![[Aufmachergrafik: heller, corporate design]](07-6-043-0.jpg)
Am Drehkreuz Baulich-physische Sicherheit – Anforderungen von Sicherheitsstandards an den Zutrittsschutz Am Drehkreuz Baulich-physische Sicherheit – Anforderungen von Sicherheitsstandards an den ZutrittsschutzIdealerweise legen sich verschiedene und aufeinander aufbauende Sicherheitsmaßnahmen wie Zwiebelschalen um zu schützende Objekte, IT-Komponenten und letztlich Daten. Dass die physische Sicherheit und besonders der Zutrittsschutz als äußerste Schicht oft eine wichtige Rolle spielen ist leicht nachzuvollziehen: Aufwändig installierte Firewall- oder Intrusion-Prevention-Systeme werden schnell zu machtlosen Instrumenten, wenn Angreifer sich ganz unmittelbar Zutritt zu Rechenzentrum, Server oder Desktop-PC verschaffen und beispielsweise Festplatten mitnehmen oder Systeme sabotieren.
----------Anfang Textkasten----------
----------Ende Textkasten----------
Sehr häufig umfassen interne Audits und Revisionen auf organisatorischer und technischer Ebene auch Aspekte der baulich-physischen Sicherheit und insbesondere des Zutrittsschutzes. Verschiedene einschlägige Standardwerke zur Informationssicherheit stellen dementsprechende Anforderungen – allen voran die Normenreihe ISO/IEC 27000 [1], der IT-Grundschutz des BSI [2], CobiT [3,4] und der "Standard of Good Practice for Information Security" des Information Security Forums (ISF) [5].
Die Normenreihe ISO/IEC 27000 [1] behandelt Informationssicherheits-Managementsysteme (ISMS), Anforderungen zur Zertifizierung eines ISMS enthält dabei ISO/IEC 27001:2005 "Information technology – Security techniques – Information security management systems – Requirements". Darin sind auf 17 Seiten im Anhang A "Control objectives and controls" (Sicherheitsziele und Prüfpunkte) die normativen, also zertifizierungsrelevanten, Anforderungen aufgelistet. Der Anhang beschreibt das jeweilige Sicherheitsziel und den zugehörigen Prüfpunkt jedoch lediglich allgemein in Kurzform. Hinweise zur organisatorischen oder technischen Umsetzung dieser Anforderungen findet der Anwender hingegen auf circa 100 Seiten der ISO/IEC 27002:2005 "Information technology – Security techniques – Code of practice for information security management" (ehemals ISO/IEC 17799:2005).
Die für den Zutrittsschutz zertifizierungsrelevanten Aspekte befinden sich im Abschnitt A 9 "Physical and environmental security", der wiederum in die beiden Teile A 9.1 "Secure areas" und A 9.2 "Equipment security" gegliedert ist. Die wichtigen Prüfpunkte in Hinsicht auf Zutrittsschutz sind:
Am Beispiel von Punkt A.9.1.2 soll nochmals der Unterschied von ISO/IEC 27001 und ISO/IEC 27002 verdeutlicht werden: Während erstere Norm lediglich "unspezifisch" fordert, sicherheitsrelevante Bereiche durch angemessene Zutrittskontrollen zu schützen und nur autorisiertem Personal Zutritt zu gewähren, enthält das entsprechende Kapitel in ISO/IEC 27002 detaillierte Anregungen, wie dieser Prüfpunkt umgesetzt werden könnte:
Seit Anfang 2006 orientiert sich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit seinen IT-Grundschutzkatalogen [2] an ISO/IEC 27001 (vgl. <kes> 2005#6, S. 6). Das Thema des Zutrittsschutzes wird in Bausteinen, Gefährdungen und Maßnahmen in Übereinstimmung mit der internationalen Norm behandelt. Der große Vorteil der Grundschutzmaßnahmen gegenüber den ISO-Normen ist, dass sie vielfach konkreter sind und sich daher leichter umsetzen lassen. Die Maßnahmen des BSI lassen zudem einem Auditor viel weniger Interpretationsspielraum bei seiner Beurteilung ob eine Anforderung vollständig umgesetzt wurde oder nicht.
In den IT-Grundschutzkatalogen sind die für den Zutrittsschutz relevanten Bausteine in der Schicht 2 "Infrastruktur" zu finden:
In diesen Bausteinen wird dann auf die entsprechend umzusetzenden Maßnahmen verwiesen. Als für den Zutrittsschutz wesentlich seien die Folgenden genannt, von denen insbesondere die beiden ersten die organisatorischen und technischen Anforderungen aus ISO/IEC 27001 abbilden:
Die Control Objectives for Information and Related Technology (CobiT, [3,4]) sind ein international anerkanntes Framework zur IT-Governance und wurden 1993 vom internationalen Verband der IT-Prüfer (Information Systems Audit and Control Association, ISACA) entwickelt. Seit dem Jahr 2000 ist es Aufgabe des IT Governance Institute, einer Schwesterorganisation der ISACA, CobiT weiterzuentwickeln und fortzuschreiben.
CobiT hat sich über die Jahre von einem reinen Werkzeug für IT-Prüfer (Auditoren) zu einem Werkzeug zur Steuerung der IT aus Unternehmenssicht gewandelt. CobiT definiert dabei nicht primär, wie Anforderungen umzusetzen sind, sondern zielt eher darauf, was umzusetzen ist. CobiT will ein Bindeglied zwischen den unternehmensweiten Steuerungs-Frameworks (COSO-Modell, [6]) und den IT-spezifischen Modellen sein, zum Beispiel der IT Infrastructure Library (ITIL) und ISO/IEC 27002.
Der Aufbau von CobiT gleicht dem der ISO/IEC-Normenreihe insoweit, dass Kontrollziele (Control Objectives) und zugehörige Steuerungselemente (Controls) aufgelistet werden. In seiner Gesamtheit definiert CobiT 34 IT-Prozesse, denen es die Control Objectives zuordnet. Die Control Objectives und entsprechenden Controls sind wesentliche Bereiche, die im Prozess berücksichtigt sein müssen, um das Prozess-Ziel zu erreichen. Informationssicherheit, und damit auch die baulich-physische Sicherheit, wird innerhalb von CobiT als ein Teil der Informationsverarbeitung betrachtet.
Der für den Zutrittsschutz relevante Teil ist relativ kurz und lässt sich im Kapitel "Delivery and Support" im Prozess DS12 "Manage the Physical Environment" finden. CobiT liefert hier keine konkreten technischen oder organisatorischen Vorgaben, sondern listet lediglich Punkte auf, die man berücksichtigen sollte. Sie beschreiben vor allem die Anforderungen an das Verwalten und Nutzen installierter baulich-physischer Maßnahmen; als Beispiel ist hier die Schlüsselverwaltung zu nennen. Die relevanten Unterkapitel mit den passenden Control Objectives im Prozess SD12 sind:
Der letztgenannte Punkt fordert beispielsweise recht allgemein, Prozeduren zu definieren und umzusetzen, die es auf Basis von Geschäftserfordernissen (inkl. Notfällen) ermöglichen Zutritt zu gewähren, zu begrenzen und erteilte Berechtigungen zurückzuziehen. Zutritt zu bestimmten Bereichen soll begründet, autorisiert, protokolliert und überwacht werden. Die Regelungen sollen für alle Personen gelten, die Zutritt erhalten, einschließlich fester und temporärer Mitarbeiter, Kunden, Zulieferer, Besucher und sonstigen Dritten.
Der "Standard of Good Practice for Information Security" [5] des Information Security Forum (ISF) hat es sich seit seiner ersten Auflage im Jahr 1996 zur Aufgabe gemacht einen praktikablen Ansatz zu liefern, um die Maßnahmen zur Informationssicherheit eines Unternehmens zu bewerten. Der Standard enthält eine umfassende Sammlung von informationssicherheitsrelevanten Prüfpunkten. Die Autoren versuchen innerhalb des Standards unter anderem die folgenden anderen Regularien abzubilden:
In dem circa 370 Seiten umfassenden "Standard" findet man dann auch eine Vielzahl von Control Objectives und Controls die in ihrem Detaillierungsgrad zwischen denjenigen der ISO/IEC 27002 und des IT-Grundschutzes liegen. Die wichtigsten relevanten Anforderungen an den Zutrittsschutz findet man in den Kapiteln "Security Management" (SM), "Computer Installations" (CI) und "End User Environment" (UE):
Das Kapitel CI 2.8 enthält beispielsweise acht verschiedene Unterpunkte, die wiederum ein bis sechs konkrete Anforderungen beschreiben. Insgesamt behandelt der ISF-Standard eine Vielzahl relevanter Punkte zum Thema Zugriffsschutz und stellt somit eine lesens- und beachtenswerte Sammlung dar.
Strebt ein Unternehmen eine offizielle Zertifizierung seines ISMS an, kommt es an ISO/IEC 27001 (international) beziehungsweise den IT-Grundschutzkatalogen (eher national) nicht vorbei. Nimmt man ISO/IEC 27002 hinzu, sind diese Ansätze sowie der "Standard of Good Practice" des ISF wertvolle Lieferanten für Anforderungen an einen vollständigen, gut geplanten und auch umsetzbaren Zugriffsschutz. CobiT, das sich eher als Rahmenwerk zur Steuerung von IT versteht, liefert dann keine zusätzlichen Aspekte zum Zutrittsschutz, die nicht auch in jedem der drei anderen Standards berücksichtigt wurden.
Sucht ein Anwender dieser Standards nach konkreten Anforderungen der Ausgestaltung von Maßnahmen (z. B. für "sichere" Schlosszylinder), so wird er jedoch nur selten fündig. Zumindest im deutschen Sprachraum können dann die – oftmals stark "verteilt" beschriebenen – Anforderungen unzähliger einschlägiger Normen des DIN hilfreich sein (![[externer Link]](../../../../images/link.gif)
www.din.de).
Wilhelm Dolle und Björn Schmelter sind Sicherheitsberater bei der HiSolutions AG in Berlin und beschäftigen sich seit Jahren mit baulich-physischer Sicherheit.
www.iso.org/iso/store.htm www.bsi.bund.de/gshb/ www.isaca.org/cobit/ (kostenloser Download nach Registrierung) www.isaca.at/Ressourcen/CobiT%204.0%20Deutsch.pdf www.isfsecuritystandard.com/SOGP07/index.htm (kostenloser Download nach Registrierung) www.coso.org/publications.htm
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#6, Seite 43
tag:kes.info,2007:art:2007-6-043
| 