Informationssicherheit und Informationsschutz im KMU Dieter Börner Management-Service Am Bahnhof 12   96328 Küps Tel. 09264 91323 Fax 09264 91324 Informationssicherheit und Informationsschutz im KMU Informationstechnik IT-Sicherheitsverfahren Managementsystem Anforderungen nach DIN ISO/IEC 27001

Noch ein Managementsystem? Stellen Sie sich vor, bei Ihnen gespeicherte Daten gelangen an die Öffentlichkeit. Daten werden mutwillig oder durch ein Unglück unwiederbringlich zerstört. Oder aus Ihrem Haus werden Massen-E-Mails mit Computer- Viren verschickt. Welche Konsequenzen drohen dem Unternehmen bzw. der Behörde und den verantwortlichen Personen?

Warum Informationssicherheits-Management Informationen sind ein wesentlicher Wert für Unternehmen und Behörden und müssen daher angemessen geschützt werden. Arbeits- und Geschäftsprozesse basieren immer stärker auf IT-Lösungen. Die Sicherheit und Zuverlässigkeit der Informations- und Kommunikationstechnik wird deshalb ebenso wie der vertrauenswürdige Umgang mit Informationen immer wichtiger. Unzureichend geschützte Informationen stellen einen häufig unterschätzten Risikofaktor dar, der für manche Institution existenzbedrohend sein kann.

Was ist Informationssicherheit? Informationssicherheit hat als Ziel den Schutz von Informationen jeglicher Art und Herkunft. Dabei können Informationen sowohl auf Papier, in Rechnersystemen oder auch in den Köpfen der Nutzer gespeichert sein. IT-Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Die klassischen Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Aber auch Authentizität, Verbindlichkeit, Zuverlässigkeit und Nichtabstreitbarkeit.

Das Sicherheitsniveau anheben Ein angemessenes Sicherheitsniveau ist in erster Linie abhängig vom systematischen Vorgehen und erst in zweiter Linie von einzelnen technischen Maßnahmen. Die folgenden Überlegungen verdeutlichen diese These: Die Leitungsebene trägt die Verantwortung, dass gesetzliche Regelungen und Verträge mit Dritten eingehalten werden und dass wichtige Geschäftsprozesse störungsfrei ablaufen. Informationssicherheit hat Schnittstellen zu vielen Bereichen einer Institution und betrifft wesentliche Geschäftsprozesse und Aufgaben. Nur die Leitungsebene kann daher für eine reibungslose Integration des Informationssicherheitsmanagements in bestehende Organisationsstrukturen und Prozesse sorgen. Die Leitungsebene ist zudem für den wirtschaftlichen Einsatz von Ressourcen verantwortlich.

Übersicht zur ISO 27000 Informationssicherheit ISO 27000 Dieser Standard gibt einen allgemeinen Überblick über Managementsysteme für Informationssicherheit (ISMS) ISO 27001 ist der erste internationale Standard zum Management von Informationssicherheit, der auch eine Zertifizierung ermöglicht. (Seit Februar 2014 als DIN/IEC 27001 Entwurf) ISO 27002 befasst sich mit den erforderlichen Schritten, um ein funktionierendes Sicherheitsmanagement aufzubauen und in der Organisation zu verankern. Die erforderlichen Sicherheitsmaßnahmen werden auf den circa 100 Seiten des ISO-Standards ISO/IEC 27002 nur kurz beschrieben. ISO 27005 enthält Rahmenempfehlungen zum Risikomanagement für Informationssicherheit. ISO 27006 spezifiziert Anforderungen an die Akkreditierung von Zertifizierungsstellen für ISMS und behandelt auch Spezifika der ISMS-Zertifizierungsprozesse.

Inhalte der ISO 27001 Informationstechnik - IT-Sicherheitsverfahren – Informationssicherheits- Managementsysteme - Anforderungen 4 Informationssicherheits-Managementsystem 4.1 Allgemeine Anforderungen 4.2 Festlegung und Verwaltung des ISMS 4.2.1 Festlegen des ISMS 4.2.2 Umsetzen und Durchführen des ISMS 4.2.3 Überwachen und Überprüfen des ISMS 4.2.4 Instandhalten und Verbessern des ISMS 4.3 Dokumentationsanforderungen 4.3.1 Allgemeines 4.3.2 Lenkung von Dokumenten 4.3.3 Lenkung von Aufzeichnungen 5 Verantwortung des Managements 5.1 Verpflichtung des Management 5.2 Management von Ressourcen 5.2.1 Bereitstellung von Ressourcen 5.2.2 Schulungen, Bewusstsein und Kompetenz 6 Interne ISMS-Audits 7 Managementbewertung des ISMS 7.1 Allgemeines 7.2 Eingaben für die Bewertung 7.3 Ergebnisse der Bewertung 8 Verbesserung des ISMS 8.1 Ständige Verbesserung 8.2 Korrekturmaßnahmen 8.3 Vorbeugungsmaßnahmen

Praktische Hilfe? ISO 27001 gibt auf ca. 10 Seiten allgemeine Empfehlungen . Die Leser erhalten keine Hilfe für die praktische Umsetzung. ISO 27002 befasst sich hauptsächlich mit den erforderlichen Schritten, um ein funktionierendes Sicherheitsmanagement aufzubauen und in der Organisation zu verankern. Die erforderlichen Sicherheitsmaßnahmen werden auf den circa 100 Seiten nur kurz beschrieben. Die Empfehlungen sind in erster Linie für die Management-Ebene gedacht und enthalten daher kaum konkrete technische Hinweise.

Unterstützer? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet seit vielen Jahren Informationen und Hilfestellungen rund um das Thema Informationssicherheit: Als ganzheitliches Konzept für Informationssicherheit hat sich das Vorgehen nach IT-Grundschutz zusammen mit den IT-Grundschutz-Katalogen des BSI als Standard etabliert. Diese vom BSI seit 1994 eingeführte und weiterentwickelte Methode bietet sowohl eine Vorgehensweise für den Aufbau einer Sicherheitsorganisation als auch eine umfassende Basis für die Risikobewertung, die Überprüfung des vorhandenen Sicherheitsniveaus und die Implementierung der angemessenen Informationssicherheit.

Ausgewählte BSI-Publikationen und Standards zur Informationssicherheit Informationssicherheit und IT-Grundschutz www.bsi.bund.de

BSI-Standard 100-1 Managementsysteme für Informationssicherheit Der vorliegende Standard beschreibt, wie ein Informationssicherheitsmanagementsystem (ISMS) aufgebaut werden kann. Ein Managementsystem für Informationssicherheit legt fest, mit welchen Instrumenten und Methoden die Leitungsebene einer Institution die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt. Dieser BSI-Standard beantwortet unter anderem folgende Fragen: - Was sind die Erfolgsfaktoren beim Management von Informationssicherheit? - Wie kann der Sicherheitsprozess vom verantwortlichen Management gesteuert und überwacht werden? - Wie werden Sicherheitsziele und eine angemessene Sicherheitsstrategie entwickelt? - Wie werden Sicherheitsmaßnahmen ausgewählt und ein Sicherheitskonzept erstellt? - Wie kann ein einmal erreichtes Sicherheitsniveau dauerhaft erhalten und verbessert werden? Dieser Management-Standard stellt kurz und übersichtlich die wichtigsten Aufgaben des Sicherheitsmanagements dar. Bei der Umsetzung dieser Empfehlungen hilft das BSI mit der Methodik des IT-Grundschutzes. Der IT-Grundschutz gibt eine Schritt-für-Schritt-Anleitung für die Entwicklung eines Informationssicherheitsmanagements in der Praxis und nennt sehr konkrete Maßnahmen. Die Vorgehensweise nach IT-Grundschutz wird im BSI-Standard 100-2 beschrieben und ist so gestaltet, dass möglichst kostengünstig ein angemessenes Sicherheitsniveau erreicht werden kann. Ergänzend dazu werden in den IT-Grundschutz-Katalogen Standard-Sicherheitsmaßnahmen für die praktische Implementierung des angemessenen Sicherheitsniveaus empfohlen.

ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz Das Bundesamt für Sicherheit in der Informationstechnik bietet seit Januar 2006 die ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an. Hierüber kann nachgewiesen werden, dass in einem Informationsverbund die wesentlichen Anforderungen nach ISO 27001 unter Anwendung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2) und gegebenenfalls einer ergänzenden Risikoanalyse (BSI-Standard 100-3) umgesetzt wurden. Das BSI bietet weiterhin zwei Vorstufen vor dem Zertifikat an, diese dienen als Migrationspfad zur eigentlichen Zertifizierung: das „Auditor-Testat Einstiegsstufe“ und das „Audior-Testat Aufbaustufe“. Hierbei unterscheiden sich die einzelnen Stufen durch die Anzahl der umzusetzenden Maßnahmen. Jeder Maßnahme eines IT-Grundschutz-Bausteines ist eine dieser drei Stufen zugeordnet, so dass transparent ist, welche konkreten Sicherheitsempfehlungen aus den IT-Grundschutz-Katalogen umzusetzen sind.

ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz Einen Antrag auf ein Auditor-Testat kann die Institution nach Umsetzung aller für die jeweilige Stufe relevanten Maßnahmen und einer Überprüfung der Umsetzung von einem beim BSI lizenzierten Auditor stellen. Ein Auditor-Testat hat eine Gültigkeit von zwei Jahren und kann nicht verlängert werden, da es als Vorstufe für die Zertifizierung dient. Nach Umsetzung aller für die Zertifizierung relevanten Maßnahmen kann die Institution einen beim BSI lizenzierten ISO 27001-Auditor beauftragen, den Informationsverbund gemäß dem Prüfschema des BSI zu überprüfen. Die Ergebnisse dieser unabhängigen Prüfung werden in einem Auditreport festgehalten. Ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz kann zusammen mit der Einreichung des Auditreports beim BSI beantragt werden. Nach Prüfung des Reportes durch Experten des BSI erteilt die Zertifizierungsstelle das Zertifikat, das ebenso wie die Auditor-Testate vom BSI veröffentlicht wird. Alle zertifizierungsrelevanten Informationen wie das Zertifizierungsschema und die Namen der lizenzierten Auditoren sind öffentlich verfügbar und können unter www.bsi.bund.de/grundschutz/zert eingesehen werden.

Ganzheitlicher Ansatz im Informationsverbund Informationssicherheit ist eine grundlegende und prozessübergreifende Anforderung an Institutionen. Das Ziel von Informationssicherheit ist es, Unternehmen vor Schäden zu schützen, nicht nur einzelne Rechner. Daher ist ein ganzheitlicher Ansatz unabdingbar.

Organisation von Informationssicherheit Um ein angemessenes Sicherheitsniveau nicht nur zu erreichen, sondern auch kontinuierlich aufrecht zu erhalten, muss Informationssicherheit als ein kontinuierlicher Prozess betrieben und gelebt werden.

Organisation von Informationssicherheit Beim Aufbau und Betrieb des Managementsystems und der Sicherheitsprozesse müssen einige zentrale Fragen beantwortet werden. Dadurch lassen sich sowohl ein angemessenes Sicherheitsniveau als auch eine grundsätzliche Sicherheitsstrategie ableiten.

Fragen zur Sicherheitsstrategie 1. Welches sind die zentralen und essentiellen Werte, die für die Institution unabdingbar sind? 2. Welchen realen Risiken ist die Institution ausgesetzt und wie soll darauf reagiert werden? 3. Wie kann strukturiert ein angemessenes und prozessorientiertes Sicherheitsmanagement erreicht werden? 4. Welche technischen und organisatorischen Maßnahmen sind im Hinblick auf den Sicherheitsgewinn notwendig und wirtschaftlich sinnvoll? 5. Welchen sicherheitsrelevanten Veränderungen ist die Institution unterworfen und wie muss darauf reagiert werden?

Definition der Sicherheitsstrategie

Das Managementsystem

Komponenten eines Managementsystems für Informationssicherheit • Management-Prinzipien • Ressourcen • Mitarbeiter • Sicherheitsprozess: - Leitlinie zur Informationssicherheit, in der die Sicherheitsziele und die Strategie zu ihrer Umsetzung dokumentiert sind - Sicherheitskonzept - Informationssicherheitsorganisation

Der Lebenszyklus in der Informationssicherheit

Der Weg zur Informationssicherheit

Zum Beispiel 77 Seiten Goldene Regeln

Das 5 Schichten Model der Grundschutz-Kataloge

Das 5 Schichten Model der Grundschutz-Kataloge Schicht 1 umfasst sämtliche übergreifenden Aspekte der Informationssicherheit. Beispiele sind die Bausteine Personal, Datensicherungskonzept und Outsourcing (16 Bausteine). Schicht 2 befasst sich mit den baulich-technischen Gegebenheiten. Beispiele sind die Bausteine Gebäude, Serverraum und häuslicher Arbeitsplatz (12 Bausteine). Schicht 3 betrifft die einzelnen IT-Systeme. Beispiele sind die Bausteine Allgemeiner Client, Allgemeiner Server, TK-Anlage, Laptop und Mobiltelefon (24 Bausteine). Schicht 4 betrachtet die Vernetzungsaspekte der IT-Systeme. Beispiele sind die Bausteine Heterogene Netze, WLAN, VoIP sowie Netz- und Systemmanagement (8 Bausteine). Schicht 5 schließlich beschäftigt sich mit den eigentlichen Anwendungen. Beispiele sind die Bausteine E-Mail, Webserver und Datenbanken (22 Bausteiene).

Gefährdungskataloge Dieser Bereich enthält die ausführlichen Beschreibungen der Gefährdungen, die in den einzelnen Bausteinen als Gefährdungslage genannt wurden. Die Gefährdungen sind in fünf Kataloge gruppiert: G 1: Höhere Gewalt G 2: Organisatorische Mängel G 3: Menschliche Fehlhandlungen G 4: Technisches Versagen G 5: Vorsätzliche Handlungen

Beispiel Gefährtungskatalog (46 Seiten)

Maßnahmenkataloge Dieser Teil beschreibt die in den Bausteinen der IT-Grundschutz-Kataloge zitierten Sicherheitsmaßnahmen ausführlich. Die Maßnahmen sind in sechs Kataloge gruppiert: M 1: Infrastruktur M 2: Organisation M 3: Personal M 4: Hard- und Software M 5: Kommunikation M 6: Notfallvorsorge

BSI Download zu den 5 Schichten Bausteine B1 Übergreifende Aspekte B2 Infrastruktur B3 IT-Systeme B4 Netze B5 Anwendungen Gefährdungskataloge G0 Elementare Gefährdungen G1 Höhere Gewalt G2 Organisatorische Mängel G3 Menschliche Fehlhandlungen G4 Technisches Versagen G5 Vorsätzliche Handlungen Maßnahmenkataloge M1 Infrastruktur M2 Organisation M3 Personal M4 Hardware und Software M5 Kommunikation M6 Notfallvorsorge Hilfsmittel Checklisten und Formulare Muster und Beispiele Tools zur Unterstützung des Grundschutzprozesses IT-Grundschutz-Beispielprofile Dokumentationen und Studien Informationen externer Anwender Archiv

BSI Download weitere Beispiele 2011, 12. EL: HTML-Seiten IT-Grundschutz-Kataloge (ZIP ca. 10 MB) 2011, 12. EL:  IT-Grundschutz-Kataloge 12. Ergänzungslieferung (Dokument ist nicht barrierefrei) (PDF, ca. 52,2 MB) 2009, 11. EL: IT-Grundschutz-Kataloge - 11. Ergänzungslieferung (PDF ca. 30,0 MB) 2009, 11. EL: Die IT-Grundschutz-Kataloge im Word 2000-Format (gezippte Versionen). Unterteilt in:  Bausteine (zip, 9,02 MB)  Maßnahmen (zip, 29,78 MB)  Gefährdungen (zip, 4,24 MB)  IT-Grundschutz-Profil - Anwendungsbeispiel für eine kleine Instution (pdf, 1,11 MB)  IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand (pdf, 1,63 MB)  IT-Grundschutz-Profil - Anwendungsbeispiel für eine große Instution (pdf, 2,61 MB)  IT-Grundschutz-Profil - Anwendungsbeispiel für das produzierende Gewerbe (pdf, 1,98 MB)

Viel Erfolg auf Ihrem Weg zur Informationssicherheit