Bundesamt für Sicherheit in der Informationstechnik

M 2.380 Ausnahmegenehmigungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Vorgesetzte

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Vorgesetzte

In Einzelfällen kann es sinnvoll und notwendig sein, Ausnahmen von den in einer Sicherheitsrichtlinie getroffenen Regelungen zuzulassen. Ausnahmen sollten zwar möglichst vermieden werden, es ist aber auf jeden Fall besser, eine Ausnahme zuzulassen, als unnachgiebig auf Vorgaben zu bestehen, die im konkreten Einzelfall nicht einzuhalten sind. Sollten sich Ausnahmen häufen, ist dies ein Zeichen dafür, dass die vorhandenen Sicherheitsvorgaben überdacht und eventuell angepasst werden müssen.

Ausnahmen müssen aber in jedem Fall durch eine autorisierte Stelle genehmigt werden. Bei dem Genehmigungsverfahren sind sowohl Fachverantwortliche als die "Eigentümer" von Informationen und Anwendungen, als auch das Sicherheitsmanagement zu beteiligen. Für alle Ausnahmefälle muss gründlich überprüft werden, ob diese die Sicherheitsvorgaben nicht untergraben. Dafür ist eine Risikobewertung vorzunehmen. Ausnahmen dürfen nur genehmigt werden, wenn dass ermittelte Risiko als tragbar eingestuft wurde.

Ausnahmegenehmigungen sollten zeitlich klar befristet werden. Es muss regelmäßig überprüft werden (spätestens alle 12 Monate), ob die Ausnahmegenehmigungen noch erforderlich sind und ob zeitlich befristete Ausnahmegenehmigungen wieder aufgehoben oder nach Ablauf verlängert wurden.

Anschließend muss eine schriftliche Begründung verfasst werden, die von den Verantwortlichen zu unterzeichnen ist.

Für die Erteilung von Ausnahmegenehmigungen sollte ein dokumentiertes Verfahren existieren. Es sollte mindestens folgendes dokumentiert werden:

  • Begründung, warum eine Abweichung von den Sicherheitsvorgaben erforderlich ist und welche Regelung betroffen ist,
  • Beschreibung der Ausgestaltung der Ausnahmegenehmigungen sowie Darstellung der Auswirkungen und Abgrenzung des betroffenen Bereichs, inklusive der Risikobewertung,
  • Zeitpunkt der Einrichtung,
  • Antragsteller und Genehmigender,
  • Zeitraum der Befristungen.

Über Abweichungen von den geltenden Sicherheitsvorgaben sind alle betroffenen Mitarbeiter zu informieren.

Prüffragen:

  • Gibt es ein Genehmigungs- und Dokumentationsverfahren für Ausnahmegenehmigungen?

  • Gibt es eine Übersicht über alle erteilten Ausnahmegenehmigungen?

  • Sind alle Ausnahmen nachvollziehbar begründet?

  • Werden die möglichen Konsequenzen von Ausnahmen analysiert und wurde das ermittelte Risiko als tragbar eingestuft?

  • Ist sichergestellt, dass alle Ausnahmegenehmigungen aufgehoben werden, sobald sie nicht mehr erforderlich sind?

Stand: 10. EL Stand 2008