Bundesamt für Sicherheit in der Informationstechnik

M 2.214 Konzeption des IT-Betriebs

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Um einen ordnungsgemäßen und sicheren IT-Betrieb gewährleisten zu können, ist eine übergreifende Konzeption unabdingbar. Es sollten Regelungen bzw. Vorgaben für den Einsatz von IT-Systemen und IT-Produkten in den verschiedenen Bereichen existieren, die gut aufeinander abgestimmt sind und die Sicherheitsziele der Behörde bzw. des Unternehmens widerspiegeln.

Richtlinien für IT-Verfahrensabläufe und Sicherheitsprinzipien

Alle an der IT-Planung und am IT-Betrieb beteiligten Organisationseinheiten müssen sich auf grundlegende Sicherheitsprinzipien verständigen, die auf alle Bereiche anzuwenden sind (z. B. Anforderungen an Passwörter). Es muss eine übergreifende Regelung der Authentisierung und Rechtevergabe (siehe M 2.220 Richtlinien für die Zugriffs- bzw. Zugangskontrolle ) erfolgen.

Die Verantwortlichkeiten für den Betrieb aller IT-Komponenten müssen klar festgelegt werden. Dazu gehört die Benennung von Administratoren und Ansprechpartnern für die Benutzer (siehe auch M 2.79 Festlegung der Verantwortlichkeiten im Bereich Standardsoftware ).

Jeder Beschaffung von neuen IT-Komponenten sollte eine Konzeption für deren Einsatz zugrunde liegen. Dabei sollte auch deren Integration in den vorhandenen Informationsverbund betrachtet werden und welche Auswirkungen dies auf vorhandene Sicherheitsmechanismen hat, die eventuell angepasst werden müssen (siehe M 2.216 Genehmigungsverfahren für IT-Komponenten ).

Ebenso wie der Ablauf bei der Bestellung von IT muss auch der Umgang mit den gelieferten IT-Komponenten geregelt sein (siehe M 2.90 Überprüfung der Lieferung ). Bevor neue Hardware-Komponenten oder neue Software zum Einsatz kommen, müssen diese getestet werden (siehe M 4.65 Test neuer Hard- und Software ).

Jede Installation von IT-Komponenten sollte den grundlegenden Sicherheitszielen der Behörde bzw. des Unternehmens folgen und auf geregelten Verfahren basieren. Abhängig von der jeweiligen IT-Komponente und deren Sicherheitsanforderungen müssen hierbei Zugriffsregelungen, Benutzerrechte und andere sicherheitsrelevante Konfigurationen eingerichtet werden. Grundsätzlich sollte jede Installation nachvollziehbar dokumentiert werden (siehe M 2.87 Installation und Konfiguration von Standardsoftware ).

Um jederzeit die erforderlichen Ressourcen bereitstellen zu können, sind für den Betrieb der IT-Systeme und IT-Anwendungen die Kapazitätsanforderungen zu untersuchen. Es sollte regelmäßig abgeschätzt werden, ob die vorhandenen Kapazitäten für die vorhandenen oder geplanten Geschäftsprozesse und Anwendungen noch ausreichen.

Richtlinien für den sicheren IT-Betrieb

Um auch im laufenden Betrieb die Sicherheit aller IT-Systeme aufrechterhalten zu können, müssen eine Vielzahl von Faktoren berücksichtigt werden. Daher sollten alle zur Aufrechterhaltung eines ordnungsgemäßen und sicheren Betriebs notwendigen Aufgaben beschrieben und klar zugeordnet werden. Dies betrifft unter anderem die folgenden Aspekte:

  • Die Informationsverarbeitung muss kontinuierlich in allen ihren Phasen, allen Anwendungen und allen Systemen dokumentiert werden (siehe M 2.219 Kontinuierliche Dokumentation der Informationsverarbeitung ).
  • Der Zugang zu allen IT-Systemen sollte geschützt sein, z. B. durch Passwörter.
  • Die Funktionen derjenigen IT-Komponenten, die nicht zum Einsatz kommen sollen oder dürfen, sind - wenn möglich - zu sperren (siehe auch M 4.95 Minimales Betriebssystem ).
  • Die Protokollierungsdateien sind in regelmäßigen Abständen auf Anomalien (z. B. Ausführung von Funktionen, die nicht zum Einsatz kommen sollen) zu untersuchen.
  • Nach Möglichkeit sollten die IT-Systeme in Abständen einem Integritätstest unterzogen werden, so dass unberechtigte Änderungen so früh wie möglich entdeckt werden können. Dies gilt insbesondere für Konfigurationsdaten.
  • Für alle IT-Systeme sollten geeignete Verfahren zur Datensicherung eingesetzt werden.
  • Die Einhaltung der Sicherheitsmaßnahmen muss regelmäßig kontrolliert werden (siehe M 2.199 Aufrechterhaltung der Informationssicherheit ).

Standardlösungen für verwendete Hard- oder Software-Komponenten

Je größer eine Institution ist, desto wichtiger ist es, für die IT-Ausstattung und den IT-Betrieb möglichst einheitliche Komponenten zu verwenden. Dies betrifft sowohl Hardware-Komponenten, wie z. B. Router, Drucker und Grafikkarten, als auch Software-Produkte, wie Betriebssysteme, Textverarbeitungsprogramme und Tools. Anderenfalls besteht die Gefahr, dass das Gesamtsystem aufgrund von Interoperabilitätsproblemen und ausufernder Komplexität nicht mehr administriert werden kann.

Es sollten daher Hausstandards für Hardware- und Software-Komponenten festgelegt und dokumentiert werden, die bei der Beschaffung zu berücksichtigen sind. Dies erlaubt es, auf bewährte Lösungen zurückzugreifen und Interoperabilitäts- und Kompatibilitätsprobleme möglichst zu vermeiden. Weiterhin wird hierdurch der administrative Aufwand und das erforderliche Fachwissen verringert. In vielen Fällen können auch die Lagerkosten für Verbrauchsmaterial gesenkt werden. In Verbindung mit Rahmenverträgen oder Mengenrabatt können oft auch weitere finanzielle Einsparungen erreicht werden.

Aufgrund der schnellen technischen Fortentwicklung im Bereich der Informationsverarbeitung müssen Hausstandards für IT-Komponenten regelmäßig aktualisiert werden. Dies führt in der Regel dazu, dass ein Mischbetrieb zwischen verschiedenen "Generationen" von Hausstandards erforderlich ist. Daher ist bei der Überarbeitung der Hausstandards zu berücksichtigen, dass neue und alte IT-Komponenten bzw. Produkte kompatibel sind und gemeinsam verwendet werden können.

Ein besonders wichtiger Anwendungsfall für Hausstandards sind Arbeitsplatz-PCs. Hier sollte sowohl für die Hardware-Komponenten in den PCs, wie Prozessor, Arbeitsspeicher, Grafikkarte, usw., als auch für die installierte Software und deren Konfigurationen Hausstandards festgelegt werden. Anderenfalls besteht aufgrund der Vielzahl von Konfigurationsmöglichkeiten, die PCs bieten, die Gefahr, dass die eingesetzten Arbeitsplatz-PCs unüberschaubar und somit nicht mehr administrierbar werden. Allein die Pflege der notwendigen Hardware-Treiber für die Betriebssysteme ist in mittelgroßen Behörden und Unternehmen ohne verbindliche Festlegung von Hausstandards nicht mehr leistbar. Durch Hausstandards für Arbeitsplatz-PCs wird auch der Einsatz von Systemmanagement-Produkten erleichtert.

Hinweis: Bei der Definition von Hausstandards für Hardware- oder Software-Komponenten sollte keinesfalls nur das marktgängigste Produkt in Betracht gezogen werden. Vielmehr sollte sich die Auswahl nach den funktionalen Anforderungen und den (IT-)Sicherheitsanforderungen richten. Eine "Monokultur", d. h. die weitgehende Dominanz eines einzelnen Produktes am Markt, kann unter Umständen sogar zu Sicherheitsproblemen führen. In diesem Fall sind nämlich auch die in dem Produkt evtl. vorhandenen Software-Schwachstellen besonders weit verbreitet und können daher, wenn sie ausgenutzt werden, zu hohen Gesamtschäden führen. Computer-Viren, Trojanische Pferde und andere Gefährdungen durch vorsätzliche Handlungen richten sich in vielen Fällen auf weit verbreitete Produkte.

Konventionen für Namens-, Adress- und Nummernräume

Innerhalb einer Institution existieren meist eine ganze Reihe unterschiedlicher Namens- und Nummernräume nebeneinander. Besonders populär sind diejenigen, die auch außerhalb der Behörde bzw. des Unternehmens verwendet werden, beispielsweise E-Mail-Adressen, DNS -Namen, Telefonnummern und Bezeichnungen von Organisationseinheiten. Aber auch rein interne Bezeichnungskonventionen, wie Inventarnummern, IP-Adressen und Ausweisnummern, spielen oft eine wichtige Rolle für die Organisation und das IT-Management.

Für einen reibungslosen Ablauf der Informationsverarbeitung und für die Administrierbarkeit der eingesetzten IT ist es erforderlich, dass ein übergreifendes Konzept für die verwendeten Namens- und Nummernräume erstellt wird. Bei der Konzeption sollten folgende Aspekte berücksichtigt werden:

  • Möglichst wenig unterschiedliche Namens- und Nummernräume sollten parallel verwendet und gepflegt werden.
  • Das Konzept muss Vergabe, Entzug, gegebenenfalls Sperrung von Namen und Nummern sowie das Zusammenspiel der einzelnen Namens- und Nummernräume regeln.
  • Namen und Nummern, die nur für Teilbereiche (Organisationseinheiten, Teilnetze, Liegenschaften, usw.) benötigt werden, sollten möglichst aus allgemeinen, behörden- bzw. unternehmensweiten Namens- bzw. Nummernräumen abgeleitet werden.
  • Die Struktur der verwendeten Namens- und Nummernräume sollte möglichst einfach, allgemein und ohne unnötige Ausnahmen sein, auch wenn dies bedeutet, dass die Bezeichnungen länger werden (z. B. mehr Ziffern enthalten). Anderenfalls besteht die Gefahr, dass die Bezeichnungen fehlinterpretiert oder von gängigen Produkten nicht verarbeitet werden können.
  • Bei der Konzeption ist das absehbare mittelfristige Wachstum zu berücksichtigen, das durch den Namens- bzw. Nummernraum versorgt werden muss. In jedem Fall sind großzügige Reserven einzuplanen. Nachträgliche Erweiterungen oder Migrationen auf größere Namens- oder Nummernräume sind oft zeit- und kostenintensiv.
  • Wenn Kollisionen, d. h. mehrfache Vergabe des gleichen Bezeichners oder der gleichen Nummer, durch das generelle Vergabesystem möglich sind, so ist im Konzept festzulegen, wie diese aufgelöst werden. Ein wichtiges Beispiel ist die Konvention Vorname.Nachname für E-Mail-Adressen. Hier muss im Konzept definiert werden, welche Adressen ersatzweise vergeben werden, wenn in der Behörde bzw. im Unternehmen zwei oder mehr Mitarbeiter mit gleichen Vor- und Nachnamen beschäftigt werden.

Schnittstellendefinitionen für das Zusammenspiel der Komponenten

Die Informationsverarbeitung geschieht in der Regel durch eine Vielzahl kleiner Verarbeitungsschritte, die durch geeignete Hardware- oder Software-Komponenten unterstützt werden. Der Datentransfer zwischen diesen Komponenten erfolgt in der Regel über Dateien, Datenbanken oder Netze.

Um einen reibungslosen IT-Betrieb gewährleisten zu können ist es daher erforderlich, die Schnittstellen für das Zusammenspiel der einzelnen Komponenten klar zu definieren. Alle Schnittstellendefinitionen sollten dokumentiert werden, sofern sie nicht von den verwendeten Komponenten her selbstverständlich sind.

Wichtige Aspekte von Schnittstellendefinitionen zwischen IT-Komponenten sind beispielsweise Datei- und Datenformate sowie Netzprotokolle. Um bei Bedarf einzelne Komponenten möglichst problemlos austauschen zu können (Investitionsschutz) und um auf praxisbewährte Lösungen zurückgreifen zu können, sollten so weit wie möglich Standardformate und Standardprotokolle verwendet werden, beispielsweise EDI , XML und HTTP.

Alle Änderungen an Schnittstellendefinitionen zwischen den verwendeten IT-Komponenten müssen dokumentiert und in Bezug auf Auswirkungen auf die Sicherheit des Informationsverbunds geprüft werden. Falls erforderlich ist das Sicherheitskonzept entsprechend zu ergänzen bzw. anzupassen.

Prüffragen:

  • Sind grundlegende Sicherheitsprinzipien unter Beteiligung aller an IT -Planung und -Betrieb beteiligten Stellen definiert?

  • Existieren dokumentierte Hausstandards für Hard- und Software?

  • Werden bei der Überarbeitung des Hausstandards Kompatibilitätsaspekte mit älterer Hard- und Software berücksichtigt?

  • Existiert ein übergreifendes Konzept für die verwendeten Namens- bzw. Nummernräume?

  • Verfügt das übergreifende Konzept für die verwendeten Namens- bzw. Nummernräume über ausreichende Reserven für künftiges Wachstum?

  • Existieren dokumentierte Schnittstellendefinitionen für die verwendeten IT -Komponenten?

  • Sind die Zuständigkeiten für den Betrieb aller IT -Komponenten geregelt?

  • Werden für Schnittstellen soweit möglich Standardformate bzw. -protokolle genutzt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK