computerwoche.de

Web

Richtlinien sorgen für mehr IT-Sicherheit

07.05.2004
Trotz der gestiegenen Bereitschaft, in Lösungen zum Schutz der IT zu investieren, verfügen viele Firmen über keine schriftlich fixierten Sicherheitsrichtlinien. Experten warnen, dass technische Lösungen alleine nicht ausreichen. Klare Verhaltensregeln und Verantwortlichkeiten müssten offiziell dokumentiert sein.

IT-Sicherheitsrichtlinien werden von deutschen Unternehmen stiefmütterlich behandelt. Wie die Meta Group in ihrer Studie "IT-Security im Jahr 2003 (Deutschland)" im vergangenen Jahr feststellte, haben nur knapp die Hälfte (48 Prozent) der befragten deutschen Unternehmen eine schriftlich fixierte Security Policy. "37 Prozent sind bislang untätig geblieben und haben auch keine entsprechende Planung für die Zukunft", so die Analysten, die zu dem Schluss kommen, dass sich auf diese Weise bei den Anwendern kein ausreichendes Bewusstsein für Sicherheitsfragen entwickeln kann.

Defizite bei Anwendern

Noch erschreckender ist jedoch das Ergebnis einer aktuellen Online-Umfrage der COMPUTERWOCHE: Von insgesamt 763 Antwortenden gaben knapp 80 Prozent an, dass in ihrem Unternehmen keine schriftlich fixierte Richtlinie für IT-Sicherheit existiert. Rund 17 Prozent wussten von einem solchen Werk, und etwa drei Prozent waren sich nicht sicher.

Peter Wirnsperger, Senior Manager Security Services Group beim Beratungsunternehmen Deloitte, kennt das Problem aus praktischer Erfahrung. Dennoch warnt er vor Schwarzmalerei: "Wenn ein Unternehmen keine ausformulierte IT-Sicherheits-Policy hat, heißt das noch nicht automatisch, dass es überhaupt keine Regelungen gibt - sie sind bloß nicht dokumentiert." Viele Systemadministratoren sichern seiner Schilderung zufolge die Unternehmensgrenzen völlig korrekt ab, "weil sie auf der technischen Ebene wissen, was sie zu tun haben". Ihnen fehle jedoch eine präzise Handlungsanleitung, auf die sie sich berufen können und die klar definiert, warum bestimmte Services zur Verfügung stehen müssen oder warum bei einer Firewall welche Kommunikationsports offen sein sollten.

Eine derart "dokumentierte Verbindlichkeit" vermisst Wirnsperger, dem zufolge Deutschland in dieser Hinsicht "im internationalen Vergleich hinterherhinkt". In England zum Beispiel sei die Bereitschaft zur Formulierung einer Policy wesentlich größer. Eine Richtlinie entfalte aber erst dann ihren Nutzen, wenn sie auch niedergeschrieben sei, fügt der Experte hinzu. Sonst könne sich bei einem Verstoß jeder Mitarbeiter darauf herausreden, dass er von nichts gewusst habe: "Man schafft mit einer schriftlich fixierten Sicherheitsleitlinie einfach Verbindlichkeit und klare Verantwortlichkeiten." Leider halten viele Anwender Policies "für überflüssigen Papierkram".

Dieser Missstand hat aus Sicht von Michael Mehrhoff, Referent für Systemsicherheit und Grundschutz im Bundesamt für Sicherheit in der Informationstechnik (BSI), mehrere Gründe: "Für viele Unternehmen ist IT-Sicherheit noch ein Randthema, das lästige Zusatzaufgaben bedeutet und Kosten verursacht." Außerdem schrecke die Komplexität des Themas ab und führe dazu, dass die Gefahren verdrängt werden. "Die betroffenen Firmen wissen oft nicht, wie sie das Erstellen einer Sicherheitsrichtlinie angehen sollen", schildert Mehrhoff.

Spricht man Anwender auf das Thema an, geben die sich zugeknöpft. Kein Wunder, denn die meisten wollen sich nicht in die Karten schauen lassen, wenn es um das Thema IT-Sicherheit geht. So auch ein Anwender bei einem großen Versicherungskonzern, der sich nur anonym äußern möchte: "Wir haben eine konzernweit gültige Security Policy, die auf Initiative der IT-Abteilung formuliert wurde, die sie auch pflegt."

Unterstützung durch das Management

Dem Spezialisten zufolge gliedert sich die Richtlinie in drei Bereiche: Im ersten werden auf etwa zehn Seiten die Leitlinien zur IT-Sicherheitspolitik vorgegeben. Dazu gehören ein Bekenntnis zur Notwendigkeit organisierter IT-Sicherheit und generelle Aussagen zum Beispiel über Gültigkeitsbereiche und Verantwortlichkeiten. Der zweite Teil enthält standort- und produktübergreifende allgemeine Vorgaben. Er ist etwa 40 Seiten stark. In einem dritten Dokument finden sich spezielle Anweisungen, die zum Beispiel den Umgang mit E-Mails regeln oder aber intern genutzte Produkte und deren Konfiguration beschreiben.

Die Vorgaben stehen den Beschäftigten in elektronischer Form zur Verfügung und können über das Intranet abgerufen werden. "Die einzelnen Sicherheitsrichtlinien haben natürlich bindenden Charakter für alle Mitarbeiter", erzählt der Fachmann, demzufolge Verstöße in Absprache mit dem Betriebsrat zu Konsequenzen führen können. Das wichtigste Ziel sei es jedoch, das allgemeine Sicherheitsbewusstsein im Unternehmen zu verbessern, damit die Inhalte der Richtlinie tatsächlich von den Mitarbeitern gelebt werden.

Eine solche Vorgehensweise ist fast schon mustergültig und keine Selbstverständlichkeit, wie BSI-Mann Mehrhoff weiß: "Wir stellen fest, dass IT-Sicherheit oft nur unter technischen Aspekten betrachtet wird. Mit dem Installieren einer Firewall und eines Virenscanners ist es jedoch nicht getan, IT-Sicherheit muss im Unternehmen gelebt werden." Förderlich sei eine Unternehmenskultur, die von verantwortungsbewusstem Handeln, Kundenorientierung und einer Identifikation mit den Unternehmenszielen geprägt sei. Eine schriftlich fixierte, für alle Mitarbeiter verständlich formulierte Security Policy könne einen wichtigen Beitrag hierzu leisten. Dabei müsse sie nicht auf jedes Detail eingehen, "drei Seiten können unter Umständen ausreichen".

Schrittweises Vorgehen

Nach Meinung des BSI sollte die Entwicklung einer Policy von der Geschäftsführung angestoßen und bis zum Ergebnis aktiv unterstützt werden. Mehrhoff geht sogar noch weiter: "Grundlage einer Richtlinie sollte eine Sicherheitsphilosophie sein, die eine Art Basis für die folgende Arbeit darstellt und von der Geschäftsführung unterstützt wird. Darauf lassen sich dann die einzelnen technischen Maßnahmen zum Schutz der IT aufsetzen."

Die Behörde empfiehlt eine Vorgehensweise, die mehrere Stufen umfasst. Zu Beginn steht dabei das schriftliche Festlegen der Gesamtverantwortung für die Sicherheitsrichtlinie und die mit ihr verknüpften Ziele und Maßnahmen. Danach ist ein Sicherheitsteam einzuberufen, das eine Policy entwickelt beziehungsweise überarbeitet, falls schon eine wie auch immer geartete Vorlage vorhanden ist. Idealerweise sollten daran Mitarbeiter verschiedener Abteilungen beteiligt sein. Als nächstes rät die Behörde, die Ziele zu formulieren, die mittels der IT-Sicherheit zu ereichen sind. Dazu gehört auch, wichtige Geschäftsprozesse zu definieren und festzuhalten, welchen Stellenwert die IT für sie besitzt.

Ziel: Gelebte Sicherheit

Auf dieser Basis lassen sich im nächsten Schritt die eigentlichen Sicherheitsleitlinien festhalten, die Angaben zu Organisationsstrukturen und Verantwortlichkeiten enthalten, Verhaltensregeln aufstellen und technische Maßnahmen detaillieren. Sind diese Aufgaben erledigt, muss die Policy veröffentlicht und in Kraft gesetzt werden. Dazu zählt laut BSI auch, die Mitarbeiter zu ihrer Einhaltung zu veranlassen.

Olaf Lindner, Leiter Consulting bei Symantec, weist auf mögliche Fallstricke beim Formulieren einer Sicherheitsrichtlinie hin: "Es gilt, den Spagat zu machen zwischen einer möglichst eindeutigen Regelung und einer, die nachher gelebt werden kann." Wenig hilfreich sei es, wenn die Richtlinien "super ausgefeilt, letztlich aber nicht umzusetzen" sind. Ein lokaler Administrator dürfe nicht vier Ordner durchforsten müssen, um die Vorgaben zu finden, die sein spezielles System betreffen.

Inhaltliche und Formulierungstipps finden sich unter anderem in dem vom BSI erstellten Grundschutzhandbuch (GSHB), das im Internet auch in einer elektronischen Ausgabe verfügbar ist. Es soll besonders im Hinblick auf Sicherheitsrichtlinien demnächst erweitert werden. Nach Erfahrung von Isabel Münch, Referatsleiterin für das GSHB, wünschen sich Anwender ausführlichere Musterrichtlinien und Beispielkonzepte auf Basis des Werkes. Aus diesem Grund wurden beim ersten IT-Grundschutztag in Köln Ende April zahlreiche neue Checklisten und Muster vorgestellt. Diese Dokumente sollen ab Mitte Mai kostenlos auf den Web-Seiten des BSI zum Herunterladen bereitstehen.

Sicherheitsexperte Lindner weist auch auf rechtliche Rahmenbedingungen wie das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) hin, deretwegen "jedes Unternehmen eine Sicherheitsrichtlinie aufstellen sollte". Eine schriftlich formulierte Policy schaffe Rechtssicherheit: "Existieren keine Vorgaben, ist das immer schlecht, denn dann entstehen rechtsfreie Räume, die Schwierigkeiten machen können", warnt der Experte.

Eine schriftliche Sicherheitsleitlinie kann auch Geld sparen. BSI-Mann Mehrhoff erklärt: "In neuen Projekten ist es extrem wichtig, dass von Beginn an auf Sicherheit Wert gelegt wird und nicht erst im Nachhinein, sonst muss man unter Umständen für sehr viel Geld nachbessern." Daher sei eine Sicherheitsleitlinie für jeden Projektleiter ein sehr wertvolles Papier, weil er sich damit einen genauen Überblick verschaffen kann, was zum Beispiel bei der Anschaffung einer Software zu berücksichtigen ist. (ave)