Informationssicherheitsmanagement-Systems (ISMS)

Lesen Sie in dieser Rubrik alle Artikel des SAVISCON-Blogs mit Themen-Bezug zum Aufbau eines Informationssicherheitsmanagement-Systems (ISMS).

Schlagwortarchiv für: ISMS

Wie läuft eine Zertifizierung nach ISO 27001 ab?

SAVISCON GmbH lässt ihr ISMS zertifizieren

Von Daniel Straßberger, Informationssicherheitsbeauftragter der SAVISCON GmbH

In unserer Reihe GRC@SAVISCON nehmen wir Sie mit auf unsere interne Reise zum strukturierten, konsistenten GRC-Management-System. Frei nach dem Motto „Practice what you preach“, entwickeln wir Schritt für Schritt unser Compliance-, Risiko-, Datenschutz- und Informationssicherheits-Management weiter.

Im heutigen Blog-Beitrag geht es um das Aufsetzen und Zertifizieren eines Informationssicherheits-Management-Systems (ISMS).

Hintergrund

Als Informationssicherheitsbeauftragter arbeite ich seit April 2021 für die SAVISCON GmbH. Eine meiner Aufgaben ist die Umsetzung eines ISMS nach der ISO27001. Gerade zu Beginn war das meine Hauptaufgabe und ich habe sehr viel daran gearbeitet. Durchaus eine große Herausforderung, gerade weil ich zu dem Zeitpunkt frisch dabei war. Doch dann passierte das, was wohl vielen in meiner Position passiert: Es kommen neue Aufgaben, neue Projekte und neue Themenfelder dazu. Mit dem Ergebnis, dass unser internes ISMS immer mehr in den Hintergrund getreten ist. Allerdings ist uns eine Entwicklung im Gespräch mit unseren Kunden aufgefallen: Immer mehr Unternehmen erkennen den Wert von Informationssicherheit und stellen auch entsprechende Forderungen an Geschäftspartner und Dienstleister. Deswegen haben wir unser ISMS und die Zertifizierung unseres Systems nach ISO 27001 priorisiert.

Anfang Juni 2022 hatten wir den Kickoff-Termin mit dem Auditor und bis zum Ende des Jahres soll die Zertifizierung abgeschlossen sein. Dazu werde ich sicherlich noch den einen oder anderen Blog-Beitrag schreiben. An dieser Stelle möchte ich Sie schonmal mitnehmen, den Stand der Dinge vorstellen und einen Ausblick geben, auf das, was die nächsten Wochen auf mich zukommen wird.

Warum eine Zertifizierung nach ISO27001?

Wir bei der SAVISCON GmbH sind davon überzeugt, dass Informationssicherheit ein wichtiger Bestandteil in der heutigen Geschäftswelt ist. Offenlegung von Betriebsgeheimnissen, personenbezogene Daten oder der Ausfall von geschäftskritischen IT-Geräten; ohne vernünftige Überlegungen und ausgearbeitete Prozesse für den Ernstfall kann dies zu existentiellen Schäden führen. Von daher war uns schon letztes Jahr klar, dass wir ein ISMS umsetzen und letztendlich zertifizieren lassen wollen.

Aber es gibt noch mehr Vorteile, so sind wir zurzeit dabei unsere Software, das GRC-COCKPIT, bei unserem Partner d.velop im Store zu platzieren. Dazu hatten wir vor ein paar Wochen ein Security Review. Mehr als die Hälfte der Anforderungen konnten mit Hinweis auf die laufende ISO-Zertifizierung abgehakt werden. Es zeigt sich also schon hier: Mit einer Zertifizierung nach ISO27001 ist es möglich die Wirksamkeit des ISMS glaubwürdig nachzuweisen.

Der Kickoff-Termin und der Stand der Dinge

Unser Zertifizierungsprozess startete Anfang Juni 2022 mit einem Kickoff-Termin gemeinsam mit unserem Geschäftsführer Ingo Simon, dem Auditor und mir selbst in unserem alten Büro in Hamburg. Wir sind nämlich Ende Juni in neue Räumlichkeiten am Heegbarg 16 umgezogen – aber das nur am Rande. In einer sehr entspannten Runde haben wir den Stand des ISMS der SAVISCON GmbH präsentiert. Davon ausgehend wurde eine GAP-Analyse erstellt. Ich habe anschließend mehrere Dokumente erhalten, vor allem Richtlinien und Prozessbeschreibungen, die von uns anzupassen sind. Dies wird nachher die Basis für unser ISMS sein.

Besonders im operativen Teil sind noch viele Lücken zu schließen, das Durchführen Interner Audits, die Überprüfung von Maßnahmen und das aktive Monitoring von Anwendungen und IT-Geräten stehen da ganz oben auf der Liste. All dies ist in den kommenden Monaten von mir auszuarbeiten und muss anschließend durch die Geschäftsleitung legitimiert werden.
Ebenso sind die Dokumentenlenkung und die Zugriffssteuerung bei uns bisher eher mit niedriger Priorität betrachtet worden und dementsprechend nicht vollständig definiert und umgesetzt. Dies haben wir bis jetzt damit rechtfertigen können, dass wir ein sehr kleines Unternehmen mit familiärer Stimmung sind, wo jeder den Kollegen vertraut. Dieses Vertrauen wird hoffentlich auch in Zukunft untereinander bestehen, die Prozesse werde ich trotzdem ausarbeiten und gemeinsam mit den Kollegen umsetzen.

Zertifizierung mit dem GRC-COCKPIT

Als Entwickler einer SaaS-Lösung zum Bearbeiten von Compliance-Themen und Management-Systemen ist es natürlich unser Ziel das ISMS in unserem GRC-COCKPIT abzubilden und wir wollen auf der Basis auch die Zertifizierung abschließen. Unser Assessor schien von dem GRC-COCKPIT auch sehr angetan und bezeichnete die Zertifizierung mit dem GRC-COCKPIT als „spannendes Projekt“.

Als erstes habe ich ihm einen Lese-Account erstellt, dazu habe ich ihn als externen Mitarbeiter bei uns hinzugefügt (und natürlich auch gleich die Firma unter Partner eingetragen) und dem Account eine Read-Only Rolle gegeben. So kann er jederzeit die Arbeit, die wir im ISMS geleistet haben, einsehen und kann zum Beispiel die Asset-Liste überprüfen, ohne dass wir uns vorher auf einen Termin einigen müssen.

Screenshot Auditor-Account im GRC-COCKPIT

Screenshot aus dem GRC-COCKPIT vom Auditor-Account mit der „Only-Read“-Funktion.

Wir wollen das ISMS bei uns so umsetzen, dass sich nahezu alles im GRC-COCKPIT abspielt. Die internen Audits zum Beispiel werden wir als Maßnahmen anlegen und mit Überwachungshandlungen dafür sorgen, dass wir keine Audit-Termine verpassen. Die Ergebnisse der Audits können auch gleich im GRC-COCKPIT festgehalten werden. Dies wiederum kann dann über den Zertifizierer-Account eingesehen werden, sodass wir schnell unseren Compliance-Status nachweisen können oder eben Nichtkonformitäten sofort auffallen.
Das wird natürlich vorerst mehr Arbeitsaufwand mit sich bringen, da ich nicht nur den Anforderungen aus der Norm gerecht werden muss, sondern auch ein System entwickeln muss, um die Ergebnisse entsprechend im GRC-COCKPIT abzubilden, wobei hier schon in den letzten Monaten einige gute Überlegungen entstanden sind. Ich denke aber es wird sich lohnen, zum einen wird der Aufwand für die Aufrechterhaltung und Überprüfung (Lebenszyklus!) des ISMS sinken und zum anderen können wir unsere gewonnenen Erfahrungen aus der Praxis (Arbeit mit dem GRC-COCKPIT) an unsere Kunden weitergeben.

Fazit

Es werden spannende und zwischenzeitlich sicherlich anstrengende Wochen für mich werden. Auch für meine Kollegen wird es interessant, da es im Zuge der ISMS-Umsetzung definitiv Veränderungen bei uns geben wird. Doch ich bin motiviert und hoffe, in meinen nächsten Blog-Einträgen von ersten Erfolgen berichten zu können.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheits-Management-Systems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit: daniel.strassberger@saviscon.de

 

Practice what you preach 2.0

Ein Resümee nach einem Jahr Programm GRC@SAVISCON

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Rückblick: Vor fast einem Jahr haben wir in der SAVISCON GmbH das Programm GRC@SAVISCON gestartet. In meinem allerersten Blog-Beitrag vom 14.01.2021 habe ich beschrieben, wie wir das Programm angegangen sind. Seitdem haben wir in verschiedenen Blogs einerseits erläutert, wie wir inhaltlich arbeiten und vorangekommen sind, andererseits haben wir generelle Tipps rund um Risiko- Compliance-, Informationssicherheits- und Datenschutz-Management gegeben.

Nun, nach einem Jahr Programlaufzeit, möchte ich zusammenfassen, wo wir stehen, welche Hürden wir genommen haben, wie wir weiter machen und uns noch mehr verbessern wollen.

Motivierter Start in die GRC-Projekte

Also, wir sind Anfang 2021 mit großem Elan in das Programm gestartet. Die Projektleiter wurden benannt und wir haben den Zeitplan festgelegt. Wie ich an anderer Stelle beschrieben habe, sind wir in vielen Dingen erst einmal pragmatisch vorgegangen:

  • Risiko-Management: Wir haben im Team alle Risiken gesammelt, die wir für das Unternehmen sehen.
  • Compliance-Management: Wir haben in einem Brainstorming geschaut, welche gesetzliche Normen wir zu erfüllen haben.
  • ISMS: Wir haben angefangen eine IT-Strukturanalyse durchzuführen
  • Datenschutz: Wir haben die einzelnen Kapitel der DSGVO angeschaut und begonnen, Compliance-Risiken und bereits umgesetzte Maßnahmen abzuleiten

In dem Vorgehen haben wir für ein doch noch kleines Unternehmen schon eine Menge Daten zusammengetragen. Im nächsten Schritt war also die Aufgabe, die Daten entsprechend weiter zu nutzen und zu bewerten. Hier mussten wir an der ein oder anderen Stelle zuerst konzeptionelle Schritte durchführen, die man so ja auch in den einschlägigen Normen findet. Beispiele:

Die Fortschritte im Risiko-Management

Es wurde ein Risikoleitfaden erstellt, indem wir z.B. die Schwellwerte für die Eintrittswahrscheinlichkeit und Schadenshöhe festgelegt haben, die wir in der SAVISCON nutzen wollen. Außerdem wurde der Risikoprozess unter Nutzung unseres GRC-COCKPITs beschrieben, damit jeder Mitarbeitende weiß, wie wir das machen. Dann haben wir die gesammelten Risiken analysiert, bewertet und festgestellt, dass viele doch zu kleinteilig sind, also nicht wesentlich. Die Erkenntnis war, dass es im Wesentlichen zwei Risken gab, die den Bestand der Firma gefährden und zu denen daher unmittelbar Maßnahmen getätigt werden müssen:

Risiko 1: Als inhabergeführte Firma ist der Wegfall des Inhabers und Geschäftsführers fatal

Maßnahmen: Unterschrifts- und Vertreter-Regelung und Verstärkung der Geschäftsführung. Die Implementierung des neuen Geschäftsführers haben wir zum 01.01.2022 umgesetzt. Die Formulierung der Unterschriftsregelungen sind dann zur Umsetzung im März geplant.

Screenshot aus dem GRC-COCKPIT Risiko und verknüpfte Maßnahmen

Das Risiko und die verknüpften Maßnahmen im GRC-COCKPIT.

Screenshot GRC-COCKPIT Bruttorisiko vs. Nettorisiko

Risikobewertung vor (brutto) und nach (netto) Umsetzung der Maßnahme.

Risiko 2: Abhängigkeit von einem Großkundenprojekt

Maßnahmen: Erhöhung der Wahrscheinlichkeit zur Akquise weitere Projekte durch z.B. Partnerschaften, Netzwerken, Ausbau des GRC Produkt-Standbeins, etc.
Die Fortschritte im Compliance-Management
Hier haben wir uns erst den Scope festgelegt, welche der Normen auf uns den größten Impact haben. Mit denen beschäftigen wir uns seitdem intensiver. Das führte dann auch dazu, dass wir den Datenschutz und das Compliance-Management Projekt zusammengelegt haben, da als Ergebnis unserer Compliance-Risikoanalyse der Datenschutz einerseits einer der wichtigsten Normen war, die wir am Anfang betrachten müssen, anderseits dies ja eigentlich auch eine Compliance-Betrachtung ist. Also haben wir begonnen, AV-Verträge mit allen Dienstleistern zu prüfen, bzw. neu abzuschließen und alle Prozesse, die Verarbeitungstätigkeiten darstellen, entsprechend zu dokumentieren. Und vor allem haben wir uns mit der Dokumentation der Personalprozesse dem Beschäftigtendatenschutz gewidmet.

Screenshot GRC-COCKPIT Prozess-Übersicht

Abbildung der Prozesslandschaft und Definition der Verarbeitungstätigkeiten.

Screenshot GRC-COCKPIT Personalbestandsverwaltung

Erfassung der Daten für das Verzeichnis der Verarbeitungstätigkeiten.

Außerdem haben wir ein paar kleinere Dinge erledigen können, wie Einführung einer Datenschutztonne in den Büroräumen, etc.
Neben der DSGVO haben wir uns des Weiteren mit dem GmbH-Gesetz beschäftigt. Das oben beschriebene Risiko zum Geschäftsführer zahlt beispielsweise auf den §35 „Vertretung der Gesellschaft“ ein. Und wir sind noch dabei die GoBD detaillierter zu betrachten und haben in dem Zuge z.B. das Thema E-Mail-Archivierung bereits umgesetzt. Also, es ist doch recht umfangreich und herausfordernd für unsere recht kleine Mannschaft.

Die Fortschritte im ISMS

Auch hier haben wir dann ersteinmal den Leitfaden geschrieben und – ganz wichtig – den Scope festgelegt. Wir haben uns im ersten Schritt dazu entschieden, uns auf die IT-Aspekte zu fokussieren, die mittelbar und unmittelbar mit unserem Produkt GRC-COCKPIT zusammenhängen. Festgelegtes Ziel ist es, für die Prozesse rund um Entwicklung, Test und Bereitstellung der Kundensysteme in 2022 eine ISO Zertifizierung zu erlangen. Insofern haben wir die Strukturanalyse an der Stelle zu Ende geführt, die Schutzbedarfsanalyse nach IT-Grundschutz weitestgehend abgeschlossen und sind nun in der Risikoanalyse und entsprechenden Ableitungen von zusätzlichen oder verbesserten Maßnahmen unterwegs.

Screenshot GRC-COCKPIT Asset-Übersicht

Übersicht über die Strukturanalyse und die Ergebnisse der Schutzwertanalyse (rot: besonders schützenswert).

Screenshot GRC-COCKPIT Schutzbedarfsanalyse

Schutzbedarfsanalyse im Umfeld der Kundensysteme.

Fazit:

Ein Jahr ist um und als ich mich hingesetzt habe, um diesen Blog zu schreiben, hatte ich ein wenig das Gefühl, dass ich nicht allzu viel zu berichten habe. Aber wenn man genauer hinschaut, haben wir doch sehr viel bewegt. Denn man darf ja nicht vergessen: das Tagesgeschäft und die Kundenprojekte müssen ja auch weiterlaufen, das ist schließlich der Grund, warum die SAVISCON als Wirtschaftsunternehmen gegründet wurde.
Dementsprechend kann ich nur sagen: Rom wurde auch nicht an einem Tag erbaut. Man darf nicht die Vorstellung haben, dass man ein Compliance- oder Risiko-Management oder ein ISMS mit ein paar Köpfen in ein paar Wochen komplett hinstellt. Das ist ein Prozess, mit Lernkurven und viel notwendigem Austausch. Aber man wird feststellen, dass, wenn man kontinuierlich daran arbeitet, die Mannschaft und das System immer wieder ein Stück besser werden. Und damit ist für das Thema GRC eine Menge gewonnen.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: 040 80 90 81 446

BSI IT-Grundschutz: Kern- und Standard-Absicherung

Gemeinsamkeiten, Unterschiede und Umsetzung

Von Daniel Straßberger, Informationssicherheits-Consultant und ISB bei der SAVISCON GmbH

In meinem letzten Blog-Beitrag habe ich die Basis-Absicherung nach IT-Grundschutz vorgestellt. Darauf aufbauend möchte ich dieses Mal die Standard- und Kern-Absicherung näher betrachten. Der wesentliche Unterschied besteht darin, dass Sie in diesem Fall nicht um eine Risikoanalyse herumkommen werden. Die Managementsysteme der ISO-Normen haben alle die Risikobetrachtung als zentrales Element und das BSI reduziert den Aufwand zur Etablierung eines Informationssicherheitsmanagementsystems (ISMS) dadurch, dass dieser Aspekt bei der Basis-Absicherung komplett wegfällt und bei der Kern- bzw. Standard-Absicherung nur in bestimmten Fällen zum Tragen kommt.

Die Standard-Absicherung ist die vom BSI bevorzugte Methode zur Informationssicherheit nach BSI IT-Grundschutz, da sie als einzige Methode eine Organisation als Ganzes betrachtet und in das ISMS integriert. Die Basis- und Kern-Absicherung sind eher als Einstieg gedacht und reduzieren den Aufwand indem entweder nur einen Teilbereich der Organisation betrachtet wird oder einige Schritte des IT-Grundschutz Vorgehens vorläufig entfallen. Die Standard-Absicherung ist demnach deutlich umfangreicher und ist am Ende äquivalent zu einem ISMS nach der ISO 27001.

Standard-Absicherung vorbereiten

Als Grundlage für die Standard-Absicherung kann bereits eine Basis-Absicherung durchgeführt worden sein. Alternativ können Sie natürlich direkt mit der Standardabsicherung loslegen. Wichtig ist nur, dass der Sicherheitsprozess initiiert wird: IS-Leitlinie, Rollenverteilung, Abbilden des Informationsverbunds und der Geltungsbereich. Ich verweise an dieser Stelle noch einmal auf meinen letzten Blog-Beitrag „In 4 Schritten zur Basis-Absicherung“. Den Geltungsbereich können Sie selbst festlegen und es schadet auch hier nicht erstmal klein anzufangen. Typischerweise erstreckt sich der Geltungsbereich auf das gesamte Unternehmen, Sie können sich aber erstmal auf einige Geschäftstätigkeiten konzentrieren. Wichtig ist nur, dass Sie diese Geschäftsbereiche oder Organisationseinheiten komplett betrachten. Anschließend kommen wir zur ersten Änderung gegenüber der Basis-Absicherung: Die Schutzbedarfsfeststellung.

Schutzbedarfsfeststellung

Screenshot aus dem GRC-COCKPIT zur Schutzbedarfsanalyse.

Die Schutzbedarfsfeststellung im GRC-COCKPIT. Es können auch eigene Kategorien erstellt werden.

Die Schutzbedarfsfeststellung bezieht sich immer auf ein Asset und stellt dar, wie groß die Auswirkung wäre, wenn eines oder mehrere Schutzziele (Vertraulichkeit, Verfügbarkeit, Integrität, etc.) dieses Assets beeinträchtigt werden. Diese Auswirkungen müssen nicht, und können oft auch nicht, quantifiziert werden, weshalb hier mit mehreren groben Kategorien gearbeitet wird. Das BSI schlägt hier explizit die Kategorien „normal“, „hoch“ und „sehr hoch“ vor, Sie können aber weitere hinzufügen. In jedem Fall müssen Sie aber definieren, was diese Kategorien aussagen und Sie müssen zusätzlich die Art der eintreffenden Auswirkungen betrachten. Neben finanziellen Schäden kann es auch zu Verstößen gegen Gesetze, Personenschäden oder Reputationsschäden, zum Beispiel aufgrund einer Datenschutzpanne, kommen. Mit der traditionellen CIA-Triade und den drei Schutzbedarfskategorien des BSI sind das neun Tabellen, in denen Sie aufschlüsseln, was der Ausfall eines Sicherheitsziels für Auswirkungen in jeder Kategorie hat. Anschließend müssen Sie die Schutzbedarfsfeststellung unter Berücksichtigung dieser Tabellen für jedes Asset in Ihrem Informationsverbund vornehmen. Im Normalfall geschieht die eigentliche Schutzbedarfsfeststellung nicht durch den Informationssicherheitsbeauftragten(ISB), sondern obliegt dem jeweiligen Asset-Eigentümer. Das BSI rät Ihnen zunächst die Geschäftsprozesse und Anwendungen zu bewerten, Assets haben nämlich die Möglichkeit ihren Schutzbedarf zu vererben. Dabei gibt es diese drei Optionen, die ich anhand eines IT-Systems kurz erläutern werde:

  • Maximumprinzip: Hier bekommt das IT-System den höchsten Schutzbedarf der darauf laufenden Anwendungen. Dieses Prinzip wird oft bei der Vertraulichkeit zum Tragen kommen, gerade personenbezogene Daten sind nach der DSGVO besonders schützenswert. Wenn Sie zum Beispiel in einer Datenbank Adress- oder Gesundheitsdaten speichern, ist der Server in jedem Fall besonders zu schützen, auch wenn die anderen Informationen einen geringen Schutzbedarf haben.
  • Verteilungseffekt: Das IT-System bekommt einen niedrigeren Schutzbedarf als alle darauf laufenden Anwendungen. Dieser Fall kann auftreten, wenn Sie zum Beispiel mehrere IT-Systeme mit den gleichen Anwendungen aus Redundanzgründen betreiben.
  • Kumulationseffekt: Das IT-System bekommt einen höheren Schutzbedarf als die darauf befindlichen Anwendungen. Dies wird oft bei Verfügbarkeit auftreten. So ist der Ausfall einer Anwendung vielleicht zu verkraften, wenn das IT-System aber mehrere kritische Anwendungen enthält, kann der komplette Ausfall schwere Konsequenzen nach sich ziehen.

Die Auswahl der Schutzbedarfskategorie für jedes Asset bezogen auf die unterschiedlichen Sicherheitsziele sind begründet festzuhalten.

IT-Grundschutz-Check und Risikoanalyse

Wenn Sie die Schutzbedarfsfeststellung abgeschlossen haben, folgt die Modellierung mit den Bausteinen aus dem IT-Grundschutzkompendium. Das Verfahren ist dabei dasselbe wie bei der Basis-Absicherung: Sie prüfen zu jedem Asset in Ihrem Informationsverbund mit welchen Bausteinen sich dieses Asset abbilden lassen kann. Anschließend führen Sie wie bei der Basisabsicherung einen Grundschutzcheck durch, bei dem der oder die ISB mit der entsprechenden Fachkraft einen Soll-Ist-Vergleich vornimmt und den Umsetzungsgrad bestimmt. Dabei schlägt Ihnen das BSI wieder eine Priorisierung vor, wichtig ist aber nur, dass Sie alle relevanten Anforderungen betrachten. Zusätzlich zu den Basisanforderungen müssen Sie diesmal auch die Standardanforderungen, gekennzeichnet mit einem (S), berücksichtigen.
Interessant wird es, wenn Sie ein Asset mit einer Schutzbedarfskategorie „hoch“ oder „sehr hoch“ betrachten oder das Asset sich nicht mit den vorhandenen Bausteinen modellieren lässt. Dann müssen Sie eine Risikobetrachtung vornehmen. Das BSI stellt Ihnen dazu mit dem BSI-Standard 200-3 ein eigenes Verfahren bereit, Sie können aber auch andere Ansätze wie zum Beispiel die ISO 27005 nehmen. Ich werde an dieser Stelle nicht näher auf das Risiko-Management eingehen, Sie werden aber anhand Ihrer Risikobeurteilungen und den von der obersten Leitung vorgegeben Akzeptanzkriterien Rückschlüsse auf die Gefährdung Ihrer Assets bekommen und müssen dann Maßnahmen zum Schutz derer ausarbeiten. Optional können Sie nach der Risikoanalyse einen zweiten Grundschutzcheck durchführen um den Gefährdungsgrad erneut zu betrachten und Maßnahmen zu konsolidieren. Je nach Auswertung der Risikoanalyse müssen Sie sich zusätzlich mit den Anforderungen für erhöhtem Schutzbedarf (H) beschäftigen.

Die Kernabsicherung

Screenshot aus dem GRC-COCKPIT zur Kern-Absicherung

Das GRC-COCKPIT verbindet IT-Grundschutz und Risiko-Management.

Die Kernabsicherung ist ein Zwischenmodell, das zwischen Basis- und Standard-Absicherung liegt. Sie ist als Vorstufe zur Standard-Absicherung gedacht oder als Absicherung für Unternehmen, die aus finanziellen oder personellen Gründen keine umfassendes ISMS nach IT-Grundschutz etablieren können. Dies ist oft bei kleinen und mittleren Unternehmen der Fall und das BSI bietet für solche Fälle, anders als bei der Basisabsicherung, auch die Möglichkeit zur Zertifizierung an.
Die Idee ist, dass Sie eine komplette Basis-Absicherung für Ihren Geltungsbereich machen und sich zusätzlich Ihre wichtigsten Geschäftstätigkeiten und -werte raussuchen: Dies sind Ihre sogenannten „Kronjuwelen“. Für diese Kronjuwelen führen Sie dann eine Standard-Absicherung wie oben beschrieben durch. Ihre Kronjuwelen erhalten dabei normalerweise den Schutzbedarf „hoch“ oder „sehr hoch“ und sind dementsprechend zu behandeln.
Wenn sie die Kern-Absicherung etabliert haben, sieht das BSI eigentlich eine Erweiterung zur Standardabsicherung vor. Ob Sie diesen Schritt gehen möchten, ist natürlich Ihnen überlassen. Wägen Sie dazu den Nutzen und vielleicht auch Anforderungen ihrer externen Parteien gegenüber dem, nochmals erheblichen, Aufwand ab.

Prozess der kontinuierlichen Verbesserung

Für welche Form des IT-Grundschutzes Sie sich letztendlich auch entscheiden: Denken Sie daran, dass Ihr ISMS einem Lebenszyklus unterliegt und sich aufgrund von verändernden Technologien und den Änderungen in Ihrer Organisation ständig weiterentwickeln muss. Sie sollten einmal im Jahr Ihr ISMS genau untersuchen und den IT-Grundschutzprozess nochmals da durchlaufen, wo es erforderlich ist. Ebenso müssen Sie prüfen, ob die umgesetzten Maßnahmen effektiv sind und ob die Ergebnisse der Risikoanalyse sich als zutreffend herausgestellt haben. Dies betrifft insbesondere die Standard-Absicherung, wo „Aufrechterhaltung und kontinuierliche Verbesserung“ explizite Anforderungen sind.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH.

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des ISMS der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit: daniel.strassberger@saviscon.de

BSI Lagebericht 2021: 22 Prozent mehr Schadprogramm-Varianten

Das ist die aktuelle Lage der IT-Sicherheit in Deutschland

Am Donnerstag, 21. Oktober 2021, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den aktuellen Lagebericht zur IT-Sicherheit in Deutschland veröffentlicht. Arne Schönbohm (BSI-Präsident) und Horst Seehofer (Bundesminister des Innern, für Bau und Heimat) haben in der Bundespressekonferenz die wichtigsten Erkenntnisse vorgestellt:

22 Prozent mehr Schadprogrammvarianten

Die Cyberangriffe haben im Jahr 2021 deutlich zugenommen. So gab es beispielsweise 22 Prozent mehr Schadprogramm-Varianten als noch 2020. Außerdem werden die Cyberangriffe immer ausgefeilter und betreffen Bereiche, die für die Gesellschaft elementar sind, so Seehofer. Damit meint er vor allem die Energieversorger und das Gesundheitswesen. So habe im Berichtszeitraum ein Angriff auf die EMA stattgefunden, bei dem Daten gestohlen und danach manipuliert veröffentlicht wurden. Es handelte sich dabei um Informationen zu den COVID-19 Impfstoffen von Biontech und Pfizer. „Cybersicherheit betrifft uns alle, wir alle können Schaden davontragen“, sagte Seehofer.

Professionalisierung der Cyberkriminalität

Ein weiteres Problem stelle die zunehmende Professionalisierung von Cyber-Kriminellen dar. Die Akteure spezialisieren sich auf eine Angriffsmethode und bieten sie im Darknet an. Die Zahl der monatlichen Daten-Leak-Seiten, den Seiten, auf denen die geklauten Daten veröffentlicht werden, ist laut BSI-Lagebericht um 360 Prozent gestiegen. Jede einzelne dieser Daten-Leak-Seiten enthalte Millionen gestohlener Datensätze. Im Februar 2021 haben die Angreifer die höchste, bisher gemessene Anzahl an neuen Schadprogramm-Varianten erstellt: 553.000 neue Varianten pro Tag. Insgesamt wurden im Berichtszeitraum rund 114 Millionen neue Schadprogramm-Varianten festgestellt.

Lieferketten absichern

Im weiteren Verlauf der Pressekonferenz betonte Schönbohm, dass die Absicherung entlang der Lieferkette wichtig ist. Die steigende Vernetzung stelle eine Schwachstelle dar. Er führte den Fall einer schwedischen Supermarktkette an, dessen IT-Dienstleister von einem Ransomware-Angriff betroffen war. Dieser Angriff führte dazu, dass die Kassensysteme des Supermarktes nicht mehr funktionierten, die 800 Filialen vorübergehend schließen mussten und mehrere Millionen Euro Umsatz verloren gingen.

Wir als SAVISCON GmbH wollen mit unserem GRC-COCKPIT Unternehmen und Organisationen dabei unterstützen, unter anderem die Sicherheit entlang der Lieferkette zu dokumentieren. Dazu können die GRC-COCKPIT-Nutzer ihre Partner und Dienstleister im GRC-COCKPIT hinterlegen und mit Risiken und Maßnahmen verknüpfen.

Weitere Informationen:

Aufzeichnung der Pressekonferenz vom 21.10.2021

BSI Lagebericht 2021

BSI IT-Grundschutz: In 4 Schritten zur Basis-Absicherung

So starten Sie mit Ihrem ISMS

Von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH

Im heutigen Blogeintrag zum Thema Informationssicherheit wollen wir uns den BSI IT-Grundschutz etwas näher anschauen, spezifisch die Basis-Absicherung. Die Basis-Absicherung ist als Einstieg in den IT-Grundschutz gedacht oder für Unternehmen, die aus finanziellen oder personellen Gründen kein vollständiges Informationssicherheitsmanagementsystem (ISMS) nach der ISO 27001 etablieren können oder wollen. Dennoch kann die Basis-Absicherung, abhängig von der Größe und Art der Organisation, ein sehr umfangreiches Unterfangen sein. Lohnenswert ist dieser Aufwand aber auf jeden Fall, auch für kleinere Unternehmen, denn es gilt: Selbst ein bisschen Informationssicherheit ist besser als gar keine und die IT-Grundschutz Basis-Absicherung ist, meiner Meinung nach, ein guter Ansatz. Das Verfahren des IT-Grundschutzes wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entworfen, um deutschen Organisationen ein Verfahren zur Etablierung eines Informationssicherheitsmanagementsystem (ISMS) nach der ISO 27001-Norm bereitzustellen. Der Nachteil der ISO-Norm ist, dass sie sehr vage formuliert ist, um ein Rahmenwerk für internationale Organisationen aller Art zu schaffen. Der IT-Grundschutz dagegen bietet einen klar definierten Handlungsfaden und entschlackt den Prozess mit dem IT-Grundschutz-Check bei dem einer der aufwendigsten Bereiche zunächst entfällt: das Risiko-Management. Außerdem bietet das BSI mit den Bausteinen des IT-Grundschutz-Kompendiums und dem Gefährdungskatalog eine tolle Einstiegshilfe in ein ISMS.

Schritt 1: Die Vorbereitung

Screenshot aus dem GRC-COCKPIT zum Informationsverbund

Ein Informationsverbund, hier am Beispiel der RECPLAST GmbH im SAVISCON GRC-COCKPIT.

Bevor die eigentliche Basis-Absicherung beginnt, muss sich die Unternehmensleitung zur Informationssicherheit bekennen und den Sicherheitsprozess initiieren: Dies geschieht mit dem Verfassen und Bekanntgeben einer IS-Leitlinie. Dazu empfehle ich Ihnen meinem Blogeintrag „3 Tipps für Ihre Informationssicherheits-Leitlinie“.
Vorrausgehend dazu müssen Sie sich Ihren Geltungsbereich abstecken. Um den Aufwand gering zu halten, sollten Sie sich zunächst auf ihre wichtigsten Geschäftsbereiche konzentrieren („Kronjuwelen“). Anschließend müssen Sie die Assets in dem Geltungsbereich identifizieren und auflisten, dies nennt das BSI den „Informationsverbund“. Dazu gehören Geschäftszweige und -prozesse, IT-Geräte und -Anwendungen, sowie die Räume und Standorte. Wenn Sie bereits im Zuge eines Compliance– oder Risiko-Managements eine ähnliche Auflistung gemacht haben, ist dies eine gute Basis. Denken Sie auch an den Kontext Ihrer Organisation und inwiefern externe Parteien wie Zulieferer und Kunden von ihrem ISMS betroffen sein könnten. Außerdem müssen Sie Rollen festlegen und einen Informationssicherheitsbeauftragten (ISB) bestimmen, der ihr ISMS leitet und verwaltet. Vergessen Sie auch die Sicherheitsziele nicht, für eine Basis-Absicherung wird die CIA-Triade aus Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit) erstmal ausreichen.

Schritt 2: Die Modellierung

Screenshot der Basisanforderung im GRC-COCKPIT

Die Basisanforderungen des Bausteins SYS.2.1. Im GRC-COCKPIT kann direkt eine Anforderung abgeleitet werden.

Nach den Vorbereitungen geht es an die eigentliche Basis-Absicherung nach IT-Grundschutz. Zunächst müssen Sie Ihren Informationsverbund mit den Bausteinen aus dem Grundschutzkompendium modellieren. Dazu gehen Sie alle Bausteine durch und wählen die aus, die zu Ihrem Informationsverbund passen. Dabei müssen Sie natürlich nur die auswählen, die Sie auch wirklich brauchen. Wenn ihre Organisation beispielsweise keine Maschinen mit SPS betreibt, können Sie den Baustein IND ignorieren, haben Sie keinen Windows2012-Server brauchen Sie den Abschnitt SYS.1.2.2 nicht bearbeiten. Das BSI stellt Ihnen in dem Kompendium zudem eine Tabelle mit einer Priorisierung absteigend von R1 bis R3 bereit. Dies ist allerdings nur eine Empfehlung, Sie können die Bausteine in beliebiger Reihenfolge zuordnen. Achtung: Die Priorisierung bezieht sich nur auf die Reihenfolge der Umsetzung. Sie müssen alle Bausteine anwenden, die zu Ihrem Informationsverbund passen. Dies ist, abhängig von Ihrer Organisation und dem Geltungsbereich, eine Menge Arbeit und Sie sollten gewissenhaft arbeiten: Die Modellierung ist das Grundgerüst Ihrer Informationssicherheit, denn was Sie hier nicht abbilden, werden Sie später im Rahmen des IT-Grundschutz-Checks auch nicht untersuchen und somit wahrscheinlich auch nicht absichern.

Laut dem Grundschutz sollen Sie dann eine Tabelle verfassen in denen:

  • der Baustein
  • das zugehörige Asset
  • eine verantwortliche Person
  • die Reihenfolge (R1, R2, R3)
  • und zusätzliche Informationen oder Kommentare zur Modellierung

für Ihren gesamten Informationsverbund aufgelistet sind.

Wie Sie die Modellierung dokumentieren, bleibt aber Ihnen überlassen, solange die geforderten Informationen enthalten sind. Ich bilde die Bausteine mit unserem GRC-COCKPIT ab, sodass ich jederzeit darauf zugreifen kann. Gerade während der Arbeit im Home-Office erleichtert es auch den Austausch mit Kollegen.

Schritt 3: Der IT-Grundschutz-Check

Screenshot abgeleitete Maßnahme im GRC-COCKPIT

Eine Maßnahme zu Virenprogrammen, abgeleitet aus der Anforderung SYS.2.1.A6 im GRC-COCKPIT.

Anschließend findet der IT-Grundschutz-Check statt, dabei handelt es sich um einen Soll-Ist-Vergleich zwischen den Anforderungen aus den Bausteinen und dem tatsächlichen Zustand in Ihrer Organisation. Diesen Vergleich müssen Sie als ISB nicht allein vornehmen, stattdessen vereinbaren Sie einen Termin mit der für das Asset verantwortlichen Person (Asset-Eigentümer), beachten Sie, dass es sich auch um externe Personen handeln kann. Bereiten Sie Ihren Gesprächspartner vor, erläutern Sie im Vorfeld die Vorgehensweise und veranlassen Sie, dass Dokumente oder ähnliches zur Überprüfung zum Termin mitgebracht werden.

Beim Termin gehen Sie dann systematisch alle Anforderungen aus dem Baustein durch. Für die Basis-Absicherung müssen Sie nur die Anforderungen die mit einem (B) und dem Schlagwort MÜSSEN gekennzeichnet sind bearbeiten. Dokumentieren Sie den Umsetzungsgrad, zum Beispiel mit „ja“, „nein“ oder „teilweise“. Sollten Anforderungen nicht auf das Asset zutreffen, weil zum Beispiel eine Anwendung oder Konfigurationsart bei Ihnen nicht genutzt wird, können Sie die Anforderung mit „entbehrlich“ abhaken. Wichtig ist, dass die Dokumentation gewissenhaft und vollständig ist, außerdem müssen Sie die Dokumente aufbewahren. Wenn Sie beispielsweise eine Anforderung mit „teilweise“ bewerten, schreiben Sie auf inwiefern die Umsetzung erfolgt ist und was genau noch zu erledigen ist. Halten Sie am Ende auch nochmal Rücksprache mit Ihrem Interviewpartner, um Missverständnisse oder Fehler zu vermeiden.
Anschließend müssen Sie die Ergebnisse Ihres IT-Grundschutz-Checks auswerten und Maßnahmen ausarbeiten, um die Defizite zu beheben. Die Auswahl und Umsetzung der Maßnahmen erfolgen meistens durch die Verantwortlichen Mitarbeiter. Der ISB leitet die Ergebnisse der Auswertung an die entsprechenden Stellen weiter und koordiniert unter Umständen mit den Fachbereichsverantwortlichen die Umsetzung. Außerdem liegt es nahe, eine Priorisierung vorzunehmen. Diese kann auf Basis von Dringlichkeit, Kosten oder Umsetzungsaufwand erfolgen. Wichtig: Schmeißen Sie nicht einfach Geld auf ein Problem! Oftmals ist es effektiver organisatorische Maßnahmen einzuleiten, diese sind oftmals auch deutlich günstiger. Denken Sie auch an die Verhältnismäßigkeit Ihrer Maßnahmen, Sie wollen Ihre Mitarbeiter nicht überlasten und selbstverständlich auch nicht Ihr Budget sprengen. Recherchieren Sie in der Fachliteratur oder tauschen Sie sich mit anderen ISBs oder IT-Security Fachleuten aus, um Anreize und Ideen zu erhalten.

Schritt 4: Dran bleiben

Nach der ganzen Arbeit haben Sie ein ISMS nach der Basis-Absicherung des BSI IT-Grundschutz geschaffen. Leider können Sie sich nicht auf Ihrer Arbeit ausruhen, denn die Welt steht nicht still. Nicht nur die IT entwickelt sich ständig weiter und stellt Sie vor neue Herausforderungen und Angriffe, auch Ihre Organisation entwickelt sich ständig weiter, wird wachsen und möglicherweise neue Mitarbeiter und Aufgabenfelder bekommen. Sie müssen Ihr ISMS somit als gelebten Prozess verstehen, der ständig überprüft und angepasst werden muss. Neue Mitarbeiter müssen geschult werden, alte Schulungen aufgefrischt oder ergänzt werden. Neue Technologien am Markt werden neue Umsetzungsmöglichkeiten oder Gefährdungen mit sich bringen. Denken Sie auch daran Ihren Informationsverbund aktuell zu halten und gegebenenfalls die Modellierung mit neuen oder veränderten Bausteinen zu überarbeiten.
Des Weiteren stellt die Basis-Absicherung aus der Sicht des BSIs nur eine Übergangslösung dar, Sie müssen aber selbst entscheiden, ob die Basis-Absicherung für Sie ausreicht oder Sie darauf aufbauend die Kern- bzw. Standardabsicherung angehen möchten. Diesen Schritt werden Sie gehen müssen, wenn Sie eine Zertifizierung Ihres ISMS anstreben. Aber dazu lesen Sie demnächst mehr in unserem Blog.

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Über den Autor

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit: daniel.strassberger@saviscon.de

5 Tipps gegen Ransomware-Angriffe

Wie Sie Ihr Unternehmen vor den Angriffen schützen können

Von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH

Die Nachrichten in den Medien über Ransomware-Angriffe auf Unternehmen und auch Einrichtungen im Gesundheitswesen häufen sich. Gerade während der Corona-Pandemie haben diese Angriffe zugenommen. Vielleicht auch begünstigt durch die vielen Mitarbeiter im Homeoffice. Doch was ist Ransomware eigentlich und wie kann man sich dagegen schützen? Wir haben Ihnen 5 Tipps gegen Ransomware-Angriffe zusammengestellt.

Was ist Ransomware?

Sinnbild für Ransomware

Der Begriff Ransomware setzt sich aus dem englischen Wort ransom (Lösegeld) und Software zusammen. Dabei handelt es sich um eine Schadsoftware, die dem Eindringling erlaubt Daten zu verschlüsseln, sodass der Inhaber nicht mehr darauf zugreifen kann. Die Daten werden sozusagen entführt und für die Entschlüsselung wird dann Lösegeld gefordert.

Wie infiziert man sich mit Ransomware?

Häufig wird Ransomware durch gefälschte Webseiten oder Links bzw. Anhänge in E-Mails verbreitet. Dabei nutzen die Angreifer häufig bekannte Absender mit einem großen Kundenstamm, das könnten beispielsweise ein Hostinganbieter oder eine Bank sein. Sobald der Link oder der Anhang geöffnet werden, sind die Computer infiziert und häufig bemerkt der Betroffene die Schadsoftware gar nicht.

Welche Varianten von Ransomware gibt es?

  1. Filecoder: verschlüsselt die Dateien auf dem Computer
  2. Lockscreen: sperrt den Computer und verhindert die Nutzung

In beiden Fällen werden auch psychologische Tricks eingesetzt, beispielsweise wird die Kamera aktiviert, um das Gefühl der Überwachung zu vermitteln. Ein anderer Trick ist der Lockscreen im Design einer offiziellen Behörde. Beispielsweise wird dann im Namen der Bundespolizei behauptet, dass sich illegal heruntergeladene Musik, Filme oder sogar pornografische Inhalte auf dem Computer befinden. Die Daten werden, sowohl beim Filecoder als auch beim Lockscreen, erst wieder freigegeben, sobald das Lösegeld gezahlt wurde.

Aktueller Fall: Stadtwerke Wismar

Anfang Oktober 2021 ging der Fall der Stadtwerke Wismar durch die Medien. Laut eigenen Angaben wurde die Stadtwerke Opfer eines Hacker-Angriffs. Nach Bekanntwerden des Angriffs haben die Stadtwerke die Netzverbindungen nach Außen und zu den technischen Anlagen getrennt. Die betroffenen Systeme wurden abgeschaltet und isoliert. Der Service der Stadtwerke war daher nur im Notbetrieb arbeitsfähig. Der Ransomware-Angriff sei dann der Polizei sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet worden. Außerdem zog die Stadtwerke einen externen Cybersicherheitsexperten zur Aufklärung und Unterstützung hinzu.

Wie verhalte ich mich beim Ransomware-Angriff?

Wenn es passiert ist: Soll ich zahlen? Nein, denn niemand weiß, ob die Erpresser nach der ersten Zahlung nicht noch mehr Geld verlangen. Am besten ist die richtige Vorsorge. Deshalb haben wir Ihnen 5 Tipps gegen Ransomware-Angriffe zusammengestellt:

1. Tipp: Halten Sie Ihre Geräte aktuell

Windows-Updates kommen während der Arbeitszeit meist ungelegen, dennoch sollten Sie diese regelmäßig und zeitnah nach dem Release durchführen. So verhindern Sie, dass Sicherheitslücken entstehen. Oder sie regeln die Updates der einzelnen Mitarbeiter-Computer gebündelt über die IT-Abteilung.

2. Tipp: Schulen, schulen, schulen!

Ja, in der Theorie wissen die meisten Mitarbeiter, dass sie auf keine E-Mail-Links und Anhänge von fremden Absendern klicken sollen. Aber was, denn die Ransomware oberflächlich gut getarnt als Absender mit der Rechnung des Kooperationspartners im Posteingang eintrudelt? Dann muss man schon zweimal hingucken, um eventuell die fragwürdige Absendemailadresse zu identifizieren. Also: Schulen und sensibilisieren Sie ihre Mitarbeiter regelmäßig.

3. Tipp: Regelmäßige Back-Ups

Wenn Sie regelmäßige Back-Ups der internen Server bzw. von wichtigen Mitarbeiter-Computern durchführen, dann klingt auch eine Drohung von Ransomware-Angreifern nicht mehr so einschüchternd. Dennoch: Bitte beachten Sie, dass sie regelmäßig überprüfen sollten, ob Sie die durchgeführten Back-Ups auch problemlos wiederherstellen können.

4. Tipp: Redundante IT-Systeme

Bauen Sie Ihre IT-Systeme so auf, dass geschäftskritische Prozesse auch weiterlaufen können, wenn eines Ihrer Systeme mit einer Ransomware infiziert ist.

5. Tipp: Zugriffsrechte kritisch prüfen

Eine technische und organisatorische Maßnahme (TOM) kann sein, die Zugriffsrechte auf geschäftskritische Anwendungen, Daten und Services stark zu reglementieren. Je weniger Personen Zugriff auf diese wichtigen Unternehmens-Assets haben, desto unwahrscheinlicher ist es, dass sie infiziert werden.

Wir hoffen, dass wir Ihnen mit den 5 Tipps ein paar Anregungen geben konnten und Sie so vor solchen Attacken verschont bleiben. Wenn Sie Ihr Informationssicherheits-Management (ISM) samt IT-Sicherheits-Management und Asset-Management digitalisieren wollen, dann unterstützen wir Sie gerne dabei. Beispielsweise mit unserem browserbasierten GRC-COCKPIT. Mit dieser Software können Sie Ihr ISM nach BSI IT-Grundschutz digital aufbauen.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit:  daniel.strassberger@saviscon.de

 

Business Continuity Management: Was ist das?

BSI Standard 200-4: Ein weiteres Management-System?

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Anfang 2021 hat das Bundesamt für die Sicherheit in der Informationstechnik (BSI) den Community Draft (CD) des „Standards 200-4 Business Continuity Management (BCM)“ vorgestellt. Dieser Standard soll in der zweiten Jahreshälfte 2021 den bisher gültigen „Standard 100-4 Notfallmanagement“ ablösen. Doch was ist Business Continuity Management überhaupt? Müssen wir von vorne anfangen und ein neues Managementsystem aufsetzen? Das besprechen wir in diesem Blog-Beitrag:

Was ist Business Continuity Management?

Mit Business Continuity Management ist gemeint, dass gefährliche Situationen, die die Geschäftsfähigkeit von Unternehmen ganz oder teilweise beeinträchtigen können, bereits im Vorfeld identifiziert und antizipiert werden. Für den Fall eines Eintritts werden dann entsprechende Vorsorgestrategien und Maßnahmen entwickelt. So soll erreicht werden, dass die Geschäftsfähigkeit in Notfällen nicht zum Erliegen kommt, beziehungsweise schnellstmöglich wieder hergestellt werden kann, und das Unternehmen nicht durch das Ereignis gefährdet wird.

Wie startet man mit BCM?

Als erstes wird das Unternehmen analysiert und alle unternehmenskritischen Prozesse evaluiert. Diese wesentlichen Prozesse werden dann im nächsten Schritt in den Fokus genommen. In einem Risikoassessment muss evaluiert werden, welche Risiken es in Bezug auf diese Prozesse gibt, die potenziell existenzgefährdend sind. Es werden dann Vorsorge-Maßnahmen definiert, durch die das Unternehmen bereits im Vorhinein geschützt werden kann. Welche wesentlichen Risiken es für kleine und mittelständische Unternehmen gibt, haben wir bereits in einem anderen Blog-Beitrag behandelt: Wesentliche Risiken für kleine und mittelständische Unternehmen.

Im Grunde unterliegt das Business Continuity Management, wie alle gängigen Management-Systeme – auch dem Plan-Do-Act-Check-Zyklus (PDCA-Zyklus) und ist Teil eines kontinuierlichen Verbesserungsprozesses:

PDCA Grafik

Standard 100-4 vs. 200-4

Jetzt fragen Sie sich vielleicht: Ist meine bisherige Arbeit zum Standard 100-4 hinfällig? Nein, ist sie nicht! Denn das Notfallmanagement ist nach wie vor Teil des Business Continuity Managements. Oben haben wir von Vorsorgemaßnahmen (proaktiv) gesprochen. Doch tritt ein katastrophales Ereignis trotz allem ein, werden die Notfallmaßnahmen (reaktiv) ja trotzdem benötigt. Sie können alles bisher Erarbeitete also weiterverwenden und ergänzen. Der weiterentwickelte Standard beschreibt, wie die Synergien zwischen ISMS und BCMS sowie Krisenmanagement optimal genutzt und wo Schnittstellen sinnvoll eingebaut werden können.

Stufenmodell BSI Standard 200-4

Der Standard 200-4 ist ein Stufenmodell mit unterschiedlichen Vorgehensweisen. So kann jede Institution, je nach Art, Größe und Branche, den passenden Einstieg wählen:

Reaktiv-BCMS

Das Reaktive-BCMS ist vor allem für Unternehmen geeignet, die als Ziel haben, besonders für mögliche Notfälle gewappnet zu sein und schnell reagieren zu können. Dabei greifen die Unternehmen auf bereits vorhandene Sicherheits- und Vorsorgemaßnahmen zurück und setzen sich nur mit ausgewählten, zeitkritischen Unternehmensprozessen auseinander. Andere BCM-Maßnahmen werden beim Reaktiv-BCM vorerst zurückgestellt, weil die Analyse im ersten Schritt zu aufwändig wäre. Dies wird dann beim Wechsel in das Aufbau- bzw. Standard-BCMS nachgeholt. Dieser Wechsel ist nötig, denn das Reaktiv-BCMS stellt nur einen stark vereinfachten Einstieg dar und muss zum Aufbau bzw. Standard-BCMS weiterentwickelt werden.

Zusammenfassend halten wir fest:

  • dient als vereinfachter Einstieg
  • Notfallbewältigung wird ermöglicht
  • Fokus liegt auf den „überlebensnotwendigen“, zeitkritischen Geschäftsprozessen

Aufbau-BCMS

Auch das Aufbau-BCMS steht für den Schutz von zeitkritischen Geschäftsprozessen und Assets eines Unternehmens. Hierbei wird zunächst der Prozessumfang eines Geltungsbereiches näher analysiert und innerhalb des BCM abgesichert. Vorteil gegenüber dem Standard-BCMS: Die Unternehmen können ihre zeitlichen- und personellen Ressourcen schrittweise festlegen und nach dem ersten Zyklus mit den gewonnenen Erfahrungen anpassen und verbessern. Unternehmen, die über geringe Erfahrungswerte verfügen und ihr BCMS schrittweise sowie risikoorientiert aufbauen wollen, sind mit dem Aufbau-BCMS gut beraten.

Zusammenfassend halten wir fest:

  • erleichtert den Übergang zum Standard-BCMS
  • Formalisierung der Methodik
  • zusätzliche Geschäftsprozesse werden betrachtet

Standard-BCMS (mit ISO 22301:2019 kompatibel)

Beim Standard-BCMS werden alle Geschäftsprozesse analysiert, die im Geltungsbereich des BCM liegen. Das entspricht laut BSI einem vollständigen und angemessenen BCMS und wird allen Stakeholdern gerecht. Mit Einführung des Standard-BCMS werden alle zeitkritischen Geschäftsprozesse entsprechend des Ausfallrisikos mittels Vorsorge- und Notfallmaßnahmen abgesichert. Wenn ein Unternehmen diesen Status erreicht hat, kann es sich für die Zertifizierung nach ISO-Standard 22301 qualifizieren.

Zusammenfassend halten wir fest:

  • Empfehlung vom BSI für alle Institutionen
  • vollständiges BCM
  • ISO 22301 kompatibel
  • Untersuchung aller Geschäftsprozess

Reicht mein ISMS noch aus?

Laut BSI reicht ein reguläres Informationssicherheits-Management-System (ISMS) nicht mehr aus. Ein Business Continuity Management-System (BCMS) gehe tiefer, da es beschreibt, wie der Geschäftsbetrieb, falls er ausgefallen ist, so schnell wie möglich wieder aufgenommen werden kann. Daher müsse es als ein weiteres, korrespondierendes Management-System eingeführt werden.

Wir empfehlen im Sinne der Digitalisierung, dass sich Unternehmen beim Neuaufbau Ihres BCM (oder generell eines jeden Management Systems) direkt für eine Umsetzung in einer geeigneten Software entscheiden, die alle Management-Systeme abbilden kann und die einzelnen Risiken und Maßnahmen sinnvoll miteinander verbindet.

Genau das machen wir im SAVISCON GRC-COCKPIT. So können die Risiken und Gegenmaßnahmen auch abteilungsübergreifend und Management-System übergreifend durchgängig und effizient erfasst werden. Alle notwendigen Informationen sind in konsolidierter Form im System vorhanden. Im Übrigen wird durch die Dokumentation im GRC-COCKPIT auch der jeweilige Audit-Prozess pro Management-System wesentlich effizienter abgewickelt werden können.

Grafik Management-Systeme

Die Management-Systeme eines Unternehmens.

Wann erscheint die finale Fassung des Standard 200-4?

Bis Juni 2021 konnte der Community Draft kommentiert werden. Im Nachgang werden die Kommentare eingearbeitet und die Veröffentlichung des finalen Standards ist für die zweite Jahreshälfte geplant. Ein genaues Datum steht nicht fest, da man den Umfang des Anwender-Feedbacks nicht einschätzen kann. Sobald der Standard 200-4 vom BSI offiziell herausgegeben wird, werden wir Sie hier informieren.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446

Quellen:

BSI-Webseite: BSI-Standard 200-4

Community Draft BSI-Standard 200-4

Informationssicherheit vs. IT-Sicherheit:

Wo liegt der Unterschied?

von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH

Im Zuge der fortschreitenden Vernetzung und Digitalisierung nimmt die Informationssicherheit (IS) eine immer bedeutendere Rolle ein. Grade jetzt, während der Corona-Pandemie, haben viele Unternehmen, zumindest teilweise, auf Arbeit aus dem Homeoffice umgestellt. Das hat zur Folge, dass viele Geschäftsdaten nicht nur intern vor Ort, sondern auch über das Internet übertragen werden. Zudem haben mehrere medial viel diskutierte Ransomware-Angriffe in letzter Zeit gezeigt, welche gravierenden Auswirkungen der Verlust von Informationen haben kann.

Um die eigenen Geschäftsprozesse, aber auch die personenbezogenen Daten der Mitarbeiter und Kunden zu schützen, bietet es sich also an entsprechende Maßnahmen zu implementieren. Dabei tauchen vorrangig zwei Begriffe auf: Informationssicherheit und IT-Sicherheit. Da mag man sich fragen: Wo liegt der Unterschied?

Definition Informationssicherheit

Um einen Vergleich vornehmen zu können, schauen wir uns zunächst die beiden Begriffe etwas näher an. Das Bundesamt für Sicherheit in der Informationstechnik definiert im IT-Grundschutz Standard 200-1 die Informationssicherheit wie folgt:

„Informationssicherheit hat das Ziel, Informationen jeglicher Art und Herkunft zu schützen.“

Der klassische Ansatz dabei ist die Definition von Sicherheitszielen (auch Schutzzielen), üblicherweise sind das zunächst Vertraulichkeit, Integrität und Verfügbarkeit. Man möchte also verhindern, dass unberechtigte Personen auf Informationen zugreifen, sie verändern oder entwenden. Wichtig bei dem Zitat ist das Wort „jeglicher“. Informationen liegen nicht nur auf Servern oder Festplatten, sondern auch in Aktenordnern und besonders in den Köpfen von Menschen. Außerdem sind Informationen nicht nur Rezepte, Quellcode oder Steuernummern, auch das (Fach-) Wissen der Mitarbeiter sind wertvolle Informationen.

Definition IT-Sicherheit

Das BSI definiert IT-Sicherheit wie folgt:

„IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.“

Da haben wir es also: IT-Sicherheit ist ein Teilbereich der Informationssicherheit. Da heutzutage die meisten Informationen in elektronischer Form gespeichert sind, ist das Absichern von Servern, Netzwerken und Computern ein sehr wichtiger Aspekt. Daher wird oft generell von IT-Sicherheit gesprochen, das macht sich auch bei der Bezeichnung IT-Grundschutz bemerkbar, obwohl es sich dabei um ein Informationssicherheitsmanagementsystem (ISMS) handelt. Außerdem hat IT-Sicherheit zwei Silben weniger, wohl auch ein Grund, weshalb dieser Begriff gerne synonym zur Informationssicherheit verwendet wird.

IT-Sicherheit in der Praxis

Wir wissen nun, dass Informationssicherheit und IT-Sicherheit unterschiedliche Bedeutungen haben, aber wie wirken sich die beiden Konzepte in der Praxis aus? Wenn ein Unternehmen daran interessiert ist, seine Informationen zu schützen, bietet es sich natürlich zunächst an zur IT-Abteilung zu gehen und sie damit zu beauftragen Passwörter einzurichten, Datenbanken zu verschlüsseln und die Zugriffe zu überwachen. Hier sieht man, dass IT-Sicherheit vorrangig technische Kenntnisse benötigt. Das Unternehmen hat so zwar einige Maßnahmen umgesetzt, aber zum ersten ist nur ein kleiner Teilbereich der IT abgesichert und zum zweiten fehlt der systematische Aufbau. Wie kann das Unternehmen sicher sein, nichts vergessen zu haben? Sind diese Maßnahmen in sechs Monaten noch gut genug?

Informationssicherheit in der Praxis

Bei der Informationssicherheit muss das Unternehmen als Ganzes betrachtet werden – oder zumindest ein klar definierter Teilbereich. Das wird dann als Geltungsbereich oder Informationsverbund bezeichnet. Außerdem sind Informationen nicht nur Bits und Bytes, sondern, wie wir weiter oben bereits festgestellt haben: „Informationen jeglicher Art und Herkunft“. Jedes Unternehmen muss erst einmal feststellen, welche Informationen wichtig sind, wo werden sie gespeichert, über welche Kanäle werden sie kommuniziert? Dazu muss die eigene Organisation abgebildet werden. Dazu wird üblicherweise mit dem Top-Down-Ansatz gearbeitet: Was sind die Hauptgeschäftsfelder, welche IT-Systeme werden genutzt, welche Programme laufen darauf? Werden die Dienste von Cloud-Anbietern genutzt, sind diese vielleicht sogar außerhalb der EU ansässig? Unterliegen Sie aufgrund Ihrer Geschäftstätigkeit bestimmten rechtlichen Anforderungen? Diese Überlegungen sind der Grundstein für erfolgreiches Arbeiten in der Informationssicherheit. Denn nur wenn Unternehmen ihre Organisation kennen, können Sie sie überhaupt erst richtig absichern.

Screenshot GRC-COCKPIT Asset Übersicht

Übersichtliche, grafische Darstellung aller Assets eines Unternehmens in unserem GRC-COCKPIT.

Persönliche Erfahrung als Informationssicherheitsbeauftragter

Anschließend brauchen Sie ein System, um die verschiedenen Abteilungen und möglicherweise die einzelnen Standorte Ihres Unternehmens zu koordinieren. Dabei wird auch schnell klar: Informationssicherheit kann nicht einfach als Glaskugel über eine Organisation gesetzt werden. Vielmehr muss sie ein Teil Ihrer Unternehmenskultur werden. Der Informationssicherheitsbeauftragte braucht die Unterstützung aller Mitarbeiter, eine gute Zusammenarbeit mit den Fachbereichsleitungen und nicht zuletzt auch Ressourcen und Bestärkung durch die Geschäftsführung.

Ein solches Informationssicherheitsmanagementsystem kann sehr umfangreich sein und erfordert besonders am Anfang eine Menge Dokumentations- und Vorbereitungsaufwand auf strategischer Ebene. Auch im laufenden Betrieb kann es sehr schnell unübersichtlich werden. Uns hilft das GRC-COCKPIT dabei den Überblick über alle Informationen und Abhängigkeiten zu behalten.

Screenshot GRC-COCKPIT Detailansicht Assets

Alles auf einen Blick: Risiken, Maßnahmen & Verknüpfungen in unserem GRC-COCKPIT.

Fazit

Informationssicherheit wird in der heutigen digitalen Landschaft nicht ohne IT-Sicherheit auskommen. Trotzdem ist es meiner Meinung nach wichtig die beiden Konzepte strikt voneinander zu trennen, denn sie brauchen ganz unterschiedliche Kenntnisse und stellen einen vor unterschiedliche Herausforderungen. Natürlich hilft es als Informationssicherheitsbeauftragter zumindest oberflächliche Erfahrung mit den technischen Aspekten der IT-Sicherheit zu haben, allein um die Kommunikation mit der IT zu erleichtern. Aber wenn Sie mich fragen, ob ich Informationssicherheit oder IT-Sicherheit mache, dann kann ich Ihnen eine klare Antwort geben: Bei IT-Sicherheit sammle ich weiter Erfahrungen, meine Umsetzung des ISMS bei der SAVISCON GmbH dagegen macht sehr gute Fortschritte. Dazu mehr in einem unserer nächsten Blog-Beiträge aus dem Projekt GRC@SAVISCON.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit:  daniel.strassberger@saviscon.de

Was muss ich beim Aufsetzen eines ISMS beachten?

Drei Erfolgsfaktoren für das Aufsetzen eines ISMS

Ein grundlegender Erfolgsfaktor für das Einführen eines Informationssicherheitsmanagementsystems (ISMS) ist das organisatorische Aufsetzen und Einbetten in die Gesamtorganisation. In diesem Artikel erfahren Sie die drei wesentlichen Punkte, die Sie bereits beim Aufsetzen Ihres ISMS beachten sollten.

1. Ableitung von der Geschäftsstrategie:

Sie erhöhen die Sinnhaftigkeit und Wertschätzung des ISMS, wenn es stark mit der Geschäftsstrategie Ihrer Organisation verdrahtet ist. Ein gutes Verständnis der Geschäftsstrategie ermöglicht Ihnen besser zu berücksichtigen welche Informationswerte von wesentlicher Bedeutung für Ihr Unternehmen sind. Dies können Sie bei der Gestaltung der Informationssicherheits-Strategie einfließen lassen. Außerdem hilft Ihnen die Demonstration des Geschäftsverständnisses bei dem ständigen Dialog mit Organisationseinheiten, da Sie eine gemeinsame Gesprächsgrundlage haben.

2. Hohes Management-Commitment:

Das erlangte Verständnis über die Geschäftsstratgie wird sich spätestens zur Erhöhung des Management-Commitments bezahlt machen. Präsentieren Sie dem Top-Management das ISMS als Business Case. Erläutern Sie, wie durch das ISMS wesentliche Geschäftsrisiken mitigiert, Wettbewerbsvorteile erzielt und gleichwohl neue Werte geschaffen werden können. Im Idealfall kann das ISMS Gewinn- und Umsatz Ihrer Organisation sogar steigern (bspw. wenn Sie IT-Dienstleister sind und Ihre Kunden ein wirksames ISMS als zusätzlichen Wert betrachten). Auch nach dem Aufsetzen des ISMS ist ein stetiger Dialog mit Top-Management wichtig, um den langfristigen Fortbestand zu sichern. Dabei steht das Management in der Verantwortung Änderungen an dem ISMS (wie bspw. neue oder geänderte Policies) freizugeben. Gleichwohl stehen Sie als Informations-Sicherheits-Manager in der Verantwortung wesentliche Informationen bedarfsgerecht für das Management bereitzustellen. Empfehlenswert ist eine Kombination aus regelmäßigem Reporting (bspw. quartalsweise) und Adhoc-Reporting bei wesentlichen Änderungen oder Zwischenfällen.

3. Dialog mit Organisationseinheiten:

Die Schnittstellen des ISMS mit den Fachabteilungen und Asset (Informationswert) Ownern ermöglichen erst das ISMS mit Leben zu füllen. In den meisten Fällen tragen die Fachabteilungen bzw. deren Führungskräfte die organisatorische Verantwortung für Informationswerte und sind somit auch für deren Schutz verantwortlich. Sie kennen also auch die Bedeutung der Informationswerte und sind Ihr Ansprechpartner beim Risiko-Management. Wenn Sie einen offenen Dialog mit den Organisationseinheiten erschaffen haben, wird das kontinuierliche Risiko-Management eine viel höhere Qualität erreichen. Das typische Problem, dass Risiken „totgeschwiegen“ werden, kann damit sehr gut von Ihnen adressiert werden.

Fazit: Der Erfolg von Ihrem ISMS kann schon sehr früh maßgeblich durch das korrekte Aufsetzen beeinflusst werden. Beim Aufsetzen des ISMS ist eine geschäftsorientierte Integration in die Organisation entscheidend. Was meinen Sie: Welche Faktoren sind für das Aufsetzen eines ISMS besonders wichtig? Wir freuen uns über einen Austausch in den Kommentaren.