Die Vielfalt der Anforderungen, denen sich ein Unternehmen bezüglich Informations- und IT-Sicherheit ausgesetzt sieht, steigt andauernd und ist gleichzeitig einem permanenten Wandel unterworfen. Die Labilität der IT-Ressourcen wächst. Daneben wächst die Abhängigkeit der Unternehmen und Anwender von der zeitgerechten Verarbeitung ihrer Informationen und der Verfügbarkeit der Kommunikationsmöglichkeiten.
Interne und externe Anforderungen
Sowohl Entwicklung als auch Betrieb von IT-Systemen, Applikationen und Informationen können gesetzlichen Anforderungen unterworfen sein. Ein Bestandteil der Informationssicherheit bildet der Datenschutz, der sich mit dem Schutz der Persönlichkeit der von einer Datenbearbeitung betroffenen Personen befasst. Das seit dem 1. Juli 1993 gültige Datenschutzgesetz des Bundes (DSG) erfasst die automatisierte sowie die manuelle Bearbeitung von Personendaten. Personendaten müssen auf Grund des Gesetzes angemessen durch technische und organisatorische Massnahmen vor dem Zugriff Unbefugter geschützt werden (Art. 7 DSG).
Neben dem Datenschutzgesetz sind beim IT-Einsatz auch das Urheberrecht und die individuellen Geheimhaltungspflichten (Fernmeldegeheimnis, Bankgeheimnis, Arztgeheimnis u.a.m.) zu berücksichtigen. Unternehmen haben sich zudem mit dem datenschutzrelevanten Problembereich der internen Protokollierung auseinanderzusetzen. Hier-unter fallen die Videoüberwachung, Logging des Surf-Verhaltens im Internet sowie die E-Mail-Überwachung. Hier ist die Einverständniserklärung der betroffenen Personen unbedingt einzuholen, die protokollierten Daten sind zu schützen, Kompetenzen und Eskalationswege sind klar zu definieren.
Was die internationalen Anforderungen angeht, so sei hier nur der amerikanische Sarbanes-Oxley Act erwähnt sowie Basel II.
Sicherheitspolitik als Ausgangspunkt
Als Integrationsplattform dieser vielfältigen externen und internen Anforderungen kann und soll ein standardisiertes, internes Regelwerk dienen, das auf ISO 17799 aufbaut und dieses ergänzt bzw. konkretisiert.
ISO/IEC 17799 bildet die einzelnen Sicherheitsmassnahmen ab, während ISO/IEC 27001 ein Hilfsmittel zur Zertifizierung und zur Beurteilung eines ISMS (Informationssicherheits-Managementsystems) ist.
Was sind die Anforderungen an ein ISMS? Das Unternehmen benötigt zuerst eine Sicherheitspolitik, die u. a. die Verantwortlichkeiten regelt sowie den Umfang des ISMS beschreibt (die ganze Firma, gewisse IT-Systeme etc.). Basierend auf der Sicherheitspolitik wird ein Sicherheitskonzept aufgebaut, das sich mit Fragen der Inventarisierung, Klassifizierung und Objekt-eignern befasst.
Teilprozess «Plan»
Dann folgt die Umsetzung. Dazu gehören die Inventarisierung, die Durchführung einer Risikoanalyse und schliesslich die Auswahl und Anwendung der ISO 17799 Controls. Das ISMS basiert auf dem sogenannten PDCA-Zyklus (Plan, Do, Check, Act).
Die Vorgehensweise bei der Einführung eines ISMS sollte im Top-Down-Ansatz erfolgen, denn um das Vorhaben erfolgreich umsetzen zu können, muss das Management mit Vorbildfunktion vorausgehen. Es muss Massnahmen im Bereich der Informationssicherheit initiieren und aktiv tragen. Im Rahmen einer Politik sind die Sicherheitsziele zu definieren, die Grundsätze für die einzelnen Sicherheitsbereiche zu formulieren und den Ablauf der Risikoerkennung, -bewertung und -überprüfung festzulegen.
Der Teilprozess Plan hat zum Zweck, die Sicherheitsziele und Massnahmen aus den Unternehmenszielen heraus zu definieren (Sicherheitspolitik). Eine Risikoanalyse ist durchzuführen, und als schutzwürdig erachtete Objekte sind zu inventarisieren (Datenbestände, Systeme, IT-Räume, Applikationen usw.).
Teilprozess «Do»
Der Teilprozess «Do» umfasst die Organisation, die Verfahren, Methoden und Ausarbeitung des auf der Sicherheitspolitik basierenden Sicherheitskonzepts. Das Informationssicherheitskonzept konkretisiert die Politik unter Berücksichtigung der gesetzlichen, vertraglichen und internen Anforderungen. Im Konzept werden Massnahmen festgelegt, Aufgaben, Verantwortlichkeiten und Kompetenzen für Funktionen und Gremien definiert. Beschrieben werden einheitliche und standardisierte Methoden zur Identifikation und regelmässigen Überprüfung von Risiken sowie zur Festlegung von Sicherheitsregeln und -massnahmen. Damit entsteht auch ein Umsetzungsplan. Begleitend dazu erfolgen Schulungs- und Sensibilisierungsmassnahmen.
Teilprozess «Check»
Die im Unternehmen eingeführten Massnahmen müssen regelmässig auf Umsetzungsgrad und Wirksamkeit kontrolliert werden. Der Teilprozess «Check» dient der Feststellung von Abweichungen und kontrolliert die Angemessenheit der Sicherheitsmassnahmen. So kann und muss dauernd auch auf veränderte interne und externe Anforderungen und Einflüsse reagiert werden. Restrisiken werden beurteilt und allenfalls neu bewertet.
Teilprozess «Act»
Es ist unabdingbar, dass ein ISMS einen Prozess zur Reaktion auf erkannten Veränderungsbedarf enthält. Dieser Teilprozess basiert auf dem Change Management, mit dem das ISMS permanent verbessert wird, sowie dem Incident Handling.
Frühzeitige Erkennung und angemessene Reaktion auf Sicherheitsvorfälle sowie ein funktionierender Business Continuity Plan können im Ereignisfall den Schaden abwenden bzw. massiv reduzieren.
Aktualität und Kontinuität
Sind die Prozesse durchlaufen, entwi-kelt sich das ISMS von einem Projekt zur Daueraufgabe. Die Erarbeitung und Umsetzung von Massnahmen kann jedoch auch stufenweise erfolgen. Ebenso müssen nicht sofort alle Bereichskonzepte gleichzeitig erstellt und umgesetzt werden, falls dies die Möglichkeiten einer Firma nicht zulassen. Wichtig ist die dauernde und angemessene Verbesserung des ISMS und damit einhergehend die Gewährleistung einer anforderungsgerechten Sicherheit der unternehmenseigenen Informationen und der beteiligten Prozesse und Systeme.
Die überwiegende Zahl von Schäden im IT-Bereich entsteht durch Nachlässigkeit, unzureichende Akzeptanz von Sicherheitsmassnahmen und aus mangelnder Kenntnis. Ein hohes Mass an Sicherheit kann, auch im Bereich der IT, nur erreicht und beibehalten werden, wenn sämtliche Mitarbeiter die Bedeutung von Sicherheitsmassnahmen für die Sicherung der Existenz der Firma erkannt haben und bereit sind, dieser Erkenntnis entsprechend zu handeln. Erst wenn dem Mitarbeiter der Sinn einer Handlung, die er auszuführen hat, einleuchtet, wird er sie zuverlässig ausführen.
Die Definition der Informationssicherheit
Informationssicherheit wird definiert als das angemessene und dauernde Gewährleisten der Verfügbarkeit, Integrität und Vertraulichkeit der IT-Ressourcen und der damit bearbeiteten oder übertragenen Daten.
¦ Vertraulichkeit bedeutet, dass Informationen und die zu ihrer Bearbeitung und Übertragung verwendeten Schutzobjekte nur Berechtigten zugänglich sind. Die Vertraulichkeit ist gewährleistet, wenn die als schutzwürdig definierten Schutzobjekte nur berechtigten Subjekten offenbart werden.
¦ Integrität bedeutet, dass Informationen oder Teile eines IT-Systems nur durch Berechtigte verändert werden können. Die Integrität ist dann gewährleistet, wenn nur berechtigte Subjekte (Mensch, System oder Funktion) Schutzobjekte (System, Funktion oder Informationsbestände) zu berechtigten Zwecken korrekt bearbeiten, die Schutzobjekte spezifiziert sind und die Bearbeitung nachvollziehbar ist. Korrekt arbeitende Funktionen sind dann gewährleistet, wenn sie integre Schutzobjekte (System, Funktion oder Informationsbestände) in diesem Zustand belassen und/oder neue Schutzobjekte den Anforderungen entsprechend in einer integren Form erzeugen.
¦ Verfügbarkeit bedeutet, dass das IT-System und die damit bearbeiteten Informationen den Berechtigten in voller Funktionalität zur Verfügung stehen. Die Verfügbarkeit ist dann gewährleistet, wenn die berechtigten Subjekte dauernd innerhalb der gemeinsam als notwendig definierten Frist auf die zur Durchführung ihrer Aufgaben benötigten Schutzobjekte zugreifen können, die notwendigen Massnahmen erarbeitet, durchgesetzt und eingeübt sind, die es bei Störungen erlauben, die Verfügbarkeit wiederherzustellen.
Der Autor
Reto C. Zbinden(Bild) ist Fürsprecher und der CEO der Swiss Infosec AG. Das Unternehmen ist als Beratungs- und Ausbildungsunternehmen auf integrale Sicherheit, Informations- und IT-Sicherheit spezialisiert.