deen
Nexia Ebner Stolz

Informationssicherheit – Up to Date? ISMS und IT-Grundschutz

Verfügbarkeit, Integrität und Vertraulichkeit sind die drei Sicherheitsziele, die nicht erst seit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz – kurz IT-SiG) im Mittelpunkt des Interesses stehen.

Es exis­tiert eine Viel­zahl an gesetz­li­chen sowie regu­la­to­ri­schen Anfor­de­run­gen, die sich auf diese The­men­ge­biete mit­tel- oder unmit­tel­bar bezie­hen. Dane­ben erge­ben sich mitt­ler­weile auch wei­tere bran­chen­spe­zi­fi­sche Anfor­de­run­gen von Ver­bän­den und Orga­ni­sa­tio­nen an die Infor­ma­ti­ons­si­cher­heit. Einige die­ser gesetz­li­chen Anfor­de­run­gen, neben dem IT-SIG, sind bspw. die EU-Daten­schutz­grund­ver­ord­nung, das Bun­des­da­ten­schutz­ge­setz, MaRisk AT 7.2, GoBD.

Infor­ma­tio­nen gewin­nen als Wett­be­werbs­fak­tor zuneh­mend an Stel­len­wert. Unter­neh­men aller Indu­s­trien sehen sich hin­sicht­lich der Infor­ma­ti­ons­ge­win­nung, -spei­che­rung und -ver­ar­bei­tung einem ste­ten Wan­del in Umfang und Inten­si­tät der Anfor­de­run­gen gegen­über. Am Ende des Tages ist die (Güte der) Infor­ma­tion das, was den (Wert des) Unter­neh­men­s­pro­zess aus­macht.

Wie im Aus­blick bereits erläu­tert, hat die The­ma­tik Infor­ma­ti­ons­si­cher­heit unglaub­lich an Bedeu­tung in den Unter­neh­men gewon­nen. Aller­dings ist die Umset­zung ent­sp­re­chen­der Maß­nah­men wei­ter­hin das zen­trale Pro­b­lem bei der Ope­ra­tio­na­li­sie­rung der Vor­ha­ben. Wie steuere ich meine Infor­ma­tio­nen, um sie aus­rei­chend vor unau­to­ri­sier­tem Zugriff zu schüt­zen? Wie stelle ich sicher, dass meine Infor­ma­tio­nen inte­ger, also kor­rekt sind? Wodurch habe ich gewähr­leis­tet, dass meine Infor­ma­tio­nen in aus­rei­chen­dem Maße ver­füg­bar sind?

ISMS – Infor­ma­ti­ons­si­cher­heits­ma­na­ge­ment­sys­tem

Das Ziel ist klar: Ein sys­te­ma­ti­scher Ansatz, um die Sicher­heit von Infor­ma­tio­nen zu ver­wal­ten und damit gewähr­leis­ten. Der Weg hierzu wird in der über­wie­gen­den Anzahl der Fälle in der Ein­rich­tung eines Infor­ma­ti­ons­si­cher­heits-Mana­ge­ment­sys­tems (ISMS) nach der dafür welt­weit bekann­ten und ebenso ver­b­rei­te­ten Norm ISO 27001 gese­hen. Diese Norm erfüllt nicht nur deut­sche Gesetz­ge­ber­an­sprüche (wie z. B. u. a. von §8a BSIG (Gesetz über das Bun­de­s­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) gefor­dert), son­dern ist auch inter­na­tio­nal anwend­bar, ver­g­leich­bar und schlüs­sel­bar auf wei­tere Frame­works (z. B. COBIT). Ein ange­mes­sen imp­le­men­tier­tes ISMS nach ISO 27001 deckt nicht nur die Ansprüche der Sta­ke­hol­der ab, son­dern bie­tet auch intern für das Unter­neh­men viel­fach Vor­teile (Gover­nance, Risk, Com­p­li­ance, Mar­ke­ting).

Informationssicherheit Governance, Risk, Compliance, Wettbewerb © Abb. 1 - Informationssicherheit Governance, Risk, Compliance, Marketing

Bevor ein ISMS ziel­füh­r­end imp­le­men­tiert wer­den kann, ist eine genaue Auf­nahme not­wen­dig, mit wel­cher Ziel­set­zung und für wel­chen Anwen­dungs­be­reich das Unter­neh­men plant, das Mana­ge­ment­sys­tem ein­zu­set­zen. Feh­ler im Rah­men der Imp­le­men­tie­rung kön­nen dabei viel­fach unter­lau­fen:

  • Lei­der wird immer noch eine Viel­zahl der ISMS-Imp­le­men­tie­rung­s­pro­jekte als Work­shop-Mara­thon auf­ge­setzt, bei dem es häu­fig den Anschein hat, die Qua­li­tät würde in direk­tem Zusam­men­hang mit der Anzahl der ers­tell­ten Doku­mente und durch­ge­führ­ten Mee­tings ste­hen. Ein struk­tu­rier­tes, effi­zi­en­tes Vor­ge­hen ist häu­fig nicht erkenn­bar.
  • Es wird ver­sucht, in unüber­sicht­li­chen Excel-Matri­zen die Anfor­de­run­gen der ISO-Norm (meist Zei­len) mit den Bedürf­nis­sen der ein­zel­nen Pro­jekt­parts (meist Spal­ten) in Bezug zu brin­gen.
  • In der Folge ist eine spä­tere prag­ma­ti­sche Umset­zung der Arbeit­s­er­geb­nisse in täg­li­che Betriebs­ab­läufe meist nicht mög­lich. Fol­g­lich wer­den ver­meid­bare Zusatz­auf­ga­ben zur Errei­chung der ISMS-Anfor­de­run­gen imp­le­men­tiert.

IT-Grund­schutz vs. ISMS

Neben der zumeist ver­wen­de­ten Norm ISO 27001 bie­tet auch das Bun­de­s­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) mit den IT-Grund­schutz-Stan­dards eine Grund­lage für die Ein­rich­tung von Maß­nah­men zur Infor­ma­ti­ons­si­cher­heit.

Hin­weis

In 2017 erfolgte eine Umstel­lung der bis­he­ri­gen IT-Grund­schutz-Kata­loge auf das neue IT-Grund­schutz-Kom­pen­dium. Zusätz­lich erfolgte u. a. eine Über­ar­bei­tung der Stan­dards. Der neue BSI-Stan­dard 200-1 ent­hält all­ge­meine Anfor­de­run­gen an ein Mana­ge­ment­sys­tem für Infor­ma­ti­ons­si­cher­heit (ISMS). Die Aus­rich­tung erfolgte am BSI-Stan­dard 200-2 sowie der ISO 27001:2013. Der BSI-Stan­dard 200-2 ent­hält ins­be­son­dere die drei Vor­ge­hens­wei­sen „Basis-Absi­che­rung“, „Stan­dard-Absi­che­rung“ und „Kern-Absi­che­rung“ hin­sicht­lich der Umset­zung des IT-Grund­schut­zes. Der BSI-Stan­dard 200-3 bün­delt alle risi­ko­be­zo­ge­nen Arbeits­schritte (vgl. dazu auch novus Infor­ma­ti­ons­tech­no­lo­gie, III. 2017, S. 15).

Der Betrieb eines ISMS gemäß der ISO 27001 und die Umset­zung der Maß­nah­men aus dem IT-Grund­schutz haben einige Schnitt­punkte, unter­schei­den sich aber im Beson­de­ren in der Metho­dik. Wäh­rend die ISO-Rege­lun­gen eher über­sicht­lich doku­men­tiert und dar­auf aus­ge­legt sind, eigene Ver­fah­ren und Maß­nah­men zur Umset­zung zu fin­den (gene­ri­scher Ansatz), sind in den Grund­schutz-Stan­dards bereits Gefähr­dun­gen bewer­tet und Maß­nah­men kon­k­ret emp­foh­len (maß­nah­men­o­ri­en­tier­ter Ansatz). Ein ISO-ISMS bedarf einer voll­stän­di­gen Risi­ko­ana­lyse rein auf den Teil der Orga­ni­sa­tion, wel­cher von Wert für das ISMS ist, wohin­ge­gen im Grund­schutz spe­zi­ell in Berei­chen mit einem höhe­ren Schutz­be­darf ent­sp­re­chende eigene Ana­ly­sen not­wen­dig sind.

Die Mög­lich­kei­ten von den Pro­zes­sen abzu­wei­chen, aber trotz­dem das ent­sp­re­chende Maß zur Redu­zie­rung der Risi­ken zu fin­den, ist bei ISMS somit höher – die Grund­schutz-Stan­dards sind hier star­rer. Im Grund­schutz sind ledig­lich in Berei­chen mit einem höhe­ren Schutz­be­darf ent­sp­re­chende eigene Ana­ly­sen not­wen­dig.

Hin­sicht­lich der Umset­zung von Maß­nah­men bie­tet ein ISMS gemäß ISO-Norm bereits nor­ma­tive Kon­troll­ka­te­go­rien, wel­che es mit indi­vi­du­ell ange­pass­ter Kom­ple­xi­tät und Tiefe mit Leben zu fül­len gilt. Der Grund­schutz bie­tet hier­bei lei­der wenig Fle­xi­bi­li­tät und ver­langt für einen umfang­rei­chen Maß­nah­men­ka­ta­log die Erfül­lung eines gewis­sen Grund-Schutz­be­darfs.

Pro­zess der Zer­ti­fi­zie­rung

Um auch nach außen Sig­nal­wir­kung (z. B. für Mar­ke­ting­zwe­cke, siehe Abb. 1 - Infor­ma­ti­ons­si­cher­heit Gover­nance, Risk, Com­p­li­ance, Mar­ke­ting) zu ent­fal­ten, bie­tet sich eine Zer­ti­fi­zie­rung bei einem akk­re­di­tier­ten Zer­ti­fi­zie­rer an. Nach unse­rer Ein­schät­zung ist der effi­zi­en­teste Weg für den Zer­ti­fi­zie­rung­s­pro­zess eines ISMS wie folgt auf­ge­baut:

Prozess der Zertifizierung © Abb. 2 - Prozess der Zertifizierung

Exkurs - BSI-Grund­schutz für Kom­mu­nen im Mai 2018 ver­öf­f­ent­licht

Ende Mai 2018 wurde nun aus der Zusam­men­ar­beit des BSI mit den kom­mu­na­len Spit­zen­ver­bän­den Deut­scher Land­k­reis­tag, Deut­scher Städte- und Gemein­de­bund sowie Deut­scher Städ­te­tag ein spe­zi­fi­sches IT-Grund­schutz-Pro­fil für Kom­mu­nen ver­öf­f­ent­licht.

Die­ses IT-Grund­schutz-Pro­fil basiert auf die Basis­ab­si­che­rung nach dem BSI-Stan­dard 200-2 und defi­niert in die­sem Zusam­men­hang die Min­dest­si­cher­heits­maß­nah­men, die in einer Kom­mu­nal­ver­wal­tung umzu­set­zen sind.

Ziel des Pro­fils ist es für Ver­ant­wort­li­che aus der Infor­ma­ti­ons­tech­no­lo­gie aus der ent­sp­re­chen­den Bran­che eine Scha­b­lone zu haben, um den IT-Grund­schutz zur Erhöh­ung der Infor­ma­ti­ons­si­cher­heit ein­zu­set­zen. Das Doku­ment ist abruf­bar über die Home­page des BSI.



nach oben