31. Juli 2008 - Konkretisieren Sie Ihre IT-Sicherheitsziele

IT-Sicherheitsrahmenrichtlinie

Die große Bedeutung der Informationstechnologie für die Abläufe in einer Behörde oder einem Unternehmen macht die Definition von verbindlichen Maßnahmen zum Schutz der IT zwingend notwendig. Dabei sind die von der Leitung ausgegebenen Schutzziele in detaillierte Verfahren umzusetzen, die laufend an die Anforderungs- und Bedrohungslage angepasst werden müssen. Basis für die Umsetzung ist die IT-Sicherheitsrahmenrichtlinie.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Die IT-Infrastruktur gehört zu den wesentlichen Grundlagen zur Erfüllung behördlicher und unternehmerischer Aufgaben. Ein Ausfall der IT-Systeme oder ein Missbrauch der Anwendungen und Daten durch unbefugte Dritte muss mit allen verfügbaren und vertretbaren Mitteln verhindert werden.

Die IT-Sicherheit ist auch eine Frage der Organisation

Dazu genügt nicht die reine Anschaffung und Installation von Sicherheitshardware und -software. Vielmehr muss die IT-Sicherheit integraler Bestandteil der Organisation auf Seiten der Leitung, der IT-Anwender und der IT-Administratoren sein.

IT-Sicherheitsordnung und IT-Sicherheitsrahmenrichtlinie

Ein entsprechendes Sicherheitskonzept sieht deshalb die Festlegung der Verantwortlichkeiten und Schutzziele in der IT-Sicherheitsordnung vor sowie die Konkretisierung der Maßnahmen in der IT-Sicherheitsrahmenrichtlinie. So lassen sich Verfügbarkeit, Integrität und Vertraulichkeit der Applikationen, Dienste und Daten gewährleisten.

Achten Sie bei der Erstellung der Richtlinien auf:
  • Durchführbarkeit der Richtlinien
  • klare, nicht zu komplexe Beschreibungen
  • Widerspruchsfreiheit unter den einzelnen Richtlinien
  • Prüfbarkeit der Einhaltung

Prüfen Sie Ihr IT-Sicherheitskonzept

 

Ein Sicherheitskonzept darf nicht bei der Festlegung von Zuständigkeiten, Rollen und Zielen stehen bleiben. Auch eine Sammlung von unabhängig voneinander entwickelten Sicherheitsrichtlinien sind kein sinnvolles Konzept.

Gehen Sie bei der Absicherung der IT stufenweise vor

Die Wichtigkeit und die Komplexität der Absicherung im Bereich Informationstechnologie erfordern ein stufenweises Vorgehen. Dazu gehört:

  • die Erstellung und Verabschiedung einer IT-Sicherheitsordnung als Organisationsrichtlinie
  • die Erstellung und Inkraftsetzung einer IT-Sicherheitsrahmenrichtlinie auf Basis der Schutzziele
  • die Erstellung und Umsetzung der einzelnen Sicherheitsrichtlinien unter Bezug auf die Rahmenrichtlinie
  • ein IT-Sicherheitsprozess, der die Organisations-, Rahmen- und Einzelrichtlinien laufend im Hinblick auf aktuelle Anforderungen und Bedrohungen hin überprüft und bei Bedarf überarbeitet

Wecken Sie Verständnis für die Notwendigkeit einer Rahmenrichtlinie

Der Aufwand, der mit der Erstellung und Umsetzung einer IT-Sicherheitsrahmenrichtlinie und den Einzelrichtlinien verbunden ist, kann dazu führen, dass ein solches Vorgehen kritisch hinterfragt wird. Es finden sich jedoch zahlreiche Argumente dafür:

  • das Sicherheitsbewusstsein bei den IT-Anwendern ist immer noch nicht ausgeprägt genug
  • ohne definierte Zuständigkeiten und Rollen fühlt sich niemand wirklich verantwortlich
  • ohne Richtlinien lassen sich Verstöße schwieriger feststellen und verfolgen
  • die zunehmende Nutzung des Internets für die Kommunikation, aber auch für bestimmte Fachverfahren führt zu einer ständig wechselnden Bedrohungslage
  • der Einsatz neuer Hard- und Software erschwert die Administration und steigert den Schulungsbedarf bei allen Beteiligten
  • die Vielzahl der Anwendungen und Altsysteme macht den Überblick und damit die Kontrolle mühsam

Die Verantwortung für die Rahmenrichtlinie sollte bei der Leitung liegen

Die IT-Sicherheit und somit auch die IT-Sicherheitsrahmenrichtlinie sollte deshalb aufgrund ihrer Bedeutung direkt von der Leitungsebene und deren Beauftragten verantwortet werden.

Eine Rahmenrichtlinie gibt eine Struktur …

Eine IT-Sicherheitsrahmenrichtlinie hilft bei der Schaffung von Sicherheitsbewusstsein, macht auf die Bedrohungslage aufmerksam, regelt die Erfassung der sicherheitskritischen Bereiche und Anwendungen und sorgt für den notwendigen Überblick, ob für alle Teilbereiche entsprechende Sicherheitsrichtlinien aufgestellt wurden.

… und braucht selbst eine Struktur

Damit die IT-Sicherheitsrahmenrichtlinie diese Aufgaben erfüllen kann, muss sie selbst bestimmte Bestandteile enthalten, zu denen insbesondere gehören:

  • Darstellung der aktuellen IT-Sicherheit in Behörde oder Unternehmen
  • Darlegung von Verantwortlichkeiten, Stellenwert und Zielen der IT-Sicherheit
  • Bezug auf nationale und internationale Standards (wie BSI, ISO, ITSEC)
  • Begriffsdefinitionen zur gemeinsamen Verwendung
  • Erläuterung der vorhandenen IT-Grundschutzmaßnahmen
  • Hinweise zur Analyse der Risiken und des Schutzbedarfs
  • Darstellung des IT-Sicherheitsprozesses, der Pflege und Kontrolle der Sicherheitsrichtlinien sicherstellt

Definieren Sie einzelne Schutzmaßnahmen

Entsprechend den Risiken und dem Schutzbedarf führt die IT-Sicherheitsrahmenrichtlinie bestimmte Maßnahmen aufseiten der IT-Anwender und IT-Administratoren auf, um die durch die Behörden- oder Unternehmensleitung vorgegebenen Schutzziele auf einzelne Bereiche anzuwenden.

Abweichungen vom Standard sind nur in Ausnahmefällen zulässig

Soll von den verbindlich vorgegebenen Schutzmaßnahmen abgewichen werden, so ist dies genau zu begründen, zu dokumentieren und mit den für die IT-Sicherheit Beauftragten abzustimmen.

Die wichtigsten Schutzmaßnahmen für IT-Anwender im Überblick

Im Folgenden werden einige Bereiche genannt, die in vielen Fällen aufseiten der IT-Anwender der Definition genauer Schutzmaßnahmen bedürfen:

  • Abwehr von Schadprogrammen
  • Datenschutz
  • Datensicherung und Backup
  • IT-Sicherheitsschulung
  • Meldewege bei IT-Sicherheitsproblemen
  • mobile Endgeräte und Datenträger
  • Passwortsicherheit
  • sichere Datenlöschung
  • Sicherheit am lokalen PC
  • Telearbeit
  • Umgang mit E-Mail und Internet
  • Vorgehen bei Verstößen
  • Zugangs- und Zugriffsschutz
  • Zugriff auf Netzwerkressourcen

Wichtig ist, die individuellen Risiken und den jeweiligen Schutzbedarf in der konkreten Behörde oder dem Unternehmen zu ermitteln und diese Analyse als Grundlage für die IT-Sicherheitsrahmenrichtlinie und die Einzelrichtlinien zu verwenden.

Und vergessen Sie nicht die IT-Administratoren

Von besonderer Bedeutung sind die Sicherheitsrichtlinien für IT-Administratoren, die in der IT-Sicherheitsrahmenrichtlinie verankert sind.

Typische Bereiche sind:

  • Ausfallsicherheit
  • Benutzerverwaltung
  • Datenschutz
  • Datensicherung und Backup
  • Dokumentation der IT-Verfahren
  • Netzwerksicherheit
  • Protokollierung und Monitoring
  • Rollentrennung
  • Schulungsmaßnahmen
  • Sicherheitshardware und -software
  • Vertretungsregeln
  • Vorgehen bei Ausscheiden von Mitarbeitern und Administratoren
  • Vorgehen bei Fehlern und besonderen Ereignissen
  • Vorgehen bei Fremd- und Fernwartung
  • Zugang zu Rechenzentren und Zutritt zu Serverräumen

Die IT-Sicherheit muss in den Richtlinien gelebt werden und leben

Alle Anstrengungen zur Erstellung einer IT-Sicherheitsrahmenrichtlinie sind vergebens, wenn man zum einen die Einzelrichtlinien zu den verschiedenen Bereichen nicht ausgestaltet, umsetzt, schult und kontrolliert.

Die IT-Sicherheit muss ständig überprüft und angepasst werden

Zum anderen sollten Sie deutlich machen, dass die IT-Sicherheit keine statische Einrichtung sein kann und darf.

Die ständige Entwicklung und Modernisierung bei Hard- und Software sowie die täglich neuen Bedrohungen aus dem Internet erfordern einen lebendigen IT-Sicherheitsprozess, der die Verantwortlichen stets dazu ermuntern muss, die Gültigkeit, die Aktualität, aber auch die Umsetzung der IT-Sicherheitsrahmenrichtlinie sowie der Einzelrichtlinien zu hinterfragen.

Der IT-Sicherheitsprozess befindet sich deshalb in einem ständigen Kreislauf aus:

  • Risikoanalyse und Bestimmung des Schutzbedarfs
  • Anpassung der Rahmen- und Einzelrichtlinien
  • organisatorischer und technischer Umsetzung der Richtlinien
  • Prüfung und Überwachung
  • regelmäßigen internen und externen Audits

Oliver Schonschek

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln