Bundesamt für Sicherheit in der Informationstechnik

Kapitel 8: Realisierungsplanung

8.1 Überblick

In Ihrer Institution sind alle Standard-Sicherheitsmaßnahmen umgesetzt? Sie haben festgestellt, dass auch kein weiterer Schutz für diejenigen Zielobjekte erforderlich ist, die Sie in einer ergänzenden Sicherheitsanalyse oder zusätzlichen Risikoanalysen betrachtet haben? Dann können Sie sich vielleicht überlegen, ob Sie Ihr gutes Sicherheitsniveau durch ein Zertifikat bestätigen lassen, und direkt zur Lektüre des nächsten Kapitels übergehen.

Dies ist jedoch nicht die Regel: Irgendetwas fehlt immer, seien es Lücken in den vorhandenen organisatorischen Regelungen oder mangelnde Kontrolle der geltenden Regeln, sei es fehlende Sicherheitstechnik oder unzureichender baulicher Schutz gegen Feuer, Wasser oder Diebstahl.

Insbesondere dann, wenn viele Sicherheitsmaßnahmen umzusetzen sind, ist es hilfreich, wenn Sie sich bei der Umsetzungsplanung an die folgende Reihenfolge halten:

  1. Ergebnisse sichten
    Sichten Sie zunächst die Ergebnisse des Basis-Sicherheitschecks und gegebenenfalls durchgeführter Risikoanalysen und stellen Sie die noch nicht oder nur teilweise umgesetzten Sicherheitsmaßnahmen tabellarisch zusammen.
  2. Maßnahmen konsolidieren
    Prüfen und konkretisieren Sie die Maßnahmen im Zusammenhang. Dies reduziert gegebenenfalls die Anzahl der umzusetzenden Maßnahmen.
  3. Aufwand schätzen
    Schätzen Sie den finanziellen und personellen Aufwand, der mit der Umsetzung der einzelnen Maßnahmen verbunden ist. Unterscheiden Sie dabei zwischen dem einmaligen Aufwand bei der Einführung einer Maßnahme und dem wiederkehrenden Aufwand im laufenden Betrieb.
  4. Umsetzungsreihenfolge festlegen
    Legen Sie eine sinnvolle Umsetzungsreihenfolge fest. Berücksichtigen Sie dabei sowohl die sachlogischen Zusammenhänge der einzelnen Maßnahmen als auch deren Wirkung auf das Sicherheitsniveau des Informationsverbundes.
  5. Verantwortliche bestimmen
    Entscheiden Sie, bis zu welchem Termin eine Maßnahme umzusetzen ist und wer für die Realisierung und deren Überwachung zuständig sein soll.
  6. Begleitende Maßnahmen festlegen
    Die praktische Wirksamkeit der Sicherheitsmaßnahmen hängt von der Akzeptanz und dem Verhalten der betroffenen Mitarbeiter ab. Planen Sie daher Schritte zu ihrer Sensibilisierung und Schulung ein.

Die Schritte 1, 3 und 4 können entfallen, falls nur wenige Maßnahmen zu realisieren sind oder die Maßnahmen insgesamt nur geringe personelle und finanzielle Ressourcen benötigen.