Bundesamt für Sicherheit in der Informationstechnik

Umsetzungshinweise zum Baustein ORP.5 Compliance Management (Anforderungsmanagement)

Schnell zum Abschnitt

1 Beschreibung

1.1 Einleitung

In jeder Institution gibt es aus den verschiedensten Richtungen gesetzliche, vertragliche, strukturelle und interne Richtlinien und Vorgaben, die beachtet werden müssen. Viele davon haben direkte oder indirekte Auswirkungen auf das Informationssicherheitsmanagement. Die Anforderungen sind je nach Branche, Land und anderen Rahmenbedingungen unterschiedlich. Weiterhin unterliegt beispielsweise eine Behörde anderen externen Regelungen als eine Aktiengesellschaft. Die Leitungsebene der Institution muss die Einhaltung der Anforderungen durch angemessene Überwachungsmaßnahmen (neudeutsch: Compliance) sicherstellen und ein Compliance Management System betreiben.

Ziel des Compliance Managements ist es, jederzeit den Überblick über die verschiedenen Anforderungen an die einzelnen Bereiche der Institution zu haben und geeignete Maßnahmen zu identifizieren und umzusetzen, um Verstöße gegen diese Anforderungen zu vermeiden.

Diese Aufgabe wird typischerweise an einen Mitarbeiter übertragen. Die Rolle wird im Folgenden mit "Compliance Manager" bezeichnet. In einigen Unternehmen wird z. B. auch die Bezeichnung "Anforderungsmanager" benutzt. Sofern dies nicht durch andere Regelungen vorgeschrieben ist, müssen hierfür aber keine neuen Stellen geschaffen werden. Die Aufgabe kann beispielsweise vom Sicherheitsmanagement, der Revision, dem Controlling oder dem Justiziariat mit übernommen werden.

Je nach Größe einer Institution kann diese verschiedene Managementprozesse haben, die sich mit unterschiedlichen Aspekten des Risikomanagements beschäftigen, z. B. Sicherheitsmanagement, Datenschutzmanagement, Compliance Management, Controlling. Diese sollten vertrauensvoll zusammenarbeiten, um Synergieeffekte zu nutzen und Konflikte frühzeitig auszuräumen.

1.2 Lebenszyklus

Im Rahmen des Compliance Managements ist eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über den Aufbau geeigneter Organisationsstrukturen bis hin zur regelmäßigen Revision. Die Schritte, die dabei zu durchlaufen sind, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Planung und Konzeption

Es sollten Prozesse und Organisationsstrukturen etabliert sein, um den Überblick über die verschiedenen Anforderungen zu gewährleisten (siehe ORP.5.A4 Konzeption und Organisation des Compliance Managements). Neben den externen Regelungen, die die Institution betreffen, müssen auch die internen Richtlinien und Anforderungen definiert und transparent sein. Eine wichtige Grundlage, um alle geschäftsrelevanten Informationen, Geschäftsprozesse und Systeme angemessen abzusichern, ist die Einstufung von deren Schutzbedarf (siehe ORP.5.A10 Klassifizierung von Informationen). In der Folge leiten sich daraus konkrete Sicherheitsvorgaben für diese Objekte ab.

Umsetzung

Die identifizierten Anforderungen werden durch die Managementprozesse der Institution, insbesondere auch durch den Sicherheitsprozess, umgesetzt. Mitarbeiter, aber auch Besucher und externe Dienstleister müssen auf ihre Sorgfaltspflichten und die einzuhaltenden Maßnahmen im Umgang mit Informationen und IT-Systemen hingewiesen werden, bevor sie Zugang oder Zugriff darauf erhalten (siehe ORP.5.A3 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen).

Betrieb

Die Sicherheitsvorgaben, die die Institution zur Erfüllungen der Anforderungen erstellt hat, müssen dauerhaft eingehalten werden. Dies sollte regelmäßig überprüft werden (siehe ORP.5.A7 Aufrechterhaltung der Informationssicherheit). Sowohl die eigenen Regelungen als auch die rechtlichen Rahmenbedingungen, denen eine Institution unterliegt, können sich ändern. Dies muss im Rahmen des Compliance Managements berücksichtigt werden (siehe ORP.5.A2 Beachtung rechtlicher Rahmenbedingungen ).

2 Maßnahmen

Im Folgenden sind spezifische Umsetzungshinweise im Bereich "Compliance Management (Anforderungsmanagement)" aufgeführt.

2.1 Basis-Maßnahmen

Die folgenden Maßnahmen sollten vorrangig umgesetzt werden:

ORP.5.M1 Identifikation der rechtlichen Rahmenbedingungen [Leiter Organisation, Institutionsleitung]

Bei der Verarbeitung von Informationen sind eine Vielzahl von gesetzlichen oder vertraglichen Rahmenbedingungen zu beachten. Diese variieren sehr stark in Abhängigkeit von der Art der Institution, der Branche und den Geschäftsprozessen.

Typische Bereiche der Informationsverarbeitung, die besonderen gesetzlichen Regelungen unterliegen, sind:

  • Schutz personenbezogener Daten,
  • Einsatz von kryptographischen Verfahren,
  • Schutz von geistigem Eigentum,
  • ordnungsgemäßer Betrieb von IT-Systemen, inklusive Überwachung, Protokollierung und Auswertung,
  • Langzeitspeicherung von Daten.

Abhängig von dem Land, in dem die Informationen verarbeitet werden und ihrem speziellen Einsatzzweck können noch eine Vielzahl von weiteren rechtlichen Regelungen existieren. Diese einzeln zu nennen, würde den Rahmen dieses Dokumentes sprengen. In diversen Bereichen des IT-Grundschutzes werden länder- oder branchenspezifische Gesetze angesprochen, wie z. B. zu Kryptographie, Outsourcing oder Archivierung. Dies sind aufgrund der Vielzahl möglicher gesetzlicher Rahmenbedingungen jeweils nur Beispiele ohne Anspruch auf Vollständigkeit oder Aktualität.

Übersicht über rechtliche Rahmenbedingungen

Alle für die Geschäftsprozesse und Informationsverarbeitung, den Betrieb von IT-Systemen und der zugehörigen physischen Infrastruktur zu beachtenden gesetzlichen, vertraglichen und sonstigen Vorgaben müssen identifiziert und dokumentiert werden. Es ist dabei zu beachten, dass gesetzliche Vorschriften sich häufig ebenfalls auf Landes- und Regionalebene unterscheiden. Als Konsequenz müssen unter Umständen für jede Lokation jeweils die dort gültigen Gesetze eingehalten werden. Ebenso ist zu berücksichtigen, dass je nach Art der Geschäftsprozesse und dem Einsatzzweck der IT-Systeme (z. B. Büroumgebung, Prozesssteuerung) verschiedene Vorschriften gelten können.

Insbesondere müssen

  • alle angewandten betrieblichen Praktiken und Vorgehensweisen,
  • alle im Rahmen der geschäftlichen Tätigkeiten verarbeiteten Informationen,
  • alle installierten IT-Systeme (Hardware- und Software) sowie
  • die zum Betrieb der Geschäftsprozesse und IT-Systeme notwendige physikalische Infrastruktur

die gültigen gesetzlichen Vorschriften erfüllen. Alle Änderungen gesetzlicher Auflagen müssen erfasst und die für die Institution relevante Änderungen berücksichtigt werden.

Typischerweise gibt es in den verschiedenen Bereichen einer Institution Übersichten über die Anforderungen, die in diesen Bereichen und für deren Geschäftsprozesse relevant sind. Nicht immer sind dies formalisierte Übersichten, sondern oftmals Einzelinformationen in verschiedenen Strukturen und Wissen in den Köpfen von Experten. Durch die Komplexität vieler Geschäftsprozesse und Organisationsstrukturen sowie durch eine zunehmende Vielfalt an Vorgaben aus der internationalen Zusammenarbeit können sich hierbei schnell eine große Anzahl verschiedener Anforderungen ergeben. Deswegen sollte das vorhandene Wissen über die verschiedenen gesetzlichen, vertraglichen und sonstigen Vorgaben zentral zusammengetragen und, wenn nötig, ergänzt werden.

ORP.5.M2 Beachtung rechtlicher Rahmenbedingungen [Vorgesetzte, Leiter Organisation, Institutionsleitung]

Führungskräfte, welche die rechtliche Verantwortung für die Institution vor Ort tragen, müssen für die Identifizierung und Dokumentation der anzuwendenden gesetzlichen Vorschriften sorgen. Idealerweise sollte ein Jurist oder Rechtsexperte beauftragt werden. Falls innerhalb der Institution das erforderliche Wissen oder die nötigen Ressourcen nicht zur Verfügung stehen, sollte externe Rechtsberatung eingeholt werden. Da nicht alle Mitarbeiter sämtliche Gesetze und Regelungen kennen müssen, sollten dabei die für die einzelnen Bereiche der Institution relevanten gesetzlichen und vertraglichen Vorgaben herausgearbeitet werden. Um deren Einhaltung zu überwachen, können in den einzelnen Bereichen Verantwortliche benannt werden. So ist der betriebliche Datenschutzbeauftragte dafür verantwortlich, auf die Einhaltung der gültigen Datenschutzvorschriften sowie für die Erstellung und Einhaltung eines institutionsweit gültigen Regelwerks zum Schutz personenbezogener Daten hinzuwirken. Die IT-Leitung muss dagegen z. B. für die Definition und Dokumentation des Lizenzmanagements sorgen.

Natürlich ist auch jeder einzelne Mitarbeiter und insbesondere das Führungspersonal für die Umsetzung der Regelungen zu rechtlichen Aspekten und für die Überwachung der Einhaltung in seinem Arbeitsumfeld verantwortlich (siehe ORP.5.M3 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen).

ORP.5.M3 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen [Vorgesetzte, Personalabteilung]

Mitarbeiter müssen verpflichtet werden, einschlägige Gesetze (z. B. zum Datenschutz), Vorschriften und interne Regelungen einzuhalten. Bereits bei der Einstellung sollten neue Mitarbeiter mit den bestehenden Vorschriften und Regelungen rund um das Thema der Informationssicherheit bekannt gemacht und gleichzeitig zu deren Einhaltung motiviert werden. Dabei ist es sinnvoll, nicht nur die Verpflichtung durchzuführen, sondern auch die erforderlichen Exemplare der Vorschriften und Regelungen auszuhändigen und den Empfang quittieren zu lassen bzw. für die Mitarbeiter an zentraler Stelle zur ständigen Einsichtnahme vorzuhalten. Auf neue Gesetze und Regelungen sowie deren Änderungen sollte geeignet hingewiesen werden, z. B. über das Intranet. Falls erforderlich, muss die Einweisung nach einer Aktualisierung von wesentlichen Vorgaben erneut durchgeführt werden. Um das richtige Verhalten in Bezug auf die einschlägigen Vorgaben nachhaltig zu verankern, ist es sinnvoll, hierzu regelmäßig geeignete Schulungsmaßnahmen anzubieten.

Die Verpflichtung sollte geeignet zentral dokumentiert werden. So ist z.B. eine Ablage von Verpflichtungserklärungen in der Personalakte einer Ablage bei den einzelnen Verantwortlichen, z. B. dem Datenschutzbeauftragten, vorzuziehen.

Alle Mitarbeiter müssen darauf hingewiesen werden, dass alle Arbeitsergebnisse und alle während der Arbeit erhaltenen Informationen ausschließlich zum internen und dienstlichen Gebrauch bestimmt sind. Außerdem sollten die Mitarbeiter dafür sensibilisiert werden, dass sie vor der Weitergabe personenbezogener oder vertraulicher Informationen prüfen, ob diese zulässig ist. Dies gilt ebenso für Daten, die lizenz- oder urheberrechtlich geschützt sind.

2.2 Standard-Maßnahmen

Gemeinsam mit den Basis-Maßnahmen entsprechen die folgenden Maßnahmen dem Stand der Technik im Bereich "Compliance Management (Anforderungsmanagement)".

ORP.5.M4 Konzeption und Organisation des Compliance Managements [Institutionsleitung]

Typischerweise ergeben sich aus den verschiedenen Tätigkeiten einer Institution eine Vielzahl verschiedener gesetzlicher, vertraglicher und anderer rechtlicher Vorgaben. Die Identifikation dieser Anforderungen und der Umgang mit diesen kann schnell sehr komplex werden. Dafür sollten Verantwortliche benannt und deren Aufgaben im Bereich Compliance Management festgelegt werden. Die entsprechende Rolle wird häufig als "Compliance Manager" bezeichnet. Je nach Art und Größe der Institution kann es sinnvoll sein, einen oder mehrere Compliance Manager zu benennen.

In einigen Unternehmen wird auch die Bezeichnung "Anforderungsmanager" benutzt.Sofern dies nicht durch andere Regelungen vorgeschrieben ist, muss hierfür aber keine neue Stelle geschaffen werden. Die Aufgabe kann beispielsweise vom Sicherheitsmanagement, der Revision, dem Controlling oder dem Justiziariat mit übernommen werden.

Die Benennung eines zentralen Compliance Manager hat den Vorteil, dass dieser einen Überblick über die gesamte Institution hat, wodurch Doppelarbeiten und Konflikte frühzeitig erkannt und vermieden werden können. Mehrere Compliance Manager in den verschiedenen Bereichen einer Institution können andererseits meist besser die Bedürfnisse der von ihnen betreuten Zielgruppe abdecken. Im Folgenden wird der besseren Lesbarkeit wegen immer im Singular auf die Rolle des Compliance Managers Bezug genommen.

Zu den Aufgaben eines Compliance Managers (für die von ihm betreuten Bereiche) gehören:

  • Alle für die wesentlichen Geschäftsprozesse und Informationen sowie für den Betrieb von IT-Systemen und der zugehörigen physischen Infrastruktur zu beachtenden gesetzlichen, vertraglichen und sonstigen Vorgaben müssen identifiziert und dokumentiert werden (siehe ORP.5.M1 Identifikation der rechtlichen Rahmenbedingungen).
  • Die Anforderungen sind strukturiert zu erfassen und aus den verschiedenen Bereichen zusammenzuführen und zu konsolidieren.
  • Um die einzelnen identifizierten Anforderungen zu erfüllen und angemessene Maßnahmen umzusetzen, müssen Verantwortliche benannt werden. Der Compliance Manager sollte regelmäßig überprüfen, ob die ergriffenen Maßnahmen geeignet sind, um die Anforderungen abzudecken.
  • Häufig müssen Anforderungen auch zunächst interpretiert und auf die Gegebenheiten der jeweiligen Institution übersetzt werden, da die meisten Gesetze und Vorgaben eher Ziele und Erwartungen formulieren, nicht aber wie deren Umsetzung konkret auszugestalten ist.
  • Alle Arten der genannten Anforderungen gehen auch jeweils auf eine bestimmte Zielgruppe zurück, die deren Einhaltung fordert oder prüft. Bei der Identifikation der Anforderungen sollte auch immer die Zielgruppe dokumentiert werden, um deren Bedürfnisse zu erfüllen. Dies erspart später viele Anpassungsarbeiten. Bei gesetzlichen Anforderungen ist es z. B. sinnvoll, festzuhalten, welche Instanz (also z. B. welche Aufsichtsstelle) deren Einhaltung prüft und in welcher Form hierfür die Informationen aufbereitet werden müssen.

In der folgenden Tabelle finden sich hierzu einige Beispiele:

AnforderungenZielgruppeVerantwortlicher Compliance Manager
Datenschutz-GesetzeDatenschutz-AufsichtBehördlicher oder betrieblicher Datenschutzbeauftragter
ArbeitsrechtPersonalvertretungPersonalreferat
StrafrechtStrafverfolgungsbehördenJustiziariat / Hausjurist
VerträgeDienstleister
Kunden
Einkauf
Vertrieb
Sonstige AnforderungenKooperationspartnerFachabteilung

Tabelle: Zuordnung von Anforderungen zu Zielgruppen und Compliance Manager

Zusammenarbeit mit Sicherheitsmanagement

Die Informationssicherheit ist direkt oder indirekt ein zu beachtender Aspekt in fast allen Anforderungsbereichen. Dabei ist der Informationssicherheitsbeauftragte nur in wenigen Fällen der Compliance Manager. Compliance Manager und Informationssicherheitsbeauftragter müssen daher regelmäßig zusammenarbeiten, um einerseits die Sicherheitsanforderungen aus den verschiedenen Bereichen ins Compliance Management zu integrieren und andererseits die als sicherheitsrelevant identifizierten Anforderungen in Sicherheitsmaßnahmen zu überführen und deren Umsetzung zu kontrollieren.

Sicherheitsanforderungen ergeben sich in erster Linie durch die Auslegung allgemeiner Rechtsvorschriften, teilweise aus Spezialgesetzen sowie aus tätigkeits- oder branchenbezogenen Vorschriften, die die Sicherheit bestimmter Systeme, Dienstleistungen oder Tätigkeiten regeln. Dazu kommen zivilrechtliche Pflichten, deren (schuldhafte) Verletzung zu Haftung des Verantwortlichen führen kann. Beispiele sind

  • Datenschutzgesetze
  • KWG, KonTraG, MaRisk der BaFin
  • Urheberrechtsgesetz
  • TKG, TMG
  • ITSiG
  • Verträge, Allgemeine Geschäftsbedingungen, etc.
  • Lizenzmanagement

Die als sicherheitsrelevant identifizierten Anforderungen sollten bei der Planung und Konzeption von Geschäftsprozessen, Anwendungen und IT-Systemen oder bei der Beschaffung neuer Komponenten einfließen.

ORP.5.M5 Ausnahmegenehmigungen [Vorgesetzte, Informationssicherheitsbeauftragter (ISB)]

In Einzelfällen kann es sinnvoll und notwendig sein, Ausnahmen von den in einer Sicherheitsrichtlinie getroffenen Regelungen zuzulassen. Ausnahmen sollten zwar möglichst vermieden werden, es ist aber auf jeden Fall besser, eine Ausnahme zuzulassen, als unnachgiebig auf Vorgaben zu bestehen, die im konkreten Einzelfall nicht einzuhalten sind. Sollten sich Ausnahmen häufen, ist dies ein Zeichen dafür, dass die vorhandenen Sicherheitsvorgaben überdacht und eventuell angepasst werden müssen.

Ausnahmen müssen aber in jedem Fall durch eine autorisierte Stelle genehmigt werden. Bei dem Genehmigungsverfahren sind sowohl Fachverantwortliche als die "Eigentümer" von Informationen und Anwendungen, als auch das Sicherheitsmanagement zu beteiligen. Für alle Ausnahmefälle muss gründlich überprüft werden, ob diese essentielle Sicherheitsvorgaben nicht untergraben. Dafür ist eine Risikobewertung vorzunehmen. Ausnahmen dürfen nur genehmigt werden, wenn dass ermittelte Risiko als tragbar eingestuft wurde.

Ausnahmegenehmigungen sollten zeitlich klar befristet werden. Es muss regelmäßig überprüft werden (spätestens alle 12 Monate), ob die Ausnahmegenehmigungen noch erforderlich sind und ob zeitlich befristete Ausnahmegenehmigungen wieder aufgehoben oder nach Ablauf verlängert wurden.

Anschließend muss eine schriftliche Begründung verfasst werden, die von den Verantwortlichen zu unterzeichnen ist.

Für die Erteilung von Ausnahmegenehmigungen sollte ein dokumentiertes Verfahren existieren. Es sollte mindestens folgendes dokumentiert werden:

  • Begründung, warum eine Abweichung von den Sicherheitsvorgaben erforderlich ist und welche Regelung betroffen ist,
  • Beschreibung der Ausgestaltung der Ausnahmegenehmigungen sowie Darstellung der Auswirkungen und Abgrenzung des betroffenen Bereichs, inklusive der Risikobewertung,
  • Zeitpunkt der Einrichtung,
  • Antragsteller und Genehmigender,
  • Zeitraum der Befristungen.

Über genehmigte Abweichungen von den geltenden Sicherheitsvorgaben sind alle betroffenen Mitarbeiter zu informieren.

ORP.5.M6 Einweisung des Personals in den sicheren Umgang mit IT [Vorgesetzte, Personalabteilung]

Viele Sicherheitsprobleme entstehen durch fehlerhafte Benutzung bzw. Konfiguration der IT. Um solchen Problemen vorzubeugen, sind alle Mitarbeiter und alle externen IT-Benutzer in den sicheren Umgang mit der IT der Institution einzuweisen. Hierzu müssen alle Mitarbeiter entsprechend sensibilisiert und geschult werden (siehe auch ORP.3 Sensibilisierung und Schulung zur Informationssicherheit).

Allen Mitarbeitern muss deutlich gemacht werden, welche Rechte und Pflichten sie bei der IT-Nutzung haben. Ihnen sollten spezifische Richtlinien an die Hand gegeben werden, was sie im Umgang mit der IT beachten müssen. In einer solchen Richtlinie ist zu beschreiben, welche Randbedingungen es beim Einsatz der betrachteten IT-Systeme gibt, welche Sicherheitsmaßnahmen zu ergreifen sind und welche Meldewege oder Ansprechpartner es bei Verlust, Sicherheitsvorfällen oder Unklarheiten gibt. Diese Richtlinien sollten verbindlich, verständlich, aktuell und verfügbar sein. Um die Verbindlichkeit zu dokumentieren, sollten sie von der Behörden- bzw. Unternehmensleitung oder zumindest vom IT-Verantwortlichen unterzeichnet sein. Es empfiehlt sich auch, sie kurz und verständlich zu formulieren, sodass sie beispielsweise als Poster, Merkzettel, Flyer, Karteikarte oder Ähnliches verteilt werden können. Zusätzlich sollten sie im Intranet abrufbar sein.

Benutzerrichtlinien sollten grundsätzlich nur Regelungen enthalten, die auch umgesetzt werden können, und so positiv wie möglich formuliert werden. Beispielsweise könnte eine Benutzerrichtlinie statt

"Benutzer dürfen keine Software selbständig installieren."

so lauten:

"Alle IT-Systeme werden in einer Standardkonfiguration ausgeliefert, die auf Ihre spezifischen Arbeitsbedingungen angepasst wurde und Ihnen maximale Sicherheit bietet. Bei Problemfällen können wir Ihnen durch eine Neuinstallation der Standardkonfiguration eine schnelle Problemlösung garantieren. Bitte verändern Sie daher die Einstellungen möglichst nicht. Wenn Sie zusätzliche Hard- oder Software benötigen, wenden Sie sich bitte an den Benutzerservice."

Weitere Beispiele für Benutzerrichtlinien finden sich unter den Hilfsmitteln zum IT-Grundschutz.

Eine Benutzerrichtlinie für die allgemeine IT-Nutzung sollte mindestens die folgenden Punkte umfassen:

  • Hinweis, dass IT-Systeme oder IT-Komponenten nur mit ausdrücklicher Erlaubnis benutzt werden dürfen
  • Hinweis, dass nur diejenigen Mitarbeiter Informationen auf IT-Systemen ändern dürfen, die dazu autorisiert sind
  • Umgang mit Passwörtern
  • Nutzungsverbot nicht freigegebener Software
  • Hinweis, dass dienstliche IT-Systeme nur für dienstliche Zwecke eingesetzt werden dürfen, beziehungsweise eine präzise Beschreibung möglicher Ausnahmen von dieser Regel, falls es sie gibt,
  • Hinweise zur sicheren Verwahrung und Aufstellung von IT-Systemen und Datenträgern
  • Hinweise zur sicheren mobilen Nutzung von IT
  • Schutz vor Computer-Viren und anderer Schadsoftware
  • Durchführung von Datensicherungen bzw. der zentralen Ablage von Daten
  • Nutzung von Internet-Diensten
  • Hinweis auf Verantwortliche und Ansprechpartner zu Themen die IT und Informationssicherheit betreffend
  • Neben solchen Richtlinien müssen klare Aussagen darüber vorliegen, welche Benutzer auf welche Informationen zugreifen dürfen, an wen diese weitergegeben werden dürfen und welche Maßnahmen bei einem Verstoß gegen diese Richtlinien unternommen werden.

Wenn ein Benutzer seinen Arbeitsplatz verlässt, sollte er sich davon überzeugen, dass jedes Arbeitsmittel (Dokumente, Datenträger, etc.) sicher verwahrt ist. Alle IT-Systeme sollten durch Passwörter gegen unbefugten Zugriff geschützt sein. Bei unbeaufsichtigten IT-Systemen ist der Computer mindestens zu sperren.

Die Grundkonfiguration aller IT-Systeme sollte möglichst eingeschränkt sein. In der Standardkonfiguration von Arbeitsplatzrechnern sollten nur die Dienste vorhanden sein, die von allen Benutzern einer Gruppe benötigt werden. Weitere Programme oder Funktionen dürfen nur dann aufgespielt bzw. freigeschaltet werden, wenn die Benutzer in deren Handhabung eingewiesen und für eventuelle Sicherheitsprobleme sensibilisiert wurden.

Jede Benutzerordnung sollte in Zusammenarbeit mit Vertretern aller beteiligten Gruppen erstellt werden, insbesondere sind Personalvertretungen und Datenschutz- sowie Informationssicherheitsbeauftragte rechtzeitig zu beteiligen. Bei jeder Änderung einer Benutzerordnung ist darauf zu achten, dass die Betroffenen wieder im Vorfeld beteiligt werden. Die geänderte Benutzerordnung muss allen Benutzern bekannt gegeben werden.

Die Aufgabenbeschreibung sollte alle für die Informationssicherheit relevanten Aufgaben und Verpflichtungen enthalten. Dazu gehört u. a. die Verpflichtung auf die hausinternen Leitlinien zur Informationssicherheit.

Werden IT-Systeme oder Dienste in einer Weise benutzt, die den Interessen der Behörde bzw. des Unternehmens widersprechen, sollte jeder, der davon Kenntnis erhält, dies seinen Vorgesetzten mitteilen.

Beispiele für Benutzerrichtlinien finden sich unter den Hilfsmitteln zum IT-Grundschutz [GSH].

ORP.5.M7 Aufrechterhaltung der Informationssicherheit [Informationssicherheitsbeauftragter (ISB)]

Im Sicherheitsprozess geht es nicht nur darum, das angestrebte Sicherheitsniveau zu erreichen, sondern dieses auch dauerhaft zu gewährleisten. Um das bestehende Sicherheitsniveau aufrechtzuerhalten und fortlaufend zu verbessern, sollten alle Sicherheitsmaßnahmen regelmäßig überprüft werden.

Sowohl die korrekte Umsetzung als auch die Umsetzbarkeit eines Sicherheitskonzepts müssen regelmäßig überprüft werden. Dabei ist zu unterscheiden zwischen der Prüfung, ob bestimmte Maßnahmen geeignet und effizient sind, um die gesteckten Sicherheitsziele zu erreichen (Vollständigkeits- bzw. Aktualisierungsprüfung), und der Kontrolle, inwieweit Sicherheitsmaßnahmen in den einzelnen Bereichen umgesetzt wurden (Revision der Informationssicherheit).

Die im Sicherheitskonzept geplanten Sicherheitsmaßnahmen müssen gemäß des Realisierungsplans umgesetzt werden. Der Umsetzungsstatus muss dokumentiert werden. Zieltermine und Ressourceneinsatz müssen überwacht und gesteuert werden. Die Leitungsebene ist dazu regelmäßig zu informieren.

Diese Überprüfungen sollten zu festgelegten Zeitpunkten (mindestens jährlich) durchgeführt werden und können auch zwischendurch erfolgen. Insbesondere Erkenntnisse aus sicherheitsrelevanten Zwischenfällen, Veränderungen im technischen oder technisch-organisatorischen Umfeld sowie Änderungen von Sicherheitsanforderungen Bedrohungen erfordern eine Anpassung der bestehenden Sicherheitsmaßnahmen. Die in den einzelnen Überprüfungen ermittelten Ergebnisse sollten dokumentiert werden. Es muss zudem festgelegt sein, wie mit den Überprüfungsergebnissen zu verfahren ist, da die Informationssicherheit nur dann wirksam aufrechterhalten werden kann, wenn aufgrund der Überprüfungsergebnisse auch die erforderlichen Korrekturmaßnahmen ergriffen werden.

Es sollten auch gelegentlich unangekündigte Überprüfungen durchgeführt werden, da angekündigte Kontrollen häufig ein verzerrtes Bild des Untersuchungsgegenstands ergeben.

Kontrollen sollten vor allen Dingen darauf ausgerichtet sein, Mängel abzustellen. Für die Akzeptanz ist es wichtig, dass dies allen Beteiligten als Ziel der Kontrollen erkennbar ist und dass die Kontrollen nicht den Charakter von Schulmeisterei haben. Es ist daher sinnvoll, während einer Kontrolle mit den Beteiligten über mögliche Problemlösungen zu sprechen und entsprechende Abhilfen vorzubereiten.

Es sollte in der Behörde oder im Unternehmen festgelegt werden, wie die Tätigkeiten im Zusammenhang mit diesen Überprüfungen zu koordinieren sind. Dazu ist zu regeln, welche Sicherheitsmaßnahmen wann und von wem zu überprüfen sind, auch damit Doppelarbeit vermieden wird und keine Bereiche innerhalb einer Institution ungeprüft verbleiben.

Die vorhandenen Sicherheitsmaßnahmen sollten mindestens einmal im Jahr überprüft werden. Darüber hinaus sind sie immer dann zu prüfen, wenn

  • neue Geschäftsprozesse, Anwendungen oder IT-Komponenten aufgebaut werden,
  • größere Änderungen der Infrastruktur vorgenommen werden (z. B. Umzug),
  • größere organisatorischen Änderungen anstehen (z. B. Outsourcing),
  • die Gefährdungslage sich wesentlich ändert,
  • wenn gravierende Schwachstellen oder Schadensfälle bekannt werden.

Einhaltung des Sicherheitskonzeptes (Sicherheitsrevision)

Hierbei muss geprüft werden, ob Sicherheitsmaßnahmen tatsächlich so umgesetzt sind und eingehalten werden wie im Sicherheitskonzept vorgegeben. Hierbei ist auch zu untersuchen, ob technische Maßnahmen korrekt implementiert und konfiguriert wurden und ob alle vorgesehenen Detektionsmaßnahmen (z. B. Auswertung von Protokolldateien) tatsächlich durchgeführt werden.

Dabei kann sich zeigen, dass Sicherheitsmaßnahmen nicht umgesetzt worden sind oder dass sie in der Praxis nicht greifen. In beiden Fällen sollten die Ursachen für die Abweichungen ermittelt werden. Als mögliche Korrekturmaßnahmen kommen - je nach Ursache - in Frage:

  • organisatorische Maßnahmen sind anzupassen,
  • personelle Maßnahmen, z. B. Schulungs- und Sensibilisierungsmaßnahmen, sind zu ergreifen oder disziplinarische Maßnahmen einzuleiten,
  • infrastrukturelle Maßnahmen, z. B. bauliche Veränderungen, sind zu initiieren,
  • technische Maßnahmen, z. B. Änderungen an Hardware und Software oder Kommunikationsverbindungen und Netzen, sind vorzunehmen,
  • Entscheidungen des verantwortlichen Vorgesetzten (bis hin zur Leitungsebene) sind einzuholen.

Auf jeden Fall sollte für jede Abweichung eine Maßnahmenbehandlung vorgeschlagen werden. Außerdem sollten auch hier der Zeitpunkt und die Zuständigkeiten für die Umsetzung der Korrekturmaßnahme festgelegt werden.

Kontrollen sollen helfen, Fehlerquellen abzustellen. Es ist für die Akzeptanz von Kontrollen extrem wichtig, dass dabei keine Personen bloßgestellt werden oder als "Schuldige" identifiziert werden. Wenn die Mitarbeiter dies befürchten müssen, besteht die Gefahr, dass sie nicht offen über ihnen bekannte Schwachstellen und Sicherheitslücken berichten, sondern versuchen, bestehende Probleme zu vertuschen.

Im Vorfeld sollten aber auch die Reaktionen auf Verletzung der Sicherheitsvorgaben festgelegt werden. Es müssen angemessene Maßnahmen ergriffen werden, die dazu beitragen, dass sich Sicherheitsvorfälle nicht wiederholen. Dazu könnte beispielsweise die Einschränkung von Zugriffsrechten gehören.

Falls unzulässige Aktivitäten von Mitarbeitern entdeckt werden, sollte der jeweilige Vorgesetzte informiert werden, damit angemessene Konsequenzen angestoßen werden können.

Kontinuierliche Verbesserung des Sicherheitskonzeptes (Vollständigkeits- bzw. Aktualisierungsprüfung)

Das Sicherheitskonzept muss regelmäßig aktualisiert, verbessert und an neue Rahmenbedingungen angepasst werden. Es muss regelmäßig geprüft werden, ob die ausgewählten Sicherheitsmaßnahmen noch geeignet sind, die Sicherheitsziele zu erreichen. Dabei kann direkt untersucht werden, ob die eingesetzten Sicherheitsmaßnahmen effizient sind oder ob die Sicherheitsziele mit anderen Maßnahmen ressourcenschonender erreicht werden könnten.

Deshalb ist es wichtig, externe Wissensquellen, wie Standards oder Fachpublikationen, im Hinblick auf neue technische und regulatorische Entwicklungen auszuwerten. Auch Kontakte zu Gremien und Interessengruppen, die sich mit Sicherheitsaspekten beschäftigen, helfen dem IS-Management-Team, das vorhandene Wissen über sicherheitsrelevante Methoden und Lösungen zu erweitern und zu aktualisieren. Außerdem werden dabei auch wertvolle Kontakte zu anderen Informationssicherheitsbeauftragten geknüpft, um Lösungen anderer Institutionen kennenzulernen und Praxiserfahrungen auszutauschen. Es entstehen dadurch auch Wege, über die frühzeitig Warnungen über aufkommende Sicherheitsprobleme ausgetauscht werden können. Das IS-Management-Team sollte einen Überblick über thematisch passende Gremien und Interessengruppen haben und festlegen, wo sich aktive Mitarbeit anbietet und wo nur die Ergebnisse regelmäßig beobachtet und ausgewertet werden sollten.

Durchführung der Prüfungen

Entsprechend dem Prüfungszweck sind Umfang und Tiefe der Überprüfungen festzulegen. Als Grundlage für alle Überprüfungen dient das Sicherheitskonzept und die vorhandene Dokumentation des Sicherheitsprozesses.

Eine Überprüfung muss von Personen mit geeigneten Qualifikationen durchgeführt werden. Diese dürfen idealerweise jedoch nicht an der Erstellung der Konzepte beteiligt gewesen sein, um Betriebsblindheit und Konflikte zu vermeiden. Die Auditoren müssen möglichst unabhängig und neutral sein.

Jede Überprüfung ist sorgfältig zu planen. Alle relevanten Feststellungen und Ergebnisse sind in einem Bericht festzuhalten. Dieser sollte neben einer Auswertung auch Korrekturvorschläge enthalten. Der Bericht sollte dem Leiter des überprüften Bereiches sowie dem IS-Management-Team übergeben werden, die auf dieser Basis die weiteren Schritte konzipieren müssen. Schwerwiegende Probleme sollten direkt der Leitungsebene kommuniziert werden, damit weitreichende Entscheidungen zeitnah getroffen werden können.

Werden bei der Prüfung spezielle Audit- oder Diagnosewerkzeuge eingesetzt, muss ebenso wie bei der Ergebnisdokumentation sichergestellt sein, dass nur autorisierte Personen darauf Zugriff haben. Diagnose- und Prüftools sowie die Prüfergebnisse müssen daher besonders geschützt werden.

Wenn Externe an Prüfungen beteiligt sind, muss sichergestellt werden, dass keine Informationen der Institution missbräuchlich verwenden (z. B. durch entsprechende Vertraulichkeitsvereinbarungen) und dass sie nur auf die benötigten Informationen zugreifen können (z. B. durch Zugriffsrechte oder Vier-Augen-Kontrolle). Sollten sie Prüftools einsetzen, muss deren Nutzung genau geregelt werden.

Korrekturmaßnahmen

Erkannte Fehler und Schwachstellen müssen zeitnah abgestellt werden. Der identifizierte Optimierungsbedarf bei Effizienz und Effektivität von Sicherheitsmaßnahmen muss umgesetzt werden.

Aufgrund der Überprüfungsergebnisse sind Entscheidungen über das weitere Vorgehen zu treffen. Insbesondere sind alle erforderlichen Korrekturmaßnahmen in einem Umsetzungsplan festzuhalten. Die Verantwortlichen für die Umsetzung der Korrekturmaßnahmen sind zu benennen und mit den notwendigen Ressourcen auszustatten. Dabei ist in der Regel die Einbindung der Leitungsebene erforderlich.

ORP.5.M8 Regelmäßige Überprüfungen des Compliance Managements

Ebenso wie die Prozesse des Sicherheitsmanagements sollte auch das Compliance Managementund die sich aus diesem ergebenden Anforderungen und Maßnahmen regelmäßig auf Effizienz und Effektivität überprüft werden (siehe auch DER.1.3 Audits und Revisionen). Es sollte regelmäßig geprüft werden, ob die Organisationsstruktur und die Prozesse des Compliance Managementsnoch angemessen sind.

In diesem Rahmen sollte auch überprüft werden, ob die in den verschiedenen Bereichen der Institution vorhandenen Geschäftsprozesse einerseits den rechtlichen Vorgaben und andererseits den Sicherheitsanforderungen genügen.

2.3 Maßnahmen für erhöhten Schutzbedarf

Im Folgenden sind Maßnahmenvorschläge aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und bei erhöhtem Schutzbedarf in Betracht gezogen werden sollten. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Maßnahme vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

ORP.5.M9 Schutz gegen nachträgliche Veränderungen von Informationen [Informationssicherheitsbeauftragter (ISB), Benutzer](I)

Dateien, die an Dritte weitergegeben werden, können von diesen im Allgemeinen auch weiterbearbeitet werden. Dies ist nicht immer im Sinne des Erstellers. Daher sollten Daten gegen nachträgliche Veränderungen, auszugsweise Weitergabe oder Verarbeitung geschützt werden.

Häufig steht man vor dem Problem, dass Informationen über das Internet oder andere Netze Dritten zwar zur Verfügung gestellt, aber nicht hundertfach ausgedruckt oder nahtlos in andere Werke integriert werden sollen.

Hierzu gibt es verschiedene Lösungen, die teilweise auch miteinander kombiniert werden können. Beispiele hierfür sind:

  • Die Verwendung von digitalen Signaturen, um unbemerkte Änderungen an Dateien zu verhindern (siehe auch CON.1 Kryptokonzept).
  • Das Hinzufügen von Urheberrechts-Vermerken zu Informationen, wie Broschüren oder Dateien auf Webseiten. Diese können wie folgt lauten: "Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der Bestimmungen des Urheberrechtsgesetzes ohne Zustimmung des Autors ist unzulässig und strafbar." sowie "Copyright (©) 7/2016 by BSI".
  • Die Verwendung von Dateiformaten, die nachträgliche Änderungen bzw. auszugsweise Weiterverarbeitung erschweren. Hierfür kann z. B. Postscript genutzt werden oder die Sicherheitseigenschaften von Anwendungsprogrammen, z. B. bei PDF-Dateien.

Viele Anwendungsprogramme bieten Sicherheitsmechanismen an, um den weiteren Umgang mit den erstellten Dateien einzuschränken. Im Folgenden werden einige solcher Sicherheitsmechanismen am Beispiel von PDF-Dateien vorgestellt. Da die Sicherheitsmechanismen der verschiedenen Anwendungsprogramme sehr unterschiedlich ausgeprägt sind und teilweise sogar von Version zu Version variieren, ist es wichtig, die Mitarbeiter darüber zu informieren, wie diese zu benutzen sind und welche Schritte vor der Weitergabe von elektronischen Dokumenten zu beachten sind. Es ist häufig sinnvoll, einen Mitarbeiter (plus Vertreter) gründlich hierzu auszubilden. Dieser sollte dann alle weiterzugebenden Dokumente entsprechend der Sicherheitsvorgaben bearbeiten oder als Ansprechpartner zur Verfügung stehen.

Schutz von PDF-Dokumenten

PDF-Dokumente können bei der Erstellung mit Zugriffsbeschränkungen versehen werden. So kann z. B. das Öffnen, Drucken oder Kopieren von PDF-Dateien eingeschränkt werden.

Häufig sollen in einem Dokument vor dessen Veröffentlichung einzelne Passagen unkenntlich gemacht werden. Eine beliebte, aber extrem fehlerträchtige Methode ist es, Textpassagen elektronisch zu "schwärzen".
Die so übermalten Informationen sind allerdings in vielen Fällen einfach auslesbar. Daher ist dies unbedingt zu unterlassen.

  • Durch die Verwendung von kryptographischen Verfahren können PDF-Dokumente signiert oder so verschlüsselt werden, dass nur bestimmte Anwender diese benutzen können.
  • Es können PDF-Sicherheitsrichtlinien erstellt werden. Diese kann jeder Benutzer für sich erstellen oder es können von der Institution vorgegebene Sicherheitsrichtlinien verwendet werden, hierfür ist ein Adobe Policy Server erforderlich.
  • Dateischutz
    Mit Adobe Acrobat, also der verbreitetsten Anwendung, mit der PDF-Dateien erstellt und nachbearbeitet werden können, ist die Vergabe von zwei Arten von Passwörtern möglich. Die einen werden zum Öffnen des Dokuments, die anderen zum Ändern der Sicherheitsattribute benötigt. Bei der Vergabe eines Passwortes wird zunächst danach gefragt, zu welchen Programmversionen die Schutzfunktion kompatibel sein soll. Bis zur Version "Adobe 5.0 und höher" ist dabei nur eine 40-Bit-Verschlüsselung mit RC4 möglich, ab "Adobe 5.0 und höher" ist eine 128-Bit-Verschlüsselung mit RC4 und ab "Adobe 7.0 und höher" ist eine 128-Bit-Verschlüsselung mit AES vorgesehen. Es sollte darauf geachtet werden, mindestens mit 128 Bit zu verschlüsseln, da der Dokumentenschutz sonst einfach ausgehebelt werden kann.
    Über die Sicherheitsattribute können unter anderem folgende Funktionen eingeschränkt werden:

    • Öffnen des Dokuments
    • Drucken
    • Ändern des Dokuments
    • Kopieren von Texten, Bildern oder anderen Inhalte
    • Zugriff auf Metadaten eines Dokuments
    • Notizen und Formularfelder hinzufügen oder ändern

    So können sehr einfach die Rechte beschränkt werden, so dass niemand mit Cut and Paste die Inhalte einer Veröffentlichung übernehmen kann. Wenn im Extremfall sogar das Ausdrucken verhindert wird, kann die Datei nur online gelesen werden.

Es sollte genau überlegt werden, welche Metadaten die Datei enthalten soll. Hier kann es beispielsweise erwünscht sein, einer Datei eine Vielzahl von Metadaten mitzugeben, damit dieses über Suchmaschinen gefunden werden kann. Es kann aber auch sinnvoll sein, keine Metadaten weiterzugeben, beispielsweise sollte der Name des Autors entfernt werden, wenn ein Dokument anonymisiert weitergegeben werden soll.

Leider bietet dies nur einen rudimentären Schutz, da PDF-Dateien (abhängig von der Programmversion, mit der sie erstellt wurden) auch mit Programmen geöffnet werden können, die diese Sicherheitsattribute ignorieren. Solange z. B. Drucken erlaubt wird, kann das Dokument sogar jederzeit wieder in eine PDF-Datei ohne jegliche Einschränkungen verwandelt werden.

Es muss also beachtet werden, dass je nach verwendetem Anwendungsprogramm, verwendeter Version und eingestellten Optionen mit den zur Verfügung gestellten Programmeigenschaften kein ausreichender Schutz erzielt werden kann. Je nach Schutzbedarf müssen Dateien daher mit kryptographischen Verfahren signiert werden (siehe auch CON.1 Kryptokonzept).

ORP.5.M10 Klassifizierung von Informationen [Informationssicherheitsbeauftragter (ISB)] (CIA)

Grundsätzlich sollten Mitarbeiter natürlich sorgfältig mit allen Informationen umgehen. Darüber hinaus gibt es aber in vielen Bereichen Daten, die einen höheren Schutzbedarf haben oder besonderen Restriktionen unterliegen, z. B. personenbezogene, finanzrelevante, vertrauliche oder Copyright-geschützte Daten. Für diese gelten je nach ihrer Kategorisierung unterschiedliche Beschränkungen im Umgang mit ihnen. Daher ist es wichtig, alle Mitarbeiter auf die für diese Daten geltenden Restriktionen hinzuweisen (siehe auch ORP.5.A3 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen ). Die Daten sollten möglichst entsprechend gekennzeichnet werden, z. B. indem die Kategorie bei Dokumenten in der Kopf- oder Fußzeile genannt wird.

Der Schutzbedarf von Daten wirkt sich natürlich unmittelbar auf alle Medien aus, auf denen diese gespeichert oder verarbeitet werden. Daten mit besonderem Schutzbedarf können in den unterschiedlichsten Bereichen anfallen, z. B. bei Fax oder E-Mail. Es sollte also in allen Bereichen Regelungen geben, in denen auch festgelegt ist, wer solche Daten lesen, bearbeiten bzw. weitergeben darf. Dazu gehört, falls erforderlich, auch die regelmäßige Überprüfung auf Korrektheit und Vollständigkeit der Daten.

Viele Informationen, aber auch Anwendungen, unterliegen Copyright-Vermerken oder Weitergaberestriktionen ("Nur für den internen Gebrauch"). Alle Mitarbeiter müssen darauf hingewiesen werden, dass weder Dokumente, noch Dateien oder Software ohne Berücksichtigung eventueller Copyright-Vermerke oder Lizenzbedingungen kopiert werden dürfen.

Ein besonderes Augenmerk muss auch auf alle Informationen gelegt werden, die die Grundlage für die Aufgabenerfüllung bilden. Dazu gehören alle geschäftsrelevanten Daten, also z. B. diejenigen Daten, bei deren Verlust die Institution handlungsunfähig wird, die die wirtschaftlichen Beziehungen zusammenarbeitender Unternehmen beeinträchtigen können oder aus deren Kenntnis ein Dritter (z. B. Konkurrenzunternehmen) finanzielle Vorteile ziehen kann. Jede Behörde und jedes Unternehmen sollte eine Übersicht darüber haben, welche Daten als geschäftskritisch einzustufen sind. Neben den allgemeinen Sorgfaltspflichten können auch hier für diese Daten bei der Speicherung, Verarbeitung, Weitergabe und Vernichtung besondere Vorschriften und Regelungen gelten. Diese geschäftskritischen Informationen müssen vor Verlust, Manipulation und Verfälschung geschützt werden. Längerfristig gespeicherte oder archivierte Daten müssen regelmäßig auf ihre Lesbarkeit getestet werden. Nicht mehr benötigte Informationen müssen zuverlässig gelöscht werden (siehe auch CON.7 Löschen und Vernichten).

ORP.5.M11 Erhebung der rechtlichen Rahmenbedingungen für kryptografische Verfahren und Produkte [IT-Betrieb, Verantwortliche der einzelnen Anwendungen](CI)

Bevor eine Entscheidung getroffen werden kann, welche kryptographischen Verfahren und Produkte eingesetzt werden sollen, müssen eine Reihe von Einflussfaktoren ermittelt werden. Dazu können die Systemadministratoren und die Verantwortlichen der einzelnen IT-Systeme bzw. IT-Anwendungen befragt werden. Die Ergebnisse müssen nachvollziehbar z. B. in einem Kryptokonzept dokumentiert werden (siehe auch CON.1 Kryptokonzept).

Für sämtliche festgelegten Speicherorte und Übertragungsstrecken sind folgende Einflussfaktoren zu ermitteln:

  • Sicherheitsaspekte, z. B. zu erreichender Schutzbedarf und Angreiferpotential
  • Technische Aspekte, z.B. IT-Systemumfeld, Datenvolumen, Performance
  • Personelle und organisatorische Aspekte, z. B. Benutzerfreundlichkeit, Schulungsbedarf, zusätzlicher Personalbedarf
  • Wirtschaftliche Aspekte, z. B. einmalige Investitionen, laufende Kosten, Personalkosten, Lizenzgebühren
  • Einsatz von Key-Recovery-Mechanismen
  • maximale Lebensdauer der kryptographischen Verfahren
  • gesetzliche Rahmenbedingungen beim Einsatz kryptographischer Produkte

Beim Einsatz kryptographischer Produkte sind diverse gesetzliche Rahmenbedingungen zu beachten. In einigen Ländern dürfen beispielsweise kryptographische Verfahren nicht ohne Genehmigung eingesetzt werden. Daher muss untersucht werden,

  • ob innerhalb der zum Einsatzgebiet gehörenden Länder Einschränkungen beim Einsatz kryptographischer Produkte zu beachten sind (innerhalb Deutschland gibt es keinerlei Einschränkungen) und
  • ob für infrage kommende Produkte Exportbeschränkungen beachtet werden müssen.

Werden mobile IT-Systeme oder Komponenten auf Auslandsreisen eingesetzt, muss vor jedem Grenzübertritt geklärt werden, welche länderspezifischen Regelungen zu beachten sind (siehe auch CON.8 Sicherheit auf Auslandsreisen).

Es gibt allerdings nicht nur Maximalanforderungen, sondern auch Minimalanforderungen an die verwendeten kryptographischen Algorithmen oder Verfahren. So müssen z. B. bei der Übermittlung von personenbezogenen Daten Verschlüsselungsverfahren mit ausreichender Schlüssellänge eingesetzt werden.

3 Weiterführende Informationen

3.1 Wissenswertes

Hier werden ergänzende Informationen aufgeführt, die im Rahmen der Maßnahmen keinen Platz finden, aber dennoch beachtenswert sind. Derzeit liegen für diesen Baustein keine entsprechenden Informationen vor. Sachdienliche Hinweise nimmt die IT-Grundschutz-Hotline gerne unter grundschutz@bsi.bund.de entgegen.

3.2 Literatur

Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen für den Baustein "Compliance Management (Anforderungsmanagement)" finden sich unter anderem in folgenden Veröffentlichungen:

  • [19600] ISO 19600:2014

    Compliance management systems - Guidelines, International Organization for Standardization (Hrsg.), ISO/TC 309, Dezember 2014

  • [27002K18] ISO/IEC 27002:2013

    Information technology - Security technique - Code of practice for information security controls, insbesondere Kapitel 18 Compliance, International Organization for Standardization (Hrsg.), Oktober 2013

  • [GSKHM] Hilfsmittel zur Nutzung der IT-Grundschutz-Kataloge

    Bundesamt für Sicherheit in der Informationstechnik (BSI), https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Hilfsmittel/Bausteine/bausteine_node.html, zuletzt abgerufen am 15.11.2017

  • [ISFSM2.3] Standard of Good Practice for Inforation Security

    Area SM2.3 Legal and Regulatory Compliance, Information Security Forum (ISF), June 2016