IT-Sicherheit

In dieser Kategorie lesen Sie alle Blog-Beiträge rund um das Thema IT-Sicherheit.

BSI Lagebericht 2021: 22 Prozent mehr Schadprogramm-Varianten

Das ist die aktuelle Lage der IT-Sicherheit in Deutschland

Am Donnerstag, 21. Oktober 2021, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den aktuellen Lagebericht zur IT-Sicherheit in Deutschland veröffentlicht. Arne Schönbohm (BSI-Präsident) und Horst Seehofer (Bundesminister des Innern, für Bau und Heimat) haben in der Bundespressekonferenz die wichtigsten Erkenntnisse vorgestellt:

22 Prozent mehr Schadprogrammvarianten

Die Cyberangriffe haben im Jahr 2021 deutlich zugenommen. So gab es beispielsweise 22 Prozent mehr Schadprogramm-Varianten als noch 2020. Außerdem werden die Cyberangriffe immer ausgefeilter und betreffen Bereiche, die für die Gesellschaft elementar sind, so Seehofer. Damit meint er vor allem die Energieversorger und das Gesundheitswesen. So habe im Berichtszeitraum ein Angriff auf die EMA stattgefunden, bei dem Daten gestohlen und danach manipuliert veröffentlicht wurden. Es handelte sich dabei um Informationen zu den COVID-19 Impfstoffen von Biontech und Pfizer. „Cybersicherheit betrifft uns alle, wir alle können Schaden davontragen“, sagte Seehofer.

Professionalisierung der Cyberkriminalität

Ein weiteres Problem stelle die zunehmende Professionalisierung von Cyber-Kriminellen dar. Die Akteure spezialisieren sich auf eine Angriffsmethode und bieten sie im Darknet an. Die Zahl der monatlichen Daten-Leak-Seiten, den Seiten, auf denen die geklauten Daten veröffentlicht werden, ist laut BSI-Lagebericht um 360 Prozent gestiegen. Jede einzelne dieser Daten-Leak-Seiten enthalte Millionen gestohlener Datensätze. Im Februar 2021 haben die Angreifer die höchste, bisher gemessene Anzahl an neuen Schadprogramm-Varianten erstellt: 553.000 neue Varianten pro Tag. Insgesamt wurden im Berichtszeitraum rund 114 Millionen neue Schadprogramm-Varianten festgestellt.

Lieferketten absichern

Im weiteren Verlauf der Pressekonferenz betonte Schönbohm, dass die Absicherung entlang der Lieferkette wichtig ist. Die steigende Vernetzung stelle eine Schwachstelle dar. Er führte den Fall einer schwedischen Supermarktkette an, dessen IT-Dienstleister von einem Ransomware-Angriff betroffen war. Dieser Angriff führte dazu, dass die Kassensysteme des Supermarktes nicht mehr funktionierten, die 800 Filialen vorübergehend schließen mussten und mehrere Millionen Euro Umsatz verloren gingen.

Wir als SAVISCON GmbH wollen mit unserem GRC-COCKPIT Unternehmen und Organisationen dabei unterstützen, unter anderem die Sicherheit entlang der Lieferkette zu dokumentieren. Dazu können die GRC-COCKPIT-Nutzer ihre Partner und Dienstleister im GRC-COCKPIT hinterlegen und mit Risiken und Maßnahmen verknüpfen.

Weitere Informationen:

Aufzeichnung der Pressekonferenz vom 21.10.2021

BSI Lagebericht 2021

5 Tipps gegen Ransomware-Angriffe

Wie Sie Ihr Unternehmen vor den Angriffen schützen können

Von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH

Die Nachrichten in den Medien über Ransomware-Angriffe auf Unternehmen und auch Einrichtungen im Gesundheitswesen häufen sich. Gerade während der Corona-Pandemie haben diese Angriffe zugenommen. Vielleicht auch begünstigt durch die vielen Mitarbeiter im Homeoffice. Doch was ist Ransomware eigentlich und wie kann man sich dagegen schützen? Wir haben Ihnen 5 Tipps gegen Ransomware-Angriffe zusammengestellt.

Was ist Ransomware?

Sinnbild für Ransomware

Der Begriff Ransomware setzt sich aus dem englischen Wort ransom (Lösegeld) und Software zusammen. Dabei handelt es sich um eine Schadsoftware, die dem Eindringling erlaubt Daten zu verschlüsseln, sodass der Inhaber nicht mehr darauf zugreifen kann. Die Daten werden sozusagen entführt und für die Entschlüsselung wird dann Lösegeld gefordert.

Wie infiziert man sich mit Ransomware?

Häufig wird Ransomware durch gefälschte Webseiten oder Links bzw. Anhänge in E-Mails verbreitet. Dabei nutzen die Angreifer häufig bekannte Absender mit einem großen Kundenstamm, das könnten beispielsweise ein Hostinganbieter oder eine Bank sein. Sobald der Link oder der Anhang geöffnet werden, sind die Computer infiziert und häufig bemerkt der Betroffene die Schadsoftware gar nicht.

Welche Varianten von Ransomware gibt es?

  1. Filecoder: verschlüsselt die Dateien auf dem Computer
  2. Lockscreen: sperrt den Computer und verhindert die Nutzung

In beiden Fällen werden auch psychologische Tricks eingesetzt, beispielsweise wird die Kamera aktiviert, um das Gefühl der Überwachung zu vermitteln. Ein anderer Trick ist der Lockscreen im Design einer offiziellen Behörde. Beispielsweise wird dann im Namen der Bundespolizei behauptet, dass sich illegal heruntergeladene Musik, Filme oder sogar pornografische Inhalte auf dem Computer befinden. Die Daten werden, sowohl beim Filecoder als auch beim Lockscreen, erst wieder freigegeben, sobald das Lösegeld gezahlt wurde.

Aktueller Fall: Stadtwerke Wismar

Anfang Oktober 2021 ging der Fall der Stadtwerke Wismar durch die Medien. Laut eigenen Angaben wurde die Stadtwerke Opfer eines Hacker-Angriffs. Nach Bekanntwerden des Angriffs haben die Stadtwerke die Netzverbindungen nach Außen und zu den technischen Anlagen getrennt. Die betroffenen Systeme wurden abgeschaltet und isoliert. Der Service der Stadtwerke war daher nur im Notbetrieb arbeitsfähig. Der Ransomware-Angriff sei dann der Polizei sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet worden. Außerdem zog die Stadtwerke einen externen Cybersicherheitsexperten zur Aufklärung und Unterstützung hinzu.

Wie verhalte ich mich beim Ransomware-Angriff?

Wenn es passiert ist: Soll ich zahlen? Nein, denn niemand weiß, ob die Erpresser nach der ersten Zahlung nicht noch mehr Geld verlangen. Am besten ist die richtige Vorsorge. Deshalb haben wir Ihnen 5 Tipps gegen Ransomware-Angriffe zusammengestellt:

1. Tipp: Halten Sie Ihre Geräte aktuell

Windows-Updates kommen während der Arbeitszeit meist ungelegen, dennoch sollten Sie diese regelmäßig und zeitnah nach dem Release durchführen. So verhindern Sie, dass Sicherheitslücken entstehen. Oder sie regeln die Updates der einzelnen Mitarbeiter-Computer gebündelt über die IT-Abteilung.

2. Tipp: Schulen, schulen, schulen!

Ja, in der Theorie wissen die meisten Mitarbeiter, dass sie auf keine E-Mail-Links und Anhänge von fremden Absendern klicken sollen. Aber was, denn die Ransomware oberflächlich gut getarnt als Absender mit der Rechnung des Kooperationspartners im Posteingang eintrudelt? Dann muss man schon zweimal hingucken, um eventuell die fragwürdige Absendemailadresse zu identifizieren. Also: Schulen und sensibilisieren Sie ihre Mitarbeiter regelmäßig.

3. Tipp: Regelmäßige Back-Ups

Wenn Sie regelmäßige Back-Ups der internen Server bzw. von wichtigen Mitarbeiter-Computern durchführen, dann klingt auch eine Drohung von Ransomware-Angreifern nicht mehr so einschüchternd. Dennoch: Bitte beachten Sie, dass sie regelmäßig überprüfen sollten, ob Sie die durchgeführten Back-Ups auch problemlos wiederherstellen können.

4. Tipp: Redundante IT-Systeme

Bauen Sie Ihre IT-Systeme so auf, dass geschäftskritische Prozesse auch weiterlaufen können, wenn eines Ihrer Systeme mit einer Ransomware infiziert ist.

5. Tipp: Zugriffsrechte kritisch prüfen

Eine technische und organisatorische Maßnahme (TOM) kann sein, die Zugriffsrechte auf geschäftskritische Anwendungen, Daten und Services stark zu reglementieren. Je weniger Personen Zugriff auf diese wichtigen Unternehmens-Assets haben, desto unwahrscheinlicher ist es, dass sie infiziert werden.

Wir hoffen, dass wir Ihnen mit den 5 Tipps ein paar Anregungen geben konnten und Sie so vor solchen Attacken verschont bleiben. Wenn Sie Ihr Informationssicherheits-Management (ISM) samt IT-Sicherheits-Management und Asset-Management digitalisieren wollen, dann unterstützen wir Sie gerne dabei. Beispielsweise mit unserem browserbasierten GRC-COCKPIT. Mit dieser Software können Sie Ihr ISM nach BSI IT-Grundschutz digital aufbauen.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit:  daniel.strassberger@saviscon.de

 

3 Tipps für Ihre Informationssicherheits-Leitlinie

Was muss rein in die IS-Leitlinie?

von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH

Die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) erfordert vor allem eines: viele Dokumente. Prozesse müssen ausgearbeitet und Verfahrensregeln sowie Richtlinien müssen erstellt werden. Der Satz „Die Organisation muss dokumentierte Informationen […] aufbewahren“ ist auf jeder Seite der DIN ISO 27001 Norm mehrfach zu finden. Das mit Abstand wichtigste Dokument ist dabei die Informationssicherheits-Leitlinie, in der ISO etwas befremdlich mit Informationssicherheits-Politik definiert. Im Folgenden möchte ich den Prozess zum Erstellen unserer SAVISCON IS-Leitlinie erläutern. Was muss in einer solchen Leitlinie enthalten sein und welche Besonderheiten sind zu beachten?

Die Informationssicherheits-Leitlinie

Eine Anforderung der ISO-Norm 27001 und somit auch des BSI IT-Grundschutzes, ist die Erstellung und Herausgabe einer Informationssicherheits-Leitlinie. Explizit wird dabei gefordert, dass die Herausgabe durch die oberste Leitung erfolgt. Natürlich muss letztendlich alles im Zuge der Informationssicherheit durch die oberste Leitung legitimiert werden, der Informationssicherheitsbeauftragte (ISB) hat nach dem Verständnis der ISO-Norm keine Entscheidungsgewalt. Anders als bei den meisten Dokumenten, sollte die oberste Leitung bei der Erstellung der IS-Leitlinie aber aktiv mitwirken. Die Leitlinie ist als Grundstein der Informationssicherheit der Organisation zu verstehen. Sie stellt ein Rahmenwerk dar und umreißt die strategischen Ziele, die eine Organisation mit Hilfe von Informationssicherheit erreichen möchte.

Was gehört in die IS-Leitlinie?

Die Anforderungen zur IS-Leitlinie sind im Normenkapitel 5.2 „Politik“ der ISO 27001 festgelegt:

Unter Punkt a) wird verlangt, dass die Leitlinie „de[m] Zweck der Organisation angemessen ist“. Hier sind die Überlegungen zum Kontext der Organisation gefragt, insbesondere der Geltungsbereich sollte explizit beschrieben werden. Des Weiteren sollte die oberste Leitung klarstellen, welchen Stellenwert Informationssicherheit in der Organisation haben soll. Wichtig ist auch, dass sich die gesamte Organisation, einschließlich der obersten Leitung und aller Mitarbeiter, zur Informationssicherheit bekennt und diese als gelebten Prozess in die Unternehmenskultur integriert. Hier soll der obersten Leitung eine Vorbildrolle zugesprochen werden, denn Informationssicherheit bedarf möglicherweise einiger Umstrukturierungen und Anpassungen. Angestellte werden zum Beispiel möglicherweise ihr Passwort besser auswählen und häufiger ändern, wenn sie wissen, dass der Chef dies auch umsetzt.

Punkt b) betrifft die Sicherheitsziele, also normalerweise Vertraulichkeit, Verfügbarkeit und Integrität. Diese Sicherheitsziele müssen in der Leitlinie explizit dargestellt werden. Sollte Ihre Organisation sich entscheiden weitere Sicherheitsziele zu formulieren, müssen diese ebenfalls in die Leitlinie aufgenommen werden.

Screenshot Sicherheitsziele der SAVISCON IS-Richtlinie.

So sieht der Abschnitt in der SAVISCON IS-Leitlinie aus.

Punkt c) ist der umfangreichste Punkt. Hier wird „eine Verpflichtung zur Erfüllung zutreffender Anforderungen mit Bezug zur Informationssicherheit“ gefordert. Die vorher definierten Sicherheitsziele müssen durch entsprechende Maßnahmen fortwährend eingehalten werden. Letztendlich handelt es sich dabei um das zu implementierende Informationssicherheits-managementsystem. Umreißen Sie daher wie das ISMS in Ihrer Organisation aussehen soll, zum Bespiel welche Befugnisse und Aufgaben der ISB bekommt und wie der Prozess der Informationssicherheit in Ihr Unternehmen integriert wird. Stellen Sie klar, dass Ihre Mitarbeiter ein elementarer Bestandteil der Informationssicherheit sind und sie daher sowohl Verantwortung übernehmen müssen, als auch von der obersten Leitung, zum Beispiel durch Schulungen, unterstützt werden. Wenn Sie schon ein Risiko- bzw. Compliance-Management oder ein Konzept dafür haben, könnte die Leitlinie beschreiben, wie diese Prozesse mit der Informationssicherheit verbunden werden.

Zum Schluss fordert Punkt d) „eine Verpflichtung zur fortlaufenden Verbesserung“. Informationssicherheit wird heutzutage zum großen Teil durch die IT-Sicherheit geprägt (siehe Blogpost Informationssicherheit vs. IT-Sicherheit). Durch die sich rasch verändernden Technologien und damit auch neue Arten von Schwachstellen und Angriffen müssen Sie ihr Informationssicherheitsmanagementsystem ständig auf dem neuesten Stand halten. So werden Sie auch Ihr ISMS selbst untersuchen und gegebenenfalls verbessern, falls die von Ihnen gewählten Maßnahmen nicht wirken oder nicht richtig umgesetzt werden. In der Leitlinie müssen Sie sich also zu einem kontinuierlichen Verbesserungsprozess bekennen und kurz beschreiben, wie sie diesen Prozess umsetzen wollen.

Zum Schluss folgt die Legitimation durch die oberste Leitung, mit der die Leitlinie in Kraft tritt. Zudem können Sie hier darauf hinweisen, dass die Leitlinie allen relevanten Parteien bekannt zu geben ist, dies ist eine weitere Anforderung der ISO-Norm.

Erstellen der Leitlinie

Nachdem wir nun einen guten Überblick erhalten haben, was in der Leitlinie stehen soll, geht es darum eine für Ihre Organisation geeignete Leitlinie zu erstellen.

Mein erster Tipp: Erfinden Sie das Rad nicht neu. Viele Unternehmen veröffentlichen Ihre Leitlinie im Zuge der Bekanntmachung und es gibt eine Menge Schulungsmaterialien frei erhältlich im Internet. Lassen Sie sich inspirieren und identifizieren sie die Aspekte, die zu Ihrem Unternehmen passen. Sehr wichtig ist auch die Kommunikation mit Ihrer Geschäftsführung, wie bereits gesagt, ist die Leitlinie vorrangig auch ein Bekenntnis der obersten Leitung zur Informationssicherheit. Ich habe mehrmals mit unserem Geschäftsführer gesprochen, um die Prioritäten zu erfassen. Daraufhin habe ich einen Entwurf erstellt und diesen dann meinem Chef vorgestellt. Im weiteren Austausch habe ich die Leitlinie mehrmals angepasst, bis wir schließlich zu einem Ergebnis gekommen sind.

Daher mein zweiter Tipp: Scheuen Sie sich nicht, erstmal etwas zu schreiben und es dann später zu verändern. Die Leitlinie, die Sie letztendlich veröffentlichen, werden Sie wahrscheinlich irgendwann anpassen müssen, wenn sich Ihr Unternehmen weiterentwickelt. Genau wie das ISMS an sich, unterliegt auch die Leitlinie einem Veränderungszyklus. Gerade vor der ersten Veröffentlichung wird das Dokument daher mehrere Iterationen durchlaufen.

Mein letzter Tipp: Halten Sie Ihre Leitlinie so kurz und prägnant wie möglich. Sie soll nur ein Rahmenwerk bzw. Fundament darstellen. Versteifen Sie sich nicht zu sehr auf Details. Insbesondere können Sie zu diesem Zeitpunkt noch nicht exakt abschätzen, wie das ISMS nachher aussehen wird. Bleiben Sie daher bei generellen Vorgaben. Außerdem ist die Leitlinie ein Dokument, das von Ihren Mitarbeitern und möglicherweise externen Parteien gelesen und idealerweise verinnerlicht werden soll. Dies erreichen Sie möglicherweis eher, wenn die Leitlinie nicht zu lang ist.

Fazit

Mir persönlich hat das Erstellen unserer Informationssicherheitsleitlinie viel Spaß gemacht, immerhin stellt die Veröffentlich einen ersten richtigen Schritt auf dem langen Weg zur Einführung unseres ISMS dar. Ich hoffe meine Erfahrungen können Ihnen bei der Erstellung Ihrer eigenen Leitlinie helfen. Ziehen Sie auch immer wieder die ISO 27001 zu Rate und vergleichen Sie den Inhalt Ihrer Leitlinie mit den Vorgaben. Dann werden Sie sicher zu einem zufriedenstellenden Ergebnis kommen.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit:  daniel.strassberger@saviscon.de

Informationssicherheit vs. IT-Sicherheit:

Wo liegt der Unterschied?

von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH

Im Zuge der fortschreitenden Vernetzung und Digitalisierung nimmt die Informationssicherheit (IS) eine immer bedeutendere Rolle ein. Grade jetzt, während der Corona-Pandemie, haben viele Unternehmen, zumindest teilweise, auf Arbeit aus dem Homeoffice umgestellt. Das hat zur Folge, dass viele Geschäftsdaten nicht nur intern vor Ort, sondern auch über das Internet übertragen werden. Zudem haben mehrere medial viel diskutierte Ransomware-Angriffe in letzter Zeit gezeigt, welche gravierenden Auswirkungen der Verlust von Informationen haben kann.

Um die eigenen Geschäftsprozesse, aber auch die personenbezogenen Daten der Mitarbeiter und Kunden zu schützen, bietet es sich also an entsprechende Maßnahmen zu implementieren. Dabei tauchen vorrangig zwei Begriffe auf: Informationssicherheit und IT-Sicherheit. Da mag man sich fragen: Wo liegt der Unterschied?

Definition Informationssicherheit

Um einen Vergleich vornehmen zu können, schauen wir uns zunächst die beiden Begriffe etwas näher an. Das Bundesamt für Sicherheit in der Informationstechnik definiert im IT-Grundschutz Standard 200-1 die Informationssicherheit wie folgt:

„Informationssicherheit hat das Ziel, Informationen jeglicher Art und Herkunft zu schützen.“

Der klassische Ansatz dabei ist die Definition von Sicherheitszielen (auch Schutzzielen), üblicherweise sind das zunächst Vertraulichkeit, Integrität und Verfügbarkeit. Man möchte also verhindern, dass unberechtigte Personen auf Informationen zugreifen, sie verändern oder entwenden. Wichtig bei dem Zitat ist das Wort „jeglicher“. Informationen liegen nicht nur auf Servern oder Festplatten, sondern auch in Aktenordnern und besonders in den Köpfen von Menschen. Außerdem sind Informationen nicht nur Rezepte, Quellcode oder Steuernummern, auch das (Fach-) Wissen der Mitarbeiter sind wertvolle Informationen.

Definition IT-Sicherheit

Das BSI definiert IT-Sicherheit wie folgt:

„IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.“

Da haben wir es also: IT-Sicherheit ist ein Teilbereich der Informationssicherheit. Da heutzutage die meisten Informationen in elektronischer Form gespeichert sind, ist das Absichern von Servern, Netzwerken und Computern ein sehr wichtiger Aspekt. Daher wird oft generell von IT-Sicherheit gesprochen, das macht sich auch bei der Bezeichnung IT-Grundschutz bemerkbar, obwohl es sich dabei um ein Informationssicherheitsmanagementsystem (ISMS) handelt. Außerdem hat IT-Sicherheit zwei Silben weniger, wohl auch ein Grund, weshalb dieser Begriff gerne synonym zur Informationssicherheit verwendet wird.

IT-Sicherheit in der Praxis

Wir wissen nun, dass Informationssicherheit und IT-Sicherheit unterschiedliche Bedeutungen haben, aber wie wirken sich die beiden Konzepte in der Praxis aus? Wenn ein Unternehmen daran interessiert ist, seine Informationen zu schützen, bietet es sich natürlich zunächst an zur IT-Abteilung zu gehen und sie damit zu beauftragen Passwörter einzurichten, Datenbanken zu verschlüsseln und die Zugriffe zu überwachen. Hier sieht man, dass IT-Sicherheit vorrangig technische Kenntnisse benötigt. Das Unternehmen hat so zwar einige Maßnahmen umgesetzt, aber zum ersten ist nur ein kleiner Teilbereich der IT abgesichert und zum zweiten fehlt der systematische Aufbau. Wie kann das Unternehmen sicher sein, nichts vergessen zu haben? Sind diese Maßnahmen in sechs Monaten noch gut genug?

Informationssicherheit in der Praxis

Bei der Informationssicherheit muss das Unternehmen als Ganzes betrachtet werden – oder zumindest ein klar definierter Teilbereich. Das wird dann als Geltungsbereich oder Informationsverbund bezeichnet. Außerdem sind Informationen nicht nur Bits und Bytes, sondern, wie wir weiter oben bereits festgestellt haben: „Informationen jeglicher Art und Herkunft“. Jedes Unternehmen muss erst einmal feststellen, welche Informationen wichtig sind, wo werden sie gespeichert, über welche Kanäle werden sie kommuniziert? Dazu muss die eigene Organisation abgebildet werden. Dazu wird üblicherweise mit dem Top-Down-Ansatz gearbeitet: Was sind die Hauptgeschäftsfelder, welche IT-Systeme werden genutzt, welche Programme laufen darauf? Werden die Dienste von Cloud-Anbietern genutzt, sind diese vielleicht sogar außerhalb der EU ansässig? Unterliegen Sie aufgrund Ihrer Geschäftstätigkeit bestimmten rechtlichen Anforderungen? Diese Überlegungen sind der Grundstein für erfolgreiches Arbeiten in der Informationssicherheit. Denn nur wenn Unternehmen ihre Organisation kennen, können Sie sie überhaupt erst richtig absichern.

Screenshot GRC-COCKPIT Asset Übersicht

Übersichtliche, grafische Darstellung aller Assets eines Unternehmens in unserem GRC-COCKPIT.

Persönliche Erfahrung als Informationssicherheitsbeauftragter

Anschließend brauchen Sie ein System, um die verschiedenen Abteilungen und möglicherweise die einzelnen Standorte Ihres Unternehmens zu koordinieren. Dabei wird auch schnell klar: Informationssicherheit kann nicht einfach als Glaskugel über eine Organisation gesetzt werden. Vielmehr muss sie ein Teil Ihrer Unternehmenskultur werden. Der Informationssicherheitsbeauftragte braucht die Unterstützung aller Mitarbeiter, eine gute Zusammenarbeit mit den Fachbereichsleitungen und nicht zuletzt auch Ressourcen und Bestärkung durch die Geschäftsführung.

Ein solches Informationssicherheitsmanagementsystem kann sehr umfangreich sein und erfordert besonders am Anfang eine Menge Dokumentations- und Vorbereitungsaufwand auf strategischer Ebene. Auch im laufenden Betrieb kann es sehr schnell unübersichtlich werden. Uns hilft das GRC-COCKPIT dabei den Überblick über alle Informationen und Abhängigkeiten zu behalten.

Screenshot GRC-COCKPIT Detailansicht Assets

Alles auf einen Blick: Risiken, Maßnahmen & Verknüpfungen in unserem GRC-COCKPIT.

Fazit

Informationssicherheit wird in der heutigen digitalen Landschaft nicht ohne IT-Sicherheit auskommen. Trotzdem ist es meiner Meinung nach wichtig die beiden Konzepte strikt voneinander zu trennen, denn sie brauchen ganz unterschiedliche Kenntnisse und stellen einen vor unterschiedliche Herausforderungen. Natürlich hilft es als Informationssicherheitsbeauftragter zumindest oberflächliche Erfahrung mit den technischen Aspekten der IT-Sicherheit zu haben, allein um die Kommunikation mit der IT zu erleichtern. Aber wenn Sie mich fragen, ob ich Informationssicherheit oder IT-Sicherheit mache, dann kann ich Ihnen eine klare Antwort geben: Bei IT-Sicherheit sammle ich weiter Erfahrungen, meine Umsetzung des ISMS bei der SAVISCON GmbH dagegen macht sehr gute Fortschritte. Dazu mehr in einem unserer nächsten Blog-Beiträge aus dem Projekt GRC@SAVISCON.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit:  daniel.strassberger@saviscon.de

GRC@SAVISCON: IT-Sicherheit

Schutzbedarfsfeststellung – und jetzt?

von Ingo Simon, Geschäftsführer bei der SAVISCON GmbH

Im letzten Beitrag aus unserer Reihe GRC@SAVISCON hat Uwe Straßberger über Risikobewertungen geschrieben. Jetzt geht‘s wieder um die IT-Sicherheit. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance– und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: IT-Sicherheit.

IT-Sicherheit: Sprint oder Marathon?

In unserem letzten Beitrag zum Thema IT-Sicherheit haben wir bereits beschrieben, wie wir unsere Assets gesammelt und in eine grobe Struktur gebracht haben. Inzwischen konnten wir unsere IT-Landschaft inklusive aller gehosteten Systeme ins GRC-COCKPIT aufnehmen und dokumentieren. Bis wir eine für uns handhabbare Struktur gefunden und die einzelnen Assets in diese Struktur einsortiert haben, hat es allerdings ein wenig gedauert. Die Diskussionen dazu waren nicht immer einfach – jeder hat seine individuelle Sicht auf die Dinge und sortiert bzw. verknüpft die Assets im Kopf anders. Wir haben nun eine Asset-Sicht, mit der wir erst einmal arbeiten wollen und die gut in unserem GRC-COCKPIT zu visualisieren ist. Wieder einmal haben wir festgestellt: IT-Sicherheit ist ein Prozess, der sich auf dem Weg weiterentwickelt. Also definitiv ein Marathon und kein Sprint.

Schutzbedarfsanalyse nach BSI

Auf der Basis unserer Asset-Struktur haben wir dann den Schutzbedarf der einzelnen Assets analysiert und dokumentiert. Dazu orientierten wir uns an den drei Standard-Grundwerten des Bundesamts für Sicherheit in der Informationstechnik (BSI): Vertraulichkeit, Integrität und Verfügbarkeit. Im GRC-COCKPIT können noch weitere Grundwerte selbst konfiguriert werden, aber wir haben uns erst einmal auf diese drei beschränkt. Eine Herausforderung liegt darin, den Schutzbedarf nicht nur aus dem Bauch heraus mit „normal“, „hoch“ oder „sehr hoch“ zu kategorisieren, sondern auch eine sinnvolle Begründung zu ergänzen, die die Auswahl der eingetragenen Kategorie rechtfertigt bzw. erläutert.

Beispiel Schutzbedarfsfeststellung

Am Beispiel der Fritz!Box im Büro kann man das gut erläutern: Für den Grundwert Verfügbarkeit trugen wir zu Beginn ein „sehr hoch“ ein. Schließlich braucht man ja im Office ein funktionierendes LAN/WLAN. Aber dann fiel uns auf, dass bei einem Ausfall eigentlich immer mit einem mobilen Gerät, also Handy oder Tablet, ein Backup zur Verfügung steht, mit dem ich in LTE-Geschwindigkeit auch mobil die Verbindung nach außen habe. Damit reicht für die Fritz!Box auch eine Verfügbarkeit „hoch“ oder sogar „normal“, weil die MitarbeiterInnen ohnehin derzeit im Homeoffice arbeiten. Zumindest hier im Hamburger Stadtgebiet. Auf dem Land sieht das möglicherweise ganz anders aus und die Standleitung ist da tatsächlich der heiße Draht zur Außenwelt.

Screenshot aus dem GRC-COCKPIT

Blick ins GRC-COCKPIT: So haben wir die Schutzbedarfsfeststellung für unseren FRITZ!Box Router im Büro umgesetzt.

Ach ja, Stichwort Homeoffice: Das muss natürlich bei der Schutzbedarfsanalyse mit einbezogen werden. Wir haben das unter den Standorten miterfasst und die Ausrüstung ist auch jeweils abgebildet, da bei uns jeder seinen eigenen Laptop hat, mit dem er oder sie auch im Homeoffice arbeitet.

Schutzbedarf festgestellt – und jetzt?

Was passiert als nächstes? Wir weichen da in der Reihenfolge ein wenig von der Vorgehensweise des BSI ab. In der aus unserer Sicht großartigen Arbeitshilfe des BSI, in dem am Beispiel der virtuellen RECPLAST GmbH die IT-Grundschutz Methodik von Anfang bis Ende durchgeführt wird, folgt nach der Schutzbedarfsfeststellung die sogenannte Modellierung des Unternehmens. Dort wird auf Basis der dokumentierten Assets geschaut, welche Anforderungen, aus welchen der zehn IT-Grundschutzbausteinen für das Unternehmen überhaupt zutreffen. Das ist notwendig, um dann schlank weiter in die Risikoanalyse zu gehen.

Wir haben uns entschieden, einen anderen Schritt vorzuziehen: Für alle Assets mit der Kategorie „sehr hoch“ in einem oder mehreren Grundwerten, dokumentieren wir erst einmal die Maßnahmen, die wir sowieso schon durchführen oder geplant haben, um entsprechend sicher unterwegs zu sein. So haben wir selbstverständlich das Standardpasswort der Fritz!Box bei Inbetriebnahme geändert. Die Durchführung der Maßnahme wollen wir im GRC-COCKPIT entsprechend dokumentieren. Denn in der Regel ist es ja so, dass schon eine Menge Maßnahmen etabliert sind, die man erst einmal einsammeln und aufschreiben muss. Das spart am Ende dann Arbeit.

…to be continued:

Hier die Zusammenfassung unserer Erkenntnisse:

  • Diskussionen sind wichtig: geben Sie ihnen Zeit und Raum, um eine zufriedenstellende Asset-Sicht auszuarbeiten
  • IT-Sicherheit ist ein Marathon und kein Sprint
  • Nicht immer ist der Schutzbedarf so hoch, wie man ihn im ersten Moment einschätzt
  • Die Arbeitshilfen des BSI sind großartig, jedoch nicht in Stein gemeißelt – man kann die Schritte flexibel den eigenen Bedürfnissen anpassen
  • Es kann sinnvoll sein die bereits bestehenden und geplanten Maßnahmen vorab zu sammeln

Im nächsten Blog-Beitrag schauen wir gemeinsam in das Projekt Compliance-Management: GoBD – was hat sich geändert?

Über den Autor:

Foto Ingo Simon

Ingo Simon (Geschäftsführer SAVISCON GmbH)

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de

IT-Sicherheit im krisenbedingten Homeoffice

Mit dem BSI IT-Grundschutz gut gerüstet

von Ingo Simon, Geschäftsführer bei der SAVISCON GmbH

Durch die Corona-Krise ist die Zahl der Arbeitnehmer im Homeoffice signifikant angestiegen. Eine aktuelle Studie des ifo Instituts hat herausgefunden, dass im Februar 2021 rund 30 Prozent der deutschen Arbeitnehmer zumindest zeitweise im Homeoffice gearbeitet haben. Und noch ist kein Ende in Sicht: Am 3. März haben sich Bund und Länder auf eine Verlängerung des Homeofficegebots bis zunächst Ende April 2021 geeinigt. Doch wie ist es um die IT-Sicherheit im Homeoffice bestellt? Der oftmals dürftige IT-Wissensstand der Homeoffice-Neulinge und die massenhafte plötzliche Umstellung auf das Arbeiten von zu Hause stellen Geschäftsführer und Chief Information Security Officer (CISO) vor besondere Herausforderungen bei der IT-Sicherheit. Denn auch und gerade in Krisenzeiten muss diese den Schutzzielen Vertraulichkeit, Verfügbarkeit und Integrität gerecht werden.

In diesem Beitrag zeigen wir einige Beispiele aus dem IT-Grundschutz auf, die zur IT-Sicherheit im Homeoffice beitragen.

Als erstes schauen wir auf den Baustein des Informations-Management Systems: ISMS.1.A7 Festlegung von Sicherheitsmaßnahmen sagt aus: Im Rahmen des Sicherheitsprozesses MÜSSEN für die gesamte Informationsverarbeitung ausführliche und angemessene Sicherheitsmaßnahmen festgelegt werden. Das gilt natürlich auch für das Homeoffice. Und das umso mehr für die Unternehmen, die Homeoffice bzw. Telearbeitsplätze bisher nicht im Repertoire hatten. Die nächste wichtige Anforderung kommt gleich danach: ISMS.1.A8 Integration der Mitarbeiter in den Sicherheitsprozess besagt: Alle Mitarbeiter MÜSSEN in den Sicherheitsprozess integriert sein, das heißt, sie müssen über Hintergründe und Gefährdungen informiert sein und Sicherheitsmaßnahmen kennen und umsetzen, die ihren Arbeitsplatz betreffen. Das kann in Form eines Homeoffice-Leitfadens geschehen, auf den wir noch genauer eingehen werden.

Vorbereitung und Ausrüsten des Homeoffice:

Wenden wir den Blick nun auf den Infrastruktur-Baustein des IT-Grundschutz. In INF.8: Häuslicher Arbeitsplatz sind die Bedingungen dafür definiert, wie der häusliche Arbeitsplatz aus Sicht der Infrastruktur aussehen soll. Im derzeitigen Krisenszenario ist das für die ad-hoc Homeoffice-Nutzer sicher kaum voraussetzbar, da es sich ja in der Regel nicht um einen sogenannten Telearbeitsplatz handelt, also die geplante Version des Homeoffice. Trotzdem sollten diese Anforderungen als Empfehlung Teil eines Homeoffice-Leitfadens sein.

Absicherung von Remote-Zugängen

Werden wir konkret: Es beginnt damit, dass sich ein Mitarbeiter in das heimische WLAN einloggt. Die Anforderung aus dem Baustein Netzwerke und Kommunikation sagt im Kapitel NET.4.1: TK-Anlagen in der Anforderung NET.4.1.A3, dass Standardpasswörter von WLAN Routern geändert werden MÜSSEN. Sollten Mitarbeiter im Homeoffice dies nicht berücksichtigen, stellt das ein wesentliches Sicherheitsrisiko dar und öffnet Türen für den Zugriff auf Unternehmensdaten und -ressourcen. Erst im Januar 2020 berichtet das amerikanische Tech-Portal ZDNet darüber, dass eine Liste mit über 500.000 Anmeldedaten von Geräten in einem Hackerforum veröffentlicht wurde. Helfen kann da auch die Umsetzung der Anforderung. NET.4.1.A4 Absicherung von Remote-Zugängen. Sie weist aus, dass die Zugriffe auf die Router geregelt werden sollten. Eine Anleitung, wie die heimische FRITZ!Box oder entsprechende Geräte dazu eingestellt werden sollten, passt auch gut in den Homeoffice-Leitfaden.

Datensicherhung im Homeoffice

In OPS.1.2.4.A4 Datensicherung bei der Telearbeit, wird die Notwendigkeit der Datensicherung bei der Telearbeit betont. Das ist umso wichtiger, falls der Arbeitgeber keine internen Geräte aufgrund von Lieferengpässen oder verfügbaren IT-Ressourcen bereitstellen konnte. Das dürfte bei vielen Kleinst- und Kleinunternehmen der Fall sein. Aber selbst im Umfeld unserer großen Kunden haben wir erlebt, dass durch Lieferengpässe keine Laptops in ausreichenden Mengen bereitgestellt werden konnten. Die Folge ist, dass die Mitarbeiter an ihren privaten PCs arbeiten müssen, wenn denn die Firma nicht betreten werden darf. Da ist die Datensicherung umso wichtiger.

Schutz vor Schadprogrammen

Außerdem wichtig ist dann auch der Schutz vor Schadprogrammen. Hier sieht der Baustein Betrieb in OPS.1.1.4.A3 die Auswahl eines Viren-Schutzprogrammes für Endgeräte vor. Sicher, in den allermeisten Firmen ist das auf den Firmenrechnern bereits umgesetzt, alles andere wäre grob fahrlässig. Aber wenn der Mitarbeiter mit dem privaten PC arbeiten muss, der ggf. auch noch in der Familie von mehreren Anwendern genutzt wird (Stichwort Homeschooling), ist der Firmenstandard nicht vorhanden. Wie auf dem Privatrechner agiert werden sollte, muss daher ebenfalls Teil des Homeoffice-Leitfadens sein.

Übrigens: Laut Umfrage des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) sichern gerade einmal 65 Prozent der Mitarbeiter im Homeoffice ihren Laptop mit einem Passwort ab und sogar nur 63 Prozent gaben an, einen geeigneten WLAN-Passwortschutz zu haben.

Risikofaktor Mitarbeiter

Bei Risikoszenarien spielt der „Faktor Mensch“ eine Rolle. Was für viele IT-Mitarbeiter trivial erscheinen mag, kann für einen IT-Neuling eine große Herausforderung darstellen. Deshalb ist es wichtig, dass Mitarbeiter bei IT-Themen auf Ihrem Kenntnisstand abgeholt und unterstützt werden. Das Ganze sollte in einem umfassenden Homeoffice-Leitfaden münden. Hier können neben den schon genannten Informationen weitere Anweisungen mitgegeben werden, z. B. wie darf der eigene Drucker genutzt werden? Wie entsorge ich Ausdrucke richtig – Stichwort Datenschutz? Auch eine Liste mit Rufnummern von Zuständigen, die bei IT-Problemen kontaktiert werden können, ist eine gute Idee.

Einen solchen Leitfaden für Mitarbeiter zu erstellen ist notwendig. Auch das kann aus dem IT-Grundschutz an mehreren Stellen ableiten: Im Baustein Organisation und Personal, Kapitel ORP.3: Sensibilisierung und Schulung gibt es die Anforderung für Einweisung des Personals in den sicheren Umgang mit IT (ORP.3.A3), ebenso wie die Installation eines Ansprechpartners zu Sicherheitsfragen (ORP.3.A2). Also zwei weitere wichtige Informationen für den besagten Leitfaden. Das sieht auch der Baustein Betrieb vor: OPS.1.2.4.A1 Regelungen für Telearbeit sagt u. a. aus: Alle relevanten Aspekte der Telearbeit MÜSSEN geregelt werden. Zu Informationszwecken MÜSSEN den Telearbeitern die geltenden Regelungen oder ein dafür vorgesehenes Merkblatt ausgehändigt werden, das die zu beachtenden Sicherheitsmaßnahmen erläutert […].

Auf der anderen Seite – die Firmen-IT:

Vielfach mussten in der Firmen-IT Lösungen aus dem Boden gestampft werden, um überhaupt den Zugang auf die Anwendungen und Systeme aus dem Homeoffice zu ermöglichen. Auch hier kann man aus dem IT-Grundschutz viele Anforderungen mitnehmen, z.B.: SYS.1.5.A2 Sicherer Einsatz virtueller IT-Systeme besagt: […] Weiterhin MÜSSEN die eingesetzten virtuellen IT-Systeme den Anforderungen an die Verfügbarkeit und den Datendurchsatz genügen. Im laufenden Betrieb MUSS die Performance der virtuellen IT-Systeme überwacht werden. Ein Großteil der leidgeprüften Anwender zu Hause wird hier sicher bereits die Erfahrung gemacht haben, dass das, vor allem am Anfang des Lockdowns, nicht eben gut funktioniert hat. Und das ist nur ein Beispiel, was Homeoffice für die Firmen-IT bedeutet.

Fazit

Im früheren normalen Unternehmensalltag haben Geschäftsführer und CISOs mehr Kontrollmöglichkeiten über die IT-Sicherheit gehabt, als das derzeit mit vermehrtem Homeoffice der Fall ist. In der Krise waren zu Beginn schnelle und pragmatische Lösungen gefragt. Aber Unternehmen müssen das Compliance-Management weiterhin im Blick behalten, da dieser Trend sicher noch Bestand haben wird: Es muss sichergestellt werden, dass Vertraulichkeit, Verfügbarkeit und Integrität von Informationen weiterhin gewährleistet sind und der Datenschutz berücksichtigt ist. Und wenn die Übergangslösungen bekannte Schwachstellen enthalten, müssen diese transparent sein und auch allen Mitarbeitern bewusst gemacht werden, um ein entsprechend umsichtiges Verhalten zu gewährleisten.

Weiterhin ist es ratsam, nachdem die Lösungen unter Druck geschaffen wurden, im Anschluss die Hausaufgaben zu machen. Es ist zu überprüfen, ob die Lösungen in das IT-Sicherheitskonzept passen, oder ob nachgebessert werden muss. Der Blick in die Anforderungen des IT-Grundschutz und den dazu passenden Maßnahmenkatalog aus den Umsetzungshinweisen sowie eine entsprechende Risikoabwägung hilft dabei. Wenn dann alles vernünftig, zusammenhängend und am besten in einem geeigneten System wie unserem SAVISCON GRC-COCKPIT dokumentiert ist, kann der CISO wieder ruhiger schlafen.

Das BSI hat dazu auch einen Leitfaden veröffentlicht: Zum BSI-Leitfaden

Über den Autor

Geschäftsführer Ingo Simon und Team im SAVISCON BüroIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Customer Communication Management und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de 

Step by step: GRC@SAVISCON

Wie wir unser IT-Sicherheits-Management aufsetzen

von Ingo SimonGeschäftsführer bei der SAVISCON GmbH 

Nachdem wir in unserem letzten Blog-Beitrag „No Risk – more fun!“ der Reihe GRC@SAVISCON über den Start unseres Risiko-Managements berichtet haben, soll es heute um die IT-Sicherheit gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-ManagementIT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: IT-Sicherheit. 

IT-Sicherheit: Wo fangen wir an? 

Wie auch beim Risiko-Management brauchen wir bei SAVISCON uns nicht extra der Unterstützung der Geschäftsleitung zu versichern. Das ist ja qua Persona schon gegeben. Aber klar ist: In anderen Unternehmen muss man die Rückendeckung der Unternehmensleitung haben, um die benötigten Ressourcen für die Durchführung des Projekts einfordern zu können. Bei uns kann es also losgehen. 

Noch eine Anmerkung: Im IT-Grundschutz Baustein ISMS Sicherheitsmanagement wird in der Anforderung ISMS.1.A3 eine Leitlinie zur Informationssicherheit und nach ISMS.1.A10 ein Sicherheitskonzept eingefordert, die anfangs erstellt und kommuniziert werden müssen. Das werden wir auch nicht vernachlässigen. Wir haben allerdings entschieden, die Fleißarbeit, wie in den nächsten Absätzen beschrieben, bereits zeitgleich anzugehen. In unserem Fall gehen wir davon aus, dass die Erkenntnisse aus der Strukturanalyse und Schutzbedarfsfeststellung eine gute Indikation darüber geben, was in den Leitlinien zu berücksichtigen ist. Für „unfertige“ Organisationsstrukturen, wie es in den bei uns vorherrschenden Umbruchzeiten gerade der Fall ist, halten wir das für ein sehr vorteilhaftes Vorgehen. Wir werden über die Erstellung der Leitlinien und Sicherheitskonzepte in zukünftigen Blog-Beiträgen berichten.

Klar ist außerdem, dass wir uns über die Tool-Auswahl keine Gedanken machen müssen, das GRC-COCKPIT ist als System für unser ISMS ja prädestiniert. Wir wollen das IT-Sicherheitsmanagement als Teil unseres GRC-Managements durchführen und haben so in einem System den Überblick über die gesamten Unternehmensrisiken und den Compliance-Status inklusive der IT-Sicherheit.

 Nun krempeln wir also die Ärmel hoch und fangen an. Als erstes gibt es drei Kernaufgaben, die erledigt werden müssen: Assets erfassen, diese gruppieren und Abhängigkeiten dokumentieren, sowie deren Schutzbedarf analysieren. 

Assets erfassen 

Was sind überhaupt Assets? Ins Deutsche übersetzt bedeutet das „Vermögenswerte im Unternehmen“. Diese Assets müssen nicht unbedingt reale Güter darstellen, sondern können auch nicht-reale Güter wie Wissen, Patente oder Lizenzen sein. Bei uns ist das zum Beispiel der Source Code unserer Produkte, die wir auch als Assets betrachten. Die sind schließlich eine Basis für unser Geschäftsmodell und somit besonders schützenswert, der ITGrundschutz spricht hier von den Kronjuwelen. Diese Betrachtung geht genau genommen über das Thema IT-Sicherheit hinaus, und fällt unter den Begriff Informationssicherheit. Es ist für uns jedoch eine bewusste Entscheidung, diese Assets in die Gesamtmethodik des IT-Grundschutz mit einzubinden. Ein weiteres, griffigeres Beispiel für Assets aus der IT-Sicherheit: Es gibt vermutlich in so ziemlich jedem Unternehmen mindestens einen Arbeitsplatz-PC oder Server, der Daten beinhaltet, die für das Unternehmen sehr wichtig sindDas können beispielsweise Kundeninformationen sein. Somit ist dieser PC oder Server ein Unternehmens-Asset, das für die IT-Sicherheit des Unternehmens relevant ist. 

Wo fängt man anwo hört man auf? 

Was sind Assets bei der SAVISCON GmbH, die unsere IT-Sicherheit betreffen? Das ist genau die Frage, die wir uns zu Beginn gestellt haben. Theoretisch muss man jedes IT-Gerät mit in die Assets aufnehmen und dort abbilden. Doch hier gilt es ein gesundes Maß zu finden, welche Geräte einzeln aufgenommen werden sollen und welche z. B. als Gruppe abstrahiert werden können. Führe ich jeden Laptop einzeln auf? Oder führe ich nur einen Laptop auf, der in der Schutzbedarfsanalyse als Prototyp für alle anderen steht. Diese Fragen lassen sich leider nicht pauschal für jedes Unternehmen beantworten. Daher kann man beliebig viel Zeit darauf verwenden ein Konzept zu entwickeln, welche Assets wie erstellt und gruppiert werden sollen und welche nicht. Oder:

Einfach loslegensammeln, strukturieren(aus)sortieren  

Man fängt einfach an! Unsere Erfahrung hat gezeigt, dass es wichtig ist einfach zu starten und die Assets festzuhalten, die uns gleich in den Sinn gekommen sindWir haben uns zum Beispiel entschieden alle Laptops einzeln zu erfassen, nicht „den Laptop“ als solches. Warum? Weil jeder Laptop in unserer übersichtlichen Organisation einem bestimmten Rolleninhaber gehört, der wiederum unterschiedliche Informationen mit dem Laptop bearbeitet. Fällt einer der Entwicklungs-Laptops aus, so dauert es eine längere Zeit, die gesamte Entwicklungsumgebung auf einem Ersatzgerät wieder einzurichten. Ein Consulting Laptop, der im Wesentlichen über Remote Zugriff die relevanten Informationen in den Kundenwelten verarbeitet, kann ich im Prinzip mit jedem Gerät ersetzen, auf dem ein Citrix Receiver installiert werden kann. Damit unterscheidet sich die Anforderung an die notwendige Verfügbarkeit für diese Laptops. Deswegen erfassen wir alle Laptops einzeln. 

Screenshot der Asset Übersicht aus dem GRC-COCKPIT

Hier sehen Sie die Übersicht unserer Assets im GRC-COCKPIT.

Die erfassten Assets haben wir dann in eine grobe Struktur gebracht. Keine Sorge, wenn die zu Beginn etwas verwirrend aussieht. Das ist ganz normal und sie wird sich im Prozess vermutlich noch viele Male ändern. In unserem Prozess haben wir sogar nach und nach Assets wieder entfernt, verschoben oder sogar ihre gesamte Gruppierung verworfen, weil sie obsolet geworden sind. Das ist aber in unserem GRC-COCKPIT gar kein Problem. Wenn man das auf verteilten Excel-Listen versuchen würde, an denen mehrere MitarbeiterInnen arbeiten, wäre die Koordination der Änderungen sehr viel aufwändiger und fehleranfällig. 

Für uns als Software-Unternehmen sind die folgenden Assets relevant: Gebäude und Räume, IT-Geräte, Lizenzen, gemietete Server, Produktions- oder auch Testinstanzen, die wir unseren Kunden zur Verfügung stellen. Beim Erstellen mehrerer Assets haben wir diese nach Typen aufgeteilt und gruppiertZur Ableitung der Schutzbedarfe haben wir dann die Abhängigkeiten von Assets zu anderen Assets hergestellt, indem wir sie im GRC-COCKPIT miteinander verknüpft haben. Die Abhängigkeiten sind nach IT-Grundschutz Methodik: „Nötig für“ bzw. „Benötigt“ oder „Befindet sich in“ bzw. „Beinhaltet“

Screenshot der Abhängigkeiten aus dem GRC-COCKPIT

Blick ins GRC-COCKPIT: So werden die Abhängigkeiten für Assets dargestellt.

An dieser Stelle merkt man bereits, ob man sich mit der Struktur wohl fühlt und ob sich Assets bzw. Gruppierungen noch nicht so rund anfühlen. In diesem Fall kann man versuchen ein Asset aufzusplitten oder mehrere zusammenzufassen. Wir haben festgestellt, dass die Identifizierung von Assets sehr gut in einer Gruppe funktioniert, da jeder eine andere Sicht auf die Dinge hat und man diskutieren kann, welche Assets aufgenommen werden sollten und warum. Aus den unterschiedlichen Perspektiven konnten wir häufig weitere Assets ableiten, die wir direkt in unser GRC-COCKPIT aufgenommen haben.  

Schutzbedarf feststellen 

Für alle Assets muss dann der Schutzbedarf festgestellt werden. In der Diskussion darüber kommt man meist zwangsläufig zu Ideenwelche geeigneten Maßnahmen sich für das Asset ableiten lassenHierbei wird jeder eine etwas andere Meinung haben, welche Assets besonders schützenswert sind und warum. Auch hier keine Scheu zeigeneinfach starten und die Assets bewerten. Zu Beginn haben wir eher „vorsichtiger bewertet, sprich den Schutzbedarf höher angesetzt. Denn wir können die Bewertung im Laufe der Zeit noch etwas abschwächen, wenn wir neue Erkenntnisse gewonnen haben. Während der Schutzbedarfsfeststellung haben wir uns schon gleich die Fragen gestellt: Welche Assets sind besonders schützenswert? Warum? Was können wir tun, um dem Schutzbedarf gerecht zu werden? 

Screenshot der GRC-COCKPIT-Funktion Schutzbedarfsfeststellung

Auf dieser Abbildung ist die GRC-COCKPIT-Funktion Schutzbedarfsfeststellung zu sehen.

Maßnahmen ableiten 

Mit den Antworten auf die Fragen aus der Schutzbedarfsanalyse fällt es uns leicht mögliche Maßnahmen abzuleiten. Wenn beispielsweise ein Arbeits-Laptop besonders schützenswert ist, da er wichtige Daten enthält, so könnten sich bezüglich des Schutzbedarfes für die Vertraulichkeit die Maßnahme Festplatten verschlüsseln anbieten, sowie für die Verfügbarkeit die Maßnahme regelmäßige Backups erstellen. Wir werden darüber in den folgenden Blog-Beiträgen noch ausführlicher berichten.

Denn auch hier ist es wichtig, einen Schritt nach dem anderen zu gehen. Solange die Assets nicht erfasst und die Schutzbedarfe nicht fertig analysiert sind, sollte man sich davor hüten, schon in die Dokumentation der Maßnahmen abzudriften. Sonst läuft man Gefahr, sich zu verrennen. Deswegen erst die Strukturanalyse und Schutzbedarfsfeststellung beenden, dann erst die Risikobetrachtung und die Maßnahmen angehen. Oft ergeben sich Ideen zu Risiken und Maßnahmen in der gemeinsamen Diskussion. Dann muss man sich aber disziplinieren und den Schritt zurück machen, um, wie oben beschrieben, die ersten Schritte erst einmal vollständig abzuarbeiten. 

 to be continued: 

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse aus dem Projekt IT-Sicherheit:  

  • Einfach erst einmal anfangen alle Assets zu sammeln, (aus)sortieren kann man in einem späteren Schritt noch immer 
  • Die gesammelten Assets typisieren und gruppieren 
  • Danach die Abhängigkeiten der Assets voneinander dokumentieren 
  • Der nächste Schritt ist die Festlegung des Schutzbedarfs  
  • Wichtig: Sparringspartner suchen! in der Diskussion in Gruppen ergeben sich wichtige Erkenntnisse und differenziertere Sichten über relevante Assetspotenzielle Gruppierungen und Schutzbedarfe 
  • Bei der Schutzbedarfsfeststellung zu Beginn den „Worst Case“ annehmen – abschwächen geht immer noch 
  • Nicht scheuen auch mal einen Schritt zurück zu gehen, um zwei voran zu kommen! 

Im nächsten Blog-Beitrag der Reihe schauen wir gemeinsam mit unserer internen Datenschutzbeauftragten Karin Selzer in das Projekt Datenschutz: Los geht‘s: Wie wir den Datenschutz intern umsetzen.

Über den Autor: 

Foto Ingo Simon

Ingo Simon (Geschäftsführer SAVISCON GmbH)

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de