Bundesamt für Sicherheit in der Informationstechnik

ORP.1 Organisation

Schnell zum Abschnitt

1 Beschreibung

1.1 Einleitung

Jedes Unternehmen und jede Behörde muss eine Organisation haben, die das Zusammenspiel der verschiedenen Rollen und Einheiten mit den Geschäftsprozessen und Ressourcen in der Institution steuert. Die meisten Institutionen haben eine Organisationseinheit, die für Regelung und Steuerung des allgemeinen Betriebs sowie für Planung, Organisation und Durchführung aller Verwaltungsdienstleistungen verantwortlich ist. Diverse Aufgaben der Informationssicherheit müssen von dieser Einheit umgesetzt oder mitgetragen werden.

1.2 Zielsetzung

Mit diesem Bausteins werden Anforderungen an eine Organisation beschrieben, die dazu dienen, dass Informationssicherheit geeignet, gesteuert und betrieben werden kann.

1.3 Abgrenzung

In diesem Baustein werden allgemeine und übergreifende Anforderungen im Bereich Organisation zur Schaffung der Informationssicherheit aufgeführt. Dazu sind Informationsflüsse, Prozesse, Rollenverteilung, die Aufbau- und Ablauforganisation zu regeln. Der Baustein Organisation bildet damit den Rahmen für die Umsetzung der Informationssicherheit durch andere Bausteine. Spezielle Anforderungen organisatorischer Art, die in unmittelbarem Zusammenhang mit Anforderungen anderer Bausteine stehen (z. B. Server-Administration), werden in den entsprechenden Bausteinen aufgeführt.

2 Gefährdungslage

Folgende spezifische Bedrohungen und Schwachstellen sind im Bereich Organisation von besonderer Bedeutung:

2 1 Fehlende oder unzureichende Regelungen

Die Bedeutung übergreifender organisatorischer Regelungen und Vorgaben für das Ziel Informationssicherheit, z. B. zu den Zuständigkeiten oder der Verteilung von Kontrollaufgaben, nimmt mit der Komplexität der Geschäftsprozesse und dem Umfang der Informationsverarbeitung, aber auch mit dem Schutzbedarf der zu verarbeitenden Informationen zu.

Fehlende Regelungen können zu massiven Sicherheitslücken führen, beispielsweise weil Mitarbeiter nicht wissen, wie sie bei Vorfällen reagieren sollen. Probleme können auch dadurch entstehen, dass Regelungen veraltet, unpraktikabel, oder unverständlich formuliert sind.

2 2 Nicht beachtete Regelungen

Regelungen lediglich festzulegen, führt noch nicht dazu, dass sie beachtet werden. Allen Mitarbeitern müssen die geltenden Regelungen auch bekannt sein. Ein Schaden, der entsteht, weil bestehende Regelungen nicht bekannt sind, darf sich nicht mit den Aussagen entschuldigen lassen: "Ich habe nicht gewusst, dass ich dafür zuständig bin." oder "Ich habe nicht gewusst, wie ich zu verfahren hatte."

Beispiele für Folgeschäden durch nicht eingehaltene Regelungen sind:

  • Vertrauliche Informationen werden in Hörweite fremder Personen diskutiert, beispielsweise in Pausengesprächen von Besprechungen oder über Mobiltelefonate in öffentlichen Umgebungen.
  • Dokumente werden auf einem Webserver veröffentlicht, ohne dass geprüft wurde, ob diese tatsächlich zur Veröffentlichung vorgesehen und freigegeben sind.
  • Aufgrund von fehlerhaft administrierten Zugriffsrechten kann ein Mitarbeiter Daten zu ändern, ohne die Brisanz dieser Integritätsverletzung einschätzen zu können.

2 3 Fehlende, ungeeignete, inkompatible Betriebsmittel

Eine nicht ausreichende Bereitstellung von Betriebsmitteln kann einen Betrieb erheblich beeinträchtigen. Störungen können sich ergeben, wenn benötigte Betriebsmittel nicht in ausreichender Menge vorhanden sind oder nicht termingerecht bereit gestellt werden. Ebenso kann es vorkommen, dass ungeeignete oder sogar inkompatible Betriebsmittel beschafft werden, die infolgedessen nicht eingesetzt werden können.

Beispiel: Der Speicherplatz der Festplatten bei PCs und Servern und auch der mobilen Datenträger steigt ständig. Leider wird häufig vergessen, IT-Komponenten und Datenträger zu beschaffen, die für eine regelmäßige Datensicherung ausreichend Kapazität bieten.

Ebenso muss die Funktionsfähigkeit der eingesetzten Betriebsmittel gewährleistet sein. Werden Wartungsarbeiten nicht oder nur unzureichend durchgeführt, können daraus hohe Schäden entstehen. Beispiele:

  • Die Batterien einer unterbrechungsfreien Stromversorgung (USV) verfügen infolge fehlender Wartung über eine unzureichende Kapazität (zu geringer Säuregehalt). Die USV kann einen Stromausfall nicht mehr ausreichend lange überbrücken.
  • Die Feuerlöscher verfügen aufgrund fehlender Wartung nicht mehr über einen ausreichenden Druck, so dass ihre brandbekämpfende Wirkung nicht mehr gewährleistet ist.

2 4 Unbefugter Zutritt zu schutzbedürftigen Räumen

Alle Räume, inklusive dienstlich genutzter Räume im häuslichen Umfeld oder unterwegs, in denen schutzbedürftige Informationen aufbewahrt bzw. weiterverarbeitet werden, müssen vor dem unbefugtem Zutritt von Dritten geschützt werden. Unbefugte Personen können in solchen Räumen durch vorsätzliche Handlungen (Manipulationen oder Vandalismus), aber auch durch unbeabsichtigtes Fehlverhalten (aufgrund mangelnder Fachkenntnisse) Schäden verursachen. Selbst wenn keine unmittelbaren Schäden erkennbar sind, kann der Betriebsablauf schon dadurch gestört werden, falls untersucht werden muss, wie ein solcher Vorfall möglich war oder ob Schäden aufgetreten sind oder Manipulationen vorgenommen wurden.

Eindringlinge könnten beispielsweise Passwörter zurückgesetzt, direkt auf die Server zugegriffen oder aktive Netzkomponenten manipuliert haben. Außerdem könnten sie sensible Informationen auf Papier oder Datenträgern entwendet oder verändert haben.

2 5 Unerlaubte Ausübung von Rechten

Rechte wie Zutritts-, Zugangs- und Zugriffsberechtigungen werden als organisatorische Maßnahmen eingesetzt, um Informationen, Geschäftsprozesse und IT-Systeme vor unbefugtem Zugriff zu schützen. Werden solche Rechte an die falsche Person vergeben oder wird ein Recht unautorisiert ausgeübt, können sich eine Vielzahl von Gefahren daraus ergeben. Beispielsweise könnten Unbefugte Zugang zu Personaldaten erhalten.

2 6 Gefährdung durch Betriebsfremde

Bei Betriebsfremden kann grundsätzlich nicht vorausgesetzt werden, dass sie mit ihnen zugänglichen Informationen und der Informationstechnik entsprechend den Vorgaben der besuchten Institution umgehen, vor allem, da sie diese in den seltensten Fällen kennen.

Besucher, Reinigungs- und Fremdpersonal können interne Informationen, Geschäftsprozesse und-Systeme auf verschiedene Art und Weise gefährden, angefangen von der unsachgemäßen Behandlung der technischen Einrichtungen, über den Versuch des "Spielens" an IT-Systemen bis zum Diebstahl von Unterlagen oder IT-Komponenten.

Beispiele:

  • Besucher können, wenn sie unbegleitet sind, Zugriff auf Unterlagen, Datenträger oder Geräte haben, diese beschädigen oder unbefugt Kenntnis von schützenswerten Informationen erlangen.
  • Durch Reinigungspersonal kann versehentlich eine Steckverbindung gelöst werden, Wasser kann in Geräte gelangen, Unterlagen können verlegt oder sogar mit dem Abfall entfernt werden.

2 7 Manipulation von Informationen und Geräten

Außentäter, aber auch Innentäter, können Mängel in der Organisation nutzen und versuchen, Geräte, Zubehör, Schriftstücke und andere Datenträger zu manipulieren. Manipulationen können dabei vom falschen Erfassen von Daten, der Änderungen von Zugriffsrechten bis hin zur Manipulation von Betriebssystemen, Datenträgern oder IT-Systemen reichen. Die Angriffe sind umso wirkungsvoller, je später sie entdeckt werden, je umfassender die Kenntnisse des Täters sind und je tief greifender die Folgen für einen Arbeitsvorgang sind.

Beispiel: In einem Schweizer Finanzunternehmen wurde durch einen Mitarbeiter die Einsatzsoftware für bestimmte Finanzdienstleistungen manipuliert. Damit war es ihm möglich, sich illegal größere Geldbeträge zu verschaffen.

2 8 Zerstörung, Vandalismus, Sabotage

Personen können aus unterschiedlichen Beweggründen (Rache, Böswilligkeit, Frust) heraus versuchen, Geschäftsprozesse zu stören, Geräte oder Informationen zu manipulieren oder zu zerstören.

Sowohl Außentäter (z. B. enttäuschte Einbrecher, außer Kontrolle geratene Demonstranten) als auch Innentäter (z. B. frustrierte oder psychisch labile Mitarbeiter) können durch Vandalismus fremdes Eigentum zerstören oder beschädigen. Während Vandalismus meist Ausdruck spontaner, blinder Zerstörungswut ist, bezeichnet Sabotage die mutwillige Manipulation oder Beschädigung von Sachen mit dem Ziel, dem Opfer Schaden zuzufügen. Besonders attraktive Ziele von Sabotage können Rechenzentren oder Kommunikationsanbindungen von Behörden bzw. Unternehmen sein, da hier mit relativ geringen Mitteln eine große Wirkung erzielt werden kann.

2 9 Diebstahl und Verlust von Informationen und Geräten

Der Diebstahl oder Verlust von Datenträgern, IT-Systemen oder Daten kann neben den unmittelbaren materiellen Verlusten zu diversen Folgeschäden führen, wenn keine angemessenen organisatorischen Vorkehrungen getroffen worden sind.

3 Anforderungen

Im Folgenden sind spezifische Anforderungen für den Schutz im Bereich der Organisation aufgeführt. Grundsätzlich ist der Informationssicherheitsbeauftragte (ISB) für die Erfüllung der Anforderungen zuständig. Abweichungen hiervon werden in den entsprechenden Anforderungen gesondert erwähnt.

BausteinverantwortlicherLeiter Organisation
Weitere VerantwortlicheHaustechnik, ICS-Informationssicherheitsbeauftragter, IT-Betrieb, Informationssicherheitsbeauftragter (ISB), Institutionsleitung, Leiter Haustechnik, Leiter IT, Leiter Produktion und Fertigung, Mitarbeiter

3.1 Basis-Anforderungen

Die folgenden Anforderungen MÜSSEN vorrangig umgesetzt werden:

ORP.1.A1 Festlegung von Verantwortlichkeiten und Regelungen [Institutionsleitung]

Für alle sicherheitsrelevanten Aufgaben MÜSSEN sowohl Verantwortlichkeiten als auch Befugnisse festgelegt sein. Es MÜSSEN verbindliche Regelungen zur Informationssicherheit für die verschiedenen betrieblichen Aspekte übergreifend festgelegt werden. Es MUSS auch klar geregelt sein, welche Informationen mit wem ausgetauscht werden dürfen und wie diese dabei zu schützen sind.Die Regelungen MÜSSEN regelmäßig überarbeitet werden. Sie MÜSSEN allen Mitarbeitern bekannt gegeben werden.

ORP.1.A2 Zuweisung der Verantwortung für Informationen, Anwendungen und IT-Komponenten [Leiter IT, Informationssicherheitsbeauftragter (ISB), Institutionsleitung]

Für alle Informationen, Geschäftsprozesse, Anwendungen und IT-Komponenten MUSS festgelegt werden, wer für diese und deren Sicherheit verantwortlich ist. Alle Mitarbeiter MÜSSEN darüber informiert sein, insbesondere wofür sie in welcher Weise verantwortlich sind.

ORP.1.A3 Beaufsichtigung oder Begleitung von Fremdpersonen [Mitarbeiter]

Die Mitarbeiter MÜSSEN dazu angehalten werden, betriebsfremde Personen nicht unbeaufsichtigt zu lassen.

ORP.1.A4 Funktionstrennung zwischen operativen und kontrollierenden Aufgaben

Innerhalb einer Institution SOLLTEN alle relevanten Aufgaben und Funktionen definiert und klar voneinander abgegrenzt sein. Die Aufgaben und die hierfür erforderlichen Rollen und Funktionen MÜSSEN so strukturiert sein, dass operative und kontrollierende Funktionen auf verschiedene Personen verteilt werden. Für unvereinbare Funktionen MUSS eine Funktionstrennung festgelegt und dokumentiert sein. Auch Vertreter MÜSSEN der Funktionstrennung unterliegen.

ORP.1.A5 Vergabe von Berechtigungen [Leiter IT]

Es MUSS festgelegt werden, welche Zutritts-, Zugangs- und Zugriffsrechte an welche Personen im Rahmen ihrer Aufgaben und Funktionen vergeben werden. Es DÜRFEN immer nur so viele Rechte vergeben werden, wie für die Aufgabenwahrnehmung notwendig ist. Es MUSS ein geregeltes Verfahren für die Vergabe, die Verwaltung und den Entzug von Berechtigungen geben (siehe auch ORP.4 Identitäts- und Berechtigungsmanagement). Die Dokumentation der Berechtigungen MUSS aktuell und vollständig sein.

3.2 Standard-Anforderungen

Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik im Bereich Organisation. Sie SOLLTEN grundsätzlich umgesetzt werden.

ORP.1.A6 Der aufgeräumte Arbeitsplatz [Mitarbeiter]

Alle Mitarbeiter SOLLTEN darauf hingewiesen werden, dass an unbeaufsichtigten Arbeitsplätzen weder sensible Informationen noch IT-Systeme frei zugänglich sein dürfen. Arbeitsplätze SOLLTEN stichprobenartig kontrolliert werden, ob schutzbedürftige Informationen offen zugreifbar sind.

ORP.1.A7 Geräteverwaltung [Leiter IT, Leiter Produktion und Fertigung, Leiter Haustechnik]

Es SOLLTE eine Übersicht vorhanden sein über alle Geräten, die in der Institution genutzt werden und die Einfluss auf die Informationssicherheit haben können. Dazu gehören neben IT-Systemen und ICS-Komponenten auch solche aus dem Bereich Internet of Things. Es SOLLTE geeignete Prüf- und Genehmigungsverfahren vor Einsatz der Geräte geben.

ORP.1.A8 Betriebsmittelverwaltung [Leiter IT]

Die Betriebsmittel, die zur Aufgabenerfüllung und zur Einhaltung der Sicherheitsanforderungen erforderlich sind, SOLLTEN in ausreichender Menge vorhanden sein. Es SOLLTE geeignete Prüfverfahren vor Einsatz der Betriebsmittel geben. Für die Bestandsführung SOLLTEN die Betriebsmittel in Bestandsverzeichnissen aufgelistet werden. Um den Missbrauch von Daten zu verhindern, SOLLTE die zuverlässige Löschung oder Vernichtung von Betriebsmitteln geregelt sein.

ORP.1.A9 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln [Mitarbeiter, Informationssicherheitsbeauftragter (ISB)]

Betriebs- und Sachmittel SOLLTEN so entsorgt werden, dass keine Rückschlüsse auf ihre Verwendung oder Inhalte gezogen werden können. Die Entsorgung von schutzbedürftigen Materialien SOLLTE geregelt sein. Alle Mitarbeiter SOLLTEN diese Regelungen kennen. Zur Entsorgung von schutzbedürftigem Material SOLLTEN geeignete Entsorgungseinrichtungen wie z. B. Aktenvernichter vorhanden sein. Zur Entsorgung gesammeltes schutzbedürftiges Material SOLLTE vor unberechtigtem Zugriff geschützt sein.

ORP.1.A10 Reaktion auf Verletzungen der Sicherheitsvorgaben [Informationssicherheitsbeauftragter (ISB)]

Es SOLLTE geregelt sein, welche Reaktionen bei Verdacht auf Verletzungen der Sicherheitsvorgaben erfolgen. Nur so ist eine zielgerichtete und zeitnahe Reaktion möglich.

ORP.1.A11 Rechtzeitige Beteiligung der Personalvertretung [Leiter IT]

Die Personalvertretung (Arbeitnehmer-, Mitarbeitervertretung) SOLLTE bei sie betreffenden Verfahren und Projekten rechtzeitig informiert werden.

ORP.1.A12 Regelungen für Wartungs- und Reparaturarbeiten [IT-Betrieb, Haustechnik, ICS-Informationssicherheitsbeauftragter]

Technische Geräte SOLLTEN regelmäßig gewartet werden. Es SOLLTE geregelt sein, welche Sicherheitsaspekte bei Wartungs- und Reparaturarbeiten zu beachten sind und wer für die Wartung oder Reparatur von Geräten verantwortlich ist. Mitarbeiter SOLLTEN wissen, dass Wartungspersonal bei Arbeiten im Haus beaufsichtigt werden muss. Durchgeführte Wartungsarbeiten SOLLTEN dokumentiert werden.

ORP.1.A13 Sicherheit bei Umzügen [Leiter IT, Leiter Haustechnik, Informationssicherheitsbeauftragter (ISB)]

Vor einem geplanten Umzug SOLLTEN rechtzeitig Sicherheitsrichtlinien für diesen Zweck erarbeitet bzw. aktualisiert werden. Alle Mitarbeiter SOLLTEN über die vor, während und nach dem Umzug zu beachtenden Sicherheitsmaßnahmen informiert werden. Während des Umzugs SOLLTE ein Mindestmaß an Zutritts- und Zugangskontrolle vorhanden sein. Es SOLLTE nach dem Umzug überprüft werden, dass das zu transportierende Umzugsgut vollständig und unbeschädigt bzw. unverändert angekommen ist.

3.3 Anforderungen bei erhöhtem Schutzbedarf

Im Folgenden sind exemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Anforderung vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

ORP.1.A14 Kontrollgänge [Haustechnik, Informationssicherheitsbeauftragter (ISB)](CIA)

Es SOLLTEN Kontrollgänge durchgeführt werden, um zu überprüfen, inwieweit Sicherheitsvorgaben umgesetzt werden. Einfach zu behebende Nachlässigkeiten SOLLTEN sofort behoben werden (z. B. Fenster schließen). Darüber hinaus SOLLTEN Ursachen hinterfragt und beseitigt werden.

4 Weiterführende Informationen

4.1 Literatur

Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich "Organisation" finden sich unter anderem in folgenden Veröffentlichungen

5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen

Die folgenden elementaren Gefährdungen sind für den Baustein "Organisation" von Bedeutung.

  • G 0.14 Ausspähen von Informationen (Spionage)
  • G 0.16 Diebstahl von Geräten, Datenträgern oder Dokumenten
  • G 0.17 Verlust von Geräten, Datenträgern oder Dokumenten
  • G 0.18 Fehlplanung oder fehlende Anpassung
  • G 0.19 Offenlegung schützenswerter Informationen
  • G 0.22 Manipulation von Informationen
  • G 0.25 Ausfall von Geräten oder Systemen
  • G 0.26 Fehlfunktion von Geräten oder Systemen
  • G 0.27 Ressourcenmangel
  • G 0.29 Verstoß gegen Gesetze oder Regelungen
  • G 0.38 Missbrauch personenbezogener Daten
  • G 0.45 Datenverlust
  • G 0.46 Integritätsverlust schützenswerter Informationen

Die Kreuzreferenztabellen finden Sie aufgrund ihres Umfangs im Downloadbereich.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK