Bundesamt für Sicherheit in der Informationstechnik

M 2.199 Aufrechterhaltung der Informationssicherheit

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Im Sicherheitsprozess geht es nicht nur darum, das angestrebte Sicherheitsniveau zu erreichen, sondern dieses auch dauerhaft zu gewährleisten. Um das bestehende Sicherheitsniveau aufrechtzuerhalten und fortlaufend zu verbessern, sollten alle Sicherheitsmaßnahmen regelmäßig überprüft werden.

Sowohl die korrekte Umsetzung als auch die Umsetzbarkeit eines Sicherheitskonzepts müssen regelmäßig überprüft werden. Dabei ist zu unterscheiden zwischen der Prüfung, ob bestimmte Maßnahmen geeignet und effizient sind, um die gesteckten Sicherheitsziele zu erreichen (Vollständigkeits- bzw. Aktualisierungsprüfung), und der Kontrolle, inwieweit Sicherheitsmaßnahmen in den einzelnen Bereichen umgesetzt wurden (Revision der Informationssicherheit).

Die im Sicherheitskonzept geplanten Sicherheitsmaßnahmen müssen gemäß des Realisierungsplans umgesetzt werden. Der Umsetzungsstatus muss dokumentiert werden. Zieltermine und Ressourceneinsatz müssen überwacht und gesteuert werden. Die Leitungsebene ist dazu regelmäßig zu informieren.

Diese Überprüfungen sollten zu festgelegten Zeitpunkten (mindestens jährlich) durchgeführt werden und können auch zwischendurch erfolgen. Insbesondere Erkenntnisse aus sicherheitsrelevanten Zwischenfällen, Veränderungen im technischen oder technisch-organisatorischen Umfeld sowie Änderungen von Sicherheitsanforderungen bzw. Bedrohungen erfordern eine Anpassung der bestehenden Sicherheitsmaßnahmen. Die in den einzelnen Überprüfungen ermittelten Ergebnisse sollten dokumentiert werden. Es muss zudem festgelegt sein, wie mit den Überprüfungsergebnissen zu verfahren ist, da die Informationssicherheit nur dann wirksam aufrechterhalten werden kann, wenn aufgrund der Überprüfungsergebnisse auch die erforderlichen Korrekturmaßnahmen ergriffen werden.

Es sollten auch gelegentlich unangekündigte Überprüfungen durchgeführt werden, da angekündigte Kontrollen häufig ein verzerrtes Bild des Untersuchungsgegenstands ergeben.

Kontrollen sollten vor allen Dingen darauf ausgerichtet sein, Mängel abzustellen. Für die Akzeptanz ist es wichtig, dass dies allen Beteiligten als Ziel der Kontrollen erkennbar ist und dass die Kontrollen nicht den Charakter von Schulmeisterei haben. Es ist daher sinnvoll, während einer Kontrolle mit den Beteiligten über mögliche Problemlösungen zu sprechen und entsprechende Abhilfen vorzubereiten.

Es sollte in der Behörde bzw. im Unternehmen festgelegt werden, wie die Tätigkeiten im Zusammenhang mit diesen Überprüfungen zu koordinieren sind. Dazu ist zu regeln, welche Sicherheitsmaßnahmen wann und von wem zu überprüfen sind, auch damit Doppelarbeit vermieden wird und keine Bereiche innerhalb einer Institution ungeprüft verbleiben.

Die vorhandenen Sicherheitsmaßnahmen sollten mindestens einmal im Jahr überprüft werden. Darüber hinaus sind sie immer dann zu prüfen, wenn

  • neue Geschäftsprozesse, Anwendungen oder IT-Komponenten aufgebaut werden,
  • größere Änderungen der Infrastruktur vorgenommen werden ( z. B. Umzug),
  • größere organisatorischen Änderungen anstehen ( z. B. Outsourcing),
  • die Gefährdungslage sich wesentlich ändert,
  • wenn gravierende Schwachstellen oder Schadensfälle bekannt werden.

Einhaltung des Sicherheitskonzeptes (Sicherheitsrevision)

Hierbei muss geprüft werden, ob Sicherheitsmaßnahmen tatsächlich so umgesetzt sind und eingehalten werden wie im Sicherheitskonzept vorgegeben. Hierbei ist auch zu untersuchen, ob technische Maßnahmen korrekt implementiert und konfiguriert wurden und ob alle vorgesehenen Detektionsmaßnahmen ( z. B. Auswertung von Protokolldateien) tatsächlich durchgeführt werden.

Dabei kann sich zeigen, dass Sicherheitsmaßnahmen nicht umgesetzt worden sind oder dass sie in der Praxis nicht greifen. In beiden Fällen sollten die Ursachen für die Abweichungen ermittelt werden. Als mögliche Korrekturmaßnahmen kommen - je nach Ursache - in Frage:

  • organisatorische Maßnahmen sind anzupassen,
  • personelle Maßnahmen, z. B. Schulungs- und Sensibilisierungsmaßnahmen, sind zu ergreifen oder disziplinarische Maßnahmen einzuleiten,
  • infrastrukturelle Maßnahmen, z. B. bauliche Veränderungen, sind zu initiieren,
  • technische Maßnahmen, z. B. Änderungen an Hardware und Software oder Kommunikationsverbindungen und Netzen, sind vorzunehmen,
  • Entscheidungen des verantwortlichen Vorgesetzten (bis hin zur Leitungsebene) sind einzuholen.

Auf jeden Fall sollte für jede Abweichung eine Korrekturmaßnahme vorgeschlagen werden. Außerdem sollten auch hier der Zeitpunkt und die Zuständigkeiten für die Umsetzung der Korrekturmaßnahme festgelegt werden.

Kontrollen sollen helfen, Fehlerquellen abzustellen. Es ist für die Akzeptanz von Kontrollen extrem wichtig, dass dabei keine Personen bloßgestellt werden oder als "Schuldige" identifiziert werden. Wenn die Mitarbeiter dies befürchten müssen, besteht die Gefahr, dass sie nicht offen über ihnen bekannte Schwachstellen und Sicherheitslücken berichten, sondern versuchen, bestehende Probleme zu vertuschen.

Im Vorfeld sollten aber auch die Reaktionen auf Verletzung der Sicherheitsvorgaben festgelegt werden. Es müssen angemessene Maßnahmen ergriffen werden, die dazu beitragen, dass sich Sicherheitsvorfälle nicht wiederholen. Dazu könnte beispielsweise die Einschränkung von Zugriffsrechten gehören.

Falls unzulässige Aktivitäten von Mitarbeitern entdeckt werden, sollte der jeweilige Vorgesetzte informiert werden, damit angemessene Konsequenzen angestoßen werden können.

Kontinuierliche Verbesserung des Sicherheitskonzeptes (Vollständigkeits- bzw. Aktualisierungsprüfung)

Das Sicherheitskonzept muss regelmäßig aktualisiert, verbessert und an neue Rahmenbedingungen angepasst werden. Es muss regelmäßig geprüft werden, ob die ausgewählten Sicherheitsmaßnahmen noch geeignet sind, die Sicherheitsziele zu erreichen. Dabei kann direkt untersucht werden, ob die eingesetzten Sicherheitsmaßnahmen effizient sind oder ob die Sicherheitsziele mit anderen Maßnahmen ressourcenschonender erreicht werden könnten.

Deshalb ist es wichtig, externe Wissensquellen, wie Standards oder Fachpublikationen, im Hinblick auf neue technische und regulatorische Entwicklungen auszuwerten. Auch Kontakte zu Gremien und Interessengruppen, die sich mit Sicherheitsaspekten beschäftigen, helfen dem IS-Management-Team, das vorhandene Wissen über sicherheitsrelevante Methoden und Lösungen zu erweitern und zu aktualisieren. Außerdem werden dabei auch wertvolle Kontakte zu anderen IT-Sicherheitsbeauftragten geknüpft, um Lösungen anderer Institutionen kennenzulernen und Praxiserfahrungen auszutauschen. Es entstehen dadurch auch Wege, über die frühzeitig Warnungen über aufkommende Sicherheitsprobleme ausgetauscht werden können. Das IS-Management-Team sollte einen Überblick über thematisch passende Gremien und Interessengruppen haben und festlegen, wo sich aktive Mitarbeit anbietet und wo nur die Ergebnisse regelmäßig beobachtet und ausgewertet werden sollten.

Durchführung der Prüfungen

Entsprechend dem Prüfungszweck sind Umfang und Tiefe der Überprüfungen festzulegen. Als Grundlage für alle Überprüfungen dient das Sicherheitskonzept und die vorhandene Dokumentation des Sicherheitsprozesses.

Eine Überprüfung muss von Personen mit geeigneten Qualifikationen durchgeführt werden. Diese dürfen jedoch nicht an der Erstellung der Konzepte beteiligt gewesen sein, um Betriebsblindheit und Konflikte zu vermeiden. Die Prüfer bzw. Auditoren müssen möglichst unabhängig und neutral sein.

Jede Überprüfung ist sorgfältig zu planen. Alle relevanten Feststellungen und Ergebnisse sind in einem Bericht festzuhalten. Dieser sollte neben einer Auswertung auch Korrekturvorschläge enthalten. Der Bericht sollte dem Leiter des überprüften Bereiches sowie dem IS-Management-Team übergeben werden, die auf dieser Basis die weiteren Schritte konzipieren müssen. Schwerwiegende Probleme sollten direkt der Leitungsebene kommuniziert werden, damit weitreichende Entscheidungen zeitnah getroffen werden können.

Werden bei der Prüfung spezielle Audit- oder Diagnosewerkzeuge eingesetzt, muss ebenso wie bei der Ergebnisdokumentation sichergestellt sein, dass nur autorisierte Personen darauf Zugriff haben. Diagnose- und Prüftools sowie die Prüfergebnisse müssen daher besonders geschützt werden.

Wenn Externe an Prüfungen beteiligt sind, muss sichergestellt werden, dass keine Informationen der Institution missbräuchlich verwenden ( z. B. durch entsprechende Vertraulichkeitsvereinbarungen) und dass sie nur auf die benötigten Informationen zugreifen können ( z. B. durch Zugriffsrechte oder Vier-Augen-Kontrolle). Sollten sie Prüftools einsetzen, muss deren Nutzung genau geregelt werden.

Korrekturmaßnahmen

Erkannte Fehler und Schwachstellen müssen zeitnah abgestellt werden. Der identifizierte Optimierungsbedarf bei Effizienz und Effektivität von Sicherheitsmaßnahmen muss umgesetzt werden.

Aufgrund der Überprüfungsergebnisse sind Entscheidungen über das weitere Vorgehen zu treffen. Insbesondere sind alle erforderlichen Korrekturmaßnahmen in einem Umsetzungsplan festzuhalten. Die Verantwortlichen für die Umsetzung der Korrekturmaßnahmen sind zu benennen und mit den notwendigen Ressourcen auszustatten.

Prüffragen:

  • Werden regelmäßig Vollständigkeits- bzw. Aktualisierungsprüfungen des Sicherheitskonzeptes durchgeführt?

  • Werden regelmäßig Sicherheitsrevisionen durchgeführt?

  • Ist geregelt, welche Sicherheitsmaßnahmen wann und von wem zu überprüfen sind?

  • Werden die Prüfungen von qualifizierten und unabhängigen Personen durchgeführt?

  • Sind die ermittelten Ergebnisse der Überprüfungen nachvollziehbar dokumentiert?

Stand: 13. EL Stand 2013