Der Weg zur Zertifizierung ist relativ strikt vorgegeben und überschneidet sich in einigen Teilen mit der herkömmlichen ISO 27001. Zunächst sind in einer Sicherheitsleitlinie (Security Policy) die Kernpunkte der Sicherheitsstrategie festzuhalten. Die Leitlinie soll kein Roman sein, sondern vielmehr in prägnanter Form auf höchstens fünf bis zehn Seiten die Grundsätze zur Informationssicherheit vermitteln.
Foto: Stanislav Wittmann
Foto: Arcady - Fotolia.com
Die Policy enthält Compliance-Prinzipien wie das Bekenntnis der Geschäftsführung zur Informationssicherheit oder den Beitrag der Mitarbeiter, Sicherheitsvorfälle und Verletzungen der drei Grundwerte zu melden. Dann beginnt die Dokumentation. Alle Räume, Systeme und die darauf laufenden Anwendungen sind tabellarisch zu protokollieren. Das heißt konkret, dass beispielsweise in einem Großraumbüro Computer derselben Anwendung zu protokollieren sind. Das können Rechner der Finanzabteilung, der IT oder der Geschäftsführung sein. Auch Faxgeräte, Multifunktionsdrucker und Server sind zu berücksichtigen. Nicht zu vergessen Smartphones, Tablets und selbst Computersysteme in Fahrzeugen. Neben der tabellarischen Auflistung soll ein Netzplan helfen, die Vernetzung der Systeme eines Unternehmens zu durchschauen. Das alles erfolgt unter dem Oberbegriff "IT-Strukturanalyse".
Anschließend erfolgt die Schutzbedarfsfeststellung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt drei Schutzbedarfskategorien vor: normal, hoch und sehr hoch. Mit der Einstufung "sehr hoch" sollten Unternehmen vorsichtig umgehen, weil diese einen oft unverhältnismäßig hohen Aufwand bedeutet und schnell viel Geld verschlingen kann.
Die Schutzbedarfsfeststellung erfolgt zunächst allgemein bezogen auf die drei Grundwerte der Informationssicherheit. Das kann in der Praxis folgendermaßen aussehen:
Grundwert Vertraulichkeit
Der Grundwert Vertraulichkeit hat das Ziel, dass Informationen (beispielsweise personenbezogene Daten) nicht in falsche Hände fallen dürfen. Es gibt folgende Abstufungen:
Schutzbedarf normal: Bei Verstoß drohen allenfalls geringfügige juristische Konsequenzen.
Schutzbedarf hoch: Verstöße beeinträchtigen das informationelle Selbstbestimmungsrecht und haben beträchtliche juristische Konsequenzen.
Schutzbedarf sehr hoch: Verstöße würden zu existenzbedrohenden Konsequenzen des Unternehmens führen (beispielsweise öffentlicher Zugang von Patientendaten in einer Privatklinik).
Grundwert Integrität
Der Grundwert Integrität verfolgt das Ziel, dass Informationen nicht verfälscht werden dürfen (beispielsweise bei Angeboten oder Rechnungen). Es gibt folgende Abstufungen:
Schutzbedarf normal: Bei Verfälschung ist der Schaden kleiner 5000 Euro
Schutzbedarf hoch: Verfälschungen verursachen einen Schaden zwischen 5000 und 50.000 Euro.
Schutzbedarf sehr hoch: Verfälschungen führen zu einem Schaden von über 50.000 Euro.
Grundwert Verfügbarkeit
Der Grundwert Verfügbarkeit verfolgt das Ziel, dass Informationen abrufbar sein müssen (was beispielsweise bei einem Server-Totalausfall nicht mehr der Fall ist). Es gibt folgende Abstufungen:
Schutzbedarf normal: Eine Ausfallzeit über drei Tage ist tolerierbar und verursacht einen Schaden von maximal 5000 Euro.
Schutzbedarf hoch: Eine Ausfallzeit über 24 Stunden verursacht einen Schaden von über 5000 Euro.
Schutzbedarf sehr hoch: Bereits eine Stunde Ausfallzeit bedroht die Existenz des Unternehmens, bei einem Schaden von über 100.000 Euro.
Nach der allgemeinen Schutzbedarfsfeststellung gilt es, die Anwendungen, Systeme und schließlich die Räume zu klassifizieren. Hier ist es wichtig, logisch abzuleiten. Das heißt: Verwaltet ein Server eine hochverfügbare Datei, so sollten man nicht am Kühlsystem oder an der Dimensionierung des Servers sparen. Denn logischerweise ist auch der Server als hochverfügbar einzustufen.
- Vorbereitung des Zertifikats
Wie lässt sich die Sicherheit der IT systematisieren? Ein zertifiziertes ISMS hilft, die Risiken zu verringern und die Verfügbarkeit der Systeme zu verbessern. - Management einbeziehen
Da die Norm eine Ableitung aller operativen Maßnahmen auas Management-Entscheidungen (Security Policiy, Risikoakzeptanz etc.) fordert, fällt ein fehlendes Commitment des Managements im Verlauf der Verzifisierung sicher auf. - Belegschaft sensibilisieren
Jeder Einzelne muss beispielsweise die durch die Security Policy bestimmte Werte verinnerlichen und auf den eigenen Bereich anwenden können. Findet dieser Transfer nicht statt, macht sich das spätestens in einem Audit bemerkbar. Ein erfolgversprechendes Rezept ist es, Aufgaben an einzelne Unterstützer in der Belgschaft zu vergeben. - Anwendbarkeit und Risikoakzeptanz definieren
Bei der Festlegung des Anwendungbereichs sind die jeweiligen finanziellen Mittel und andere Ressourcen zu berücksichtigen. Daraus erwachsende Entscheidungen zu Sicherheitsniveaus und -maßnahmen müssen bewusst getroffen, dokumentiert und kommuniziert werden. - Realistische Zeitpläne
Mit der Umsetzung der letzen Maßnahme ist ein Unternehmen noch nicht zertifizierbar. Tatsächlich ist in erster Linie nachzuweisen, dass die Maßnahmen auch gelebt werden. Man sollte daher frühzeitig mit der Dokumentation der Maßnahmen beginnen und sie regelmäßig intern auf Vollständigkeit prüfen. - Pragmatische Ziele statt Perfektion
Maßnahmen können und dürfen schrittweise implementiert werden, besonders dann, wenn eine von vornherein perfekte Lösung die Organisation überfordern würde. Der Nachweis eines aktiv gelebten kontinuierlichen Verbesserungsprozesses ist besser als die Präsenation perfekter Einzellösungen auf einer nicht tragbaren Basis. - Bewährtes einbetten
Kein Unternehmen beginnt im Hinblick auf IT-Sicherheisaspekte mit einer grünen Wiese. Die vorhandenen, oft aus pragmatischen Erwägungen enstandenen Maßnahmen lassen sich direkt in die Risikoanalyse aufnehmenund so rechtfertigen sowie unterfüttern. - Synergien nutzen
Einige der durch ISO 27001 vorgegebenen Anforderungen finden sich auch in anderen Normen wieder. Es sollte daher geprüft werden, ob bestimmte Themen nicht übergreifend behandet werden können oder bereits erledigt wurden.
Daraus lässt sich auch ableiten, dass der Server nicht in einer Besenkammer stehen darf. Also sollte ein hierfür vorgesehener Serverraum über mindestens dieselben Anforderungen wie der Server selbst oder die darauf laufende Anwendung verfügen. Das BSI verwendet hierfür den Begriff des "Maximierungsprinzips". Weitere Prinzipien zur Festlegung des Schutzbedarfs lassen sich beim BSI nachlesen.
Modellierung und Basis-Sicherheitscheck
Das BSI verfügt über drei Grundschutzkataloge (GS-Kataloge): "Bausteine", "Gefährdungen" und "Maßnahmen". Nachdem alles klassifiziert ist, erfolgt die so genannte Modellierung mit den Bausteinen, die bereits in fünf Schichten sortiert sind.
Konkret kann die Modellierung folgendermaßen ablaufen: Da Datenverluste existenzbedrohend für Unternehmen sein können, sollen Datensicherungen vorgenommen werden - auf Basis des Bausteins B. 1.4 - Datensicherungskonzept. Zielobjekt wären alle Datenträger, bei denen das Unternehmen im Falle eines Datenverlustes in die Röhre schaut. Verfügt die Firma weiterhin über einen Serverraum, so wird hierfür der Baustein B 2.4 auf diesen angewendet. Aus diese Weise lassen sich Bausteine aller fünf Schichten auf Anwendungsbedarf prüfen.
Im Anschluss folgt ein zeitintensiver Part, der Soll-Ist-Vergleich - im Fachjargon auch als Basis-Sicherheitscheck bezeichnet. Dabei wird jeder Baustein auseinander genommen und die darin enthaltenen Maßnahmen auf deren Umsetzungsgrad geprüft. Bleiben wir an dieser Stelle beim Baustein B. 2.4 Serverraum. Jeder Baustein enthält neben potenziellen Gefahren auch Schutzmaßnahmen. So enthält der Baustein Serverraum neben Gefahren wie Feuer, Sabotage oder Ausfall der Stromversorgung auch Gegenmaßnahmen, welche das Risiko der Gefahren mindern sollen.
Beim Serverraum beispielsweise gibt es 16 Maßnahmen. Einige davon, wie ein Rauchverbot oder die angepasste Aufteilung der Stromkreise, sollten obligatorisch sein. Jede Maßnahme der ausgewählten Bausteine wird auf ihren Umsetzungsgrad hin geprüft. Wichtig für die Zertifizierung: Den Maßnahmen sind so genannte Siegelstufen in Form von Buchstaben zugeteilt - A, B, C, W oder Z. Für die Zertifizierung sind grundsätzlich Maßnahmen der Stufen A, B und C erforderlich. Prinzipiell lässt sich sagen: Je früher der Buchstabe im Alphabet, desto elementarer die Maßnahme. So stellt ein Rauchverbot im Serverraum die Siegelstufe A dar, während Redundanzen der technischen Infrastruktur als Z-Maßnahme eingestuft und nicht zwingend für eine Zertifizierung erforderlich sind.
Für die Zertifizierung sind vom BSI 82 Prozent an erfüllten Maßnahmen als Richtwert vorgegeben. Dabei steht die Sinnhaftigkeit der Maßnahmen im Vordergrund - nicht die relative Prozentangabe. Es gilt: Wer schreibt, bleibt. Das Unternehmen ist nicht verpflichtet, alle Maßnahmen umzusetzen, wenn es plausible Begründungen vorlegen kann. Eine produktive Kommunikation mit dem Auditor kann erhebliche Ressourcen sparen.
Wie Andreas Teuscher, Vorstandsmitglied der ISACA Germany Chapter e.V. und ISO 27001 Lead Auditor zu bedenken gibt, sollten die Auditees zwei Punkte nicht aus den Augen verlieren: "Zum einen muss das BSI-Auditierungsschema, also das besondere Vorgehen, beachtet werden. Zum anderen sollten das Risikomanagement und vor allem die Restrisikoübernahmen Berücksichtigung finden." Dies sei besonders vor dem Hintergrund wichtig, dass das BSI bis vor kurzen keine Restrisikoübernahmen gekannt habe.