|
1.1 Überblick über den IT-Sicherheitsprozeß
Funktionen in der öffentlichen Verwaltung und in der Wirtschaft werden in der modernen Informations- und Kommunikationsgesellschaft zunehmend durch den Einsatz von Informationstechnik (IT) unterstützt. Viele Arbeitsprozesse werden elektronisch gesteuert, und große Mengen von Informationen werden in Form von Daten digital gespeichert, elektronisch verarbeitet und in lokalen und öffentlichen Netzen übermittelt. Die Wahrnehmung mancher öffentlicher oder privatwirtschaftlicher Aufgaben ist ohne IT überhaupt nicht, die Erfüllung anderer Aufgaben nur noch teilweise möglich. Damit sind viele Institutionen in Verwaltung und Wirtschaft von dem einwandfreien Funktionieren der eingesetzten IT abhängig; ein Erreichen der Behörden- und Unternehmensziele ist nur bei ordnungsgemäßem und sicheren IT-Einsatz möglich.
Aufgrund dieser Abhängigkeit ist IT-Sicherheit als integraler Bestandteil der originären Aufgabe anzusehen. Die Verantwortung für eine sichere und ordnungsgemäße IT-gestützte Aufgabenerfüllung ist somit gleichermaßen in der Linie zu delegieren wie die Verantwortung für die originäre Aufgabe selbst. Ebenso wie für die originäre Aufgaben verbleibt die letztendliche Verantwortung für IT-Sicherheit beim Management. Die für IT-Sicherheit notwendigen betriebsweiten konzeptionellen Aufgaben, die Organisation, die Zuweisung von Verantwortlichkeiten sowie die nötigen Kontrollen werden von einer dafür eingerichteten Organisationseinheit, dem IT-Sicherheitsmanagement-Team, realisiert.
Motivation
Pressemeldungen der letzten Jahre verdeutlichen, daß durch mangelnde IT-Sicherheit immer wieder beträchtliche Schäden in Behörden und Wirtschaftsunternehmen entstehen. Die Dunkelziffer solcher Schäden ist noch um einiges höher anzusetzen, da der weitaus größere Teil behörden- bzw. firmenintern verschwiegen wird. Einige der bekannt gewordenen Vorkommnisse sind:
| Datum | Art des Schadens | Schadenshöhe |
|---|---|---|
| März 1993 | Durch den Michelangelo-Virus werden diverse Daten auf PCs gelöscht. | Geschätzter Schaden über 1,0 Million DM |
| Mai 1993 | Hackereinbruch in den Rechner einer Wirtschaftsauskunftei | Vertrauens- und Imageverlust |
| Feb. 1994 | Hackereinbruch im Datennetz INTERNET | unbekannt |
| Feb. 1995 | Anschlag auf Datenkommunikationsleitungen des Frankfurter Flughafens | unbekannt |
| Mitte 1995 | Ein namhafter Hersteller verteilt mit Originalsoftware die ersten Makro-Viren | unbekannt |
| Mitte 1996 | Brand in der zentralen DV-Abteilung einer großen französischen Bank | unbekannt |
| April 1998 | Ausfall eines zentralen Computersystems am Flughafen Düsseldorf | unbekannt |
Angesichts dieser Vorkommnisse wird klar, daß es nicht ausreichen kann, nur die Schäden und ihre Folgen zu beseitigen oder intuitiv auf erkannte Gefahren zu reagieren. Zur Wahrung des ordnungsgemäßen und sicheren IT-Einsatzes ist ein systematischer Weg zu beschreiten, der zu einem ganzheitlichen und vollständigen Ergebnis führt.
Zur Erreichung des notwendigen Zieles "ausreichende und angemessene IT-Sicherheit" wird daher der Behörden- bzw. Unternehmensleitung der folgende Aktionsplan vorgeschlagen. Er beinhaltet die wesentlichen Schritte, die für einen kontinuierlichen IT-Sicherheitsprozeß notwendig sind.
Aktionsplan für den IT-Sicherheitsprozeß
Da mit der allgemeinen Verantwortung für das zielgerichtete und ordnungsgemäße Funktionieren einer Organisation auch die Gewährleistung der IT-Sicherheit dem Management obliegt, muß die Leitungsebene den IT-Sicherheitsprozeß initiieren und kontrollieren.
Grundregeln:
Aktionsplan zur Initiierung des IT-Sicherheitsprozesses
1.Entwicklung einer IT-Sicherheitspolitik
Die Entwicklung der IT-Sicherheitspolitik verläuft in drei Schritten: zunächst wird das für die Institution notwendige und angemessene IT-Sicherheitsniveau bestimmt. Dies hängt von den Sicherheitszielen dieser Institution und dem Aufwand, der für IT-Sicherheit betrieben werden kann, ab. Danach wird das IT-Sicherheitsmanagement-Team etabliert, daß das Erreichen und Halten des angestrebten IT-Sicherheitsniveaus zur Aufgabe hat. Das IT-Sicherheitsmanagement-Team erarbeitet dann die IT-Sicherheitspolitik.
2. Erstellung des IT-Sicherheitskonzepts
Zur Umsetzung der IT-Sicherheitsziele wird durch detaillierte Risikoanalysen für hochschutzbedürftige IT-Anwendungen und durch Anwendung des vorliegenden IT-Grundschutzhandbuchs ein IT-Sicherheitskonzept erstellt.
3. Realisierung der IT-Sicherheitsmaßnahmen
Mittels Prioritätensetzung, Benennung von Verantwortlichen und Realisierungsplanung sind die notwendigen IT-Sicherheitsmaßnahmen unter Berücksichtigung der zur Verfügung stehenden Zeit und Ressourcen zu realisieren.
4. Schulung und Sensibilisierung
Ein bedarfsorientiertes Schulungskonzept ist zu erstellen, um alle Ebenen der Organisation, vom Management bis zu den IT-Benutzern, für IT-Sicherheitsmaßnahmen zu sensibilisieren und die notwendigen Erklärungen zum sachgemäßen IT-Gebrauch und der Einhaltung der IT-Sicherheitsmaßnahmen zu liefern.
5. IT-Sicherheit im laufenden Betrieb
Der IT-Sicherheitsprozeß endet nicht mit der Umsetzung von Maßnahmen, sondern es bedarf periodischer Kontrollen, die bei Veränderungen auch die Aktualisierung des Sicherheitskonzeptes veranlassen. Auch die Reaktionen auf sicherheitsrelevante Ereignisse müssen geregelt werden, um den Schaden zu begrenzen und Wiederholungen zu vermeiden.
Aufgabenbereiche des IT-Sicherheitsmanagement-Teams
Das IT-Sicherheitsmanagement-Team soll den IT-Sicherheitsprozeß koordinieren und steuern. Die personelle Ausstattung richtet sich dabei nach der Größe der Behörde bzw. des Unternehmens und nach dem Umfang der IT-Unterstützung. Sie reicht von Teilzeitarbeit bis zu einer Gruppe von mehreren Personen. Die wahrzunehmenden Aufgaben sind:
Konzeption der IT-Sicherheit
Koordination des IT-Sicherheitsprozesses
Kontrolle des IT-Sicherheitsprozesses
Umsetzungsbeispiele
Zur Etablierung eines IT-Sicherheitsmanagement-Teams werden einige Lösungsmöglichkeiten beschrieben, die sowohl in der Bundesverwaltung als auch in Wirtschaftsunternehmen gewählt wurden.
Kleine Behörde/Mittelständisches Unternehmen ohne Außenstellen:
Die oben genannten Aufgabenblöcke Konzeption, Koordination und Kontrolle werden durch eine Person gleichzeitig wahrgenommen. In einigen Fällen wird diese Aufgaben mit der Aufgabe des Datenschutzbeauftragten vereint durchgeführt.
Größere Behörde/größeres Unternehmen ohne Außenstellen:
Die genannten Aufgabenblöcke werden innerhalb einer Gruppe wahrgenommen, die bis zu fünf Personen umfaßt. Organisatorisch wird diese Gruppe oft als Stabsstelle geführt. Eine Trennung von den Aufgaben des Datenschutzbeauftragten wird teilweise vollzogen.
Größere Behörde/größeres Unternehmen mit Außenstellen:
Die Aufgaben werden zentral von einer kleinen Gruppe koordiniert. Insbesondere werden zentral die Definition der IT-Sicherheitsziele, die Konzeption der Schulung und die Koordination des IT-Sicherheitsprozesses durchgeführt. Dezentral werden in den einzelnen Außenstellen die Erstellung des jeweiligen Teil-IT-Sicherheitskonzepts, die Umsetzung der betreffenden Anteile der Maßnahmen und die Rückmeldungen von Kontrollergebnissen und Veränderungen durchgeführt. Hierbei werden in den Außenstellen diese dezentralen Aufgaben oft von einer Person wahrgenommen. Von besonderer Bedeutung ist bei der Erstellung von Teil-IT-Sicherheitskonzepten die zentrale Koordination, um ein einheitliches Gesamt-IT-Sicherheitskonzept zu erhalten.
Teilweise werden Kontrollen in den Außenstellen gemeinsam von den zentral und dezentral Verantwortlichen durchgeführt.
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000