Systeme und ihr Umfeld

Zertifizierung

Höhere Systemsicherheit durch Zertifikate

Von Reinhard Vossbein, Wuppertal

Seit Dezember 2000 ist der britische Standard BS 7799 als Normentwurf ISO/IEC 17799 im Umlauf. Die wachsende Bedeutung dieses Standards zur Zertifizierung komplexer IT-Systeme wurde bereits kurz zuvor auf einem UIMC/datakontext-Kongress diskutiert. Dort gab es zudem ein computergestütztes Tool/Konzept zu sehen, das Empfehlungen des BS 7799 in prüfbare Forderungen umwandelt.

Der British Standard (BS) 7799 – demnächst ISO/IEC 17799-1 – hat zu einer deutlichen Verbesserung der Möglichkeiten bei der Prüfung komplexer IT-Systeme mit bedeutenden organisatorischen (nichttechnischen) Anteilen geführt (vgl. KES 2000/5, S. 63). Auditierungen und normierte/standardisierte Analysen sind jedoch nicht erst mit der Verabschiedung des BS 7799 entstanden. Die Vorträge von Frank Heyder (Sparkassenorganisation) und Gerhard Hielscher (SIG) auf dem Frankfurter BS-7799-Kongress führten aus, welche Erfahrungen ihre Institutionen mit zertifizierungsvorbereitenden Auditverfahren auf standardisierter Basis gemacht haben.

Eine Schlüsselstellung nahm laut Hielscher bei der SIG die Darstellung der Ergebnisse der vorher durchgeführten Auditierung ein. Sie führte dazu, dass die Kompentenzträger im Unternehmen die Beseitigung der festgestellten Schwachstellen befürworteten und sich einen beachtlichen Nutzen von einer Zertifizierung versprechen. Dies sei unter anderem dadurch bedingt, dass die spezielle Konstruktion des Konzerns mit der Auslagerung der Informationsverarbeitung in eine eigene Gesellschaft zu einer Situation geführt hat, die eine Zertifizierung sowohl intern als auch extern wünschenswert macht. Heyder führte weiter aus, dass insbesondere der Vergleich einzelner im Markt verfügbarer Modelle, in den er auch das BSI-Grundschutzmodell einbezog, eine hohe Akzeptanz der durchgeführten Auditierungsergebnisse im Unternehmen erbrachte, da ihre Praktikabilität für alle Beteiligten belegt war.

Nach den bisher vorliegenden Erfahrungen werden bei allen Auditierungen und Zertifizierungen die unternehmensinternen Nutzen und Motivationsaspekte generell positiv beurteilt, da die Mitarbeiter durch die intensive Beschäftigung mit den IT-Sicherheitsproblemen den Sinn sicherheitserhöhender Maßnahmen stärker einsehen und sie in höherem Maße als vorher akzeptieren. Die einer Zertifizierung vorausgehende Auditierung ist hierbei der Auslöser.

Auditierungsergebnisse nutzen dem Unternehmen zudem dadurch, dass sie die Grundlage für interne Verbesserungen und Schwachstellenbeseitigung bilden. Audit und Checkup können somit grundsätzlich als Verbesserungsansätze vom Zertifizierungsgedanken gelöst werden, wobei sie gleichzeitig unabdingbare Vorbereitungen für ein zufriedenstellendes Zertifizierungsergebnis bleiben. Diesen Gedanken vertrat insbesondere auch Detlev Hüggenberg (QMC), der – vom TQM (Total Quality Management) her kommend – betonte, dass der Wert eines IT-Sicherheitszertifikates entscheidend davon abhängt, dass es nicht als "Gefälligkeitspapier" vergeben wird, sondern ihm vielmehr ein nachprüfbar sicherer Systemzustand zugrunde liegen muss, der den eigentlichen Sinn des gesamten Verfahrens ausmacht, wenn man von Publicityeffekten absieht.

Der Nutzen von Zertifikaten nahm auch in der Gesamtdiskussion in Frankfurt einen breiten Raum ein; die nebenstehende Aufzählung kann als Summe der Vorträge und Diskussionsbeiträge gelten. Der Nutzenaspekt wurde – wenn auch unter anderer Sicht – ebenfalls von Alfred Koch (KPMG) behandelt. Er legte dar, dass das 1999 in Kraft getretene Kontroll- und Transparenz-Gesetz (KonTraG) eine veränderte Situation auf der juristischen Ebene geschaffen hat. Die Gestaltung sicherer IT-Systeme ist als wesentlicher Teil der Risikostrategie eines Unternehmens anzusehen. Sich diesen Teil der Risikobewältigung durch ein Zertifikat bestätigen zu lassen belegt, dass die Unternehmensleitung das Risikoproblem auf der IT-Sicherheitsseite konsequent zu Ende behandelt hat.

Das KonTraG wird sich nach Auffassung von Fachleuten als Impulsgeber für die Beschäftigung mit dem IT-Sicherheitsproblem erweisen. Es fordert von den Unternehmen, Risikofrüherkennungssysteme, Risikomanagement- und -steuerungssysteme zu installieren sowie potenzielle Risikofelder zu beobachten und den von ihnen ausgehenden Gefahren durch Gegensteuerung zu begegnen. So ist insbesondere das Informationswesen als ein Hauptrisikofeld zu betrachten. Die zunehmende Abhängigkeit der Unternehmen von einem funktionierenden Informationswesen, die Computerunterstützung als Faktor im Wettbewerb und unternehmensübergreifende Kommunikation als Möglichkeit, innovativ im Markt aufzutreten und Kommunikationsprozesse als Erfolgsfaktoren zu verstehen, machen die Bedeutung der Informationstechnologie in diesem Zusammenhang klar. Die Schwachstellen in der Sicherheit eines IT-Systems sind grundsätzlich als wesentliche Risiken zu betrachten. Die Schwachstellenauditierung ist damit ein Risikoidentifizierungsinstrument, das eine hohe Effizienz aufweist. Eine konkrete Risikoidentifikation ist jedoch immer nur dann möglich, wenn vorher Sicherheitsziele und Sicherheitsstrategien entwickelt wurden – was auch der BS 7799 fordert.

----------Anfang Textkasten----------

[Kasten überspringen]

Nutzen und nutzenrelevante Faktoren von Zertifikaten

  1. Intensive Beschäftigung mit dem IT-Sicherheitssystem durch eigene Mitarbeiter
  2. Intensive Beschäftigung mit dem IT-Sicherheitssystem durch Dritte
  3. Markteinsicht und -übersicht
  4. Erhöhung der IT-Sicherheit
  5. Erhalt eines publicitywirksamen Zeugnisses über die Sicherheitsqualität
  6. Erhöhung des Imagewertes in Sachen IT-Sicherheit bei Mitarbeitern
  7. Erhöhung des Imagewertes in Sachen IT-Sicherheit bei externen Bezugsgruppen
  8. Identifikation und Konzentration auf besonders sicherheitssensitive Teile des Gesamtsystems
  9. Kostenlenkungseffekte im Sinne von Kosteneinsatzoptimierung
  10. Erlös- und Gewinnzuwächse durch Vertrauenserhöhung bei umsatzrelevanten Bezugsgruppen

----------Ende Textkasten----------

Toolgestütztes Vorgehen

Der BS 7799 gliedert sich in zwei Teile, von denen der erste Gestaltungsempfehlungen, der zweite die von der Norm aufgestellten Anforderungen an sichere IT-Systeme enthält. Am zweiten Kongresstag wurde ein computergestütztes Tool/Konzept demonstriert, das die Empfehlungen des BS 7799 Teil 1 in prüfbare Forderungen umwandelt.

Dieses UIMCert-Tool, das auf dem seit Jahren eingesetzten Schwachstellenanalysetool der UIMC aufbaut, ermöglicht es, die Ergebnisse eines durchgeführten Audits über verschiedene Ebenen in einer Benchmark-ähnlichen Darstellung vorzunehmen. Die spezifischen Bewertungen der einzelnen Checkpunkte über die Qualität des IT-Sicherheitssystems werden durch so genannte K.-o.-Kriterien (z. B. das Nichtvorhandensein einer IT-Sicherheitsstrategie) ergänzt, die sich durch das gesamte Prüfergebnis hindurch "vererben" und gegebenenfalls zu einem Nichtbestehen des Audits führen. Am Ende steht jedenfalls immer ein konsistentes Gesamtergebnis mit einer Aussage über "Zertifizierung Ja oder Nein".

[Screenshot des UIMC-Tools]
Für eine Zertifizierung verifiziert oder falsifiziert ein Anwender mit dem UIMC-Tool die erhobenen Fakten zur Überprüfung ihrer Bewertung.

Das Tool zur Bearbeitung der BS 7799-Problematik existiert in drei unterschiedlichen Versionen:

  1. Die Ausführung, die als Organisationshilfe zur Befassung mit dem BS 7799 gedacht ist, enthält eine aufbereitete und "papierlose" Variante der Norm zur Vorbereitung der IT-Sicherheitsorganisation einer Institution auf Auditierung und Zertifizierung. Hiermit können die Themengebiete der Norm abgearbeitet werden. Zudem gibt es in arbeitsgerechter Tabellenform einen Überblick über die Prüffelder der Norm.
  2. Das eigentliche UIMC/UIMCert-Tool existiert in einer qualitativen Ausführung, die im Wesentlichen einem Checkup dient und damit eine Vorstufe für eine Endbewertung darstellt. Sie enthält für unternehmensinterne Sicherheitsprojekte zur Verbesserung des IT-Sicherheitsniveaus neben der Darstellung der "Positivbefunde" insbesondere auch eine Möglichkeit zur Generierung von Schwachstellenlisten.
  3. Die quantitative Ausführung des Tools, die im Prinzip die Zertifizierung vorstrukturiert und zusammenfassende quantitative Ergebnisse zur Verfügung stellt, ist auch die Grundlage der Fremdauditierung und Zertifizierung. Diese Version gewichtet analytische Feststellungen mit einem Punktwert. Dadurch kann eine Institution feststellen, wo sie in Sachen Sicherheit steht und wie sie bei einem Audit abschneiden würde.

Die Tools sind Eigenentwicklungen der UIMC/UIMCert und entsprechen im Preis handelsüblichen Profi-Softwarepaketen; weitere Informationen sind per E-Mail von consultants@uimc.de abrufbar.

Prof. Dr. Reinhard Voßbein ist Professor für Wirtschaftsinformatik, Vorstand der GDD und Geschäftsführer der UIMCert Unternehmens- und Management-Certification, Wuppertal.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 1/2001, Seite 74

Zurück zum Inhalt       Valid HTML 4.0! Valid CSS!