IT-Grundschutz/Umsetzungsplanung: Unterschied zwischen den Versionen
K Textersetzung - „PrefixIndex/Grundschutz/“ durch „PrefixIndex/IT-Grundschutz/“ |
|||
(21 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
'''Grundschutz/Umsetzungsplanung''' - | '''Grundschutz/Umsetzungsplanung''' - Lücken im Sicherheitskonzept schließen | ||
== | == Einleitung == | ||
; Umsetzung von IT-Sicherheitsmaßnahmen | |||
{| class="wikitable options big col1center" | {| class="wikitable options big col1center" | ||
! Schritt || || Beschreibung | |||
|- | |- | ||
| 1 || | | 1 || Sichtung der Untersuchungsergebnisse || | ||
* Welche Maßnahmen sind nicht oder nur teilweise umgesetzt? | |||
|- | |- | ||
| 2 || | | 2 || Konsolidierung der Maßnahmen || | ||
* Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt? | |||
* Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden? | |||
|- | |- | ||
| 3 || | | 3 || Kosten- und Aufwandsschätzung || | ||
* Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen? | |||
* Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen und verbleibende Restrisiko für die Leitungsebene dokumentiert werden | |||
|- | |- | ||
| 4 || | | 4 || Festlegung der Umsetzungsreihenfolge || | ||
* Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden? | |||
* Breitenwirkung beachten! | |||
|- | |- | ||
| 5 || | | 5 || Festlegung der Verantwortlichkeit || | ||
* Wer setzt welche Maßnahme bis wann um? | |||
|- | |- | ||
| 6 || | | 6 || Realisierungsbegleitende Maßnahmen || | ||
| | * Schulung der Mitarbeiter | ||
* Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen | |||
|} | |} | ||
; Gewünschtes Sicherheitsniveau | ; Gewünschtes Sicherheitsniveau | ||
* Alle Basis- und Standard-Anforderungen sind erfüllt | * Alle Basis- und Standard-Anforderungen sind erfüllt | ||
Zeile 44: | Zeile 49: | ||
; Systematisches Vorgehen | ; Systematisches Vorgehen | ||
Wenn viele Einzelmaßnahmen umzusetzen sind | Wenn viele Einzelmaßnahmen umzusetzen sind | ||
| |||
== Aufwand == | == Aufwand == | ||
; Aufwände schätzen | |||
=== | === Budgets === | ||
Angesichts des in der Regel begrenzten Budgets für Informationssicherheit ist ein Überblick über die voraussichtlichen fixen und variablen Kosten der einzelnen Maßnahmen nötig | Angesichts des in der Regel begrenzten Budgets für Informationssicherheit ist ein Überblick über die voraussichtlichen fixen und variablen Kosten der einzelnen Maßnahmen nötig | ||
* Daher schätzen Sie im nächsten Schritt, welcher einmalige und wiederkehrende finanzielle und personelle Aufwand durch die Umsetzung der einzelnen geplanten Maßnahmen entsteht | * Daher schätzen Sie im nächsten Schritt, welcher einmalige und wiederkehrende finanzielle und personelle Aufwand durch die Umsetzung der einzelnen geplanten Maßnahmen entsteht | ||
=== Personal und Finanzmittel === | === Personal und Finanzmittel === | ||
Der Einsatz von Personal und Finanzmitteln muss vom Management getragen werden | ; Der Einsatz von Personal und Finanzmitteln muss vom Management getragen werden | ||
* Dies gilt insbesondere dann, wenn die bewilligten Finanzmittel nicht für die sofortige Umsetzung sämtlicher Maßnahmen ausreichen und entschieden werden muss, ob das Budget aufgestockt oder das Risiko in Kauf genommen werden soll, das verbleibt, wenn Maßnahmen nicht umgesetzt werden | * Dies gilt insbesondere dann, wenn die bewilligten Finanzmittel nicht für die sofortige Umsetzung sämtlicher Maßnahmen ausreichen und entschieden werden muss, ob das Budget aufgestockt oder das Risiko in Kauf genommen werden soll, das verbleibt, wenn Maßnahmen nicht umgesetzt werden | ||
Zeile 94: | Zeile 72: | ||
Beachten Sie, dass die Erfüllung der relevanten Basis-Anforderungen das Mindest-Sicherheitsniveau gemäß IT-Grundschutz ist | Beachten Sie, dass die Erfüllung der relevanten Basis-Anforderungen das Mindest-Sicherheitsniveau gemäß IT-Grundschutz ist | ||
* Risiken, die aus der Nichterfüllung solcher Anforderungen erwachsen, sollten daher nicht akzeptiert werden | * Risiken, die aus der Nichterfüllung solcher Anforderungen erwachsen, sollten daher nicht akzeptiert werden | ||
[[Kategorie:Grundschutz/Umsetzungsplanung]] | [[Kategorie:IT-Grundschutz/Umsetzungsplanung]] | ||
== Begleitende Maßnahmen == | == Begleitende Maßnahmen == | ||
Zeile 114: | Zeile 91: | ||
; Einführung neuer Sicherheitsmaßnahmen | ; Einführung neuer Sicherheitsmaßnahmen | ||
Betroffene Mitarbeiter ausreichend schulen | |||
* Für mögliche Probleme sensibilisieren | * Für mögliche Probleme sensibilisieren | ||
Zeile 151: | Zeile 128: | ||
* Für Informationssicherheit sensibilisieren | * Für Informationssicherheit sensibilisieren | ||
* Bereitschaft schaffen, die erforderlichen Maßnahmen umzusetzen | * Bereitschaft schaffen, die erforderlichen Maßnahmen umzusetzen | ||
** | ** Notwendige Verhaltensregeln zu beachten | ||
** Auch Unbequemlichkeiten zu akzeptieren | ** Auch Unbequemlichkeiten zu akzeptieren | ||
* Feedback aufnehmen | * Feedback aufnehmen | ||
Zeile 184: | Zeile 161: | ||
=== Beschreibung === | === Beschreibung === | ||
; | ; Ergebnisse des IT-Grundschutz-Checks | ||
Im '''ersten Schritt''' sind aus den Ergebnissen des -Grundschutz-Checks und eventuell durchgeführter Risikoanalysen diejenigen Anforderungen herauszufiltern, die '''nicht oder nur teilweise erfüllt''' sind | Im '''ersten Schritt''' sind aus den Ergebnissen des IT-Grundschutz-Checks und eventuell durchgeführter Risikoanalysen diejenigen Anforderungen herauszufiltern, die '''nicht oder nur teilweise erfüllt''' sind | ||
; Übersichtliche Dokumentation | ; Übersichtliche Dokumentation | ||
Eine übersichtliche Dokumentation erhalten Sie, wenn Sie die unzureichend erfüllten Anforderungen '''tabellarisch zusammenstellen''' und dabei nach den betroffenen Zielobjekten gruppieren, etwa nach dem gesamten Informationsverbund oder bestimmten Räumen und -Systemen | Eine übersichtliche Dokumentation erhalten Sie, wenn Sie die unzureichend erfüllten Anforderungen '''tabellarisch zusammenstellen''' und dabei nach den betroffenen Zielobjekten gruppieren, etwa nach dem gesamten Informationsverbund oder bestimmten Räumen und IT-Systemen | ||
; Maßnahmen festlegen | ; Maßnahmen festlegen | ||
Legen Sie anschließend '''Maßnahmen''' fest, mit denen Sie diese Sicherheitslücken schließen können | Legen Sie anschließend '''Maßnahmen''' fest, mit denen Sie diese Sicherheitslücken schließen können | ||
* Als Hilfsmittel hierfür können Sie die Umsetzungshinweise zu den einzelnen -Grundschutz-Bausteinen verwenden | * Als Hilfsmittel hierfür können Sie die Umsetzungshinweise zu den einzelnen IT-Grundschutz-Bausteinen verwenden | ||
; Zusammenhang prüfen | ; Zusammenhang prüfen | ||
Anschließend betrachten Sie die Maßnahmen '''im Zusammenhang''' und prüfen | Anschließend betrachten Sie die Maßnahmen '''im Zusammenhang''' und prüfen | ||
* | * Ob einzelne Maßnahmen überflüssig werden, weil andere zu realisierende Maßnahmen einen mindestens gleichwertigen Schutz für das jeweilige Zielobjekt bewirken | ||
* welche Maßnahmen noch konkretisiert und an die individuellen Gegebenheiten der Institution angepasst werden müssen und | * welche Maßnahmen noch konkretisiert und an die individuellen Gegebenheiten der Institution angepasst werden müssen und | ||
* ob die Maßnahmen tatsächlich geeignet und angemessen sind, sie also genügend Schutz bieten, ohne die Arbeitsabläufe zu behindern oder die Schutzwirkung anderer Maßnahmen zu beeinträchtigen | * ob die Maßnahmen tatsächlich geeignet und angemessen sind, sie also genügend Schutz bieten, ohne die Arbeitsabläufe zu behindern oder die Schutzwirkung anderer Maßnahmen zu beeinträchtigen | ||
Zeile 208: | Zeile 185: | ||
=== Beispiele === | === Beispiele === | ||
Fragen und Lösungen bei der Konsolidierung von Maßnahmen | |||
==== Authentisierung ==== | |||
Wenn eine Risikoanalyse ergab, dass für eine Gruppe von IT-Systemen eine Authentisierung über ein Chipkarten- oder tokenbasiertes Verfahren angewandt werden sollte, können unter Umständen Maßnahmen zur Gewährleistung einer hohen Passwortgüte entfallen | |||
==== Gebäudeplanung ==== | |||
; Fehler bei der Gebäudeplanung lassen sich nachträglich oft nur mit einem unverhältnismäßig hohen Aufwand korrigieren | |||
* Wenn die vollständige Erfüllung von Anforderungen wie die Vermeidung wasserführender Leitungen aufgrund der baulichen Gegebenheiten wirtschaftlich nicht vertretbar ist, sollten zumindest Ersatzmaßnahmen getroffen werden | * Wenn die vollständige Erfüllung von Anforderungen wie die Vermeidung wasserführender Leitungen aufgrund der baulichen Gegebenheiten wirtschaftlich nicht vertretbar ist, sollten zumindest Ersatzmaßnahmen getroffen werden | ||
* Beispielsweise können unter den vorhandenen Leitungen wasserableitende Bleche installiert werden, die von einem Wassermelder mit einer im ständig besetzten Pförtnerraum hörbaren Alarmsirene überwacht werden | * Beispielsweise können unter den vorhandenen Leitungen wasserableitende Bleche installiert werden, die von einem Wassermelder mit einer im ständig besetzten Pförtnerraum hörbaren Alarmsirene überwacht werden | ||
* Dadurch können Wasserschäden zumindest frühzeitig erkannt und in den Auswirkungen begrenzt werden | * Dadurch können Wasserschäden zumindest frühzeitig erkannt und in den Auswirkungen begrenzt werden | ||
==== Zugangsschutz ==== | |||
; Maßnahmen zum Zugangsschutz versperren unter Umständen im Brandfall mögliche Fluchtwege | |||
* Hier empfiehlt sich gegebenenfalls die Rücksprache mit Brandschutzexperten, der Feuerwehr, um sowohl dem Zugangs- als auch dem Brandschutz gleichermaßen gerecht zu werden | * Hier empfiehlt sich gegebenenfalls die Rücksprache mit Brandschutzexperten, der Feuerwehr, um sowohl dem Zugangs- als auch dem Brandschutz gleichermaßen gerecht zu werden | ||
==== Verschlüsselung ==== | |||
; Verschlüsselung unternehmenskritischer Informationen | |||
Die Verschlüsselung unternehmenskritischer Informationen zum Schutz ihrer Vertraulichkeit ist ein Beispiel für eine Maßnahme, die mit anderen Schutzzielen kollidieren kann, und bei der daher eine sorgfältige Abwägung der Vor- und Nachteile und unter Umständen ergänzende Maßnahmen nötig sind: | |||
* Verschlüsselte E-Mails können den zentralen Virenschutz auf einem Server unterlaufen und so zur Infiltration eines Netzes mit Schadsoftware führen | |||
* Bei unzureichendem Schlüssel-Management oder fehlerhafter Anwendung kann Verschlüsselung ferner die Verfügbarkeit wichtiger Daten auch für berechtigte Personen gefährden | |||
== Reihenfolge == | == Reihenfolge == | ||
Zeile 225: | Zeile 211: | ||
Wenn Budget oder Personal nicht ausreichen, alle wünschenswerten Sicherheitsmaßnahmen unmittelbar umzusetzen, ist eine sinnvolle Reihenfolge festzulegen | Wenn Budget oder Personal nicht ausreichen, alle wünschenswerten Sicherheitsmaßnahmen unmittelbar umzusetzen, ist eine sinnvolle Reihenfolge festzulegen | ||
; Dabei sollten Sie sich an folgenden Regeln orientieren | ; Dabei sollten Sie sich an folgenden Regeln orientieren | ||
* Einen ersten Indikator zur Umsetzungsreihenfolge liefern die '''Kennzeichnungen R1, R2 und R3''' bei den Modellierungshinweisen in Kapitel 2.2 des -Grundschutz-Kompendiums | * Einen ersten Indikator zur Umsetzungsreihenfolge liefern die '''Kennzeichnungen R1, R2 und R3''' bei den Modellierungshinweisen in Kapitel 2.2 des IT-Grundschutz-Kompendiums | ||
* Anforderungen aus mit „R1“ gekennzeichneten Bausteinen (z. B. ISMS.1 ''Sicherheitsmanagement'' und die Bausteine der Schicht ORP ''Organisation und Personal'') sollten vorrangig erfüllt werden | * Anforderungen aus mit „R1“ gekennzeichneten Bausteinen (z. B. ISMS.1 ''Sicherheitsmanagement'' und die Bausteine der Schicht ORP ''Organisation und Personal'') sollten vorrangig erfüllt werden | ||
* Anschließend sind Anforderungen aus den mit „R2“ gekennzeichneten | * Anschließend sind Anforderungen aus den mit „R2“ gekennzeichneten Bausteinen zu erfüllen und erst zum Schluss solche aus Bausteinen, die mit dem Kürzel „R3“ versehen sind | ||
* Grundsätzlich sind ferner zunächst diejenigen Maßnahmen umzusetzen, mit denen '''Basis-Anforderungen''' erfüllt werden, dann diejenigen zur Erfüllung von '''Standard-Anforderungen''' und erst zuletzt die zur '''Gewährleistung eines höheren Schutzbedarfs''' | * Grundsätzlich sind ferner zunächst diejenigen Maßnahmen umzusetzen, mit denen '''Basis-Anforderungen''' erfüllt werden, dann diejenigen zur Erfüllung von '''Standard-Anforderungen''' und erst zuletzt die zur '''Gewährleistung eines höheren Schutzbedarfs''' | ||
* Berücksichtigen Sie ferner auch die '''sachlogischen Zusammenhänge''' der einzelnen Maßnahmen: So sind diejenigen Maßnahmen vorzuziehen, deren Umsetzung eine Voraussetzung für die Realisierung weiterer Maßnahmen ist | * Berücksichtigen Sie ferner auch die '''sachlogischen Zusammenhänge''' der einzelnen Maßnahmen: So sind diejenigen Maßnahmen vorzuziehen, deren Umsetzung eine Voraussetzung für die Realisierung weiterer Maßnahmen ist | ||
Zeile 234: | Zeile 220: | ||
; Setzen Sie vorrangig solche Maßnahmen um, die | ; Setzen Sie vorrangig solche Maßnahmen um, die | ||
* Komponenten mit höherem Schutzbedarf betreffen ( sollten Server vor Clients abgesichert werden) | * Komponenten mit höherem Schutzbedarf betreffen (sollten Server vor Clients abgesichert werden) | ||
* eine große Breitenwirkung entfalten (z. B. zentrale Maßnahmen wie der Einsatz von Netz- und Systemmanagement-Werkzeugen) oder | * eine große Breitenwirkung entfalten (z. B. zentrale Maßnahmen wie der Einsatz von Netz- und Systemmanagement-Werkzeugen) oder | ||
* Bereiche betreffen, in denen auffallend viele Sicherheitsmaßnahmen fehlen | * Bereiche betreffen, in denen auffallend viele Sicherheitsmaßnahmen fehlen | ||
Zeile 241: | Zeile 227: | ||
* Dies kann insbesondere bei eventuell möglichen juristischen Streitfällen als Nachweis wichtig sein, dass die notwendige Sorgfaltspflicht beachtet wurde | * Dies kann insbesondere bei eventuell möglichen juristischen Streitfällen als Nachweis wichtig sein, dass die notwendige Sorgfaltspflicht beachtet wurde | ||
== Verantwortlichkeit == | == Verantwortlichkeit == | ||
=== Aufgaben und Verantwortlichkeiten === | === Aufgaben und Verantwortlichkeiten === | ||
Zeile 251: | Zeile 236: | ||
* Planen Sie erforderliche Fortbildungen ein | * Planen Sie erforderliche Fortbildungen ein | ||
== Umsetzungsplan == | == Umsetzungsplan == | ||
; Dokumentation | ; Dokumentation | ||
Zeile 282: | Zeile 266: | ||
<div class="noprint"> | <div class="noprint"> | ||
<noinclude> | <noinclude> | ||
== Anhang == | |||
= Anhang = | |||
=== Siehe auch === | === Siehe auch === | ||
{{Special:PrefixIndex/Grundschutz/Umsetzungsplanung}} | {{Special:PrefixIndex/IT-Grundschutz/Umsetzungsplanung}} | ||
==== Links ==== | ==== Links ==== | ||
===== Weblinks ===== | ===== Weblinks ===== | ||
[[Kategorie:Grundschutz/Umsetzungsplanung]] | [[Kategorie:IT-Grundschutz/Umsetzungsplanung]] | ||
</noinclude> | </noinclude> | ||
</div> | </div> |
Aktuelle Version vom 27. Oktober 2024, 10:30 Uhr
Grundschutz/Umsetzungsplanung - Lücken im Sicherheitskonzept schließen
Einleitung
- Umsetzung von IT-Sicherheitsmaßnahmen
Schritt | Beschreibung | |
---|---|---|
1 | Sichtung der Untersuchungsergebnisse |
|
2 | Konsolidierung der Maßnahmen |
|
3 | Kosten- und Aufwandsschätzung |
|
4 | Festlegung der Umsetzungsreihenfolge |
|
5 | Festlegung der Verantwortlichkeit |
|
6 | Realisierungsbegleitende Maßnahmen |
|
- Gewünschtes Sicherheitsniveau
- Alle Basis- und Standard-Anforderungen sind erfüllt
- Risikoanalysen haben ergeben, dass auch Zielobjekte mit erhöhtem Schutzbedarf angemessen geschützt sind
- IT-Grundschutz-Check
IT-Grundschutz-Check und zusätzliche Risikoanalysen führen oft zu anderen Ergebnissen
- Verbesserung
Fokus auf Aufrechterhaltung und Verbesserung
- Defizite gibt es immer
Typische Defizite
- Lücken in den vorhandenen organisatorischen Regelungen
- Mangelnde Kontrolle der geltenden Regeln
- Fehlende Sicherheitstechnik
- Unzureichender baulicher Schutz gegen Feuer, Wasser oder Diebstahl
- Lücken wirksam und effizient schließen
Bei der Umsetzungsplanung geht es darum, diese Lücken wirksam und effizient zu schließen
- Systematisches Vorgehen
Wenn viele Einzelmaßnahmen umzusetzen sind
Aufwand
- Aufwände schätzen
Budgets
Angesichts des in der Regel begrenzten Budgets für Informationssicherheit ist ein Überblick über die voraussichtlichen fixen und variablen Kosten der einzelnen Maßnahmen nötig
- Daher schätzen Sie im nächsten Schritt, welcher einmalige und wiederkehrende finanzielle und personelle Aufwand durch die Umsetzung der einzelnen geplanten Maßnahmen entsteht
Personal und Finanzmittel
- Der Einsatz von Personal und Finanzmitteln muss vom Management getragen werden
- Dies gilt insbesondere dann, wenn die bewilligten Finanzmittel nicht für die sofortige Umsetzung sämtlicher Maßnahmen ausreichen und entschieden werden muss, ob das Budget aufgestockt oder das Risiko in Kauf genommen werden soll, das verbleibt, wenn Maßnahmen nicht umgesetzt werden
Managemententscheidung
Zur Vorbereitung einer Managemententscheidung über die Einführung von Sicherheitsmaßnahmen sollten Sie
- einen Vorschlag für die Verteilung des Budgets erarbeiten
- kostengünstigere Ersatzmaßnahmen erwägen, falls der Aufwand für die Umsetzung einzelner Maßnahmen das voraussichtliche Budget übersteigt
- die Restrisiken, die aus der Nichterfüllung von Sicherheitsanforderungen entstehen, dem Management bewusst machen (als Argumentationshilfe können Sie die Kreuzreferenztabellen verwenden, die Sie am Ende eines jeden -Grundschutz-Bausteins finden und in denen dargestellt ist, gegen welche Gefährdungen eine Anforderung gerichtet ist) und
- dafür sorgen, dass das Management bei der Entscheidung über das Budget durch Unterschrift dokumentiert, dass es bereit ist, die Restrisiken zu tragen
Beachten Sie, dass die Erfüllung der relevanten Basis-Anforderungen das Mindest-Sicherheitsniveau gemäß IT-Grundschutz ist
- Risiken, die aus der Nichterfüllung solcher Anforderungen erwachsen, sollten daher nicht akzeptiert werden
Begleitende Maßnahmen
- Begleitende Maßnahmen festlegen
Schulung | |
Sensibilisierung | |
Akzeptanz |
- Erfolg von Maßnahmen
Hängt wesentlich davon ab, wie diese von den Mitarbeitern akzeptiert und angewandt werden
- Einführung neuer Sicherheitsmaßnahmen
Betroffene Mitarbeiter ausreichend schulen
- Für mögliche Probleme sensibilisieren
Schulung
- Planen Sie Schulungsmaßnahmen ein
Die Einführung neuer Sicherheitsmaßnahmen erfordert
- Aufgaben- und produktbezogene Schulungen
- Für die betroffenen Mitarbeiter
Beispiel
- Was nützt etwa ein neu angeschaffter Feuerlöscher, wenn die Mitarbeiter im Brandfall nicht sachgerecht mit ihm umgehen können?
- Beispiele für zweckmäßige Schulungen
Bereich | Beschreibung |
---|---|
Sicherheitsmanagement |
|
Firewall | Wenn die Schnittstelle zum Internet durch eine Firewall geschützt werden soll, benötigt der zuständige Netzadministrator Kenntnisse über deren sichere Installation, Konfiguration und Administration |
Verschlüsselung | Der Einsatz von Verschlüsselungssoftware zum Schutz der Vertraulichkeit personenbezogener oder unternehmenskritischer Daten erfordert nicht nur den Aufbau von Know-how zu dem eingesetzten Produkt, sondern auch Regeln für dessen Anwendung:
Die auf diese und andere Fragen gefundenen Lösungen müssen den Mitarbeitern verständlich gemacht werden |
Sensibilisierung
- Sensibilisierung betroffener Mitarbeiter
Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten
- Dauerhafte Wirksamkeit von Sicherheitsmaßnahmen
Mitarbeiter einbeziehen
- Für Informationssicherheit sensibilisieren
- Bereitschaft schaffen, die erforderlichen Maßnahmen umzusetzen
- Notwendige Verhaltensregeln zu beachten
- Auch Unbequemlichkeiten zu akzeptieren
- Feedback aufnehmen
- Negative Beispiele
Bereich | Beschreibung |
---|---|
Brandschutz | Brandschutztüren verlieren ihre Schutzwirkung, wenn sie mit Holzkeilen offen gehalten werden, weil den Mitarbeitern das ständige Öffnen der Türen zu umständlich ist |
E-Mail-Verschlüsselung | Der Kauf von Software zur E-Mail-Verschlüsselung wird zur Fehlinvestition, wenn die Mitarbeiter diese nicht benutzen, weil sie sich der Gefährdungen der Vertraulichkeit nicht bewusst sind und ihre E-Mails weiterhin unverschlüsselt versenden, auch solche mit vertraulichem Inhalt |
Passwörter | Passwörter bedeuten immer einen zusätzlichen Arbeitsschritt vor der eigentlichen Aufgabe
|
Lästige Pflicht | Wenn die Mitarbeiter diese Anforderungen lediglich als lästige Pflicht betrachten, werden Sie dazu neigen, sie zu umgehen, indem sie unsichere Passwörter wählen oder Zettel mit den Passwörtern in der Nähe des Rechners platzieren |
Netzadministrator | Ein Netzadministrator, der seine Probleme bei der Installation eines Sicherheitsgateways unter Angabe seiner dienstlichen Adresse in einem Internet-Forum diskutiert, gefährdet die Schutzwirkung der Software, um deren Installation er sich bemüht |
Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form
Akzeptanz
- Überprüfen Sie die Akzeptanz der Maßnahmen
Maßnahmen, die von den Mitarbeitern nicht akzeptiert werden, drohen zu scheitern.
Überprüfen Sie daher nach Einführung der Sicherheitsmaßnahmen, ob diese tatsächlich von den Mitarbeitern angenommen werden
- Sollte dies nicht oder nur eingeschränkt der Fall sein, so versuchen Sie, die Ursachen dafür zu ermitteln, und leiten Sie bei Bedarf zusätzliche Maßnahmen zur Sensibilisierung ein
Konsolidierung
Maßnahmen konsolidieren - Beschreibung
Beschreibung
- Ergebnisse des IT-Grundschutz-Checks
Im ersten Schritt sind aus den Ergebnissen des IT-Grundschutz-Checks und eventuell durchgeführter Risikoanalysen diejenigen Anforderungen herauszufiltern, die nicht oder nur teilweise erfüllt sind
- Übersichtliche Dokumentation
Eine übersichtliche Dokumentation erhalten Sie, wenn Sie die unzureichend erfüllten Anforderungen tabellarisch zusammenstellen und dabei nach den betroffenen Zielobjekten gruppieren, etwa nach dem gesamten Informationsverbund oder bestimmten Räumen und IT-Systemen
- Maßnahmen festlegen
Legen Sie anschließend Maßnahmen fest, mit denen Sie diese Sicherheitslücken schließen können
- Als Hilfsmittel hierfür können Sie die Umsetzungshinweise zu den einzelnen IT-Grundschutz-Bausteinen verwenden
- Zusammenhang prüfen
Anschließend betrachten Sie die Maßnahmen im Zusammenhang und prüfen
- Ob einzelne Maßnahmen überflüssig werden, weil andere zu realisierende Maßnahmen einen mindestens gleichwertigen Schutz für das jeweilige Zielobjekt bewirken
- welche Maßnahmen noch konkretisiert und an die individuellen Gegebenheiten der Institution angepasst werden müssen und
- ob die Maßnahmen tatsächlich geeignet und angemessen sind, sie also genügend Schutz bieten, ohne die Arbeitsabläufe zu behindern oder die Schutzwirkung anderer Maßnahmen zu beeinträchtigen
- Streichung überflüssiger Maßnahmen
Ziel ist es, durch Streichung der überflüssigen und Konkretisierung der verbleibenden Maßnahmen den erforderlichen finanziellen und personellen Realisierungsaufwand auf das notwendige Maß zu begrenzen
- Ergebnisse
Das Ergebnis dieses Schritts ist eine auf die jeweilige Institution zugeschnittene und konkretisierte Liste von Maßnahmen
- Erleichtern Sie die spätere Nachvollziehbarkeit der Entscheidungen, die Sie bei dem Abgleich und der Anpassung der Maßnahmen getroffen haben, indem Sie die Begründungen dokumentieren
Beispiele
Fragen und Lösungen bei der Konsolidierung von Maßnahmen
Authentisierung
Wenn eine Risikoanalyse ergab, dass für eine Gruppe von IT-Systemen eine Authentisierung über ein Chipkarten- oder tokenbasiertes Verfahren angewandt werden sollte, können unter Umständen Maßnahmen zur Gewährleistung einer hohen Passwortgüte entfallen
Gebäudeplanung
- Fehler bei der Gebäudeplanung lassen sich nachträglich oft nur mit einem unverhältnismäßig hohen Aufwand korrigieren
- Wenn die vollständige Erfüllung von Anforderungen wie die Vermeidung wasserführender Leitungen aufgrund der baulichen Gegebenheiten wirtschaftlich nicht vertretbar ist, sollten zumindest Ersatzmaßnahmen getroffen werden
- Beispielsweise können unter den vorhandenen Leitungen wasserableitende Bleche installiert werden, die von einem Wassermelder mit einer im ständig besetzten Pförtnerraum hörbaren Alarmsirene überwacht werden
- Dadurch können Wasserschäden zumindest frühzeitig erkannt und in den Auswirkungen begrenzt werden
Zugangsschutz
- Maßnahmen zum Zugangsschutz versperren unter Umständen im Brandfall mögliche Fluchtwege
- Hier empfiehlt sich gegebenenfalls die Rücksprache mit Brandschutzexperten, der Feuerwehr, um sowohl dem Zugangs- als auch dem Brandschutz gleichermaßen gerecht zu werden
Verschlüsselung
- Verschlüsselung unternehmenskritischer Informationen
Die Verschlüsselung unternehmenskritischer Informationen zum Schutz ihrer Vertraulichkeit ist ein Beispiel für eine Maßnahme, die mit anderen Schutzzielen kollidieren kann, und bei der daher eine sorgfältige Abwägung der Vor- und Nachteile und unter Umständen ergänzende Maßnahmen nötig sind:
- Verschlüsselte E-Mails können den zentralen Virenschutz auf einem Server unterlaufen und so zur Infiltration eines Netzes mit Schadsoftware führen
- Bei unzureichendem Schlüssel-Management oder fehlerhafter Anwendung kann Verschlüsselung ferner die Verfügbarkeit wichtiger Daten auch für berechtigte Personen gefährden
Reihenfolge
- Umsetzungsreihenfolge und Verantwortlichkeit
Umsetzungsreihenfolge
Wenn Budget oder Personal nicht ausreichen, alle wünschenswerten Sicherheitsmaßnahmen unmittelbar umzusetzen, ist eine sinnvolle Reihenfolge festzulegen
- Dabei sollten Sie sich an folgenden Regeln orientieren
- Einen ersten Indikator zur Umsetzungsreihenfolge liefern die Kennzeichnungen R1, R2 und R3 bei den Modellierungshinweisen in Kapitel 2.2 des IT-Grundschutz-Kompendiums
- Anforderungen aus mit „R1“ gekennzeichneten Bausteinen (z. B. ISMS.1 Sicherheitsmanagement und die Bausteine der Schicht ORP Organisation und Personal) sollten vorrangig erfüllt werden
- Anschließend sind Anforderungen aus den mit „R2“ gekennzeichneten Bausteinen zu erfüllen und erst zum Schluss solche aus Bausteinen, die mit dem Kürzel „R3“ versehen sind
- Grundsätzlich sind ferner zunächst diejenigen Maßnahmen umzusetzen, mit denen Basis-Anforderungen erfüllt werden, dann diejenigen zur Erfüllung von Standard-Anforderungen und erst zuletzt die zur Gewährleistung eines höheren Schutzbedarfs
- Berücksichtigen Sie ferner auch die sachlogischen Zusammenhänge der einzelnen Maßnahmen: So sind diejenigen Maßnahmen vorzuziehen, deren Umsetzung eine Voraussetzung für die Realisierung weiterer Maßnahmen ist
Insbesondere sollten Sie Ihr Augenmerk darauf legen, welche Wirkung die Umsetzung der einzelnen Maßnahmen auf das Sicherheitsniveau des Informationsverbundes hat
- Setzen Sie vorrangig solche Maßnahmen um, die
- Komponenten mit höherem Schutzbedarf betreffen (sollten Server vor Clients abgesichert werden)
- eine große Breitenwirkung entfalten (z. B. zentrale Maßnahmen wie der Einsatz von Netz- und Systemmanagement-Werkzeugen) oder
- Bereiche betreffen, in denen auffallend viele Sicherheitsmaßnahmen fehlen
Dokumentieren Sie auch Ihre Entscheidungen zur Umsetzungsreihenfolge und deren Begründungen sorgfältig, damit nachvollziehbar und verständlich wird, warum Sie die aus der zeitlich nachgeordneten Umsetzung bestimmter Maßnahmen resultierenden Restrisiken in Kauf genommen haben
- Dies kann insbesondere bei eventuell möglichen juristischen Streitfällen als Nachweis wichtig sein, dass die notwendige Sorgfaltspflicht beachtet wurde
Verantwortlichkeit
Aufgaben und Verantwortlichkeiten
Maßnahmen werden meist nur dann fristgerecht umgesetzt, wenn geklärt wird, wer bis zu welchem Termin für deren Umsetzung zuständig ist
- Der nächste Schritt besteht daher darin, diejenigen Personen zu bestimmen, welche die Umsetzung initiieren und durchführen sollen
- Auch diese Entscheidungen sollten mit dem Management abgestimmt sein
Achten Sie darauf, dass die für die Umsetzung Zuständigen ausreichende Kenntnisse und Kompetenzen besitzen und ihnen die erforderlichen Ressourcen zur Verfügung gestellt werden
- Planen Sie erforderliche Fortbildungen ein
Umsetzungsplan
- Dokumentation
Auszug Realisierungsplan
- Zielobjekt: Printserver S003
- Maßnahmen, Entscheidungen, Termine, Kosten, Verantwortlichkeiten
- Umsetzungsplan
Anforderung | Maßnahme | Termin | Kosten | Umsetzung |
---|---|---|---|---|
SYS.1.1.A3 Restriktive Rechtevergabe |
Gruppenberechtigungen auflösen | 3. Quartal 2023 | Keine | IT-Betrieb Michael Schmitt |
SYS.1.1.A4 Rollentrennung |
Separate Benutzerkennungen für jeden Administrator | 31. Juli 2023 | Keine | IT-Betrieb Michael Schmitt |
SYS.1.1.A8 Regelmäßige Datensicherung |
Externes Backup-System Datensicherungen jetzt Bändern im Serverraum gelagert |
1. Quartal 2024 | Anschaffung: €15.000 Betrieb: verhandeln |
Einkauf Tanja Meyer |