Informationssicherheit ist kein IT-Projekt

Mit der Verabschiedung des IT-Sicherheitsgesetzes hat die Bundesregierung einen Rahmen für Betreiber kritischer Infrastrukturen vorgegeben. Doch generell ist das Thema nicht neu und die Notwendigkeit eines hohen IT-Sicherheitsniveaus wird durch die Einführung digitaler Geschäftsprozesse bei Energieversorgern noch verstärkt. Mit dem BSI-Grundschutz und dem ISO 27001 liegen schon seit längerem konkrete Spezifikationen für IT-Sicherheit vor, die allgemein anwendbar sind. Wie aber nun diese sinnvoll umsetzen? Zur Beantwortung dieser Frage zieht der Autor Andreas Liefeith, Leiter Marketing und Partnervertrieb procilon GROUP, Erfahrungen aus laufenden bzw. abgeschlossenen Projekten heran.

Der Wunsch, Informationen in digitaler Form zu erzeugen, zu verarbeiten und über lange Zeiträume aufzubewahren, wird durch eine Vielzahl von Triebkräften erzeugt. Exemplarisch seien hier nur die Beschleunigung von Geschäftsprozessen durch Digitalisierung und die Bewahrung von „analog vergänglichen“ Informationen, Urkunden oder Kulturgütern genannt. Die Risiken, die sich aber aus der digitalen Informationsverarbeitung ableiten, resultieren durchaus aus deren Vorteilen, nämlich aus der Möglichkeit des schnellen und einfachen Transports und den leichten und vielfältigen Verarbeitungsmöglichkeiten. Themen wie unbefugte Benutzung elektronischer Identitäten sind weitere wesentliche Risikofaktoren.

Speziell Informationen in durchgängig digitalen Geschäftsprozessen stellen sowohl unter wirtschaftlichen, juristischen als auch unter ideellen Aspekten schützenswerte digitale Objekte dar. Neben potentiellen Angriffen von „außen“ auf kritische Infrastrukturen ergeben sich hierbei aus komplexer werdenden Portallösungen und dem medienbruchfreien digitalisierten Datenaustausch mit Kunden und Lieferanten weitere Sicherheitsrisiken.

Die Gefahren der wachsenden Cyber-Kriminalität, gesetzliche Anforderungen und Richtlinien sowie andere Einflüsse auf den Geschäftsbetrieb zwingen also zur Einführung angemessener Sicherheitsstandards. Ganz besondere Aufmerksamkeit sollte der Verarbeitung personenbezogener Daten und der Gefahr von Datenverlusten und Datenmissbrauch gewidmet werden. Hier kommt zusätzlich das Bundesdatenschutzgesetz, perspektivisch die EU-Datenschutzgrundverordnung zur Anwendung.

Zur Erfüllung der speziellen Anforderungen aus dem IT- Sicherheitsgesetz werden Zertifizierungen nach BSI-Grundschutz, DIN ISO 27001 notwendig sein. Aber selbst wenn eine direkte Zertifizierung nicht notwendig ist, ist für eine hohe Informationssicherheit ein Vorgehen nach den oben genannten Sicherheitsstandards sinnvoll. Die Rahmenbedingungen sind also definiert und es ist an der Zeit zu handeln.

Um überhaupt geeignete und vor allem sinnvolle Maßnahmen zur Verbesserung der Informationssicherheit ergreifen zu können, muss man sich eingangs über die Schutzziele in den Teilbereichen Klarheit verschaffen:

• Verfügbarkeit

Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet werden.

• Authentizität

Echtheit und Glaubwürdigkeit einer Person oder eines Dienstes müssen überprüfbar sein.

• Vertraulichkeit

Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung.

• Integrität

Daten dürfen nicht unbemerkt verändert werden, resp. es müssen alle Änderungen nachvollziehbar sein.

Um nun das geforderte oder selbst festgelegte Maß an Informationssicherheit zu erreichen, müssen die Anforderungen an die Informationssicherheit präzise definiert, die dafür eingesetzten IT-Systeme und Dienste analysiert, der Schutzbedarf festgestellt und notwendige Maßnahmen abgeleitet werden. Der erreichte Stand ist zu dokumentieren und kontinuierlich fortzuschreiben.

• Definition der Ziele: Was soll durch Informationssicherheit erreicht werden?
• Definition Informationsverbund: Welche Bereiche sind dabei zu betrachten?
• Strukturanalyse: Welche Merkmale haben die betroffenen Objekte?
• Schutzbedarfsfeststellung: Welcher Schutzbedarf ergibt sich aus den Gefährdungen?
• Modelling: Welche Gruppen können aus den Objekten gebildet werden?
• Basissicherheitscheck: Welcher Stand der Informationssicherheit wurde erreicht?
• Ergänzende Sicherheitsanalyse: Welche Objekte haben einen erhöhten Schutzbedarf?
• Risikoanalyse: Gibt es Objekte, für die Standardmaßnahmen nicht reichen?
• Realisierung: Welche Maßnahmen sind mit welcher Priorität umzusetzen?
• Revision: Wurden die Ziele in der Informationssicherheit erreicht?

Wie andere Geschäftsprozesse auch, muss die Informationssicherheit als kontinuierlicher Managementprozess mit den Hauptkomponenten Analyse – Planung – Umsetzung– Revision betrachtet und als Informationssicherheits-Management-System (ISMS) beschrieben werden. Um dieses Kontinuum aber erst einmal in Gang zu setzen, bedarf es eines Projektes zur Einführung von IT-Sicherheitsstandards und einer disziplinierten Dokumentation. In der Praxis hat sich bei der Einführung ein strukturiertes Vorgehen nach folgenden Stufen bewährt:

Projekt zur Einführung von IT-Sicherheitsstandards

Projekt Unterstützung – Projektdurchführungs-Begleitung:

• Definition der Ziele – Workshop „Definition“
• Definition Informationsmaterial 
• Strukturanalyse – Workshop „Status I“
• Schutzbedarfsfestellung
• Modelling
• Basissicherheitscheck
• Ergänzende Sicherheitsanalyse  – Workshop „Status n“
• Risikoanalyse
• Realisierung – Workshop „Infrastruktur“
• Revision – Workshop „Revision“

Beim Thema Dokumentation im Rahmen eines ISMS kann auf Empfehlungen des BSI zurückgegriffen werden. Generell gilt: Wer gut dokumentiert, ist auch beim Thema IT-Sicherheit auf dem richtigen Weg. Nur so lässt sich aus zuvor erhobenen und dokumentierten Richtlinien und Konfigurationsdaten eine IT-Sicherheitsrichtlinie und im Weiteren ein Sicherheitskonzept erstellen. Und ganz nebenbei ist man bei der Auswahl des richtigen Dokumentationswerkzeuges auf eine Zertifizierung nach BSI-Grundschutz oder ISO 2700x optimal vorbereitet, wenn generierte Referenzdokumente den Berichten des Auditors entsprechen.

Unabhängig von der Notwendigkeit einer Zertifizierung ist eine hohe Informationssicherheit für Energieversorger nach den Standards ISO-2700x oder BSI-Grundschutz anzuraten. Nach der Einführung ist IT-Sicherheit als kontinuierlicher Prozess zu betrachten, der sowohl durch geeignete Werkzeuge als auch organisatorisch gemanagt werden muss. Eine seriöse Betrachtung des Gesamtaufwandes ist nur nach einer erfolgten „Erstanalyse“ möglich. Bei der Umsetzung gilt: sinnvoll ist diese, wenn die Balance zwischen sicherheitsrelevanten Vorgaben und reibungslosen Geschäftsprozessen im täglichen IT-Betrieb gewahrt bleibt. Der einzelne Mitarbeiter ist als kritischer Erfolgsfaktor in den Prozess einzubeziehen und gestaltet ihn mit. Damit ist Informationssicherheit mehr als ein temporäres IT-Projekt!

Seit 2012 ist Herr Andreas Liefeith für die Tauchaer procilon GROUP tätig. Dort verantwortet er das strategische Marketing und das Partnergeschäft des mittelständischen Softwareentwicklers.