IT-Grundschutz

Hier lesen Sie alle Blog-Beiträge zum Thema IT-Grundschutz.

Schlagwortarchiv für: IT-Grundschutz

Practice what you preach 2.0

Ein Resümee nach einem Jahr Programm GRC@SAVISCON

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Rückblick: Vor fast einem Jahr haben wir in der SAVISCON GmbH das Programm GRC@SAVISCON gestartet. In meinem allerersten Blog-Beitrag vom 14.01.2021 habe ich beschrieben, wie wir das Programm angegangen sind. Seitdem haben wir in verschiedenen Blogs einerseits erläutert, wie wir inhaltlich arbeiten und vorangekommen sind, andererseits haben wir generelle Tipps rund um Risiko- Compliance-, Informationssicherheits- und Datenschutz-Management gegeben.

Nun, nach einem Jahr Programlaufzeit, möchte ich zusammenfassen, wo wir stehen, welche Hürden wir genommen haben, wie wir weiter machen und uns noch mehr verbessern wollen.

Motivierter Start in die GRC-Projekte

Also, wir sind Anfang 2021 mit großem Elan in das Programm gestartet. Die Projektleiter wurden benannt und wir haben den Zeitplan festgelegt. Wie ich an anderer Stelle beschrieben habe, sind wir in vielen Dingen erst einmal pragmatisch vorgegangen:

  • Risiko-Management: Wir haben im Team alle Risiken gesammelt, die wir für das Unternehmen sehen.
  • Compliance-Management: Wir haben in einem Brainstorming geschaut, welche gesetzliche Normen wir zu erfüllen haben.
  • ISMS: Wir haben angefangen eine IT-Strukturanalyse durchzuführen
  • Datenschutz: Wir haben die einzelnen Kapitel der DSGVO angeschaut und begonnen, Compliance-Risiken und bereits umgesetzte Maßnahmen abzuleiten

In dem Vorgehen haben wir für ein doch noch kleines Unternehmen schon eine Menge Daten zusammengetragen. Im nächsten Schritt war also die Aufgabe, die Daten entsprechend weiter zu nutzen und zu bewerten. Hier mussten wir an der ein oder anderen Stelle zuerst konzeptionelle Schritte durchführen, die man so ja auch in den einschlägigen Normen findet. Beispiele:

Die Fortschritte im Risiko-Management

Es wurde ein Risikoleitfaden erstellt, indem wir z.B. die Schwellwerte für die Eintrittswahrscheinlichkeit und Schadenshöhe festgelegt haben, die wir in der SAVISCON nutzen wollen. Außerdem wurde der Risikoprozess unter Nutzung unseres GRC-COCKPITs beschrieben, damit jeder Mitarbeitende weiß, wie wir das machen. Dann haben wir die gesammelten Risiken analysiert, bewertet und festgestellt, dass viele doch zu kleinteilig sind, also nicht wesentlich. Die Erkenntnis war, dass es im Wesentlichen zwei Risken gab, die den Bestand der Firma gefährden und zu denen daher unmittelbar Maßnahmen getätigt werden müssen:

Risiko 1: Als inhabergeführte Firma ist der Wegfall des Inhabers und Geschäftsführers fatal

Maßnahmen: Unterschrifts- und Vertreter-Regelung und Verstärkung der Geschäftsführung. Die Implementierung des neuen Geschäftsführers haben wir zum 01.01.2022 umgesetzt. Die Formulierung der Unterschriftsregelungen sind dann zur Umsetzung im März geplant.

Screenshot aus dem GRC-COCKPIT Risiko und verknüpfte Maßnahmen

Das Risiko und die verknüpften Maßnahmen im GRC-COCKPIT.

Screenshot GRC-COCKPIT Bruttorisiko vs. Nettorisiko

Risikobewertung vor (brutto) und nach (netto) Umsetzung der Maßnahme.

Risiko 2: Abhängigkeit von einem Großkundenprojekt

Maßnahmen: Erhöhung der Wahrscheinlichkeit zur Akquise weitere Projekte durch z.B. Partnerschaften, Netzwerken, Ausbau des GRC Produkt-Standbeins, etc.
Die Fortschritte im Compliance-Management
Hier haben wir uns erst den Scope festgelegt, welche der Normen auf uns den größten Impact haben. Mit denen beschäftigen wir uns seitdem intensiver. Das führte dann auch dazu, dass wir den Datenschutz und das Compliance-Management Projekt zusammengelegt haben, da als Ergebnis unserer Compliance-Risikoanalyse der Datenschutz einerseits einer der wichtigsten Normen war, die wir am Anfang betrachten müssen, anderseits dies ja eigentlich auch eine Compliance-Betrachtung ist. Also haben wir begonnen, AV-Verträge mit allen Dienstleistern zu prüfen, bzw. neu abzuschließen und alle Prozesse, die Verarbeitungstätigkeiten darstellen, entsprechend zu dokumentieren. Und vor allem haben wir uns mit der Dokumentation der Personalprozesse dem Beschäftigtendatenschutz gewidmet.

Screenshot GRC-COCKPIT Prozess-Übersicht

Abbildung der Prozesslandschaft und Definition der Verarbeitungstätigkeiten.

Screenshot GRC-COCKPIT Personalbestandsverwaltung

Erfassung der Daten für das Verzeichnis der Verarbeitungstätigkeiten.

Außerdem haben wir ein paar kleinere Dinge erledigen können, wie Einführung einer Datenschutztonne in den Büroräumen, etc.
Neben der DSGVO haben wir uns des Weiteren mit dem GmbH-Gesetz beschäftigt. Das oben beschriebene Risiko zum Geschäftsführer zahlt beispielsweise auf den §35 „Vertretung der Gesellschaft“ ein. Und wir sind noch dabei die GoBD detaillierter zu betrachten und haben in dem Zuge z.B. das Thema E-Mail-Archivierung bereits umgesetzt. Also, es ist doch recht umfangreich und herausfordernd für unsere recht kleine Mannschaft.

Die Fortschritte im ISMS

Auch hier haben wir dann ersteinmal den Leitfaden geschrieben und – ganz wichtig – den Scope festgelegt. Wir haben uns im ersten Schritt dazu entschieden, uns auf die IT-Aspekte zu fokussieren, die mittelbar und unmittelbar mit unserem Produkt GRC-COCKPIT zusammenhängen. Festgelegtes Ziel ist es, für die Prozesse rund um Entwicklung, Test und Bereitstellung der Kundensysteme in 2022 eine ISO Zertifizierung zu erlangen. Insofern haben wir die Strukturanalyse an der Stelle zu Ende geführt, die Schutzbedarfsanalyse nach IT-Grundschutz weitestgehend abgeschlossen und sind nun in der Risikoanalyse und entsprechenden Ableitungen von zusätzlichen oder verbesserten Maßnahmen unterwegs.

Screenshot GRC-COCKPIT Asset-Übersicht

Übersicht über die Strukturanalyse und die Ergebnisse der Schutzwertanalyse (rot: besonders schützenswert).

Screenshot GRC-COCKPIT Schutzbedarfsanalyse

Schutzbedarfsanalyse im Umfeld der Kundensysteme.

Fazit:

Ein Jahr ist um und als ich mich hingesetzt habe, um diesen Blog zu schreiben, hatte ich ein wenig das Gefühl, dass ich nicht allzu viel zu berichten habe. Aber wenn man genauer hinschaut, haben wir doch sehr viel bewegt. Denn man darf ja nicht vergessen: das Tagesgeschäft und die Kundenprojekte müssen ja auch weiterlaufen, das ist schließlich der Grund, warum die SAVISCON als Wirtschaftsunternehmen gegründet wurde.
Dementsprechend kann ich nur sagen: Rom wurde auch nicht an einem Tag erbaut. Man darf nicht die Vorstellung haben, dass man ein Compliance- oder Risiko-Management oder ein ISMS mit ein paar Köpfen in ein paar Wochen komplett hinstellt. Das ist ein Prozess, mit Lernkurven und viel notwendigem Austausch. Aber man wird feststellen, dass, wenn man kontinuierlich daran arbeitet, die Mannschaft und das System immer wieder ein Stück besser werden. Und damit ist für das Thema GRC eine Menge gewonnen.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: 040 80 90 81 446

Informationssicherheit vs. IT-Sicherheit:

Wo liegt der Unterschied?

von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH

Im Zuge der fortschreitenden Vernetzung und Digitalisierung nimmt die Informationssicherheit (IS) eine immer bedeutendere Rolle ein. Grade jetzt, während der Corona-Pandemie, haben viele Unternehmen, zumindest teilweise, auf Arbeit aus dem Homeoffice umgestellt. Das hat zur Folge, dass viele Geschäftsdaten nicht nur intern vor Ort, sondern auch über das Internet übertragen werden. Zudem haben mehrere medial viel diskutierte Ransomware-Angriffe in letzter Zeit gezeigt, welche gravierenden Auswirkungen der Verlust von Informationen haben kann.

Um die eigenen Geschäftsprozesse, aber auch die personenbezogenen Daten der Mitarbeiter und Kunden zu schützen, bietet es sich also an entsprechende Maßnahmen zu implementieren. Dabei tauchen vorrangig zwei Begriffe auf: Informationssicherheit und IT-Sicherheit. Da mag man sich fragen: Wo liegt der Unterschied?

Definition Informationssicherheit

Um einen Vergleich vornehmen zu können, schauen wir uns zunächst die beiden Begriffe etwas näher an. Das Bundesamt für Sicherheit in der Informationstechnik definiert im IT-Grundschutz Standard 200-1 die Informationssicherheit wie folgt:

„Informationssicherheit hat das Ziel, Informationen jeglicher Art und Herkunft zu schützen.“

Der klassische Ansatz dabei ist die Definition von Sicherheitszielen (auch Schutzzielen), üblicherweise sind das zunächst Vertraulichkeit, Integrität und Verfügbarkeit. Man möchte also verhindern, dass unberechtigte Personen auf Informationen zugreifen, sie verändern oder entwenden. Wichtig bei dem Zitat ist das Wort „jeglicher“. Informationen liegen nicht nur auf Servern oder Festplatten, sondern auch in Aktenordnern und besonders in den Köpfen von Menschen. Außerdem sind Informationen nicht nur Rezepte, Quellcode oder Steuernummern, auch das (Fach-) Wissen der Mitarbeiter sind wertvolle Informationen.

Definition IT-Sicherheit

Das BSI definiert IT-Sicherheit wie folgt:

„IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.“

Da haben wir es also: IT-Sicherheit ist ein Teilbereich der Informationssicherheit. Da heutzutage die meisten Informationen in elektronischer Form gespeichert sind, ist das Absichern von Servern, Netzwerken und Computern ein sehr wichtiger Aspekt. Daher wird oft generell von IT-Sicherheit gesprochen, das macht sich auch bei der Bezeichnung IT-Grundschutz bemerkbar, obwohl es sich dabei um ein Informationssicherheitsmanagementsystem (ISMS) handelt. Außerdem hat IT-Sicherheit zwei Silben weniger, wohl auch ein Grund, weshalb dieser Begriff gerne synonym zur Informationssicherheit verwendet wird.

IT-Sicherheit in der Praxis

Wir wissen nun, dass Informationssicherheit und IT-Sicherheit unterschiedliche Bedeutungen haben, aber wie wirken sich die beiden Konzepte in der Praxis aus? Wenn ein Unternehmen daran interessiert ist, seine Informationen zu schützen, bietet es sich natürlich zunächst an zur IT-Abteilung zu gehen und sie damit zu beauftragen Passwörter einzurichten, Datenbanken zu verschlüsseln und die Zugriffe zu überwachen. Hier sieht man, dass IT-Sicherheit vorrangig technische Kenntnisse benötigt. Das Unternehmen hat so zwar einige Maßnahmen umgesetzt, aber zum ersten ist nur ein kleiner Teilbereich der IT abgesichert und zum zweiten fehlt der systematische Aufbau. Wie kann das Unternehmen sicher sein, nichts vergessen zu haben? Sind diese Maßnahmen in sechs Monaten noch gut genug?

Informationssicherheit in der Praxis

Bei der Informationssicherheit muss das Unternehmen als Ganzes betrachtet werden – oder zumindest ein klar definierter Teilbereich. Das wird dann als Geltungsbereich oder Informationsverbund bezeichnet. Außerdem sind Informationen nicht nur Bits und Bytes, sondern, wie wir weiter oben bereits festgestellt haben: „Informationen jeglicher Art und Herkunft“. Jedes Unternehmen muss erst einmal feststellen, welche Informationen wichtig sind, wo werden sie gespeichert, über welche Kanäle werden sie kommuniziert? Dazu muss die eigene Organisation abgebildet werden. Dazu wird üblicherweise mit dem Top-Down-Ansatz gearbeitet: Was sind die Hauptgeschäftsfelder, welche IT-Systeme werden genutzt, welche Programme laufen darauf? Werden die Dienste von Cloud-Anbietern genutzt, sind diese vielleicht sogar außerhalb der EU ansässig? Unterliegen Sie aufgrund Ihrer Geschäftstätigkeit bestimmten rechtlichen Anforderungen? Diese Überlegungen sind der Grundstein für erfolgreiches Arbeiten in der Informationssicherheit. Denn nur wenn Unternehmen ihre Organisation kennen, können Sie sie überhaupt erst richtig absichern.

Screenshot GRC-COCKPIT Asset Übersicht

Übersichtliche, grafische Darstellung aller Assets eines Unternehmens in unserem GRC-COCKPIT.

Persönliche Erfahrung als Informationssicherheitsbeauftragter

Anschließend brauchen Sie ein System, um die verschiedenen Abteilungen und möglicherweise die einzelnen Standorte Ihres Unternehmens zu koordinieren. Dabei wird auch schnell klar: Informationssicherheit kann nicht einfach als Glaskugel über eine Organisation gesetzt werden. Vielmehr muss sie ein Teil Ihrer Unternehmenskultur werden. Der Informationssicherheitsbeauftragte braucht die Unterstützung aller Mitarbeiter, eine gute Zusammenarbeit mit den Fachbereichsleitungen und nicht zuletzt auch Ressourcen und Bestärkung durch die Geschäftsführung.

Ein solches Informationssicherheitsmanagementsystem kann sehr umfangreich sein und erfordert besonders am Anfang eine Menge Dokumentations- und Vorbereitungsaufwand auf strategischer Ebene. Auch im laufenden Betrieb kann es sehr schnell unübersichtlich werden. Uns hilft das GRC-COCKPIT dabei den Überblick über alle Informationen und Abhängigkeiten zu behalten.

Screenshot GRC-COCKPIT Detailansicht Assets

Alles auf einen Blick: Risiken, Maßnahmen & Verknüpfungen in unserem GRC-COCKPIT.

Fazit

Informationssicherheit wird in der heutigen digitalen Landschaft nicht ohne IT-Sicherheit auskommen. Trotzdem ist es meiner Meinung nach wichtig die beiden Konzepte strikt voneinander zu trennen, denn sie brauchen ganz unterschiedliche Kenntnisse und stellen einen vor unterschiedliche Herausforderungen. Natürlich hilft es als Informationssicherheitsbeauftragter zumindest oberflächliche Erfahrung mit den technischen Aspekten der IT-Sicherheit zu haben, allein um die Kommunikation mit der IT zu erleichtern. Aber wenn Sie mich fragen, ob ich Informationssicherheit oder IT-Sicherheit mache, dann kann ich Ihnen eine klare Antwort geben: Bei IT-Sicherheit sammle ich weiter Erfahrungen, meine Umsetzung des ISMS bei der SAVISCON GmbH dagegen macht sehr gute Fortschritte. Dazu mehr in einem unserer nächsten Blog-Beiträge aus dem Projekt GRC@SAVISCON.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit:  daniel.strassberger@saviscon.de

GRC@SAVISCON: IT-Sicherheit

Schutzbedarfsfeststellung – und jetzt?

von Ingo Simon, Geschäftsführer bei der SAVISCON GmbH

Im letzten Beitrag aus unserer Reihe GRC@SAVISCON hat Uwe Straßberger über Risikobewertungen geschrieben. Jetzt geht‘s wieder um die IT-Sicherheit. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance– und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: IT-Sicherheit.

IT-Sicherheit: Sprint oder Marathon?

In unserem letzten Beitrag zum Thema IT-Sicherheit haben wir bereits beschrieben, wie wir unsere Assets gesammelt und in eine grobe Struktur gebracht haben. Inzwischen konnten wir unsere IT-Landschaft inklusive aller gehosteten Systeme ins GRC-COCKPIT aufnehmen und dokumentieren. Bis wir eine für uns handhabbare Struktur gefunden und die einzelnen Assets in diese Struktur einsortiert haben, hat es allerdings ein wenig gedauert. Die Diskussionen dazu waren nicht immer einfach – jeder hat seine individuelle Sicht auf die Dinge und sortiert bzw. verknüpft die Assets im Kopf anders. Wir haben nun eine Asset-Sicht, mit der wir erst einmal arbeiten wollen und die gut in unserem GRC-COCKPIT zu visualisieren ist. Wieder einmal haben wir festgestellt: IT-Sicherheit ist ein Prozess, der sich auf dem Weg weiterentwickelt. Also definitiv ein Marathon und kein Sprint.

Schutzbedarfsanalyse nach BSI

Auf der Basis unserer Asset-Struktur haben wir dann den Schutzbedarf der einzelnen Assets analysiert und dokumentiert. Dazu orientierten wir uns an den drei Standard-Grundwerten des Bundesamts für Sicherheit in der Informationstechnik (BSI): Vertraulichkeit, Integrität und Verfügbarkeit. Im GRC-COCKPIT können noch weitere Grundwerte selbst konfiguriert werden, aber wir haben uns erst einmal auf diese drei beschränkt. Eine Herausforderung liegt darin, den Schutzbedarf nicht nur aus dem Bauch heraus mit „normal“, „hoch“ oder „sehr hoch“ zu kategorisieren, sondern auch eine sinnvolle Begründung zu ergänzen, die die Auswahl der eingetragenen Kategorie rechtfertigt bzw. erläutert.

Beispiel Schutzbedarfsfeststellung

Am Beispiel der Fritz!Box im Büro kann man das gut erläutern: Für den Grundwert Verfügbarkeit trugen wir zu Beginn ein „sehr hoch“ ein. Schließlich braucht man ja im Office ein funktionierendes LAN/WLAN. Aber dann fiel uns auf, dass bei einem Ausfall eigentlich immer mit einem mobilen Gerät, also Handy oder Tablet, ein Backup zur Verfügung steht, mit dem ich in LTE-Geschwindigkeit auch mobil die Verbindung nach außen habe. Damit reicht für die Fritz!Box auch eine Verfügbarkeit „hoch“ oder sogar „normal“, weil die MitarbeiterInnen ohnehin derzeit im Homeoffice arbeiten. Zumindest hier im Hamburger Stadtgebiet. Auf dem Land sieht das möglicherweise ganz anders aus und die Standleitung ist da tatsächlich der heiße Draht zur Außenwelt.

Screenshot aus dem GRC-COCKPIT

Blick ins GRC-COCKPIT: So haben wir die Schutzbedarfsfeststellung für unseren FRITZ!Box Router im Büro umgesetzt.

Ach ja, Stichwort Homeoffice: Das muss natürlich bei der Schutzbedarfsanalyse mit einbezogen werden. Wir haben das unter den Standorten miterfasst und die Ausrüstung ist auch jeweils abgebildet, da bei uns jeder seinen eigenen Laptop hat, mit dem er oder sie auch im Homeoffice arbeitet.

Schutzbedarf festgestellt – und jetzt?

Was passiert als nächstes? Wir weichen da in der Reihenfolge ein wenig von der Vorgehensweise des BSI ab. In der aus unserer Sicht großartigen Arbeitshilfe des BSI, in dem am Beispiel der virtuellen RECPLAST GmbH die IT-Grundschutz Methodik von Anfang bis Ende durchgeführt wird, folgt nach der Schutzbedarfsfeststellung die sogenannte Modellierung des Unternehmens. Dort wird auf Basis der dokumentierten Assets geschaut, welche Anforderungen, aus welchen der zehn IT-Grundschutzbausteinen für das Unternehmen überhaupt zutreffen. Das ist notwendig, um dann schlank weiter in die Risikoanalyse zu gehen.

Wir haben uns entschieden, einen anderen Schritt vorzuziehen: Für alle Assets mit der Kategorie „sehr hoch“ in einem oder mehreren Grundwerten, dokumentieren wir erst einmal die Maßnahmen, die wir sowieso schon durchführen oder geplant haben, um entsprechend sicher unterwegs zu sein. So haben wir selbstverständlich das Standardpasswort der Fritz!Box bei Inbetriebnahme geändert. Die Durchführung der Maßnahme wollen wir im GRC-COCKPIT entsprechend dokumentieren. Denn in der Regel ist es ja so, dass schon eine Menge Maßnahmen etabliert sind, die man erst einmal einsammeln und aufschreiben muss. Das spart am Ende dann Arbeit.

…to be continued:

Hier die Zusammenfassung unserer Erkenntnisse:

  • Diskussionen sind wichtig: geben Sie ihnen Zeit und Raum, um eine zufriedenstellende Asset-Sicht auszuarbeiten
  • IT-Sicherheit ist ein Marathon und kein Sprint
  • Nicht immer ist der Schutzbedarf so hoch, wie man ihn im ersten Moment einschätzt
  • Die Arbeitshilfen des BSI sind großartig, jedoch nicht in Stein gemeißelt – man kann die Schritte flexibel den eigenen Bedürfnissen anpassen
  • Es kann sinnvoll sein die bereits bestehenden und geplanten Maßnahmen vorab zu sammeln

Im nächsten Blog-Beitrag schauen wir gemeinsam in das Projekt Compliance-Management: GoBD – was hat sich geändert?

Über den Autor:

Foto Ingo Simon

Ingo Simon (Geschäftsführer SAVISCON GmbH)

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de

IT-Sicherheit im krisenbedingten Homeoffice

Mit dem BSI IT-Grundschutz gut gerüstet

von Ingo Simon, Geschäftsführer bei der SAVISCON GmbH

Durch die Corona-Krise ist die Zahl der Arbeitnehmer im Homeoffice signifikant angestiegen. Eine aktuelle Studie des ifo Instituts hat herausgefunden, dass im Februar 2021 rund 30 Prozent der deutschen Arbeitnehmer zumindest zeitweise im Homeoffice gearbeitet haben. Und noch ist kein Ende in Sicht: Am 3. März haben sich Bund und Länder auf eine Verlängerung des Homeofficegebots bis zunächst Ende April 2021 geeinigt. Doch wie ist es um die IT-Sicherheit im Homeoffice bestellt? Der oftmals dürftige IT-Wissensstand der Homeoffice-Neulinge und die massenhafte plötzliche Umstellung auf das Arbeiten von zu Hause stellen Geschäftsführer und Chief Information Security Officer (CISO) vor besondere Herausforderungen bei der IT-Sicherheit. Denn auch und gerade in Krisenzeiten muss diese den Schutzzielen Vertraulichkeit, Verfügbarkeit und Integrität gerecht werden.

In diesem Beitrag zeigen wir einige Beispiele aus dem IT-Grundschutz auf, die zur IT-Sicherheit im Homeoffice beitragen.

Als erstes schauen wir auf den Baustein des Informations-Management Systems: ISMS.1.A7 Festlegung von Sicherheitsmaßnahmen sagt aus: Im Rahmen des Sicherheitsprozesses MÜSSEN für die gesamte Informationsverarbeitung ausführliche und angemessene Sicherheitsmaßnahmen festgelegt werden. Das gilt natürlich auch für das Homeoffice. Und das umso mehr für die Unternehmen, die Homeoffice bzw. Telearbeitsplätze bisher nicht im Repertoire hatten. Die nächste wichtige Anforderung kommt gleich danach: ISMS.1.A8 Integration der Mitarbeiter in den Sicherheitsprozess besagt: Alle Mitarbeiter MÜSSEN in den Sicherheitsprozess integriert sein, das heißt, sie müssen über Hintergründe und Gefährdungen informiert sein und Sicherheitsmaßnahmen kennen und umsetzen, die ihren Arbeitsplatz betreffen. Das kann in Form eines Homeoffice-Leitfadens geschehen, auf den wir noch genauer eingehen werden.

Vorbereitung und Ausrüsten des Homeoffice:

Wenden wir den Blick nun auf den Infrastruktur-Baustein des IT-Grundschutz. In INF.8: Häuslicher Arbeitsplatz sind die Bedingungen dafür definiert, wie der häusliche Arbeitsplatz aus Sicht der Infrastruktur aussehen soll. Im derzeitigen Krisenszenario ist das für die ad-hoc Homeoffice-Nutzer sicher kaum voraussetzbar, da es sich ja in der Regel nicht um einen sogenannten Telearbeitsplatz handelt, also die geplante Version des Homeoffice. Trotzdem sollten diese Anforderungen als Empfehlung Teil eines Homeoffice-Leitfadens sein.

Absicherung von Remote-Zugängen

Werden wir konkret: Es beginnt damit, dass sich ein Mitarbeiter in das heimische WLAN einloggt. Die Anforderung aus dem Baustein Netzwerke und Kommunikation sagt im Kapitel NET.4.1: TK-Anlagen in der Anforderung NET.4.1.A3, dass Standardpasswörter von WLAN Routern geändert werden MÜSSEN. Sollten Mitarbeiter im Homeoffice dies nicht berücksichtigen, stellt das ein wesentliches Sicherheitsrisiko dar und öffnet Türen für den Zugriff auf Unternehmensdaten und -ressourcen. Erst im Januar 2020 berichtet das amerikanische Tech-Portal ZDNet darüber, dass eine Liste mit über 500.000 Anmeldedaten von Geräten in einem Hackerforum veröffentlicht wurde. Helfen kann da auch die Umsetzung der Anforderung. NET.4.1.A4 Absicherung von Remote-Zugängen. Sie weist aus, dass die Zugriffe auf die Router geregelt werden sollten. Eine Anleitung, wie die heimische FRITZ!Box oder entsprechende Geräte dazu eingestellt werden sollten, passt auch gut in den Homeoffice-Leitfaden.

Datensicherhung im Homeoffice

In OPS.1.2.4.A4 Datensicherung bei der Telearbeit, wird die Notwendigkeit der Datensicherung bei der Telearbeit betont. Das ist umso wichtiger, falls der Arbeitgeber keine internen Geräte aufgrund von Lieferengpässen oder verfügbaren IT-Ressourcen bereitstellen konnte. Das dürfte bei vielen Kleinst- und Kleinunternehmen der Fall sein. Aber selbst im Umfeld unserer großen Kunden haben wir erlebt, dass durch Lieferengpässe keine Laptops in ausreichenden Mengen bereitgestellt werden konnten. Die Folge ist, dass die Mitarbeiter an ihren privaten PCs arbeiten müssen, wenn denn die Firma nicht betreten werden darf. Da ist die Datensicherung umso wichtiger.

Schutz vor Schadprogrammen

Außerdem wichtig ist dann auch der Schutz vor Schadprogrammen. Hier sieht der Baustein Betrieb in OPS.1.1.4.A3 die Auswahl eines Viren-Schutzprogrammes für Endgeräte vor. Sicher, in den allermeisten Firmen ist das auf den Firmenrechnern bereits umgesetzt, alles andere wäre grob fahrlässig. Aber wenn der Mitarbeiter mit dem privaten PC arbeiten muss, der ggf. auch noch in der Familie von mehreren Anwendern genutzt wird (Stichwort Homeschooling), ist der Firmenstandard nicht vorhanden. Wie auf dem Privatrechner agiert werden sollte, muss daher ebenfalls Teil des Homeoffice-Leitfadens sein.

Übrigens: Laut Umfrage des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) sichern gerade einmal 65 Prozent der Mitarbeiter im Homeoffice ihren Laptop mit einem Passwort ab und sogar nur 63 Prozent gaben an, einen geeigneten WLAN-Passwortschutz zu haben.

Risikofaktor Mitarbeiter

Bei Risikoszenarien spielt der „Faktor Mensch“ eine Rolle. Was für viele IT-Mitarbeiter trivial erscheinen mag, kann für einen IT-Neuling eine große Herausforderung darstellen. Deshalb ist es wichtig, dass Mitarbeiter bei IT-Themen auf Ihrem Kenntnisstand abgeholt und unterstützt werden. Das Ganze sollte in einem umfassenden Homeoffice-Leitfaden münden. Hier können neben den schon genannten Informationen weitere Anweisungen mitgegeben werden, z. B. wie darf der eigene Drucker genutzt werden? Wie entsorge ich Ausdrucke richtig – Stichwort Datenschutz? Auch eine Liste mit Rufnummern von Zuständigen, die bei IT-Problemen kontaktiert werden können, ist eine gute Idee.

Einen solchen Leitfaden für Mitarbeiter zu erstellen ist notwendig. Auch das kann aus dem IT-Grundschutz an mehreren Stellen ableiten: Im Baustein Organisation und Personal, Kapitel ORP.3: Sensibilisierung und Schulung gibt es die Anforderung für Einweisung des Personals in den sicheren Umgang mit IT (ORP.3.A3), ebenso wie die Installation eines Ansprechpartners zu Sicherheitsfragen (ORP.3.A2). Also zwei weitere wichtige Informationen für den besagten Leitfaden. Das sieht auch der Baustein Betrieb vor: OPS.1.2.4.A1 Regelungen für Telearbeit sagt u. a. aus: Alle relevanten Aspekte der Telearbeit MÜSSEN geregelt werden. Zu Informationszwecken MÜSSEN den Telearbeitern die geltenden Regelungen oder ein dafür vorgesehenes Merkblatt ausgehändigt werden, das die zu beachtenden Sicherheitsmaßnahmen erläutert […].

Auf der anderen Seite – die Firmen-IT:

Vielfach mussten in der Firmen-IT Lösungen aus dem Boden gestampft werden, um überhaupt den Zugang auf die Anwendungen und Systeme aus dem Homeoffice zu ermöglichen. Auch hier kann man aus dem IT-Grundschutz viele Anforderungen mitnehmen, z.B.: SYS.1.5.A2 Sicherer Einsatz virtueller IT-Systeme besagt: […] Weiterhin MÜSSEN die eingesetzten virtuellen IT-Systeme den Anforderungen an die Verfügbarkeit und den Datendurchsatz genügen. Im laufenden Betrieb MUSS die Performance der virtuellen IT-Systeme überwacht werden. Ein Großteil der leidgeprüften Anwender zu Hause wird hier sicher bereits die Erfahrung gemacht haben, dass das, vor allem am Anfang des Lockdowns, nicht eben gut funktioniert hat. Und das ist nur ein Beispiel, was Homeoffice für die Firmen-IT bedeutet.

Fazit

Im früheren normalen Unternehmensalltag haben Geschäftsführer und CISOs mehr Kontrollmöglichkeiten über die IT-Sicherheit gehabt, als das derzeit mit vermehrtem Homeoffice der Fall ist. In der Krise waren zu Beginn schnelle und pragmatische Lösungen gefragt. Aber Unternehmen müssen das Compliance-Management weiterhin im Blick behalten, da dieser Trend sicher noch Bestand haben wird: Es muss sichergestellt werden, dass Vertraulichkeit, Verfügbarkeit und Integrität von Informationen weiterhin gewährleistet sind und der Datenschutz berücksichtigt ist. Und wenn die Übergangslösungen bekannte Schwachstellen enthalten, müssen diese transparent sein und auch allen Mitarbeitern bewusst gemacht werden, um ein entsprechend umsichtiges Verhalten zu gewährleisten.

Weiterhin ist es ratsam, nachdem die Lösungen unter Druck geschaffen wurden, im Anschluss die Hausaufgaben zu machen. Es ist zu überprüfen, ob die Lösungen in das IT-Sicherheitskonzept passen, oder ob nachgebessert werden muss. Der Blick in die Anforderungen des IT-Grundschutz und den dazu passenden Maßnahmenkatalog aus den Umsetzungshinweisen sowie eine entsprechende Risikoabwägung hilft dabei. Wenn dann alles vernünftig, zusammenhängend und am besten in einem geeigneten System wie unserem SAVISCON GRC-COCKPIT dokumentiert ist, kann der CISO wieder ruhiger schlafen.

Das BSI hat dazu auch einen Leitfaden veröffentlicht: Zum BSI-Leitfaden

Über den Autor

Geschäftsführer Ingo Simon und Team im SAVISCON BüroIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Customer Communication Management und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de 

BSI veröffentlicht Community Draft zum Standard 200-4

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Aus Notfallmanagement wird Business Continuity Managemet

Am 19. Januar 2021 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Community Draft (CD) des Standards 200-4 vorgestellt. Die Projektleiter Cäcilia Jung und Daniel Gilles haben in Zusammenarbeit mit Marcel Lehmann (HiSolutions AG) den „Standard 100-4 Notfallmanagement“ weiterentwickelt zum CD „Standard 200-4 Business Continuity Management“ (BCM). Während des 1. IT-Grundschutz-Tags 2021 gaben sie Einblicke in die Modernisierung des Standards und warben um Feedback der Teilnehmer.

Was ist neu?

  • Stufenmodell (ähnlich Standard 200-2 IT-Grundschutz-Methodik)
  • Darstellung möglicher Synergien (ISMS, BCMS, Krisenmanagement)
  • vereinfachte Methodik
  • Hilfsmittel werden kontinuierlich bereitgestellt

Muss ich von vorne anfangen?

Wenn Sie bisher den Standard 100-4 Notfallmanagement umgesetzt haben, müssen Sie nicht von vorne starten. Laut Jung nimmt der neue Standard 200-4 den Faden auf und spinnt ihn weiter, sodass Sie auf Ihrem bisherigen Notfallmanagement aufbauen können.

Reicht mein ISMS aus?

Ein Informationssicherheits-Management-System (ISMS) reicht laut Gilles nicht aus. Business Continuity Management-System (BCMS) gehe tiefer, da es beschreibt, wie der Geschäftsbetrieb, wenn er ausgefallen ist, so schnell wie möglich wieder ans Laufen gebracht werden kann. Daher müsse ein weiteres Management-System eingeführt werden. Der weiterentwickelte Standard beschreibt, wie die Synergien zwischen ISMS und BCMS sowie Krisenmanagement optimal genutzt und wo Schnittstellen sinnvoll eingebaut werden können.

Wie gehe ich jetzt vor?

Ähnlich dem „Standard 200-2 IT-Grundschutz-Methodik“ bietet der CD Standard 200-4 ein Stufenmodell mit unterschiedlichen Vorgehensweisen. So kann jede Institution, je nach Art, Größe und Branche, den passenden Einstieg wählen:

  • Reaktiv-BCMS

    • dient als vereinfachter Einstieg
    • Notfallbewältigung wird ermöglicht
    • Fokus liegt auf den „überlebensnotwendigen“, zeitkritischen Geschäftsprozessen
  • Aufbau-BCMS

    • erleichtert den Übergang zum Standard-BCMS
    • Formalisierung der Methodik
    • zusätzliche Geschäftsprozesse werden betrachtet
  • Standard-BCMS (mit ISO 22301:2019 kompatibel)

    • Empfehlung vom BSI für alle Institutionen
    • vollständiges BCM
    • ISO 22301 kompatibel
    • Untersuchung aller Geschäftsprozesse

Gibt es Hilfsmittel?

Ja, es gibt bereits ein Hilfsmittel: Hilfsmittel zum BSI-Standard 200-4 | Weiterführende Aspekte zur Bewältigung. Es sind noch weitere geplant, die während der CD-Laufzeit veröffentlicht werden sollen:

  • Dokumentenvorlagen mit Beispieltexten
  • Business Impact Analysis: Auswertung
  • Business Impact Analysis: Workshop-Präsentation
  • BC-Strategien und Beispiellösungen
  • Dokumentenvergleich zur ISO 22301:2019

Wo kann ich den CD kommentieren?

Die Kommentierungsphase lief bis zum 30. Juni 2021. Die Veröffentlichung des final Drafts ist für die zweite Jahreshälfte geplant, das hängt, laut den Projektleitern, auch ganz vom Anwender-Feedback ab.

Wir als SAVISCON GmbH verfolgen die Weiterentwicklung gespannt und generieren schon neue Ideen, wie wir das BCM in unser SAVISCON GRC-COCKPIT integrieren können.

Quellen:
Presseinformation vom BSI
CD BSI Standard 200-4 Business Continuity Management
Hilfsmittel zum BSI-Standard 200-4