SAVISCON GRC-COCKPIT

Das GRC-COCKPIT ist das digitale Tool für ein strukturiertes und durchgängiges GRC-Management. In dieser Kategorie lesen Sie alle Neuigkeiten rund um das GRC-COCKPIT.

BSI IT-Grundschutz: In 4 Schritten zur Basis-Absicherung

So starten Sie mit Ihrem ISMS

Von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH

Im heutigen Blogeintrag zum Thema Informationssicherheit wollen wir uns den BSI IT-Grundschutz etwas näher anschauen, spezifisch die Basis-Absicherung. Die Basis-Absicherung ist als Einstieg in den IT-Grundschutz gedacht oder für Unternehmen, die aus finanziellen oder personellen Gründen kein vollständiges Informationssicherheitsmanagementsystem (ISMS) nach der ISO 27001 etablieren können oder wollen. Dennoch kann die Basis-Absicherung, abhängig von der Größe und Art der Organisation, ein sehr umfangreiches Unterfangen sein. Lohnenswert ist dieser Aufwand aber auf jeden Fall, auch für kleinere Unternehmen, denn es gilt: Selbst ein bisschen Informationssicherheit ist besser als gar keine und die IT-Grundschutz Basis-Absicherung ist, meiner Meinung nach, ein guter Ansatz. Das Verfahren des IT-Grundschutzes wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entworfen, um deutschen Organisationen ein Verfahren zur Etablierung eines Informationssicherheitsmanagementsystem (ISMS) nach der ISO 27001-Norm bereitzustellen. Der Nachteil der ISO-Norm ist, dass sie sehr vage formuliert ist, um ein Rahmenwerk für internationale Organisationen aller Art zu schaffen. Der IT-Grundschutz dagegen bietet einen klar definierten Handlungsfaden und entschlackt den Prozess mit dem IT-Grundschutz-Check bei dem einer der aufwendigsten Bereiche zunächst entfällt: das Risiko-Management. Außerdem bietet das BSI mit den Bausteinen des IT-Grundschutz-Kompendiums und dem Gefährdungskatalog eine tolle Einstiegshilfe in ein ISMS.

Schritt 1: Die Vorbereitung

Screenshot aus dem GRC-COCKPIT zum Informationsverbund

Ein Informationsverbund, hier am Beispiel der RECPLAST GmbH im SAVISCON GRC-COCKPIT.

Bevor die eigentliche Basis-Absicherung beginnt, muss sich die Unternehmensleitung zur Informationssicherheit bekennen und den Sicherheitsprozess initiieren: Dies geschieht mit dem Verfassen und Bekanntgeben einer IS-Leitlinie. Dazu empfehle ich Ihnen meinem Blogeintrag „3 Tipps für Ihre Informationssicherheits-Leitlinie“.
Vorrausgehend dazu müssen Sie sich Ihren Geltungsbereich abstecken. Um den Aufwand gering zu halten, sollten Sie sich zunächst auf ihre wichtigsten Geschäftsbereiche konzentrieren („Kronjuwelen“). Anschließend müssen Sie die Assets in dem Geltungsbereich identifizieren und auflisten, dies nennt das BSI den „Informationsverbund“. Dazu gehören Geschäftszweige und -prozesse, IT-Geräte und -Anwendungen, sowie die Räume und Standorte. Wenn Sie bereits im Zuge eines Compliance– oder Risiko-Managements eine ähnliche Auflistung gemacht haben, ist dies eine gute Basis. Denken Sie auch an den Kontext Ihrer Organisation und inwiefern externe Parteien wie Zulieferer und Kunden von ihrem ISMS betroffen sein könnten. Außerdem müssen Sie Rollen festlegen und einen Informationssicherheitsbeauftragten (ISB) bestimmen, der ihr ISMS leitet und verwaltet. Vergessen Sie auch die Sicherheitsziele nicht, für eine Basis-Absicherung wird die CIA-Triade aus Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit) erstmal ausreichen.

Schritt 2: Die Modellierung

Screenshot der Basisanforderung im GRC-COCKPIT

Die Basisanforderungen des Bausteins SYS.2.1. Im GRC-COCKPIT kann direkt eine Anforderung abgeleitet werden.

Nach den Vorbereitungen geht es an die eigentliche Basis-Absicherung nach IT-Grundschutz. Zunächst müssen Sie Ihren Informationsverbund mit den Bausteinen aus dem Grundschutzkompendium modellieren. Dazu gehen Sie alle Bausteine durch und wählen die aus, die zu Ihrem Informationsverbund passen. Dabei müssen Sie natürlich nur die auswählen, die Sie auch wirklich brauchen. Wenn ihre Organisation beispielsweise keine Maschinen mit SPS betreibt, können Sie den Baustein IND ignorieren, haben Sie keinen Windows2012-Server brauchen Sie den Abschnitt SYS.1.2.2 nicht bearbeiten. Das BSI stellt Ihnen in dem Kompendium zudem eine Tabelle mit einer Priorisierung absteigend von R1 bis R3 bereit. Dies ist allerdings nur eine Empfehlung, Sie können die Bausteine in beliebiger Reihenfolge zuordnen. Achtung: Die Priorisierung bezieht sich nur auf die Reihenfolge der Umsetzung. Sie müssen alle Bausteine anwenden, die zu Ihrem Informationsverbund passen. Dies ist, abhängig von Ihrer Organisation und dem Geltungsbereich, eine Menge Arbeit und Sie sollten gewissenhaft arbeiten: Die Modellierung ist das Grundgerüst Ihrer Informationssicherheit, denn was Sie hier nicht abbilden, werden Sie später im Rahmen des IT-Grundschutz-Checks auch nicht untersuchen und somit wahrscheinlich auch nicht absichern.

Laut dem Grundschutz sollen Sie dann eine Tabelle verfassen in denen:

  • der Baustein
  • das zugehörige Asset
  • eine verantwortliche Person
  • die Reihenfolge (R1, R2, R3)
  • und zusätzliche Informationen oder Kommentare zur Modellierung

für Ihren gesamten Informationsverbund aufgelistet sind.

Wie Sie die Modellierung dokumentieren, bleibt aber Ihnen überlassen, solange die geforderten Informationen enthalten sind. Ich bilde die Bausteine mit unserem GRC-COCKPIT ab, sodass ich jederzeit darauf zugreifen kann. Gerade während der Arbeit im Home-Office erleichtert es auch den Austausch mit Kollegen.

Schritt 3: Der IT-Grundschutz-Check

Screenshot abgeleitete Maßnahme im GRC-COCKPIT

Eine Maßnahme zu Virenprogrammen, abgeleitet aus der Anforderung SYS.2.1.A6 im GRC-COCKPIT.

Anschließend findet der IT-Grundschutz-Check statt, dabei handelt es sich um einen Soll-Ist-Vergleich zwischen den Anforderungen aus den Bausteinen und dem tatsächlichen Zustand in Ihrer Organisation. Diesen Vergleich müssen Sie als ISB nicht allein vornehmen, stattdessen vereinbaren Sie einen Termin mit der für das Asset verantwortlichen Person (Asset-Eigentümer), beachten Sie, dass es sich auch um externe Personen handeln kann. Bereiten Sie Ihren Gesprächspartner vor, erläutern Sie im Vorfeld die Vorgehensweise und veranlassen Sie, dass Dokumente oder ähnliches zur Überprüfung zum Termin mitgebracht werden.

Beim Termin gehen Sie dann systematisch alle Anforderungen aus dem Baustein durch. Für die Basis-Absicherung müssen Sie nur die Anforderungen die mit einem (B) und dem Schlagwort MÜSSEN gekennzeichnet sind bearbeiten. Dokumentieren Sie den Umsetzungsgrad, zum Beispiel mit „ja“, „nein“ oder „teilweise“. Sollten Anforderungen nicht auf das Asset zutreffen, weil zum Beispiel eine Anwendung oder Konfigurationsart bei Ihnen nicht genutzt wird, können Sie die Anforderung mit „entbehrlich“ abhaken. Wichtig ist, dass die Dokumentation gewissenhaft und vollständig ist, außerdem müssen Sie die Dokumente aufbewahren. Wenn Sie beispielsweise eine Anforderung mit „teilweise“ bewerten, schreiben Sie auf inwiefern die Umsetzung erfolgt ist und was genau noch zu erledigen ist. Halten Sie am Ende auch nochmal Rücksprache mit Ihrem Interviewpartner, um Missverständnisse oder Fehler zu vermeiden.
Anschließend müssen Sie die Ergebnisse Ihres IT-Grundschutz-Checks auswerten und Maßnahmen ausarbeiten, um die Defizite zu beheben. Die Auswahl und Umsetzung der Maßnahmen erfolgen meistens durch die Verantwortlichen Mitarbeiter. Der ISB leitet die Ergebnisse der Auswertung an die entsprechenden Stellen weiter und koordiniert unter Umständen mit den Fachbereichsverantwortlichen die Umsetzung. Außerdem liegt es nahe, eine Priorisierung vorzunehmen. Diese kann auf Basis von Dringlichkeit, Kosten oder Umsetzungsaufwand erfolgen. Wichtig: Schmeißen Sie nicht einfach Geld auf ein Problem! Oftmals ist es effektiver organisatorische Maßnahmen einzuleiten, diese sind oftmals auch deutlich günstiger. Denken Sie auch an die Verhältnismäßigkeit Ihrer Maßnahmen, Sie wollen Ihre Mitarbeiter nicht überlasten und selbstverständlich auch nicht Ihr Budget sprengen. Recherchieren Sie in der Fachliteratur oder tauschen Sie sich mit anderen ISBs oder IT-Security Fachleuten aus, um Anreize und Ideen zu erhalten.

Schritt 4: Dran bleiben

Nach der ganzen Arbeit haben Sie ein ISMS nach der Basis-Absicherung des BSI IT-Grundschutz geschaffen. Leider können Sie sich nicht auf Ihrer Arbeit ausruhen, denn die Welt steht nicht still. Nicht nur die IT entwickelt sich ständig weiter und stellt Sie vor neue Herausforderungen und Angriffe, auch Ihre Organisation entwickelt sich ständig weiter, wird wachsen und möglicherweise neue Mitarbeiter und Aufgabenfelder bekommen. Sie müssen Ihr ISMS somit als gelebten Prozess verstehen, der ständig überprüft und angepasst werden muss. Neue Mitarbeiter müssen geschult werden, alte Schulungen aufgefrischt oder ergänzt werden. Neue Technologien am Markt werden neue Umsetzungsmöglichkeiten oder Gefährdungen mit sich bringen. Denken Sie auch daran Ihren Informationsverbund aktuell zu halten und gegebenenfalls die Modellierung mit neuen oder veränderten Bausteinen zu überarbeiten.
Des Weiteren stellt die Basis-Absicherung aus der Sicht des BSIs nur eine Übergangslösung dar, Sie müssen aber selbst entscheiden, ob die Basis-Absicherung für Sie ausreicht oder Sie darauf aufbauend die Kern- bzw. Standardabsicherung angehen möchten. Diesen Schritt werden Sie gehen müssen, wenn Sie eine Zertifizierung Ihres ISMS anstreben. Aber dazu lesen Sie demnächst mehr in unserem Blog.

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Über den Autor

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit: daniel.strassberger@saviscon.de

IT-Sicherheitsmanagement für KRITIS-Betreiber

Qualität steigern, Aufwand senken: Transparenz und Effizienz mit digitalen Werkzeugen optimieren

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

KRITIS-Betreiber stehen seit jeher vor großen Herausforderungen, was das Management der IT-Sicherheit betrifft. Der Dokumentationsaufwand ist zuweilen kaum mit den vorhandenen Ressourcen zu leisten, und eine tagesgenaue Transparenz über den aktuellen Stand der gesamten IT-Sicherheit ist aus der Gesamtheit der Anforderungen, Risiken und Maßnahmen nur schwer zu konsolidieren. In diesem Beitrag zeigen wir einen Weg, wie Transparenz und Effizienz im Kontext der IT-Sicherheit, aber auch darüber hinaus, geschaffen werden kann.

Die erste Transparenzhürde besteht in der Regel darin, dass der Umfang und die Anzahl der Anforderungen nur schwer zu erfassen sind. Für KRITIS-Betreiber ist eines der wichtigsten Dokumente das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebene Dokument „Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“. Hier sind genau 100 Anforderungen formuliert, denen der KRITIS-Betreiber gerecht werden muss. Die Anforderungen verweisen wiederum auf andere Dokumente, wie zum Beispiel dem „Kriterienkatalog Cloud Computing C5:2020“, in dem weitere 127 detaillierte Anforderungen niedergeschrieben sind. Von hier gibt es eine Kreuzreferenztabelle mit Verweisen auf die IT-Grundschutzbausteine – da verliert man schon bei den Anforderungen leicht die Übersicht. Wie kann man als KRITIS-Betreiber also die Herausforderungen Transparenz und Effizienz meistern?

Herausforderung Transparenz

Nähert man sich dem Thema Transparenz an, so bedarf es der Strukturanalyse und der Schutzbedarfsfeststellung für mehrere zig bis gern mal hunderte Assets, die bewertet werden müssen – je nach Größe der Organisation. Auf die Schutzbedarfsfeststellung folgt die Risikoanalyse, die entsprechend der Anzahl der Assets zu einer recht hohen Anzahl von Risiken führen kann. Für alle Risiken, deren Bruttorisikobewertung den Risikoappetit der Organisation übersteigt, müssen entsprechende Maßnahmen zur Minimierung des Risikos abgeleitet werden. Damit diese Maßnahmen auch umgesetzt werden, müssen passende Durchführungs- und Überwachungstermine festgelegt werden, die sicherstellen und belegen, dass die Maßnahmen nicht nur Lippenbekenntnisse darstellen. Alle genannten Objekte, also Anforderung, Asset, Risiko, Maßnahme und Überwachung, hängen in diversen Beziehungen miteinander zusammen. Viele Organisationen versuchen, diese Abhängigkeiten in einer Tabellenkalkulation abzubilden. Das scheitert irgendwann zwangsläufig, weil die Nachpflege bei Änderungen in den Objekten und deren Abhängigkeiten zu fehleranfällig ist. Das führt dann zu Dateninkonsistenzen, die entweder gar nicht auffallen, oder erst in der Berichtsführung ans Tageslicht kommen. Dann ist aber meist keine Zeit mehr, den Fehler in der Dokumentation nachzupflegen. Am Ende weiß man nicht wirklich, wo die Organisation in Sachen IT-Sicherheit steht.

Herausforderung Effizienz

Wie zuvor erläutert unterliegt das gesamte Setup eines vollständigen IT-Sicherheitsmanagements einer nicht zu unterschätzenden Komplexität. Um Fehler zu vermeiden, müssen die Mitarbeiter entsprechend in ihren Tätigkeiten geführt werden. Das betrifft sowohl die Aktionen, die zu tun sind, als auch die Daten, die zu erfassen sind. Das leisten die Tabellenkalkulationen in der Regel nicht. Daher werden dann komplexe Arbeitsanweisungen geschrieben, die mit zunehmendem Umfang immer weniger gelesen werden. So entstehen viele Datenfehler auch durch mangelnde Nutzerführung. Des Weiteren ist gerade das Thema Berichtswesen oft extrem aufwendig und vor allem fehleranfällig, wenn die Daten jedes Mal aus verschiedenen Quellen zusammengesucht und konsolidiert werden müssen.

Das passende Werkzeug

Was muss nun geschehen, um aus dem Dilemma herauszukommen? Der KRITIS-Betreiber tut gut daran, ein entsprechend geeignetes Werkzeug zu beschaffen, das die erforderlichen Objekte abbilden und miteinander in Beziehung bringen kann. Die Bearbeitung muss prozessorientiert an einem Objekt möglich sein, sodass die Auswirkung auf ein weiteres Objekt vom System gleich mit aktualisiert wird. Der Nachweis der Bearbeitung muss revisionssicher sein und Zusatzdokumente, wie Prüfprotokolle, müssen im System ablegbar sein oder aber zu externen Ablageorten verlinkt werden können. Zum Schluss muss auf der Basis der Daten im System ein möglichst automatisierter Bericht erzeugt werden können, der auf die relevanten Adressatengruppen (Management, Prüfer, Behörden etc.) zugeschnitten ist.  Das A und O eines solchen Systems ist aus unserer Sicht die Verlinkung der verschiedenen Objekte miteinander und damit die Möglichkeit, von einem Objekt per Mausklick auf das nächste Objekt zu navigieren – und das in jede Richtung. Mit dem SAVISCON GRC-COCKPIT gibt es ein Werkzeug, das genau diese „Traceability“ bietet. Nachfolgend möchten wir ein paar mögliche Szenarien nennen.

Beispiel 1: Konsolidieren der Anforderungen

Mit dem SAVISCON GRC-COCKPIT stehen alle relevanten Anforderungen an einem Ort zentral zur Verfügung. Da mehrere Quelldokumente oft identische Anforderungen formulieren, kann hier eine einzige, konsolidierte Anforderung abgeleitet werden. Diese ist im Hintergrund mit allen entsprechenden Quelldokumenten beziehungsweise -Anforderungen verlinkt. Damit hat der IT-Sicherheitsverantwortliche nur noch eine Anforderung, statt vieler, die mit den dazu gehörigen Risiken und den Maßnahmen in Beziehung gebracht werden muss. Trotzdem kann beispielsweise in einem Audit per Mausklick auf die Quellanforderung gesprungen werden, um damit nachvollziehbar die Erfüllung der Anforderung nachzuweisen.

Beispiel 2: Verknüpfen von Risiken mit Assets und Partnern

Wenn Unternehmen mit einer Grundgefährdung des IT-Grundschutzes, beispielsweise „G0.11 Ausfall oder Störung von Dienstleistern“, ein Risiko begründen, ist es wichtig, das Risiko mit einem Asset oder auch einem Partner zu verknüpfen. Das Risiko des Ausfalls eines Wartungsunternehmens ist sicher anders zu bewerten als das Risiko des Ausfalls eines Transportunternehmens. Also müssen das Risiko und seine Bewertung den Asset-Kontext und auch den Partner-Kontext erhalten. Ändert sich die Vertragslage und es kommt ein neuer Dienstleister mit einer anderen Leistungsfähigkeit, ändert sich in der Regel auch das Risiko für das Asset.

Beispiel 3: Verknüpfen von Risiken, Maßnahmen und Überwachungen

Eine der wichtigsten Aufgaben ist es, hoch bewertete Risiken mit entsprechenden Maßnahmen zu minimieren. Die Maßnahmen, zu denen man sich entschlossen hat, muss man zur Sicherstellung der Effektivität zwingend in der Durchführung überwachen. Dazu verknüpft man die Maßnahme mit einer oder mehreren Überwachungen. In den Überwachungen werden die Termine verwaltet und bei Terminüberschreitung Erinnerungen und Eskalations-Workflows angestoßen. Damit wird über die Überwachung der Maßnahmen auch die Minimierung des Risikos automatisch mit überwacht.

Fazit

Wenn man eine Anforderung mit einem Risiko verknüpft und dieses Risiko mit mehreren Maßnahmen zur Minimierung verknüpft, die dann mit diversen Überwachungen verknüpft sind, so hat man eine Grundlage für Transparenz: Sind sämtliche Überwachungen termingerecht durchgeführt und die Maßnahmen als wirksam eingestuft, so bekommen die Überwachungen einen grünen Status. Sind alle Überwachungen an einer verknüpften Maßnahme grün, so wird auch die Maßnahme grün, damit dann auch das verknüpfte Risiko und in Folge auch die verknüpfte Anforderung. Als Ergebnis sieht man in seiner Cockpit-Übersicht viel Grün. Wird aber zum Beispiel bei wiederholenden Maßnahmen und deren Überwachungen ein Termin überschritten – beispielsweise bei der jährlichen IT-Sicherheitseinweisung der Mitarbeiter – dann ist nicht nur der Termin in der Überwachung rot, sondern auch die Maßnahme, und damit das Risiko und die Anforderung. Und das fällt in der Cockpit-Übersicht sofort auf. Zu guter Letzt führt die Ablage, Verknüpfung und Pflege aller Daten in einem System dazu, dass automatisch generierte Berichte immer den aktuellen Stand und immer dieselbe Form haben. Das führt zu einer hohen Effizienz, Qualität und damit Transparenz auch für die Adressaten, die das Cockpit im Tool nicht jeden Tag vor Augen haben. Das SAVISCON GRC-COCKPIT ist genau dafür entwickelt worden, die beschriebenen Vorteile für den Anwender zur Verfügung zu stellen und ist damit ein wertvolles Hilfsmittel für KRITIS-Betreiber. Dieser Ansatz ist über die IT-Sicherheit hinaus auch auf das gesamte Compliance-Management und Risiko-Management anwendbar.

Über den Autor:

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de