Informationssicherheit

All posts tagged Informationssicherheit

Informationstag „Umsetzung des IT-Sicherheitsgesetzes in der Unternehmenspraxis“

Gelungene Veranstaltung mit aktuellen Inhalten

Fast täglich zeigen Meldungen zu IT-Sicherheitsvorfällen in Unternehmen und Behörden, dass auch in Deutschland dringender Handlungsbedarf besteht. Dennoch war es ein absoluter Zufall, dass ein Tag vor der lang geplanten TeleTrusT-Informationsveranstaltung am 29.11.2016 ein Hackerangriff auf die DSL-Router bekannt wurde. Somit war die Veranstaltung brand aktuell.

Initiiert wurde die Informationsveranstaltung durch den Arbeitskreis „Stand der Technik“ des Bundesverbands für IT-Sicherheit, TeleTrusT und fokussierte die Vorgaben aus dem IT-Sicherheitsgesetz. An der Veranstaltung haben über 60 Besucher unterschiedlicher Branchen teilgenommen. Anhand von Beispielen haben die Referenten die Umsetzung der IT-SiG Vorgaben erläutert. Neben den spannenden Vorträgen konnten die Teilnehmer branchenübergreifende Kontakte knüpfen und sich über aktuelle Themen austauschen.

Die Moderation der Veranstaltung hat Spaß gemacht und gezeigt, dass die gewählten Themen zeitaktuell und der Bedarf am Informationsaustausch groß ist.

Den Link zur Veranstaltung, sowie die verwendeten Präsentationen finden Sie unter: https://www.teletrust.de/veranstaltungen/it-sicherheitsgesetz/

 

Tomasz Lawicki_100x100

TOMASZ LAWICKI
Mehr über Tomasz Lawicki

Tomasz LawickiInformationstag „Umsetzung des IT-Sicherheitsgesetzes in der Unternehmenspraxis“

Was ist der „Stand der Technik“?

Der „Stand der Technik“ im Kontext regulatorischer Anforderungen

Das IT-Sicherheitsgesetz (ITSiG) verpflichtet eine Reihe von Unternehmen, bei der Umsetzung von Sicherheitsmaßnahmen den jeweiligen „Stand der Technik“ einzuhalten. Für die betroffenen Unternehmen bedeutet dies, dass sie im Falle einer Nachweispflicht darlegen müssen, dass ihre Maßnahmen den Anforderungen des Gesetzes genügen und die Zuweisung zu der Generalklausel „Stand der Technik“ rechtfertigen.

Bisher lag eine Methodik für den Nachweis zum „Stand der Technik“ im Bereich der Informationstechnologie bzw. Informationssicherheit nicht vor. In diesem Beitrag wird daher ein Verfahren für die Bestimmung des „Stands der Technik“ von IT-Sicherheitsmaßnahmen aus vorhandenen Überlegungen anderer Fachrichtungen abgeleitet.

„Stand der Technik“

Schema zur Zuweisung in die Generalklausel „Stand der Technik“

Als unbestimmter Rechtsbegriff gliedert sich der „Stand der Technik“ in den Kanon der Generalklauseln zwischen den „allgemein anerkannten Regeln der Technik“ und dem „Stand der Wissenschaft und Technik“ ein. Der Übergang zwischen den einzelnen Regeln und Standards ist dabei erfahrungsgemäß fließend, was einen Unsicherheitsfaktor für alle einschlägigen Planungen darstellt. Im Interesse der vom ITSiG betroffenen Unternehmen ist diesem Umstand sachgerecht zu begegnen.

The Auditing Company, Sachverständigen-Sozietät Dr. Schwerhoff (AC)  möchte durch die hier skizzierte Methodik der Herausforderung von Unternehmen begegnen, den formellen Nachweis des „Stands der Technik“ und die Abgrenzung zwischen dem „Stand der Technik“ und den „anerkannten Regeln der Technik“ gesetzeskonform und praxistauglich zu führen.

Wegen der fließenden und sich ständig ändernden Abgrenzung der Generalklauseln bedarf es im Rahmen der Nachweispflicht des ITSiG einer Bewertung des „Stands der Technik“, die es den Unternehmen ermöglicht, seine umgesetzten technischen und organisatorischen Maßnahmen nachvollziehbar darzustellen, so dass ein sachkundiger Dritter sie fundiert und notfalls gerichtsfest überprüfen kann. Da die Generalklausel „Stand der Technik“ das obere Ende des technisch Möglichen und praktisch Bewährten abbildet, stellt die stichtagsbezogene Abgrenzung zwischen dem „Stand der Technik“ und den „anerkannten Regeln der Technik“ eine besondere Herausforderung dar und sollte je nach Kritikalität und Schutzbedarf der Daten und Anwendungen sogar durch sachkundige Experten, wie z.B. Sachverständige, begründet und anhand nachvollziehbarer und vergleichbarer Kriterien dokumentiert werden.

Der Artikel ist erschienen in der Zeitschrift „Datenschutz und Datensicherheit – DuD, 40(7), 458-462

Eine Kopie des vollständigen Artikels können Sie hier herunterladen:

Patrick-Michaelis
PATRICK MICHAELIS
MEHR ÜBER PATRICK MICHAELIS

Patrick MichaelisWas ist der „Stand der Technik“?

Handreichung zum „Stand der Technik“

Im Mai 2016 hat der TeleTrusT – Bundesverband IT-Sicherheit e.V. die „Handreichung zum ‚Stand der Technik‘ im Sinne des IT-Sicherheitsgesetzes“ veröffentlicht.

The Auditing Company, Sachverständigen Sozietät Dr. Schwerhoff (AC) hat mit Co-Autoren und dem Leiter des gleichnamigen Arbeitskreises „Stand der Technik“ federführend an der Entstehung dieser Handreichung mitgewirkt. Das Dokument liefert praxistaugliche Handlungsempfehlungen und kann als Leitlinie und Orientierungshilfe für zukünftige Betrachtungen dienen.

Der TeleTrust sagt hierzu: „Die Handreichung soll den anwendenden Unternehmen und Anbietern (Hersteller, Dienstleister) gleichermaßen Hilfestellung zur Bestimmung des „Standes der Technik“ geben“. [1]

Tomasz Lawicki, Associated Senior Auditor bei AC und Leiter des TeleTrusT-Arbeitskreises „Stand der Technik“ sagt in der Pressemeldung des TeleTrusT:

Durch das ITSiG sind Unternehmen („KRITIS“ und „Nicht-KRITIS“) gefordert, ihre Sicherheitsmaßnahmen im Hinblick auf die Aktualität und Wirksamkeit zu überprüfen. Die TeleTrusT-Handreichung zum Stand der Technik unterstützt Unternehmen dabei, den Zustand der Sicherheitsmaßnahmen realistisch einzuschätzen und gegebenenfalls Nachbesserungen abzuleiten und trägt dadurch branchenübergreifend zur Erhöhung der Informationssicherheit bei.

Um den „Stand der Technik“ für unsere Klienten messbar zu gestalten und damit mögliche Pönalen oder Bußgelder abzuwenden, hat AC darüber hinaus eine Prüfmethodik entwickelt, die es ermöglicht, den „Stand der Technik“ für die umgesetzten technischen und organisatorischen Maßnahmen nachzuweisen.

Gerne erläutern wir Ihnen unsere Leistungen in einem persönlichen Gespräch oder beantworten Ihre Fragen, um zu klären, inwieweit Sie bereits der Nachweispflicht unterliegen oder entsprechende Nachweise von Ihren Lieferanten benötigen.

Bei Bedarf unterstützen wir Sie auch im Rahmen eines ersten Check-ups ausgewählter Maßnahmen bei der Identifizierung möglichen Handlungsbedarfs.

Die Handreichung des TeleTrusT können Sie hier herunterladen.

Patrick-Michaelis
PATRICK MICHAELIS
MEHR ÜBER PATRICK MICHAELIS


[1] TeleTrusT Pressemeldung vom 26. Mai 2016

Patrick MichaelisHandreichung zum „Stand der Technik“

Technische Voraussetzungen für Telemediendienste

Bereits im Juli 2015 trat das IT-Sicherheitsgesetz (ITSiG) in Kraft und fordert über die Einfügung des § 13 Abs. 7 TMG für Diensteanbieter geschäftsmäßig angebotener Telemedien eine Reihe an technischen und organisatorischen Vorkehrungen. Das ITSiG bleibt jedoch – anders als die Anl. zu  § 9 Satz 1 des BDSG – weitestgehend ungenau und so herrscht bei vielen Diensteanbietern noch Unsicherheit, in welchem Umfang Sicherheitsmaßnahmen zu implementieren sind.

1 Zielsetzung

Die Gesetzesbegründung zum ITSiG legt als wesentliches Ziel der Regelung fest, „einen der Hauptverbreitungswege von Schadsoftware einzudämmen“ [1] und dabei den „Stand der Technik“ zu berücksichtigen. Die Gesetzesbegründung konzentriert sich hierbei insbesondere auf Webseitenbetreiber. Diese sollen zusätzlich zu den Vorkehrungen zum Schutz personenbezogener Daten, auch den unerlaubten Zugriff auf die technischen Einrichtungen und Störungen der Verfügbarkeit abwenden. Neben den technischen und organisatorischen Maßnahmen gem. Anl. zu § 9 Satz 1 BDSG sind somit insb. die Zugangs- und Zugriffskontrolle umzusetzen. Außerdem ist für die Verfügbarkeit der technischen Einrichtungen sicherzustellen, dass sowohl die Systeme selbst als auch der Zugangspunkt von außen entsprechend gesichert sind. Denn in der Regel erfolgt die Kommunikation über einen direkten, öffentlichen Zugang und bietet ggf. Schnittstellen zu weiteren internen Systemen. Insgesamt besteht nach §13 Abs7 TMG ein Handlungsbedarf für jede Anwaltskanzlei, die als Anbieter geschäftsmäßig angebotener Telemedien fungiert. Für sie gilt, dass Vorkehrungen zum Schutz

  • personenbezogener Daten ,
  • vor unerlaubtem Zugriff auf die technischen Einrichtungen und
  • gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

den „Stand der Technik“ berücksichtigen müssen.

2 Anforderungen

Telemedien können von Unternehmen eigenständig, oder über einen externen Dienstleister (z. B. Content-Provider/Hosting-Provider/Access-Provider), oder anhand fremder Inhalte (z. B. Werbebanner) bereitgestellt werden. Es ist sicherzustellen, dass grundlegende Sicherheitsmaßnahmen eingehalten werden. Diese beginnen, neben der oben erwähnten Zugangs- und Zugriffskontrolle zu allen beteiligten Systemen, bei jeweils aktuellen Versionsständen der eingesetzten Software und geht über standardmäßig aktivierte serverseitige Verwendung von Verschlüsselung bis hin zur regelmäßigen Datensicherung der angebotenen Inhalte.

Telemedien bestehen neben den bereitgestellten Angeboten auch aus der notwendigen (Server-) Infrastruktur. Um diese umfassend vor Angriffen und Störungen von innen und außen zu schützen, müssen organisatorische und technische Maßnahmen auf mehreren Ebenen gleichzeitig eingesetzt werden. Tiefengestaffelte Vorkehrungen („Defense in Depth“) sorgen dafür, dass sicherheitskritische Ereignisse eines Systems die Auswirkungen auf das Gesamtsystem minimieren.

Eine Risikoanalyse grenzt ab, welche technischen und organisatorischen Maßnahmen notwendig, technisch möglich und wirtschaftlich zumutbar sind. Grundlegende Maßnahmen sollten sein:

  • Regelmäßige Datensicherung
  • Netzwerksicherheit über Firewalls
  • Einsatz von zusätzlicher Sicherheitssoftware (z. B. Virenschutz)
  • Trennung von internen und externen Diensten auf separaten Servern
  • Regelmäßige Aktualisierungen der verwendeten Software und zeitnahes Einspielen verfügbarer Sicherheitspatches
  • Gesicherte Konfiguration der Web- und Datenbankserver
  • Strikte und protokollierte Zugangs- und Zugriffskontrolle für Administratoren
  • Vertragliche Verpflichtungen, z. B.
    • Schutzmaßnahmen des Vertragspartners gegen kompromittierte Werbebanner
    • Berücksichtigung etablierter Entwicklungsstandards (z. B. OWASP [2] )
    • Hersteller-Support der eingesetzten Software
    • Verwendung von sicheren Passwörtern
    • Verwendung von sicheren Verschlüsselungs- & Authentifizierungsverfahren

Einen Anhaltspunkt für die in § 13 Absatz 7 Satz 3 erwähnten „als sicher anerkannten Verschlüsselungsverfahren“ gibt das BSI in seiner Technischen Richtlinie „BSI TR-02102 Kryptographische Verfahren“ [3]. Diese gelten für die Administrationszugänge, die Übertragung der angebotenen Inhalte, aber in besonderer Weise für Authentifizierungsinformationen bei personalisierten Telemedien und allen Daten mit Personenbezug.

3 Stand der Technik

Der § 13 Abs7 S.2 fordert, bei der Umsetzung von Sicherheitsmaßnahmen den „Stand der Technik“ zu berücksichtigen. Im Fall einer Nachweispflicht bedeutet dies, dass die Maßnahmen den Anforderungen des Gesetzes genügen und die Einordnung in die Generalklausel „Stand der Technik“ rechtfertigen müssen.

Eine Maßnahme kann sich je nach ihrer Verbreitung und Verfügbarkeit vom „Stand der Wissenschaft und Technik“ zum „Stand der Technik“ wandeln oder vom jeweiligen „Stand der Technik“ übergehen in die „allgemein anerkannten Regeln der Technik“. Der Übergang von einer Generalklausel in eine andere erfolgt, sobald die spezifische Anerkennung im Markt und die Bewährung in der Praxis steigen [4]. Daher sind folgende Bereiche zu untersuchen:

  • Eignung
  • Fortschrittlichkeit
  • Allgemeine Anerkennung
  • Bewährung und Erprobung in der Praxis

Stand der Technik

In der Regel gibt es für zu lösende Anforderungen zum Schutz von technischen Einrichtungen und personenbezogenen Daten jedoch unterschiedliche Ansätze und verschiedene technische Möglichkeiten der Umsetzung. Es bietet sich daher an, im Rahmen der Auswahl des „Stands der Technik“ eine Datenbasis weiterer möglicher alternativer Sicherheitsmaßnahmen zu erheben [5].

Um sicherzustellen, dass ein direkter Vergleich von Maßnahmen sinnvoll ist, sowie für die Einordnung der Maßnahmen in eine der Generalklauseln, ist zunächst eine Aussage zur Eignung erforderlich. Eine Eignung kann angenommen werden, wenn die Maßnahme eine positive Wirkung auf die Schutzziele (Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität) hat. Bei der Untersuchung wird daher der Einfluss für alle vier Grundwerte gesondert betrachtet und es wird die Konsequenz der Maßnahme bewertet.

4 Fazit

Jede Anwaltskanzlei, die eine Webseite betreibt, sollte dokumentieren, wer für den Inhalt (z.B. in Form von Dateien), die Server-Plattform (Speicherung) und den Zugang zu Inhalten (Netzwerk) verantwortlich ist. Dies kann im einfachsten Fall die Kanzlei selbst sein, oder einzelne Aufgaben sind an Dritte (Agentur, Host Provider, Rechenzentrum) vergeben. Sind die Verantwortlichkeiten dargestellt, lassen sich die Sicherheitsmaßnahmen für den Zuständigkeitsbereich des Unternehmens ableiten. Gegebenenfalls müssen vertragliche Regelungen sicherstellen, dass ein beauftragtes Unternehmen notwendige Maßnahmen umsetzt.

Abbildung 2_Infrastruktur

Insgesamt können für den hier fokussierten Anwendungsfall des Betriebs einer Webseite und nach Abwägung der technischen Möglichkeit und wirtschaftlichen Zumutbarkeit die Bausteine „B 1.5 Datenschutz“ und „B 5.4 Webserver“ des BSI IT-Grundschutzes [6] einen Hinweis auf mögliche Maßnahmen geben. Auch das BSI stellt fest, dass es nicht möglich ist, den „Stand der Technik“ allgemeingültig und abschließend zu beschreiben.[7] Der konstante technologische Fortschritt sorgt dafür, dass auch offizielle Rahmenwerke und Konzepte unbedingt einer regelmäßigen Aktualisierung bedürfen. Die implizite Annahme, dass Standards und Normen für sich allein den „Stand der Technik“ darstellen, erscheinen dabei überaus bedenklich, da diese Generalklausel das obere Ende der technisch möglichen aber praktisch bewährten Maßnahmen abbildet.[8] Daher stellt die stichtagsbezogene Abgrenzung zwischen dem „Stand der Technik“ und den „anerkannten Regeln der Technik“ eine besondere Herausforderung dar und sollte je nach Kritikalität und Schutzbedarf der Daten und Anwendungen sogar durch sachkundige Experten, wie z.B. Sachverständige, begründet und anhand nachvollziehbarer und vergleichbarer Kriterien dokumentiert werden.

Artikel erstmalig erschienen in „Berliner Anwaltsblatt, Heft 5/2016, Seite 161“

Patrick-Michaelis
PATRICK MICHAELIS
MEHR ÜBER PATRICK MICHAELIS


[1] BT-Drucksache 18/4096, Seite 34 f.

[2] www.owasp.org

[3] www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html

[4] BMJV, Handbuch der Rechtsförmlichkeit, 3. Aufl. Seite 84 ff. in Verbindung mit DIN EN 45020:2006

[5] Vgl. „Handlungsempfehlung zur Ermittlung des Standes der Technik“ (TRGS 460) unter www.baua.de/de/Themen-von-A-Z/Gefahrstoffe/TRGS/
TRGS-460.html

[6] www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/itgrundschutzkataloge_node.html

[7] www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/FAQ/faq_it_sig_node.html#faq6636766

[8] Vgl. auch Seibel, „Abgrenzung der allgemein anerkannten Regeln der Technik vom Stand der Technik“, NJW 41/2013, Seite 3000 ff.

 

Patrick MichaelisTechnische Voraussetzungen für Telemediendienste

Veranstaltung „Lernen mit Sicherheit“

WISSEN IST DAS EINZIGE GUT, DAS SICH VERMEHRT, WENN MAN ES TEILT.“ (MARIE VON EBNER-ESCHENBACH)

Mit der Veranstaltung „Lernen mit Sicherheit“ wurde bei der Schwerhoff Gruppe eine Tradition fortgeführt, die den Mitarbeitern seit Jahren am Herzen liegt. Wir wollen jungen Menschen technisches und wirtschaftliches Wissen vermitteln, so dass sie für die Herausforderungen der modernen Welt gerüstet sind. Wir hoffen, durch unser Engagement neue Impulse zu entfachen und mit Praxisnähe und Bezügen zur „Realität“  ihr Potential, ihr Wissen und ihre Kreativität zu fördern.

In der kürzlich durchgeführten Veranstaltung im Bereich „Informationssicherheit“ ging es um die Sichtweise des „Hackers“ und um die Motivation, Systeme und deren Abläufe zu verstehen. Anhand praktischer Übungen wurde gezeigt, dass mögliche Schwachstellen bereits durch eine konsequente und durchdachte Planung und Analyse erkannt werden können.  Die frühzeitige Umsetzung von Gegenmaßnahmen sichert so bereits elementare Funktionen der Gesamtlösung.

„Der Vortrag machte den Schülerinnen und Schülern sichtlich Spaß, so dass wir auf eine Wiederholung im nächsten Jahr hoffen.“

(Bericht „Hacking und Sicherheit“ auf der Homepage des Gymnasiums Johanneum Lüneburg)

Neben der Sensibilisierung für die Arbeit an zukünftigen Software- oder IT-Projekten sollte der Vortrag anhand konkreter Fallbeispiele aufzeigen, wie wichtig der bewusste Umgang mit den eigenen Daten und der kritische Blick auf verlockende Angebote im Internet ist. Denn Informationssicherheit fängt weder beim komplexen Passwort an, noch hört sie beim Einsatz von Verschlüsselung auf. Im Vortrag diskutierten die Schülerinnen und Schüler unter anderem einen möglichen Social Engineering-Angriff als Grundlage für weitere betrügerische Aktivitäten. Beispiele und Erfahrungen aus der Praxis zeigten, dass die Bedrohungen längst Realität geworden sind und nicht nur Großkonzerne oder Regierungsorganisationen betreffen. Die Schülerinnen und Schüler konnten erkennen, dass ein kritischer Blick und bewusstes Handeln oft der beste Schutz vor Internetkriminalität und Angriffen durch Hacker sind.

Patrick-Michaelis
PATRICK MICHAELIS
MEHR ÜBER PATRICK MICHAELIS

Patrick MichaelisVeranstaltung „Lernen mit Sicherheit“