Scheinriese Sicherheitskonzept
IT-Sicherheit ist komplex und aufwendig – vor allem lenken die ganzen Dokumentationen, Richtlinien und Konzepte von der eigentlichen Arbeit ab. So empfinden es zumindest viele CIOs und CISOs. Aber ist das wirklich so? Unsere BSI-Autorin geht der Frage nach und macht Vorschläge, wie sich das ändern lässt.
Gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) äußern Anwender häufig, dass Informationssicherheit nicht umgesetzt werden könne, weil „viel zu viel Dokumentation erforderlich sei“ und keine Ressourcen mehr vorhanden seien, um die „eigentlichen“ Sicherheitsmaßnahmen durchzuführen, wie beispielsweise Patches einzuspielen.
Daher wollen wir im Folgenden kurz aufzeigen, welche typischen Aussagen wir über die Umsetzung von Informationssicherheit zu hören bekommen und welche Missverständnisse diesen zugrunde liegen:
- „ISMS – allein das Wort ‚Informationssicherheitsmanagementsystem‘ ist ja schon so lang! Das ist doch viel zu viel Aufwand. Wenn es brennt, möchte ich einfach nur schnell löschen und nicht vorher noch Prozesse aufsetzen und Papiere erstellen müssen.“
- „IT-Grundschutz, ISO 27001, Nachweise nach § 8a BSIG – oder andere Vorgaben, die hier beliebig ergänzt werden können, fordern alle zu viel Dokumentation. Das ist alles viel zu aufwendig und bindet technisches Personal, das mit Schreiben beschäftigt ist, ohne eine einzige Sicherheitsmaßnahme in die Praxis umgesetzt zu haben.“
Ja, tatsächlich ist auch Dokumentation nötig, um Informationssicherheit erfolgreich und ganzheitlich implementieren zu können, ebenso wie transparente Prozesse und Vorgaben. Auch bei der Umsetzung von einfachen technischen Maßnahmen ist es erforderlich, sich dazu kurz zurückzulehnen und zu überlegen, für was und mit welchen Rahmenbedingungen sie umgesetzt werden sollen, also mit welchen Parametern. So ist ein Backup nur dann sinnvoll, wenn vor der Durchführung zumindest geklärt wird,
- für welche Speicherbereiche,
- für welche Daten,
- wie oft,
- wo die Backups gespeichert werden,
- wie die Wiederherstellung erfolgen kann.
Allein um ein Backup erstmalig konfigurieren zu können, müssen die Verantwortlichen diese und diverse weitere Punkte festlegen. Damit sie die Arbeit nicht eine Woche später erneut machen müssen, sollten sie die Antworten notieren und so ablegen, dass die Kolleginnen und Kollegen damit weiterarbeiten können. Damit ist bereits ein erstes Konzept erstellt, auf dem der oder die Sicherheitsbeauftragte aufbauen kann.
Missverständnisse um Begriffe wie Konzept, Richtlinie oder Dokumentation
Oft gibt es Irrtümer um Begriffe wie Konzept, Richtlinie oder Dokumentation. Die am häufigsten geäußerten Vorstellungen hierüber sind „umfangreich, komplex, schwierig zu verstehen, nur für Audits erforderlich“. Der ein oder andere Punkt mag leider für einige (schlechte) Beispiele aus der Praxis der Angesprochenen zutreffen – das muss aber nicht so sein.
Wie lang muss ein Konzept sein?
Um zu beleuchten, was mit diesen Begriffen im Umfeld Informationssicherheit gemeint ist, hilft ein Blick in die ISO/IEC 27001 [1]. Der internationale Standard ISO/IEC 27001 sagt dazu am Beispiel „information security policy“ Folgendes:
„5.2 Policy
Top management shall establish an information security policy that:
a) is appropriate to the purpose of the organization;
b) includes information security objectives (see 6.2) or provides the framework for setting information security objectives;
c) includes a commitment to satisfy applicable requirements related to information security; and
d) includes a commitment to continual improvement of the information security management system.
The information security policy shall:e) be available as documented information;
f) be communicated within the organization;
and
g) be available to interested parties, as appropriate.“
Hier steht nicht, dass eine Policy, also eine zu erstellende Richtlinie, eine Mindestlänge aufweisen muss. Im Gegenteil, die Aussage ist, dass sie für die Zwecke der Institution angemessen sein sollte. Gute Sicherheitsrichtlinien und gute Sicherheitskonzepte sind nur so lang wie notwendig und bilden das Wesentliche ab.
Warum brauche ich so viele Konzepte?
Und nun kommen wir zum Plural: Standards wie die ISO/IEC 2700x-Reihe oder der IT-Grundschutz fordern aus Sicht vieler Anwender eine Vielzahl von unterschiedlichen Konzepten, Richtlinien oder Dokumentationen („topic-specific policy“), also eine Unmenge Papier, falls sie ausgedruckt würden. Dazu gehören spezifische Konzepte beispielsweise zu Backups, Patches oder Zugangskontrolle.
Aber das lässt sich durch ein paar Maßnahmen reduzieren:
- Es muss nicht hunderte einzelne Dokumente geben, man kann sie zusammenfassen.
- Sofern es sich nicht um spezielle Notfalldokumentation handelt, müssen Konzepte, Richtlinien und andere Dokumentationen nicht notwendigerweise in Papierform vorgehalten werden. Wichtig ist stattdessen, dass die adressierten Rollen leicht darauf zugreifen können und dass sich die Unterlagen problemlos aktualisieren lassen.
- Es gibt keinen vorgegebenen Mindestumfang. Stattdessen sollten die Verantwortlichen die üblichen W-Fragen beantworten: Wer macht es? Wann wird es gemacht? Welche Bereiche sind betroffen? Was wird gemacht? Wie ist vorzugehen (Prozesse oder Tools)?
Beim Erstellen von Richtlinien, Konzepten oder sonstigen Dokumentation ist es also wichtig, den Zweck und das Zielpublikum im Auge zu behalten. Typischerweise wachsen solche Dokumente im Laufe der Zeit, weil immer mehr gute Ideen, neue Randbedingungen oder das Zusammenspiel von Technik mehrerer Generationen aufgenommen werden. Dann sollten die Zuständigen überlegen, ob es nicht besser wäre, wenn sie die Dokumente auf die jeweilige Zielgruppe zuschneiden. Veraltete Inhalte sollten aus den aktuellen Unterlagen entfernt und – bei Bedarf – archiviert werden, damit sie handhabbar bleiben.
Am obigen Beispiel eines Backup-Konzeptes könnte das heißen, dass
- die Mitarbeiter eine halbe Bildschirmseite zu sehen bekommen, als Erläuterung, wie Daten in der Institution gesichert werden,
- die Administratoren für Backups ein Script verwenden, in dem die notwendigen Schritte und Einstellungen mit Kommentaren dokumentiert sind,
- CISO und CIO die Übersicht über alle Beschlüsse und Teilkonzepte jederzeit einsehen können,
- Auditoren so viel Dokumentation vorfinden, dass die internen Prozesse für sie nachvollziehbar sind.
Damit das keinen zusätzlichen Arbeitsaufwand verursacht, sollte bei der Erstellung von Konzepten und Richtlinien immer modular gedacht und agiert werden. Mit den heutigen Tools ist es einfach, Texte so zu gestalten, dass durch einen modularen Aufbau und geeignetes Tagging die relevanten Textpassagen zur jeweiligen Zielgruppe, IT-Systemen oder Bedarfen zugeordnet werden können.
Insgesamt ist es wichtig, beim Erstellen von Konzepten die Zielsetzung im Auge zu behalten und die Dokumente ressourcenschonend für alle Rollen zu schreiben, also angemessen, zielgruppengerecht, übersichtlich und effizient.
ISMS
Beim Stichwort Informationssicherheitsmanagementsystem (ISMS) sind – ähnlich wie bei der Thematik Konzeption – häufig als spontane Einwürfe zu hören, das sei alles viel zu aufwendig, die Zuständigen müssten sich um die bestehenden Sicherheitsdefizite kümmern und es würde Jahre dauern, ein ISMS aufzubauen. Richtig ist, dass Informationssicherheit ein kontinuierlicher Prozess ist, der nicht abgeschlossen ist, sondern im Laufe der Zeit immer weiter verfeinert wird. Richtig ist auch, dass aktuelle Sicherheitslücken schnellstmöglich geschlossen werden sollten, aber nicht unkoordiniert oder gar unwissend.
Wie jeder andere Prozess auch muss Informationssicherheit in einer Institution zunächst etabliert und dann sukzessive weiter ausgebaut werden. Hierzu gibt es verschiedene Grundlagen, Empfehlungen und Unterstützungsmöglichkeiten. Grundlagen finden sich beispielsweise in den bereits erwähnten Standards ISO/IEC 27001/2 oder dem IT-Grundschutz.
Am Anfang steht immer, dass in der Institution die Bedeutung von Informationssicherheit erkannt wird, zum Beispiel weil die Bedrohungslage dies nahelegt oder weil sich Sicherheitslücken gehäuft haben. Das nachhaltige Beseitigen von Defiziten wird nur gelingen, wenn die Leitungsebene dem Thema Informationssicherheit die notwendige Priorität und die notwendigen Ressourcen zuweist. Das ist genau eine der wesentlichen Zielsetzungen des ISMS. Die Leitungsebene muss mit den nötigen Informationen versorgt werden, um sachgerechte Entscheidungen zur Informationssicherheit treffen zu können. Durch eine geeignete Aufgaben-/Ressourcenzuweisung und Festlegung von Prozessen sorgt sie auf dieser Grundlage dafür, dass ein angemessenes Sicherheitsniveau erreicht wird.
Aus dieser Zielsetzung ergeben sich die wesentlichen Anforderungen eines ISMS praktisch automatisch. Dazu gehören beispielsweise:
- Die Leitungsebene muss Informationssicherheit fordern und fördern.
- Die Leitungsebene muss informierte Entscheidungen treffen.
- Die Leitungsebene muss Ressourcen, Prozesse und Rollen festlegen.
- Es muss klar sein, wer sich um die Informationssicherheit kümmert.
- Die Mitarbeiterinnen und Mitarbeiter müssen wissen, was für Informationssicherheit zu tun ist.
Daraus wird bereits ersichtlich, dass ein ISMS keine Raketenwissenschaft ist. Wichtig ist, den Prozess Informationssicherheit aufzusetzen und zu starten. Dafür gibt es auch unterschiedliche Unterstützungsmöglichkeiten.
So finden sich im Umfeld des IT-Grundschutzes nicht nur verschiedene Hilfsmittel wie Anleitungen oder Praxisleitfäden für spezifische Zielgruppen oder Branchen, sondern auch Schulungs- oder Beratungsangebote.
Daneben ist es für Informationssicherheitsverantwortliche auch sinnvoll, sich mit ihrer Community auszutauschen. Das kann zum Beispiel über Arbeitskreise von Branchenverbänden erfolgen, über Treffen wie die IT-Grundschutz-Tage oder auch über die Allianz für Cyber-Sicherheit, eine kooperative Plattform, auf der Unternehmen und Behörden zu aktuellen Bedrohungslagen und praxisnahen Cyber-Sicherheitsmaßnahmen ihr Wissen teilen [2].
Natürlich benötigt ein ISMS auch Ressourcen. Diese sind hier aber effektiv und nachhaltig investiert und rentieren sich bereits mittelfristig, wenn beispielsweise nicht mehr ohne Plan ständig Sicherheitslücken hinterhergerannt wird, Backups im entscheidenden Moment nicht vorhanden sind oder Geschäftsprozesse nicht mehr laufen.
Fazit
Durch Begriffe wie Konzept, Richtlinie oder Dokumentation sollten sich Anwender weder beunruhigen noch abschrecken lassen. Informationssicherheit einschließlich ISMS ist mit realistischem Aufwand machbar. Dokumentation hilft – denn jeder will mal in den Urlaub fahren.
Wie viel ein Unternehmen von den immer knappen Ressourcen in Grundlagenarbeit oder Lückenschließen steckt, muss es von den aktuellen Rahmenbedingungen abhängig machen. Informationssicherheit bedeutet Aufwand – Digitalisierung ohne Informationssicherheit funktioniert aber nicht!
Isabel Münch ist Fachbereichsleiterin OC 3 „IT-Sicherheitslage“ im Bundesamt für Sicherheit in der Informationstechnik.
Literatur
[1] ISO/IEC 27001:2022 Information technology – Security techniques – Information security management systems – Requirements, www.iso.org/standard/27001
[2] Webseite der Allianz für Cyber-Sicherheit, www.allianzfuer-cybersicherheit.de
[3] Bundesamt für Sicherheit in der Informationstechnik (BSI): Managementsysteme für Informationssicherheit (ISMS), BSIStandard 200-1, Version 1.0, Oktober 2017, www.bsi.bund.de/grundschutz
[4] Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutz-Methodik, BSI-Standard 200-2, Version 1.0, Oktober 2017, www.bsi.bund.de/grundschutz
[5] Bundesamt für Sicherheit in der Informationstechnik (BSI): Risikoanalyse auf der Basis von IT-Grundschutz, BSI-Standard 200-3, Version 1.0, Oktober 2017, www.bsi.bund.de/grundschutz
[6] Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz-Kompendium, Bundesanzeiger Verlag, ISBN 3-88784-915-9, Loseblatt-Sammlung mit regelmäßiger Erweiterung und Aktualisierung, und online unter www.bsi.bund.de/grundschutz