IT-Grundschutzhandbuch 2000 - Verantwortlichkeiten und Befugnisse im IT-Sicherheitsprozeß

1.3 Verantwortlichkeiten und Befugnisse im IT-Sicherheitsprozeß

IT-Sicherheit ist für jedes IT-Projekt, jedes IT-System und alle IT-Nutzer innerhalb einer Institution von besonderer Bedeutung. Dieser abteilungsübergreifende Charakter des IT-Sicherheitsprozesses macht es notwendig, die Rollen und Verantwortlichkeiten klar zu definieren. Nur so kann gewährleistet werden, daß alle wichtigen Aspekte berücksichtigt und sämtliche anfallenden Aufgaben effizient erledigt werden.

Obwohl dieses Ziel auf verschiedenen organisatorischen Wegen erreicht werden kann, die von der Größe, Beschaffenheit und Struktur der jeweils betrachteten Institution abhängen, sind zwei Funktionen in jedem Fall wahrzunehmen:

das IT-Sicherheitsmanagement-Team (siehe auch Aktion 1.2 des Aktionsplans), welches die abteilungsübergreifenden Belange regelt und Pläne, Vorgaben und Richtlinien erarbeitet, sowie
der IT-Sicherheitsbeauftragte, der für alle IT-Sicherheitsfragen in der Institution verantwortlich ist.

Sowohl das IT-Sicherheitsmanagement-Team als auch der IT-Sicherheitsbeauftragte müssen klar definierte Aufgaben, Verantwortlichkeiten und Befugnisse haben, um diese Aufgabe erfolgreich erfüllen zu können. Das Management der Institution muß sicherstellen, daß der IT-Sicherheitsbeauftragte die notwendige Unterstützung von den IT-Benutzern erhält, die Pflichten des IT-Sicherheitsbeauftragten werden von dem IT-Sicherheitsmanagement-Team festgelegt. An dieser Stelle sei deutlich darauf hingewiesen, daß es sich bei den oben beschriebenen Aufgaben um Funktionen handelt, die nicht unbedingt von mehreren Personen wahrgenommen werden müssen. Die genaue personelle Ausgestaltung richtet sich nach der Größe und den Sicherheitsanforderungen der jeweiligen Institution. Auf der anderen Seite sei betont, daß IT-Sicherheit leider nicht zum Nulltarif zu haben ist. Die verantwortlichen Personen müssen soweit von ihren sonstigen Pflichten entbunden werden, daß sie der Aufgabe "IT-Sicherheit" genügend Zeit widmen können. Das hat sich bereits dann mehr als bezahlt gemacht, wenn es keine schädigenden Vorkommnisse aufgrund mangelnder Sicherheitsvorsorge mehr gibt.

Die nachfolgenden Abbildungen zeigen drei Möglichkeiten für die Organisation des IT-Sicherheitsmangements. Die erste Abbildung beschreibt die Organisation des IT-Sicherheitsmanagements in einer großen Organisation und zeigt die Beziehungen zwischen dem Management, dem IT-Sicherheitsmanagement-Team, dem IT-Sicherheitsbeauftragten, den Bereichs-IT-Sicherheitsbeauftragten (für Abteilungen oder für Außenstellen), dem IT-Koordinierungsausschuß und den IT-Anwendern auf.

Die zweite Abbildung zeigt eine mögliche Lösung in einer mittelgroßen Institution auf, in der das IT-Sicherheitsmanagement-Team und der IT-Sicherheitsbeauftragte zusammengefaßt wurden. Er arbeitet mit dem IT-Koordinierungsausschuß zusammen.

Die dritte Abbildung zeigt eine Organisationsstruktur für das IT-Sicherheitsmanagement für eine kleine Institution auf. Sämtliche Aufgaben für IT-Sicherheit werden vom IT-Sicherheitsbeauftragten wahrgenommen, die Notwendigkeit für einen IT-Koordinierungsausschuß gibt es nicht.

Abb. 1:Beispiel zur Organisation des IT-Sicherheitsmanagements in einer großen Institution

Abb. 2: Beispiel zur Organisation des IT-Sicherheitsmanagements in einer mittelgroßen Institution

Abb. 3: Beispiel zur Organisation des IT-Sicherheitsmanagements in einer kleinen Institution

Aufgaben des IT-Sicherheitsmanagement-Teams

Das IT-Sicherheitsmanagement-Team sollte aus Personen bestehen, die in der Lage sind, IT-Sicherheitsziele zu definieren, eine IT-Sicherheitspolitik zu formulieren, mit der diese zu erreichen sind, die Pflichten des IT-Sicherheitsbeauftragten festzulegen, sowie die erreichten Ergebnisse kritisch zu überprüfen. Sollte es in der Institution bereits ein ähnliches Komitee geben, könnten dessen Aufgaben entsprechend erweitert werden; wird IT-Sicherheit als sehr wichtig eingeschätzt, ist jedoch eine separate Einrichtung des IT-Sicherheitsmanagement-Teams mit genauer Zuweisung von Ressourcen vorzuziehen. Die detaillierten Aufgaben des IT-Sicherheitsmanagement-Teams sind:

IT-Sicherheitsziele festzulegen und eine Politik zu entwickeln, diese Ziele zu erreichen,
die Pflichten des IT-Sicherheitsbeauftragten festzulegen,
bei der Erstellung des IT-Sicherheitskonzepts beratend zu unterstützen, sowie zu überprüfen, ob die IT-Sicherheitsziele erreicht werden,
einen Realisierungsplan der im IT-Sicherheitskonzept ausgewählten Sicherheitsmaßnahmen zu entwickeln,
die Implementierung dieser Sicherheitsmaßnahmen zu überwachen,
die Sensibilisierung für IT-Sicherheit in der gesamten Institution zu fördern,
die Effektivität von Sicherheitsmaßnahmen im laufenden Betrieb zu kontrollieren,
den IT-Koordinierungsausschuß und das Management in IT-Sicherheitsfragen zu beraten, sowie
die Ressourcen (Personen, Geld, Wissen etc.) festzulegen, die im IT-Sicherheitsprozeß verbraucht werden dürfen.

Um seine Aufgaben effektiv erfüllen zu können, sollte das IT-Sicherheitsmanagement-Team je ein Mitglied haben mit Wissen und Erfahrung in IT-Sicherheit, technischen Kenntnissen über IT-Systeme, sowie Erfahrung mit Organisation und Verwaltung. Weiterhin sollten die folgenden Personen teilnehmen: der IT-Sicherheitsbeauftragte, ein Vertreter aus dem IT-Koordinierungsausschuß und ein Vertreter der IT-Nutzer. Nur so ist gewährleistet, daß eine praktikable IT-Sicherheitspolitik festgelegt und umgesetzt wird.

Aufgaben des IT-Sicherheitsbeauftragten

Da die Verantwortung für IT-Sicherheit genauso in der Linie delegiert wird wie die Verantwortung für die Aufgabenerfüllung selbst, besteht bei unklarer Zuweisung die Gefahr, daß IT-Sicherheit grundsätzlich zu einem "Problem anderer Leute" wird. Damit wird die Verantwortung für IT-Sicherheit so lange hin und her geschoben, bis keiner sie mehr hat. Um dies zu vermeiden, sollte die Verantwortung für IT-Sicherheit einer Person, dem IT-Sicherheitsbeauftragten, direkt übertragen werden. Dieser sollte sich um alle Belange der IT-Sicherheit innerhalb der Institution kümmern.

Vielleicht gibt es bereits eine geeignete Person in der Institution, die zusätzlich zu den übrigen Aufgaben diese Pflichten übernehmen kann. Aufgrund der Wichtigkeit der IT-Sicherheit für die ordnungsgemäße Aufgabenerfüllung ist die bessere Lösung jedoch, eine gesonderte Stelle für den IT-Sicherheitsbeauftragten einzurichten. Das ist besonders dann der Fall, wenn die Sicherheitsanforderungen oder schlicht die Größe der Institution entsprechenden Aufwand erfordern und die Ressourcen der Institution das zulassen.

Zu den Pflichten des IT-Sicherheitsbeauftragten gehört:

verantwortlich an der Erstellung des IT-Sicherheitskonzepts mitzuwirken,
im gesamten IT-Sicherheitsprozeß dem IT-Sicherheitsmanagement-Team und damit der Leitungsebene zu berichten,
Wege für den Informationsfluß von den Bereichs-IT-Sicherheitsbeauftragten festzulegen und diese Informationen in geeigneter Weise einzuarbeiten,
die Verantwortung und Übersicht über die Realisierung der ausgewählten IT-Sicherheitsmaßnahmen zu haben,
Schulungs- und Sensibilisierungsveranstaltungen zu planen und zu koordinieren,
die IT-Sicherheit im laufenden Betrieb (z. B. durch Prüfungen der Einhaltung von IT-Sicherheitsmaßnahmen) zu gewährleisten, und
die Untersuchungen von evtl. auftretenden sicherheitsrelevanten Ereignissen zu leiten.

Zur Erfüllung dieser Aufgaben ist es wünschenswert, daß der IT-Sicherheitsbeauftragte Wissen und Erfahrung in den Gebieten IT-Sicherheit und IT hat. Da diese Aufgabe eine Vielzahl von Fähigkeiten erfordert, sollte bei der Auswahl außerdem darauf geachtet werden, daß die folgenden Qualifikationen vorhanden sind:

Identifikation mit den Zielsetzungen der IT-Sicherheit und Einsicht in die Notwendigkeit von IT-Sicherheit.
Kooperations- und Teamfähigkeit (wenige andere Projekte erfordern soviel Fähigkeit zum und Geschick im Umgang mit anderen Personen: die Leitungsebene muß in zentralen Fragen des IT-Sicherheitsprozesses immer wieder eingebunden werden, Entscheidungen müssen gefordert werden und die IT-Nutzer müssen - evtl. mit Hilfe der Bereichs-IT-Sicherheitsbeauftragte - in den IT-Sicherheitsprozeß mit eingebunden werden).
Erfahrungen im Projektmanagement, idealerweise im Bereich der Systemanalyse (das sind die Schwerpunkte, die auch bei dem Projekt "IT-Sicherheit" und besonders in der Risikoanalyse verstärkt eine Rolle spielen).

Aufgaben des Bereichs-IT-Sicherheitsbeauftragten

Die verschiedenen IT-Systeme und IT-Anwendungen einer Institution haben oft verschiedene IT-Sicherheitsanforderungen, -gegebenheiten, -maßnahmen sowie -vorkommnisse. Diese Informationen werden von den Bereichs-IT-Sicherheitsbeauftragten an den IT-Sicherheitsbeauftragten der Institution weitergeleitet. Auf der anderen Seite setzt der Bereichs-IT-Sicherheitsbeauftragte die Vorgaben des IT-Sicherheitsbeauftragten für die einzelnen IT-Systeme um. Der Bereichs-IT-Sicherheitsbeauftragte ist verantwortlich für alle Sicherheitsbelange der IT-Systeme in seinem Bereich (z. B. Abteilung, Außenstelle, IT-System). Seine genauen Aufgaben sind:

Meldungen an den IT-Sicherheitsbeauftragten, Umsetzung von dessen Vorgaben sowie Ansprechpartner der IT-Nutzer,
Mitwirkung bei der Erstellung des IT-Sicherheitskonzepts (Lieferung der jeweils nötigen Informationen über IT-Systeme, Ergebnisse von IT-Benutzerbefragungen etc.),
Erarbeitung eines detaillierten Plans zur Realisierung der ausgewählten IT-Sicherheitsmaßnahmen,
Umsetzung dieses Plans, und dabei Anpassung der ausgewählten IT-Sicherheitsmaßnahmen an örtliche Gegebenheiten, falls nötig,
Information des IT-Sicherheitsbeauftragten über Schulungs- und/oder Sensibilisierungsbedarf von IT-Benutzern,
Regelmäßige Prüfung der Wirksamkeit und genauen Einhaltung der eingesetzten IT-Sicherheitsmaßnahmen im laufenden Betrieb und
Meldung an den IT-Sicherheitsbeauftragten bei sicherheitsrelevanten Ereignissen, Änderungen etc.

Je nach Größe des zu betreuenden Bereiches kann die Aufgabe des Bereichs-IT-Sicherheitsbeauftragten von einer Person übernommen werden, die bereits mit ähnlichen Aufgaben betraut ist, z. B. dem (falls vorhanden) Bereichs-IT-Beauftragten. Auf jeden Fall ist bei der Auswahl des Bereichs-IT-Sicherheitsbeauftragten darauf zu achten, daß er die Aufgaben, Gegebenheiten und Arbeitsabläufe in dem zu betreuenden Bereich gut kennt. Detaillierte IT-Kenntnisse sind von Vorteil, da diese die Gespräche mit IT-Benutzern vor Ort erleichtern und bei der Suche nach IT-Sicherheitsmaßnahmen für die speziellen IT-Systeme von Nutzen sind.

Weiterhin sollte der Bereichs-IT-Sicherheitsbeauftragte Kenntnisse im Projektmanagement haben (diese können zum Beispiel durch Schulungen erworben werden), die bei der Organisation von IT-Benutzerbefragungen und der Erstellung von Plänen zur Umsetzung und Kontrolle von IT-Sicherheitsmaßnahmen hilfreich sind. Die Zusammenarbeit mit den IT-Benutzern verlangt viel Geschick, da diese zunächst von der Notwendigkeit der (für sie manchmal etwas lästigen) IT-Sicherheit überzeugt werden müssen. Mindestens genauso heikel ist die Befragung der IT-Nutzer nach sicherheitskritischen Vorkommnissen und Schwachstellen. Um den Erfolg dieser Befragungen zu garantieren, müssen die IT-Nutzer davon überzeugt werden, daß ehrliche Antworten nicht zu Problemen für sie selbst führen.