![[externer Link]](../../../../images/link.gif)
http://emea.bsi-global.com/IT+Service+Management/Overview/WhatisBS15000.xalter).Das Thema IT-Sicherheit wird von vielen Unternehmen und Behörden oftmals völlig unabhängig von existierenden IT-Serviceprozessen behandelt. Ein IT-Sicherheitsbeauftragter befindet sich demzufolge – oft unfreiwillig – in einer eher konfrontativen Position gegenüber dem IT-Bereich. Wünschenswert wäre es aber, den IT-Sicherheitsbeauftragten als produktiven Partner des IT-Betriebs aufzufassen. Dies gelingt wesentlich einfacher, wenn deutlich wird, dass IT-Sicherheitsmanagement neben der Aufrechterhaltung und Verbesserung der IT-Sicherheit dazu beitragen kann, IT-Betrieb und IT-Services effizienter zu organisieren.
ITIL ist ein Best-Practice-Referenzmodell für IT-Serviceprozesse und sieht als solches Sicherheitsaspekte als unverzichtbaren Bestandteil eines ordnungsgemäßen IT-Betriebs an. ITIL bietet somit die Basis, Verbindungen bezüglich der Sicherheitsanforderungen zwischen Geschäfts- und IT-Prozessen zu erkennen und Synergiepotenziale zu nutzen.
Die ITIL-Bibliothek wurde in der zweiten Hälfte der Achtzigerjahre von der britischen Central Computer and Telecommunications Agency (CCTA) aufgebaut, die 2001 im britischen Office of Government Commerce (OGC) aufging.
Das Ziel von ITIL besteht im Wesentlichen darin, die bislang meist technologiezentrierte IT-Organisation prozess-, service- und kundenorientiert auszurichten. Damit sind die ITIL-Empfehlungen eine entscheidende Grundlage für zuverlässige, sichere und wirtschaftliche IT-Dienstleistungen (IT-Services). ITIL enthält verschiedene Publikationen, die unter anderem das Management des IT-Betriebs, der IT-Services, der Anwendungen und der IT-Infrastruktur zum Inhalt haben.
Abbildung 1 zeigt die wichtigsten ITIL-Bände im Überblick. Das Service-Management als zentraler Teil des ITIL-Rahmenwerks ist von der nationalen britischen Standardisierungsorganisation British Standards Institution (BSI) als BS 15000 standardisiert worden (vgl. http://emea.bsi-global.com/IT+Service+Management/Overview/WhatisBS15000.xalter).
![[Bild: HiSolutions AG]](05-2-031-1.jpg)
Abbildung 1: ITIL-Prozesse auf den verschiedenen Management-Ebenen
Die besonderen Stärken von ITIL liegen darin, dass ITIL ein umfassendes Rahmenwerk für die IT-Prozessorganisation bildet und als Sammlung von Best Practices dabei praxis- und umsetzungsorientiert ist. ITIL beschreibt allerdings keinen IT-Sicherheitsprozess, sondern verweist zur Umsetzung eines Sicherheitsprozesses lediglich auf die britische Norm BS 7799.
Synergieeffekte lassen sich vor allem durch Zusammenarbeit zwischen dem Sicherheitsmanagement und den Bereichen Service Support und Service Delivery, (s. u.) erzielen. Im Band "Service Support" werden von ITIL , die folgenden operativen Prozesse des Service-Managements beschrieben:
Der Service Desk, also die Anwenderbetreuung, stellt die zentrale Kommunikationsschnittstelle zum Kunden dar. Wenn der Service Desk als "Security Frontoffice" ausgebaut wird, ist er in der Lage, im Zusammenhang mit Anfragen der Anwender sicherheitsrelevante Aussagen zu erkennen, aufzunehmen, zu klassifizieren und richtig weiterzuleiten. Der Service Desk gewährleistet damit auch für das Sicherheitsmanagement eine hohe Erreichbarkeit und Reaktionsfähigkeit und kann den Kontakt mit den IT-Anwendern nutzen, um diese auch für Sicherheitsbelange zu sensibilisieren.
Der Störungsmanagementprozess hat die Aufgabe, tatsächliche oder absehbare Servicebeeinträchtigungen aufzunehmen und zügig zu beheben. Sicherheitsvorfälle sind Störungen in IT-Services und müssen entsprechend behandelt werden. Umgekehrt können Störungen in IT-Services auch Folge unerkannter Sicherheitsvorfälle sein. Besonders die Integration der Intrusion Detection und die Behandlung von Sicherheitsvorfällen in einen gemeinsamen Störungsmanagementprozess sowie die Nutzung der Fachkompetenz der Sicherheitsexperten bei der Formulierung von Service Level Agreements (SLA) zahlen sich aus. Gerade bei der Bearbeitung von Sicherheitsvorfällen zeigen sich immer wieder Zielkonflikte. Während das Servicemanagement in der Regel an der schnellen Wiederherstellung der betroffenen Services interessiert ist, liegt dem Forensiker an der detaillierten Analyse der genutzten Sicherheitslücken und der Spurensicherung.
Das Problemmanagement versucht, Fehler beim IT-Betrieb möglichst gering zu halten und das wiederholte Auftreten von Störungen zu verhindern. Die Auditierung von Systemen, um Sicherheitslücken aufzudecken, die Analyse aufgetauchter Probleme und die Entwicklung von Lösungsvorschlägen sind die großen Stärken des IT-Sicherheitsmanagements. Die Integration des Sicherheitsmanagements in das Problemmanagement lässt daher eine deutliche Kompetenzsteigerung erwarten.
Die Aufgabe des Änderungsmanagement-Prozesses ist es, verändernde Eingriffe in Anwendungen, IT-Infrastruktur, Dokumentationen, Prozesse und Verfahren zu steuern und zu kontrollieren. Dabei sollen Störungen infolge von Änderungen vermieden und die Effizienz der Änderungen verbessert werden. Änderungen mit möglichen Auswirkungen auf die Sicherheitsmerkmale von IT-Services sollten daher unter Mitwirkung des Sicherheitsmanagements geplant und freigegeben werden.
Ein besonderes Szenario stellt das Patch-Management dar. Sicherheitsrelevante Patches haben nicht nur eine hohe Brisanz und müssen in der Regel unter Termindruck ausgerollt werden, sie greifen teilweise tief in bestehende Funktionalitäten und Prozesse ein. Hier gilt es, über gemeinsame Vorgaben Wege zu definieren, die den Zielkonflikt zwischen Reaktionsschnelligkeit und Qualitätssicherung ausgewogen beantworten.
Das Versionsmanagement plant den Roll-out von Hard- und Software und stellt sicher, dass nur getestete und autorisierte Hard- und Softwareversionen in Betrieb genommen werden. Eine Version fasst dabei eine Reihe neuer oder geänderter Konfigurationselemente zusammen, die zusammenhängend getestet und in Betrieb genommen werden. Es liegt auf der Hand, dass die Einführung neuer Komponentenversionen auch mit Sicherheitsanforderungen (z. B. Stabilität, Integrität und Vertraulichkeit) verbunden ist und dass Versionsmanagement auch für die Einführung von Sicherheitslösungen notwendig ist.
Das Konfigurationsmanagement verwaltet zum einen Informationen über Eigenschaften der eingesetzten Konfigurationselemente (Applikationen, IT-Systeme, Infrastruktur etc.) und deren Zusammenhänge. Zum anderen werden Informationen über aufgezeichnete Störungen, Probleme und Änderungen im Zusammenhang mit den Konfigurationselementen erfasst.
Bei konsequenter Umsetzung entwickelt sich die Konfigurationsmanagement-Datenbank zum zentralen Werkzeug bei der Verwaltung der eingesetzten IT-Komponenten. Mit diesem "IT-Repository" können dann ebenfalls Services, Rollen und Prozesse abgebildet werden. Ergänzt man dieses Beziehungsnetz noch um Anforderungen gemäß Verfügbarkeit, Vertraulichkeit und Integrität, entwickelt es sich sehr schnell in Richtung eines universellen Werkzeuges auch für das Sicherheitsmanagement.
Die Datenbank lässt sich somit zur Planung und Dokumentation von Sicherheitsmaßnahmen einsetzen und ist wichtiger Baustein der Notfallvorsorge. Auch das Service-Management profitiert durch die zusätzlichen Informationen zur Kritikalitäts- und Risikobewertung, die von den Anwenderprozessen auf konkrete Services und Betriebsmittel übertragen werden können.
Mit dem Band "Service Delivery" (Erbringung von Dienstleistungen) liefert ITIL die taktischen Prozesse des Service-Managements. Diese steuern Gestaltung, Planung, Vereinbarung, Überwachung, Berichtswesen und Optimierung der IT-Services und ihrer Eigenschaften. Hierfür werden die folgenden Prozesse definiert:
Das Service Level Management (SLM) ist für die Umsetzung der Kundenanforderungen in konkrete Serviceangebote, deren Vereinbarung und Überwachung verantwortlich. Das Sicherheitsmanagement kann mit entsprechenden Empfehlungen und Vorgaben das Anforderungsmanagement für IT-Services unterstützen und beeinflussen. Daneben sind in der Regel Basisanforderungen an die IT-Sicherheit zu regeln, zum Beispiel aufgrund gesetzlicher Rahmenbedingungen, Zertifizierungsanforderungen oder zur Einhaltung einer organisationsweiten Sicherheitsstrategie.
Aus den definierten Sicherheitsmerkmalen der IT-Services müssen hieraus konkrete Sicherheitsanforderungen an die Gestaltung von IT-Prozessen und Infrastruktur abgeleitet, umgesetzt und in der Praxis überwacht werden. Neben den grundsätzlichen Sicherheitszusagen für konkrete Services sind auch die Mitwirkungspflichten der Servicenehmer und Leistungsersteller zu regeln, beispielsweise durch SLA, Policies oder Leistungsvereinbarungen.
Das Verfügbarkeitsmanagement liefert Standards für die Definition, Planung und Überwachung geeigneter Verfügbarkeitsstufen für IT-Services. Daneben definiert es auch die Anforderungen an die Wartung von Hardware- und Softwarekomponenten. Da Verfügbarkeit eines der zentralen Sicherheitsziele ist, kann der Verfügbarkeitsmanagement-Prozess auch als Teil des Sicherheitsmanagements verstanden werden. Das Sicherheitsmanagement wird auch einbezogen, wenn Chancen und Risiken der Auslagerung von Prozessen und Infrastruktur zu bewerten sind.
Während das Verfügbarkeitsmanagement die Verfügbarkeit von Services sicherstellt, kümmert sich das Kapazitätsmanagement um den wirtschaftlichen Umgang mit (IT-)Ressourcen. Das Kapazitätsmanagement analysiert die Kapazitätsanforderungen, plant und steuert den Ressourceneinsatz mit Blick auf die Wirtschaftlichkeits- und Performanceanforderungen an IT-Services und liefert Verfahren für die Überwachung von Servicekapazitäten und -performance.
Da die Bereitstellung angemessener Kapazitäten die Service-Verfügbarkeit beeinflusst, liegt eine Beteiligung des Sicherheitsmanagements auf der Hand, zum Beispiel bei der Ermittlung der notwendigen Mindestkapazitäten in der Wiederanlaufplanung oder bei der Erkennung von Abweichungen im Lastverhalten von Konfigurationselementen als Symptom von Sicherheitsvorfällen.
Die Aufgabe des Continuity Management für IT-Services liegt in dem Support des übergeordneten Business Continuity Management (BCM). Das BCM stellt dabei sicher, dass eine Organisation jederzeit die erforderliche Mindestproduktionskapazität oder einen Mindest-Service gewährleisten kann. Das Service Continuity Management (ITSCM) ist der Prozess, der erforderlich ist, um innerhalb des IT-Services Katastrophen aufzufangen und zu "überleben", damit eine Institution ihren Betrieb fortsetzen kann.
Beim Service Continuity Management ist die Beziehung zur IT-Sicherheit von allen Themen am offensichtlichsten und innerhalb von ITIL klar definiert. Die Themen Risikoanalyse, Folgeschädenanalyse (Business Impact Analysis), Notfallvorsorge- und Katastrophenplanung, Krisenmanagement, Wiederanlaufplanung und Vorbeugung werden in den meisten Institutionen von der IT-Sicherheit mitbehandelt. Hier gilt es in erster Linie eine geeignete Rollenverteilung und Zusammenarbeit zwischen IT, IT-Sicherheit und dem operationalen Risikomanagement zu schaffen, um ein stimmiges Gesamtkonzept mit konsistenten Argumentationsketten vom Geschäftsprozess bis zum darauf abgestimmten IT-Service-Management zu erreichen.
Das Finanzmanagement für IT-Services unterstützt das Management in der Gewährleistung der Wirtschaftlichkeit von IT-Services. Es hilft dem Sicherheitsmanagement, wenn alternative Sicherheitsmaßnahmen nach Wirtschaftlichkeitsgesichtspunkten zu analysieren und zu priorisieren sind. Eine transparente Darstellung von Nutzen und Aufwand trägt wesentlich zur Akzeptanz bei Kunden und Management bei. Auch wenn der "Return on Security Investment" (ROSI) oft schwer realistisch zu ermitteln ist, kann er ein wesentliches Kriterium für die Lenkung der Sicherheitsmaßnahmen sein.
Service Level Management und Finanzmanagement können spürbar zur Akzeptanz der Leistungen des Sicherheitsmanagements beitragen, wenn sie verursacher- und verursachungsgerecht in den jeweiligen Services berücksichtigt werden.
Eine frühzeitige Einbeziehung des Sicherheitsmanagements bei einer Implementierung von IT-Servicemanagement-Prozessen ist sowohl in ökonomischer als auch sicherheitstechnischer Hinsicht mehr als sinnvoll. Umgekehrt kann IT-Sicherheit nur dann wirksam implementiert werden, wenn sich alle Sicherheitsmaßnahmen auf klar definierte Prozesse und Serviceanforderungen beziehen.
Ein Vergleich der ITIL-Themen mit dem IT-Grundschutzhandbuch des BSI zeigt sehr deutlich, wie groß die Schnittmenge ist. Die Verinnerlichung des Servicegedankens auch im Sicherheitsmanagement kann dazu führen, Sicherheit an sich als Service zu definieren. Denn die im IT-Grundschutzhandbuch aufgeführten Sicherheitsmaßnahmen sind konkrete Vorschläge für einen speziellen Sicherheitsservice und definieren einen bestimmten Service-Level. Dieser kann dann gegebenenfalls um ergänzende Sicherheitsservice-Pakete für höheren Schutzbedarf ergänzt werden. Die mit der Umsetzung der Maßnahmen entstehenden Sicherheitskosten werden somit finanziell quantifizierbar und könnten verursachergerecht umgelegt werden.
Ein weiterer nicht zu vernachlässigender Aspekt ist die gesteigerte Aufmerksamkeit des Managements für die IT-Sicherheit, die durch das Aufzeigen der hier genannten Berührungspunkte und Synergieeffekte entsteht. Gerade in Behörden und Unternehmen, die derzeit ITIL umsetzen oder damit liebäugeln, sollten sich Sicherheitsverantwortliche von Anfang an in diesen Gestaltungsprozess integrieren.
Die BSI-Studie "ITIL und Informationssicherheit" mit allen Quellenangaben steht im Internet kostenlos unter www.bsi.bund.de/literat/studien/index.htm zum Download zur Verfügung.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#2, Seite 31
| 