IT-Grundschutz/Umsetzungsplanung: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „PrefixIndex/Grundschutz/“ durch „PrefixIndex/IT-Grundschutz/“
 
(19 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Grundschutz/Umsetzungsplanung''' - Beschreibung
'''Grundschutz/Umsetzungsplanung''' - Lücken im Sicherheitskonzept schließen


== Inhaltsverzeichnis ==
== Einleitung ==
; Umsetzung von IT-Sicherheitsmaßnahmen
{| class="wikitable options big col1center"
{| class="wikitable options big col1center"
! Schritt || ||  Beschreibung
|-
|-
| 1 || [[#Einleitung|Einleitung]]
| 1 || Sichtung der Untersuchungsergebnisse ||
* Welche Maßnahmen sind nicht oder nur teilweise umgesetzt?
|-
|-
| 2 || [[#Realisierung|Realisierung]]
| 2 || Konsolidierung der Maßnahmen ||
* Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
* Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden?
|-
|-
| 3 || [[#Aufwand|Aufwand]]
| 3 || Kosten- und Aufwandsschätzung ||
* Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen?
* Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen und verbleibende Restrisiko für die Leitungsebene dokumentiert werden
|-
|-
| 4 || [[#Begleitende Maßnahmen|Begleitende Maßnahmen]]
| 4 || Festlegung der Umsetzungsreihenfolge ||
* Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden?
* Breitenwirkung beachten!
|-
|-
| 5 || [[#Konsolidierung|Konsolidierung]]
| 5 || Festlegung der Verantwortlichkeit ||
* Wer setzt welche Maßnahme bis wann um?
|-
|-
| 6 || [[#Reihenfolge|Reihenfolge]]
| 6 || Realisierungsbegleitende Maßnahmen ||
|-
* Schulung der Mitarbeiter
| 7 || [[#Umsetzungsplan|Umsetzungsplan]]
* Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen
|-
| 8 || [[#Verantwortlichkeit|Verantwortlichkeit]]
|}
|}
== Einleitung ==
Lücken im Sicherheitskonzept schließen
; Gewünschtes Sicherheitsniveau
; Gewünschtes Sicherheitsniveau
* Alle Basis- und Standard-Anforderungen sind erfüllt  
* Alle Basis- und Standard-Anforderungen sind erfüllt  
Zeile 44: Zeile 49:


; Systematisches Vorgehen
; Systematisches Vorgehen
Wenn viele Einzelmaßnahmen umzusetzen sind<div class="noprint">
Wenn viele Einzelmaßnahmen umzusetzen sind
[[Kategorie:Grundschutz/Umsetzungsplanung]]
 
; Umsetzung von IT-Sicherheitsmaßnahmen
{| class="wikitable options big col1center"
! Schritt || ||  Beschreibung
|-
| 1 || Sichtung der Untersuchungsergebnisse ||
* Welche Maßnahmen sind nicht oder nur teilweise umgesetzt?
|-
| 2 || Konsolidierung der Maßnahmen ||
* Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
* Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden?
|-
| 3 || Kosten- und Aufwandsschätzung ||
* Welche einmaligen/wiederkehrenden Investitions- bzw.&nbsp;Personalkosten entstehen?
* Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen werden und das verblei-bende Restrisiko für die Leitungsebene dokumentiert werden
|-
| 4 || Festlegung der Umsetzungsreihenfolge ||
* Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden?
* Breitenwirkung beachten!
|-
| 5 || Festlegung der Verantwortlichkeit ||
* Wer setzt welche Maßnahme bis wann um?
|-
| 6 || Realisierungsbegleitende Maßnahmen ||
* Schulung der Mitarbeiter
* Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen
|}


== Aufwand ==
== Aufwand ==
'''Grundschutz - Aufwand''' - Aufwände schätzen
; Aufwände schätzen


=== Budgets ===
=== Budgets ===
Angesichts des in der Regel begrenzten Budgets für Informationssicherheit ist ein Überblick über die voraussichtlichen fixen und variablen Kosten der einzelnen Maßnahmen nötig
Angesichts des in der Regel begrenzten Budgets für Informationssicherheit ist ein Überblick über die voraussichtlichen fixen und variablen Kosten der einzelnen Maßnahmen nötig
* Daher schätzen Sie im nächsten Schritt, welcher einmalige und wiederkehrende finanzielle und personelle Aufwand durch die Umsetzung der einzelnen geplanten Maßnahmen entsteht
* Daher schätzen Sie im nächsten Schritt, welcher einmalige und wiederkehrende finanzielle und personelle Aufwand durch die Umsetzung der einzelnen geplanten Maßnahmen entsteht


=== Personal und Finanzmittel ===
=== Personal und Finanzmittel ===
Der Einsatz von Personal und Finanzmitteln muss vom Management getragen werden
; Der Einsatz von Personal und Finanzmitteln muss vom Management getragen werden
* Dies gilt insbesondere dann, wenn die bewilligten Finanzmittel nicht für die sofortige Umsetzung sämtlicher Maßnahmen ausreichen und entschieden werden muss, ob das Budget aufgestockt oder das Risiko in Kauf genommen werden soll, das verbleibt, wenn Maßnahmen nicht umgesetzt werden
* Dies gilt insbesondere dann, wenn die bewilligten Finanzmittel nicht für die sofortige Umsetzung sämtlicher Maßnahmen ausreichen und entschieden werden muss, ob das Budget aufgestockt oder das Risiko in Kauf genommen werden soll, das verbleibt, wenn Maßnahmen nicht umgesetzt werden


Zeile 94: Zeile 72:
Beachten Sie, dass die Erfüllung der relevanten Basis-Anforderungen das Mindest-Sicherheitsniveau gemäß IT-Grundschutz ist
Beachten Sie, dass die Erfüllung der relevanten Basis-Anforderungen das Mindest-Sicherheitsniveau gemäß IT-Grundschutz ist
* Risiken, die aus der Nichterfüllung solcher Anforderungen erwachsen, sollten daher nicht akzeptiert werden
* Risiken, die aus der Nichterfüllung solcher Anforderungen erwachsen, sollten daher nicht akzeptiert werden
[[Kategorie:Grundschutz/Umsetzungsplanung]]
[[Kategorie:IT-Grundschutz/Umsetzungsplanung]]
 


== Begleitende Maßnahmen ==
== Begleitende Maßnahmen ==
Zeile 114: Zeile 91:


; Einführung neuer Sicherheitsmaßnahmen
; Einführung neuer Sicherheitsmaßnahmen
Betroffenen Mitarbeiter ausreichend schulen
Betroffene Mitarbeiter ausreichend schulen
* Für mögliche Probleme sensibilisieren
* Für mögliche Probleme sensibilisieren


Zeile 151: Zeile 128:
* Für Informationssicherheit sensibilisieren
* Für Informationssicherheit sensibilisieren
* Bereitschaft schaffen, die erforderlichen Maßnahmen umzusetzen
* Bereitschaft schaffen, die erforderlichen Maßnahmen umzusetzen
** Notwendigen Verhaltensregeln zu beachten
** Notwendige Verhaltensregeln zu beachten
** Auch Unbequemlichkeiten zu akzeptieren
** Auch Unbequemlichkeiten zu akzeptieren
* Feedback aufnehmen
* Feedback aufnehmen
Zeile 184: Zeile 161:


=== Beschreibung ===
=== Beschreibung ===
; Ergebnissen des -Grundschutz-Checks
; Ergebnisse des IT-Grundschutz-Checks
Im '''ersten Schritt''' sind aus den Ergebnissen des -Grundschutz-Checks und eventuell durchgeführter Risikoanalysen diejenigen Anforderungen herauszufiltern, die '''nicht oder nur teilweise erfüllt''' sind
Im '''ersten Schritt''' sind aus den Ergebnissen des IT-Grundschutz-Checks und eventuell durchgeführter Risikoanalysen diejenigen Anforderungen herauszufiltern, die '''nicht oder nur teilweise erfüllt''' sind


; Übersichtliche Dokumentation  
; Übersichtliche Dokumentation  
Eine übersichtliche Dokumentation erhalten Sie, wenn Sie die unzureichend erfüllten Anforderungen '''tabellarisch zusammenstellen''' und dabei nach den betroffenen Zielobjekten gruppieren, etwa nach dem gesamten Informationsverbund oder bestimmten Räumen und -Systemen
Eine übersichtliche Dokumentation erhalten Sie, wenn Sie die unzureichend erfüllten Anforderungen '''tabellarisch zusammenstellen''' und dabei nach den betroffenen Zielobjekten gruppieren, etwa nach dem gesamten Informationsverbund oder bestimmten Räumen und IT-Systemen


; Maßnahmen festlegen
; Maßnahmen festlegen
Legen Sie anschließend '''Maßnahmen''' fest, mit denen Sie diese Sicherheitslücken schließen können
Legen Sie anschließend '''Maßnahmen''' fest, mit denen Sie diese Sicherheitslücken schließen können
* Als Hilfsmittel hierfür können Sie die Umsetzungshinweise zu den einzelnen -Grundschutz-Bausteinen verwenden
* Als Hilfsmittel hierfür können Sie die Umsetzungshinweise zu den einzelnen IT-Grundschutz-Bausteinen verwenden


; Zusammenhang prüfen
; Zusammenhang prüfen
Anschließend betrachten Sie die Maßnahmen '''im Zusammenhang''' und prüfen
Anschließend betrachten Sie die Maßnahmen '''im Zusammenhang''' und prüfen
* ob einzelne Maßnahmen überflüssig werden, weil andere zu realisierende Maßnahmen einen mindestens gleichwertigen Schutz für das jeweilige Zielobjekt bewirken
* Ob einzelne Maßnahmen überflüssig werden, weil andere zu realisierende Maßnahmen einen mindestens gleichwertigen Schutz für das jeweilige Zielobjekt bewirken
* welche Maßnahmen noch konkretisiert und an die individuellen Gegebenheiten der Institution angepasst werden müssen und
* welche Maßnahmen noch konkretisiert und an die individuellen Gegebenheiten der Institution angepasst werden müssen und
* ob die Maßnahmen tatsächlich geeignet und angemessen sind, sie also genügend Schutz bieten, ohne die Arbeitsabläufe zu behindern oder die Schutzwirkung anderer Maßnahmen zu beeinträchtigen
* ob die Maßnahmen tatsächlich geeignet und angemessen sind, sie also genügend Schutz bieten, ohne die Arbeitsabläufe zu behindern oder die Schutzwirkung anderer Maßnahmen zu beeinträchtigen
Zeile 208: Zeile 185:


=== Beispiele ===
=== Beispiele ===
Einige Beispiele sollen die Fragestellungen und mögliche Lösungen bei der Konsolidierung der Maßnahmen verdeutlichen:
Fragen und Lösungen bei der Konsolidierung von Maßnahmen
* Wenn eine Risikoanalyse ergab, dass für eine Gruppe von -Systemen eine Authentisierung über ein chipkarten- oder token-basiertes Verfahren angewandt werden sollte, können unter Umständen Maßnahmen zur Gewährleistung einer hohen Passwortgüte entfallen
 
* Fehler bei der Gebäudeplanung lassen sich nachträglich oft nur mit einem unverhältnismäßig hohen Aufwand korrigieren
==== Authentisierung ====
Wenn eine Risikoanalyse ergab, dass für eine Gruppe von IT-Systemen eine Authentisierung über ein Chipkarten- oder tokenbasiertes Verfahren angewandt werden sollte, können unter Umständen Maßnahmen zur Gewährleistung einer hohen Passwortgüte entfallen
 
==== Gebäudeplanung ====
; Fehler bei der Gebäudeplanung lassen sich nachträglich oft nur mit einem unverhältnismäßig hohen Aufwand korrigieren
* Wenn die vollständige Erfüllung von Anforderungen wie die Vermeidung wasserführender Leitungen aufgrund der baulichen Gegebenheiten wirtschaftlich nicht vertretbar ist, sollten zumindest Ersatzmaßnahmen getroffen werden
* Wenn die vollständige Erfüllung von Anforderungen wie die Vermeidung wasserführender Leitungen aufgrund der baulichen Gegebenheiten wirtschaftlich nicht vertretbar ist, sollten zumindest Ersatzmaßnahmen getroffen werden
* Beispielsweise können unter den vorhandenen Leitungen wasserableitende Bleche installiert werden, die von einem Wassermelder mit einer im ständig besetzten Pförtnerraum hörbaren Alarmsirene überwacht werden
* Beispielsweise können unter den vorhandenen Leitungen wasserableitende Bleche installiert werden, die von einem Wassermelder mit einer im ständig besetzten Pförtnerraum hörbaren Alarmsirene überwacht werden
* Dadurch können Wasserschäden zumindest frühzeitig erkannt und in den Auswirkungen begrenzt werden
* Dadurch können Wasserschäden zumindest frühzeitig erkannt und in den Auswirkungen begrenzt werden
* Maßnahmen zum Zugangsschutz versperren unter Umständen im Brandfall mögliche Fluchtwege
 
==== Zugangsschutz ====
; Maßnahmen zum Zugangsschutz versperren unter Umständen im Brandfall mögliche Fluchtwege
* Hier empfiehlt sich gegebenenfalls die Rücksprache mit Brandschutzexperten, der Feuerwehr, um sowohl dem Zugangs- als auch dem Brandschutz gleichermaßen gerecht zu werden
* Hier empfiehlt sich gegebenenfalls die Rücksprache mit Brandschutzexperten, der Feuerwehr, um sowohl dem Zugangs- als auch dem Brandschutz gleichermaßen gerecht zu werden
* Die Verschlüsselung unternehmenskritischer Informationen zum Schutz ihrer Vertraulichkeit ist ein Beispiel für eine Maßnahme, die mit anderen Schutzzielen kollidieren kann, und bei der daher eine sorgfältige Abwägung der Vor- und Nachteile und unter Umständen ergänzende Maßnahmen nötig sind:
 
** Verschlüsselte E-Mails können den zentralen Virenschutz auf einem Server unterlaufen und so zur Infiltration eines Netzes mit Schadsoftware führen
==== Verschlüsselung ====
** Bei unzureichendem Schlüssel-Management oder fehlerhafter Anwendung kann Verschlüsselung ferner die Verfügbarkeit wichtiger Daten auch für berechtigte Personen gefährden
; Verschlüsselung unternehmenskritischer Informationen
Die Verschlüsselung unternehmenskritischer Informationen zum Schutz ihrer Vertraulichkeit ist ein Beispiel für eine Maßnahme, die mit anderen Schutzzielen kollidieren kann, und bei der daher eine sorgfältige Abwägung der Vor- und Nachteile und unter Umständen ergänzende Maßnahmen nötig sind:
* Verschlüsselte E-Mails können den zentralen Virenschutz auf einem Server unterlaufen und so zur Infiltration eines Netzes mit Schadsoftware führen
* Bei unzureichendem Schlüssel-Management oder fehlerhafter Anwendung kann Verschlüsselung ferner die Verfügbarkeit wichtiger Daten auch für berechtigte Personen gefährden


== Reihenfolge ==
== Reihenfolge ==
Zeile 225: Zeile 211:
Wenn Budget oder Personal nicht ausreichen, alle wünschenswerten Sicherheitsmaßnahmen unmittelbar umzusetzen, ist eine sinnvolle Reihenfolge festzulegen
Wenn Budget oder Personal nicht ausreichen, alle wünschenswerten Sicherheitsmaßnahmen unmittelbar umzusetzen, ist eine sinnvolle Reihenfolge festzulegen
; Dabei sollten Sie sich an folgenden Regeln orientieren
; Dabei sollten Sie sich an folgenden Regeln orientieren
* Einen ersten Indikator zur Umsetzungsreihenfolge liefern die '''Kennzeichnungen R1, R2 und R3''' bei den Modellierungshinweisen in Kapitel 2.2 des -Grundschutz-Kompendiums
* Einen ersten Indikator zur Umsetzungsreihenfolge liefern die '''Kennzeichnungen R1, R2 und R3''' bei den Modellierungshinweisen in Kapitel 2.2 des IT-Grundschutz-Kompendiums
* Anforderungen aus mit „R1“ gekennzeichneten Bausteinen (z.&nbsp;B.&nbsp;ISMS.1 ''Sicherheitsmanagement'' und die Bausteine der Schicht ORP ''Organisation und Personal'') sollten vorrangig erfüllt werden
* Anforderungen aus mit „R1“ gekennzeichneten Bausteinen (z.&nbsp;B.&nbsp;ISMS.1 ''Sicherheitsmanagement'' und die Bausteine der Schicht ORP ''Organisation und Personal'') sollten vorrangig erfüllt werden
* Anschließend sind Anforderungen aus den mit „R2“ gekennzeichneten Bausteine zu erfüllen und erst zum Schluss solche aus Bausteinen, die mit dem Kürzel „R3“ versehen sind
* Anschließend sind Anforderungen aus den mit „R2“ gekennzeichneten Bausteinen zu erfüllen und erst zum Schluss solche aus Bausteinen, die mit dem Kürzel „R3“ versehen sind
* Grundsätzlich sind ferner zunächst diejenigen Maßnahmen umzusetzen, mit denen '''Basis-Anforderungen''' erfüllt werden, dann diejenigen zur Erfüllung von '''Standard-Anforderungen''' und erst zuletzt die zur '''Gewährleistung eines höheren Schutzbedarfs'''
* Grundsätzlich sind ferner zunächst diejenigen Maßnahmen umzusetzen, mit denen '''Basis-Anforderungen''' erfüllt werden, dann diejenigen zur Erfüllung von '''Standard-Anforderungen''' und erst zuletzt die zur '''Gewährleistung eines höheren Schutzbedarfs'''
* Berücksichtigen Sie ferner auch die '''sachlogischen Zusammenhänge''' der einzelnen Maßnahmen: So sind diejenigen Maßnahmen vorzuziehen, deren Umsetzung eine Voraussetzung für die Realisierung weiterer Maßnahmen ist
* Berücksichtigen Sie ferner auch die '''sachlogischen Zusammenhänge''' der einzelnen Maßnahmen: So sind diejenigen Maßnahmen vorzuziehen, deren Umsetzung eine Voraussetzung für die Realisierung weiterer Maßnahmen ist
Zeile 234: Zeile 220:


; Setzen Sie vorrangig solche Maßnahmen um, die
; Setzen Sie vorrangig solche Maßnahmen um, die
* Komponenten mit höherem Schutzbedarf betreffen ( sollten Server vor Clients abgesichert werden)
* Komponenten mit höherem Schutzbedarf betreffen (sollten Server vor Clients abgesichert werden)
* eine große Breitenwirkung entfalten (z.&nbsp;B.&nbsp;zentrale Maßnahmen wie der Einsatz von Netz- und Systemmanagement-Werkzeugen) oder
* eine große Breitenwirkung entfalten (z.&nbsp;B.&nbsp;zentrale Maßnahmen wie der Einsatz von Netz- und Systemmanagement-Werkzeugen) oder
* Bereiche betreffen, in denen auffallend viele Sicherheitsmaßnahmen fehlen
* Bereiche betreffen, in denen auffallend viele Sicherheitsmaßnahmen fehlen
Zeile 280: Zeile 266:
<div class="noprint">
<div class="noprint">
<noinclude>
<noinclude>
 
== Anhang ==
= Anhang =
=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/Grundschutz/Umsetzungsplanung}}
{{Special:PrefixIndex/IT-Grundschutz/Umsetzungsplanung}}
==== Links ====
==== Links ====
===== Weblinks =====
===== Weblinks =====


[[Kategorie:Grundschutz/Umsetzungsplanung]]
[[Kategorie:IT-Grundschutz/Umsetzungsplanung]]


</noinclude>
</noinclude>
</div>
</div>

Aktuelle Version vom 27. Oktober 2024, 10:30 Uhr

Grundschutz/Umsetzungsplanung - Lücken im Sicherheitskonzept schließen

Einleitung

Umsetzung von IT-Sicherheitsmaßnahmen
Schritt Beschreibung
1 Sichtung der Untersuchungsergebnisse
  • Welche Maßnahmen sind nicht oder nur teilweise umgesetzt?
2 Konsolidierung der Maßnahmen
  • Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
  • Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden?
3 Kosten- und Aufwandsschätzung
  • Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen?
  • Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen und verbleibende Restrisiko für die Leitungsebene dokumentiert werden
4 Festlegung der Umsetzungsreihenfolge
  • Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden?
  • Breitenwirkung beachten!
5 Festlegung der Verantwortlichkeit
  • Wer setzt welche Maßnahme bis wann um?
6 Realisierungsbegleitende Maßnahmen
  • Schulung der Mitarbeiter
  • Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen
Gewünschtes Sicherheitsniveau
  • Alle Basis- und Standard-Anforderungen sind erfüllt
  • Risikoanalysen haben ergeben, dass auch Zielobjekte mit erhöhtem Schutzbedarf angemessen geschützt sind
IT-Grundschutz-Check

IT-Grundschutz-Check und zusätzliche Risikoanalysen führen oft zu anderen Ergebnissen

Verbesserung

Fokus auf Aufrechterhaltung und Verbesserung

Defizite gibt es immer

Typische Defizite

  • Lücken in den vorhandenen organisatorischen Regelungen
  • Mangelnde Kontrolle der geltenden Regeln
  • Fehlende Sicherheitstechnik
  • Unzureichender baulicher Schutz gegen Feuer, Wasser oder Diebstahl
Lücken wirksam und effizient schließen

Bei der Umsetzungsplanung geht es darum, diese Lücken wirksam und effizient zu schließen

Systematisches Vorgehen

Wenn viele Einzelmaßnahmen umzusetzen sind ​

Aufwand

Aufwände schätzen

Budgets

Angesichts des in der Regel begrenzten Budgets für Informationssicherheit ist ein Überblick über die voraussichtlichen fixen und variablen Kosten der einzelnen Maßnahmen nötig

  • Daher schätzen Sie im nächsten Schritt, welcher einmalige und wiederkehrende finanzielle und personelle Aufwand durch die Umsetzung der einzelnen geplanten Maßnahmen entsteht

Personal und Finanzmittel

Der Einsatz von Personal und Finanzmitteln muss vom Management getragen werden
  • Dies gilt insbesondere dann, wenn die bewilligten Finanzmittel nicht für die sofortige Umsetzung sämtlicher Maßnahmen ausreichen und entschieden werden muss, ob das Budget aufgestockt oder das Risiko in Kauf genommen werden soll, das verbleibt, wenn Maßnahmen nicht umgesetzt werden

Managemententscheidung

Zur Vorbereitung einer Managemententscheidung über die Einführung von Sicherheitsmaßnahmen sollten Sie

  • einen Vorschlag für die Verteilung des Budgets erarbeiten
  • kostengünstigere Ersatzmaßnahmen erwägen, falls der Aufwand für die Umsetzung einzelner Maßnahmen das voraussichtliche Budget übersteigt
  • die Restrisiken, die aus der Nichterfüllung von Sicherheitsanforderungen entstehen, dem Management bewusst machen (als Argumentationshilfe können Sie die Kreuzreferenztabellen verwenden, die Sie am Ende eines jeden -Grundschutz-Bausteins finden und in denen dargestellt ist, gegen welche Gefährdungen eine Anforderung gerichtet ist) und
  • dafür sorgen, dass das Management bei der Entscheidung über das Budget durch Unterschrift dokumentiert, dass es bereit ist, die Restrisiken zu tragen

Beachten Sie, dass die Erfüllung der relevanten Basis-Anforderungen das Mindest-Sicherheitsniveau gemäß IT-Grundschutz ist

  • Risiken, die aus der Nichterfüllung solcher Anforderungen erwachsen, sollten daher nicht akzeptiert werden

Begleitende Maßnahmen

Begleitende Maßnahmen festlegen
Schulung
Sensibilisierung
Akzeptanz
Erfolg von Maßnahmen

Hängt wesentlich davon ab, wie diese von den Mitarbeitern akzeptiert und angewandt werden

Einführung neuer Sicherheitsmaßnahmen

Betroffene Mitarbeiter ausreichend schulen

  • Für mögliche Probleme sensibilisieren

Schulung

Planen Sie Schulungsmaßnahmen ein

Die Einführung neuer Sicherheitsmaßnahmen erfordert

  • Aufgaben- und produktbezogene Schulungen
  • Für die betroffenen Mitarbeiter

Beispiel

Was nützt etwa ein neu angeschaffter Feuerlöscher, wenn die Mitarbeiter im Brandfall nicht sachgerecht mit ihm umgehen können?
Beispiele für zweckmäßige Schulungen
Bereich Beschreibung
Sicherheitsmanagement
  • Wenn Sie einem Mitarbeiter besondere Aufgaben im Sicherheitsmanagement übertragen, etwa als IT-Informationssicherheitsbeauftragter, benötigt er vielfältige und kontinuierlich zu aktualisierende Kenntnisse zu methodischen, organisatorischen und technischen Aspekten seines Aufgabengebiets
  • Der hierfür erforderliche Zeitaufwand ist bereits vor der Einführung dieser Verantwortlichkeit und der Ernennung des hierfür ausgewählten Mitarbeiters zu berücksichtigen
Firewall Wenn die Schnittstelle zum Internet durch eine Firewall geschützt werden soll, benötigt der zuständige Netzadministrator Kenntnisse über deren sichere Installation, Konfiguration und Administration
Verschlüsselung Der Einsatz von Verschlüsselungssoftware zum Schutz der Vertraulichkeit personenbezogener oder unternehmenskritischer Daten erfordert nicht nur den Aufbau von Know-how zu dem eingesetzten Produkt, sondern auch Regeln für dessen Anwendung:
  • Welche Nachrichten oder Dateien sind zu verschlüsseln?
  • Wie ist der private Schlüssel zu schützen?
  • Wie sichert man, dass im Bedarfsfall berechtigte Vertreter Zugriff auf die verschlüsselten Daten erhalten?

Die auf diese und andere Fragen gefundenen Lösungen müssen den Mitarbeitern verständlich gemacht werden

Sensibilisierung

Sensibilisierung betroffener Mitarbeiter

Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten

Dauerhafte Wirksamkeit von Sicherheitsmaßnahmen

Mitarbeiter einbeziehen

  • Für Informationssicherheit sensibilisieren
  • Bereitschaft schaffen, die erforderlichen Maßnahmen umzusetzen
    • Notwendige Verhaltensregeln zu beachten
    • Auch Unbequemlichkeiten zu akzeptieren
  • Feedback aufnehmen
Negative Beispiele
Bereich Beschreibung
Brandschutz Brandschutztüren verlieren ihre Schutzwirkung, wenn sie mit Holzkeilen offen gehalten werden, weil den Mitarbeitern das ständige Öffnen der Türen zu umständlich ist
E-Mail-Verschlüsselung Der Kauf von Software zur E-Mail-Verschlüsselung wird zur Fehlinvestition, wenn die Mitarbeiter diese nicht benutzen, weil sie sich der Gefährdungen der Vertraulichkeit nicht bewusst sind und ihre E-Mails weiterhin unverschlüsselt versenden, auch solche mit vertraulichem Inhalt
Passwörter Passwörter bedeuten immer einen zusätzlichen Arbeitsschritt vor der eigentlichen Aufgabe
  • Regeln für sichere Passwörter wie periodischer Wechsel oder die Verwendung unterschiedlicher Passwörter für unterschiedliche Systeme erhöhen die Unbequemlichkeit
Lästige Pflicht Wenn die Mitarbeiter diese Anforderungen lediglich als lästige Pflicht betrachten, werden Sie dazu neigen, sie zu umgehen, indem sie unsichere Passwörter wählen oder Zettel mit den Passwörtern in der Nähe des Rechners platzieren
Netzadministrator Ein Netzadministrator, der seine Probleme bei der Installation eines Sicherheitsgateways unter Angabe seiner dienstlichen Adresse in einem Internet-Forum diskutiert, gefährdet die Schutzwirkung der Software, um deren Installation er sich bemüht

Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form

Akzeptanz

Überprüfen Sie die Akzeptanz der Maßnahmen

Maßnahmen, die von den Mitarbeitern nicht akzeptiert werden, drohen zu scheitern.

Überprüfen Sie daher nach Einführung der Sicherheitsmaßnahmen, ob diese tatsächlich von den Mitarbeitern angenommen werden

  • Sollte dies nicht oder nur eingeschränkt der Fall sein, so versuchen Sie, die Ursachen dafür zu ermitteln, und leiten Sie bei Bedarf zusätzliche Maßnahmen zur Sensibilisierung ein

Konsolidierung

Maßnahmen konsolidieren - Beschreibung

Beschreibung

Ergebnisse des IT-Grundschutz-Checks

Im ersten Schritt sind aus den Ergebnissen des IT-Grundschutz-Checks und eventuell durchgeführter Risikoanalysen diejenigen Anforderungen herauszufiltern, die nicht oder nur teilweise erfüllt sind

Übersichtliche Dokumentation

Eine übersichtliche Dokumentation erhalten Sie, wenn Sie die unzureichend erfüllten Anforderungen tabellarisch zusammenstellen und dabei nach den betroffenen Zielobjekten gruppieren, etwa nach dem gesamten Informationsverbund oder bestimmten Räumen und IT-Systemen

Maßnahmen festlegen

Legen Sie anschließend Maßnahmen fest, mit denen Sie diese Sicherheitslücken schließen können

  • Als Hilfsmittel hierfür können Sie die Umsetzungshinweise zu den einzelnen IT-Grundschutz-Bausteinen verwenden
Zusammenhang prüfen

Anschließend betrachten Sie die Maßnahmen im Zusammenhang und prüfen

  • Ob einzelne Maßnahmen überflüssig werden, weil andere zu realisierende Maßnahmen einen mindestens gleichwertigen Schutz für das jeweilige Zielobjekt bewirken
  • welche Maßnahmen noch konkretisiert und an die individuellen Gegebenheiten der Institution angepasst werden müssen und
  • ob die Maßnahmen tatsächlich geeignet und angemessen sind, sie also genügend Schutz bieten, ohne die Arbeitsabläufe zu behindern oder die Schutzwirkung anderer Maßnahmen zu beeinträchtigen
Streichung überflüssiger Maßnahmen

Ziel ist es, durch Streichung der überflüssigen und Konkretisierung der verbleibenden Maßnahmen den erforderlichen finanziellen und personellen Realisierungsaufwand auf das notwendige Maß zu begrenzen

Ergebnisse

Das Ergebnis dieses Schritts ist eine auf die jeweilige Institution zugeschnittene und konkretisierte Liste von Maßnahmen

  • Erleichtern Sie die spätere Nachvollziehbarkeit der Entscheidungen, die Sie bei dem Abgleich und der Anpassung der Maßnahmen getroffen haben, indem Sie die Begründungen dokumentieren

Beispiele

Fragen und Lösungen bei der Konsolidierung von Maßnahmen

Authentisierung

Wenn eine Risikoanalyse ergab, dass für eine Gruppe von IT-Systemen eine Authentisierung über ein Chipkarten- oder tokenbasiertes Verfahren angewandt werden sollte, können unter Umständen Maßnahmen zur Gewährleistung einer hohen Passwortgüte entfallen

Gebäudeplanung

Fehler bei der Gebäudeplanung lassen sich nachträglich oft nur mit einem unverhältnismäßig hohen Aufwand korrigieren
  • Wenn die vollständige Erfüllung von Anforderungen wie die Vermeidung wasserführender Leitungen aufgrund der baulichen Gegebenheiten wirtschaftlich nicht vertretbar ist, sollten zumindest Ersatzmaßnahmen getroffen werden
  • Beispielsweise können unter den vorhandenen Leitungen wasserableitende Bleche installiert werden, die von einem Wassermelder mit einer im ständig besetzten Pförtnerraum hörbaren Alarmsirene überwacht werden
  • Dadurch können Wasserschäden zumindest frühzeitig erkannt und in den Auswirkungen begrenzt werden

Zugangsschutz

Maßnahmen zum Zugangsschutz versperren unter Umständen im Brandfall mögliche Fluchtwege
  • Hier empfiehlt sich gegebenenfalls die Rücksprache mit Brandschutzexperten, der Feuerwehr, um sowohl dem Zugangs- als auch dem Brandschutz gleichermaßen gerecht zu werden

Verschlüsselung

Verschlüsselung unternehmenskritischer Informationen

Die Verschlüsselung unternehmenskritischer Informationen zum Schutz ihrer Vertraulichkeit ist ein Beispiel für eine Maßnahme, die mit anderen Schutzzielen kollidieren kann, und bei der daher eine sorgfältige Abwägung der Vor- und Nachteile und unter Umständen ergänzende Maßnahmen nötig sind:

  • Verschlüsselte E-Mails können den zentralen Virenschutz auf einem Server unterlaufen und so zur Infiltration eines Netzes mit Schadsoftware führen
  • Bei unzureichendem Schlüssel-Management oder fehlerhafter Anwendung kann Verschlüsselung ferner die Verfügbarkeit wichtiger Daten auch für berechtigte Personen gefährden

Reihenfolge

Umsetzungsreihenfolge und Verantwortlichkeit

Umsetzungsreihenfolge

Wenn Budget oder Personal nicht ausreichen, alle wünschenswerten Sicherheitsmaßnahmen unmittelbar umzusetzen, ist eine sinnvolle Reihenfolge festzulegen

Dabei sollten Sie sich an folgenden Regeln orientieren
  • Einen ersten Indikator zur Umsetzungsreihenfolge liefern die Kennzeichnungen R1, R2 und R3 bei den Modellierungshinweisen in Kapitel 2.2 des IT-Grundschutz-Kompendiums
  • Anforderungen aus mit „R1“ gekennzeichneten Bausteinen (z. B. ISMS.1 Sicherheitsmanagement und die Bausteine der Schicht ORP Organisation und Personal) sollten vorrangig erfüllt werden
  • Anschließend sind Anforderungen aus den mit „R2“ gekennzeichneten Bausteinen zu erfüllen und erst zum Schluss solche aus Bausteinen, die mit dem Kürzel „R3“ versehen sind
  • Grundsätzlich sind ferner zunächst diejenigen Maßnahmen umzusetzen, mit denen Basis-Anforderungen erfüllt werden, dann diejenigen zur Erfüllung von Standard-Anforderungen und erst zuletzt die zur Gewährleistung eines höheren Schutzbedarfs
  • Berücksichtigen Sie ferner auch die sachlogischen Zusammenhänge der einzelnen Maßnahmen: So sind diejenigen Maßnahmen vorzuziehen, deren Umsetzung eine Voraussetzung für die Realisierung weiterer Maßnahmen ist

Insbesondere sollten Sie Ihr Augenmerk darauf legen, welche Wirkung die Umsetzung der einzelnen Maßnahmen auf das Sicherheitsniveau des Informationsverbundes hat

Setzen Sie vorrangig solche Maßnahmen um, die
  • Komponenten mit höherem Schutzbedarf betreffen (sollten Server vor Clients abgesichert werden)
  • eine große Breitenwirkung entfalten (z. B. zentrale Maßnahmen wie der Einsatz von Netz- und Systemmanagement-Werkzeugen) oder
  • Bereiche betreffen, in denen auffallend viele Sicherheitsmaßnahmen fehlen

Dokumentieren Sie auch Ihre Entscheidungen zur Umsetzungsreihenfolge und deren Begründungen sorgfältig, damit nachvollziehbar und verständlich wird, warum Sie die aus der zeitlich nachgeordneten Umsetzung bestimmter Maßnahmen resultierenden Restrisiken in Kauf genommen haben

  • Dies kann insbesondere bei eventuell möglichen juristischen Streitfällen als Nachweis wichtig sein, dass die notwendige Sorgfaltspflicht beachtet wurde

Verantwortlichkeit

Aufgaben und Verantwortlichkeiten

Maßnahmen werden meist nur dann fristgerecht umgesetzt, wenn geklärt wird, wer bis zu welchem Termin für deren Umsetzung zuständig ist

  • Der nächste Schritt besteht daher darin, diejenigen Personen zu bestimmen, welche die Umsetzung initiieren und durchführen sollen
  • Auch diese Entscheidungen sollten mit dem Management abgestimmt sein

Achten Sie darauf, dass die für die Umsetzung Zuständigen ausreichende Kenntnisse und Kompetenzen besitzen und ihnen die erforderlichen Ressourcen zur Verfügung gestellt werden

  • Planen Sie erforderliche Fortbildungen ein

Umsetzungsplan

Dokumentation

Auszug Realisierungsplan

Zielobjekt: Printserver S003
Maßnahmen, Entscheidungen, Termine, Kosten, Verantwortlichkeiten
Umsetzungsplan
Anforderung Maßnahme Termin Kosten Umsetzung
SYS.1.1.A3
Restriktive Rechtevergabe
Gruppenberechtigungen auflösen 3. Quartal 2023 Keine IT-Betrieb
Michael Schmitt
SYS.1.1.A4
Rollentrennung
Separate Benutzerkennungen für jeden Administrator 31. Juli 2023 Keine IT-Betrieb
Michael Schmitt
SYS.1.1.A8
Regelmäßige Datensicherung
Externes Backup-System
Datensicherungen jetzt Bändern im Serverraum gelagert
1. Quartal 2024 Anschaffung: €15.000
Betrieb: verhandeln
Einkauf
Tanja Meyer