IT-Sicherheitskonzepte

Ein Informationssicherheitskonzept dient der Umsetzung der Sicherheitsstrategie und beschreibt die geplante Vorgehensweise, um die gesetzten Sicherheitsziele einer Institution zu erreichen. Das Sicherheitskonzept ist das zentrale Dokument im Sicherheitsprozess eines Unternehmens bzw. einer Behörde. Jede konkrete Maßnahme muss sich letztlich darauf zurückführen lassen. Aus diesem Grund muss ein Sicherheitskonzept sorgfältig geplant und umgesetzt sowie regelmäßig überprüft werden.

Ein IT-Sicherheitskonzept dokumentiert die Ergebnisse des BSI Standards 100-2 (Vorgehensweise nach IT-Grundschutz), weswegen die Projektphasen sich an genau dieser Struktur orientieren.

Nachfolgende Grafik zeigt die Projektphasen bei der Erstellung eines IT-Sicherheitskonzeptes und erklärt einzelne Arbeitsschritte.

Projektphase 1: IT-Sicherheitsziele und Rahmenbedingungen

Zu Beginn des Projektes werden die IT-Sicherheitsziele und die rechtlichen und technischen Rahmenbedingungen für den Auftraggeber erhoben, dokumentiert und abgestimmt. Die festzuschreibenden Rahmenbedingungen bilden dann die Grundlage für die nachfolgenden Arbeitspakete zur Erstellung eines IT-Sicherheitskonzeptes.

 

Projektphase 2: IT-Strukturanalyse

Die IT-Strukturanalyse dient der Vorerhebung von Informationen, die für die weitere Vorgehensweise bis hin zur Erstellung eines Sicherheitskonzepts nach IT-Grundschutz benötigt werden.

Zuerst findet eine grobe Klassifizierung der eingesetzten Anwendungen, IT-Systeme, Räume und Kommunikationsverbindungen statt. Durch geeignete Gruppenbildung von Objekten gleichen Typs oder gleicher Konfiguration wird eine Komplexitätsreduzierung erreicht.

Anschließend werden die Anwendungen jeweils denjenigen IT-Systemen zugeordnet, die für deren Ausführung benötigt werden.

 

Projektphase 3: Schutzbedarfsfeststellung

Zweck der Schutzbedarfsfeststellung ist es, zu ermitteln, welcher Schutz für die Anwendungen, die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist. Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können. Wichtig ist, die möglichen Folgeschäden realistisch einzuschätzen. Der IT-Grundschutz definiert drei Schutzbedarfskategorien:

  • „normal“, d. h. die Schadensauswirkungen sind begrenzt und überschaubar
  • „hoch“, d. h. die Schadensauswirkungen können beträchtlich sein, bzw.
  • „sehr hoch“, d. h. die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

 

Projektphase 4: Grundschutzmodellierung

Voraussetzung für die Anwendung der IT-Grundschutz-Kataloge auf einen Informationsverbund sind detaillierte Unterlagen über seine Struktur und den Schutzbedarf der darin enthaltenen Zielobjekte. Diese Informationen sind über die zuvor beschriebenen Arbeitsschritte zu ermitteln. Um geeignete Sicherheitsmaßnahmen für den vorliegenden Informationsverbund identifizieren zu können, müssen anschließend die Bausteine der IT-Grundschutz-Kataloge auf die Zielobjekte und Teilbereiche abgebildet werden.

 

Projektphase 5: Basis-Sicherheitscheck

Der Basis-Sicherheitscheck ist ein Organisationsinstrument, welches einen schnellen Überblick über das vorhandene Sicherheitsniveau bietet. Mit Hilfe von Interviews wird der Status quo eines bestehenden (nach IT-Grundschutz modellierten) Informationsverbunds in Bezug auf den Umsetzungsgrad für jede relevante Maßnahme bewertet und erfasst („entbehrlich“, „ja“, „teilweise“ oder „nein“). Durch die Identifizierung von noch nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Geschäftsprozesse und der Informationstechnik aufgezeigt.

 

Projektphase 6: Ergänzende Sicherheitsanalyse

Für alle Zielobjekte des Informationsverbundes, die

  • einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit haben oder
  • mit den existierenden Bausteinen der IT-Grundschutz-Kataloge nicht hinreichend abgebildet (modelliert) werden können oder
  • in Einsatzszenarien (Umgebung, Anwendung) betrieben werden, die im Rahmen des IT-Grundschutzes nicht vorgesehen sind,

ist zu entscheiden, ob weitere Risikobetrachtungen erforderlich sind. Dieser Entscheidungsprozess (auf Managementebene) wird als Ergänzende Sicherheitsanalyse bezeichnet.

 

Projektphase 7: Risikoanalyse

Für alle Zielobjekte, die im Rahmen der Ergänzenden Sicherheitsanalyse als weiter zu betrachten ausgewählt wurden, muss eine Risikoanalyse durchgeführt werden. Im Rahmen der Erstellung des IT-Sicherheitskonzeptes ist eine Risikoanalyse nach dem BSI-Standard 100-3 „Risikoanalyse auf der Basis von IT-Grundschutz“ vorgesehen.

Bei der Risikoanalyse erfolgt eine Einzelprüfung aller ausgewählten Komponenten. Unter Rück-schluss auf die Gefährdungen der IT-Grundschutz-Kataloge wird überprüft, ob für das individuelle Zielobjekt das jeweilige Risiko ausreichend durch (eine Kombination von) IT-Grundschutzmaßnahmen abgedeckt ist oder zusätzliche Maßnahmen zu ergreifen sind. Weiterhin wird geprüft, ob die Gefährdungsliste gemäß der IT-Grundschutz-Kataloge alle relevanten Gefährdungen umfasst oder ggf. weitere Bedrohungen identifiziert und analysiert werden müssen. In dieser Risikoanalyse erfolgt auch die Ermittlung des Missbrauchsinteresses. Die Bedrohungen werden einer qualitativen Abschätzung der möglichen Schäden unterzogen und mit Eintrittswahrscheinlichkeiten belegt.

 

Projektphase 8: Realisierungsplan

Das Vorgehen nach den BSI-Standard 100-1 bis 100-4 ergibt automatisch eine Liste defizitärer Maßnahmen. Evtl. ergeben sich aber außerhalb dieser BSI-Standards noch weitere Mängel, die auch dokumentiert werden. Ein entsprechender Mängelbericht wird während des gesamten Projektes mit aktuell festgestellten Mängeln gefüllt. Dies betrifft Mängel aller Art (z.B. organisatorische Unzulänglichkeiten, menschliche Fehlhandlungen, bauliche Mängel, Hardware- und Softwarefehler), die eine Gefährdung der oder ein Risiko für die IT-Sicherheit darstellen.

Auf Basis der Ergebnisse des Basis-Sicherheitschecks werden die defizitären Maßnahmen – also diejenigen, die nicht oder nur zum Teil umgesetzt sind – hinsichtlich ihrer Umsetzung geplant. Relevant für die Planung sind zunächst nur die Maßnahmen der Zertifikatsstufen A (Einstieg), B (Aufbau) und C (Zertifikat). Die Maßnahmen der Zertifikatsstufe Z (zusätzlich) werden nur dann herangezogen, wenn sie als notwendig aus der ergänzenden Risikoanalyse hervorgegangen sind. Dasselbe gilt für eventuelle weitere Maßnahmen, die im Rahmen der ergänzenden Risikoanalyse definiert wurden.