Management und Wissen

Zertifizierung

Aussagefähige IT-System-Zertifikate nach BS 7799

Von Reinhard Voßbein, Wuppertal

Gegenüber Sicherheitszertifikaten von IT-Systemen war in der Vergangenheit eine gewisse Skepsis angebracht, da man üblicherweise Verfahren der technischen Systemprüfung auf Gesamtsysteme anwandte, obwohl die nichttechnisch zu definierenden Systemteile häufig dominierten. Der in den letzten Jahren entwickelte British Standard BS 7799 hat hier zu einer deutlichen Veränderung und Verbesserung geführt.

Bei der Auditierung und Zertifizierung gemäß BS 7799 stehen vor allem die IT-Sicherheitsmanagementsysteme im Rampenlicht. Zwar werden auch technische Aspekte in hinreichender Tiefe betrachtet, die Managementkomponenten dominieren jedoch stets. Besondere Bedeutung hat die Sicherheitspolitik des Unternehmens: Man geht davon aus, dass ohne eine konsistente, explizit formulierte und kommunizierte Sicherheitspolitik kein Sicherheitsmanagementsystem auf Dauer erfolgreich sein kann. Diese Betrachtung und Gewichtung unterscheidet den BS 7799 von anderen Wertungssystemen.

Ein wesentlicher Aspekt liegt des weiteren in der Möglichkeit der Zertifizierung von Teilsystemen. So lassen sich beispielsweise nur das Business Continuity System oder die Notfallmanagementsysteme eines Unternehmens nach den Grundprinzipien des BS 7799 auditieren und zertifizieren. Wo man vor allem die Außenwirkung des Zertifikates achtet, kann dies, etwa für ein Unternehmen der Dienstleistungsbranche, als wesentliches Marketingargument dienen.

----------Anfang Textkasten----------

Wozu ein Zertifikat?

Nebeneffekte sind darüber hinaus:

----------Ende Textkasten----------

Die Gliederung des BS 7799 enthält ansonsten alle wesentlichen Inhalte anderer einschlägiger Strukturen, wie etwa des BSI-Grundschutzhandbuches - wenngleich einige Punkte in einer etwas eigenwilligen Art angeordnet sind. In der folgenden Übersicht wurden geringfügige Überarbeitungen vorgenommen und bestimmte kapitelmäßige Vertiefungen gekürzt - die einzelnen Punkte sollten keinen weiteren Kommentar erfordern:

  1. Zielsetzung des BS 7799
  2. Vorgehensweise
  3. Sicherheitspolitik des Unternehmens
  4. Organisation der Sicherheit
    1. Infrastruktur der Informationssicherheit
    2. Sicherheit beim Zugang durch Fremdunternehmen
  5. Beurteilung und Kontrolle der Werte
  6. Personelle Sicherheit
    1. Personenorientierte Fragen
    2. Benutzerschulung
  7. Physische und umgebungsbezogene Sicherheit
    1. Sicherheitszonen und Geräte
    2. Allgemeine Maßnahmen
  8. Management der Kommunikation und des Betriebs
    1. Betriebsverfahren und -verantwortlichkeiten
    2. Systemplanung und -abnahme
    3. Schutz vor bösartiger Software
    4. Netzwerkmanagement
    5. Umgang mit und Sicherheit von Datenträgern
    6. Austausch von Informationen und Software
  9. Zugangskontrolle
    1. Geschäftsanforderungen an die Zugangskontrolle
    2. Verwaltung der Benutzer-Zugriffsrechte
    3. Netzzugriffskontrolle
    4. Kontrolle des Betriebssystemzugriffs
    5. Zugriffskontrolle für Anwendungen
    6. Mobile Computing und Telearbeit
  10. Systementwicklung und -wartung
    1. Sicherheitsanforderungen an Systeme
    2. Sicherheit in Anwendungssystemen
    3. Kryptographische Maßnahmen
    4. Sicherheit bei Entwicklungs- und Supportprozessen
  11. Management des kontinuierlichen Geschäftsbetriebs
  12. Einhaltung von Verpflichtungen
    1. Einhaltung gesetzlicher Verpflichtungen
    2. Überprüfungen der Einhaltung technischer Normen

Der Weg zum Zertifikat

Vom Verfahren her geht einer Zertifizierung grundsätzlich eine Auditierung voraus. Unter Auditierung soll die Prüfung eines bestehenden Systems im Hinblick auf das Vorliegen bestimmter Voraussetzungen verstanden werden. Wenn der BS 7799 den Anspruch erhebt, Systeme besser auditieren und zertifizieren zu wollen, wird dargelegt werden müssen, warum die von diesem Standard angewendeten Verfahren besser geeignet sind, den Sicherheitsstatus eines Systems zu charakterisieren als andere.

Zweifellos hat die Auditierung von Systemen einen Wert an sich: Dieses belegt die Tatsache, dass Abteilungen wie interne Revisionen oder andere auditieren und dass aufgrund von Audit-Berichten Maßnahmen zur Schwachstellenbeseitigung und Verbesserung der Sicherheit von IT-Systemen getroffen werden. Auditierung als Bestandteil eines Zertifizierungsprozesses dokumentiert jedoch vor allem den Zustand der Sicherheit eines IT-Systems mit dem Ziel der nachfolgenden Prüfung, ob ein Zertifikat erstellt werden kann oder nicht. Im Regelfall leitet man einen Zertifizierungsprozess jedoch nur dann formal in die Wege, wenn man einigermaßen sicher sein kann, dass ein positives Ergebnis zu erreichen ist. Der von Externen abzuwickelnde Auditierungs- und nachfolgende Zertifizierungsprozess startet daher erst dann, wenn die internen Bedingungen für ein wahrscheinlich erfolgreich ablaufendes Verfahren gesichert sind. Somit besteht der gesamte Zertifizierungsprozess aus folgenden internen und externen Verfahrensschritten:

1. Zertifizierungsbeschluss des Managements
2. Entscheidung für ein Zertifizierungsverfahren

Diese fällt bei der Zertifizierung der Sicherheit von IT-Systemen leicht, da zurzeit nur ein Standard von übergreifender Bedeutung existiert: der BS 7799. Auf dem IT-Sektor sind heutzutage (auch auf Gebieten, die nicht ausschließlich sicherheitsspezifisch sind) einheitliche Normen nur schwer zu finden, wie die Beispiele E-Mail und digitale Signatur belegen. Insofern ist der BS 7799 eine solide - auch international anerkannte - Grundlage für Auditierung und Zertifizierung von IT-Systemen. Dieser Standard hat inzwischen eine gewisse universelle Bedeutung erlangt und gilt z. B. als Prüfnorm in den Niederlanden, Norwegen, Großbritannien, der Schweiz und verschiedenen außereuropäischen Ländern.

3. Auswahl eines Zertifizierers

Hier bieten sich sinnvollerweise nur akkreditierte Zertifizierer an, da nur diese die Berechtigung haben, ein Zertifikat auszustellen.

4. Gespräch über sinnvolle interne Vorbereitungen zur Auditierung und Zertifizierung

Das Vorgespräch zwischen dem qualifizierten Zertifizierer und dem Unternehmen, welches sich zertifizieren lassen will, hat eine hohe Bedeutung: Es stellt entscheidend die Weichen für ein erfolgreiches Zertifizierungsverfahren, da der Vorbereitungsprozess durch ein internes Team für den Erfolg des gesamten Ablaufs besonders wichtig ist. Es ist zu beachten, dass die zertifizierende Institution im Vorfeld keine Beratungen durchführen darf, um nicht im späteren Zertifizierungsprozess die Objektivität zu verlieren.

5. Durchführung der internen Vorbereitungsprozesse

Dies entscheidet häufig über Bestehen oder Nichtbestehen. Man sollte ein kompetentes Team aufstellen, das die vom Zertifizierer gegebenenfalls zur Verfügung gestellten Hilfen sorgfältig nutzt. Dabei sollte heute selbstverständlich sein, dass zur Vorbereitung nicht nur Papierberge angeboten werden, sondern auch computergestützte Hilfen.

6. Durchführung des (extern abgewickelten) Audits

Das Audit selbst nimmt den BS 7799 als Prüfnorm und vergleicht die vorgegebenen Punkte mit der Realisierung im Unternehmen. Hierbei werden sich in der Regel Diskrepanzen ergeben, deren Auflösung in einem bilateralen Gespräch erfolgen kann.

7. Erstellen und Durchsprechen des Audit-Berichts

Nur dann, wenn man über die geprüften und vorgefundenen Daten in diesem Gespräch Einigkeit erzielt, wird die Zertifizierungsentscheidung später voll akzeptiert werden.

8. Zertifizierungsentscheid: (bei Gutbefund) Ausstellen des Zertifikats

Es gibt drei Möglichkeiten, eine Zertifizierungsentscheidung begründet zu fällen:

Das Zertifikat hat grundsätzlich eine beschränkte Gültigkeitsdauer. Man kann im Regelfall von drei Jahren ausgehen. Allerdings können einschneidende Systemveränderungen durch Inbetriebnahme neuer Systemkomponenten und/oder Anwendungen die Gültigkeit eines Zertifikates aufheben. Solche Änderungen sind der zertifizierenden Stelle zu melden, damit gegebenenfalls durch eine Nachzertifizierung eine Erneuerung erfolgen kann.

Audit-Ablauf

Es erscheint durchaus sinnvoll, die Auditierung als die Verifizierung der Feststellungen einer vorhergehenden Analyse aufzufassen. Damit zerfiele der eigentliche Ablauf in zwei Teilprozesse: Der erste ist die Feststellung von Tatbeständen, was sich beispielsweise in Teamprozessen erarbeiten lässt.

Der zweite Teilprozess ist die Verifizierung oder Falsifizierung dieser Feststellungen durch Vor-Ort-Erhebungen und direkte Prüfungen vor allem derjenigen Feststellungen, die nach Kenntnis des Auditierenden und aufgrund seiner fachlichen Qualifikation wenig wahrscheinlich erscheinen. Da insbesondere bei hochkomplexen Systemen eine hundertprozentige Auditierung aus Zeit- und Kostengründen kaum realisierbar scheint, erlangt der Auditierungsprozess auf Stichprobenbasis besonderes Gewicht. Dieses Verfahren ist weitgehend identisch mit demjenigen, das interne und externe Revisoren schon immer bevorzugt haben.

Von großer Bedeutung ist die Festlegung so genannter K.-o.-Kriterien, die dann allerdings sämtlich einer Auditierung zu unterwerfen sind. K.-o.-Kriterien sind absolute Muss-Forderungen, deren Nichterfüllung unmittelbar und zwangsläufig das Nichtbestehen des Zertifizierungsverfahrens nach sich zieht. Überhaupt scheint es sinnvoll zu sein, zur Bewältigung der Komplexität moderner Systeme und wegen der Vielzahl der alternativen Sicherheitstechniken sowie der Interdependenz zwischen verschiedenen Maßnahmen eine Kategorisierung in Muss-, Kann- und "Nice-to-have"-Forderungen vorzunehmen.

Dieses Verfahren ist unter anderem deswegen bedeutungsvoll, weil damit zu rechnen ist, dass kaum ein Unternehmen 100 Prozent der Forderungen an sichere Systeme erfüllen kann. Es sollte daher eine Zone geben, innerhalb derer der vorgefundene und auditierte Zustand des IT-Sicherheitssystems ein Zertifikat rechtfertigt, obwohl die Lösung nicht perfekt ist.

Prof. Dr. Reinhard Voßbein ist Professor für Wirtschaftsinformatik, Vorstand der GDD und Geschäftsführer der UIMCert Unternehmens- und Management Certification, Wuppertal.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 5/2000, Seite 63