Geschäftsrisiken kontrollieren – ein Standard der Informationssicherheit

Von Isabel Münch, BSI

Informationstechnik (IT) unterstützt immer mehr Geschäftsprozesse in der öffentlichen Verwaltung und der Wirtschaft. Die Wahrnehmung mancher Aufgaben ist ohne IT überhaupt nicht, die Erfüllung anderer Aufgaben nur noch teilweise möglich. Damit sind viele Institutionen in Verwaltung und Wirtschaft von dem einwandfreien Funktionieren der eingesetzten IT abhängig. Um die hiermit einhergehenden Gefährdungspotenziale und Geschäftsrisiken kontrollieren zu können, zeigt sich immer deutlicher, wie wichtig es für jede Institution ist, ein angemessenes IT-Sicherheitsmanagement aufzubauen.

Verschiedene Organisationen haben sich bereits mit der Frage befasst, wie dies möglichst arbeitsökonomisch, aber trotzdem den Risiken angemessen erreicht werden kann. Darüber hinaus soll die gewählte Vorgehensweise auch möglichst vergleichbar sein, um sich mit Partnern und verwandten Unternehmen messen zu können. Neben dem BSI, das aus diesem Grund das IT-Grundschutzhandbuch entwickelt hat, hat sich auch das Information Security Forum (ISF) dieses Ziel auf die Fahnen geschrieben und einen Standard zur IT-Sicherheit entwickelt, der übergreifende Sicherheitsmaßnahmen beschreibt, um zu einem angemessenen IT-Sicherheitsniveau zu kommen.

Das ISF ist eine unabhängige, nicht profitorientierte Vereinigung führender Organisationen mit dem Ziel, die wichtigen Aspekte der IT-Sicherheit zu bearbeiten und Lösungen für Sicherheitsprobleme zu entwickeln und zur Verfügung zu stellen, die auf die Bedürfnisse ihrer Mitglieder zugeschnitten sind.

[Illustration]Der Forum's Standard of Good Practice (kurz "der Standard") ist entwickelt worden, um eine praktische, praxisorientierte Grundlage für die Entwicklung und Umsetzung von Richtlinien zur Informationssicherheit für Organisationen zur Verfügung zu stellen. Ziel ist auch, das Sicherheitsniveau innerhalb von Organisationen messbar zu machen. Es werden anspruchsvolle, aber durchaus erreichbare Ziele vorgegeben, gegen die die erreichten Sicherheitsmaßnahmen gemessen werden können. Der Standard basiert zum einen auf einer Fülle von Material und Studien zu IT-Sicherheit und zum anderen auf dem umfangreichen Wissen sowie den praktischen Erfahrungen der ISF-Mitglieder.

Die Veröffentlichungen des ISF sind normalerweise nur für den exklusiven Gebrauch durch die Mitglieder bestimmt. Das ISF hat jedoch den Standard über das Internet ([externer Link] www.isfsecuritystandard.com) allgemein zugänglich gemacht, um

Up to date

Der Standard wird alle zwei Jahre überarbeitet, um den schnell wechselnden Anforderungen an Informations- und Kommunikationstechnik gerecht zu werden.

Die Struktur des Standards gliedert sich in fünf Abschnitte:

Das Zusammenwirken und die wesentlichen Inhalte dieser fünf Abschnitte sollen im Folgenden kurz beschrieben werden. Durch die zunehmende Durchdringung aller Geschäftsprozesse mit Informations- und Kommunikationstechnik wächst auch die Abhängigkeit von deren korrektem Funktionieren. Und dazu zählt nicht nur die Verfügbarkeit von IT-Systemen und ihren Kommunikationsverbindungen. Nicht vernachlässigt werden dürfen hier auch die Themen Vertraulichkeit und Integrität der verarbeiteten Daten. Aber in nahezu allen Organisationen kommt es regelmäßig zu IT-Problemen unterschiedlichster Art:

Meistens verursachen solche Ereignisse nur geringen Schaden – obgleich die kumulative Auswirkung vieler geringer Ereignisse erheblich sein kann. Seltener, aber dann umso gravierender, verursachen sie schwerwiegende Verluste oder beeinträchtigen den Ruf oder die Leistung einer Organisation erheblich.

Um IT-Risiken vernünftig kontrollieren und den wachsenden Anforderungen an die Informationstechnik gerecht werden zu können, wird daher in zunehmendem Maße ein geplantes und organisiertes Vorgehen aller Beteiligten benötigt. Voraussetzung für die sinnvolle Umsetzung und Erfolgskontrolle von IT-Sicherheitsmaßnahmen ist ein durchdachter und gesteuerter IT-Sicherheitsprozess. Der Aufbau eines geeigneten IT-Sicherheitsmanagements ist nicht so einfach wie dies vielleicht klingen mag, sondern eine komplexe und herausfordernde Aufgabe. Ein funktionierendes IT-Sicherheitsmanagement muss in die existierenden Managementstrukturen einer jeden Organisation eingebettet werden und sich den vielfältigen Aufgaben eines heutigen dynamischen betrieblichen Umfelds stellen.

[Illustration]Der Standard zeigt auf, wie IT-Sicherheit die Geschäftsprozesse einer Organisation unterstützt. Diese Prozesse hängen in zunehmendem Maße von IT-basierten Anwendungen ab. Daher ist der Aspekt der geschäftskritischen Anwendungen zentral im Standard. Die nebenstehende Abbildung zeigt, wie die verschiedenen Bereiche des Standards zusammenhängen.

Die IT-Systeme (abgedeckt durch den Bereich Informationsverarbeitung) und die Kommunikationsnetze liefern die zugrunde liegende Infrastruktur, auf der die geschäftskritischen Anwendungen laufen. Das Kapitel zur Systementwicklung beleuchtet, welche Sicherheitsgesichtspunkte bei Neuentwicklungen und -beschaffungen berücksichtigt werden sollten. Im Abschnitt IT-Sicherheitsmanagement wird aufgezeigt, wie die IT-Risiken durch den Aufbau funktionierender IT-Sicherheitsprozesse kontrolliert werden können.

IT-Sicherheitsmanagement

Die Durchsetzung und Aufrechterhaltung eines angemessenen und ausreichenden IT-Sicherheitsniveaus kann für einen komplexen IT-Verbund nur durch geplantes und organisiertes Vorgehen aller Beteiligten gewährleistet werden. Es sind strategische Leitaussagen zu formulieren, konzeptionelle Vorgaben zu erarbeiten und die organisatorischen Rahmenbedingungen zu schaffen, um das ordnungsgemäße und sichere IT-gestützte Arbeiten der Organisation zu ermöglichen.

Geschäftskritische Anwendungen

Eine geschäftskritische Anwendung benötigt stärkere und umfassendere IT-Sicherheitsmaßnahmen als andere Anwendungen. Es ist sinnvoll, sich die Auswirkungen eines Verlustes der Vertraulichkeit, Integrität oder der Verfügbarkeit vor Augen zu halten, um den Schutzbedarf einer Anwendung richtig einschätzen zu können. Dies erleichtert es, die adäquaten Sicherheitsmaßnahmen auszuwählen, um Gefahren innerhalb annehmbarer Grenzen zu halten.

Informationsverarbeitung

Kritische Geschäftsanwendungen werden gewöhnlich von IT-Systemen unterstützt. Sie zu sichern, ist folglich eine Schlüsselpriorität. Da die gleichen IT-Sicherheitsprinzipien auf alle Arten der Informationsverarbeitung zutreffen – ungeachtet dessen, wo oder auf welchen Typen von Computern sie stattfindet – sollte überall ein allgemeiner Standard für Informationssicherheit umgesetzt werden.

Kommunikation und Netze

Kommunikationsnetze übermitteln Informationen und ermöglichen den Zugriff auf weitere IT-Systeme. Dadurch sind sie allerdings einem höheren Missbrauchsrisiko ausgesetzt. Um stabile Kommunikationsverbindungen zu gewährleisten, werden eine robuste Netzgestaltung, eingespielte und sichere Verfahren sowie Regelungen zu Netzmanagement, Installation, Konfiguration und Betrieb von Netzdiensten benötigt. Dies trifft in gleicher Weise auf lokale wie auf Weitverkehrsnetze, ebenso auf Daten- oder Sprachkommunikation zu.

Systementwicklung

Es ist kosteneffektiver und sicherer, IT-Sicherheit bereits während der Systementwicklung zu berücksichtigen, als alle Versuche, diese nachträglich einzubauen oder zu verbessern. Dazu ist sicherzustellen, dass Sicherheitsaspekte in jedem Stadium der Systementwicklung berücksichtigt werden.

Fazit

Der Standard umfasst das gesamte Spektrum der Aktivitäten, die notwendig sind, um die IT-Risiken innerhalb annehmbarer Grenzen zu halten. Er unterstützt Organisationen mit klaren Anweisungen dabei, was getan werden sollte, um ihre Informationen zu schützen – lebenswichtige Werte für jede Organisation im Informationszeitalter.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 5/2001, Seite 48