IT-Sicherheitskonzepte

Ein Informationssicherheitskonzept dient der Umsetzung der Sicherheitsstrategie und beschreibt die geplante Vorgehensweise, um die gesetzten Sicherheitsziele einer Institution zu erreichen. Das Sicherheitskonzept ist das zentrale Dokument im Sicherheitsprozess eines Unternehmens bzw. einer Behörde. Jede konkrete Maßnahme muss sich letztlich darauf zurückführen lassen. Aus diesem Grund muss ein Sicherheitskonzept sorgfältig geplant und umgesetzt sowie regelmäßig überprüft werden.

Ein IT-Sicherheitskonzept dokumentiert die Ergebnisse des BSI Standards 100-2 (Vorgehensweise nach bisherigen IT-Grundschutz), oder 200-2 (Vorgehensweise nach dem modernisierten IT-Grundschutz), weswegen die Projektphasen sich an genau dieser Struktur orientieren.

Nachfolgende Grafik zeigt die Projektphasen bei der Erstellung eines IT-Sicherheitskonzeptes und erklärt einzelne Arbeitsschritte.

Projektphase 1: IT-Sicherheitsziele und Rahmenbedingungen

Zu Beginn des Projektes werden die IT-Sicherheitsziele und die rechtlichen und technischen Rahmenbedingungen für den Auftraggeber erhoben, dokumentiert und abgestimmt. Die festzuschreibenden Rahmenbedingungen bilden dann die Grundlage für die nachfolgenden Arbeitspakete zur Erstellung eines IT-Sicherheitskonzeptes.

 

Projektphase 2: Strukturanalyse

Die IT-Strukturanalyse dient der Vorerhebung von Informationen, die für die weitere Vorgehensweise bis hin zur Erstellung eines IT-Sicherheitskonzepts nach IT-Grundschutz benötigt werden.

In einem ersten Schritt findet eine grobe Klassifizierung der betrachteten Gebäude, Räume, IT-Systeme, Netze und Anwendungen (Zielobjekte) statt. Durch geeignete Gruppenbildung von Zielobjekten gleichen Typs oder gleicher Konfiguration wird die notwendige Komplexitätsreduzierung erreicht.

Abschließend erfolgt eine Zuordnung der Zielobjekte untereinander nach dem in der folgenden Abbildung wiedergegeben Schema:

 

Projektphase 3: Feststellung des Schutzbedarfs

Zweck der Schutzbedarfsfeststellung ist es, zu ermitteln, welcher Schutz für die Anwendungen, die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist. Anhand der Ergebnisse der Schutzbedarfsfeststellung wird eine ressourcenabhängige Bewertung vorgenommen, deren Schutzbedarf auf die nachfolgenden Ebenen vererbt wird.

Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können. Wichtig ist, die möglichen Folgeschäden realistisch einzuschätzen. Der IT-Grundschutz definiert drei Schutzbedarfskategorien:

  • „normal“, d. h. die Schadensauswirkungen sind begrenzt und überschaubar
  • „hoch“, d. h. die Schadensauswirkungen können beträchtlich sein, bzw.
  • „sehr hoch“, d. h. die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

 

Projektphase 4: Modellierung

In der Modellierung werden die Bausteine zu den Zielobjekten zugeordnet. Hierfür wird das IT-Grundschutz Kompendium genutzt, welches die Bausteine in verschiedenen Schichten unterteilt:

  • ISMS: Sicherheitsmanagement
  • ORP: Organisation und Personal
  • CON: Konzeption und Vorgehensweise
  • OPS: Betrieb
  • DER: Detektion und Reaktion
  • APP: Anwendungen
  • SYS: IT-Systeme
  • IND: Industrielle IT
  • NET: Netze und Kommunikation
  • INF: Infrastruktur

Eine Reihe von Bausteinen werden durch die Methodik des Grundschutzes vorgeschrieben (Pflichtbausteine), die restlichen Bausteine werden spezifisch gewählt, um die einzelnen Aspekte des Informationsverbundes zu modellieren.

 

Projektphase 5: IT-Grundschutz-Check

Der IT-Grundschutzcheck ist ein Organisationsinstrument, welches einen schnellen Überblick über das vorhandene Sicherheitsniveau bietet. Mit Hilfe von Interviews wird der Status quo eines bestehenden (nach IT-Grundschutz modellierten) Informationsverbunds in Bezug auf den Umsetzungsstatus für jede relevante Anforderung bewertet und erfasst („entbehrlich“, „ja“, „teilweise“ oder „nein“). Durch die Identifizierung von noch nicht oder nur teilweise umgesetzten Anforderungen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt Informationstechnik aufgezeigt.

 

Projektphase 6: Risikoanalyse

Eine Risikoanalyse im Kontext der IT-Sicherheit hat die Aufgabe, relevante Gefährdungen für den Informationsverbund zu identifizieren und die daraus möglicherweise resultierenden Risiken abzuschätzen. Das Ziel ist es, die Risiken durch angemessene Gegenmaßnahmen auf ein akzeptables Maß zu reduzieren, die Restrisiken transparent zu machen und dadurch das Gesamtrisiko systematisch zu steuern.