![[Der Lebenszyklus von IT-Prozessen erstreckt sich von der Beantragung über die Planung, Spwzifikation, techn. Konzept, Entwicklung, Test, Freigabe, Inbetriebnahme und den Betrieb bis hin zur Außerbestriebnahme]](04-3-072-1.jpg)
Sicherheitselemente sollten während des gesamten Lebenszyklus von IT-Prozessen Berücksichtigung finden.
Wer Sicherheitsanforderungen erst im laufenden Betrieb berücksichtigt, erlebt spätestens bei der Inbetriebnahme unangenehme Überraschungen. Beispielsweise können Berechtigungsprofile fehlen und die hierfür erforderlichen Funktionen nicht implementiert sein, oder Speicherkapazitäten sind nicht ausreichend vorhanden und eine redundante Auslegung der Komponenten sowie ihre räumlich getrennte Aufstellung sind nicht geplant. Es bricht Hektik aus. Nachträgliche Änderungen werden erforderlich, verzögern die Inbetriebnahme und verursachen höhere Kosten als bei einer frühzeitigen Bearbeitung.
Glücklicherweise passiert dies in diesem Umfang eher selten, wenn auch nicht immer aufgrund vordefinierter Prozesse, in denen das Vorgehen angemessen abgebildet ist, sondern oft durch die kollegiale Zusammenarbeit und Abstimmung auf dem "kleinen Dienstweg". Wann aber sollte man Sicherheitsaspekte berücksichtigen und wo sollten sie ihren Niederschlag finden?
Betrachten wir hierzu das Ziel, das es zu erreichen gilt: Letztendlich soll das Informationssystem im Betrieb die Sicherheitsanforderungen erfüllen, die von den Anwendern gestellt wurden. Konzentriert man sich dabei ausschließlich auf den Betrieb, das heißt auf einen Zeitpunkt, zu dem das Informationssystem fertig gestellt ist, so hätte man keinen (rechtzeitigen) Einfluss mehr auf das Produkt selbst. Es erginge einem mit der Sicherheit wie mit der Qualität bei einem industriell gefertigten Produkt, bei dem eine abschließende Kontrolle die Qualität nicht mehr verbessern, sondern nur noch konstatieren kann. Niemand käme beispielsweise bei einem Auto heutzutage auf die Idee, Überlegungen zu Sicherheitselementen, wie dem Insassenschutz in Form von Airbags, anzustellen, nachdem das Auto gefertigt und verkauft worden ist und genutzt werden soll. Dies muss bereits zum Zeitpunkt der Idee für das neue Modell und somit vor der Fertigung erfolgen und in den folgenden Entwicklungs- und Fertigungsschritten weiter berücksichtigt werden.
Um die geforderte Sicherheit eines Informationssystems zu erreichen, genügt es dementsprechend nicht, sich erst im Betrieb Gedanken über seine Absicherung zu machen. Im Vorfeld müssen eine Vielzahl von Maßnahmen ergriffen werden, um die Sicherheitsanforderungen bei Inbetriebnahme erfüllen zu können. Denn was nützt die beste Absicherung in der Betriebsphase, wenn in einer Anwendung bereits unzulässiger Programmcode enthalten ist, mithilfe dessen sich beispielsweise ein Programmierer Rundungsbeträge bei Zinsgutschriften auf sein eigenes Konto bucht? Oder ein anderer Fall: Wie soll der Betrieb von Beginn an ausfallsicher sein können, wenn dies bei der Systemarchitektur nicht berücksichtigt wurde?
Diese Beispiele zeigen, dass die Phasen, die vor dem Betrieb eines Informationssystems liegen, im Hinblick auf die sichere Gestaltung des Systembetriebs ebenfalls zu berücksichtigen sind. Unterstellt wurde hierbei, dass der Entwicklung von Informationssystemen ein Lebenszyklusmodell auf der Basis eines Vorgehensmodells zugrunde liegt; in der Regel dürften dies Phasenmodelle sein. Sicherheit im Lebenszyklus eines Informationssystems bedeutet, dass in allen Phasen von der Idee über die Antragsstellung, Konzeption, Entwicklung und den Betrieb bis hin zur Außerbetriebnahme Sicherheitsmaßnahmen verankert werden müssen.
----------Anfang Textkasten----------
----------Ende Textkasten----------
Somit ist das "wann" geklärt. Es stellt sich nun die Frage, welche IT-Prozesse davon betroffen sind: Schlüssigerweise sind dies jene IT-Prozesse und IT-Managementdisziplinen, welche den Lebenszyklus eines Informationssystems begleiten oder mit ihm vernetzt sind.
Ausgangspunkt hierfür sind sicherlich die Anforderungen der Nutzer, die in Leistungsvereinbarungen oder Service-Level-Agreements (SLAs) festgehalten werden. Somit ergibt sich als erste Disziplin das Leistungsmanagement. Leistungen sollen in der erforderlichen Qualität und Sicherheit erbracht werden; dies bilden Qualitäts- und Sicherheitsmanagement ab. Projekte, zum Beispiel zur Anwendungsentwicklung, sind dementsprechend zu steuern, festgelegt im Projektmanagement. Um die mit den Kunden vereinbarten Leistungen erbringen zu können, sind finanzielle Mittel erforderlich, die im Finanzmanagement geplant, erfasst und gesteuert werden.
Zur Erbringung der Leistungen muss die geforderte Kapazität (z. B. CPU-Leistung, Speicher- und Netzkapazität, aber auch Scan- und Druckkapazität) geplant, bereitgestellt und kontinuierlich beobachtet werden; hierzu dient das Kapazitätsmanagement. Die Verfügbarkeit der Leistungen ist üblicherweise Teil der Service-Level-Agreements. Sie ist abhängig von der Zuverlässigkeit, Fehlertoleranz und Wartbarkeit der eingesetzten Komponenten sowie der Qualität der Wartungsorganisation, die von internen und externen Dienstleistern erbracht wird. Die wirtschaftliche Realisierung der geforderten Verfügbarkeit ist Aufgabe des Verfügbarkeitsmanagements.
Das Kontinuitätsmanagement beschäftigt sich mit dem Einfluss von Notfällen und Katastrophen sowie der maximal tolerierbaren Ausfallzeit. Es werden präventive Maßnahmen ergriffen, etwa zur Vermeidung, Verminderung oder Verlagerung von Risiken oder in Form der Notfall- und Katastrophenvorsorgeplanung mit Maßnahmen zur Schadensbewertung und Wiederherstellung sowie Wiederanlaufplänen. Trotz allem bleiben Störungen und Probleme nicht aus; zu ihrer Behandlung dienen das Ereignis- und Problemmanagement.
Technologische Veränderungen, Release-Wechsel und Patches, aber auch Veränderungen von Verantwortlichkeiten müssen – teilweise schon aufgrund gesetzlicher Vorgaben – unter Sicherheitsaspekten jederzeit nachvollziehbar sein und geordnet durchgeführt werden. Außerdem will man Störungen infolge von Änderungen präventiv vermeiden oder reduzieren – all dies berücksichtigen Änderungs-, Konfigurations- und Releasemanagement.
Last, but not least, müssen der Datenschutz, der Umgang mit Lizenzen und das Thema Sicherheit durch das Datenschutz-, Lizenz- und Sicherheitsmanagement behandelt werden. Und das Personalmanagement beschäftigt sich mit dem Prozess der Planung, Beschaffung, Einarbeitung, Betreuung, Weiterentwicklung und Trennung von Personen.
Die Information Technology Infrastructure Library (ITIL) des Office of Government Commerce (OGC) fasst verschiedene dieser IT-Prozesse noch einmal zu Gruppen zusammen. Die Gruppe Service Delivery konzentriert sich auf die Prozesse, die zur Planung und Lieferung der IT-Services erforderlich sind, sowie die dafür notwendigen Voraussetzungen und Maßnahmen. Service Delivery umfasst das Service-Level-Management, das Finanzmanagement für IT-Services sowie das Kapazitäts-, Verfügbarkeits- und Kontinuitätsmanagement. Die Gruppe Service Support fokussiert auf jene Prozesse, die den IT-Service unterstützen und für den Betrieb erforderlich sind und umfasst den Service-Desk sowie das Ereignis-, Problem-, Konfigurations-, Änderungs- und Release-Management. Insgesamt betrachtet stellt ITIL einen "Best-Practices"-Ansatz für das IT-Service-Management dar.
Welche Arten von Sicherheitsmaßnahmen sollten nun in die Lebenszyklusphasen und die IT-Prozesse integriert werden? Hier kann man sich am Qualitätsmanagement orientieren, bei dem an verschiedenen Stellen des jeweiligen Prozesses präventive, begleitende und reaktive (postventive) Qualitätssicherungsmaßnahmen integriert werden. Übertragen auf die IT-Sicherheit gilt es, dementsprechende sicherheitsrelevante Maßnahmen in den Lebenszyklus und in die IT-Prozesse zu integrieren.
Sicherheitselemente sollten während des gesamten Lebenszyklus von IT-Prozessen Berücksichtigung finden.
Zu den präventiven Maßnahmen gehört beispielsweise die Absicherung des internen gegenüber dem externen Netz durch Firewalls, der Einsatz von Virenscannern, die Definition und Umsetzung von Benutzerrollen sowie die Notfall- und Katastrophenvorsorgeplanung, aber auch eine Clean-Desk-Policy und die verschiedenen Sicherheitsprinzipien wie beispielsweise das Poka-Yoke-Prinzip ("Narrensicherheit"), die Funktionstrennung, das Vier-Augen-Prinzip, das Prinzip der minimalen Dienste, der minimalen Rechte, der Sicherheitsschalen und der Pfadanalyse (mehr dazu in [1]). Security-Audits, Sicherheitsstudien und Penetrationstests sind ebenfalls präventive Maßnahmen, da mit ihnen Sicherheitsdefizite frühzeitig erkannt und anschließend behoben werden können.
Begleitende Sicherheitsmaßnahmen sind beispielsweise das Monitoring von Netzen und Systemen. Zu den reaktiven Maßnahmen gehören unter anderem Wiederherstellung, Wiederanlauf, die Bereinigung nach einem Virenbefall, die Datenrekonstruktion nach einem Headcrash oder auch forensische Untersuchungen.
Wer die Vielzahl verschiedener Sicherheitsmaßnahmen in den Lebenszyklus und in die IT-Prozesse integriert, erhält eine lebenszyklus- und prozessimmanente Sicherheit. Dies ist zwar ein recht umfangreiches, aber zielorientiertes Verfahren. Hierbei muss das jeweilige Vorgehensmodell der Softwareentwicklung entsprechend berücksichtigt werden.
In welcher Lebenszyklusphase sind nun welche Sicherheitselemente erforderlich? Bereits in der ersten Phase, das heißt bei der Beantragung eines Informationssystems, ist die Kenntnis des Schutzbedarfs zumindest überblicksartig erforderlich. Die ermittelten Sicherheitsanforderungen haben nämlich sowohl auf die Anschaffungs- und Entwicklungs- als auch Betriebskosten Einfluss. Die Sicherheitsanforderungen des Informationssystems im Hinblick auf Verfügbarkeit, Integrität, Vertraulichkeit und ergeben sich aus einer Schutzbedarfsanalyse beziehungsweise Geschäftseinflussanalyse (Business Impact Analysis), welche die Folgen von Sicherheitsverletzungen betrachtet. Hierbei werden auch Eckdaten für Nutzungsparameter ermittelt, wie etwa die verschiedenen Benutzerrollen, die Anzahl der geplanten Nutzer, das Datenvolumen, unterteilt in Stammdaten und Bewegungsdaten, sowie jeweils auch die prognostizierte zeitliche Entwicklung dieser Parameter.
In der Phase des Fachkonzepts beziehungsweise der Anforderungsspezifikation sollte man die Schutzbedarfsanalyse detaillierter ausarbeiten und die Folgen von Sicherheitsverletzungen umfassender betrachten. Auf der Basis vordefinierter Sicherheitsklassen erfolgt dann sinnvollerweise die genauere Klassifizierung des geplanten Informationssystems. Darüber hinaus werden die Informationen zur Datensicherung und Archivierung sowie zum Rollenkonzept, zu Betriebsanforderungen, Schnittstellen und Rahmenbedingungen verfeinert.
Die anschließende Phase des technischen Konzepts muss auch die Elemente der Sicherheitsarchitektur berücksichtigen. Auf Basis der Sicherheitsanforderungen werden Konzepte für Datensicherung, Archivierung, Security, Betriebsführung sowie für das Notfall- und Katastrophenvorsorgehandbuch erstellt. Im Testkonzept werden die sicherheitsrelevanten Anforderungen berücksichtigt. Hierbei sollte die Trennung zwischen Entwicklungs-, Test- und Produktionsumgebung zu den projektübergreifenden Unternehmensstandards gehören.
In der Entwicklungsphase werden die sicherheitsrelevanten Anforderungen umgesetzt und mitgetestet. In der Phase des Integrations- und Systemtests sollten beispielsweise Tests sicherheitsrelevanter Funktionen, der Test von System- und Komponentenausfällen, Stress-, Last- und Performancetests sowie Tests der Widerstandsfähigkeit gegenüber Angriffen sowie Wiederanlauftests erfolgen.
Damit die sicherheitsrelevanten Elemente im Lebenszyklus auch tatsächlich berücksichtigt werden, hilft eine Tabelle, die für jede Phase die zu liefernden Ergebnistypen und die Prüfungs- und Testmethode angibt.
Nachdem man Sicherheitselemente auf diesem Weg in den Lebenszyklus integriert hat, sollten die IT-Prozesse um die erforderlichen sicherheitsrelevanten Aktivitäten und Hilfsmittel sowie Verantwortlichkeiten erweitert werden. Hierzu gehört unter anderem auch die Sicherheitsklassifizierung der verschiedenen IT-Prozesse selbst (z. B. im Hinblick auf Verfügbarkeit, Integrität, Vertraulichkeit und Verbindlichkeit) und der von ihnen genutzten IT-Systeme (z. B. für das Netz- und Systemsmanagement oder die Berechtigungsadministration). Im Folgenden sind auszugsweise und überblicksartig Beispiele für Sicherheitsmaßnahmen in den Prozessen Personal-, Konfigurations- und Sicherheitsmanagement angegeben.
Im Rahmen des Personalmanagements werden beispielsweise für sicherheitskritische Aufgaben sicherheitsrelevante Überprüfungen neu einzustellender oder externer Mitarbeiter festgehalten und in den Teilprozess "Recruiting" integriert. Außerdem muss man hier den verschiedenen möglichen Rollen von Mitarbeitern die entsprechenden rollenorientierten Berechtigungsprofile zuordnen.
Im Konfigurationsmanagement kann beispielsweise ein datenbankbasierendes Tool als Hilfsmittel dienen, dessen Anforderungen an Nachvollziehbarkeit und Nachweisbarkeit, Verfügbarkeit und Redundanz zu spezifizieren und umzusetzen sind. Aktivitäten, Hilfsmittel, Verantwortlichkeiten und zugehörige Berechtigungen sind auch hier ein wesentliches Element der Prozessbeschreibung.
Der Prozess des Sicherheitsmanagements erstreckt sich von der Erstellung der Sicherheitspolitik bis hin zu ihrer Implementierung in Form von Sicherheitsmaßnahmen. Er enthält beispielsweise einen Regelkreis mit Berichtswesen sowie Monitoring, Logging, Protokollauswertung sowie Safety- und Security-Audits zur kontinuierlichen Steuerung. Das Sicherheitsmanagement umfasst die Beschreibung des zugrunde liegenden Vorgehensmodells, zum Beispiel der Sicherheitspyramide [1], die Bereitstellung erforderlicher Hilfsmittel, wie etwa Schutzbedarfsanalysen und Verpflichtungserklärungen zur Sicherheit, die organisatorische Abbildung und Einbettung des Sicherheitsmanagements sowie die Festlegung von Verantwortlichkeiten.
So entsteht die erforderliche Transparenz, Nachvollziehbarkeit und Sicherheit der IT-Prozesse. Sicherheitslücken und Doppelarbeit lassen sich frühzeitig reduzieren oder gänzlich vermeiden. Der Einsatz intranetbasierter zugriffsgeregelter Portale fördert die Nutzbarkeit und damit die Akzeptanz der IT-Organisation. Sie stellen zum einen "statische" Informationen bereit (z. B. Prozessdokumentationen, Verantwortlichkeiten, Checklisten, Hilfsmittel und Dokumentenvorlagen) und zum anderen "aktive Inhalte" (z. B. Informationen über die aktuelle CPU-, Netz- und Speicherauslastung sowie die Einhaltung der SLAs).
Gespräche mit Leitungsfunktionsträgern in Unternehmen zeigen im Hinblick auf den Status des Sicherheitsmanagements eine große Bandbreite. Auf der einen Seite ist das Bewusstsein für die Sicherheit gering ausgeprägt: Dies zeigt sich beispielsweise in einer als unnötig erachteten präventiven Raumplanung für Notfälle oder der nicht durchgeführten Integration von Sicherheitsmaßnahmen in den gesamten Lebenszyklus von Informationssystemen. Das andere Ende ist gekennzeichnet durch dokumentierte, oftmals an ITIL orientierte, IT-Prozesse einschließlich des Sicherheitsmanagements sowie den Aufbau von zentral verfügbaren Informationsportalen, über die auf Prozessdarstellungen, Hilfsmittel und aktive Inhalte rollenabhängig zugegriffen werden kann.
Die Integration sicherheitsrelevanter Elemente in den Lebenszyklus von Informationssystemen und in alle IT-Prozesse und IT-Managementdisziplinen ermöglicht jedenfalls den Übergang von einer reaktiven Vorgehensweise, wenn "das Kind in den Brunnen gefallen ist", zu einer proaktiven. Das Ergebnis ist eine lebenszyklus- und prozessimmanente Sicherheit.
Dr.-Ing. Klaus-Rainer Müller ist Management-Berater und Fachbereichsleiter IT-Services sowie Organisationsberatung bei der ACG Automation Consulting Group GmbH in Frankfurt.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#3, Seite 72
| 