Wirtschaftliches Sicherheitsmanagement

Ordnungsmerkmale

erschienen in: <kes> 2003#4, Seite 28

Rubrik: Management und Wissen

Schlagwort: Anwenderbericht

Schlagwort-2: IT-Sicherheitmanagement

Zusammenfassung: Das IT-Sicherheitsmanagement der WGZ-Bank ist das Ergebnis von rund achtjähriger Erfahrung und einer unabhängigen Prüfung durch ein Beraterhaus. Es legt besonderen Wert auf Flexibilität und Wirtschaftlichkeit, erfüllt aber natürlich dennoch die strengen Anforderungen des Bankenwesens.

Autor: Von Andreas Abel, Münster, und Rolf-Georg Monden, Rüsselsheim

Die zunehmende Technisierung der Geschäftsprozesse, erhöhte gesetzliche Anforderungen und auch branchenspezifische Aufsichtsregelungen führen dazu, dass sich Unternehmen mit IT-Risiken verstärkt in strukturierter Form auseinandersetzen müssen. In konjunkturschwachen Zeiten und den damit verbundenen Erlösproblemen und Kostensenkungsmaßnahmen im Unternehmen hat das IT-Sicherheitsmanagement dabei noch in weit stärkerem Maße als bisher den Spagat zwischen Wirtschaftlichkeit, veränderter Bedrohungslage und angemessenem Sicherheitsniveau zu lösen.

Die WGZ-Bank setzt sich laufend mit IT-Risiken auseinander. Sie hat bereits Mitte der 90er-Jahre ein zentrales IT-Sicherheitsmanagement eingerichtet. Aufgrund der Erfahrungen im praktischen Betrieb und der geänderten Rahmenbedingungen wurden die etablierten Prozesse und die technischen Systeme im Jahre 2001 einer kritischen Überprüfung durch Sicherheitsexperten der Firma EDS unterzogen. Besonderes Augenmerk galt dabei der Wirtschaftlichkeit des verwendeten Systems, das im Folgenden skizziert wird.

Im Rahmen des Risikomanagements sind neben den Geschäfts- auch die Betriebsrisiken zu berücksichtigen, welche die IT-Risiken einschließen. Da sich – wie mittlerweile auch in anderen Branchen – ohne IT-Unterstützung der Bankbetrieb nicht aufrechterhalten lässt, ist das Beherrschen von IT-Risiken eine große Herausforderung und ein nicht zu unterschätzender Wettbewerbsfaktor.

Bei der Identifizierung und beim Management der IT-Risiken sind neben der hohen Technisierung des Geschäftes, die dazu erforderliche komplexe und – leider auch – sehr schnelllebige Technik sowie die vielfältigen Bedrohungen von innen und von außen problematisch. Hieraus lässt sich das folgende Anforderungsprofil an ein integriertes IT-Sicherheitsmanagement ableiten:

Trennung von IT-Betrieb und IT-Sicherheitsmanagement

Als Ausgangsbasis zur Erfüllung dieses Anforderungsprofils und der gesetzlichen Anforderungen des Kreditwesengesetzes (§ 25a KWG) wurde – ausgehend von den Geschäftsprozessen und der hierzu erforderlichen IT-Unterstützung – das Gedankenmodell eines IT-Betriebskreislaufs je IT-Dienstleister und eines IT-Sicherheitskreislaufs für das Gesamtunternehmen konzipiert.

Durch die Umsetzung dieses Gedankenmodells in der betrieblichen Praxis wird unabhängig von der organisatorischen Einbindung der IT-Dienstleister in das Unternehmen sichergestellt, dass ein angemessenes internes Kontrollverfahren implementiert werden kann und sich angemessene Sicherheitsvorkehrungen für den IT-Betrieb definieren lassen.

[Illustration]
Abbildung 1: IT-Betriebs- und -Sicherheitskreislauf

IT-Betriebskreislauf

Für den reibungslosen IT-Systembetrieb sorgt der so genannte IT-Betriebskreislauf, der primär auf Basis technischer Maßnahmen (z. B. Redundanz) das Betriebsrisiko beeinflusst und so möglichst einen reibungslosen Ablauf der IT-gestützten Geschäftsprozesse gewährleistet. Dieser Kreislauf findet sich bei jedem internen und externen IT-Dienstleister in einer mehr oder weniger strukturierten und dokumentierten Form wieder.

Hinzu kommen Organisationsmaßnahmen, die dafür sorgen, dass besonders bei Abweichungen im geplanten technischen Betriebsablauf (z. B. Changes oder Notfälle) schnellstmöglich wieder ein ordnungsgemäßer Einsatz der IT-Systeme erfolgen kann. Der IT-Betriebskreislauf umfasst neben der Entwicklung und Einführung neuer Systeme, der laufenden Nutzung und den geplanten Veränderungen auch den geregelten Systemabbau nach Nutzungsende.

IT-Sicherheitskreislauf

Der IT-Sicherheitskreislauf ergänzt den IT-Betriebskreislauf und liefert ihm Vorgaben, damit neben dem technisch reibungslosen Ablauf der IT-Verfahren das so genannte Systemrisiko der Verfahren für die WGZ-Bank tragbar bleibt. Die einzelnen Phasen des IT-Sicherheitskreislauf orientieren sich an allgemein anerkannten Konzeptionen, beispielsweise den Vorgaben des SANS (vgl. www.sans.org). EDS setzt einen vergleichbaren Kreislauf unter dem Begriff Security-Lifecycle ein.

Während der IT-Betriebskreislauf primär die Schutzziele Verfügbarkeit und Integrität unterstützt, konzentriert sich der IT-Sicherheitskreislauf – quasi als Gegengewicht – primär auf die Schutzziele Vertraulichkeit und Nachvollziehbarkeit (vgl. Abb. 1).

Orientierung am Geschäftsprozess

Da IT-Sicherheit an sich keinen wirtschaftlichen Wert besitzt, orientiert sich der IT-Sicherheitskreislauf bei der konkreten Maßnahmengestaltung am individuellen Geschäftsprozess und unterstützt diesen unter Beachtung des Wirtschaftlichkeitsprinzips möglichst optimal, also derart, dass bei gegebenem Ressourceneinsatz die Systemrisiken für den Geschäftsprozess möglichst gering sind. Die bei der Risikoanalyse zu berücksichtigenden Maßnahmen können auf verschiedenen Ebenen wirken und stellen sich aus unserer Sicht dabei wie folgt dar (vgl. Abb. 2):

[Illustration]
Abbildung 2: Risikopyramide

Aus der unbelebten und belebten Natur, den Menschen und der Technik resultiert eine Vielzahl von potenziellen Bedrohungen, welche die Einhaltung der Schutzziele für die IT-Systeme gefährden. Ein Teil der eingetretenen Bedrohungen kann durch vorbeugende (proaktive) Absicherungen im IT-Betrieb abgefangen werden, ohne dass es zu Beeinträchtigungen des IT-Betriebs und somit des eigentlichen Geschäftsbetriebs kommt. Ein weiterer Teil der eingetretenen Bedrohungen wird durch eine situative Reaktion oder reaktive Absicherungen wiederum im IT-Betrieb ohne Auswirkungen auf den Geschäftsprozess gelöst.

Für die verbleibenden Bedrohungen stehen wiederum reaktive Maßnahmen und reaktive Absicherungen im Bankbetrieb zur Verfügung, um einen Schaden für das eigentliche Geschäft abzuwenden. Erst wenn all diese Maßnahmen nicht greifen, kommt es zu einer tatsächlichen Auswirkung auf das Geschäft. Auf den verschiedenen Ebenen lassen sich durch Überwachungsprozesse Risikoindikatoren (z. B. zunehmender Ausfall von Arbeitsplatz-PCs) definieren, die erhöhte Eintrittswahrscheinlichkeiten signalisieren können.

Zur Risikoanalyse und zur Maßnahmenimplementierung wird folgendes Vorgehensmodell realisiert:

[Illustration]
Abbildung 3: Risikowürfel

Der gewählte Ansatz berücksichtigt bei der qualitativen Risikobewertung von sicherheitsrelevanten Ereignissen im Wesentlichen drei Fragen (vgl. Abb. 3):

Grundsätzlich besteht bei einem Verfahren dann das höchste Risiko (roter Würfel rechts oben, vorne in Abb. 3), wenn sicherheitsrelevante Ereignisse technisch möglich, aber nicht erlaubt und auch nicht erkennbar sind. Anhand verschiedener Maßnahmenstrategien ist es möglich, die Risiken zu beeinflussen und damit tragbar (grüne oder gelbe Würfel) zu machen. Die Wirkungsrichtung der Einzelmaßnahmen lässt sich mithilfe des Risikowürfels auch relativen Laien im IT-Risikomanagement verdeutlichen. So definiert beispielsweise die Richtliniengestaltung (Policies), welche Dinge "erlaubt" oder "nicht erlaubt" sein sollen. Durch technische Maßnahmen (z. B. redundante Auslegung von Serversystemen) werden bestimmte Ereignisse technisch nicht mehr möglich oder zumindest erkennbar (z. B. durch erweiterte Protokollierung).

Über quantitative Bewertungsmethoden, etwa auf Basis von Vergangenheitswerten einer Schadensfalldatenbank, lassen sich die Einzelbewertungen durch den Risikowürfel innerhalb eines Projektes untereinander vergleichen und mit monetären Größenordnungen versehen.

Mehrstufigkeit der IT-Sicherheitsrichtlinie

Da die internen Regelungen und Policies wesentliche Grundlagen für den laufenden Prozess des IT-Sicherheitsmanagements bilden und hierüber zumindest auf grobem Niveau Qualitätsanforderungen an die Systeme und Prozesse definiert werden, kommt der konkreten IT-Sicherheitsrichtlinie eine zentrale Rolle zu. Um gleichzeitig die Anforderungen der Robustheit einerseits und der Flexibilität andererseits zu erfüllen, hat die WGZ-Bank einen mehrstufigen Aufbau gewählt (Abb. 4).

[Illustration]
Abbildung 4: Aufbau der IT-Security-Policy

Die Schutzziele umfassen "IT-Protection" als oberste Leitlinie (mit den Aspekten Verfügbarkeit, Integrität, Vertraulichkeit und Nachvollziehbarkeit) sowie als weitere Leitlinien

Während diese sechs Schutzziele und die nachrangigen Vorgaben allgemein, neutral und damit auch langlebig formuliert sind, zeigen sich die Umsetzungsanforderungen sehr detailliert und teilweise konkret für bestimmte Systeme geschrieben (z. B. bzgl. des Betriebssystems eines bestimmten Herstellers). Durch diese Aufteilung kann die WGZ-Bank einem Systembetreuer – ob intern oder extern – eine detaillierte Checkliste der sicherheitsrelevanten Anforderungen zur Verfügung stellen, teilweise auch in Form konkreter Arbeitsanweisungen und Systemeinstellungen. Dieselben Checklisten können einer internen oder externen Revision als Grundlage für eine Systemprüfung dienen.

Zur Pflege der Umsetzungsanforderungen und der aufgabengerechten Aufbereitung für Projekte wird das Software-Tool SecNavigator der Firma KNL, Magdeburg, eingesetzt, mit dessen Hilfe das IT-Sicherheitsmanagement die Umsetzungsanforderungen laufend redaktionell bearbeiten und projekt- sowie aufgabenspezifische Checklisten erzeugen kann (vgl. [externer Link] www.secnavigator.de).

[Screenshot SecNavigator]
Abbildung 5: Das Tool SecNavigator dient zur Pflege der Umsetzungsanfoderungen und zur Erstellung von projekt- und aufgabenspezifischen Checklisten.

Berichtswesen

Um die beiden Kreisläufe mit den Steuerungsprozessen und dem Risiko-Controlling zu verzahnen, ist es erforderlich, standardisierte Schnittstellen zu verwenden. Dies wird zum einen durch verbindliche Regelungen der IT-Sicherheitsrichtlinie in Richtung des IT-Betriebskreislaufs realisiert, zum anderen durch ein entsprechendes Berichtswesen in Richtung Risiko-Controlling und Geschäftsleitung.

Dieses Vorgehen entspricht bereits bekannten Vorgaben, wie dem im Gesetz für Kontrolle und Transparenz im Unternehmensbereich (KonTraG) geforderten Berichtswesen zum Vorstand oder der Geschäftsführung. Gleichzeitig liefert das gewählte Sicherheitsberichtslayout dem Risiko-Controlling eine Rückmeldung über die gewählten Risikoindikatoren und stellt inhaltlich einen weiteren Schritt zum Aufbau einer umfassenden Schadensdatenbank zur Beurteilung von Systemrisiken dar.

Software-Werkzeuge

Nach der Konzeption des IT-Sicherheitskreislaufs und der dazugehörigen Prozesse galt es, die einzelnen Phasen durch entsprechende Software-Werkzeuge optimal zu unterstützen. Um gleichzeitig das Vier-Augen-Prinzip einzuhalten, sind die Werkzeuge des Sicherheitskreislaufs unabhängig von den Werkzeugen des IT-Betriebskreislaufs einzusetzen. Weiterhin müssen die Produkte einfach zu implementieren und intuitiv bedienbar sein. Dabei sollte sie bei systemnahen Funktionen ein möglichst breites Spektrum an IT-Systemen und -Verfahren abdecken. Einen Überblick über die in den einzelnen Phasen genutzten Werkzeuge gibt die nebenstehende Tabelle.

Tabelle 1: Unterstützende Software-Tools in den Phasen des Sicherheitskreislaufs
Phase des IT-Sicherheitskreislaufs Werkzeug Bemerkung
Analyse SecNavigator zielobjektspezifische Checklisten mit Schutzmaßnahmen in Abhängigkeit von der Risikoeinschätzung
Net-IQ VigilEnt Security Manager Analyse von Schwachstellen bei technischen Systemen
Sicherheitsrichtlinie SecNavigator Pflege und Redaktion der Umsetzungsanforderungen
Protokollierung "Bordmittel" der Betriebssysteme und Verfahren mit standardisierten Schnittstellen  
Auswertung Net-IQ VigilEnt Security Manager Auswertung der Systemeinstellungen und sicherheitsrelevanten Informationen
Alarmierung Systemmanagement-Werkzeuge Definition von Schwellwerten und automatischen Alarmierungsmechanismen
Abwehr Firewalls
Virenscanner
Mailgatewayfilter
Net-IQ VigilEnt Security Manager
Schnittstellen zur Protokollierung werden – sofern möglich – genutzt. Ansonsten manuelle Übernahme in das Berichtswesen
Berichtswesen SecNavigator kontinuierliche Sammlung sicherheitsrelevanter Ereignisse

Fazit

Mit der Umsetzung des Gedankenmodells – bestehend aus der Einführung eines vom normalen IT-Betrieb getrennten IT-Sicherheitskreislaufs – und dem mehrstufigen Aufbau der IT-Sicherheitsrichtlinie ist es der WGZ-Bank gelungen, ein schlankes, robustes und gleichzeitig flexibles IT-Risikomanagement zu implementieren. Dabei wurde das Wirtschaftlichkeitsprinzip über die Kriterien Effektivität und Effizienz in allen Prozessphasen konsequent berücksichtigt. Derzeit prüft die WGZ-Bank, in weiteren Entwicklungsstufen für bestimmte Systeme über Musterbausteine von Sicherheitsmaßnahmen eine konsequente Standardisierung über alle IT-Dienstleister zu erreichen.

Auf konzeptioneller Ebene kann über den Aufbau einer Schadensdatenbank die Entscheidungsbasis für die sachgerechte Auslegung von IT-Systemen verbessert werden, um Fehlallokationen von Ressourcen durch überbestimmte Maßnahmen oder unerwartete Risikokosten wegen unterbestimmten Maßnahmen zu vermeiden.

Aufgrund der konsequenten Aufgabenteilung und der Robustheit ist dieses Modell auch in anderen Banken und aus Sicht der Autoren sogar in anderen Branchen einsetzbar. Die Differenzierung müsste dann auf Ebene der Umsetzungsanforderungen stattfinden.

Dr.-Ing. Andreas Abel (andreas.abel@wgz-bank.de) ist Leiter des Projekts "Härtung IT-Infrastruktur" bei der WGZ-Bank und zuständig für das IT-Sicherheitsmanagement.
Dipl.-Ing. Rolf-Georg Monden (rolf-georg.monden@eds.com) ist Information Security Manager bei EDS und berät dort primär Behörden und Banken bei der Konzepterstellung und Überprüfung von Sicherheitsmanagementsystemen.