Einführung und Grundlagen

Sicherheit

Sicherheit - Zustand frei von unvertretbaren Risiken

Beschreibung

sēcūritās (lateinisch), sēcūrus „sorglos“, sēd „ohne“ und cūra „(Für-)Sorge“

Zustand frei von unvertretbaren Risiken
gefahrenfrei

bezogen auf

Lebewesen
Objekte/Systeme
Wertvorstellungen
Zeitraum
...

Grundbedürfnis Sicherheit

Sicherheitsbedarf steigt

Globalisierung
steigende Mobilität
wachsender Abhängigkeit von Technik

Relative Sicherheit

Relativer Zustand der Gefahrenfreiheit

Begrenzt auf

Zeitraum
Umgebung
Bedingungen

Ereignisse, die sich nicht beeinflussen oder voraussehen lassen

Sicherheitsvorkehrungen können zu Fall gebracht werden

Beeinträchtigungen können nicht ausgeschlossen werden

Nur hinreichend unwahrscheinlich gemacht werden

Beispiel Kraftfahrzeugwesen

Zahlreiche Vorschriften
Regelmäßige Kontrollen

Das Führen von Kraftfahrzeugen für dennoch regelmäßig zu gefährlichen Zuständen

unabsichtlich
- fahrlässig
absichtlich
- böswillig

Vertretbaren Risiken

Komplexe Systeme

In komplexen Systemen lassen sich Risiken nicht völlig auszuschließen

Vertretbares Risiko

hängt von vielen Faktoren ab
wird subjektiv und kulturell verschieden bewertet

Wahrscheinlichkeiten

höhere Wahrscheinlichkeiten für Beeinträchtigungen mit steigendem Nutzen werden als vertretbar angesehen
Aktien-Spekulation, Teilnahme am Straßenverkehr, ...

Sicherheitskonzepte

Definierter Zustand von Sicherheit
Definition von Maßnahmen

Erfolgreiche Sicherheitsmaßnahmen

können Beeinträchtigungen (erwartete und unerwartete) abwehren oder hinreichend unwahrscheinlich machen

Security und Safety

Sicherheit umfasst Security und Safety

Security

Angriffssicherheit

Sicherheit eines Systems
Schutz des Objektes vor der Umgebung
Immunität

Safety

Betriebssicherheit

Zuverlässigkeit eines Systems
Schutz der Umgebung vor einem Objekt
Isolation

Sicherheitskonzepte spezifizieren diese Anforderungen

Es ist unzureichend, von einer Fluchttür lediglich „Sicherheit“ zu fordern.

Safety-Anforderung

Gewährleistung eines gefahrlosen Flucht- und Rettungsweges

Security-Anforderung

Vermeidung einer unberechtigten Nutzung der Tür im Normalbetrieb

Wirtschaftliche Sicherheit

Materieller / finanziellen Mittel

ist für die Existenz oder
für geplanten Vorhaben
im vorgesehenen Zeitraum gewährleistet

Dies kann sowohl

das einzelne Individuum betreffen, als auch
Kollektive (betriebswirtschaftliche Unternehmen oder ganze Staaten)

Versicherungen

Absicherung unabweisbare Gefahren
erhöht nicht objektiv die Sicherheit
aber das subjektive Sicherheitsgefühl
im Eintrittsfall eine Behebung oder Ausgleich des Schadens ermöglichen

Betriebswirtschaftliche Sicherheit

technische, logistische und organisatorische Maßnahmen
in Bezug auf Maschinen oder Anlagen im industriellen Bereich
Ausfallsicherheit, Verlässlichkeit und Verfügbarkeit

Technische Sicherheit

Betriebssicherheit

Technische Konstruktionen oder Objekte
Zustand der voraussichtlich störungsfreien und gefahrenfreien Funktion

„Sicherheit“ ist abhängig von ihrer Definition
welcher Grad von Unsicherheit akzeptiert wird

Zuverlässigkeit

Tritt bei einer Störung keine Gefährdung auf, spricht man von Zuverlässigkeit
Die Norm IEC 61508 definiert Sicherheit als „Freiheit von unvertretbaren Risiken“
„funktionalen Sicherheit“ als Teilaspekt der Gesamtsicherheit

Bauteilzuverlässigkeit

Technische Konstruktionen oder Objekte
Bauteilzuverlässigkeit

Primäre Grundlage für die Betriebssicherheit
Bauteile dürfen nicht durch Überbelastung oder Materialversagen Ihre Funktionsfähigkeit verlieren

Bedeutung der Software bei technischen Systemen

Software für sicherheitskritische Systeme
hoher Aufwand für die Sicherstellung der Fehlerarmut der Software
strenge Maßstäbe an den Softwareentwicklungsprozess
Für einige Bereiche gibt es einschlägige Normen Industrien (Eisenbahn: EN 50128)

Kosten vs. Sicherheit

Häufig stehen kostenaufwändige Sicherheitsmaßnahmen den wirtschaftlichen Belangen zum Kapitalgewinn entgegen

Sicherheitstechnik

Unmittelbare Sicherheit

Gefahrenentstehung wird verhindert
safe-life-Ansatz

Versagen wird ausgeschlossen
Klärung aller äußeren Einflüsse
sicheres Bemessen
weiterer Kontrolle wird
beschränktes Versagen ermöglicht gefahrlose Außerbetriebnahme möglich

redundante Anordnung von Baugruppen

Gesamtfunktion immer gewährleistet
auch bei Teilausfällen

Verfahren der Sicherheitstechnik

Auswirkungsanalyse
Fehlerbaumanalyse
PAAG-Verfahren

Unbeabsichtigten Folgen von Sicherheitssysteme

Können Sicherheitsgewinn zunichtemachen
Prognosen vs. empirische Beobachtung

Der auf Prognosen setzenden Sicherheitsforschung wird vorgeworfen, empirische Beobachtung der Systeme zu vernachlässigen

Beispiel: Risiken von VPN

Risiken und Nebenwirkungen beim Einsatz von VPNs

Nicht alle VPN-Systeme sind sicher gegen Man-in-the-Middle-Angriffe
insbesondere in der Phase des Aushandelns der Übertragungs- und Kryptografiesparameter

Implementierung von VPNs erfordert eine Menge Vorarbeiten

Vielzahl und Komplexität der verfügbaren Protokolle

VPNs erfordert je nach Architektur erhebliche zusätzliche Ressourcen

Schutzeinrichtungen

Schutzeinrichtung	Beschreibung
Trennend	Verkleidung, Verdeckung, Sicherheitsdomänen, Firewall
Ortsbindend	Zweihandbedienung, Tipptaster, Anketten
Abweisend	Handabweiser, Zugangskontrolle, Raumverschluss
Detektierend	Lichtschranke, Pendelklappen, Monitoring, Intrusion Detektion

Informationssicherheit

Informationssicherheit - Eigenschaft von Systemen Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen

Beschreibung

Abgrenzungen

Begriff	Beschreibung
Informationssicherheit	Eigenschaft von Systemen Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen
Cybersicherheit
IT-Sicherheit

Systeme

technisch
nicht-technisch

Informationsverarbeitung

Ziele

Grundwerte der Informationssicherheit
Grundwert	Beschreibung
Vertraulichkeit
Verfügbarkeit
Integrität

Informationssicherheit

Schutz vor Gefahren/Bedrohungen
Vermeidung von wirtschaftlichen Schäden
Minimierung von Risiken

Normen und Standards

In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe

Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet
Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung
Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller

Abhängigkeit von IT-Systemen

Private und öffentliche Unternehmen sind in allen Bereichen ihrer Geschäftstätigkeit, Privatpersonen in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen
Da neben der Abhängigkeit auch die Risiken für IT-Systeme in Unternehmungen in der Regel größer sind als für Computer und Netzwerke in privaten Haushalten, ist Informationssicherheit überwiegend Aufgabe von Unternehmen

Gesetzte und Regelungen

Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus den verschiedenen Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht usw. herleiten

Dort stellt Informationssicherheit einen Baustein des Risikomanagements dar
International spielen Vorschriften wie Basel II und der Sarbanes-Oxley Act eine wichtige Rolle

Informationssicherheit

Der Begriff Informationssicherheit bezieht sich oft auf eine globale Informationssicherheit

Bei der die Zahl der möglichen schädlichen Szenarien summarisch reduziert ist oder der Aufwand zur Kompromittierung für den Betreiber in einem ungünstigen Verhältnis zum erwarteten Informationsgewinn steht.
In dieser Sichtweise ist die Informationssicherheit eine ökonomische Größe, mit der zum Beispiel in Betrieben und Organisationen gerechnet werden muss.
Daneben bezieht sich der Begriff auch auf die Sicherheit unter einem bestimmten Szenarium.
In diesem Sinn liegt Informationssicherheit vor, wenn über einen bereits bekannten Weg kein Angriff auf das System mehr möglich ist.
Man spricht von einer binären Größe, weil die Information beim Anwenden dieser speziellen Methode entweder sicher oder nicht sicher sein kann.

Informationssicherheit versus IT-Sicherheit

Motivation

Risikoorientierte Herangehensweise

Vermeidung von Schäden durch Maßnahmen
Schutz vor Schäden jeglicher Art

Klassische Beispiele

Image- und Vertrauensverlust
Datenverlust
Produktivitätsausfall
Wirtschaftsspionage
Verletzung von Marken- und Urheberrechten

IT-Sicherheit

Motivation

Motivation		Beschreibung
Globalisierung	Kommunikationsbedürfnisse und -infrastruktur (Internet)	Verteilte Informatiksysteme sind kritische Ressourcen Grenzüberschreitenden Kooperation E-Mail Desktop-Konferenzen Soziale Netzwerke Fernzugriffe
Offene Systeme	Vielfältige Schnittstellen und Datenaustausch	Erhöhung des Angriffs- und Schadenpotentials
Physische Sicherheit	kann oft nicht gewährleistet werden Zugang zu Räumen und IT-Systemen
Vertrauen als Ressource	Wem vertraue ich, wem nicht?	Wer ist mein Gegenüber wirklich?

Arten und Wichtigkeit von Informationen

Informationen sind Werte

ISO/IEC 27001

Wertvoll für eine Organisation
Wie die übrigen Geschäftswerte
Müssen in geeigneter Weise geschützt werden

Angemessener Schutz

Unabhängig von

Erscheinungsform
Art der Nutzung
Speicherung

Option	Beschreibung
Schutzziele	IT-Sicherheit/Grundfunktionen
Maßnahmen	Grundschutz/Maßnahmen
IT-Sicherheitsmanagement	Managementsystem_für_Informationssicherheit

Aufrechterhaltung (CIA) von Informationen

Vertraulichkeit
Integrität
Verfügbarkeit

Ziel

Sicherstellen, dass Informationen in kritischen Situationen nicht beeinträchtigt werden

Problemfelder

Zu diesen Problemen gehören unter anderem Naturkatastrophen, Computer-/Serverfehlfunktionen und physischer Diebstahl
Während papiergestützte Geschäftsabläufe immer noch weitverbreitet sind und eine eigene Reihe von Informationssicherheitspraktiken erfordern, werden digitale Unternehmensinitiativen immer mehr in den Vordergrund gerückt, wobei die Informationssicherheit jetzt in der Regel von IT-Sicherheitsspezialisten übernommen wird
Diese Spezialisten wenden die Informationssicherheit auf die Technologie an (meistens auf eine Form von Computersystemen)
Es sei darauf hingewiesen, dass ein Computer nicht zwangsläufig ein Heimcomputer ist

Was ist ein Comuter?

Ein Computer ist jedes Gerät mit einer Prozessor und etwas Speicher

Solche Geräte können von nicht vernetzten, eigenständigen Geräten wie Taschenrechnern bis zu vernetzten mobilen Computern wie Smartphones und Tablet-Computern reichen

IT-Sicherheitsspezialisten

IT-Sicherheitsspezialisten sind aufgrund der Art und des Wertes der Daten in größeren Unternehmen fast immer in allen größeren Unternehmen/Einrichtungen zu finden
Sie sind dafür verantwortlich, dass die gesamte Technologie des Unternehmens vor böswilligen Cyberangriffen geschützt wird, die häufig darauf abzielen, an wichtige private Informationen zu gelangen oder die Kontrolle über die internen Systeme zu erlangen

Informationssicherheit hat sich in den vergangenen Jahren stark weiterentwickelt

Es bietet viele Spezialisierungsmöglichkeiten, darunter die Sicherung von Netzwerken und verwandter Infrastruktur, die Sicherung von Anwendungen und Datenbanken, Sicherheitstests, die Prüfung von Informationssystemen Auditierung, Geschäftskontinuitätsplanung, die Aufdeckung elektronischer Daten und digitale Forensik
Fachleute für Informationssicherheit sind in ihrem Beschäftigungsverhältnis sehr stabil
Mehr als 80 Prozent der Fachleute hatten über einen Zeitraum von einem Jahr keinen Wechsel des Arbeitgebers oder der Beschäftigung zu verzeichnen, und die Zahl der Fachleute wird von 2014 bis 2019 voraussichtlich kontinuierlich um mehr als 11 Prozent jährlich steigen

Schutz von Informationen

Informationsrisikomanagement

Schutz von Informationen durch die Minderung von Informationsrisiken

Risikominderung

Eintrittwahrscheinlichkeit
Schadensausmaß

Gefährdungen von Informationen

Gefährdung	Beschreibung
unbefugter/unangemessener Zugriff
unrechtmäßige Nutzung
Enthüllung
Unterbrechung
Löschung
Korruption
Änderung
Einsichtnahme
Aufzeichnung
Entwertung

Maßnahmen zur Verringerung der nachteiligen Auswirkungen solcher Vorfälle

Geschützte Informationen können jede Form annehmen, etwa elektronisch oder physisch, materiell (etwa Papier) oder immateriell (etwa Wissen)

CIA-Trias Ausgewogenen Schutz

Grundwert	English	Abkürzung
Datenvertraulichkeit
Datenintegrität
Datenverfügbarkeit

Schwerpunkt

Effiziente Umsetzung von Richtlinien
ohne die Produktivität der Organisation zu beeinträchtigen

Risikomanagement-Prozess Strukturierter Risikomanagement-Prozess

Identifizierung von Informationen und zugehörigen Vermögenswerten sowie potenziellen Bedrohungen, Schwachstellen und Auswirkungen;
Bewertung der Risiken
Entscheidung, wie mit den Risiken umzugehen ist, d.h
sie zu vermeiden, abzuschwächen, zu teilen oder zu akzeptieren
wenn eine Risikominderung erforderlich ist, Auswahl oder Entwurf geeigneter Sicherheitskontrollen und deren Implementierung
Überwachung der Aktivitäten und ggf
Anpassung an Probleme, Veränderungen und Verbesserungsmöglichkeiten

Standardisierte Vorgehensweise

Um diese Disziplin zu standardisieren, arbeiten Akademiker und Fachleute zusammen, um Leitlinien, Richtlinien und Industriestandards zu Passwort, Antivirensoftware, firewall, Verschlüsselungssoftware, rechtliche Haftung, Sicherheitsbewusstsein und Schulung usw. anzubieten

Diese Standardisierung kann durch eine Vielzahl von Gesetzen und Vorschriften vorangetrieben werden, die sich darauf auswirken, wie Daten abgerufen, verarbeitet, gespeichert, übertragen und vernichtet werden

Die Umsetzung von Standards und Leitlinien innerhalb einer Organisation kann jedoch nur begrenzte Wirkung haben, wenn keine Kultur der Kontinuierliche Verbesserung eingeführt wird

Definition

Attribute

Attribute der Informationssicherheit (CIA)

Informationssysteme

Informationssysteme bestehen aus drei Hauptteilen, Hardware, Software und Kommunikation, mit dem Ziel, Informationssicherheits-Industriestandards als Schutz- und Präventionsmechanismen auf drei Ebenen oder Schichten zu identifizieren und anzuwenden:

physikalisch
persönlich
organisatorisch

Richtlinien

Verfahren und Richtlinien implementieren

Administratoren, Benutzern und Betreibern mitteilen, wie Produkte verwendet werden sollen
Um die Informationssicherheit innerhalb der Organisationen zu gewährleisten

Definitionen von Informationssicherheit

Option	Beschreibung	Quelle
Vertraulichkeit, Integrität und Verfügbarkeit von Informationen	Weitere Eigenschaften Authentizität Verantwortlichkeit Nichtabstreitbarkeit Zuverlässigkeit	ISO/IEC 27000
Schutz von Informationen/Informationssystemen	vor unbefugtem Zugriff, Verwendung, Offenlegung, Störung, Änderung oder Zerstörung, um Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten."	CNSS, 2010
Nur autorisierte Benutzer	(Vertraulichkeit) bei Bedarf Zugang zu genauen und vollständigen Informationen (Integrität) haben (Verfügbarkeit)	ISACA, 2008
Ist ein Prozess	des Schutzes des geistigen Eigentums einer Organisation	Pipkin, 2000
Disziplin des Risikomanagements	deren Aufgabe es ist, die Kosten des Informationsrisikos für das Unternehmen zu verwalten."	McDermott und Geer, 2001
Gut informiertes Gefühl der Sicherheit	dass Informationsrisiken und -kontrollen im Gleichgewicht sind	Anderson, J., 2003
Schutz von Informationen	minimiert das Risiko, dass Informationen Unbefugten zugänglich gemacht werden.	Venter und Eloff, 2003

Informationssicherheit ist ein multidisziplinäres Studien- und Berufsfeld

das sich mit der Entwicklung und Umsetzung von Sicherheitsmechanismen aller verfügbaren Arten (technisch, organisatorisch, menschlich und rechtlich) befasst, um Informationen an all ihren Orten (innerhalb und außerhalb der Unternehmensgrenzen) und folglich auch Informationssysteme, in denen Informationen erstellt, verarbeitet, gespeichert, übertragen und vernichtet werden, vor Bedrohungen zu schützen

Bedrohungen für Informationen und Informationssysteme können in Kategorien eingeteilt werden, und für jede Kategorie von Bedrohungen kann ein entsprechendes Sicherheitsziel definiert werden

Ein Satz von Sicherheitszielen, der als Ergebnis einer Bedrohungsanalyse ermittelt wurde, sollte regelmäßig überarbeitet werden, um seine Angemessenheit und Konformität mit dem sich entwickelnden Umfeld sicherzustellen

Relevante Satz von Sicherheitszielen

Vertraulichkeit
Integrität
Verfügbarkeit
Datenschutz
Authentizität
Vertrauenswürdigkeit
Nichtabstreitbarkeit
Rechenschaftspflicht
Überprüfbarkeit

Die Sicherheit von Informationen und Informationsressourcen unter Verwendung von Telekommunikationssystemen oder -geräten bedeutet den Schutz von Informationen, Informationssystemen oder Büchern vor unbefugtem Zugriff, Beschädigung, Diebstahl oder Zerstörung

Normen und Standards

Informationssicherheit - Normen und Standards im Überblick

Beschreibung

Der Aufwand für die Sicherung der IT-Ressourcen in einem Unternehmen kann mitunter sehr hoch sein

Da traditionellerweise zuerst eine Analyse der vorhandenen schützenswerten Objekte (Assets) und eine Risiko- und Bedrohungsanalyse erfolgen muss.
Danach werden die notwendigen Sicherheitsmaßnahmen ausgewählt, die zum Schutz der jeweiligen Assets für nötig erachtet werden.
Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen.
Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen.

Nutzen von Sicherheitstandards

Option	Beschreibung
Kostensenkung	Praxiserprobte Vorgehensmodelle Methodische Vereinheitlichung Nachvollziehbarkeit Ressourceneinsparung durch Kontinuität und einheitliche Qualifikation Interoperabilität
Angemessenes Sicherheitsniveau	Orientierung am Stand der Technik und Wissenschaft Gewährleistung der Aktualität Verbesserung des Sicherheitsniveaus durch die Notwendigkeit der zyklischen Bewertung
Wettbewerbsvorteile	Zertifizierung des Unternehmens sowie von Produkten Nachweisfähigkeit bei öffentlichen und privatwirtschaftlichen Vergabeverfahren Verbesserung des Unternehmensimage
Rechtssicherheit	Stärkung der Rechtssicherheit

Zweck und Struktur relevanter Normen und Richtlinien

Arten von Normen und Standards

Standards zur Informationssicherheit im Überblick

Beispiele für Normen und Standards

Kriterienwerke

Standard	Beschreibung
IT-Grundschutz-Kompendiumn
BSI/Standard
ISO/IEC 13335
ISO/IEC 19790
ISO/27000
Common Criteria/ITSEC/ISO/IEC 15408
COBIT
ITIL
DIN EN 50600
Common Criteria
ISIS12
COSO
ITIL	IT_Infrastructure_Libary
ISO/IEC 13335
ISO/IEC 9000

Verbindlichkeit

Modalverben beschreiben die Verbindlichkeit einer Anforderung: Was getan werden MUSS oder SOLL

Ausdruck	Verbindlichkeit
MUSS, DARF NUR	Anforderung muss unbedingt erfüllt werden
DARF NICHT, DARF KEIN	Darf in keinem Fall getan werden
SOLLTE	Anforderung ist normalerweise zu erfüllt (MUSS, wenn kann). Abweichung in stichhaltig begründeten Fällen möglich.
SOLLTE NICHT, SOLLTE KEIN	Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden darf, bei stichhaltigen Gründen aber trotzdem erfolgen kann.

Ausdruck	Verbindlichkeit
MUST, MUST NOT, SHALL, SHALL NOT	Anforderung muss zwingend eingehalten werden
SHOULD, SHOULD NOT, RECOMMENDED, NOT RECOMMENDED	Empfohlene Anforderung, Abweichung in Begründeten Einelfällen möglich.
MAY, OPTIONAL	Anforderung liegt im Ermessen des Herstellers

Siehe auch

https://de.wikipedia.org/wiki/Modalit%C3%A4t_(Sprachwissenschaft)

Verfahren

Informationssicherheit/Verfahren - Kurzbeschreibung

Beschreibung

Option	Beschreibung
Sicherheits-Governance
Vorfallsreaktionspläne
Änderungsmanagement

Sorgfaltspflicht

„Vernünftige und umsichtige Person“, „Sorgfaltspflicht“

Lange in Bereichen Finanzen, Wertpapiere und Recht verwendet
In den vergangenen Jahren haben diese Begriffe auch in den Bereichen Informatik und Informationssicherheit Einzug gehalten

Einhaltung von Gesetzen und Vorschriften

Aktionäre, Kunden, Geschäftspartner und Regierungen erwarten

dass die Unternehmensleitung das Unternehmen in Übereinstimmung mit anerkannten Geschäftspraktiken und unter Einhaltung von Gesetzen und anderen Vorschriften führt
Dies wird oft als die Regel der „vernünftigen und umsichtigen Person“ beschrieben
Eine umsichtige Person achtet darauf, dass alles Erforderliche getan wird, um das Unternehmen nach soliden Geschäftsprinzipien und auf legale, ethische Weise zu führen
Eine umsichtige Person ist auch gewissenhaft (aufmerksam, fortlaufend) in ihrer Sorgfaltspflicht gegenüber dem Unternehmen

"due care" und "due diligence"

Im Bereich der Informationssicherheit bietet Harris die folgenden Definitionen der Begriffe "due care" und "due diligence" an:

"Due care are steps that are taken to show that a company has taken responsibility for the activities that take place within the corporation and has taken the necessary steps to help protect the company, its resources, and employees."

Und [Due Diligence sind die] "kontinuierliche Aktivitäten, die sicherstellen, dass die Schutzmechanismen kontinuierlich aufrechterhalten werden und funktionsfähig sind."'

Bei diesen Definitionen sollten zwei wichtige Punkte beachtet werden

Erstens werden bei der Sorgfaltspflicht Schritte unternommen, die sich nachweisen lassen; das bedeutet, dass die Schritte überprüft und gemessen werden können oder sogar greifbare Artefakte hervorbringen.
Dies bedeutet, dass Menschen tatsächlich etwas tun, um die Schutzmechanismen zu überwachen und aufrechtzuerhalten, und dass diese Aktivitäten fortlaufend sind.

Verantwortung

Organisationen haben eine Verantwortung

Sorgfaltspflicht bei der Anwendung der Informationssicherheit praktizieren

Der Duty of Care Risk Analysis Standard (DoCRA) bietet Grundsätze und Praktiken für die Bewertung von Risiken.
Dabei werden alle Parteien berücksichtigt, die von diesen Risiken betroffen sein könnten.
DoCRA hilft bei der Bewertung von Schutzmaßnahmen, ob diese geeignet sind, andere vor Schaden zu bewahren und gleichzeitig eine angemessene Belastung darstellen.
Angesichts der zunehmenden Rechtsstreitigkeiten im Zusammenhang mit Datenschutzverletzungen müssen Unternehmen ein Gleichgewicht zwischen Sicherheitskontrollen, Einhaltung der Vorschriften und ihrem Auftrag herstellen.

Normen und Standards

BSI-Standards - Kurzbeschreibung

Beschreibung

Version 200

Standard	Titel	Status	Beschreibung
200-1	Managementsysteme für Informationssicherheit	Standard	Informationssicherheitsmanagementsystem
200-2	IT-Grundschutz-Methodik	Standard	Vorgehensweise
200-3	Risikomanagement	Standard	Risikoanalyse
200-4	Business Continuity Management	Standard	Notfallmanagement

IT-Grundschutz

IT-Grundschutz - Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der Informationstechnik (IT)

Beschreibung

Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der Informationstechnik (IT)

Mittleres, angemessenes und im Allgemeinen ausreichendes Schutzniveau

Erweiterbar für erhöhten Schutzbedarf

Sicherheitsmaßnahmen

Bereich	Beschreibung
Technisch
Infrastrukturell
Organisatorisch
Personell

Zertifizierung

ISO/IEC 27001-Zertifikats auf Basis von IT-Grundschutz

Nachweis eines systematischen Vorgehens
Informationssicherheits-Managementsystem (ISMS)
Absicherung von IT-Systemen gegen Gefährdungen

Bestandteile

Bestandteil	Beschreibung
Standards	Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen
Kompendium	mit dem die in den -Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können

BSI-Standards und IT-Grundschutz-Kataloge

Durch die Umstrukturierung und Erweiterung des IT-Grundschutzhandbuchs im Jahr 2006 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden die Methodik und die IT-Grundschutz-Kataloge getrennt.
Seit diesem Zeitpunkt gleicht das BSI seine eigenen Standards regelmäßig an internationale Normen wie der ISO/IEC 27001 an.

BSI-Standards

Angaben zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) und zur Umsetzung des IT-Grundschutzes.
Im Oktober 2017 lösten die BSI-Standards 200-1, 200-2 und 200-3 die BSI-Standards der Reihe 100-x weitgehend ab

Nur der 2008 veröffentlichte BSI-Standard 100-4 ist weiterhin gültig, er vereint Elemente aus dem BS 25999 sowie dem ITIL Service Continuity Management mit den relevanten Bausteinen der IT-Grundschutz-Kataloge.
Mit Umsetzung dieses Standards ist eine Zertifizierung gemäß BS 25999-2 möglich.
Der designierte Nachfolger BSI-Standard 200-4 („Business Continuity Management“) liegt Stand 23. Februar 2022 als Community Draft vor.

Motivation

Wichtigkeit und Bedeutung von Informationen

Für Unternehmen und Behörden ist es unerlässlich, dass Informationen korrekt vorliegen und vertraulich behandelt werden
Entsprechend wichtig ist auch, dass die technischen Systeme, auf denen Informationen gespeichert, verarbeitet oder übertragen werden, reibungslos funktionieren und wirksam gegen vielfältige, immer wieder neuartige Gefährdungen geschützt sind.

Fragen zur Informationssicherheit

Wüssten Sie gerne, ob die bei Ihnen umgesetzten Maßnahmen für Informationssicherheit ausreichen, um schwere Schäden zu verhindern und auf Sicherheitsvorfälle angemessen reagieren zu können?
Benötigen Sie Hilfe bei der Entwicklung eines Sicherheitskonzepts?
Suchen Sie Unterstützung für die systematische Überprüfung der in Ihrem Zuständigkeitsbereich vorhandenen oder geplanten Sicherheitsmaßnahmen?
Möchten Sie, dass diese Maßnahmen allgemein anerkannten Standards genügen?

Wenn Sie eine dieser Fragen mit „Ja“ beantworten, dann sollten Sie sich mit dem IT-Grundschutz beschäftigen.

Dort wird detailliert beschrieben, welche Anforderungen erfüllt sein müssen, um kostengünstig ein für übliche Einsatzbereiche und Schutzanforderungen angemessenes und bei höherem Schutzbedarf leicht ausbaufähiges Sicherheitsniveau zu erlangen.
Er bietet zudem eine weithin anerkannte Methodik, mit der Sie auf effiziente Weise ein zu den Gegebenheiten Ihrer Einrichtung passendes Sicherheitskonzept entwickeln und überprüfen können.

Wege zur Informationssicherheit

Es gibt viele Wege zur Informationssicherheit, mit dem IT-Grundschutz haben Sie die Möglichkeit, dieses Ziel effizient zu erreichen, unterwegs Umwege zu vermeiden und mögliche Gefährdungen im Blick zu behalten.
Grundschutz will nicht nur eine Landkarte, sondern ein Wegweiser für Informationssicherheit sein

Herausforderungen

Informationssicherheit muss vielfältigen Herausforderungen gerecht werden:

Option	Beschreibung
Komplexität	Komplexität der Gefährdungslage Gefährdungen können unterschiedlichste Ursachen haben und auf mannigfaltigen Wegen die Ziele der Informationssicherheit verletzen. Angriffe von Hackern, Fahrlässigkeiten oder technische Mängel sind ebenso im Blick zu behalten wie Naturkatastrophen und andere Formen höherer Gewalt.
Ganzheitlichkeit	Ganzheitlichkeit der Sicherheitskonzepte Informationssicherheit erfordert Maßnahmen auf mehreren Ebenen: Betroffen sind nicht nur die -Systeme, sondern auch die Organisation, das Personal, die räumliche Infrastruktur, die Arbeitsplätze und die betrieblichen Abläufe.
Zusammenwirken	Zusammenwirken der Sicherheitsmaßnahmen Damit die eingesetzten Sicherheitsmaßnahmen die komplexe Gefährdungslage hinreichend in den Griff bekommen können, müssen die organisatorischen, technischen und infrastrukturellen Schutzvorkehrungen zu der jeweiligen Institution passen, an der tatsächlich bestehenden Gefährdungslage ausgerichtet sein, sinnvoll zusammenwirken und von der Leitung und den Beschäftigten unterstützt und beherrscht werden.
Angemessenheit	Angemessenheit der Sicherheitsmaßnahmen Es ist auch auf die Wirtschaftlichkeit und Angemessenheit der Sicherheitsmaßnahmen zu achten. Den bestehenden Gefährdungen muss zwar wirkungsvoll begegnet werden, die eingesetzten Maßnahmen sollten aber an dem tatsächlich bestehenden Schutzbedarf ausgerichtet sein und dürfen eine Institution nicht überfordern. Unangemessen kostspielige Maßnahmen sind zu vermeiden, ebenso solche Vorkehrungen, durch die wichtige Abläufe einer Institution über Gebühr behindert werden.
Externe Anforderungen	Erfüllung externer Anforderungen Es wird heutzutage für viele Unternehmen und Behörden immer wichtiger, nachweisen zu können, dass sie in ausreichendem Maße für Informationssicherheit gesorgt haben. Dieser Nachweis fällt leichter, wenn eine Institution ihre Vorkehrungen für Informationssicherheit an allgemein anerkannten Standards ausrichtet.
Nachhaltigkeit	Nachhaltigkeit der Sicherheitsmaßnahmen Und nicht zuletzt gilt: Sicherheit ist kein einmal erreichter und fortan andauernder Zustand. Unternehmen und Behörden ändern sich und damit auch die in ihnen schützenswerten Informationen, Prozesse und Güter. Neuartige Schwachstellen und Bedrohungen machen es in gleicher Weise erforderlich, die vorhandenen Sicherheitskonzepte zu überprüfen und weiterzuentwickeln.

IT-Grundschutz des BSI

Bietet eine Grundlage dafür, diesen Herausforderungen auf professionelle Weise gerecht zu werden und die Bemühungen für Informationssicherheit zu strukturieren.

Er ermöglicht

systematisch nach Schwachstellen zu suchen
die Angemessenheit umgesetzter Schutzmaßnahmen zu prüfen
Sicherheitskonzepte zu entwickeln und fortzuschreiben, die zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen der Institution passen
Allgemein anerkannten Standards zu genügen

Konzept

Verzicht auf initiale Risikoanalysen	Basis eines IT-Grundschutzkonzepts
Pauschale Gefährdungen	Es wird von pauschalen Gefährdungen ausgegangen Auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit wird zunächst verzichtet

Schutzbedarfskategorien

Normal, Hoch, Sehr Hoch

Es werden drei Schutzbedarfskategorien gebildet, mit deren Hilfe man den Schutzbedarf des Untersuchungsgegenstandes feststellt und darauf basierend die entsprechenden personellen, technischen, organisatorischen und infrastrukturellen Sicherheitsmaßnahmen aus den IT-Grundschutz-Katalogen auswählt.

Basierend auf dem IT-Grundschutz-Kompendium

BSI-Standard 200-2 bietet „Kochrezepte“ für ein normales Schutzniveau.

Eintrittswahrscheinlichkeit und Schadenshöhe

Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt.

Durch die Verwendung des IT-Grundschutz-Kompendiums entfällt eine aufwendige Sicherheitsanalyse

die Expertenwissen erfordert
da anfangs mit pauschalisierten Gefährdungen gearbeitet wird.
Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen.

Erfolgreiche Umsetzung

Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines Informationssicherheitsmanagementsystems (ISMS) wird vom BSI ein Zertifikat ISO/IEC 27001 auf Basis von IT-Grundschutz vergeben.

Basis dieses Verfahrens sind die neuen BSI-Sicherheitsstandards.
Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht.
Unternehmen, die sich nach dem ISO/IEC 27001-Standard zertifizieren lassen, sind zur Risikoanalyse verpflichtet.
Um es sich komfortabler zu gestalten, wird meist auf die Schutzbedarfsfeststellung gemäß IT-Grundschutz-Katalogen ausgewichen.
Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ISO/IEC 27001, als auch eine Konformität zu den strengen Richtlinien des BSI.
Darüber hinaus bietet das BSI einige Hilfsmittel wie Musterrichtlinien an.

Es liegt auch ein Baustein für den Datenschutz vor, der von dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die IT-Grundschutz-Kataloge integriert wurde.

Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung.

Vorgehensweise

Beschreibung

Mit welchen Maßnahmen die in der Leitlinie zur Informationssicherheit vorgegebenen Ziele und Strategien verfolgt werden sollen, wird in einem Sicherheitskonzept beschrieben.

Ein solches Sicherheitskonzept hat immer einen festgelegten Geltungsbereich.
Dieser wird in der -Grundschutz-Methodik als Informationsverbund bezeichnet.

Festlegung des Informationsverbundes

Informationsverbund - Ein im IT-Grundschutz betrachteter Bereich

Beschreibung

IT-Sicherheitsanalyse und IT-Sicherheitskonzeption

Informationstechnik ist durch vernetzte IT-Systeme geprägt

Gesamte IT betrachten

Nicht einzelne IT-Systeme

Teilverbünde definieren

Teile und Herrsche

Um diese Aufgabe bewältigen zu können, ist es sinnvoll
IT-Struktur in logisch getrennte Teile zerlegen
Jeweils einen Teil (Informationsverbund) getrennt betrachten

Ausprägungen

Informationsverbund

gesamte IT einer Institution
einzelne Bereiche

Gliederung

Organisatorische Strukturen

z. B. Abteilungsnetz

Gemeinsame IT-Anwendungen

z. B. Personalinformationssystem

IT-Strukturanalyse

Detaillierte Informationen über die Struktur des Informationsverbundes
Voraussetzung für die Anwendung des IT-Grundschutz-Kompendiums

Komponenten

Komponente	Beschreibung
Infrastruktur
Organisation
Personen
Technik

Festlegung eines Informationsverbundes

Größe

Sinnvolle Mindestgröße

Für eine umfassende Sicherheit ist die gesamte Institution zu betrachten

Größeren Institutionen

Insbesondere bei größeren Institutionen und dann, wenn Sicherheitsmaßnahmen bislang eher punktuell und ohne ein zugrunde liegendes systematisches Konzept vorgenommen wurden, ist es allerdings oft praktikabler sich (zunächst) auf Teilbereiche zu konzentrieren.

Teilbereiche

Gut abgrenzbar

organisatorischen Strukturen
Anwendungen
Wesentliche Aufgaben und Geschäftsprozesse der Institution umfassen

Sinnvolle Teilbereiche

Organisationseinheiten
Geschäftsprozesse/Fachaufgaben

Einzelne Clients, Server oder Netzverbindungen sind als Untersuchungsgegenstand ungeeignet

Schnittstellen

Bei der Definition des Informationsverbundes müssen Schnittstellen genau beschrieben werden

Insbesondere bei der Zusammenarbeit mit externer Partnern.

Erstaufnahme des Informationsverbundes

In der initialen Phase des Sicherheitsprozesses ist es nicht erforderlich, Anwendungen und -Infrastruktur detailliert zu beschreiben.

Zunächst geht es vielmehr darum, besonders wichtige Geschäftsprozesse, die im Geltungsbereich des Konzepts angesiedelt sind, hinsichtlich ihrer Anforderungen an die Informationssicherheit zu charakterisieren.
Dabei reicht es zu wissen, welche Prozesse sehr hohe, hohe oder lediglich normale Schutzanforderungen haben.

Erstaufnahme des Informationsverbundes

Auf dieser Basis wird dann eine Erstaufnahme des Informationsverbundes angefertigt

Folgende Informationen und Detailangaben müssen dabei strukturiert ( tabellarisch) zusammengetragen werden

Geschäftsprozesse im Informationsverbund (Name, Beschreibung, fachverantwortliche Stelle),
Anwendungen in diesen Prozessen (Name und Beschreibungen),
-Systeme und -Komponenten (Name, Systemplattform und eventuell Aufstellungsort),
für den Informationsverbund wichtige Räume wie Rechenzentrum oder Serverräume (Art, Raumnummer und Gebäude) sowie
virtuelle Systeme (entsprechend gekennzeichnet und benannt).

Ein grafischer Netzplan ist eine hilfreiche Ergänzung zur tabellarischen Zusammenstellung der -Systeme

Die ermittelten Komponenten, wie auch der Informationsverbund als Ganzes, sind Zielobjekte des Sicherheitskonzepts

Bereits vor dessen eigentlicher Entwicklung sollten Sie einschätzen, welches Schutzniveau für die verschiedenen Zielobjekte erforderlich ist, die Sie bei der Erstaufnahme identifiziert haben.

Erstaufnahme des Informationsverbundes

Grundschutz/Informationsverbund#Erstaufnahme_des_Informationsverbundes

Wahl der Vorgehensweise

Bevor diese Ergebnisse detailliert werden, ist eine Entscheidung über die Vorgehensweise erforderlich.

Die -Grundschutz-Methodik sieht hierfür drei Varianten vor, zwischen denen sich eine Institution abhängig von ihren spezifischen Gegebenheiten entscheiden kann.
Diese drei Varianten unterscheiden sich in der Breite und Tiefe der umgesetzten Schutzmaßnahmen:
Die Basis-Absicherung ist für Institutionen interessant, die einen Einstieg in den -Grundschutz suchen und schnell alle relevanten Geschäftsprozesse mit Basismaßnahmen absichern möchten.
Die Kern-Absicherung lenkt die Sicherheitsmaßnahmen auf die „Kronjuwelen“ einer Institution, also besonders wichtige Geschäftsprozesse und Assets.
Diese Variante zielt damit auf die vertiefte Absicherung der kritischsten Bereiche ab.
Die Standard-Absicherung entspricht der empfohlenen -Grundschutz-Vorgehensweise (vgl. früherer BSI-Standard 100-2).
Sie hat einen umfassenden Schutz für alle Prozesse und Bereiche der Institution als Ziel.

Sowohl die Basis- als auch die Kern-Absicherung können als Einstieg und Grundlage für eine umfassende Absicherung nach -Grundschutz dienen.

In diesem Kurs wird die Vorgehensweise der Standard-Absicherung beschrieben, und dabei, falls sinnvoll, auch auf die beiden anderen Varianten verwiesen.

Die folgende Abbildung zeigt die zugehörigen Schritte:

Die drei Varianten der -Grundschutz-Methodik werden in den Kapiteln 6, 7 und 8 des -Standards 200-2 detailliert dargestellt.

Die Basis-Absicherung wird darüber hinaus in einem eigenenLeitfaden zur Basis-Absicherung nach -Grundschutz ausführlich beschrieben.

IT-Grundschutzvorgehensweise

	Arbeitsschitt	Beschreibung
1	Informationsverbund	Geltungsbereich festlegen
2	Absicherung-Varianten	Absicherung
3	Strukturanalyse	Strukturanalyse
3	Schutzbedarf	Schutzbedarf
4	Modellierung	Modellierung
5	IT-Grundschutz-Check	IT-Grundschutz-Check
6	Risikoanalyse	Verbleibende Risiken managen
7	Maßnahmen konsolidieren	Maßnahmen konsolidieren
8	Umsetzung	Umsetzung der Maßnahmen

Kompendium

IT-Grundschutz-Kompendium - Arbeitsinstrument und Nachschlagewerk zur Informationssicherheit

Beschreibung

Sammlung von Dokumenten (Bausteine)

IT-Grundschutz-Bausteine

Aspekt der Informationssicherheit
Typische Gefährdungen
Typische Sicherheitsanforderungen

Schrittweise Einführung eines ISMS

Praxisnah
Reduzierter Arbeitsaufwand
Thematische Schichten
Unterschiedliche Aspekte

Gegenstand eines Bausteins

Ubergeordnete Themen

Informationssicherheitsmanagement
Notfallmanagement

Spezielle technische Systeme

Üblicherweise in Unternehmen und Behörden im Einsatz, etwa
- Clients
- Server
- mobile Systeme
- industrielle Steuerungen

Aktualisierung und Erweiterung

Kontinuierlich
Berücksichtigung von Anwenderwünschen
Anpassung an die Entwicklung der zugrunde liegenden Standards
Anpassung an die Gefährdungslage

Schichten

Schichtenmodell der Grundschutz-Bausteine

Komplexität reduzieren
Redundanzen vermeiden
Zuständigkeiten bündeln
Einzelaspekte aktualisieren, ohne andere Teile zu beeinflussen

Beschreibung

Kapitel	Beschreibung
Einführung	Vorwort Dankesworte Neues im IT-Grundschutz-Kompendium IT-Grundschutz – Basis für Informationssicherheit
Schichtenmodell und Modellierung
Rollen
Glossar
Elementare Gefährdungen
Bausteine

Bausteine

Prozess-Bausteine

Kürzel	Titel
ISMS	Sicherheitsmanagement
ORP	Organisation und Personal
CON	Konzeption und Vorgehensweise
OPS	Betrieb
DER	Detektion und Reaktion

System-Bausteine

Kürzel	Titel
APP	Anwendungen
SYS	IT-Systeme
IND	Industrielle IT
NET	Netze und Kommunikation
INF	Infrastruktur

Prozess-Bausteine

ISMS

Sicherheitsmanagement

Nummer	Titel
ISMS.1	Sicherheitsmanagement

ORP

Organisation und Personal

Nummer	Titel
ORP.1	Organisation
ORP.2	Personal
ORP.3	Sensibilisierung und Schulung zur Informationssicherheit
ORP.4	Identitäts- und Berechtigungsmanagement
ORP.5	Compliance Management (Anforderungsmanagement)

CON

Konzeption und Vorgehensweise

Nummer	Titel
CON.1	Kryptokonzept
CON.2	Datenschutz
CON.3	Datensicherungskonzept
CON.6	Löschen und Vernichten
CON.7	Informationssicherheit auf Auslandsreisen
CON.8	Software-Entwicklung
CON.9	Informationsaustausch
CON.10	Entwicklung von Webanwendungen
CON.11.1	Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH

OPS

Betrieb

Nummer	Titel
OPS.1.1.1	Allgemeiner Betrieb
OPS.1.1.2	Ordnungsgemäße IT-Administration
OPS.1.1.3	Patch- und Änderungsmanagement
OPS.1.1.4	Schutz vor Schadprogrammen
OPS.1.1.5	Protokollierung
OPS.1.1.6	Software-Tests und -Freigaben
OPS.1.1.7	Systemmanagement
OPS.1.2.2	Archivierung
OPS.1.2.4	Telearbeit
OPS.1.2.5	Fernwartung
OPS.1.2.6	NTP-Zeitsynchronisation
OPS.2.2	Cloud-Nutzung
OPS.2.3	Nutzung von Outsourcing
OPS.3.2	Anbieten von Outsourcing

DER

Detektion und Reaktion

Nummer	Titel
DER.1	Detektion von sicherheitsrelevanten Ereignissen
DER.2.1	Behandlung von Sicherheitsvorfällen
DER.2.2	Vorsorge für die IT-Forensik
DER.2.3	Bereinigung weitreichender Sicherheitsvorfälle
DER.3.1	Audits und Revisionen
DER.3.2	Revision auf Basis des Leitfadens IT-Revision
DER.4	Notfallmanagement

System-Bausteine

APP

Anwendungen

Nummer	Titel
APP.1.1	Office-Produkte
APP.1.2	Webbrowser
APP.1.4	Mobile Anwendung (Apps)
APP.2.1	Allgemeiner Verzeichnisdienst
APP.2.2	Active Directory Domain Services
APP.2.3	OpenLDAP
APP.3.1	Webanwendungen und Webservices
APP.3.2	Webserver
APP.3.3	Fileserver
APP.3.4	Samba
APP.3.6	DNS-Server
APP.4.2	SAP-System
APP.4.3	Relationale Datenbanksysteme
APP.4.4	Kubernetes
APP.4.6	ABAP-Programmierung
APP.5.2	Microsoft Exchange und Outlook
APP.5.3	Allgemeiner E-Mail-Client und -Server
APP.5.4	Unified Communications und Collaboration
APP.6	Allgemeine Software
APP.7	Entwicklung von Individualsoftware

SYS

IT-Systeme

Nummer	Titel
SYS.1.1	Allgemeiner Server
SYS.1.2.2	Windows Server 2012
SYS.1.2.3	Windows Server
SYS.1.3	Server unter Linux und Unix
SYS.1.5	Virtualisierung
SYS.1.6	Containerisierung
SYS.1.7	IBM-Z
SYS.1.8	Speicherlösungen
SYS.1.9	Terminalserver
SYS.2.1	Allgemeiner Client
SYS.2.2.3	Clients unter Windows
SYS.2.3	Clients unter Linux und Unix
SYS.2.4	Clients unter macOS
SYS.2.5	Client-Virtualisierung
SYS.2.6	Virtual Desktop Infrastructure
SYS.3.1	Laptops
SYS.3.2.1	Allgemeine Smartphones und Tablets
SYS.3.2.2	Mobile Device Management
SYS.3.2.3	iOS (for Enterprise)
SYS.3.2.4	Android
SYS.3.3	Mobiltelefon
SYS.4.1	Drucker, Kopierer und Multifunktionsgeräte
SYS.4.3	Eingebettete Systeme
SYS.4.4	Allgemeines IoT-Gerät
SYS.4.5	Wechseldatenträger

IND

Industrielle IT

Nummer	Titel
IND.1	Prozessleit- und Automatisierungstechnik
IND.2.1	Allgemeine -Komponente
IND.2.2	Speicherprogrammierbare Steuerung
IND.2.3	Sensoren und Aktoren
IND.2.4	Maschine
IND.2.7	Safety Instrumented Systems
IND.3.2	Fernwartung im industriellen Umfeld

NET

Netze und Kommunikation

Nummer	Titel
NET.1.1	Netzarchitektur und -design
NET.1.2	Netzmanagement
NET.2.1	WLAN-Betrieb
NET.2.2	WLAN-Nutzung
NET.3.1	Router und Switches
NET.3.2	Firewall
NET.3.3	VPN
NET.3.4	Network Access Control
NET.4.1	TK-Anlagen
NET.4.2	VoIP
NET.4.3	Faxgeräte und Faxserver

INF

Infrastruktur

Nummer	Titel
INF.1	Allgemeines Gebäude
INF.2	Rechenzentrum sowie Serverraum
INF.5	Raum sowie Schrank für technische Infrastruktur
INF.6	Datenträgerarchiv
INF.7	Büroarbeitsplatz
INF.8	Häuslicher Arbeitsplatz
INF.9	Mobiler Arbeitsplatz
INF.10	Besprechungs-, Veranstaltungs- und Schulungsraum
INF.11	Allgemeines Fahrzeug
INF.12	Verkabelung
INF.13	Technisches Gebäudemanagement
INF.14	Gebäudeautomation

Rollen

Kompendium/Rollen

Umsetzung

Grundschutz/Umsetzungsplanung - Lücken im Sicherheitskonzept schließen

Beschreibung

In Ihrer Institution sind alle Basis- und Standard-Anforderungen erfüllt?

Sie haben ferner mithilfe von Risikoanalysen festgestellt, dass auch solche Zielobjekte angemessen geschützt sind, die einen besonderen Schutzbedarf haben
Dann haben Sie zweifelsfrei ein gutes Sicherheitsniveau in Ihrer Institution erreicht, und können sich darauf konzentrieren, dieses zu erhalten und zu verbessern

In der Regel führen -Grundschutz-Check und zusätzliche Risikoanalysen aber zu einem anderen Ergebnis

Defizite gibt es immer

Lücken in den vorhandenen organisatorischen Regelungen
mangelnde Kontrolle der geltenden Regeln
fehlende Sicherheitstechnik
unzureichender baulicher Schutz gegen Feuer, Wasser oder Diebstahl

Lücken wirksam und effizient schließen

Bei der Umsetzungsplanung geht es darum, diese Lücken wirksam und effizient zu schließen

In dieser Lektion lernen Sie hierfür ein systematisches Vorgehen kennen, an dem Sie sich insbesondere dann orientieren können, wenn viele Einzelmaßnahmen umzusetzen sind
Sie erfahren
welche Aspekte Sie bei der Umsetzung von Sicherheitsmaßnahmen berücksichtigen müssen
mit welchen Hilfsmitteln Sie der -Grundschutz dabei unterstützt
was Sie tun sollten, wenn zweckmäßige Sicherheitsmaßnahmen nicht unmittelbar umgesetzt werden können und
wie Sie die Ergebnisse der Umsetzungsplanung dokumentieren können

Maßnahmen konsolidieren

[Image:Abb_8_01_Schritt1.png?__blob=normal&v=1Bild2.png|top|alt="Umsetzungsplanung Schritt 1"]]

Im ersten Schritt sind aus den Ergebnissen des -Grundschutz-Checks und eventuell durchgeführter Risikoanalysen diejenigen Anforderungen herauszufiltern, die nicht oder nur teilweise erfüllt sind

Eine übersichtliche Dokumentation erhalten Sie, wenn Sie die unzureichend erfüllten Anforderungen tabellarisch zusammenstellen und dabei nach den betroffenen Zielobjekten gruppieren, etwa nach dem gesamten Informationsverbund oder bestimmten Räumen und -Systemen

Legen Sie anschließend Maßnahmen fest, mit denen Sie diese Sicherheitslücken schließen können

Als Hilfsmittel hierfür können Sie die Umsetzungshinweise zu den einzelnen -Grundschutz-Bausteinen verwenden

Anschließend betrachten Sie die Maßnahmen im Zusammenhang und prüfen

ob einzelne Maßnahmen überflüssig werden, weil andere zu realisierende Maßnahmen einen mindestens gleichwertigen Schutz für das jeweilige Zielobjekt bewirken
welche Maßnahmen noch konkretisiert und an die individuellen Gegebenheiten der Institution angepasst werden müssen und
ob die Maßnahmen tatsächlich geeignet und angemessen sind, sie also genügend Schutz bieten, ohne die Arbeitsabläufe zu behindern oder die Schutzwirkung anderer Maßnahmen zu beeinträchtigen

Ziel ist es, durch Streichung der überflüssigen und Konkretisierung der verbleibenden Maßnahmen den erforderlichen finanziellen und personellen Realisierungsaufwand auf das notwendige Maß zu begrenzen

Das Ergebnis dieses Schritts ist eine auf die jeweilige Institution zugeschnittene und konkretisierte Liste von Maßnahmen

Erleichtern Sie die spätere Nachvollziehbarkeit der Entscheidungen, die Sie bei dem Abgleich und der Anpassung der Maßnahmen getroffen haben, indem Sie die Begründungen dokumentieren

Beispiele

Einige Beispiele sollen die Fragestellungen und mögliche Lösungen bei der Konsolidierung der Maßnahmen verdeutlichen:

Wenn eine Risikoanalyse ergab, dass für eine Gruppe von -Systemen eine Authentisierung über ein chipkarten- oder token-basiertes Verfahren angewandt werden sollte, können unter Umständen Maßnahmen zur Gewährleistung einer hohen Passwortgüte entfallen
Fehler bei der Gebäudeplanung lassen sich nachträglich oft nur mit einem unverhältnismäßig hohen Aufwand korrigieren
Wenn die vollständige Erfüllung von Anforderungen wie die Vermeidung wasserführender Leitungen aufgrund der baulichen Gegebenheiten wirtschaftlich nicht vertretbar ist, sollten zumindest Ersatzmaßnahmen getroffen werden
Beispielsweise können unter den vorhandenen Leitungen wasserableitende Bleche installiert werden, die von einem Wassermelder mit einer im ständig besetzten Pförtnerraum hörbaren Alarmsirene überwacht werden
Dadurch können Wasserschäden zumindest frühzeitig erkannt und in den Auswirkungen begrenzt werden
Maßnahmen zum Zugangsschutz versperren unter Umständen im Brandfall mögliche Fluchtwege
Hier empfiehlt sich gegebenenfalls die Rücksprache mit Brandschutzexperten, der Feuerwehr, um sowohl dem Zugangs- als auch dem Brandschutz gleichermaßen gerecht zu werden
Die Verschlüsselung unternehmenskritischer Informationen zum Schutz ihrer Vertraulichkeit ist ein Beispiel für eine Maßnahme, die mit anderen Schutzzielen kollidieren kann, und bei der daher eine sorgfältige Abwägung der Vor- und Nachteile und unter Umständen ergänzende Maßnahmen nötig sind:
- Verschlüsselte E-Mails können den zentralen Virenschutz auf einem Server unterlaufen und so zur Infiltration eines Netzes mit Schadsoftware führen
- Bei unzureichendem Schlüssel-Management oder fehlerhafter Anwendung kann Verschlüsselung ferner die Verfügbarkeit wichtiger Daten auch für berechtigte Personen gefährden

Aufwände schätzen

[Image:Abb_8_02_Schritt2.png?__blob=normal&v=1Bild3.png|top|alt="Umsetzungsplanung Schritt 2"]]

Angesichts des in der Regel begrenzten Budgets für Informationssicherheit ist ein Überblick über die voraussichtlichen fixen und variablen Kosten der einzelnen Maßnahmen nötig

Daher schätzen Sie im nächsten Schritt, welcher einmalige und wiederkehrende finanzielle und personelle Aufwand durch die Umsetzung der einzelnen geplanten Maßnahmen entsteht

Der Einsatz von Personal und Finanzmitteln muss vom Management getragen werden

Dies gilt insbesondere dann, wenn die bewilligten Finanzmittel nicht für die sofortige Umsetzung sämtlicher Maßnahmen ausreichen und entschieden werden muss, ob das Budget aufgestockt oder das Risiko in Kauf genommen werden soll, das verbleibt, wenn Maßnahmen nicht umgesetzt werden

Zur Vorbereitung einer Managemententscheidung über die Einführung von Sicherheitsmaßnahmen sollten Sie

einen Vorschlag für die Verteilung des Budgets erarbeiten
kostengünstigere Ersatzmaßnahmen erwägen, falls der Aufwand für die Umsetzung einzelner Maßnahmen das voraussichtliche Budget übersteigt
die Restrisiken, die aus der Nichterfüllung von Sicherheitsanforderungen entstehen, dem Management bewusst machen (als Argumentationshilfe können Sie die Kreuzreferenztabellen verwenden, die Sie am Ende eines jeden -Grundschutz-Bausteins finden und in denen dargestellt ist, gegen welche Gefährdungen eine Anforderung gerichtet ist) und
dafür sorgen, dass das Management bei der Entscheidung über das Budget durch Unterschrift dokumentiert, dass es bereit ist, die Restrisiken zu tragen

Beachten Sie, dass die Erfüllung der relevanten Basis-Anforderungen das Mindest-Sicherheitsniveau gemäß -Grundschutz ist

Risiken, die aus der Nichterfüllung solcher Anforderungen erwachsen, sollten daher nicht akzeptiert werden

Umsetzungsreihenfolge und Verantwortlichkeit

[Image:Abb_8_03_Schritte3_4.png?__blob=normal&v=1Bild5.png|top|alt="Umsetzungsplanung Schritte 3 und 4"]]

Wenn Budget oder Personal nicht ausreichen, alle wünschenswerten Sicherheitsmaßnahmen unmittelbar umzusetzen, ist eine sinnvolle Reihenfolge festzulegen

Dabei sollten Sie sich an folgenden Regeln orientieren:
Einen ersten Indikator zur Umsetzungsreihenfolge liefern die Kennzeichnungen R1, R2 und R3 bei den Modellierungshinweisen in Kapitel 2.2 des -Grundschutz-Kompendiums
Anforderungen aus mit „R1“ gekennzeichneten Bausteinen (z. B. ISMS.1 Sicherheitsmanagement und die Bausteine der Schicht ORP Organisation und Personal) sollten vorrangig erfüllt werden
Anschließend sind Anforderungen aus den mit „R2“ gekennzeichneten Bausteine zu erfüllen und erst zum Schluss solche aus Bausteinen, die mit dem Kürzel „R3“ versehen sind
Grundsätzlich sind ferner zunächst diejenigen Maßnahmen umzusetzen, mit denen Basis-Anforderungen erfüllt werden, dann diejenigen zur Erfüllung von Standard-Anforderungen und erst zuletzt die zur Gewährleistung eines höheren Schutzbedarfs
Berücksichtigen Sie ferner auch die sachlogischen Zusammenhänge der einzelnen Maßnahmen: So sind diejenigen Maßnahmen vorzuziehen, deren Umsetzung eine Voraussetzung für die Realisierung weiterer Maßnahmen ist

Insbesondere sollten Sie Ihr Augenmerk darauf legen, welche Wirkung die Umsetzung der einzelnen Maßnahmen auf das Sicherheitsniveau des Informationsverbundes hat

Setzen Sie vorrangig solche Maßnahmen um, die
Komponenten mit höherem Schutzbedarf betreffen ( sollten Server vor Clients abgesichert werden)
eine große Breitenwirkung entfalten (z. B. zentrale Maßnahmen wie der Einsatz von Netz- und Systemmanagement-Werkzeugen) oder
Bereiche betreffen, in denen auffallend viele Sicherheitsmaßnahmen fehlen

Dokumentieren Sie auch Ihre Entscheidungen zur Umsetzungsreihenfolge und deren Begründungen sorgfältig, damit nachvollziehbar und verständlich wird, warum Sie die aus der zeitlich nachgeordneten Umsetzung bestimmter Maßnahmen resultierenden Restrisiken in Kauf genommen haben

Dies kann insbesondere bei eventuell möglichen juristischen Streitfällen als Nachweis wichtig sein, dass die notwendige Sorgfaltspflicht beachtet wurde

Aufgaben und Verantwortlichkeiten

Maßnahmen werden meist nur dann fristgerecht umgesetzt, wenn geklärt wird, wer bis zu welchem Termin für deren Umsetzung zuständig ist

Der nächste Schritt besteht daher darin, diejenigen Personen zu bestimmen, welche die Umsetzung initiieren und durchführen sollen
Auch diese Entscheidungen sollten mit dem Management abgestimmt sein

Achten Sie darauf, dass die für die Umsetzung Zuständigen ausreichende Kenntnisse und Kompetenzen besitzen und ihnen die erforderlichen Ressourcen zur Verfügung gestellt werden

Planen Sie erforderliche Fortbildungen ein

Begleitende Maßnahmen

Begleitende Maßnahmen festlegen

[Image:Abb_8_04_Schritt5.png?__blob=normal&v=1Bild6.png|top|alt="Umsetzungsplanung Schritt 5"]]

Der Erfolg einer Maßnahme hängt in einem entscheidenden Umfang davon ab, wie diese von den Mitarbeitern akzeptiert und angewandt wird

Achten Sie daher darauf, dass bei Einführung neuer Sicherheitsmaßnahmen die betroffenen Mitarbeiter ausreichend geschult und für mögliche Probleme sensibilisiert werden

Schulungsmaßnahmen

Planen Sie Schulungsmaßnahmen ein!

Die Einführung neuer Sicherheitsmaßnahmen erfordert immer auch aufgaben- und produktbezogene Schulungen für die betroffenen Mitarbeiter

Was nützt zum Beispiel ein neu angeschaffter Feuerlöscher, wenn die Mitarbeiter im Brandfall nicht sachgerecht mit ihm umgehen können? Drei weitere Beispiele für zweckmäßige Schulungen:
Wenn Sie einem Mitarbeiter besondere Aufgaben im Sicherheitsmanagement übertragen, etwa als -Informationssicherheitsbeauftragter, benötigt er vielfältige und kontinuierlich zu aktualisierende Kenntnisse zu methodischen, organisatorischen und technischen Aspekten seines Aufgabengebiets
Der hierfür erforderliche Zeitaufwand ist bereits vor der Einführung dieser Verantwortlichkeit und der Ernennung des hierfür ausgewählten Mitarbeiters zu berücksichtigen
Wenn die Schnittstelle zum Internet durch eine Firewall geschützt werden soll, benötigt der zuständige Netzadministrator Kenntnisse über deren sichere Installation, Konfiguration und Administration
Der Einsatz von Verschlüsselungssoftware zum Schutz der Vertraulichkeit personenbezogener oder unternehmenskritischer Daten erfordert nicht nur den Aufbau von Know-how zu dem eingesetzten Produkt, sondern auch Regeln für dessen Anwendung: Welche Nachrichten oder Dateien sind zu verschlüsseln? Wie ist der private Schlüssel zu schützen? Wie sichert man, dass im Bedarfsfall berechtigte Vertreter Zugriff auf die verschlüsselten Daten erhalten? Die auf diese und andere Fragen gefundenen Lösungen müssen den Mitarbeitern verständlich gemacht werden

Sensibilisierung

Sensibilisieren Sie die betroffenen Mitarbeiter!

Gute Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten

Für die dauerhafte Wirksamkeit der Sicherheitsmaßnahmen ist es wichtig, dass die Mitarbeiter für Informationssicherheit sensibilisiert und bereit sind, die erforderlichen Maßnahmen umzusetzen, die notwendigen Verhaltensregeln zu beachten und unter Umständen auch Unbequemlichkeiten zu akzeptieren
Einige negative Beispiele:
Brandschutztüren verlieren ihre Schutzwirkung, wenn sie mit Holzkeilen offen gehalten werden, weil den Mitarbeitern das ständige Öffnen der Türen zu umständlich ist
Der Kauf von Software zur E-Mail-Verschlüsselung wird zur Fehlinvestition, wenn die Mitarbeiter diese nicht benutzen, weil sie sich der Gefährdungen der Vertraulichkeit nicht bewusst sind und ihre E-Mails weiterhin unverschlüsselt versenden, auch solche mit vertraulichem Inhalt
Passwörter bedeuten immer einen zusätzlichen Arbeitsschritt vor der eigentlichen Aufgabe
Regeln für sichere Passwörter wie periodischer Wechsel oder die Verwendung unterschiedlicher Passwörter für unterschiedliche Systeme erhöhen die Unbequemlichkeit
Wenn die Mitarbeiter diese Anforderungen lediglich als lästige Pflicht betrachten, werden Sie dazu neigen, sie zu umgehen, indem sie unsichere Passwörter wählen oder Zettel mit den Passwörtern in der Nähe des Rechners platzieren
Ein Netzadministrator, der seine Probleme bei der Installation eines Sicherheitsgateways unter Angabe seiner dienstlichen Adresse in einem Internet-Forum diskutiert, gefährdet die Schutzwirkung der Software, um deren Installation er sich bemüht

Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form

Akzeptanz

Überprüfen Sie die Akzeptanz der Maßnahmen!

Maßnahmen, die von den Mitarbeitern nicht akzeptiert werden, drohen zu scheitern. Überprüfen Sie daher nach Einführung der Sicherheitsmaßnahmen, ob diese tatsächlich von den Mitarbeitern angenommen werden

Sollte dies nicht oder nur eingeschränkt der Fall sein, so versuchen Sie, die Ursachen dafür zu ermitteln, und leiten Sie bei Bedarf zusätzliche Maßnahmen zur Sensibilisierung ein

Dokumentation

Der nachfolgende Auszug aus dem Realisierungsplan der RECPLAST zeigt, wie Sie die Festlegungen zur Umsetzung von Maßnahmen dokumentieren können

Dargestellt sind Maßnahmen für ein ausgewähltes Zielobjekt, den Printserver S003, und die zugehörigen Entscheidungen zu Terminen, Budget und Verantwortlichkeiten

Umsetzungsplan

Anforderung	Maßnahme	Termin	Budget	Umsetzung
SYS.1.1.A3 Restriktive Rechtevergabe	Die verbliebenen Gruppenberechtigungen müssen aufgelöst werden	Drittes Quartal des Jahres	keine Kosten	Herr Schmitt(-Betrieb)
SYS.1.1.A4 Rollentrennung	Separate Benutzerkennungen für jeden Administrator einrichten	31 Juli des Jahres	keine Kosten	Herr Schmitt(-Betrieb)
SYS.1.1.A8 Regelmäßige Datensicherung	Die Datensicherungen werden derzeit auf Bändern im Serverraum aufbewahrt Ein externes Backup-System ist geplant Ein Angebot für die Initialisierung liegt bereits vor (15.000 €) Die Betriebskosten müssen noch verhandelt werden	Erstes Quartal im Folgejahr	Anschaffung: 15.000 €Betrieb:noch offen	Frau Meyer(Einkauf)

Anhang

Siehe auch

Skript/Grundschutz/Praktiker

Sicherheit

Dokumentation

Links

Projekt

Weblinks

Grundschutz-Check

Grundschutz-Check - Soll-Ist-Vergleich zwischen geforderten und erfüllten Anforderungen

Beschreibung

Soll-Ist-Vergleich

Der Grundschutz-Check ist ein Soll-Ist-Vergleich der Anforderungen an einen Informationsverbund oder eine seiner Komponenten mit den umgesetzten Maßnahmen

Umgesetzte Sicherheitsmaßnahmen mit den Anforderungen des entwickelten Grundschutz-Modells vergleichen
Erreichtes Sicherheitsniveau identifizieren
Verbesserungsmöglichkeiten aufzeigen

Motivation

Sind Informationen und Informationstechnik hinreichend geschützt?
Was bleibt zu tun?

Grundlage des Grundschutz-Checks ist das in der Modellierung aufgrund der vorhandenen Zielobjekte und ihres Schutzbedarfs zusammengestellte Grundschutz-Modell des Informationsverbundes

In diesem Modell ist festgelegt, welche Bausteine und damit Anforderungsbündel für die einzelnen Zielobjekte des Informationsverbundes anzuwenden sind

Anforderungen

Basisanforderungen
Standardanforderungen
Anforderungen für den erhöhten Schutzbedarf

Vorgehensweise

Welche dieser Anforderungen Sie im Grundschutz-Check berücksichtigen, hängt von der Vorgehensweise der IT-Grundschutz-Methodik ab:

Bei der Vorgehensweise Basis-Absicherung prüfen Sie lediglich die Erfüllung der Basis-Anforderungen
Bei den Vorgehensweisen Standard-Absicherung und Kern-Absicherung berücksichtigen Sie zusätzlich die Standard-Anforderungen
Die Anforderungen für den erhöhten Schutzbedarf haben Beispielcharakter und können im Bedarfsfall durch andere Maßnahmen mit starker Schutzwirkung ersetzt oder ergänzt werden
Sie prüfen diese Anforderungen also nur dann, wenn sie als Ergebnis einer Risikoanalyse in das Grundschutz-Modell aufgenommen wurden, also Bestandteil des Sicherheitskonzepts geworden sind
siehe Risikoanalyse

Basis für den IT-Grundschutz-Check sind die Anforderungen aus dem IT-Grundschutz-Kompendium

Aus der Strukturanalyse und der anschließenden Modellierung geht ein Modell des Informationsverbundes hervor, das alle relevanten Objekte mit den zugehörigen Bausteinen des IT-Grundschutz-Kompendiums enthält
Aufgrund der nun vorliegenden Bausteine wird für jedes Objekt ermittelt, wie hoch der Erfüllungsgrad der in den Bausteinen enthaltenen Anforderungen ist
Dies geschieht großenteils durch Interviews mit den Verantwortlichen der jeweiligen Bereiche

Der IT-Grundschutz-Check ist somit ein Organisationsinstrument, welches einen gebündelten Überblick über das vorhandene IT-Sicherheitsniveau bietet

Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Anforderung der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist
Durch die Identifizierung von nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt

Der IT-Grundschutz-Check gibt Auskunft über die noch fehlenden Maßnahmen (Soll/Ist-Abgleich)

Daraus folgt, was noch zu tun ist, um das angestrebte Maß an Sicherheit zu erlangen
Die Grundschutz-Methodik unterscheidet hier die Basis-, Standard- oder Kern-Absicherung
Die Anforderungen des Kompendiums sind für die jeweilige Absicherungsmethode gekennzeichnet (Basis, Standard und für erhöhten Schutzbedarf)

Für Systeme mit hohem/sehr hohem Schutzbedarf werden mitunter auch auf einer Risikoanalyse basierende [[Informationssicherheits-Konzepte wie nach ISO/IEC 27001 angewandt

Vorarbeiten

Arbeitsschritt	Beschreibung
Grundschutz/Strukturanalyse	Ermittlung der relevanten Zielobjekte des Informationsverbundes
Grundschutz/Schutzbedarfsfeststellung	Festlegung des Schutzbedarfs für die ermittelten Zielobjekte
Grundschutz/Modellierung	Anwendung der Grundschutz-Bausteine auf die Zielobjekte

Damit wurde ein Prüfplan („Grundschutz-Modell“) für den Informationsverbund und dessen Zielobjekte zusammengestellt

Prüfplan anwenden (Grundschutz-Check)

Je Zielobjekt prüfen

inwieweit relevante Anforderungen erfüllt sind
durch technische oder organisatorische Maßnahmen

Vorgehen

	Arbeitsschritt
1	Vorbereitungen
2	Durchführung
3	Dokumentation

Vorbereitung

Umsetzungsgrad ermitteln und dokumentieren

Den Umsetzungsgrad der einzelnen Maßnahmen für das jeweilige Zielobjekt ermitteln und dokumentieren Sie beim Grundschutz-Check in Interviews mit den zuständigen Mitarbeitern und Überprüfungen vor Ort, durch Begehung von Serverräumen oder Kontrolle von Konfigurationseinstellungen

Qualität der Ergebnisse

Die Qualität der Ergebnisse der Interviews und Begehungen hängt auch von einer guten Vorbereitung und der Beachtung einiger Regeln bei der Durchführung ab

Kompendium

Zunächst die wichtigste Regel

Die Informationstechnik ändert sich kontinuierlich, sodass regelmäßig geprüft werden muss, ob die eingeführten Sicherheitsmaßnahmen noch einen angemessenen Schutz bieten
Deswegen wird das Grundschutz-Kompendium fortlaufend angepasst und um neue Bausteine ergänzt
Benutzen Sie bitte für den Grundschutz-Check die aktuelle Version des Grundschutz-Kompendiums, da nur diese eine dem Stand der Technik entsprechende Sicherheit unterstützt

Dokumente

Die vorhandenen Dokumente über sicherheitsrelevante Abläufe, Regelungen und Sachverhalte enthalten bereits viele Informationen, die Ihnen bei der Ermittlung des Erfüllungsgrads der Anforderungen helfen können
Sichten Sie diese Papiere daher bereits vorab

Ansprechpartner

Wählen Sie geeignete Ansprechpartner aus
Klären Sie in diesem Zusammenhang auch, ob externe Stellen hinzuzuziehen sind, Fremdfirmen, an die Teilaufgaben des Informationsverbundes delegiert wurden

Ansprechpartner ergeben sich direkt aus den im genannten Rollen sowie oft aus dem sachlichen Zusammenhang

So können Mitarbeiter der Personalabteilung oder Benutzerbetreuer gute Ansprechpartner für den Baustein Personal sein
Während es sich anbietet, für die Systembausteine zu Netzen, -Systemen oder Anwendungen die jeweils zuständigen Administratoren und Anwendungsbetreuer zu befragen

Durchführung

Arbeitsteilung

Vier Augen und Ohren sehen und hören mehr als zwei
Führen Sie die Interviews nach Möglichkeit daher nicht alleine durch
Es empfiehlt sich eine Arbeitsteilung: Einer führt das Gespräch und stellt die Fragen, ein anderer protokolliert die Ergebnisse
Selbstverständlich sollten Sie bei der Befragung den Inhalt der Anforderungsbeschreibungen sowie die zugehörigen Umsetzungsempfehlungen kennen
Gegebenenfalls können stichpunktartige Zusammenfassungen zu einzelnen Anforderungen sowie möglichen Maßnahmen, mit denen sie erfüllt werden können, nützlich sein

Chancen nutzen

Der Grundschutz-Check ist eine Chance, die Informationssicherheit zu verbessern, kein Verhör
Sorgen Sie für ein entspanntes Klima, sowohl beim Gespräch als auch bei Begehungen und Überprüfungen vor Ort

Dokumentation

Erfüllungsgrad der Grundschutz-Anforderungen dokumentieren

Erfüllungsgrad	Beschreibung
ja	wenn die Anforderung durch geeignete Maßnahmen vollständig, wirksam und angemessen erfüllt wird
teilweise	wenn die Anforderung nur teilweise erfüllt wird
nein	wenn die Anforderung nicht erfüllt wird, geeignete Maßnahmen also größtenteils noch nicht umgesetzt sind
entbehrlich	wenn die Erfüllung einer Anforderung nicht notwendig ist, da den möglichen Gefährdungen mit mindestens gleichwertigen Ersatzmaßnahmen entgegengewirkt wird ( erübrigen sich Passwortregeln, wenn Chipkarten zusätzlich für die Authentisierung eingesetzt werden) oder wenn die Empfehlungen für den betrachteten Einsatzzweck nicht relevant sind (so ist die Anforderung zur Absicherung von Fernwartung nur dann bedeutsam, wenn tatsächlich auch Systeme von entfernten Standorten aus gewartet werden)

Entbehrlich

Wird die Erfüllung einer Anforderung auf „entbehrlich“ gesetzt, weil Alternativmaßnahmen ergriffen wurden, muss nachgewiesen werden, dass diese Maßnahmen die bestehenden Risiken angemessen minimieren
- Identifizieren Sie hierfür über die Kreuzreferenztabelle des jeweiligen Bausteins die zugehörigen elementaren Gefährdungen
- Wurden Alternativmaßnahmen ergriffen, begründen Sie, dass diese das von den relevanten Gefährdungen ausgehende Risiko angemessen verringern
Generell gilt, dass Risiken aufgrund der Nichterfüllung von Basis-Anforderungen nicht übernommen werden können
Anforderungen dürfen darüber hinaus nicht quasi automatisch durch pauschale Akzeptanz oder pauschalen Ausschluss einer elementaren Gefährdung als „entbehrlich“ eingestuft werden

Nachvollziehbarkeit

Damit die Ergebnisse des Grundschutz-Checks später und auch von Dritten nachvollzogen und überprüft werden können, ist es wichtig, dass Sie diese sorgfältig dokumentieren

Begründungen

Vergessen Sie nicht, bei Anforderungen, die Sie als entbehrlich, nur teilweise oder überhaupt nicht erfüllt eingestuft haben, in der Dokumentation Ihre Begründung hierfür anzugeben

Formale Angaben

Zur Dokumentation gehören auch formale Angaben.

Bei jedem Interview angeben

Zielobjekt
Datum
Wer es durchgeführt hat
Wer befragt wurde

Checklisten

Dokumentation des Grundschutz-Checks mit Hilfsmitteln vereinfachen

So finden Sie unter den Hilfsmitteln zum Grundschutz entsprechende Checklisten für alle Bausteine (zum Download)

Tool-Unterstützung

Der Grundschutz-Check wird auch durch eine Reihe an Tools unterstützt, die auf die Grundschutz-Methodik zugeschnitten sind

Bei Verwendung eines solchen Werkzeugs haben Sie den zusätzlichen Vorteil, dass die Daten der Strukturanalyse für die Dokumentation des Grundschutz-Checks konsistent übernommen werden

Sowohl die Formulare in den Hilfsmitteln zum Grundschutz als auch die Masken in den Grundschutz-Werkzeugen bieten Felder an, in die Sie Angaben zur Umsetzung der als fehlend erkannten Maßnahmen eintragen können (Umsetzungsfristen, Verantwortliche, voraussichtliche Kosten)

Diese Angaben sind für die Realisierungsplanung wichtig
Beim Grundschutz-Check ist es noch nicht erforderlich, diese Felder auszufüllen

Beispiel

Als Beispiel für die Dokumentation des Grundschutz-Checks zeigt der folgende Auszug dieser Überprüfung für die RECPLAST die Ergebnisse für drei Basis-Anforderungen und eine Standard-Anforderung des Bausteins ISMS.1 Sicherheitsmanagement

Dieser Baustein ist für den gesamten Informationsverbund anzuwenden, im Beispiel also für das gesamte Unternehmen

Eine ausführliche Dokumentation des Grundschutz-Checks zu diesem Baustein und zu weiteren ausgewählten Bausteinen finden Sie in Kapitel 6 des Beispieldokuments

Dokumentation des Grundschutz-Checks

Anforderung	Verantwortung	Status	Umsetzung
ISMS.1.A1	Institutionsleitung	erfüllt	Die Geschäftsführung hat die Erstellung der Leitlinie initiiert Die Leitlinie wurde von der Geschäftsführung unterzeichnet Die Geschäftsführung hat die gesamte Verantwortung für das Thema Informationssicherheit übernommen und delegiert an den die Umsetzung der geforderten Maßnahmen Einmal monatlich erhält die Geschäftsführung einen Management-Report, kontrolliert den Umsetzungsstand der Maßnahmen, initiiert bei Bedarf weitere Maßnahmen und bewilligt das entsprechende Budget
ISMS.1.A5	Institutionsleitung	entbehrlich	Der Informationssicherheitsbeauftragte ist ein Mitarbeiter der RECPLAST
ISMS.1.A7	()	teilweise	Alle Mitarbeiter, die Maßnahmen im Sinne der Informationssicherheit umsetzen, sind verpflichtet, diese zu dokumentieren und dem per E-Mail zuzusenden Eine Auswertung und ausreichende Dokumentation der umgesetzten Maßnahmen gibt es nicht Umsetzungszeitpunkt für ausführliche Dokumentation: 30.04
ISMS.1.A11	()	erfüllt	Alle Dokumente und Prozesse werden einmal jährlich einem internen Audit unterzogen Der hat dafür die entsprechende fachliche Weisungsbefugnis für die Mitarbeiter, in deren Verantwortungsbereich einzelne Dokumente und Prozesse fallen

Beispiel

Bewertung des Status einer Anforderung

Einige Anforderungen aus

Prozess-Baustein ISMS.1 Sicherheitsmanagement
System-Baustein SYS.2.1 Allgemeiner Client

Umsetzungsgrad

Umsetzungsgrad
Vollständig
Entbehrlich
Teilweise
Nicht

Vollständig

Baustein.1 enthält unter anderem die Basis-Anforderung: A1: Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene; mit insgesamt sechs durch das Verb MUSS als verpflichtend gekennzeichneten Teilanforderungen

„Die Leitungsebene MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen, sodass dies für alle Beteiligten deutlich erkennbar ist

Die Leitungsebene der Institution MUSS den Sicherheitsprozess initiieren, steuern und kontrollieren
Die Leitungsebene MUSS Informationssicherheit vorleben.

Die Behörden- bzw. Unternehmensleitung MUSS die Zuständigkeiten für Informationssicherheit festlegen und die zuständigen Mitarbeiter mit den erforderlichen Kompetenzen und Ressourcen ausstatten

Die Leitungsebene MUSS sich regelmäßig über den Status der Informationssicherheit informieren lassen, insbesondere MUSS sie sich über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen.“

Entbehrlich

Unter Umständen, etwa bei unzureichendem Know-how innerhalb einer Institution, kann es sich für eine Institution anbieten, Sicherheitsaufgaben an einen externen Informationssicherheitsbeauftragten zu delegieren

Dies enthebt sie allerdings nicht ihrer grundsätzlichen Verantwortung für Informationssicherheit
Rechte und Pflichten des externen sind daher vorab festzulegen und vertraglich zu fixieren
In.1.A5 Vertragsgestaltung bei Bestellung eines externen Informationssicherheitsbeauftragten wird diese Basis-Anforderung näher spezifiziert
Wird die Rolle des durch einen eigenen Mitarbeiter wahrgenommen, ist die Erfüllung dieser Anforderung selbstverständlich entbehrlich

Teilweise

Der Baustein SYS.2.1 Allgemeiner Client, dessen Anwendung für jede Gruppe von Clients in einem Informationsverbund verbindlich ist, enthält unter anderem die Basis-Anforderung SYS.2.1.A2: Rollentrennung mit Vorgaben für die Beschränkung der Benutzerrechte

Sie lautet wie folgt

„Der Client MUSS so eingerichtet werden, dass normale Tätigkeiten nicht mit Administrationsrechten erfolgen

Nur Administratoren DÜRFEN Administrationsrechte erhalten
Es DÜRFEN nur Administratoren die Systemkonfiguration ändern, Anwendungen installieren bzw. entfernen oder Systemdateien modifizieren bzw. löschen können
Benutzer DÜRFEN ausschließlich lesenden Zugriff auf Systemdateien haben.

Ablauf, Rahmenbedingungen und Anforderungen an administrative Aufgaben sowie die Aufgabentrennungen zwischen den verschiedenen Rollen der Benutzer des IT-Systems SOLLTEN in einem Benutzer- und Administrationskonzept festgeschrieben werden.“

Wird bei der Überprüfung der Umsetzung dieser Anforderung für eine gegebene Gruppe von Clients festgestellt, dass die Systeme so eingerichtet sind, dass übliche Benutzeraktivitäten nur mit entsprechend eingeschränkten Rechten ausgeübt werden und Systemzugriffe Administratoren vorbehalten sind, so ist zumindest ein Teil der Anforderung erfüllt

Das Fehlen eines expliziten Benutzer- und Administrationskonzepts, ohne dass hierfür ein stichhaltiger Grund vorliegt, führt jedoch zu der Einstufung, dass diese Anforderung nur teilweise erfüllt ist

Nicht erfüllt

Die Anforderung SYS.2.1.A2: Rollentrennung des Bausteins SYS.2.1 Allgemeiner Client wäre hingegen nicht erfüllt, wenn zwar ein solches Konzept vorliegt, dieses aber die Vorgaben dieser Basis-Anforderung nur bedingt widerspiegelt, und insbesondere die geprüften Clients deutliche Abweichungen von den verpflichtenden Anforderungen aufweisen

Es kann Gründe dafür geben, dass einzelne Systeme auch von Benutzern, die ansonsten keine derartigen Berechtigungen haben, mit Administrationsrechten benutzt werden können, beispielsweise weil eine benötigte Spezialsoftware ansonsten nicht funktionieren würde

In diesem Fall müsste das aus der Nichterfüllung dieser Basis-Anforderung resultierende Risiko mit zusätzlichen Maßnahmen begrenzt werden

Risikoanalyse

BSI-Standard 200-3 - Risikoanalyse auf der Basis von IT-Grundschutz

Beschreibung

Verfahren zur Risikoanalyse

Prüfung, ob Basis- und Standard-Anforderungen eine ausreichende Sicherheit bieten

Nr	Kapitel
1	Einleitung
2	Vorarbeiten
3	Elementaren Gefährdungen
4	Gefährdungsübersicht
5	Risikoeinstufung
6	Risikobehandlung
7	Konsolidierung
8	Rückführung
9	Anhang

Umsetzungsplanung

Grundschutz/Umsetzungsplanung - Lücken im Sicherheitskonzept schließen

Beschreibung

In Ihrer Institution sind alle Basis- und Standard-Anforderungen erfüllt?

Sie haben ferner mithilfe von Risikoanalysen festgestellt, dass auch solche Zielobjekte angemessen geschützt sind, die einen besonderen Schutzbedarf haben
Dann haben Sie zweifelsfrei ein gutes Sicherheitsniveau in Ihrer Institution erreicht, und können sich darauf konzentrieren, dieses zu erhalten und zu verbessern

In der Regel führen -Grundschutz-Check und zusätzliche Risikoanalysen aber zu einem anderen Ergebnis

Defizite gibt es immer

Lücken in den vorhandenen organisatorischen Regelungen
mangelnde Kontrolle der geltenden Regeln
fehlende Sicherheitstechnik
unzureichender baulicher Schutz gegen Feuer, Wasser oder Diebstahl

Lücken wirksam und effizient schließen

Bei der Umsetzungsplanung geht es darum, diese Lücken wirksam und effizient zu schließen

In dieser Lektion lernen Sie hierfür ein systematisches Vorgehen kennen, an dem Sie sich insbesondere dann orientieren können, wenn viele Einzelmaßnahmen umzusetzen sind
Sie erfahren
welche Aspekte Sie bei der Umsetzung von Sicherheitsmaßnahmen berücksichtigen müssen
mit welchen Hilfsmitteln Sie der -Grundschutz dabei unterstützt
was Sie tun sollten, wenn zweckmäßige Sicherheitsmaßnahmen nicht unmittelbar umgesetzt werden können und
wie Sie die Ergebnisse der Umsetzungsplanung dokumentieren können

Maßnahmen konsolidieren

[Image:Abb_8_01_Schritt1.png?__blob=normal&v=1Bild2.png|top|alt="Umsetzungsplanung Schritt 1"]]

Im ersten Schritt sind aus den Ergebnissen des -Grundschutz-Checks und eventuell durchgeführter Risikoanalysen diejenigen Anforderungen herauszufiltern, die nicht oder nur teilweise erfüllt sind

Eine übersichtliche Dokumentation erhalten Sie, wenn Sie die unzureichend erfüllten Anforderungen tabellarisch zusammenstellen und dabei nach den betroffenen Zielobjekten gruppieren, etwa nach dem gesamten Informationsverbund oder bestimmten Räumen und -Systemen

Legen Sie anschließend Maßnahmen fest, mit denen Sie diese Sicherheitslücken schließen können

Als Hilfsmittel hierfür können Sie die Umsetzungshinweise zu den einzelnen -Grundschutz-Bausteinen verwenden

Anschließend betrachten Sie die Maßnahmen im Zusammenhang und prüfen

ob einzelne Maßnahmen überflüssig werden, weil andere zu realisierende Maßnahmen einen mindestens gleichwertigen Schutz für das jeweilige Zielobjekt bewirken
welche Maßnahmen noch konkretisiert und an die individuellen Gegebenheiten der Institution angepasst werden müssen und
ob die Maßnahmen tatsächlich geeignet und angemessen sind, sie also genügend Schutz bieten, ohne die Arbeitsabläufe zu behindern oder die Schutzwirkung anderer Maßnahmen zu beeinträchtigen

Ziel ist es, durch Streichung der überflüssigen und Konkretisierung der verbleibenden Maßnahmen den erforderlichen finanziellen und personellen Realisierungsaufwand auf das notwendige Maß zu begrenzen

Das Ergebnis dieses Schritts ist eine auf die jeweilige Institution zugeschnittene und konkretisierte Liste von Maßnahmen

Erleichtern Sie die spätere Nachvollziehbarkeit der Entscheidungen, die Sie bei dem Abgleich und der Anpassung der Maßnahmen getroffen haben, indem Sie die Begründungen dokumentieren

Beispiele

Einige Beispiele sollen die Fragestellungen und mögliche Lösungen bei der Konsolidierung der Maßnahmen verdeutlichen:

Wenn eine Risikoanalyse ergab, dass für eine Gruppe von -Systemen eine Authentisierung über ein chipkarten- oder token-basiertes Verfahren angewandt werden sollte, können unter Umständen Maßnahmen zur Gewährleistung einer hohen Passwortgüte entfallen
Fehler bei der Gebäudeplanung lassen sich nachträglich oft nur mit einem unverhältnismäßig hohen Aufwand korrigieren
Wenn die vollständige Erfüllung von Anforderungen wie die Vermeidung wasserführender Leitungen aufgrund der baulichen Gegebenheiten wirtschaftlich nicht vertretbar ist, sollten zumindest Ersatzmaßnahmen getroffen werden
Beispielsweise können unter den vorhandenen Leitungen wasserableitende Bleche installiert werden, die von einem Wassermelder mit einer im ständig besetzten Pförtnerraum hörbaren Alarmsirene überwacht werden
Dadurch können Wasserschäden zumindest frühzeitig erkannt und in den Auswirkungen begrenzt werden
Maßnahmen zum Zugangsschutz versperren unter Umständen im Brandfall mögliche Fluchtwege
Hier empfiehlt sich gegebenenfalls die Rücksprache mit Brandschutzexperten, der Feuerwehr, um sowohl dem Zugangs- als auch dem Brandschutz gleichermaßen gerecht zu werden
Die Verschlüsselung unternehmenskritischer Informationen zum Schutz ihrer Vertraulichkeit ist ein Beispiel für eine Maßnahme, die mit anderen Schutzzielen kollidieren kann, und bei der daher eine sorgfältige Abwägung der Vor- und Nachteile und unter Umständen ergänzende Maßnahmen nötig sind:
- Verschlüsselte E-Mails können den zentralen Virenschutz auf einem Server unterlaufen und so zur Infiltration eines Netzes mit Schadsoftware führen
- Bei unzureichendem Schlüssel-Management oder fehlerhafter Anwendung kann Verschlüsselung ferner die Verfügbarkeit wichtiger Daten auch für berechtigte Personen gefährden

Aufwände schätzen

[Image:Abb_8_02_Schritt2.png?__blob=normal&v=1Bild3.png|top|alt="Umsetzungsplanung Schritt 2"]]

Angesichts des in der Regel begrenzten Budgets für Informationssicherheit ist ein Überblick über die voraussichtlichen fixen und variablen Kosten der einzelnen Maßnahmen nötig

Daher schätzen Sie im nächsten Schritt, welcher einmalige und wiederkehrende finanzielle und personelle Aufwand durch die Umsetzung der einzelnen geplanten Maßnahmen entsteht

Der Einsatz von Personal und Finanzmitteln muss vom Management getragen werden

Dies gilt insbesondere dann, wenn die bewilligten Finanzmittel nicht für die sofortige Umsetzung sämtlicher Maßnahmen ausreichen und entschieden werden muss, ob das Budget aufgestockt oder das Risiko in Kauf genommen werden soll, das verbleibt, wenn Maßnahmen nicht umgesetzt werden

Zur Vorbereitung einer Managemententscheidung über die Einführung von Sicherheitsmaßnahmen sollten Sie

einen Vorschlag für die Verteilung des Budgets erarbeiten
kostengünstigere Ersatzmaßnahmen erwägen, falls der Aufwand für die Umsetzung einzelner Maßnahmen das voraussichtliche Budget übersteigt
die Restrisiken, die aus der Nichterfüllung von Sicherheitsanforderungen entstehen, dem Management bewusst machen (als Argumentationshilfe können Sie die Kreuzreferenztabellen verwenden, die Sie am Ende eines jeden -Grundschutz-Bausteins finden und in denen dargestellt ist, gegen welche Gefährdungen eine Anforderung gerichtet ist) und
dafür sorgen, dass das Management bei der Entscheidung über das Budget durch Unterschrift dokumentiert, dass es bereit ist, die Restrisiken zu tragen

Beachten Sie, dass die Erfüllung der relevanten Basis-Anforderungen das Mindest-Sicherheitsniveau gemäß -Grundschutz ist

Risiken, die aus der Nichterfüllung solcher Anforderungen erwachsen, sollten daher nicht akzeptiert werden

Umsetzungsreihenfolge und Verantwortlichkeit

[Image:Abb_8_03_Schritte3_4.png?__blob=normal&v=1Bild5.png|top|alt="Umsetzungsplanung Schritte 3 und 4"]]

Wenn Budget oder Personal nicht ausreichen, alle wünschenswerten Sicherheitsmaßnahmen unmittelbar umzusetzen, ist eine sinnvolle Reihenfolge festzulegen

Dabei sollten Sie sich an folgenden Regeln orientieren:
Einen ersten Indikator zur Umsetzungsreihenfolge liefern die Kennzeichnungen R1, R2 und R3 bei den Modellierungshinweisen in Kapitel 2.2 des -Grundschutz-Kompendiums
Anforderungen aus mit „R1“ gekennzeichneten Bausteinen (z. B. ISMS.1 Sicherheitsmanagement und die Bausteine der Schicht ORP Organisation und Personal) sollten vorrangig erfüllt werden
Anschließend sind Anforderungen aus den mit „R2“ gekennzeichneten Bausteine zu erfüllen und erst zum Schluss solche aus Bausteinen, die mit dem Kürzel „R3“ versehen sind
Grundsätzlich sind ferner zunächst diejenigen Maßnahmen umzusetzen, mit denen Basis-Anforderungen erfüllt werden, dann diejenigen zur Erfüllung von Standard-Anforderungen und erst zuletzt die zur Gewährleistung eines höheren Schutzbedarfs
Berücksichtigen Sie ferner auch die sachlogischen Zusammenhänge der einzelnen Maßnahmen: So sind diejenigen Maßnahmen vorzuziehen, deren Umsetzung eine Voraussetzung für die Realisierung weiterer Maßnahmen ist

Insbesondere sollten Sie Ihr Augenmerk darauf legen, welche Wirkung die Umsetzung der einzelnen Maßnahmen auf das Sicherheitsniveau des Informationsverbundes hat

Setzen Sie vorrangig solche Maßnahmen um, die
Komponenten mit höherem Schutzbedarf betreffen ( sollten Server vor Clients abgesichert werden)
eine große Breitenwirkung entfalten (z. B. zentrale Maßnahmen wie der Einsatz von Netz- und Systemmanagement-Werkzeugen) oder
Bereiche betreffen, in denen auffallend viele Sicherheitsmaßnahmen fehlen

Dokumentieren Sie auch Ihre Entscheidungen zur Umsetzungsreihenfolge und deren Begründungen sorgfältig, damit nachvollziehbar und verständlich wird, warum Sie die aus der zeitlich nachgeordneten Umsetzung bestimmter Maßnahmen resultierenden Restrisiken in Kauf genommen haben

Dies kann insbesondere bei eventuell möglichen juristischen Streitfällen als Nachweis wichtig sein, dass die notwendige Sorgfaltspflicht beachtet wurde

Aufgaben und Verantwortlichkeiten

Maßnahmen werden meist nur dann fristgerecht umgesetzt, wenn geklärt wird, wer bis zu welchem Termin für deren Umsetzung zuständig ist

Der nächste Schritt besteht daher darin, diejenigen Personen zu bestimmen, welche die Umsetzung initiieren und durchführen sollen
Auch diese Entscheidungen sollten mit dem Management abgestimmt sein

Achten Sie darauf, dass die für die Umsetzung Zuständigen ausreichende Kenntnisse und Kompetenzen besitzen und ihnen die erforderlichen Ressourcen zur Verfügung gestellt werden

Planen Sie erforderliche Fortbildungen ein

Begleitende Maßnahmen

Begleitende Maßnahmen festlegen

[Image:Abb_8_04_Schritt5.png?__blob=normal&v=1Bild6.png|top|alt="Umsetzungsplanung Schritt 5"]]

Der Erfolg einer Maßnahme hängt in einem entscheidenden Umfang davon ab, wie diese von den Mitarbeitern akzeptiert und angewandt wird

Achten Sie daher darauf, dass bei Einführung neuer Sicherheitsmaßnahmen die betroffenen Mitarbeiter ausreichend geschult und für mögliche Probleme sensibilisiert werden

Schulungsmaßnahmen

Planen Sie Schulungsmaßnahmen ein!

Die Einführung neuer Sicherheitsmaßnahmen erfordert immer auch aufgaben- und produktbezogene Schulungen für die betroffenen Mitarbeiter

Was nützt zum Beispiel ein neu angeschaffter Feuerlöscher, wenn die Mitarbeiter im Brandfall nicht sachgerecht mit ihm umgehen können? Drei weitere Beispiele für zweckmäßige Schulungen:
Wenn Sie einem Mitarbeiter besondere Aufgaben im Sicherheitsmanagement übertragen, etwa als -Informationssicherheitsbeauftragter, benötigt er vielfältige und kontinuierlich zu aktualisierende Kenntnisse zu methodischen, organisatorischen und technischen Aspekten seines Aufgabengebiets
Der hierfür erforderliche Zeitaufwand ist bereits vor der Einführung dieser Verantwortlichkeit und der Ernennung des hierfür ausgewählten Mitarbeiters zu berücksichtigen
Wenn die Schnittstelle zum Internet durch eine Firewall geschützt werden soll, benötigt der zuständige Netzadministrator Kenntnisse über deren sichere Installation, Konfiguration und Administration
Der Einsatz von Verschlüsselungssoftware zum Schutz der Vertraulichkeit personenbezogener oder unternehmenskritischer Daten erfordert nicht nur den Aufbau von Know-how zu dem eingesetzten Produkt, sondern auch Regeln für dessen Anwendung: Welche Nachrichten oder Dateien sind zu verschlüsseln? Wie ist der private Schlüssel zu schützen? Wie sichert man, dass im Bedarfsfall berechtigte Vertreter Zugriff auf die verschlüsselten Daten erhalten? Die auf diese und andere Fragen gefundenen Lösungen müssen den Mitarbeitern verständlich gemacht werden

Sensibilisierung

Sensibilisieren Sie die betroffenen Mitarbeiter!

Gute Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten

Für die dauerhafte Wirksamkeit der Sicherheitsmaßnahmen ist es wichtig, dass die Mitarbeiter für Informationssicherheit sensibilisiert und bereit sind, die erforderlichen Maßnahmen umzusetzen, die notwendigen Verhaltensregeln zu beachten und unter Umständen auch Unbequemlichkeiten zu akzeptieren
Einige negative Beispiele:
Brandschutztüren verlieren ihre Schutzwirkung, wenn sie mit Holzkeilen offen gehalten werden, weil den Mitarbeitern das ständige Öffnen der Türen zu umständlich ist
Der Kauf von Software zur E-Mail-Verschlüsselung wird zur Fehlinvestition, wenn die Mitarbeiter diese nicht benutzen, weil sie sich der Gefährdungen der Vertraulichkeit nicht bewusst sind und ihre E-Mails weiterhin unverschlüsselt versenden, auch solche mit vertraulichem Inhalt
Passwörter bedeuten immer einen zusätzlichen Arbeitsschritt vor der eigentlichen Aufgabe
Regeln für sichere Passwörter wie periodischer Wechsel oder die Verwendung unterschiedlicher Passwörter für unterschiedliche Systeme erhöhen die Unbequemlichkeit
Wenn die Mitarbeiter diese Anforderungen lediglich als lästige Pflicht betrachten, werden Sie dazu neigen, sie zu umgehen, indem sie unsichere Passwörter wählen oder Zettel mit den Passwörtern in der Nähe des Rechners platzieren
Ein Netzadministrator, der seine Probleme bei der Installation eines Sicherheitsgateways unter Angabe seiner dienstlichen Adresse in einem Internet-Forum diskutiert, gefährdet die Schutzwirkung der Software, um deren Installation er sich bemüht

Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form

Akzeptanz

Überprüfen Sie die Akzeptanz der Maßnahmen!

Maßnahmen, die von den Mitarbeitern nicht akzeptiert werden, drohen zu scheitern. Überprüfen Sie daher nach Einführung der Sicherheitsmaßnahmen, ob diese tatsächlich von den Mitarbeitern angenommen werden

Sollte dies nicht oder nur eingeschränkt der Fall sein, so versuchen Sie, die Ursachen dafür zu ermitteln, und leiten Sie bei Bedarf zusätzliche Maßnahmen zur Sensibilisierung ein

Dokumentation

Der nachfolgende Auszug aus dem Realisierungsplan der RECPLAST zeigt, wie Sie die Festlegungen zur Umsetzung von Maßnahmen dokumentieren können

Dargestellt sind Maßnahmen für ein ausgewähltes Zielobjekt, den Printserver S003, und die zugehörigen Entscheidungen zu Terminen, Budget und Verantwortlichkeiten

Umsetzungsplan

Anforderung	Maßnahme	Termin	Budget	Umsetzung
SYS.1.1.A3 Restriktive Rechtevergabe	Die verbliebenen Gruppenberechtigungen müssen aufgelöst werden	Drittes Quartal des Jahres	keine Kosten	Herr Schmitt(-Betrieb)
SYS.1.1.A4 Rollentrennung	Separate Benutzerkennungen für jeden Administrator einrichten	31 Juli des Jahres	keine Kosten	Herr Schmitt(-Betrieb)
SYS.1.1.A8 Regelmäßige Datensicherung	Die Datensicherungen werden derzeit auf Bändern im Serverraum aufbewahrt Ein externes Backup-System ist geplant Ein Angebot für die Initialisierung liegt bereits vor (15.000 €) Die Betriebskosten müssen noch verhandelt werden	Erstes Quartal im Folgejahr	Anschaffung: 15.000 €Betrieb:noch offen	Frau Meyer(Einkauf)

Anhang

Siehe auch

Skript/Grundschutz/Praktiker

Sicherheit

Dokumentation

Links

Projekt

Weblinks

Aufrechterhaltung und Verbesserung

IT-Grundschutz Verbesserungsprozess - Aufrechterhaltung und Verbesserung

Beschreibung

Verfahren	Beschreibung
Informationssicherheitsprozess
Überprüfung der Umsetzung
Sicherheitsrevision
Aktualität von Sicherheitszielen
Übernahme der Ergebnisse in den Informationssicherheitsprozess
Informationsfluss
IT-Grundschutz-Zertifizierung
Effizienz und Effektivität der Vorkehrungen

Informationssicherheit prüfen

Abarbeitung einfacher Checklisten
Punktuelle Prüfung der Netzsicherheit mittels Penetrationstests
Umfassenden Prüfung
- Angemessenheit und Wirksamkeit
- der Umgesetzten
- technischen und organisatorischen Schutzmaßnahmen

Regelmäßigen Intervalle

Grundsätzlich gilt, dass umfassende Prüfungen in regelmäßigen Intervallen (jährlich bis maximal drei Jahre) durchgeführt werden sollten.
Aber auch fallweise Prüfungen sind zweckmäßig, beispielsweise bei der Änderung von Geschäftsprozessen und insbesondere nach Sicherheitsvorfällen.

Sicherheitsvorfälle

Sicherheitsvorfälle sollten immer ein Anlass sein, die Sicherheitskonzeption zu hinterfragen.

Dies sollte offen und sorgfältig geschehen, um Schwachstellen, die einen Vorfall begünstigt haben, identifizieren und beseitigen zu können.

Zweckmäßige Verfahren

Zwei zweckmäßige Verfahren, mit den Sie Ihr Sicherheitskonzept und das erreichte Schutzniveau prüfen können, sind die -Revision und der Cyber-Sicherheits-Check:

Mit einer Informationssicherheitsrevision (-Revision) können Sie nach einem festgelegten Verfahren und von kompetenten Revisoren überprüfen lassen, ob das Sicherheitskonzept Ihrer Institution wie beabsichtigt umgesetzt ist und es nach wie vor den aktuellen Anforderungen gerecht wird.
Die -Revision liefert sowohl den Verantwortlichen für Informationssicherheit als auch der Leitung einer Institution belastbare Informationen über den aktuellen Zustand der Informationssicherheit.

Kurz-, Querschnitts- und Partialrevision

Neben einer umfassenden Prüfung, die auf die vollständige und vertiefte Überprüfung der Informationssicherheit in einer Institution abhebt, gibt es mit der Kurz-, Querschnitts- und Partialrevision Varianten, bei denen Tiefe und Umfang der Prüfung begrenzt sind.

Cyber-Sicherheits-Check

Wenn Sie noch wenig Erfahrung mit diesem Thema haben, kann der Cyber-Sicherheits-Check eine wichtige Hilfe bei der Überprüfung des Sicherheitsniveaus Ihrer Institution sein.

Er gibt ihnen Hinweise zur Anfälligkeit gegen Cyberangriffe und ist so angelegt, dass die regelmäßige Durchführung das Risiko verringert, zum Opfer solcher Angriffe zu werden.

Vorgehensmodell IT-Revision

Für die Durchführung der IT-Revision hat das BSI ein eigenes Vorgehensmodell entwickelt, das im Leitfaden -Revision beschrieben ist.

Dort erfahren Sie auch mehr zu Prüfumfang und -tiefe sowie Einsatzzweck der unterschiedlichen Varianten des Verfahrens.

Geschäftsprozess

Name
Prozess-Owner
Trigger

Vorarbeiten

Realisierungsplan enthält Maßnahmen des Sicherheitskonzepts

Bis wann werden Maßnahmen von wem wie umgesetzt
Erforderliche Ressourcen
Zwischentermine
Begleitende Maßnahmen

Regelmäßige Kontrollen

Sicherstellen, dass alles wie geplant umgesetzt ist und funktioniert

Stetiger Prozess

Informationssicherheit ist kein einmalig herzustellender und anschließend stabiler Zustand, sondern ein stetiger Prozess, der immer wieder an sich wandelnde und neue Herausforderungen angepasst werden muss.

Angemessenheit und Wirksamkeit der technischen und organisatorischen Maßnahmen für Informationssicherheit in Ihrer Institution kontinuierlich überwachen und verbessern

Umsetzungsstand der im Sicherheitskonzept vorgesehenen Maßnahmen prüfen
Vorgehen bei der Überprüfung der Wirksamkeit von Maßnahmen
Erkenntnisse der Prüfungen in Maßnahmen zur Verbesserung Ihres Informationssicherheitsmanagements überführen
Kennzahlen können bei der Bewertung einzelner Aspekte der Informationssicherheit helfen
Reifegradmodell nutzen
Sicherheitsniveau nachweisen (27001-Zertifikat auf Basis von IT-Grundschutz)

Leitfragen

Leitfragen für die Überprüfung

Um sicherzustellen, dass die Maßnahmen des Sicherheitskonzepts immer den Anforderungen entsprechen, müssen sie kontinuierlich überprüft werden.

Überprüfungen sollten sich an folgenden Leitfragen orientieren

Frage	Beschreibung
Welche Ziele der Informationssicherheit sind aktuell vordringlich?	Die Bedeutung von Sicherheitszielen kann sich im Zeitablauf verändern So kann es wichtiger werden, die Vertraulichkeit von Informationen zu schützen, wenn sich gesetzliche Rahmenbedingungen ändern oder aber die Institution mit Daten arbeitet, die dies verstärkt erfordern. Alle Maßnahmen zur Erhaltung der Vertraulichkeit müssen daher besonders sorgfältig geprüft werden. Eine weitere wichtige Frage ist, ob die gewählten Sicherheitsmaßnahmen noch der Gefährdungslage entsprechen. Auch ist zu prüfen, ob neue technische Verfahren einen effizienteren und wirksameren Schutz bieten können.
Wer ist verantwortlich für die Überwachung des Informationssicherheitsprozesses?	Häufig ist die Institution so komplex, dass der nicht alle Überprüfungen leiten und durchführen kann. Dann ist es wichtig, dass für verschiedene Bereiche Personen benannt sind, die diese Maßnahmen konzipieren, umsetzen, Ergebnisse dokumentieren sowie Verbesserungen planen und steuern. Bei einer solchen verteilten Verantwortung ist eine gute Zusammenarbeit mit dem wichtig, der über alle Schritte informiert werden muss.
Wie häufig sind die Verfahren zu überprüfen?	Für weniger wichtige Schutzmechanismen kann eine Überprüfung seltener erfolgen als für kritische Prozesse. Mindestens einmal pro Jahr muss das Sicherheitskonzept darauf überprüft werden, ob es noch effektiv ist, also den Zielen der Informationssicherheit im Unternehmen oder der Behörde entspricht. Wenn es einen Sicherheitsvorfall gegeben hat, sollte dies Anlass für eine zusätzliche Prüfung sein.

Umsetzungshinweise

ISMS.1.M11: Aufrechterhaltung der Informationssicherheit

Empfehlungen zur Vorgehensweise bei der Überprüfung des Sicherheitsprozesses

Informationssicherheitsprozess

Überprüfung des Informationssicherheitsprozesses ist unabdingbar

Fehler und Schwachstellen erkennen und abstellen
Effizienz des IS-Prozesses optimieren

Verbesserung der Praxistauglichkeit

Strategie
Maßnahmen
Organisatorische Abläufe

Methoden zur Überprüfung

Zur Effizienzprüfung und Verbesserung sollten Verfahren und Mechanismen eingerichtet werden

Realisierung der beschlossenen Maßnahmen prüfen
deren Wirksamkeit und Effizienz überprüfen

Informationssicherheitsstrategie sollte Leitaussagen zur Messung der Zielerreichung machen

Grundlagen für Messungen

Detektion, Dokumentation und Auswertung von Sicherheitsvorfällen
Durchführung von Übungen und Tests zur Simulation von Sicherheitsvorfällen
- Auswertung der Ergebnisse
interne und externe Audits, Datenschutzkontrollen
Zertifizierung nach festgelegten Sicherheitskriterien

Internen Audits zur Erfolgskontrolle der umgesetzten Maßnahmen

nicht durch denjenigen durchführen, der die Sicherheitskonzeption entwickelt hat
Externe Experten mit der Durchführung solcher Prüfungsaktivitäten beauftragen

Aufwand von Audits

hängt von der Komplexität und Größe des Informationsverbunds ab
Anforderungen auch für kleine Institutionen geeignet

Kleinen Einrichtungen

In kleinen Institutionen eventuell ausreichend

Jährlicher technischer Check von IT-Systemen
Vorhandene Dokumentationen auf Aktualität prüfen
Probleme und Erfahrungen mit dem Sicherheitskonzept in Workshop besprechen

Überprüfung der Umsetzung

Realisierungsplan prüfen

Aufgabenliste und zeitliche Planung
Ob und inwieweit dieser eingehalten wurde

Angemessene Ressourcenplanung

Voraussetzung für die Einhaltung geplanter Sicherheitsmaßnahmen
Wurden ausreichende finanzielle und personelle Ressourcen zur Verfügung gestellt?

Die Überprüfung dient auch

Rechtzeitiger Wahrnehmung von Planungsfehlern
Anpassung der Sicherheitsstrategie, wenn sich diese als unrealistisch erweist

Benutzer-Akzeptanz
Nach Einführung neuer Sicherheitsmaßnahmen

Akzeptanz bei Nutzern prüfen

Werden neuen Maßnahmen nicht akzeptiert, ist ein Misserfolg vorprogrammiert

Ursachen herauszuarbeiten und abstellen

Oft reicht eine zusätzliche Aufklärung der Betroffenen

Alternativen prüfen

Sicherheitsrevision

Revision der Informationssicherheit anhand der IT-Grundschutz-Sicherheitsmaßnahmen

Gleiche Vorgehensweise wie beim Basis-Sicherheitscheck

Arbeitsökonomisch: Angepasste Checkliste erstellen

für jeden Baustein der IT-Grundschutz-Kataloge
anhand der Maßnahmentexte
erleichtert die Revision
verbessert die Reproduzierbarkeit der Ergebnisse

Aktualität von Sicherheitszielen

Rahmenbedingungen und Sicherheitskonzeption

In längeren Perspektiven prüfen

gesetzte Sicherheitsziele
Rahmenbedingungen

Anpassung der Sicherheitsleitlinie und der Sicherheitsstrategie

in schnelllebigen Branchen von elementarer Bedeutung
Betriebliche Änderungen schon bei ihrer Planungsphase in die Sicherheitskonzeption einbeziehen
Einsatz neuer IT-Systeme
Umzug
organisatorische Änderungen (z. B. Outsourcing)
Änderungen gesetzlicher Anforderungen

Nach jeder relevanten Änderung aktualisieren

Sicherheitskonzeption
dazugehörigen Dokumentation

Im Änderungsprozess der Institution berücksichtigen

Informationssicherheitsprozess in das Änderungsmanagement der Institution integrieren

Wirtschaftlichkeitsbetrachtung

Wirtschaftlichkeit sollte unter konstanter Beobachtung bleiben

Sicherheitsstrategie
spezifische Sicherheitsmaßnahmen

Kosten für Informationssicherheit sind schwer zu ermitteln

oft hilfreich, für die weitere Planung: Prüfen, ob
- tatsächlich angefallene Kosten den geplanten entsprechen
- ressourcenschonendere Sicherheitsmaßnahmen eingesetzt werden können

Nutzen herausarbeiten

Ebenso wichtig: Regelmäßig den Nutzen der vorhandenen Sicherheitsmaßnahmen herausarbeiten

Rückmeldungen

Rückmeldungen von Internen und Externen

Rückmeldungen über Fehler und Schwachstellen in den Prozessen

Informationssicherheitsorganisation
Revision

auch von

Mitarbeitern
Geschäftspartnern
Kunden oder Partnern

Wirksame Vorgehensweise festlegen

Beschwerden und anderen Rückmeldungen von Internen und Externen verwerten

Beschwerden

von Kunden oder Mitarbeitern können dabei ein Indikator für Unzufriedenheit sein

Bereits entstehender Unzufriedenheit entgegenwirken!

bei unzufriedenen Mitarbeitern/Kunden
Gefahr von Handlungen die den Betrieb stören können
- fahrlässig
- vorsätzlich

Rückmeldungen von Internen und Externen

Umgang mit Beschwerden

klar definiertes Verfahren
eindeutig festgelegte Kompetenzen
für den Umgang mit Beschwerden und für die Rückmeldung von Problemen an die zuständige Instanz

Beschwerden schnellstmöglich beantworten

damit die Hinweisgeber sich ernst genommen fühlen

Gemeldeten Probleme bewerten

Handlungsbedarf eingeschätzten
angemessene Korrekturmaßnahmen zur Beseitigung der Ursachen von Fehlern ergreifen
erneutes Auftreten verhindern

Informationsfluss

Informationsfluss im Informationssicherheitsprozess

Im Rahmen der Überprüfung und Verbesserung entstehen

Berichte
Audit-Reports
Ergebnisse von Sicherheitstests
Meldungen über sicherheitsrelevante Ereignisse
weitere Dokumente zur Informationssicherheit

Dokumente müssen

aussagekräftig
für die jeweilige Zielgruppe verständlich sein

Nicht alle Informationen sind für die Leitungsebene geeignet

es ist eine Aufgabe des IT-Sicherheitsmanagements, diese Informationen
- zu sammeln
- zu verarbeiten
- kurz und übersichtlich aufzubereiten

Berichte

Berichte an die Leitungsebene
Leitung benötigt Eckpunkte über den Stand der Informationssicherheit

richtige Entscheidungen bei der Steuerung und Lenkung des Informationssicherheitsprozesses Eckpunkte in Management-Berichten aufbereiten
Ergebnisse von Audits und Datenschutzkontrollen
Berichte über Sicherheitsvorfälle
Berichte über bisherige Erfolge und Probleme beim Informationssicherheitsprozess IS-Organisation informiert Leitungsebene regelmäßig in angemessener Form
Ergebnisse der Überprüfungen
Status des IS-Prozesses
Probleme
Erfolge
Verbesserungsmöglichkeiten

Leitungsebene nimmt Management-Berichte zur Kenntnis und veranlasst notwendige Maßnahmen

Berichte an die Leitungsebene

Dokumentation im Informationssicherheitsprozess

Dokumentation im Informationssicherheitsprozess

Entscheidend für Erfolg

Dokumentation des IS-Prozesses auf allen Ebenen

Nur durch ausreichende Dokumentation

werden getroffene Entscheidungen nachvollziehbar
sind Prozesse wiederholbar und standardisierbar
können Schwächen und Fehler erkannt und zukünftig vermieden werden

Abhängig vom Gegenstand und vom Verwendungszweck der Dokumentation

Technische Dokumentation und Dokumentation von Arbeitsabläufen
Anleitungen für Mitarbeiter
Aufzeichnung von Management-Entscheidungen
Gesetze und Regelungen

Technische Dokumentation Arbeitsabläufen
Zielgruppe: Experten

Aktuellen Stand beschreiben

Geschäftsprozessen
damit verbundener IT-Systeme und Anwendungen

Detaillierungsgrad technischer Dokumentationen

andere Personen mit vergleichbarer Expertise sollen die Dokumentation nachvollziehen können
Ein Administrator soll zwar auf sein Wissen, aber nicht auf sein Gedächtnis angewiesen sein, um die Systeme und Anwendungen wiederherzustellen

Dazu gehörten z.B.

Installations- und Konfigurationsanleitungen
Anleitungen für den Wiederanlauf nach einem Sicherheitsvorfall
Dokumentation von Test- und Freigabeverfahren
Anweisungen für das Verhalten bei Störungen und Sicherheitsvorfällen

Bei Sicherheitsübungen und bei Behandlung von Sicherheitsvorfällen

Qualität der vorhandenen Dokumentationen bewerten
gewonnene Erkenntnisse zur Verbesserung nutzen

Anleitungen für Mitarbeiter

Zielgruppe: Mitarbeiter

Sicherheitsmaßnahmen in Form von Richtlinien dokumentieren

für die Mitarbeiter verständlich

Mitarbeiter müssen informiert und geschult sein

Existenz und Bedeutung dieser Richtlinien

Dazu gehört

Arbeitsabläufe und organisatorische Vorgaben
Richtlinien zur Nutzung des Internets
Verhalten bei Sicherheitsvorfällen

Entscheidungen aufzeichnen

Informationssicherheitsprozess
Sicherheitsstrategie
jederzeit verfügbar
nachvollziehbar
wiederholbar

Gesetze und Regelungen

Zielgruppe: Leitungsebene

Für Informationsverarbeitung sind viele unterschiedliche relevant

Gesetze
Regelungen
Anweisungen
Verträge

Besondere Anforderungen sollten dokumentiert werden

welche konkreten Konsequenzen ergeben sich daraus
- Geschäftsprozesse
- IT-Betrieb
- Informationssicherheit

Aktuellen Stand der Dokumentationen sicherstellen

Dafür muss die Dokumentation in den Änderungsprozess einbezogen werden

Informationsfluss und Meldewege

Richtlinie zum Informationsfluss und Meldewegen

Grundsätzliche Festlegungen

Hol- und Bringschuld

Kommunikationsplan

Wer? Wem? Was? Wann? Bis wann? Form? Feedback bis?
von der Leitungsebene verabschieden lassen

Aktualisierung der Meldewege

Festlegungen für den Informationsfluss
Zeitnahe Aktualisierung von elementarer Bedeutung für die Aufrechterhaltung des Informationssicherheitsprozesses Verbesserung des Informationsflusses
Ergebnisse aus Übungen, Tests und Audits sind nützliche Grundlage für die Verbesserung des Informationsflusses

Synergieeffekten für den Informationsfluss

Oft sind bereits Prozesse für den IT-Support definiert Synergieeffekte nutzen

Meldewege für IT-Sicherheitsvorfälle können in den IT-Support integriert werden

Kapazitätsplanung um Aspekte der Notfallvorsorge erweitert werden
Viele Informationen, die aus Sicherheitsgründen erhoben werden, können auch zu anderen Zwecken genutzt werden Sicherheitsmaßnahmen haben positive Nebeneffekte
besonders Optimierung von Prozessen ist für viele Bereiche relevant
- Bestimmung von Informationseigentümern
- Einstufung von Informationen nach einheitlichen Bewertungskriterien Überblick über die Abhängigkeit
der Geschäftsprozesse von IT-Systemen und Anwendungen
ist nicht nur für das Sicherheitsmanagement sinnvoll
exakte Zuordnung von IT-Kosten, auf einzelne Geschäftsprozesse

IT-Grundschutz-Zertifizierung

Grundschutz/Zertifizierung

Zertifizierung

Grundschutz/Zertifizierung - ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz

Beschreibung

ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) brachte mit dem IT-Grundschutz 2006 ein Konzept für die Umsetzung eines Informationssicherheitsmanagementsystems (ISMS) heraus.

Der IT-Grundschutz bietet mit seinen drei Standards 200-1, 200-2 und 200-3 in Kombination mit den IT-Grundschutzkatalogen (bis 2006 IT-Grundschutzhandbuch genannt) Hilfestellungen bei der Einführung und Aufrechterhaltung eines ISMS.
Seit 2006 sind die IT-Grundschutz-Kataloge an die internationale Norm ISO/IEC 27001 angepasst.
Dieses System gilt als Quasi-Standard in deutschen Behörden.

Fokussierte Grundwerte

ISO 27001-Zertifizierungen auf der Basis von IT-Grundschutz ermöglichen Behörden und Unternehmen, ihre Bemühungen um Informationssicherheit und die erfolgreiche Umsetzung internationaler Normen unter Anwendung der IT-Grundschutz-Methodik nach innen und außen zu dokumentieren.

Adressaten

Institutionen, die eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz anstreben

IT-Grundschutz-Zertifizierung

Allgemein anerkannte Zertifikate setzen Maßstäbe und schaffen Vertrauen

Auch im Bereich der Informationssicherheit sind verlässliche Standards wünschenswert, die den Anwendern Orientierung zur Sicherheit von Produkten, Systemen und Verfahren bieten.
Daher gibt es bereits seit vielen Jahren international anerkannte Kriterienwerke, auf deren Grundlage die Sicherheitseigenschaften von Produkten und Systemen durch unabhängige Zertifizierungsstellen bestätigt werden können.

Das 27001-Zertifikat auf Basis von -Grundschutz belegt in besonderer Weise das Bemühen um Informationssicherheit, da Grundlage für die Vergabe nicht nur die Erfüllung der allgemeinen Anforderungen der Norm 27001 an das Sicherheitsmanagement ist, sondern auch die nachgewiesene Umsetzung der wesentlich konkreteren Anforderungen des -Grundschutzes.

Die Zertifizierung des Managements für Informationssicherheit kann für unterschiedliche Zielgruppen interessant sein, zum Beispiel für

Anbieter im E-Commerce oder E-Government, die verdeutlichen wollen, dass sie sorgfältig und sicherheitsbewusst mit den Daten der Kunden und Bürger umgehen,
IT-Dienstleister, die mit einem allgemein anerkannten Maßstab die Sicherheit ihrer Dienstleistungen belegen wollen,
Unternehmen und Behörden, die mit anderen Einrichtungen kooperieren wollen und Informationen über deren Sicherheitsniveau wünschen.

Ein Zertifizierungsverfahren wirkt auch nach innen

Trägt dazu bei, das Bewusstsein der Mitarbeiter für die Notwendigkeit von Informationssicherheit zu stärken
Erleichtert dadurch die Umsetzung erforderlicher Sicherheitsmaßnahmen.

Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz

Zertifizierung ist eine weitere Methode zur Prüfung

Erreichung der Sicherheitsziele
die Umsetzung der Sicherheitsmaßnahmen

Hierbei begutachten qualifizierte unabhängige Stellen

das Management von Informationssicherheit
die Umsetzung von Informationssicherheit

Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz liefert Auditergebnis

Nachvollziehbar
Wiederholbar
Vergleichbar

Dokumentation

ISO 27001 als auch IT-Grundschutz in der erforderlichen Tiefe umgesetzt

Eignung der Informationssicherheitsstrategie

Um den Informationssicherheitsprozess erfolgreich steuern und lenken zu können,

muss die Leitungsebene einen Überblick darüber haben,
inwieweit die Sicherheitsziele mithilfe der
eingesetzten Sicherheitsstrategie tatsächlich erreicht werden konnten.

Zertifizierungsprozess

Voraussetzung für die Vergabe eines ISO 27001-Zertifikats auf Basis von -Grundschutz ist der Nachweis, dass ein den Anforderungen der Norm entsprechendes Informationssicherheitsmanagement eingerichtet ist und die -Grundschutz-Anforderungen wirksam erfüllt sind.

Gegenstand der Zertifizierung muss dabei nicht die gesamte Institution sein.
Der betrachtete Informationsverbund kann sich auch auf einzelne Geschäftsprozesse, Fachaufgaben oder Organisationseinheiten beschränken.
Diese müssen jedoch sinnvoll abgegrenzt sein und eine gewisse Mindestgröße haben.

Die folgende Abbildung veranschaulicht den Zertifizierungsprozess:

[Image:Abb_9_05_Zertifizierungsprozess.png?__blob=normal&v=1Bild5.png|top|alt="ISO 27001-Zerifizierung auf Basis von IT-Grundschutz - Zertifizierungsprozess"]]

Für den Nachweis, dass die Anforderungen erfüllt sind, ist ein Audit durch einen unabhängigen, vom anerkannten Auditor erforderlich.

Jedes Audit setzt sich grundsätzlich aus zwei getrennten, aufeinander aufbauenden Phasen zusammen:
Phase 1 umfasst eine Dokumentenprüfung der so genannten Referenzdokumente des Antragstellers.
Dazu zählen neben den geltenden Sicherheitsrichtlinien (Leitlinie zur Informationssicherheit, Richtlinien zur Risikoanalyse, Richtlinie zur internen -Auditierung) und dem Risikobehandlungsplan insbesondere auch die Ergebnisdokumente der verschiedenen Phasen der Sicherheitskonzeption (Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, -Grundschutz-Check, Risikoanalyse, Realisierungsplanung).
In Phase 2 folgt die Umsetzungsprüfung durch den Auditor, bei der die Vollständigkeit, Korrektheit, und Wirksamkeit der in den Referenzdokumenten beschriebenen Maßnahmen sowie deren Konformität zu den Anforderungen von 27001 und -Grundschutz im Fokus stehen.

Ein Zertifikat wird nur erteilt, wenn der Auditbericht ein positives Gesamtvotum aufweist und durch die Zertifizierungsstelle akzeptiert wurde.

Im Rahmen einer Prüfbegleitung wird der Auditbericht gegen die Vorgaben des vom veröffentlichen Zertifizierungsschemas geprüft.

Ein erteiltes Zertifikat ist drei Jahre lang gültig und muss in diesem Zeitraum durch ein jährliches Überwachungsaudit bestätigt werden.

Das der 27001-Zertifizierung auf Basis von -Grundschutz zugrunde liegende Zertifizierungsschema, Hinweise zu den erforderlichen Referenzdokumenten und alle weiteren wichtigen Informationen zum Thema finden Sie in einem eigenen Unterthema gebündelt auf der Website des .

Vorgehensweise und Voraussetzungen

beteiligten Parteien
Verantwortlichkeiten
Aufgaben
Aktivitäten
Zusammenwirken

Rechtliche Grundlage

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG, BSIG)
Zertifizierungsverordnung zum BSI-Gesetz ZVO

Die für ISO 27001-Zertifizierungsverfahren auf der Basis von IT-Grundschutz relevanten Kriterienwerke sind

ISO/IEC 27001 "Information technology - Security techniques - Information security management systems – Requirements", die BSI-Standards 200-2 „IT-Grundschutz-Methodik“ [2002]
BSI-Standard 200-3 „Risikoanalyse auf Basis von IT-Grundschutz“ [2003] sowie das ITGrundschutz-Kompendium des BSI.

Weitere Grundlage der Zertifizierung

Normen ISO/IEC 27006 „Information technology Security techniques - Requirements for bodies providing audit and certification of information security management systems“
DIN EN ISO/IEC 17021 "Konformitätsbewertung - Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren"
welche Anleitungen und Anforderungen für den Ablauf und die Durchführung von Audits und Zertifizierungsverfahren enthalten.

ISO 27001-Auditoren auf der Basis von IT-Grundschutz

die ein unabhängiges Audit durchführen
um die Konformität eines Managementsystems für Informationssicherheit gemäß ISO 27001 auf der Basis von IT-Grundschutz in einer Einrichtung oder Institution zu bestätigen.

Insbesondere können sich Einrichtungen und Institutionen und deren IT-Sicherheitsverantwortliche sowie Auditoren einen Überblick über die grundsätzlichen Anforderungen an eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz verschaffen und über die Vorgehensweise einer ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz informieren.

Begriffe und Definitionen

Option	Beschreibung
Informationsverbund	stellt nicht nur den Verbund der betrachteten IT-Systeme dar, sondern umfasst auch das damit verbundene Informationssicherheits-Managementsystem (ab hier ISMS abgekürzt). Der Informationsverbund ist der Geltungsbereich der Zertifizierung (sog. Untersuchungsgegenstand).
Audit	können von einem oder mehreren Auditoren durchgeführt werden, die vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert 1 sind. Der für die Durchführung eines Audits verantwortliche Auditor wird in diesem Dokument Auditteamleiter genannt.
Auditteam	können auch Fachexperten angehören, die spezielle Branchenkenntnisse oder solide Kenntnisse und Erfahrungen hinsichtlich der im Informationsverbund eingesetzten Informations- und Kommunikationstechnik besitzen. Die Rollen der beteiligten Parteien im Zertifizierungsaudit sind in Kap. 2.2 näher ausgeführt.

Zertifizierungsprozess

Die IT-Grundschutz-Vorgehensweisen Standard- und Kern-Absicherung stellen zusammen mit dem IT-Grundschutz-Kompendium und dessen Empfehlungen von Standard-Sicherheitsmaßnahmen inzwischen einen De-Facto-Standard für Informationssicherheit dar.

Voraussetzung

Voraussetzung für die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz ist eine Überprüfung des Untersuchungsgegenstandes durch einen vom BSI zertifizierten Auditor für ISO 27001-Audits auf der Basis von IT-Grundschutz.

Im Rahmen des Audits werden von der Institution erstellte Referenzdokumente gesichtet, eine Vor-Ort-Prüfung durchgeführt und ein Auditbericht erstellt.
Für die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz wird dieser Auditbericht von der Zertifizierungsstelle im BSI geprüft.
Während der Gültigkeit des daraufhin ausgestellten Zertifikats werden jährlich Überwachungsaudits durchgeführt.

Rollen und Zuständigkeiten

In das Zertifizierungsverfahren für die ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz sind die folgenden drei Rollen involviert

Antragsteller,
Auditor bzw. Auditteamleiter als befugter Vertreter des Auditteams
Zertifizierungsstelle

Folgende Abbildung zeigt schematisch die den Rollen zugeordneten Aufgaben und das Zusammenwirken der Rollen im Zertifizierungsverfahren

Abbildung 1: Rollen im Zertifizierungsverfahren

Zertifizierungsantrag

Hat eine Institution ein ISMS nach ISO 27001 auf Basis der IT-Grundschutz-Methodik umgesetzt und liegen alle erforderlichen Nachweise der Umsetzung (sog. Referenzdokumente [REFDOK]) vor, kann Zertifizierungsschema für ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz die Institution ein Zertifizierungsverfahren für eine ISO 27001-Zertifizierung auf der Basis von ITGrundschutz bei der Zertifizierungsstelle initiieren und einen Zertifizierungsantrag stellen.

Die Institution beauftragt ein Auditteam, auf Grundlage des vorliegenden Zertifizierungsschemas und des zugehörigen Auditierungsschemas für ISO 27001-Audits auf der Basis von IT-Grundschutz den Informationsverbund, sein ISMS und seine Sicherheitsstruktur zu überprüfen.
Der Antragsteller ist Initiator des Zertifizierungsverfahrens und unterstützt das Auditteam bei der Sichtung der Referenzdokumente und der Vor-Ort-Prüfung des Informationsverbundes.
Das Auditteam dokumentiert seine Prüfergebnisse in einem Auditbericht, der zusammen mit dem Zertifizierungsantrag der Zertifizierungsstelle als Grundlage für ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz dient.
Auditoren dürfen nur Themengebiete prüfen, für die sie das notwendige Fachwissen und ausreichend Erfahrung mitbringen.
Falls weder der Auditteamleiter noch die anderen Auditoren des Teams über das nötige Spezialwissen verfügen, muss der Auditteamleiter zur Unterstützung der Prüftätigkeiten und zur Absicherung der Prüfaussagen einen oder mehrere Fachexperten hinzuziehen.
Zwei oder mehr Auditoren können sich zu einem Auditteam zusammenschließen, um ein gemeinsames Audit durchzuführen.
In einem solchen Fall wird ein Auditteamleiter (Auditverantwortlicher) bestimmt.
Die Rollen und Zuständigkeiten der Teammitglieder sind zu Beginn des Zertifizierungsverfahrens festzulegen.
Ein Auditteam kann darüber hinaus noch Fachexperten zur Unterstützung hinzuziehen.
Fachexperten müssen ebenso wie die Auditoren Fachwissen sowie Erfahrung im Bereich Informationssicherheit besitzen und sind Teil des Auditteams.
Jedes Mitglied des Auditteams muss vor Beginn des Verfahrens, d. h. mit dem Zertifizierungsantrag, sowie vor einem Überwachungsaudit eine Unabhängigkeitserklärung bei der Zertifizierungsstelle einreichen.
Die Zertifizierungsstelle des BSI muss dem Einsatz des Auditors bzw. des Auditteams zustimmen.
Alle Mitglieder des Auditteams müssen im Auditbericht aufgeführt sein.

Ansprechpartner

Ansprechpartner der Zertifizierungsstelle ist der Auditteamleiter

Dieser sendet den Auditbericht verschlüsselt an die Zertifizierungsstelle des BSI und ergänzt Nachforderungen.
Je nach Vertragsinhalt kann der Auditor dem Antragsteller den Auditbericht jederzeit zur Verfügung stellen.

Hilfskräfte

Hilfskräfte für reine Verwaltungstätigkeiten, beispielsweise Schreibkräfte, können eingesetzt werden, wenn diese vom Auditteamleiter entsprechend überwacht und kontrolliert werden.

Für Hilfskräfte gelten keine einschränkenden Bedingungen; sie müssen auch nicht im Auditbericht genannt werden.
Die Verantwortung für die Prüftätigkeiten verbleibt in jedem Fall beim Auditteamleiter.
Die Zertifizierungsstelle des BSI übernimmt die Rolle einer unabhängigen dritten Instanz, die die Gleichwertigkeit der Prüfungen und der Auditberichte gewährleistet.
Sie veröffentlicht die Schemata und Interpretationen zum Zertifizierungsverfahren.
Die Zertifizierungsstelle prüft den Zertifizierungsantrag des Antragstellers und den eingereichten Auditbericht des Auditteams auf Grundlage des vorliegenden Zertifizierungsschemas und des zugehörigen Auditierungsschemas für ISO 27001-Audits auf der Basis von IT-Grundschutz.
Bei positivem Prüfergebnis erteilt die Zertifizierungsstelle für den Informationsverbund des Antragstellers ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz.

Antragsteller und Auditteamleiter sollten bei der Planung von Zertifizierungsverfahren darauf achten, dass genügend Zeit und Ressourcen (Budget, Personal, ...) für Kommentierungszyklen von Auditberichten und eventuelle Nachbesserungen bzw. Nachforderungen eingeplant werden.

Zertifizierungsantrag

Zur Initiierung des Zertifizierungsverfahrens ist vom Antragsteller ein Antrag auf eine ISO 27001Zertifizierung auf der Basis von IT-Grundschutz bei der Zertifizierungsstelle des BSI zu stellen.

Anforderungen

Der Zertifizierungsstelle des BSI muss der vollständige Zertifizierungsantrag mindestens 1 Monat vor Beginn des Audits (d. h. vor Beginn der Sichtung der Referenzdokumente) vorliegen.
In Einzelfällen kann die Prüfung länger dauern, sodass evtl. Audittermine angepasst werden müssen.
Der Zertifizierungsantrag enthält Angaben zum Antragsteller und verschiedene weitere Informationen zum Untersuchungsgegenstand (d. h. zum zu zertifizierenden Informationsverbund) sowie zur Auditierungstätigkeit.
Insbesondere müssen die im Folgenden genannten Angaben vollständig sein:
- Der zu zertifizierende Untersuchungsgegenstand ist zu beschreiben.
Ferner ist ein kurzes Behörden- bzw. Firmenprofil zu geben, aus dem u. a. die wesentlichen Tätigkeitsfelder der Institution sowie die Größe und Bedeutung des Untersuchungsgegenstandes für die Institution deutlich werden.
- Bei einer Re-Zertifizierung sind die Änderungen im Informationsverbund im Vergleich zum Informationsverbund der Erst-Zertifizierung anzugeben und kurz zu beschreiben.
Bei der Verwendung überarbeiteter oder neuer Bausteine sind diese im Antrag mit anzugeben und zu beschreiben.
Dabei werden nur große / gravierende Änderungen aufgeführt.

◦ Im Zertifizierungsantrag sind Angaben zur Abgabe des Auditberichts an die Zertifizierungsstelle des BSI zu machen.

Der Zeitplan ist mit der Zertifizierungsstelle des BSI abzustimmen.
Terminänderungen sind dem BSI rechtzeitig schriftlich mitzuteilen.

◦ Teil des Zertifizierungsantrags ist die Unabhängigkeitserklärung der Auditteammitglieder (s. nächstes Kapitel). Formulare zur Antragstellung sowie für die Unabhängigkeitserklärung sind auf den Webseiten des BSI zu finden.

Als Prüfungsgrundlage für Auditierungen im Rahmen der ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz müssen die in „Prüfgrundlage für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz“ [PRÜFGR] aufgeführten Dokumente in der dort genannten Version verwendet werden.

Der Zertifizierungsantrag muss im Original in Papierform oder als absenderbestätigte De-Mail dem BSI zugestellt werden.

Die Zertifizierungsstelle prüft den eingereichten Zertifizierungsantrag auf Vollständigkeit, Konsistenz und Erfüllung der o.g. Anforderungen.

Ferner wird im Rahmen der Antragsprüfung die prinzipielle Zertifizierbarkeit des Untersuchungsgegenstandes, also die sinnvolle Abgrenzung des Informationsverbunds geprüft und wenn nötig abgestimmt.
Bei positiver Prüfung des Zertifizierungsantrags wird das Zertifizierungsverfahren in Reihenfolge der vollständig eingegangenen Anträge offiziell eröffnet und eine Zertifizierungskennung vergeben.
Die Verfahrenseröffnung und die Zertifizierungskennung werden dem Antragsteller schriftlich und dem Auditteamleiter per E-Mail bzw. telefonisch mitgeteilt und wenn gewünscht auf der BSI-Webseite veröffentlicht.
Mit der Sichtung der Referenzdokumente darf nicht vor Verfahrenseröffnung begonnen werden, d.h. das Audit darf erst nach Mitteilung der Zertifizierungskennung beginnen.

Unabhängigkeitserklärung

Jedes Mitglied des Auditteams (Auditteamleiter, Auditoren, Fachexperten) muss der Zertifizierungsstelle des BSI gegenüber eine Unabhängigkeitserklärung mit Begründung abgeben.

Interessenskonflikte

Wenn ein Mitglied des Auditteams (Auditteamleiter, Auditor, Fachexperten) oder die Firma, für die der Betreffende tätig ist, in Beziehung zu der zu auditierenden Institution oder Teilen davon bzw. zu beratenden Institutionen oder Personen steht, die einen Interessenskonflikt hervorrufen kann, ist diese Unabhängigkeit in der Regel nicht mehr gegeben.

Eine solche Gefährdung kann z. B. bei folgenden Konstellationen auftreten, wobei ein Zeitraum von drei Jahren betrachtet wird

Beratung der Institution durch den Auditor selbst oder einen Kollegen / Vorgesetzten /

Mitarbeiter des Auditors

andere geschäftliche Verbindungen des Auditors oder des Arbeitgebers des Auditors und der auditierten Institution
Verwandtschaftsverhältnis des Auditors mit Mitgliedern / verantwortlichen Personen der auditierten Institution oder eines Beraters • Geschäftsanbahnung (z. B. nicht erfolgreiche Bewerbung um eine Beratung)

Rein auditierende Tätigkeiten sind hiervon explizit ausgenommen

Diese Unabhängigkeitserklärung muss der Zertifizierungsstelle des BSI bei einer Erst- oder ReZertifizierung mindestens 1 Monat vor Beginn der Auditierungstätigkeit vorliegen.

Die Unabhängigkeitserklärung muss im Original in Papierform vom Antragsteller mit dem Zertifizierungsantrag eingereicht werden.
Alternativ kann die Unabhängkeitserklärung auch direkt vom Auditor im Original in Papierform oder per absenderbestätigter De-Mail eingereicht werden.Solange der Nachweis nicht vorliegt oder ungenügend ist, kann dieses Mitglied des Auditteams für das beantragte Verfahren nicht eingesetzt werden.
Nachmeldungen von Auditteammitgliedern müssen der Zertifizierungsstelle formlos, gerne per E-Mail, mitgeteilt werden.

Die Zertifizierungsstelle des BSI behält sich vor, zusätzliche Informationen zum Verhältnis zwischen Auditor und Antragsteller bzw. beratender Institution einzufordern.

Sieht sie die Unabhängigkeit von Mitgliedern des Auditteams nicht gewährleistet, widerspricht sie der Teilnahme dieser Auditteammitglieder am Audit.
Mit Vergabe der Zertifizierungskennung wird das im Antrag aufgeführte Auditteam akzeptiert.

Stellt das Auditteam z. B. bei der Vorbereitung auf die Phase 2 des Audits (Vor-Ort-Prüfung) fest, dass weitere Auditteammitglieder benötigt werden, so müssen diese Unabhängigkeitserklärungen nachreichen2. Das neue Auditteammitglied darf erst eingesetzt werden, nachdem dessen Unabhängigkeit durch das BSI bestätigt wurde.

Dies geschieht in der Regel durch eine E-Mail vom BSI an den Auditteamleiter mit Kopie an Antragsteller und das neue Auditteammitglied.

Für Überwachungsaudits ist ebenfalls eine (erneute) Unabhängigkeitserklärung für jedes Mitglied des Auditteams einzureichen.

Diese Unabhängigkeitserklärung muss der Zertifizierungsstelle mindestens 1 Monat vor Beginn der Auditierungstätigkeit vorliegen.
Die Bestätigung der Unabhängigkeit erfolgt in der Regel durch E-Mail vom BSI an den Auditteamleiter mit Kopie an den Antragsteller und alle anderen Auditteammitglieder.

Formulare zur Antragstellung sowie für die Unabhängigkeitserklärung sind auf den Webseiten des BSI zu finden.

Auswahl des Auditteams

Für die Auditierung des Informationsverbundes der Institution beauftragt diese ein Auditteam damit, in einer unabhängigen Prüfung den Status der Informationssicherheit im Informationsverbund zu prüfen und zu verifizieren.

Mindestens der Auditteamleiter und die Auditoren müssen eine gültige BSI2-Zertifizierung (s. [ZERTAUD]) besitzen.

Die Unabhängigkeitserklärung ist unverzüglich der Zertifizierungsstelle des BSI einzureichen.

Eine Frist von 1 Monat vor Auditweiterführung ist nicht einzuhalten.

Zertifizierte Auditoren

Kontaktadressen der zertifizierten Auditoren finden sich im Internet auf den Webseiten des BSI.

Das Auditteam wird von der antragstellenden Institution beauftragt und der Zertifizierungsstelle des BSI im Zertifizierungsantrag bekannt gegeben.

Bei der Auswahl des Auditteams müssen Besonderheiten im Aufbau und in den Prozessen und Gegebenheiten der beauftragenden Institution berücksichtigt werden.
Die Mitglieder des Auditteams müssen die Fachkenntnisse besitzen, die sie zur Auditierung der Institution benötigen.
Da der Auditteamleiter durch sein positives oder negatives Votum für das Ergebnis des Zertifizierungsaudits verantwortlich ist, muss er die Auditteammitglieder nach Qualifikation und Erfahrung auswählen und einsetzen.

Die Mitglieder des Auditteams müssen der Zertifizierungsstelle des BSI frühzeitig einen ausführlichen Nachweis vorlegen, dass ihre Unabhängigkeit in den geplanten Audits nicht gefährdet ist.

Die Zertifizierungsstelle des BSI behält sich das Recht vor, von der antragstellenden Institution gewählte Auditoren abzulehnen.

Für eine optimale Prozessgestaltung empfiehlt es sich, für die beiden während der Zertifikatslaufzeit erforderlichen Überwachungsaudits das Auditteam aus dem Zertifizierungsaudit zu wählen.

Wechselt das Auditteam, ist von der antragstellenden Institution dafür Sorge zu sorgen, dass (mindestens) die Referenzdokumente sowie alle vorhergehenden Auditberichte aus der zugrunde liegenden Zertifizierung (Auditbericht aus dem Zertifizierungsprozess selbst sowie ggf. der Auditbericht aus dem ersten Überwachungsaudit, falls bereits erfolgt) dem Auditteam für das Überwachungsaudit zur Verfügung stehen.
Außerdem ist damit zu rechnen, dass die Aufwände des Auditteams wegen der erneuten Einarbeitung deutlich höher sein können.

Vertraulichkeit von Informationen

Zur Gewährleistung der Vertraulichkeit zum Beispiel bei der Übergabe der Referenzdokumente müssen geeignete Maßnahmen ergriffen werden.

Zertifizierte Auditoren sind durch vertragliche Vereinbarungen mit dem BSI verpflichtet, Details zum Auditierungs- und Zertifizierungsverfahren und zu im Rahmen des Audits gewonnenen Informationen streng vertraulich zu behandeln sowie Kollegen und Dritten Informationen nur zu geben, soweit ihre Kenntnis unbedingt notwendig und mit den vertraglichen Vereinbarungen mit dem BSI und der auditierten Organisation vereinbar ist.

Die elektronische Übermittlung des Auditberichts durch den Auditteamleiter an das BSI muss aus Gründen der Vertraulichkeit unbedingt verschlüsselt erfolgen.

Der Auditbericht wird unter Verweis auf die entsprechende Zertifizierungskennnummer (BSI-IGZ-0xxx) an das Postfach gs-zertpruef@bsi.bund.de geschickt, optional kann er auch in Kopie an den zuständigen Zertifizierer gesandt werden.

Zur Kryptografie können nachfolgende Programme eingesetzt werden

Chiasmus
GnuPG
Pretty Good Privacy (PGP)

Ziel eines Audits und Auditphasen

Unabhängige Prüfung

Unabhängige Überprüfung des ISMS nach ISO 27001 auf der Basis von ITGrundschutz in einem fest definierten Geltungsbereich einer Organisation.

Phasen

Jedes Audit setzt sich grundsätzlich aus zwei getrennten, aufeinander aufbauenden Phasen zusammen

Phase	Beschreibung
Phase 1	Dokumentenprüfung Phase 1 umfasst zunächst die Dokumentenprüfung, d. h. die Prüfung der Referenzdokumente, die von der zu auditierenden Institution erstellt und für die Zertifizierung eingereicht werden.
Phase 2	Umsetzungsprüfung vor Ort Auf der Grundlage der Dokumentenprüfung bereitet sich das Auditteam auf die Vor-OrtPrüfung vor.

In Phase 2 schließt sich eine Vor-Ort-Prüfung des Informationsverbundes durch das Auditteam an, in der im realen Informationsverbund die praktische Umsetzung der in den Referenzdokumenten dokumentierten Sicherheitsmaßnahmen bzgl. ISO 27001 und IT-Grundschutz auf ihre Angemessenheit, Korrektheit und die Wirksamkeit des ISMS hin überprüft wird (Umsetzungsprüfung).

Details zur Planung und Durchführung von Audits sowie der Anfertigung von Auditberichten sind in den Dokumenten [AUD] nachzulesen.

Zeitverlauf

Abbildung 2: Antrags- und Auditierungsphase

Der vollständige Antrag inklusive der Unabhängigkeitserklärung der Auditteammitglieder muss der Zertifizierungsstelle des BSI mindestens 1 Monat vor Beginn des Audits, d.h. vor Beginn der Sichtung der Referenzdokumente, vorliegen.

In Einzelfällen kann die Prüfung länger dauern, sodass evtl. Audittermine angepasst werden müssen.

Spätestens 3 Monate nach dem Beginn der Sichtung der Referenzdokumente muss der Auditbericht der Zertifizierungsstelle vorliegen.

Nachforderungen der Zertifizierungsstelle müssen jeweils nach spätestens 1 Monat erfüllt sein.
Wenn drei Monate nach Abgabe des ersten Auditberichts das Verfahren noch nicht abgeschlossen ist, prüft die Zertifizierungsstelle des BSI, ob auf der Basis des vorliegenden Berichts noch ein Zertifikat erteilt werden kann.

Abbildung 3: Fristen Überwachungsaudit

Das Überwachungsaudit sowie der zugehörige Auditbericht und dessen Prüfung durch die Zertifizierungsstelle des BSI müssen 1 Jahr bzw. 2 Jahre nach Ausstellung des Zertifikates abgeschlossen sein.

Dabei sollten die Prüfungen nicht früher als 3 Monate vor Ablauf des 1. bzw. 2. Jahres nach Zertifikatserteilung beginnen und der Auditbericht sollte nicht später als 2 Monate vor diesem Zeitpunkt bei der Zertifizierungsstelle eingetroffen sein.
Die Unabhängigkeitserklärungen für das Überwachungsaudit müssen der Zertifizierungsstelle mindestens 1 Monat vor Beginn der Auditierungstätigkeit vorliegen.

Abbildung 4: Fristen Re-Zertifizierung

Bei einer Re-Zertifizierung darf mit der Sichtung der Referenzdokumente frühestens 4 Monate vor Auslaufen des Zertifikates begonnen werden.

Der Auditbericht muss der Zertifizierungsstelle des BSI mindestens 2 Monate vor dem Gültigkeitsende des Zertifikates vorliegen.
Darüber hinaus gelten die gleichen Fristen wie für ein Erst-Zertifizierungsaudit (s.

Abbildung 2: Antrags- und Auditierungsphase)

Audittypen

Für die ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz sind – bezogen auf die dreijährige Laufzeit eines Zertifikates – verschiedene Typen von Audits zu unterscheiden:

Erst-Zertifizierungsaudit: Im Rahmen eines Erst-Zertifizierungsaudits wird erstmalig der betreffende Informationsverbund der Institution unter ISO 27001- und IT-GrundschutzAspekten auditiert.
Im Rahmen des Erst-Zertifizierungsaudits kann ein sogenanntes Voraudit (s. Kap. 2.8.1) durchgeführt werden.
Überwachungsaudit: In die dreijährige Laufzeit eines Zertifikates integriert sind jährliche Überwachungsaudits des zertifizierten Informationsverbundes, die auf die Kontrolle der für das Zertifikat nachgewiesenen Informationssicherheit im Informationsverbund zielen.

Das Audit dient dem Nachweis, dass der zertifizierte Informationsverbund weiterhin den Anforderungen bzgl. ISO 27001 und IT-Grundschutz genügt.

Re-Zertifizierungsaudit: Nach Ablauf der Zertifikatslaufzeit von drei Jahren wird eine ReZertifizierung des Informationsverbundes erforderlich, sofern weiter eine Zertifizierung des Informationsverbundes angestrebt ist.
Diese umfasst insbesondere ein Re-Zertifizierungsaudit des Informationsverbundes, das zum großen Teil identisch zum Erst-Zertifizierungsaudit abläuft.

Erst-Zertifizierungsaudit, Überwachungsaudit und Re-Zertifizierungsaudit unterscheiden sich hinsichtlich ihrer Zielsetzung und ihres Umfangs voneinander.

Bei jedem Typ von Audit findet aber eine Initialisierung (wie z. B. Antragstellung, Klärung von Zuständigkeiten und Befugnissen, Abstimmungen) und eine Bewertung (Schreiben des Auditberichts durch das Auditteam, Sicherstellen der Vergleichbarkeit von Zertifizierungsverfahren durch die Zertifizierungsstelle) statt.

Ein Voraudit ist im Rahmen des Erst-Zertifizierungsaudits zulässig

Im Rahmen eines ReZertifizierungsaudits ist ein Voraudit nur bei einer wesentlichen Erweiterung oder Veränderung des Geltungsbereichs der Zertifizierung, also des Informationsverbundes, zulässig.

Erst-Zertifizierung

Ein Erst-Zertifizierungsverfahren wird mit der Annahme des Zertifizierungsantrags durch die Zertifizierungsstelle des BSI eröffnet.

Erst nach Beginn des Zertifizierungsverfahrens und Vergabe der Zertifizierungskennung kann mit der Prüfung begonnen werden.

Im Rahmen eines Erst-Zertifizierungsverfahrens kann ein sogenannten Voraudit durchgeführt werden. Dabei kann das Auditteam gezielt einzelne Aspekte aus Phase 1 und 2 auswählen und stichprobenartig prüfen.

Außer intensiven Gesprächen mit dem Antragsteller hat das Auditteam die Möglichkeit, sich Dokumente, Prozeduren und Implementierungen anzusehen, um einen Eindruck davon zu bekommen, ob ein Zertifizierungsaudit prinzipiell zu einem positiven Ergebnis führen könnte.

Dokumentenprüfung

In der Dokumentenprüfung werden die vom Antragsteller vorgelegten Referenzdokumente durch das Auditteam geprüft.

Nach Abschluss der Dokumentenprüfung entscheidet das Auditteam auf Grundlage der Ergebnisse aus dieser Auditphase, ob eine Fortsetzung des Audits mit der Umsetzungsprüfung vor Ort sinnvoll ist und erweitert ggf. das Auditteam.
Anschließend begutachtet das Auditteam in der Umsetzungsprüfung vor Ort auf Basis seines Auditplans stichprobenartig die Umsetzung der dokumentierten Sachverhalte.
Die Prüfergebnisse werden im Auditbericht festgehalten.
Teil des Auditberichts ist der Auditplan, welcher eine erste, grobe Planung der Überwachungsaudits enthält.

Auditbericht

Sobald der Auditbericht zu einem Erst-Zertifizierungsaudit in vollständiger Fassung bei der Zertifizierungsstelle vorliegt und die Rechnung für die Zertifizierung vom Antragsteller beglichen wurde, prüft die Zertifizierungsstelle diesen Auditbericht auf Einhaltung aller Vorgaben des Auditierungsschemas für ISO 27001-Audits auf der Basis von IT-Grundschutz.

Die Prüfung gegen das Auditierungsschema erfolgt mit der Zielsetzung, ein einheitliches Niveau aller ISO 27001Zertifizierungen auf der Basis von IT-Grundschutz und die Vergleichbarkeit von Zertifizierungsaussagen zu gewährleisten.

Der Auditbericht darf sich nur auf Prüfungen des Auditteams (Dokumentenprüfungen und Umsetzungsprüfung) stützen, die zum Zeitpunkt der Übergabe des Auditberichts an die Zertifizierungsstelle nicht älter als drei Monate sind.

Nachforderungen der Zertifizierungsstelle müssen innerhalb von einem Monat durch das Auditteam erfüllt werden, diese dürfen maximal eine Nachbesserung durch den Antragsteller nach sich ziehen.
Dagegen sind mehrere Nachforderungen an den Auditbericht durch die Zertifizierungsstelle des BSI möglich.
Wenn drei Monate nach Abgabe des ersten Auditberichts das Verfahren noch nicht abgeschlossen ist, prüft die Zertifizierungsstelle des BSI, ob auf der Basis des vorliegenden Berichts noch ein Zertifikat erteilt werden kann.

Überwachungsaudits

Die Überwachungsaudits sind Teil des Erst- bzw. Re-Zertifizierungsverfahrens.

Aus diesem Grund ist kein erneuter Antrag notwendig.
Eine erneute Unabhängigkeitserklärung aller Auditteammitglieder muss der Zertifizierungsstelle des BSI 1 Monat vor Beginn des Audits vorliegen.

Das Überwachungsaudit sowie der zugehörige Auditbericht und dessen Prüfung durch die Zertifizierungsstelle des BSI müssen 1 Jahr bzw. 2 Jahre nach Ausstellung des Zertifikates abgeschlossen sein.

Dabei ist vom Auditteamleiter darauf zu achten, dass genügend Raum für die Beseitigung von im Überwachungsaudit festgestellten Abweichungen sowie für die Erstellung des Auditberichts eingeplant wird.

Die Prüfungen des Überwachungsaudits dürfen nicht früher als 3 Monate vor Ablauf des 1. bzw. 2.

Jahres nach Zertifikatserteilung beginnen und der Auditbericht darf nicht später als 2 Monate vor diesem Zeitpunkt bei der Zertifizierungsstelle eingetroffen sein (Vergleich zusammenfassende Darstellung in Kap. 3.3). Ausnahmen sind rechtzeitig mit dem zuständigen Zertifizierer abzustimmen. Andere Rahmenbedingungen wie z. B. ein Wechsel des Auditteams im Vergleich zum Erst-Audit oder zum 1. Überwachungsaudit müssen frühzeitig (mind. 1 Monat vorher) der Zertifizierungsstelle angezeigt werden.

Nachforderungen der Zertifizierungsstelle müssen innerhalb von einem Monat durch das Auditteam erfüllt werden, diese dürfen maximal eine Nachbesserung durch den Antragsteller nach sich ziehen.

Kommt das Auditteam insgesamt über beide Auditphasen zu einem positiven Prüfergebnis, sendet der Auditteamleiter den finalen Auditbericht an die Zertifizierungsstelle des BSI. Bei einem negativen Ergebnis muss das BSI ebenfalls hierüber informiert werden.

Die Zertifizierungsstelle des BSI

Zertifizierungsschema für ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz überprüft den finalen Auditbericht auf Vollständigkeit, Nachvollziehbarkeit und Reproduzierbarkeit der Prüfergebnisse.

Nachforderungen oder Nachfragen werden an den Auditteamleiter gestellt, der die ggf. bestehenden Unklarheiten beseitigt.
Nur bei positivem Abschluss des Prüfprozesses bleibt das vom BSI erteilte ISO 27001-Zertifikat auf der Basis von IT-Grundschutz weiterhin gültig.

Nach einem Überwachungsaudit erfolgt keine Neuausstellung der Zertifikatsurkunde oder Ergänzung des zugehörigen Anhangs durch die Zertifizierungsstelle.

Der Antragsteller erhält nach positiver Prüfung durch Auditteam und Zertifizierungsstelle ein Schreiben über diese Tatsache, welches die Zertifikatsurkunde ergänzt.

Bei nicht fristgerechter Einreichung des Auditberichts oder negativem Abschluss des Überwachungsaudits behält sich die Zertifizierungsstelle das Recht vor, das bestehende Zertifikat auszusetzen oder ggf. zu entziehen, s.Kap. 2.12.

Außer den planmäßigen Überwachungsaudits, welche zweimal im Zertifizierungsverfahren durchgeführt werden, können außerplanmäßige Überwachungsaudits notwendig werden.

Ein außerplanmäßiges Überwachungsaudit kann beispielsweise zur Überprüfung der Behebung schwerwiegender Abweichungen oder durch die Änderung des Untersuchungsgegenstandes notwendig werden.
Die Kosten, die in der Zertifizierungsstelle durch außerplanmäßige Überwachungsaudits entstehen, sind nicht in die Pauschale für die Zertifizierung eingerechnet und werden zusätzlich nach Kostenverordnung abgerechnet.

Re-Zertifizierung

Die Gültigkeit von ISO 27001-Zertifikaten auf der Basis von IT-Grundschutz ist auf drei Jahre begrenzt

Sind in dieser Zeit wesentliche Änderungen (wie z. B. größere Änderungen im Managementsystem, Änderungen in der Organisation, Änderungen im Outsourcing, Standortwechsel, Änderungen von Tätigkeitsfeldern) am zertifizierten Informationsverbund geplant, muss der Antragsteller diese der Zertifizierungsstelle des BSI unverzüglich schriftlich mitteilen.
Das BSI entscheidet dann, ob eine vorzeitige Re-Zertifizierung erforderlich ist.

Im Falle einer Re-Zertifizierung ist immer ein Zertifizierungsantrag zu stellen

Vor Ablauf des Gültigkeitszeitraums eines Zertifikats ist im Falle, dass der Antragsteller weiterhin ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz für seinen Informationsverbund wünscht, stets eine erneute Zertifizierung des Untersuchungsgegenstands erforderlich, um zu dokumentieren, dass die Voraussetzungen für die Erfüllung der ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz noch erfüllt sind.

Dieses Zertifizierungsverfahren läuft als Re-Zertifizierungsverfahren, sofern sich der ursprüngliche Untersuchungsgegenstand nicht grundlegend geändert hat und die Re-Zertifizierung sich nahtlos an die Zertifizierung anschließt oder innerhalb angemessener Zeit nach Ablauf der Gültigkeit gestartet wird (ca. ein halbes Jahr). Um eine lückenlose Zertifizierung eines Untersuchungsgegenstands zu erreichen, muss die Re-Zertifizierung vor Ablauf des Gültigkeitszeitraums des Erstzertifikats abgeschlossen sein.
Ein Antrag auf Re-Zertifizierung oder ein laufendes Re-Zertifizierungsverfahren verlängert die Gültigkeit des Erstzertifikats nicht.

Re-Zertifizierungsverfahren

Das Re-Zertifizierungsverfahren, sein Ablauf und seine Rahmenbedingungen sind einer ErstZertifizierung vergleichbar und sind sinngemäß zu übertragen, wobei der Bezug zum ablaufenden Zertifikat deutlich gemacht werden muss (z. B. Erläuterung Bausteinauswahl, Darstellung Änderungen).

Ein Voraudit darf bei einer Re-Zertifizierung nur bei einer wesentlichen Erweiterung oder Veränderung des Geltungsbereichs der Zertifizierung, also des Informationsverbundes, erfolgen.
Ein Re-Zertifizierungsaudit darf frühestens vier Monate vor Ablauf des Zertifikates beginnen, der Auditbericht muss der Zertifizierungsstelle des BSI spätestens zwei Monate vor Ablauf des Zertifikates vorliegen (Vergleich zusammenfassende Darstellung in Kap. 3.3).
Nachforderungen der Zertifizierungsstelle müssen innerhalb von einem Monat durch das Auditteam erfüllt werden, diese dürfen maximal eine Nachbesserung durch den Antragsteller nach sich ziehen.
Ab der ersten Re-Zertifizierung eines nach Kompendium (re-)zertifizierten Untersuchungsgegenstands müssen die zu prüfenden Bausteine vor Beginn der Auditierung mit dem BSI formlos per E-Mail abgestimmt werden.
Das BSI behält sich hierbei eine Änderung der Auswahl grundsätzlich vor.

Ein im Rahmen einer Re-Zertifizierung erteiltes Zertifikat ist wie ein Erst-Zertifikat für drei Jahre gültig und ebenfalls mit jährlichen Überwachungsaudits verknüpft.

Prüf- und Auditbegleitung

Prüf- und Auditbegleitung der Zertifizierungsstelle des BSI

Das BSI hat ein Zertifizierungs- bzw. Anerkennungsschema [ZERTAUD] aufgebaut, das die Vergleichbarkeit von Zertifizierungsverfahren und die Kompetenz der zertifizierten Auditoren sicherstellt. Die Prüfbegleitung durch die Zertifizierungsstelle erfolgt durch die intensive Prüfung des Auditberichts.

Dabei wird vor allem auf die Vergleichbarkeit zwischen den Zertifizierungsverfahren geachtet.

Die Zertifizierungsstelle kann in Absprache mit dem Antragsteller einen Teil des Audits begleiten.

Die Reisekosten werden dem Antragsteller in diesem Fall gemäß Kostenverordnung in Rechnung gestellt.

Ergänzender Hinweis: Nicht Thema dieses Dokuments ist die Begleitung eines Mitgliedes des Auditteams durch die Personenzertifizierungsstelle des BSI im Rahmen seines Vertrages mit dem BSI. Diese ist in der Verfahrensbeschreibung zur Anerkennung von Prüfstellen und Zertifizierung von ITSicherheitsdienstleistern und dem Programm zur Kompetenzfeststellung von Zertifizierung von Personen im Detail geregelt [ZERTAUD].

Auditbericht

Für jedes Audit ist zur Dokumentation aller Prüfaktivitäten und -ergebnisse vom Auditteamleiter ein Auditbericht zu erstellen

Das Format und die Inhalte eines Auditberichts sind im Detail im Auditierungsschema für ISO 27001-Audits auf der Basis von IT-Grundschutz [AUD] definiert.
Die Referenzdokumente des Antragstellers sind als Anlagen dem Auditbericht beizufügen und gelten als Bestandteil des Auditberichts.
Vorversionen des Auditberichts, welchen z. B. nur die Prüfergebnisse für Phase 1 enthalten, sind in der Regel nicht an die Zertifizierungsstelle zu übersenden.

Der Auditbericht richtet sich ausschließlich an den Antragsteller und die Zertifizierungsstelle des BSI

Die Ergebnisse des Auditberichts werden vom Auditteam und von der Zertifizierungsstelle des BSI vertraulich behandelt und nicht an Dritte weitergegeben.

Sofern ein anderes Auditteam als das im Zertifizierungsaudit eingesetzte ein Überwachungsaudit durchführt, müssen vom Antragsteller die Auditdokumente, darunter auch der Auditbericht des Zertifizierungsaudits und im Falle des zweiten Überwachungsaudits auch der Auditbericht des ersten Überwachungsaudits an den neuen Auditteamleiter weitergegeben werden.

Im Falle eines Erst- oder Re-Zertifizierungsaudits dient der zugehörige Auditbericht der Zertifizierungsstelle als Grundlage für die Erteilung eines Zertifikats.

Ein Auditbericht im Rahmen eines Überwachungsaudits bildet für die Zertifizierungsstelle die Grundlage für die Aufrechterhaltung eines bereits erteilten Zertifikates.

Alle an die Zertifizierungsstelle des BSI gesandten Versionen des Auditberichts werden zur einfacheren Bearbeitung in elektronischer Form zur Verfügung gestellt.

Dabei müssen mindestens das Drucken und das Entnehmen von Inhalt zulässig sein.
Bei Aktualisierungen des Auditberichts müssen Änderungen zur Vorversion kenntlich gemacht sein.
Die abgenommene Version des Auditberichts wird der Zertifizierungsstelle zusätzlich im Original in Papierform mit der Unterschrift des Auditteamleiters oder als absenderbestätigte De-Mail zugesandt (s. Kap. 1.7). Der Auditbericht muss der Zertifizierungsstelle verschlüsselt zugesandt werden (s.Kap. 2.6).

Zertifikatserteilung

Nach positiver Bewertung des Auditprozesses durch die Zertifizierungsstelle des BSI erteilt das BSI

auf der Grundlage des Zertifizierungsantrags und des abgenommenen Auditberichts für den vorliegenden Informationsverbund ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz.

Sie fertigt ein Zertifikat und einen Zertifizierungsreport mit zusätzlichen Informationen zum Zertifizierungsverfahren (z. B. Auflagen) sowie einen Zertifikatsbutton für Werbezwecke an.
Diese Dokumente werden mit dem Zertifizierungsbescheid, dem Widerspruchsverzicht und ggf. den Verwendungsbedingungen für den Zertifikatsbutton an den Antragsteller gesandt.

Sofern der Antragsteller einer Veröffentlichung des Zertifikates nicht explizit widersprochen hat, wird die Tatsache der Zertifizierung einen Monat nach Zustellung des Zertifikats oder nach Rücksendung des Widerspruchsverzichts auf den Internetseiten des BSI veröffentlicht.

Auf Nachfrage muss die Zertifizierungsstelle des BSI jedoch Auskünfte zu allen erteilten Zertifikaten geben.

Die zertifizierte Institution darf das Zertifikat sowie einen vom BSI zur Verfügung gestellten Zertifikatsbutton nur unter der Bedingung verwenden, dass das Zertifikat und der zugehörige Zertifizierungsreport jederzeit auf Nachfrage zur Verfügung gestellt werden sowie die mit dem Zertifikatsbutton verbundenen und der zertifizierten Institution mitgeteilten Verwendungsbedingungen für den Button beachtet werden.

Ist das Zertifikat nicht mehr gültig oder ist das Zertifikat ausgesetzt, darf weder mit dem Zertifikatsbutton noch mit dem Zertifikat (weiter) geworben werden.

Aussetzung und Zurückziehung von Zertifikaten

Aussetzung von Zertifikaten

Die Zertifizierungsstelle des BSI behält sich vor, erteilte Zertifikate auszusetzen

Mögliche Gründe hierfür können sein:

Das Überwachungsaudit wird nicht fristgerecht durchgeführt, die Zertifizierungsstelle des BSI ist über die Planung informiert.
Der Auditbericht zum Überwachungsaudit wird zu spät bei der Zertifizierungsstelle eingereicht, die Zertifizierungsstelle des BSI ist über die Planung informiert.
Im Überwachungsaudit werden schwerwiegende Abweichungen im Informationsverbund bzgl.

seiner Dokumentation und/oder Realisierung erkannt, die vom Antragsteller innerhalb der vom Auditteam gesetzten Frist noch nicht behoben sind, sich aber in Umsetzung befinden.

Ausgesetzte Zertifikate

Ausgesetzte Zertifikate werden aus der Liste der ISO 27001-Zertifikate auf der Basis von ITGrundschutz auf den Internetseiten des BSI entfernt.

Mit ausgesetzten Zertifikaten und dem zugehörigen Zertifikatsbutton darf keine Werbung mehr betrieben werden.

Die Zertifizierungsstelle macht Vorgaben bezüglich des Umgangs mit den für die Aussetzung eines Zertifikates festgestellten Gründen und bestimmt das weitere Vorgehen.

Sind die Ursachen, die zur Aussetzung eines Zertifikates geführt haben, den Vorgaben der Zertifizierungsstelle entsprechend beseitigt, erhält das betreffende Zertifikat seine Gültigkeit zurück und wird unverändert wieder in die Liste der ISO 27001-Zertifikate auf der Basis von IT-Grundschutz auf den Internetseiten des BSI aufgenommen.

Zurückziehung von Zertifikaten

Die Zertifizierungsstelle des BSI hat die Möglichkeit, Zertifikate zurückzuziehen

Mögliche Gründe hierfür können sein

Das Überwachungsaudit wird nicht durchgeführt.
Im Überwachungsaudit werden gravierende Abweichungen im Informationsverbund bzgl. seiner Dokumentation und / oder Realisierung erkannt, die vom Antragsteller nicht in einem angemessenen Zeitraum behoben werden können.
Ein Überwachungsaudit ergibt, dass der Informationsverbund die Anforderungen an ein ISMS nicht mehr erfüllt bzw. den Anforderungen des IT-Grundschutzes nicht mehr gerecht wird.

Verstoß gegen Auflagen

Der Verstoß gegen Auflagen aus der Zertifizierung wird bekannt (beispielsweise ein Verstoß gegen die Verwendungsbedingungen für das Zertifikat, die Nichteinhaltung von Auflagen, die sich aus dem Zertifizierungsreport oder Zertifizierungsbescheid ergeben, wie etwa wesentliche Veränderungen am zertifizierten Informationsverbund ohne Information an die Zertifizierungsstelle, Irreführungen und Täuschungen der Institution gegenüber dem Auditteam bzw. dem BSI, begründete Beschwerden beim BSI über die Institution). Abweichungen und Empfehlungen aus dem Auditbericht werden ohne ausreichende Begründung nicht behoben bzw. beachtet. Zurückgezogene Zertifikate werden aus der Liste der ISO 27001-Zertifikate auf der Basis von ITGrundschutz (auch auf den Internetseiten des BSI) entfernt.

Die Zertifikatsurkunde und der Zertifizierungsreport werden vom Zertifikatsinhaber im Original zurückgefordert und sind an die Zertifizierungsstelle zurückzugeben.
Mit zurückgezogenen Zertifikaten und dem zugehörigen Zertifikatsbutton darf keine Werbung mehr betrieben werden.

Ein zurückgezogenes Zertifikat kann nicht wieder aktiviert und in einen gültigen Zustand versetzt werden.

Für den betreffenden Informationsverbund ist, falls vorgesehen, ein neues Zertifizierungsverfahren aufzusetzen.

Hält das BSI es z. B. nach Beschwerden über die Institution für erforderlich, kurzfristig ein außerplanmäßiges Audit durchzuführen oder durch ein Auditteam durchführen zu lassen, so läuft dies nach den Vorgaben dieses Dokumentes und dem Auditierungsschema für ISO 27001-Audits auf der Basis von IT-Grundschutz ab.

Bei begründeten Beschwerden ist die Durchführung dieses Audits kostenpflichtig.

Beschwerdeverfahren

Beschwerden zum Zertifizierungsverfahren ISO 27001 auf der Basis von IT-Grundschutz können formlos per Post oder elektronisch an das Bundesamt für Sicherheit in der Informationstechnik Referat SZ 25 Postfach 200363 53133 Bonn gs-zert@bsi.bund.de oder gs-zert@bsi-bund.de-mail.de adressiert eingehen. Eingang und Termin der Bearbeitung werden dem Beschwerdeführer daraufhin kurzfristig mitgeteilt. Die Beschwerde wird registriert und anschließend geprüft.

Sofern die Beschwerde nach Prüfung berechtigt ist, werden entsprechende Korrektur- und Vorbeugungsmaßnahmen ergriffen, über die der Beschwerdeführer benachrichtigt wird.

Sollte die Prüfung zum Ergebnis haben, dass die Beschwerde ungerechtfertigt ist, so wird der Beschwerdeführer auch hierüber unterrichtet.

Gegen Bescheide der Zertifizierungsstelle ist das Rechtsmittel des Widerspruchs gegeben, der schriftlich oder zur Niederschrift an das Bundesamt für Sicherheit in der Informationstechnik zu richten ist.

Formulare und Übersichten

Anträge

Alle Anträge und Formulare zur ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz sind auf den Webseiten des BSI veröffentlicht.
Dort findet sich insbesondere der Zertifizierungsantrag für ISO 27001-Zertifizierungen auf der Basis von IT-Grundschutz und eine Auflistung, welche Dokumente zum jeweiligen Zeitpunkt Grundlage der Zertifizierung sind.
Alle Auditoren, die ISO 27001-Audits auf der Basis von IT-Grundschutz durchführen dürfen, sind auf der BSI-Webseite gelistet.

Unabhängigkeitserklärung der Mitglieder des Auditteams

Zu Beginn eines ISO 27001-Zertifizierungsverfahrens auf der Basis von IT-Grundschutz und vor jedem Überwachungsaudit ist eine Unabhängigkeitserklärung aller am Verfahren beteiligten Auditteammitglieder bei der Zertifizierungsstelle einzureichen.
Ein Formular dafür ist auf den Webseiten des BSI veröffentlicht.

IT-Grundschutz-Profile

IT-Grundschutz-Profile - Schablonen für die Informationssicherheit

Beschreibung

Definition

Ein IT-Grundschutz-Profil ist eine Schablone für ein ausgewähltes Szenario (Informationsverbund oder Geschäftsprozess), mit dem ein konkretes Beispiel für die Umsetzung der IT-Grundschutz-Vorgehensweise Schritt für Schritt exemplarisch durchgeführt wird.

Ziel

Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.

Anwenderspezifische Empfehlungen

Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
Berücksichtigt Möglichkeiten und Risiken der Institution
Profile beziehen sich auf typische IT-Szenarien
Profile werden durch Dritte (Verbände, Branchen, ...) erstellt, nicht durch das BSI

Keine BSI-Vorgabe

Diskussion: Nachweis für Umsetzung (z. B. Testat)
Anerkennung ausgewählter Profile durch BSI

Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile

Aufbau

Inhalt	Beschreibung
Formale Aspekte
Management Summary
Geltungsbereich
Referenzarchitektur
Umsetzungshinweise
Anwendungshinweise

Formale Aspekte

Titel
Autor
Verantwortlich
Registrierungsnummer
Versionsstand
Revisionszyklus
Vertraulichkeit
Status der Anerkennung durch das BSI

Management Summary

Kurzzusammenfassung der Zielgruppe
Zielsetzung und Inhalte des IT-Grundschutz-Profils

Geltungsbereich

Zielgruppe
Angestrebter Schutzbedarf
Zugrundeliegende IT-Grundschutz-Vorgehensweise
ISO 27001-Kompatibilität
Rahmenbedingungen
Abgrenzung
Bestandteile des IT-Grundschutz-Profils
Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte
Verweise auf andere IT-Grundschutz-Profile

Referenzarchitektur

Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
Informationsverbund mit
Prozessen,
Infrastruktur
Netz-Komponenten
IT-Systemen
Anwendungen
Textuell und grafisch mit eindeutigen Bezeichnungen
Wenn möglich, Gruppenbildung
Umgang bei Abweichungen zur Referenzarchitektur.

Umsetzungshinweise

Umzusetzende Anforderungen und Maßnahmen

Zuordnung von Prozess- und System-Bausteinen auf Untersuchungsgegenstand.

Umsetzungsvorgabe

„Auf geeignete Weise“
„Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
„Durch Umsetzung von [...]“

Auswahl der umzusetzenden Anforderungen eines Bausteins

Verzicht auf (einzelne) Standardanforderungen
Verbindliche Erfüllung von Anforderungen für erhöhten Schutzbedarf

Zusätzliche Anforderungen

Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
[...]

Anwendungshinweise

Zusätzliche Informationen zur Anwendung und Integration in das Gesamtsicherheitskonzept

Risikobehandlung

Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen.

Unterstützende Informationen

Hinweise, wo vertiefende Informationen zu finden sind

Anhang

Glossar
Zusätzliche Bausteine
...

Grundschutz/Audit

Planung und Vorbereitung

Rollen und Verantwortlichkeiten

Unabhängigkeit

Auditplan

Checklisten

Kombination von Audits

Synergieeffekte

Auditprozess-Aktivitäten

Zusammenstellung eines Team

Dokumente vorbereiten

Planung des Vor-Ort-Audits

Umgang mit Nichtkonformitäten

Berichtswesen

Inhalt und Aufbau eines Berichtes

Genehmigung und Verteilung

Aufbewahrung und Vertraulichkeit

Folgemaßnahmen

Vor-Audit

Wiederholungsaudit

Überwachung

Korrekturmaßnahmen

Business Continuity Management

Business Continuity Management (BCM) - Betriebskontinuitätsmanagement (BKM)

Beschreibung

Sicherstellung des Fortbestands einer Einrichtung
Fokus auf Risiken mit hohem Schadensausmaß

Strategien, Plänen und Handlungen

Tätigkeiten oder Prozesse ermitteln
- deren Unterbrechung
- ernsthafte Schäden oder vernichtende Verluste zufügen würden
- etwa Betriebsstörungen
Schützen und alternative Abläufe ermöglichen

BSI-Standard 200-4

Business Continuity Management - BCM - 14. Juni 2023
BSI-Standard 100-4 (Notfallmanagement) - 2008

Prüfungen beim BSI

BSI IT-Grundschutz-Berater, BSI-Auditteamleiter, ...
Ab Juni 2023 auf der Basis des BSI-Standard 200-4

BSI-Standard 200-4 zeigt eine Methode zur Etablierung eines Business Continuity Management

Ein ISMS nach BSI IT-Grundschutz bietet eine solide Grundlage zur Nutzung von Synergieeffekten und bietet die Möglichkeit, auf bereits dokumentierte Informationen zurückgreifen zu können
Eine Durchführung eines Business Impact Analyse gibt Aufschluss über die zeitkritischen Geschäftsprozesse und etwaige Abhängigkeiten sowie Parameter für Normal- und Notbetrieb
Die durchzuführende Risikoanalyse lässt sich analog zur eingesetzten Methodik nach BSI-Standard 200-3 anwenden und kann somit aus dem ISMS adaptiert werden

Fazit

Die Etablierung eines Business Continuity Managements setzt umfangreiche Kenntnisse der Organisation voraus
Eine Umsetzung eines ISMS impliziert keine Umsetzung eines Business Continuity Managements
- allerdings führt der Baustein „DER.4 - Notfallmanagement“ im IT-Grundschutz-Kompendium sowie die konsequente Einbeziehung des Schutzziel „Verfügbarkeit“ erhebliche Abhängigkeiten und Schnittstellen auf
Mit dem Best-Practice Standard 200-4 des BSI kann eine Zertifizierung nach der ISO 22301 erreicht werden

Sicherstellung des Fortbestands

Sicherstellung des Fortbestands des Unternehmens

im Sinne ökonomischer Nachhaltigkeit
im Angesicht von Risiken mit hohem Schadensausmaß

Betriebskontinuitätsmanagement

Managementmethode
Lebenszyklus-Modells
Fortführung der Geschäftstätigkeit unter Krisenbedingungen
oder zumindest unvorhersehbar erschwerten Bedingungen absichert
Es besteht eine enge Verwandtschaft mit dem Risikomanagement

Verwandschaften

In den deutschsprachigen Ländern wird das BKM

bisweilen als verwandt mit der Informationssicherheit
der IT-Notfallplanung und
dem Facility Management
Verbindungen bestehen auch zum Gedankengut der Corporate Governance

Ursprung

Historisch nachgewiesen ist der militärische Ursprung in der chinesischen Literatur (Sun Tzu, um 500 v. Chr., vgl. kommentierte Übersetzung „The Art of War“, Hrsg. Lionel Giles, The British Museum 1910), später bei deutschsprachigen Militärtheoretikern wie Clausewitz.
Die fortdauernde Planung, Umsetzung und der erfolgreiche Abschluss eigener Pläne trotz Feindeinwirkung und Störung wurde mit Einsetzen der industriellen Revolution auf das betriebliche Geschehen übertragen.

Kennzeichnend für den Übergang von der militärischen Begrifflichkeit zur zivilen Nutzung sind u. a. (USA) civil defence, homeland security, (D) Zivilverteidigung, Katastrophenschutz.

Die Entwicklung des BKM erfolgte ab ca. 1950 vornehmlich in den USA, jedoch unter Nutzung der Grundlagen aus Europa.
Ab ca. 1980 veränderte sich die Wahrnehmung in Richtung der Informationstechnologie, deren zunehmende Bedeutung im Unternehmen zu einem besonderen Risikofaktor wurde.
Die Sicherstellung des IT-Betriebs erfolgt durch IT Disaster Recovery, deutsch „IT-Notfallplanung“.

Gesamtbetrieb

In der jüngeren Vergangenheit wurde der Begriff des BKM erneut auf den Gesamtbetrieb erweitert, u. a. durch Gesetzgebung wie den (USA) Sarbanes-Oxley Act 2002 und den (GB) Civil Contingencies Act 2004.

Implizit ist das BKM u. a. nach (D) Kontroll- und Transparenzgesetz 1998, (D, A) Kodizes für Corporate Governance.
Ergänzend erfolgt die Beschreibung des BKM durch mehrere Normen und Industriestandards, beispielsweise (international) ISO 17799, ISO 22301:2012, (USA) NFPA 1600, (AU, NZ) BCM Better Practice Guidelines, (GB) BS 7799: 2002 (2), (A) ÖNORM A 7799, Veröffentlichungen des Basler Ausschusses hinsichtlich der Zweiten Basler Eigenkapitalverordnung, (D) Mindestanforderungen an das Risikomanagement für Kreditinstitute (MaRisk).

Good Practice Guide

Methode und Rahmen des BKM sind im sog. „Good Practice Guide“ veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird.

Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden.

Bundesamt für Sicherheit in der Informationstechnik

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Standard BSI 100-4 „Notfallmanagement“ als Ergänzung zum IT-Grundschutz entwickelt.

Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger BSI 200-4 gearbeitet.

Incident Management

Um bei Vorfällen (siehe auch Incident Management) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können (Business Continuity) müssen Analysen und Planungen vorgenommen werden.

Primär Fragen

Welche Prozesse müssen unbedingt aufrechterhalten werden?
Welche Maßnahmen sind dafür notwendig?

Prioritäten und Ressourcen

Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden
Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das Disaster Recovery dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen.

Technische Betrachtung

Business Continuity Management

Organisationseinheit eines Unternehmens

Aufbau und Betrieb eines Notfall- und Krisenmanagements

Systematischer Vorbereitung auf die Bewältigung von Schadenereignissen

Dadurch soll erreicht werden, dass

wichtige Geschäftsprozesse selbst in
- kritischen Situationen und
- in Notfällen
- nicht oder
- nur temporär
- unterbrochen werden und
- die wirtschaftliche Existenz des Unternehmens trotz Schadenereignis gesichert bleibt.

Ziel des Business-Continuity-Managements

Generierung und Proklamation von Prozessdefinitionen und Dokumentation
Eines betriebsbereiten und dokumentierten Notfallvorsorgeplans
Exakt auf das individuelle Unternehmen abgestimmt ist
- sowie die Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“

Business Continuity Management System

Rahmenwerk für ein Business Continuity Management System (BCMS)

Management von Notfällen und Krisen

technisch
nicht-technisch

Relevanz

Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung

Gravierende Risiken frühzeitig erkennen und Maßnahmen dagegen etablieren

Überleben der Einrichtung sichern
Organisationen beliebiger Art, Größe und Branche

Synergieeffekte

Zahlreiche Synergieeffekte zum IT-Grundschutz
Ressourcen schonen
Zusammenhänge und Wechselwirkungen berücksichtigen

Notfallmanagement vs. Business Continuity Management

Notfallmanagement

Schäden vermeiden und eindämmen
Notfälle verhindern und bewältigen

Klassisches Notfallmanagement

Brandschutz
Arbeits- und Unfallschutz
...

Business Continuity Management

Wiederanlauf des Geschäftsbetriebs
Modernere Begriff zur Bewältigung der heute relevanten Risikoszenarien

Einbettung in die Organisationsstruktur

Geplantes und organisiertes Vorgehen

Widerstandsfähigkeit (zeit-) kritischer Geschäftsprozesse steigern
Auf Schadensereignisse angemessen reagieren
Geschäftstätigkeiten schnellstmöglich wiederaufnehmen

Business Continuity Management System (BCMS)

Aufrechterhaltung der Betriebsfähigkeit einer Organisation

systematische, geplante und organisierte Vorgehensweise
das Erreichen der Ziele der Organisation für ein angemessenes Business Continuity Niveau

BCMS ist kein Bestandteil eines ISMS

Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen

Rollen und Verantwortungsbereiche

Allgemeine Aufbauorganisation (AAO)

Etablierte organisationsweite Hierarchie und Führungsstruktur

Besondere Aufbauorganisation (BAO)

Zielgerichtete und zweckmäßige Gruppierung, um bei Zwischenfällen zeitgerecht zu agieren

Stufenmodell für Vorgehensweisen

Option	Beschreibung
Reaktiv
Aufbau
Standard

Reaktiv

Schnelle Fähigkeit zur Notfallbewältigung

Basis-Niveau

Spart Ressourcen
wenn keine „Notfälle“ eintreten würden
Lücken in der Absicherung
Bereiche, die nicht betrachtet

Aufbau

Schrittweiser, ressourcenschonender Aufbau

Kann für einen kleineren Teil des Scope gezielt eingesetzt
Bereiche, die in der Absicherung der Organisation nicht werden betrachtet werden

Standard

Vollständige Absicherung/Resilienz der Institution

Konformität ISO-22301
Möglichkeit zur Zertifizierung nach ISO 22301
Erhöhter Ressourcenbedarf gegenüber den Einstiegsstufen

Vorgehensweisen

Planung eines organisationsspezifischen BCMS

Vorgehensweisen

Reaktiv
Aufbau
Standard

Aufgabenbereiche

grenzen

umfassende

Aufgabenbereiche zur Planung und Umsetzung sowie zur Überwachung und zur kontinuierlichen Verbesserung des BCMS voneinander ab

Aufgabenbereiche

BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert und könnte daher als Basis für die Erstellung eines Projektplans für das BCMS optimal genutzt werden

Eskalationsstufen

BSI-Standard 200-4 beschreibt

Interne Eskalation

Drei Stufen

Extern Eskalation

bei Zwischenfällen
die bei jeder Organisation individuell voneinander abgegrenzt werden müssen

Katastrophenszenarien

Art von Ereignissen (Incidents)

IT/System-Ausfall
Gebäudeausfall
Ausfall von Personal (Pandemie, ...)
Ausfall von Lieferanten/Partnern

Je nach Ereignis wird das Unternehmen mit einem spezifischen Katastrophenszenario reagieren

Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal.
Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken.
Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln.
Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen.

Business Impact Analyse

Umfassender pragmatischer Ansatz
Ausführliche Vorbereitung

Dokumentation

Referenzdokumente

Präventiv

Leitlinie zum Business Continuity Management
Notfallvorsorgekonzept
Prozessbeschreibungen und Anweisungen
Hilfsmittel

Reaktiv

Notfallhandbuch

Dokumentenstruktur

Dokumente zur Vorsorge

beschreiben die Anforderungen an das BCMS und sind Elemente des BCMS sowie Teil der Notfallvorsorge

Dokumente zur Reaktion

werden für die Notfallbewältigung erstellt und genutzt

Hinsichtlich der Dokumentenstruktur und der Bezeichnungen der Dokumente, wie beispielsweise „Notfallhandbuch“ oder „Notfallvorsorgekonzept“, sowie den erwähnten Dokumentenarten ist der BSI-Standard 200-4 nicht bindend und kann organisationsspezifisch angepasst werden

Übungen und Tests

Übungen und Tests nehmen in BSI-Standard 200-4 einen hohen Stellenwert ein

Ein spezifisches Kriterium für die Planung von Übungen und Tests
soll insbesondere die Einbeziehung von besonderen Widrigkeiten im Geschäftsbetrieb darstellen

Der ISB und der Business Continuity Beauftragte sollten die Organisation dabei unterstützen einen umfassenden Übungsplan zu erstellen und dabei Verfahren zu mindestens folgenden Übungsarten konzipieren

Übungsarten

Übung	Beschreibung
Planbesprechung	Schreibtischtest
Stabsübung
Stabsrahmenübung
Alarmierungsübung
Funktionstest

Synergien

Business Continuity Management

Die Notwendigkeit eines Business Continuity Management Systems(BCMS) ist oft leichter ersichtlich, als beim Informationssicherheitssystems (ISMS)

Prozessual gesteuerte Kommunikation

zwischen der IT, dem ISB und dem Business Continuity Beauftragten
könnten verbindliche Festlegungen eine Verbesserung des BCMS und des ISMS bewirken, z. B. „Jeder IT-Notfall muss an den ISB kommuniziert werden, da es sich wahrscheinlich um einen meldepflichtigen IT-Sicherheitsvorfall handeln kann“

Synergien

BCMS und ISMS

Weitere Managementsysteme

Beim IT-Grundschutz bei

Strukturanalyse
Schutzbedarfsfeststellung
Modellierung

Baustein DER.4 Notfallmanagement

DER.4 Notfallmanagement

Anhang

Siehe auch

Skript/Grundschutz/Praktiker

Links

Weblinks

https://de.wikipedia.org/wiki/Betriebliches_Kontinuit%C3%A4tsmanagement

</noinclude>

Prüfung

Prüfung zum Grundschutz-Praktiker - Kurzbeschreibung

Themenbereiche

Beschreibung

Nr	Themenfeld	Gewichtung
01	Einführung und Grundlagen	2
02	Normen und Standards	2
03	Einführung IT-Grundschutz	2
04	Vorgehensweise	2
05	Kompendium	1
06	Umsetzung	1
07	Grundschutz-Check	3
08	Risikoanalyse	2
09	Umsetzungsplanung	1
10	Aufrechterhaltung und Verbesserung	1
11	Zertifizierung	1
12	IT-Grundschutz-Profile	1
13	Vorbereitung auf ein Audit	1
14	Business Continuity Management	3
15	Prüfung	1

Prüfungsbedingungen