M 2.24 Einführung eines IT-Passes
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Leiter IT
Der erste Schritt bei der Erstellung eines IT-Sicherheitskonzeptes besteht darin, sich einen Überblick über die vorhandenen Systeme, Anwendungen und Daten zu verschaffen. Für eine kleine Institution ist es im Allgemeinen effektiv, anhand der vorhandenen IT-Systeme vorzugehen. Daher ist es für kleine Institutionen hilfreich, wenn für jedes IT-System ein IT-Pass vorhanden ist, der die wichtigsten Informationen des IT-Systems zusammenfasst.
Der IT-Pass soll dem IT-Verantwortlichen einen Überblick über die vorhandenen Computer in seiner Institution verschaffen und ein schnelles effektives Reagieren bei Problemen ermöglichen. Der IT-Pass ist immer dann sinnvoll einzusetzen, wenn es sich um eine sehr kleine Institution mit wenigen IT-Systemen handelt, bei der sich umfangreiche Strukturanalysen nicht lohnen. Hierzu müssen zunächst für jedes IT-System folgende Informationen erfasst werden:
- Bezeichnung des IT-Systems (Inventarisierungsnummer)
- Ansprechpartner für Problemfälle, z. B. Service- und Hotline-Nummern für den Ausfall und die Wartung des Systems
- Informationen zum Betriebssystem
- Informationen zum Virenscanner (verwendetes Produkt und die Vorgehensweise, wie Updates bzw. Patches eingespielt werden)
- Standort des System (Raum)
- Übersicht über die wichtigsten Informationen und Anwendungen, die auf dem System gespeichert sind bzw. laufen
- Schutzbedarf abhängig von Grundwerten Vertraulichkeit, Integrität und Verfügbarkeit
- Informationen zur Systeminstallation und zur Systemkonfiguration
- zur Verfügung stehendes Zubehör
- durchgeführte Wartungen und Reparaturen
- Art der durchgeführten Datensicherungen
Hinweis: Die direkt an Endgeräte angeschlossenen Drucker werden nicht als eigenständige Komponenten, sondern als Teil des jeweiligen Endgeräts erfasst. In den IT-Pässen können sie unter Peripherie oder Hardware aufgeführt werden.
Gleichartige IT-Systeme wie Anwender-PCs können auch in Gruppen zusammengefasst werden. Falls Mobiltelefone oder PDAs genutzt werden, sollte zusammenfassend für diese Geräte ebenfalls ein IT-Pass erstellt werden, wobei die Felder des Passes entsprechend anzupassen sind.
Auch für Telefonanlagen und Anschlüsse an Datennetze sollten die wichtigsten Informationen in Form eines IT-Passes dokumentiert werden.
Um den Schutzbedarf des IT-Systems zu dokumentieren, sollte der IT-Pass für jede wichtige Anwendung festhalten, ob dort z. B. personenbezogene Daten verarbeitet werden, und den Schutzbedarf abhängig von den Grundwerten Vertraulichkeit, Integrität und Verfügbarkeit festlegen.
Zusätzlich können die durchgeführten IT-Sicherheitsmaßnahmen am IT-System dokumentiert werden, so dass z. B. im Schadensfall schnell reagiert werden kann.
Die IT-Pässe sollten entweder vom IT-Sicherheitsmanagement oder vom Administrator geführt werden. Sie können auch durch Mitarbeiter ausgefüllt werden, müssen aber dann danach inhaltlich und auf Vollständigkeit geprüft werden. Die IT-Pässe sollten zentral gesammelt werden. Da sich bei gleichartigen IT-Systemen wie PCs viele Antworten wiederholen, ist es hilfreich, die IT-Pässe elektronisch zu führen.
Bei Änderungen an einem IT-System sind die Einträge im IT-Pass sofort anzupassen, so dass die Dokumentation immer auf dem aktuellen Stand ist.
IT-Pässe erleichtern die Durchführung von Kontrolltätigkeiten entschieden, da die Dokumentation aller durchgeführten relevanten Änderungen und IT-Sicherheitsmaßnahmen aus den IT-Pässen hervorgehen. Außerdem unterstützt das Führen solcher IT-Pässe die regelmäßige Pflege der IT und IT-Sicherheitsmaßnahmen, beispielsweise in Bezug auf Datensicherungen und Passwort-Änderungen. Dies dient auch der Notfallvorsorge.
Ein Muster eines solchen IT-Passes findet sich unter den Hilfsmitteln zum IT-Grundschutz auf dem BSI-Webserver im "IT-Grundschutzprofil für eine kleine Institution".