Abb. 1: Hindernisse bei der Verbesserung der IT-Sicherheit
Die Schätzungen für einen mindestens befriedigenden Sicherheitsstand variieren zwischen 67 % und 84 % bei jenen Organisationen, die an der KES/UTIMACO-Sicherheitsstudie 2000 teilgenommen haben, dabei wird die Sicherheit zentraler DV besser bewertet als bei dezentralem IT-Einsatz. Man könnte also annehmen, dass bei etwa zwei Drittel aller Organisationen der Stand der Informations-sicherheit ausreichend zu sein scheint. Dennoch sind die Probleme, die einer Verbesserung der IT-Sicherheit im Wege stehen, seit Jahren unverändert. Es wird zwar mehr denn je in Sicherheitstechnik investiert und nach besten Kräften versucht, sich den Anforderungen der neuen Technologien zu stellen. Dennoch sind die größten Hindernisse (Abb. 1) bei der Durchsetzung von Sicherheitsmaßnahmen durch Investition in Technik nicht zu überwinden. Kompetente Mitarbeiter sowie Sicherheitsbewusstsein bei den Mitarbeitern und beim Management können durch Investition in Technik nicht geschaffen werden.
Abb. 1: Hindernisse bei der Verbesserung der
IT-Sicherheit
In Sicherheitsanalysen fließt ein hohes Maß an Expertenwissen ein, welches sich in IT-Sicherheitskonzepten als Basis für das Sicherheitsmanagement dokumentiert. Im Ergebnis werden IT-Nutzer mit geänderten organisatorischen Abläufen, neuen technischen Einrichtungen oder Benutzer-Oberflächen konfrontiert, die nicht einzusehende Einschränkungen bedeuten oder die Kenntnisse abverlangen, die man nicht besitzt. Wenn zusätzlich Vorgesetzte für die Notwendigkeit von IT-Sicherheit zu wenig motivieren, dann fehlt den konzipierten Maßnahmen die notwendige Akzeptanz, um erfolgreich umgesetzt werden zu können. Aufgrund fehlender strategischer Vorgaben und expertenlastiger Konzepte ist der Dialog und die Zusammenarbeit zwischen
extrem schwierig. Die Notwendigkeit einer Kooperation wird kaum eingesehen, weil bislang noch nichts passiert ist. In der Praxis begegnet man daher regelmäßig der Situation, dass nach dem Durchlauf der Konzeptionsphase der Prozess des IT-Sicherheitsmanagements sich auf die Pflege des IT-Sicherheitskonzeptes beschränkt. Für eine Koordination der Maßnahmenumsetzung und eine Kontrolle des Sicherheitsstatus fehlt oft die Autorisierung und damit kann die notwendige Beteiligung nicht eingefordert werden. IT-Sicherheit wird dann regelmäßig als rein technisches und nicht auch als organisatorisches Problem gesehen.
Zugegebenermaßen werden nicht nur die Aufgabenstellungen für ein IT-Sicherheitsmanagement mit der Öffnung der Systeme und der Abbildung von Geschäftsprozessen in virtuellen Sphären zunehmend komplex. Auch die Anforderungen an jeden Mitarbeiter in derart offenen Umgebungen gewinnen an Komplexität. Wir müssen uns von der landläufigen Meinung verabschieden, dass alleine durch Investition in Technik weitgehende Sicherheit zu erreichen wäre und die notwendigen Verhaltensweisen und Kenntnisse für das Erfüllen von Sicherheitsanforderungen per se vorhanden wären. Die in der Sicherheitsstudie belegte Diskrepanz zwischen Technikpotentialen und organisatorischen Fähigkeiten, respektive der Fähigkeiten dort handelnder Personen, muss aufgearbeitet werden.
Die Situation lässt sich mit den hier regelmäßig gestellten Fragen beschreiben: "Wie lässt sich ein IT-Sicherheitskonzept denn konsequent umsetzen?" oder "Wie bringt man es am besten an den Mann?" und "Welcher Aufwand ist denn zu betreiben?".
Beginnen wir bei der Beantwortung der letzten Frage: Wer heute noch glaubt, mit einem Mitarbeiter im Nebenamt Sicherheit in einer offenen Umgebung gewährleisten zu können, sollte sofort jedem den Zugang zu seinem IT-System - am sichersten durch Abschalten - verwehren.
|
Modellrechnung |
|
|
Anzahl Maßnahmen: |
500 |
|
Zeit für Planung: |
1 h (etwa Beschaffungsvorgang) |
|
Zeit für Einführung: |
1 h (etwa Installation) |
|
Zeit für Schulung: |
1 h (etwa autodidaktisch durch Lesen eines Handbuchs) |
|
Zeit für Dokumentation: |
1 h (etwa Anlegen eines Formulars für Rechtefreigaben) |
|
Zeit für Revision: |
1 h (etwa Auswerten eines Audit-Protokolls) |
|
Gesamt je Maßnahme: |
5 h * 500 Maßnahmen |
|
Gesamt alle Maßnahmen: |
2500 h / 7 h täglich effektive Arbeitszeit |
|
Arbeitstage: |
357 |
Das IT-Grundschutzhandbuch verzeichnet in seiner aktuellen Fassung ca. 500 Maßnahmen. Für eine Modellrechnung wollen wir von der pauschalen Annahme ausgehen, dass für jede Maßnahme in der Umsetzungsplanung, in deren Einführung, in der vorbereitenden Schulung, in der Dokumentation und in der Revision je eine Stunde anzusetzen ist. Ungeachtet des Aufwandes für die tägliche Anwendung erhalten wir so fünf Stunden pro Maßnahme als einmaligen pauschalen Aufwand. Umgerechnet auf Mitarbeitertage ergeben sich damit etwa 360 Tage. Das entspricht fast zwei Personenjahren, um die Maßnahmen des IT-Grundschutzes als Mindeststandard in einer Organisation umzusetzen. Dabei haben wir ausschließlich den Aufwand für die Maßnahmenumsetzung in die pauschale Betrachtung einbezogen, ein Zeitansatz für Sicherheitsanalysen sowie für die Erstellung und Pflege von IT-Sicherheitskonzepten ist vorstehend nicht berücksichtigt. Eine realistische Schätzung an einer konkreten Organisation würde insgesamt eher zu einem höheren Aufwand führen, zumal bei einer kritischen Überprüfung obiger Modellrechnung der regelmäßige Aufwand, z. B. in der täglichen gewissenhaften Anwendung und periodischen Revision bei der Mehrzahl der Maßnahmen, zu einem höheren Zeitansatz führen muss. Es liegt in der Verantwortung des Top-Managements, die notwendigen personellen Ressourcen bereitzustellen, wenn denn IT-Sicherheit in der Organisation ernsthaft betrieben werden soll. Mit einem Mitarbeiter im Nebenamt ist es eben nicht getan.
Um die Frage nach der konsequenten Umsetzung zu beantworten, ist die Betrachtung der Sicherheitskultur, konkretisiert in IT-Sicherheitszielen, erforderlich. Ordnungsgemäße und sichere IT-gestützte Aufgabenerfüllung setzt den sorgsamen Umgang mit Informationstechnik und die gewissenhafte Gestaltung der IT-Einsatzumgebung voraus. Sorgsamer Umgang und Gewissenhaftigkeit basieren auf Werthaltungen und Zielsetzungen, wie sie in sicherheitspolitischen Leitaussagen zu finden sind. Wo der Eindruck "lästiges Übel" vorherrscht (Abb. 2), bleibt es jedem Einzelnen überlassen Werte zu erkennen, Ziele zu sehen und Risikominimierung zu betreiben.
Abb. 2: Werterhaltung in Organisationen
Ohne eine schriftlich fixierte IT-Sicherheitspolitik, kann Sicherheit in der Organisation kaum gelebt werden. Beim notwendigen Transfer an die Arbeitsplätze kommen zu der fehlenden Information über Werthaltungen und Zielsetzungen oftmals noch fehlende Basiskenntnisse erschwerend hinzu. Man spricht dann von einem mangelnden Bewusstsein, weil eine Einsicht fehlt und Folgen des Handelns oder Unterlassens nicht abgeschätzt werden können. Mit der fehlenden Einsicht in mögliche Schäden und deren Folgen, wird die Sinnhaftigkeit von Maßnahmen im Arbeitsbereich in Frage gestellt und deren Notwendigkeit leichtfertig ignoriert. Anforderungen zur Erhöhung der Sicherheit werden als schwierig oder lästig empfunden und unzulässiger Weise vereinfacht oder umgangen. Damit lassen sich sicherheitsrelevante Maßnahmen kaum durchsetzen und Irrtum und Nachlässigkeit gewinnen als Gefährdung größte Bedeutung (Abb. 3).
Abb. 3: Bedeutung von Gefährdungen
Über Jahre hinweg werden in den Studien die gleichen zentralen Defizite genannt, und man scheint sich in einem Teufelskreis zu bewegen, in dem alle Bemühungen der Sicherheitsverantwortlichen zur Durchsetzung und Kontrolle von Maßnahmen kaum Chancen auf Erfolg haben.
Gute Beispiele sind eigentlich keine Mangelware, allerdings ist es Außenstehenden selten möglich solche zu identifizieren, weil dazu vergleichende Untersuchungen an verschiedenen Organisationen notwendig sind. Im Rahmen der Schulungsaktivitäten des BSI wird für jene IT-Sicherheitsverantwortliche, die an der Fortbildung zum IT-Sicherheitsbeauftragten teilnehmen, ein Coaching-Programm angeboten, mit dem wir deren Arbeit in der Organisation begleiten. Auf diesem Wege bietet sich uns die Möglichkeit, Einblick in verschiedene Organisationen zu nehmen und solche Vergleiche anzustellen.
Best practice in diesen Organisationen beginnt bei der schriftlichen Festlegung von Leitaussagen und Zielsetzungen zur Wahrung der Werte für die Organisationsarbeit. Als zentrales Basisdokument existieren dort schriftlich fixierte IT-Sicherheitsleitlinien, in denen Leitaussagen formuliert und Werte dokumentiert, sowie Erwartungshaltungen beschrieben und Verantwortlichkeiten festlegt sind. Die Zielerreichung wird durch das Top-Management beobachtet, Abweichungen von den Zielsetzungen werden analysiert und im Sinne einer lernenden Organisation aufgearbeitet. Die Leitungsebene motiviert und unterstützt dadurch die Umsetzung der IT-Sicherheitsmaßnahmen und engagiert sich aktiv für die Erreichung eines angemessenen Sicherheitsniveaus.
Die zentralen Basisdokumente tragen unterschiedliche Bezeichnungen, der englische Begriff "Security Policy" findet gleichermaßen Anwendung, wie der Begriff IT-Sicherheitshandbuch oder IT-Richtlinie.
Während im angloamerikanischen Sprachgebrauch die "Security Policy" regelmäßig im Zusammenhang mit dem Einsatz sicherheitsrelevanter IT-Systeme oder sicherheitskritischer IT-Anwendungen gesehen wird, trifft die IT-Sicherheitspolitik Aussagen für die gesamte Organisation.
Gerade im Bereich der behördlichen Arbeit sind die verwendeten Begriffe vielfach mit konkreter - aber anderer - Bedeutung belegt. Für Zwecke der IT-Sicherheitsschulung war daher eine Begriffsklärung notwendig. Die differenzierte Begriffswelt aus Sicht der IT-Sicherheitsschulung des BSI verdeutlicht der nachstehende Gliederungsvorschlag für eine IT-Sicherheitsleitlinie.
IT-Sicherheitsleitlinie |
|
Präambel (Leitaussagen insbes. für die Veröffentlichung in externen Darstellungen) |
|
|
Kapitel 1 |
IT-Sicherheitspolitik der Organisation |
|
Kapitel 2 |
abgeleitete IT-Sicherheitspolitiken (entspricht ´security policy´) 2.1 IT-Systeme (z.B. firewall policy) 2.2 IT-Anwendungen (z.B. e-mail-Anwendung) |
|
Kapitel 3 |
IT-Sicherheitsmanagement 3.1 Aufgaben des IT-Sicherheitsmanagements 3.2 Einbindung des IT-Sicherheitsmanagements in die IT-Sicherheitsorganisation 3.3 Zuständigkeit für die Erfüllung von IT-Sicherheitsanforderungen 3.4 Ablauforganisation für den ordnungsgemäßen und sicheren IT-Einsatz 3.5 Steuernde Instrumente des IT-Sicherheitsmanagements ... 3.n Organisation von IT-Projekten (Projekt-Handbuch) |
|
Kapitel 4 |
Regelwerke IT-Sicherheit 4.1 Regelwerk für IT-Nutzer (vielfach die APC-Richtlinie) 4.2 Regelwerk für IT-Betreiber 4.3 Regelwerk für Vorgesetzte ... 4.n Regelungen für sonstige Verantwortlichkeiten |
|
Anhänge allgemein Funktionsträger Dienstleistungen ... |
A.1 Dienstanweisungen zur Handhabung von Sicherheitseinrichtungen A.2 Dienstanweisung zum mobilen Einsatz von Laptops ... B.1 Dienstanweisung/Stellenbeschreibung für den IT-Sicherheitsbeauftragten B.2 Dienstanweisungen für Systembetreiber/Administratoren ... C.1 Organisation des RZ-Betriebes C.2 Richtlinien für die Programmentwicklung ... C.n Datenorganisation |
Unter dem Oberbegriff IT-Sicherheitsleitlinie werden demnach Zielsetzungen, Regelungen und Anleitungen zusammengefasst, die in hierarchischer Ordnung zueinander stehen und von oben nach unten an Detaillierung gewinnen. Dabei sind die Dokumente teils global adressiert, also verbindlich für die gesamte Organisation, teils sind sie verbindlich für Mitarbeiter in bestimmten Organisationseinheiten, andere besitzen dagegen Relevanz für die Arbeit einzelner Funktionsträger und wieder andere haben Außenwirkung.
Es werden in den Elementen der Sicherheitsleitlinie eine Reihe von Zielgruppen adressiert:
Damit stellt sich um so mehr die Frage nach dem Transfer auf die Arbeitsebene: "Wie bringt man es am besten an den Mann?". Hier hat sich als "best practice" die Zusammenführung aller Dokumente in einer Intranet-Lösung erwiesen. So lassen sich alle Dokumente zielgruppen-orientiert am Arbeitsplatz zur Verfügung stellen. Auch hier gibt es gute Beispiele, denen wir im Rahmen der IT-Sicherheitsschulung begegnet sind. Eine Sichtung der Lösungen dieser Organisationen kann an dieser Stelle allerdings nicht angeboten werden. Ersatzweise kann jedoch Einblick in die IT-Sicherheitsorganisation des "Bundesamtes für das gute Beispiel" genommen werden. Diese Organisation ist eine Fiktion, die für Schulungszwecke geschaffen wurde.
Im Rahmen des Coaching-Programms versenden wir Lehrbriefe, mit denen auf der Basis des IT-Grundschutzhandbuches zur organisations-spezifischen Umsetzung von IT-Sicherheitskonzepten angeleitet wird. Exemplarisch wurden die Lehrbriefinhalte durch das Referat IT-Sicherheitsschulung am "Bundesamt für das gute Beispiel" umgesetzt. So wurden strategische Konzepte entwickelt und daraus konkrete Regelungen für die IT-Sicherheitsorganisation abgeleitet. Die zielgruppenspezifische Aufbereitung der Inhalte und deren Bereitstellung am Arbeitsplatz erfolgte in einer Intranet-Lösung. Unter dem Arbeitstitel "Info-Desk IT-Sicherheit" entstand so eine HTML-basierte Sammlung von Musterdokumenten und Beispielen unter einer graphischen Benutzeroberfläche (Abb. 4). Die beispielhafte Lösung des "Bundesamts für das gute Beispiel" wird als Demo-Version einer "Informations-Börse IT-Sicherheit" ab Oktober 2000 über die IT-Grundschutz-CD vertrieben. Die Intranet-Lösung auf HTML-Basis bietet den Vorteil, dass sie auf allen gängigen Betriebssystemen und Browsern eingesetzt werden kann. Die auf der Grundschutz-CD vorliegende Informationsbörse wird von uns als Demo-Version bezeichnet, weil dort das "Bundesamt für das gute Beispiel" abgebildet wurde. Ansonsten stehen alle Funktionen in vollem Umfang zur Verfügung.
Abb. 4: Einstiegsseite in die Informationsbörse zur
IT-Sicherheit
Eine transparente Struktur erlaubt die problemlose Anpassung an die eigene Organisation, damit ist eine zentrale Verwaltung der Dokumente möglich und das hauseigene IT-Sicherheitskonzept kann flexibel eingepflegt werden.
Durch austauschbare Text- und Graphikfelder kann die Oberfläche einem hausspezifischem Layout sowie dem individuellen Sprachgebrauch angepasst und ihr ein individuelles Erscheinungsbild gegeben werden. Das eigene Logo lässt sich gleichermaßen plazieren wie das Einfügen in ein bestehendes hausspezifisches Informationsnetz. Der Info-Desk kann allerdings nicht die notwendigen eigenen Aktivitäten zur IT-Sicherheitskonzeption mit dem IT-Grundschutzhandbuch oder gar dem IT-Sicherheitshandbuch ersetzen, sondern er ist als deren ergänzende Anleitung zur Umsetzung der IT-Sicherheitskonzepte anzusehen. Er kann demzufolge auch nicht als fertiges Produkt beschafft und eingesetzt werden, sondern er bedarf der Anpassung an das organisationsspezifische IT-Sicherheitskonzept.
Über die graphische Benutzeroberfläche werden
für die unterschiedlichen Zielgruppen zur Verfügung gestellt.
Abb. 5: Zielgruppen der Informationsbörse
IT-Sicherheit
Während die allgemeinen Informationen vom BSI bereitgestellt werden, sehen die Lehrbriefe vor, die hausspezifischen Bereiche aus dem Strategiekonzept oder dem IT-Sicherheitskonzept zu füllen. Zusätzlich sind Informationen etwa über den Umgang mit eingesetzten Sicherheitsprodukten von der Organisation bereitzustellen. Je nach angeprochenem Organisationsbereich werden für spezielle Zielgruppen die Maßnahmenerläuterungen des IT-Grundschutzhandbuches gezogen. Auf der Ebene des IT-Nutzers werden die konkreten Regelungen für den IT-Arbeitsplatz aus der Organisation dargestellt. Die Informationen werden in unterschiedlichen Verzeichnisbäumen für Administration des Info-Desk, für allgemeine Informationen (öffentliches Verzeichnis), für hausspezifische Informationen (Domänen-Verzeichnis) und für aktuelle Informationen abgelegt. Bei Fortschreibungen des IT-Grundschutzhandbuches und Anpassungen der Informationsbörse können gezielt offene Strukturen ersetzt und Verwaltungsstrukturen und Domänenverzeichnisse erhalten bleiben.
Die Verbreitung "Informationsbörse IT-Sicherheit" als Demo-Version erfolgt derzeit über die IT-Grundschutz-CD.
Für eine erforderliche Anpassung an die hausspezifischen Regelungen ist der Vertrieb der "Informationsbörse IT-Sicherheit" - begleitet von erläuternden Lehrbriefen - über das elektronische Forum an die IT-Sicherheitsbeauftragten vorgesehen. Soweit Interesse besteht, können über die E-mail-Adresse it-sicherheitsschulung@bsi.de weitere Informationen angefordert werden.
In der nächsten Ausgabe der KES werden Struktur und Inhalt der "Informationsbörse IT-Sicherheit" näher vorgestellt.
© BSI, D-53133 Bonn,
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 5/2000, Seite 55
