Modul

Management derInformationssicherheit

Studienbrief 1: Einleitung und MotivationStudienbrief 2: Governance im Bereich der ISStudienbrief 3: Risikomanagement im Bereich ISStudienbrief 4: Umsetzung im IS-ProgrammStudienbrief 5: Vorfallsmanagement im Bereich der ISStudienbrief 6: Vorgehensweise nach BSI IT-GrundschutzStudienbrief 7: Zusammenfassung und Fazit

Autor:Dr. Christoph Wegener,CCSK, CISA, CISM, CRISC, GDDcert

1. Auflage

Ruhr-Universität Bochum

© 2014 Dr. Christoph WegenerRuhr-Universität BochumFakultät für Elektrotechnik und InformationstechnikGebäude ID 1/14844780 Bochum

1. Auflage (1. Oktober 2014)

Didaktische und redaktionelle Bearbeitung:Der Autor bedankt sich bei zahlreichen Personen, die ihn durch konstruktiveKritik bei der Erarbeitung des vorliegenden Moduls unterstützt haben.

Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Jede Ver-wendung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohneZustimmung der Verfasser unzulässig und strafbar. Das gilt insbesonderefür Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspei-cherung und Verarbeitung in elektronischen Systemen.

Um die Lesbarkeit zu vereinfachen, wird auf die zusätzliche Formulierungder weiblichen Form bei Personenbezeichnungen verzichtet. Wir weisen des-halb darauf hin, dass die Verwendung der männlichen Form explizit alsgeschlechtsunabhängig verstanden werden soll.

Inhaltsverzeichnis Seite 3

Inhaltsverzeichnis

Einleitung zu den Studienbriefen 5I. Abkürzungen der Randsymbole und Farbkodierungen . . . . . . . . . . . . . . . . . . . . . . . . 5II. Zu den Autoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6III. Modullehrziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Studienbrief 1 Einleitung und Motivation 91.1 Informationssicherheit vs. IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91.2 Standards zur Informationssicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111.3 BSI-Standards zur Informationssicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121.4 Wichtige Prinzipien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131.5 Ausblick auf die folgenden Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131.6 Studienbegleitende Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Studienbrief 2 Governance im Bereich der IS 152.1 Aufbau und Aufrechterhaltung einer IS-Strategie . . . . . . . . . . . . . . . . . . . . . . . . . . 212.2 Aufbau und Aufrechterhaltung eines IS-Governance Frameworks . . . . . . . . . . . . . . . . . . 232.3 Integration der IS-Governance in die Corporate Governance . . . . . . . . . . . . . . . . . . . . 232.4 Aufbau und Fortschreibung eines IS-Policy Frameworks . . . . . . . . . . . . . . . . . . . . . . . 242.5 Business Cases - Entwicklung von praxisnahen Beispielen . . . . . . . . . . . . . . . . . . . . . 272.6 Berücksichtigung von internen und externen Faktoren . . . . . . . . . . . . . . . . . . . . . . . 292.7 Einholen der Unterstützung des Managements . . . . . . . . . . . . . . . . . . . . . . . . . . . 312.8 Festlegen von Rollen und Verantwortlichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . 322.9 Grundlagen für die Kommunikation mit dem Management . . . . . . . . . . . . . . . . . . . . . 34

Studienbrief 3 Risikomanagement im Bereich IS 373.1 Prozess zur Klassifizierung der Informationswerte . . . . . . . . . . . . . . . . . . . . . . . . . . 443.2 Rechtliche und regulatorische Randbedingungen . . . . . . . . . . . . . . . . . . . . . . . . . . 453.3 Regelmäßiges Risikoassessment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463.4 Möglichkeiten der Risikominimierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473.5 Kontrollen im Bereich Informationssicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483.6 Der Prozess des Risikomanagements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503.7 Einbindung in die normalen “Prozesse” der Organisation . . . . . . . . . . . . . . . . . . . . . . 503.8 Monitoring von Risiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513.9 Bericht von Compliance-Verletzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

Studienbrief 4 Umsetzung im IS-Programm 534.1 Ausrichtung des IS-Programms an den übrigen “Prozessen” der Organisation . . . . . . . . . . . 554.2 Bestimmung von internen und externen Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . 564.3 Architektur der Informationssicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574.4 Standards, Arbeitsanweisungen und Handlungsempfehlungen . . . . . . . . . . . . . . . . . . . 574.5 Security Awareness und Security Training . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624.6 Integration in die Geschäftsprozesse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 634.7 Berücksichtigung von Verträgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 664.8 Aufbau eines Monitoring- und Reportingsystems unter Nutzung von Metriken . . . . . . . . . . . 69

Studienbrief 5 Vorfallsmanagement im Bereich der IS 735.1 Festlegung “Was ist ein Sicherheitsvorfall?” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 745.2 Entwicklung und Aufrechterhaltung eines Incident Response-Plans . . . . . . . . . . . . . . . . 755.3 Aufbau eines Prozesses, der die Erkennung von Vorfällen sicher stellt . . . . . . . . . . . . . . . 775.4 Aufbau eines Prozesses zur Untersuchung von Sicherheitsvorfällen . . . . . . . . . . . . . . . . 785.5 Aufbau eines Prozesses zur Eskalation und Kommunikation von Vorfällen . . . . . . . . . . . . . 795.6 Aufbau und Training der Incident Response-Teams . . . . . . . . . . . . . . . . . . . . . . . . . . 805.7 Regelmäßige Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815.8 Aufbau von Kommunikationsprozessen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

Seite 4 Inhaltsverzeichnis

5.9 Durchführen von Nachvorfallsbehandlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 835.10Integration in Desaster Recovery- und Business Continuity-Prozesse . . . . . . . . . . . . . . . . 84

Studienbrief 6 Vorgehensweise nach BSI IT-Grundschutz 856.1 Initiierung des Informationssicherheitsprozesses . . . . . . . . . . . . . . . . . . . . . . . . . . 876.2 Erstellung einer Sicherheitskonzeption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 946.3 Schutzbedarfsfeststellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 956.4 Umsetzung der Sicherheitskonzeption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 996.5 Aufrechterhaltung und Verbesserung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1016.6 Zertifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

Studienbrief 7 Zusammenfassung und Fazit 105

Verzeichnisse 1078.1 Abbildungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1078.2 Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Einleitung zu den Studienbriefen Seite 5

Einleitung zu den Studienbriefen

I. Abkürzungen der Randsymbole und Farbkodierungen

Axiom A

Beispiel B

Definition D

Exkurs E

Kontrollaufgabe K

Merksatz M

Quelle Q

Satz S

Übung Ü

Seite 6 Einleitung zu den Studienbriefen

II. Zu den Autoren

Dr. Christoph Wegener (CCSK, CISA, CISM, CRISC, GDDcert) ist seit 1999als freiberuflicher Berater mit der wecon.it-consulting in den Bereichen Infor-mationssicherheit, Datenschutz und Open Source aktiv. Zudem ist er nachmehr als achtjähriger Tätigkeit am Horst Görtz Institut für IT-Sicherheit (HGI)an der Ruhr-Universität Bochum nun der IT-Leiter der dortigen Fakultät fürElektrotechnik und Informationstechnik. In dieser Position verantwortet erinsbesondere die Themen Informationssicherheit und Datenschutz.

Herr Dr. Wegener ist Autor zahlreicher Fachbeiträge und Sprecher auf na-tionalen und internationalen Konferenzen und engagiert sich in der Ausbildungim Bereich der Informationssicherheit. Darüber hinaus ist er Mitglied des Beiratsder Zeitschrift "Datenschutz und Datensicherheit – DuD", Gründungsmitglied derArbeitsgruppe Identitätsschutz im Internet (a-i3) und des German Chapters derCloud Security Alliance (CSA) und dort, sowie von 2007 bis 2014 in der GermanUnix User Group (GUUG), Mitglied des Vorstands.

Modullehrziele Seite 7

III. Modullehrziele

Informationssicherheit ist mehr als (die Umsetzung der technischen Aspekte im Rahmen der) IT-Sicherheit.Neben den technischen Fragen müssen auch die Aspekte “Personen” und “Prozesse” mit berücksichtigtwerden. Darüber hinaus stehen jeder Organisation nur begrenzte Ressourcen zur Verfügung, allein diesschließt das Erreichen von 100 %iger Sicherheit aus und macht deutlich, dass Informationssicherheitwie IT-Sicherheit als Dienstleistungsfunktionen verstanden werden müssen, die sich dem eigentlichen“Geschäftsprozess” einer Organisation unterordnen.

Im Rahmen dieses Moduls sollen nun -auf Basis der Vorgehensweisen der amerikanischen Informati-on Systems Audit and Control Association (kurz: ISACA) [7] bzw. der des deutschen “Bundesamts für Sicherheitin der Informationstechnik” (kurz: “BSI”) [2]- die Grundlagen des Managements der Informationssicherheitvermittelt werden. Dazu gehört zunächst ein Verständnis für die Fragen der “Governance”, damit dieInformationssicherheit von vorneherein an den Prozessen der Organisation ausgerichtet wird. Danebenspielt auch das “Risikomanagement” eine wichtige Rolle, das die Grundlagen für die zahlreichen Entschei-dungen im Kontext “Wann sollen welche Maßnahmen wie umgesetzt werden?” und damit im Bereich desManagements der Informationssicherheit liefert.

Auf dieser Basis wird dann vermittelt, wie die Informationssicherheit in der Organisation verankertwerden kann, es wird ein “Programm zur Informationssicherheit” etabliert. Da es aber -allen Vorbereitungenzum Trotz- dennoch zu Sicherheitsvorfällen kommen kann, muss die Organisation auch darauf entsprechendvorbereitet sein. Hierzu wird auf Grundlage der Frage rund um den Aspekt “Was ist ein Sicherheitsvorfall?”vermittelt, was zu einer angemessenen Vorbereitung auf diese Problemfälle zu zählen ist.

Schließlich gibt es mit dem BSI-Standard 100-2 eine -insbesondere in Deutschland- etablierte Vorgehensweisefür die Umsetzung der Informationssicherheit, dessen Grudnzüge ebefalls vermittelt werden.

Studienbrief 1 Einleitung und Motivation Seite 9

Studienbrief 1 Einleitung und Motivation

Informationen repräsen-tieren enorme Werte

Obwohl schwer “greifbar”, stellen Informationen die eigentlichen Werte für Unter-nehmen und Behörden dar. Gehen Informationen verloren, drohen Unternehmenund Behörden nicht nur entsprechende rechtliche Konsequenzen oder ein schwermessbarer Imageschaden, auch der Betrieb an sich wird negativ beeinträchtigt unddas, obwohl die die Informationen verarbeitenden Systeme vielleicht sogar nochvöllig intakt sind.

Informationen finden sichan vielfältigen Stellen

Interessanterweise bestreitet heute niemand mehr, dass die Systeme, die die In-formationen verarbeiten, also die Informationstechnologie (IT) im Unternehmenentsprechend zu schützen sind. Informationen liegen aber eben gerade nicht nurals Bits und Bytes auf den Speichermedien der IT vor, sondern tauchen in Un-ternehmen und Behörden an vielfältigen Stellen auf. Beispielhaft seien hier dieimmer noch existierenden Papierakten und sonstige Informationen auf Papier oderauch die Informationen in den Köpfen der Mitarbeiter genannt. Da mit den obengenannten Auswirkungen des Verlustes von Informationen regelmäßig auch hoheKosten verbunden sein werden, sind Informationen daher in allen Phasen derProzesse einer Organisation und an allen Stellen der Organisation zu schützen.

Sicherheitsniveau ist oftnicht angemessen

Die Vergangenheit hat allerdings gezeigt, dass ein adäquates Sicherheitsniveaufür Informationswerte oft nicht vorhanden ist. Dies hat vorrangig damit zu tun,dass Informationen - im Gegensatz zur eigentlichen IT - nur schwer greifbar sind.Daher findet man häufig gute technische Schutzvorkehrungen für die technischenSysteme (und ggf. damit auch für die auf den Systemen befindlichen Informations-werte), für Informationen in anderen Phasen der betrieblichen Prozesse liegt abermeist kein oder zumindest kein adäquates Sicherheitsmanagement vor. Oftmalsverbessert aber gerade die Einführung bzw. die Optimierung des Sicherheitsma-nagements die Informationssicherheit in einem höheren Ausmaße bzw. trägt zueiner Effektivitätssteigerung der Informationssicherheit bei.

Bevor die Fragen des angemessenen Sicherheitsniveaus betrachtet werden, soll dieInformationssicherheit nun von der IT-Sicherheit (in technischer Sicht) abgegrenztwerden.

1.1 Informationssicherheit vs. IT-Sicherheit

Informationssicherheit vs.IT-Sicherheit

IT-Sicherheit steht zunächst einmal für den Schutz der IT-Systeme, spricht also vorallem technische Maßnahmen an und beschäftigt sich damit schwerpunktmäßigmit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.Wenngleich der Begriff IT-Sicherheit oft synonym für den Begriff Informations-sicherheit verwendet wird, soll hier doch klar zwischen beiden Begrifflichkeitenunterschiedenwerden, wenn imRahmen einesmodernen Sicherheitsmanagementsvon Sicherheitsmaßnahmen die Rede ist.

Informationssicherheit ist im Vergleich zur IT-Sicherheit nicht auf den Schutzelektronisch gespeicherter Informationen beschränkt, sondern berücksichtigt In-formationen in allen Phasen der Geschäftsprozesse. Dabei werden als klassischeGrundwerte der Informationssicherheit häufig die drei Begriffe Vertraulichkeit,Integrität und Verfügbarkeit bezeichnet. CIA-TriadeIm englischen Sprachraum fasst man diesedrei Begriffe auch unter dem Akronym CIA-Triade (vgl. Abbildung 1.1) zusammen,als Kurzform für die Anfangsbuchstaben der englischen Begriffe confidentiality,integrity und availability.

Seite 10 Studienbrief 1 Einleitung und Motivation

Abb. 1.1: Illustration derCIA-Triade zur Darstel-

lung der drei SchutzzieleVertraulichkeit, Integri-tät und Verfügbarkeit. Confidentiality A vailabilityIntegrity

• Vertraulichkeit (engl.: confidentiality) bezeichnet den Umstand, dass Informa-tionen nur Berechtigten zur Verfügung stehen. Durch Schutzmaßnahmenwie beispielsweise einer angemessenen Zugriffskontrolle wird dabei verhin-dert, dass Nicht-Berechtigte Zugriff auf Informationen erhalten.

• Integrität (engl.: integrity) bezeichnet die Unversehrtheit einer Information.Dabei kann allerdings nicht der Umstand der Unversehrtheit selbst, son-dern nur die Nicht-Erkennung der Verletzung der Unversehrtheit durchMaßnahmen ermöglicht werden.

• Verfügbarkeit (engl.: availability) bezeichnet den Umstand, dass Informa-tionen den Berechtigten (vgl. dazu auch Vertraulichkeit) innerhalb einerangemessenen Zeit zur Verfügung stehen.

Mögliche Verletzungder Schuztziele

Für mögliche Verletzungen der genannten Schutzziele geben wir nun einige aus-gewählte Beispiele an, die stellvertretend für die Vielzahl von potentiellen Gefähr-dungen stehen:

• Fälle, in denen die Verfügbarkeit beeinträchtigt wird, sind: Datenträgerund/oder IT-Systeme werden durch höhere Gewalt zerstört; nach einemnotwendigen Software-Update funktionieren wichtige Anwendungen nichtmehr; ein Mitarbeiter erkrankt, dadurch verzögert sich ein wichtiger Ge-schäftsprozess.

• Fälle, in denen aufgrund einer fehlenden Integritätssicherungsmaßnahmedie Integrität der Daten beeinträchtigt wird, sind: Ein (böswilliger) Mitar-beiter manipuliert wichtige Produktionsdaten, dadurch entsteht wirtschaft-licher Schaden, da die produzierten Güter nicht verwertbar sind.

• Fälle, in denen die Vertraulichkeit der Daten beeinträchtigt wird, sind: Ver-trauliche Informationen werden unverschlüsselt über das Internet übertra-gen; personenbezogene Daten werden unverschlüsselt auf einem USB-Stickverschickt, dieser geht jedoch auf dem Transportweg verloren.

Zutritts-, Zugriffs- undZugangskontrollen

Zur Sicherherstellung der Schutzziele kommen zudem unterschiedliche Kontrollenin Frage, die im weiteren Verlauf dieses Moduls noch eine wichtige Rolle spielenwerden und daher bereits an dieser Stelle kurz erläutert werden sollen:

• Zutritt (engl.: physical access) bezeichnet die Möglichkeit des Betretens bspw.eines Serverraums. Allgemeiner kann man Zutritt auch damit erklären,dass der Zutritt jemanden in die Lage versetzt, die Gegenstände im Raumanfassen zu können. Eine typische Zutrittskontrolle stelle ein Schloss an derTür zum Serverraum dar.

• Zugang (engl.: logical access) bezeichnet die Möglichkeit, sich an einem Sys-tem, bspw. dem Betriebssystem eines Rechners, anmelden zu können. Einetypische Zugriffskontrolle ist bspw. die Passwort-Eingabe bei der Anmel-dung am Betriebssystem.

• Zugriff (engl.: data access) bezeichnet die Möglichkeit, Zugriff auf die Datenauf einem System nehmen zu können. Eine typische Zugriffskontrolle istdie Abbildung der entsprechenden Dateirechte im Dateisystem und derenKontrolle durch die Sicherheitsfunktionen des Betriebssystems

1.2 Standards zur Informationssicherheit Seite 11

Mögliche GefährdungenDie Schutzziele können dabei sowohl durch vorsätzliche Handlungen (gezieltesAbhören/Abfangen von Informationen) als auch Formen von “höherer Gewalt”beeinträchtigt werden. Da die Verarbeitung von Informationen in der heutigenZeit meist elektronisch erfolgt und nahezu alle Lebensbereiche durchdrungenhat, macht eine Unterscheidung, ob Informationen elektronisch mit Hilfe von IT-Systemen, mittels Kommunikationstechnik oder auf Papier verarbeitet werden,keinen Sinn mehr.

Personen

Prozesse

Technik

Informationssicherheit

Abb. 1.2: Darstellung desSäulen-Modells zur Infor-mationssicherheit: DieInformationssicherheitfußt auf den drei Säulen“Personen”, “Prozesse”und “Technik”.

Daher geht man vom Begriff der IT-Sicherheit über zum Begriff der Informations-sicherheit, die sich auf alle Informationen in allen Phasen des Geschäftsprozessesbezieht. Drei Säulen-ModellDabei werden Aspekte der drei Säulen berücksichtigt, neben der rein tech-nischen Sicht (Säule: “Technik”) auch die Fragestellungen bzgl. der Geschäftspro-zesse (Säule: “Prozesse”) und der Mitarbeiter (Säule: “Mensch”).

1.2 Standards zur Informationssicherheit

Standards zurInformationssicherheit

Im Bereich Informationssicherheit haben sich seit längerer Zeit einige (internatio-nale) Standards etabliert, die im Folgenden kurz vorgestellt werden sollen. Auchwenn diese Standards aufgrund ihrer historischen Entwicklung zum Teil unter-schiedliche Ausrichtung haben, so erleichtern sie doch die strukturierte Planungund Umsetzung der Informationssicherheit in einer Organisation.

ISO-Standards zurInformationssicherheit

Im Bereich der Internationalen Organisation für Normung (kurz: ISO) existierteine ganze Reihe von Standards im Bereich der Informationssicherheit, die sogenannten 27000er-Reihe.

• ISO 27000ISO 27000 “Information security management systems - Overview and vocabulary”gibt einen Überblick über Managementsysteme für Informationssicherheit(ISMS) und die Zusammenhänge zwischen den Standards der 2700x-Reihe.Zudem werden in der ISO 27000 die wesentlichen Begriffe, Definitionenund Prinzipien für ISMS erläutert.

• ISO 27001ISO 27001 “Information technology - Security techniques - Information securitymanagement systems - Requirements” beschreibt auf knappen zehn Seiten dieAnforderungen an die Einführung, den Betrieb und die ständige Verbesse-rung eines dokumentiertenManagementsystems zur Informationssicherheit(ISMS) und bildet die Grundlage für eine Zertifizierung. Dabei werden auchdie Risiken für die Informationssicherheit innerhalb der gesamten Organi-sation berücksichtigt. Der Standard selbst gibt keine Kontrollmaßnahmen

Seite 12 Studienbrief 1 Einleitung und Motivation

zur Erreichung dieses Zieles an (diese werden vielmehr im Standard ISO27002 beschrieben), sondern spricht lediglich allgemeine Empfehlungenzum Einsatz eines ISMS aus.

•ISO 27002 ISO 27002 “Code of practice for information security management” ergänzt dieISO 27001 und beinhaltet Empfehlungen für diverse Kontrollmechanismen.Da es sich hierbei aber um reine Empfehlungen handelt, ist eine Zertifizie-rung auf Grundlage dieses Standards grundsätzlich nicht möglich, dieseerfolgt immer auf Grundlage der ISO 27001.

Weitere ISO-Normen Darüber hinaus gibt es noch weitere Normen, die hier nur der Vollständigkeithalber kurz erwähnt werden sollen. Dazu gehören die ISO 27003 “Informationsecurity management systems - Implementation Guidelines”, die ISO 27004 “Informationsecurity management measurements”, die ISO 27005 “Information security risk mana-gement”, die ISO 27006 “Information technology - Security techniques - Requirementsfor bodies providing audit and certification of information security management systems”,die ISO 27007 “Information technology - Security techniques - Guidelines for informationsecurity management systems auditing” und die ISO TR 27008 “Information technology- Security techniques - Guidance for auditors on information security management systemscontrols”.

Weitere Subnormen Hinzu kommen die Normen ISO 27010 bis ISO 27019, die als fachspezifischeSubnormen die ISO 27002 ergänzen. Darunter finden sich mit der ISO TR 27016“Auditing and Reviews” eher allgemein gehaltene Normen, aber auch sehr spezielle,wie bspw. die ISO 27017 “Security techniques—Code of practice for information securitycontrols for cloud computing services”.

Normen fürtechnische Aspekte

Die Normen ISO 27030 bis ISO 27044 sollen schließlich die technischen Aspekteder IS abdecken, dazu gehören bspw. ISO 27031 “Business Continuity” oder ISO27033-1 bis 27033-5 zu den Themen der Netzwerksicherheit.

1.3 BSI-Standards zur Informationssicherheit

IT-Grundschutzhandbuch Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem IT-Grundschutzhandbuch eine Vorgehensweise entwickelt, die Betreiber der IT inner-halb einer Organisation dabei unterstützt, Sicherheitsmaßnahmen zu identifizierenund umzusetzen. Zielsetzung ist dabei nicht eine 100 %ige Sicherheit zu erreichen,sondern vielmehr Maßnahmen zu ergreifen, die angemessen sind und ein aus-reichendes Schutzniveau realisieren. Im Rahmen der Umstrukturierung im Jahre2006 wurden die Standards von den IT-Grundschutz-Katalogen separiert.

BSI-Standards zurInformationssicherheit

Aktuell gibt es insgesamt die folgenden vier Standards:

• BSI-Standard 100-1 “Managementsysteme für Informationssicherheit (ISMS)” [1]

• BSI-Standard 100-2 “IT-Grundschutz-Vorgehensweise” [2]

• BSI-Standard 100-3 “Risikoanalyse auf der Basis von IT-Grundschutz” [3]

• BSI-Standard 100-4 “Notfallmanagement” [4]

Auf den BSI-Standard 100-2 “IT-Grundschutz-Vorgehensweise” gehen wir in Stu-dienbrief 6 noch gesondert im Detail ein.

1.4 Wichtige Prinzipien Seite 13

1.4 Wichtige Prinzipien

Grundlegende KonzepteIm Rahmen der Umsetzung der Informationssicherheit spielen einige wesentlicheKonzepte immer wieder eine Rolle. Im Folgenden sollen drei ausgewählte Kon-zepte, auf die wir im Verlauf dieses Moduls noch zurück kommen werden, kurzerläutert werden.

LebenszyklusInformationssicherheitals Prozess

Oft wird Informationssicherheit als (singuläres) Projekt betrachtet - doch dieserweist sich allerdings als der grundlegend falsche Ansatz. Wird Informationssi-cherheit nicht als kontinuierlicher Prozess verstanden, so läuft eine OrganisationGefahr, dass die Informationssicherheit zwar zu einem definierten Zeitpunkt aus-reichend war, danach aber immer weniger den Anforderungen der Organisationgenügt, da sich die Randbedingungen stetig ändern, die Maßnahmen im Bereichder Informationssicherheit aber aufgrund des fehlenden Prozessansatzes nichtoder nur in unzureichendem Maße angepasst werden.

Angemessene SicherheitEin weiterer wichtiger und häufig diskutierter Aspekt ist die Frage nach der ange-messene Sicherheit. 100 %ige Sicherheit ist allein aufgrund der begrenzten Ressour-cen und einem dabei ins unermessliche steigenden Aufwand nicht erreichbar. Aufdiese Fragestellung gehen wir bspw. in Studienbrief 3 und Studienbrief 6 nochmalsgenauer ein.

Konzept der LayeredDefense

Auch das Konzept der “Verteidung in mehreren Ebenen” (engl.: Layered Defense)ist ein wichtiger Grundsatz im Rahmen der Informationssicherheit. Es bedeutet,dass nicht auf singuläre Schutzmechanismen gesetzt, sondern vielmehr versuchtwird, Maßnahmen auf unterschiedlichen Ebenen parallel umzusetzen. Es ähneltdamit dem mittelalterlichen Ansatz der Verteidigung von Burganlagen, bei demauch ein Burggraben, eine hohe Mauer und ggf. noch weitere Abwehrmaßnahmenparallel eingesetzt wurden. Zielsetzung ist wie damals auch, dass dem Angreifer,der eine Maßnahme überwunden hat, dennoch der Weg -in usnerem Fall alsobspw. der Zugriff auf die Informationen- verbaut ist. Auf diesen Ansatz gehen wirim Studienbrief 2 nochmals genauer ein.

Need-to-know-PrinzipDarüber hinaus ist bspw. noch der Ansatz des “Need-to-know-Prinzips” zu nennen,nach dem Informationen bzw. Zugriffsrechte auf dieselbem nur im zur Ausführungder zugewiesenen Prozesse bzw. Tatigkeiten erforderlichen Umfang und nur andie wirklich Berechtigten zugeteilt werden.

Weitere KonzepteZusätzlich wären zahlreiche weitere Konzepte zu nennen, was den Rahmen diesesStudienbriefs sprengen würde. Der interessieret Leser wird in diesem Zusammen-hang insbesondere auf die Grundlagenliteratur, bspw. die des BSI [1], verwiesen.

1.5 Ausblick auf die folgenden Kapitel

Ausblick auf die folgen-den Kapitel

Nun folgt ein kurzer Überblick über die folgenden Studienbriefe dieses Moduls:

• Governance im Bereichder IS

Im Studienbrief 2 “Governance im Bereich der IS” lernen wir die wesent-lichen Konzepte und Ideen der Governance im Bereich der Informations-sicherheit kennen. Dabei werden sowohl die wesentlichen Elemente derGovernance behandelt als auch aufgezeigt, wie eine effektive Governancebetrieben werden kann.

• Risikomanagement imBereich der IS

Im Studienbrief 3 “Risikomanagement im Bereich der IS” lernen wir an-schließend die Grundzüge des Risikomanagements kennen. Nach einemeinleitenden Teil, der unter anderem die grundlegenden Begrifflichkeiten

Seite 14 Studienbrief 1 Einleitung und Motivation

vermittelt, wird dabei aufgezeigt, wie der Prozess des Risikomanagementsim Bereich der Informationssicherheit betrieben werden sollte.

•Umsetzung imIS-Programm

Nach einführenden Überlegungen zum Thema IS-Programm gliedert sichder Studienbrief 4 “Umsetzung im IS-Programm” in zwei wesentlicheAbschnitte. Dabei wird zunächst der Prozess der “Entwicklung eines IS-Programms” behandelt. In diesem Abschnitt wird vermittelt, aus welchenKomponenten ein IS-Programm besteht und was beim Aufbau eines IS-Programms beachtet werden muss. Anschließend geht der zweite Abschnittauf das Thema “Management eines IS-Programms” ein. Dabei werden un-ter anderem die Fragen, wie ein IS-Programm aufrecht erhalten werdenkann und welche Prozesse dafür aufzubauen sind, behandelt. Insbesonderewird aber auch thematisiert, wie gewährleistet werden kann, dass die zurVerfügung stehenden Ressourcen möglichst effizient eingesetzt werden.

•Vorfallsmanagementim Bereich der IS

Im Studienbrief 5 “Vorfallsmanagement im Bereich der IS” wird vermittelt,was “im Falle eines Falles” zu tun ist. Dabei werden vor allem die Fallkon-stellationen behandelt, die im Rahmen des Risikomanagement nicht bzw.nicht ausreichend berücksichtigt werden konnten und die somit “unvorher-gesehene” Ereignisse darstellen.

•Vorgehensweise nachBSI IT-Grundschutz

Im Studienbrief 6 “Vorgehensweise nach BSI IT-Grundschutz” wird ab-schließend vermittelt, was beim Aufbau eines Informationssicherheits-Managementsystems auf Basis von BSI IT-Grundschutz zu beachten ist.

1.6 Studienbegleitende Literatur

Grundlagendieses Moduls

Studienbrief 2 bis Studienbrief 5 dieses Moduls sind im Rahmen des Aufbauseines IS-Managements eng an die etablierten Vorgehensweise der amerikanischenInformation Systems Audit and Control Association (kurz: ISACA) [7] angelehnt1, derStudienbrief 6 orientiert sich an den Vorgaben des “Bundesamts für Sicherheit inder Informationstechnik” (kurz: “BSI”) nach BSI-Standard 100-2 “IT-Grundschutz-Vorgehensweise” [2].

Begleitende Literatur Daher wird die studienbegleitende Lektüre der zugehörigen Literatur empfoh-len. Darüber hinaus ist es für ein tieferes Verständnis der Thematik hilfreich, diegrundlegenden Fragestellungen der “Governance” und des “Risikomanagements”anhand weiterer einschlägiger Literatur zu erarbeiten.

1Im Rahmen der Ausbildung zum Certified Information Security Manager (kurz: CISM) wird dieseVorgehensweise seit vielen Jahren erfolgreich angewendet.

Studienbrief 7 Zusammenfassung und Fazit Seite 105

Studienbrief 7 Zusammenfassung und Fazit

Informationssicherheitvs.IT-Sicherheit

Informationssicherheit ist mehr als IT-Sicherheit, denn neben den technischenAspekten sind eine Fülle weiterer Fragen aus den Bereichen “Personen” und “Pro-zesse” zu berücksichtigen. Das Ziel einer kontinuierlich verbesserten, an die aktu-ellen Änderungen angepassten IS kann allerdings nur erreicht werden, wenn einProzess zum Management der IS aufgebaut wird. Ein weiterer wichtiger Erfolgs-faktor ist die Akzeptanz der Maßnahmen. Dazu muss gewährleistet werden, dassdiese angemessen sind und im Sinne des “Geschäftsbetriebs” der Organisationausgerichtete sind. Nicht zuletzt spielt auch die Unterstützung durch das Mana-gement eine wesentliche Rolle für den Erfolg der IS. Nur wenn das Managementauch im Konfliktfall “Business vs. Security” eine Risiko-basierte Entscheidungtrifft und die Ziele der IS unterstützt, wird das IS-Management langfristig vonErfolg gekrönt sein. Dazu ist aber wiederum die Beteiligung aller Mitarbeiter undvor allem die Unterstützung durch das Management erforderlich. Dieses Modulsoll die Grundlagen dazu legen.

IS-Governance als Moti-vator

In der Einleitung (Studienbrief 1) haben wir zunächst eine kurze Einführung indie Thematik gegeben und dargelegt, warum ein IS-Management der richtigeAnsatz ist. Studienbrief 2 geht dann im Detail auf die Aspekte der IS-Governanceein. Dabei wurde die notwendige Ausrichtung an den “Geschäftszielen” betontund die wesentlichen Vorteile einer IS Governance aufgezeigt. Risikomanagement als

EntscheidungsbasisIm Studienbrief 3

haben wir mit dem Thema “Risikomanagement” die Grundlage für den Aufbaudes IS-Programms gelegt. Erst ein effektives und effizientes Risikomanagementgibt der Organisation die Chance, trotz begrenzter Ressourcen die Maßnahmen zuimplementieren, die in Bezug auf die IS den größten Mehrwert bieten. Gleichzeitiggibt das Risikomanagement dem IS-Manager auch Argumente an die Hand, dieLeitungsebene von der Sinnhaftigkeit der IS zu überzeugen.

Umsetzung im IS-Programm

Der Studienbrief 4 ging dann auf die Planung und den Aufbau des IS-Programmsein. Erst durch das IS-Programm werden die auf Grundlage des Risikomanage-ments ermittelten Maßnahmen in “die Fläche” gebracht und auf der Arbeitsebeneimplementiert. Gleichzeitig bietet das IS-Programm die Möglichkeit, die IS in denStandardprozessen der Organisation zu verankern und zu einer hohen Effizienz,aber auch Akzeptanz der IS beizutragen. Pläne für das UngeplanteStudienbrief 5 beschäftigte sich schließ-lich mit der Frage, wie man sich auf mögliche Vorfälle vorbereitet, die trotz einesumfangreichen Risikomanagements bisher nicht entsprechend abgefedert wur-den - etwa, weil sie nicht bedacht wurden oder als zu unwahrscheinlich erachtetwurden.

IS-Management mitBSI IT-Grundschutz

In Studienbrief 6 haben wir dann den Ansatz nach dem BSI IT-GS exemplarischkennne gelernt und die einzelnen Schritte beschrieben, die notwendig sind, umein ISMS nach IT-GS aufzubauen. Dieser Studienbrief hat allerdings nicht denAnspruch, die Standards 100-1, 100-2 und 100-3 des BSI zu ersetzen. Vielmehrsteht es für eine “zusammenfassende” Darstellung des Standards 100-2, der dieImplementierung eines ISMS nach IT-GS beschreibt.

ZusammenfassungAbschließend muss aber betont werden, dass dieses Modul nur die theoretischeGrundlage für den Betrieb eines ISMS liefert. Die Umsetzung ist in der Praxisaber -gemäß dem Spruch “Theorie und Praxis”- häufig mit erheblichen Problemenverbunden, die in diesem Moduel nur ansatzweise angesprochen werden können.

Erfahrung macht denMeister

Erfahrung ist daher nach wie vor das Kriterium, das einen guten IS-Managerauszeichnet - und ihn dann auch alle Widrigkeiten meistern lässt.

Verzeichnisse Seite 107

Verzeichnisse

8.1 Abbildungen

Abb. 1.1: Illustration der CIA-Triade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Abb. 1.2: Drei-Säulen-Modell der Informationssicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . 11Abb. 2.1: PDCA-Zyklus nach Deming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Abb. 2.2: Konzept der “Layered Defense” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Abb. 2.3: Schematische Darstellung der Policy-Pyramide . . . . . . . . . . . . . . . . . . . . . . . . . . 25Abb. 2.4: Veranschaulichung der Kriterien “Umsetzungsverpflichtung” und “Messbarkeit” . . . . . . . . 26Abb. 3.1: Risikobewertung mittels “Eintrittswahrscheinlichkeit” und “Auswirkungen” . . . . . . . . . . . 40Abb. 3.2: Risikomanagement nach dem Standard “NIST 800-30” . . . . . . . . . . . . . . . . . . . . . . 41Abb. 3.3: Klassifizierung von Informationswerten durch Gruppierung . . . . . . . . . . . . . . . . . . . 45Abb. 3.4: Illustration der “4-T”-Maßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Abb. 4.1: Beispiel einer Netzwerk-Architektur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57Abb. 4.2: SDLC als Wasserfall-Diagramm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Abb. 5.1: Illustration des SAP-Konzepts der Digitalen Forensik . . . . . . . . . . . . . . . . . . . . . . . 78Abb. 5.2: Illustration eines “virtuellen Teams” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80Abb. 6.1: Vorgehensweise nach BSI IT-Grundschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Abb. 6.2: Kosten-Nutzen-Relation im Bereich der IS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

8.2 Literatur

[1] Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn. BSI-Standard 100-1: Managementsysteme fürInformationssicherheit (ISMS), Version 1.5, Mai 2008.

[2] Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn. BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise, Version 2.0, Mai 2008.

[3] Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn. BSI-Standard 100-3: Risikoanalyse auf derBasis IT-Grundschutz, Version 2.5, Mai 2008.

[4] Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn. BSI-Standard 100-4: Notfallmanagement,Version 1.0, November 2008.

[5] W.E. Deming. Out of the Crisis. The MIT Press, Cambridge (USA), 1. Auflage, 1982.

[6] Information Systems Audit and Control Association (ISACA), Rolling Meadows (USA). Control Objectives forInformation and Related Technology (COBIT), Version 5, April 2012.

[7] Information Systems Audit and Control Association (ISACA), Rolling Meadows (USA). Certified InformationSecurity Manager (CISM) Review Manual, Version 11, 2013.

[8] R.S. Kaplan, D.P. Norton und P. Horváth. Balanced Scorecard: Strategien erfolgreich umsetzen. Schäffer-PoeschelVerlag, Stuttgart, 1. Auflage, September 1997.

[9] Payment Card Industry (PCI) Security Standards Council, Wakefield (USA). PCI Data Security Standard (PCIDSS), Version 3.0, November 2013.

[10] W.A. Shewhart. Statistical Method from the Viewpoint of Quality Control. Dover Pubn Inc, 1. Auflage, November1986.

Seite 108 Verzeichnisse

[11] Software Engineering Institute (SEI), Carnegie Mellon University, Pittsburgh (USA). Capability MaturityModel Integration (CMMI), Version 1.3, 2010.

[12] R. Stoneburner, A. Feringa und A. Goguen. Risk Management Guide for Information Technology Systems. NationalInstitute of Standards and Technology, Gaithersburg (USA), Version 1.0, Juli 2002.