M 2.195 Erstellung eines IT-Sicherheitskonzepts
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement-Team
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement-Team
Ein IT-Sicherheitskonzept dient zur Umsetzung der IT-Sicherheitsstrategie und beschreibt die geplante Vorgehensweise, um die gesetzten Sicherheitsziele einer Institution zu erreichen. Das IT-Sicherheitskonzept ist das zentrale Dokument im IT-Sicherheitsprozess eines Unternehmens bzw. einer Behörde. Jede konkrete Maßnahme muss sich letztlich darauf zurückführen lassen. Aus diesem Grund muss ein IT-Sicherheitskonzept sorgfältig geplant und umgesetzt sowie regelmäßig überarbeitet werden. Die einzelnen, im folgenden kurz angerissenen Aspekte werden ausführlich im BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise behandelt.
Nicht alle Bereiche einer Institution müssen durch ein einziges IT-Sicherheitskonzept abgedeckt werden. Wenn die Umsetzung des IT-Grundschutzes in einem großen Schritt eine unübersichtliche Aufgabe darstellt, dann kann es sinnvoll sein, zunächst nur in ausgewählten Bereichen das erforderliche Sicherheitsniveau umzusetzen. Von dieser Basis ausgehend sollte sich dann der IT-Sicherheitsprozess auf die Gesamtorganisation ausweiten. Vor allem bei großen Behörden und Unternehmen kann es mehrere IT-Sicherheitskonzepte geben, die verschiedene Organisationsbereiche abdecken. Es muss gewährleistet sein, dass alle Bereiche einer Institution durch angemessene IT-Sicherheitskonzepte abgedeckt werden.
Auch komplexe Geschäftsprozesse oder Anwendungen können in eigenen IT-Sicherheitskonzepten behandelt werden. Dies empfiehlt sich vor allem bei der Einführung neuer Aufgaben oder Anwendungen.
Der festgelegte Geltungsbereich wird im Weiteren als IT-Verbund bezeichnet und stellt detailliert den Bereich dar, für den das IT-Sicherheitskonzept umgesetzt werden soll. Ein IT-Verbund kann sich somit auf Fachaufgaben, Geschäftsprozesse oder Organisationseinheiten beziehen. Er umfasst alle infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung in diesem Anwendungsbereich der Informationsverarbeitung dienen.
Der IT-Verbund muss so festgelegt sein, dass die betrachteten Geschäftsprozesse und Informationen diesem Bereich vollständig zugeordnet werden können. Die Abhängigkeiten aller sicherheitsrelevanten Prozesse sind zu berücksichtigen. Die Schnittstellen zu den anderen Bereichen müssen klar definiert werden, so dass der IT-Verbund im Gesamtunternehmen eine sinnvolle Mindestgröße einnimmt.
Das IT-Sicherheitsmanagement muss eine Methode zur Risikobewertung auswählen, die es ermöglicht, potentielle Schäden durch IT-Sicherheitsvorfälle zu analysieren und zu bewerten. Es können auch mehrere, aufeinander aufbauende Verfahren zur Risikobewertung gewählt werden.
In der Vorgehensweise nach IT-Grundschutz wird implizit eine Risikobewertung für Bereiche mit normalem Schutzbedarf durchgeführt. Falls der betrachtete IT-Verbund Komponenten mit hohem oder sehr hohem Schutzbedarf enthält, muss im Anschluss an die IT-Grundschutz-Analyse eine ergänzende IT-Sicherheitsanalyse durchgeführt werden.
Basis jeder Risikobewertung ist die Beschreibung der zu schützenden Informationen und Geschäftsprozesse. Um einen Überblick über die für die Geschäftsprozesse wichtigen IT-Strukturen zu bekommen, ist der IT-Verbund strukturiert zu erfassen. Neben den technischen Komponenten, den IT-Anwendungen und den verarbeitenden Informationen sind hierbei auch die räumliche Infrastruktur und die Vernetzung zu erfassen. Dabei müssen auch die Abhängigkeiten der verschiedenen Komponenten untereinander festgehalten werden.
In der Schutzbedarfsfeststellung sind folgende Schritte enthalten:
- Es wird analysiert, welche Gefährdungen bzw. Risiken für die Institution als Folge unzureichender IT-Sicherheit bestehen.
- Mögliche Schäden durch Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit werden identifiziert.
- Die potentiellen Auswirkungen auf die Geschäftstätigkeit oder die Aufgabenerfüllung durch IT-Sicherheitsvorfälle und andere IT-Sicherheitsrisiken werden analysiert und bewertet.
Anhand dieser Betrachtungen lässt sich das Risiko für das Unternehmen bzw. die Behörde abschätzen und der Schutzbedarf für Informationen, IT-Anwendungen und IT-Systemen festlegen.
Aus den allgemeinen IT-Sicherheitszielen, dem identifizierten Schutzbedarf und der Risikobewertung werden konkrete IT-Sicherheitsmaßnahmen passend zum betrachteten IT-Verbund abgeleitet. Hierfür müssen konkrete Bausteine der IT-Grundschutz-Kataloge für die Sicherheitsanforderungen eines IT-Verbundes ausgewählt werden, um so ein spezifisches Paket von IT-Sicherheitsmaßnahmen als Soll-Vorgabe zu erhalten.
Um zu ermitteln, welche der Sicherheitsmaßnahmen bereits umgesetzt und an welchen Stellen noch Lücken sind, wird ein Basis-Sicherheitscheck durchgeführt.
Die Umsetzung der nach IT-Grundschutz vorgeschlagenen Maßnahmen ist für den normalen, in manchen Fällen auch für den höheren Schutzbedarf ausreichend. Für Bereiche mit hohem oder sehr hohem Schutzbedarf ist in einer ergänzenden Sicherheitsanalyse zu entscheiden, ob eine weiterführende Risikobetrachtung erforderlich ist. Für die identifizierten Bereiche sollte eine Risikoanalyse auf der Basis von IT-Grundschutz durchgeführt werden.
Vor der Fertigstellung eines Sicherheitskonzeptes müssen die in der ergänzenden Risikoanalyse zusätzlich identifizierten Maßnahmen mit den IT-Grundschutzmaßnahmen konsolidiert werden. Dabei ist für alle neu ermittelten IT-Sicherheitsmaßnahmen zu überprüfen, ob sie die vorhandenen Maßnahmen ersetzen, ergänzen oder in ihrer Wirkung beeinträchtigen.
Bei der Erstellung eines IT-Sicherheitskonzepts sollte auch direkt bei der Auswahl der einzelnen Sicherheitsmaßnahmen die Umsetzungsplanung vorgenommen werden. Dafür ist festzuhalten, in welchem Zeitraum die einzelnen Maßnahmen umzusetzen sind, welche vernünftigerweise gemeinsam umgesetzt werden sollten und welche Maßnahmen zeitkritisch sind. Die Umsetzungsplanung sollte entweder im IT-Sicherheitskonzept oder in einem beigefügten Realisierungsplan festgehalten werden. Hierin sollten vor allem Umsetzungsreihenfolge und Verantwortlichkeiten enthalten sein:
- Festlegung von Prioritäten (Umsetzungsreihenfolge): Alle IT-Sicherheitsmaßnahmen sollten nach Wichtigkeit und Effektivität priorisiert werden. Grundsätzlich sollten Maßnahmen gegen besonders schwerwiegende Gefährdungen vorrangig umgesetzt werden. Dies ist besonders wichtig, wenn gegen diese Gefährdungen bisher nur wenig Schutz besteht. Wenn (z. B. aus finanziellen Gründen) nicht sofort alle Maßnahmen umgesetzt werden können, sollte geprüft werden, welche Maßnahmen die größte Breitenwirkung haben, also gegen besonders viele Gefährdungen wirken. Diese Maßnahmen sollten zuerst umgesetzt werden.
- Bei der Umsetzungsreihenfolge sollten auch mögliche Zusammenhänge zwischen Maßnahmen berücksichtigt werden.
- Verantwortlichkeiten: Für jede Maßnahme ist festzulegen, wer für Initialisierung, Umsetzung und Kontrolle (z. B. Audit) oder Revision verantwortlich ist.
Bei der Auswahl von Sicherheitsmaßnahmen ist auch immer deren Angemessenheit und Wirtschaftlichkeit zu beachten. Es muss nachvollziehbar sein, warum die ausgewählten Maßnahmen geeignet sind, die IT-Sicherheitsziele und -anforderungen zu erreichen. Die Dokumentation sollte daher konkrete Angaben über Verantwortlichkeiten und Zuständigkeiten sowie geplante Aktivitäten zur Kontrolle, Revision, Überwachung enthalten. Die Reihenfolge für die Umsetzung offener Aktivitäten ist festzuhalten. Außerdem sind die geplanten bzw. eingesetzten Ressourcen für die Umsetzung der einzelnen IT-Sicherheitsmaßnahmen zu dokumentieren.
Da IT-Sicherheit ein kontinuierlicher Prozess ist, genügt es nicht, alle Sicherheitsmaßnahmen einmal umzusetzen. Der Sicherheitsprozess muss kontinuierlich verbessert werden, auf neue technische Entwicklungen reagieren und vor allem müssen Schwachstellen und aufgedeckte Sicherheitslücken berücksichtigt werden. Daher ist der Sicherheitsprozess regelmäßig zu überprüfen, zu aktualisieren und Änderungen zu dokumentieren. Wichtige Verfahren sind dabei die Einführung von regelmäßigen Berichten (siehe M 2.200 Managementreporte und -bewertungen der IT-Sicherheit) und Meldeprozesse.
Eine Zertifizierung des IT-Sicherheitsprozesses dokumentiert die Einhaltung einer definierten Vorgehensweise und kann als unabhängiges Review-Verfahren in den Sicherheitsprozess integriert werden.
Das IT-Sicherheitskonzept wird in der Praxis häufig herangezogen, um konkrete Sicherheitsmaßnahmen bezüglich ihrer Umsetzung oder ihrer Aktualität zu überprüfen. Daher sollte es so strukturiert sein, dass
- spezifische Bereiche schnell gefunden werden können, und
- es mit minimalem Aufwand aktualisiert werden kann (hierfür bietet sich die Nutzung eines Tools an).
Außerdem sollten die einzelnen Sicherheitsmaßnahmen ausreichend konkret beschrieben sein, damit im Vertretungsfall ein Dritter sicherheitsspezifische Aufgaben übernehmen kann.
Ein Sicherheitskonzept kann Informationen beinhalten, die nicht beliebig weitergegeben werden sollten. Dies können zum Beispiel Angaben über noch nicht beseitigte Schwachstellen oder Informationen zu Maßnahmen sein, die geeignet sind, die Maßnahmen zu umgehen oder zu überwinden. Die Vertraulichkeit dieser Informationen ist sicherzustellen, indem ausschließlich den Betroffenen die für sie relevanten Teile zugänglich gemacht werden. Eine entsprechende Gliederung des Sicherheitskonzeptes kann dies unterstützen.
Es ist wichtig, ein gemeinsames Verständnis für Informationssicherheit in einer Institution herzustellen. Dazu gehört auch die Verwendung einheitlicher und klarer Begriffe. Daher sollte frühzeitig ein Glossar mit den wichtigsten Begriffen rund um IT-Sicherheit erstellt werden. Dieses Glossar sollte bei der Erstellung aller sicherheitsrelevanten Dokumente herangezogen werden. Es kann im IT-Sicherheitkonzept oder auch einzeln veröffentlicht werden.
Ergänzende Kontrollfragen:
- Existiert ein IT-Sicherheitskonzept?
- Wann wurde das IT-Sicherheitskonzept zuletzt aktualisiert?
- Wo befindet sich das IT-Sicherheitskonzept?
- Wer darf darauf zugreifen?
- Ist jeder Mitarbeiter zumindest über die ihn unmittelbar betreffenden Teile des IT-Sicherheitskonzeptes informiert?