All About Security
  • Aktuelle Sicherheitsartikeln als RSS Feed
  • All About Security auf Twitter
  • All About Security auf Xing
  • Unter4Ohren IT-Security Podcast auf YouTube

Security-Management, Fachartikel

Einsatz von Softwarelösungen zum Aufbau und Betrieb eines ISMS

Einsatz von Softwarelösungen zum Aufbau und Betrieb eines ISMS

Aufbau, Unterhalt und Steuerung eines Managementsystems zur Informationssicherheit (ISMS) erzeugen je nach Größe einen erheblichen Dokumentationsaufwand. Ausgehend von der Erfassung von informationellen Werten, der Risikobewertung bis hin zu unterstützenden Prozessen wie dem Incident-Management und der Durchführung von Audits fallen Daten an, die mit üblichen Bordmitteln wie Excel oder Word nur noch schwer zu beherrschen sind. Dieser Artikel soll zeigen, in welchen Fällen dedizierte Anwendungen genutzt werden können, um ein ISMS effizient dokumentieren und darüber hinaus sinnvoll steuern zu können.

Es ist hilfreich, sich die Idee eines ISMS als Trichter vorzustellen, welcher mit der Erfassung der informationellen Werte (auch als Assets bezeichnet) beginnt und mittels einer Risikobewertung zu einem konzentrierten Ergebnis, den Maßnahmen, gelangt. Ausgehend von der Frage, was ein Unternehmen besitzt, also hin zu der Frage, was es tun muss, um die Informationssicherheit verbessern zu können. Unterstützende Prozesse wie das Incident-Management (hier bezeichnet ein Incident einen sicherheitsrelevanten Vorfall) und die regelmäßige Auditierung der Assets dienen dem Abgleich der geschätzten mit der tatsächlichen Sicherheit und sind somit Ausgangspunkt für eine regelmäßige Verbesserung der Risikobewertungen und letztlich auch der eingesetzten Maßnahmen. 

Die gennannten Schritte und Prozesse stellen die Basis eines ISMS dar, die sich auch in nationalen und internationalen Standards wie dem IT-Grundschutz des BSI oder der ISO/IEC Normen-Familie 27000 wiederfinden. Dieser Artikel versucht, den sinnvollen Aufbau und die Steuerung eines ISMS weitestgehend unabhängig von der gewählten Methodik zu beschreiben. In den folgenden Abschnitten „Asset-Erfassung“, „Risikobewertung“ und „unterstützende Prozesse“ soll beschrieben werden, welche Herausforderungen an die Dokumentation und Steuerung eines ISMS bestehen sowie inwiefern der Einsatz von Software, die über einfache Office-Anwendungen wie Excel oder Word hinausgehen, sinnvoll und nützlich sein kann. Anschließend werden grundlegende Anforderungen an eine solche Software beschrieben und abschließend exemplarisch eine Lösung vorgestellt.

Asset-Erfassung

Die Erfassung der informationellen Werte stellt die Grundlage eines ISMS dar. Als Ausgangspunkt sollte hier zunächst ein sinnvoller Geltungsbereich für das ISMS gewählt werden. Dieser Geltungsbereich legt die Innen- sowie die Außengrenzen des ISMS fest. So könnte ein ISMS etwa nur Kerngeschäftsprozesse eines Unternehmens umfassen oder explizit auf Schnittstellen zu zentralen Dienstleistern verweisen, beispielsweise im Falle eines IT-Outsourcings. 

Nachdem der Geltungsbereich festgelegt wurde, können die informationellen Werte des Unternehmens erfasst und beschrieben werden. Hierbei sollte nicht die Abbildung eines Betriebsinventars angestrebt werden, das heißt, eine Erfassung jeder einzelnen IT-Komponente als eigenes Asset. Vielmehr sollte im Rahmen der Erfassung versucht werden, diese sinnvoll zu gruppieren. Assets können in diesem Zusammenhang zum Beispiel Infrastrukturen und Fachanwendungen im Eigenbetrieb, eingekaufte Dienstleistungen und auch angebotene Dienstleistungen umfassen. 

Es kann zwischen zwei grundsätzlichen Ansätzen für eine möglichst komplette Erfassung unterschieden werden, dem Top-Down und dem Bottom-Up Modell. Wobei der Top-Down Ansatz damit beginnt, zunächst die Geschäftsprozesse zu erfassen und sich anschließend fragt, welche Anwendungen, IT-Systeme, Dienstleistungen und Informationen für diese Prozesse benötigt werden. Der Bottom-Up Ansatz beginnt hingegen auf der Ebene der Daten und Informationen und identifiziert von hier aus die darüber liegenden IT-Komponenten, Prozesse usw.

Im Rahmen einer solchen Asset-Erfassung fallen also, unabhängig vom gewählten Ansatz, neben den Assets selbst auch Informationen hinsichtlich der Beziehungen zwischen den Assets an. Die Darstellung einer solchen Hierarchie mit Vorgängern und Nachfolgern lässt sich allgemein nur recht umständlich in einer Excel-Liste modellieren beziehungsweise darstellen. Dies gilt insbesondere dann, wenn Mehrfachabhängigkeiten bestehen – ein Beispiel wäre eine Fachanwendung, die von mehreren Geschäftsprozessen genutzt wird. Eine Softwarelösung sollte im Rahmen der Asset-Erfassung in der Lage sein, diese Beziehungen flexibel darzustellen. Die Abbildung-1 stellt beispielhaft die Erfassung anhand eines Asset-Graphen dar.

 

 

Abbildung-1: Beispielhafter Asset-Graph

Ein solcher Graph ist in der Lage, neben einfachen Beziehungen (Vorgänger / Nachfolger) auch Mehrfachbeziehungen aufzuzeigen und ist somit eine mögliche Darstellungsform in einer sinnvollen Softwarelösung.

Neben der Aufnahme der Assets selbst sollte zwingend ein Risikoverantwortlicher Eigentümer zu jedem Asset erfasst werden. Dieser hat eine zugewiesene Verantwortung über die Kontrolle für Entwicklung, Pflege, Gebrauch und Sicherheit des Assets. Im Rahmen der Risikobewertung fällt dem Eigentümer zusätzlich die Verantwortung für die Genehmigung der Bewertungen, Handlungsoptionen und Maßnahmen zu.

Risikobewertung

Nach der Erfassung der informationellen Werte gilt es, jene Risiken zu identifizieren, welche auf die Assets wirken und diese auch zu bewerten. Hierbei können verschiedene Ansätze gewählt werden, wobei folgende Grundsätze allgemein zu beachten sind: 

Nachvollziehbarkeit: die Bewertungsmethodik sollte so gewählt und dokumentiert werden, dass sie selbst und ihre Ergebnisse für alle Beteiligten verständlich und nachvollziehbar sind.

Wiederholbarkeit: die gewählte Methodik sollte bei wiederholter Ausführung zu vergleichbaren Ergebnissen führen.

Angemessenheit: bei der Auswahl sollte darauf geachtet werden, dass die Bewertung mit einem angemessen Aufwand durchführbar ist.

Im Folgenden soll der generische Ansatz einer kombinierten Risikobewertung dargestellt werden, um exemplarisch die Anforderungen an eine Softwarelösung für den Aufbau und die Steuerung eines ISMS aufzuzeigen.

<< Erste < Vorherige Page 1 Page 2 Page 3 Nächste > Letzte >>

Diesen Artikel empfehlen

Autor: Paul Laufer, Dr. Nikola Milanovic

Sichere Systeme – Security beim Hardwaredesign

Als eines der kritischen Systeme ist unser Straßenverkehr zu sehen. Jeder kennt es: In dicht besiedelten und infrastrukturell gut ausgestatteten Regionen reicht ein Kfz mit Defekt, um große Teile des Straßenverkehrs zu stören oder gar zum Erliegen zu bringen. Dies, und vorrangig die...

Heartbleed-Rückblick

Was ist Heartbleed? Die Beschreibung von Heartbleed ist relativ einfach. Um sicherzustellen, dass eine TLS-Session noch fehlerfrei besteht, sendet ein SSL-Client regelmäßige Heartbeats an den Server, der dann entsprechend darauf reagiert. Die Heartbeat-Anfrage enthält, vereinfacht gesagt,...

IPsec versus SSL VPN

Der Grundgedanke hinter einem „Virtual Private Network“ ist schnell erläutert. Es besteht der Wunsch, ein privates Netzwerk über ein unsicheres Medium, wie beispielweise das Internet, aufzubauen. Die Nutzung von fremden, bereits bestehenden Netzwerken ist so attraktiv, da sie eine überaus...

BSI veröffentlicht "ICS Security Kompendium"

Das Kompendium beinhaltet Erläuterungen der notwendigen Grundlagen der IT-Sicherheit, der ICS-Abläufe und der relevanten Normen und Standards. Darüber hinaus enthält das Kompendium eine Sammlung von Empfehlungen und Best Practices zur Cyber-Sicherheit, die angesichts der aktuellen Bedrohungslage...

Schwachstellen-Analyse mit OpenSSL

SSL/TLS (Secure Sockets Layer / Transport Layer Security) ist für die sichere Datenübertragung im Internet unverzichtbar, sei es bei der Verschlüsselung von sensiblen Bankdaten oder Login-Vorgängen über HTTP, der Anbindung ganzer Unternehmensteile mittels SSL-VPN oder als Allheilmittel zur...

Analyse einer Android-Malware

Seit der Vorstellung des ersten Android-Smartphones im Oktober 2008 hat sich Googles Mobile-Betriebssystem zum Platzhirsch unter den Smartphone-Systemen entwickelt. Das Marktforschungsunternehmen IDC hat ermittelt, dass 79,3% aller im zweiten Quartal 2013 ausgelieferten Smartphones mit Android...

DDoS-Attacken werden immer gefährlicher

Praktisch jedes Unternehmen hängt heute mehr oder weniger von einer gut funktionierenden Internet-Anbindung ab. Webplattformen werden genutzt, um Produkte zu vertreiben und Kunden mit wichtigen Informationen zu versorgen, eigene Mitarbeiter sind für ihre geschäftliche Kommunikation und Recherchen...

Passen die Passwörter noch?

Die Verwendung „geheimer Worte“ zum Nachweis der Berechtigung einer Person für bestimmte Aktionen ist bereits uralt („Sesam öffne dich“) und spätestens seit Zeiten des römischen Imperiums auch belegbar. Seit Beginn des Computerzeitalters in den 60-ern Jahren des vorigen Jahrhunderts kennt man den...

Datenschutzkonforme Archivierung in der Cloud

Kleine Unternehmen scheuen nicht so sehr die Lizenzkosten einer Softwarelösung zur Archivierung, sondern vor allem die Kosten für die Installation und die Schulung der Mitarbeiter. Datenschutzrechtlich ist zu befürchten, dass bei einer zentralen Archivierungslösung gleichzeitig die Möglichkeiten...

Möglichkeiten der Prüfung von Netzwerkkomponenten

Netzwerkseitige Sicherheitsprüfungen sind in der Regel dienstspezifisch. Dementsprechend sollten im ersten Schritt die Kommunikationsschnittstellen des Systems ermittelt werden. Eine Kommunikation im Sinne von TCP/IP findet immer zwischen den beteiligten IP-Adressen und den dazugehörigen Ports...

Rechtliche Fallstricke bei Bring Your Own Device

Smartphones und Tablets sind nicht wie Blackberrys im Hinblick auf dienstliche Nutzung unter Berücksichtigung von IT-Sicherheit und einfacher zentraler Verwaltung über einen Server wie den Blackberry Enterprise Server konzipiert worden, sondern im Hinblick auf besonders komfortable Bedienung und...