IT-Sicherheit mit System (eBook)

Dr.-Ing. Klaus-Rainer Müller leitet den Bereich Organisationsberatung der ACG Automation Consulting Group GmbH in Frankfurt und berät das Management zu den Themen IT-Governance, Sicherheits-, Kontinuitäts-, Risiko-, Qualitäts-, Test- und Projektmanagement sowie Prozess- und Strukturorganisation.

Vorwort 6
Inhaltsübersicht 18
Inhaltsverzeichnis 19
1 Ausgangssituation und Zielsetzung 28
1.1 Ausgangssituation 29
1.1.1 Bedrohungen 29
1.1.2 Schwachstellen 33
1.1.3 Schutzbedarf 36
1.2 Zielsetzung des Sicherheits-, Kontinuitäts- und Risikomanagements 37
1.3 Lösung 37
1.4 Zusammenfassung 39
2 Kurzfassung und Überblick für Eilige 40
3 Zehn Schritte zum Sicherheitsmanagement 42
4 Definitionen zum Sicherheits-, Kontinuitäts- und Risikomanagement 46
4.1 Unternehmenssicherheitsmanagementsystem 47
4.2 Informationssicherheitsmanagementsystem 48
4.3 Sicherheitsmanagement 49
4.4 ITK-Sicherheitsmanagement 50
4.4.1 ISO/IEC 13335-1:2004 51
4.4.2 ISO/IEC 17799:2005, ISO/IEC 27002:2005 53
4.4.3 ISO/IEC 27001:2005 55
4.4.4 ISO/IEC 27000-Reihe 57
4.4.5 ITIL® Security Management 58
4.4.6 IT-Grundschutzhandbuch, IT-Grundschutzkataloge des BSI 59
4.4.7 COBIT®, Version 4.0 64
4.4.8 BS 25999-1:2006 66
4.4.9 BS 25999-2 69
4.4.10 Fazit: Normen und Practices versus Sicherheitspyramide 70
4.5 Ingenieurmäßige Sicherheit – Safety, Security, Continuity Engineering 74
4.6 Sicherheitspyramide 74
4.7 Sicherheitspolitik 76
4.7.1 ... nach IT-Grundschutzhandbuch/-katalogen (IT-GSHB 2006) 76
4.7.2 ... nach ITSEC 77
4.7.3 ... nach ISO/IEC 13335-1:2004 78
4.7.4 ... nach ISO 15408 (Common Criteria) 79
4.7.6 ... nach ISO/IEC 27001:2005 80
4.7.7 ... nach Dr.-Ing. Müller 80
4.7.8 Vergleich 81
4.8 Sicherheit im Lebenszyklus 82
4.9 Ressourcen, Schutzobjekte und -subjekte sowie -klassen 83
4.10 Sicherheitskriterien 84
4.11 Geschäftseinflussanalyse (Business Impact Analysis) 85
4.12 Geschäftskontinuität (Business Continuity) 85
4.13 Sicherheit und Sicherheitsdreiklang 88
4.14 Risiko und Risikodreiklang 90
4.15 Risikomanagement 92
4.16 Zusammenfassung 92
5 Die Sicherheitspyramide – Strategie und Vorgehensmodell 94
5.1 Überblick 95
5.2 Sicherheitshierarchie 99
5.2.1 Sicherheits-, Kontinuitäts- und Risikopolitik 100
5.2.2 Sicherheitsziele / Sicherheitsanforderungen 100
5.2.3 Sicherheitstransformation 100
5.2.4 Sicherheitsarchitektur 101
5.2.5 Sicherheitsrichtlinien 101
5.2.6 Spezifische Sicherheitskonzepte 101
5.2.7 Sicherheitsmaßnahmen 102
5.3 PROSim 102
5.4 Lebenszyklus von Prozessen, Ressourcen, Produkten und Leistungen (Services) 103
5.4.1 Geschäfts-, Support- und Begleitprozess-Lebenszyklus 103
5.4.2 Ressourcen-/Systemlebenszyklus 104
5.4.3 Dienstleistungs- und Produktlebenszyklus 104
5.5 Sicherheitsregelkreis 104
5.6 Sicherheitsmanagementprozess 105
5.7 Zusammenfassung 105
6 Sicherheits-, Kontinuitäts- und Risikopolitik 108
6.1 Zielsetzung 109
6.2 Umsetzung 109
6.3 Inhalte 110
6.4 Checkliste 112
6.5 Praxisbeispiele 114
6.5.1 Sicherheits-, kontinuitäts- und risikopolitische Leitsätze Versicherung 114
6.5.2 Sicherheits-, Kontinuitäts- und Risikopolitik 116
6.6 Zusammenfassung 123
7 Sicherheitsziele / Sicherheitsanforderungen 124
7.1 Schutzbedarfsklassen 125
7.2 Schutzbedarfsanalyse 125
7.2.1 Prozessarchitektur und Prozesscharakteristika 126
7.2.2 Externe Sicherheitsanforderungen 127
7.2.3 Geschäftseinflussanalyse (Business Impact Analysis) 135
7.2.4 Betriebseinflussanalyse (Operational Impact Analysis) 137
7.3 Tabelle Schadensszenarien 138
7.4 Praxisbeispiele 140
7.4.1 Schutzbedarf der Geschäftsprozesse 140
7.4.3 Schutzbedarfsklassen 144
7.5 Zusammenfassung 145
8 Sicherheitstransformation 146
8.1 Haus zur Sicherheit – House of Safety, Security and Continuity (HoSSC) 147
8.2 Safety, Security and Continuity Function Deployment (SSCFD) 148
8.2.1 Transformation der Anforderungen auf Sicherheitscharakteristika 148
8.2.2 Detaillierung der Sicherheitscharakteristika 150
8.2.3 Abbildung der Charakteristika auf den Lebenszyklus 150
8.3 Schutzbedarfsklassen 151
8.4 Praxisbeispiele 152
8.5 Zusammenfassung 154
9 Sicherheitsarchitektur 156
9.1 Überblick 157
9.2 Prinzipielle Sicherheitsanforderungen 159
9.3 Prinzipielle Bedrohungen 159
9.4 Strategien und Prinzipien 162
9.4.1 Risikostrategie (Risk Strategy) 164
9.4.2 Sicherheitsstrategie (Safety, Security and Continuity Strategy) 165
9.4.3 Prinzip der Wirtschaftlichkeit 166
9.4.4 Prinzip der Abstraktion 166
9.4.5 Prinzip der Klassenbildung 167
9.4.6 Poka-Yoke-Prinzip 167
9.4.7 Prinzip der Namenskonventionen 169
9.4.8 Prinzip der Redundanz (Principle of Redundancy) 169
9.4.9 Prinzip des „aufgeräumten” Arbeitsplatzes (Clear Desk Policy) 172
9.4.10 Prinzip des „gesperrten” Bildschirms (Clear Screen Policy) 172
9.4.11 Prinzip der Eigenverantwortlichkeit 172
9.4.12 Vier-Augen-Prinzip (Confirmed Double Check Principle) 173
9.4.13 Prinzip der Funktionstrennung (Segregation of Duties) 173
9.4.14 Prinzip der Sicherheitsschalen (Security Shells) 173
9.4.15 Prinzip der Pfadanalyse 174
9.4.16 Prinzip des generellen Verbots (Deny All Principle) 174
9.4.17 Prinzip der minimalen Rechte (Need to Use Principle) 174
9.4.18 Prinzip der minimalen Dienste 174
9.4.19 Prinzip der minimalen Nutzung 175
9.4.20 Prinzip der Nachvollziehbarkeit und Nachweisbarkeit 175
9.4.21 Prinzip des „sachverständigen Dritten“ 175
9.4.22 Prinzip des Closed-Shop-Betriebs und der Sicherheitszonen 175
9.4.23 Prinzip der Prozess-, Ressourcen- und Lebenszyklusimmanenz 176
9.4.24 Prinzip der Konsolidierung 177
9.4.25 Prinzip der Standardisierung (Principle of Standardization) 178
9.4.26 Prinzip der Plausibilisierung (Principle of Plausibleness) 178
9.4.27 Prinzip der Konsistenz (Principle of Consistency) 179
9.4.28 Prinzip der Untergliederung (Principle of Compartmentalization) 179
9.4.29 Prinzip der Vielfältigkeit (Principle of Diversity) 180
9.5 Sicherheitselemente 180
9.5.1 Prozesse im Überblick 181
9.5.2 Konformitätsmanagement (Compliance Management) 192
9.5.3 Datenschutzmanagement (Privacy Management) 193
9.5.4 Risikomanagement (Risk Management) 195
9.5.5 Leistungsmanagement (Service Level Management) 199
9.5.6 Finanzmanagement (Financial Management) 203
9.5.7 Projektmanagement (Project Management) 204
9.5.8 Qualitätsmanagement (Quality Management) 204
9.5.9 Ereignismanagement (Incident Management) 205
9.5.10 Problemmanagement (Problem Management) 211
9.5.11 Änderungsmanagement (Change Management) 212
9.5.12 Releasemanagement (Release Management) 215
9.5.13 Konfigurationsmanagement (Configuration Management) 215
9.5.14 Lizenzmanagement (Licence Management) 216
9.5.15 Kapazitätsmanagement (Capacity Management) 217
9.5.16 Wartungsmanagement (Maintenance Management) 219
9.5.17 Kontinuitätsmanagement (Continuity Management) 220
9.5.18 Securitymanagement (Security Management) 238
9.5.19 Architekturmanagement (Architecture Management) 273
9.5.20 Innovationsmanagement (Innovation Management) 286
9.5.21 Personalmanagement (Human Resources Management) 288
9.5.22 Ressourcen im Überblick 292
9.5.23 ITK-Hard- und Software 292
9.5.24 Infrastruktur 322
9.5.25 Dokumente 324
9.5.26 Personal 324
9.5.27 Organisation im Überblick 324
9.5.28 Lebenszyklus im Überblick 325
9.6 Hilfsmittel Sicherheits- und Risikoarchitekturmatrix 325
9.7 Zusammenfassung 327
10 Sicherheitsrichtlinien/-standards – Generische Sicherheitskonzepte 328
10.1 Übergreifende Richtlinien 329
10.1.1 Sicherheitsregeln 329
10.1.2 Prozessvorlage 330
10.1.3 IT-Benutzerordnung 332
10.1.4 E-Mail-Nutzung 334
10.2 Betriebs- und Begleitprozesse (Managementdisziplinen) 338
10.2.1 Kapazitätsmanagement 338
10.2.2 Kontinuitätsmanagement 340
10.2.3 Securitymanagement 352
10.3 Ressourcen 364
10.3.1 Zutrittskontrollsystem 364
10.3.2 Passwortspezifische Systemanforderungen 364
10.3.3 Wireless LAN 365
10.4 Organisation 366
10.5 Zusammenfassung 367
11 Spezifische Sicherheitskonzepte 368
11.1 Prozesse 369
11.2 Ressourcen 370
11.3 Zusammenfassung 370
12 Sicherheitsmaßnahmen 372
12.1 Ressourcen 372
13 Lebenszyklus 374
13.1 Beantragung 375
13.2 Planung 376
13.3 Fachkonzept, Anforderungsspezifikation 376
13.4 Technisches Grobkonzept 377
13.5 Technisches Feinkonzept 378
13.6 Entwicklung 381
13.7 Integrations- und Systemtest 383
13.8 Freigabe 384
13.9 Software-Evaluation 384
13.10 Auslieferung 385
13.11 Abnahmetest und Abnahme 385
13.12 Software-Verteilung 386
13.13 Inbetriebnahme 387
13.14 Betrieb 387
13.15 Außerbetriebnahme 388
13.16 Hilfsmittel Phasen-Ergebnistypen-Tabelle 389
13.17 Zusammenfassung 390
14 Sicherheitsregelkreis 392
14.1 Sicherheitsprüfungen 393
14.2 Sicherheitscontrolling 399
14.3 Berichtswesen (Safety-Security-Reporting) 401
14.4 Safety-Security-Benchmarks 407
14.5 Hilfsmittel IT-Sicherheitsfragen 407
14.6 Zusammenfassung 408
15 Reifegradmodell des Sicherheitsmanagements – Safety/Security/Continuity Management Maturity Model 410
15.1 Systems Security Engineering – Capability Maturity Model 411
15.2 Information Technology Security Assessment Framework 412
15.3 Security-Maturity-Modell 413
15.4 Reifegradmodell nach Dr.-Ing. Müller 413
15.5 Checkliste Reifegrad 415
15.6 Praxisbeispiel 417
15.7 Zusammenfassung 418
16 Sicherheitsmanagementprozess 420
16.1 Deming- bzw. PDCA-Zyklus 420
16.2 Planung 421
16.3 Durchführung 423
16.4 Prüfung 423
16.5 Verbesserung 424
16.6 Zusammenfassung 424
17 Minimalistische Sicherheit 428
Abbildungsverzeichnis 430
Markenzeichen 431
Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices 432
Deutsche Gesetze und Verordnungen 432
Ausführungsbestimmungen, Grundsätze, Vorschriften 436
Standards, Normen, Leitlinien und Rundschreiben 437
Literatur- und Quellenverzeichnis 446
Glossar und Abkürzungsverzeichnis 452
Sachwortverzeichnis 502
Über den Autor 532

7 Sicherheitsziele / Sicherheitsanforderungen (S. 97-98)

Die Sicherheits-, Kontinuitäts- und Risikopolitik des vorangegangenen Kapitels legte die generellen Anforderungen und die Ausrichtung des Unternehmens im Hinblick auf Sicherheit fest. Ausgangspunkt waren hierbei der Unternehmenszweck, die Unternehmensziele sowie die erzeugten Produkte und/oder erbrachten Leistungen. Nun gilt es, die Sicherheits- und Kontinuitätsanforderungen zu konkretisieren, um sie später in Form von Richtlinien, Konzepten und Maßnahmen umsetzen zu können.

Ausgangsbasis sind die Kerngeschäfts-, Unterstützungs- und Begleitprozesse des Unternehmens, für die es einen Überblick, z. B. in Form einer Prozessarchitektur geben sollte. In dieser sind die Prozesse und ihre Bedeutung für das Unternehmen sowie ihr Zusammenwirken dargestellt. Für jeden Prozess sind Eckdaten (Prozesscharakteristika bzw. Prozessstammdaten) sowie die von ihm genutzten Ressourcen, wie z. B. Informations- und Kommunikationssysteme und Hilfsmittel, angegeben. Sollte das Unternehmen nicht prozessual organisiert sein, so kann alternativ von den Organisationseinheiten, den dort bearbeiteten Aufgaben und dem Zusammenspiel der verschiedenen Organisationseinheiten ausgegangen werden.

Die Zusammenstellung der Sicherheitsziele bzw. Sicherheitsanforderungen erfolgt anhand der Schutzbedarfsanalyse (Geschäftseinflussanalyse, Business Impact Analysis). Im ersten Schritt erheben die Prozessverantwortlichen den Schutzbedarf des jeweiligen Geschäftsprozesses insgesamt. Anschließend ermitteln sie den Schutzbedarf der einzelnen Prozessschritte, gefolgt von der Erhebung des Schutzbedarfs der genutzten Ressourcen (Schutzobjekte) im Rahmen einer Betriebseinflussanalyse (Operational Impact Analysis). Die folgenden Unterkapitel beschreiben die Erhebung der Sicherheitsziele bzw. –anforderungen:
1. Schutzbedarfsklassen
2. Schutzbedarfsanalyse (Prozessarchitektur, externe Sicherheitsanforderungen, Geschäfts- und Betriebseinflussanalyse
3. Tabelle Schadensszenarien
4. Praxisbeispiel
5. Zusammenfassung

7.1 Schutzbedarfsklassen

Um sich die Arbeit zu erleichtern, die Effizienz zu steigern und Vergleichbarkeit herzustellen, sollten Sie Schutzbedarfsklassen festlegen, bevor Sie mit der Schutzbedarfsanalyse beginnen. Der Schutzbedarf der verschiedenen Geschäfts- und Supportprozesse sowie der Schutzobjekte, wie z. B. der ITK-Systeme, ist üblicherweise unterschiedlich. Dementsprechend wären individuelle Sicherheitskonzepte und -maßnahmen erforderlich. Für jeden Geschäfts- und Supportprozess sowie für jedes ITK-System müssten individuelle Sicherheitskonzepte entwickelt, implementiert, gepflegt und geprüft werden.

Durch die Vielzahl von Konzepten und Maßnahmen entstünde eine kaum mehr überschaubare Vielfalt: die Komplexität würde steigen, die Effizienz sinken. Um diesen Effekten entgegenzusteuern, werden für jedes Sicherheitskriterium Schutzbedarfsklassen geschaffen. Ihre Anzahl und Ausprägung orientiert sich an den unternehmensspezifischen Gegebenheiten, den Sicherheitsanforderungen und an Kosten-Nutzen-Aspekten. In jeder Schutzbedarfsklasse ist festgelegt, welche Sicherheitsanforderungen sie erfüllt bzw. welche Auswirkungen von Sicherheitsverletzungen sie abdeckt. Nun gilt es, Prozesse, Ressourcen, Produkte oder Dienstleistungen einer Schutzbedarfsklasse zuzuordnen. Hierzu konzentrieren wir uns auf die resultierenden Sicherheitsverletzungen, die durch eine der vielfältigen potenziellen Bedrohungen ausgelöst werden, z. B. einen Ausfall oder eine Blockade. Wir ermitteln deren Auswirkungen und leiten daraus die resultierenden Sicherheitsanforderungen ab.

7.2 Schutzbedarfsanalyse

Wie können Sie den Schutzbedarf erheben? Zuerst verschaffen Sie sich einen Überblick, welchen Zweck Ihr Unternehmen hat, welche Ziele es verfolgt, welche Produkte und/oder Leistungen es anbietet und wie es sich hinsichtlich Sicherheit, Kontinuität und Risikobereitschaft positioniert. Die Informationen hierzu finden Sie in der Unternehmensmission (mission statement) sowie in der zuvor behandelten Sicherheits-, Kontinuitäts- und Risikopolitik. Im nächsten Schritt veranschaulichen Sie sich anhand der Prozessarchitektur, wie Ihr Unternehmen funktioniert. Für jeden Geschäftsprozess ermitteln Sie seine Bedeutung, d. h. seine Geschäftskritikalität (mission criticality).