Der British Standard (BS) 7799 – demnächst ISO/IEC 17799-1 – hat zu einer deutlichen Verbesserung der Möglichkeiten bei der Prüfung komplexer IT-Systeme mit bedeutenden organisatorischen (nichttechnischen) Anteilen geführt (vgl. KES 2000/5, S. 63). Auditierungen und normierte/standardisierte Analysen sind jedoch nicht erst mit der Verabschiedung des BS 7799 entstanden. Die Vorträge von Frank Heyder (Sparkassenorganisation) und Gerhard Hielscher (SIG) auf dem Frankfurter BS-7799-Kongress führten aus, welche Erfahrungen ihre Institutionen mit zertifizierungsvorbereitenden Auditverfahren auf standardisierter Basis gemacht haben.
Eine Schlüsselstellung nahm laut Hielscher bei der SIG die Darstellung der Ergebnisse der vorher durchgeführten Auditierung ein. Sie führte dazu, dass die Kompentenzträger im Unternehmen die Beseitigung der festgestellten Schwachstellen befürworteten und sich einen beachtlichen Nutzen von einer Zertifizierung versprechen. Dies sei unter anderem dadurch bedingt, dass die spezielle Konstruktion des Konzerns mit der Auslagerung der Informationsverarbeitung in eine eigene Gesellschaft zu einer Situation geführt hat, die eine Zertifizierung sowohl intern als auch extern wünschenswert macht. Heyder führte weiter aus, dass insbesondere der Vergleich einzelner im Markt verfügbarer Modelle, in den er auch das BSI-Grundschutzmodell einbezog, eine hohe Akzeptanz der durchgeführten Auditierungsergebnisse im Unternehmen erbrachte, da ihre Praktikabilität für alle Beteiligten belegt war.
Nach den bisher vorliegenden Erfahrungen werden bei allen Auditierungen und Zertifizierungen die unternehmensinternen Nutzen und Motivationsaspekte generell positiv beurteilt, da die Mitarbeiter durch die intensive Beschäftigung mit den IT-Sicherheitsproblemen den Sinn sicherheitserhöhender Maßnahmen stärker einsehen und sie in höherem Maße als vorher akzeptieren. Die einer Zertifizierung vorausgehende Auditierung ist hierbei der Auslöser.
Auditierungsergebnisse nutzen dem Unternehmen zudem dadurch, dass sie die Grundlage für interne Verbesserungen und Schwachstellenbeseitigung bilden. Audit und Checkup können somit grundsätzlich als Verbesserungsansätze vom Zertifizierungsgedanken gelöst werden, wobei sie gleichzeitig unabdingbare Vorbereitungen für ein zufriedenstellendes Zertifizierungsergebnis bleiben. Diesen Gedanken vertrat insbesondere auch Detlev Hüggenberg (QMC), der – vom TQM (Total Quality Management) her kommend – betonte, dass der Wert eines IT-Sicherheitszertifikates entscheidend davon abhängt, dass es nicht als "Gefälligkeitspapier" vergeben wird, sondern ihm vielmehr ein nachprüfbar sicherer Systemzustand zugrunde liegen muss, der den eigentlichen Sinn des gesamten Verfahrens ausmacht, wenn man von Publicityeffekten absieht.
Der Nutzen von Zertifikaten nahm auch in der Gesamtdiskussion in Frankfurt einen breiten Raum ein; die nebenstehende Aufzählung kann als Summe der Vorträge und Diskussionsbeiträge gelten. Der Nutzenaspekt wurde – wenn auch unter anderer Sicht – ebenfalls von Alfred Koch (KPMG) behandelt. Er legte dar, dass das 1999 in Kraft getretene Kontroll- und Transparenz-Gesetz (KonTraG) eine veränderte Situation auf der juristischen Ebene geschaffen hat. Die Gestaltung sicherer IT-Systeme ist als wesentlicher Teil der Risikostrategie eines Unternehmens anzusehen. Sich diesen Teil der Risikobewältigung durch ein Zertifikat bestätigen zu lassen belegt, dass die Unternehmensleitung das Risikoproblem auf der IT-Sicherheitsseite konsequent zu Ende behandelt hat.
Das KonTraG wird sich nach Auffassung von Fachleuten als Impulsgeber für die Beschäftigung mit dem IT-Sicherheitsproblem erweisen. Es fordert von den Unternehmen, Risikofrüherkennungssysteme, Risikomanagement- und -steuerungssysteme zu installieren sowie potenzielle Risikofelder zu beobachten und den von ihnen ausgehenden Gefahren durch Gegensteuerung zu begegnen. So ist insbesondere das Informationswesen als ein Hauptrisikofeld zu betrachten. Die zunehmende Abhängigkeit der Unternehmen von einem funktionierenden Informationswesen, die Computerunterstützung als Faktor im Wettbewerb und unternehmensübergreifende Kommunikation als Möglichkeit, innovativ im Markt aufzutreten und Kommunikationsprozesse als Erfolgsfaktoren zu verstehen, machen die Bedeutung der Informationstechnologie in diesem Zusammenhang klar. Die Schwachstellen in der Sicherheit eines IT-Systems sind grundsätzlich als wesentliche Risiken zu betrachten. Die Schwachstellenauditierung ist damit ein Risikoidentifizierungsinstrument, das eine hohe Effizienz aufweist. Eine konkrete Risikoidentifikation ist jedoch immer nur dann möglich, wenn vorher Sicherheitsziele und Sicherheitsstrategien entwickelt wurden – was auch der BS 7799 fordert.
----------Anfang Textkasten----------
----------Ende Textkasten----------
Der BS 7799 gliedert sich in zwei Teile, von denen der erste Gestaltungsempfehlungen, der zweite die von der Norm aufgestellten Anforderungen an sichere IT-Systeme enthält. Am zweiten Kongresstag wurde ein computergestütztes Tool/Konzept demonstriert, das die Empfehlungen des BS 7799 Teil 1 in prüfbare Forderungen umwandelt.
Dieses UIMCert-Tool, das auf dem seit Jahren eingesetzten Schwachstellenanalysetool der UIMC aufbaut, ermöglicht es, die Ergebnisse eines durchgeführten Audits über verschiedene Ebenen in einer Benchmark-ähnlichen Darstellung vorzunehmen. Die spezifischen Bewertungen der einzelnen Checkpunkte über die Qualität des IT-Sicherheitssystems werden durch so genannte K.-o.-Kriterien (z. B. das Nichtvorhandensein einer IT-Sicherheitsstrategie) ergänzt, die sich durch das gesamte Prüfergebnis hindurch "vererben" und gegebenenfalls zu einem Nichtbestehen des Audits führen. Am Ende steht jedenfalls immer ein konsistentes Gesamtergebnis mit einer Aussage über "Zertifizierung Ja oder Nein".
Für eine Zertifizierung verifiziert oder falsifiziert ein
Anwender mit dem UIMC-Tool die erhobenen Fakten zur
Überprüfung ihrer Bewertung.
Das Tool zur Bearbeitung der BS 7799-Problematik existiert in drei unterschiedlichen Versionen:
Die Tools sind Eigenentwicklungen der UIMC/UIMCert und entsprechen im Preis handelsüblichen Profi-Softwarepaketen; weitere Informationen sind per E-Mail von consultants@uimc.de abrufbar.
Prof. Dr. Reinhard Voßbein ist Professor für Wirtschaftsinformatik, Vorstand der GDD und Geschäftsführer der UIMCert Unternehmens- und Management-Certification, Wuppertal.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 1/2001, Seite 74