Security

Handreichung zum „Stand der Technik“

Im Mai 2016 hat der TeleTrusT – Bundesverband IT-Sicherheit e.V. die „Handreichung zum ‚Stand der Technik‘ im Sinne des IT-Sicherheitsgesetzes“ veröffentlicht.

The Auditing Company, Sachverständigen Sozietät Dr. Schwerhoff (AC) hat mit Co-Autoren und dem Leiter des gleichnamigen Arbeitskreises „Stand der Technik“ federführend an der Entstehung dieser Handreichung mitgewirkt. Das Dokument liefert praxistaugliche Handlungsempfehlungen und kann als Leitlinie und Orientierungshilfe für zukünftige Betrachtungen dienen.

Der TeleTrust sagt hierzu: „Die Handreichung soll den anwendenden Unternehmen und Anbietern (Hersteller, Dienstleister) gleichermaßen Hilfestellung zur Bestimmung des „Standes der Technik“ geben“. [1]

Tomasz Lawicki, Associated Senior Auditor bei AC und Leiter des TeleTrusT-Arbeitskreises „Stand der Technik“ sagt in der Pressemeldung des TeleTrusT:

Durch das ITSiG sind Unternehmen („KRITIS“ und „Nicht-KRITIS“) gefordert, ihre Sicherheitsmaßnahmen im Hinblick auf die Aktualität und Wirksamkeit zu überprüfen. Die TeleTrusT-Handreichung zum Stand der Technik unterstützt Unternehmen dabei, den Zustand der Sicherheitsmaßnahmen realistisch einzuschätzen und gegebenenfalls Nachbesserungen abzuleiten und trägt dadurch branchenübergreifend zur Erhöhung der Informationssicherheit bei.

Um den „Stand der Technik“ für unsere Klienten messbar zu gestalten und damit mögliche Pönalen oder Bußgelder abzuwenden, hat AC darüber hinaus eine Prüfmethodik entwickelt, die es ermöglicht, den „Stand der Technik“ für die umgesetzten technischen und organisatorischen Maßnahmen nachzuweisen.

Gerne erläutern wir Ihnen unsere Leistungen in einem persönlichen Gespräch oder beantworten Ihre Fragen, um zu klären, inwieweit Sie bereits der Nachweispflicht unterliegen oder entsprechende Nachweise von Ihren Lieferanten benötigen.

Bei Bedarf unterstützen wir Sie auch im Rahmen eines ersten Check-ups ausgewählter Maßnahmen bei der Identifizierung möglichen Handlungsbedarfs.

Die Handreichung des TeleTrusT können Sie hier herunterladen.

Patrick-Michaelis
PATRICK MICHAELIS
MEHR ÜBER PATRICK MICHAELIS


[1] TeleTrusT Pressemeldung vom 26. Mai 2016

Patrick MichaelisHandreichung zum „Stand der Technik“

Technische Voraussetzungen für Telemediendienste

Bereits im Juli 2015 trat das IT-Sicherheitsgesetz (ITSiG) in Kraft und fordert über die Einfügung des § 13 Abs. 7 TMG für Diensteanbieter geschäftsmäßig angebotener Telemedien eine Reihe an technischen und organisatorischen Vorkehrungen. Das ITSiG bleibt jedoch – anders als die Anl. zu  § 9 Satz 1 des BDSG – weitestgehend ungenau und so herrscht bei vielen Diensteanbietern noch Unsicherheit, in welchem Umfang Sicherheitsmaßnahmen zu implementieren sind.

1 Zielsetzung

Die Gesetzesbegründung zum ITSiG legt als wesentliches Ziel der Regelung fest, „einen der Hauptverbreitungswege von Schadsoftware einzudämmen“ [1] und dabei den „Stand der Technik“ zu berücksichtigen. Die Gesetzesbegründung konzentriert sich hierbei insbesondere auf Webseitenbetreiber. Diese sollen zusätzlich zu den Vorkehrungen zum Schutz personenbezogener Daten, auch den unerlaubten Zugriff auf die technischen Einrichtungen und Störungen der Verfügbarkeit abwenden. Neben den technischen und organisatorischen Maßnahmen gem. Anl. zu § 9 Satz 1 BDSG sind somit insb. die Zugangs- und Zugriffskontrolle umzusetzen. Außerdem ist für die Verfügbarkeit der technischen Einrichtungen sicherzustellen, dass sowohl die Systeme selbst als auch der Zugangspunkt von außen entsprechend gesichert sind. Denn in der Regel erfolgt die Kommunikation über einen direkten, öffentlichen Zugang und bietet ggf. Schnittstellen zu weiteren internen Systemen. Insgesamt besteht nach §13 Abs7 TMG ein Handlungsbedarf für jede Anwaltskanzlei, die als Anbieter geschäftsmäßig angebotener Telemedien fungiert. Für sie gilt, dass Vorkehrungen zum Schutz

  • personenbezogener Daten ,
  • vor unerlaubtem Zugriff auf die technischen Einrichtungen und
  • gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

den „Stand der Technik“ berücksichtigen müssen.

2 Anforderungen

Telemedien können von Unternehmen eigenständig, oder über einen externen Dienstleister (z. B. Content-Provider/Hosting-Provider/Access-Provider), oder anhand fremder Inhalte (z. B. Werbebanner) bereitgestellt werden. Es ist sicherzustellen, dass grundlegende Sicherheitsmaßnahmen eingehalten werden. Diese beginnen, neben der oben erwähnten Zugangs- und Zugriffskontrolle zu allen beteiligten Systemen, bei jeweils aktuellen Versionsständen der eingesetzten Software und geht über standardmäßig aktivierte serverseitige Verwendung von Verschlüsselung bis hin zur regelmäßigen Datensicherung der angebotenen Inhalte.

Telemedien bestehen neben den bereitgestellten Angeboten auch aus der notwendigen (Server-) Infrastruktur. Um diese umfassend vor Angriffen und Störungen von innen und außen zu schützen, müssen organisatorische und technische Maßnahmen auf mehreren Ebenen gleichzeitig eingesetzt werden. Tiefengestaffelte Vorkehrungen („Defense in Depth“) sorgen dafür, dass sicherheitskritische Ereignisse eines Systems die Auswirkungen auf das Gesamtsystem minimieren.

Eine Risikoanalyse grenzt ab, welche technischen und organisatorischen Maßnahmen notwendig, technisch möglich und wirtschaftlich zumutbar sind. Grundlegende Maßnahmen sollten sein:

  • Regelmäßige Datensicherung
  • Netzwerksicherheit über Firewalls
  • Einsatz von zusätzlicher Sicherheitssoftware (z. B. Virenschutz)
  • Trennung von internen und externen Diensten auf separaten Servern
  • Regelmäßige Aktualisierungen der verwendeten Software und zeitnahes Einspielen verfügbarer Sicherheitspatches
  • Gesicherte Konfiguration der Web- und Datenbankserver
  • Strikte und protokollierte Zugangs- und Zugriffskontrolle für Administratoren
  • Vertragliche Verpflichtungen, z. B.
    • Schutzmaßnahmen des Vertragspartners gegen kompromittierte Werbebanner
    • Berücksichtigung etablierter Entwicklungsstandards (z. B. OWASP [2] )
    • Hersteller-Support der eingesetzten Software
    • Verwendung von sicheren Passwörtern
    • Verwendung von sicheren Verschlüsselungs- & Authentifizierungsverfahren

Einen Anhaltspunkt für die in § 13 Absatz 7 Satz 3 erwähnten „als sicher anerkannten Verschlüsselungsverfahren“ gibt das BSI in seiner Technischen Richtlinie „BSI TR-02102 Kryptographische Verfahren“ [3]. Diese gelten für die Administrationszugänge, die Übertragung der angebotenen Inhalte, aber in besonderer Weise für Authentifizierungsinformationen bei personalisierten Telemedien und allen Daten mit Personenbezug.

3 Stand der Technik

Der § 13 Abs7 S.2 fordert, bei der Umsetzung von Sicherheitsmaßnahmen den „Stand der Technik“ zu berücksichtigen. Im Fall einer Nachweispflicht bedeutet dies, dass die Maßnahmen den Anforderungen des Gesetzes genügen und die Einordnung in die Generalklausel „Stand der Technik“ rechtfertigen müssen.

Eine Maßnahme kann sich je nach ihrer Verbreitung und Verfügbarkeit vom „Stand der Wissenschaft und Technik“ zum „Stand der Technik“ wandeln oder vom jeweiligen „Stand der Technik“ übergehen in die „allgemein anerkannten Regeln der Technik“. Der Übergang von einer Generalklausel in eine andere erfolgt, sobald die spezifische Anerkennung im Markt und die Bewährung in der Praxis steigen [4]. Daher sind folgende Bereiche zu untersuchen:

  • Eignung
  • Fortschrittlichkeit
  • Allgemeine Anerkennung
  • Bewährung und Erprobung in der Praxis

Stand der Technik

In der Regel gibt es für zu lösende Anforderungen zum Schutz von technischen Einrichtungen und personenbezogenen Daten jedoch unterschiedliche Ansätze und verschiedene technische Möglichkeiten der Umsetzung. Es bietet sich daher an, im Rahmen der Auswahl des „Stands der Technik“ eine Datenbasis weiterer möglicher alternativer Sicherheitsmaßnahmen zu erheben [5].

Um sicherzustellen, dass ein direkter Vergleich von Maßnahmen sinnvoll ist, sowie für die Einordnung der Maßnahmen in eine der Generalklauseln, ist zunächst eine Aussage zur Eignung erforderlich. Eine Eignung kann angenommen werden, wenn die Maßnahme eine positive Wirkung auf die Schutzziele (Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität) hat. Bei der Untersuchung wird daher der Einfluss für alle vier Grundwerte gesondert betrachtet und es wird die Konsequenz der Maßnahme bewertet.

4 Fazit

Jede Anwaltskanzlei, die eine Webseite betreibt, sollte dokumentieren, wer für den Inhalt (z.B. in Form von Dateien), die Server-Plattform (Speicherung) und den Zugang zu Inhalten (Netzwerk) verantwortlich ist. Dies kann im einfachsten Fall die Kanzlei selbst sein, oder einzelne Aufgaben sind an Dritte (Agentur, Host Provider, Rechenzentrum) vergeben. Sind die Verantwortlichkeiten dargestellt, lassen sich die Sicherheitsmaßnahmen für den Zuständigkeitsbereich des Unternehmens ableiten. Gegebenenfalls müssen vertragliche Regelungen sicherstellen, dass ein beauftragtes Unternehmen notwendige Maßnahmen umsetzt.

Abbildung 2_Infrastruktur

Insgesamt können für den hier fokussierten Anwendungsfall des Betriebs einer Webseite und nach Abwägung der technischen Möglichkeit und wirtschaftlichen Zumutbarkeit die Bausteine „B 1.5 Datenschutz“ und „B 5.4 Webserver“ des BSI IT-Grundschutzes [6] einen Hinweis auf mögliche Maßnahmen geben. Auch das BSI stellt fest, dass es nicht möglich ist, den „Stand der Technik“ allgemeingültig und abschließend zu beschreiben.[7] Der konstante technologische Fortschritt sorgt dafür, dass auch offizielle Rahmenwerke und Konzepte unbedingt einer regelmäßigen Aktualisierung bedürfen. Die implizite Annahme, dass Standards und Normen für sich allein den „Stand der Technik“ darstellen, erscheinen dabei überaus bedenklich, da diese Generalklausel das obere Ende der technisch möglichen aber praktisch bewährten Maßnahmen abbildet.[8] Daher stellt die stichtagsbezogene Abgrenzung zwischen dem „Stand der Technik“ und den „anerkannten Regeln der Technik“ eine besondere Herausforderung dar und sollte je nach Kritikalität und Schutzbedarf der Daten und Anwendungen sogar durch sachkundige Experten, wie z.B. Sachverständige, begründet und anhand nachvollziehbarer und vergleichbarer Kriterien dokumentiert werden.

Artikel erstmalig erschienen in „Berliner Anwaltsblatt, Heft 5/2016, Seite 161“

Patrick-Michaelis
PATRICK MICHAELIS
MEHR ÜBER PATRICK MICHAELIS


[1] BT-Drucksache 18/4096, Seite 34 f.

[2] www.owasp.org

[3] www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html

[4] BMJV, Handbuch der Rechtsförmlichkeit, 3. Aufl. Seite 84 ff. in Verbindung mit DIN EN 45020:2006

[5] Vgl. „Handlungsempfehlung zur Ermittlung des Standes der Technik“ (TRGS 460) unter www.baua.de/de/Themen-von-A-Z/Gefahrstoffe/TRGS/
TRGS-460.html

[6] www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/itgrundschutzkataloge_node.html

[7] www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/FAQ/faq_it_sig_node.html#faq6636766

[8] Vgl. auch Seibel, „Abgrenzung der allgemein anerkannten Regeln der Technik vom Stand der Technik“, NJW 41/2013, Seite 3000 ff.

 

Patrick MichaelisTechnische Voraussetzungen für Telemediendienste

Veranstaltung „Lernen mit Sicherheit“

WISSEN IST DAS EINZIGE GUT, DAS SICH VERMEHRT, WENN MAN ES TEILT.“ (MARIE VON EBNER-ESCHENBACH)

Mit der Veranstaltung „Lernen mit Sicherheit“ wurde bei der Schwerhoff Gruppe eine Tradition fortgeführt, die den Mitarbeitern seit Jahren am Herzen liegt. Wir wollen jungen Menschen technisches und wirtschaftliches Wissen vermitteln, so dass sie für die Herausforderungen der modernen Welt gerüstet sind. Wir hoffen, durch unser Engagement neue Impulse zu entfachen und mit Praxisnähe und Bezügen zur „Realität“  ihr Potential, ihr Wissen und ihre Kreativität zu fördern.

In der kürzlich durchgeführten Veranstaltung im Bereich „Informationssicherheit“ ging es um die Sichtweise des „Hackers“ und um die Motivation, Systeme und deren Abläufe zu verstehen. Anhand praktischer Übungen wurde gezeigt, dass mögliche Schwachstellen bereits durch eine konsequente und durchdachte Planung und Analyse erkannt werden können.  Die frühzeitige Umsetzung von Gegenmaßnahmen sichert so bereits elementare Funktionen der Gesamtlösung.

„Der Vortrag machte den Schülerinnen und Schülern sichtlich Spaß, so dass wir auf eine Wiederholung im nächsten Jahr hoffen.“

(Bericht „Hacking und Sicherheit“ auf der Homepage des Gymnasiums Johanneum Lüneburg)

Neben der Sensibilisierung für die Arbeit an zukünftigen Software- oder IT-Projekten sollte der Vortrag anhand konkreter Fallbeispiele aufzeigen, wie wichtig der bewusste Umgang mit den eigenen Daten und der kritische Blick auf verlockende Angebote im Internet ist. Denn Informationssicherheit fängt weder beim komplexen Passwort an, noch hört sie beim Einsatz von Verschlüsselung auf. Im Vortrag diskutierten die Schülerinnen und Schüler unter anderem einen möglichen Social Engineering-Angriff als Grundlage für weitere betrügerische Aktivitäten. Beispiele und Erfahrungen aus der Praxis zeigten, dass die Bedrohungen längst Realität geworden sind und nicht nur Großkonzerne oder Regierungsorganisationen betreffen. Die Schülerinnen und Schüler konnten erkennen, dass ein kritischer Blick und bewusstes Handeln oft der beste Schutz vor Internetkriminalität und Angriffen durch Hacker sind.

Patrick-Michaelis
PATRICK MICHAELIS
MEHR ÜBER PATRICK MICHAELIS

Patrick MichaelisVeranstaltung „Lernen mit Sicherheit“

Das IT Sicherheitsgesetz und der „Stand der Technik“

Mit dem IT Sicherheitsgesetz (ITSiG) werden vom Gesetzgeber Mindeststandards für die IT-Sicherheit von Betreibern besonders gefährdeter Infrastrukturen gefordert. Doch kann Sicherheit angeordnet werden? Welche technischen Herausforderungen stehen betroffenen Unternehmen ins Haus?

Das Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde 1995 veröffentlicht und ist inzwischen 20 Jahre alt. 20 Jahre, in denen sich die Leistung von IT-Systemen rasant weiterentwickelt hat. Doch haben sich die IT-Sicherheitsorganisationen und IT-Managementsysteme in dieser Zeit gleichermaßen entwickelt? Die Frage darf klar verneint werden.

Der Staat greift nun regulativ ein und für einige werden Erinnerungen an 1975 wach. „Sicherheit verkauft sich schlecht“ sagte VW-Chef Kurt Lotz 1970 im Zuge der Diskussion um die Anschnallpflicht. Der Spiegel titelte in 50/1975 „Gefesselt ans Auto“ und stellte die Frage: „Soll und darf der liberale Staat die Auto-Bürger zum Überleben zwingen?“.

Wie im Straßenverkehr geht es im Cyberraum nicht nur darum, Schaden vom Einzelnen abzuwenden. Es geht um den Schutz der Gemeinschaft, um die negativen Auswirkungen – nicht nur finanzieller Art – auf uns alle zu minimieren. Aufklärung und Werbekampagnen haben in den frühen siebziger Jahren keine nennenswerten Erfolge beim Verhalten deutscher Autofahrer gebracht. Nur durch die Verpflichtungen für Hersteller, Bußgelder und den dadurch eingetretenen stetigen Prozess der Einsicht, haben wir nach 40 Jahren in Deutschland eine Anschnallquote von über 98 Prozent erreicht.

Der Nutzen des Sicherheitssystems, wenn es richtig konstruiert und angelegt ist, steht beim Gurt außer Frage. Beim Thema „Cyberrisiken“ bedarf es aber scheinbar noch einiger Aufklärung und Darstellungen potentieller Szenarien, um diesen Prozess weiter voranzutreiben.

Als Artikelgesetz beinhaltet das ITSiG eine Reihe anderer Gesetze und Vorschriften. Auch wenn es primär als Gesetz für die Betreiber kritischer Infrastrukturen (KRITIS) gedacht war, ist davon auszugehen, dass auch Zulieferer, Dienstleister oder Kooperationspartner solcher Betreiber mittelbar vom ITSiG betroffen sein werden, sofern ihre Leistungen Einfluss oder Auswirkungen auf die Sicherheit der betrachteten Infrastrukturen haben.

„Stand der Technik“ – ein unbestimmter Rechtsbegriff

Für die direkt betroffenen Unternehmen fordert das ITSiG angemessene organisatorische und technische Maßnahmen unter Einhaltung des „Stands der Technik“. Der „Stand der Technik“ ist dabei keine direkt messbare Größe, sondern ein Grundsatz für die Festlegung von Maßnahmen und die branchenspezifische Präzisierung von Anforderungen.

Was genau das für das einzelne Unternehmen bedeutet, ob und inwieweit je nach Unternehmensgröße unterschiedliche Maßstäbe angelegt werden können oder müssen, ist derzeit ungeklärt und sorgt weiterhin für Unsicherheit bei der Umsetzung. Am Ende wird es klare Definitionen geben müssen oder Sachverständige werden aufgefordert, im Einzelfall zu prüfen, ob die Maßgaben des Gesetzes eingehalten wurden.

Das BSI stellt fest, dass es nicht möglich ist, den „Stand der Technik“ allgemeingültig und abschließend zu beschreiben. Er lasse sich jedoch „anhand existierender nationaler oder internationaler Standards wie DIN oder ISO-Standards oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln“. Für die vom ITSiG direkt und indirekt betroffenen Unternehmen bedeutet dies, dass eine Vielzahl von allgemeinen und branchenspezifischen Normen und Standards einzuhalten, geprüft und ggf. zertifiziert werden müssen.

Die branchenspezifischen Mindeststandards für die Informationssicherheit werden dabei flankiert durch die Anforderungen an ein Managementsystem für Informationssicherheit (ISMS) sowie einer Meldepflicht für Unternehmen gegenüber Kunden und dem BSI. Um im Rahmen der regelmäßigen Nachweispflicht festzustellen, ob und inwieweit der „Stand der Technik“ eingehalten wurde, bedarf es einer fachlichen sowie branchenbezogenen Interpretation der umgesetzten Maßnahmen.

Die IT-Sicherheitsbranche in der Pflicht

Für Unternehmen ist eine konkrete, wenn auch nicht abschließend beschriebene Umsetzung erforderlich und es muss einer kontinuierlichen Fortentwicklung der Systeme Rechnung getragen werden. Insbesondere Betreiber kritischer Infrastrukturen müssen dem BSI alle zwei Jahre nachweisen, dass die Anforderungen an die organisatorischen und technischen Maßnahmen eingehalten werden.

Es wird die Aufgabe der Unternehmen, der fachlichen Gremien, Branchen- und Wirtschaftsverbände sowie unabhängiger Experten sein, konkrete, objektive und vergleichbare Anforderungen festzulegen und Handlungsempfehlungen abzugeben. Die Ergebnisse müssen es ermöglichen, dass ein Unternehmen die umgesetzten technischen und organisatorischen Maßnahmen nachvollziehbar darstellen, ein Sachverständiger sie nachvollziehbar prüfen und die Judikative sie bewerten kann.

Kompetenznetzwerke wie der Bundesverband IT-Sicherheit e.V. (TeleTrusT) bieten hierzu Hilfestellungen. So gibt der TeleTrusT-Arbeitskreis zum „Stand der Technik“ Handlungsempfehlungen und Orientierungen für betroffene Wirtschaftskreise: Was gilt jeweils als „Stand der Technik“ in Bezug auf IT-Sicherheit.

Das IT Sicherheitsgesetz – Motor für unternehmensspezifische Lösungen?

Im Rahmen der Nachweispflicht ist darzustellen, dass entsprechende Maßnahmen dem „Stand der Technik“ entsprechend geplant und umgesetzt sind. Mit Hinblick auf die zeitlichen Vorgaben verspricht eine inkrementelle und iterative Strategie Vorteile bei der notwendigen Überprüfung, ohne den laufenden Betrieb überproportional zu belasten.

Eine Priorisierung der Systeme und ihrer Sicherheitsmaßnahmen sollte nach Wichtigkeit und Wirkung erfolgen. Dabei sind Systeme und Maßnahmen mit besonderer Bedeutung für die Aufrechterhaltung der angebotenen Leistung vorrangig zu betrachten. Ein besonderes Augenmerk ist hierbei auf die systemübergreifenden Effekte und Einflüsse zu legen.

Für Unternehmen kann und muss daher eine individuelle Betrachtung der Angemessenheit und Wirtschaftlichkeit erfolgen und nachvollziehbar dokumentiert werden. So ist es einem Auditor später möglich zu bewerten, ob der „Stand der Technik“ eingehalten wurde und die Maßnahmen geeignet sind, die Sicherheitsziele und -anforderungen zu erreichen.

Ein ISMS liefert dabei den Rahmen für eine konsequente Umsetzung der Sicherheitsstrategie. Im Fall eines Sicherheitsvorfalls ist aber zu erwarten, dass die technische Umsetzung – die bei ISO/IEC 27001 nicht definiert ist – ausschlaggebend für eine Bewertung sein wird, ob und/oder in welchem Umfang die regulatorischen Anforderungen umgesetzt wurden.

Spätestens mit der Veröffentlichung der Rechtsverordnung im ersten Quartal 2016 gilt daher für die betroffenen Unternehmen, dass die Anforderungen an den „Stand der Technik“ für die eigene IT-Infrastruktur durch einen unabhängigen Dritten festgestellt werden sollte. Anschließend kann die Sicherheit umfassend geplant, dokumentiert und entschlossen vorangetrieben werden. So lässt die Analogie des ITSiG zur Gurtpflicht hoffen, dass wir auch im Bereich der Informationssicherheit in einigen Jahren eine hohe Akzeptanz der Notwendigkeit und des Nutzens von Sicherheitssystemen erreicht haben.

Erstmalig erschienen im Security Insider am 2.11.2015

Patrick-Michaelis
PATRICK MICHAELIS
MEHR ÜBER PATRICK MICHAELIS

Patrick MichaelisDas IT Sicherheitsgesetz und der „Stand der Technik“

Sicherheit als Baustein für das IT-Projektmanagement

Jedes IT-Projekt sollte möglichst früh auch aus Sicherheitssicht betrachtet werden. In der Regel wird IT-Sicherheit aber eher als hinderlich für den Geschäftsbetrieb gesehen, denn als Chance für Innovationen. Daran haben auch die Sicherheitsvorfälle der vergangenen Monate nichts geändert.

Informationssicherheit ist eine Notwendigkeit. Trotz der hohen medialen Präsenz der letzten Monate gilt sie aufgrund von Sorglosigkeit und der immer kürzeren Produkt- und Projektzyklen trotzdem als Hindernis, statt als Chance für Innovationen. Mit dem im Juli 2015 veröffentlichten IT-Sicherheitsgesetz hat die Bundesregierung auf die zunehmenden Risiken reagiert und entsprechende Maßnahmen gefordert.

Dies führt zwar zu einer allgemein steigenden Sensibilisierung in Unternehmen, Sicherheit kann jedoch nicht allein über Investitionen bei Sach- und Personalmitteln erhöht werden. Für ein langfristig hohes Sicherheitsniveau müssen etablierte Prozesse überarbeitet und neue Verfahren konsequent umgesetzt werden.

„Security by Design“ und „Secure by Default“ sind Grundsätze, die nicht nur in Software-Entwicklungsprojekten Anwendung finden müssen. Jedes IT-Projekt sollte zukünftig unter diesen Maßgaben aufgesetzt und geplant werden. Das schafft eine nachhaltige Verbesserung der Gesamtsicherheit von Unternehmensinfrastrukturen und bietet Chancen für neue, innovative und gleichzeitig sichere Lösungen.

Klassische IT im Wandel

Fortschritt, neue Einsatzszenarien und die Verzahnung sowie Abhängigkeiten von IT-Systemen halten Einzug in nahezu allen Bereichen unseres täglichen Lebens. Schlagworte wie „Industrie 4.0“, „Mobile Payment“ oder das „Digitale Krankenhaus“ zeigen, dass auch vormals konservativ ausgerichtete Infrastrukturen einem rasanten Wandel ausgesetzt sind.

Die intensive Diskussion zum Thema Informationssicherheit der vergangenen Monate hat gezeigt: Trotz des jahrelangen Bemühens, sichere Lösungen anzubieten und Sicherheitskonzepte in standardisierten Management-Frameworks abzubilden, sind Umfang und Auswirkungen möglicher Lücken und Angriffsvektoren in IT-Systemen oft nicht ausreichend oder zu spät erfasst und behandelt worden.

Der Kosten- und Zeitdruck auf der einen und die zunehmende Komplexität heutiger IT-Systeme auf der anderen Seite erschwert es den auf das jeweilige Projektziel spezialisierten Projektteams, die Folgen ihres Handelns in Bezug auf Datenschutz und Datensicherheit umfassend abzuschätzen.

Der Security Manager hat in klassischen IT-Projekten für gewöhnlich kein Mandat, schon in den ersten Phasen steuernd und verbindlich in den Umfang und das Design einer Lösung einzugreifen. So werden neue IT-Systeme oder Software-Produkte oft erst unmittelbar vor, schlimmstenfalls nach der Überführung in den Betrieb auf Schwachstellen untersucht und Handlungsempfehlungen für Gegenmaßnahmen entwickelt.

Der Aufwand, notwendige Maßnahmen zur Informationssicherheit nachträglich umzusetzen, steigt erfahrungsgemäß jede Projektphase deutlich an. Dies führt in vielen Fällen dazu, dass Lösungen mit bekannten Sicherheitslücken eingesetzt werden oder es zu erheblichen Projektverzögerungen und -mehrkosten kommt, um die erkannten Risiken zu minimieren.

„Security by Design“ als grundlegendes Prinzip

Ein Ausweg aus dieser Lage lässt sich bereits in vorhandenen Projektstrukturen realisieren. Es bedarf jedoch eines Umdenkens der IT-Projektverantwortlichen und der Unternehmensleitung. IT-Projekte müssen das Thema Informationssicherheit von Beginn an transparent und messbar behandeln.

Projektorganisationen in Unternehmen müssen zu einem strengeren, wiederholbaren Prozess übergehen, der das Thema Sicherheit als elementaren Baustein in jeder Phase einschließt und verbindliche Verantwortlichkeiten für den Security Manager in jeder Projektphase festlegt.

Diese Vorgaben müssen durch die Unternehmensleitung bekräftigt und legitimiert sein. Insbesondere bei den Phasenübergängen muss eine formelle Freigabe-Regelung getroffen werden, um den obligatorischen Aspekt von „Security by Design“ im IT-Prozess zu unterstreichen.

Erfahrungen zeigen, dass das Sicherheitsteam, insbesondere in der Planungs- und Realisierungsphase, in enger Abstimmung mit dem Projektteam stehen sollte. Es bietet sich daher an, einen dedizierten Security Advisor innerhalb eines jede Projekts vorzusehen und vollständig in die Projektorganisation aufzunehmen. Er sollte jederzeit für alle Projektmitglieder als Ansprechpartner zur Verfügung stehen.

Kostenreduktion bei konsequenter Umsetzung

Diese Abbildung zeigt schematisch die Rollen zu Beginn eines IT-Projekts. Je mehr Beiträge der Security Manager zu Beginn des Projekts liefern kann, desto geringer sind die notwendigen Anpassungen in späteren Projektphasen und damit die Projektkosten. Dies gilt für neue Systeme wie für die „nächste Generation“ eines bestehenden Systems.

 

Informationssicherheit in der Konzeptionsphase.

Das Sicherheitsteam sollte zusätzliche Sicherheitsanforderungen und eine verbindliche Sicherheitsarchitektur definieren sowie eine Bedrohungsanalyse durchführen. Die Ergebnisse fließen dann in die Gesamtkonzeption ein und verhindern so aufwändige Korrekturen in späteren Projektphasen.

Eine konsequente Mitarbeit des Sicherheitsteams im Verlauf des Projekts, seine Analysen und Dokumentationen sichern den Erfolg des Projekts im Hinblick auf Datenschutz und Datensicherheit.

Messbarer Erfolg

Darüber hinaus können kosten- und zeitintensive Nacharbeiten vermieden werden, so dass Budget-Überschreitungen und Projektverzögerungen minimiert werden. Eine Reduktion von sicherheitskritischen Fehlern und eine schnellere Überführung der Lösung in das Informationssicherheits-Management-System (ISMS) dienen als weitere Kennzahlen für einen wirksamen Sicherheitsprozess.

Bei einer durchgängigen Anwendung des neuen Prozesses wird sich auch das Grundverständnis der Mitarbeiter zum Thema Informationssicherheit erhöhen. In Folgeprojekten lässt sich dementsprechend ein kürzerer Projektzyklus erreichen.

Gerade bei der Einführung dieses strengeren Prozesses sind flankierende Schulungen aller Projektmitglieder und eine regelmäßige Revision der Projekte notwendig. Die Ergebnisse und abgeleiteten Handlungsempfehlungen aus unabhängigen Audits helfen, den Prozess zu optimieren, verbleibende Schwachstellen aufzudecken und die Vollständigkeit der Dokumentation zu beurteilen.

Die zunehmende Verzahnung und Abhängigkeit von IT-Systemen untereinander erhöht nicht nur die Komplexität der eigenen Lösungslandschaft, sondern auch die Anforderungen an das Sicherheits- und Projekt-Management. Neue Technologien und die Nutzung bewährter Technik in veränderten Einsatzszenarien vergrößern die Angriffsoberfläche auf die Umgebungen und die schützenswerten Daten von Unternehmen.

Waren IT-Systeme in der Vergangenheit oft Insellösungen und in klar abgrenzbare Perimeter voneinander getrennt, so verschwimmen diese Grenzen durch die steigende Vernetzung und Mobilität zusehends. IT-Projekte bedürfen mehr als zuvor einer intensiven Planung und durchgängigen Steuerung über alle Phasen hinweg.

Erstmalig erschienen im Security Insider am 28.09.2015

Patrick-Michaelis
PATRICK MICHAELIS
MEHR ÜBER PATRICK MICHAELIS

Patrick MichaelisSicherheit als Baustein für das IT-Projektmanagement

ISSE Europe

Im Rahmen der ISSE – dem einzigen unabhängigen Security Kongress Europas – spricht Patrick Michaelis, Senior Auditor bei unserer Schwesterfirma The Auditing Company, Sachverständigen-Sozietät
Dr. Schwerhoff über das Thema „Security by Design – information security as a cornerstone of IT project management“. Die ISSE findet am 14. und 15. Oktober 2014 in Brüssel statt.

Herr Michaelis spricht am 14. Oktober 2014 um 18 Uhr im Track Security Management, CISO Inside. Sie finden weitere Informationen auf den Seiten der ISSE Europe.

Patrick MichaelisISSE Europe

IT-Sicherheit im Projektmanagement

Der Leiter der SC Information-Security Sparte Patrick Michaelis spricht im Rahmen der BITKOM Arbeitskreise AK IT-Consulting & Systemintegration und AK Sicherheitsanwendungen am 23. September in Offenbach zu dem Thema „IT-Sicherheit im Projektmanagement“.

Im Rahmen des Informationssicherheit wird noch immer eher als Hindernis, statt als Chance für Innovationen gesehen. Mit dem im Juli 2015 veröffentlichten IT-Sicherheitsgesetz hat die Bundesregierung auf die zunehmenden Risiken reagiert und entsprechende Maßnahmen gefordert. Dies führt zwar inzwischen zu einer allgemein steigenden Sensibilisierung in Unternehmen, Sicherheit kann jedoch nicht über Investition an Sach- und Personalmitteln erhöht werden. Für ein langfristig hohes Sicherheitsniveau müssen etablierte Prozesse überarbeitet und neue Verfahren konsequent umgesetzt werden. Jedes IT-Projekt sollte zukünftig unter diesen Maßgaben aufgesetzt und geplant werden. Das schafft eine nachhaltige Verbesserung der Gesamtsicherheit von Unternehmensinfrastrukturen und bietet Chancen für neue, innovative und gleichzeitig sichere Lösungen.

  • Ein Appell an konsequente Beratung zu Sicherheitsprozessen für Innovation und Erfolg
  • Security-by-Design zur Reduktion von Aufwänden und Nachbesserungen in späteren Projektphasen
  • Strukturiertes, standardisiertes Vorgehen sichert Qualität
  • PDCA Zyklus – wo bleibt der Faktor Mensch in seinen Phasen?

Wir freuen uns auf einen spannenden Tag mit regem Austausch zu dem stetig an Bedeutung gewinnenden Thema Informationssicherheit. Als Bitkom Mitglied finden Sie hier alle Details zu der Veranstaltung.

Patrick MichaelisIT-Sicherheit im Projektmanagement