15.11.2005

"Zertifizierte IT-Sicherheit"

[Ein Artikelentwurf, den ich mir vor 'nem knappen Vierteljahr mal aus den Fingern getippt habe, und eben nochmal kurz auf den Stand der Dinge brachte.]

"Zertifizierte IT-Sicherheit"

Aktuelle Regelungen und Vorschriften fordern von Unternehmen eine wirksame Kontrolle zur Minimierung des internen operationellen Risikos. Da die heutigen Geschäftsprozesse nahezu vollständig auf Informationstechnologie fußen, müssen den IT-Risiken angemessene IT-Sicherheitsmaßnahmen entgegenwirken, es ist folgerichtig ein effektives IT-Sicherheitsmanagementsystem (ISMS) von Nöten.

Die verschiedensten Vorschriften und Gesetze fordern geeignete Maßnahmen zur Absicherung der IT-Risiken in Hinblick auf die zentralen Werte „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“. Bekannteste Vertreter sind hierbei sicherlich das 1998 in Kraft getretene "Gesetz zur Kontrolle und Transparenz im Unternehmensbereich" (KonTraG) sowie das kommende zweite Konsultationspapier "Internationale Konvergenz der Kapitalmessung und Eigenkapitalanforderungen" (kurz: "Basel II") des Baseler Ausschusses für Bankenaufsicht. Ein weiterer bekannter Begriff ist der der ebenfalls in Kürze in Kraft tretenden „Anforderungen der Finanzaufsicht an die Versicherungswirtschaft“ („Solvency II“). Neben diesen öffentlich diskutierten Vertretern ergaben sich implizite Verpflichtungen auch schon aus anderen Verordnungen, darunter die "Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme" (GoBS), das Aktiengesetz (AktG), das GmbH-Gesetz (GmbHG), die "Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen" (GDPdU), der Prüfstandard 330 des Instituts der Wirtschaftsprüfer in Deutschland e.V. (IDW PS 330) oder auch das Bundesdatenschutzgesetz (BSDG).

Für Unternehmen, die international bzw. in den USA tätig oder Tochter einer US-amerikanischen Firma sind, werden weitere Vorschriften wie der "Sarbanes-Oxley Act" (SOA, SOX) verpflichtend. Je nach Branche kommen auch weitere Begriffe wie der "Health Insurance Portability and Accountability Act" (HIPAA, auch als Kassebaum-Kennedy Bill bezeichnet), "Gramm-Leach-Bliley Act" (GLBA) oder "Current Good Manufacturing Practices" (CGMP) ins Spiel.

Um die Einhaltung dieser Vorschriften (Compliance) in Bezug auf operationelle Risiken zu gewährleisten, werden derzeit in Deutschland primär zwei verschiedene Verfahren zum Management der Informationssicherheit eingesetzt, zum einen das IT-Grundschutzhandbuch (IT-GSHB) des "Bundesamtes für Sicherheit in der Informationstechnik" (BSI), zum anderen der British Standard 7799 (BS 7799) des "British Standards Institute" (BSi).

Beide ISMS werden folgend kurz vorgestellt und das Verfahren nach IT-Grundschutzhandbuch näher beschrieben. Abgeschlossen wird dieser Artikel durch eine Aussicht auf die Entwicklung des IT-GSHB im Zusammenhang mit ISO 27001.



- ISO 17799 und BS 7799-2

Der British Standard 7799 (BS 7799) wurde Anfang der Neunziger als "DTI Code of Practice" entwickelt und 1995 erstmals als BS 7799 publiziert. Teil 1 des BS 7799 (BS 7799-1) beschäftigt sich mit dem Aufbau und dem Betrieb eines ISMS und wurde 2000 als ISO/IEC 17799 zur internationalen Norm. Teil 2 (BS 7799-2), welcher sich mit der Prüfung der erfolgreichen Implementierung des ISMS beschäftigt, blieb dagegen unratifiziert und wurde 2002 in seiner aktuellen Form zuletzt frei gegeben. ISO 17799:2000 erfuhr zwischenzeitlich auch eine Überarbeitung und die neue Version wurde nun Ende Juni publiziert. [1]

Inzwischen ist jedoch die Akkreditierung des BS 7799-2 als ISO-Norm im Rahmen des Projekts "ISO 24743" weit voran geschritten und die endgültige Publikation ist für voraussichtlich Q4/2005 als ISO/IEC 27001 zu erwarten.

Die Kombination ISO 17799 / BS 7799-2 ist ein auf die Organisation und das Management von IT-Sicherheit ausgerichtetes, prozessorientiertes Verfahren - es weist sehr wenige technik-bezogene Fragestellungen auf. Zu den rund 140 vorgegebenen Fragen, den "controls", lassen sich leicht bei Bedarf weitere, eigene Fragestellungen addieren, um den individuellen Ansprüchen und Gegebenheiten im Unternehmen gerecht zu werden und angemessene Reaktionen definieren zu können.

Weitere Informationen zum BS 7799 lassen sich dem "Kompass der IT-Sicherheitsstandards" der BITKOM [2] und den BSI-Studien zu "Anforderungen an Information Security Management Systeme" [3] und "Vergleich der Audit- und Zertifizierungsschemata für IT-Grundschutz und BS 7799-2" [4] entnehmen. Eine detaillierte Vorstellung der aktuellen Version des Standards erfolgt in [5].


- IT-Grundschutzhandbuch

Das andere Verfahren ist das IT-Grundschutzhandbuch des BSI, welches 1994 erstmalig im Eigenverlag vorgestellt und seitdem kontinuierlich, meist im jährlichen Zyklus, fortgeschrieben und über den Bundesanzeiger, via CD und als Web-Download publiziert wurde. Es war ursprünglich als ergänzendes Hilfsmittel für den öffentlichen Dienst konzipiert, um auf einfachem Weg einen nachvollziehbaren Grundschutz für Anwendungen und Systeme mit niedrigem bis mittlerem Schutzbedarf zu erzeugen, im Gegensatz zum 1992 vorgestellten IT-Sicherheitshandbuch, welches in einem aufwendigen, 12-stufigen Prozess Risikoanalysen für IT-Systeme mit hohem oder sehr hohem Schutzbedarf erstellt. Ab dem Ende der Neunziger wurde das IT-GSHB verstärkt in die Öffentlichkeit getragen und ist seit 2002 ein zertifizierbarer, nationaler Standard. Auch wenn die Webseite des BSI bis dato nur eine Hand voll vergebener Zertifikate auflistet, ist doch das Beratungsgeschäft sehr stark, wie auch die Zahl der rund 1100 registrierten Anwender deutlich macht.

Das Verfahren des IT-GSHB ist derzeit ein fünfstufiger Prozess [6], welcher sich mit IT-Strukturanalyse und Schutzbedarfsfeststellung in eine Aufnahme der Ist-Situation, mit Modellierung und Basis-Sicherheitscheck eine Analysephase und mit der Realisierungsplanung schließlich in eine Auswertungsphase gliedern lässt.



Die IT-Strukturanalyse erfasst alle im IT-Verbund relevanten Anwendungen, IT-Systeme (Clients, Server, Netzkomponenten, Telekommunikationsgeräte), Räume und Kommunikationsverbindungen und stellt ihre Verknüpfungen untereinander dar.
Die Schutzbedarfsfeststellung erfasst den individuellen Schutzbedarf des Unternehmens an Hand einzelner Anwendungen und leitet diesen entsprechend auf IT-Systeme, Netze und Infrastruktur ab.
Die Modellierung erstellt einen Prüf- oder Entwicklungsplan für den IT-Verbund, in dem mit den standardisierten Bausteinen dieser so weit wie möglich abgedeckt wird.
(Unter Bausteinen versteht das IT-GSHB eine kontextbezogene Zusammenstellung von Schutzmassnahmen, z.B. „Notfallvorsorge-Konzept“, „Serverraum“ oder „Apache Webserver“)
Im Basis-Sicherheitscheck wird dann die Umsetzung der in den einzelnen Bausteinen zusammengefassten Schutzmaßnahmen überprüft, diese muss ggf. bei hohem oder sehr hohem Schutzbedarf durch eine ergänzende Sicherheitsanalyse unterstützt werden, welche z.B. aus einem Penetrationstests oder einer Risikoanalyse bestehen kann.
Die Realisierungsplanung schließlich fasst die Ergebnisse der vorherigen Schritte zusammen, und benennt Fristen, Aufwände und Verantwortliche für die Umsetzung der ausstehenden Maßnahmen.



Je nach Umsetzungsgrad der Schutzmassnahmen ist auch eine Zertifizierung des IT-Verbundes möglich, wobei die ersten beiden Abschnitte des Qualifizierungsprozesses zur Erlangung des IT-Grundschutzzertifikats, die Einstiegs- bzw. Aufbaustufe, Meilensteine im Zertifizierungsprozess darstellen und nicht des Audits durch einen lizenzierten Auditor des BSI bedürfen, jedoch durch einen solchen testiert werden können, um eine größere Vertrauenswürdigkeit zu erhalten.
Dabei muss nicht zwingend die gesamte Organisation am Stück geprüft werden, es ist auch die Zertifizierung einzelner Niederlassungen, Fachbereiche oder Geschäftsprozesse möglich, so der resultierende IT-Verbund eine sinnvolle Mindestgröße aufweist.

Was dem IT-GSHB häufig als Kritikpunkt entgegengebracht wurde, ist seine prinzipbedingte Überalterung der Bausteine, wie auch die Existenz vielfacher Redundanzen innerhalb der Standard-Schutzmaßnahmen. Um letzteres zu beheben, erfolgte im Rahmen eines Beratungsprojektes eine entsprechende Analyse und Ausdünnung der Schutzmaßnahmen. Dabei wurden etwa 50% der Querbezüge auf Maßnahmen und rund 40% der Bezüge zu Gefährdungen als Redundanzen entfernt, das Ergebnis sollte mit der nächsten Auflage des IT-GSHB im Q4/2005 zu sehen sein.

Das aktuelle IT-Grundschutzzertifikat enthält vollständig die Anforderungen des ISO 17799 und ist durch die technische Detailtiefe um einiges aussagekräftiger als dieser, stellt aber keine Zertifizierung nach BS 7799-2 dar.



- ISO 27001 und IT-GSHB

Wie bereits erwähnt, befindet sich der BS 7799-2 in der Standardisierung zum ISO 27001, deren Abschluss für Ende des Jahres erwartet wird. Da sich BS 7799 und IT-GSHB bereits überlappten, lag es für das BSI nahe, den Entwicklungen im Standardisierungsprozess Rechnung zu tragen, um das IT-GSHB als nationale Implementierung und Standardwerkzeug zur Zertifizierung nach ISO 27001 zu positionieren.

Dadurch erhält das IT-GSHB eine Überarbeitung der Struktur und wird wie folgt in vier Standardwerke und eine Loseblattsammlung gegliedert:
- BSI-Standard 1 „Informationsmanagementsysteme“ wird das bisherige Kapitel 3.0 „IT-Sicherheitsmanagement“ beinhalten und beschreibt die Etablierung und Aufrechterhaltung eines angemessenen IT-Sicherheitsprozesses.
- BSI-Standard 2 „Vorgehensweise nach IT-Grundschutz“ nimmt das gesamte Kapitel 2 „Anwendung des IT-Grundschutzhandbuchs“ auf, und beschreibt die Grundschutzmethodik und das Vorgehen in den einzelnen Ablaufschritten.
- BSI-Standard 3 „Risikoanalyse auf der Basis von IT-Grundschutz“ ist die gleichnamige Publikation [7] vom Februar 2004, in der ein Vorgehen für die Ergänzende Sicherheitsanalyse näher beschrieben wird.
- „ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz“ schließlich legt die Prüf- und Zertifizierungsschemata fest; auch der Ausbildungs- und Zulassungsweg für neue Auditoren wird dort definiert werden.

Um die Aktualität der Bausteine zu gewährleisten und nicht für jede kleine Änderung ein komplettes Review der Standards anzustoßen, werden die existierenden Kapitel 3.1 bis 9.5 des IT-GSHB, sowie die Gefährdungs- und Maßnahmenkataloge in eine Loseblattsammlung überführt und sind so unabhängig aktualisierbar. Dabei werden ebenfalls weitere Änderungen in der Zuordnung zum Schichtenmodell und eine neue, konsistente Nummerierung der Bausteine eingeführt.

Wenn diese Entwicklung zum Jahreswechsel 2005/2006 hin abgeschlossen ist, sollte ein Zertifikat nach IT-Grundschutz nicht mehr nur nationale Bedeutung haben, sondern auch eine vollständige, internationale Zertifizierung nach ISO 27001 darstellen, mit dem Zusatzeffekt konkreter Aussagekraft durch die technische Tiefe, im Gegensatz zu einer rein ISO-basierten Zertifizierung.



- Ausblick

Für die Zukunft ist zu vermuten, das die Forderungen der Gesetz- und Geldgeber an die Absicherung der operationellen Risiken vermehrt eine ISO-Zertifizierung beinhalten werden, auch aufgrund der starken Anstrengungen, die die ISO im Rahmen des Joint Technical Committees 1 / Sub-Comittee 27 (JTC1/SC27) und den Projekten zu u.a. ISO 17799, ISO 27001, TR 13335 oder ISO 15408 unternimmt, um solide und verlässliche Standards zur Etablierung und Bewertung von IT-Sicherheit zu erstellen.

Die Frage, die sich dem Sicherheitsbeauftragten stellt, ist somit (beinahe) nur noch die, welchen Weg zu einem ISMS er wählt: den BS 7799-Ansatz auf Management-Ebene, welcher flexibel und leicht an individuelle Verhältnisse anpassbar ist, aber konkrete Aussagen auf technischer Ebene vermissen lässt; oder das Verfahren des IT-GSHB, welches auf einfachem Weg mindestens für mittleren Schutzbedarf eine Etablierung von IT-Sicherheit ohne aufwendige Risikoanalysen erreicht und solide Aussagen über den Stand der technischen Sicherheit machen kann, dafür aber bisher schwer zu erweitern ist und auf oftmals veraltetem Stand der Technik fußte.

Für den Wechsel hin zu ISO 27001 sind für Inhaber bestehender Zertifikate jedenfalls keine großen Probleme zu erwarten: die ISO wird für Inhaber bestehender BS 7799-Zertifikate voraussichtlich ein Akkreditierungsverfahren anbieten, in dem die Etablierung und Prüfung der seit 2002 neu hinzugekommenen Controls durchgeführt wird; die Inhaber von Grundschutzzertifikaten werden entsprechend im Rahmen ihrer Re-Zertifizierungsverfahren nach den veränderten Richtlinien auditiert.

Mittlerweile hat das BSI auch auf seinen Webseiten das neue "Lizenzierungsschema für Auditoren für ISO 27001-Zertifikate auf der Basis von IT-Grundschutz" [8] publiziert, welches die geänderten Anforderungen auflistet, die gemäß der Norm EA-7/03 für ISO-Auditoren zu befolgen sind. Für bestehende GS-Auditoren wurde zur Fortbildung eine eigenständige Schulung konzipiert, die diesen bereits persönlich angeboten wurde.



Literatur:

[1] Plate, Angelika; "Der neue ISO/IEC 17799:2005"; 2005; Ingelheim; - Die Zeitschrift für Informations-Sicherheit; Nr. 1, März 2005; S.50-53

[2] BITKOM; "Kompass der IT-Sicherheitsstandards - Ein Leitfaden für mittelständische Unternehmen"; 2005; Berlin; S.11ff.; http://www.bitkom.org/files/documents/Bitkom-Broschuere_Sicherheitsstandard_V1.0f.pdf

[3] Bundesamt für Sicherheit in der Informationstechnik, Referat I 1.4; "Studie zu ISO-Normungsaktivitäten ISO/BPM - Anforderungen an Information Security Management Systeme"; 2004; Bonn; S.14ff.; http://www.bsi.bund.de/literat/studien/gshb/ISO-BPM-ISMS_040305.pdf

[4] Bundesamt für Sicherheit in der Informationstechnik, Referat I 1.4; "Studie zu ISO-Normungsaktivitäten ISO/BPM - Vergleich der Audit- und Zertifizierungsschemata für IT-Grundschutz und BS 7799-2"; 2004; Bonn; S.14ff.; http://www.bsi.bund.de/literat/studien/gshb/ISO-BPM-Zertifizierung_040305.pdf

[5] Völker, Jörg; "BS 7799 - Von "Best Practice" zum Standard -- Secorvo White Paper"; 2003; Karlsruhe; http://www.secorvo.de/whitepapers/secorvo-wp10.pdf

[6] Bundesamt für Sicherheit in der Informationstechnik, Referat I 1.4; "IT-Grundschutzhandbuch"; 2004; Bonn; Kapitel 2; http://www.bsi.de/gshb/deutsch/baust/02000.html

[7] Bundesamt für Sicherheit in der Informationstechnik, Referat I 1.4; "Risikoanalyse auf der Basis von IT-Grundschutz"; 2004; Bonn; http://www.bsi.bund.de/gshb/risikoanalyse/index.htm

[8] Bundesamt für Sicherheit in der Informationstechnik, Referat I 1.4; " Lizenzierungsschema für Auditoren für ISO 27001-Zertifikate auf der Basis von IT-Grundschutz "; 2005; Bonn; http://www.bsi.de/gshb/zert/051001_lizensierung.pdf

Trackbacks

Kommentare

[←neuere Einträge] [ältere Einträge→]