kann das Gesamtsystem bereitskompromittiert werden. Damit dies nicht unbemerkt passiert, gibt es IT-Sicherheitsprozesse und Regelwerke. Die Prozesse legen Vorgehenswei-sen fest und sollen damit verhindern, dass das Uhrwerk aus dem Taktgerät, wenn eine Stelle von der korrekten Vorgehensweise abweicht.
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
IT-SICHERHEIT UND WIE MAN SIE ERREICHT
27
1
Ein weiterer Gedanke wäre, auch wenn es sich zunächst wie eine zu kurzgedachte Methodik anhört: Sicherheit ist durchaus auch dann gegeben,wenn das Asset, das schützenswert ist, vom potenziellen Angreifer nichtgesehen werden kann. Im Englischen spricht man dann von der fehlenden»visibility«. Das macht keinen Sinn, wenn man Daten vor dem Mitarbeiterschützen möchte, der das Unternehmen verlassen wird und gerne die Datenmitnehmen würde. Aber schon, wenn es darum geht, IT-Systeme zu benen-nen, zeigt sich der Nutzen. Warum soll man den Server mit den kritischenDaten denn »Berlin-SRV-Prod-Daten« nennen? Viel zu viele Informationenwerden alleine schon mit der Bezeichnung an den potenziellen Angreiferweitergegeben. So ist dessen Standort vermutlich in Berlin zu verorten, pro-duktive Daten sind darauf gespeichert und es handelt sich bei dem Systemum einen Server. Praktisch für den Administrator, kontraproduktiv hinsicht-lich der IT-Sicherheit.
Aus den bislang gewonnenen Erkenntnissen kann man nun schlussfolgern,dass ein Unternehmen Sicherheit für die zu schützenden Assets entwederdadurch erreicht, dass es die Bedrohungen für das jeweilige Asset beseitigtoder aber das Asset von den Bedrohungen trennt. Ein Server, der in einemRaum mit einer Tür ohne Verriegelung untergebracht ist, kann also entwederdurch das Einsetzen einer vernünftigen Schließanlage gesichert werden oderaber dadurch, dass man ihn in einem entsprechenden Computerraum mitsinnvollem Zugangsschutz verlegt. Diese Maßnahme schützt den Serverdann gegen genau diese eine Bedrohung. Eine weitere, mögliche Bedrohung,nämlich dass jemand über das Netzwerk unbefugten Zugang erhält, bleibtdabei zunächst außen vor. Anhand dieser Beispiele ist schnell zu erkennen,dass die Schaffung von IT-Sicherheit in den meisten Fällen nur durch dieUmsetzung einer ganzen Reihe von Maßnahmen, die verschiedene Perspek-tiven abdecken, zu erreichen ist.
Ein Beispiel wäre die Aufstellung eines Windows-8.1-Rechners ohneSicherheits-Patches. Die Aufgabe der IT-Sicherheitsprozesse wäre es indiesem Fall, ein solches Vorgehen von vornherein als regelwidrig zu ent-larven und, wenn möglich, komplett zu unterbinden. Das Regelwerk legtdazu die Rahmenbedingungen fest und dient im Nachhinein als Vorlagefür eine Überprüfung der IT-Systeme im Rahmen eines Audits.
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
KAPITEL 1 – EINFÜHRUNG IN DIE IT-SICHERHEIT
28
1
Ein paar Worte noch zum eben erwähnten »Zusammenspiel von Maßnah-men«. Nicht jede Maßnahme, die für sich selbst gesehen das Risiko für einAsset verringern kann, muss auch im Gesamtkontext gesehen eine gute Wahldarstellen. So ist es durchaus denkbar, dass gerade durch die Implementie-rung einer eigentlich sinnvoll erscheinenden Maßnahme neue Verwundbar-keiten erst entstehen. So gibt es ein Beispiel aus der Vergangenheit, bei demdie Installation eines Antivirenprogramms zwar zunächst dabei geholfen hat,Viren auf Client-Computern zu entdecken und zu löschen, aber auf der ande-ren Seite hatte die Applikation selbst wiederum Schwachstellen, die ausge-nutzt werden konnten, den Zielrechner, mit lokalen Administrationsrechtenausgestattet, zu übernehmen. Es wurden dann zwar bald Updates bereitge-stellt, diese wurden aber nicht automatisch installiert, sondern mussten vonHand eingespielt werden. Eine Implementierung eines solchen Programmsohne flankierende Maßnahmen, die sich um das Patchen der Anwendungselbst kümmern, führte damit zu einem erhöhten Risiko.
1.2 Wichtige Begriffe
Wie viele andere Fachbereiche auch hat die IT-Sicherheit eine ganze Reihe anBegriffen geprägt, die sich in den letzten Jahren zunehmend durchgesetzthaben. Die meisten davon werden von englischen Worten abgeleitet, manch-mal existieren sie auch nur in dieser Sprache, sie wurden neu geprägt oderganz und gar neu erfunden. Aus diesen Gründen kann es durchaus dazukommen, dass ganze Vorgaben und Ziele aufgrund einer missverständlichenWortwahl unverständlich bleiben oder in einer kontroversen Diskussion zer-pflückt werden. Das ist der eine Grund, warum ich an dieser Stelle mein Ver-ständnis der wichtigsten Begriffe erläutern möchte.
Hinweis
Die Kunst der IT-Sicherheit besteht darin, die Gefährdungen, denen dieIT-Systeme und Daten ausgesetzt sind, möglichst aus den verschiedens-ten Perspektiven zu betrachten und dann diejenigen Maßnahmen auszu-wählen, die unter Berücksichtigung von Kosten und Nutzen den meistenErfolg im Zusammenspiel versprechen. Dieser Gedanke muss in allenPhasen des Projekts und später auch im Betrieb der IT-Sicherheit im Vor-dergrund stehen.
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
WICHTIGE BEGRIFFE
29
1
Der andere Grund ist schlicht der, dass nicht jeder, der vor die Aufgabe gestelltwird, ein Projekt dieser Art zu leiten oder zu begleiten, automatisch auch einExperte für IT-Sicherheit sein muss. Der Weg dorthin ist lang und steinig unddas Nahebringen der wichtigsten Fachbegriffe kann man auch als kleinen Ein-führungskurs betrachten, mit der Aufgabe, ein paar Abkürzungen einzubauen.
1.2.1 Normenreihe ISO 2700x und Dokumente des BSI
Es ist immer sinnvoll, etwas als Grundlage zu nutzen, das bereits, am besteninternational, als gutes Vorgehensmodell akzeptiert wird. In der IT-Sicherheitstellt sich diese Grundlage unter anderem als eine Reihe von ISO-Standardsdar, die auch bereits in die DIN-Normenreihe übernommen wurden. DieseStandards bilden alle wesentlichen Aspekte der IT-Sicherheit ab und bestehenzum Teil bereits seit vielen Jahren im Markt. Das heißt, ihre Bestandteile bil-den nicht nur ein rein akademisches Grundwissen ab, sondern sind bereits inder täglichen Praxis erprobt.
Für das IT-Sicherheitsprojekt sind die Normen ISO 27001 und 27002 aminteressantesten. Die Norm ISO 27005, die sich um das Thema Risikoma-nagement kümmert, bildet einen weiteren Pfeiler, der in einigen wichtigenProzessen eine Rolle spielt, und die ISO 27035 beschreibt die Funktion undden Aufbau eines sogenannten CERT – dazu mehr in späteren Abschnitten.
Hinweis
Die eben kurz angerissene Unschärfe mancher Begriffe zeigt schon auf,dass es für ein Unternehmen durchaus Sinn macht, speziell hierfür einDokument anzulegen, in dem zumindest diejenigen (Fach-)Begriffeerläutert werden, die in den eigenen Richtlinien, Präsentationen oder inder täglichen Kommunikation verwendet werden.
Hinweis
Auch wenn die Normen wichtig sind, ist deren Kenntnis keine Grundvo-raussetzung, das IT-Sicherheitsprojekt zu einem erfolgreichen Ergebniszu führen.
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
KAPITEL 1 – EINFÜHRUNG IN DIE IT-SICHERHEIT
30
1Neben den eben genannten Normen hat auch das Bundesamt für Sicherheitin der Informationstechnik (BSI) einige sehr wichtige Dokumente veröffent-licht, die auf die Herausforderungen Bezug nehmen, denen wir uns im Pro-jekt gegenübersehen werden. In den entsprechenden Abschnitten verweiseich dann jeweils auf die wichtigsten Quellen und gebe dem Leser dann dieMöglichkeit, sein Wissen zu vertiefen. Die Kenntnisse, die man aus diesenLeitfäden herauslesen kann, sind wichtig, um Regelungen und Vorgaben inunternehmerischen Alltag einzuführen und zu betreiben.
1.2.2 Information-Security-Management-System
Die ISO 27001, auf die immer wieder referenziert wird, wenn es um IT-Sicherheit geht, trägt den Begriff »Information-Security-Management-Sys-tem«, abgekürzt ISMS, bereits prominent im Titel. Des Weiteren wird es imRahmen der Norm folgendermaßen definiert:
Teil des gesamten Managementsystems, der auf der Basis eines Geschäfts-risikoansatzes die Entwicklung, Implementierung, Durchführung, Über-wachung, Überprüfung, Instandhaltung und Verbesserung der Informa-tionssicherheit abdeckt.
Auch wenn es sich etwas kryptisch anhört, bietet diese Definition doch einigegute Anhaltspunkte. Zum einen geht es hier nicht um etwas völlig Neues. Eskann als Teil eines in einem Unternehmen bereits gelebten Managementsys-tems, wie es z.B. ein Qualitätsmanagement-System vorgibt, implementiertwerden und damit auf vorhandenen Prozessen aufsetzen. Der Gedanke derstetigen Verbesserung im Rahmen eines Zyklus wird bereits in solchen Sys-temen aktiv angewandt.
Ein ISMS bezieht sich nicht auf ein bestimmtes Unternehmensfeld oder einedefinierte Unternehmensgröße. Daraus kann man ableiten, dass sich nichtein Unternehmen verbiegen muss, um einem ISMS gerecht zu werden, son-dern ganz im Gegenteil, ein ISMS muss so adaptierbar sein, dass es auf dieUnternehmenswirklichkeit angepasst werden kann. Natürlich unter der Prä-misse, dass der Sinn, ein höheres Sicherheitsniveau zu erreichen, nicht ver-fehlt wird.
Des Weiteren ist der Risikomanagement-Ansatz zu nennen. Dieser wird unsauch im IT-Sicherheitsprojekt immer begleiten, auch wenn er hier nicht dieDetailschärfe erreichen wird, wie es in den Normen eigentlich verlangt wird.
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
WICHTIGE BEGRIFFE
31
1Dies liegt vor allem daran, dass das Ziel eines umfassenden und tragfähigenSicherheitskonzepts zwar nicht ohne Einbezug eines IT-Risikomanagementserreichbar ist, das Ziel aber, wirklich alles danach auszurichten, würde denUmfang dieses Projekts zu stark erweitern und wäre demnach kontraproduk-tiv. Aus diesem Grund wird auch immer wieder von der »Basissicherheit«und einer »angestrebten Sicherheit« die Rede sein. Beides liegt auf dem glei-chen Weg, wenn auch die »angestrebte Sicherheit« einiges mehr an Aufwanderfordert. Davon aber später mehr.
Ansonsten gilt das, was Bruce Schneier, der Experte für umfassende IT-Sicherheit schlechthin, bereits vor einigen Jahren treffend formuliert hat: IT-Sicherheit ist keine bestimmte Software oder eine einzelne gezielte Maß-nahme, sondern ein Prozess, der sich immer weiter verbessert. Daraus abge-leitet ist ein angestrebtes Niveau an IT-Sicherheit nicht dadurch zu erreichen,dass nur ausgewählte Sicherheitsthemen, wie das Patchmanagement oder dieFirewall-Betreuung, ausgebaut werden, es ist immer darauf zu achten, dassalle Felder der IT-Sicherheit Beachtung finden und in ein übergreifendes Kon-trollsystem eingebunden werden. Diese Betrachtung fasst die Definitioneines ISMS, denke ich, am besten zusammen.
1.2.3 IT-Sicherheitsorganisation
In Bezug auf ein Unternehmen oder eine Behörde umfasst die IT-Sicherheits-organisation alle Stellen, die sich mit dem Schutz der Vertraulichkeit, Verfüg-barkeit und Integrität von Daten, und im weiteren Sinne von Informationen,auseinandersetzen. Zu klären sind die Schnittstellen zwischen Organisations-einheiten wie z.B. dem Werkschutz, der das Rechenzentrum, als Teil einesGebäudes, schützt, und dem IT-Sicherheitsmanager, der parallel dazu auch fürden physischen Schutz des Rechenzentrums verantwortlich sein kann.
Sind in einem Unternehmen für die operative IT-Sicherheit und das IT-Sicherheitsmanagement unterschiedliche, kaum organisatorisch miteinan-der verbundene Organisationseinheiten zuständig, so kann sich der Gesamt-komplex »IT-Sicherheitsorganisation« dennoch über alle diese Stellen erstre-cken. In diesem Fall ist es entscheidend, entsprechende übergreifendeProzesse und Kommunikationsbeziehungen aufzusetzen.
Es ist unerheblich, ob ein Unternehmen eine umfangreiche IT-Sicherheits-organisation mit vielen Mitarbeitern unterhält oder ob eine einzelne Persondiese Aufgabe wahrnimmt, die Vernetzung zu anderen Einheiten wie die IT-
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
KAPITEL 1 – EINFÜHRUNG IN DIE IT-SICHERHEIT
32
1Abteilung, zur Personalabteilung, zum Werkschutz, zum Betriebsrat undzum Datenschutzbeauftragten ist von kritischer Wichtigkeit, um die Effizienzüber eine sinnvolle Durchdringung zu steigern.
1.2.4 Unternehmenswerte
Das Wort »Werte« leitet sich von dem englischen Begriff »assets« ab, der inder Norm ISO 27001 entscheidend geprägt wird. Dort steht, dass unter »Wer-ten« alles zu verstehen ist, was für ein Unternehmen von Wert ist. Zunächsteinmal hört sich dies wie eine Binsenweisheit an. Auf den zweiten Blick wirdaber auch deutlich, dass wir von viel mehr reden als nur Daten auf Servern.Kritische Informationen können auf verschiedensten Wegen und auf ver-schiedenen Medien im Unternehmen kursieren. Dazu kommt, dass Datennicht im luftleeren Raum existieren können und damit ist auch immer dieInfrastruktur mit einzubeziehen. Zu guter Letzt ist zu bedenken, dass derVerlust von Informationen auch weitreichende Folgen für Werte haben kann,die man zunächst nicht auf dem Schirm hat. Dies hat vor Kurzem ein großesUnternehmen erfahren müssen, als Kreditkartendaten der Kunden »verlorengegangen« sind. Auf einen Schlag kann in einem solchen Fall die Reputationunwiderruflich beschädigt werden. Die IT-Sicherheitsorganisation wiederumhat die Aufgabe, direkt oder auch indirekt, diese Werte zu schützen. Sinnvol-lerweise sind dabei vor allem folgende Werte zu betrachten:
Informationen in Form von Daten: Darunter fallen alle Arten von Daten.Diese können sich unter vielen anderen Ausprägungen auf Datenservern,Datenbanken, auf Netzwerkkomponenten oder auch auf Wechseldatenträ-gern befinden.
Informationen in Form von Dokumenten: Hierunter fallen alle Informa-tionen, die z.B. in Verträgen, Gesprächsnotizen, Besprechungsprotokol-len, Handbüchern, E-Mails, auf Flipcharts oder in Aktenordnern abgelegtsind.
Physische Werte: Darunter fällt die Hardware des Unternehmens – alsoalle Arten an Rechnern, Servern, Netzwerkkomponenten, die Verkabelung,aber auch Datenträger wie DVDs oder Backup-Medien wie Bandkassetten.
Software: Neben Anwendungsprogrammen sind hier vor allem Applika-tionen zur Softwareentwicklung und die Betriebssysteme von Computernoder Netzwerkkomponenten gemeint.
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
WICHTIGE BEGRIFFE
33
1 Dienstleistungen: Das Rechenzentrum ist ein typisches Beispiel für eine
Infrastruktur, für die Dienstleistungen erbracht werden. Innerhalb des Re-chenzentrums arbeiten interne und externe Stellen, um z.B. die unterbre-chungsfreie Stromversorgung, die Installationen zur Bekämpfung vonFeuer oder Wasser, den Aufbau von Serverschränken oder auch eines dop-pelten Bodens zu initiieren oder zu betreiben.
Mitarbeiter: Mitarbeiter haben Qualifikationen und Fähigkeiten, die imGrunde einen großen Teil des Know-hows des Unternehmens darstellen.
Immaterielle Werte wie der Ruf eines Unternehmens, der unter einemSicherheitsvorfall leiden könnte.
Manche dieser Werte werden gedanklich automatisch mit der IT-Sicherheitverknüpft, da es sich um klassische Werte handelt, die etwas mit elektroni-schen Daten oder Computerhardware zu tun haben. Andere Werte wiederum,wie z.B. die Kostenkalkulation auf einem Flipchart, werden zwar als schüt-zenswert wahrgenommen, aber eher in der Verantwortung des Einzelnengesehen. Aus Sicht der ISO-27002-Norm ist es unerheblich, in welcher FormInformationen bewahrt oder dargestellt werden, und dementsprechend be-handeln wir auch die Werte des Unternehmens im IT-Sicherheitsprojekt.
1.2.5 Dateneigentümer und Risikoeigentümer
Der Dateneigentümer (data owner) ist für einen bestimmten Teil der Unter-nehmensdaten verantwortlich. Darunter fallen vor allem die durch ihn selbsterstellten und verwalteten Daten. Damit folgt man dem Gedanken, dass der-jenige, der Daten erfasst oder erzeugt, auch am besten darüber entscheidenkann, welchen Schutzbedarf diese Daten haben und, davon abgeleitet, wiediese Daten sicher gehalten werden sollten. Damit ist der Dateneigentümerder erste Ansprechpartner, wenn es darum geht, den Schutzbedarf von Datenzu bestimmen, Risiken zu bewerten oder Maßnahmen zur Risikoverringe-rung abzuschätzen.
Im Rahmen der IT-Sicherheit führte eine solche Vorgehensweise aber auchdazu, dass es mit steigender Komplexität und einer steigenden Masse anDaten immer schwieriger wird, den Dateneigentümer zu bestimmen. Oft-mals war der Dateneigentümer, aus seiner Rolle im Unternehmen heraus,nicht in der fachlichen Position, die damit verbundenen Aufgaben wahrzu-nehmen. Das sind zwei der Gründe, warum mit der überarbeiteten Version
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
KAPITEL 1 – EINFÜHRUNG IN DIE IT-SICHERHEIT
34
1der ISO 27001:2013 der Risikoeigentümer (risk owner) eingeführt wurde.Damit wird die Verantwortung für Daten wieder mehr in die Richtung derFührungskräfte gelenkt.
1.2.6 Asset-Management
Im Zusammenhang mit den Unternehmenswerten ist auch oft von einem»Asset-Management« die Rede. Wieder ein Begriff, bei dem es fast keinenSinn macht, ihn ins Deutsche zu übersetzen. Das Asset-Management bestehtaus einem systematischen Prozess, der die Aufgabe hat, Assets, also Unter-nehmenswerte, zu erfassen und zu verwalten. Der Prozess reicht in Formeines sogenannten »Lebenszyklus« dabei von der Anschaffung, über die Inbe-triebnahme, die Wartung, den Vorgang der Erweiterung bis hin zur Entsor-gung oder dem Verkauf. Es ist offensichtlich, dass dieser Prozess nicht aufalle, in Abschnitt 1.2.4 genannten, Werte angewendet werden kann.
Aus den eben beschriebenen Bestandteilen eines solchen Prozesses lassensich entsprechende, erforderliche Eigenschaften ableiten, die ein Asset-Management-System erfüllen sollte. Aus Sicht der IT-Sicherheit sind die nach-folgenden Eigenschaften relevant und sollten in jedem Fall erfasst werden:
Hinweis
In den meisten Unternehmen existiert bereits ein Datenpool, der vieleArten an Werten auflistet. Dies ist der Fall, da viele dieser Informationen,unter anderen was die Hardware und Software angeht, auch von anderenBereichen, wie z.B. der Buchhaltung zu Abschreibungszwecken oder derIT zur Planung, benötigt werden. Es kann durchaus Sinn machen, dieseDatenbank für die eigenen Zwecke mit zu benutzen. Um damit sinnvollarbeiten zu können müssen oft weitere Arten an Werten, wie z.B. Daten,hinzugefügt werden und dann noch den entsprechenden Systemen zuge-ordnet werden. Es geht also oft nicht um die Neuentwicklung des Rades,sondern darum, herauszufinden, wo die benötigten Informationen imUnternehmen zu finden sind und wie sie genutzt werden können, um imRahmen eines Information-Security-Management-Systems als Datenba-sis zu dienen.
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
WICHTIGE BEGRIFFE
35
1 Jeder Unternehmenswert hat einen Eigentümer (data owner) . Dieser heißt
auch Dateneigentümer oder Informationseigentümer.
Unternehmenswerte müssen zunächst identifiziert, also als solche er-kannt werden, bevor sie sinnvoll geschützt werden können. Dazu kommt,dass jeder Unternehmenswert entsprechend gekennzeichnet bzw. doku-mentiert sein sollte.
Jeder Unternehmenswert hat einen bestimmten monetären Wert. Da die-ser in den allermeisten Fällen nicht auf den Euro bekannt ist, kann einevereinfachte Einteilung Sinn machen. So könnte eine Einschätzung desWerts zwischen 1 Euro und 5.000 Euro als »niedrig« angelegt werden undso weiter. Diese Thematik wird im Zusammenhang mit der Klassifi-zierungsrichtlinie vertieft. Es ist wichtig, dass man immer im Hinterkopfbehält, dass der Aufwand, den man zum Schutz eines Unternehmens-wertes aufbringen sollte, vom jeweiligen (z.B. monetären) Wert bzw. derEinstufung zwischen »niedrig« und »sehr hoch« abhängt.
Wie mit einem Unternehmenswert umgegangen werden soll, wird in denentsprechenden Richtlinien festgelegt.
Im Rahmen der IT-Sicherheit ist nicht nur der jeweilige Wert als Teil desAsset-Managements als solcher wichtig, sondern auch eine Reihe seiner Attri-bute. So hat der Wert »Server A« Attribute wie eine Netzwerkadresse undeinen Standort. Genauso aber auch Eigenschaften wie einen Patchstand odereine Version des darauf installierten Virenscanners. Gerade diese Eigenschaf-ten sind für die IT-Sicherheit wichtig und stellen einen wichtigen Eckpfeilerder Aufgabe, Transparenz zu schaffen, dar.
1.2.7 Schutzbedarf, Schutzziele, Schutzstufen und die Klassifizierung
In der IT-Sicherheit dreht sich alles darum, Unternehmenswerte zu schützen.Gegen was genau und in welchem Ausmaß etwas zu schützen ist, beschreibtder Schutzbedarf. Im Zuge der Schutzbedarfsfeststellung wird dabei der Graddes erforderlichen Schutzes definiert. So kann dabei z.B. herauskommen,dass der Unternehmenswert »CAD-Zeichnung Prototyp« sehr stark gegendas Einsehen durch nicht autorisierte Personen geschützt werden muss. DerSchutzbedarf hinsichtlich dieses Schutzziels wäre daraus abgeleitet z.B.»sehr hoch«.
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
KAPITEL 1 – EINFÜHRUNG IN DIE IT-SICHERHEIT
36
1Die Schutzziele beschreiben diejenigen Ziele, die definieren, hinsichtlich wasein Wert zu schützen ist. Zu den bekanntesten Schutzzielen gehören die fol-genden drei:
Vertraulichkeit (confidentiality): Die Vertraulichkeit des Unternehmens-werts, z.B. einer Information, wird geschützt. Anders ausgedrückt: Infor-mationen werden nur dafür autorisierten Subjekten, wie Personen, Pro-zessen oder Applikationen, zugänglich gemacht.
Integrität (integrity): Unternehmenswerte, wie Informationen, werden vornicht autorisierten Änderungen geschützt. Das spielt z.B. dann eine großeRolle, wenn diese Informationen in einer Datenbank abgelegt sind und esausdrücklich gewünscht ist, dass nur befugte Personen oder Prozesse Än-derungen an diesen Daten, wie z.B. dem Monatsgehalt der Mitarbeiter,vornehmen können.
Verfügbarkeit (availability): Unternehmenswerte, wie Server oder auchDaten, stehen dafür autorisierten Benutzern oder auch IT-Systemen zurVerfügung. Dabei handelt es sich um ein eher technisches Schutzziel, dasim Gegenzug leichter überprüfbar und definierbar ist, wie z.B. in ServiceLevel Agreements (SLAs).
Die genannten drei Schutzziele sind die sogenannten »klassischen Schutz-ziele«. Im Englischen hat sich die Abkürzung »CIA« eingebürgert, ein Be-griff, der sich aus den ersten Buchstaben der Worte confidentiality, integrityund availability zusammensetzt. Neben diesen Schutzzielen ist eine beliebigeAnzahl weiterer Schutzziele denkbar, an denen ein Unternehmen die Strate-gie zum Schutz der Unternehmenswerte ausrichten kann.
Es ist nicht ganz leicht, den Schutzbedarf mathematisch exakt zu definieren.Aus diesem Grund bedient man sich häufig einer gewissen Unschärferegelungund unterteilt den Schutzbedarf in gröbere Schutzstufen. So würde es sichanbieten, den oben genannten Unternehmenswert »CAD-Zeichnung Proto-typ« in eine von, sagen wir, drei Stufen einzuordnen. Diese Stufen könnten von»Niedrig« über »Mittel« bis »Hoch« reichen. Jede dieser Stufen muss dabei hin-reichend definiert werden, um dem Dateneigentümer und allen, die eine solcheEinschätzung vornehmen müssen, die Möglichkeit zu bieten, dieses Systemanzuwenden. So könnte die mittlere Schutzstufe so definiert sein: Bei Verlustder Vertraulichkeit würde ein größerer Schaden, maximal 100.000 Euro auftre-
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
WICHTIGE BEGRIFFE
37
1ten. Damit verbindet man die Schutzstufe mit einer Schadensumme zur besse-ren Handhabung. Im Abschnitt, der sich um die Erstellung der Klassifizie-rungsrichtlinie dreht, wird dieser Vorgang noch detaillierter erläutert.
In der Klassifizierungsrichtlinie finden die Schutzbedarfe, die Schutzstufenund deren Beschreibung wieder zusammen. Sie definiert, wie ein Unterneh-menswert zu klassifizieren ist, und stellt damit eine wichtige Grundlage fürdas Risikomanagement dar, denn ein hoher Schutzbedarf ist einem großenmonetären Verlust bei Eintritt des Risikos gleichzusetzen und daraus folgteine hohe Risikoeinstufung.
1.2.8 Risiko, Risikoberechnung, Risikobehandlung und Maßnahmen
Mit der Berechnung des Risikos für eine mögliche Verletzung eines Schutz-ziels visualisiert man die Höhe einer Gefährdung und macht sie dadurch ersthandhabbar. Anders ausgedrückt: Der Eintritt eines Risikos verhindert dieErreichung eines Schutzziels und mithilfe der Risikoberechnung wird dasRisiko des Eintretens quantifiziert. So kann man z.B. berechnen, wie hochdas Risiko ist, dass das Schutzziel Vertraulichkeit bezüglich einer CAD-Zeich-nung nicht erreicht wird. Für diese Berechnung benötigt man die Werte vondrei Variablen, wobei ich hier von einer recht einfachen von vielen möglichenArten der Risikoberechnung ausgehe.
Die erforderlichen Variablen sind:
Eintrittswahrscheinlichkeit: Mit welcher Wahrscheinlichkeit wird das Ri-siko tatsächlich eintreten?
Möglicher Verlust: Welcher monetäre Verlust würde eintreten, falls dasRisiko eintritt?
Maßnahmen, die das Risiko mindern und die bereits umgesetzt wurden.
Die Berechnung lautet nun:
Risiko = (Eintrittswahrscheinlichkeit x Möglicher Verlust) – MinderndeMaßnahmen
Ist es bereits im letzten Jahr zweimal vorgekommen, dass CAD-Zeichnungengestohlen wurden, und lag der Schaden jeweils bei 10.000 €, dann wäre das
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
KAPITEL 1 – EINFÜHRUNG IN DIE IT-SICHERHEIT
38
1Risiko, vorausgesetzt es macht Sinn, diese Daten fortzuschreiben, und ohneden Einbezug von mindernden Maßnahmen:
2 x 10.000 € = 20.000 €
Wurde in der Zwischenzeit aber als Maßnahme ein Sicherheitssystem einge-führt, das zu 50% einen solchen Diebstahl verhindern soll, dann würde sichdas Risiko auf 10.000 € halbieren.
Das offensichtliche Problem bei solchen Berechnungen liegt in den vielenAnnahmen, die zu treffen sind und die jeweils Schätzungen darstellen, diewiederum auf Erfahrungen aus der Vergangenheit beruhen. Dennoch ist esunabdingbar, in der IT-Sicherheit in Kategorien von Risiken und Maßnahmenzu denken.
Ist ein Risiko berechnet oder auch nur bekannt, dass es existiert und einegewisse Schwere hat, dann existieren grundsätzlich vier verschiedene Mög-lichkeiten, damit umzugehen. Den Vorgang dazu nennt man die »Risikobe-handlung«. Die Festlegung, wie mit Risiken umzugehen ist, ist eine typischeManagementaufgabe.
Die vier gängigen Arten, mit einem bekannten Risiko umzugehen, sind:
Das Risiko kann eliminiert werden. Ein riskanter Prozess wird ersetzt oderein Betriebssystem, das nicht mehr mit Sicherheitsupdates versorgt wer-den kann, wird ersetzt.
Das Risiko wird akzeptiert und damit getragen. Ein Risiko ist immer auchgleichzeitig eine Chance. So kann es unter Umständen unter dem Strichviel Geld sparen, ein Risiko zu akzeptieren und es hinzunehmen, statt esmit hohem Geldaufwand zu reduzieren oder zu eliminieren.
Ein Risiko kann aus dem eigenen Verantwortungsbereich heraus verlagertwerden. Dazu können z.B. entsprechende Versicherungen abgeschlossenwerden, mit denen man sich z.B. gegen Angriffe von Hackern durch soge-nannte »Cyber-Crime-Versicherungen« versichern kann.
In den häufigsten Fällen wird man ein aufgedecktes Risiko reduzierenwollen. Durch eine oder mehrere entsprechende Maßnahmen wird dieEintrittswahrscheinlichkeit vermindert oder es werden entsprechendeMaßnahmen umgesetzt, um den möglichen Schaden im Falle des Eintrittsdes Risikos zu reduzieren.
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
WICHTIGE BEGRIFFE
39
1Maßnahmen werden in den verschiedenen Standards nach Kategorien geglie-dert, um sie besser handhaben zu können. So werden die Maßnahmen ausAnhang A der ISO 27001 nach Maßnahmenzielen gegliedert und ihnen zuge-ordnet. Deren Sortierung erfolgt wiederum auf Ebene von Funktionsberei-chen oder Themen. So gibt es Maßnahmen z.B. aus dem Bereich der Perso-nalabteilung, der physischen Umgebung, der Zugangs- und Zugriffskontrolleoder auch der allgemeinen Sicherstellung des Geschäftsbetriebs.
Ein anderer Ansatz ist die Gliederung von Maßnahmen nach rein techni-schen Gesichtspunkten. Dies wird immer dann Sinn machen, wenn Maßnah-men tatsächlich in erster Linie dazu dienen, Gefahren für die Unternehmens-werte aufzuspüren, z.B. im Rahmen von Penetrationstests, und technisch zulösen. In solchen Fällen lassen sich Maßnahmen z.B. Themenbereichen wieder Authentifizierung, Autorisierung, der Netzwerktrennung, der Verschlüs-selung oder der Absicherung von Gerätschaften zuordnen. Im täglichenBetrieb der IT-Sicherheit ist dann zu beobachten, dass beide Ansätze, indivi-duell von Unternehmen zu Unternehmen auf unterschiedliche Weise, mitei-nander verschmelzen.
1.2.9 Angriffspfad, Schwachstellen und Bedrohungen
Grundsätzlich gilt, dass ein System nur dann einer Bedrohung ausgesetzt ist,wenn es eine Schwachstelle hat und eine Möglichkeit existiert, diese auszu-nutzen. Schadcode, der dazu geeignet ist, eine vorhandene Schwachstelle füreinen Angriff zu nutzen, nennt sich »Exploit«. So kann selbst ein Sicherheits-loch in einer Betriebssystemsoftware akzeptiert werden, falls es kein denk-bares Mittel gibt (exploit), diese Schwachstelle auszunutzen. Dies kann z.B.dann der Fall sein, wenn sich das entsprechende System in einem Rechenzen-trum befindet und nicht mit dem Netzwerk verbunden ist. Ein Angreifermüsste also zunächst in das Rechenzentrum eindringen, um das Systemanzugreifen. Der Angriffspfad ist damit, falls man annimmt, der Angreiferkann nur von außen kommen, und das Rechenzentrum entsprechendgeschützt wurde, an dieser Stelle nicht durchgängig vorhanden.
1.2.10 Richtlinien
Ein zentrales Thema des IT-Sicherheitsprojekts ist die Erstellung von Richt-linien. Wichtig ist dabei, dass die Erstellung einer Richtlinie implizit auchderen Umsetzung bzw. Durchsetzung beinhaltet. Wenn also eine Richtlinie
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
KAPITEL 1 – EINFÜHRUNG IN DIE IT-SICHERHEIT
40
1erstellt wird, dann geht man davon aus, dass die Vorgaben, die darin formu-liert werden, auch tatsächlich umgesetzt werden. Eine Richtlinie als Doku-ment muss deshalb alle Informationen beinhalten, die erforderlich sind, umdie darin enthaltenen Vorgaben auch umsetzen zu können.
Der Begriff »Richtlinie« wird der Einfachheit halber mit den Ausdrücken»Vorgabe«, »Regelung« oder aus dem Englischen »Policy« gleichgesetzt. Allediese Begriffe haben gemeinsam, dass damit ein Dokument beschriebenwird, das verbindliche (mandatory) Vorgaben über ein bestimmtes Themamacht. Wie eine Richtlinie ausgestaltet werden kann und welche Komponen-ten sie beinhalten sollte, wird in Abschnitt 4.1.4 detailliert beschrieben.
Eine Unterscheidung zwischen Richtlinie und Verordnung, wie sie z.B. imeuropäischen Recht üblich ist, wird im Bereich der Informationstechnik (IT)üblicherweise nicht gemacht. Wie man daran gut erkennen kann, ist letztend-lich vor allem wichtig, sich auf eine unternehmensweite, einheitliche Sprach-regelung zu verständigen.
1.2.11 IT-Sicherheitskonzept
Das IT-Sicherheitskonzept ist die Beschreibung der Gesamtheit aller Maßnah-men im Bereich der IT-Sicherheit und deren Zielvorgaben. Damit ist es mehrals nur die Summe aller operativen Vorgänge in der IT-Sicherheit. Das IT-Sicherheitsprojekt versucht, die regulativen Bestandteile eines IT-Sicherheits-konzepts zu beschreiben und deren operative Umsetzung zu begleiten. DasIT-Sicherheitskonzept ist also mehr als nur ein Dokument oder ein Prozess.
Im Rahmen des Projekts werden einige grundlegende Komponenten desKonzepts bearbeitet. Dies reicht vom
Projektauftrag, inklusive dem Geltungsbereich,
über die IT-Sicherheitsorganisation,
die Schutzbedarfsanalyse im Rahmen der Business-Impact-Analyse,
die Richtlinien, der Überprüfung derselben,
vom Audit abgeleitete Maßnahmen,
das IT-Risikomanagement
bis hin zu den IT-Sicherheitsprozessen.
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
DAS HAMSTERRAD
41
1Alle diese Komponenten und noch mehr sind Teil eines umfassenden IT-Sicherheitskonzepts.
Die IT-Sicherheit hat eine klare Aufgabe im Unternehmen. Diese Aufgabe lei-tet sich wiederum von den Zielen des Unternehmens und den Zielen der ITab. Aus diesem Grund können sich die Ziele der IT-Sicherheit von Unterneh-men zu Unternehmen erheblich voneinander unterscheiden. So wird einUnternehmen aus dem Einzelhandel andere Schwerpunkte in der IT und inder IT-Sicherheit legen als ein Unternehmen, das Produkte herstellt. Kurz:Die Ziele der IT-Sicherheit und damit das IT-Sicherheitskonzept ist stark mitdem Geschäftszweck und damit der Unternehmensstrategie verbunden.
1.3 Das Hamsterrad
Sisyphos, ein Held der griechischen Mythologie, wird gezwungen, einen Fels-block einen Hang hinaufzurollen. Ganz knapp, bevor er es hinbekommt, ent-gleitet ihm der Stein aber und rollt den Hang wieder hinab. Also beginnt seineArbeit von Neuem. Er eilt den Hang hinab, nimmt den Stein erneut auf undrollt ihn wieder nach oben – bis er ihm wieder entgleitet. Da er dies nun schonseit sehr langer Zeit tut, ist kaum zu erwarten, dass der Stein einmal oben zuliegen kommt.
Was hat nun die IT-Sicherheit mit Sisyphos zu tun? Die Gemeinsamkeitensind vielfältiger, als man zunächst annimmt. Das wird deutlich, wenn man esein wenig abgewandelt ausdrückt: Der Prozess, dem Sisyphos folgt, schreibtihm vor, den Stein nach oben zu rollen. Ihn oben zu platzieren, käme einem100%igen Erfolg gleich, den er aber nie erreichen wird, genauso wie es nie-mals 100%ige IT-Sicherheit geben kann.
Mit etwas Weitsicht wird er aus dem Vorgang des Hinaufrollens und der Ana-lyse des Scheiterns Folgerungen ziehen, die dem nächsten Versuch zugute-kommen. Mit anderen Worten, er folgt einem kontinuierlichen Verbesse-rungsprozess mit dem Ziel, einem perfekten Ergebnis möglichst nahe zukommen. Da Sisyphos es schon sehr lange probiert, und das ohne Unterlass,ist davon auszugehen, dass sein Ergebnis schon heute sehr gut ausfällt. Dasser alles den existierenden Regeln und Vorgaben entsprechend tut und alleRahmenbedingungen einhält, davon gehe ich, trotz der mageren Kenntnis-lage, einfach mal aus.
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
KAPITEL 1 – EINFÜHRUNG IN DIE IT-SICHERHEIT
42
1IT-Sicherheit ist per definitionem ein Zustand, den es anzustreben gilt. Errei-chen wird man ihn niemals in Perfektion. Diesen Zusammenhang zu verste-hen ist wesentlich, um den Erfolg oder Misserfolg eines Projekts im Nachhi-nein messen zu können. Denn es gilt, dass es nicht nur wichtig ist, IT-Sicherheit einzuführen, sondern noch viel wichtiger ist es, dies aus den rich-tigen Gründen mit den richtigen Erwartungen zu tun. Der Unterschied zwi-schen fast perfekter Sicherheit und perfekter Sicherheit, die es nie gebenwird, kann ein Sicherheitsvorfall sein, der einen großen Schaden anrichtet.Damit geht es letztendlich um Wahrscheinlichkeiten und das Ziel, besser zuwerden, ohne jemals wirklich fertig zu sein.
1.4 Die allzu menschlichen Fallstricke
Wie viele andere Felder im Unternehmen hat die IT-Sicherheit mit einerReihe von, zumeist menschlichen, Unwägbarkeiten zu kämpfen. Diese zukennen ist der erste Schritt, um sie im Rahmen eines IT-Sicherheitsprojekteszu adressieren und, im besten Fall, zum eigenen Vorteil einzusetzen.
Das erste Problem ist eines, das jeder Mensch hat, wenn auch in unterschied-licher Ausprägung. Es geht um die Art und Weise, in der man Entscheidun-gen trifft. Viele Entscheidungen, da ist man sich einig, werden aus dem Bauchheraus getroffen. Damit basieren sie auf der eigenen Erfahrung, der eigenenKompetenz und der Größe des eigenen Selbstbewusstseins. Das muss nichtschlecht sein und, wie es eine Redensart schon sagt, wenn man auf seinenBauch hört, dann liegt man schon sehr häufig richtig. Das mag sogar stim-men, das Problem ist nur, dass jeder Bauch anders tickt und damit auchanders entscheidet. Das ist in vielen Bereichen des täglichen Lebens kein Pro-blem. Wenn es aber um Entscheidungen im Bereich der IT-Sicherheit geht,dann ist dies ein Unding!
Entscheidungen müssen formal korrekt und jederzeit nachvollziehbar sein.Dies kann erreicht werden, wenn Entscheidungen formalen Kriterien, wiez.B. einem vorgelagerten Risikomanagement, unterliegen. Aus diesem Grundliegt der maßgebliche Fokus der wichtigsten Normen genau auf dem Themader Einführung der Bestandteile eines Information-Security-Management-Systems (ISMS). Nur ein solches Regelungsinstrument ist in der Lage, weitge-hend automatisiert formal korrekte Entscheidungen zu erzwingen.
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
DIE ALLZU MENSCHLICHEN FALLSTRICKE
43
1Die nächste Herausforderung betrifft wieder den eigenen Bauch. Es geht umdie selektive Wahrnehmung, die aufgrund vergangener Erfahrungen geprägtist. Kommt ein IT-Sicherheitsmanager aus dem Bereich der Serveradminist-ration, so liegt es nahe, dass er bei Fragen, die diesen Bereich betreffen, miteiner ganz anderen Verve Entscheidungen trifft als bei Fragen, die aus demBereich Softwareentwicklung kommen – ein Bereich, den er vielleicht nichtim Detail kennt. Die Sicherheit, die er auf ihm bekanntem Terrain verspürt,kann von Vorteil, aber auch von Nachteil sein. Der Nachteil kommt immerdann zum Tragen, wenn er Fehlentscheidungen trifft, einfach aus Erfahrun-gen heraus, die zwar objektiv gesehen falsch sind, ihm aber aufgrund des täg-lichen Umgangs vertraut und sicher erscheinen.
Apropos tägliche Erfahrungen: An dieser Stelle setzt ein weiterer Automatis-mus ein. Nennen wir ihn den »das hat auch schon in der Vergangenheitimmer gut funktioniert«-Mechanismus. Den als vertraut empfundenen Sta-tus quo zu überhöhen und Neuem als übertrieben positiv entgegenzustellen,ist menschlich. Bewährtes zu ändern, anzupassen oder zu ersetzen, fälltschwerer, als etwas vollkommen Neues einzuführen. Da wird dann gerne dasBewährte bewahrt. Dieser Zustand wird weiter verschärft, wenn einebestimmte Vorgehensweise bereits als erfolgreich und komplett umgesetztnach oben kommuniziert wurde. In diesem Fall wird man nicht nur dendirekt Verantwortlichen überzeugen müssen, sondern zudem Personen ausden Hierarchien darüber. Diesem Mechanismus muss mit Werkzeugen ent-gegengetreten werden, die Bewertungen, z.B. in Form von Entscheidungsma-trizen, auf einen möglichst objektiven Entscheidungspfad setzen.
Unzählige IT-Sicherheitsprojekte sind aus den falschen Gründen gescheitert:den Kosten. Das liegt zum einen darin begründet, dass Kosten generellschwer einzuschätzen sind, und zum anderen darin, dass dies in noch größe-rem Maße für Kosten im IT-Sicherheitsumfeld gilt. So werden Aufwände häu-fig nur punktuell betrachtet, ohne die Kosten für anhängige Systeme ausrei-chend genau zu hinterfragen. Die Einführung eines neuen Internetzugangsfür eine neue Fabrik zieht, das wissen die Verantwortlichen, die Installationund den Betrieb einer Firewall nach sich. Dazu kommt dann noch ein Inter-netproxy, um den Benutzern den Zugang zum Internet zu erleichtern und umzusätzliche Sicherheit zu schaffen. Auf dem Proxy wird selbstverständlichauch eine Antivirensoftware benötigt mit laufenden Kosten für die Virensig-naturen. Das Netzwerk zwischen dem internen Core-Router und dem Inter-net muss dazu noch von einem Intrusion Detection System (IDS) überwacht
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
KAPITEL 1 – EINFÜHRUNG IN DIE IT-SICHERHEIT
44
1werden. Das macht es nicht alleine und damit wird entsprechendes Personalbenötigt. Die Meldungen, die dieses System macht, müssen bewertet und imFalle eines Ereignisses an wiederum weitere Personen geschickt werden, dieentscheiden, ob eine Maßnahme, wie das Abschalten des Zugangs, erforder-lich ist. In diesem Fall müssen Maßnahmen für eine Backup-Leitung zumInternet getroffen werden. Und so weiter und so fort. Sehr häufig zieht eineSicherheitsmaßnahme einen Rattenschwanz an weiteren Maßnahmen nachsich. Es ist gefährlich, diesen Prozess nicht vollständig zu durchdenken oderan einer beliebigen Stelle abzubrechen und als »nicht projektrelevant« zumarkieren. Im weiteren Verlauf, eventuell erst nach Monaten, werden die Fol-gekosten sichtbar werden und die dann unweigerlich folgenden negativenErfahrungen werden sich dann wiederum auf Entscheidungen hinsichtlichspäterer Projekte auswirken.
Eng mit Kosten ist auch das eingesetzte Verfahren zum Risikomanagementverbunden. Hier geht es darum, Risiken einzuschätzen und die korrektenMaßnahmen zu treffen, um identifizierte Risiken zu reduzieren. DieserAnsatz funktioniert häufig nicht flächendeckend. Menschen tendieren dazu,diejenigen Risiken, die sie als beherrschbar einstufen, vorrangig zu betrach-ten. Das führt dann zu Situationen, in denen Unternehmen viel Geld und Zeitin das Management des WLAN-Zugangs stecken, während der Zugang zumInternet wenig Beachtung findet. Das gleiche Phänomen ist zu beobachten,wenn es um das Einspielen von Sicherheits-Updates geht. Man fokussiertsich automatisch auf diejenigen Produkte, bei denen das Update einfach undam besten zudem automatisiert möglich ist. Andere Software-Produkte, dieein Herunterfahren des IT-Systems erfordern oder die einfach komplex sind,werden ausgeblendet. Man verliert den Blick auf die Gesamtsituation undfühlt sich dennoch sicher, man tut ja schließlich auch etwas dafür.
Die nächste hier aufgeführte Herausforderung ist die des fehlgeleitetenFokus. Völlige Sicherheit ist nicht erreichbar. Das ist ein Fakt, der jedem ein-leuchten muss. Daraus folgt, dass es darum geht, so viel wie möglich an IT-Sicherheit zu erreichen. Und dies ist nicht durch, häufig kostenintensive,gezielte Maßnahmen möglich, sondern nur durch die Erhöhung des Gesamt-sicherheitsniveaus. Anders ausgedrückt: Wenn ein CEO von einem Beraterbzw. Verkäufer davon überzeugt wird, für sein Rechenzentrum eine Perso-nenvereinzelungsanlage zu beschaffen, die bei jedem Zutritt die jeweiligePerson und ihr Gepäck wiegt, um es mit dem Gewicht beim Verlassen zu ver-gleichen, dann ist dies unleugbar ein Schritt hin zu mehr Sicherheit. Ob es
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
MOTIVATION, DIE IT-SICHERHEIT ZU ERHÖHEN
45
1aber der richtige Schritt ist, lässt sich nur im Gesamtzusammenhang abschät-zen. Denn vor dem Kauf einer solchen Anlage stehen der Brandschutz, dieunterbrechungsfreie Stromversorgung, geregelte und sichere Prozesse fürBesucher und das Reinigungspersonal, Maßnahmen zur Sicherung der IT-Systeme inklusive des Netzwerks, die Unterbringung der Originaldaten invon den Sicherungsbändern getrennten Brandabschnitten und viele andereMaßnahmen, die zunächst umgesetzt werden können, da sie unter Umstän-den eine höhere Priorität besitzen, im Vordergrund. Ist dies alles bereits vor-handen, dann handelt es sich um eine Erweiterung der Sicherheit. Ist ein ein-zelner der genannten Punkte noch nicht vollständig umgesetzt, dann liegt dieVermutung nahe, dass ein Akt des fehlgeleiteten Aktionismus stattfindet unddamit der Blick auf die näher liegenden Aufgaben verschleiert wird.
Der letzte Punkt betrifft die Art der Entscheidungsfindung aus Teams heraus.Dabei soll keine Überhöhung »diktatorischer Entscheidungen« gegenüberden Entscheidungen, die aus einem Team-Konsens heraus getroffen werden,stattfinden. Dennoch möchte ich zumindest am Rande die Herausforderun-gen erwähnen, denen sich ein Entscheider in der IT-Sicherheit gegenüber-sieht, und der Schwierigkeit, sich auch einmal dem Konsens in größerenRunden zu entziehen, um eine formal korrekte Entscheidung zu treffen. Jedegrößere Entscheidung wird immer unterschiedliche Interessen berühren,und wenn diese Entscheidungen in Teamsitzungen getroffen werden, dannist es nicht leicht, sich gegen den Strom zu stemmen. Manchmal ist dies abererforderlich und das sollte sowohl dem Vorgesetzten als auch dem IT-Sicher-heitsmanager selbst immer bewusst sein.
1.5 Motivation, die IT-Sicherheit zu erhöhen
1.5.1 Externe Vorgaben
Sehr häufig ist es ein äußerer Zwang, der Unternehmen dazu bewegt, sichverstärkt für die Aufgabenstellungen der IT-Sicherheit zu engagieren. Dabeiist es zweitrangig, ob es sich um immer neue Enthüllungen, die in der Tages-schau über den Schirm flimmern, handelt, die aufzeigen, wie gefährlich esheutzutage ist, Daten auszutauschen oder überhaupt zu kommunizieren,oder ob es sich um klar definierte Anforderungen der Kunden oder, wie imFalle des Datenschutzgesetzes, des Gesetzgebers handelt. Auch Unterneh-men, die sich bislang aus Kostengründen gescheut haben, das Thema IT-
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
KAPITEL 1 – EINFÜHRUNG IN DIE IT-SICHERHEIT
46
1Sicherheit intensiv und ganzheitlich zu betrachten, beginnen immer mehr, esauch formal in Form von Regelungen und einer eigenen Organisationsein-heit zu etablieren. Das kann in sehr kleinem Rahmen beginnen, um dannüber die Zeit ausgedehnt zu werden.
Am Beginn werden dementsprechend die klassischen Themen, die auch imprivaten Umfeld relevant sind, angegangen. Dazu zählen die üblichen Vor-kehrungen, wie Virenscanner zu installieren, Firewalls oder ein Patchma-nagement einzurichten. Geht es aber in Richtung eines ISMS und damiteiner Vernetzung dieser einzelnen Puzzlestücke, dann ist Planung und einkonzertiertes Vorgehen nicht nur sinnvoll, sondern notwendig. Wegweisendfür die jeweilige Vorgehensweise sind dann wiederum die Ziele, die man sichsteckt, und diese, und hier schließt sich der Kreis, werden maßgeblich durchexterne Vorgaben definiert.
Es existiert kein Gesetz, das die Etablierung einer Organisationseinheit»Datensicherheit« im Unternehmen fordert. Bezüglich des Datenschutzesverhält es sich anders. Hier ist ein Datenschutzbeauftragter einzusetzen undmit definierten Vollmachten auszustatten. Warum werden diese beiden sostark voneinander abhängigen Themen so unterschiedlich behandelt? DerGrund liegt unter anderem darin begründet, dass der Datenschutz vorrangigdie Belange der Arbeitnehmer schützt und die Datensicherheit die des Unter-nehmers. Der Gesetzgeber stärkt mit dem Datenschutzbeauftragten dieRechte der Arbeitnehmer und die Durchsetzung der Regelungen des Bundes-datenschutzgesetzes.
Bei einem Unternehmer geht man davon aus, dass Vorschriften zum ord-nungsgemäßen Betreiben eines Unternehmens, wie z.B. im GmbH-Gesetzgefordert, ausreichend sein müssten, dass der Unternehmer seine Aufgabewahrnimmt und durch Maßnahmen auch umsetzt. Schließlich ist der Unter-nehmer nicht nur verantwortlich dafür, sondern im höchsten Maße auchdaran interessiert, dass der Geschäftsbetrieb durch den Diebstahl, die verbre-cherische Veränderung oder die Nicht-Verfügbarkeit seines Know-hows,sprich von seinen Daten und denen der Kunden und Lieferanten, nichtgefährdet wird. Aus dieser Gemengelage heraus ist auch zu verstehen, warumes die ureigenste Aufgabe und auch das Bedürfnis der Unternehmensleitungsein muss, die Aufgabe der Datensicherheit durch ein geeignetes IT-Sicher-heitsmanagement wahrzunehmen. Dass dies nicht immer der Realität ent-spricht, ist Fakt und die Ursachen dafür sind mannigfaltig.
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
MOTIVATION, DIE IT-SICHERHEIT ZU ERHÖHEN
47
11.5.2 Verpflichtung zur Datensicherheit
Unternehmerische Entscheidungen beruhen auf dem ständigen Abwägenverschiedener Faktoren. Die Grundlage wird dabei in den meisten Fällen dieAbwägung zwischen Kosten und einem Risiko bzw. einer Chance bilden. Esgibt keine Grundregel und kein Gesetz, das einem Unternehmer vorschreibt,wie er mit einem Risiko umgehen muss. Aber abwägen, das zumindest musser tun, um die erforderliche unternehmerische Sorgfalt walten zu lassen. Umwiederum abwägen zu können, benötigt der Entscheider Informationen.Dazu gehören Faktoren wie die genauen Kosten, die eine Maßnahme erzeu-gen würde, aber genauso auch eine möglichst genaue Einschätzung, was pas-sieren würde, wenn er Aufgaben, wie den Schutz des Unternehmens-Know-hows, nicht in ausreichendem Maße wahrnehmen würde. An diesem Punktzögern viele Unternehmer und berufen sich auf nicht erhältliche, kaufmän-nisch belastbare Daten, wie z.B. die Kosten für den möglichen Eintritt einesSicherheitsereignisses. Eine weitere Reaktion, die zu beobachten ist, ist dieschlichte Ausblendung des Risikos, da andere, handfeste Probleme zu jedemZeitpunkt priorisiert im Fokus stehen. Auch wenn diese Reaktionen auf denersten Blick nachvollziehbar erscheinen, so sind sie dennoch falsch oderzumindest gefährlich.
Hinweis
In einem Gespräch mit einem IT-Leiter eines Klinikums hat es sich sodargestellt, dass in Folge langjähriger Tradition eine ganze Reihe von Pro-zessen mit dem Umgang von Patientendaten auf Papier befasst ist. Vonder Verwaltung der Ordner über die Ausgabe und die Eingabe sind alleProzessschritte genau definiert und bei der Belegschaft in Fleisch undBlut übergegangen. Dies hat sich auch einige Monate nach der parallelenEinführung einer IT-gestützten Patientenverwaltung nicht geändert. DieDaten auf Papier werden sorgfältig verwahrt und sind strengen Zugriffs-regeln unterworfen. Auf die Daten in der Datenbank können dagegenneben dem Standard-Systemuser, dessen Passwort im Übrigen nie geän-dert wurde, nahezu alle Mitarbeiter zugreifen.
Die gleichen Daten, in zwei verschiedenen Systemen, die aus dem Blick-winkel der Datensicherheit völlig unterschiedlich betrachtet werden. Werglaubt, dass dies ein Einzelfall ist, der irrt.
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
KAPITEL 1 – EINFÜHRUNG IN DIE IT-SICHERHEIT
48
1Der Grund dafür liegt eigentlich auf der Hand: In jeder modernen Firma ist einDatensicherheitsproblem denkbar, das den Fortbestand der Firma gefährdenkann. Der Verlust aller Finanzdaten im äußersten Fall ist ein markantes Bei-spiel. Wenn es also grundsätzlich in jeder Firma wichtig ist, bestimmte Datenvor Verlust oder Manipulation zu schützen, dann ist auch ein bestimmtes Maßan Aufwand im Bereich Datensicherheit zwingend erforderlich. Dies sagt abernatürlich nichts über den Umfang eines solchen Projekts aus. Und damit giltwieder die Regel, dass man als Unternehmer genau den notwendigen Teilumsetzt, der nach einer Abwägung von Kosten und Risiken sinnvoll ist.
An diesem Punkt setzt das vorliegende Projekt auf. Das Ziel ist es nicht, alleszu tun, was möglich ist. Das Ziel ist auch nicht, das zu tun, was Berater alsnotwendig erachten. Der Weg, den das Projekt geht, sieht eher so aus, dass esan Ihr Unternehmen angepasst diejenigen Maßnahmen umsetzen soll, dieSie zu Beginn des Projekts als erforderlich definiert haben. Das dabei verwen-dete Modell fängt grundsätzlich bei den wichtigsten Daten und IT-Systemenan, setzt eine grundlegende Basissicherheit um und arbeitet sich dann voninnen nach außen hin zu immer mehr Sicherheit. Es ist Ihr Risiko und damitauch Ihre Entscheidung, wie weit Sie jeweils gehen wollen. Das Projekt liefertdazu die Methodik und eine Beschreibung der wichtigsten Maßnahmen.
Unabhängig davon, wie die einzelnen Maßnahmen zu einem Mehr an Daten-sicherheit aussehen sollen. Unabhängig davon, wie stark sich das Unterneh-men engagieren und finanziell einbringen möchte, und auch unabhängigdavon, ob es eine dedizierte Organisationseinheit geben soll, die sich des The-mas annimmt, ist es unbedingt erforderlich, dass sich die Unternehmenslei-tung über die folgenden Fakten klar wird:
Der Schutz der eigenen Daten, der Daten der Mitarbeiter, der Daten derKunden und der Daten von Lieferanten und aller mit dem Unternehmenverbundenen Unternehmen und Personen ist wichtig.
Die Unternehmensleitung ist für den Schutz dieser Daten verantwortlich.
Der Schutz dieser Daten geschieht einzig und allein zum Nutzen des Un-ternehmens.
Eines der Ergebnisse aus vielen Projekten und Studien zu diesem Thema ist,und dabei handelt es sich um einen der wirklich grundlegenden Punkte, dassnur ein konsequenter Top-down-Ansatz im Bereich der Datensicherheit wirk-lich Erfolg verspricht.
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
MOTIVATION, DIE IT-SICHERHEIT ZU ERHÖHEN
49
11.5.3 Haftung auf verschiedenen Ebenen
Haftung beginnt, wie so vieles, zunächst mit einer Regelung. Das Unterneh-men, der Gesetzgeber oder eine andere Instanz stellt eine Regel auf, überprüftderen Durchführung und belegt denjenigen, der dagegen verstößt, mit einerStrafe. Genau diese Konstellation wird mit dem wolkigen Begriff »Compli-ance« beschrieben. Dabei kann es sich z.B. um einen Kunden handeln, derdie Regel aufstellt, dass seine Daten, die er Ihrem Unternehmen zur Verfü-gung stellt, nicht weitergegeben werden dürfen. Vor allem nicht an die Kon-kurrenz, aber auch an sonst niemanden. Diese Regel packt er in einen Vertragund definiert dort auch gleich, was im Falle eines Verstoßes passiert. Daskann eine Kündigung des Geschäftsverhältnisses sein oder aber eine Strafe,die zu bezahlen wäre. Dieser Vertrag wird vonseiten des Unternehmens voneiner Person unterschrieben, die in den meisten Fällen mit dem Zusatz »perprocura« unterschreibt. Diese Person handelt also im Namen des Unterneh-mens. Passiert nun etwas mit diesen Daten, sagen wir ein IT-Administratorverschickt sie versehentlich per E-Mail an einen Bekannten, der zufällig fürdie Konkurrenz des Kunden arbeitet, so wird sich der Kunde an das Unter-nehmen wenden und die Strafe vollstrecken wollen.
Während einer Einigung, ob gütlich oder durch Richterspruch, stehen sichzunächst einmal zwei Unternehmen gegenüber. In einer zweiten Runde wirdes aber auch intern darum gehen, wer die Schuld trägt und in einem weiter-führenden Prozess haften könnte. Genau an dieser Stelle geraten nun irgend-wann auch der IT-Leiter und, in letzter Konsequenz, der IT-Administrator inden Fokus. Im Gegensatz zu Arbeitnehmern aus IT-fremden Arbeitsgebietenkönnen sich diese beiden Personen nicht herausreden und sagen, dass sienicht wussten, was sie taten. Und somit ist es tatsächlich möglich, dass beideoder einer von beiden tatsächlich in irgendeiner Form für den Schaden haftenmuss. Wie diese Haftung von der Höhe her aussieht, hängt dann wiederumdavon ab, ob Vorsatz oder Fahrlässigkeit im Spiel war, und von anderen Punk-ten wie zum Beispiel, ob es geeignete Regelungen gibt, an die sich der IT-Administrator hätte halten müssen.
Es ist nicht möglich, einen solchen Vorgang grundsätzlich vollständig zu ver-hindern. Es ist aber sehr wohl möglich, die Wahrscheinlichkeit für sein Ein-treten zu verringern. Dies fängt bei den generellen Zugriffregeln an undendet bei der Möglichkeit, sie unverschlüsselt an Dritte per Mail zu versen-den. An den verschiedensten Punkten kann man ansetzen, um durch geeig-
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
KAPITEL 1 – EINFÜHRUNG IN DIE IT-SICHERHEIT
50
1nete Maßnahmen das Risiko möglichst gering zu halten, dass ein solcher, ver-sehentlicher, Verstoß geschieht. Die Maßnahmen, die im Laufe des Projektsumgesetzt werden, dienen damit nicht nur dazu, die Datensicherheit zu erhö-hen, sondern auch dazu, Sicherheit für Arbeitnehmer zu schaffen, indemklare Regeln und klare Prozesse definiert werden, die den Freiraum für Fehlerso weit wie möglich eingrenzen.
Unternehmen, die Güter herstellen und verkaufen, häufen Wissen in Formvon Daten an und sind auf das gesammelte Know-how angewiesen. Unter-nehmen, die Daten Dritter verarbeiten, wie z.B. Hostingunternehmen oderWebmailer, arbeiten direkt mit Daten, die ihnen nicht gehören, für die sieaber die Verantwortung tragen. In beiden Fällen spielt die IT und jeder ein-zelne Arbeitnehmer eine maßgebliche Rolle und ist verpflichtet, sorgfältigmit den ihnen anvertrauten Informationen umzugehen. Selbst wenn dieseInformationen ausschließlich dem Unternehmen selbst gehören, verpflichtetdas GmbH-Gesetz zum ordnungsgemäßen Umgang, da ein Verlust einunternehmerisches Risiko für das Unternehmen darstellen könnte. DieseVerantwortung überträgt sich von der Unternehmensleitung herunter bis zuden Administratoren und auch auf alle anderen Mitarbeiter, die tagtäglichdirekten Kontakt zu den IT-Systemen haben, auf denen diese kritischenDaten abgelegt und verarbeitet werden.
1.6 Reduzierung des Risikos
1.6.1 Angriffe durch eigene Mitarbeiter
Mitarbeiter und dazu zählt man häufig auch Externe, die im Namen desUnternehmens ihnen aufgetragene Arbeit verrichten, verursachen aus Fahr-lässigkeit oder aufgrund von gezieltem Diebstahl oder Sabotage mehr als70% des gesamten Schadens, der in den Bereich der Datensicherheit fällt.Diese Zahl wird immer wieder genannt, und auch wenn es fraglich ist, dasssie wirklich statistisch untermauert ist, zeigt sie doch einen wichtigen Punktauf. Es wird nämlich schnell ersichtlich, dass Aufwand, der in Maßnahmen,die zum Schutz vor dieser Kategorie an Angreifern gesteckt wird, am effek-tivsten ist. Zu den direkten Maßnahmen, die sich darauf fokussieren, zählenalle Punkte, die sich mit Zugriffsrechten beschäftigen, alle Maßnahmen, diezur Protokollierung von Zugriffen dienen, und Aktionen wie Awareness-Maßnahmen. Auch Unternehmen, die dazu tendieren, ihren Mitarbeitern
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
REDUZIERUNG DES RISIKOS
51
1und Administratoren grundsätzlich zu vertrauen, sollten darüber nachden-ken, ob ihre Kunden hinsichtlich dieser Sichtweise den gleichen Maßstabanlegen.
Die Abgrenzung von Kundendaten gegeneinander, die Verhinderung von kri-tischen Rollen in Buchungssystemen und das Verbot des Einsatzes von Wech-seldatenträgern sind weitere Beispiele für Maßnahmen im Bereich der Basis-sicherheit und demnach allgemein als erforderlich anerkannt.
1.6.2 Angriffe von außen
Beginnend in den Jahren 2013 und 2014 sind immer neue Fakten über diestaatlichen Spionagetätigkeiten, insbesondere in den USA, an die breiteÖffentlichkeit gelangt. Dabei handelt es sich durchgehend um Punkte, diezwar schon lange vermutet wurden, deren Umfang aber selbst Fachleuteerstaunt. Des Längeren zeigt schon der jährliche Verfassungsschutzberichtauf, dass viele Staaten wirtschaftliche Spionage gezielt verfolgen. Davon aus-zugehen, dass nur Länder wie Russland oder China, beides Staaten, die in die-sen Berichten explizit aufgeführt werden, ganz vorne mit dabei sind, wäreweltfremd. In der Zwischenzeit ist selbst der Bundesnachrichtendienst (BND)in den Verdacht geraten für die amerikanischen Dienste die Kommunikationvon inländischen Wirtschaftsunternehmen abzuhören.
Natürlich werden Daten im großen Stil direkt aus den nationalen und transat-lantischen Kabeln heraus gespeichert und zum Teil auch ausgewertet. Alles,was technisch möglich und wirtschaftlich vertretbar ist, wird auch umgesetzt.Neu ist nur, dass jetzt der Punkt erreicht zu sein scheint, an dem es tatsächlichmöglich ist, beinahe alle Daten über einen längeren Zeitpunkt abzuspeichernund durch Software komplett auswerten zu lassen. Damit fällt das letzte Argu-ment, das bislang immer hieß: »Alles können die auch nicht sehen und sointeressant ist meine Firma auch wieder nicht«. Heute muss man davon aus-gehen, dass alle Daten gesichert werden und man vielleicht erst später, beiBedarf, gezielt darauf zurückgreifen wird.
Es ist davon auszugehen, dass selbst, wenn die Welle der Empörung wiederabflachen wird, die Zeit der Unschuld nun endgültig vorüber ist und diesesThema die breite Öffentlichkeit erreicht hat. Zukünftig werden Verantwortli-che, die jetzt noch den Kopf in den Sand stecken, im Falle eines Falles kaumnoch Argumentationsstoff haben, um sich zu rechtfertigen. Es nicht bessergewusst zu haben, zieht nicht mehr als Ausrede.
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
KAPITEL 1 – EINFÜHRUNG IN DIE IT-SICHERHEIT
52
1Auf der anderen Seite stehen die sogenannten »Hacker«, die eigentlich »Cra-cker« heißen, die mit einiger krimineller Energie versuchen, in Firmennetz-werke einzudringen und, zum Teil im Auftrag, zum Teil aus Eigenantrieb,versuchen, Daten zu entwenden oder aber gezielt Schaden anzurichten.
Der Unterschied zwischen der Kategorie »Hacker« und »staatliche Stelle« istvor allem an einer Sache festzumachen: den technischen Möglichkeiten. Füreinen erfolgreichen Angriff auf ein gut gesichertes Netzwerk von außen ist eserforderlich, über möglichst viele Detailinformationen zu verfügen. Dieserreicht ein Staat durch eine Komplettüberwachung von Telefonen, Netzwerk-kommunikation, Diebstahl von Unterlagen und Gerätschaften bis hin zumEinbruch auf dem Campus. Gegen einen massiven Zugriff auf breiter Frontist es dementsprechend schwer, wirklich wirksame Gegenmaßnahmen zuimplementieren. Aus diesem Grund ist selbst auf dem erweiterten Level keinvollständiger oder auch nur befriedigender Schutz möglich. Das gilt abernicht gegen Angriffe durch weniger gut ausgerüstete Hacker oder gar ambi-tionierte Laien (Script-Kiddies), die nur über wenige dieser Möglichkeiten ver-fügen. Hier ist es durchaus möglich, wirksame Schutzwälle aufzubauen, diedurch diese Art an Angreifern kaum überwunden werden können.
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
247
Index
Numerisch3SCHRITTE Siehe Projekt
AAbweichung 226, 241
Active Directory Services (ADS) 130, 161, 186, 197, 199
Administrativer Zugriff 197
Administrator-Konto 191
Administrator-PC 204
Akzeptables Sicherheitsniveau 16, 61, 65
Änderungsmanagement 184
Angestrebte Sicherheit 31Angriff
auf Daten 51
von außen 51
von innen 50Angriffspfad 39Antivirus 145, 148, 170, 204
Arbeitsvertrag 191
Asset Siehe WerteAsset-Management 34, 72, 74, 168
Audit 78, 223
Ablauf 229
Auftraggeber 232
Bericht 230, 240
durchführen 225
Fragenkatalog 230, 233
Interview 227
Selbstauskunft 228
technisches 229
Vor-Ort-Audit 228
Audit-FragenkatalogAufbau 233
Klassifizierungsstufen 241
Muster 235
Prioritäten 241
Auditor 166, 226
Audit-Prozess 225
AufgabeAufbau 23
Definition 69
Authentifizierung 187
Mehrfaktoren-Authentifizie-rung 205
Awareness 188
Definition 193
Kampagne 145, 146, 193
Maßnahme 194
BBackup 185
BasisdokumentIT-Sicherheit 83
Basissicherheit 31, 64, 65
Definition 66
Bedrohung 15, 25, 39Benutzerrichtlinien 188
Benutzerverwaltung 186
Benutzerverzeichnis 145, 160
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
INDEX
248
Berechtigungauf Servern 157
Betriebsrat 180, 183, 189
Betriebsvereinbarung 180
E-Mail 190
Internetnutzung 189
BIA Siehe Business-Impact-AnalyseBildschirmschoner 203
BSI Siehe Bundesamt für Sicherheit in der Informationstechnik
Bundesamt für Sicherheit in der Informationstechnik 19, 30, 57, 65, 102, 181
Business-Impact-Analyse 68, 73, 81, 83, 91, 94, 100
CCapability Maturity Model Integra-
tion 238
CERT 167, 169, 175, 245
Aufgaben 171
Certified Information Security Manager 132
Certified Information Systems Audi-tor 132, 223
Chance 38, 47, 65, 81, 89, 151
Changemanagement Siehe Ände-rungsmanagement
ChecklisteStatus IT-Sicherheitsprozesse 142
Status IT-Sicherheitsrichtlinien 142
CISA Siehe Certified Information Systems Auditor
CISM Siehe Certified Information Security Manager
CISO Siehe Informationssicher-heitsverantwortlicher
COBIT 65, 102, 132Compliance 49, 109
Cracker 52
Cyber-Crime-Versicherung 38, 242
DData Leak Protection 67
Data Owner Siehe DateneigentümerDateiberechtigungen 145, 156
auf Servern 157Dateizugriff
überwachen 182
Dateneigentümer 33, 35, 36, 99, 200
Datenschutz 45, 53, 89, 179, 182
Datenübertragung 213, 215
Demilitarisierte Zone (DMZ) 174, 206
Device Isolation 217
DIN 69901 56Dokument
Änderungsmanagement 184
Asset-Management 168
Aufbau und Struktur von Richt-linien 117
Aufgabenbeschreibung CERT 169
Awareness-Programm 193
Backup und Wiederherstellung 185
Benutzerverwaltung 186
Benutzerverzeichnisse 160
Beschreibung Audit-Prozess 223, 226, 227, 228, 229, 230, 231, 233, 237, 239
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
INDEX
249
Datenübertragung und Ver-schlüsselung 213
Fragenkatalog 233, 237, 239
Gebäudesicherheit 207
Geltungsbereich Projekt IT-Sicherheit 101
Grundregeln Benutzerverzeich-nisse 160
Härten von Servern 205
IT-Sicherheit 83
IT-Sicherheitsorganisation 163
IT-Systeme und Prozesse, deren Protokolldateien über-wacht werden 179
IT-Systeme und Prozesse, deren Systemprotokolle über-wacht werden 177
Kommunikation von IT-Sicher-heitsthemen 144
Konfiguration Microsoft-Ereig-nisanzeige 180
Kritische Anwendungen 97
Kritische Daten 97
Kritische Geschäftsprozesse 95
Kritische IT-Systeme 97
Management IT-Sicherheitsvor-fälle 169
Matrix Administratoren und ihre Rechte 194
Notfallkonzept 175
Patchmanagement« 151Prozessbeschreibung Erstellung
und Pflege von Richt-linien 115
Rechenzentrum 208
Regeln für Administratoren 191
Regeln für den Umgang mit Daten, Internet und E-Mail 188
Regeln für den Umgang mit Gerätschaften 192
Regeln für den Umgang mit Internet und E-Mail 188
Richtlinie »Virtual Private Net-works (VPN) 215
Rollenkonzept 194
Schnittstellen zu weiteren Pro-zessen 177, 180
Schwachstellenanalyse und Penetrationstests 173
Skript- und Softwareentwicklung 219
Standardisierung von IT-Syste-men und Software 146
Temporäre administrative Zugriffsrechte 197
Trennung von Netzwerken 216
Überwachung von Dateizugrif-fen auf Servern 182
Überwachung von Protokoll-dateien 177, 180
Umgang mit Gerätschaften des Unternehmens 200, 203
Umgang mit Schadsoftware 148
Verbindung zum Internet 155
Wireless LAN (WLAN) 153
Zugang zum internen Netzwerk 217
Zugriffsberechtigungen prüfen 156
Zuweisung von Zugriffsrechten 198
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
INDEX
250
DokumentationBenutzerverzeichnisse 160
Daten 98
IT-Sicherheitsprozesse 144
IT-Systeme 98
Netzwerk 98
Sicherheitsereignisse 171
Unternehmenswerte 243
Vergabe Zugriffsrechte 199
EE-Mail 188
E-Mail-Nutzungprivat 189
Ereignisanzeige 180
Erweitertes Sicherheitsniveau 64
EventCombMT 182
Evidence Siehe NachweisExperte für technische Informations-
sicherheit 167
Exploit 26, 39
FFinding Siehe AbweichungFirewall 174
Datenübertragung 215
interne 217
Internet 216
Laptop 202
lokale 202, 205
Netzwerk 216
PC 202
Funktionstrennung 195
GGap-Analyse 76
Geltungsbereich 61, 62, 78, 85, 118, 229, 239
Gerätschaft 192
Geschäftsprozessekritische definieren 95
Grundschutz-Katalog 61, 131Guideline 123
HHacker 52Haftung 47, 49
IIdentity-Management 158, 199
Immaterielle Werte 33Industrie 4.0 66
Information Security Policy 81, 83, 84, 91, 116
Information-Security-Management-System 30, 42, 57, 61
Informationssicherheitsverantwort-licher 17, 59, 163, 166
InstallationSoftware 190
Integrität 36Internet 153, 155, 188, 213, 217
Firewall 216
Internetzugangprivat 189
Intrusion Prevention System 219
ISACA 132ISMS Siehe Information-Security-
Management-System
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
INDEX
251
ISO-Norm 19, 60
27001 29, 30, 32, 39, 57, 65, 77, 84, 234
27001 auf Basis von IT-Grund-schutz 67
27002 29, 33, 53, 84, 102, 131, 234
27005 29
27035 29, 169, 173
Maßnahmen 234
Zertifizierung 65, 67, 134IT-Sicherheit Siehe SicherheitIT-Sicherheitsgesetz 63
IT-Sicherheitsorganisation Siehe Sicherheitsorganisation
KKlassifizierung 35, 72, 111, 119, 162, 174,
176, 209, 241, 245
Rechenzentrum 209
Klassifizierungsrichtlinie 35, 37, 81, 83, 85, 87, 91
Kontinuierliche Verbesserung 41
KRITIS 63
Kritische Geschäftsprozessedefinieren 95
LLaptop 192
Firewall 202
sicher konfigurieren 200
Verschlüsselung 202
Zugriffsrecht 201
Leitlinie zur Informationssicherheit Siehe Information Security Policy
Lenkungsausschuss für Informa-tionssicherheit 166
Logfiles Siehe Protokolldatei
MMaßnahme 27, 37, 54, 67, 79, 114, 121,
124, 131, 171, 218, 239, 241, 242, 245
Awareness 137, 194
Kosten 47
Maßnahmenziel 39Notfallmaßnahme 95
Reduzierung des Risikos 38Zusammenspiel 28
Mehrfaktoren-Authentifizierung 205
MitarbeiterSchulung 118, 214
Mobiltelefon 192
NNachweis 239
Need-to-know-Prinzip 195
Network Access Protection 153, 218
Netzwerk 153, 212, 213, 216
Zugang 217
Notfallhandbuch 176
Notfallkonzept 150Notfallmanagement 98, 175
Notfallübung 176
PPasswort 109, 125
Passwortrichtlinie 190, 191
Patchmanagement 145, 151, 202, 204
Server 205
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
INDEX
252
PCFirewall 202
sicher konfigurieren 200
Verschlüsselung 202
Zugriffsrecht 201
PDCA-Zyklus 60
Penetrationstest 170, 174, 221, 229, 244
Physische Sicherheit 206
Physische Werte 32Policy Siehe RichtliniePreshared Key (PSK) 216
Projekt 53Ablauf kurzgefasst 127
Aufbau 16, 54Bestandteile 40
Dauer 62
Definition nach DIN 69901 56Methodik 59Regelkreis 60
Sicherheitsniveaus 65
Ziele 48, 61
Protokolldatei 50, 170
auswerten 177, 243
konfigurieren 236
überwachen 105, 124, 136, 177, 178, 236
RRechenzentrum 31, 33, 73, 140, 208, 237
Klassifizierung 209
Schutzbedarf 209
Richtlinie 35, 39, 77, 119, 123, 125, 142
Änderungsprozess 115Aufbau 112, 117Definition 75, 114, 123
Ebenen im Überblick 110
im Kontext 114Inhalt 110Struktur 86, 110Umsetzung 121, 132
RisikoBehandlung 17, 37, 50, 241
Berechnung 26, 37Chance 38, 47, 65, 81, 89, 151
Einschätzung 17, 89, 171
Eintrittswahrscheinlichkeit 37Management 44, 87
Risikoeigentümer 33Risikomanagement 72
Risk Owner Siehe RisikoeigentümerRollenkonzept 157, 161, 187, 194
SSchulung
Mitarbeiter 118, 214
Schutzbedarf 35Rechenzentrum 209
Schutzstufe 35, 88, 119Schutzziel 35, 89, 119Schwachstelle 17, 26, 39
Analyse 173
Scope Siehe GeltungsbereichScript-Kiddies 52
Selektive Wahrnehmung 43
ServerAntivirus 205
Patchmanagement 205
Serversicherheit 205
Service Level Agreement 36, 95
Sicherheitangestrebte 31Basisdokumente 83
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128
INDEX
253
Definition 25, 101
physische 206
Themengebiete 102
Themengebiete auswählen 103
Sicherheitskonzept 40
Sicherheitsniveau 64
akzeptables 61
Sicherheitsorganisation 31, 163
Rollen 166
Unabhängigkeit 164
Sicherheitspolitik Siehe Information Security Policy
Sicherheitsprozess 162
Sicherheitsübersicht Siehe Vul-nerability Landscape
Sicherheitsvorfallmelden 169
SIEM 170
Snowden 67
Social Engineering 208
Software 32Installation 190
Softwareentwicklung 219
Softwareprojekt 221
Standardisierung 145, 146, 151Stichprobe 240
Systemsicherheit 200
TTablet 192
Top-down-Ansatz 48, 57, 64, 84, 113, 166
TransparenzDefinition 71
UUnternehmenswert Siehe Werte
VVDA 234
Verbesserungkontinuierliche 41
Verfügbarkeit 36, 175
Verschlüsselung 213, 216
Laptop 202
PC 202
Vertraulichkeit 36Visibility 27
Voice-over-IP 212
VollständigkeitDefinition 72
VPN-Verbindung 215, 217
Vulnerability Landscape 73
WWerkschutz 207
Werte 32, 34, 35, 72, 120
Wiederanlaufplan 176
Wirksamkeit 125, 223, 224, 233, 235, 239
WLAN 153
Workshop 91
WSUS 151, 202
ZZertifikat 154, 205, 216
Zugriffsrecht 198
Laptop 201
PC 201
Zutrittsschutz 207
© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128