IT Sicherheit: Vorgaben, Grundschutz, Kritische Infrastrukturen (PDF)

IT Sicherheit 6 Vorgaben zur IT Sicherheit im Überblick Gesetzliche Vorgaben spielen eine entscheidende Rolle in der Cybersicherheit, in- dem sie Organisationen zu bestimmten Sicherheitsstandards und -praktiken ver- pflichten, um den Schutz von Daten und IT-Infrastrukturen zu gewährleisten. Der BSI Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet eine praxisorientierte Grundlage für Unternehmen, um diese gesetzlichen Anforderungen umzusetzen und ihre IT-Sicherheitsarchitektur systematisch zu ge- stalten. Die DIN ISO 2700x Normenreihe stellt international anerkannte Standards für Informationssicherheitsmanagementsysteme (ISMS) dar und bietet Unterneh- men einen strukturierten Ansatz, um Informationssicherheit zu managen und kon- tinuierlich zu verbessern. Das IT-Sicherheitsgesetz in Deutschland verpflichtet Be- treiber kritischer Infrastrukturen und bestimmte Unternehmen zur Umsetzung von Sicherheitsmaßnahmen und zur Meldung von IT-Sicherheitsvorfällen, wodurch eine gesetzliche Grundlage für den Schutz kritischer Systeme geschaffen wird. KRITIS be- zeichnet die kritischen Infrastrukturen, wie etwa Energieversorgung und Gesund- heit, deren Ausfall gravierende Auswirkungen auf die Gesellschaft hätte; das Gesetz verlangt von diesen Betreibern besonders hohe Sicherheitsstandards. Ergänzend dazu stärkt die NIS2 Richtlinie der Europäischen Union die Anforderungen an die Cybersicherheit für Betreiber wesentlicher und wichtiger Dienste und fordert eine bessere Zusammenarbeit zwischen den Mitgliedsstaaten. Diese Regelwerke und Standards sind eng miteinander verknüpft, da sie alle darauf abzielen, Sicherheits- lücken in der IT-Infrastruktur zu schließen und die Resilienz gegen Cyberangriffe zu erhöhen. Unternehmen, die sowohl den BSI Grundschutz als auch die ISO 27001- Normen befolgen, können sich auf eine umfassende Absicherung gegen verschie- dene Bedrohungen einstellen. Gleichzeitig müssen sie die spezifischen Anforderun- gen des IT-Sicherheitsgesetzes sowie der KRITIS und NIS2 Richtlinie beachten, wenn sie in kritischen Bereichen tätig sind. Der gesamte rechtliche und normenspezifi- sche Rahmen sorgt dafür, dass Unternehmen und öffentliche Einrichtungen in Deutschland und Europa ihre IT-Sicherheit auf einem hohen Niveau betreiben, um die digitalen Risiken zu minimieren. 6.1 BSI Gundschutz Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informations- technik (BSI) entwickeltes Rahmenwerk für Informationssicherheit, das eine syste- matische Herangehensweise zur Identifikation und Implementierung von Sicher- heitsmaßnahmen bietet. Der IT-Grundschutz unterstützt Organisationen dabei, ein Sicherheitsniveau aufzubauen, das sowohl wirtschaftlich als auch wirksam ist, und dient als Leitfaden zur Implementierung und Aufrechterhaltung eines Informations- sicherheits-Managementsystems (ISMS) nach internationalen Standards wie ISO/IEC 27001. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und- Zertifizierung/IT-Grundschutz/it-grundschutz_node.html ······················································································································ 24 IT Sicherheit Überblick über den BSI IT-Grundschutz Der IT-Grundschutz basiert auf Standard-Sicherheitsanforderungen für IT-Systeme und Geschäftsprozesse und bietet umfassende Bausteine und Maßnahmenkata- loge. Der Ansatz verfolgt das Ziel, die typischen Sicherheitsanforderungen mit an- gemessenen Maßnahmen zu erfüllen, ohne für jedes einzelne System individuelle Risikoanalysen durchführen zu müssen. Hauptbestandteile des IT-Grundschutzes: 1. IT-Grundschutz-Kompendium - Die zentrale Sammlung von Bausteinen, Gefährdungen und Maßnahmen, die IT- Systeme und Prozesse für die Informationssicherheit absichern. - Die Bausteine sind in verschiedenen Schutzbedarfskategorien unterteilt (Basis-, Standard- und erhöhter Schutzbedarf), die je nach Kritikalität der Informationen und Systeme angewendet werden. 2. BSI-Standards: - Diese Dokumente bieten Leitlinien und Empfehlungen für die Planung, Imple- mentierung und Aufrechterhaltung eines ISMS: - BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS) - BSI-Standard 200-2: IT-Grundschutz-Methodik - BSI-Standard 200-3: Risikoanalyse auf der Basis des IT-Grundschutzes 3. IT-Grundschutz-Profil: - Ein anpassbares Profil für unterschiedliche Branchen und spezifische Anwendun- gen, das auf den Grundschutzbausteinen basiert und den Weg zur Umsetzung eines ISMS vorzeichnet. 4. IT-Grundschutz-Zertifizierung: - Unternehmen und Behörden können sich zertifizieren lassen, wenn sie die An- forderungen des IT-Grundschutzes erfüllen und ein ISMS betreiben. Es gibt ver- schiedene Zertifizierungsstufen je nach Schutzbedarf und Komplexität der Organi- sation. 6.1.1 Anwendung des BSI IT-Grundschutzes Die Umsetzung des IT-Grundschutzes erfolgt in einem mehrstufigen Prozess, der sicherstellt, dass die Organisation einen strukturierten Weg zur Informationssicher- heit beschreitet. Die Schritte sind: ······················································································································ 25 IT Sicherheit 6.1.1.1 Strukturanalyse: Die Strukturanalyse gliedert sich in mehrere Schritte: 1. Bestimmung des Anwendungsbereichs (Scope): Merksatz - Zunächst wird festgelegt, welche Teile der Organisation, Geschäftsprozesse, In- formationen und IT-Komponenten durch das ISMS abgedeckt werden sollen. Dabei kann der Anwendungsbereich entweder auf das gesamte Unternehmen oder nur auf bestimmte Abteilungen, Standorte oder Systeme beschränkt sein. - Der festgelegte Scope bildet die Grundlage für alle weiteren Sicherheitsmaßnah- men und Schutzbedarfsbewertungen. 2. Identifikation von Geschäftsprozessen und IT-Strukturelementen: - Hier werden alle relevanten Geschäftsprozesse und die unterstützende IT-Infra- struktur identifiziert. Dazu gehören z. B. Server, Netzwerke, Datenbanken, Anwen- dungen, Arbeitsplätze und mobile Geräte. - Diese IT-Komponenten und Prozesse werden als Strukturelemente bezeichnet und in Kategorien unterteilt, z. B. nach Art der Geräte (z. B. Server, Router), Anwen- dungen (z. B. ERP-Systeme, E-Mail-Systeme) oder Prozesse (z. B. Personalverwal- tung, Zahlungsabwicklung). 3. Erstellung eines IT-Strukturmodells: - Die gesammelten Informationen werden in einem Strukturmodell dargestellt. Dieses Modell visualisiert die Beziehungen und Abhängigkeiten zwischen den ver- schiedenen Strukturelementen und Prozessen. - Ein solches Modell hilft dabei, die Verbindungen und Abhängigkeiten der Sys- teme untereinander zu verstehen, was wichtig ist, um Schwachstellen und kritische Knotenpunkte zu identifizieren. 4. Kategorisierung der Strukturelemente nach BSI-Grundschutz-Bausteinen: - Nach der Identifikation werden die Strukturelemente in die passenden Bau- steine des BSI IT-Grundschutz-Kompendiums eingeordnet. Dies erfolgt gemäß den spezifischen Sicherheitsanforderungen, die für bestimmte IT-Komponenten und Geschäftsprozesse festgelegt sind. - Jedes Strukturelement wird einem oder mehreren IT-Grundschutz-Bausteinen zugeordnet, die auf typische Sicherheitsanforderungen und Bedrohungen zuge- schnitten sind. 5. Dokumentation der Strukturanalyse: - Alle Ergebnisse und Entscheidungen der Strukturanalyse werden dokumentiert. Dies umfasst eine Übersicht der identifizierten Strukturelemente, das Strukturmo- dell sowie die Zuordnung zu den IT-Grundschutz-Bausteinen. ······················································································································ 26 IT Sicherheit - Diese Dokumentation dient als Grundlage für die weiteren Schritte der IT-Grund- schutz-Methodik, einschließlich der Schutzbedarfsfeststellung und der Maßnah- menplanung. Beispiel Beispiel Abbildung 2: Strukturanalyse am Bespiel eines fiktiven Unternehmens. Quelle : https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizie- rung/IT-Grundschutz/Zertifizierte-Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-IT- Grundschutz/Lektion_3_Strukturanalyse/Lektion_3_node.html Die Strukturanalyse beschreibt den Informationsverbund und seine Einbin- dung in die Institution zur Strukturanalyse gehören: Geschäftsprozesse und Informationen erheben ······················································································································ 27 IT Sicherheit 1 2 3 4 5 Geschäfts- Anwen- IT- prozesse dungen Netzplan Systeme Räume Abbildung 3: Geschäftsprozess o Für jeden Geschäftsprozess sollten Sie die folgenden Angaben vermerken: eine eindeutige Kennung (Nummer oder Kürzel), einen Namen für den Prozess, eine kurze Beschreibung des Ziels, der Abläufe und der verarbeiteten Informationen, die für den Prozess Verantwortlichen, wichtige Anwendungen, die für den Prozess benö- tigt werden. Abbildung 4: Geschäftsprozess mit Produktion und Angebotswesen ······················································································································ 28 IT Sicherheit Anwendungen erheben 1 2 3 4 5 Geschäfts- Anwen- IT- prozesse dungen Netzplan Systeme Räume Abbildung 5: Anwendungen erheben o Für jede als wesentlich identifizierte Anwendung sollten Sie fol- gende Angaben in einer Tabelle erfassen: eine eindeutige Kennung (Nummer oder Kürzel), einen Namen für die Anwendung, eine kurze Beschreibung des Ziels, der Funktion und der verarbeiteten Informationen, die für die Anwendung Verantwortlichen, die Benutzer dieser Anwendung. Abbildung 6: Zuordnung der Anwendungen zu Geschäftsprozessen ······················································································································ 29 IT Sicherheit Abbildung 7: Netzplan erheben 1 2 3 4 5 Geschäfts- Anwen- IT- prozesse dungen Netzplan Systeme Räume Abbildung 8: Netzplan o sollte der Plan mindestens die folgenden Objekte enthalten: die in das Netz eingebundenen IT-Systeme; dazu zählen Computer (Clients und Server), Netz- drucker sowie aktive Netzkomponenten (Swit- ches, Router, WLAN-Access Points), usw.; die Verbindungen zwischen diesen IT-Systemen; LAN-Verbindungen (Ethernet), Backbone-Technik (z. B. ATM), usw. die Außenverbindungen der IT-Systeme; bei diesen sollte zusätzlich die Art der Verbindung gekennzeichnet sein (z. B. Internet-Anbin- dung, DSL), usw. ······················································································································ 30 IT Sicherheit S001: S001: Domänencontroller Domänencontroller S003: S002: S003: S002: Druckserver Dateiserver Druckserver Dateiserver S007: Virtualisierungs- S007: Virtualisierungs- server server S006: DB-Server FiBu S008: Server S004: Kommunikations- produktions- server (Exchange) S005: DB-Server steuerung Kunden- und Auftragsbearbeitung INTERNET Internetanschluss N001: Router N003: Firewall N003: Switch N004: Router N004: Router N003: Switch Standardleitung Bad Godesberg- Beuel Geschäfts- Einkauf Marketing / Entwicklung Lager / führung Vertrieb Fertigung Vertriebsstandorte Berlin, München, C2: Destkops C8: Desktops C5: Desktops C7: Desktops C6: Desktops Paderbron (15 Stk.) (20 Stk.) (35 Stk.) (60 Stk.) (10 Stk.) L2: Laptops L8: Laptops L5: Laptops L7: Laptops L6: Laptops (5 Stk.) (5 Stk.) (20 Stk.) (15 Stk.) (1 Stk.) FiBu IT Personal T1: Telefon- anlagen (2 Stk.) C1: Destkops C4: Desktops C3: Desktops Produktionsmaschinen (2 Stk.) (30 Stk.) (25 Stk.) (15 Stk.) L1: Laptops L4: Laptops L3: Laptops T2: Faxgeräte (2 Stk.) (10 Stk.) (2 Stk.) (8 Stk.) Abbildung 9: IT-Systeme erheben ······················································································································ 31 IT Sicherheit 1 2 3 4 5 Geschäfts- Anwen- IT- prozesse dungen Netzplan Systeme Räume Abbildung 10: IT-Systeme o Was zählt zu den IT-Systemen? alle im Netz vorhandenen Computer (Cli- ents und Server), Gruppen von Computern, aktive Netzkomponenten, Netzdrucker, aber auch industrielle Steuerungen (Industrial Control Sys- tems, ICS), dazu zählen Geräte, die im Bereich Produktion und Fertigung zur Steuerung oder Überwachung eingesetzt wer- den, z. B. speicherprogrammierbare Steuerungen (SPS), Maschinen, die über WLAN gesteuert wer- den, autonome Fahrzeuge, aber auch Arbeitsplatz-PCs zur Steuerung einer Maschine und die Endgeräte wie Scanner oder Drucker, die an diese PCs angeschlossen sind, Telekommunikationsgeräte, Mobiltelefone oder andere mobile Geräte sowie Objekte aus dem Bereich des Internet of Things (IoT), also Geräte, die vernetzt sind und Daten erfassen, speichern, verarbeiten und über- tragen können, z. B. Webcams, Smart-Home- Komponenten oder Sprachassistenten (auch für solche Geräte finden Sie IT-Grundschutz-Bau- steine). o Welche Angaben sind für IT-Systeme erforderlich? Eine tabellarische Übersicht sollte für jedes IT-Sys- tem die folgenden Angaben enthalten: eindeutige Bezeichnung, bei Gruppen: Anzahl der zusammengefassten IT- Systeme, Beschreibung (insbesondere sollten Sie hier den Einsatzzweck und den Typ anführen z. B. „Ser- ver für Personalverwaltung“, „Router zum Inter- net“), ······················································································································ 32 IT Sicherheit Plattform (Welcher Hardwaretyp, welches Be- triebssystem?), Standort (Gebäude und Raumnummer), Status (z. B. in Betrieb, im Test, in Planung) und Benutzer und Administrator. Abbildung 11: Räume erheben 1 2 3 4 5 Geschäfts- Anwen- IT- prozesse dungen Netzplan Systeme Räume Abbildung 12: Räume o …alle Gebäude und Räume, die im Zusammenhang mit den be- trachteten Informationen und Geschäftsprozessen bedeutsam sind. Dies können Serverräume oder andere ausdrücklich IT-bezo- gene Räume sein, aber auch Wegstrecken von Kommunikations- verbindungen, normale Büroräume, Schulungs- und Bespre- chungsräume oder Archivräume. ······················································································································ 33 IT Sicherheit Abbildung 13: Gebäude und Räume Beispiel Vorteile der Strukturanalyse Beispiel Die Strukturanalyse nach BSI IT-Grundschutz bietet mehrere wesentliche Vorteile: - Klarheit und Transparenz: Die Organisation erhält eine umfassende Übersicht über alle relevanten Systeme und Prozesse. - Effizienter Ressourceneinsatz: Durch die Zuordnung der Strukturelemente zu den standardisierten IT-Grundschutz-Bausteinen können Sicherheitsmaßnahmen effi- zient geplant und umgesetzt werden. - Basis für das Risikomanagement: Die Strukturanalyse bildet die Grundlage für die Schutzbedarfsfeststellung und eine eventuell notwendige detaillierte Risikoana- lyse. Zusammenfassung: Die Strukturanalyse im Sinne des BSI IT-Grundschutz ist ein wesentlicher erster Schritt zur Entwicklung eines ISMS. Sie legt den Geltungsbereich fest, identifiziert Zusammenfassung relevante Strukturelemente und bildet die Basis für die spätere Schutzbedarfsfest- stellung und Maßnahmenplanung. Durch die Zuordnung der IT-Komponenten zu standardisierten Bausteinen des IT-Grundschutzes schafft die Strukturanalyse Transparenz und Effizienz in der Umsetzung von Sicherheitsmaßnahmen. ······················································································································ 34 IT Sicherheit 6.1.1.2 Schutzbedarfsfeststellung: Die Schutzbedarfsfeststellung ist ein zentraler Schritt in der BSI IT-Grundschutz- Methodik und dient dazu, den erforderlichen Schutz für die Informationen, IT-Sys- teme und Geschäftsprozesse einer Organisation zu ermitteln. bewertet die Sicher- heitsanforderungen in den Bereichen Vertraulichkeit, Integrität und Verfügbarkeit. Das Ziel der Schutzbedarfsfeststellung ist es, festzulegen, welches Schutzniveau je- des Strukturelement benötigt. Diese Einschätzung ist entscheidend, um geeignete Sicherheitsmaßnahmen auszuwählen und zu implementieren. Es hilft auch, priori- sierte Bereiche für die Informationssicherheit innerhalb der Organisation zu identi- fizieren. Schritte der Schutzbedarfsfeststellung im BSI IT-Grundschutz 1. Festlegung der Schutzbedarfs-Kriterien: - Zunächst wird der Schutzbedarf für die drei grundlegenden Schutzziele definiert: - Vertraulichkeit: Schutz vor unbefugtem Zugriff auf vertrauliche Informationen. - Integrität: Schutz vor unerlaubter Veränderung und Sicherstellung der Genau- igkeit und Verlässlichkeit von Daten. - Verfügbarkeit: Sicherstellung, dass Systeme und Informationen bei Bedarf zu- gänglich sind. 2. Einstufung des Schutzbedarfs pro Schutzziel: - Dabei wird bewertet, welche Folgen ein Schaden für die Organisation hätte. Es gibt drei Schutzbedarfskategorien: - Normaler Schutzbedarf: Ein Sicherheitsvorfall hätte nur begrenzte Auswirkun- gen. - Hoher Schutzbedarf: Ein Vorfall hätte erhebliche Auswirkungen und könnte die Organisation ernsthaft beeinträchtigen. - Sehr hoher Schutzbedarf: Ein Vorfall hätte gravierende Folgen und könnte die Existenz der Organisation gefährden oder zu massiven rechtlichen und finanziellen Konsequenzen führen. 3. Schutzbedarfsmatrix: - Die Ergebnisse der Einstufung werden oft in einer Schutzbedarfsmatrixdarge- stellt. Diese Matrix hilft dabei, den Schutzbedarf übersichtlich darzustellen und den Bedarf an Maßnahmen pro Schutzziel zu priorisieren. 4. Berücksichtigung von Abhängigkeiten: - Es werden auch Abhängigkeiten zwischen den Strukturelementen geprüft. Wenn beispielsweise ein System mit hohem Schutzbedarf für Verfügbarkeit von anderen Systemen abhängt, können diese Abhängigkeiten den Schutzbedarf der verbunde- nen Systeme beeinflussen. ······················································································································ 35 IT Sicherheit - Es wird außerdem geprüft, ob ein besonders hoher Schutzbedarf eines Elements die Einstufung eines anderen Elements anheben sollte, das in direkter Verbindung oder Abhängigkeit dazu steht. 5. Dokumentation: - Die Schutzbedarfsfeststellung und die Entscheidungen werden dokumentiert. Diese Dokumentation dient als Grundlage für die Auswahl der spezifischen Sicher- heitsmaßnahmen und ist wichtig für spätere Überprüfungen. Beispiel: Schutzbedarfsfeststellung in der Praxis Ein Unternehmen mit einem zentralen ERP-System könnte folgende Schutzbedarfs- Beispiel feststellung vornehmen: - Vertraulichkeit: Die Personal- und Finanzdaten im ERP-System haben einen hohen Schutzbedarf an Vertraulichkeit, da ein unbefugter Zugriff gravierende rechtliche Folgen hätte. - Integrität: Die Integrität der Finanzdaten hat einen sehr hohen Schutzbedarf, da fehlerhafte oder manipulierte Daten zu falschen Entscheidungen und großen wirt- schaftlichen Schäden führen könnten. - Verfügbarkeit: Das ERP-System wird als unternehmenskritisch eingestuft und hat daher ebenfalls einen hohen Schutzbedarf an Verfügbarkeit, da ein Ausfall den ge- samten Betriebsablauf beeinträchtigen würde. Beispiel: Vorteile der Schutzbedarfsfeststellung Beispiel - Ressourcenschonung: Durch die Schutzbedarfsfeststellung kann die Organisation gezielt Maßnahmen für besonders kritische Bereiche planen und implementieren. - Effiziente Priorisierung: Die Schutzbedarfsfeststellung ermöglicht eine fundierte Priorisierung und hilft, besonders wichtige Strukturelemente schnell zu identifizie- ren. - Grundlage für die Auswahl geeigneter Sicherheitsmaßnahmen: Anhand des fest- gestellten Schutzbedarfs lassen sich passgenaue Maßnahmen aus den IT-Grund- schutz-Bausteinen ableiten. Zusammenfassung: Die Schutzbedarfsfeststellung im Sinne des BSI IT-Grundschutz ist ein strukturierter Zusammenfassung Prozess, der die Basis für die Wahl der richtigen Sicherheitsmaßnahmen bildet. Sie hilft Organisationen, ihre Sicherheitsmaßnahmen effizient und zielgerichtet zu pla- nen und den Anforderungen der verschiedenen Schutzziele gerecht zu werden. Durch eine präzise Schutzbedarfsanalyse lassen sich die relevanten Risiken ······················································································································ 36 IT Sicherheit priorisieren und geeignete Maßnahmen zur Absicherung der Informationen und Systeme ableiten. 6.1.1.3 IT-Grundschutz-Check: Der IT-Grundschutz-Check ist eine systematische Überprüfung der IT-Sicherheits- maßnahmen in einer Organisation anhand der Anforderungen des BSI IT-Grund- schutzes. Dieser Check stellt fest, ob alle notwendigen Sicherheitsmaßnahmen, die im Rahmen der Schutzbedarfsfeststellung als relevant ermittelt wurden, vollständig umgesetzt sind oder ob es noch Sicherheitslücken gibt. Er ist ein wesentlicher Be- standteil der BSI IT-Grundschutz-Methodik und bildet die Grundlage für die konti- nuierliche Verbesserung des Sicherheitsniveaus in der Organisation, mit dem Ziel: 1. Schwachstellen und Abweichungen von den empfohlenen Sicherheitsmaßnah- men zu identifizieren, 2. Sicherheitslücken im bestehenden Sicherheitskonzept oder in der Infrastruktur aufzudecken, 3. den Reifegrad der Sicherheitsmaßnahmenfestzustellen und 4. eine Planungsgrundlage für die Behebung von Defiziten und die weitere Verbes- serung der IT-Sicherheit zu schaffen. Der Check folgt in der Regel einer strukturierten Vorgehensweise: 1. Vorbereitung des Checks: - Festlegung des Anwendungsbereichs: Der Scope des Checks wird festgelegt, um zu definieren, welche Systeme und Prozesse geprüft werden. - Sammlung der relevanten Informationen: Alle Dokumentationen, wie z. B. die Schutzbedarfsfeststellung und die Strukturanalyse, werden bereitgestellt und ge- prüft. 2. Soll-Ist-Vergleich: - Die aktuelle Umsetzung der Sicherheitsmaßnahmen wird mit den Anforderun- gen der IT-Grundschutz-Bausteine abgeglichen, die für die spezifischen Strukturele- mente relevant sind. - Die IT-Grundschutz-Bausteine aus dem IT-Grundschutz-Kompendium enthalten spezifische Maßnahmen, die auf die unterschiedlichen Sicherheitsanforderungen für IT-Systeme, Anwendungen und Prozesse abgestimmt sind. - Für jedes Element wird festgestellt, ob die Maßnahmen vollständig umgesetzt sind (Erfüllungsgrad) oder ob Abweichungen bestehen. 3. Dokumentation von Abweichungen: ······················································································································ 37 IT Sicherheit - Alle festgestellten Abweichungen von den Soll-Maßnahmen werden dokumen- tiert. Dies betrifft sowohl vollständig fehlende Maßnahmen als auch Maßnahmen, die nur teilweise oder unzureichend umgesetzt sind. - Diese Dokumentation dient als Grundlage für den nachfolgenden Maßnahmen- plan und zur Definition von Prioritäten. 4. Maßnahmenplanung: - Basierend auf den Ergebnissen des Grundschutz-Checks wird ein Plan entwickelt, um die identifizierten Sicherheitslücken zu beheben. - Die Maßnahmen werden priorisiert, um kritische Schwachstellen zuerst zu ad- ressieren. Dies umfasst die Festlegung von Verantwortlichkeiten, Fristen und Res- sourcen, die für die Umsetzung erforderlich sind. 5. Managementbewertung: - Die Ergebnisse des IT-Grundschutz-Checks werden dem Management vorge- stellt, um sicherzustellen, dass die Sicherheitsmaßnahmen und die daraus resultie- renden Verbesserungsschritte organisatorisch unterstützt werden. - Eine Managementbewertung dient auch dazu, die finanzielle und organisatori- sche Unterstützung für die geplanten Sicherheitsmaßnahmen zu sichern. 6. Überwachung und Nachkontrolle: - Nachdem die Maßnahmen umgesetzt wurden, werden die Sicherheitsvorkeh- rungen regelmäßig überprüft, um sicherzustellen, dass der angestrebte Schutzgrad erreicht ist. - Der IT-Grundschutz-Check wird im Rahmen eines kontinuierlichen Verbesse- rungsprozesses regelmäßig wiederholt, um auf neue Bedrohungen oder Änderun- gen in der IT-Struktur reagieren zu können. Am Ende des IT-Grundschutz-Checks erhält die Organisation: - eine detaillierte Übersicht über den aktuellen Stand der umgesetzten und fehlen- den Maßnahmen, - eine Dokumentation der Abweichungen und Sicherheitslücken, - einen Maßnahmenkatalog zur Behebung der Lücken, - eine Priorisierungsliste der Sicherheitsmaßnahmen, die auf Basis des Schutzbe- darfs und der potenziellen Risiken erstellt wird. Beispiel für einen IT-Grundschutz-Check In einem Unternehmen könnte der IT-Grundschutz-Check folgende Erkenntnisse Beispiel bringen: ······················································································································ 38 IT Sicherheit - Fehlende Maßnahme: Ein IT-System, das sensible Daten verarbeitet, verfügt nicht über eine angemessene Zugriffskontrolle. - teilweise umgesetzte Maßnahme: Backups werden zwar regelmäßig durchge- führt, aber die Sicherheitsüberprüfung der Wiederherstellungsprozesse findet nicht statt. - Erforderliche Nachbesserung: Netzwerksegmentierung fehlt, sodass potenzielle Angreifer im Falle eines Angriffs auf das gesamte Unternehmensnetzwerk zugreifen könnten. Der Maßnahmenplan würde diese Lücken priorisieren und Schritt-für-Schritt An- weisungen zur Beseitigung dieser Schwachstellen enthalten. Beispiel: Vorteile des IT-Grundschutz-Checks Beispiel - Strukturierte Schwachstellenanalyse: Der Check ermöglicht es, systematisch Schwachstellen und Defizite im Sicherheitskonzept aufzudecken. - Effektive Ressourcenallokation: Maßnahmen werden gezielt dort eingesetzt, wo der Schutzbedarf am höchsten ist. - Nachweisbare Sicherheitsverbesserungen: Der IT-Grundschutz-Check bietet eine nachvollziehbare Dokumentation, die auch für interne und externe Audits heran- gezogen werden kann. - Kontinuierliche Verbesserung: Durch regelmäßige Checks wird das Sicherheitsni- veau stetig angepasst und verbessert. Zusammenfassung: Der IT-Grundschutz-Check ist eine umfassende Prüfung der IT-Sicherheitsmaßnah- men, die eine Organisation gemäß den IT-Grundschutz-Anforderungen umgesetzt Zusammenfassung hat. Durch den systematischen Soll-Ist-Vergleich werden Schwachstellen identifi- ziert, und es wird ein klarer Plan zur Verbesserung der Sicherheitsmaßnahmen er- stellt. Der Check ist eine essenzielle Komponente des kontinuierlichen Verbesse- rungsprozesses und trägt dazu bei, das IT-Sicherheitsniveau der Organisation lang- fristig aufrechtzuerhalten und zu optimieren. ······················································································································ 39 IT Sicherheit 6.1.1.4 Risikobewertung und -behandlung: Die Risikobewertung ist ein strukturierter Prozess, bei dem die Gefährdungen für die Informationssicherheit ermittelt und deren mögliche Auswirkungen auf die Or- ganisation analysiert werden. Dabei werden zwei Hauptaspekte betrachtet: 1. Wahrscheinlichkeit des Eintritts: Merksatz - Hier wird beurteilt, wie wahrscheinlich es ist, dass ein bestimmtes Risiko oder eine Bedrohung tatsächlich eintritt. Faktoren wie die Häufigkeit von Angriffen, tech- nische Schwachstellen oder die Exposition gegenüber Bedrohungen werden be- rücksichtigt. 2. Auswirkungen im Schadensfall: - Es wird bewertet, wie schwerwiegend die Auswirkungen eines Vorfalls wären, wenn er eintreten würde. Dabei werden die Schutzziele und IT-Systeme berücksich- tigt. Die Auswirkungen können sich sowohl auf die finanziellen als auch auf rechtli- che und operationelle Aspekte der Organisation auswirken. Schrittweise Vorgehensweise in der Risikobewertung 1. Identifikation von Risiken und Bedrohungen: - Zunächst werden alle potenziellen Risiken und Bedrohungen ermittelt, die die Informationssicherheit betreffen könnten. Dies umfasst sowohl externe Bedrohun- gen (z. B. Hackerangriffe, Naturkatastrophen) als auch interne Bedrohungen (z. B. Fehlkonfigurationen, Mitarbeiterfehler). 2. Bewertung der Risiken: - Jedes identifizierte Risiko wird hinsichtlich der Wahrscheinlichkeit und der Aus- wirkungen bewertet. Dazu wird in der Regel eine Skala verwendet (z. B. niedrig, mittel, hoch). Dies kann durch qualitative oder quantitative Methoden erfolgen. - Für jedes Risiko wird eine Risiko-Kategorie festgelegt: - Niedriges Risiko: Weniger wahrscheinlich oder geringe Auswirkungen. - Mittleres Risiko: Mäßig wahrscheinlich oder moderate Auswirkungen. - Hohes Risiko: Sehr wahrscheinlich oder schwerwiegende Auswirkungen. 3. Risikoanalyse: - In der Risikoanalyse werden die Ergebnisse der Risikobewertung zusammenge- fasst. Mögliche Szenarien und deren Auswirkungen werden modelliert, um das Ri- siko besser zu verstehen und angemessen reagieren zu können. Nachdem die Risiken bewertet wurden, folgt die Risikobehandlung. Ziel der Risiko- behandlung ist es, geeignete Maßnahmen zu ergreifen, um die identifizierten ······················································································································ 40 IT Sicherheit Risiken zu minimieren oder zu vermeiden. Es gibt vier grundlegende Strategien zur Risikobehandlung: 1. Vermeidung (Risikovermeidung): - Risiken werden vermieden, indem Prozesse, Technologien oder Methoden ge- ändert werden, sodass die Bedrohung oder das Risiko nicht mehr auftreten kann. Beispiel Eine unsichere Technologie wird nicht mehr verwendet, oder eine Geschäftspro- Beispiel zessänderung beseitigt die Bedrohung. 2. Verminderung (Risikominderung): - Hier werden Maßnahmen getroffen, um das Risiko zu verringern, z. B. durch die Implementierung von Sicherheitsmaßnahmen, die die Wahrscheinlichkeit oder die Auswirkungen des Risikos reduzieren. - Beispiel: Verschlüsselung von sensiblen Daten, Implementierung von Zugriffs- kontrollen oder regelmäßige Software-Updates. 3. Übertragung (Risikotransfer): - Risiken werden auf Dritte übertragen, zum Beispiel durch den Abschluss von Ver- sicherungen oder durch Outsourcing von bestimmten IT-Diensten an spezialisierte Anbieter. Beispiel Die Nutzung eines Cloud-Service-Anbieters, der für die Sicherstellung der Verfüg- Beispiel barkeit und Sicherheit der Daten verantwortlich ist. 4. Akzeptanz (Risikoresiduum): - Manche Risiken können akzeptiert werden, wenn ihre Wahrscheinlichkeit gering ist oder die Auswirkungen tolerierbar sind. In diesen Fällen wird das Risiko bewusst in Kauf genommen. Beispiel Geringe, unwahrscheinliche Risiken, die keine wesentlichen Auswirkungen haben, Beispiel könnten als akzeptabel betrachtet werden. Beispiel der Risikobewertung und -behandlung Angenommen, ein Unternehmen stellt fest, dass seine sensiblen Kundendaten in Beispiel einer zentralen Datenbank gespeichert sind und durch unzureichende Zugangskon- trollen gefährdet sein könnten: ······················································································································ 41 IT Sicherheit Risikobewertung: - Wahrscheinlichkeit: Mittel (potenzielle Angreifer könnten auf das System zugrei- fen). - Auswirkungen: Hoch (Verletzung der Vertraulichkeit und damit einhergehende rechtliche und reputationsbezogene Konsequenzen). existenzbedrohend Mittel Hoch Sehr hoch Sehr hoch Auswirkungen / Schadenshöhe beträchtlich Mittel Mittel Hoch Sehr hoch begrenzt Gering Gering Mittel Hoch vernachlässigbar Gering Gering Gering Gering Selten Mittel Häufig Sehr häufig Eintrittshäufigkeit RISIKOANALYSE 200 -3 Abbildung 14: Risikoanalyse 200-3 Risikobehandlung: - Vermeidung: Das Speichern von sensiblen Daten in der zentralen Datenbank wird überprüft, um alternative, sicherere Lösungen zu finden. - Verminderung: Implementierung von stärkeren Zugangskontrollen und Ver- schlüsselung der Datenbank. - Übertragung: Es könnte eine Versicherung gegen Datenlecks abgeschlossen wer- den. - Akzeptanz: Das Risiko eines geringfügigen Angriffs auf weniger wichtige Daten wird akzeptiert, da die Auswirkungen minimal wären. Beispiel Die Risikobewertung und -behandlung im BSI IT-Grundschutz sind unerlässliche Beispiel Prozesse, um Risiken zu identifizieren, ihre Auswirkungen zu bewerten und geeig- nete Maßnahmen zu treffen, um diese zu minimieren. Der Prozess sorgt dafür, dass eine Organisation in der Lage ist, gezielt auf Bedrohungen zu reagieren und ihre IT- Infrastruktur und Daten optimal zu schützen. Dabei hilft der BSI IT-Grundschutz, durch standardisierte Bausteine und klare Methodiken eine fundierte und nachvoll- ziehbare Risikomanagementstrategie umzusetzen. ······················································································································ 42 IT Sicherheit 6.1.1.5 Maßnahmenumsetzung Basierend auf der Schutzbedarfsfeststellung und der Risikobewertung werden die notwendigen Sicherheitsmaßnahmen implementiert. Diese umfassen technische, organisatorische und physische Maßnahmen wie Zugriffssteuerungen, Netzwerksi- cherheit oder Notfallvorsorge. 1. Planung der Maßnahmenumsetzung Bevor mit der tatsächlichen Umsetzung von Sicherheitsmaßnahmen begonnen werden kann, müssen die erforderlichen Schritte sorgfältig geplant werden. Hierbei müssen mehrere Faktoren berücksichtigt werden: - Priorisierung der Maßnahmen Nicht alle Sicherheitsmaßnahmen haben die gleiche Dringlichkeit oder Bedeutung. Prioritäten müssen gesetzt werden, insbesondere in Bezug auf den Schutzbedarf der verschiedenen Systeme und Daten. - Ressourcenplanung: Für die Umsetzung sind oft bestimmte Ressourcen erforder- lich, sei es in Form von Personal, Budget oder Technologien. Diese müssen entspre- chend bereitgestellt werden. - Verantwortlichkeiten: Es muss festgelegt werden, wer für die Umsetzung der ein- zelnen Maßnahmen verantwortlich ist. In größeren Organisationen kann es spezifi- sche Sicherheitsbeauftragte oder Teams geben, die sich um verschiedene Bereiche der IT-Sicherheit kümmern. - Zeitplanung: Für jede Maßnahme muss ein realistischer Zeitrahmen definiert wer- den, der den Umfang und die Komplexität der Maßnahme berücksichtigt. 2. Umsetzung der Sicherheitsmaßnahmen Die Umsetzung der Sicherheitsmaßnahmen selbst erfolgt typischerweise in mehre- ren Schritten, um sicherzustellen, dass jede Maßnahme korrekt und wirksam im- plementiert wird. Hier sind einige Beispiele von typischen Maßnahmen aus dem BSI IT-Grundschutz, die in der Praxis umgesetzt werden können: a. Technische Maßnahmen Technische Maßnahmen beziehen sich auf IT-Sicherheitslösungen, die in der Infra- struktur implementiert werden, um IT-Systeme und Daten zu schützen. - Zugriffssteuerung: Einführung von Mechanismen zur Kontrolle und Beschränkung des Zugriffs auf Systeme und Daten (z. B. Multi-Faktor-Authentifizierung, rollenba- sierte Zugriffssteuerung). ······················································································································ 43 IT Sicherheit - Verschlüsselung: Implementierung von Verschlüsselungsverfahren zum Schutz sensibler Daten sowohl im Ruhezustand (auf Festplatten) als auch während der Übertragung (z. B. SSL/TLS). - Firewalls und Netzwerksicherheit: Aufstellung und Konfiguration von Firewalls zur Absicherung des Netzwerks und Verhinderung unbefugter Zugriffe. - Virenschutz und Malware-Schutz: Implementierung von Antiviren-Software und Sicherheitslösungen zur Erkennung und Abwehr von Malware. b. Organisatorische Maßnahmen Neben den technischen Maßnahmen sind auch organisatorische Vorkehrungen notwendig, um die Informationssicherheit zu gewährleisten. - Schulung und Sensibilisierung: Regelmäßige Schulungen und Sensibilisierungs- maßnahmen für Mitarbeiter, um diese für die Bedeutung der Informationssicher- heit zu sensibilisieren und Best Practices zu vermitteln (z. B. zum sicheren Umgang mit Passwörtern oder E-Mails). - Notfallmanagement: Implementierung und Dokumentation von Notfallplänen, um im Falle eines Sicherheitsvorfalls schnell und adäquat reagieren zu können. Dies umfasst auch regelmäßige Notfallübungen und Tests. - Vertragsmanagement: Überprüfung und ggf. Anpassung von Verträgen mit Dritten (z. B. Dienstleistern oder Cloud-Anbietern), um sicherzustellen, dass Sicherheitsvor- kehrungen auch auf externen Ebenen eingehalten werden. c. Physische Sicherheitsmaßnahmen Der physische Schutz von IT-Infrastruktur und Daten ist ebenfalls ein wichtiger As- pekt der Sicherheitsstrategie. - Zugangskontrollen: Implementierung von Sicherheitsvorkehrungen in Rechenzen- tren oder Serverräumen, z. B. durch Zugangskontrollen (Schlüssel, Ausweiskarten, biometrische Verfahren). - Überwachung: Installation von Überwachungssystemen wie Kameras oder Alarmsystemen, um den Zugang zu sensiblen Bereichen zu überwachen und unbe- fugte Aktivitäten zu erkennen. 3. Test und Validierung der Maßnahmen Nachdem die Maßnahmen umgesetzt wurden, ist es wichtig, ihre Wirksamkeit zu überprüfen. Dies kann durch verschiedene Testmethoden geschehen: ······················································································································ 44 IT Sicherheit - Sicherheitstests: Durchführung von Tests wie Penetrationstests oder Schwachstel- lenanalysen, um potenzielle Sicherheitslücken in den implementierten Maßnah- men zu identifizieren. - Audits: Regelmäßige interne oder externe Audits, um sicherzustellen, dass alle im- plementierten Sicherheitsmaßnahmen gemäß den Anforderungen des ISMS und des IT-Grundschutzes eingehalten werden. - Überwachung: Kontinuierliche Überwachung von Sicherheitsmaßnahmen, z. B. durch Monitoring-Tools, die den Zustand der IT-Infrastruktur und der Sicherheits- lösungen in Echtzeit überwachen. 4. Dokumentation der Maßnahmenumsetzung Die Dokumentation ist ein entscheidender Bestandteil der Umsetzung. Sie stellt si- cher, dass die Sicherheitsmaßnahmen nachvollziehbar sind und als Grundlage für spätere Audits oder Bewertungen dienen können. Wichtige Aspekte der Dokumen- tation umfassen: - Maßnahmenpläne: Detaillierte Pläne, in denen die einzelnen Sicherheitsmaßnah- men beschrieben werden, einschließlich der Verantwortlichkeiten, Zeitpläne und Ressourcen. - Prozessdokumentation: Erstellen von Prozessdokumentationen für die Sicher- heitsvorkehrungen, z. B. für den Zugangskontrollprozess oder für das Incident Ma- nagement. - Berichterstattung: Regelmäßige Berichte über die Umsetzung und den Erfolg der Maßnahmen, die an das Management weitergegeben werden. 5. Kontinuierliche Verbesserung (PDCA-Zyklus) Die Umsetzung von Sicherheitsmaßnahmen ist kein einmaliger Prozess, sondern er- fordert eine kontinuierliche Verbesserung. Der PDCA-Zyklus (siehe Kapitel 5.1) ist ein wichtiges Modell, das auch im Rahmen des BSI IT-Grundschutzes Anwendung findet: Zusammenfassung: Zusammenfassung Die Maßnahmenumsetzung im Sinne des BSI IT-Grundschutzes umfasst eine Viel- zahl von technischen, organisatorischen und physischen Maßnahmen, die darauf abzielen, die Informationssicherheit in einer Organisation nachhaltig zu gewährleis- ten. Es handelt sich um einen iterativen Prozess, der eine kontinuierliche Überwa- chung, Evaluierung und Verbesserung der umgesetzten Sicherheitsvorkehrungen umfasst. Ein erfolgreicher Information Sicherheitsmanagement System Aufbau ······················································································································ 45 IT Sicherheit erfordert die enge Zusammenarbeit aller Abteilungen sowie ein hohes Maß an Do- kumentation und Kontrolle, um die Sicherheit der IT-Systeme dauerhaft zu gewähr- leisten. 6.1.1.6 Information Sicherheitsmanagement System Aufbau und Doku- mentation: Der Aufbau und die Dokumentation eines Informationssicherheits-Management- systems (ISMS) im Sinne des BSI IT-Grundschutzes stellt sicher, dass eine Organisa- tion ihre Informationssicherheit systematisch, kontinuierlich und unter Einhaltung gesetzlicher sowie regulatorischer Anforderungen verwaltet. Der ISMS-Ansatz des BSI IT-Grundschutzes bietet eine strukturierte Methodik, um Informationssicher- heit in einer Organisation zu etablieren und zu gewährleisten. Es basiert auf dem PDCA-Zyklus und der IT-Grundschutz-Methodik des BSI. Die wichtigsten Schritte im Aufbau eines ISMS sind – hier noch einmal zusammen- gefasst: a. Management-Engagement und Governance Der erste Schritt im ISMS-Aufbau besteht darin, das Management der Organisation in den Prozess zu integrieren. Ein erfolgreiches ISMS benötigt die Unterstützung des oberen Managements, das nicht nur die strategischen Ziele für die Informationssi- cherheit festlegt, sondern auch Ressourcen zur Verfügung stellt und sicherstellt, dass das ISMS kontinuierlich verbessert wird. (Siehe Kapitel 5.2) b. Festlegung des Anwendungsbereichs des ISMS Zu Beginn muss der Anwendungsbereich des ISMS definiert werden. Dabei wird festgelegt, welche Bereiche der Organisation in das ISMS integriert werden sollen – beispielsweise bestimmte Geschäftsprozesse, IT-Systeme oder Abteilungen. Dies kann auch die Festlegung auf einzelne IT-Systeme oder gesamte Unternehmens- netzwerke beinhalten. c. Strukturanalyse Die Strukturanalyse ist ein weiterer wichtiger Schritt. Sie umfasst die Erhebung und Dokumentation der aktuellen Infrastruktur, Systeme, Prozesse und Organisations- einheiten, die für die Informationssicherheit relevant sind. In dieser Analyse wer- den die zu schützenden Objekte sowie die technischen und organisatorischen Ge- gebenheiten erfasst. (Siehe Kapitel 6.1.1.1) ······················································································································ 46 IT Sicherheit d. Schutzbedarfsfeststellung Nach der Strukturanalyse erfolgt die Schutzbedarfsfeststellung. Dabei wird der Schutzbedarf jeder Ressource (wie Daten, Systeme und Prozesse) ermittelt, indem die Schutzziele bewertet werden. Je nach Schutzbedarf (niedrig, mittel, hoch) wer- den die erforderlichen Sicherheitsmaßnahmen abgeleitet. (Siehe Kapitel 6.1.1.2) e. Risikoanalyse und Risikomanagement Auf Basis der Schutzbedarfsfeststellung und der Strukturanalyse wird eine Risiko- analysedurchgeführt. Dabei werden potenzielle Risiken für die Informationssicher- heit identifiziert, bewertet und dokumentiert. Das Ziel ist es, Maßnahmen zur Mi- nimierung oder Übertragung von Risiken festzulegen. Dies erfolgt unter Berücksich- tigung der Wahrscheinlichkeit eines Ereignisses und der Schwere der Auswirkun- gen. (Siehe Kapitel 6.1.1.4) f. Definition von Sicherheitsmaßnahmen Die Sicherheitsmaßnahme werden auf Grundlage der Schutzbedarfsfeststellung und der Risikobewertung aus den IT-Grundschutz-Bausteinen abgeleitet. Diese Bausteine beinhalten konkrete Maßnahmen zur Absicherung von IT-Systemen und Informationen und sind als bewährte Praktiken anerkannt. Sie decken verschiedene Themen ab, wie z. B. Netzwerksicherheit, Zugriffskontrollen, Notfallmanagement und Mitarbeitersensibilisierung. (Siehe Kapitel 6.1.1.5) g. Einführung und Umsetzung der Sicherheitsmaßnahmen Im nächsten Schritt werden die abgeleiteten Sicherheitsmaßnahmen in die Organi- sation implementiert. Dies umfasst sowohl technische Lösungen (z. B. Firewalls, Verschlüsselung) als auch organisatorische Maßnahmen (z. B. Schulungen, Notfall- pläne). h. Überwachung und kontinuierliche Verbesserung Das ISMS erfordert eine kontinuierliche Überwachung der Sicherheitsmaßnahmen und -prozesse. Dies umfassten regelmäßige Audits, Penetrationstests, Schwachstel- lenanalysen und eine kontinuierliche Anpassung der Sicherheitsmaßnahmen an neue Bedrohungen und Schwachstellen. ······················································································································ 47 IT Sicherheit Dokumentation eines ISMS nach dem BSI IT-Grundschutz Die Dokumentation ist ein entscheidender Bestandteil des ISMS, um Transparenz, Nachvollziehbarkeit und eine Grundlage für regelmäßige Audits und Bewertungen zu gewährleisten. Im BSI IT-Grundschutz gibt es klare Anforderungen an die Doku- mentation, die folgende Elemente umfassen sollte: a. Informationssicherheitsrichtlinien Beispiel https://www.lsi.bayern.de b. Schutzbedarfsfeststellung und Strukturanalyse Beispiel c. Risikomanagement-Dokumentation d. Sicherheitsmaßnahmen und -prozesse e. Überwachungs- und Prüfungsprotokolle f. Berichterstattung und Managementbewertung Die Vorteile der Dokumentation und des ISMS-Aufbaus nach BSI IT-Grundschutz - Klarheit und Transparenz: Durch die detaillierte Dokumentation können alle Be- teiligten den Aufbau, die Maßnahmen und die Zielsetzung des ISMS nachvollziehen. - Nachhaltigkeit und kontinuierliche Verbesserung: Die Dokumentation schafft eine Grundlage für die kontinuierliche Verbesserung der Informationssicherheit. - Auditierbarkeit und Compliance: Ein gut dokumentiertes ISMS ermöglicht es, re- gelmäßig Audits durchzuführen und sich gegenüber externen Stellen (z. B. Audito- ren, Kunden oder Aufsichtsbehörden) zu belegen, dass die Sicherheitsvorkehrun- gen dem Standard entsprechen. - Risikomanagement: Durch die systematische Erhebung und Bewertung von Risi- ken können potenzielle Bedrohungen frühzeitig identifiziert und adäquate Maß- nahmen zur Risikominimierung ergriffen werden. Der Aufbau und die Dokumentation eines ISMS nach dem BSI IT-Grundschutz sind grundlegende Schritte, um die Informationssicherheit in einer Organisation syste- matisch zu gestalten und sicherzustellen. Das ISMS ist ein iterativer Prozess, der auf kontinuierlicher Überwachung und Verbesserung basiert. Durch eine strukturierte Dokumentation können alle relevanten Maßnahmen, Prozesse und Sicherheitsvor- kehrungen transparent gemacht und langfristig sichergestellt werden. ······················································································································ 48 IT Sicherheit 6.1.1.7 Überwachung und Verbesserung Die Überwachung und Verbesserung im Rahmen des BSI IT-Grundschutzes sind ent- scheidend, um die Informationssicherheit dauerhaft zu gewährleisten und kontinu- ierlich zu steigern. Durch regelmäßige Überprüfungen, Anpassungen der Sicher- heitsmaßnahmen sowie eine konsequente Risiko- und Bedrohungsbewertung wird sichergestellt, dass die Organisation auf neue Herausforderungen und Bedrohun- gen angemessen reagieren kann. Der kontinuierliche Verbesserungsprozess im Sinne des PDCA-Zyklus sorgt dafür, dass Sicherheitsmaßnahmen immer auf dem neuesten Stand sind und die IT-Infrastruktur langfristig vor Bedrohungen geschützt bleibt. 6.1.2 Vorteile und Einsatzbereiche des BSI IT-Grundschut- zes Der BSI IT-Grundschutz ist ein bewährtes Framework für den Aufbau und die Pflege eines ISMS. Er unterstützt Organisationen dabei, durch strukturierte Sicherheits- maßnahmen ein hohes Niveau an Informationssicherheit zu erreichen und nachhal- tig aufrechtzuerhalten. Die klar definierten Standards, Bausteine und Maßnahmen des IT-Grundschutzes bieten eine praxisorientierte und zugleich flexible Lösung, die sowohl für Unternehmen als auch für Behörden eine tragende Rolle in der Informa- tionssicherheit spielt. Der BSI IT-Grundschutz eignet sich für: - Organisationen jeder Größe und Branche, da die Bausteine und Maßnahmen fle- xibel auf individuelle Schutzbedarfe zugeschnitten werden können. - Öffentliche Verwaltungen und Behörden in Deutschland, für die der IT-Grund- schutz eine empfohlene oder sogar verpflichtende Grundlage bildet. - Unternehmen, die ein hohes Sicherheitsniveau anstreben oder sich nach ISO/IEC 27001 zertifizieren lassen möchten. 6.2 Übersicht über die ISO / IEC 2700 X Normenreihe Die ISO/IEC 27000-Normenreihe ist eine internationale Sammlung von Standards, die Best Practices für Informationssicherheitsmanagementsysteme (ISMS) bereit- stellt. Diese Normen wurden gemeinsam von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) ent- wickelt. Die Normenreihe hat das Ziel, Organisationen weltweit dabei zu unterstüt- zen, Informationen systematisch zu schützen, Risiken zu minimieren und die Ver- traulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen. Auszug aus der ISO / IEC 2700 X Normenreihe: ······················································································································ 49 IT Sicherheit ISO 27001 ISO 27006 ISMS Certification process Requirements Guides ISO 27000 ISO 27007 Vocabulary ISO 2700x ISMS Audit STANDARDS ISO 27002 ISO 27005 Code of practice Risk Management ISO 27003 ISO 27004 Implementation Measurement (KPIs) Abbildung 15: Branchenspezifische Anforderungen nach ISO 2700x Standards In Anlehnung an https://www.sorinmustaca.com/the-iso-27000-family-of-protocols-and-their-role- in-cybersecurity/ ISO 27001 ISO 27006 ISMS Certification process ISO 27018 Requirements Pd Daten Public Cloud Guides ISO 27000 ISO 27007 ISO 27011 Vocabulary ISO 2700x ISMS Audit Telekommunikations -organisationen STANDARDS ISO 27002 ISO 27005 Code of practice Risk Management ISO 27019 Energieversorger ISO 27003 ISO 27004 ISO 27799 Implementation Measurement (KPIs) Gesundheits- organisationen Abbildung 16: Branchenspezifische Anforderungen nach ISO 2700x Standards In Anlehnung an https://www.sorinmustaca.com/the-iso-27000-family-of-protocols-and-their-role-in-cybersecurity/ ······················································································································ 50 IT Sicherheit Es wird unterschieden in: - Normativer Standard: Verbindlich; muss befolgt werden, um den Standard zu er- füllen (Pflichtanforderungen). Merksatz - Informativer Standard: Nicht verbindlich; bietet zusätzliche Informationen und Empfehlungen (Hilfestellungen). Diese Unterscheidung ist in technischen Normen und Standards wichtig, da sie klar angibt, welche Teile zwingend umzusetzen sind und welche Teile als freiwillige Empfehlungen betrachtet werden.(vg. ISO/IEC 27001:2013. Informationssicher- heitsmanagementsysteme – Anforderungen) 6.2.1 ISO 27001, verglichen mit ISO 27002 Der normative Standard aus der ISO/IEC 27001 definiert die grundlegenden Anfor- derungen für ein Informationssicherheits-Managementsystem (ISMS). Dieser Stan- dard legt fest, wie Informationssicherheit innerhalb eines Unternehmens organi- siert und gesteuert werden muss, um die Vertraulichkeit, Integrität und Verfügbar- keit von Informationen zu gewährleisten. Er umfasst Anforderungen an Informati- onstechnik, IT-Sicherheitsverfahren und das ISMS, um sicherzustellen, dass geeig- nete Sicherheitsmaßnahmen getroffen und kontinuierlich verbessert werden. Die ISO/IEC 27001 bietet damit eine klare Struktur und spezifische Anforderungen für den Aufbau, die Umsetzung und die Aufrechterhaltung eines ISMS. Der informative Standard aus der ISO/IEC 27002 hingegen liefert einen Leitfaden für die Umsetzung von Informationssicherheitsmaßnahmen. Während ISO/IEC 27001 die Anforderungen vorgibt, beschreibt ISO/IEC 27002 bewährte Vorgehens- weisen, die als Code of Practice dienen, um die Sicherheitsrichtlinien und -verfah- ren effektiv zu implementieren. Er bietet detaillierte Empfehlungen zu IT-Sicher- heitsverfahren, Informationstechnik und den konkreten Maßnahmen, die ergriffen werden sollten, um die Informationssicherheit in der Praxis zu gewährleisten. Diese ergänzende Norm hilft Unternehmen dabei, die Anforderungen der ISO/IEC 27001 umzusetzen und bietet einen praktischen Ansatz zur Verbesserung der Informati- onssicherheit. 6.2.2 ISO 27001 Die ISO/IEC 27001 ist eine internationale Norm für Informationssicherheits-Mana- gementsysteme (ISMS), die die Anforderungen an den Aufbau, die Umsetzung, das Management und die kontinuierliche Verbesserung der Informationssicherheit in einer Organisation festlegt. Der Inhalt der Norm umfasst verschiedene wichtige Ele- mente: ······················································································································ 51 IT Sicherheit 1. Einführung und Kontext der Organisation: - Die Norm verlangt, dass Unternehmen den Kontext ihrer Organisation verstehen und relevante interne und externe Faktoren analysieren, die die Informationssi- cherheit beeinflussen könnten. Dabei werden auch die Anforderungen von Interes- sengruppen berücksichtigt. 2. Führung und Engagement des Managements: - Es ist erforderlich, dass die Unternehmensführung das ISMS unterstützt, Verant- wortung übernimmt und die notwendigen Ressourcen bereitstellt, um das ISMS zu etablieren und zu pflegen. 3. Planung des ISMS: - Die Norm fordert, dass Risiken und Chancen im Bereich der Informationssicher- heit bewertet und behandelt werden. Zudem müssen Sicherheitsziele definiert und entsprechende Maßnahmen geplant werden, um diese Ziele zu erreichen. 4. Unterstützung und Ressourcen: - Es wird darauf hingewiesen, dass alle erforderlichen Ressourcen (Personal, Inf- rastruktur, Technologien) zur Unterstützung des ISMS bereitgestellt werden müs- sen. Ebenso ist die Schulung und Sensibilisierung der Mitarbeiter ein wesentlicher Bestandteil. 5. Betrieb und Durchführung des ISMS: - Hier werden die konkreten Schritte zur Umsetzung des ISMS beschrieben. Dazu gehören die Identifikation und Bewertung von Informationssicherheitsrisiken, die Implementierung von Sicherheitskontrollen und -maßnahmen sowie die Überwa- chung und das Management der Sicherheitsrisiken. 6. Bewertung der Leistung (Monitoring und Messung): - Unternehmen müssen regelmäßig die Leistung des ISMS überwachen und mes- sen, um sicherzustellen, dass es wirksam ist und die Sicherheitsziele erreicht wer- den. Dies umfasst Audits, Bewertungen und die kontinuierliche Verbesserung des Systems. 7. Überprüfung und Managementbewertung: - Das Management muss das ISMS regelmäßig überprüfen und bewerten, um si- cherzustellen, dass es effektiv funktioniert, den festgelegten Sicherheitszielen ent- spricht und an die sich ändernden Risiken und Anforderungen angepasst wird. 8. Kontinuierliche Verbesserung: - Die ISO/IEC 27001 legt einen starken Fokus auf die kontinuierliche Verbesserung des ISMS. Die Organisation muss Mechanismen implementieren, um ······················································································································ 52 IT Sicherheit Sicherheitslücken zu identifizieren und Maßnahmen zu ergreifen, um diese zu be- heben und die Sicherheit kontinuierlich zu erhöhen. Zusätzlich zu diesen Hauptpunkten behandelt die ISO/IEC 27001 auch die Doku- mentation des ISMS, die Erstellung von Richtlinien, Verfahren und die Verantwor- tung für die Durchführung und Einhaltung der Sicherheitsmaßnahmen. Insgesamt bietet die ISO/IEC 27001 einen strukturierten Rahmen, der Organisatio- nen hilft, ihre Informationssicherheit systematisch zu steuern, Risiken zu managen und die Anforderungen der Informationssicherheit kontinuierlich zu verbessern. Merksatz 6.2.1 ISO 27002 Die ISO/IEC 27002 ist eine international anerkannte Norm, die als Leitfaden für die Umsetzung von Informationssicherheitsmaßnahmen dient. Sie ergänzt die ISO/IEC 27001 und bietet detaillierte Empfehlungen und bewährte Praktiken zur Gestaltung und Umsetzung eines Informationssicherheits-Managementsystems (ISMS). Die Norm gibt keine spezifischen Anforderungen vor, sondern beschreibt Handlungs- empfehlungen für Unternehmen, die ein ISMS einrichten oder verbessern möch- ten. Der Inhalt der ISO/IEC 27002 gliedert sich in verschiedene Bereiche: 1. Einleitung: - Eine allgemeine Einführung zur Informationssicherheit und zur Zielsetzung der ISO/IEC 27002. 2. Zielsetzung und Grundsätze der Informationssicherheit: - Die Norm stellt sicher, dass Informationssicherheit als eine fortlaufende Verant- wortung betrachtet wird, die durch alle Ebenen der Organisation getragen wird. 3. Steuerung der Informationssicherheit: - Die Norm beschreibt, wie Unternehmen Informationssicherheitsrichtlinien und -prozesse aufbauen und überwachen können. 4. Kontrollziele und Sicherheitsmaßnahmen: - ISO/IEC 27002 bietet eine umfassende Liste von Sicherheitsmaßnahmen. Diese umfassen u.a. folgende Themen: Informationssicherheitsrichtlinien, Organisation der Informationssicherheit, Si- cherheitsmanagement im Personalbereich, Asset-Management: Klassifizierung und Schutz von Informationswerten, Zugangskontrolle, Physische Sicherheit, Kommuni- kationssicherheit, Systemakquisition, -entwicklung und -wartung, ······················································································································ 53 IT Sicherheit Lieferantenbeziehungen, Management von Informationssicherheitsvorfällen, Busi- ness Continuity Management, Compliance. 5. Umsetzung von Sicherheitskontrollen: - Die Norm bietet eine detaillierte Beschreibung, wie die Sicherheitskontrollen in der Praxis umgesetzt werden können. 6. Verwendung von Kennzahlen und Überwachung: - Es werden Empfehlungen zur Messung und Überwachung der Wirksamkeit der Informationssicherheitsmaßnahmen gegeben. 7. Kontinuierliche Verbesserung: - Die ISO/IEC 27002 empfiehlt eine regelmäßige Überprüfung und Anpassung der Sicherheitsmaßnahmen, um den sich wandelnden Bedrohungen und neuen Anfor- derungen gerecht zu werden. Insgesamt ist die ISO/IEC 27002 eine praxisorientierte Norm, die Unternehmen da- bei unterstützt, geeignete Sicherheitsmaßnahmen auszuwählen und umzusetzen, Merksatz um ihre Informationssicherheit auf ein hohes Niveau zu heben. Sie bietet einen um- fassenden Rahmen zur Umsetzung von Best Practices im Bereich Informationssi- cherheit und unterstützt Organisationen bei der sicheren Handhabung und dem Schutz von Daten und Systemen. 6.3 Das IT-Sicherheitsgesetz Das IT-Sicherheitsgesetz verpflichtet Betreiber kritischer Infrastrukturen, Sicher- heitsmaßnahmen zum Schutz ihrer IT-Systeme und Netzwerke zu ergreifen, um die Funktionsfähigkeit dieser kritischen Bereiche zu gewährleisten. Das Gesetz wurde durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt und ist Teil der allgemeinen IT-Sicherheitsstrategie der Bundesre- gierung. Es wurde später durch das IT-Sicherheitsgesetz 2.0 weiterentwickelt, um die Anforderungen und Schutzmaßnahmen für KRITIS weiter zu stärken. Es ver- pflichtet Unternehmen, IT-Sicherheitsvorfälle zu melden, Schwachstellen zu behe- ben und Notfallpläne zu implementieren, um die Funktionsfähigkeit von KRITIS zu erhalten und die Auswirkungen von Angriffen zu minimieren. 6.4 KRITIS KRITIS (Kritische Infrastrukturen) wurde in Deutschland durch das IT-Sicherheitsge- setz ins Leben gerufen, das 2015 verabschiedet wurde. Dieses Gesetz war eine Re- aktion auf die zunehmenden Bedrohungen der IT-Sicherheit und die Erkenntnis, ······················································································································ 54 IT Sicherheit dass bestimmte Sektoren des Landes für das tägliche Leben und die nationale Si- cherheit von entscheidender Bedeutung sind. 1. Was sind kritische Infrastrukturen (KRITIS)? Kritische Infrastrukturen sind sehr wichtige Organisationen, die in Bereichen tätig sind, die das tägliche Leben der Bevölkerung und die Wirtschaft betreffen. Sie sind unverzichtbar für die Stabilität und Sicherheit eines Landes. Zu den KRITIS gehören Merksatz u. a.: - Energieversorgung (Strom, Gas, Öl) - Wasserversorgung und Abwasserentsorgung - Lebensmittelversorgung - Informationstechnik und Telekommunikation - Gesundheitswesen - Transport und Verkehr (z. B. Flughäfen, Schienenverkehr, Straßeninfrastruktur) - Finanz- und Versicherungswesen - Notfall- und Sicherheitsdienste (z. B. Polizei, Feuerwehr, Rettungsdienste) 2. Relevanz von KRITIS Die Störung oder Zerstörung von kritischen Infrastrukturen kann zu flächendecken- den und langfristigen Auswirkungen auf die Gesellschaft und Wirtschaft führen. Dies betrifft sowohl die Sicherheit als auch das Wirtschaftswachstum eines Landes. Beispiel - Ein Ausfall der Stromversorgung könnte zu massiven Produktionsausfällen und Be- Beispiel einträchtigungen der Kommunikation führen. - Ein Ausfall des Gesundheitswesens könnte Leben gefährden und das öffentliche Gesundheitswesen zusammenbrechen lassen. - Ein Ausfall der Wasserversorgung könnte die Grundversorgung der Bevölkerung gefährden. Beispiel 3. KRITIS und Cybersicherheit Beispiel In der heutigen Zeit sind digitale Systeme und IT-Infrastrukturen ein zentraler Be- standteil der kritischen Infrastrukturen. Cyberangriffe und IT-Sicherheitsvorfälle- stellen eine wachsende Bedrohung dar, da durch solche Angriffe ganze Kritische Infrastrukturen lahmgelegt werden können. ······················································································································ 55 IT Sicherheit Ein Angriff auf KRITIS könnte etwa durch Ransomware oder durch gezielte Hacker- angriffe erfolgen. Daher ist es besonders wichtig, dass die Betreiber von KRITIS um- fassende Cybersicherheitsmaßnahmen implementieren, um ihre Systeme zu schüt- zen. 4. KRITIS im deutschen Recht In Deutschland ist das Thema KRITIS gesetzlich geregelt, insbesondere durch das BSI-Gesetz (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), (siehe Kapitel 6.1) das die Sicherstellung der Funktionsfähigkeit von KRITIS im Falle von Störungen oder Angriffen regelt. Betreiber von KRITIS ihre IT-Sicherheitsvorkehrungen regelmäßig überprüfen und einen Notfallplan für den Fall eines Ausfalls haben. Die Betreiber sind auch ver- pflichtet, IT-Sicherheitsvorfälle, die die Funktionsfähigkeit ihrer Infrastruktur ge- fährden, an das BSI zu melden. 5. KRITIS und Notfallmanagement Im Falle eines Vorfalls müssen Betreiber von KRITIS ein Notfallmanagement haben, um schnell und effektiv auf Angriffe oder Ausfälle reagieren zu können. Dies kann Maßnahmen wie die Wiederherstellung von IT-Systemen, die Koordination mit Si- cherheitsbehörden oder die Evakuierung von betroffenen Personen umfassen. 6. KRITIS und Zusammenarbeit Der Schutz von KRITIS erfordert eine enge Zusammenarbeit zwischen den Betrei- bern, den staatlichen Stellen, den Sicherheitsbehörden und weiteren relevanten Akteuren. Nur durch diese Zusammenarbeit können Krisenszenarien frühzeitig er- kannt und adäquat darauf reagiert werden. 7. Informationssicherheitsbeauftragte (ISB) In der Umsetzung von Sicherheitsanforderungen für Betreiber kritischer Infrastruk- turen spielt der Informationssicherheitsbeauftragte eine zentrale Rolle. Der ISB ent- wickelt Sicherheitskonzepte und überwacht deren Einhaltung, um die IT-Systeme vor Angriffen zu schützen und die Funktionsfähigkeit der kritischen Infrastruktur sicherzustellen. Zudem stellt der ISB sicher, dass gesetzliche Vorgaben, wie die Meldung von Sicher- heitsvorfällen, korrekt eingehalten werden. Er fungiert als Schnittstelle zwischen ······················································································································ 56 IT Sicherheit der Organisation, den Behörden und internen Teams, um die Cybersicherheit auf einem hohen Niveau zu halten. Berichtet an die Geschäftsführung Berät die IT Leitung Berät und auditert die IT Abteilung Abbildung 17: Vorgehensweise im Unternehmen Zusammenfassung: Zusammenfassung KRITIS umfasst die kritischen Bereiche und Infrastrukturen, deren Ausfall oder Stö- rung massive Folgen für die Gesellschaft und die Wirtschaft haben würde. Daher wird der Schutz dieser Infrastrukturen durch gesetzliche Regelungen, Sicherheits- standards und ein effektives Notfallmanagement sichergestellt. In einer zuneh- mend digitalisierten Welt ist auch die IT- und Cybersicherheit ein wichtiger Bestand- teil des KRITIS-Schutzes. 6.5 NIS 2 Die NIS-2-Richtlinie (Network and Information Security) ist eine EU-weite Regelung, die die Cybersicherheit in kritischen und wichtigen Sektoren stärkt. Sie ersetzt die bisherige NIS-Richtlinie und legt strengere Anforderungen an die IT-Sicherheits- maßnahmen und das Risikomanagement von Unternehmen und Organisationen fest. Ziel ist es, IT-Systeme und Netzwerke in Bereichen wie Energie, Gesundheit, Verkehr, Finanzen und digitale Infrastruktur besser vor Cyberangriffen zu schützen. ······················································································································ 57 IT Sicherheit Neu ist, dass der Geltungsbereich auf mehr Branchen und Organisationen ausge- weitet wurde, einschließlich mittelgroßer Unternehmen in kritischen Bereichen. Unternehmen müssen Sicherheitsvorfälle nun verpflichtend und zeitnah melden sowie geeignete Maßnahmen zur Vorbeugung treffen. Die Richtlinie schafft zudem eine einheitlichere Rechtslage innerhalb der EU und fördert die Zusammenarbeit zwischen den Mitgliedstaaten in Fragen der Cybersicherheit. (https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Down- loads/referentenentwuerfe/CI1/NIS-2-RefE.pdf?__blob=publicationFile&v=3) Unterschied KRITIS und NIS2 Abbildung 18: Unterschiede zwischen KRITIS und NIS2 Der Unterschied zwischen KRITIS und der NIS2-Richtlinie liegt vor allem in ihrem geografischen und regulatorischen Kontext, den betroffenen Sektoren sowie in den spezifischen Anforderungen an die Cybersicherheit. Beide konzentrieren sich auf den Schutz von kritischen Infrastrukturen, jedoch gibt es wesentliche Unterschiede hinsichtlich der Reichweite und der gesetzlichen Grundlagen. ······················································································································ 58 IT Sicherheit 1. KRITIS (Kritische Infrastrukturen) KRITIS ist ein deutsches Konzept, das sich auf kritische Infrastrukturen in Deutsch- land, also Organisationen und Systeme, deren Ausfall oder Beeinträchtigung erheb- liche Folgen für die Gesellschaft und Wirtschaft hätte, bezieht 2. NIS2-Richtlinie Die NIS2-Richtlinie) ist eine europäische Richtlinie, die Anforderungen zum Schutz von Netzwerk- und Informationssystemen fest und erweitert die Vorgaben für Cy- bersicherheit festlegt. NIS2 betrifft nicht nur kritische Infrastrukturen, sondern auch eine breitere Aus- wahl von wesentlichen und wichtigen Diensten, die für die Wirtschaft und Gesell- schaft wichtig sind, zum Beispiel: - Energieversorgung - Verkehr (einschließlich Schienenverkehr, Luftverkehr) - Gesundheitswesen - Finanzwesen - Digitale Infrastruktur (z. B. Cloud-Computing-Anbieter, Rechenzentren) - Öffentliche Verwaltung - Abfallwirtschaft und Chemie Die NIS2-Richtlinie erweitert die Meldepflichten für Cybersicherheitsvorfälle, for- dert umfassendere Sicherheitsmaßnahmen (einschließlich Risikomanagement und Schwachstellenanalyse) und legt strengere Sanktionen für Verstöße fest. NIS2 be- zieht sich auch auf die Lieferkette und verpflichtet Unternehmen, die Sicherheits- maßnahmen ihrer Zulieferer und Partner zu prüfen. Sie verfolgt einen europäischen Ansatz und zielt darauf ab, die Cybersicherheit in Merksatz der EU zu harmonisieren und zu stärken. Reflexionsfragen: Skizzieren Sie in Kürze die Schritte der Strukturanalyse des BSI Grundschut- zes. Reflexionsfragen Was ist die Schutzbedarfsfeststellung im Sinne des BSI IT-Grundschutz? Welche 2 Hauptaspekte bei der Risikobewertung im Sinne des BSI Grund- schutz werden betrachtet? Beschreiben Sie in Kürze ISO/IEC 27001. Beschreiben Sie in Kürze ISO/IEC 27002 Beschreiben Sie KRITIS und NIS2 in Kürze. Die Lösungsansätze finden Sie am Ende des Skriptums in Kapitel 9 ······················································································································ 59

IT Sicherheit: Vorgaben, Grundschutz, Kritische Infrastrukturen (PDF)

Document Details

Tags

Related

Summary

Full Transcript