it-sicherheit im unternehmen - mitpinhaltsverzeichnis 6 2 das it-sicherheitsprojekt 53 2.1 kurz...

5

Inhaltsverzeichnis

Vorwort von Dr. Markus Morawietz 11

Vorwort 15

1 Einführung in die IT-Sicherheit 25

1.1 IT-Sicherheit und wie man sie erreicht 25

1.2 Wichtige Begriffe 281.2.1 Normenreihe ISO 2700x und Dokumente des BSI 291.2.2 Information-Security-Management-System 301.2.3 IT-Sicherheitsorganisation 311.2.4 Unternehmenswerte 321.2.5 Dateneigentümer und Risikoeigentümer 331.2.6 Asset-Management 341.2.7 Schutzbedarf, Schutzziele, Schutzstufen und die

Klassifizierung 351.2.8 Risiko, Risikoberechnung, Risikobehandlung und

Maßnahmen 371.2.9 Angriffspfad, Schwachstellen und Bedrohungen 391.2.10 Richtlinien 391.2.11 IT-Sicherheitskonzept 40

1.3 Das Hamsterrad 41

1.4 Die allzu menschlichen Fallstricke 42

1.5 Motivation, die IT-Sicherheit zu erhöhen 451.5.1 Externe Vorgaben 451.5.2 Verpflichtung zur Datensicherheit 471.5.3 Haftung auf verschiedenen Ebenen 49

1.6 Reduzierung des Risikos 501.6.1 Angriffe durch eigene Mitarbeiter 501.6.2 Angriffe von außen 51

© des Titels »IT-Sicherheit im Unternehmen« (ISBN 9783958451285) 2015 by mitp-Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/128

INHALTSVERZEICHNIS

6

2 Das IT-Sicherheitsprojekt 53

2.1 Kurz zusammengefasst 53

2.2 Rahmenbedingungen und Erfahrungen 562.2.1 Das Wesen eines Projekts 562.2.2 IT-Sicherheit als Top-down-Ansatz 572.2.3 Die kontinuierliche Verbesserung 59

2.3 Die Ziele des IT-Sicherheitsprojekts 612.3.1 Aufgabe: Der Geltungsbereich 622.3.2 Aufgabe: Sicherheitsniveau als Projektziel 64

2.4 Der Projektablauf 682.4.1 Das Vorgehen im Überblick 682.4.2 Aufgaben, Input und Output 692.4.3 Transparenz schaffen 712.4.4 Regeln einführen 752.4.5 Durchführung von Audits 78

3 Transparenz schaffen 81

3.1 Übersicht über die Vorgehensweise 81

3.2 Die Basisdokumente der IT-Sicherheit 833.2.1 Aufgabe: Information Security Policy 843.2.2 Aufgabe: Klassifizierungsrichtlinie 87

3.3 Der Workshop und die Erfassung des aktuellen Status 903.3.1 Zielsetzung und Ablauf 903.3.2 Eine kleine Business-Impact-Analyse (BIA) 94

3.4 Themengebiete der IT-Sicherheit 1023.4.1 Zugrunde liegende Standards 1023.4.2 Aufgabe: Themengebiete der IT-Sicherheit auswählen 103

4 Regeln einführen 109

4.1 Richtlinien als formalisierte Regeln 1104.1.1 Struktur und Inhalt von Richtlinien 110


INHALTSVERZEICHNIS

7

4.1.2 Richtlinien im Kontext 1144.1.3 Aufgabe: Prozessbeschreibung Erstellung und Pflege

von Richtlinien 1154.1.4 Der Richtlinienbaukasten 1174.1.5 Regeln und die Klassifizierung 119

4.2 Richtlinien umsetzen 1214.2.1 Umsetzung von Regeln 1214.2.2 Von der Richtlinie zur Guideline 1234.2.3 Anspruch und Wirklichkeit 1254.2.4 Eine fiktive IT-Umgebung 1274.2.5 Hilfestellungen durch genormte Vorgehensweisen 131

4.3 Die Richtlinien/Aufgaben des Projekts 1424.3.1 Aufgabe: Checklisten IT-Sicherheitsrichtlinien und

IT-Sicherheitsprozesse 1424.3.2 Aufgabe: Kommunikation von IT-Sicherheitsthemen 144

4.4 Die sechs Grundsatzthemen 1454.4.1 Aufgabe: Standardisierung von IT-Systemen und Software 1464.4.2 Aufgabe: Schutz vor Schadsoftware (Antivirus) 1484.4.3 Aufgabe: Patchmanagement 1514.4.4 Zugang zum Unternehmensnetzwerk 1534.4.5 Aufgabe: Dateiberechtigungen auf Servern analysieren 1564.4.6 Aufgabe: Grundregeln Benutzerverzeichnisse 160

4.5 Themengebiet IT-Sicherheitsprozesse 1624.5.1 Aufgabe: IT-Sicherheitsorganisation 1634.5.2 Aufgabe: Verwaltung der Unternehmenswerte (assets) 1684.5.3 Aufgabe: Prozess IT-Sicherheitsvorfälle melden 1694.5.4 Aufgabe: Prozess Schwachstellenanalyse 1734.5.5 Aufgabe: Prozess Notfallmanagement 1754.5.6 Aufgabe: Prozess Überwachung von (Sicherheits-)

Protokollen (logfiles) 1774.5.7 Aufgabe: Microsoft-Windows-Ereignisse überwachen 1804.5.8 Aufgabe: Dateizugriffe auf Servern überwachen 182


INHALTSVERZEICHNIS

8

4.5.9 Aufgabe: Prozess Änderungsmanagement (change management) 184

4.5.10 Aufgabe: Prozess Backup und Wiederherstellung 185

4.6 Themengebiet Benutzer 1864.6.1 Aufgabe: Benutzerverwaltung 1864.6.2 Aufgabe: Generelle Richtlinien für Benutzer 1884.6.3 Aufgabe: Richtlinien für Administratoren 1914.6.4 Aufgabe: Umgang mit Gerätschaften 1924.6.5 Aufgabe: Awareness-Maßnahmen 193

4.7 Themengebiet Zugriff auf Daten 1944.7.1 Aufgabe: Rollenkonzept erstellen 1944.7.2 Aufgabe: Temporärer administrativer Zugriff 1974.7.3 Aufgabe: Regeln zur Vergabe von Berechtigungen 198

4.8 Themengebiet Sichere Systeme 2004.8.1 Aufgabe: PCs und Laptops sicher konfigurieren 2004.8.2 Aufgabe: Sicherer Administrations-PC 2034.8.3 Aufgabe: Sichere Serversysteme 205

4.9 Themengebiet Physische Sicherheit 2064.9.1 Aufgabe: Zutritt zum Unternehmen 2074.9.2 Aufgabe: Kritische Bereiche absichern 208

4.10 Themengebiet Netzwerk 2124.10.1 Aufgabe: Datenübertragung und Verschlüsselung 2134.10.2 Aufgabe: Verbindungen zu anderen Unternehmen 2154.10.3 Aufgabe: Trennung von Netzwerken 2164.10.4 Aufgabe: Regeln zum Zugang zum internen Netzwerk 217

4.11 Aufgabe: Skript- und Softwareentwicklung 219

5 Audits durchführen 223

5.1 Das Audit und seine Komponenten 2235.1.1 Die Grundzüge 2235.1.2 Der Auditor 2265.1.3 Der Interview-Partner 227


INHALTSVERZEICHNIS

9

5.1.4 Art des Audits 2285.1.5 Audit-Planung, Geltungsbereich, Abstimmung mit

den Fachbereichen 2295.1.6 Fragenkatalog, Sammeln von Nachweisen 2305.1.7 Der Audit-Bericht 2305.1.8 Das Aufsichtsgremium 2315.1.9 Lessons learned – Verbesserung des Audit-Prozesses 233

5.2 Der Fragenkatalog und das Sammeln von Nachweisen 2335.2.1 Aufbau eines Fragenkatalogs 2335.2.2 Auswahl der Fragen und deren Bewertung 2375.2.3 Erbringung von Nachweisen 2395.2.4 Auswertung der Antworten 2405.2.5 Übergabe der Abweichungen zur Abarbeitung 241

5.3 Quellen für die Überprüfung von Regeln 2425.3.1 Dokumentation und das Asset-Management 2435.3.2 Auswertung von Protokolldateien 2435.3.3 Aktive Penetrationstests 2445.3.4 Ergebnisse aus dem CERT 245

Index 247


25

1

1 Einführung in die IT-Sicherheit

1.1 IT-Sicherheit und wie man sie erreicht

Die produktive Auseinandersetzung mit einem Thema, insbesondere wennman Ratgeber oder Literatur dafür hinzuzieht, setzt immer ein gemeinsamesVerständnis für die benutzten Begriffe voraus. Im vorliegenden Buch drehtsich alles um das Thema »IT-Sicherheit« und deshalb möchte ich voranschi-cken, was sich dahinter, meinem Verständnis nach, verbirgt. Im folgendenKapitel werden zudem weitere Begriffe erläutert.

Zunächst muss deutlich gemacht werden, dass, wie in vielen anderen Fachge-bieten auch, Themen aus verschiedenen Perspektiven und aus verschiedenenMotivationen heraus betrachtet werden können. So kann eine Person aus derAbteilung Firewall-Administration eine andere Definition des Begriffs »IT-Sicherheit« finden als ein Support-Mitarbeiter. Das ist zunächst kein Prob-lem, da beide Gruppen ihre Aufgabe getrennt voneinander bearbeiten. Tref-fen sie aber in einem Projekt aufeinander, in dem es um den Aufbau von IT-Sicherheit geht, dann kann es schnell zu Missverständnissen kommen. So isteinzusehen, dass eine Aufgabe, wie die Konfiguration und Überwachung vonFirewalls, Teil der IT-Sicherheit ist, genauso wie das Aufstellen und Betreibenvon Computern. Wie diese jeweils zu gewichten sind und wie sie zusammen-hängen, steht wiederum auf einem anderen Blatt. Insbesondere die Fragenach der Priorität führt zu Diskussionen, wenn es darum geht, Entscheidun-gen zu treffen und Geld zu investieren. In diesen fachlichen Auseinanderset-zungen ist es die Aufgabe des Verantwortlichen für die IT-Sicherheit, formaleKriterien mit in die Diskussion zu tragen, auf deren Basis die richtigen Ent-scheidungen getroffen werden können.

Es ist hilfreich, noch mal einen Schritt zurückzutreten und den Begriff »IT-Sicherheit« möglichst unvoreingenommen zu betrachten. Um zu einer ein-heitlichen Definition zu kommen, ist der gemeinsame Nenner zu finden. Dereinfachste gemeinsame Nenner ist die Definition, dass IT-Sicherheit immerdie Abwesenheit von IT-Unsicherheit ist. Unsicherheit wird in diesemZusammenhang mit dem Begriff »Gefahren« übersetzt. Die Abwesenheit vonGefahren ist demnach gleichzusetzen mit Sicherheit. Angenommen, man


KAPITEL 1 – EINFÜHRUNG IN DIE IT-SICHERHEIT

26

1übersetzt das Wort Gefahren mit einem Wort aus dem IT-Risikomanagement,und zwar dem Begriff »Bedrohung«, dann ist man noch ein bisschen näheram Wesen der IT-Sicherheit. Bedrohungen wiederum sind nur dann vorhan-den, wenn es sowohl eine Schwachstelle gibt als auch eine Möglichkeit, dieseauszunutzen. So ist ein Rechner unter Windows 8.1 auf Betriebssystem-Ebene nur dann einer Bedrohung ausgesetzt, wenn sowohl eine technischeSchwachstelle, wie z.B. ein Programmfehler, existiert als auch ein Exploit, derdiesen Fehler ausnutzen kann. Hat ein Hacker sowohl die Möglichkeit, zumZielrechner vorzudringen, als auch den Exploit zur Verfügung, dann entstehteine Bedrohung für diesen Rechner.

IT-Sicherheit ist also dann gegeben, wenn einem Angreifer entweder dieSchwachstelle entzogen wird, z.B. durch Patchen des Rechners, oder aber dieMöglichkeit zum Angriff über das Netzwerk, z.B. durch die Implementierungeiner Firewall, entzogen wird.

Beide vorher genannten Gruppen arbeiten damit an verschiedenen Stellenam gleichen Ziel mit, und zwar parallel zueinander und gleichberechtigt. Umzu beantworten, was denn nun wichtiger ist, die Firewall oder das Patchen desPC, ist eine Rechnung aufzustellen, die die Faktoren »Bedrohung«, »Eintritts-wahrscheinlichkeit der Gefährdung« und die dann entstehenden Kosten miteinbezieht. Ein solcherart errechnetes Risiko dient dann dazu, von subjekti-ven Meinungen zu objektiven Einschätzungen zu gelangen.

Hinweis

Die Abwesenheit von IT-Unsicherheit ist dann gegeben, wenn keineSchwachstellen oder keine Möglichkeiten, diese auszunutzen, vorliegen.Die IT-Sicherheit hat sich damit genau darum zu kümmern: Sie merztSchwachstellen aus oder macht das Ausnutzen derselben schwierig odergar unmöglich.

Um dies möglichst lückenlos zu bewerkstelligen, arbeitet die IT-Sicher-heit wie ein Uhrwerk, in dem zahllose kleine Zahnrädchen im Gleichtaktticken. Fällt ein Zahnrädchen aus, so kann das Gesamtsystem bereitskompromittiert werden. Damit dies nicht unbemerkt passiert, gibt es IT-Sicherheitsprozesse und Regelwerke. Die Prozesse legen Vorgehenswei-sen fest und sollen damit verhindern, dass das Uhrwerk aus dem Taktgerät, wenn eine Stelle von der korrekten Vorgehensweise abweicht.


IT-SICHERHEIT UND WIE MAN SIE ERREICHT

27

1

Ein weiterer Gedanke wäre, auch wenn es sich zunächst wie eine zu kurzgedachte Methodik anhört: Sicherheit ist durchaus auch dann gegeben,wenn das Asset, das schützenswert ist, vom potenziellen Angreifer nichtgesehen werden kann. Im Englischen spricht man dann von der fehlenden»visibility«. Das macht keinen Sinn, wenn man Daten vor dem Mitarbeiterschützen möchte, der das Unternehmen verlassen wird und gerne die Datenmitnehmen würde. Aber schon, wenn es darum geht, IT-Systeme zu benen-nen, zeigt sich der Nutzen. Warum soll man den Server mit den kritischenDaten denn »Berlin-SRV-Prod-Daten« nennen? Viel zu viele Informationenwerden alleine schon mit der Bezeichnung an den potenziellen Angreiferweitergegeben. So ist dessen Standort vermutlich in Berlin zu verorten, pro-duktive Daten sind darauf gespeichert und es handelt sich bei dem Systemum einen Server. Praktisch für den Administrator, kontraproduktiv hinsicht-lich der IT-Sicherheit.

Aus den bislang gewonnenen Erkenntnissen kann man nun schlussfolgern,dass ein Unternehmen Sicherheit für die zu schützenden Assets entwederdadurch erreicht, dass es die Bedrohungen für das jeweilige Asset beseitigtoder aber das Asset von den Bedrohungen trennt. Ein Server, der in einemRaum mit einer Tür ohne Verriegelung untergebracht ist, kann also entwederdurch das Einsetzen einer vernünftigen Schließanlage gesichert werden oderaber dadurch, dass man ihn in einem entsprechenden Computerraum mitsinnvollem Zugangsschutz verlegt. Diese Maßnahme schützt den Serverdann gegen genau diese eine Bedrohung. Eine weitere, mögliche Bedrohung,nämlich dass jemand über das Netzwerk unbefugten Zugang erhält, bleibtdabei zunächst außen vor. Anhand dieser Beispiele ist schnell zu erkennen,dass die Schaffung von IT-Sicherheit in den meisten Fällen nur durch dieUmsetzung einer ganzen Reihe von Maßnahmen, die verschiedene Perspek-tiven abdecken, zu erreichen ist.

Ein Beispiel wäre die Aufstellung eines Windows-8.1-Rechners ohneSicherheits-Patches. Die Aufgabe der IT-Sicherheitsprozesse wäre es indiesem Fall, ein solches Vorgehen von vornherein als regelwidrig zu ent-larven und, wenn möglich, komplett zu unterbinden. Das Regelwerk legtdazu die Rahmenbedingungen fest und dient im Nachhinein als Vorlagefür eine Überprüfung der IT-Systeme im Rahmen eines Audits.



28

1

Ein paar Worte noch zum eben erwähnten »Zusammenspiel von Maßnah-men«. Nicht jede Maßnahme, die für sich selbst gesehen das Risiko für einAsset verringern kann, muss auch im Gesamtkontext gesehen eine gute Wahldarstellen. So ist es durchaus denkbar, dass gerade durch die Implementie-rung einer eigentlich sinnvoll erscheinenden Maßnahme neue Verwundbar-keiten erst entstehen. So gibt es ein Beispiel aus der Vergangenheit, bei demdie Installation eines Antivirenprogramms zwar zunächst dabei geholfen hat,Viren auf Client-Computern zu entdecken und zu löschen, aber auf der ande-ren Seite hatte die Applikation selbst wiederum Schwachstellen, die ausge-nutzt werden konnten, den Zielrechner, mit lokalen Administrationsrechtenausgestattet, zu übernehmen. Es wurden dann zwar bald Updates bereitge-stellt, diese wurden aber nicht automatisch installiert, sondern mussten vonHand eingespielt werden. Eine Implementierung eines solchen Programmsohne flankierende Maßnahmen, die sich um das Patchen der Anwendungselbst kümmern, führte damit zu einem erhöhten Risiko.

1.2 Wichtige Begriffe

Wie viele andere Fachbereiche auch hat die IT-Sicherheit eine ganze Reihe anBegriffen geprägt, die sich in den letzten Jahren zunehmend durchgesetzthaben. Die meisten davon werden von englischen Worten abgeleitet, manch-mal existieren sie auch nur in dieser Sprache, sie wurden neu geprägt oderganz und gar neu erfunden. Aus diesen Gründen kann es durchaus dazukommen, dass ganze Vorgaben und Ziele aufgrund einer missverständlichenWortwahl unverständlich bleiben oder in einer kontroversen Diskussion zer-pflückt werden. Das ist der eine Grund, warum ich an dieser Stelle mein Ver-ständnis der wichtigsten Begriffe erläutern möchte.

Hinweis

Die Kunst der IT-Sicherheit besteht darin, die Gefährdungen, denen dieIT-Systeme und Daten ausgesetzt sind, möglichst aus den verschiedens-ten Perspektiven zu betrachten und dann diejenigen Maßnahmen auszu-wählen, die unter Berücksichtigung von Kosten und Nutzen den meistenErfolg im Zusammenspiel versprechen. Dieser Gedanke muss in allenPhasen des Projekts und später auch im Betrieb der IT-Sicherheit im Vor-dergrund stehen.


WICHTIGE BEGRIFFE

29

1

Der andere Grund ist schlicht der, dass nicht jeder, der vor die Aufgabe gestelltwird, ein Projekt dieser Art zu leiten oder zu begleiten, automatisch auch einExperte für IT-Sicherheit sein muss. Der Weg dorthin ist lang und steinig unddas Nahebringen der wichtigsten Fachbegriffe kann man auch als kleinen Ein-führungskurs betrachten, mit der Aufgabe, ein paar Abkürzungen einzubauen.

1.2.1 Normenreihe ISO 2700x und Dokumente des BSI

Es ist immer sinnvoll, etwas als Grundlage zu nutzen, das bereits, am besteninternational, als gutes Vorgehensmodell akzeptiert wird. In der IT-Sicherheitstellt sich diese Grundlage unter anderem als eine Reihe von ISO-Standardsdar, die auch bereits in die DIN-Normenreihe übernommen wurden. DieseStandards bilden alle wesentlichen Aspekte der IT-Sicherheit ab und bestehenzum Teil bereits seit vielen Jahren im Markt. Das heißt, ihre Bestandteile bil-den nicht nur ein rein akademisches Grundwissen ab, sondern sind bereits inder täglichen Praxis erprobt.

Für das IT-Sicherheitsprojekt sind die Normen ISO 27001 und 27002 aminteressantesten. Die Norm ISO 27005, die sich um das Thema Risikoma-nagement kümmert, bildet einen weiteren Pfeiler, der in einigen wichtigenProzessen eine Rolle spielt, und die ISO 27035 beschreibt die Funktion undden Aufbau eines sogenannten CERT – dazu mehr in späteren Abschnitten.

Hinweis

Die eben kurz angerissene Unschärfe mancher Begriffe zeigt schon auf,dass es für ein Unternehmen durchaus Sinn macht, speziell hierfür einDokument anzulegen, in dem zumindest diejenigen (Fach-)Begriffeerläutert werden, die in den eigenen Richtlinien, Präsentationen oder inder täglichen Kommunikation verwendet werden.

Hinweis

Auch wenn die Normen wichtig sind, ist deren Kenntnis keine Grundvo-raussetzung, das IT-Sicherheitsprojekt zu einem erfolgreichen Ergebniszu führen.



30

1Neben den eben genannten Normen hat auch das Bundesamt für Sicherheitin der Informationstechnik (BSI) einige sehr wichtige Dokumente veröffent-licht, die auf die Herausforderungen Bezug nehmen, denen wir uns im Pro-jekt gegenübersehen werden. In den entsprechenden Abschnitten verweiseich dann jeweils auf die wichtigsten Quellen und gebe dem Leser dann dieMöglichkeit, sein Wissen zu vertiefen. Die Kenntnisse, die man aus diesenLeitfäden herauslesen kann, sind wichtig, um Regelungen und Vorgaben inunternehmerischen Alltag einzuführen und zu betreiben.

1.2.2 Information-Security-Management-System

Die ISO 27001, auf die immer wieder referenziert wird, wenn es um IT-Sicherheit geht, trägt den Begriff »Information-Security-Management-Sys-tem«, abgekürzt ISMS, bereits prominent im Titel. Des Weiteren wird es imRahmen der Norm folgendermaßen definiert:

Teil des gesamten Managementsystems, der auf der Basis eines Geschäfts-risikoansatzes die Entwicklung, Implementierung, Durchführung, Über-wachung, Überprüfung, Instandhaltung und Verbesserung der Informa-tionssicherheit abdeckt.

Auch wenn es sich etwas kryptisch anhört, bietet diese Definition doch einigegute Anhaltspunkte. Zum einen geht es hier nicht um etwas völlig Neues. Eskann als Teil eines in einem Unternehmen bereits gelebten Managementsys-tems, wie es z.B. ein Qualitätsmanagement-System vorgibt, implementiertwerden und damit auf vorhandenen Prozessen aufsetzen. Der Gedanke derstetigen Verbesserung im Rahmen eines Zyklus wird bereits in solchen Sys-temen aktiv angewandt.

Ein ISMS bezieht sich nicht auf ein bestimmtes Unternehmensfeld oder einedefinierte Unternehmensgröße. Daraus kann man ableiten, dass sich nichtein Unternehmen verbiegen muss, um einem ISMS gerecht zu werden, son-dern ganz im Gegenteil, ein ISMS muss so adaptierbar sein, dass es auf dieUnternehmenswirklichkeit angepasst werden kann. Natürlich unter der Prä-misse, dass der Sinn, ein höheres Sicherheitsniveau zu erreichen, nicht ver-fehlt wird.

Des Weiteren ist der Risikomanagement-Ansatz zu nennen. Dieser wird unsauch im IT-Sicherheitsprojekt immer begleiten, auch wenn er hier nicht dieDetailschärfe erreichen wird, wie es in den Normen eigentlich verlangt wird.


WICHTIGE BEGRIFFE

31

1Dies liegt vor allem daran, dass das Ziel eines umfassenden und tragfähigenSicherheitskonzepts zwar nicht ohne Einbezug eines IT-Risikomanagementserreichbar ist, das Ziel aber, wirklich alles danach auszurichten, würde denUmfang dieses Projekts zu stark erweitern und wäre demnach kontraproduk-tiv. Aus diesem Grund wird auch immer wieder von der »Basissicherheit«und einer »angestrebten Sicherheit« die Rede sein. Beides liegt auf dem glei-chen Weg, wenn auch die »angestrebte Sicherheit« einiges mehr an Aufwanderfordert. Davon aber später mehr.

Ansonsten gilt das, was Bruce Schneier, der Experte für umfassende IT-Sicherheit schlechthin, bereits vor einigen Jahren treffend formuliert hat: IT-Sicherheit ist keine bestimmte Software oder eine einzelne gezielte Maß-nahme, sondern ein Prozess, der sich immer weiter verbessert. Daraus abge-leitet ist ein angestrebtes Niveau an IT-Sicherheit nicht dadurch zu erreichen,dass nur ausgewählte Sicherheitsthemen, wie das Patchmanagement oder dieFirewall-Betreuung, ausgebaut werden, es ist immer darauf zu achten, dassalle Felder der IT-Sicherheit Beachtung finden und in ein übergreifendes Kon-trollsystem eingebunden werden. Diese Betrachtung fasst die Definitioneines ISMS, denke ich, am besten zusammen.

1.2.3 IT-Sicherheitsorganisation

In Bezug auf ein Unternehmen oder eine Behörde umfasst die IT-Sicherheits-organisation alle Stellen, die sich mit dem Schutz der Vertraulichkeit, Verfüg-barkeit und Integrität von Daten, und im weiteren Sinne von Informationen,auseinandersetzen. Zu klären sind die Schnittstellen zwischen Organisations-einheiten wie z.B. dem Werkschutz, der das Rechenzentrum, als Teil einesGebäudes, schützt, und dem IT-Sicherheitsmanager, der parallel dazu auch fürden physischen Schutz des Rechenzentrums verantwortlich sein kann.

Sind in einem Unternehmen für die operative IT-Sicherheit und das IT-Sicherheitsmanagement unterschiedliche, kaum organisatorisch miteinan-der verbundene Organisationseinheiten zuständig, so kann sich der Gesamt-komplex »IT-Sicherheitsorganisation« dennoch über alle diese Stellen erstre-cken. In diesem Fall ist es entscheidend, entsprechende übergreifendeProzesse und Kommunikationsbeziehungen aufzusetzen.

Es ist unerheblich, ob ein Unternehmen eine umfangreiche IT-Sicherheits-organisation mit vielen Mitarbeitern unterhält oder ob eine einzelne Persondiese Aufgabe wahrnimmt, die Vernetzung zu anderen Einheiten wie die IT-



32

1Abteilung, zur Personalabteilung, zum Werkschutz, zum Betriebsrat undzum Datenschutzbeauftragten ist von kritischer Wichtigkeit, um die Effizienzüber eine sinnvolle Durchdringung zu steigern.

1.2.4 Unternehmenswerte

Das Wort »Werte« leitet sich von dem englischen Begriff »assets« ab, der inder Norm ISO 27001 entscheidend geprägt wird. Dort steht, dass unter »Wer-ten« alles zu verstehen ist, was für ein Unternehmen von Wert ist. Zunächsteinmal hört sich dies wie eine Binsenweisheit an. Auf den zweiten Blick wirdaber auch deutlich, dass wir von viel mehr reden als nur Daten auf Servern.Kritische Informationen können auf verschiedensten Wegen und auf ver-schiedenen Medien im Unternehmen kursieren. Dazu kommt, dass Datennicht im luftleeren Raum existieren können und damit ist auch immer dieInfrastruktur mit einzubeziehen. Zu guter Letzt ist zu bedenken, dass derVerlust von Informationen auch weitreichende Folgen für Werte haben kann,die man zunächst nicht auf dem Schirm hat. Dies hat vor Kurzem ein großesUnternehmen erfahren müssen, als Kreditkartendaten der Kunden »verlorengegangen« sind. Auf einen Schlag kann in einem solchen Fall die Reputationunwiderruflich beschädigt werden. Die IT-Sicherheitsorganisation wiederumhat die Aufgabe, direkt oder auch indirekt, diese Werte zu schützen. Sinnvol-lerweise sind dabei vor allem folgende Werte zu betrachten:

Informationen in Form von Daten: Darunter fallen alle Arten von Daten.Diese können sich unter vielen anderen Ausprägungen auf Datenservern,Datenbanken, auf Netzwerkkomponenten oder auch auf Wechseldatenträ-gern befinden.

Informationen in Form von Dokumenten: Hierunter fallen alle Informa-tionen, die z.B. in Verträgen, Gesprächsnotizen, Besprechungsprotokol-len, Handbüchern, E-Mails, auf Flipcharts oder in Aktenordnern abgelegtsind.

Physische Werte: Darunter fällt die Hardware des Unternehmens – alsoalle Arten an Rechnern, Servern, Netzwerkkomponenten, die Verkabelung,aber auch Datenträger wie DVDs oder Backup-Medien wie Bandkassetten.

Software: Neben Anwendungsprogrammen sind hier vor allem Applika-tionen zur Softwareentwicklung und die Betriebssysteme von Computernoder Netzwerkkomponenten gemeint.


WICHTIGE BEGRIFFE

33

1 Dienstleistungen: Das Rechenzentrum ist ein typisches Beispiel für eine

Infrastruktur, für die Dienstleistungen erbracht werden. Innerhalb des Re-chenzentrums arbeiten interne und externe Stellen, um z.B. die unterbre-chungsfreie Stromversorgung, die Installationen zur Bekämpfung vonFeuer oder Wasser, den Aufbau von Serverschränken oder auch eines dop-pelten Bodens zu initiieren oder zu betreiben.

Mitarbeiter: Mitarbeiter haben Qualifikationen und Fähigkeiten, die imGrunde einen großen Teil des Know-hows des Unternehmens darstellen.

Immaterielle Werte wie der Ruf eines Unternehmens, der unter einemSicherheitsvorfall leiden könnte.

Manche dieser Werte werden gedanklich automatisch mit der IT-Sicherheitverknüpft, da es sich um klassische Werte handelt, die etwas mit elektroni-schen Daten oder Computerhardware zu tun haben. Andere Werte wiederum,wie z.B. die Kostenkalkulation auf einem Flipchart, werden zwar als schüt-zenswert wahrgenommen, aber eher in der Verantwortung des Einzelnengesehen. Aus Sicht der ISO-27002-Norm ist es unerheblich, in welcher FormInformationen bewahrt oder dargestellt werden, und dementsprechend be-handeln wir auch die Werte des Unternehmens im IT-Sicherheitsprojekt.

1.2.5 Dateneigentümer und Risikoeigentümer

Der Dateneigentümer (data owner) ist für einen bestimmten Teil der Unter-nehmensdaten verantwortlich. Darunter fallen vor allem die durch ihn selbsterstellten und verwalteten Daten. Damit folgt man dem Gedanken, dass der-jenige, der Daten erfasst oder erzeugt, auch am besten darüber entscheidenkann, welchen Schutzbedarf diese Daten haben und, davon abgeleitet, wiediese Daten sicher gehalten werden sollten. Damit ist der Dateneigentümerder erste Ansprechpartner, wenn es darum geht, den Schutzbedarf von Datenzu bestimmen, Risiken zu bewerten oder Maßnahmen zur Risikoverringe-rung abzuschätzen.

Im Rahmen der IT-Sicherheit führte eine solche Vorgehensweise aber auchdazu, dass es mit steigender Komplexität und einer steigenden Masse anDaten immer schwieriger wird, den Dateneigentümer zu bestimmen. Oft-mals war der Dateneigentümer, aus seiner Rolle im Unternehmen heraus,nicht in der fachlichen Position, die damit verbundenen Aufgaben wahrzu-nehmen. Das sind zwei der Gründe, warum mit der überarbeiteten Version



34

1der ISO 27001:2013 der Risikoeigentümer (risk owner) eingeführt wurde.Damit wird die Verantwortung für Daten wieder mehr in die Richtung derFührungskräfte gelenkt.

1.2.6 Asset-Management

Im Zusammenhang mit den Unternehmenswerten ist auch oft von einem»Asset-Management« die Rede. Wieder ein Begriff, bei dem es fast keinenSinn macht, ihn ins Deutsche zu übersetzen. Das Asset-Management bestehtaus einem systematischen Prozess, der die Aufgabe hat, Assets, also Unter-nehmenswerte, zu erfassen und zu verwalten. Der Prozess reicht in Formeines sogenannten »Lebenszyklus« dabei von der Anschaffung, über die Inbe-triebnahme, die Wartung, den Vorgang der Erweiterung bis hin zur Entsor-gung oder dem Verkauf. Es ist offensichtlich, dass dieser Prozess nicht aufalle, in Abschnitt 1.2.4 genannten, Werte angewendet werden kann.

Aus den eben beschriebenen Bestandteilen eines solchen Prozesses lassensich entsprechende, erforderliche Eigenschaften ableiten, die ein Asset-Management-System erfüllen sollte. Aus Sicht der IT-Sicherheit sind die nach-folgenden Eigenschaften relevant und sollten in jedem Fall erfasst werden:

Hinweis

In den meisten Unternehmen existiert bereits ein Datenpool, der vieleArten an Werten auflistet. Dies ist der Fall, da viele dieser Informationen,unter anderen was die Hardware und Software angeht, auch von anderenBereichen, wie z.B. der Buchhaltung zu Abschreibungszwecken oder derIT zur Planung, benötigt werden. Es kann durchaus Sinn machen, dieseDatenbank für die eigenen Zwecke mit zu benutzen. Um damit sinnvollarbeiten zu können müssen oft weitere Arten an Werten, wie z.B. Daten,hinzugefügt werden und dann noch den entsprechenden Systemen zuge-ordnet werden. Es geht also oft nicht um die Neuentwicklung des Rades,sondern darum, herauszufinden, wo die benötigten Informationen imUnternehmen zu finden sind und wie sie genutzt werden können, um imRahmen eines Information-Security-Management-Systems als Datenba-sis zu dienen.


WICHTIGE BEGRIFFE

35

1 Jeder Unternehmenswert hat einen Eigentümer (data owner) . Dieser heißt

auch Dateneigentümer oder Informationseigentümer.

Unternehmenswerte müssen zunächst identifiziert, also als solche er-kannt werden, bevor sie sinnvoll geschützt werden können. Dazu kommt,dass jeder Unternehmenswert entsprechend gekennzeichnet bzw. doku-mentiert sein sollte.

Jeder Unternehmenswert hat einen bestimmten monetären Wert. Da die-ser in den allermeisten Fällen nicht auf den Euro bekannt ist, kann einevereinfachte Einteilung Sinn machen. So könnte eine Einschätzung desWerts zwischen 1 Euro und 5.000 Euro als »niedrig« angelegt werden undso weiter. Diese Thematik wird im Zusammenhang mit der Klassifi-zierungsrichtlinie vertieft. Es ist wichtig, dass man immer im Hinterkopfbehält, dass der Aufwand, den man zum Schutz eines Unternehmens-wertes aufbringen sollte, vom jeweiligen (z.B. monetären) Wert bzw. derEinstufung zwischen »niedrig« und »sehr hoch« abhängt.

Wie mit einem Unternehmenswert umgegangen werden soll, wird in denentsprechenden Richtlinien festgelegt.

Im Rahmen der IT-Sicherheit ist nicht nur der jeweilige Wert als Teil desAsset-Managements als solcher wichtig, sondern auch eine Reihe seiner Attri-bute. So hat der Wert »Server A« Attribute wie eine Netzwerkadresse undeinen Standort. Genauso aber auch Eigenschaften wie einen Patchstand odereine Version des darauf installierten Virenscanners. Gerade diese Eigenschaf-ten sind für die IT-Sicherheit wichtig und stellen einen wichtigen Eckpfeilerder Aufgabe, Transparenz zu schaffen, dar.

1.2.7 Schutzbedarf, Schutzziele, Schutzstufen und die Klassifizierung

In der IT-Sicherheit dreht sich alles darum, Unternehmenswerte zu schützen.Gegen was genau und in welchem Ausmaß etwas zu schützen ist, beschreibtder Schutzbedarf. Im Zuge der Schutzbedarfsfeststellung wird dabei der Graddes erforderlichen Schutzes definiert. So kann dabei z.B. herauskommen,dass der Unternehmenswert »CAD-Zeichnung Prototyp« sehr stark gegendas Einsehen durch nicht autorisierte Personen geschützt werden muss. DerSchutzbedarf hinsichtlich dieses Schutzziels wäre daraus abgeleitet z.B.»sehr hoch«.



36

1Die Schutzziele beschreiben diejenigen Ziele, die definieren, hinsichtlich wasein Wert zu schützen ist. Zu den bekanntesten Schutzzielen gehören die fol-genden drei:

Vertraulichkeit (confidentiality): Die Vertraulichkeit des Unternehmens-werts, z.B. einer Information, wird geschützt. Anders ausgedrückt: Infor-mationen werden nur dafür autorisierten Subjekten, wie Personen, Pro-zessen oder Applikationen, zugänglich gemacht.

Integrität (integrity): Unternehmenswerte, wie Informationen, werden vornicht autorisierten Änderungen geschützt. Das spielt z.B. dann eine großeRolle, wenn diese Informationen in einer Datenbank abgelegt sind und esausdrücklich gewünscht ist, dass nur befugte Personen oder Prozesse Än-derungen an diesen Daten, wie z.B. dem Monatsgehalt der Mitarbeiter,vornehmen können.

Verfügbarkeit (availability): Unternehmenswerte, wie Server oder auchDaten, stehen dafür autorisierten Benutzern oder auch IT-Systemen zurVerfügung. Dabei handelt es sich um ein eher technisches Schutzziel, dasim Gegenzug leichter überprüfbar und definierbar ist, wie z.B. in ServiceLevel Agreements (SLAs).

Die genannten drei Schutzziele sind die sogenannten »klassischen Schutz-ziele«. Im Englischen hat sich die Abkürzung »CIA« eingebürgert, ein Be-griff, der sich aus den ersten Buchstaben der Worte confidentiality, integrityund availability zusammensetzt. Neben diesen Schutzzielen ist eine beliebigeAnzahl weiterer Schutzziele denkbar, an denen ein Unternehmen die Strate-gie zum Schutz der Unternehmenswerte ausrichten kann.

Es ist nicht ganz leicht, den Schutzbedarf mathematisch exakt zu definieren.Aus diesem Grund bedient man sich häufig einer gewissen Unschärferegelungund unterteilt den Schutzbedarf in gröbere Schutzstufen. So würde es sichanbieten, den oben genannten Unternehmenswert »CAD-Zeichnung Proto-typ« in eine von, sagen wir, drei Stufen einzuordnen. Diese Stufen könnten von»Niedrig« über »Mittel« bis »Hoch« reichen. Jede dieser Stufen muss dabei hin-reichend definiert werden, um dem Dateneigentümer und allen, die eine solcheEinschätzung vornehmen müssen, die Möglichkeit zu bieten, dieses Systemanzuwenden. So könnte die mittlere Schutzstufe so definiert sein: Bei Verlustder Vertraulichkeit würde ein größerer Schaden, maximal 100.000 Euro auftre-


WICHTIGE BEGRIFFE

37

1ten. Damit verbindet man die Schutzstufe mit einer Schadensumme zur besse-ren Handhabung. Im Abschnitt, der sich um die Erstellung der Klassifizie-rungsrichtlinie dreht, wird dieser Vorgang noch detaillierter erläutert.

In der Klassifizierungsrichtlinie finden die Schutzbedarfe, die Schutzstufenund deren Beschreibung wieder zusammen. Sie definiert, wie ein Unterneh-menswert zu klassifizieren ist, und stellt damit eine wichtige Grundlage fürdas Risikomanagement dar, denn ein hoher Schutzbedarf ist einem großenmonetären Verlust bei Eintritt des Risikos gleichzusetzen und daraus folgteine hohe Risikoeinstufung.

1.2.8 Risiko, Risikoberechnung, Risikobehandlung und Maßnahmen

Mit der Berechnung des Risikos für eine mögliche Verletzung eines Schutz-ziels visualisiert man die Höhe einer Gefährdung und macht sie dadurch ersthandhabbar. Anders ausgedrückt: Der Eintritt eines Risikos verhindert dieErreichung eines Schutzziels und mithilfe der Risikoberechnung wird dasRisiko des Eintretens quantifiziert. So kann man z.B. berechnen, wie hochdas Risiko ist, dass das Schutzziel Vertraulichkeit bezüglich einer CAD-Zeich-nung nicht erreicht wird. Für diese Berechnung benötigt man die Werte vondrei Variablen, wobei ich hier von einer recht einfachen von vielen möglichenArten der Risikoberechnung ausgehe.

Die erforderlichen Variablen sind:

Eintrittswahrscheinlichkeit: Mit welcher Wahrscheinlichkeit wird das Ri-siko tatsächlich eintreten?

Möglicher Verlust: Welcher monetäre Verlust würde eintreten, falls dasRisiko eintritt?

Maßnahmen, die das Risiko mindern und die bereits umgesetzt wurden.

Die Berechnung lautet nun:

Risiko = (Eintrittswahrscheinlichkeit x Möglicher Verlust) – MinderndeMaßnahmen

Ist es bereits im letzten Jahr zweimal vorgekommen, dass CAD-Zeichnungengestohlen wurden, und lag der Schaden jeweils bei 10.000 €, dann wäre das



38

1Risiko, vorausgesetzt es macht Sinn, diese Daten fortzuschreiben, und ohneden Einbezug von mindernden Maßnahmen:

2 x 10.000 € = 20.000 €

Wurde in der Zwischenzeit aber als Maßnahme ein Sicherheitssystem einge-führt, das zu 50% einen solchen Diebstahl verhindern soll, dann würde sichdas Risiko auf 10.000 € halbieren.

Das offensichtliche Problem bei solchen Berechnungen liegt in den vielenAnnahmen, die zu treffen sind und die jeweils Schätzungen darstellen, diewiederum auf Erfahrungen aus der Vergangenheit beruhen. Dennoch ist esunabdingbar, in der IT-Sicherheit in Kategorien von Risiken und Maßnahmenzu denken.

Ist ein Risiko berechnet oder auch nur bekannt, dass es existiert und einegewisse Schwere hat, dann existieren grundsätzlich vier verschiedene Mög-lichkeiten, damit umzugehen. Den Vorgang dazu nennt man die »Risikobe-handlung«. Die Festlegung, wie mit Risiken umzugehen ist, ist eine typischeManagementaufgabe.

Die vier gängigen Arten, mit einem bekannten Risiko umzugehen, sind:

Das Risiko kann eliminiert werden. Ein riskanter Prozess wird ersetzt oderein Betriebssystem, das nicht mehr mit Sicherheitsupdates versorgt wer-den kann, wird ersetzt.

Das Risiko wird akzeptiert und damit getragen. Ein Risiko ist immer auchgleichzeitig eine Chance. So kann es unter Umständen unter dem Strichviel Geld sparen, ein Risiko zu akzeptieren und es hinzunehmen, statt esmit hohem Geldaufwand zu reduzieren oder zu eliminieren.

Ein Risiko kann aus dem eigenen Verantwortungsbereich heraus verlagertwerden. Dazu können z.B. entsprechende Versicherungen abgeschlossenwerden, mit denen man sich z.B. gegen Angriffe von Hackern durch soge-nannte »Cyber-Crime-Versicherungen« versichern kann.

In den häufigsten Fällen wird man ein aufgedecktes Risiko reduzierenwollen. Durch eine oder mehrere entsprechende Maßnahmen wird dieEintrittswahrscheinlichkeit vermindert oder es werden entsprechendeMaßnahmen umgesetzt, um den möglichen Schaden im Falle des Eintrittsdes Risikos zu reduzieren.


WICHTIGE BEGRIFFE

39

1Maßnahmen werden in den verschiedenen Standards nach Kategorien geglie-dert, um sie besser handhaben zu können. So werden die Maßnahmen ausAnhang A der ISO 27001 nach Maßnahmenzielen gegliedert und ihnen zuge-ordnet. Deren Sortierung erfolgt wiederum auf Ebene von Funktionsberei-chen oder Themen. So gibt es Maßnahmen z.B. aus dem Bereich der Perso-nalabteilung, der physischen Umgebung, der Zugangs- und Zugriffskontrolleoder auch der allgemeinen Sicherstellung des Geschäftsbetriebs.

Ein anderer Ansatz ist die Gliederung von Maßnahmen nach rein techni-schen Gesichtspunkten. Dies wird immer dann Sinn machen, wenn Maßnah-men tatsächlich in erster Linie dazu dienen, Gefahren für die Unternehmens-werte aufzuspüren, z.B. im Rahmen von Penetrationstests, und technisch zulösen. In solchen Fällen lassen sich Maßnahmen z.B. Themenbereichen wieder Authentifizierung, Autorisierung, der Netzwerktrennung, der Verschlüs-selung oder der Absicherung von Gerätschaften zuordnen. Im täglichenBetrieb der IT-Sicherheit ist dann zu beobachten, dass beide Ansätze, indivi-duell von Unternehmen zu Unternehmen auf unterschiedliche Weise, mitei-nander verschmelzen.

1.2.9 Angriffspfad, Schwachstellen und Bedrohungen

Grundsätzlich gilt, dass ein System nur dann einer Bedrohung ausgesetzt ist,wenn es eine Schwachstelle hat und eine Möglichkeit existiert, diese auszu-nutzen. Schadcode, der dazu geeignet ist, eine vorhandene Schwachstelle füreinen Angriff zu nutzen, nennt sich »Exploit«. So kann selbst ein Sicherheits-loch in einer Betriebssystemsoftware akzeptiert werden, falls es kein denk-bares Mittel gibt (exploit), diese Schwachstelle auszunutzen. Dies kann z.B.dann der Fall sein, wenn sich das entsprechende System in einem Rechenzen-trum befindet und nicht mit dem Netzwerk verbunden ist. Ein Angreifermüsste also zunächst in das Rechenzentrum eindringen, um das Systemanzugreifen. Der Angriffspfad ist damit, falls man annimmt, der Angreiferkann nur von außen kommen, und das Rechenzentrum entsprechendgeschützt wurde, an dieser Stelle nicht durchgängig vorhanden.

1.2.10 Richtlinien

Ein zentrales Thema des IT-Sicherheitsprojekts ist die Erstellung von Richt-linien. Wichtig ist dabei, dass die Erstellung einer Richtlinie implizit auchderen Umsetzung bzw. Durchsetzung beinhaltet. Wenn also eine Richtlinie



40

1erstellt wird, dann geht man davon aus, dass die Vorgaben, die darin formu-liert werden, auch tatsächlich umgesetzt werden. Eine Richtlinie als Doku-ment muss deshalb alle Informationen beinhalten, die erforderlich sind, umdie darin enthaltenen Vorgaben auch umsetzen zu können.

Der Begriff »Richtlinie« wird der Einfachheit halber mit den Ausdrücken»Vorgabe«, »Regelung« oder aus dem Englischen »Policy« gleichgesetzt. Allediese Begriffe haben gemeinsam, dass damit ein Dokument beschriebenwird, das verbindliche (mandatory) Vorgaben über ein bestimmtes Themamacht. Wie eine Richtlinie ausgestaltet werden kann und welche Komponen-ten sie beinhalten sollte, wird in Abschnitt 4.1.4 detailliert beschrieben.

Eine Unterscheidung zwischen Richtlinie und Verordnung, wie sie z.B. imeuropäischen Recht üblich ist, wird im Bereich der Informationstechnik (IT)üblicherweise nicht gemacht. Wie man daran gut erkennen kann, ist letztend-lich vor allem wichtig, sich auf eine unternehmensweite, einheitliche Sprach-regelung zu verständigen.

1.2.11 IT-Sicherheitskonzept

Das IT-Sicherheitskonzept ist die Beschreibung der Gesamtheit aller Maßnah-men im Bereich der IT-Sicherheit und deren Zielvorgaben. Damit ist es mehrals nur die Summe aller operativen Vorgänge in der IT-Sicherheit. Das IT-Sicherheitsprojekt versucht, die regulativen Bestandteile eines IT-Sicherheits-konzepts zu beschreiben und deren operative Umsetzung zu begleiten. DasIT-Sicherheitskonzept ist also mehr als nur ein Dokument oder ein Prozess.

Im Rahmen des Projekts werden einige grundlegende Komponenten desKonzepts bearbeitet. Dies reicht vom

Projektauftrag, inklusive dem Geltungsbereich,

über die IT-Sicherheitsorganisation,

die Schutzbedarfsanalyse im Rahmen der Business-Impact-Analyse,

die Richtlinien, der Überprüfung derselben,

vom Audit abgeleitete Maßnahmen,

das IT-Risikomanagement

bis hin zu den IT-Sicherheitsprozessen.


DAS HAMSTERRAD

41

1Alle diese Komponenten und noch mehr sind Teil eines umfassenden IT-Sicherheitskonzepts.

Die IT-Sicherheit hat eine klare Aufgabe im Unternehmen. Diese Aufgabe lei-tet sich wiederum von den Zielen des Unternehmens und den Zielen der ITab. Aus diesem Grund können sich die Ziele der IT-Sicherheit von Unterneh-men zu Unternehmen erheblich voneinander unterscheiden. So wird einUnternehmen aus dem Einzelhandel andere Schwerpunkte in der IT und inder IT-Sicherheit legen als ein Unternehmen, das Produkte herstellt. Kurz:Die Ziele der IT-Sicherheit und damit das IT-Sicherheitskonzept ist stark mitdem Geschäftszweck und damit der Unternehmensstrategie verbunden.

1.3 Das Hamsterrad

Sisyphos, ein Held der griechischen Mythologie, wird gezwungen, einen Fels-block einen Hang hinaufzurollen. Ganz knapp, bevor er es hinbekommt, ent-gleitet ihm der Stein aber und rollt den Hang wieder hinab. Also beginnt seineArbeit von Neuem. Er eilt den Hang hinab, nimmt den Stein erneut auf undrollt ihn wieder nach oben – bis er ihm wieder entgleitet. Da er dies nun schonseit sehr langer Zeit tut, ist kaum zu erwarten, dass der Stein einmal oben zuliegen kommt.

Was hat nun die IT-Sicherheit mit Sisyphos zu tun? Die Gemeinsamkeitensind vielfältiger, als man zunächst annimmt. Das wird deutlich, wenn man esein wenig abgewandelt ausdrückt: Der Prozess, dem Sisyphos folgt, schreibtihm vor, den Stein nach oben zu rollen. Ihn oben zu platzieren, käme einem100%igen Erfolg gleich, den er aber nie erreichen wird, genauso wie es nie-mals 100%ige IT-Sicherheit geben kann.

Mit etwas Weitsicht wird er aus dem Vorgang des Hinaufrollens und der Ana-lyse des Scheiterns Folgerungen ziehen, die dem nächsten Versuch zugute-kommen. Mit anderen Worten, er folgt einem kontinuierlichen Verbesse-rungsprozess mit dem Ziel, einem perfekten Ergebnis möglichst nahe zukommen. Da Sisyphos es schon sehr lange probiert, und das ohne Unterlass,ist davon auszugehen, dass sein Ergebnis schon heute sehr gut ausfällt. Dasser alles den existierenden Regeln und Vorgaben entsprechend tut und alleRahmenbedingungen einhält, davon gehe ich, trotz der mageren Kenntnis-lage, einfach mal aus.



42

1IT-Sicherheit ist per definitionem ein Zustand, den es anzustreben gilt. Errei-chen wird man ihn niemals in Perfektion. Diesen Zusammenhang zu verste-hen ist wesentlich, um den Erfolg oder Misserfolg eines Projekts im Nachhi-nein messen zu können. Denn es gilt, dass es nicht nur wichtig ist, IT-Sicherheit einzuführen, sondern noch viel wichtiger ist es, dies aus den rich-tigen Gründen mit den richtigen Erwartungen zu tun. Der Unterschied zwi-schen fast perfekter Sicherheit und perfekter Sicherheit, die es nie gebenwird, kann ein Sicherheitsvorfall sein, der einen großen Schaden anrichtet.Damit geht es letztendlich um Wahrscheinlichkeiten und das Ziel, besser zuwerden, ohne jemals wirklich fertig zu sein.

1.4 Die allzu menschlichen Fallstricke

Wie viele andere Felder im Unternehmen hat die IT-Sicherheit mit einerReihe von, zumeist menschlichen, Unwägbarkeiten zu kämpfen. Diese zukennen ist der erste Schritt, um sie im Rahmen eines IT-Sicherheitsprojekteszu adressieren und, im besten Fall, zum eigenen Vorteil einzusetzen.

Das erste Problem ist eines, das jeder Mensch hat, wenn auch in unterschied-licher Ausprägung. Es geht um die Art und Weise, in der man Entscheidun-gen trifft. Viele Entscheidungen, da ist man sich einig, werden aus dem Bauchheraus getroffen. Damit basieren sie auf der eigenen Erfahrung, der eigenenKompetenz und der Größe des eigenen Selbstbewusstseins. Das muss nichtschlecht sein und, wie es eine Redensart schon sagt, wenn man auf seinenBauch hört, dann liegt man schon sehr häufig richtig. Das mag sogar stim-men, das Problem ist nur, dass jeder Bauch anders tickt und damit auchanders entscheidet. Das ist in vielen Bereichen des täglichen Lebens kein Pro-blem. Wenn es aber um Entscheidungen im Bereich der IT-Sicherheit geht,dann ist dies ein Unding!

Entscheidungen müssen formal korrekt und jederzeit nachvollziehbar sein.Dies kann erreicht werden, wenn Entscheidungen formalen Kriterien, wiez.B. einem vorgelagerten Risikomanagement, unterliegen. Aus diesem Grundliegt der maßgebliche Fokus der wichtigsten Normen genau auf dem Themader Einführung der Bestandteile eines Information-Security-Management-Systems (ISMS). Nur ein solches Regelungsinstrument ist in der Lage, weitge-hend automatisiert formal korrekte Entscheidungen zu erzwingen.


DIE ALLZU MENSCHLICHEN FALLSTRICKE

43

1Die nächste Herausforderung betrifft wieder den eigenen Bauch. Es geht umdie selektive Wahrnehmung, die aufgrund vergangener Erfahrungen geprägtist. Kommt ein IT-Sicherheitsmanager aus dem Bereich der Serveradminist-ration, so liegt es nahe, dass er bei Fragen, die diesen Bereich betreffen, miteiner ganz anderen Verve Entscheidungen trifft als bei Fragen, die aus demBereich Softwareentwicklung kommen – ein Bereich, den er vielleicht nichtim Detail kennt. Die Sicherheit, die er auf ihm bekanntem Terrain verspürt,kann von Vorteil, aber auch von Nachteil sein. Der Nachteil kommt immerdann zum Tragen, wenn er Fehlentscheidungen trifft, einfach aus Erfahrun-gen heraus, die zwar objektiv gesehen falsch sind, ihm aber aufgrund des täg-lichen Umgangs vertraut und sicher erscheinen.

Apropos tägliche Erfahrungen: An dieser Stelle setzt ein weiterer Automatis-mus ein. Nennen wir ihn den »das hat auch schon in der Vergangenheitimmer gut funktioniert«-Mechanismus. Den als vertraut empfundenen Sta-tus quo zu überhöhen und Neuem als übertrieben positiv entgegenzustellen,ist menschlich. Bewährtes zu ändern, anzupassen oder zu ersetzen, fälltschwerer, als etwas vollkommen Neues einzuführen. Da wird dann gerne dasBewährte bewahrt. Dieser Zustand wird weiter verschärft, wenn einebestimmte Vorgehensweise bereits als erfolgreich und komplett umgesetztnach oben kommuniziert wurde. In diesem Fall wird man nicht nur dendirekt Verantwortlichen überzeugen müssen, sondern zudem Personen ausden Hierarchien darüber. Diesem Mechanismus muss mit Werkzeugen ent-gegengetreten werden, die Bewertungen, z.B. in Form von Entscheidungsma-trizen, auf einen möglichst objektiven Entscheidungspfad setzen.

Unzählige IT-Sicherheitsprojekte sind aus den falschen Gründen gescheitert:den Kosten. Das liegt zum einen darin begründet, dass Kosten generellschwer einzuschätzen sind, und zum anderen darin, dass dies in noch größe-rem Maße für Kosten im IT-Sicherheitsumfeld gilt. So werden Aufwände häu-fig nur punktuell betrachtet, ohne die Kosten für anhängige Systeme ausrei-chend genau zu hinterfragen. Die Einführung eines neuen Internetzugangsfür eine neue Fabrik zieht, das wissen die Verantwortlichen, die Installationund den Betrieb einer Firewall nach sich. Dazu kommt dann noch ein Inter-netproxy, um den Benutzern den Zugang zum Internet zu erleichtern und umzusätzliche Sicherheit zu schaffen. Auf dem Proxy wird selbstverständlichauch eine Antivirensoftware benötigt mit laufenden Kosten für die Virensig-naturen. Das Netzwerk zwischen dem internen Core-Router und dem Inter-net muss dazu noch von einem Intrusion Detection System (IDS) überwacht



44

1werden. Das macht es nicht alleine und damit wird entsprechendes Personalbenötigt. Die Meldungen, die dieses System macht, müssen bewertet und imFalle eines Ereignisses an wiederum weitere Personen geschickt werden, dieentscheiden, ob eine Maßnahme, wie das Abschalten des Zugangs, erforder-lich ist. In diesem Fall müssen Maßnahmen für eine Backup-Leitung zumInternet getroffen werden. Und so weiter und so fort. Sehr häufig zieht eineSicherheitsmaßnahme einen Rattenschwanz an weiteren Maßnahmen nachsich. Es ist gefährlich, diesen Prozess nicht vollständig zu durchdenken oderan einer beliebigen Stelle abzubrechen und als »nicht projektrelevant« zumarkieren. Im weiteren Verlauf, eventuell erst nach Monaten, werden die Fol-gekosten sichtbar werden und die dann unweigerlich folgenden negativenErfahrungen werden sich dann wiederum auf Entscheidungen hinsichtlichspäterer Projekte auswirken.

Eng mit Kosten ist auch das eingesetzte Verfahren zum Risikomanagementverbunden. Hier geht es darum, Risiken einzuschätzen und die korrektenMaßnahmen zu treffen, um identifizierte Risiken zu reduzieren. DieserAnsatz funktioniert häufig nicht flächendeckend. Menschen tendieren dazu,diejenigen Risiken, die sie als beherrschbar einstufen, vorrangig zu betrach-ten. Das führt dann zu Situationen, in denen Unternehmen viel Geld und Zeitin das Management des WLAN-Zugangs stecken, während der Zugang zumInternet wenig Beachtung findet. Das gleiche Phänomen ist zu beobachten,wenn es um das Einspielen von Sicherheits-Updates geht. Man fokussiertsich automatisch auf diejenigen Produkte, bei denen das Update einfach undam besten zudem automatisiert möglich ist. Andere Software-Produkte, dieein Herunterfahren des IT-Systems erfordern oder die einfach komplex sind,werden ausgeblendet. Man verliert den Blick auf die Gesamtsituation undfühlt sich dennoch sicher, man tut ja schließlich auch etwas dafür.

Die nächste hier aufgeführte Herausforderung ist die des fehlgeleitetenFokus. Völlige Sicherheit ist nicht erreichbar. Das ist ein Fakt, der jedem ein-leuchten muss. Daraus folgt, dass es darum geht, so viel wie möglich an IT-Sicherheit zu erreichen. Und dies ist nicht durch, häufig kostenintensive,gezielte Maßnahmen möglich, sondern nur durch die Erhöhung des Gesamt-sicherheitsniveaus. Anders ausgedrückt: Wenn ein CEO von einem Beraterbzw. Verkäufer davon überzeugt wird, für sein Rechenzentrum eine Perso-nenvereinzelungsanlage zu beschaffen, die bei jedem Zutritt die jeweiligePerson und ihr Gepäck wiegt, um es mit dem Gewicht beim Verlassen zu ver-gleichen, dann ist dies unleugbar ein Schritt hin zu mehr Sicherheit. Ob es


MOTIVATION, DIE IT-SICHERHEIT ZU ERHÖHEN

45

1aber der richtige Schritt ist, lässt sich nur im Gesamtzusammenhang abschät-zen. Denn vor dem Kauf einer solchen Anlage stehen der Brandschutz, dieunterbrechungsfreie Stromversorgung, geregelte und sichere Prozesse fürBesucher und das Reinigungspersonal, Maßnahmen zur Sicherung der IT-Systeme inklusive des Netzwerks, die Unterbringung der Originaldaten invon den Sicherungsbändern getrennten Brandabschnitten und viele andereMaßnahmen, die zunächst umgesetzt werden können, da sie unter Umstän-den eine höhere Priorität besitzen, im Vordergrund. Ist dies alles bereits vor-handen, dann handelt es sich um eine Erweiterung der Sicherheit. Ist ein ein-zelner der genannten Punkte noch nicht vollständig umgesetzt, dann liegt dieVermutung nahe, dass ein Akt des fehlgeleiteten Aktionismus stattfindet unddamit der Blick auf die näher liegenden Aufgaben verschleiert wird.

Der letzte Punkt betrifft die Art der Entscheidungsfindung aus Teams heraus.Dabei soll keine Überhöhung »diktatorischer Entscheidungen« gegenüberden Entscheidungen, die aus einem Team-Konsens heraus getroffen werden,stattfinden. Dennoch möchte ich zumindest am Rande die Herausforderun-gen erwähnen, denen sich ein Entscheider in der IT-Sicherheit gegenüber-sieht, und der Schwierigkeit, sich auch einmal dem Konsens in größerenRunden zu entziehen, um eine formal korrekte Entscheidung zu treffen. Jedegrößere Entscheidung wird immer unterschiedliche Interessen berühren,und wenn diese Entscheidungen in Teamsitzungen getroffen werden, dannist es nicht leicht, sich gegen den Strom zu stemmen. Manchmal ist dies abererforderlich und das sollte sowohl dem Vorgesetzten als auch dem IT-Sicher-heitsmanager selbst immer bewusst sein.

1.5 Motivation, die IT-Sicherheit zu erhöhen

1.5.1 Externe Vorgaben

Sehr häufig ist es ein äußerer Zwang, der Unternehmen dazu bewegt, sichverstärkt für die Aufgabenstellungen der IT-Sicherheit zu engagieren. Dabeiist es zweitrangig, ob es sich um immer neue Enthüllungen, die in der Tages-schau über den Schirm flimmern, handelt, die aufzeigen, wie gefährlich esheutzutage ist, Daten auszutauschen oder überhaupt zu kommunizieren,oder ob es sich um klar definierte Anforderungen der Kunden oder, wie imFalle des Datenschutzgesetzes, des Gesetzgebers handelt. Auch Unterneh-men, die sich bislang aus Kostengründen gescheut haben, das Thema IT-



46

1Sicherheit intensiv und ganzheitlich zu betrachten, beginnen immer mehr, esauch formal in Form von Regelungen und einer eigenen Organisationsein-heit zu etablieren. Das kann in sehr kleinem Rahmen beginnen, um dannüber die Zeit ausgedehnt zu werden.

Am Beginn werden dementsprechend die klassischen Themen, die auch imprivaten Umfeld relevant sind, angegangen. Dazu zählen die üblichen Vor-kehrungen, wie Virenscanner zu installieren, Firewalls oder ein Patchma-nagement einzurichten. Geht es aber in Richtung eines ISMS und damiteiner Vernetzung dieser einzelnen Puzzlestücke, dann ist Planung und einkonzertiertes Vorgehen nicht nur sinnvoll, sondern notwendig. Wegweisendfür die jeweilige Vorgehensweise sind dann wiederum die Ziele, die man sichsteckt, und diese, und hier schließt sich der Kreis, werden maßgeblich durchexterne Vorgaben definiert.

Es existiert kein Gesetz, das die Etablierung einer Organisationseinheit»Datensicherheit« im Unternehmen fordert. Bezüglich des Datenschutzesverhält es sich anders. Hier ist ein Datenschutzbeauftragter einzusetzen undmit definierten Vollmachten auszustatten. Warum werden diese beiden sostark voneinander abhängigen Themen so unterschiedlich behandelt? DerGrund liegt unter anderem darin begründet, dass der Datenschutz vorrangigdie Belange der Arbeitnehmer schützt und die Datensicherheit die des Unter-nehmers. Der Gesetzgeber stärkt mit dem Datenschutzbeauftragten dieRechte der Arbeitnehmer und die Durchsetzung der Regelungen des Bundes-datenschutzgesetzes.

Bei einem Unternehmer geht man davon aus, dass Vorschriften zum ord-nungsgemäßen Betreiben eines Unternehmens, wie z.B. im GmbH-Gesetzgefordert, ausreichend sein müssten, dass der Unternehmer seine Aufgabewahrnimmt und durch Maßnahmen auch umsetzt. Schließlich ist der Unter-nehmer nicht nur verantwortlich dafür, sondern im höchsten Maße auchdaran interessiert, dass der Geschäftsbetrieb durch den Diebstahl, die verbre-cherische Veränderung oder die Nicht-Verfügbarkeit seines Know-hows,sprich von seinen Daten und denen der Kunden und Lieferanten, nichtgefährdet wird. Aus dieser Gemengelage heraus ist auch zu verstehen, warumes die ureigenste Aufgabe und auch das Bedürfnis der Unternehmensleitungsein muss, die Aufgabe der Datensicherheit durch ein geeignetes IT-Sicher-heitsmanagement wahrzunehmen. Dass dies nicht immer der Realität ent-spricht, ist Fakt und die Ursachen dafür sind mannigfaltig.



47

11.5.2 Verpflichtung zur Datensicherheit

Unternehmerische Entscheidungen beruhen auf dem ständigen Abwägenverschiedener Faktoren. Die Grundlage wird dabei in den meisten Fällen dieAbwägung zwischen Kosten und einem Risiko bzw. einer Chance bilden. Esgibt keine Grundregel und kein Gesetz, das einem Unternehmer vorschreibt,wie er mit einem Risiko umgehen muss. Aber abwägen, das zumindest musser tun, um die erforderliche unternehmerische Sorgfalt walten zu lassen. Umwiederum abwägen zu können, benötigt der Entscheider Informationen.Dazu gehören Faktoren wie die genauen Kosten, die eine Maßnahme erzeu-gen würde, aber genauso auch eine möglichst genaue Einschätzung, was pas-sieren würde, wenn er Aufgaben, wie den Schutz des Unternehmens-Know-hows, nicht in ausreichendem Maße wahrnehmen würde. An diesem Punktzögern viele Unternehmer und berufen sich auf nicht erhältliche, kaufmän-nisch belastbare Daten, wie z.B. die Kosten für den möglichen Eintritt einesSicherheitsereignisses. Eine weitere Reaktion, die zu beobachten ist, ist dieschlichte Ausblendung des Risikos, da andere, handfeste Probleme zu jedemZeitpunkt priorisiert im Fokus stehen. Auch wenn diese Reaktionen auf denersten Blick nachvollziehbar erscheinen, so sind sie dennoch falsch oderzumindest gefährlich.

Hinweis

In einem Gespräch mit einem IT-Leiter eines Klinikums hat es sich sodargestellt, dass in Folge langjähriger Tradition eine ganze Reihe von Pro-zessen mit dem Umgang von Patientendaten auf Papier befasst ist. Vonder Verwaltung der Ordner über die Ausgabe und die Eingabe sind alleProzessschritte genau definiert und bei der Belegschaft in Fleisch undBlut übergegangen. Dies hat sich auch einige Monate nach der parallelenEinführung einer IT-gestützten Patientenverwaltung nicht geändert. DieDaten auf Papier werden sorgfältig verwahrt und sind strengen Zugriffs-regeln unterworfen. Auf die Daten in der Datenbank können dagegenneben dem Standard-Systemuser, dessen Passwort im Übrigen nie geän-dert wurde, nahezu alle Mitarbeiter zugreifen.

Die gleichen Daten, in zwei verschiedenen Systemen, die aus dem Blick-winkel der Datensicherheit völlig unterschiedlich betrachtet werden. Werglaubt, dass dies ein Einzelfall ist, der irrt.



48

1Der Grund dafür liegt eigentlich auf der Hand: In jeder modernen Firma ist einDatensicherheitsproblem denkbar, das den Fortbestand der Firma gefährdenkann. Der Verlust aller Finanzdaten im äußersten Fall ist ein markantes Bei-spiel. Wenn es also grundsätzlich in jeder Firma wichtig ist, bestimmte Datenvor Verlust oder Manipulation zu schützen, dann ist auch ein bestimmtes Maßan Aufwand im Bereich Datensicherheit zwingend erforderlich. Dies sagt abernatürlich nichts über den Umfang eines solchen Projekts aus. Und damit giltwieder die Regel, dass man als Unternehmer genau den notwendigen Teilumsetzt, der nach einer Abwägung von Kosten und Risiken sinnvoll ist.

An diesem Punkt setzt das vorliegende Projekt auf. Das Ziel ist es nicht, alleszu tun, was möglich ist. Das Ziel ist auch nicht, das zu tun, was Berater alsnotwendig erachten. Der Weg, den das Projekt geht, sieht eher so aus, dass esan Ihr Unternehmen angepasst diejenigen Maßnahmen umsetzen soll, dieSie zu Beginn des Projekts als erforderlich definiert haben. Das dabei verwen-dete Modell fängt grundsätzlich bei den wichtigsten Daten und IT-Systemenan, setzt eine grundlegende Basissicherheit um und arbeitet sich dann voninnen nach außen hin zu immer mehr Sicherheit. Es ist Ihr Risiko und damitauch Ihre Entscheidung, wie weit Sie jeweils gehen wollen. Das Projekt liefertdazu die Methodik und eine Beschreibung der wichtigsten Maßnahmen.

Unabhängig davon, wie die einzelnen Maßnahmen zu einem Mehr an Daten-sicherheit aussehen sollen. Unabhängig davon, wie stark sich das Unterneh-men engagieren und finanziell einbringen möchte, und auch unabhängigdavon, ob es eine dedizierte Organisationseinheit geben soll, die sich des The-mas annimmt, ist es unbedingt erforderlich, dass sich die Unternehmenslei-tung über die folgenden Fakten klar wird:

Der Schutz der eigenen Daten, der Daten der Mitarbeiter, der Daten derKunden und der Daten von Lieferanten und aller mit dem Unternehmenverbundenen Unternehmen und Personen ist wichtig.

Die Unternehmensleitung ist für den Schutz dieser Daten verantwortlich.

Der Schutz dieser Daten geschieht einzig und allein zum Nutzen des Un-ternehmens.

Eines der Ergebnisse aus vielen Projekten und Studien zu diesem Thema ist,und dabei handelt es sich um einen der wirklich grundlegenden Punkte, dassnur ein konsequenter Top-down-Ansatz im Bereich der Datensicherheit wirk-lich Erfolg verspricht.



49

11.5.3 Haftung auf verschiedenen Ebenen

Haftung beginnt, wie so vieles, zunächst mit einer Regelung. Das Unterneh-men, der Gesetzgeber oder eine andere Instanz stellt eine Regel auf, überprüftderen Durchführung und belegt denjenigen, der dagegen verstößt, mit einerStrafe. Genau diese Konstellation wird mit dem wolkigen Begriff »Compli-ance« beschrieben. Dabei kann es sich z.B. um einen Kunden handeln, derdie Regel aufstellt, dass seine Daten, die er Ihrem Unternehmen zur Verfü-gung stellt, nicht weitergegeben werden dürfen. Vor allem nicht an die Kon-kurrenz, aber auch an sonst niemanden. Diese Regel packt er in einen Vertragund definiert dort auch gleich, was im Falle eines Verstoßes passiert. Daskann eine Kündigung des Geschäftsverhältnisses sein oder aber eine Strafe,die zu bezahlen wäre. Dieser Vertrag wird vonseiten des Unternehmens voneiner Person unterschrieben, die in den meisten Fällen mit dem Zusatz »perprocura« unterschreibt. Diese Person handelt also im Namen des Unterneh-mens. Passiert nun etwas mit diesen Daten, sagen wir ein IT-Administratorverschickt sie versehentlich per E-Mail an einen Bekannten, der zufällig fürdie Konkurrenz des Kunden arbeitet, so wird sich der Kunde an das Unter-nehmen wenden und die Strafe vollstrecken wollen.

Während einer Einigung, ob gütlich oder durch Richterspruch, stehen sichzunächst einmal zwei Unternehmen gegenüber. In einer zweiten Runde wirdes aber auch intern darum gehen, wer die Schuld trägt und in einem weiter-führenden Prozess haften könnte. Genau an dieser Stelle geraten nun irgend-wann auch der IT-Leiter und, in letzter Konsequenz, der IT-Administrator inden Fokus. Im Gegensatz zu Arbeitnehmern aus IT-fremden Arbeitsgebietenkönnen sich diese beiden Personen nicht herausreden und sagen, dass sienicht wussten, was sie taten. Und somit ist es tatsächlich möglich, dass beideoder einer von beiden tatsächlich in irgendeiner Form für den Schaden haftenmuss. Wie diese Haftung von der Höhe her aussieht, hängt dann wiederumdavon ab, ob Vorsatz oder Fahrlässigkeit im Spiel war, und von anderen Punk-ten wie zum Beispiel, ob es geeignete Regelungen gibt, an die sich der IT-Administrator hätte halten müssen.

Es ist nicht möglich, einen solchen Vorgang grundsätzlich vollständig zu ver-hindern. Es ist aber sehr wohl möglich, die Wahrscheinlichkeit für sein Ein-treten zu verringern. Dies fängt bei den generellen Zugriffregeln an undendet bei der Möglichkeit, sie unverschlüsselt an Dritte per Mail zu versen-den. An den verschiedensten Punkten kann man ansetzen, um durch geeig-



50

1nete Maßnahmen das Risiko möglichst gering zu halten, dass ein solcher, ver-sehentlicher, Verstoß geschieht. Die Maßnahmen, die im Laufe des Projektsumgesetzt werden, dienen damit nicht nur dazu, die Datensicherheit zu erhö-hen, sondern auch dazu, Sicherheit für Arbeitnehmer zu schaffen, indemklare Regeln und klare Prozesse definiert werden, die den Freiraum für Fehlerso weit wie möglich eingrenzen.

Unternehmen, die Güter herstellen und verkaufen, häufen Wissen in Formvon Daten an und sind auf das gesammelte Know-how angewiesen. Unter-nehmen, die Daten Dritter verarbeiten, wie z.B. Hostingunternehmen oderWebmailer, arbeiten direkt mit Daten, die ihnen nicht gehören, für die sieaber die Verantwortung tragen. In beiden Fällen spielt die IT und jeder ein-zelne Arbeitnehmer eine maßgebliche Rolle und ist verpflichtet, sorgfältigmit den ihnen anvertrauten Informationen umzugehen. Selbst wenn dieseInformationen ausschließlich dem Unternehmen selbst gehören, verpflichtetdas GmbH-Gesetz zum ordnungsgemäßen Umgang, da ein Verlust einunternehmerisches Risiko für das Unternehmen darstellen könnte. DieseVerantwortung überträgt sich von der Unternehmensleitung herunter bis zuden Administratoren und auch auf alle anderen Mitarbeiter, die tagtäglichdirekten Kontakt zu den IT-Systemen haben, auf denen diese kritischenDaten abgelegt und verarbeitet werden.

1.6 Reduzierung des Risikos

1.6.1 Angriffe durch eigene Mitarbeiter

Mitarbeiter und dazu zählt man häufig auch Externe, die im Namen desUnternehmens ihnen aufgetragene Arbeit verrichten, verursachen aus Fahr-lässigkeit oder aufgrund von gezieltem Diebstahl oder Sabotage mehr als70% des gesamten Schadens, der in den Bereich der Datensicherheit fällt.Diese Zahl wird immer wieder genannt, und auch wenn es fraglich ist, dasssie wirklich statistisch untermauert ist, zeigt sie doch einen wichtigen Punktauf. Es wird nämlich schnell ersichtlich, dass Aufwand, der in Maßnahmen,die zum Schutz vor dieser Kategorie an Angreifern gesteckt wird, am effek-tivsten ist. Zu den direkten Maßnahmen, die sich darauf fokussieren, zählenalle Punkte, die sich mit Zugriffsrechten beschäftigen, alle Maßnahmen, diezur Protokollierung von Zugriffen dienen, und Aktionen wie Awareness-Maßnahmen. Auch Unternehmen, die dazu tendieren, ihren Mitarbeitern


REDUZIERUNG DES RISIKOS

51

1und Administratoren grundsätzlich zu vertrauen, sollten darüber nachden-ken, ob ihre Kunden hinsichtlich dieser Sichtweise den gleichen Maßstabanlegen.

Die Abgrenzung von Kundendaten gegeneinander, die Verhinderung von kri-tischen Rollen in Buchungssystemen und das Verbot des Einsatzes von Wech-seldatenträgern sind weitere Beispiele für Maßnahmen im Bereich der Basis-sicherheit und demnach allgemein als erforderlich anerkannt.

1.6.2 Angriffe von außen

Beginnend in den Jahren 2013 und 2014 sind immer neue Fakten über diestaatlichen Spionagetätigkeiten, insbesondere in den USA, an die breiteÖffentlichkeit gelangt. Dabei handelt es sich durchgehend um Punkte, diezwar schon lange vermutet wurden, deren Umfang aber selbst Fachleuteerstaunt. Des Längeren zeigt schon der jährliche Verfassungsschutzberichtauf, dass viele Staaten wirtschaftliche Spionage gezielt verfolgen. Davon aus-zugehen, dass nur Länder wie Russland oder China, beides Staaten, die in die-sen Berichten explizit aufgeführt werden, ganz vorne mit dabei sind, wäreweltfremd. In der Zwischenzeit ist selbst der Bundesnachrichtendienst (BND)in den Verdacht geraten für die amerikanischen Dienste die Kommunikationvon inländischen Wirtschaftsunternehmen abzuhören.

Natürlich werden Daten im großen Stil direkt aus den nationalen und transat-lantischen Kabeln heraus gespeichert und zum Teil auch ausgewertet. Alles,was technisch möglich und wirtschaftlich vertretbar ist, wird auch umgesetzt.Neu ist nur, dass jetzt der Punkt erreicht zu sein scheint, an dem es tatsächlichmöglich ist, beinahe alle Daten über einen längeren Zeitpunkt abzuspeichernund durch Software komplett auswerten zu lassen. Damit fällt das letzte Argu-ment, das bislang immer hieß: »Alles können die auch nicht sehen und sointeressant ist meine Firma auch wieder nicht«. Heute muss man davon aus-gehen, dass alle Daten gesichert werden und man vielleicht erst später, beiBedarf, gezielt darauf zurückgreifen wird.

Es ist davon auszugehen, dass selbst, wenn die Welle der Empörung wiederabflachen wird, die Zeit der Unschuld nun endgültig vorüber ist und diesesThema die breite Öffentlichkeit erreicht hat. Zukünftig werden Verantwortli-che, die jetzt noch den Kopf in den Sand stecken, im Falle eines Falles kaumnoch Argumentationsstoff haben, um sich zu rechtfertigen. Es nicht bessergewusst zu haben, zieht nicht mehr als Ausrede.



52

1Auf der anderen Seite stehen die sogenannten »Hacker«, die eigentlich »Cra-cker« heißen, die mit einiger krimineller Energie versuchen, in Firmennetz-werke einzudringen und, zum Teil im Auftrag, zum Teil aus Eigenantrieb,versuchen, Daten zu entwenden oder aber gezielt Schaden anzurichten.

Der Unterschied zwischen der Kategorie »Hacker« und »staatliche Stelle« istvor allem an einer Sache festzumachen: den technischen Möglichkeiten. Füreinen erfolgreichen Angriff auf ein gut gesichertes Netzwerk von außen ist eserforderlich, über möglichst viele Detailinformationen zu verfügen. Dieserreicht ein Staat durch eine Komplettüberwachung von Telefonen, Netzwerk-kommunikation, Diebstahl von Unterlagen und Gerätschaften bis hin zumEinbruch auf dem Campus. Gegen einen massiven Zugriff auf breiter Frontist es dementsprechend schwer, wirklich wirksame Gegenmaßnahmen zuimplementieren. Aus diesem Grund ist selbst auf dem erweiterten Level keinvollständiger oder auch nur befriedigender Schutz möglich. Das gilt abernicht gegen Angriffe durch weniger gut ausgerüstete Hacker oder gar ambi-tionierte Laien (Script-Kiddies), die nur über wenige dieser Möglichkeiten ver-fügen. Hier ist es durchaus möglich, wirksame Schutzwälle aufzubauen, diedurch diese Art an Angreifern kaum überwunden werden können.


247

Index

Numerisch3SCHRITTE Siehe Projekt

AAbweichung 226, 241

Active Directory Services (ADS) 130, 161, 186, 197, 199

Administrativer Zugriff 197

Administrator-Konto 191

Administrator-PC 204

Akzeptables Sicherheitsniveau 16, 61, 65

Änderungsmanagement 184

Angestrebte Sicherheit 31Angriff

auf Daten 51

von außen 51

von innen 50Angriffspfad 39Antivirus 145, 148, 170, 204

Arbeitsvertrag 191

Asset Siehe WerteAsset-Management 34, 72, 74, 168

Audit 78, 223

Ablauf 229

Auftraggeber 232

Bericht 230, 240

durchführen 225

Fragenkatalog 230, 233

Interview 227

Selbstauskunft 228

technisches 229

Vor-Ort-Audit 228

Audit-FragenkatalogAufbau 233

Klassifizierungsstufen 241

Muster 235

Prioritäten 241

Auditor 166, 226

Audit-Prozess 225

AufgabeAufbau 23

Definition 69

Authentifizierung 187

Mehrfaktoren-Authentifizie-rung 205

Awareness 188

Definition 193

Kampagne 145, 146, 193

Maßnahme 194

BBackup 185

BasisdokumentIT-Sicherheit 83

Basissicherheit 31, 64, 65

Definition 66

Bedrohung 15, 25, 39Benutzerrichtlinien 188

Benutzerverwaltung 186

Benutzerverzeichnis 145, 160


INDEX

248

Berechtigungauf Servern 157

Betriebsrat 180, 183, 189

Betriebsvereinbarung 180

E-Mail 190

Internetnutzung 189

BIA Siehe Business-Impact-AnalyseBildschirmschoner 203

BSI Siehe Bundesamt für Sicherheit in der Informationstechnik

Bundesamt für Sicherheit in der Informationstechnik 19, 30, 57, 65, 102, 181

Business-Impact-Analyse 68, 73, 81, 83, 91, 94, 100

CCapability Maturity Model Integra-

tion 238

CERT 167, 169, 175, 245

Aufgaben 171

Certified Information Security Manager 132

Certified Information Systems Audi-tor 132, 223

Chance 38, 47, 65, 81, 89, 151

Changemanagement Siehe Ände-rungsmanagement

ChecklisteStatus IT-Sicherheitsprozesse 142

Status IT-Sicherheitsrichtlinien 142

CISA Siehe Certified Information Systems Auditor

CISM Siehe Certified Information Security Manager

CISO Siehe Informationssicher-heitsverantwortlicher

COBIT 65, 102, 132Compliance 49, 109

Cracker 52

Cyber-Crime-Versicherung 38, 242

DData Leak Protection 67

Data Owner Siehe DateneigentümerDateiberechtigungen 145, 156

auf Servern 157Dateizugriff

überwachen 182

Dateneigentümer 33, 35, 36, 99, 200

Datenschutz 45, 53, 89, 179, 182

Datenübertragung 213, 215

Demilitarisierte Zone (DMZ) 174, 206

Device Isolation 217

DIN 69901 56Dokument

Änderungsmanagement 184

Asset-Management 168

Aufbau und Struktur von Richt-linien 117

Aufgabenbeschreibung CERT 169

Awareness-Programm 193

Backup und Wiederherstellung 185

Benutzerverwaltung 186

Benutzerverzeichnisse 160

Beschreibung Audit-Prozess 223, 226, 227, 228, 229, 230, 231, 233, 237, 239


INDEX

249

Datenübertragung und Ver-schlüsselung 213

Fragenkatalog 233, 237, 239

Gebäudesicherheit 207

Geltungsbereich Projekt IT-Sicherheit 101

Grundregeln Benutzerverzeich-nisse 160

Härten von Servern 205

IT-Sicherheit 83

IT-Sicherheitsorganisation 163

IT-Systeme und Prozesse, deren Protokolldateien über-wacht werden 179

IT-Systeme und Prozesse, deren Systemprotokolle über-wacht werden 177

Kommunikation von IT-Sicher-heitsthemen 144

Konfiguration Microsoft-Ereig-nisanzeige 180

Kritische Anwendungen 97

Kritische Daten 97

Kritische Geschäftsprozesse 95

Kritische IT-Systeme 97

Management IT-Sicherheitsvor-fälle 169

Matrix Administratoren und ihre Rechte 194

Notfallkonzept 175

Patchmanagement« 151Prozessbeschreibung Erstellung

und Pflege von Richt-linien 115

Rechenzentrum 208

Regeln für Administratoren 191

Regeln für den Umgang mit Daten, Internet und E-Mail 188

Regeln für den Umgang mit Gerätschaften 192

Regeln für den Umgang mit Internet und E-Mail 188

Richtlinie »Virtual Private Net-works (VPN) 215

Rollenkonzept 194

Schnittstellen zu weiteren Pro-zessen 177, 180

Schwachstellenanalyse und Penetrationstests 173

Skript- und Softwareentwicklung 219

Standardisierung von IT-Syste-men und Software 146

Temporäre administrative Zugriffsrechte 197

Trennung von Netzwerken 216

Überwachung von Dateizugrif-fen auf Servern 182

Überwachung von Protokoll-dateien 177, 180

Umgang mit Gerätschaften des Unternehmens 200, 203

Umgang mit Schadsoftware 148

Verbindung zum Internet 155

Wireless LAN (WLAN) 153

Zugang zum internen Netzwerk 217

Zugriffsberechtigungen prüfen 156

Zuweisung von Zugriffsrechten 198


INDEX

250

DokumentationBenutzerverzeichnisse 160

Daten 98

IT-Sicherheitsprozesse 144

IT-Systeme 98

Netzwerk 98

Sicherheitsereignisse 171

Unternehmenswerte 243

Vergabe Zugriffsrechte 199

EE-Mail 188

E-Mail-Nutzungprivat 189

Ereignisanzeige 180

Erweitertes Sicherheitsniveau 64

EventCombMT 182

Evidence Siehe NachweisExperte für technische Informations-

sicherheit 167

Exploit 26, 39

FFinding Siehe AbweichungFirewall 174

Datenübertragung 215

interne 217

Internet 216

Laptop 202

lokale 202, 205

Netzwerk 216

PC 202

Funktionstrennung 195

GGap-Analyse 76

Geltungsbereich 61, 62, 78, 85, 118, 229, 239

Gerätschaft 192

Geschäftsprozessekritische definieren 95

Grundschutz-Katalog 61, 131Guideline 123

HHacker 52Haftung 47, 49

IIdentity-Management 158, 199

Immaterielle Werte 33Industrie 4.0 66

Information Security Policy 81, 83, 84, 91, 116

Information-Security-Management-System 30, 42, 57, 61

Informationssicherheitsverantwort-licher 17, 59, 163, 166

InstallationSoftware 190

Integrität 36Internet 153, 155, 188, 213, 217

Firewall 216

Internetzugangprivat 189

Intrusion Prevention System 219

ISACA 132ISMS Siehe Information-Security-

Management-System


INDEX

251

ISO-Norm 19, 60

27001 29, 30, 32, 39, 57, 65, 77, 84, 234

27001 auf Basis von IT-Grund-schutz 67

27002 29, 33, 53, 84, 102, 131, 234

27005 29

27035 29, 169, 173

Maßnahmen 234

Zertifizierung 65, 67, 134IT-Sicherheit Siehe SicherheitIT-Sicherheitsgesetz 63

IT-Sicherheitsorganisation Siehe Sicherheitsorganisation

KKlassifizierung 35, 72, 111, 119, 162, 174,

176, 209, 241, 245

Rechenzentrum 209

Klassifizierungsrichtlinie 35, 37, 81, 83, 85, 87, 91

Kontinuierliche Verbesserung 41

KRITIS 63

Kritische Geschäftsprozessedefinieren 95

LLaptop 192

Firewall 202

sicher konfigurieren 200

Verschlüsselung 202

Zugriffsrecht 201

Leitlinie zur Informationssicherheit Siehe Information Security Policy

Lenkungsausschuss für Informa-tionssicherheit 166

Logfiles Siehe Protokolldatei

MMaßnahme 27, 37, 54, 67, 79, 114, 121,

124, 131, 171, 218, 239, 241, 242, 245

Awareness 137, 194

Kosten 47

Maßnahmenziel 39Notfallmaßnahme 95

Reduzierung des Risikos 38Zusammenspiel 28

Mehrfaktoren-Authentifizierung 205

MitarbeiterSchulung 118, 214

Mobiltelefon 192

NNachweis 239

Need-to-know-Prinzip 195

Network Access Protection 153, 218

Netzwerk 153, 212, 213, 216

Zugang 217

Notfallhandbuch 176

Notfallkonzept 150Notfallmanagement 98, 175

Notfallübung 176

PPasswort 109, 125

Passwortrichtlinie 190, 191

Patchmanagement 145, 151, 202, 204

Server 205


INDEX

252

PCFirewall 202

sicher konfigurieren 200

Verschlüsselung 202

Zugriffsrecht 201

PDCA-Zyklus 60

Penetrationstest 170, 174, 221, 229, 244

Physische Sicherheit 206

Physische Werte 32Policy Siehe RichtliniePreshared Key (PSK) 216

Projekt 53Ablauf kurzgefasst 127

Aufbau 16, 54Bestandteile 40

Dauer 62

Definition nach DIN 69901 56Methodik 59Regelkreis 60

Sicherheitsniveaus 65

Ziele 48, 61

Protokolldatei 50, 170

auswerten 177, 243

konfigurieren 236

überwachen 105, 124, 136, 177, 178, 236

RRechenzentrum 31, 33, 73, 140, 208, 237

Klassifizierung 209

Schutzbedarf 209

Richtlinie 35, 39, 77, 119, 123, 125, 142

Änderungsprozess 115Aufbau 112, 117Definition 75, 114, 123

Ebenen im Überblick 110

im Kontext 114Inhalt 110Struktur 86, 110Umsetzung 121, 132

RisikoBehandlung 17, 37, 50, 241

Berechnung 26, 37Chance 38, 47, 65, 81, 89, 151

Einschätzung 17, 89, 171

Eintrittswahrscheinlichkeit 37Management 44, 87

Risikoeigentümer 33Risikomanagement 72

Risk Owner Siehe RisikoeigentümerRollenkonzept 157, 161, 187, 194

SSchulung

Mitarbeiter 118, 214

Schutzbedarf 35Rechenzentrum 209

Schutzstufe 35, 88, 119Schutzziel 35, 89, 119Schwachstelle 17, 26, 39

Analyse 173

Scope Siehe GeltungsbereichScript-Kiddies 52

Selektive Wahrnehmung 43

ServerAntivirus 205

Patchmanagement 205

Serversicherheit 205

Service Level Agreement 36, 95

Sicherheitangestrebte 31Basisdokumente 83


INDEX

253

Definition 25, 101

physische 206

Themengebiete 102

Themengebiete auswählen 103

Sicherheitskonzept 40

Sicherheitsniveau 64

akzeptables 61

Sicherheitsorganisation 31, 163

Rollen 166

Unabhängigkeit 164

Sicherheitspolitik Siehe Information Security Policy

Sicherheitsprozess 162

Sicherheitsübersicht Siehe Vul-nerability Landscape

Sicherheitsvorfallmelden 169

SIEM 170

Snowden 67

Social Engineering 208

Software 32Installation 190

Softwareentwicklung 219

Softwareprojekt 221

Standardisierung 145, 146, 151Stichprobe 240

Systemsicherheit 200

TTablet 192

Top-down-Ansatz 48, 57, 64, 84, 113, 166

TransparenzDefinition 71

UUnternehmenswert Siehe Werte

VVDA 234

Verbesserungkontinuierliche 41

Verfügbarkeit 36, 175

Verschlüsselung 213, 216

Laptop 202

PC 202

Vertraulichkeit 36Visibility 27

Voice-over-IP 212

VollständigkeitDefinition 72

VPN-Verbindung 215, 217

Vulnerability Landscape 73

WWerkschutz 207

Werte 32, 34, 35, 72, 120

Wiederanlaufplan 176

Wirksamkeit 125, 223, 224, 233, 235, 239

WLAN 153

Workshop 91

WSUS 151, 202

ZZertifikat 154, 205, 216

Zugriffsrecht 198

Laptop 201

PC 201

Zutrittsschutz 207


it-sicherheit im unternehmen - mitpinhaltsverzeichnis 6 2 das it-sicherheitsprojekt 53 2.1 kurz...

Documents