IT-Sicherheitsmanagement – best practice zur Umsetzung von Maßnahmenkonzepten (Teil 2)

Von H. Blum, BSI

Aus der Sicht vieler Anwender erscheint das Einhalten der Regeln der IT-Sicherheit nur als eine lästige Pflicht. In manchen Fällen werden sie sogar schlicht als reine Schikane empfunden, die sich die IT-Leute ausschließlich zu dem Zweck ausgedacht haben, um Andere in ihrer Arbeit zu behindern. Aufgrund fehlender Hintergrundinformationen sehen viele IT-Nutzer in den Sicherheitsmaßnahmen oft nur Einschränkungen ihres Handelns. Dass diese Maßnahmen gerade dem Schutz der eigenen Arbeit dienen sollen, ist den Anwendern häufig nicht unmittelbar einsichtig. Eine Lösungsmöglichkeit für dieses Problem besteht darin, dem IT-Nutzer die Informationen, die er tatsächlich benötigt, direkt am Arbeitsplatz zur Verfügung zu stellen. In ansprechend gestalteter Form und als HTML-Kompendium aufbereitet, leistet dies die vom BSI entwickelte Informationsbörse IT-Sicherheit.

Am Morgen geht es bereits los: beim Booten des PCs, beim Einloggen in das Netz, beim Starten gewisser Applikationen, beim Zugriff auf Datenbanken. Nichts läuft, bevor nicht ein Zauberwort – das Passwort – eingegeben wurde. Wie alle Zauberworte, sollte dieses natürlich geheim sein, Zahlen und Sonderzeichen enthalten, keinerlei reale Bedeutung haben und trotzdem so einfach zu merken sein, dass man es sich nicht aufzuschreiben braucht. Wahrlich, denkt da der "normale" IT-Nutzer, man muss schon tatsächlich über Zauberkräfte verfügen, um sich ein solches Passwort auszudenken.

Oft genug, in der Regel natürlich immer, wenn man es besonders eilig hat, nervt dann gleich nach dem Einloggen das Virensuchprogramm, welches gerade jetzt beschlossen hat, seinen wöchentlichen Plattencheck durchzuführen. Hat man diesem Treiben mehrere Minuten in erzwungener Tatenlosigkeit zugesehen, erscheint am Ende dann schließlich doch immer (wirklich immer?) die Meldung: "Es wurden keine Viren auf Ihrer Platte gefunden".

Erleichtert, weniger durch die frohe Botschaft als durch die Tatsache, dass die Geduldsprobe damit ein Ende hat, strebt der Anwender nun fröhlich in das Internet, beispielsweise um die Telefonnummer eines Kunden zu recherchieren. Name und Firmensitz in das Formular eingeben, auf "Suchen" klicken und: nichts passiert. Das Formular basiert auf Javascript, und das wird aus Sicherheitsgründen von der Firewall nicht durchgelassen.

Wer kann es dem IT-Anwender verdenken, wenn nach solch wenig ermutigenden Erfahrungen seine Toleranzschwelle gegenüber den Erfordernissen der IT-Sicherheit zu Null tendiert? Wer erklärt ihm denn, warum es notwendig ist, dass die Firewall Javascripts "verschluckt", warum der Virenscanner wöchentlich die gesamte Platte überprüft? Und wer schließlich gibt ihm konkrete Hilfen, die es ihm ermöglichen, ein Passwort zu generieren, welches tatsächlich sicher, aber auch leicht zu merken ist?

Jede Organisation, die mit IT verantwortungsbewusst umgeht, besitzt selbstverständlich ein IT-Sicherheitskonzept. Dieses sollte auf die zuvor aufgeworfenen Fragen Antwort geben. Allerdings ist damit, dass ein solches Dokument existiert, in der Regel noch lange nicht sichergestellt, dass es in der Praxis auch tatsächlich umgesetzt wird.

Ein Grund hierfür liegt darin, dass IT-Sicherheitskonzepte – zumindest in ihrer vollständigen Form – meist nur einem beschränkten Kreis von Mitarbeitern zugänglich gemacht werden. Dies geschieht oft aus durchaus begründeten, sowohl praktischen als auch sicherheitstaktischen Erwägungen. Schließlich bietet ein solches Dokument die besten Angriffspunkte für einen potenziellen Saboteur und sollte daher nicht offen auf jedem Schreibtisch herumliegen. Es ist auch nicht notwendig, jeden Anwender mit technischen Details zu belasten, die letztlich nur für den Spezialisten von Relevanz sind.

Auf den Punkt gebracht, besteht die Problematik darin, den verschiedenen Gruppen von IT-Nutzern, seien sie als Netzbetreiber, Organisationsverantwortliche oder Anwender einer Textverarbeitung tätig, genau die Informationen aus dem Sicherheitskonzept zu vermitteln, welche innerhalb des Arbeitsfeldes benötigt werden.

HTML-basierte Realisierung der Informationsbörse

Das vom BSI entwickelte Konzept einer Informationsbörse IT-Sicherheit versucht, genau diesen Forderungen gerecht zu werden. Dabei geschieht dies durchaus in dem Bewusstsein, dass die eingangs geschilderten Hürden, welche Sicherheitsmaßnahmen für den Nutzer in seiner täglichen Arbeit darstellen, hierdurch nicht gänzlich zu beseitigen sind. Die Info-Börse soll dem Anwender jedoch geeignete Informationen und praktische Hilfen geben, dass er diese Hürden leichter überwindet, damit sie nicht zu Stolpersteinen werden.

Weiterhin soll durch eine allgemeinverständliche Vermittlung der Grundlagen und Ziele des Sicherheitskonzeptes der Organisation beim Nutzer erreicht werden, dass er für Fragen der IT-Sicherheit sensibilisiert wird, damit er die Notwendigkeit entsprechender Maßnahmen einsieht und die für ihn zumeist lästigen Konsequenzen als zumindest notwendiges Übel akzeptiert.

Eine IT-Sicherheitspolitik kann naturgemäß für eine Organisation nur individuell erstellt werden. Die in diesem Artikel vorgestellte Demo-Version, wie sie auch auf der aktuellen IT-Grundschutz-CD des BSI vorliegt, ist daher als eine exemplarische Umsetzung des allgemeinen Konzeptes einer Informationsbörse IT-Sicherheit zu verstehen. Sie lässt sich somit natürlich nicht eins zu eins auf jede beliebige Organisation übertragen. Sehr wohl kann sie jedoch als Vorlage bei der Konzeption einer Informationsbörse in einem Unternehmen oder einer Behörde dienen.

Der exemplarische Charakter der vorliegenden Demo-Version wird dadurch unterstrichen, dass sie die IT-Informationsbörse einer fiktiven Behörde vorstellt, des "Bundesamtes für das gute Beispiel". Obwohl in ihren Zielen und Inhalten eine Fiktion, verfügt diese Behörde über ein realistisches Aufgabenspektrum und eine durchaus gängige IT-Welt, wie sie so oder ähnlich auch in jeder anderen Organisation zu finden ist. Von daher sollten sich viele der in der Demo-Version enthaltenen Dokumente mit geringfügigen Modifikationen problemlos auf andere Behörden und Unternehmen übertragen lassen.

Wie bereits erwähnt, wurde die Informationsbörse IT-Sicherheit als HTML-Anwendung realisiert, um jedem Nutzer die Informationen dort zugänglich zu machen, wo er sie tatsächlich benötigt, nämlich an seinem IT-Arbeitsplatz. Dabei wurde ganzum Beispielwusst darauf geachtet, sich rein auf den HTML-Standard zu beschränken und keinerlei aktive Inhalte zu verwenden. Dies trägt einerseits der grundsätzlichen Sicherheitsphilosophie Rechnung, auf Java, Javascript, ActiveX u.ä. zu verzichten, da diese Anwendungen auch stets potenzielle Gefährdungen beinhalten, und hat zum anderen den Vorteil, dass auch ältere Generationen von Browsern, wie Netscape 3x oder MS-Internet-Explorer 3x, keine Probleme haben, die HTML-Seiten anzuzeigen.

Abb. 1: Die Startseite der Informationsbörse IT-Sicherheit

Das in Abbildung 1 dargestellte Portal der Informationsbörse bietet dem Anwender für seine Reise in die Welt der IT-Sicherheit sechs Startpunkte an. Unter "Aktuelle Themen" findet er neueste Informationen, zum Beispiel über jüngst aufgetretene Computer-Viren, Würmer und Trojanische Pferde. Hinter dem Icon "Informationszentrum" verbirgt sich ein umfangreicher Index, über den er die Dokumente zu allen in der Info-Börse vorkommenden Stichworte findet. Ist schnelle Hilfe erforderlich, findet der Nutzer unter dem entsprechenden Icon sofort den richtigen Ansprechpartner. Davon, dass IT-Sicherheit dem Anwender nicht immer nur ein Ärgernis sein muss, kann er sich auf der Seite "Heiteres" überzeugen.

Arbeitsplatzrelevante Informationen verbergen sich hinter den Stichpunkten "IT-Organisation" und "IT-Arbeitsplatz". Die Gegenüberstellung dieser beiden Themenkreise spiegelt ansonsten auch den logischen Aufbau der Informationsbörse wider: Organisationsspezifischen Regeln zur Umsetzung von Sicherheitsmaßnahmen werden stets konkrete Hilfen für den IT-Nutzer zur Seite gestellt, die diesen bei deren Anwendung am IT-Arbeitsplatz unterstützen.

Themenschwerpunkte nach Zielgruppen orientiert

Das "Regelwerk Sicherheit in der IT" (RESIT) beschreibt die Ausgestaltung des IT-Sicherheitskonzeptes der Organisation in der Praxis. Dabei wurde eine explizite Einteilung des Regelwerkes nach Zielgruppen vorgenommen: IT-Nutzer, Betreiber von IT-Systemen, IT-Sicherheitsmanagement, Organisationsverantwortliche, Infrastrukturverantwortliche und Vorgesetzte. Dies erleichtert dem Anwender die Orientierung in der Informationsbörse, indem er sofort auf das für ihn verbindliche Regelwerk verwiesen wird.

Abb. 2: Die Startseite des RESIT für die Zielgruppe der IT-Nutzer

Abbildung 2 zeigt exemplarisch die Einstiegsseite in das Regelwerk für die Zielgruppe IT-Nutzer. Gemäß der Philosophie der Informationsbörse, auch trockene Regelwerke in ansprechender Form zu präsentieren, ist diese Seite als ein Bilderrätsel gestaltet. Die einzelnen Links verweisen auf die Themen:

Maßnahmen in der Arbeitsumgebung, zum Beispiel: Checkliste für die Ergonomie des Arbeitsplatzes, Tipps zur richtigen Bildschirmeinstellung, Hinweise und Formulare zum Führen eines PC-Checkheftes usw.
Maßnahmen zur Gebäudesicherung, zum Beispiel: Maßnahmen zum Schutz unbeaufsichtigter Räume und Geräte, Dienstanweisung zur Besucherregelung usw.
Maßnahmen zum Zugangs- und Zugriffschutz, zum Beispiel: Dienstanweisungen zum Zugriffschutz durch Passworte, zur sicheren Datenorganisation, zu Schutzmaßnahmen für Laptops usw.
Wahrung der Rechte Dritter, zum Beispiel: Regelungen zum Datenschutzrecht, zum Urheber- und Lizenzrecht usw.
Schutz von Informationen durch Verschlüsselung, zum Beispiel: symmetrische und asymmetrische Verschlüsselungsverfahren, Schlüsselmanagement usw.
Maßnahmen für den Katastrophenfall, zum Beispiel: Höhere Gewalt in Form von Feuer, Wasser, Explosion,... bzw. IT-Notfall, Verlust der Systemintegrität usw.
Maßnahmen zum Schutz vor Computer-Viren, zum Beispiel: kleine Virenkunde, Schäden durch Viren, Makrovieren usw.
Mitarbeiterschulung, zum Beispiel: IT-Schulungskonzept der Organisation, IT-Grundkenntnisse, Standardanwendungen, spezielle Anwendungen, IT-Sicherheit usw.
Weitere Maßnahmen zur Datensicherheit, zum Beispiel: Regelungen zur Datensicherung, zur ordnungsgemäßen Aufbewahrung und Entsorgung von Datenträgern, zum Versenden von Datenträgern usw.

Alle diese Themen werden gemäß der bereits oben angesprochenen Philosophie der Informationsbörse in der Weise abgehandelt, dass einem Dokument mit der Aussage "Das ist zu tun" stets eine Hilfe für den Anwender zur Seite gestellt wird, welche diesem die Lösung aufzeigt in der Form "Und so wirds gemacht". So findet sich etwa unter dem Stichwort "Schutz von Informationen durch Verschlüsselung" unter anderem eine Dienstanweisung, die bei der Speicherung von Daten vertraulichen Inhalts die Verschlüsselung mit einem bestimmten Kryptoprodukt verbindlich vorschreibt. Diese Dienstanweisung wird ergänzt durch eine ausführliche Beschreibung dieses Kryptoprogrammes sowie einer detaillierten Anleitung zu dessen Gebrauch.

Die Regelwerke für andere Zielgruppen sind im Prinzip ähnlich aufgebaut, wenn auch mit jeweils spezifischen Akzentverschiebungen. So wird beispielsweise das Thema "Maßnahmen zur Gebäudesicherung" für die Infrastrukturverantwortlichen naturgemäß wesentlich ausführlicher abgehandelt als für andere Zielgruppen. Da den IT-Spezialisten der Umgang mit dem IT-Grundschutzhandbuch aus der täglichen Arbeit vertraut ist, unterscheiden sich die Regelwerke der IT-Nutzer und der spezialisierteren Funktionsträger auch darin, dass für letztere viele Links unmittelbar auf entsprechende Kapitel im IT-Grundschutzhandbuch führen. Dessen Maßnahmenkatalog – in der HTML-Version – bildet einen integralen Bestandteil der Informationsbörse. Jeder Fachanwender findet in dem Regelwerk seiner Zielgruppe genau die Untermenge aus den Maßnahmen des Grundschutzhandbuches, für deren Umsetzung er nach der IT-Sicherheitspolitik des Beispielamtes verantwortlich ist.

Sensibilisierung für IT-Sicherheitsfragen

Neben der Bereitstellung von Informationen ist auch die Sensibilisierung der IT-Nutzer für die Sicherheitsproblematik ein wesentliches Ziel der Info-Börse. Das Vorgehen orientiert sich dabei an der Maxime des Philosophen Seneca: "Lang ist der Weg durch Lehren, kurz und wirksam durch Beispiele." Abbildung 3 zeigt die Indexseite in der Informationsbörse zum Thema Sensibilisierung. An konkreten Fallbeispielen werden so etwa unter dem Stichwort "Säulen der IT-Sicherheit" die Grundwerte Vertraulichkeit, Integrität, Verfügbarkeit anschaulich erläutert.

Wie schnell alltägliche Unachtsamkeiten zum IT-Notfall führen können, wird im Kapitel "Technische Sicherheit" an tatsächlich eingetretenen Schadensfällen gezeigt, wie sie Elektronikversicherern gemeldet wurden. Diese Beispiele zeigen jedoch auch, wie sich durch Einbeziehung des Notfallvorsorgekonzeptes mit ein wenig Umsicht im Umgang mit der IT solche gravierenden Schäden vermeiden oder abmildern lassen.

Abb. 3: Die Indexseite zum Thema Sensibilisierung

Weitere Fallbeispiele finden sich zu den Stichpunkten: Datenschutz, Computer-Viren, E-Mail-Verkehr und Internet. Obwohl "I love you", Melissa & Co. in den Medien für großen Wirbel gesorgt haben, sind sich viele Nutzer der Internet-Dienste nach wie vor nicht bewusst, wo die Gefahren lauern, wie Viren und sonstige Schadens-Software über Downloads oder per E-Mail den Weg auf ihren Arbeitsplatzrechner finden und welche Vorsichtsmaßnahmen sie davor schützen können. Des Weiteren wird anhand der Beispiele auch gezeigt, welche Spuren der Surfer im Internet hinterlässt und wie dies zu den verschiedensten Zwecken, etwa die Erstellung von Verhaltensprofilen, ausgenutzt werden kann.

Übernahme der Informationsbörse in ein behörden- oder unternehmenseigenes Intranet

Aufgrund durchgängiger Verwendung des Standardformats HTML, ist die Übernahme der Informationsbörse IT-Sicherheit in ein beliebiges Intranet aus technischer Sicht vollkommen problemlos. Zusammen mit der HTML-Version des Grundschutzhandbuches kann der Dateibaum der Informationsbörse an jeder beliebigen Stelle in die Verzeichnisstruktur eines Intranets eingehängt werden. Damit stehen die Maßnahmenempfehlungen des IT-Grundschutzes und die Regelungen zu deren Umsetzung grundsätzlich im Intranet einer Organisation jedermann zur Verfügung.

Vor einer solchen Übernahme ist es jedoch unabdingbar, inhaltliche Anpassungen an das hausinterne IT-Sicherheitskonzept vorzunehmen. Die Dateistruktur der Informationsbörse ist so konzipiert, dass sich dieser Prozess der Anpassung möglichst einfach durchführen lässt.

In Abbildung 4 sind die beiden Hauptzweige der Verzeichnisstruktur schematisch dargestellt. Der linke Baum ISPUB enthält alle Dokumente zu den allgemeinen Themen der IT-Sicherheit, wie Datenschutz, Computer-Viren, Zugriffsschutz usw. Hier müssen an den Beiträgen in der Regel nur geringfügige Modifikationen vorgenommen werden, etwa die Ersetzung des BSI-Logos durch das der eigenen Organisation.

Abb. 4: Die beiden Hauptzweige der Dateistruktur der Informationsbörse IT-Sicherheit: links der Baum ISPUB mit den allgemeinen Themen zur IT-Sicherheit, rechts die für jede Organisation individuell anzupassende Struktur ISDOM.

Der rechte Zweig ISDOM hingegen umfasst alle für die Organisation spezifischen Regelungen, wie etwa die IT-Sicherheitspolitik, hausinterne Durchführungsbestimmungen, die Listen der Ansprechpartner usw. In der vorliegenden Demo-Version sind diese Dokumente alle auf die fiktive Beispielbehörde, das "Bundesamt für das gute Beispiel", zugeschnitten und können folglich nicht auf jede andere Organisation übertragen werden. Dennoch lässt sich das hier konzipierte Regelwerk auf jeden Fall als Vorlage bei der Umsetzung des eigenen IT-Sicherheitskonzeptes nutzen. Auch bei den meisten Durchführungsbestimmungen dürfte es nur einen relativ geringen Aufwand erfordern, um diese an die hausinternen Gegebenheiten anzupassen.

Seitens des BSI erhoffen wir uns natürlich, dass über die IT-Grundschutz-CD sowohl das IT-Grundschutzhandbuch als auch die Informationsbörse IT-Sicherheit eine möglichst große Verbreitung finden, um damit zum Nutzen von Wirtschaft und Gesellschaft zu einer Hebung des IT-Sicherheitsniveaus beizutragen.

Weitere Informationen sowie Anleitung zur organisationsspezifischen Anpassung der Informationsbörse IT-Sicherheit sind unter der E-Mail-Adresse it-sicherheitsschulung@bsi.de zu erhalten.