IT-Grundschutz/Sicherheitsprozess: Unterschied zwischen den Versionen

Aktuelle Version vom 17. November 2025, 17:13 Uhr

IT-Grundschutz/Sicherheitsprozess

Beschreibung

Informationssicherheit ist ein Prozess

Kein Zustand
Kontinuierliche Weiterentwicklung

Gründe für diese Dynamik

Änderungen an

Verfahren/Prozessen
Standorten
Software
Techniken
Rahmenbedingungen
- Rechtlich
- Organisatorisch
Schwachastellen
- bislang unbekannte Schwachstellen und daraus erwachsende Gefährdungen

stellen immer wieder neue Anforderungen, so dass die nachhaltige Angemessenheit und Wirksamkeit nicht automatisch gewährleistet sind.

Lebenszyklus

Der Sicherheitsprozess unterliegt einem Lebenszyklus

Plan - Planung von Sicherheitsmaßnahmen
Do - Umsetzung der Maßnahmen
Check - Erfolgskontrolle, Überwachung der Zielerreichung
Act - Beseitigung von Defiziten, Verbesserung

Kontinuierliche Verbesserung

Erfolgskontrolle und die kontinuierliche Verbesserung

Insbesondere die Erfolgskontrolle und die kontinuierliche Verbesserung gehören zu den wichtigsten Managementprinzipien im Sicherheitsprozess.

Ohne regelmäßige Überprüfung ist die Wirksamkeit der organisatorischen und technischen Schutzmaßnahmen auf Dauer nicht sichergestellt.

Dokumentation

Dokumentation ist kein Selbstzweck

Eine gute Dokumentation trägt aber dazu bei, den Sicherheitsprozess und getroffene Entscheidungen nachvollziehbar zu gestalten und Missverständnisse zu vermeiden.

Sie muss nicht in Papierform vorliegen.
Eine elektronische Form hat den Vorteil, leicht aktualisierbar und bei Bedarf schnell verfügbar zu sein, wobei die Zugriffsrechte sorgfältig zu regeln sind.

Informationsklassifizierung

Um Informationen angemessen schützen zu können, muss ihre Bedeutung für die Institution klar sein.

Dies kann durch eine Informationsklassifizierung unterstützt werden, bei der Dokumente gemäß ihrer Vertraulichkeit klassifiziert werden und für deren Behandlung Regeln festgelegt sind, die dieser Klassifizierung entsprechen.
Durch einen Klassifizierungsvermerk kann jeder Mitarbeiter unmittelbar erkennen, wie er mit den eingestuften Informationen umzugehen hat.

Anforderungen an die Dokumentation

Weitere wichtige Hinweise über die Anforderungen an die Dokumentation sowie über die Gestaltung von Informationsflüssen und Meldewegen im Sicherheitsprozess finden Sie in Kapitel 5 des BSI-Standards 200-2: -Grundschutz-Methodik.

Am Beginn dieses Kapitels ist auch ein Vorgehensmodell zur Informationsklassifizierung beschrieben.

Phasen

Phasen des Sicherheitsprozesses

Damit ein geregelter Sicherheitsprozess etabliert werden kann, muss die Leitungsebene ihn initiieren, Ziele und Rahmenbedingungen festlegen, eine Organisationsstruktur aufbauen und Ressourcen bereitstellen.

Plan	Planung von Sicherheitsmaßnahmen
Do	Umsetzung der Maßnahmen
Check	Erfolgskontrolle, Überwachung der Zielerreichung
Act	Beseitigung von Defiziten, Verbesserung

Im Einzelnen gliedert sich der Sicherheitsprozess in die nachfolgend dargestellten Phasen und Teilaktivitäten.

Initiierung

Leitlinie und Sicherheitsorganisation
Erstellung einer Informationssicherheitsleitlinie und Aufbau einer Sicherheitsorganisation

Damit der Sicherheitsprozess den eigenen Erfordernissen entspricht, müssen zunächst die relevanten Rahmenbedingungen identifiziert und analysiert werden.

Hierzu gehören etwa die Sicherheitsanforderungen, die Kunden stellen oder Behörden als Auflagen formulieren.
Wenn es regulatorische Auflagen gibt, werden diese die Sicherheitsziele und die zu entwickelnden Konzepte stark beeinflussen.
Wenn es bereits Initiativen in der Institution gibt, Informationssicherheit voranzutreiben, müssen diese ermittelt und bewertet werden, und sollten bereits technische oder organisatorische Maßnahmen umgesetzt sein, müssen diese in den neu zu gestalteten Prozess integriert werden.

Großen Einfluss auf den Sicherheitsprozess haben die Ziele, die sich mit ihm verbinden.

Dabei werden aus den Zielen der Institution und den Rahmenbedingungen die Informationssicherheitsziele abgeleitet.
Sie werden in der Leitlinie zur Informationssicherheit festgehalten und allen Mitarbeitern bekannt gemacht.
Aus diesen Zielen leitet sich auch das angestrebte Sicherheitsniveau für die Geschäftsprozesse ab.

Um die erforderlichen Maßnahmen umzusetzen, ist der Aufbau einer Sicherheitsorganisation erforderlich und sind Verantwortlichkeiten zu schaffen.

Weitere Ressourcen wie Räumlichkeiten, Budget und Zeit sind bereitzustellen.

Und letztlich ist Informationssicherheit nicht nur eine Aufgabe der Leitung und des Sicherheitsorganisationsteams, sondern alle Mitarbeiter sind hierfür in ihrem Wirkungsbereich verantwortlich.

Ohne ihre Mitwirkung wird eine Institution ihre Sicherheitsziele verfehlen.

Erstellung

Erstellung eines Sicherheitskonzepts

Um die Sicherheitsziele zu erreichen, müssen in einem Konzept geeignete technische und organisatorische Maßnahmen festgelegt werden

Maßnahmen zur physischen Absicherung von Gebäuden und Räumlichkeiten
technische Vorkehrungen zur Absicherung der Schnittstellen eines Netzes und seiner Segmente
Regelungen zum Umgang mit klassifizierten Informationen
ein geeignetes Identitäts- und Berechtigungsmanagement
die Anwendung kryptographischer Maßnahmen
ausreichende Datensicherungsverfahren
Verfahren zur Erkennung und Abwehr von Schadsoftware
...

Umsetzung

Umsetzung des Konzepts

Im Sicherheitskonzept muss dargestellt werden, wie die Maßnahmen umzusetzen und zu überprüfen sind.

Dies ist eine Vorgabe für die Bewertung durch die Leitungsebene.

Verbesserung

Aufrechterhaltung und Verbesserung

Informationssicherheit ist kein zeitlich begrenztes Projekt, sondern ein Prozess, der kontinuierlich das Sicherheitskonzept an veränderte Anforderungen anpasst.

Mit geeigneten Instrumenten, etwa Kennzahlen oder internen und externen Audits, muss regelmäßig geprüft werden, ob die Informationssicherheitsziele erreicht werden.
Abweichungen müssen zur Behebung und Verbesserung führen.

Anhang

Siehe auch

Links

Weblinks

@@ Zeile 2: / Zeile 2: @@
 == Beschreibung ==
-Informationssicherheit ist kein Zustand, der einmal erreicht wird und dann fortbesteht, sondern ein Prozess, der kontinuierlich angepasst werden muss.
+; Informationssicherheit ist ein Prozess
+* Kein Zustand
+* Kontinuierliche Weiterentwicklung
-Geänderte Verfahren und Prozesse in einer Institution, der Wandel in den gesetzlichen Rahmenbedingungen, neue Technik, aber auch bislang unbekannte Schwachstellen und daraus erwachsende Gefährdungen stellen immer wieder neue Anforderungen, so dass die nachhaltige Angemessenheit und Wirksamkeit nicht automatisch gewährleistet sind.
+; Gründe für diese Dynamik
+Änderungen an
+* Verfahren/Prozessen
+* Standorten
+* Software
+* Techniken
+* Rahmenbedingungen
+** Rechtlich
+** Organisatorisch
+* Schwachastellen
+** bislang unbekannte Schwachstellen und daraus erwachsende Gefährdungen
-== Lebenszyklus ==
+stellen immer wieder neue Anforderungen, so dass die nachhaltige Angemessenheit und Wirksamkeit nicht automatisch gewährleistet sind.
-Der gesamte '''Sicherheitsprozess unterliegt daher einem Lebenszyklus''', der sich in folgende Phasen gliedert:
-'''Plan''' - Planung von Sicherheitsmaßnahmen
+=== Lebenszyklus ===
+Der Sicherheitsprozess unterliegt einem [[Deming Circle|Lebenszyklus]]
-'''Do''' - Umsetzung der Maßnahmen
+* '''Plan''' - Planung von Sicherheitsmaßnahmen
+* '''Do''' - Umsetzung der Maßnahmen
-'''Check''' - Erfolgskontrolle, Überwachung der Zielerreichung
+* '''Check''' - Erfolgskontrolle, Überwachung der Zielerreichung
+* '''Act''' - Beseitigung von Defiziten, Verbesserung
-'''Act''' - Beseitigung von Defiziten, Verbesserung
-Dieser '''Zyklus''' nach William Edwards Deming ist ein bewährter Bestandteil vieler Managementsysteme, etwa auch des Qualitäts- und Umweltmanagements
+=== Kontinuierliche Verbesserung ===
 ; Erfolgskontrolle und die kontinuierliche Verbesserung
 Insbesondere die '''Erfolgskontrolle und die kontinuierliche Verbesserung''' gehören zu den wichtigsten Managementprinzipien im Sicherheitsprozess.
 * Ohne regelmäßige Überprüfung ist die Wirksamkeit der organisatorischen und technischen Schutzmaßnahmen auf Dauer nicht sichergestellt.
+=== Dokumentation ===
 ; Dokumentation ist kein Selbstzweck
-* eine '''gute Dokumentation''' trägt aber dazu bei, den Sicherheitsprozess und getroffene Entscheidungen nachvollziehbar zu gestalten und Missverständnisse zu vermeiden.
+Eine '''gute Dokumentation''' trägt aber dazu bei, den Sicherheitsprozess und getroffene Entscheidungen nachvollziehbar zu gestalten und Missverständnisse zu vermeiden.
 * Sie muss nicht in Papierform vorliegen.
 * Eine elektronische Form hat den Vorteil, leicht aktualisierbar und bei Bedarf schnell verfügbar zu sein, wobei die Zugriffsrechte sorgfältig zu regeln sind.
@@ Zeile 40: / Zeile 50: @@
 ; Phasen des Sicherheitsprozesses
 Damit ein geregelter Sicherheitsprozess etabliert werden kann, muss die Leitungsebene ihn initiieren, Ziele und Rahmenbedingungen festlegen, eine Organisationsstruktur aufbauen und Ressourcen bereitstellen.
+{|
+| Plan || Planung von Sicherheitsmaßnahmen
+|-
+| Do || Umsetzung der Maßnahmen
+|-
+| Check || Erfolgskontrolle, Überwachung der Zielerreichung
+|-
+| Act || Beseitigung von Defiziten, Verbesserung
+|}
 Im Einzelnen gliedert sich der Sicherheitsprozess in die nachfolgend dargestellten Phasen und Teilaktivitäten.
 === Initiierung===
-==== Leitlinie und Sicherheitsorganisation ====
+; Leitlinie und Sicherheitsorganisation
 ; Erstellung einer [[Informationssicherheitsleitlinie]] und Aufbau einer [[Sicherheitsorganisation]]
 Damit der Sicherheitsprozess den eigenen Erfordernissen entspricht, müssen zunächst die relevanten '''Rahmenbedingungen''' identifiziert und analysiert werden.