ISO 27001 in der betrieblichen Praxis Dieter Brunner Chief Security Officer GRZ IT Gruppe

Quelle: BSI; Die Lage der IT-Sicherheit in Deutschland 2011 Häufig findet man … spontane einmalige Aktionen bei neuen Bedrohungen engagierte Einzelkämpfer mit unklaren Verantwortlichkeiten gute Einzellösungen anstatt eines Gesamtkonzeptes mit dokumentierten Richtlinien sorglosen Umgang mit den Sicherheitsrichtlinien mangelhaften Schutz vor Elementarschäden Sicherheit mit einem zu geringen Stellenwert im Unternehmen - Kostenfaktor, dessen Nutzen nur schwer nachzuweisen ist einen Schuldigen, wenn etwas passiert Quelle: BSI; Die Lage der IT-Sicherheit in Deutschland 2011 IT-Sicherheit: die traditionellen Sichtweise – Traditionell wird Computer-Sicherheit als technisches Problem gesehen • Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls, IDS/IPS, VPNs, PKI, Biometrie, ... – Mit Technik können Bedrohungen eliminiert werden • Der Glaube ist, dass uns Technik Sicherheit verschafft ... • ... und dass mehr Technik mehr Sicherheit bietet IT-Sicherheit: Irrweg der traditionellen Sichtweise – Die Bedrohungen wurden nicht eliminiert • Die Bedrohung der Computer und Netzwerke wächst • Die Abwehrmaßnahmen werden immer besser, ... aber auch die Angriffstechniken – Die Risiken nehmen immer stärker zu • Die Zahl der Benutzer Mobiler Devices steigt • Die Zahl kritischer Internet-Anwendungen steigt

… Fehleinschätzung des eigenen Schutzbedarfes „Bei uns ist noch nie etwas passiert“ … oder hat nur niemand etwas bemerkt ? „Was soll bei uns schon zu holen sein“ … oder werden doch Daten verarbeitet, die Missbrauch mit Folgen ermöglichen ? „Unsere Mitarbeiter sind vertrauenswürdig“ … aber auch ein guter Administrator kann einen Fehler machen oder etwas übersehen ! Sensibilisierung und Schulung ist wichtig, da die Mehrzahl der Sicherheitsvorfälle von Innen ausgehen. Quelle: BSI; Die Lage der IT-Sicherheit in Deutschland 2009 Risikofaktor Mitarbeiter – jeder kann einen Fehler machen Es gibt keinen Patch für menschliche Fehlhandlungen ! Quelle: BSI; Die Lage der IT-Sicherheit in Deutschland 2009

Warum braucht man IT-Sicherheit Beweggründe für eine Zertifizierung Wettbewerbsfaktor: E-Business gewinnt an Bedeutung Schutz der Unternehmenswerte: Risiko-/Schadenminimierung Kunden und Geschäftspartner verlangen IT-Sicherheit Unmittelbare Handlungs- und Haftungsverpflichtungen der Geschäftsführung aufgrund gesetzlicher Regelungen GmbH-Gesetz – Geschäftsführern wird „die Sorgfalt eines ordentlichen Geschäftsmannes“ auferlegt Aktiengesetz – Persönliche Haftung des Vorstands bei fehlendem Risikomanagement Urheberrecht – Urheberrechtsverletzungen (zB Download von Datenschutz geschützten Materalien (MP3, Filmer, Software) Der Umsetzungsgrad der gesetzlichen Rahmenbedingungen scheint, abgesehen vom Datenschutz, noch unterdurchschnittlich zu sein. Das lässt die Vermutung zu, dass das Thema Compliance ebenfalls weitgehend als Aufwand und nicht als Chance gesehen wird, IT-Service-Prozesse zu optimieren, um dies als Wettbewerbsvorteil zu nutzen. IT-Sicherheit ist eine gesetzlich verankerte Aufgabe der Geschäftsführung! Juristische Sichtweise: Die Umsetzung „wirtschaftlich zumutbarer Maßnahmen“ wird erwartet, keine 100%-ige Sicherheit ! Quelle: KES06, Umseztzungsgrad gesetzlicher Rahmenwerke

Was versteht man unter IT-Sicherheit Ein Informationssystem wird als sicher bezeichnet, wenn es folgende Bedingungen in einem geplanten Ausmaß erfüllt: Integrität Vertraulichkeit Verbindlichkeit Verfügbarkeit Es lässt unberechtigtes Verändern nicht zu. Es lässt unberechtigte Nutzung nicht zu. Es ermöglicht den Nachweis von Verpflichtungen. Es ist für Benutzer immer verfügbar. Wo findet man Hilfe bei der Umsetzung ISO/IEC 27002 „Information technology – Information security management systems – Requirements“ [http://www.iso.org] Quelle: Heinrich, Heinzl, Roithmayr; Wirtschaftsinformatik-Lexikon Informationssicherheitshandbuch der A-SIT [https://www.sicherheitshandbuch.gv.at/] IT-Grundschutzhandbuch des BSI [http://www.bsi.de/gshb]

Prozessorientierte Managementsysteme Die ISO-Standards orientieren sich am PDCA-Modell (plan-do-check-act), einem Kreis, der sich schließen soll. Fragt sich nur, wo der Anfang ist ? PLAN – Sicherheitsanalyse Schwachstellenerkennung Risikoanalyse Sicherheitspolitik (Ziele und Grundsätze) ACT – Wartung und Verbesserung Kontinuierliche Verbesserung durch korrektive und präventive Maßnahmen strategisch DO – Implementierung und Sensibilisierung Implementierung und Betrieb der Maßnahmen und Prozesse (personell, organisatorisch, technisch) Sensibilisierung, Mitarbeiterschulung operativ ITIL bzw. ISO 20000, 27001 und 9001 haben vergleichbare Grundanforderungen und ermöglichen daher die Nutzung eines integrierten Managementsystems. Mögliche Ausgangsszenarien: Es existiert noch kein Managementsystem im Unternehmen. Für den Aufbau eines integrierten Managementsystems sollte das QM-System nach ISO 9001 als Ausgangpunkt gewählt werden, da die anderen Standards den Aufbau von vergleichbaren Managementprozessen voraussetzen: - Dokumentenlenkung zur Erstellung, Freigabe, Aktualisierung und Vernichtung von Dokumenten. - Korrektur- und Vorbeugemaßnahmen zur stetigen Optimierung der Produkt-/Prozessqualität. - Audits zur Beurteilung der Aktualität und Wirksamkeit der Prozesse und Richtlinien. - Managementreviews dienen zur Prüfung der Eignung und Effektivität des Managementsystems durch das Management und zur Genehmigung von Korrektur- und Vorbeugemaßnahmen. Es existiert bereits ein Managementsystem im Unternehmen. Unternehmen die bereits über ein QM-System nach ISO 9001 verfügen, benötigen für ein ISMS deutlich weniger Ressourcen und Zeit, da die eingeführten Prozesse zur Dokumentenlenkung, für Korrektur- und Vorbeugemaßnahmen und Audits mit Management-Reviews genutzt werden können (d.h. fehlt ISO 27001 Anhang A und möglicherweise eine Erweiterung des Risikomanagements). Als logisch nächster Schritt sollte ISO 20000 integriert werden, da die anderen Standards ebenfalls den Aufbau der benötigten IT-Prozesse nach der in ITIL vorgeschlagenen Struktur fordern. Die Managementsysteme für Qualität und Sicherheit existieren bereits, wurden aber getrennt aufgebaut und betrieben. Richtlinien zum Umgang mit der IT existieren in jedem Unternehmen und werden von verschiedenen Stellen (Entwicklung, Produktion, Sicherheit, Personal oder Management) mit unterschiedlichen Zielsetzungen herausgegeben. Aus Sicht der Mitarbeiter verursacht das getrennte Bereitstellen von Qualitäts- und Sicherheitsvorgaben allerdings zusätzlichen Zeitaufwand beim Lesen und Vergleichen der einzelnen Vorgaben, da nicht der Ursprung von Interesse ist, sondern nur welche Richtlinien gemäß der jeweiligen Rolle (Anwender, Projekt- bzw. Systemverantwortlicher oder Führungskraft) relevant sind. Das Ziel sollte daher sein, eine Gesamtsicht auf alle für den jeweiligen Mitarbeiter relevanten Richtlinien bereitzustellen und Such- bzw. Filter-Möglichkeiten anzubieten, um Sichten nach Standards (Qualität, Sicherheit oder ITSM) für Auditoren oder Themengebieten (Zutritt, Passwortgebrauch, Internetnutzung) für Anwender bereitstellen zu können. Um auch wiederkehrende Fragen der Mitarbeiter effizient abhandeln zu können, ohne den redaktionellen Aufwand wesentlich zu erhöhen, bietet sich der Einsatz eines moderierten WIKI an. CHECK – Überwachung und Prüfung Überprüfung der Maßnahmen und Prozesse auf Wirksamkeit Bericht an das Management administrativ