Einführung eines ISMS

Bundesagentur für Arbeit investiert ins Informationssicherheits-Management

Angela Recino ist Fachjournalistin in Sankt Augustin. Ihre Schwerpunktthemen sind ICT und Digitale Transformation.
Mal eben so nebenbei lässt sich ein Informationssicherheits-Management-System (ISMS) nicht einführen. Die Bundesagentur für Arbeit hat sich der Herausforderung gestellt, denn um das heiße Thema Security kommt auch die öffentliche Hand nicht mehr herum.

Die Aufmerksamkeit vieler Institutionen auf Bundes- und Länderebene ist der Bundesagentur für Arbeit (BA) gewiss, denn ein Vorhaben dieser Größenordnung hat es in diesem Umfeld bislang nicht gegeben. Schließlich geht es um die Einführung eines ISMS nach ISO 27001 auf Basis des "BSI-Grundschutzes" in einer Behörde mit mehr als 100.000 Mitarbeitern, davon allein 2100 in der IT, und mit insgesamt 160.000 vernetzten PCs.

"Ohne funktionierende Informationstechnologie wären die Geschäftsprozesse der BA nicht lebensfähig", konstatiert Eugen Bayerlein, Bereichsleiter IT-Sicherheit der BA. Er treibt die Einführung des ISMS seit August 2012 verantwortlich voran.

Die Bundesagentur für Arbeit betreibt neben drei hochverfügbar ausgelegten zentralen auch zehn vernetzte lokale Rechenzentren. Etwa 2100 IT-Mitarbeiter betreuen 10.000 Server, 16.500 Switches und Router sowie 12.5000 Auskunftsplätze. Der monatliche Output der Behörde liegt bei 36 Millionen E-Mails, 43 Millionen Druckseiten und 17 Millionen Überweisungen.
Die Bundesagentur für Arbeit betreibt neben drei hochverfügbar ausgelegten zentralen auch zehn vernetzte lokale Rechenzentren. Etwa 2100 IT-Mitarbeiter betreuen 10.000 Server, 16.500 Switches und Router sowie 12.5000 Auskunftsplätze. Der monatliche Output der Behörde liegt bei 36 Millionen E-Mails, 43 Millionen Druckseiten und 17 Millionen Überweisungen.
Foto: Bundesagentur für Arbeit

Allgemeines Interesse

Auf einen reibungslosen IT-Betrieb sind auch oder vor allem die Kunden angewiesen, die Leistungen von der Bundesagentur beziehen, beispielsweise Arbeitslosengeld, Gründermittel, Kinder- oder Übergangsgeld. Gerade wegen dieses Beitrags zum sozialen Frieden ist das allgemeine Interesse hoch, die verarbeiteten Daten und Informationen zu schützen sowie die Sicherheit der IT systematisch zu planen, zu realisieren und zu kontrollieren.

Seit Jahren sind Einrichtungen der öffentlichen Hand schon Ziel von Cyber-Attacken. Damit rechnen muss auch die Bundesagentur für Arbeit. Bereits 2006 begann die BA deshalb mit dem Aufbau einer IT-Sicherheits-Organisation sowie der Implementierung von IT-Betriebsprozessen nach dem ITIL-Standard. Der Vorstandsbeschluss, ein ISMS einzuführen, ist ein wichtiger Baustein der übergreifenden IT-Strategie. Das Ziel formuliete die BA folgendermaßen: "ein angemessenes und aktuelles Niveau der Informationssicherheit zum Schutz der Sozialdaten der Kunden, aber auch der Personal- und Geschäftsdaten gewährleisten".

Für das komplexe Vorhaben versicherte sich die größte Behörde des Bundes externer Unterstützung - von Spezialisten für Informationssicherheit unter Federführung der TÜV Rheinland I-Sec. "Insbesondere in den Bereichen Konzepte und Coaching war dieser Support wichtig, allein hätten wir das nie stemmen können", sagt Bayerlein.

"Dem Vorhaben müssen genügend Ressourcen zugeordnet werden, sonst geht es im Tagesgeschäft unter", spielt Hans-Werner Geerdts, Managing Security Consultant bei TÜV Rheinland, den Ball zurück. Sein Kollege Jörg Zimmermann, Spezialist für komplexe Projekte, übernahm die Steuerung des Beraterteams, dem zeitweilig bis zu 16 Externe gleichzeitig angehörten.

Was die Einführung eines ISMS in einem großen Umfeld wie der BA bedeutet, lassen folgende Schlüsselfaktoren ahnen:

  • Entwurf und Abstimmung von etwa 60 IT-Sicherheitsrichtlinien zu allen relevanten Themen der Informationssicherheit;

  • Erstellen von rund 160 übergreifenden, basisdienst- und verfahrensspezifischen Sicherheitskonzepten sowie Qualitätssicherung extern beauftragter IT-Sicherheitskonzepte im Rahmen outgesourcter Dienstleistungen und im Einklang mit einem IT-Gesamtsicherheitskonzept der BA;

  • Schulung von etwa 350 Mitarbeitern der BA hinsichtlich der Erstellung von IT-Sicherheitskonzepten sowie

  • Erstparteien-Audits nach BSI-Vorgehen und Mitarbeiter-Coachings.

Die acht Erfolgskriterien

Wie aus jedem Projekt, so lassen sich auch aus diesem zahlreiche "Lessons learned" mitnehmen. Die BA hat deren acht identifiziert

1. Genügend Zeit für eine Pen-Test- und Risikoanalyse einplanen:

Es gibt stets mehr Schwachstellen als angenommen. Das bewahrheitete sich auch bei der Aufnahme des Status quo in der BA. Für die Zertifizierung eines ISMS ist zudem mehr notwendig als die Erstellung von IT-Sicherheitskonzepten: Die dort festgelegten Maßnahmen müssen umgesetzt, die Menschen geschult werden. "Bloße Absichtserklärungen reichen nicht aus", warnt Chefberater Zimmermann.

2. Erreichbare Ziele definieren:

Um die Zertifizierung einer solchen Riesenbehörde auf die Machbarkeitsebene zu rücken, verlegte das Projektteam den Fokus zunächst auf ein Teilziel: die Zertifizierung des IT-Betriebs im IT-Systemhaus, dem internen IT-Dienstleister der BA. Im Anschluss geht es nun an die Zertifizierung der IT-Verfahrenslandschaft in der gesamten BA.

3. Die methodischen Grundlagen vor dem Start prüfen:

Das IT-Gesamtsicherheitskonzept sah eine Gliederung in IT-Verfahren, IT-Basisdienste und mehrfach verwendbare Bausteine vor. "Das ist für eine Behörde dieser Größenordnung und Komplexität erforderlich", sagt TÜV- Rheinland-Mann Geerdts. "Allerdings war es eine Herausforderung, diese Methodik mit den stringenten Anforderungen des BSI-Grundschutzes in Einklang zu bringen." Notwendige Anpassungen der Vorgehensweise sollten aber frühzeitig in der Organisation abgestimmt werden. Zudem ist das BSI darüber zu informieren

4. Die organisatorischen Voraussetzungen schaffen:

Damit das ISMS reibungslos in die Prozesslandschaft - idealerweise durch eine ITIL-Implementierung geprägt - integriert werden kann, müssen die IT-Betriebsprozesse einen Reifegrad erreicht haben, der Verlässlichkeit und Beständigkeit garantiert. Wird das offizielle Prozessdesign über informelle Workarounds umgangen, wie es gerne mal geschieht, so sind IT-Sicherheitskonzepte schnell Makulatur.

5. Rechtzeitig das Tool einführen:

Die Entscheidung für einen Tool-gestützten Workflow ist in diesem Fall wichtig - und zwar vor Beginn des Vorhabens. Wird das Werkzeug zu spät eingeführt, sind Synergieverluste programmiert; das Tool wird zum Blitzableiter für alle Unzulänglichkeiten und Unbequemlichkeiten in der ISMS-Einführung. Aussuchen sollte das Tool die interne IT, die ja auch damit arbeiten muss. Bestimmen nicht die Fachleute, sondern der Einkauf die Auswahl der Software, wird es am Ende teurer - die Opportunitätskosten durch einen Motivationsverlust innerhalb der IT gar nicht mitgerechnet.

6. Nicht ohne meinen Vorstand:

Die viel zitierte Management-Awareness ist ein zentraler Erfolgsfaktor für die Einführung eines ISMS. "Die Entscheidung, Informationssicherheit zu gewährleisten, muss von allen akzeptiert sein", bestätigt Bereichsleiter Bayerlein: "Dazu müssen die Vorteile transparent kommuniziert werden, damit wiederum die Führungskräfte das Vorhaben überzeugend in die Belegschaft tragen können." Das mit der ISMS-Einführung verbundene Veränderungs-Management lässt sich nur durchsetzen, wenn die Führungskräfte vorangehen.

7. Kommunikation mit allen Beteiligten:

Eine Herausforderung war die Koordination der vielen Akteure, die noch heute die Umsetzung des ISMS vorantreiben. Die zentrale IT (zuständig für Strategie, Anforderungs-Management und IT-Sicherheit), der operative interne Dienstleister, das IT-Systemhaus und der regionale IT-Service (RITS) sollten so früh wie möglich ins Boot geholt werden. Eine transparente Kommunikation mit allen Stakeholdern ist wichtig für das Gelingen des Projekts.

8. Aufmerksamkeit schaffen:

Flankierend entwickelte die BA eine Awareness-Kampagne zur Informationssicherheit; sie läuft bis heute. Dosiertes, aber gezieltes Infotainment am Arbeitsplatz soll die Mitarbeiter animieren, Informationssicherheit in ihren täglichen Arbeitsablauf einzuschließen. "Die Diskussion um NSA, Prism und Tempora hat das Bewusstsein in der Belegschaft zusätzlich sensibilisiert", bilanziert Bayerlein.

Die Zertifizierung nach ISO 27001 auf Basis des IT-Grundschutzes übernehmen BSI-zertifizierte Auditoren; sie ist für Ende 2014 geplant. Bis dahin ist noch einiges zu tun, aber Bayerlein ist zuversichtlich, das Ziel zu erreichen: "Mit dem Zertifikat haben wir einen unabhängigen Nachweis über das hohe Niveau der Informationssicherheit in der BA, also dafür , dass wir die uns anvertrauten Daten und Informationen so gut wie mögli

BSI-Grundschutz

  • Mit dem "Grundschutz" stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Werkzeugkasten und erprobte Methoden zur Verfügung.

  • Sie buchstabengetreu umzusetzen ist für Organisationen und Unternehmen mit hochkomplexen Kundenumgebungen aber bisweilen weder realistisch noch zielführend.

  • Auch die Bundesagentur für Arbeit musste das erkennen und die Vorgaben modifizieren. In solchen Fällen ist es jedoch notwendig, das BSI rechtzeitig vor der Zertifizierung von den Modifikationen in Kenntnis zu setzen