Bundesamt für Sicherheit in der Informationstechnik

M 2.195 Erstellung eines Sicherheitskonzepts

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Ein Informationssicherheitskonzept dient der Umsetzung der Sicherheitsstrategie und beschreibt die geplante Vorgehensweise, um die gesetzten Sicherheitsziele einer Institution zu erreichen. Das Sicherheitskonzept ist das zentrale Dokument im Sicherheitsprozess eines Unternehmens bzw. einer Behörde. Jede konkrete Maßnahme muss sich letztlich darauf zurückführen lassen. Aus diesem Grund muss ein Sicherheitskonzept sorgfältig geplant und umgesetzt sowie regelmäßig überprüft werden. Die einzelnen, im Folgenden kurz angerissenen Aspekte werden ausführlich im BSI -Standard 100-2 IT-Grundschutz-Vorgehensweise behandelt.

Nicht alle Bereiche einer Institution müssen durch ein einziges Sicherheitskonzept abgedeckt werden. Stellt die Umsetzung des IT-Grundschutzes in einem großen Schritt eine unübersichtliche Aufgabe dar, kann es sinnvoll sein, zunächst in ausgewählten Bereichen das erforderliche Sicherheitsniveau herzustellen. Von dieser Basis ausgehend sollte sich dann der Sicherheitsprozess auf die Gesamtorganisation ausweiten. Vor allem bei großen Behörden und Unternehmen kann es mehrere Sicherheitskonzepte geben, die verschiedene Organisationsbereiche abdecken. Dann muss jedoch gewährleistet sein, dass alle Bereiche einer Institution durch angemessene Sicherheitskonzepte abgedeckt werden.

Komplexe Geschäftsprozesse oder Anwendungen können in eigenen Sicherheitskonzepten behandelt werden. Dies empfiehlt sich vor allem bei der Einführung neuer Aufgaben oder Anwendungen.

Der festgelegte Geltungsbereich wird im Weiteren als Informationsverbund bezeichnet und stellt detailliert den Bereich dar, für den das Sicherheitskonzept umgesetzt werden soll. Ein Informationsverbund kann sich somit auf Fachaufgaben, Geschäftsprozesse oder Organisationseinheiten beziehen. Er umfasst alle infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung in diesem Anwendungsbereich der Informationsverarbeitung dienen.

Der Informationsverbund muss so festgelegt sein, dass die betrachteten Geschäftsprozesse und Informationen diesem Bereich vollständig zugeordnet werden können. Die Abhängigkeiten aller sicherheitsrelevanten Prozesse sind zu berücksichtigen. Die Schnittstellen zu den anderen Bereichen müssen klar definiert werden, sodass der Informationsverbund im Gesamtunternehmen eine sinnvolle Mindestgröße einnimmt.

Das Sicherheitsmanagement muss eine Methode zur Risikobewertung auswählen, die es ermöglicht, potentielle Schäden durch Sicherheitsvorfälle zu analysieren und zu bewerten. Es können auch mehrere, aufeinander aufbauende Verfahren zur Risikobewertung gewählt werden.

In der Vorgehensweise nach IT-Grundschutz wird implizit eine Risikobewertung für Bereiche mit normalem Schutzbedarf durchgeführt.

In bestimmten Fällen, beispielsweise wenn der betrachtete Informationsverbund Komponenten mit hohem oder sehr hohem Schutzbedarf enthält, muss jedoch eine ergänzende Sicherheitsanalyse und gegebenenfalls eine explizite Risikoanalyse durchgeführt werden. Die hierfür notwendigen Arbeitsschritte sind in den BSI-Standards 100-2 und 100-3 erläutert.

Basis jeder Risikobewertung ist die Beschreibung der zu schützenden Informationen und Geschäftsprozesse. Um einen Überblick über die für die Geschäftsprozesse wichtigen organisatorischen oder technischen Strukturen zu bekommen, ist der Informationsverbund strukturiert zu erfassen. Neben den technischen Komponenten, den Anwendungen und den verarbeitenden Informationen sind auch die räumliche Infrastruktur und die Vernetzung aufzunehmen. Dabei müssen auch die Abhängigkeiten der verschiedenen Komponenten untereinander festgehalten werden.

In der Schutzbedarfsfeststellung sind folgende Schritte enthalten:

  • Es wird analysiert, welche Gefährdungen bzw. Risiken für die Institution als Folge unzureichender Informationssicherheit bestehen.
  • Mögliche Schäden durch Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit werden identifiziert.
  • Die potentiellen Auswirkungen auf die Geschäftstätigkeit oder die Aufgabenerfüllung durch Sicherheitsvorfälle und andere Sicherheitsrisiken werden analysiert und bewertet.

Anhand dieser Betrachtungen lässt sich das Risiko für das Unternehmen bzw. die Behörde abschätzen und der Schutzbedarf für Informationen, Anwendungen und IT-Systeme festlegen.

Aus den allgemeinen Sicherheitszielen, dem identifizierten Schutzbedarf und der Risikobewertung werden konkrete Sicherheitsmaßnahmen passend zum betrachteten Informationsverbund abgeleitet. Hierfür müssen konkrete Bausteine der IT-Grundschutz-Kataloge für die Sicherheitsanforderungen eines Informationsverbundes ausgewählt werden, um so ein spezifisches Paket von Sicherheitsmaßnahmen als Soll-Vorgabe zu erhalten.

Um zu ermitteln, welche der Sicherheitsmaßnahmen bereits umgesetzt und an welchen Stellen noch Lücken sind, wird ein Basis-Sicherheitscheck durchgeführt.

Die Umsetzung der nach IT-Grundschutz vorgeschlagenen Maßnahmen ist in der Regel für typische Geschäftsprozesse, Anwendungen und Komponenten mit normalem Schutzbedarf ausreichend. Jedoch ist eine ergänzende Sicherheitsanalyse erforderlich für Elemente des Informationsverbunds, die

  • einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit haben oder
  • mit den existierenden Bausteinen der IT-Grundschutz-Kataloge nicht hinreichend abgebildet (modelliert) werden können oder
  • in Einsatzszenarien ( z. B. in Umgebungen oder mit Anwendungen) betrieben werden, die im Rahmen des IT-Grundschutzes nicht vorgesehen sind.

Ziel der ergänzenden Sicherheitsanalyse ist, eine Management-Entscheidung darüber vorzubereiten und herbeizuführen, für welche dieser Elemente eine explizite Risikoanalyse durchzuführen ist.

Auf der Grundlage der Gefährdungslage werden im Rahmen der Risikoanalyse gegebenenfalls Ergänzungen oder Korrekturen am Sicherheitskonzept vorgenommen. Risiken, für deren Minderung keine geeigneten oder wirtschaftlichen Gegenmaßnahmen ergriffen werden können, werden identifiziert und ebenfalls einer systematischen Risikobehandlung zugeführt.

Vor der Fertigstellung eines Sicherheitskonzeptes müssen die in der Risikoanalyse zusätzlich identifizierten Maßnahmen mit den IT-Grundschutz-Maßnahmen konsolidiert werden. Dabei ist für alle neu ermittelten Sicherheitsmaßnahmen zu überprüfen, ob sie die vorhandenen Maßnahmen ersetzen, ergänzen oder in ihrer Wirkung beeinträchtigen. Anschließend müssen die Ergebnisse des Basis-Sicherheitschecks vervollständigt und auf den neuesten Stand gebracht werden.

Ein Sicherheitskonzept ist nur wirksam, wenn die darin vorgesehenen Maßnahmen auch zeitnah in die Praxis umgesetzt werden. Dies muss geplant und kontrolliert werden.

Dafür ist festzuhalten, in welchem Zeitraum die einzelnen Maßnahmen umzusetzen sind und welche passend kombiniert gemeinsam umgesetzt werden können. Außerdem müssen die Maßnahmen nach der Dringlichkeit der Umsetzung priorisiert werden. Die Umsetzungsplanung sollte entweder im Sicherheitskonzept oder in einem beigefügten Realisierungsplan festgehalten werden. Hierin sollten unbedingt Umsetzungsreihenfolge und Verantwortlichkeiten enthalten sein:

  • Festlegung von Prioritäten (Umsetzungsreihenfolge): Alle Sicherheitsmaßnahmen sollten nach Wichtigkeit und Effektivität priorisiert werden. Grundsätzlich sollten Maßnahmen gegen besonders schwerwiegende Gefährdungen vorrangig umgesetzt werden. Dies ist besonders wichtig, wenn gegen diese Gefährdungen bisher nur wenig Schutz besteht. Können z. B. aus finanziellen Gründen nicht alle Maßnahmen sofort umgesetzt werden, sollten die Maßnahmen mit der größten Breitenwirkung zuerst umgesetzt werden.
  • Bei der Umsetzungsreihenfolge sollten mögliche Zusammenhänge zwischen Maßnahmen berücksichtigt werden.
  • Verantwortlichkeiten: Für jede Maßnahme ist festzulegen, wer für deren Initialisierung, Umsetzung und Kontrolle ( z. B. Audit) oder Revision verantwortlich ist.

Bei der Auswahl von Sicherheitsmaßnahmen ist ebenfalls deren Angemessenheit und Wirtschaftlichkeit zu beachten. Es muss nachvollziehbar sein, warum die ausgewählten Maßnahmen geeignet sind, die Sicherheitsziele und -anforderungen zu erreichen. Die Dokumentation sollte daher konkrete Angaben über Verantwortlichkeiten und Zuständigkeiten sowie geplante Aktivitäten zur Kontrolle, Revision, Überwachung enthalten.

Die Reihenfolge für die Umsetzung offener Aktivitäten ist festzuhalten. Außerdem sind die geplanten bzw. eingesetzten Ressourcen für die Umsetzung der einzelnen Sicherheitsmaßnahmen zu dokumentieren.

Da Informationssicherheit ein kontinuierlicher Prozess ist, genügt es nicht, die Sicherheitsmaßnahmen einmal umzusetzen. Die Informationssicherheit muss kontinuierlich verbessert werden. Im Rahmen des Sicherheitsprozesses muss daher auf neue technische Entwicklungen reagiert werden. Schwachstellen sowie neu aufgedeckte Sicherheitslücken müssen berücksichtigt werden. Der Sicherheitsprozess ist daher regelmäßig zu überprüfen, zu aktualisieren und alle Änderungen sind zu dokumentieren. Wichtige Verfahren sind dabei die Einführung von regelmäßigen Berichten (siehe M 2.200 Management-Berichte zur Informationssicherheit ) und Meldeprozesse.

Eine Zertifizierung des Sicherheitsprozesses dokumentiert die Einhaltung einer definierten Vorgehensweise und kann als unabhängiges Review-Verfahren in den Sicherheitsprozess integriert werden.

Das Sicherheitskonzept wird in der Praxis häufig herangezogen, um konkrete Sicherheitsmaßnahmen bezüglich ihrer Umsetzung oder ihrer Aktualität zu überprüfen. Daher sollte es so strukturiert sein, dass

  • spezifische Bereiche schnell gefunden werden können, und
  • es mit minimalem Aufwand aktualisiert werden kann (hierfür bietet sich die Nutzung eines Tools an).

Außerdem sollten die einzelnen Sicherheitsmaßnahmen ausreichend konkret beschrieben sein, damit im Vertretungsfall ein Dritter sicherheitsspezifische Aufgaben übernehmen kann.

Ein Sicherheitskonzept kann vertrauliche Informationen beinhalten, wie z. B. Angaben über noch nicht beseitigte Schwachstellen oder Informationen zu Maßnahmen, die helfen, diese Maßnahmen zu umgehen oder zu überwinden. Solche vertraulichen Informationen dürfen ausschließlich an die zuständigen Personen weitergegeben werden. Das Sicherheitskonzept sollte daher so gegliedert werden, dass die Bereiche, die einen breiten Adressatenkreis betreffen, von denen getrennt werden, die nur eingeschränkt weitergegeben werden dürfen.

Es ist wichtig, ein gemeinsames Verständnis für Informationssicherheit in einer Institution herzustellen. Dazu gehört auch die Verwendung einheitlicher und klarer Begriffe. Daher sollte frühzeitig ein Glossar mit den wichtigsten Begriffen rund um Informationssicherheit erstellt werden. Dieses Glossar hilft bei der Erstellung aller sicherheitsrelevanten Dokumente. Es kann im Sicherheitskonzept oder auch einzeln veröffentlicht werden.

Prüffragen:

  • Wird der festgelegte Geltungsbereich (Informationsverbund) durch ein angemessenes Sicherheitskonzept abgedeckt?

  • Gibt es eine strukturierte Beschreibung der betrachteten Informationen und Geschäftsprozesse?

  • Ist die Schutzbedarfsfeststellung nachvollziehbar?

  • Sind die ermittelten Sicherheitsmaßnahmen angemessen, umsetzbar und effizient?

  • Gibt es eine klare Realisierungsplanung der noch umzusetzenden Maßnahmen?

  • Ist das Sicherheitskonzept aktuell?

  • Ist jeder Mitarbeiter zumindest über die ihn unmittelbar betreffenden Teile des Sicherheitskonzeptes informiert?

Stand: 13. EL Stand 2013