Informationssicherheit – Up to Date? ISMS und IT-Grundschutz

Es exis­tiert eine Viel­zahl an ge­setz­li­chen so­wie re­gu­la­to­ri­schen An­for­de­run­gen, die sich auf diese The­men­ge­biete mit­tel- oder un­mit­tel­bar be­zie­hen. Da­ne­ben er­ge­ben sich mitt­ler­weile auch wei­tere bran­chen­spe­zi­fi­sche An­for­de­run­gen von Verbänden und Or­ga­ni­sa­tio­nen an die In­for­ma­ti­ons­si­cher­heit. Ei­nige die­ser ge­setz­li­chen An­for­de­run­gen, ne­ben dem IT-SIG, sind bspw. die EU-Da­ten­schutz­grund­ver­ord­nung, das Bun­des­da­ten­schutz­ge­setz, Ma­Risk AT 7.2, GoBD.

In­for­ma­tio­nen ge­win­nen als Wett­be­werbs­fak­tor zu­neh­mend an Stel­len­wert. Un­ter­neh­men al­ler In­dus­trien se­hen sich hin­sicht­lich der In­for­ma­ti­ons­ge­win­nung, -spei­che­rung und -ver­ar­bei­tung einem ste­ten Wan­del in Um­fang und In­ten­sität der An­for­de­run­gen ge­genüber. Am Ende des Ta­ges ist die (Güte der) In­for­ma­tion das, was den (Wert des) Un­ter­neh­mens­pro­zess aus­macht.

Wie im Aus­blick be­reits erläutert, hat die The­ma­tik In­for­ma­ti­ons­si­cher­heit un­glaub­lich an Be­deu­tung in den Un­ter­neh­men ge­won­nen. Al­ler­dings ist die Um­set­zung ent­spre­chen­der Maßnah­men wei­ter­hin das zen­trale Pro­blem bei der Ope­ra­tio­na­li­sie­rung der Vor­ha­ben. Wie steu­ere ich meine In­for­ma­tio­nen, um sie aus­rei­chend vor un­auto­ri­sier­tem Zu­griff zu schützen? Wie stelle ich si­cher, dass meine In­for­ma­tio­nen in­te­ger, also kor­rekt sind? Wo­durch habe ich gewähr­leis­tet, dass meine In­for­ma­tio­nen in aus­rei­chen­dem Maße verfügbar sind?

ISMS – Informationssicherheitsmanagementsystem

Das Ziel ist klar: Ein sys­te­ma­ti­scher An­satz, um die Si­cher­heit von In­for­ma­tio­nen zu ver­wal­ten und da­mit gewähr­leis­ten. Der Weg hierzu wird in der über­wie­gen­den An­zahl der Fälle in der Ein­rich­tung ei­nes In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tems (ISMS) nach der dafür welt­weit be­kann­ten und ebenso ver­brei­te­ten Norm ISO 27001 ge­se­hen. Diese Norm erfüllt nicht nur deut­sche Ge­setz­ge­beran­sprüche (wie z. B. u. a. von §8a BSIG (Ge­setz über das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik) ge­for­dert), son­dern ist auch in­ter­na­tio­nal an­wend­bar, ver­gleich­bar und schlüssel­bar auf wei­tere Frame­works (z. B. CO­BIT). Ein an­ge­mes­sen im­ple­men­tier­tes ISMS nach ISO 27001 deckt nicht nur die An­sprüche der Sta­ke­hol­der ab, son­dern bie­tet auch in­tern für das Un­ter­neh­men viel­fach Vor­teile (Go­ver­nance, Risk, Com­pli­ance, Mar­ke­ting).

© Abb. 1 - Informationssicherheit Governance, Risk, Compliance, Marketing

Be­vor ein ISMS zielführend im­ple­men­tiert wer­den kann, ist eine ge­naue Auf­nahme not­wen­dig, mit wel­cher Ziel­set­zung und für wel­chen An­wen­dungs­be­reich das Un­ter­neh­men plant, das Ma­nage­ment­sys­tem ein­zu­set­zen. Feh­ler im Rah­men der Im­ple­men­tie­rung können da­bei viel­fach un­ter­lau­fen:

• Lei­der wird im­mer noch eine Viel­zahl der ISMS-Im­ple­men­tie­rungs­pro­jekte als Work­shop-Ma­ra­thon auf­ge­setzt, bei dem es häufig den An­schein hat, die Qua­lität würde in di­rek­tem Zu­sam­men­hang mit der An­zahl der er­stell­ten Do­ku­mente und durch­geführ­ten Mee­tings ste­hen. Ein struk­tu­rier­tes, ef­fi­zi­en­tes Vor­ge­hen ist häufig nicht er­kenn­bar.
• Es wird ver­sucht, in unüber­sicht­li­chen Ex­cel-Ma­tri­zen die An­for­de­run­gen der ISO-Norm (meist Zei­len) mit den Bedürf­nis­sen der ein­zel­nen Pro­jekt­parts (meist Spal­ten) in Be­zug zu brin­gen.
• In der Folge ist eine spätere prag­ma­ti­sche Um­set­zung der Ar­beits­er­geb­nisse in tägli­che Be­triebs­abläufe meist nicht möglich. Folg­lich wer­den ver­meid­bare Zu­satz­auf­ga­ben zur Er­rei­chung der ISMS-An­for­de­run­gen im­ple­men­tiert.

IT-Grundschutz vs. ISMS

Ne­ben der zu­meist ver­wen­de­ten Norm ISO 27001 bie­tet auch das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) mit den IT-Grund­schutz-Stan­dards eine Grund­lage für die Ein­rich­tung von Maßnah­men zur In­for­ma­ti­ons­si­cher­heit.

Hinweis

In 2017 er­folgte eine Um­stel­lung der bis­he­ri­gen IT-Grund­schutz-Ka­ta­loge auf das neue IT-Grund­schutz-Kom­pen­dium. Zusätz­lich er­folgte u. a. eine Über­ar­bei­tung der Stan­dards. Der neue BSI-Stan­dard 200-1 enthält all­ge­meine An­for­de­run­gen an ein Ma­nage­ment­sys­tem für In­for­ma­ti­ons­si­cher­heit (ISMS). Die Aus­rich­tung er­folgte am BSI-Stan­dard 200-2 so­wie der ISO 27001:2013. Der BSI-Stan­dard 200-2 enthält ins­be­son­dere die drei Vor­ge­hens­wei­sen „Ba­sis-Ab­si­che­rung“, „Stan­dard-Ab­si­che­rung“ und „Kern-Ab­si­che­rung“ hin­sicht­lich der Um­set­zung des IT-Grund­schut­zes. Der BSI-Stan­dard 200-3 bündelt alle ri­si­ko­be­zo­ge­nen Ar­beits­schritte (vgl. dazu auch no­vus In­for­ma­ti­ons­tech­no­lo­gie, III. 2017, S. 15).

Der Be­trieb ei­nes ISMS gemäß der ISO 27001 und die Um­set­zung der Maßnah­men aus dem IT-Grund­schutz ha­ben ei­nige Schnitt­punkte, un­ter­schei­den sich aber im Be­son­de­ren in der Me­tho­dik. Während die ISO-Re­ge­lun­gen eher über­sicht­lich do­ku­men­tiert und dar­auf aus­ge­legt sind, ei­gene Ver­fah­ren und Maßnah­men zur Um­set­zung zu fin­den (ge­ne­ri­scher An­satz), sind in den Grund­schutz-Stan­dards be­reits Gefähr­dun­gen be­wer­tet und Maßnah­men kon­kret emp­foh­len (maßnah­me­nori­en­tier­ter An­satz). Ein ISO-ISMS be­darf ei­ner vollständi­gen Ri­si­ko­ana­lyse rein auf den Teil der Or­ga­ni­sa­tion, wel­cher von Wert für das ISMS ist, wo­hin­ge­gen im Grund­schutz spe­zi­ell in Be­rei­chen mit einem höheren Schutz­be­darf ent­spre­chende ei­gene Ana­ly­sen not­wen­dig sind.

Die Möglich­kei­ten von den Pro­zes­sen ab­zu­wei­chen, aber trotz­dem das ent­spre­chende Maß zur Re­du­zie­rung der Ri­si­ken zu fin­den, ist bei ISMS so­mit höher – die Grund­schutz-Stan­dards sind hier star­rer. Im Grund­schutz sind le­dig­lich in Be­rei­chen mit einem höheren Schutz­be­darf ent­spre­chende ei­gene Ana­ly­sen not­wen­dig.

Hin­sicht­lich der Um­set­zung von Maßnah­men bie­tet ein ISMS gemäß ISO-Norm be­reits nor­ma­tive Kon­troll­ka­te­go­rien, wel­che es mit in­di­vi­du­ell an­ge­pass­ter Kom­ple­xität und Tiefe mit Le­ben zu füllen gilt. Der Grund­schutz bie­tet hier­bei lei­der we­nig Fle­xi­bi­lität und ver­langt für einen um­fang­rei­chen Maßnah­men­ka­ta­log die Erfüllung ei­nes ge­wis­sen Grund-Schutz­be­darfs.

Prozess der Zertifizierung

Um auch nach außen Si­gnal­wir­kung (z. B. für Mar­ke­ting­zwe­cke, siehe Abb. 1 - In­for­ma­ti­ons­si­cher­heit Go­ver­nance, Risk, Com­pli­ance, Mar­ke­ting) zu ent­fal­ten, bie­tet sich eine Zer­ti­fi­zie­rung bei einem ak­kre­di­tier­ten Zer­ti­fi­zie­rer an. Nach un­se­rer Ein­schätzung ist der ef­fi­zi­en­teste Weg für den Zer­ti­fi­zie­rungs­pro­zess ei­nes ISMS wie folgt auf­ge­baut:

© Abb. 2 - Prozess der Zertifizierung

Exkurs - BSI-Grundschutz für Kommunen im Mai 2018 veröffentlicht

Ende Mai 2018 wurde nun aus der Zu­sam­men­ar­beit des BSI mit den kom­mu­na­len Spit­zen­verbänden Deut­scher Land­kreis­tag, Deut­scher Städte- und Ge­mein­de­bund so­wie Deut­scher Städte­tag ein spe­zi­fi­sches IT-Grund­schutz-Pro­fil für Kom­mu­nen veröff­ent­licht.

Die­ses IT-Grund­schutz-Pro­fil ba­siert auf die Ba­sis­ab­si­che­rung nach dem BSI-Stan­dard 200-2 und de­fi­niert in die­sem Zu­sam­men­hang die Min­dest­si­cher­heitsmaßnah­men, die in ei­ner Kom­mu­nal­ver­wal­tung um­zu­set­zen sind.

Ziel des Pro­fils ist es für Ver­ant­wort­li­che aus der In­for­ma­ti­ons­tech­no­lo­gie aus der ent­spre­chen­den Bran­che eine Scha­blone zu ha­ben, um den IT-Grund­schutz zur Erhöhung der In­for­ma­ti­ons­si­cher­heit ein­zu­set­zen. Das Do­ku­ment ist ab­ruf­bar über die Home­page des BSI.