Österreichisches Informationssicherheitshandbuch

Version 3.1.001 22. November 2010

1

Inhalt
Zum Geleit ..................................................................................................... 19 Vorwort und Management Summary .......................................................... 21
Zur Version 3 des Informationssicherheitshandbuchs ................................................... 21 Management Summary ...................................................................................................... 22 Hauptquellen und Danksagungen .................................................................................... 26

1 Einführung ................................................................................................... 28
1.1 Das Informationssicherheitshandbuch ....................................................................... 28 1.1.1 Ziele des Informationssicherheitshandbuchs ............................................................. 28 1.1.1.1 Ziele der Version 3 ................................................................................................ 29 1.1.2 Scope ......................................................................................................................... 29 1.1.3 Neuheiten der Version 3 ........................................................................................... 30 1.1.4 Quellen, Verträglichkeiten, Abgrenzungen ............................................................... 32 1.1.5 Informations- versus IT-Sicherheit ........................................................................... 35 1.2 Informationssicherheitsmanagement .......................................................................... 36 1.2.1 Ziele des Informationssicherheitsmanagements ........................................................ 36 1.2.2 Aufgaben des Informationssicherheitsmanagements ................................................. 37

2 Informationssicherheits-Management-System (ISMS) ............................ 39
2.1 Der Informationssicherheitsmanagementprozess ...................................................... 39 2.1.1 Entwicklung einer organisationsweiten Informationssicherheitspolitik .................... 41 2.1.2 Risikoanalyse ............................................................................................................. 41 2.1.3 Erstellung eines Sicherheitskonzeptes ....................................................................... 42 2.1.4 Umsetzung des Informationssicherheitsplans ............................................................ 42 2.1.5 Informationssicherheit im laufenden Betrieb ............................................................ 43 2.2 Erstellung von Sicherheitskonzepten ......................................................................... 44 2.2.1 Auswahl von Maßnahmen ......................................................................................... 44 2.2.1.1 Klassifikation von Sicherheitsmaßnahmen ............................................................. 45 2.2.1.2 Ausgangsbasis für die Auswahl von Maßnahmen ................................................. 47 2.2.1.3 Auswahl von Maßnahmen auf Basis einer detaillierten Risikoanalyse .................. 48 2.2.1.4 Auswahl von Maßnahmen im Falle eines Grundschutzansatzes ............................ 49 2.2.1.5 Auswahl von Maßnahmen im Falle eines kombinierten Risikoanalyseansatzes .............................................................................................................................................. 49

2

2.2.1.6 Bewertung von Maßnahmen .................................................................................. 50 2.2.1.7 Rahmenbedingungen .............................................................................................. 51 2.2.2 Risikoakzeptanz ......................................................................................................... 51 2.2.3 Sicherheitsrichtlinien ................................................................................................. 53 2.2.3.1 Aufgaben und Ziele ................................................................................................ 53 2.2.3.2 Inhalte ..................................................................................................................... 53 2.2.3.3 Fortschreibung der Sicherheitsrichtlinien ............................................................... 54 2.2.3.4 Verantwortlichkeiten .............................................................................................. 54 2.2.4 Informationssicherheitspläne für jedes System ......................................................... 55 2.2.5 Fortschreibung des Sicherheitskonzeptes .................................................................. 56 2.3 Umsetzung des Informationssicherheitsplans ............................................................ 57 2.3.1 Implementierung von Maßnahmen ........................................................................... 57 2.3.2 Sensibilisierung (Security Awareness) ...................................................................... 60 2.3.3 Schulung .................................................................................................................... 61 2.3.4 Akkreditierung ........................................................................................................... 63 2.4 Informationssicherheit im laufenden Betrieb ............................................................ 64 2.4.1 Aufrechterhaltung des erreichten Sicherheitsniveaus ................................................ 64 2.4.2 Wartung und administrativer Support von Sicherheitseinrichtungen ........................ 65 2.4.3 Überprüfung von Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) ....................................... 66 2.4.4 Fortlaufende Überwachung der IT-Systeme (Monitoring) ........................................ 67

3 Managementverantwortung und Aufgaben beim ISMS .......................... 69
3.1 Verantwortung der Managementebene ..................................................................... 69 3.1.1 Generelle Managementaufgaben beim ISMS ............................................................ 69 3.2 Ressourcenmanagement .............................................................................................. 71 3.2.1 Bereitstellung von Ressourcen .................................................................................. 71 3.2.2 Schulung und Awareness .......................................................................................... 74 3.3 Interne ISMS Audits ................................................................................................... 78 3.3.1 Planung und Vorbereitung interner Audits ............................................................... 79 3.3.2 Durchführung interner Audits ................................................................................... 81 3.3.3 Ergebnis und Auswertung interner Audits ................................................................ 83 3.4 Management-Review des ISMS .................................................................................. 86 3.4.1 Management-Review Methoden ................................................................................ 87 3.4.1.1 Review der Strategie und des Sicherheitskonzepts ................................................ 88 3

3.4.1.2 Review der Sicherheitsmaßnahmen ....................................................................... 89 3.4.2 Management-Review Ergebnis und Auswertung ...................................................... 90 3.5 Verbesserungsprozess beim ISMS .............................................................................. 91 3.5.1 Grundlagen für Verbesserungen ................................................................................ 91 3.5.2 Entscheidungs- und Handlungsbedarf ....................................................................... 92

4 Risikoanalyse ............................................................................................... 95
4.1 Risikoanalysestrategien ................................................................................................ 95 4.2 Detaillierte Risikoanalyse ............................................................................................ 96 4.2.1 Abgrenzung des Analysebereiches ............................................................................ 98 4.2.2 Identifikation der bedrohten Objekte (Werte, assets) ................................................ 99 4.2.3 Wertanalyse (Impact Analyse) ................................................................................ 100 4.2.3.1 Festlegung der Bewertungsbasis für Sachwerte ................................................... 100 4.2.3.2 Festlegung der Bewertungsbasis für immaterielle Werte ..................................... 101 4.2.3.3 Ermittlung der Abhängigkeiten zwischen den Objekten ...................................... 101 4.2.3.4 Bewertung der bedrohten Objekte ........................................................................ 102 4.2.4 Bedrohungsanalyse .................................................................................................. 102 4.2.4.1 Identifikation möglicher Bedrohungen ................................................................. 103 4.2.4.2 Bewertung möglicher Bedrohungen ..................................................................... 104 4.2.5 Schwachstellenanalyse ............................................................................................ 105 4.2.6 Identifikation bestehender Sicherheitsmaßnahmen ................................................. 106 4.2.7 Risikobewertung ...................................................................................................... 107 4.2.8 Auswertung und Aufbereitung der Ergebnisse ....................................................... 108 4.3 Grundschutzansatz ..................................................................................................... 108 4.3.1 Die Idee des IT-Grundschutzes ............................................................................... 109 4.3.2 Grundschutzanalyse und Auswahl von Maßnahmen ............................................... 110 4.3.2.1 Modellierung ........................................................................................................ 110 4.3.2.2 Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen ........... 112 4.3.3 Vorgehen bei Abweichungen .................................................................................. 112 4.3.4 Dokumentation der Ergebnisse ............................................................................... 113 4.4 Kombinierter Ansatz ................................................................................................. 113 4.4.1 Festlegung von Schutzbedarfskategorien ................................................................ 115 4.4.2 Schutzbedarfsfeststellung ........................................................................................ 119 4.4.2.1 Erfassung aller vorhandenen oder geplanten IT-Systeme .................................... 120 4

4.4.2.2 Erfassung der IT-Anwendungen und Zuordnung zu den einzelnen IT-Systemen ............................................................................................................................................ 120 4.4.2.3 Schutzbedarfsfeststellung für jedes IT-System .................................................... 121 4.4.3 Durchführung von Grundschutzanalysen und detaillierten Risikoanalysen ............ 121 4.5 Akzeptables Restrisiko .............................................................................................. 122 4.6 Akzeptanz von außergewöhnlichen Restrisiken ...................................................... 122

5 Informationssicherheits-Politik ................................................................ 124
5.1 Aufgaben und Ziele einer Informationssicherheits-Politik .................................... 124 5.2 Inhalte der Informationssicherheits-Politik ............................................................. 125 5.2.1 Informationssicherheitsziele und -strategien ........................................................... 125 5.2.2 Management Commitment ...................................................................................... 127 5.2.3 Organisation und Verantwortlichkeiten für Informationssicherheit ........................ 128 5.2.3.1 Die/der IT-Sicherheitsbeauftragte ........................................................................ 129 5.2.3.2 Das Informationssicherheits-Management-Team ................................................. 130 5.2.3.3 Die Bereichs-IT-Sicherheitsbeauftragten .............................................................. 130 5.2.3.4 Applikations-/Projektverantwortliche ................................................................... 131 5.2.3.5 Die/der Informationssicherheitsbeauftragte .......................................................... 132 5.2.3.6 Weitere Pflichten und Verantwortungen im Bereich Informationssicherheit ....... 132 5.2.3.7 Informationssicherheit und Datenschutz .............................................................. 133 5.2.4 Risikoanalysestrategien, akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken ........................................................................................ 133 5.2.5 Klassifizierung von Informationen .......................................................................... 135 5.2.5.1 Definition der Sicherheitsklassen ......................................................................... 135 5.2.5.2 Festlegung der Verantwortlichkeiten und der Vorgehensweise für klassifizierte Informationen .................................................................................................................... 137 5.2.5.3 Erarbeitung von Regelungen zum Umgang mit klassifizierten Informationen 137 ..... 5.2.6 Klassifizierung von IT-Anwendungen und IT-Systemen, Grundzüge der Business Continuity Planung ........................................................................................................... 138 5.2.7 Überprüfung und Aufrechterhaltung der Sicherheit ................................................ 140 5.2.8 Dokumente zur Informationssicherheit ................................................................... 140 5.3 Life Cycle der Informationssicherheits-Politik ....................................................... 140 5.3.1 Erstellung der Informationssicherheits-Politik ........................................................ 140 5.3.2 Offizielle Inkraftsetzung der Informationssicherheits-Politik ................................. 141 5.3.3 Regelmäßige Überarbeitung .................................................................................... 141 5

6 Organisation .............................................................................................. 143
6.1 Interne Organisation .................................................................................................. 143 6.1.1 Management - Verantwortung ................................................................................ 143 6.1.1.1 Zusammenwirken verantwortliches Management - Mitarbeiter/innen - Gremien ............................................................................................................................................ 144 6.1.2 Koordination ............................................................................................................ 146 6.1.3 Definierte Verantwortlichkeiten für Informationssicherheit .................................... 147 6.1.4 Benutzungsgenehmigung für Informationsverarbeitung ......................................... 148 6.1.5 Vertraulichkeitsvereinbarungen ............................................................................... 150 6.1.6 Kontaktpflege mit Behörden und Gremien ............................................................. 151 6.1.7 Unabhängige Audits der Sicherheitsmaßnahmen .................................................... 152 6.1.8 Berichtswesen .......................................................................................................... 156 6.2 Zusammenarbeit mit Externen ................................................................................. 157 6.2.1 Outsourcing ............................................................................................................. 157 6.2.2 Gefährdungen beim Outsourcing ............................................................................ 158 6.2.3 Outsourcing Planungs- und Betriebsphasen ............................................................ 160

7 Vermögenswerte und Klassifizierung von Informationen ..................... 171
7.1 Vermögenswerte ......................................................................................................... 171 7.1.1 Inventar der Vermögenswerte (Assets) mittels Strukturanalyse .............................. 171 7.1.1.1 Erfassung Geschäftsprozessen, Anwendungen und Informationen ...................... 173 7.1.1.2 Erfassung von Datenträgern und Dokumenten ..................................................... 174 7.1.1.3 Erhebung der IT-Systeme ..................................................................................... 175 7.1.1.4 Netzplan ................................................................................................................ 176 7.1.1.5 Erfassung der Gebäude und Räume ..................................................................... 177 7.1.1.6 Aktualisierung der Strukturanalyse ...................................................................... 178 7.1.2 Eigentum von Vermögenswerten ............................................................................ 179 7.1.2.1 Verantwortiche für Vermögenswerte (Assets) ..................................................... 180 7.1.2.2 Aufgaben der Eigentümer und Verantwortlichen ................................................. 180 7.1.3 Zulässige Nutzung von Vermögenswerten .............................................................. 181 7.1.3.1 Herausgabe einer PC-Richtlinie ........................................................................... 181 7.1.3.2 Einführung eines PC-Checkheftes ........................................................................ 182 7.1.3.3 Geeignete Aufbewahrung tragbarer IT-Systeme .................................................. 183

6

7.1.3.4 Mitnahme von Datenträgern und IT-Komponenten ............................................. 185 7.1.3.5 Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Videokameras ................................................................................................................... 186 7.1.3.6 Absicherung von Wechselmedien ........................................................................ 187 7.2 Klassifizierung von Informationen ........................................................................... 188

8 Personelle Sicherheit ................................................................................. 190
8.1 Regelungen für Mitarbeiter/innen ............................................................................ 190 8.1.1 Verpflichtung der Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen ........................................................................................... 190 8.1.2 Aufnahme der sicherheitsrelevanten Aufgaben und Verantwortlichkeiten in die Stellenbeschreibung .......................................................................................................... 191 8.1.3 Vertretungsregelungen ............................................................................................. 191 8.1.4 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeiterinnen/Mitarbeitern ............................................................................................................................................ 192 8.1.5 Geregelte Verfahrensweise bei Versetzung eines Mitarbeiters ............................... 193 8.1.6 Gewährleistung eines positiven Betriebsklimas ...................................................... 194 8.1.7 Clear Desk Policy ................................................................................................... 194 8.1.8 Benennung eines vertrauenswürdigen Administrators und Vertreterin/Vertreters ............................................................................................................................................ 195 8.1.9 Verpflichtung der PC-Benutzer/innen zum Abmelden ............................................ 195 8.1.10 Kontrolle der Einhaltung der organisatorischen Vorgaben ................................... 196 8.1.11 Geregelte Verfahrensweise bei vermuteten Sicherheitsverletzungen .................... 196 8.2 Regelungen für den Einsatz von Fremdpersonal .................................................... 197 8.2.1 Regelungen für den kurzfristigen Einsatz von Fremdpersonal ................................ 197 8.2.2 Verpflichtung externer Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen ........................................................................................... 197 8.2.3 Beaufsichtigung oder Begleitung von Fremdpersonen ............................................ 197 8.2.4 Information externer Mitarbeiter/innen über die IT-Sicherheitspolitik ................... 198 8.3 Sicherheitssensibilisierung und -schulung ............................................................... 198 8.3.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter/innen .................................. 198 8.3.2 Schulung vor Programmnutzung ............................................................................. 199 8.3.3 Schulung und Sensibilisierung zu IT-Sicherheitsmaßnahmen ................................ 199 8.3.4 Betreuung und Beratung von IT-Benutzerinnen/IT-Benutzern ............................... 202 8.3.5 Aktionen bei Auftreten von Sicherheitsproblemen (Incident Handling Pläne) ........ 203 8.3.6 Schulung des Wartungs- und Administrationspersonals ......................................... 203 7

8.3.8 Einweisung in die Regelungen der Handhabung von Kommunikationsmedien...... 204 8.3.9 Einweisung in die Bedienung von Schutzschränken ............................................... 205

9 Physische und umgebungsbezogene Sicherheit ...................................... 207
9.1 Bauliche und infrastrukturelle Maßnahmen ........................................................... 208 9.1.1 Geeignete Standortauswahl ..................................................................................... 208 9.1.2 Anordnung schützenswerter Gebäudeteile .............................................................. 208 9.1.3 Einbruchsschutz ....................................................................................................... 209 9.1.4 Zutrittskontrolle ....................................................................................................... 210 9.1.5 Verwaltung von Zutrittskontrollmedien .................................................................. 212 9.1.6 Portierdienst ............................................................................................................. 213 9.1.7 Einrichtung einer Postübernahmestelle ................................................................... 213 9.1.8 Perimeterschutz ....................................................................................................... 214 9.2 Brandschutz ................................................................................................................ 215 9.2.1 Einhaltung von Brandschutzvorschriften und Auflagen .......................................... 215 9.2.2 Raumbelegung unter Berücksichtigung von Brandlasten ........................................ 215 9.2.3 Organisation Brandschutz ....................................................................................... 216 9.2.4 Brandabschottung von Trassen ............................................................................... 216 9.2.5 Verwendung von Brandschutztüren und Sicherheitstüren ....................................... 217 9.2.6 Brandmeldeanlagen ................................................................................................. 218 9.2.7 Brandmelder ............................................................................................................ 218 9.2.8 Handfeuerlöscher (Mittel der Ersten und Erweiterten Löschhilfe) .......................... 219 9.2.9 Löschanlagen ........................................................................................................... 220 9.2.10 Brandschutzbegehungen ........................................................................................ 221 9.2.11 Rauchverbot ........................................................................................................... 221 9.2.12 Rauchschutzvorkehrungen ..................................................................................... 221 9.3 Stromversorgung, Maßnahmen gegen elektrische und elektromagnetische Risiken ............................................................................................................................... 222 9.3.1 Angepasste Aufteilung der Stromkreise .................................................................. 222 9.3.2 Not-Aus-Schalter ..................................................................................................... 222 9.3.3 Zentrale Notstromversorgung .................................................................................. 223 9.3.4 Lokale unterbrechungsfreie Stromversorgung ........................................................ 223 9.3.5 Blitzschutzeinrichtungen (Äußerer Blitzschutz) ...................................................... 224 9.3.6 Überspannungsschutz (Innerer Blitzschutz) ............................................................ 225 8

9.3.7 Schutz gegen elektromagnetische Einstrahlung ...................................................... 225 9.3.8 Schutz gegen kompromittierende Abstrahlung ....................................................... 226 9.3.9 Schutz gegen elektrostatische Aufladung ................................................................ 228 9.4 Leitungsführung ......................................................................................................... 228 9.4.1 Lagepläne der Versorgungsleitungen ...................................................................... 228 9.4.2 Materielle Sicherung von Leitungen und Verteilern ............................................... 229 9.4.3 Entfernen oder Kurzschließen und Erden nicht benötigter Leitungen ..................... 230 9.4.4 Auswahl geeigneter Kabeltypen .............................................................................. 230 9.4.5 Schadensmindernde Kabelführung .......................................................................... 231 9.4.6 Vermeidung von wasserführenden Leitungen ......................................................... 231 9.5 Geeignete Aufstellung und Aufbewahrung .............................................................. 232 9.5.1 Geeignete Aufstellung eines Arbeitsplatz-IT-Systems ............................................ 233 9.5.2 Geeignete Aufstellung eines Servers ....................................................................... 233 9.5.3 Geeignete Aufstellung von Netzwerkkomponenten ................................................ 234 9.5.4 Nutzung und Aufbewahrung mobiler IT-Geräte ..................................................... 235 9.5.5 Sichere Aufbewahrung der Datenträger vor und nach Versand .............................. 236 9.5.6 Serverräume ............................................................................................................. 236 9.5.7 Beschaffung und Einsatz geeigneter Schutzschränke .............................................. 237 9.6 Weitere Schutzmaßnahmen ...................................................................................... 240 9.6.1 Einhaltung einschlägiger Normen und Vorschriften ............................................... 240 9.6.2 Regelungen für Zutritt zu Verteilern ....................................................................... 240 9.6.3 Vermeidung von Lagehinweisen auf schützenswerte Gebäudeteile ........................ 241 9.6.4 Geschlossene Fenster und Türen ............................................................................. 241 9.6.5 Alarmanlage ............................................................................................................. 242 9.6.6 Fernanzeige von Störungen ..................................................................................... 242 9.6.7 Klimatisierung ......................................................................................................... 243 9.6.8 Selbsttätige Entwässerung ....................................................................................... 243 9.6.9 Videounterstützte Überwachung ............................................................................. 243 9.6.10 Aktualität von Plänen ............................................................................................ 244 9.6.11 Vorgaben für ein Rechenzentrum ......................................................................... 244

10 Sicherheitsmanagement in Kommunikation und Betrieb ................... 245
10.1 IT-Sicherheitsmanagement ...................................................................................... 245 10.1.1 Etablierung eines IT-Sicherheits-Management-Prozesses ..................................... 245 9

10.1.2 Erarbeitung einer organisationsweiten Informationssicherheits-Politik ................ 247 10.1.3 Erarbeitung von IT-Systemsicherheitspolitiken .................................................... 247 10.1.4 Festlegung von Verantwortlichkeiten .................................................................... 248 10.1.5 Funktionstrennung ................................................................................................. 250 10.1.6 Einrichtung von Standardarbeitsplätzen ................................................................ 250 10.1.7 Akkreditierung von IT-Systemen .......................................................................... 252 10.1.8 Change Management ............................................................................................. 252 10.1.8.1 Reaktion auf Änderungen am IT-System ........................................................... 253 10.1.8.2 Software-Änderungskontrolle ............................................................................. 254 10.2 Dokumentation ........................................................................................................ 254 10.2.1 Dokumentation von Software ................................................................................ 254 10.2.2 Sourcecodehinterlegung ......................................................................................... 256 10.2.3 Dokumentation der Systemkonfiguration .............................................................. 257 10.2.4 Dokumentation der Datensicherung ...................................................................... 258 10.2.5 Dokumentation und Kennzeichnung der Verkabelung .......................................... 259 10.2.6 Neutrale Dokumentation in den Verteilern ........................................................... 260 10.3 Dienstleistungen durch Dritte (Outsourcing) ....................................................... 261 10.3.1 Festlegung einer Outsourcing-Strategie ................................................................ 262 10.3.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben ................... 266 10.3.3 Wahl eines geeigneten Outsourcing-Dienstleisters ............................................... 268 10.3.4 Vertragsgestaltung mit dem Outsourcing-Dienstleister ......................................... 270 10.3.5 Erstellung eines IT-Sicherheitskonzepts für das Outsourcing-Vorhaben .............. 275 10.3.6 Notfallvorsorge beim Outsourcing ........................................................................ 279 10.4 Schutz vor Schadprogrammen und Schadfunktionen ......................................... 281 10.4.1 Erstellung eines Virenschutzkonzepts ................................................................... 282 10.4.2 Generelle Maßnahmen zur Vorbeugung gegen Virenbefall .................................. 282 10.4.3 Empfohlene Virenschutzmaßnahmen auf Firewall-Ebene .................................... 283 10.4.4 Empfohlene Virenschutzmaßnahmen auf Server-Ebene ....................................... 284 10.4.5 Empfohlene Virenschutzmaßnahmen auf Client-Ebene und Einzelplatzrechnern ............................................................................................................................................ 284 10.4.6 Vermeidung bzw. Erkennung von Viren durch den Benutzer ............................... 285 10.4.7 Erstellung von Notfallplänen im Fall von Vireninfektionen ................................. 287 10.4.8 Auswahl und Einsatz von Virenschutzprogrammen .............................................. 288 10

10.4.9 Verhaltensregeln bei Auftreten eines Virus .......................................................... 290 10.4.10 Warnsystem für Computerviren – Aktualisierung von Virenschutzprogrammen ............................................................................................................................................ 291 10.4.11 Schutz vor aktiven Inhalten ................................................................................. 291 10.4.12 Sicherer Aufruf ausführbarer Dateien ................................................................. 294 10.4.13 Vermeidung gefährlicher Dateiformate ............................................................... 296 10.5 Datensicherung ......................................................................................................... 298 10.5.1 Regelmäßige Datensicherung ................................................................................ 298 10.5.2 Entwicklung eines Datensicherungskonzeptes ...................................................... 300 10.5.3 Festlegung des Minimaldatensicherungskonzeptes ............................................... 300 10.5.4 Datensicherung bei Einsatz kryptographischer Verfahren .................................... 301 10.5.5 Geeignete Aufbewahrung der Backup-Datenträger ............................................... 303 10.5.6 Sicherungskopie der eingesetzten Software .......................................................... 303 10.5.7 Beschaffung eines geeigneten Datensicherungssystems ....................................... 304 10.5.8 Datensicherung bei mobiler Nutzung eines IT-Systems ....................................... 305 10.5.9 Verpflichtung der Mitarbeiter/innen zur Datensicherung ...................................... 307 10.6 Netzsicherheit ........................................................................................................... 307 10.6.1 Sicherstellung einer konsistenten Systemverwaltung ............................................ 307 10.6.2 Ist-Aufnahme der aktuellen Netzsituation ............................................................. 308 10.6.3 Analyse der aktuellen Netzsituation ...................................................................... 309 10.6.4 Entwicklung eines Netzkonzeptes ......................................................................... 310 10.6.5 Entwicklung eines Netzmanagementkonzeptes ..................................................... 312 10.6.6 Sicherer Betrieb eines Netzmanagementsystems .................................................. 313 10.6.7 Sichere Konfiguration der aktiven Netzkomponenten .......................................... 314 10.6.8 Festlegung einer Sicherheitsstrategie für ein Client-Server-Netz .......................... 315 10.6.9 Wireless LAN (WLAN) ........................................................................................ 318 10.6.10 Remote Access (VPN) - Konzeption .................................................................. 321 10.6.10.1 Durchführung einer VPN-Anforderungsanalyse .............................................. 323 10.6.10.2 Entwicklung eines VPN-Konzeptes ................................................................. 325 10.6.10.3 Auswahl einer geeigneten VPN-Systemarchitektur .......................................... 331 10.6.11 Remote Access (VPN) - Implementierung .......................................................... 340 10.6.11.1 Sichere Installation des VPN-Systems ............................................................. 341 10.6.11.2 Sichere Konfiguration des VPN-Systems ......................................................... 342 11

10.6.12 Sicherer Betrieb des VPN-Systems ..................................................................... 343 10.6.13 Entwicklung eines Firewallkonzeptes ................................................................. 346 10.6.14 Installation einer Firewall .................................................................................... 350 10.6.15 Sicherer Betrieb einer Firewall ........................................................................... 351 10.6.16 Firewalls und aktive Inhalte ................................................................................ 353 10.6.17 Firewalls und Verschlüsselung ............................................................................ 354 10.6.18 Einsatz von Verschlüsselungsverfahren zur Netzkommunikation ....................... 355 10.7 Betriebsmittel und Datenträger .............................................................................. 358 10.7.1 Betriebsmittelverwaltung ....................................................................................... 358 10.7.2 Datenträgerverwaltung ........................................................................................... 360 10.7.3 Datenträgeraustausch ............................................................................................. 361 10.8 Informationsaustausch / E-Mail ............................................................................. 363 10.8.1 Richtlinien beim Datenaustausch mit Dritten ....................................................... 363 10.8.2 Festlegung einer Sicherheitspolitik für E-Mail-Nutzung ....................................... 364 10.8.3 Regelung für den Einsatz von E-Mail und anderen Kommunikationsdiensten ...... 366 10.8.4 Sicherer Betrieb eines Mail-Servers ...................................................................... 369 10.8.5 Einrichtung eines Postmasters ............................................................................... 371 10.8.6 Geeignete Auswahl eines E-Mail-Clients/Server .................................................. 371 10.8.7 Sichere Konfiguration der Mailclients .................................................................. 373 10.8.8 Verwendung von WebMail externer Anbietern .................................................... 373 10.9 Internet-, Web, E-Commerce, E-Government ...................................................... 375 10.9.1 Richtlinien bei Verbindung mit Netzen Dritter (Extranet) .................................... 375 10.9.2 Erstellung einer Internet-Sicherheitspolitik ........................................................... 376 10.9.3 Festlegung einer WWW-Sicherheitsstrategie ........................................................ 379 10.9.4 Sicherer Betrieb eines WWW-Servers .................................................................. 380 10.9.5 Sicherheit von WWW-Browsern ........................................................................... 382 10.9.6 Schutz der WWW-Dateien .................................................................................... 388 10.9.7 Einsatz von Stand-alone-Systemen zur Nutzung des Internets .............................. 390 10.9.8 Sichere Nutzung von E-Commerce bzw. E-Government Applikationen ............... 390 10.9.9 Portalverbundsystem in der öffentlichen Verwaltung ........................................... 392 10.10 Protokollierung und Monitoring .......................................................................... 393 10.10.1 Erstellung von Protokolldateien .......................................................................... 393 10.10.2 Datenschutzrechtliche Aspekte bei der Erstellung von Protokolldateien ............. 395 12

10.10.3 Kontrolle von Protokolldateien ........................................................................... 396 10.10.4 Rechtliche Aspekte bei der Erstellung und Auswertung von Protokolldateien zur E-Mail- und Internetnutzung ...................................................................................... 397 10.10.5 Audit und Protokollierung der Aktivitäten im Netz ............................................ 399 10.10.6 Intrusion Detection Systeme ............................................................................... 402 10.10.7 Zeitsynchronisation .............................................................................................. 403

11 Zugriffskontrolle, Berechtigungssysteme, Schlüssel- und Passwortverwaltung ...................................................................................... 404
11.1 Zugriffskontrollpolitik ............................................................................................. 404 11.1.1 Grundsätzliche Festlegungen zur Rechteverwaltung ............................................. 404 11.2 Benutzerverwaltung ................................................................................................. 405 11.2.1 Vergabe und Verwaltung von Zugriffsrechten ...................................................... 405 11.2.2 Einrichtung und Dokumentation der zugelassenen Benutzer/innen und Rechteprofile ..................................................................................................................... 406 11.2.3 Organisatorische Regelungen für Zugriffsmöglichkeiten in Vertretungs- bzw. Notfällen ........................................................................................................................... 408 11.3 Verantwortung der Benutzer / Benutzerinnen ...................................................... 409 11.3.1 Regelungen des Passwortgebrauches .................................................................... 409 11.3.2 Bildschirmsperre .................................................................................................... 410 11.4 Fernzugriff ................................................................................................................ 411 11.4.1 Nutzung eines Authentisierungsservers beim Fernzugriff ..................................... 412 11.4.2 Einsatz geeigneter Tunnel-Protokolle für die VPN-Kommunikation .................... 414 11.4.3 Einsatz von Modems und ISDN-Adaptern ............................................................ 415 11.4.4 Geeignete Modem-Konfiguration .......................................................................... 417 11.4.5 Aktivierung einer vorhandenen Callback-Option .................................................. 418 11.5 Zugriff auf Betriebssysteme .................................................................................... 419 11.5.1 Sichere Initialkonfiguration und Zertifikatsgrundeinstellung ................................ 419 11.5.2 Nutzung der BIOS-Sicherheitsmechanismen ........................................................ 420 11.6 Zugriff auf Anwendungen und Informationen ...................................................... 421 11.6.1 Wahl geeigneter Mittel zur Authentisierung ......................................................... 422 11.6.2 Regelungen des Gebrauchs von Chipkarten .......................................................... 424 11.6.3 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen 426 .... 11.7 Mobile Computing und Telarbeit ........................................................................... 428 11.7.1 Mobile IT-Geräte ................................................................................................... 430 11.7.1.1 Laptop, Notebook ............................................................................................... 432 13

.......................4 Regelung des Dokumenten... Betrieb und Wartung eines IT-Systems ......1.....1............................ 440 11..........................................................Institution ...............7 Abnahme und Freigabe von Software . 478 12........................ 445 11................. 457 11...................4 Entwicklungsumgebung ...........2 PDA (Personal Digital Assistant) .......................2 Geeignete Einrichtung eines häuslichen Arbeitsplatzes .....................1......8 Installation und Konfiguration von Software .........1.......7.....7...1.........7........................... 451 11......7....1 Sicherheit im gesamten Lebenszyklus eines IT-Systems ...............................7........ 465 12....... 476 12.................6 Betreuungs................................................................7..............................................7.......8 Regelung der Zugriffsmöglichkeiten von Telearbeiter/innen .................................... DVDs) .....10 Sicherheitstechnische Anforderungen an den Kommunikationsrechner ......................7..1.................................. 459 11..........................................1........ Meldewege und Fortbildung ...4 Wechselmedien und externe Datenspeicher (USB-Sticks....7........... 460 12....................................................................................... -Platten........................ 459 12 Sicherheit in Entwicklung...................... 436 11...............................5 Entwicklung eines Testplans für Standardsoftware ......6 Testen von Software ...............................................................1................. 480 12...............9 Sicherstellen der Integrität von Software ..... 454 11............1...9 Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner....10 Lizenzverwaltung und Versionskontrolle von Standardsoftware ........................ 456 11..........................................................3 Mobiltelefon..................5 Geeignete Aufbewahrung dienstlicher Unterlagen und Datenträger ...1....... 451 11.................................. 452 11.. 469 12......7 Geregelte Nutzung der Kommunikationsmöglichkeiten ................................... 448 11................. 450 11...........................7..7..................................1...............1............. 454 11.................. 467 12..............11...................7..........................................2 Durchführung einer Risikoanalyse und Festlegung der ITSicherheitsanforderungen ............................................................. 448 11.........12 Vertretungsregelung für Telearbeit ...........7.............. 472 12....................... CDs......................................................1.........................und Datenträgertransports zwischen häuslichem Arbeitsplatz und Institution .........3 IT-Sicherheit in Design und Implementierung ............3 Regelungen für Telearbeit ........... Smart Phone ................. 474 12............... 471 12........11 Informationsfluss......................................................1.11 Deinstallation von Software ...... 461 12...........13 Entsorgung von Datenträgern und Dokumenten ........................................................................1 IT-Sicherheit in der System-Anforderungsanalyse ....... 479 12......7.....und Wartungskonzept für Telearbeitsplätze ............................7...................... 481 14 .........

.6...........9 Zertifizierungsdienste ............................. 521 13..................4 Wartung und administrativer Support von Sicherheitseinrichtungen ......................7 Schlüssel-Management . 489 12.................................................... Informationssicherheits-Ereignisse (Incident Handling) ....................................................................................3..2 Regelungen für externe Wartungsarbeiten ................................ 489 12................................... 485 12............................ 506 12...........................4 Korrekte Verarbeitung ....................6...........................6................ 483 12....................................3 Fernwartung ..........................................................und Hardware im Netzbereich ................................................... 495 12...........................................3................. 514 12....... 483 12..........6 Einsatz kryptographischer Maßnahmen ............................................................2 Evaluierung und Zertifizierung ..... 493 12.............1 Systemdateien .................................3...........1.. 498 12.............1 Nutzungsverbot nicht-freigegebener Software ....................................................2 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte...........................7....5 Regelung des Einsatzes von Kryptomodulen .................................1 Überlegungen zu Informationssicherheits-Ereignissen ................................. 487 12..................6...........................1 Regelungen für Wartungsarbeiten im Haus ..3..............................................6.......... 519 13 Sicherheitsvorfälle bzw.......................... 504 12........................6..................3 Auswahl eines geeigneten kryptographischen Verfahrens .......................................3..............und Software-Komponenten ..................................3 Einsatz von Software ..... 486 12.......................................... 521 15 ...........................12........ 516 12. 484 12..6 Software-Pflege....................... 491 12.......... 521 13............. 515 12........................................................4 Update von Software ................7.............................5 Sicherheit von Systemdateien ....................1 Beachtung des Beitrags der Zertifizierung für die Beschaffung .......7........................................... 489 12..................1 Reaktion auf Sicherheitsvorfälle bzw.........................................................5 Update/Upgrade von Soft............ 484 12............. 485 12...6.6.......................................1 Entwicklung eines Kryptokonzepts ............2......... sicherheitsrelevante Ereignisse (Incident Handling) .............................................................. 481 12.... 505 12.6 Physikalische Sicherheit von Kryptomodulen ..6..........4............................................................... 501 12.......................1 Verifizieren der zu übertragenden Daten vor Weitergabe ....................3.......................... 487 12................. 511 12.4 Auswahl eines geeigneten kryptographischen Produktes ................... 513 12............................................und -Änderungskonzept .........5................7.................2 Nutzungsverbot privater Hard........................7 Wartung ...........3 Überprüfung des Software-Bestandes .......................................... 517 12....5............... 481 12...............2 Sorgfältige Durchführung von Konfigurationsänderungen .......................8 Einsatz elektronischer Signaturen ......................

.........................3 Benennung einer/eines Notfall-Verantwortlichen ...........1.............6 Behebung von Sicherheitsvorfällen ................................1...................................................2 Überprüfung auf Einhaltung der Sicherheitspolitiken ........................................................ 531 13........................ 529 13.. 543 14....1..............................................................5 Meldewege bei Sicherheitsvorfällen ...................10 Ersatzbeschaffungsplan .........................1.............1.....................................................4 Erstellung eines Disaster Recovery Handbuches ...... 559 15.......... 560 16 ..1 Security Compliance Checking und Monitoring ..........7 Eskalation von Sicherheitsvorfällen ......2 Erstellung einer Übersicht über Verfügbarkeitsanforderungen ....................................... 551 14..................7 Untersuchung interner und externer Ausweichmöglichkeiten ...........9 Computer Emergency Response Team (CERT) .............1....13 Redundante Leitungsführung ............1 Definition von Verfügbarkeitsklassen ....1...........................................................................1.................................................. 549 14....2...................................................... 550 14. 543 14...............1 Security Compliance Checking und Monitoring ..... 559 15........................................ 546 14....................1........................ 543 14..................................................1.......1........................ 555 14...... 526 13....12 Abschließen von Versicherungen ...........14 Redundante Auslegung der Netzkomponenten ..............................13.............1................ 539 14 Disaster Recovery und Business Continuity ......... 537 13........ 552 14.....................2 Umsetzung und Test .................9 Erstellung eines Wiederanlaufplans ...........2 Festlegung von Verantwortlichkeiten bei Informationssicherheits-Ereignissen ....................... 559 15....................8 Nachbereitung von Sicherheitsvorfällen (Lessons Learned) ..........................................................1......1.......1...........2.1...... 556 14..... 552 14...........................4 Prioritäten bei der Behandlung von Sicherheitsvorfällen ..........................................................1........... 547 14..........................8 Alarmierungsplan ................................. 544 14...1.... 528 13.................... 548 14...........................................1.............................................................. 554 14.........................................1...2 Übungen zur Datenrekonstruktion .1............................................... 557 15 Security Compliance ................5 Definition des eingeschränkten IT-Betriebs (Notlaufplan) .......................................................................................................................1..........................1 Einhaltung von rechtlichen und betrieblichen Vorgaben ........................1.................................................................. 556 14...... 548 14...............1 Durchführung von Disaster Recovery Übungen ...... 546 14.................1...........3 Erstellung eines Incident Handling Plans und Richtlinien zur Behandlung von Sicherheitsvorfällen ....6 Regelung der Verantwortung im Notfall ......................... 523 13................. 533 13........................................................11 Lieferantenvereinbarungen .......................................................

..2............... 586 A........................................... 592 A.... 575 A...........2........Zustellung .......................1..........................2 Österreichische Sicherheits...................................1........................................................................................................ 567 A...............................1........Signaturprüfung (MOA SP) / MOA SS .....4.4 Kontrolle bestehender Verbindungen .................. 578 A....................................................................................................... 583 A......................1...1.. 567 A..............1..................3............................... 586 A... 595 A..................3...................2...3.....1.....1 Elemente der Kryptographie .......................... 581 A...........1.1......1................3...1.......5 Authentizitätsnachweise ..........7 Fortlaufende Überwachung der IT-Systeme (Monitoring) ...............4..........3 Vollmachten .................1............2..............................3 Auswertung von Protokolldateien ................................ 580 A...2.1..3 MOA ZS ............... 586 A................................ 574 A...........................................1.2 Rechtlicher Hintergrund .......4 Module für Online Applikationen (MOA) . 567 A.....................................................1 Beschreibung der generellen Anforderungen ...........3 Verschlüsselung .................. 580 A................................und Verteidigungsdoktrin – Teilstrategie IKTSicherheit .............3 Ausstellung einer Sicherheitsunbedenklichkeitsbescheinigung ...1... 564 15......................... 563 15............................... 586 A................................. 584 A............. Elektronische Signaturen ......................................................1..............4...... 594 A................ 583 A....5 Portalverbund ................7 Schlüsselmanagement ...................1..................................................2...............................3......................................... 584 A....4....................1.....................................................5 Durchführung von Sicherheitskontrollen in Client-Server-Netzen .................................... 565 A............. 587 A..............2 Kryptographische Grundziele ............................. 571 A.....................15.3............................2..8 Schlüsselverteilungszentralen ....3................4 MOA AS ..........................................1...3..6 Digitale Signaturen......................................................................1 Industrielle Sicherheit .......1 MOA-ID Identifikation ...1 Sicherheitsszenarien ..1............................................1..............................................2 Tunneling .....1.....1....2..............................2 Personenkennzeichen und Stammzahlen ....................1.............................................Amtssignatur ....6 Kontrollgänge ..................................3 Sicherheitsfunktionen für E-Government in Österreich ............. 560 15.............2........Signaturerstellung am Server .......1.1................. 598 A...1..................1 Konzept und Funktionen der Bürgerkarte ..2 MOA SP ..... 568 A........................................1...........1..........................................................1............1.................................1 Kryptographische Methoden ...........................................................................................................................................2........4 Integritätsschutz ................................................... 599 A....................................................................... 600 17 ...........................................3.....................2 Sicherheitstechnologien ......... 562 15.......... 573 A.....................

........................2..............................2...........2............................2....... 643 Gesetzestexte .........3................................2........................................................ 649 18 ......................................3.......................................... 615 A........................ 625 C..3..1 Tunnel-Protokolle für die VPN-Kommunikation .......................................................... 609 A......5 Rollen und Verantwortlichkeiten bei der Virtualisierung ................................. Sicherheitstüren und einbruchhemmende Türen ...................................................................................................3........... Informationssicherheit und IT-Sicherheit ...2.....................................................8 Sichere Konfiguration virtueller IT-Systeme .....2........................2...........................10 Erstellung eines Notfallplans für den Ausfall von Virtualisierungskomponenten .............................................................. 621 B Muster für Verträge..................... 603 A.........4 Planung .............................................. 600 A...........................................................................................9 Sicherer Betrieb virtueller Infrastrukturen ..................3.1 Einführung in die Virtualisierung ........... 611 A.................. 643 IKT-Board Beschlüsse ..3..........................2.......2.............6 Anpassung der Infrastruktur im Zuge der Virtualisierung .............2...... 617 A...................7 Aufteilung der Administrationstätigkeiten bei Virtualisierungsservern .............................................3. Vernichtung von Akten und Daten . 619 A...............................3.3..................A..........................................1 Wichtige Normen .............................................................. 639 E Referenzierte IKT-Board Beschlüsse und Gesetze ..............................................................2 Anwendungen der Virtualisierungstechnik ..................................................................... Verpflichtungserklärungen und Dokumentationen ...... 605 A.................. 614 A.3 Gefährdungen in Zusammenhang mit Virtualisierung ......... 626 628 628 629 629 C.............................................................................. 645 F Wichtige Adressen .........................................................................................................................3 Virtualisierung ... 603 A...... 616 A.....2 Referenzdokumente ......................... 626 Brandschutz ............2............................................................... Wertbehältnisse ............................................................................3....2.....................................

Austria (A-SIT) durch. die sowohl von der öffentlichen Verwaltung als auch der Wirtschaft zielgruppenorientiert und einfach verwendet werden können. wobei weiterentwickelte zentrale Bausteine mit Hilfe automatischer Updates eingespielt werden können. Zusätzlich eignet sich das neue Informationssicherheitshandbuch auf Grund seiner neuen Struktur als konkrete Implementierungshilfe für nationale (E-Government) und internationale Normen (z. Der Aufbau des neuen Informationssicherheitshandbuchs ermöglicht auch die Berücksichtigung von Querschnittsmaterien nach Vorgabe durch Fachbereiche aus Verwaltung und Wirtschaft. Das nun neu überarbeitete und neu strukturierte „Österreichische Informationssicherheitshandbuch“ beschreibt und unterstützt die Vorgehensweise zur Etablierung eines umfassenden Informationssicherheits-Managementsystems in Unternehmen und der öffentlichen Verwaltung. ISO/IEC 27001 und 27002) in der öffentlichen Verwaltung und der Privatwirtschaft. weiter ausgebaut. umfassende und dennoch kompakte Darstellung von Risken. rückt die Frage nach der Sicherheit der Informationen und der Informationstechnologie zunehmend in den Brennpunkt des Interesses. denen Informationen ausgesetzt sind und Gegenmaßnahmen. lokale Versionen. Die grundlegende Überarbeitung und Aktualisierung seit der letzten Fassung aus 2007 führte das Bundeskanzleramt in Kooperation mit dem Zentrum für sichere Informationstechnologie . Dabei wird die bisherige Stärke des Österreichischen Sicherheitshandbuchs.B. Unterstützt werden auch eigene. Dazu wurden Maßnahmenbausteine entwickelt. eine eigenständige. welche für österreichische Institutionen relevant sind. Diese Überarbeitung basiert einerseits auf aktuellen internationalen Entwicklungen im Bereich der Informationssicherheit und andererseits auf Kooperationen mit dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem schweizerischen Informatikstrategieorgan des Bundes (ISB). 19 . dass weite Bereiche des täglichen Lebens ohne den Einsatz von informationstechnischen Systemen heute nicht mehr funktionsfähig sind.Zum Geleit Die Tatsache. Methodisches Sicherheitsmanagement ist zur Gewährleistung umfassender und angemessener Informationssicherheit unerlässlich. Die nun erstmals ausschließlich elektronische Umsetzung in Verbindung mit einer kontinuierlichen Wartung durch definierte Autorengruppen mit fachspezifischen Anforderungen ermöglicht eine Tagesaktualität. Aufbau und Inhalt orientieren sich nun nach internationalen Vorgaben und erleichtern damit die Umsetzung von Vorgaben aus der ISO/IEC 27000 Normenreihe. die gerade in der Informationsverarbeitung besonders wichtig ist.

Österreich besitzt mit dem "Österreichischen Informationssicherheitshandbuch" ein anerkanntes Standardwerk zur Informationssicherheit. das sich an internationalen Vorgaben orientiert und durch seine Kompaktheit auszeichnet. 20 . Es leistet einen wesentlichen Beitrag zur Erstellung und Implementierung von umfangreichen Sicherheitskonzepten in der öffentlichen Verwaltung und versteht sich als Hilfestellung für die Wirtschaft.

Die markantesten Neuheiten sind: • • • • • • Die bisherige Struktur mit 2 Teilen wurde an die Struktur der Normen ISO/IEC 27001 und 27002 angepasst: Es gibt jetzt einen Teil mit 15 Abschnitten und einer Reihe von Anhängen. bestehend aus Bausteinen der bisherigen zweiteiligen Version und neu verfassten Inhalten. Die inhaltliche Wartung erfolgt nun kontinuierlich. Die technische Realisierung unterstützt nun unterschiedliche Sprachen.und Checklisten mit eigenen Kommentaren. dem bewährten Österreichischen Informationssicherheitshandbuch nicht nur neue Inhalte.Vorwort und Management Summary Zur Version 3 des Informationssicherheitshandbuchs Herzlich willkommen bei der Lektüre der Version 3 des Österreichischen Informationssicherheitshandbuchs. Die nun vorliegende Version 3. Gleichermaßen werden unterschiedliche Textversionen zum gleichen thematischen Inhalt für verschiedene Zielgruppen unterstützt und entwickelt.1 ist die erste Auflage in der neuen Struktur und bietet eine vollständige Wissensbasis. Damit kann das Sicherheitshandbuch international genutzt werden. Sie sehen hier das Ergebnis eines ehrgeizigen internationalen Projekts mit dem Ziel. Feedbacks zum Sicherheitshandbuch können Sie ganz einfach per E-Mail senden an: siha@a-sit. Damit wird der Einsatz als Implementierungshilfe für ein ISMS gemäß ISO/IEC 27001 erleichtert.at 21 . Auf Grund der fortschreitenden Entwicklung der Informationstechnologie wird es ein andauender Prozess sein. Damit können "eigene" Sicherheitshandbücher und -policies erarbeitet werden. jeweils aktuelle Themen und Aspekte in das Informationssicherheitshandbuch einzubringen. Ein Update-Mechanismus vergleicht lokal ergänzte Themen mit allfälligen Änderungen in der zentralen Wissensbasis. um die Aktualität sicherzustellen. Unbeschadet dessen sind wir für Feedbacks der Leser und Anwender dankbar. sondern auch neue Einsatzgebiete mit Hilfe von interaktiven Funktionalitäten zu geben. Eine moderne Web-Benutzeroberfläche erleichtert die Erarbeitung von lokal erzeugten Auswahl.

Ihnen für Ihr Interesse an der neuen Version zu danken und zu hoffen. Gehen sie uns verloren. sind sie falsch oder einfach nicht auffindbar. Aus der Fülle möglicher Bedrohungen und der Fülle möglicher Gegenmaßnahmen methodisch diejenigen identifizieren zu helfen. Schweiz Zentrum für sichere Informationstechnologie . Wir besitzen sie aus unterschiedlichen Gründen . die sich am Sicherheitsbedürfnis öffentlicher Einrichtungen orientiert hat. dennoch ist es der zentrale und immer wichtiger werdende Aspekt der Informationssicherheit.die Palette reicht von geringfügig bis existenzbedrohend. wenn wir sie benötigen. dann erleiden wir Schaden . welche für ein spezielles Szenario beachtet werden sollen bzw. wurde beim „Österreichischen Informationssicherheitshandbuch“ zunehmend dem steigenden Interesse aus der Wirtschaft Rechnung getragen. das sind die Projektpartner: • • • Bundeskanzleramt Österreich (BKA) Informatikstrategieorgan des Bundes (ISB). 22 . in den Schutz unserer Informationen zu investieren und was ist im speziellen Fall die optimale Lösung? Hier wird es schon differenzierter.als Projektverantwortliche Manfred Holzbach. dass wir damit einen richtigen Weg einschlagen. weil wir aus ihnen einen Vorteil ziehen. Ausgehend von seiner ersten Version („IT-Sicherheitshandbuch für die öffentliche Verwaltung“).Austria (A-SIT) . dass Sie auch der Meinung sind. Niemand bestreitet das. das zeigen entsprechende Umfragen immer wieder. aber wie viel sind wir bereit.weil wir für ihre Verwahrung oder Verarbeitung Verantwortung tragen. Wir. weil ihre Kenntnis uns vor Schaden bewahrt und noch viel mehr. war von Beginn an die Zielsetzung dieses Handbuchs.Bleibt noch. redaktioneller Leiter Management Summary Mehr denn je ist uns bewusst: Informationen sind Werte. müssen. Das ist zwar nichts Neues. werden sie gestohlen.

und Checklisten ( "eigene" Sicherheitshandbücher und -policies.B.es ist unerheblich wo sich der/die Nutzer/in gerade physisch befindet. und es wird in den Texten auf passende Normvorschriften hingewiesen.Weiterentwicklungen betreffen primär die Inhalte: Ist es doch die rasante Entwicklung im Bereich der Informationstechnologie (IT). aber auch eigene Auswahl. Die steigende Vernetzung führt dazu. Ein vorläufiger Höhepunkt dieser Entwicklung wird erreicht sein.sie entwickelt sich nicht so rasant weiter wie die Technik. E-Government. Ein Sicherheitshandbuch erfüllt seinen Zweck nur. wenn "Cloud Computing" die geschäftliche und auch private Nutzung der Informationstechnologie durchdrungen haben wird. neu ausgerichtet wird. Mit einer modernen Benutzeroberfläche kann sowohl einfach durch die Themen geblättert. sowohl für die rechtmäßigen Besitzer/innen der Information wie auch für die potenziell unrechtmäßigen. um die Aktualität sicherzustellen. Es werden unterschiedliche Sprachen unterstützt. Am Beispiel der Spam-E-Mails kann man erkennen. ergänzt und ggf. Zugleich steigt das Risikopotenzial weiter. auf „typische“ Verhaltensmuster ist Verlass . Kernelemente des Informationssicherheitshandbuchs sind der Aufbau. Es gibt nicht nur immer wieder neue Technologien. dass Information „ortslos“ wird . der besonderes Augenmerk zu schenken ist .sonst wären E-MailWürmer oder Phishing-Angriffe nicht so problematisch . sondern auch völlig neue Anwendungsgebiete wie z. Und schließlich ist es immer noch die Person. Ein solches ist in ISO/IEC 27001 definiert als: 23 .obwohl die Mehrheit der Benutzer über die Gefahren Bescheid weiß. welche sowohl in der öffentlichen Verwaltung als auch in der Privatwirtschaft zu bemerkenswerten Innovationsschüben führt. Mit dieser Motivation wurden mit der nun vorliegenden Version 3 neue Wege beschritten: • • • • Ein wesentliches Einsatzgebiet ist die Implementierung der für Informationssicherheit wichtigen Normen ISO/IEC 27001 und 27002. wie schnell ein zunächst harmlos erscheinendes Phänomen zu einem massiven Problem wurde. Daher wurde die Kapitelstruktur weitgehende diesen Normen angepasst. wenn es regelmäßig der aktuellen Entwicklung Rechnung trägt und daher immer wieder überarbeitet. die Umsetzung und die Aufrechterhaltung eines InformationssicherheitsManagementsystems (ISMS). Schulungsunterlagen ) erzeugt werden. Die inhaltliche Wartung erfolgt ab jetzt nun kontinuierlich.

wie viel man auch investiert. Verantwortung. aber auch Kenntnis über Vorfälle sowie üblicher Good-Practices zu erlangen. Überprüfung.7) Informationssicherheit entsteht nicht von selbst aus Technik oder Know-How. Inhalt und Struktur des Informationssicherheitshandbuchs sind an die ISO/IEC Normen 27001 und 27002 angepasst: • ISO/IEC 27001 (Informationssicherheits-Managementsysteme – Anforderungen) beschreibt die für Einrichtung. Begriffe 3. Instandhaltung und Verbesserung eines Informationssicherheits-Managementsystems relevanten Anforderungen. das bedeutet Vorhandensein. für ihre Einhaltung sorgen und Informationssicherheit im laufenden Betrieb inklusive in Notfällen zu gewährleisten. Verfahren. Die für das Informationssicherheits-Managementsystem (ISMS) relevante Norm ISO/IEC 27001 beschreibt Informationssicherheit als "Kontinuierlichen Verbesserungsprozess" (KVP): • • • • Planen (Plan): Festlegen des ISMS. Praktiken. eine organisationsspezifische Informationssicherheits-Politik zu erstellen und spezifisch geeignete Sicherheitsmaßnahmen auswählen. Im Informationssicherheitshandbuch wird darauf in den Kapiteln 2 und 24 . Umsetzung. Instandhaltung und Verbesserung der Informationssicherheit abdeckt" bzw. Es ist aber auch bei der Informationssicherheit nicht sinnvoll. womit sich ein ständiger Kreislauf schließt. Prüfen (Check): Überwachen und Überprüfen des ISMS auf seine Wirksamkeit. Einhaltung der Sicherheitsmaßnahmen zu überprüfen. Schwachstellen und veränderte Umfeldbedingungen reagieren und die Ursachen für Gefährdungen beseitigen. Dies bedingt erneutes Planen. Daher sind auch kontinuierlich Anstrengungen und Kosten für Informationssicherheit in Kauf zu nehmen. Überwachung. das bedeutet auf erkannte Fehler. Durchführen (Do): Umsetzen und Betreiben des ISMS. Handeln (Act): Instandhalten und Verbessern des ISMS. sondern zunächst aus dem Bewusstsein des Managements und der Mitarbeiter/innen einer Organisation. Durchführung. um sie zu erhalten. dass Informationen schützenswerte und gefährdete Werte für alle Beteiligten darstellen. Sinnhaftigkeit. (ISO/IEC 27001. enthält das Managementsystem die Struktur. Implementierung. Überprüfung. also Sicherheitsmaßnahmen realisieren. Grundsätze. der auf der Basis eines Geschäftsrisikoansatzes die Entwicklung. Prozesse und Ressourcen der Organisation. über das Ziel zu schießen: 100 % Sicherheit ist nicht erreichbar. Planungsaktivitäten."Teil des gesamten Managementsystems. also relevante Sicherheitsziele und strategien ermitteln. Durchführung. Überwachung.

Ein eigener Abschnitt im Anhang A beschreibt national relevante Sicherheitsmaßnahmen. Regelungen und Rahmenbedingungen. personeller. Organisation bzw. Sein Umfang soll nach wie vor zwei an sich gegenläufige Aspekte vereinen: • Die Themen sollen ausreichend konkret und detailliert dargestellt werden.und Szenariobeschreibungen sowie Musterdokumente. wie beispielsweise die "Industrielle Sicherheit" . Vorgaben entwickeln) zu können. um sie auch in der Tiefe zu verstehen und Maßnahmen implementieren (etwa Produkte auswählen.. Es werden hier konkrete und detaillierte Einzelmaßnahmen mit Anleitungen zu ihrer korrekten Implementierung auf organisatorischer. Es wird auch besonders auf die spezifisch österreichischen Anforderungen. Im Informationssicherheitshandbuch beziehen sich die Kapitel 4 bis 15 darauf und entsprechen in ihrer Thematik auch den Kapiteln der Norm. Informationssicherheit in einer Behörde. von der Entwicklung bis zur Beendigung des Betriebs. die nicht in den ISO Normen abgedeckt sind.dargestellt wird hier die Unterstützung für die Erstellung einer Sicherheitsunbedenklichkeitsbescheinigung und eine Übersicht aller für industrielle Sicherheit relevanten Vorgabedokumente aus dem nationalen.• 3 Bezug genommen: sie beschreiben den grundlegenden Vorgang. die entsprechend den spezifischen Anforderungen und Bedürfnissen in einer Einsatzumgebung angepasst werden müssen. eingegangen. Es soll eine Ergänzung zu den bestehenden Regelungen und Vorschriften (Datenschutzgesetz. In den Anhängen finden sich schließlich ausgewählte Technologie. Informationssicherheitsgesetz. Dies wird auch durch die Online-Funktionalitäten wie Checklisten unterstützt. Verschlusssachenvorschriften.. 25 . infrastruktureller und technischer Ebene beschrieben.) darstellen und setzt diese weder außer Kraft noch steht es zu ihnen im Widerspruch.und NATO-Bereich. Amtsgeheimnis. Ausrichtung und Umfang Von der Ausrichtung versteht sich das Informationssicherheitshandbuch nach wie vor als Sammlung von Leitlinien und Empfehlungen für die Praxis. ISO/IEC 27002 (Leitfaden für das Informationssicherheits-Management) beschreibt konkrete Empfehlungen für Aktivitäten zur Realisierung der Maßnahmenziele. Damit können den spezifischen Bedrohungen angemessene Standardsicherheitsmaßnahmen für Informationssysteme und Informationen entgegengesetzt werden. Literaturhinweise und Hilfsmittel wie Referenzen. einem Unternehmen zu etablieren und bieten konkrete Anleitungen den umfassenden und kontinuierlichen Sicherheitsprozess zu entwickeln. aber auch auf die durchgängige Einbeziehung des gesamten Lebenszyklus der jeweiligen Systeme. . EU.

zeitlichen und finanziellen Ressourcen auch erreicht werden kann. Weiters waren auch die Vorgabedokumente der EU und NATO für Informationssicherheit maßgeblich. Schweiz.• Es soll aber auch möglich bleiben." Hauptquellen und Danksagungen Schon lange wurden und werden auf nationaler und internationaler Ebene immer mehr Anstrengungen unternommen. Luxembourg ) in Luxemburg. zu steuern und zu kontrollieren" "Ein angestrebtes Sicherheitsniveau macht nur dann Sinn. Ausgesprochenen Dank sprechen wir den Organisationen und ihren maßgeblichen Partnern aus. Bonn. Abschließend drei Management-relevante Passagen (aus Kapitel 3): • • • "Zur Verantwortung der Management-Ebene gehört neben der Erreichung der geschäftlichen wie unternehmenspolitischen Ziele auch der angemessene Umgang mit Risiken. wie dann in den einzelnen Textbausteinen auch angeführt. Wegen der immer höheren Abhängigkeit von Information gilt dies besonders für Risiken aus fehlender oder mangelhafter Informationssicherheit. einen systematischen und dauerhaften Sicherheits-Managementprozess zu etablieren. . wenn es sich wirtschaftlich vertreten lässt und mit den verfügbaren personellen." "Es ist daher eine Management-Verantwortung. Ebenso etabliert ist die Arbeit von MELANI (Melde. sondern uns bei der Erarbeitung immer wieder mit Rat und Ermunterung unterstützt haben: • • 26 Bundesamt für Sicherheit in der Informationstechnik (BSI). Davon sind die Normenreihe ISO/IEC 27000 und der Grundschutz des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) wohl die bekanntesten und bedeutendsten. Deutschland. Sie müssen so früh als möglich erkannt. das Gesamtwerk oder größere Teile am Stück zu lesen. Im Informationssicherheitshandbuch wurde diesen internationalen Entwicklungen so weit wie möglich Rechnung getragen und auf einige dieser bewährten Quellen gegriffen. bewertet und durch Setzen geeigneter und nachhaltiger Maßnahmen auf einen minimalen und akzpetierten Rest reduziert werden. die uns nicht nur ihre Zustimmung zur Nutzung ihrer Unterlagen gegeben. eingeschätzt. einheitliche methodische Vorgehensweisen zur Etablierung von Informationssicherheit sowie Standard-Maßnahmenkataloge zu erarbeiten. Informatikstrategieorgan des Bundes (ISB). Bern.und Analysestelle Informationssicherung) in der Schweiz und CASES (Cyberworld Awareness Security Enhancement Structure.

Luxembourg 27 .• Ministére de l'Economie et du Commerce extérieur.

Das Sicherheitshandbuch bietet dazu: • • Gemäß der Norm geordnete Interpretation der Vorgaben und Prozessbeschreibungen. andererseits bietet es eine Auswahl an Möglichkeiten und Entscheidungskriterien für die Implementierung in der Praxis."welche Überlegungen sind anzustellen. und eignet sich daher sowohl als Basis für Schulungs. .1."was gibt es dazu. Einerseits ist es durchaus im Stil einer Vorschrift formuliert. die ausgewäht. hat das Potenzial zielgruppengerecht unterschiedlicher Textierungen. welche Aktivitäten sind zu planen und zu entscheiden.1 Das Informationssicherheitshandbuch 1. Dabei wurde allerdings auf die die gebotene Kompaktheit geachtet.und Checklistenfunktionalität etwa. wie wird es gemacht. worauf ist zu achten" Hier ermöglicht es die Auswahl. um den Sicherheitsmanagement-Prozess zu etablieren und aufrecht zu erhalten: . sowohl modular wie im Ganzen. -medien.1 Ziele des Informationssicherheitshandbuchs Das Österreichische Informationssicherheitshandbuch positioniert sich in der Mitte zwischen den normativen Vorgaben der ISO/IEC Normen 27001 / 27002 und verwandter Standards sowie der Fülle an sehr detaillierten Leitfäden und Handbüchern zur Informationssicherheit. eignet sich auch zum Lesen bzw. Durcharbeiten "am Stück". umgesetzt und und eingehalten werden sollen . Implementierungshilfe zu ISO/IEC 27001: Viele Organisationen müssen oder wollen IT-Sicherheit gemäß der Norm ISO/IEC 27001 und nachgelagerter Normen etablierten bzw. ein "maßgeschneidertes" Sicherheitshandbuch abzuleiten und in Kommentaren die tatsächlich notwendigen Maßnahmen zu beschreiben.und Weiterbildungsmaßnahmen bzw. wo ist Kontrolle nötig" einen Katalog von konkreten Sicherheitsmaßnahmen. Instrument zur Schulung und Weiterbildung: • • • • 28 Die Wissensbasis stellt insgesamt ein ganzheitliches und dennoch kompaktes und ganzheitliches Werk zur Informationssicherheit dar. auch zertifizieren lassen. sicherstellen und ggf.1 Einführung 1. beispielsweise den GrundschutzStandards und -Bausteinen des BSI. um notwendige Überlegungen und Maßnahmen klar und unzweifelhaft zu darzustellen.

zum anderen von Erfahrungen und Wünschen der Benutzer/Benutzerinnen der bisherigen Version 2. Damit verknüpft ist konsequenterweise die Mehrsprachigkeit. gesprochene oder bildhaft dargestellte Informationen. wird Information dennoch umfassend gesehen: in elektronisch gespeicherter oder übertragener Form.2 Scope Inhaltlich behandelt das vorliegende Handbuch den gesamten Bereich der Informationssicherheit. sowie auch als schriftliche.und Checklistenfunktionalität auf die relevanten Themen eingeschränkt und in den Kommentaren etwa Fragen und Antworten dargestellt weren.und Darstellungsmodulen wurde dem Rechnung getragen. 29 .1.1.wobei Basiswissen gemeinsam verwaltet werden soll .1. aber auch einfach zur Selbstkontrolle können die notwendigen Schritte und Maßnahmen ausgewählt und dann mit der Checklistenfunktion der Grad der Erfüllung mitsamt Begründungen festgehalten werden. 1. Wichtigstes Ziel der Neuauflage ist selbstverständlich. die Möglichkeit für länderspezifische Varianten . Hilfsmittel für Self-Checks: Als Hilfsmittel für Audits. dass das Österreichische Informationssicherheitshandbuch auch in anderen Ländern beachtet wird. Speziell aus der Schweiz kam der Vorschlag.1 Ziele der Version 3 Der Relaunch als Version 3 ist motiviert einerseits von der Entwicklung und steigenden Bedeutung der Normenreihe ISO/IEC 27001 / 27002.zu schaffen. Mit einer Neugestaltung der Datenstruktur und neu entwickelten Zugriffs. Somit kam es auch zur Mitwirkung des schweizerischen ISB am Relaunch-Projekt. Letzteres wurde vor allem als Wunsch der Wirtschaft geäußert. gilt sinngemaß auch beispielsweise für Schulen. die Verwendung und Verbreitung des Informationssicherheitshandbuchs zu fördern. Es hat sich gezeigt. Wenn auch ein Schwerpunkt auf IT-gestützter Information liegt.3 nach flexiblerer Themenauswahl sowie der Möglichkeit zur Formulierung zielgruppengerechter Textierungen. 1.Dafür kann der Inhalt mit der Auswahl.

Sicherheit von kritischen Infrastrukturen oder Datenschutz kann nicht immer eindeutig sein. 1. Verarbeitung und Übertragung von Informationen dient. Problem. Abschnitte 2 und 3 beschreiben die für Einrichtung. inkl.allerdings keine 1:1 Entsprechung auf der Ebene der einzelnen Details (Textbausteine). Objektsicherheit. oder ein Produkt ausgesprochen spezifische Sicherheitseigenschaften aufweist bzw. Umsetzung. den umfassenden und kontinuierlichen Sicherheitsprozess zu entwickeln.und Markennamen vermieden. wo die Durchdringung so groß ist. 6. Die Abgrenzung zu verwandten Gebieten. wie Brandschutz.und Lösungspotenzial aus der und für die Praxis zu geben. Organisation bzw. die zur Speicherung. 7. Es wird allerdings auch auf spezifisch österreichische Anforderungen. 30 . bauliche und personelle Fragen.1. und nach Möglichkeit werden Produkt. Überprüfung. Überwachung. kostenlos angeboten wird. Regelungen und Rahmenbedingungen eingegangen. sowie organisatorische. Abschnitte 4 bis 15 beschreiben die konkreten Sicherheitsmaßnahmen. personeller. 8): es handelt sich um den grundlegenden Vorgang. Sie entsprechen in ihrer Reihenfolge und generellen Thematik den Empfehlungen gemäß ISO/IEC 27002 bzw. Ist es doch ein Zeil des Handbuchs. Durchführung. Sie erörtern konkrete und detaillierte Einzelmaßnahmen und Anleitungen zu ihrer korrekten Implementierung wärend ihres gesamten Lebenszyklus auf organisatorischer.Betrachtet werden dabei auch die Sicherheit von Hardware und Software. dass das Produkt schon ein Synonym für die Implementierung darstellt. soweit sie in direktem Zusammenhang mit der Sicherheit von IKT-Systemen und den von ihnen verarbeiteten Informationen stehen. der Aktivitäten zu ihrer Umsetzung und Einhaltung . einem Unternehmen zu etablieren und bieten konkrete Anleitungen. infrastruktureller und technischer Ebene. Instandhaltung und Verbesserung eines Informationssicherheits-Managementsystems relevanten Anforderungen gemäß ISO/IEC 27001 4. Empfehlungen für bestimmte Produkte werden nicht gegeben. 5. dem Anhang zu ISO/IEC 27001 . Informationssicherheit in einer Behörde.3 Neuheiten der Version 3 Struktur Anpasssung an ISO/IEC 27001 / 27002: Anstelle der bisher 2 Hauptteile (Sicherheitsmanagement und Sicherheitsmaßnahmen) gibt es jetzt nach dem Management-Summary 15 Abschnitte und eine Reihe von Anhängen: • • • Abschnitt 1 ist eine Einführung sowohl für die Handhabung des Handbuchs als auch in die grundsätzliche Thematik. Ausnahmen gibt es allerdings dort. oft gibt es Überschneidungen zwischen den einzelnen Themen.

Referenzen zu Normen.Bezüge zu den jeweils zugehörigen Kapiteln der ISO/IEC Normen 27001 und 27002 dargestellt. gibt es nun neue Kapitel bzw. obsolete eleminiert. Management / Watungspersomal / Benutzer/innen) entwickelt. bzw. "Umgang mit Vermögenswerten". Mit Filteroptionen werden auch unterschiedliche Sprachen ermöglicht.soferne zutreffend . sondern Gegenstand von Vereinbarungen (in zentralen Autorengruppen oder individuellen Impelementierungen) und damit flexibel für Erweiterungen. Filteroptionen werden sowohl für Einsatzgebiete (z. "Verbesserungsprozess" Neue und geänderte Themenbausteine zu veränderten Technologien oder Gefährdungen werden nunmehr kontinuierlich eingearbeitet.B. die mittels geeigneter Transformationen in andere gängige Darstellungs.• • In den einzelnen Themenbausteinen werden . Vereinfachungen) vorhanden sein und mittels Filteroptionen ausgewählt werden. Datenbasis (Online Version) • • • • • Jeder Textbaustein kann künftig in mehreren unterschiedlichen Ausprägungen (Formulierungen. Gesetzen und verwandter Literatur sowie Quellenhinweise. In den Anhängen finden sich ausgewählte Szenarien und Technologien losgelöst von zu setzenden Maßnahmen. Inhalte • • Um alle Themen laut ISO/IEC 27001 / 27002 abzudecken. Die Filterregeln sind nicht a priori festgeschrieben. Damit werden zielgruppenorientierte Darstellungen unterstützt. Government / Wirtschaft ) als auch für Rollen Leserkreise(z. "Internen Audits". Funktionalität (Online Viewer) Der neu entwickelte Online Viewer läuft in einem Standard-Browser und benötigt abgesehen vom Vorhandensein einer Javascript-Unterstützung keine Installation. Die Datenbasis besteht aus einem Satz von XML (extended Markup Language) Dateien. Anweisungen. Themenbausteine etwa zu "Outsourcing".(HTML) oder Textformate (RTF.B. Muster für Verträge. PDF) umgewandelt werden können. Damit geht eine neue Nummerierung der Kapitel und Textbausteine einher. Er bietet als Hauptfunktionalitäten: 31 . Links zu österreichischen Gesetzen führen direkt zum entsprechenden Gesetzestext im Rechtsinformationssystem ( RIS).

Update Funktion Mit ihrer Hilfe können lokal abgespeicherte und verwendete Auswahl.oder Checklisten aktuell gehalten werden: • • • Die lokale Liste enthält mehrere Kapitel oder Bausteine aus der Wissensbasis. Zusammenstellung einer Liste. Sie kann lokal abgespeichert und wieder geladen werden. Schulungsunterlagen. 32 .oder Checklisten in PDF-Textdateien. aber auch durch gezielten Sprung auf Kapitel oder Textbausteine erfolgen.oder Checklisten (Online Version). Zusammenstellung einer Checkliste. können die neuen Versionen aus der Wissensbasis in die lokale Liste übernommen werden. pro Textbaustein Checkboxen anzukreuzen sowie Kommentare zu verfassen und lokal abzuspeichern.• • • • • • Blättern (Browse) im Sicherheitshandbuch: Das kann seriell vom Anfang bis zum Ende. Konzepte. Beim Blättern in der Liste wird ein entsprechender Warnhinweis gegeben. Die internationale Normenfamillie ISO/IEC 27000 gibt einen allgemeinen Überblick über Managementsysteme für Informationssicherheit (ISMS) und über die Zusammenhänge ihrerverschiedenen Einzelnormen. Unterkapitel oder Textbausteine) . Branchen.4 Quellen. Verträglichkeiten. Rollen. Leserkreise sowie unterschiedliche Sprachen. Filteroptionen für Einsatzgebiete. Wenn gewünscht. das ist eine individuelle Auswahl mit der Möglichkeit. Begriffe und Definitionen für solche Managementsysteme. Druck von Auswahl. das heißt einer individuelle Auswahl von Themen (ganze Kapitel. Abgrenzungen Normenfamilie ISO/IEC 27000 Aufgrund der Komplexität von Informationstechnik und der Nachfrage nach Zertifizierung sind in den letzten Jahren zahlreiche Anleitungen. Standards und nationale Normen zur Informationssicherheit entstanden. die sich inzwischen geändert haben könnten (anhand ihrer jeweiligen Versionsnummer).1. SelfChecks und Querschnittsmaterien.oder Checklisten sind beispielsweise das Erstellen eigener Policies. Einsatzgebiete für Auswahl. Transformation von Auswahl. Statusberichte (Erfüllungsgrad von Maßnahmen). 1.Es finden sich hier die grundlegenden Prinzipien.

33 . um ein funktionierendes Informationssicherheitsmanagement aufzubauen und in der Organisation zu verankern. Unter anderem unterstützt er bei der Umsetzung der Anforderungen aus ISO/IEC 27001. ISO/IEC 27005 löst den bisherigen Standard ISO 13335-2 ab. Das Informationssicherheitshandbuch geht in Aufbau. bietet allerdings in einer kompakten Form auch technische und organisatorische Hinweise und Ratschläge zur Implementierung. 7. ISO/IEC 27005 "Information security risk management" enthält Rahmenempfehlungen zum Risikomanagement für Informationssicherheit. Ihre Umsetzung ist auch nur eine von vielen Möglichkeiten. ISO/IEC 27001 gibt in 5 konkreten Kapiteln (4. Die Empfehlungen sind für Management-Ebenen formuliert und enthalten nur wenige konkrete technische Hinweise. zu überwachen und laufend zu verbessern. 6.Information security management systems requirements specification" ist der erste internationale Standard zum Informationssicherheitsmanagement. Weitere Standards der ISO/IEC 27000 Reihe: Langfristig wird die Normenreihe ISO/IEC 27000 voraussichtlich langfristig aus den Standards 27000 – 27019 und 27030-27044 bestehen. etablieren. Ein normativer Anhang verweist auf die Umsetzung gemäß ISO/IEC 27002.• • • • Der Standard ISO/IEC 27001 "Information technology . um ein ISMS zu planen. ISO/IEC 27001 bietet keine Hilfe für die praktische Umsetzung. Die erforderlichen Informationssicherheitsmaßnahmen werden eher kurz auf ca. 5. Es wird allerdings keine spezifische Methode für das Risikomanagement vorgegeben. 8) allgemeine Empfehlungen für Management-Aktivitäten. also der Messbarkeit von Risiken oder mit Methoden zum Risikomanagement. der auch eine Zertifizierung ermöglicht. die Anforderungen des ISO/IECStandards 27001 zu erfüllen. Die weiteren Standards sollen zum besseren Verständnis und zur praktischen Anwendbarkeit der ISO/IEC 27001 beitragen und beschäftigen sich beispielsweise mit der praktischen Umsetzung der ISO/IEC 27001. zu betreiben. 100 Seiten skizzert angerissen.Security techniques . Struktur und Abhandlung der generellen Themen konform mit ISO/IEC 27001 und 27002. Alle Standards dieser Reihe behandeln verschiedene Aspekte des Sicherheitsmanagements und beziehen sich auf die Anforderungen der ISO/IEC 27001. ISO/IEC 27002 (vormals ISO 17799) "Information technology – Code of practice for information security management" befasst sich als Rahmenwerk für das Informationssicherheitsmanagement hauptsächlich mit den erforderlichen Schritten.

später mit den GrundschutzStandards und Maßnahmenbausteinen eine umfassende und äußerst detaillierte Informationsbasis und daraus etablierte Methoden für eine Vorgehensweise zum Aufbau einer Sicherheitsorganisation sowie für die Risikobewertung.und Analysestelle Informationssicherung) Im Rahmen von MELANI wird in der Schweiz ein CERT (Computer Emergency Response Team) betrieben.BSI Grundschutz Standards und Maßnahmenbausteine • • Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet seit 1994 zunächst mit dem Grundschutzhandbuch. So richtet sich etwa "BSI für Bürger" mit kurzen und einfach formulierten Darstellungen an Privatpersonen und KMU's. genügen. Unterschiedliche Zielgruppen werden durch jeweils separate Entwicklungen unterstützt. sämtliche relevanten Themen anszusprechen. beispielsweise wird den Problemen. die mittleren und kleineren Organisationseinheiten entgegenkommt und das Durcharbeiten des Informationssicherheitshandbuchs "am Stück" nach wie vor ermöglicht. denen Banken und Finanzinstitutionen ausgesetzt sind. Seine neuen Funktionalitäten wie unterschiedlich formulierte Textbausteine verfolgen auf eigene Weise das Ziel der Ansprache unterschiedlicher Zielgruppen. MELANI (Melde. die Überprüfung des vorhandenen Sicherheitsniveaus und die Implementierung der angemessenen Informationssicherheit. Das Informationssicherheitshandbuch behandelt zum Teil eine ähnliche Thematik. positioniert sich dabei stark an der Implementierung und muss dem Anspruch. Teilweise grenzt es sich diesen gegenüber vor allem durch eine kompaktere Darstellungsweise ab. wobei keine ausgesprochenen Zielgruppen definiert sind. Sie hat sich als ganzheitliches Konzept für Informationssicherheit und als Standard etabliert. Lageberichte und Schulungsmaßnahmen geboten. Der Anspruch richtet sich auf gezielte und aktuelle Darstellung vor allem von Gefahren und Fehlverhalten. 34 . Checklisten. Das Österreichische Informationssicherheitshandbuch wird auf Basis einer gelebten Kooperation mit dem BSI immer wieder mit neuen Entwicklungen bei den Grundschutz-Standards und -Bausteinen abgeglichen. breiter Raum gegeben. aber auch auf einer Homepage Informationen über Gefahren und Maßnahmen. und das BSI bietet ISO/IEC 27001 Zertifzierungen nach ITGrundschutz an.

aber vorschriftähnlicher Darstellung angesprochen.und Mittelbetriebe.daher auch der Name "Informationssicherheitshandbuch". Die Grenzen sind also fließend. 1.CASES (Cyberworld Awareness Security Enhancement Structure Die vom luxemburgischen Ministerium für Wirtschaft und Außenhandel betriebene Homepage "CASES" ist in deutscher und französischer Sprache verfügbar und richtet sich zum einen an Klein. [Q: BSI Leitfaden Informationssicherheit] 35 .5 Informations. Das Informationssicherheitshandbuch hat sich aus dem "IT-Sicherheitshandbuch für die öffentliche Verwaltung" entwickelt und hat somit bisher als Zielgruppen mittlere bis größere Institutionen mit Bedarf nach knapper. so sind diese beiden Begriffe mittlerweile fast synonym zu sehen: auch in der ITSicherheit sind Fragen zu behandeln. Dabei ist auch ein gewisser Bedeutungswandel bei diesen Begriffen festzustellen: Verstand man von einigen Jahren unter “IT-Sicherheit” im Wesentlichen den Schutz von IT-Systemen (und damit den auf ihnen verarbeiteten Informationen) und unter “Informationssicherheit” den Schutz von Informationen unabhängig von ihrer Darstellungsform (also elektronisch. Auf sehr einfachen und anschaulichen Webseiten wird eine umfassende Darstellung der wesentlichsten Gefahren und Sicherheitsmaßnahmen geboten.1. zum anderen an Schüler und deren Eltern. während umgekehrt die Sicherheit von elektronisch gespeicherten und verarbeiteten Informationen ohne die technische Sicherung der zugrunde liegenden IKT.und Kommunikationstechnologie-) Systeme nicht zu erreichen ist.(Informations. Basistechnologien anschaulich beschrieben und auch Anleitungen zur Ausarbeitung einer Sicherheitspolitik speziell für kleine Organisationen gegeben.versus IT-Sicherheit Die Definition dieser beiden Begriffe und ihrer Abgrenzung voneinander war in den vergangenen Jahren oft Gegenstand lebhafter Diskussionen. bildhaft oder gesprochen). schriftlich. Mit Hilfe seiner neuen Funktionalitäten wie unterschiedlich formulierbarer Textbausteine und einer informell bereits aufgenommenen Kooperation werden sich nunmehr auch einige Inhalte von CASES im Informationssicherheutshandbuch finden. International und nicht zuletzt in den Normen hat sich in den letzten Jahren eher der Begriff “Informationssicherheit” als der umfassendere etabliert . wie Information an sich geschützt werden kann (etwa wie mit Papierausdrucken von vertraulichen Informationen umzugehen ist).

geschrieben. also elektronisch gespeicherte und verarbeitete Information genauso wie Information in schriftlicher oder gesprochener Form.1. Das gegenständliche Handbuch beschreibt die Vorgehensweise zur Etablierung eines umfassenden Informationssicherheits-Management-Systems (ISMS). Die Tatsache. Dabei darf sich Sicherheit nicht auf einzelne Teilaspekte. Es muss allerdings ebeso bewusst sein.und Kommunikationstechnologie-) Konzeptes sein. wie die Verschlüsselung vertraulicher Daten oder die Installation von Firewalls beschränken. 36 . Die Erfüllung der Geschäftsprozesse ist ohne die Korrektheit. dass 100 % Sicherheit nicht erreicht werden kann. Information kann dabei in unterschiedlicher Form existieren – elektronisch gespeichert oder übertragen.1 Ziele des Informationssicherheitsmanagements ISO Bezug: 27001 0. rückt die Frage nach der Sicherheit der Informationen und der Informationstechnologie zunehmend in den Brennpunkt des Interesses.2 Informationssicherheitsmanagement Information stellt heute sowohl für die öffentliche Verwaltung als auch für Organisationen der Privatwirtschaft einen wichtigen Wert dar. sondern muss integraler Bestandteil eines modernen IKT(Informations.1] 1. Dabei wird Information unabhängig von ihrer Darstellungsform betrachtet. dass Informationen schützenswerte und gefährdete Werte für alle Beteiligten darstellen. [eh Teil 1 . Ziel muss es also sein. um sie zu erhalten. Vertraulichkeit und Verfügbarkeit der Informationen oft nicht mehr möglich. Die hier dargestellte Vorgehensweise wird für die österreichische Bundesverwaltung sowie für andere Bereiche der öffentlichen Verwaltung bzw. wie viel man auch investiert. Methodisches Sicherheitsmanagement ist zur Gewährleistung umfassender und angemessener Informationssicherheit unerlässlich. dass weite Bereiche des täglichen Lebens ohne den Einsatz von informationstechnischen Systemen heute nicht mehr funktionsfähig sind.2. 4 Informationssicherheit entsteht nicht von selbst aus Technik oder Know-How. Daher sind auch kontinuierlich Anstrengungen und Kosten für Informationssicherheit in Kauf zu nehmen. als Bild oder in gesprochener Form. sondern zunächst aus dem Bewußtsein des Management und der Mitarbeiter/ Mitarbeiterinnen einer Organisation. ein angemessenes Sicherheitsniveau zu erreichen und dauerhaft zu erhalten. für die Privatwirtschaft zur Anwendung empfohlen.

reduziert werden. Nur wenn die Leitung einer Organisation voll hinter den Sicherheitszielen und den damit verbundenen Aktivitäten steht. 37 . eine organisationsspezifische Informationssicherheitspolitik zu erstellen und spezifisch geeignete Sicherheitsmaßnahmen auswählen.1] 1. also relevante Sicherheitsziele und strategien ermitteln.Durch Etablieren und Erhalten eines Informationssicherheits-Managementsystems (ISMS) sollen die grundlegenden Ziele der Informationssicherheit erreicht werden: • • • Integrität: Informationen dürfen nur von den vorgesehenen Personen und Prozessen verändert werden. also Sicherheitsmaßnahmen realisieren. Würmer). Durchführen. aber ebenso von Fehlern und Schlamperei gefährdet. kann diese Aufgabe erfolgreich wahrgenommen werden. Fahrlässigkeit. Handeln"): • • Planen (Plan): Festlegen des ISMS.2. die Vertraulichkeit durch Spionageaktivitäten. bedroht. aber auch bewußten Denial-of-Service Attacken bis zum Stillstand . unbefugten Manipulationsversuchen (auch etwa Viren. 4 Informationssicherheit ist immer eine Management-Aufgabe. ist in der Praxis allerdings eine Herausfoderungen für die Organisation. Verfügbarkeit: Informationen müssen für die vorgesehenen Personen und Prozesse bereitgestellt sein. da die Informationen den vielfäligen Gefahren ausgesetzt sind: • • • So ist Integrität von technischen Fehlern. Datenmißbrauch. die Verfügbarkeit kann von kleineren und größeren Systemausfällen bis zu Bränden und Katastrophen.1. für ihre Einhaltung sorgen und Informationssicherheit im laufenden Betrieb inklusive in Notfällen zu gewährleisten. wenn diese sie benötigen Das klingt selbstverständlich und einfach. [eh Teil 1 .2 Aufgaben des Informationssicherheitsmanagements ISO Bezug: 27001 0. Vertraulichkeit: Informationen dürfen nur für die vorgesehenen Personen und Prozesse offen gelegt werden. Prüfen. Die für das Informationssicherheitsmanagement relevante Norm 27001 beschreibt Informationssicherheit als Kontinuierlichen Verbesserungsprozess (KVP) in einem Informationssicherheits-Managementsystem (ISMS) nach dem "Plan-Do-Check-Act"Modell (PDCA – "Planen. Durchführen (Do): Umsetzen und Betreiben des ISMS. etc.

Durchführungs-.das schließlich akzeptierte Sicherheitsniveau wird erreicht. womit sich ein ständiger Kreislauf schließt. Festlegung geeigneter Sicherheitsmaßnahmen. Ermittlung und Bewertung der Informationssicherheitsrisiken (information security risk assessment). Dies bedingt erneutes Planen.• • Prüfen (Check): Überwachen und Überprüfen des ISMS auf seine Wirksamkeit. also Erwartungen und Anforderungen der Verantwortlichen und Beteiligten. [eh Teil 1 . Förderung des Sicherheitsbewusstseins innerhalb der Organisation sowie Entdecken von und Reaktion auf sicherheitsrelevante Ereignisse (information security incident handling). -handlungen werden sie erfüllt . Schwachstellen und veränderte Umfeldbedingungen reagieren und die Ursachen für Gefährdungen beseitigen. Sinnhaftigkeit. In den folgenden Kapiteln wird dargestellt. Informationssicherheitsmanagement ist also ein kontinuierlicher Prozess.1] 38 . aber auch Kenntnis über Vorfälle sowie üblicher Good-Practices zu erlangen. das bedeutet Vorhandensein. Am Beginn stehen Sicherheitsziele. Überwachung der Implementierung und des laufenden Betriebes der ausgewählten Maßnahmen.1. Handeln (Act): Instandhalten und Verbessern des ISMS. welche Aufgaben eines ISMS umgesetzt und welche Sicherheitsmaßnahmen implementiert werden können zur: • • • • • • Festlegung der Sicherheitsziele und -strategien der Organisation. das bedeutet auf erkannte Fehler.und Verbesserungsprozesse bzw. Durch die Planungs-. Prüf. Einhaltung der SIcherheitsmaßnahmen zu überprüfen.

sowie auch noch den "Guidelines on the Management of IT Security (GMITS)" ([ISO/IEC TR 13335]) ( [ISO/IEC 13335]). dessen Strategien und Konzepte ständig auf ihre Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf fortzuschreiben sind. Zentrale Aktivitäten im Rahmen des ISMS sind: • • • • • • die Entwicklung einer organisationsweiten Informationssicherheitspolitik die Durchführung einer Risikoanalyse die Erstellung eines Sicherheitskonzeptes die Umsetzung der Sicherheitsmaßnahmen die Gewährleistung der Informationssicherheit im laufenden Betrieb die kontinuierliche Überwachung und Verbesserung des ISMS Der nachfolgend dargestellte Prozess basiert auf internationalen Standards und Leitlinien zum Informationssicherheitsmanagement.2 Informationssicherheits-ManagementSystem (ISMS) Dieses Kapitel nimmt vor allem Bezug auf ISO/IEC 27001 4 "Informationssicherheits-Managementsystem" sowie ISO/IEC 27002 4 "Risikobewertung und -behandlung". Integrität und Verfügbarkeit der Informationen und der sie verarbeitenden Systeme gewährleisten. 39 . Informationssicherheitsmanagement (ISM) soll die Vertraulichkeit. Systeme und Netzwerke sind wichtige Werte jeder Organisation. Fallweise können auch weitere Anforderungen wie Zurechenbarkeit. insbesondere den ISO/IEC 27001( [ISO/IEC 27001]). Er kann sowohl auf eine gesamte Organisation als auch auf Teilbereiche Anwendung finden.1 Der Informationssicherheitsmanagementprozess Informationen und die sie verarbeitenden Prozesse. Informationssicherheitsmanagement ist ein kontinuierlicher Prozess. sowohl in der öffentlichen Verwaltung als auch in der Privatwirtschaft. Authentizität und Zuverlässigkeit bestehen. 2.

allgemein der Begriff "Organisation" (oder synonym dazu "Institution") verwendet. Das nachfolgende Bild zeigt die wichtigsten Aktivitäten im Rahmen des Informationssicherheitsmanagements und die eventuell erforderlichen Rückkopplungen zwischen den einzelnen Stufen.. wobei aber zu beachten ist.abhängig vom ITKonzept und den bestehenden Sicherheitsanforderungen . Abteilungen oder anderer Organisationseinheiten ist dann im spezifischen Zusammenhang . wenn nicht ausdrücklich anders angeführt. 40 . dass damit unterschiedliche Organisationseinheiten (Behörden..) gemeint sein können. Unternehmen.zu entscheiden. Abteilungen. Im Folgenden wird.Über die Anwendung auf Ebene einzelner Behörden.

1 Als organisationsweite Informationssicherheitspolitik (Corporate Information Security Policy) bezeichnet man die Leitlinien und Vorgaben innerhalb einer Organisation. Strategien. die unter Berücksichtigung gegebener Randbedingungen grundlegende Ziele.1 Eine wesentliche Aufgabe des Informationssicherheitsmanagements ist das Erkennen und Einschätzen von Sicherheitsrisiken und deren Reduktion auf ein tragbares Maß.1. Die organisationsweite Informationssicherheitspolitik (im Folgenden der Einfachheit halber als "Informationssicherheitspolitik" bezeichnet) stellt ein langfristig orientiertes Grundlagendokument dar. 41 . Dieses "Informationsrisikomanagement" oder auch "Informationssicherheitsrisikomanagement" sollte Teil des generellen Risikomanagements einer Organisation und mit der dort gewählten Vorgehensweise kompatibel sein. Abhängig vom IT-Konzept und den Sicherheitsanforderungen kann es auch notwendig werden. nachgeordnete Dienststellen.1..) zu erstellen. sondern sind im Rahmen einzelner systemspezifischer Sicherheitsrichtlinien zu behandeln. . [eh Teil 1 . Verantwortlichkeiten und Methoden für die Gewährleistung der Informationssicherheit festlegen..Abbildung 1: Aktivitäten im Rahmen des Informationssicherheitsmanagements Informationssicherheitsmanagement umfasst damit die folgenden Schritte: 2.2 Risikoanalyse ISO Bezug: 27001 4. Die Informationssicherheitspolitik ist eingebettet in eine Hierarchie von Regelungen und Leitlinien.2] 2. Details zu Sicherheitsmaßnahmen und deren Umsetzung sind nicht Bestandteil der organisationsweiten Informationssicherheitspolitik. auf dessen Basis die Informationssicherheit einer Organisation aufgebaut wird. eine Hierarchie von Informationssicherheitspolitiken für verschiedene Organisationseinheiten (etwa Abteilungen.1 Entwicklung einer organisationsweiten Informationssicherheitspolitik ISO Bezug: 27001 4.

Aus Gründen der besseren Lesbarkeit wird im Folgenden.1 42 . Der Vorgang wird im Detail in Kapitel 2.2] 2. In einem Informationssicherheitsplan werden alle kurz-. um ein organisationsweit einheitliches Vorgehen zu gewährleisten. Die Sicherheitsrichtlinien müssen mit der organisationsweiten Informationssicherheitspolitik kompatibel sein.2] 2. Im Anschluss daran ist das verbleibende Restrisiko zu ermitteln und zu prüfen.1. Diese sollen die grundlegenden Leitlinien zur Sicherheit eines konkreten IT-Systems bzw. der Begriff "Risiko" stets im Sinne von "Informationssicherheitsrisiko" verwendet.1. [eh Teil 1 .1 Abhängig von den Ergebnissen der Risikoanalyse werden in einem nächsten Schritt Maßnahmen ausgewählt.4 Umsetzung des Informationssicherheitsplans ISO Bezug: 27001 4. Für wichtige IT-Systeme und Anwendungen wird die Erstellung eigener Sicherheitsrichtlinien (auch als "IT-Systemsicherheitspolitiken" bezeichnet) empfohlen. mittel. Im Rahmen des vorliegenden Handbuchs werden drei Risikoanalysestrategien behandelt (s. Die Festlegung einer geeigneten Risikoanalysestrategie sollte im Rahmen der Informationssicherheitspolitik erfolgen. die die Risiken auf ein definiertes und beherrschbares Maß reduzieren sollen. ebenso Risikoanalyse und Risikomanagement im Sinne von Informationssicherheitsrisikoanalyse und –management. Abschnitt 4 Risikoanalyse): Detaillierte Risikoanalyse.und langfristigen Aktionen festgehalten. ob dieses für die Organisation tragbar ist oder weitere Maßnahmen zur Risikoreduktion erforderlich sind. Grundschutzansatz und Kombinierter Ansatz. die zur Umsetzung der ausgewählten Maßnahmen erforderlich sind. [eh Teil 1 . einer Anwendung vorgeben sowie konkrete Sicherheitsmaßnahmen und ihre Umsetzung beschreiben.3 Erstellung eines Sicherheitskonzeptes ISO Bezug: 27001 4. wenn nicht explizit anders erwähnt.2 Erstellung von Sicherheitskonzepten behandelt.

3 Umsetzung des Informationssicherheitsplanes des vorliegenden Handbuchs behandelt diese Umsetzungsfragen. um vollständig wirksam zu sein. dass die meisten technischen Sicherheitsmaßnahmen ein geeignetes organisatorisches Umfeld brauchen. Das Kapitel 2. Zu den erforderlichen Follow-Up-Aktivitäten zählen (s.Bei der Implementierung der ausgewählten Sicherheitsmaßnahmen ist zu beachten.5 Informationssicherheit im laufenden Betrieb ISO Bezug: 27001 4. Dies erfolgt durch die Definition geeigneter Kennzahlen.und Schulungsmaßnahmen.1 Umfassendes Informationssicherheitsmanagement beinhaltet nicht zuletzt auch die Aufgabe.1. [eh Teil 1 . wie die Effizienz und Effektivität der ausgewählten Sicherheitsmaßnahmen beurteilt werden kann.2] 43 . Unabdingbare Voraussetzung für eine erfolgreiche Umsetzung des Informationssicherheitsplans in der Praxis sind auch entsprechende Sensibilisierungs. die Sicherheit im laufenden Betrieb aufrechtzuerhalten und gegebenenfalls veränderten Bedingungen anzupassen.2] 2. Weiters ist festzulegen. Kapitel 2.4 Informationssicherheit im laufenden Betrieb): • Die Aufrechterhaltung des erreichten Sicherheitsniveaus Dies umfasst: • • • • • • Wartung und administrativen Support von Sicherheitseinrichtungen die Messung der Effektivität der ausgewählten Sicherheitsmaßnahmen anhand definierter Kennzahlen (Information Security Measurement) die Überprüfung von Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) sowie die fortlaufende Überwachung der IT-Systeme (Monitoring) umfassendes Change-Management eine angemessene Reaktion auf sicherheitsrelevante Ereignisse (Incident Handling) [eh Teil 1 .

Dies erfolgt durch die Auswahl geeigneter Maßnahmen.1 Ausgehend von den in der Risikoanalyse ermittelten Sicherheitsanforderungen wird ein Sicherheitskonzept erstellt.1.1 44 . die die Risiken auf ein akzeptables Maß reduzieren und unter dem Gesichtspunkt von Kosten und Nutzen eine optimale Lösung darstellen. 27002 4.2.1.1. 7.2. Ein Sicherheitskonzept enthält: • • • • • • die Beschreibung des Ausgangszustands einschließlich der bestehenden Risiken (Ergebnisse der vorangegangenen Risikoanalyse) die Festlegung der durchzuführenden Maßnahmen die Begründung der Auswahl unter Kosten/Nutzen-Aspekten und hinsichtlich des Zusammenwirkens der einzelnen Maßnahmen eine Abschätzung des Restrisikos sowie eine verbindliche Aussage über die Akzeptanz des verbleibenden Restrisikos die Festlegung der Verantwortlichkeiten für die Auswahl und Umsetzung der Maßnahmen sowie für die regelmäßige Überprüfung des Konzeptes eine Prioritäten-.2. 7. 2.und Ressourcenplanung für die Umsetzung Die Erstellung eines Sicherheitskonzeptes erfolgt in vier Schritten: • • • • Schritt 1: Auswahl von Maßnahmen Schritt 2: Prüfung von Restrisiken und Risikoakzeptanz Schritt 3: Erstellung von Sicherheitsrichtlinien Schritt 4: Erstellung eines Informationssicherheitsplans Diese vier Schritte werden in den folgenden Kapiteln näher beschrieben.2.2. Termin.1 Auswahl von Maßnahmen ISO Bezug: 27002 4.2 Erstellung von Sicherheitskonzepten ISO Bezug: 27001 4.

Dies kann auf unterschiedliche Arten erreicht werden. einen früheren Zustand wiederherzustellen [eh Teil 1 . Sicherheitsmechanismen können: • • • • • • Risiken vermeiden Bedrohungen oder Schwachstellen verkleinern unerwünschte Ereignisse entdecken die Auswirkung eines unerwünschten Ereignisses eingrenzen Risiken überwälzen es möglich machen. die die Sicherheit von Informationen und der sie verarbeitenden IT-Systeme erhöhen.1 Je nach Betrachtungsweise kann eine Klassifikation von Sicherheitsmaßnahmen hinsichtlich nachfolgender Kriterien getroffen werden. Klassifikation nach Art der Maßnahmen Dies ist die "klassische" Einteilung der Sicherheitsmaßnahmen. 45 .1.2.Sicherheitsmaßnahmen sind Verfahrensweisen.1] 2. die organisationsweit (oder in Teilen der Organisation) einzusetzen sind. Prozeduren und Mechanismen. Man unterscheidet: • • • • (informations-)technische Maßnahmen bauliche Maßnahmen organisatorische Maßnahmen personelle Maßnahmen Klassifikation nach Anwendungsbereichen Man unterscheidet: Maßnahmen.2.2.1 Klassifikation von Sicherheitsmaßnahmen ISO Bezug: 27002 4.

Rollentrennung) Überprüfung der IT-Sicherheitsmaßnahmen auf Übereinstimmung mit den Informationssicherheitspolitiken (Security Compliance Checking). Verfügbarkeit.) werden die typischen Gefährdungen ermittelt. Integrität.B. Kontrolle von Betriebsmitteln. Schulung und Bildung von Sicherheitsbewusstsein) bauliche Sicherheit und Infrastruktur Notfallvorsorge Systemspezifische Maßnahmen. etc. Auditing Reaktion auf sicherheitsrelevante Ereignisse (Incident Handling) personelle Maßnahmen (incl. Man unterscheidet etwa: • • • Nicht-vernetzte Systeme (Stand-Alone-PCs) Workstations in einem Netzwerk Server in einem Netzwerk Klassifikation nach Gefährdungen und Sicherheitsanforderungen Ausgehend von den Grundbedrohungen gegen ein IT-System (Verlust der Vertraulichkeit. Man unterscheidet daher: • • • • • • 46 Maßnahmen zur Gewährleistung der Vertraulichkeit (confidentiality) Maßnahmen zur Gewährleistung der Integrität (integrity) Maßnahmen zur Gewährleistung der Verfügbarkeit (availability) Maßnahmen zur Gewährleistung der Zurechenbarkeit (accountability) Maßnahmen zur Gewährleistung der Authentizität (authenticity) Maßnahmen zur Gewährleistung der Zuverlässigkeit (reliability) . Dokumentation. Die Auswahl systemspezifischer Maßnahmen hängt in hohem Maße vom Typ des zu schützenden IT-Systems ab.Dazu gehören: • • • • • • • Etablierung eines ISMS-Prozesses und Erstellung von Informationssicherheitspolitiken organisatorische Maßnahmen (z.

Um die sowohl aus Sicherheits.6 Identifikation bestehender Sicherheitsmaßnahmen). 47 .2 Ausgangsbasis für die Auswahl von Maßnahmen ISO Bezug: 27002 4. 4. dass im vorhergehenden Schritt . muss auf den Ergebnissen der Risikobewertung basieren.1 Liste existierender bzw. wobei auf die Ausgewogenheit von technischen und nicht-technischen Maßnahmen zu achten ist.) In der Regel stehen verschiedene mögliche Sicherheitsmaßnahmen zur Auswahl. Im Fall einer detaillierten Risikoanalyse erfolgt dies im Rahmen der "Identifikation bestehender Schutzmaßnahmen" (vgl. geplanter Sicherheitsmaßnahmen: Bei der Auswahl von Sicherheitsmaßnahmen zur Verminderung der Risiken wird vorausgesetzt..2.2 Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen) ermittelt. [eh Teil 1 .1] 2. Diese Auswahl wird von einer Reihe von Faktoren beeinflusst: • • • der Stärke der einzelnen Maßnahmen ihrer Benutzerfreundlichkeit und Transparenz für die Anwender/innen der Art der Schutzfunktion (Verringerung von Bedrohungen..der Risikoanalyse . 4.2. Bei einer Grundschutzanalyse werden die vorhandenen Maßnahmen im Rahmen des Soll-Ist-Vergleiches (vgl. ein direkter Vergleich einzelner Sicherheitsmaßnahmen ( trade-off analysis) notwendig sein. Ergebnisse der Risikobewertung: Die Auswahl der Sicherheitsmaßnahmen. .5. die als Ergebnis eine Aufstellung aller existierenden oder bereits geplanten Schutzmaßnahmen mit Angaben über ihren Implementierungsstatus und ihren Einsatz liefern soll.1.2.3. die die Risiken auf ein definiertes und beherrschbares Maß reduzieren.als auch aus Wirtschaftlichkeitsüberlegungen effizienteste Lösung zu finden.Wirksame Informationssicherheit verlangt im Allgemeinen eine Kombination von verschiedenen Sicherheitsmaßnahmen. Erkennen von Verletzungen.die bereits existierenden Sicherheitsmaßnahmen aufgelistet wurden.1. kann im Einzelfall eine Kosten-/Nutzen-Analyse bzw.

so stehen für die Auswahl von geeigneten Sicherheitsmaßnahmen detailliertere und spezifischere Informationen zur Verfügung als im Fall einer Grundschutzanalyse. dass die Gesamtheit der ausgewählten Maßnahmen ein ausgewogenes Verhältnis der einzelnen Aspekte aufweist. wünschenswert ist. Es ist aber auch darauf zu achten. In der Regel wird man Maßnahmen bevorzugen. Generell ist festzuhalten. 48 .1.5.2. die mehrere dieser Aspekte abdecken. Je genauer und aufwändiger die Risikoanalyse durchgeführt wurde. Umgekehrt kann eine Maßnahme gleichzeitig mehrere Sicherheitsanforderungen abdecken. ist vom spezifischen Fall abhängig.[eh Teil 1 .1. desto qualifizierter ist im Allgemeinen die für den Auswahlprozess zur Verfügung stehende Information.3 Auswahl von Maßnahmen auf Basis einer detaillierten Risikoanalyse ISO Bezug: 27002 4. dass Sicherheitsmaßnahmen einen oder mehrere der folgenden Aspekte abdecken können: • • • • • • • Vorbeugung (präventive Maßnahmen) Aufdeckung (detektive Maßnahmen) Abschreckung Schadensbegrenzung Wiederherstellung eines früheren Zustandes Bildung von Sicherheitsbewusstsein Risikoüberwälzung Welche dieser Eigenschaften notwendig bzw. dass also nicht beispielsweise ausschließlich detektive oder ausschließlich präventive Maßnahmen zum Einsatz kommen. die sich jedoch hinsichtlich ihrer Effizienz und ihrer Kosten unterscheiden. hängt von den speziellen Umständen ab.2] 2. Welche der in Frage kommenden Maßnahmen tatsächlich ausgewählt und implementiert werden. In der Mehrzahl der Fälle wird es verschiedene Maßnahmen zur Erfüllung einer bestimmten Sicherheitsanforderung geben.1 Wurde eine detaillierte Risikoanalyse durchgeführt.

3 Grundschutzansatz dieses Handbuchs). Kapitel 4. d. ohne weitere Risikoanalyse.5.1.4] 2.4 Auswahl von Maßnahmen im Falle eines Grundschutzansatzes ISO Bezug: 27002 4.3] 2.2.1.2. Alternativ kann auch auf andere bestehende Kataloge zurückgegriffen werden.1 Grundsätzlich ist die Auswahl von Sicherheitsmaßnahmen im Falle eines Grundschutzansatzes relativ einfach.h. In Maßnahmenkatalogen wird eine Reihe von Schutzmaßnahmen gegen die meisten üblichen Bedrohungen angeführt. Eine sehr umfangreiche Sammlung von Grundschutzmaßnahmen. Die betreffenden Bedrohungen werden a priori. findet sich etwa in den IT-Grundschutz-Standards und -Maßnahmenkatalogen des BSI (vgl. Die empfohlenen Maßnahmen werden mit den existierenden oder bereits geplanten Maßnahmen verglichen. als relevant für die durchführende Organisation angenommen.1. [eh Teil 1 .1 49 . die kontinuierlich weiterentwickelt werden.5 Auswahl von Maßnahmen im Falle eines kombinierten Risikoanalyseansatzes ISO Bezug: 27002 4.[eh Teil 1 . Standardwerke zur Auswahl von Maßnahmen: In diesem Sicherheitshandbuch werden die wichtigsten Grundschutzmaßnahmen für die öffentliche Verwaltung in Österreich angeführt.1. geplanten Maßnahmen werden in eine Liste von noch zu realisierenden Maßnahmen zusammengefasst.5. Die noch nicht existierenden bzw.

die einerseits ein adäquates Sicherheitsniveau für Systeme der Schutzbedarfsklasse "niedrig bis mittel" gewährleisten. wenn ihre Notwendigkeit für die Benutzer/innen einsichtig ist. die Auswirkungen der ausgewählten Maßnahmen zu analysieren.6 Bewertung von Maßnahmen ISO Bezug: 27002 4.B. d. dem des BSI entsprechende Schutzmaßnahmen ausgewählt und umgesetzt. [eh Teil 1 . in welchem Maß sie akzeptiert oder aber abgelehnt oder umgangen werden.5. ob und inwieweit die Maßnahmen zu Behinderungen beim Betrieb des IT-Systems führen können Überprüfung der Vereinbarkeit der Maßnahmen mit geltenden rechtlichen Vorschriften und Richtlinien Bewertung.1. andererseits auch für hochschutzbedürftige Systeme bereits ein gewisses Maß an Schutz bieten. dass sie einander ergänzen und unterstützen und sich nicht etwa gegenseitig behindern oder in ihrer Wirkung schwächen.2. In diesem Stadium ist auch die Einbeziehung der betroffenen Benutzer/innen zu empfehlen.1 Unabhängig von der verfolgten Strategie ist es in jedem Fall notwendig. Zur Bewertung von Sicherheitsmaßnahmen ist wie folgt vorzugehen: • • • • • • 50 Erfassung aller Bedrohungen.1. Damit soll gewährleistet werden.5] 2. in welchem Ausmaß die Maßnahmen eine Reduktion der Risiken bewirken .Im Falle eines kombinierten Ansatzes werden zunächst anhand dieses Handbuchs oder eines Grundschutzkataloges wie z. dass die zusätzlichen Maßnahmen mit dem ITGesamtkonzept und den bereits bestehenden Sicherheitsmaßnahmen verträglich sind. da die Wirksamkeit von Sicherheitsmaßnahmen stark davon abhängt. Die Akzeptanz von Maßnahmen steigt.h. gegen die die ausgewählten Maßnahmen wirken Beschreibung der Auswirkung der Einzelmaßnahmen Beschreibung des Zusammenwirkens der ausgewählten und der bereits vorhandenen Sicherheitsmaßnahmen Überprüfung. Anschließend werden die noch fehlenden Sicherheitsmaßnahmen für IT-Systeme mit hohen bis sehr hohen Sicherheitsanforderungen ausgewählt.

7] 2.5. gesetzlicher oder sozialer Natur sein. [eh Teil 1 . ob die Kosten für die Realisierung der Maßnahmen im richtigen Verhältnis zur Reduzierung der Risiken stehen und ob die Risiken auf ein akzeptables Maß beschränkt werden.7 Rahmenbedingungen ISO Bezug: 27002 4. Die Kosten für Sicherheitsmaßnahmen müssen in einem angemessenen Verhältnis zum Wert der zu schützenden Objekte stehen.6] 2. Umweltbedingungen Auch durch das Umfeld vorgegebene Rahmenbedingungen. sollte die Leitungsebene entscheiden.2. die entweder durch das Umfeld vorgegeben oder durch das Management festgelegt werden. klimatische Bedingungen und Platzangebot können die Auswahl von Sicherheitsmaßnahmen beeinflussen.1.2 Risikoakzeptanz 51 .1 Bei der Auswahl und Umsetzung von Sicherheitsmaßnahmen sind stets auch Rahmenbedingungen (constraints) zu berücksichtigen.und/oder Software Weitere Einschränkungen können organisatorischer. Beispiele für solche Rahmenbedingungen sind: • • • • Zeitliche Rahmenbedingungen Etwa: Wie schnell ist auf ein erkanntes Risiko zu reagieren? Wann kann/muss eine Maßnahme realisiert sein? Finanzielle Rahmenbedingungen Im Allgemeinen werden budgetäre Einschränkungen existieren. personeller. durch soziale Veränderungen oder durch Veränderungen im technischen oder organisatorischen Umfeld. Auch Rahmenbedingungen können im Laufe der Zeit.Bevor die Maßnahmen umgesetzt werden.1. Technische Rahmenbedingungen z.2.B. wie etwa die Lage eines Gebäudes.1. [eh Teil 1 .5. einem Wandel unterliegen und sind daher regelmäßig zu überprüfen und zu hinterfragen. Kompatibilität von Hard.

Das Vorgehen dabei und die Verantwortlichkeiten dafür sind in der Informationssicherheitspolitik festzulegen (vgl. ob dieses für die betreffende Organisation tragbar ist oder weitere Maßnahmen zu veranlassen sind. 14. Kapitel 4.1. Dabei bedient man sich am besten der Verfahren und Erkenntnisse aus der vorangegangenen Risikoanalyse. eventuell mit hohen Kosten verbundene Maßnahmen auszuwählen. 4.6 Akzeptanz von außergewöhnlichen Restrisiken ). Schritt 2: Bewertung der Restrisiken Die verbleibenden Restrisiken sind als "akzeptabel" oder "nicht-akzeptabel" zu klassifizieren.auch nach Auswahl und Umsetzung aller angemessenen Sicherheitsmaßnahmen verbleibt im Allgemeinen ein Restrisiko.1.2] 52 . [eh Teil 1 .2.6 Akzeptanz von außergewöhnlichen Restrisiken). Die Entscheidungsgrundlage dafür sollte in der (organisationsweiten) Informationssicherheitspolitik festgelegt sein (vgl. akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken.5 Akzeptables Restrisiko sowie 4. Schritt 3: Entscheidung über nicht-akzeptable Restrisiken Die weitere Behandlung von nicht-akzeptablen Restrisiken sollte stets eine Managemententscheidung sein. Schritt 4: Akzeptanz von außergewöhnlichen Restrisiken Ist eine weitere Reduktion des Restrisikos nicht möglich. nicht-akzeptable bedürfen einer weiteren Analyse. Um zu entscheiden. zu untersuchen.1 Risikoanalysestrategien. Es besteht die Möglichkeit. ist wie folgt vorzugehen: Schritt 1: Quantifizierung des Restrisikos In diesem ersten Schritt ist das Restrisiko so exakt wie möglich zu ermitteln. Die Alternative dazu ist eine bewusste und dokumentierte Akzeptanz des erhöhten Restrisikos.1. 14. so besteht in begründeten Ausnahmefällen die Möglichkeit einer bewussten Akzeptanz dieses erhöhten Restrisikos. Kapitel 4. Akzeptable Restrisiken können in Kauf genommen werden. unwirtschaftlich oder aufgrund gegebener Rahmenbedingungen nicht wünschenswert. und zusätzliche. wie weit und mit welchen Kosten nicht-akzeptable Restrisiken weiter verringert werden können.1 Risikoanalysestrategien.5. 4.ISO Bezug: 27002 4. akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken.2 Absolute Sicherheit ist nicht erreichbar .5 Akzeptables Restrisiko sowie 4.

[eh Teil 1 .2.3 Sicherheitsrichtlinien ISO Bezug: 27001 4. Investitionen in das System (Entwicklungs-.1] 2.2.2. dabei ist zu untersuchen. Beschaffungs. sollen für jeweils spezifische Sicherheitsrichtlinien auf die einzelnen wichtigen Systeme eingehen. eine InternetSicherheitsrichtlinie oder eine Richtlinie zum Einsatz mobiler Geräte.2. Kosten für den laufenden Betrieb) 53 .2.3] 2.1 Während das Sicherheitsskonzept ganzheitlich Maßnahmen darstellt.5. um die Risiken auf ein definiertes und beherrschbares Maß zu bringen. Verfügbarkeit oder Integrität des Systems oder darauf verarbeiteter Information gefährdet wird. Beschreibung der wichtigsten Komponenten Definition der wichtigsten Ziele und Funktionalitäten des Systems Festlegung der Informationssicherheitsziele des Systems Abhängigkeit der Organisation vom betrachteten IT-System.2.1 Eine Sicherheitsrichtlinie sollte Aussagen zu den sicherheitsrelevanten Bereichen eines Systems treffen: • • • • • Definition und Abgrenzung des Systems.1 Für alle komplexen oder stark verbreiteten IT-Systeme sollten spezifische Sicherheitsrichtlinien erarbeitet werden. Typische Beispiele sind etwa eine PC-Sicherheitsrichtlinie.2. eine Netzsicherheitsrichtlinie.2 Inhalte ISO Bezug: 27001 4.3.3.1 Aufgaben und Ziele ISO Bezug: 27001 4.3. wie weit die Aufgabenerfüllung der Organisation durch eine Verletzung der Vertraulichkeit.5. [eh Teil 1 .und Wartungskosten.

unveränderbares Dokument dar. Bedrohungen und Schwachstellen lt. Insbesondere ist es von Bedeutung. Risikoanalyse Sicherheitsrisiken Beschreibung der bestehenden und der noch zu realisierenden Sicherheitsmaßnahmen Gründe für die Auswahl der Maßnahmen Kostenschätzungen für die Realisierung und den laufenden Betrieb (Wartung) der Sicherheitsmaßnahmen Verantwortlichkeiten [eh Teil 1 .2] 2.3. sondern ist regelmäßig auf Aktualität zu überprüfen und bei Bedarf entsprechend anzupassen. [eh Teil 1 .4 Verantwortlichkeiten ISO Bezug: 27001 4.3.1 54 . noch umzusetzenden Sicherheitsmaßnahmen stets dem tatsächlich aktuellen Stand entspricht.5.3] 2.2.• • • • • • • Risikoanalysestrategie Werte.2. dass die Liste der existierenden bzw.1 Auch eine Sicherheitsrichtlinie stellt kein einmal erstelltes.3.3 Fortschreibung der Sicherheitsrichtlinien ISO Bezug: 27001 4.2.3.5.2.

Im Allgemeinen wird diese Verantwortung bei der/dem für das gegenständliche System zuständigen Bereichs-IT-Sicherheitsbeauftragten liegen. Er enthält eine Prioritäten.und Aufwandsschätzung für Implementierung und Wartung der Maßnahmen Detailplanung für die Implementierung Diese soll folgende Punkte umfassen: • • • • • Prioritäten Zeitplan.und Ressourcenplanung sowie einen Zeitplan für die Umsetzung der Maßnahmen.4] 2.4 Informationssicherheitspläne für jedes System ISO Bezug: 27001 4. für jede dieser Maßnahmen sollte eine Aussage über ihre Wirksamkeit sowie möglicherweise notwendige Verbesserungen oder Verstärkungen getroffen werden eine Prioritätenreihung für die Implementierung der ausgewählten Sicherheitsmaßnahmen bzw. dazu Kapitel 5.5. abhängig von Prioritäten und Ressourcen Budget Verantwortlichkeiten Schulungs. Letztere/r hat dafür Sorge zu tragen.und Sensibilisierungsmaßnahmen 55 .Die Verantwortlichkeiten für die Erstellung und Fortschreibung der Sicherheitsrichtlinien sind im Einzelnen in der Informationssicherheitspolitik festzulegen (vgl.3. vergleichbares Niveau aufweisen. Im Detail sind für jedes System zu erstellen: • • • • eine Liste der vorhandenen sowie eine Liste der noch zu implementierenden Sicherheitsmaßnahmen. die/der sie mit der/dem IT-Sicherheitsbeauftragten abstimmen wird. wie die ausgewählten Sicherheitsmaßnahmen umgesetzt werden.2.2. die Verbesserung bestehender Maßnahmen eine Kosten. dass die einzelnen Sicherheitsrichtlinien mit der organisationsweiten Informationssicherheitspolitik kompatibel sind und auch untereinander ein einheitliches.3 Organisation und Verantwortlichkeiten für Informationssicherheit). [eh Teil 1 .3 Ein Informationssicherheitsplan beschreibt.

2.5 Fortschreibung des Sicherheitskonzeptes ISO Bezug: 27001 4. Anlässe für eine neue Untersuchung und das Fortschreiben des Konzeptes können sein: • • • • • Ablauf eines vorgeschriebenen oder vereinbarten Zeitraumes (z.bzw.) neue Möglichkeiten für Sicherheitsmaßnahmen.4 Das Sicherheitskonzept muss laufend fortgeschrieben werden. Umfeldeigenschaften angepasst zu bleiben.• • • Test. und Möglichkeiten des Eingriffes bei Abweichungen vom vorgesehenen Prozess oder bei notwendigen Änderungen definieren.5. die den Fortschritt der Implementierung der ausgewählten Maßnahmen bewerten. wie etwa die Entwicklung neuer Techniken oder veränderte Einsatzbedingungen (Einsatzort. um an veränderte System. etwa aufgrund von Preisänderungen oder der Verfügbarkeit neuer Technologien Voraussetzungen für eine effiziente und zielgerichtete Fortschreibung des Sicherheitskonzeptes sind: • • 56 die laufende Überprüfung von Akzeptanz und Einhaltung der Sicherheitsmaßnahmen die Protokollierung von Schadensereignissen .und Abnahmeverfahren und -termine Nachfolgeaktivitäten eine Bewertung des nach der Implementierung aller Maßnahmen zu erwartenden Restrisikos Weiters sollte der Sicherheitsplan auch die Kontrollmechanismen festlegen. die die Werte verändern können.2. wie etwa politische oder gesellschaftliche Entwicklungen oder das Bekanntwerden neuer Attacken Eintritt von Ereignissen. Änderungen am Markt oder die Einführung neuer Applikationen Ereignisse. die die Eintrittswahrscheinlichkeit von Bedrohungen verändern.B. IT-Ausstattung..4] 2. [eh Teil 1 . wie etwa die Änderungen von Organisationszielen oder Aufgabenbereichen. jährliches Update) Eintritt von Ereignissen. die die Bedrohungslage verändern. ..

die Kosten sich in dem vorher abgeschätzten Rahmen halten. Dieser muss gut strukturiert.und Sensibilisierungsmaßnahmen gesetzt werden.5] 2. finanzielle und personelle Ressourcen rechtzeitig zugewiesen werden.1 Implementierung von Maßnahmen ISO Bezug: 27001 4. Es empfiehlt sich.5. der Zeitplan eingehalten wird. [eh Teil 1 .3 Umsetzung des Informationssicherheitsplans Die korrekte und effiziente Implementierung von Sicherheitsmaßnahmen und ihr zielgerichteter Einsatz hängen in hohem Maße von der Qualität des im vorangegangenen Schritt erstellten Informationssicherheitsplans ab. Als letzter Schritt der Umsetzung des Informationssicherheitsplans sind die implementierten Maßnahmen in ihrer tatsächlichen Einsatzumgebung auf ihre Auswirkungen zu testen und abzunehmen (Akkreditierung).5] 2.5. [eh Teil 1 . die Maßnahmen korrekt umgesetzt werden. Bei der Umsetzung des Plans ist zu beachten. um die optimale Einhaltung und Akzeptanz der Maßnahmen bei den Anwenderinnen/ Anwendern zu erreichen.2. genau dokumentiert und den tatsächlichen Anforderungen der betroffenen Institution angepasst sein.2 57 .• die Kontrolle der Wirksamkeit und Angemessenheit der Maßnahmen Ob eine neuerliche Risikoanalyse erforderlich ist oder lediglich die Auswahl der Maßnahmen überarbeitet wird. Gleichzeitig mit der Implementierung der Sicherheitsmaßnahmen sollten auch entsprechende Schulungs. dass • • • • • Verantwortlichkeiten rechtzeitig und eindeutig festgelegt werden. hängt vom Ausmaß der eingetretenen Veränderungen ab.3. die Umsetzung des Informationssicherheitsplans im Rahmen eines Projektes abzuwickeln.

Die Verantwortlichkeiten dafür sind im Detail festzulegen. organisationsweiten Maßnahmen vollständig und angemessen. sind die einzelnen Maßnahmen zu implementieren. Es wird empfohlen. ein anderer Teil aber organisationsweit einzusetzen ist (vgl. zu erfolgen. dass ein Teil der Maßnahmen systemspezifisch sein wird. auf ihre Übereinstimmung mit der Sicherheitspolitik zu überprüfen (Security Compliance Checking) und auf Korrektheit und Vollständigkeit zu testen.Sobald der Informationssicherheitsplan erstellt und verabschiedet wurde. dass die Implementierung korrekt durchgeführt und abgeschlossen wurde. der • • • die Testmethoden die Testumgebung die Zeitpläne für die Durchführung der Tests beinhaltet. Schritt 2: Testplan und Tests Tests sollen sicherstellen. Die durchgeführten Tests sind im Detail zu beschreiben und die Ergebnisse in einem standardisierten Testbericht festzuhalten. Schritt 1: Implementierung der Sicherheitsmaßnahmen Die Implementierung der ausgewählten Sicherheitsmaßnahmen hat anhand des Informationssicherheitsplans.1 Auswahl von Maßnahmen). Die Abstimmung der einzelnen systemspezifischen Informationssicherheitspläne für die Gesamtorganisation obliegt in der Regel der/dem IT-Sicherheitsbeauftragten. sowie nicht redundant oder widersprüchlich sind die systemspezifischen Maßnahmen kompatibel sind und ein einheitliches. angemessenes Sicherheitsniveau haben Besonderer Wert ist auf eine detaillierte. 58 . dass • • die systemübergreifenden. für die Tests einen Testplan zu erstellen.2. korrekte und aktuelle Dokumentation dieser Implementierungen zu legen. dazu auch 2. Sie/ er hat dafür Sorge zu tragen. Dabei ist zu beachten. entsprechend der vorgegebenen Zeitpläne und Prioritäten.

weitere Verfahrensweisen zur Erstellung. Vollständigkeit Hoher Detaillierungsgrad: Die Sicherheitsmaßnahmen sind so detailliert zu beschreiben. Benutzung. So weit wie möglich sollte bei der Klassifizierung und Behandlung solcher Dokumente auf die Vorgaben im Rahmen der Informationssicherheitspolitik der Organisation zurückgegriffen werden (vgl.5 Klassifizierung von Informationen). 15. Schritt 3: Prüfung der Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) Security Compliance Checks sind sowohl im Rahmen der Implementierung der Maßnahmen als auch als wiederholte Aktivität zur Gewährleistung der Informationssicherheit im laufenden Betrieb (s. dazu 5. Gewährleistung der Vertraulichkeit: Dokumentation über Sicherheitsmaßnahmen kann unter Umständen sehr vertrauliche Information enthalten und ist daher entsprechend zu schützen. Es kann im Einzelfall notwendig sein.1 Security Compliance Checking und Monitoring) durchzuführen. Dabei sind zu prüfen: • • • die vollständige und korrekte Umsetzung der Sicherheitsmaßnahmen der korrekte Einsatz der implementierten Sicherheitsmaßnahmen die Einhaltung der organisatorischen Sicherheitsmaßnahmen im täglichen Betrieb Dokumentation Die Dokumentation der implementierten Maßnahmen stellt einen wichtigen Teil der gesamten Sicherheitsdokumentation dar und ist notwendige Voraussetzung für die Kontinuität und Konsistenz des Informationssicherheitsprozesses. Verteilung. dazu auch Kap. 59 • . Die wichtigsten Anforderungen an die Dokumentation sind: • • • Aktualität: Alle Sicherheitsmaßnahmen sind stets auf dem aktuellen Stand der Realisierung zu beschreiben. Diese Verfahrensweisen sind ebenfalls entsprechend zu dokumentieren.2. Aufbewahrung und Vernichtung von sicherheitsrelevanter Dokumentation zu entwickeln. zum anderen ausreichend Information für einen korrekten und effizienten Einsatz der Maßnahmen zur Verfügung steht.Abhängig von der speziellen Bedrohungslage und der Art der Maßnahmen kann die Durchführung von Penetrationstests erforderlich sein. dass zum einen eventuell bestehende Sicherheitslücken erkannt werden können.

6. Das Sensibilisierungsprogramm sollte systemübergreifend sein..2. . das zum Ziel hat.2 Nur durch Verständnis und Motivation ist eine dauerhafte Einhaltung und Umsetzung der Richtlinien und Vorschriften zur Informationssicherheit zu erreichen.2..• Konfigurations. organisationsweites Sensibilisierungsprogramm erstellt werden.und Integritätskontrolle: Es ist sicherzustellen.2 Sensibilisierung (Security Awareness) ISO Bezug: 27002 5. Um das Sicherheitsbewusstsein aller Mitarbeiter/innen zu fördern und den Stellenwert der Informationssicherheit innerhalb einer Organisation zu betonen. Informationssicherheit zu einem integrierten Bestandteil der täglichen Arbeit zu machen. die eine .2.die Anforderungen aus den einzelnen Teilbereichen und systemspezifische Anforderungen hier einfließen zu lassen und entsprechend zu koordinieren. Es ist Aufgabe der dafür verantwortlichen Person . dass keine unauthorisierten Änderungen der Dokumentation erfolgen.dies wird in der Regel die/der ITSicherheitsbeauftragte sein . sollte ein umfassendes. die für die gesamte Organisation Gültigkeit haben) die wichtigsten Ergebnisse der Risikoanalysen (Bedrohungen. [eh Teil 1 . Schwachstellen. Risiken.1] 2.3.beabsichtigte oder unbeabsichtigte Beeinträchtigung der implementierten Maßnahmen nach sich ziehen könnten.) die Pläne zur Implementierung und Überprüfung der Sicherheitsmaßnahmen . Das Sensibilisierungsprogramm sollte folgende Punkte umfassen: • Information aller Mitarbeiter/innen über die Informationssicherheitspolitik der Organisation. 8. Im Rahmen einer Einführung sollten insbesondere folgende Punkte erläutert werden: • • • • • • die Informationssicherheitsziele und -politik der Organisation sowie deren Erläuterung die Bedeutung der Informationssicherheit für die Organisation Organisation und Verantwortlichkeiten im Bereich der Informationssicherheit die Risikoanalysestrategie die Sicherheitsklassifizierung von Daten • • 60 ausgewählte Sicherheitsmaßnahmen (insbesondere solche.

. folgende Maßnahmen beitragen: • • • regelmäßige Veranstaltungen zum Thema Informationssicherheit Publikationen schriftliche Festlegung der Berichtswege und Handlungsanweisungen im Falle eines vermuteten Sicherheitsproblems (z. Auftreten eines Virus.B.2. ergeben. z.1.2. 15.2.5 Über das allgemeine Sensibilisierungsprogramm hinaus sind spezielle Schulungen zu Teilbereichen der Informationssicherheit erforderlich. wenn sich durch Sicherheitsmaßnahmen einschneidende Veränderungen. im Arbeitsablauf. 8.• • • die Auswirkungen von sicherheitsrelevanten Ereignissen für einzelne Anwender und für die gesamte Institution die Notwendigkeit.2.B. 6. um das vorhandene Wissen aufzufrischen und neue Mitarbeiter/innen zu informieren. wann und wo solche Veranstaltungen nötig sind.3 Schulung ISO Bezug: 27002-5. 8. ..2. Angriff von außen ("Hacker"). [eh Teil 1 .a.2] 2. Das Sensibilisierungsprogramm ist regelmäßig auf seine Wirksamkeit und Aktualität zu überprüfen und laufend an Veränderungen in der Informationssicherheitspolitik sowie an neue Technologien anzupassen.) Das Sensibilisierungsprogramm sollte jede/n Mitarbeiter/in der Institution auf ihre/ seine Verantwortlichkeit für Informationssicherheit hinweisen.1.3. Darüber hinaus sollte jede/r neue. Die Veranstaltungen zum Sensibilisierungsprogramm sollten in regelmäßigen Zeitabständen wiederholt werden. 61 . Die organisationsweite Planung dieser Veranstaltungen sollte die/der IT-Sicherheitsbeauftragte übernehmen.6. Sicherheitsverstöße zu melden und zu untersuchen die Konsequenzen bei Nichteinhaltung von Sicherheitsvorgaben Zur Sensibilisierung der Mitarbeiter/innen können u.1. wie es der neue Arbeitsplatz verlangt.2. Gegebenenfalls liefern Bereichs-IT-Sicherheitsbeauftragte Informationen. Dabei ist insbesondere die Verantwortung des Managements für Informationssicherheit zu betonen ("Informationssicherheit als Managementaufgabe"). beförderte oder versetzte Mitarbeiter/in so weit in Fragen der Informationssicherheit geschult werden.

Büroräumen und Versorgungseinrichtungen mit besonderer Betonung der Verantwortung der einzelnen Mitarbeiter/innen (z. die im Rahmen von Schulungsveranstaltungen behandelt werden sollten. Verschlüsselung. Organisation des Informationssicherheitsmanagements. sind speziell dafür auszubilden und zu schulen.Personen.und Sensibilisierungsveranstaltungen zum Thema Informationssicherheit müssen zeitgerecht geplant und umgesetzt werden. die in besonderem Maße mit Informationssicherheit zu tun haben. Typische Beispiele für die Themen. Handhabung von Zutrittskontrollmaßnahmen.B. Berechtigungssysteme. digitale Signaturen u. Dazu zählen etwa: • • • • • • die/der IT-Sicherheitsbeauftragte und die Bereichs-IT-Sicherheitsbeauftragten die Mitglieder des Informationssicherheitsmanagement-Teams Mitarbeiter/innen. Serverräumen.und Zugriffsrechten) Das Schulungsprogramm ist von jeder Organisation spezifisch für ihren Bedarf eigenen zu entwickeln. Brandschutz) Personelle Sicherheit Hardware.B.B. Business Continuity Planung Schulungs. 62 . Applikationsverantwortliche) Mitarbeiter/innen. die zu VERTRAULICH. Vergabe von Zutritts-. Protokollierung.und Softwaresicherheit: Dazu gehören etwa Identifikation und Authentisierung. GEHEIM oder STRENG GEHEIM eingestuften Informationen Zugang haben Mitarbeiter/innen mit spezieller Verantwortung für die Systementwicklung (z. Wiederaufbereitung und Virenschutz. regelmäßige Überprüfung von Sicherheitsmaßnahmen und ähnliches Bauliche Sicherheit: Schutz von Gebäuden. Netzwerksicherheit: Netzwerkinfrastruktur. Behandlung von sicherheitsrelevanten Vorfällen. um keine Sicherheitslücken durch mangelndes Wissen oder Sicherheitsbewusstsein entstehen zu lassen. Projektleiter/innen) Mitarbeiter/innen mit spezieller Verantwortung für den Betrieb eines IT-Systems oder einer wichtigen Applikation (z. Zugangs. sind: • • • • • • Sicherheitspolitik und -infrastruktur: Rollen und Verantwortlichkeiten.ä. LANs. Inter-/Intranets. die mit Aufgaben der IT-Sicherheitsverwaltung betraut sind (z.B. Besondere Betonung ist dabei auf die Schulung der korrekten Implementierung und Anwendung von Sicherheitsmaßnahmen zu legen.

wann eine Neuakkreditierung durchzuführen ist. dass seine Sicherheit • • • in einer definierten Betriebsumgebung unter definierten Einsatzbedingungen für eine definierte vorgegebene Zeitspanne gewährleistet ist.3 Überprüfung von Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) Tests Evaluation und Zertifizierung von Systemen Änderungen der eingesetzten Sicherheitsmaßnahmen oder der Betriebsumgebung können eine neuerliche Akkreditierung des Systems erforderlich machen. dass dieses den Anforderungen der Informationssicherheitspolitik und der Sicherheitsrichtlinien genügt.6.oder eine spezifische Anwendung davon .und Zustandsbeschreibungen sowie standardisierter Vorgaben für Erfüllung und Dokumentation. ist insbesondere darauf zu achten.3.4.in Echtbetrieb gehen.[eh Teil 1 . Die Kriterien. vgl. Erst nach erfolgter Akkreditierung kann ein solches System . Wir ein IT-System akkreditiert.3] 2. [eh Teil 1 . auch 2. sollten in den zugehörigen Sicherheitsrichtlinien festgelegt werden.6. Wesentlich bei der Akkreditierung ist die Anwendung standardisierter und damit vergleichbarer Vorgehens.1 Implementierung von Maßnahmen und 2.3.4] 63 .4 Akkreditierung Unter Akkreditierung eines IT-Systems versteht man die durch eine unabhängige Instanz formal dokumentierte Sicherstellung. Techniken zur Akkreditierung sind: • • • Prüfung der Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking).

sondern muss stets auf seine Wirksamkeit. Die Verantwortlichkeiten für diese Aktivitäten müssen im Rahmen der organisationsweiten Informationssicherheitspolitik bzw. weiter zu erhöhen. die Informationssicherheit im laufenden Betrieb aufrechtzuerhalten. 6. Ein Sicherheitskonzept ist kein statisches.1 Aufrechterhaltung des erreichten Sicherheitsniveaus ISO Bezug: 27001 4. Monitoring sichergestellt sind: • • • Wartung und administrativer Support der Sicherheitseinrichtungen müssen gewährleistet sein.2. wenn Support. 2. 8 Das nach der Umsetzung des Informationssicherheitsplans erreichte Sicherheitsniveau lässt sich nur dann aufrechterhalten. Ziel aller Follow-Up-Aktivitäten ist es. Verschlechterungen der Wirksamkeit von Sicherheitsmaßnahmen . Generell gilt auch hier.4 Informationssicherheit im laufenden Betrieb Umfassendes Informationssicherheitsmanagement beinhaltet nicht zuletzt auch die Aufgabe.soweit definiert . Weiters muss eine angemessene Reaktion auf alle sicherheitsrelevanten Änderungen sowie auf sicherheitsrelevante Ereignisse gewährleistet sein.4. unveränderbares Dokument. die Verantwortung für organisationsweite Sicherheitsmaßnahmen sowie die Gesamtverantwortung bei der/ dem IT-Sicherheitsbeauftragten. Aktualität und die Umsetzung in der täglichen Praxis überprüft werden. das erreichte Sicherheitsniveau zu erhalten bzw. dass die Verantwortung für systemspezifische Maßnahmen bei den einzelnen BereichsIT-Sicherheitsbeauftragten .sollen erkannt und entsprechende Gegenmaßnahmen eingeleitet werden. die realisierten Maßnahmen müssen regelmäßig auf ihre Übereinstimmung mit der Informationssicherheitspolitik geprüft werden (Security Compliance Checking) und die IT-Systeme fortlaufend überwacht werden (Monitoring).sei es durch eine Veränderung der Bedrohungslage oder durch falsche Verwendung der implementierten Sicherheitsmaßnahmen .liegen sollte.4. in den einzelnen Sicherheitsrichtlinien detailliert festgelegt werden.2. Compliance. 64 .

und Supportaufgaben können im Einzelfall beträchtlich sein und sollten daher bereits bei der Auswahl der Sicherheitsmaßnahmen bekannt sein und in den Entscheidungsprozess mit einfließen.3.2.1. 8 Viele Sicherheitsmaßnahmen erfordern zur Gewährleistung ihrer einwandfreien Funktionsfähigkeit Wartung und administrativen Support. ist sicherzustellen. die Überprüfung der Parametereinstellungen und eventueller Rechte auf mögliche nichtautorisierte Änderungen. Die Wartung von Sicherheitseinrichtungen hat in Abstimmung mit den Verträgen.4. wenn verfügbar (besonders. dazu auch 2. Die Kosten für Wartungs. 6. Zu diesen Aufgaben zählen etwa die regelmäßige Auswertung und Archivierung von Protokollen. Um die Aufrechterhaltung eines einmal erreichten Sicherheitsniveaus zu gewährleisten. im Bereich Virenschutz). die Reinitialisierung von Startwerten oder Zählern sowie Updates der Sicherheitssoftware. aber nicht ausschließlich. Alle Wartungs.Von besonderer Wichtigkeit für die Aufrechterhaltung oder weitere Erhöhung eines einmal erreichten Sicherheitsniveaus ist eine permanente Sensibilisierung aller betroffenen Mitarbeiter/innen für Fragen der Informationssicherheit (vgl. die mit den Lieferfirmen geschlossen wurden.7. dass • • • • die erforderlichen finanziellen und personellen Ressourcen zur Wartung von Sicherheitseinrichtungen zur Verfügung stehen organisatorische Regelungen existieren. [eh Teil 1 . ob sie wie beabsichtigt funktionieren 65 .1] 2.2 Sensibilisierung (Security Awareness)).4. die die Aufrechterhaltung der Informationssicherheitsmaßnahmen im laufenden Betrieb ermöglichen und unterstützen die Verantwortungen im laufenden Betrieb klar zugewiesen werden die Maßnahmen regelmäßig daraufhin geprüft werden. Backup und Restore sowie die Wartung von sicherheitsrelevanten Komponenten. zu erfolgen und darf nur durch dafür autorisierte Personen vorgenommen werden.und Supportaktivitäten sollten nach einem detailliert festgelegten Plan erfolgen und regelmäßig durchgeführt werden.2 Wartung und administrativer Support von Sicherheitseinrichtungen ISO Bezug: 27001 4.

1.und Supportaktivitäten im Sicherheitsbereich sollten protokolliert werden. dass alle Maßnahmen so eingesetzt werden. ob • • • die Sicherheitsmaßnahmen vollständig und korrekt umgesetzt werden der korrekte Einsatz der implementierten Sicherheitsmaßnahmen gewährleistet ist (Stichproben!) die organisatorischen Sicherheitsvorgaben im täglichen Betrieb eingehalten und akzeptiert werden Weiters sind die getroffenen Maßnahmen regelmäßig auf Übereinstimmung mit gesetzlichen und betrieblichen Vorgaben zu überprüfen. [eh Teil 1 .• Maßnahmen verstärkt werden. Die Prüfungen können durch externe oder interne Auditoren/Auditorinnen durchgeführt werden und sollten soweit möglich auf standardisierten Tests und Checklisten basieren.1 Zielsetzung Zur Gewährleistung eines angemessenen und gleich bleibenden Sicherheitsniveaus ist dafür Sorge zu tragen. falls sich neue Schwachstellen zeigen Alle Wartungs.4. bei Eintreten folgender Ereignisse durchgeführt werden: 66 .2. 15. Zeitpunkte Security Compliance Checks sollten zu folgenden Zeitpunkten bzw.7.3 Überprüfung von Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) ISO Bezug: 27001 4. Der regelmäßigen Auswertung dieser Protokolle kommt besondere Bedeutung für die gesamte Informationssicherheit zu. -Projekte und Applikationen sowohl während der Planungsphase als auch im laufenden Betrieb und letztlich auch bei der Außerbetriebnahme sichergestellt sein. wie es im Sicherheitskonzept und im Informationssicherheitsplan vorgesehen ist. Dies muss für alle IT-Systeme.1] 2.2.4. Dabei ist zu prüfen.

Mögliche Gründe dafür sind eine Änderung der IT-Sicherheitsziele.1 Security Compliance Checking und Monitoring) für bereits in Betrieb befindliche IT-Systeme oder Applikationen: nach einer bestimmten.1. Bedrohungen und Schwachstellen: 67 . in den Sicherheitsrichtlinien vorzugebenden Zeitspanne (z.4 Monitoring ist eine laufende Aktivität mit dem Ziel. Aus diesem Grund ist eine fortlaufende Überwachung folgender Bereiche erforderlich: • • Wert der zu schützenden Objekte: Sowohl die Werte von Objekten als auch.4 Fortlaufende Überwachung der IT-Systeme (Monitoring) ISO Bezug: 27002 4. seine Benutzer/innen und die Systemumgebung das im Informationssicherheitsplan festgelegte Sicherheitsniveau beibehalten. Dazu wird ein Plan für eine kontinuierliche Überwachung der IT-Systeme im täglichen Betrieb erstellt. neue Applikationen oder die Verarbeitung von Daten einer höheren Sicherheitsklasse auf existierenden Systemen oder Änderungen in der Hardware-Ausstattung. [eh Teil 1 . sollte das Monitoring durch die Ermittlung von Kennzahlen unterstützt werden. jährlich) sowie bei signifikanten Änderungen. die Sicherheitsanforderungen an das Gesamtsystem können im Laufe des Lebenszyklus eines IT-Projektes oder -Systems erheblichen Änderungen unterliegen. Alle Änderungen der potentiellen Bedrohungen. daraus resultierend. zu schützenden Werte und Sicherheitsmaßnahmen können möglicherweise signifikante Auswirkungen auf das Gesamtrisiko haben.2] 2. zu überprüfen.7. Wo technisch möglich und sinnvoll. Solche Kennzahlen können beispielsweise die Systemverfügbarkeit. die Zahl der Hacking-Versuche über Internet oder die Wirksamkeit des Passwortmechanismus betreffen.4. die eine rasche und einfache Erkennung von Abweichungen von den Sollvorgaben ermöglichen. dazu auch Kap. 15.• • für neue IT-Systeme oder relevante neue Anwendungen: nach der Implementierung (vgl. Schwachstellen.B. ob das IT-System.2.

aber auch durch den Einsatz neuer Technologien. können die Wirksamkeit der Sicherheitsmaßnahmen nachhaltig beeinflussen. den Bedrohungen und den Schwachstellen.1.• Organisatorisch oder technologisch (hier insbesondere durch neue Technologien in der Außenwelt) bedingt können sowohl die Wahrscheinlichkeit des Eintritts einer Bedrohung als auch die potentielle Schadenshöhe im Laufe der Zeit starken Änderungen unterliegen und sind daher regelmäßig zu evaluieren. Neue potentielle Schwachstellen sind so früh wie möglich zu erkennen und abzusichern. Werden im Rahmen des kontinuierlichen Monitoring signifikante Abweichungen des tatsächlichen Risikos von dem im Sicherheitskonzept festgelegten akzeptablen Restrisiko festgestellt.7. Es ist sicherzustellen. Änderungen in den Werten der bedrohten Objekte. so sind entsprechende Gegenmaßnahmen zu setzen. dass sie einen angemessenen und den Vorgaben der Sicherheitsrichtlinien entsprechenden Schutz bieten. ob die Ergebnisse den Sicherheitsanforderungen der Institution genügen sowie über den Erfolg einzelner spezifischer Aktivitäten zur Informationssicherheit. Sicherheitsmaßnahmen: Die Wirksamkeit der implementierten Sicherheitsmaßnahmen ist laufend zu überprüfen. Durch ein kontinuierliches Monitoring soll die Leitung der Institution ein klares Bild darüber bekommen. was durch die Sicherheitsmaßnahmen erreicht wurde (Soll-/IstVergleich). [eh Teil 1 .3] 68 .

dass die Managementebene für die Umsetzung folgender Aufgaben zu sorgen hat: • • • • • • • Erarbeitung einer Sicherheitspolitik Erarbeitung der Zielsetzungen und Detailaufgaben des ISMS Benennung von Rollen und verantwortlichen Personen Darstellung. über Schwachstellen und Sicherheitsvorfälle zu informieren und Verbesserungen vorzuschlagen 69 . zu implementieren.3 Managementverantwortung und Aufgaben beim ISMS Dieses Kapitel nimmt Bezug auf ISO/IEC 27001 5 bis 8 . eingeschätzt.1 Verantwortung der Managementebene 3. Einschätzung. 3. Festlegung von Kriterien für akzeptable Restrisiken Schaffung von Awareness für die Bedeutung und den Nutzen eines angemessenen Informationssicherheitsniveaus bzw. zu betreiben sowie zu kontrollieren und zu verbessern.1 Generelle Managementaufgaben beim ISMS ISO Bezug: 27001 5. zu steuern und zu kontrollieren. Zur Verantwortung der Managementebene gehört neben der Erreichung der geschäftlichen wie unternehmenspolitischen Ziele auch der angemessene Umgang mit Risiken. Dies bedeutet. Bewertung der Risiken. Wird ein Informationssicherheits-Management-System (ISMS) eingerichtet. so ist es zu planen.1. Sie müssen so früh als möglich erkannt. bewertet und durch Setzen geeigneter und nachhaltiger Maßnahmen auf einen minimalen und akzeptierten Rest reduziert werden. des ISMS Schaffung von Awareness und Motivation für die Notwendigkeit der Einhaltung der Sicherheitsregeln Schaffung von Awareness und Motivation. einen systematischen und dauerhaften Sicherheitsmanagementprozess zu etablieren.1 Es ist eine Managementverantwortung. Wegen der immer höheren Abhängigkeit von Information gilt dies besonders für Risiken aus fehlender oder mangelhafter Informationssicherheit.

für die Sicherheit zum Geschäftsmodell gehört . 70 . Verfahren des ISMS noch wirksam bzw.im Rahmen einer eigenen Sicherheitsorganisation erfolgen. Arbeitsgruppen Es muss laufend überprüft werden. wenn sie stetig mit den essentiellen Informationen versorgt wird (analog dazu. Dies kann auch . Unbeschadet davon bleibt die Gesamtverantwortung jedoch immer bei der Managementebene.• • • Bereitstellung ausreichender finanzieller und personeller Ressourcen für Einrichtung und dauerhaften Betrieb des ISMS sowie der Sicherheitsmaßnahmen Durchführung von Audits und Management-Reviews im Rahmen des ISMS Herbeiführung von Entscheidungen über Verbesserungsvorschläge. vergleichbaren Organisationen.etwa bei großen Organisationen oder solchen.auch finanziellen Auswirkungen. bei größeren Einheiten wird sich ein Mitglied der Managementebene persönlich um das ISMS kümmern bzw. angemessen sind. ob und welche Sicherheitsmaßnahmen bzw. hängt von seiner Komplexität ab. dass sie mit Geschäftskennzahlen versorgt werden muss): • • • • • • Sicherheitsanforderungen. Aus diesen Informationen sind von der Managementebene laufend Schlussfolgerungen zu ziehen und Entscheidungen zu treffen: welche Schwachstellen behoben wurden. ob und welche Sicherheitsmaßnahmen zu adaptieren sind und welche Verbesserungsmöglichkeiten umgesetzt werden. Sehr kleine Organisationen werden fallweise unter der Leitung des Geschäftsführers/ der Geschäftsführerin punktuell externe Berater heranziehen. im positiven Fall jeweils auch Sicherstellung von deren Umsetzung Wie der Sicherheitsprozess organisiert wird. Sie kann diese Verantwortung allerdings nur dann effizient wahrnehmen. wird ein/e Sicherheitsbeauftragte/r oder mehrere Sicherheitsbeauftragte benannt. diese wiederum von Größe und Aufgaben der Organisation. die sich aus gesetzlichen oder vertraglichen Verpflichtungen ableiten Aktuelle Sicherheitsrisiken mitsamt ihren möglichen . sowie ihre voraussichtliche Entwicklung Aufgetretene Schwachstellen oder Sicherheitsvorfälle Auswirkungen von tatsächlichen oder potenziellen Sicherheitsvorfällen auf kritische Geschäftsprozesse Potenzielle Gefährdungen aus veränderten Rahmenbedingungen und zukünftigen Entwicklungen Brauchbare Vorgehensweisen zur Informationssicherheit aus allgemeinen oder branchenüblichen Standards. welche mit Sicherheitsaufgaben betraut werden und diese ausschließlich oder zusätzlich zu anderen Aufgaben ausüben.

dass Sicherheitsmaßnahmen .Kosten verursachen. dass es keine 100%ige Sicherheit geben kann. Daher macht es Sinn. Grenzen der Sicherheit: • • • Es muss klar sein.oft erhebliche .2. Ist das nicht möglich. Werden die Anwender/innen in die Planung und Umsetzung von Maßnahmen einbezogen. wenn es sich wirtschaftlich vertreten lässt und mit den verfügbaren personellen. -vorgaben und -anweisungen verstanden wird. die ihnen zugehörige Informationsverarbeitung geändert werden.2. dass sie zwar die Risiken auf das akzeptierte Maß senken. die Mitarbeiter/innen zur aktiven Mitwirkung am Sicherheitsprozess zu motivieren und für diesbezüglich ausreichende Ausbildungs. werden diese auch gelebt und Informationen über Schwachstellen gegeben bzw.Die Managementebene hat die Aufgabe. zeitlichen und finanziellen Ressourcen auch erreicht werden kann. zeitlichen und finanziellen Aufwand erreicht werden können. Es muss ebenso klar sein.1 Aufwand und Nutzen bei der Informationssicherheit Ein angestrebtes Sicherheitsniveau macht nur dann Sinn. werden sie auch von sich aus Ideen einbringen und die Tauglichkeit von Sicherheitsmaßnahmen aus Sicht der täglichen Praxis beurteilen. aber mit vertretbarem personellen. Eine "starke" Sicherheitsmaßnahme. die niemand vorhersagen kann und die ein höheres Schadenspotenzial als das akzeptierte Restrisiko nach sich ziehen. Es können Verkettungen von Vorfällen auftreten. Diesen sind jene gegenüberstellen. dann muss die Sicherheitsstrategie oder aber die Geschäftsprozesse bzw. Verbesserungsvorschläge gemacht. ist gar keine. Nur wenn der Sinn von Sicherheitsmaßnahmen bzw.336] 3. die Sicherheitsziele so zu definieren.1 Bereitstellung von Ressourcen ISO Bezug: 27001 5.und Awarenessmaßnahmen zu sorgen.2 Ressourcenmanagement 3. 71 . die als Folge eines schweren Sicherheitsvorfalls anfallen würden. die nie fertig wird. sondern nur ein akzeptiertes Restrisiko. [Q: BSI M 2.

bis er gar nicht mehr zunimmt. Größere Organisationen oder solche mit hohen Ansprüchen an Informationssicherheit.vor allem durch technische Maßnahmen bewerkstelligen lässt.zumindest ein Teil von ihnen . In einem solchen Fall muss auf den Schutz der Informationen gegenüber Externen geachtet werden. Die Erfahrung zeigt allerdings.und Arbeitsaufwand für alle mit der Informationssicherheit befassten Mitarbeiter/innen. kurzfristig externe Sicherheitsexperten heranzuziehen.Ab einem bestimmten Niveau rechnet sich der steigende Aufwand für angestrebte noch höhere Sicherheitsniveaus nicht mehr. Wenn möglich sollten diese als IS-Management-Team formiert und .1 Richtlinien beim Datenaustausch mit Dritten ) Ressourcen für die Einrichtung des ISMS: IS-Management-Team Die sorgfältige Einrichtung und Planung des ISMS bedeutet einen erheblichen Zeit. werden entweder hauptamtliche Sicherheitsbeauftragte beschäftigen oder ISManagement-Teams aus mehreren Mitarbeitern/Mitarbeiterinnen. Ressourcen für die Organisation Erfahrungsgemäß ist die Benennung eines/einer IT-Sicherheitsbeauftragten eine sehr effiziente Sicherheitsmaßnahme. aber nur innerhalb eines geeigneten organisatorischen Rahmens und bedient von qualifizierten Menschen.organisatorische Maßnahmen in vielen Fällen am effektivsten sind. Daher ist es eher in kleineren Organisationen möglich. Selbstverständlich ist Sicherheitstechnik eine wichtige Lösung und häufig unentbehrlich. dass er/sie die Sicherheitsaufgaben neben den eigentlichen Tätigkeiten ausübt. 72 .während dieser Zeit von ihren sonstigen Aufgaben so weit als möglich freigestellt werden. Für ad-hoc Beratungen.insbesondere IT-Sicherheit . Überprüfungen oder Implementierungen kann es sich auch für kleine Organisationen lohnen. da der tatsächliche Gewinn an Sicherheit immer geringer wird.oft sehr einfache . zusammenstellen. dass sich Informationssicherheit . Die Informationssicherheit wird dadurch schneller in allen Organisationseinheiten umgesetzt und es gibt weniger Konflikte. Mit einem solchen Team werden unterschiedliche Organisationseinheiten in den Sicherheitsprozess einbezogen und Kompetenzen gebündelt. dass personelle Ressourcen und geeignete . Ihm/ihr muss allerdings ausreichend Zeit für seine diesbezügliche Tätigkeit zugestanden werden. welche dies neben ihren eigentlichen Aufgaben wahrnehmen können. bei der die Anzahl an Sicherheitsvorfällen signifikant zurückgeht. der dennoch in einem eher straffen Terminplan zu erledigen ist. ( siehe dazu 10.8. Weit verbreitet ist die Ansicht.

etc. mangelhaft gewartete IT-Einrichtungen. Zusätzlich kann es zu schleichender Demotivierung mit allen negativen Folgen führen. Datenschutz Personal Betriebsrat Finanz / Controlling Rechtsabteilung Für eine kontinuierliche Steuerung des Prozesses sollte ein solches IS-ManagementTeam regelmäßig zusammenkommen. Weiters sind personelle. welche die ohnehin problematische Situation verschärfen. Ressourcen für Betrieb und Überprüfung Ein reibungsloser IT-Betrieb ist zwar eine Voraussetzung für Informationssicherheit. 73 . sind Quellen für plötzlich auftretende Fehler. fehlende Ausbildung. Daher sollte sich die Managementebene immer wieder vom Ablauf des Betriebs und der Situation der Mitarbeiter/innen überzeugen und bei Mängeln für deren rasche Behebung sorgen. Dabei ist auch laufend zu bewerten: • • • ob der Aufwand jeweils noch im Einklang zum Sicherheitsnutzen steht. zeitliche und finanzielle Ressourcen erforderlich und bereitzustellen.aus den Bereichen zusammensetzen: • • • • • • • • • Informationssicherheit Fachabteilungen Haustechnik Revision IT. ob die verwendeten Sicherheitsmaßnahmen die zugehörigen Geschäftsprozesse noch unterstützen.je nach Größe und Art der Organisation .Das IS-Management-Team kann sich etwa . welche Alternativen eingesetzt werden könnten. Überlastete IT-Mitarbeiter/innen. um die Wirksamkeit und Eignung der Sicherheitsmaßnahmen systematisch überprüfen zu können. in vielen Fällen aus Ressourcenmangel aber nicht gegeben.

Dies ist ein langfristiger und kontinuierlicher Prozeß mit vielschichtigen Effekten: • • • • • • • Überzeugung aller Mitarbeiter/innen. Schulung und positive Bewußtseinsbildung vermittelt Kompetenz und ermöglicht den Mitarbeitern/Mitarbeiterinnen. [Q: BSI Standard 100-2] 3. Dies wird in der Regel von einem/ einer entsprechend ausgebildeten Mitarbeiter/in in Zusammenwirken mit der Managementebene durchgeführt. Die mitgebrachten Kenntnisse und Erfahrungen decken jedoch nur einen Teil des Benötigten für die nunmehrige Tätigkeit ab und werden mit der Zeit weniger aktuell.2 Schulung und Awareness ISO Bezug: 27001 5. um das ISMS selbst auf Konsistenz und Wirksamkeit zu überprüfen (Interne / externe Audits. Das beginnt selbstverständlich schon bei der Auswahl von Bewerbern bei der Einstellung und setzt dafür genaue und aktuelle Job-Beschreibungen voraus. dass und warum bestimmte Sicherheitsmaßnahmen notwendig und sinnvoll sind Wissen bei den Mitarbeitern/innen über Erwartungen hinsichtlich Informationssicherheit Wissen bei den Mitarbeitern/innen.2. aber auch sicherheitsrelevanten Ziele wohl nur mit hinreichend ausgebildeten und informierten Mitarbeitern/Mitarbeiterinnen erreichen. unterlassen sollen Ausreichende Kenntnisse und Fertigkeiten zur Durchführung ihrer Aufgaben Kenntnis der betrieblichen Abläufe Kenntnis der Ansprechpartner für Sicherheitsfragen oder -probleme Die Organisation wird ihre geschäftlichen.Schließlich sind noch Ressourcen bereitzustellen.2 Wirksame Informationssicherheitsmaßnahmen benötigen neben ihrer sachlichen Implementierung eine Sicherheitskultur der Organisation. die Folgen und Auswirkungen ihrer Tätigkeit im beruflichen und privaten Umfeld einzuschätzen. was sie in kritischen Situationen tun bzw. 74 .2. dass Informationssicherheit ein Erfolgsfaktor ist Überzeugung aller Mitarbeiter/innen. ausgeprägtes Sicherheitsbewußtsein bei den Mitarbeitern und Mitarbeiterinnen und deren ausreichende und weiterentwickelte Qualifikation. ManagementReviews) und ggf. Laufende Information. Verbesserungen einzuleiten.

oder Administratorrechten Manipulation an Informationen oder Software Social Engineering Ausspähen von Informationen Es muss daher im vitalen Interesse der Managementebene liegen. Schulungs. unerlaubte Ausübung von Rechten.und Awarenessprogramm: Optimalerweise wird für umfassende und angemessene Kompetenz ein Schulungs. sondern ein Mittel zur Erreichung der geschäftlichen und sicherheitspolitischen Ziele und unterliegen wie jede andere Maßnahme einer Kosten-/Nutzen Relation. Schulung und Awareness für Informationssicherheit bei den Mitarbeitern/Mitarbeiterinnen bewusst zu sein und Schulungs. Fehlerhafte Nutzung oder Administration von IT-Systemen) Nichtbeachtung von Sicherheitsmaßnahmen Sorglosigkeit im Umgang mit Informationen Mangelhafte Akzeptanz von Informationssicherheit Weiters kann aus unzureichender Information (etwa wenn dies als böse Absicht des Managements interpretiert wird) im Zusammenwirken mit stetiger Überlastung Frustration entstehen.und Awarenessmaßnahmen nachhaltig zu unterstützen.ausgeglichen. was mitunter zu vorsätzlichen Handlungen führen kann: • • • • • Unberechtigte IT-Nutzung Missbrauch von Benutzer.Gefährdungen: Unzureichende Informationen und Kenntnisse können im Bereich der Informationssicherheit eine Reihe von Gefährdungen heraufbeschwören: • • • • Vertraulichkeits.und Awarenessprogramm aufgebaut und in Schritten durchlaufen. Selbstverständlich gilt auch hier der Grundsatz der Angemessenheit: Schulungen sind kein Selbstzweck.oder Integritätsverlust von Daten durch Fehlverhalten (unzureichende Kenntnis der Regelungen. sich der Bedeutung von ausreichender Information. Damit werden Unterschiede im Wissenstand einzelner Mitarbeiter/innen abgesehen von ausgesprochenen Spezialisierungen . 75 .

Javascript. Projektor. Spezialisierung (etwa: neue Mitarbeiter/innen. Findet die Schulung in den eigenen Räumen statt. Spezialkenntnisse.und Awarenessprogramme. in der sie für ihre eigentlichen Aufgaben nicht zur Verfügung stehen. neue Abläufe/ Systeme). ob standardisierte Seminare ("von der Stange") ausreichen (dazu sind auch deren Termine zu berücksichtigen). • • • • • • Lernziele definieren: Vor allem Sicherheitsziele der eigenen Organisation müssen vermittelt werden. Lernmethoden und -medien auswählen: eine wesentliche Entscheidung ist. Benutzer.und Awarenessmaßnahmen definieren. Lernbedarf identifizieren: auf Basis bisheriger Kenntnisse.vor allem bei E-Learning . deren Messung. so dass dann aus Zeitmangel die Schulung gar nicht vollständig durchgeführt wird. Schulungs. Externe). E-Learning eingesetzt werden kann. Umfeld und Hintergründen. Im IT-Bereich können Sicherheitsschulungen durchaus in IT-Schulungen integriert werden. sollten auf ihren Erfolg und ihre künftige Brauchbarkeit .auch für weitere Programme .und Awarenessprogramm definieren inkl. erhebliche Kosten verursachen können und den Mitarbeitern/Mitarbeiterinnen erhebliche Zeit abverlangen. soweit möglich. Weiters . ob und inwieweit individuelle Schulungen notwendig sind oder ob z. dann muss für die notwendige Infrastruktur (Konferenzraum. die bereits einmal durchgeführt wurden. Administratoren.untersucht werden. ob eigene Mitarbeiter/innen die Schulungen durchführen oder externe Trainer/innen. Seminare etc. darauf verzichtet oder nur dezidierte Internet-PCs dafür verwendet werden. sofern die Trainer hinreichend qualifiziert sind und der Sicherheit hinreichend Platz eingeräumt wird. aber auch Basiswissen zu Informationssicherheit und Fertigkeiten für Verhalten in kritischen Situationen. Basiswissen. Hier besteht jedoch die Gefahr einer Überfrachtung. Die generellen Anforderungen sind jedoch die gleichen wie bei größeren Einheiten. Lerninhalte festlegen: jedenfalls alle Regelungen und Verfahren für den jeweiligen Arbeitsplatz. Weiters ist zu klären. Planung und Konzeption: Am Beginn des Programms steht die sorgfältige Planung . Stromanschluss.B. Erfolgskriterien für das Schulungs.muss auf potenzielle Sicherheitsrisiken durch die Schulungsmedien geachtet werden (etwa aktive Inhalte wie Java. Zielgruppen für einzelne Schulungs. 76 . haben dafür meist mit geringerer Komplexität zu tun.diese zahlt sich wörtlich aus.) gesorgt werden. da diese unterschiedliche Bedürfnisse aber auch Zeitressourcen haben (etwa: Management. etc. inkl. ActiveX) und ggf. da Schulungen.Speziell kleine Organisationen werden sich jedoch mitunter auf das Aufspüren und Beheben individueller Kenntnislücken beschränken müssen.

welche Schulungs-/ Awarenessmaßnahmen absolviert wurden. Im Fall externer Trainer muss darauf geachtet werden. dass sie im Zuge der Schulung nicht Kenntnis über sensible Informationen erhalten. dass die Inhalte auch aufgenommen werden können. ggf. Methoden. können sein: • • • Fragebögen mit Bewertungen der Teilnehmer Fragebögen mit Fragen aus dem gelernten Stoff Diskussionsmeeting Management / Sicherheitsbeauftragte/r / Mitarbeiter/innen nach der Schulungs-/Awarenessmaßnahme Dokumentation von Schulungs-/Awarenessmaßnahmen: Am Schluss einer Aus. Wenn nicht anders möglich. um den Erfolg nachzuprüfen. Die Organisation sollte für jede/n Mitarbeiter/in im Personalakt festhalten. Nach der Schulungs-/Awarenessmaßnahme sollte ihr Erfolg und ihre Effizienz überprüft werden: • • • • • Wurden alle betroffenen Mitarbeiter/innen erreicht? Wurden die Inhalte verstanden? Waren die Mitarbeiter/innen mit der Schulungs-/Awarenessmaßnahmen zufrieden? Gibt es (sachlich begründeten) Bedarf für weitere Schulungen? Hat sich die Einstellung der Mitarbeiter/innen gegenüber Sicherheitsmaßnahmen positiv geändert? Dies ist allerdings nicht einfach zu ermitteln. da es zu keinen mißbräuchlichen Überwachungsaktionen kommen darf. Die zu schulenden Mitarbeiter/innen müssen für die Zeit der Schulung möglichst von ihren angestammten Aufgaben freigestellt werden.Durchführung und Kontrolle: Damit möglichst alle vorgesehenen Mitarbeiter/innen effizient geschult werden. ist eine sorgfältige Terminplanung erforderlich. muss ggf. Die Lerneinheiten sollten jeweils zeitlich so gestaltet werden. auch Zeit für die Erledigung der wichtigsten Aufgaben verbleiben.oder Weiterbildungsmaßnahme sollte jedem Teilnehmer/ jeder Teilnehmerin eine Teilnahmebestätigung übergeben werden. kann auch ein positives Absolvieren dargestellt werden. 77 .

Messen und Konferenzen E-Learning-Programme Planspiele zur Informationssicherheit Diskussionsmeetings (Round-Tables) Flankierende Schulungs. einwandfrei funktionieren und wirksam sind. Die Schulungsprogramme selbst müssen regelmäßig aktualisiert und an neue Gegebenheiten angepasst werden.13. IT-Systemen. 1-2 Quizfragen Rundschreiben. Daher sollte das Schulungsangebot sowohl für neue wie auch für erfahrene Mitarbeiter/innen in regelmäßigen Abständen Auffrischungs.3 Interne ISMS Audits Interne Audits dienen zur Überprüfung. korrekt umgesetzt sind und von allen Beteiligten eingehalten werden. Zeitschriften mit sicherheitsrelevanten Themen Mitarbeiterzeitung.und Awarenessmaßnahmen: Abgesehen von "klassischen" Schulungs-/Awarenessmaßnahmen bieten sich zur kontinuierlichen Weiterbildung an: • • • • • • • • • Informationsforum zur Informationssicherheit im Intranet Anmeldebildschirm mit Sicherheitsinformationen resp. um die Informationssicherheitsziele zu erreichen. Poster und Broschüren interne Informationsveranstaltungen externe Seminare. [Q: BSI B 1. . Vorgaben. E-Mails. Maßnahmen und Verfahren innerhalb der eigenen Organisation: • • • • 78 die gesetzlichen und normativen Vorschriften erfüllen.und Ergänzungskurse vorsehen.und Awarenessmaßnahmen: Vor dem Hintergrund ständig neuer Anwendungen.312] 3. Bedrohungen. ob Ziele. Schwachstellen und möglicher Abwehrmaßnahmen ist eine ständige Auffrischung und Erweiterung des Wissens über Informationssicherheit erforderlich. M 2. nach wie vor geeignet sind.Flankierende Schulungs.

Die Managementebene muss den Auditprozess initiieren und mittragen sowie dafür sorgen. Der Auditplan enthält eine konkrete Checkliste. Interne Audits können im Vergleich zu zeitlich begrenzteren externen Akkreditierungs. Damit können Schwachstellen besser erkannt und zielgerichtete Verbesserungen eingeleitet werden. Rechnungsabschlüsse. tiefer in die Themen eindringen und können jeweils nach und nach Teilbereiche der Organisation umfassen.und Informationsbedarf der Führungskräfte und Mitarbeiter/innen Verbesserungspotenzial bei Geschäftsprozessen und Sicherheitsmaßnahmen Möglichkeiten zur Optimierung der Organisation sowie in der Motivation der Mitarbeiter/innen.Interne Audits sind bei Akkreditierungen meist eine notwendige Vorleistung für extern durchgeführte Akkreditierungs.) oder reduzierter Ressourcen (Urlaubszeit) fallen. Zertifizierungsaudits wesentlich umfassender erfolgen. enthält: • • • • • Datum Zeit Thema Teilnehmer Erledigungsvermerk 79 . PC) zur Verfügung gestellt werden.1 Planung und Vorbereitung interner Audits ISO Bezug: 27001 6 Interne Audits sollten einmal pro Jahr durchgeführt werden und dabei nicht in Zeiten hoher Arbeitsbelastungen (Systemumstellungen. nach der der/die Auditor/in die Audit-Themen Punkt für Punkt durchgeht und die u. Betroffenen vorab bekannt gegeben wird.a. Das Audit sollte nach einem Auditplan verlaufen.oder Zertifizierungsaudits. welcher der Managementebene sowie allen Beteiligten bzw. etc.3. da sie ihre Gedanken im Rahmen des Audits einbringen können und sollen 3. dass den Auditoren/Auditorinnen und teilnehmenden Mitarbeitern/ Mitarbeiterinnen ausreichend Zeit und Sachressourcen (Konferenzraum.bzw. Weiterer Nutzen liegt im Erkennen von: • • • • Schulungs.

und Sicherheitsziele sowie der wesentlichen Abläufe und Prozesse Kenntnisse der wesentlichen Themen der Informationssicherheit Schulung um Audits durchführen zu können (Methodik. ebenso die Anforderungen an die Ergebnisdokumentation. ebenso müssen die Ergebnisse aus früheren Audits einfließen. Werden im Zuge des Audits vertrauliche Dokumentationen benötigt.B. Analyse. inkl. für welche sie nicht verantwortlich sind Fachliche Qualifikationen: ausreichende Schul. für das Audit relevante Normen (z.und Berufsausbildung um die Geschäftsprozesse und Sicherheitsmaßnahmen zu verstehen Kenntnis der relevanten Gesetze und Normen. Anforderung an Auditoren/Auditorinnen: Die Managementebene muss einen oder mehrere Auditoren/Auditorinnen benennen. Fragetechnik.Anforderungen an die Durchführung des Audits und die Verantwortlichkeiten sind festzulegen und zu dokumentieren. Berichtswesen) Persönliche Fähigkeiten: • • • • • 80 Klare und verständliche mündliche und schriftliche Ausdrucksweise Aktives Zuhören Ausdauer. Festigkeit auch in Stresssituationen Einfühlungsvermögen zugleich mit Beharrlichkeit Erkennen von größeren Zusammenhängen und Konsequenzen aus Einzelinformationen . Bei der Planung des Auditprogramms ist zu priorisieren. so ist für deren ausreichenden Schutz zu sorgen. welche Bedeutung die zu untersuchenden Bereiche haben und in welchem Status (Planung / Etablierung / Test / produktiver Betrieb) sie sich befinden. in denen sie nicht selbst tätig sind bzw. Belastbarkeit. ISO 19011) Kenntnis der Unternehmens. an die allerdings Anforderungen zu stellen sind: Objektivität und Unparteilichkeit: • • • • • • • Auditoren/Auditorinnen dürfen nur Bereiche auditieren. Bewertung.

mit aktuellen Themen zu beginnen. Mitglieder der Managementebene sollten nach Möglichkeit anwesend sein. Handbücher. aber auch an den Vorgaben liegen. so sollte nach weiteren Beispielen gefragt werden.). Dokumentationen. Meist beginnt ein Audit mit einem Gespräch der Auditoren/Auditorinnen und maßgeblichen Mitarbeitern/Mitarbeiterinnen. Sicherheitspolitik. Geschäftsziele.2 Durchführung interner Audits ISO Bezug: 27001 6 Auditoren/Auditorinnen und Beteiligte aus den zu auditierenden Organisationseinheiten haben sich vorbereitet (Auditplan. vor allem wann welche Mitarbeiter/innen zur Verfügung stehen sollen. Es liegt am Auditor / an der Auditorin. . Systembeschreibungen. die relevanten Gesetze einzuhalten und Normen zu erfüllen? Welche Vorgaben sind vorhanden? Sind sie den befassten Personen bekannt und werden sie verstanden? Sind die Vorgaben vollständig und klar formuliert? Gehen aus den Vorgaben die Verantwortlichkeiten und Zuständigkeiten hervor? Beschreiben die Vorgaben jeweils geschlossene Workflows (Eingabe / Verarbeitung / Ausgabe-Ergebnis)? Gibt es Vorgaben zur Protokollierung von Abweichungen / Vorfällen? 81 .wenn möglich .etwa indem zu Ideen und Beiträgen für Verbesserungsmaßnahmen ermuntert wird und diese notiert werden. Es ist zunächst zu hinterfragen: • • • • • • Sind die Vorgaben geeignet... Zunächst erklären die Auditoren/Auditorinnen die Zielsetzung des Audits. Diese sind relevant für Verbesserungsmaßnahmen: das Problem kann an der Einhaltung. Normen. Arbeitsanweisungen) durchgegangen und Fragen gestellt / beantwortet. Checkliste. Werden Abweichungen von einer Vorgabe erkannt. Sicherheitskonzept. Damit werden auch allfällige Ängste vor Notizen genommen. um allfällige systematische Abweichungen aufzudecken.). ein konstruktives und positives Klima zu schaffen . Detailüberprüfungen finden meist im Gespräch mit den jeweils befassten Mitabeitern/Mitarbeiterinnen .3. . Es ist oft sinnvoll. Inhaltliche Grundlage des internen Audits sind die Vorgaben (Gesetze. Dabei werden die Unterlagen (Vorgaben. der vorläufige Zeitplan wird besprochen.3. Sicherheitskonzept.an deren Arbeitsplatz statt... Programm. Systembeschreibungen.

82 . Die Erkenntnisse für die Auditoren/Auditorinnen ergeben sich aus den Antworten in Relation mit den schriftlichen Unterlagen. Meinungsäußerungen.). . . um die Einhaltung kontrollieren und überprüfen zu können? Gibt es Vorgaben. Diese dient aber nur als Leitfaden.. Auditoren/Auditorinnen müssen allerdings speziell darauf achten. ob eine bestimmte Maßnahme gut oder weniger gut umgesetzt ist.. bieten Feedback und können zu einer angeregteren Diskussion beitragen. Tagesprotokolle. erfolgte Behebung von Störungen. Schon bei der Frage-/Antwortdiskussion müssen die Auditoren/Auditorinnen auf Objektivität und Unparteilichkeit achten. wenn Vertiefung zum Verständnis notwendig wird oder sich ein Verdacht auf Abweichungen ergibt. dass ihre Fragen stets zum Zweck des Audits und keinesfalls zu ihrer eigenen Weiterbildung gestellt werden.)? Welche persönliche Meinung haben die befassten Mitarbeiter/innen von den Vorgaben? Halten sie die Vorgaben für sinnvoll? Welche Verbesserungsmaßnahmen schlagen die Mitarbeiter/innen vor? Die Fragenkomplexe werden mit Hilfe der Checkliste durchgegangen. situationsbezogen müssen ergänzende Fragen gestellt und beantwortet werden.)? Welche dokumentierten Hinweise über die Wirksamkeit der Vorgaben / Maßnahmen gibt es (verhinderte Eindringversuche. Sinnvoll ist es dabei. nach den Gründen für entdeckte nicht eingehaltene Vorgaben zu fragen (nicht verstanden / Überlastung / mangelnde Information. konnten solche anhand der Vorgaben behoben werden / mußte improvisiert werden? Gab es Änderungen bei den Vorgaben auf Grund von Sicherheitsvorfällen? Werden die jeweiligen Tätigkeiten in der Praxis dokumentiert und wie (Arbeitsaufzeichnungen.... . für die keine Vorgaben existieren? Wie exakt werden die Vorgaben bei der praktischen Tätigkeit eingehalten? Gab es Sicherheitsvorfälle.. die nicht angewendet werden? Gibt es umgekehrt durchgeführte Tätigkeiten.• Wurden allfällige Verbesserungsmaßnahmen aus dem letzten Audit umgesetzt und wie? Der nächste Fragenkomplex betrifft ihre Einhaltung: • • • • • • • • • • Welche Nachweise sind vorgesehen. sollten allerdings gezielt eingesetzt werden.

Empfehlungen) Allfällige Möglichkeiten zur Stellungnahme Termin für Schlussdokument und Schlusspräsentation 3. Dabei ist auf Objektivität zu achten.3 Ergebnis und Auswertung interner Audits ISO Bezug: 27001 6 Die Erkenntnisse aus den Befragungen werden den einzelnen Vorgaben und Beschreibungen zugeordnet und von den Auditoren/Auditorinnen analysiert. aber auch Erkenntnisse zur Erhöhung der Qualität bzw. 83 . Ungünstig formulierte Vorgaben mit hohem Schulungsaufwand. Bei Sicherheitsvorfällen musste improvisiert werden und die Vorgaben wurden nicht entsprechend modifiziert. sind falsch oder mangelhaft.Am Schluss der Durchführungsphase sollte wiederum ein Gespräch der Auditoren mit maßgeblichen Mitarbeitern/Mitarbeiterinnen und Managementvertretern stattfinden. welche Maßnahmen nach sich ziehen müssen: • • • • • • Wesentliche Vorgaben für Arbeitsabläufe fehlen. Wesentliche vorgegebene Dokumentationen oder Protokolle werden nicht verfasst/geführt. allgemeinen Verbesserung: • • • • Die Vorgaben sind zu wenig bekannt. Beispiele für Erkenntnisse. Nicht benötigte Vorgaben. etwa bei den subjektiv empfundenen Gründen für Abweichungen. Bedarf für Schulung und Awareness. Verantwortlichkeiten oder Zuständigkeiten für Prozesse fehlen oder sind falsch. Vorgaben werden regelmäßig oder gar nicht eingehalten. Dabei wird den Teilnehmern für ihre Mitwirkung gedankt und eine Vorschau auf das Ergebnis geboten: • • • • Vorläufige Erkenntnisse aus der Befragung und den Unterlagen Zeitpunkt und Art der Berichtslegung (Erkenntnisse.3. Protokolle werden nicht ausgewertet.

Schließlich erfolgt die gesamtheitliche Auswertung nach: • • • • Vorhandensein und Qualität der Vorgaben. Der Bericht sollte kompakt. Empfehlungen zur Verbesserung von Prozessen und Maßnahmen. ZIile der Organisation. das diese in der Organisation bekannt sind. unverständliche Formulierung. Lücken im System. Grad ihrer Einhaltung. sowie zu: • • Empfehlungen zur Verbesserung der Vorgaben und ihrer Einhaltung. Single Points of Failure: Konzentration von Zuständigkeiten. aber auch Abweichungen an bestimmten Stellen in der Organisation.B. die vereinfacht oder gar eingespart werden könnten. klar und verständlich formuliert sein und seine Gliederung für alle internen Audits möglichst gleich sein. Er sollte nicht redundanterweise das System. Abweichungen und Trends zu finden. die sich durch mehrere Bereiche der Organisation ziehen: • • • • Gemeinsamkeiten bei mangelhaften Vorgaben (z. Bereitstellung besserer Arbeitsmittel. Interner Audit Bericht Der Bericht dient vor allem zur Dokumentation erkannter Schwachpunkte und als Checkliste für Verbesserungsmaßnahmen. Die nächste Stufe sind Schlussfolgerungen für das Gesamtsystem. Tatsächliche (historische) oder künftige (potenzielle) Auswirkungen auf das Erreichen der Sicherheitsziele resp. sondern kann davon ausgehen. die Vorgaben oder Maßnahmen beschreiben. Wirkungsgrad der Maßnahmen. beispielsweise wie folgt: 84 . Schwachstellen bzw. indem etwa versucht wird. komplizierte Beschaffung). Systematische Nichteinhaltungen.• • Prozesse und Abläufe.

Eine probate Vorgehensweise besteht in der Vorab-Aussendung des Berichts oder der für die Betroffenen relevanten Teile als "Vorversion zur Stellungnahme". allgemeine Verbesserungsvorschläge (wie Schulungsbedarf) Identifizierte Zuständigkeiten für die Umsetzung sowie als Gesamtergebnis am Schluss: • • • • • Eindruck der Auditoren/Auditorinnen über den Ablauf des Audits Zusammenfassung der wesentlichsten Erkenntnisse über alle Bereiche Schlussfolgerungen für das Sicherheitsniveau bzw. auditierte Organisationseinheit(en). Stellen Gelegenheit erhalten. Schlussbesprechung Vor der offiziellen Übergabe des Auditberichts an die Managementebene sollen die betroffenen Personen bzw. Berichtsdatum. erfüllt / nicht erfüllt / nicht anwendbar im Einzelfall) Begründungen. außerplanmäßiges Nach-Audit bei schwerwiegenden Abweichungen) Stellungnahmen. Immerhin kann es im Zuge des Audits zu Missverständnissen oder beim Verfassen des Berichts zu Darstellungen gekommen sein. Aussagen über die Wirksamkeit von Maßnahmen (wenn möglich) Empfehlungen für Maßnahmen (bei mangelhafter Erfüllung) mit Terminhorizonten bzw. Inhalt Feststellungen (etwa: erfüllt / teilw. um falsche Darstellungen im Bericht zu korrigieren. Auditzeitraum. Es sollte eine angemessene. verwendete Unterlagen. Auditor/Auditorin. die Ziele der Organisation Zusammenfassung und Priorisierung der wichtigsten Verbesserungsvorschläge (betreffend Vorgaben wie Umsetzungen und Einhaltung) Zeithorizont für das nächste Audit (ggf. zu den Erkenntnissen Stellung zu nehmen.• • • • • • • Formalia (Anlass. welche das Bild verzerren würden. nicht aber um etwa richtigerweise 85 . Es muss allen Beteiligten klar sein. dass Stellungnahmen nur berücksichtigt werden. aber nicht zu lange Frist für die Stellungnahmen gesetzt werden und diese sollten nach Möglichkeit schriftlich erfolgen. allfällige Bereiche die nicht geprüft wurden Management Summary der wesentlichsten Erkenntnisse aus Gesamtsicht Jeweils pro auditierter Vorgabe: Bezeichnung.

Bei der Schlussbesprechung kann seitens des Managements bereits ein Ausblick über die Umsetzung von Verbesserungsvorschlägen samt Zeithorizont gemacht werden. Nichteinhaltung von Vorgaben. Dies hat ohne unbegründete Verzögerung zu erfolgen.4 Management-Review des ISMS Die Managementebene hat dafür zu sorgen. An der Schlussbesprechung sollten maßgebliche Mitarbeiter/innen der auditierten Organisationseinheiten sowie Mitglieder der Managementebene teilnehmen.etwa betreffend Gründe für im Audit gemachte Feststellungen. dass Maßnahmen zur Behebung von erkannten Schwachstellen. 3. Begründete Stellungnahmen werden in die offizielle Version des Berichts eingearbeitet und diese dem Management übergeben.ist die inhaltliche Grundlage für ein nun folgendes Management-Review. Diese Dokumentation .insbesondere der Auditbericht . wenn es sich um relevante Schwachstellen handelt. Dabei muss vor allem seitens des Managements darauf geachtet werden. Die Auditoren/Auditorinnen präsentieren dabei das Gesamtergebnis laut Auditbericht (Ablauf des Audits. wesentliche Erkenntnisse. Bei größeren Meinungsverschiedenheiten kann auch ein Gespräch mit den Betroffenen sinnvoll sein. Abweichungen. erfüllte Vorgaben positiv herausstreichen aber auch seine Entschlossenheit zur Umsetzung wichtiger Verbesserungsmaßnahmen zum Ausdruck bringen. Jedenfalls sollte ein Ergebnisprotokoll geführt und der Auditdokumentation beigelegt werden.erkannte Schwachstellen oder Abweichungen wegzudiskutieren. ergriffen werden oder aber die Ursachen beseitigt werden. Die betroffenen Organisationseinheiten haben die Gelegenheit für Stellungnahmen . Die Managementebene soll zum Ergebnis Stellung nehmen. dass das Ziel des Audits und der Schlussbesprechung die Optimierung von Vorgaben sowie Abläufen und des Sicherheitsniveaus ist und es sich keinesfalls um ein Tribunal handelt. 86 . etc. Schlussfolgerungen. nächstes Audit) und sprechen allfälligen Handlungsbedarf der Managementebene an. daher entsprechend zu schützen. Verbesserungsvorschläge. Prüfergebnisse und -berichte sind in der Regel besonders vertraulich. bei dem Mitarbeiter/innen für Nichteinhaltungen angeklagt werden.

Eine solche Überprüfung wird als Management-Review bezeichnet. Wirksamkeit und Effizienz zu prüfen. -maßnahmen. andererseits die Umsetzung der Sicherheitsmaßnahmen auf ihre Angemessenheit. Wie umfassend und damit aufwändig die Grundlagen sind. -konzept. Wesentlich ist. hängt nicht zuletzt von der Größe und Komplexität der eigenen Organisation ab. Werden regelmäßig interne oder externe Audits durchgeführt. wenn die Managementebene einen Überblick hat. ob es aktuell und nachhaltig zur Erreichung der Sicherheitsund Geschäftsziele geeignet und wirksam ist.überprüfen.1 Sie sollen geeignet sein. Sicherheitspolitik. Awareness der Mitarbeiter/innen. vorgaben und Abläufen hinsichtlich Praxistauglichkeit und Einsparungspotenzial Optimierung von Kompetenz. so sind deren Ergebnisse eine gute Grundlage für Management-Reviews.1 Management-Review Methoden ISO Bezug: 27001 7.4. Grundsätzliche Aussagen zu einer solchen Überprüfung und ihren Grundlagen sollten sich daher bereits in der Informationssicherheitsstrategie bzw. Zielsetzungen sind dabei: • • • • • Erkennen. In kleinen Organisationen können ansonsten jährliche Funktionsprüfungen der IT-Systeme. Aufwertung der Unternehmenskultur 3.zumindest einmal jährlich . dass die Managementebene ein Bild über den aktuellen Stand des Sicherheitsniveaus und allfälligen Handlungsbedarf bekommt: 87 .Eine erfolgreiche Steuerung mit den dafür notwendigen Entscheidungen ist allerdings nur möglich. inwieweit die Sicherheitsziele mit Hilfe der eingesetzten Sicherheitsstrategie und den dafür umgesetzten Maßnahmen tatsächlich erreicht werden konnten. Weiters kann die regelmäßige Durchführung von Management-Reviews eine notwendige Voraussetzung für Akkreditierungen darstellen. Abschätzen und Eliminieren von Fehlern und Schwachstellen Optimieren des Informationssicherheitsprozesses hinsichtlich Effizienz Verbesserung von Strategie. einerseits den Sicherheitsprozess. Durchsicht der Dokumentation hinsichtlich Aktualität und Workshops (mit Ergebnisprotokollen) zur Diskussion von Problemen und Erfahrungen schon ausreichend sein. Somit muss die Managementebene das ISMS regelmäßig . Sicherheitspolitik finden.

Technologien. an dem Vertreter der Managementebene.4. Sicherheitsbeauftragte sowie maßgebliche Führungskräfte oder Spezialisten aus den betroffenen Bereichen (etwa der IT) teilnehmen. Konzepte. Trends.2 Dies ist zur kontinuierlichen Anpassung an sich laufend ändernde innere wie äußere Rahmenbedingungen notwendig.2 Durchführung interner Audits Relevant für das Management-Review sind allerdings nicht nur aktuell erkannte Erhebungen zu Schwachstellen. wenn man sich in trügerischer Weise darauf verläßt.• • • • Berichte von internen oder externen Audits (resp.3. Relevante Aspekte: • • Gerade der IT-Bereich erweist sich als ausgesprochen schnelllebig. Änderungen von relevanten Gesetzen. Angriffe) Für Fragestellungen im Detail zur Erhebung und zum Erkennen von Schwachstellen und Verbesserungsmöglichkeiten siehe 3. können zum heutigen Zeitpunkt sicherheitstechnisch völlig überholt sein und damit gefährliche Schwachstellen darstellen.mitunter strategischen Ursachen erforscht und Entscheidungen zur Abhilfe getroffen werden. Maßnahmen oder Technologien die noch vor einigen Jahren als sicher galten.1. Entwicklungen im Umfeld der eigenen Organisation (Gesetze. sondern es müssen die . Dokumentation. 88 . Für die Durchführung ist es oft zielführend einen Workshop zu veranstalten.1 Review der Strategie und des Sicherheitskonzepts ISO Bezug: 27001 7. Auswertung von Sicherheitsvorfällen Allfällige Übungen und Tests zur Simulation von Sicherheitsvorfällen und deren Ergebnisse Ereignisse. vergleichbaren Erhebungen betreffend Vorgaben und deren Erfüllung) Erkennen. Vorschriften oder Normen können erheblichen Einfluss auf die Geschäftsprozesse und damit auf das Sicherheitskonzept haben. [Q: BSI-Standard 100-2] 3.

Wirtschaftlichkeit der Sicherheitsstrategie und spezifischer Sicherheitsmaßnahmen . ob ausreichend personelle.• • • Änderungen innerhalb der eigenen Organisation (neue IT-Systeme. mangelnde Motivation. Bewusstseinsbildung. [Q: BSI-Standard 100-2] 3. unverständlich. unklar) oder im Bereich der für die Einhaltung Verantwortlichen liegt (Überlastung. Outsourcing) müssen schon in der Planungsphase in das Sicherheitskonzept eingearbeitet werden. Ein weiterer Hauptgrund für nicht umgesetzte resp.2 Review der Sicherheitsmaßnahmen ISO Bezug: 27001 7. Rückmeldungen über Fehler und Schwachstellen in den Prozessen (aus Audits. [Q: BSI-Standard 100-2] 89 .1. Der Grund für mangelhaft umgesetzte bzw. des Sicherheitskonzepts sein.4. so ist zu klären ob es an den Vorgaben (fehlend. nicht bekannt. Geschäftspartnern oder Kunden. Relevante Aspekte: • • • • Die Sinnhaftigkeit von Maßnahmen (Beitrag zum Erreichen von Sicherheitszielen) fällt in das Review der Sicherheitsstrategie Für ihre Umsetzung und Einhaltung ist entscheidend. Beschwerden von Kunden oder Mitarbeitern können ein Indikator für Unzufriedenheit sein. Schulung bzw. neue Organisationsstruktur.wenn auch Kosten für die Informationssicherheit schwer zu ermitteln sind . aber auch Feedbacks von Mitarbeitern/Mitarbeiterinnen. nicht eingehaltene Sicherheitsmaßnahmen liegt in fehlender Akzeptanz seitens der Mitarbeiter/ innen. Klima des Improvisierens). Sie kann nicht erzwungen werden.sollte regelmäßig untersucht werden: ob die tatsächlich angefallenen Kosten den ursprünglich geplanten Kosten entsprechen oder ob inzwischen ressourcenschonendere Sicherheitsmaßnahmen verfügbar sind und sinnvoll eingesetzt werden können. Wurden Vorgaben nicht eingehalten. die in der Folge eine Gefahr von fahrlässigen oder vorsätzlichen störenden Handlungen heraufbeschwören und jedenfalls die Effizienz mindern. Umzug. basiert aber oft im Mangel an Information.2 Dies ist zur Sicherstellung der Einhaltung von Maßnahmen bei sich laufend ändernde innere wie äußere Rahmenbedingungen notwendig. nicht eingehaltene Sicherheitsmaßnahmen können Planungsfehler oder gar unrealistische Annahmen oder Elemente der Sicherheitsstrategie bzw. zeitliche und finanzielle Ressourcen zur Verfügung gestellt wurden.

akzeptierten Risiken Wirksamkeit der erkannten resp. Wenn solche Veränderungen vorgenommen und Verbesserungen dann umgesetzt werden.und Awarenessmaßnahmen. wenn Sicherheitsziele unter den bisherigen Rahmenbedingungen nicht oder nur umständlich (also mit hohem finanziellen oder personellen Aufwand) erreicht werden können. z.3.4./ Verbesserungspotenzial kann betreffen: • • • • • • • Aktualität der erkannten resp. Verbesserungen des ISMS. die Sicherheitsstrategie oder das Sicherheitskonzept geändert und die Informationssicherheitsorganisation den Erfordernissen angepasst werden sollten. B. grundlegende Änderungen an der IT-Umgebung vorzunehmen oder Geschäftsprozesse zu verändern. die Sicherheitsziele abgeändert werden. Erfahrungen von Vorfällen. müssen. schließt sich der Managementkreislauf wieder und es wird erneut mit der Planungsphase begonnen. welche Ressourcen ihnen zugeordnet werden und unter welche Verantwortlichkeiten sie fallen. akzeptierten Risiken Änderungen von Prozessen.2 Management-Review Ergebnis und Auswertung ISO Bezug: 27001 7. Jedenfalls müssen die Ergebnisse des Management-Reviews so dokumentiert werden. Motivationsförderung Aktualisierung von Dokumentationen Verbesserung der Methoden zur Messung der Wirksamkeit von Maßnahmen Schließlich sind im Rahmen des Verbesserungsprozesses Entscheidungen zu treffen. ob / wann / welche Verbesserungsmaßnahmen umgesetzt werden. der Sicherheitsstrategie. dass die Sicherheitsziele. Es kann sich herausstellen. Ggf. Änderungs. auf Grund von Veränderungen der eigenen Organisation oder des Umfelds bzw. 90 . Unter Umständen ist es sinnvoll. dass sie für die Entscheidungen und die Umsetzung von Maßnahmen geeignet sind. der Sicherheitspolitik und einzelner Sicherheitsmaßnahmen. Abläufen auf Grund des Reviews Verfügbarkeit von Ressourcen Schulungs.3 Ergebnisse sind bewertete Möglichkeiten für Änderungen resp.

2 Verbesserungen basieren auf Erkenntnissen aus eigenen Betriebsabläufen.4. die vom Management und allen Mitarbeitern/Mitarbeiterinnen getragen und umgesetzt werden. Zertifizierung. sondern umfasst vor allem die Umsetzung der dort identifizierten Verbesserungsmaßnahmen. welche seine Grundlage bilden (Interne ISMS Audits sowie Management Review des ISMS). Sicherheitspolitik Sicherheitskonzept Sicherheitsmaßnahmen Abläufe und Verfahren Dokumentation Wissensstand und Awareness bei allen Beteiligten Ein etablierter und dokumentierter Verbesserungsprozess ist zum einen Voraussetzung für Akkreditierung resp. Der Verbesserungsprozess geschieht nicht losgelöst von den Aktivitäten. 91 .1 Grundlagen für Verbesserungen ISO Bezug: 27001 4.B. Vom Prinzip her ist der Verbesserungsprozess im Bereich der Informationssicherheit vergleichbar mit dem Verbesserungsprozess des Qualitätsmanagements (z. sondern soll alle Aktivitäten und die gesamte Organisation durchdringen. Es handelt sich dabei nicht um eine periodisch wiederkehrende Vorgangsweise.5. 8.1. müssen alle für die Informationssicherheit relevanten Bereiche einem kontinuierlichen Verbesserungsprozess unterzogen werden: • • • • • • Sicherheitsstrategie.[Q: BSI-Standard 100-2] 3. der Unterschied liegt in der Sicht auf die behandelten Aspekte und Abläufe (Risikominimierung).5 Verbesserungsprozess beim ISMS Um das angestrebte und erreichte Sicherheitsniveau dauerhaft zu gewährleisten. sondern vielmehr um die Summe kleinerer Schritte zur Verbesserung. zum anderen darf er nicht als administrativer Overhead gesehen werden. nach ISO 9001). 3.2. 8. Vorschlägen und externen Informationsquellen.

in der Praxis besser greifen oder weniger Ressourcen benötigen Implementierung: Verbesserung hinsichtlich korrekter Implementierung und Konfiguration Einhaltung: Organisatorische Maßnahmen.und Handlungsbedarf ISO Bezug: 27001 8. Beschwerden Vorschläge von Sicherheitsbeauftragten Vorschläge von Mitarbeitern/Mitarbeiterinnen Erfahrungen anderer vergleichbarer Organisationen Publizierte oder informelle Sicherheitswarnungen Informationen aus Fachpublikationen. [Q: BSI M 2. Gerade Verbesserungsvorschläge der unmittelbar befassten Mitarbeiter/innen bieten ein oft unterschätztes Verbesserungs. Einsparungspotenzial. Protokolle) des Management-Reviews Dokumentierte Abwicklungen von Reklamationen bzw.2. darüber hinaus wird die Motivation gestärkt wenn es zur Organisationskultur gehört. Awareness Auswertung: Verbesserungen bei Protokollierung und Protokollauswertung 92 .199] 3.• • • • • • • • Ergebnisse (Berichte.5. Fachtagungen. 8. dass Mitarbeitervorschläge ernsthaft behandelt werden. Umstellung auf alternative Maßnahmen die effizienter sind.3 Dieser ergibt sich für die Managementebene bei: • • • • • Sicherheitspolitik. Mitwirkung in Gremien Ein Fokus sollte sich auf die Ursachen für erkannte Abweichungen und Gefährdungen richten. Sicherheitskonzept: Aktualisierung. Protokolle) interner und externer Audits Ergebnisse (Berichte.bzw. Schulungen. Verbesserung bei Anforderungen. Verbesserung.2 Entscheidungs. Ebenso wertvoll erweisen sich gelebte Kontakte zu Sicherheitsbeauftragten anderer vergleichbarer Organisationen. Anpassung an neue Rahmenbedingungen Sicherheitsmaßnahmen: Eliminieren erkannter Schwachstellen.

Awarenessprogramme bis hin zu disziplinären Maßnahmen oder Auswechseln von leitenden Personen. Setzen von personellen Maßnahmen. Umsetzung der Korrekturmaßnahmen: • • • • • • • Alle erforderlichen Korrekturmaßnahmen in einem Umsetzungsplan inkl. Erkannte Fehler und Schwachstellen müssen ohne unnötigen Verzug eliminiert werden. Es müssen jeweils Entscheidungen der Managementebene erfolgen und dokumentiert werden . allfällige Abänderungen. Möglichst frühzeitige Prüfung der Wirksamkeit. Kommunikation der umzusetzenden Maßnahmen und Verbesserungen und Abstimmung mit allen Betroffenen. Kommunikationseinrichtungen oder Netzwerken). dass eine Korrekturmaßnahme verworfen wird. Für jede erkannte Abweichung sollte eine Korrekturmaßnahme vorgeschlagen und darüber entschieden werden . über Schulungs. Terminen festhalten. Dokumentation und Information des Managements über Fortschritt.inklusive Zeitpunkt und Zuständigkeiten für die Umsetzung. Dabei kommen je nach Ursache in Frage: • • • • Anpassung organisatorischer Maßnahmen und Abläufe.auch für den Fall.und Prüfkriterien: Optimierung der Prozesse. Fertigstellung. um die Wirksamkeit und Einhaltung von Sicherheitsmaßnahmen feststellen zu können Korrekturmaßnahmen: Sie sollen verhindern. In der Folge sind jeweils die Verantwortlichen für die Umsetzung zu benennen und mit den notwendigen Ressourcen auszustatten. Im Umsetzungsplan sollen Prioritäten abhängig vom jeweiligen Risiko gesetzt werden. dass in der Praxis festgestellte Abweichungen zum Sicherheitskonzept und den Anforderungen erneut auftreten.• Mess. Begleitende Kontrolle.bzw. 93 . Planung von baulichen oder infrastrukturellen Veränderungen. Vornahme von technischen Veränderungen (etwa an Hard.oder Software bzw.

Sicherheitswarnungen.2 dargestellten Entscheidungs. Daher sind sie in vielen Fällen wirtschaftlicher als Korrekturmaßnahmen.und Handlungsbedarf.. obwohl noch keine Schwachstellen wirksam geworden sind. es sind Umsetzungsplan.5. . Ziel ist es. sonst werden sie unwirtschaftlich. Die Art der Maßnahmen entspricht weitgehend dem unter 3. Managemententscheidungen. D. Ihre Umsetzung entspricht sinngemäß der für Korrekturmaßnahmen. Dazu sind insbesondere auch Ergebnisse von: • • • • Geänderter Gefährdungs. [Q: BSI M 2. Ursachen für mögliche Abweichungen von den Anforderungen des ISMS zu eliminieren.199] 94 . bereitzustellende Ressourcen sowie begleitende Kontrolle und Dokumentation notwendig.) Ergebnisse von Tests Durchführung von Disaster Recovery Übungen Übungen zur Datenrekonstruktion heranzuziehen.oder Risikolage (auf Grund neuer Risikoanalysen. sondern auch potenzielle Schwachstellen oder Abweichungen untersucht worden sein. bevor sie auftreten. womit sich der Zyklus schließt. Dabei ist wesentlich: • • • • • Die zu setzenden Maßnahmen müssen in Relation zu den möglichen Auswirkungen des erkannten Problempotenzials stehen. Allerdings müssen zuvor nicht nur tatsächlich festgestellte..5. Anforderungen an Vorbeugungsmaßnahmen müssen festgelegt werden.Vorbeugende Verbesserungsmaßnahmen: Diese werden auf Grund der Informationslage gemäß 3.1 Grundlagen für Verbesserungen festgelegt.h. erfolgte Umsetzung von Konzeptänderungen oder Maßnahmen zwecks Korrektur und/oder Vorbeugung ist wiederum Gegenstand des ständigen Verbesserungsprozesses. benannte Verantwortliche. Die laufende bzw.

4 Risikoanalyse Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 4 ff " Risikobewertung und behandlung ". Diese sollte für die gesamte Organisation gültig sein und festlegen. eine Strategie zur Risikoanalyse festzulegen. wie die Ziele der Risikoanalyse . Ziel ist es.Erkennen und Bewerten von Einzelrisiken und Gesamtrisiko erreicht werden sollen. Das nachfolgende Kapitel beschreibt die drei heute meist verbreiteten Strategien zur Risikoanalyse . diese Risiken zu erkennen und zu bewerten und so das Gesamtrisiko zu ermitteln. 4. Mögliche Risikoanalysestrategien sind: • Detaillierte Risikoanalyse: Für alle IT-Systeme wird eine detaillierte Risikoanalyse durchgeführt. Grundschutzansatz und kombinierter Ansatz .und Nachteile und ihre typischen Einsatzbereiche gegenüber. Diese Methode führt zu effektiven und angemessenen Sicherheitsmaßnahmen. dass das verbleibende Restrisiko quantifizierbar und akzeptierbar wird. benötigt jedoch viel Zeit und Aufwand. dass für kritische Systeme nicht schnell genug Schutzmaßnahmen ergriffen werden können.1 Risikoanalysestrategien ISO Bezug: 27002 4. so dass neben hohen Kosten auch die Gefahr besteht. in weiterer Folge dieses Risiko so weit zu reduzieren.und stellt ihre Vor. In einer Risikoanalyse wird versucht. Grundschutzansatz: • 95 .1 Es ist empfehlenswert.detaillierte Risikoanalyse. Eine wesentliche Voraussetzung für erfolgreiches Informationssicherheitsmanagement ist die Einschätzung der bestehenden Sicherheitsrisiken.

Im Folgenden werden die drei angeführten Risikoanalysestrategien näher erläutert. Dazu werden die Werte (Assets). der zumindest im Bereich von Wochen.und des Risikoanalyseansatzes.2 Detaillierte Risikoanalyse ISO Bezug: 27002 4. möglicherweise auch von Monaten liegt. Die erstmalige Durchführung einer detaillierten Risikoanalyse und die anschließende Erstellung eines Sicherheitskonzeptes erfordern einen Aufwand. Der Nachteil liegt darin. IT-Systeme der Schutzbedarfskategorie "hoch bis sehr hoch" sind einer detaillierten Risikoanalyse zu unterziehen. Sie wird in den meisten Einsatzumgebungen die empfehlenswerte Strategie zur Risikoanalyse darstellen. Als Sicherheitsmaßnahmen kommen sog. Eine detaillierte Risikoanalyse umfasst die folgenden Schritte: 96 . 4.• Unabhängig vom tatsächlichen Schutzbedarf wird für alle IT-Systeme von einer pauschalisierten Gefährdungslage ausgegangen. Durch den Verzicht auf eine detaillierte Risikoanalyse spart diese Vorgehensweise Ressourcen und führt schnell zu einem relativ hohen Niveau an Sicherheit. da alle IT-Systeme mit hohem Schutzbedarf wirksam und angemessen geschützt werden. Diese Option kombiniert die Vorteile des Grundschutz.1 Eine detaillierte Risikoanalyse für ein IT-System umfasst die Identifikation der bestehenden Risiken sowie eine Abschätzung ihrer Größe. dass der Grundschutzlevel für das betrachtete IT-System möglicherweise nicht angemessen sein könnte. Grundschutzmaßnahmen ( Baseline Security Controls ) zum Einsatz. Dies erlaubt eine schnelle und effektive Auswahl von grundlegenden Sicherheitsmaßnahmen bei gleichzeitiger Gewährleistung eines angemessenen Schutzniveaus. Für ITSysteme der Schutzbedarfskategorie "niedrig bis mittel" wird auf eine detaillierte Risikoanalyse verzichtet. und Maßnahmen für die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewählt werden können. auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden. Kombinierter Ansatz: In einem ersten Schritt wird in einer Schutzbedarfsfeststellung ( High Level Risk Analysis ) der Schutzbedarf für die einzelnen IT-Systeme ermittelt. Bedrohungen und Schwachstellen identifiziert und die daraus resultierenden Risiken ermittelt.

Leasingpersonal. . Die Wertanalyse umfasst im Einzelnen: • • • • die Festlegung der Bewertungsbasis für Sachwerte die Festlegung der Bewertungsbasis für immaterielle Werte die Ermittlung der Abhängigkeiten zwischen den Objekten die Bewertung der bedrohten Objekte und der möglichen Schäden (Impact Analyse) Schritt 4: Bedrohungsanalyse Die Objekte sind vielfachen Bedrohungen ausgesetzt. mögliche Schwachstellen des Systems zu identifizieren und ihre Bedeutung zu klassifizieren.. Gebäude und Infrastruktur) in die Analyse einbezogen werden sollen. Außenstehende. 97 . die innerhalb des im vorangegangenen Schritt festgesetzten Analysebereiches liegen..Schritt 1: Abgrenzung des Analysebereiches Hier sind die zu analysierenden IT-Systeme zu spezifizieren und anzugeben. Es ist daher erforderlich. Fehlbedienung.B. Die Bedrohungsanalyse umfasst: • • die Identifikation möglicher Bedrohungen (Katastrophen. Personal sowie Infrastruktur. Hard. bewusste Angriffe) und möglicher Angreifer/innen (Mitarbeiter/innen.und Software. Zu untersuchen sind dabei insbesondere die Bereiche Organisation. ob und in welchem Maße auch andere Objekte (z. Schritt 3: Wertanalyse (Impact Analyse) In diesem Schritt wird der Wert der bedrohten Objekte ermittelt. Schritt 2: Identifikation der bedrohten Objekte (Werte. assets) Ziel dieses Schrittes ist die Erfassung aller bedrohten Objekte. die sowohl aus Nachlässigkeit und Versehen als auch aus Absicht resultieren können.) die Ermittlung der Eintrittswahrscheinlichkeiten Schritt 5: Schwachstellenanalyse Eine Bedrohung kann nur durch die Ausnutzung einer vorhandenen Schwachstelle wirksam werden.

1 98 . dass Bedrohungen unbetrachtet bleiben. Geplante neue Sicherheitsmaßnahmen müssen mit den existierenden kompatibel sein und eine wirtschaftlich und technisch sinnvolle Ergänzung darstellen. Schritt 8: Auswertung und Aufbereitung der Ergebnisse Eine Auswertung und Aufbereitung des Ergebnisses schließt die Risikoanalyse ab. Der Aufwand für die Durchführung des Verfahrens sollte dem Wert der ITAnwendungen und den Werten der Institution im Allgemeinen angemessen sein. Es dürfen keine versteckten Annahmen gemacht werden.Schritt 6: Identifikation bestehender Sicherheitsmaßnahmen Zur Vermeidung unnötiger Aufwände und Kosten sind die bereits existierenden Sicherheitsmaßnahmen zu erfassen und auf ihre Auswirkungen hinsichtlich der Gesamtsystemsicherheit sowie auf korrekte Funktion zu prüfen. dass sie später auch für andere nachvollziehbar sind. Bei der Durchführung einer Risikoanalyse sind folgende Prinzipien zu beachten: • • • • • Das gesamte Verfahren muss transparent gemacht werden. dazu führen. 4. Die Wahl einer konkreten Risikoanalysemethode sowie ein etwaiger Einsatz von Tools zur Unterstützung dieser Analyse bleiben der durchführenden Institution überlassen.B. die z. dass alle der im Folgenden angeführten Schritte durchgeführt werden und die geforderten Ergebnisse liefern.2. Alle Bewertungen müssen begründet werden. um subjektive Einflüsse zu erkennen und so weit wie möglich zu vermeiden. Schritt 7: Risikobewertung In diesem Schritt werden die Einzelrisiken und das Gesamtrisiko ermittelt und bewertet. Das vorliegende Handbuch gibt Hinweise und Unterstützung zur Durchführung dieser Schritte. Wichtig ist. Alle Schritte müssen so dokumentiert werden. In der Folge werden die einzelnen Schritte einer Risikoanalyse detailliert behandelt. Ein derartiges Vorgehen erleichtert auch eine spätere Überarbeitung des Informationssicherheits-Konzeptes.1 Abgrenzung des Analysebereiches ISO Bezug: 27002 4.

was für diese schutzbedürftig ist. Die Vertraulichkeit. den zu analysierenden Bereich genau abzugrenzen. assets) ISO Bezug: 27002 4.) für den Betrieb eines IT-Systems oder die Abhängigkeit der Software von unversehrter und verfügbarer Hardware. Fähigkeiten und Leistungen einbezogen werden sollen. also alle Objekte. Hardware. Klimaanlage. die innerhalb des festgestellten Analysebereiches liegen. Dazu zählen etwa: • • • • • physische Objekte: beispielsweise Gebäude. Integrität oder Verfügbarkeit eines anderen Objektes voraus. zu erfassen. Vertrauen in die Institution oder gute Beziehungen zu anderen Organisationen Zwischen den bedrohten Objekten bestehen grundsätzlich komplexe Abhängigkeiten. Infrastruktur. Unter den bedrohten Objekten einer Organisation ist alles zu verstehen. 99 . Dabei ist anzugeben. Information Personen Fähigkeiten: etwa Herstellen eines Produktes oder Erbringen einer Dienstleistung immaterielle Güter: beispielsweise Image. immaterielle Güter. Daten.Vor Beginn einer Risikoanalyse ist es erforderlich. ob sich die Analyse auf Hardware. von denen der Betrieb des ITSystems und seine Anwendungen und damit die Funktionsfähigkeit der Organisation abhängen. Personen. Beispiele dafür sind etwa die Erfordernis einer funktionsfähigen Infrastruktur (Stromversorgung.. . Software und Daten des betrachteten IT-Systems beschränkt oder ob und in welchem Ausmaß andere Werte wie Gebäude und Infrastruktur.2 Identifikation der bedrohten Objekte (Werte. Datenträger.. Integrität oder Verfügbarkeit eines Objektes setzt vielfach die Vertraulichkeit. 4. Paperware logische Objekte: beispielsweise Software.2.1 In diesem Schritt sind alle bedrohten Objekte ( assets ).

3.1 Zunächst ist zu entscheiden. 4.1 Festlegung der Bewertungsbasis für Sachwerte ISO Bezug: 27002 4. in welcher Tiefe und in welchem Detaillierungsgrad die einzelnen Objekte analysiert werden sollen. oder dem Schaden.2. ob die Bewertung quantitativ oder qualitativ erfolgen soll. Eine quantitative Bewertung kann etwa beruhen auf • • • • dem Zeitwert eines Objektes. der sich aus dem Verlust oder der Modifikation eines zu schützenden Objektes für die betroffene Organisation ergibt. Dabei ist es den Erfordernissen im Einzelfall anzupassen. dem Wiederbeschaffungswert eines Objektes. den Analyseaufwand zu begrenzen. 100 . den das Objekt für eine/n potentielle/n Angreifer/in hätte.Die Identifizierung der bedrohten Objekte sowie ihre nachfolgende Bewertung stellen wesentliche Voraussetzungen für ein erfolgreiches Informationssicherheitsmanagement dar. in vielen Fällen wird eine Zusammenfassung in Gruppen sinnvoll sein und beitragen.2. dem Wert. Die Wertanalyse umfasst im Einzelnen: • • • • die Festlegung der Bewertungsbasis für Sachwerte die Festlegung der Bewertungsbasis für immaterielle Werte die Ermittlung der Abhängigkeiten zwischen den Objekten die Bewertung der bedrohten Objekte und der möglichen Schäden 4.1 In diesem Schritt wird der Wert der im vorangegangenen Schritt identifizierten Objekte ermittelt.3 Wertanalyse (Impact Analyse) ISO Bezug: 27002 4.

die zu ihrer Verarbeitung bzw. Es ist zu beachten.1 Es ist wichtig.mittel .und Software. wie sie definiert sind.gering . Eine quantitative Bewertung kann in diesem Fall beruhen auf • • dem Wert.3. kann eine quantitative oder eine qualitative Bewertungsbasis festgelegt werden.2.2.hoch 5-stufige Bewertung: unbedeutend . wie etwa Bewahrung des guten Rufes oder Gewährleistung der Vertraulichkeit.mittel . den das Objekt für einen potentiellen Angreifer hätte (z. Die Integrität von Information bedingt die Integrität und Verfügbarkeit der Hard.oder Wiederbeschaffungs-)Wert beträchtlich übersteigen können. vertrauliche Information). auch die gegenseitige Abhängigkeit von Objekten festzustellen.1 Auch für immaterielle Werte. 101 .3.2 Festlegung der Bewertungsbasis für immaterielle Werte ISO Bezug: 27002 4. dass die potentiellen Schäden den eigentlichen (Zeit. So ist etwa die Funktionsfähigkeit der Hardware abhängig von der Funktionsfähigkeit der Stromversorgung und eventuell der Klimaanlage. 4.Eine qualitative Bewertung erfolgt durch Einteilung in Klassen. was die einzelnen Klassen bedeuten bzw. Beispiele hierfür sind etwa: • • 3-stufige Bewertung: gering .3 Ermittlung der Abhängigkeiten zwischen den Objekten ISO Bezug: 27002 4. da diese Einfluss auf die Bewertung der einzelnen zu schützenden Objekte haben kann. oder dem Schaden. 4.hoch . Speicherung eingesetzt wird.sehr hoch Als Basis für eine qualitative Bewertung ist festzulegen.B. der sich aus einem Angriff auf das zu schützende Objekt für die betroffene Organisation ergibt.

die die Risikoanalyse durchführt. . Im Rahmen der Risikoanalyse müssen diese identifiziert werden.4. kommen. erstellt eine Liste der zu bewertenden Objekte und gibt die Bewertungsbasen vor. das zu einem Schaden für das System oder die Organisation führen kann". Die Bewertung sollte durch die Applikations-/Projektverantwortlichen sowie die betroffenen Benutzer/innen vorgenommen werden. Durchführung: • • • • Die Person. Die zu schützenden Objekte sind vielfältigen Bedrohungen ausgesetzt. 4. IT.2. etwa Finanzen. Einkauf.1 Mit Ausnahme der Festsetzung von Zeit. Bedrohungen sind charakterisiert durch: 102 . die die Risikoanalyse durchführt.1 Lt..2. weiters ist ihre Schwere und Eintrittswahrscheinlichkeit abzuschätzen.4 Bedrohungsanalyse ISO Bezug: 27002 4.4 Bewertung der bedrohten Objekte ISO Bezug: 27002 4.oder Wiederbeschaffungswert wird die Bewertung von bedrohten Objekten in der Regel sehr subjektiv sein.3. die einzelnen Bewertungen auf Plausibilität und Konsistenz zu prüfen und ein konsolidiertes Ergebnis zu erarbeiten. Es ist Aufgabe derjenigen Person.. Ergebnis der Wertanalyse: Aufstellung der bedrohten Objekte und ihres Wertes für die Organisation. Unterstützung in der Bewertung kann von verschiedenen Abteilungen. im Rahmen der Analyse möglichst genaue Bewertungsbasen und Regeln vorzugeben und diese eventuell durch Beispiele zu illustrieren sowie möglichst viele unterschiedliche Personen nach ihrer Einschätzung zu befragen. [ISO/IEC 13335] ist eine Bedrohung ein "möglicher Anlass für ein unerwünschtes Ereignis. Es ist daher notwendig.

Für einige umweltbedingte Bedrohungen (etwa Erdbeben. Softwarefehler. die für die Einschätzung hilfreich sein können. mangelhafte Kennzeichnung von Datenträgern) Menschliche Fehlhandlungen (etwa fehlerhafte Systemnutzung oder -administration. Erdbeben.1 Bedrohungen werden nach Kategorien unterteilt: • • • • • Höhere Gewalt (etwa Blitzschlag.1 Identifikation möglicher Bedrohungen ISO Bezug: 27002 4.2. Rache. Dokumentation.4.. Die Bedrohungsanalyse umfasst im Einzelnen: • • die Identifikation möglicher Bedrohungen die Ermittlung der Eintrittswahrscheinlichkeiten 4. wobei letztere wieder in absichtliche oder zufällige Bedrohungen zu unterteilen sind. aber auch Geltungssucht oder erhoffte Publicity sein.und Sicherheitseinrichtungen. fehlende Auswertung von Protokolldaten. Nichtbeachtung von Sicherheitsmaßnahmen) Technisches Versagen (etwa Ausfall von Versorgungs. Wettbewerbsvorteile. Personalausfall) Organisatorische Mängel (etwa fehlende oder unzureichende Regelungen für Wartung. Im Falle absichtlicher Bedrohungen ist zwischen Innentätern und Außentätern zu unterscheiden. der durch diese Bedrohung verursacht werden kann. die Häufigkeit des Auftretens. die Größe des Schadens..) liegen statistische Daten vor.• • • • ihren Ursprung: Bedrohungen durch die Umwelt oder durch den Menschen. Blitzschlag. Feuer. die Motivation: Motivation für (absichtliche) Bedrohungen können etwa finanzielle Gründe. . Test und Freigabe. fahrlässige Zerstörung von Geräten oder Daten. defekte Datenträger) Vorsätzliche Handlungen 103 .

Es ist daher immer erforderlich. Bewährt haben sich hier etwa drei.4. Einschätzung der Attraktivität und Verwundbarkeit des IT-Systems bzw.. wie beispielsweise: 104 . die ihrerseits eine Kombination aus Bedrohungen und Schwachstellen darstellen. seiner Komponenten.. Statistiken. Es ist jedoch zu betonen. die den Charakter von Checklisten haben. und in [ISO/IEC 27005]. da andernfalls Sicherheitslücken bestehen bleiben können. . Viren. In den IT-Grundschutzkatalogen des BSI gibt es eine umfangreiche Sammlung von so genannten "Gefährdungen". Wiedereinspielen von Nachrichten. Diese ist abhängig von: • • • • der Häufigkeit der Bedrohung (Wahrscheinlichkeit des Auftretens anhand von Erfahrungen.). Bei der Identifikation von möglichen Bedrohungen können Bedrohungskataloge hilfreich sein. ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen.1 In diesem Schritt der Risikoanalyse ist zu bestimmen. Maskerade) Es ist wichtig. alle wesentlichen Bedrohungen zu erfassen. trojanische Pferde. der Motivation und den vorausgesetzten Fähigkeiten und Ressourcen einer/ eines potentiellen Angreiferin/Angreifers.(etwa Manipulation/Zerstörung von Geräten. und darüber hinaus auch Bedrohungen einem ständigen Wandel und einer ständigen Weiterentwicklung unterworfen sind. Solche Kataloge finden sich etwa in [BSI 7105].2. dass keine derartige Liste vollständig sein kann. Manipulation an Daten oder Software. Umweltfaktoren und organisationsspezifischen Einflüssen. mit welcher Wahrscheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird. 4. die durch die ungenaue Methode der Schätzung nicht zu rechtfertigen ist.bis fünfteilige Skalen. Abhören. über Bedrohungskataloge hinaus auch die Möglichkeit weiterer Bedrohungen in Betracht zu ziehen. Auch die Eintrittswahrscheinlichkeit kann quantitativ oder qualitativ bewertet werden.2 Bewertung möglicher Bedrohungen ISO Bezug: 27002 4. Da eine quantitative Bewertung in vielen Fällen eine Genauigkeit vortäuschen könnte. Nichtanerkennen einer Nachricht.

4: sehr häufig 3: häufig 2: mittel 1: selten 0: sehr selten Diese allgemeinen Bedeutungen der Skalenwerte sind für den spezifischen Anwendungsbereich zu konkretisieren. Beispiel: 4: einmal pro Minute 3: einmal pro Stunde 2: einmal pro Tag 1: einmal pro Monat 0: einmal im Jahr Ergebnis der Bedrohungsanalyse: Liste von Bedrohungen.1 Unter einer Schwachstelle ( vulnerability ) versteht man eine Sicherheitsschwäche eines oder mehrerer Objekte. die durch eine Bedrohung ausgenützt werden kann. Typische Beispiele für Schwachstellen sind etwa: • • • • • • • Mangelnder baulicher Schutz von Räumen mit IT-Einrichtungen Nachlässige Handhabung von Zutrittskontrollen Spannungs. mangelndes Sicherheitsbewusstsein 105 .5 Schwachstellenanalyse ISO Bezug: 27002 4. und ihrer Eintrittswahrscheinlichkeiten.und Implementierungsfehler schwache Passwortmechanismen unzureichende Ausbildung.oder Temperaturschwankungen bei Hardwarekomponenten kompromittierende Abstrahlung Spezifikations. der von ihnen bedrohten Objekte. 4.2.

Eine Schwachstelle selbst verursacht noch keinen Schaden, sie ist aber die Voraussetzung, die es einer Bedrohung ermöglicht, wirksam zu werden und damit ein IT-System zu beeinträchtigen. Auf Schwachstellen, für die eine korrespondierende Bedrohung existiert, sollte daher sofort reagiert werden. Eine Schwachstellenanalyse ist die Überprüfung von Sicherheitsschwächen, die durch festgestellte Bedrohungen ausgenutzt werden können. Diese Analyse muss sowohl das Umfeld als auch bereits vorhandene Schutzmaßnahmen mit einbeziehen. Es ist wichtig, jede Schwachstelle daraufhin zu bewerten, wie leicht es ist, sie auszunutzen. Beispielhafte Auflistungen von Schwachstellen, die auf typische Problembereiche hinweisen, finden sich etwa in [ISO/IEC 27005], Annex D sowie in [BSI 7105].

Ergebnis der Schwachstellenanalyse:
Liste von potentiellen Schwachstellen mit Angaben darüber, wie leicht diese für einen Angriff ausgenützt werden können.

4.2.6 Identifikation bestehender Sicherheitsmaßnahmen
ISO Bezug: 27002 4.1

Sicherheitsmaßnahmen sind Verfahrensweisen, Prozeduren und Mechanismen, die eine oder mehrere der nachfolgenden Funktionen erfüllen:

• • • • • •

Vermeidung von Risiken, Verkleinerung von Bedrohungen oder Schwachstellen, Entdeckung unerwünschter Ereignisse, Eingrenzung der Auswirkungen eines unerwünschten Ereignisses, Überwälzung von Risiken oder Wiederherstellung eines früheren Zustandes.

Wirksame IT-Sicherheit verlangt im Allgemeinen eine Kombination von verschiedenen Typen von Maßnahmen.

106

Da die Sicherheitsmaßnahmen, die aufgrund einer Risikoanalyse ausgewählt werden, in der Regel zusätzlich zu bereits bestehenden Maßnahmen eingeführt werden sollen, ist es notwendig, alle bereits existierenden oder geplanten Sicherheitsmaßnahmen zu identifizieren und ihre Auswirkungen zu überprüfen, um unnötigen Aufwand zu vermeiden. Stellt sich heraus, dass eine bereits existierende oder geplante Maßnahme ihren Anforderungen nicht gerecht wird, so ist zu prüfen, ob sie ersatzlos entfernt, durch andere Maßnahmen ersetzt oder aus Kostengründen belassen werden soll. Im Rahmen dieses Schrittes sollte auch geprüft werden, ob die bereits existierenden Sicherheitsmaßnahmen korrekt zum Einsatz kommen. Falsch oder unvollständig eingesetzte Sicherheitsmaßnahmen stellen eine zusätzliche potentielle Schwachstelle eines Systems dar.

Ergebnis:
Aufstellung aller bereits existierenden oder geplanten Sicherheitsmaßnahmen mit Angaben über ihren Implementierungsstatus und ihren Einsatz.

4.2.7 Risikobewertung
ISO Bezug: 27002 4.1

Ein Risiko ist die Möglichkeit, dass eine Bedrohung unter Ausnutzung einer Schwachstelle Schaden an einem Objekt oder den Verlust eines Objektes und damit direkt oder indirekt einen Schaden verursacht. Ziel dieses Schrittes ist es, die Risiken, denen ein IT-System und seine Objekte ausgesetzt sind, zu erkennen und zu bewerten, um auf dieser Basis geeignete und angemessene Sicherheitsmaßnahmen auswählen zu können. Risiken sind eine Funktion folgender Parameter:

• • • •

Wert der bedrohten Objekte (Schadensausmaß), Möglichkeit, eine Schwachstelle durch eine Bedrohung auszunutzen, Eintrittswahrscheinlichkeit einer Bedrohung, bereits existierende oder geplante Sicherheitsmaßnahmen, die dieses Risiko reduzieren könnten. 107

Wie diese Größen miteinander verknüpft werden, um die Höhe der Einzelrisiken und des Gesamtrisikos zu bestimmen, ist abhängig von der gewählten Risikoanalysemethode. Wieder können quantitative oder qualitative Bewertungen vorgenommen oder aber beide Möglichkeiten kombiniert werden. [ISO/IEC 27005] gibt im Anhang vier Beispiele für Methoden zur Risikobewertung. Es ist zu beachten, dass jegliche Änderung an Werten, Bedrohungen, Schwachstellen oder Sicherheitsmaßnahmen bedeutenden Einfluss auf die Einzelrisiken und auf das Gesamtrisiko haben kann.

Ergebnis:
Quantitative oder qualitative Bewertung von Einzelrisiken und Gesamtrisiko für den betrachteten Analysebereich.

4.2.8 Auswertung und Aufbereitung der Ergebnisse
ISO Bezug: 27002 4.1

Der adäquaten Aufbereitung, Auswertung und Interpretation der Ergebnisse einer Risikoanalyse kommt wachsende Bedeutung zu. Da die Risikoanalyse auch als Grundlage für weitreichende weiterführende Entscheidungen dient, ist auf eine klare Darstellung der Situation sowie eine umfassende Ergebnisdarstellung zu achten. Hilfreich dabei sind graphische und tabellarische Darstellungen.

4.3 Grundschutzansatz
ISO Bezug: 27002 4.1, 4.2

Die im Rahmen dieses Handbuchs empfohlene Vorgehensweise zur Grundschutzanalyse folgt im Wesentlichen den Vorgaben zum IT-Grundschutz des BSI. In diesem Kapitel wird eine kurze Zusammenfassung des Verfahrens, angepasst an die Erfordernisse der öffentlichen Verwaltung in Österreich, gegeben. Details zum Verfahren finden sich im BSI-Standard 100-2 sowie den BSI-Katalogen zu Gefährdungen und Sicherheitsmaßnahmen. 108

4.3.1 Die Idee des IT-Grundschutzes
ISO Bezug: 27002 4.1, 4.2

Ziel des Grundschutzansatzes ist es, den Aufwand für die Erstellung eines Informationssicherheits-Konzeptes angemessen zu begrenzen. Dies wird dadurch erreicht, dass von einer pauschalisierten Gefährdungslage ausgegangen und damit auf eine detaillierte Risikoanalyse verzichtet wird. Die Auswahl der zu realisierenden Sicherheitsmaßnahmen erfolgt auf der Basis vorgegebener Kataloge. Die Vorteile dieser Vorgehensweise sind:

• •

Der Aufwand für die Risikoanalyse wird stark reduziert. Der Einsatz von Grundschutzmaßnahmen führt schnell zu einem relativ hohen Niveau an Sicherheit gegen die häufigsten Bedrohungen.

Zudem sind Grundschutzmaßnahmen meist stark verbreitet und damit relativ kostengünstig und schnell zu implementieren. Dem stehen folgende Nachteile gegenüber:

• •

Der Grundschutzlevel kann für das betrachtete System zu hoch oder zu niedrig sein. Ist er zu hoch, werden unnötige finanzielle und personelle Ressourcen verbraucht, ist er zu niedrig, bleiben unter Umständen untragbare Risiken bestehen. Aufgrund der fehlenden detaillierten Risikoanalyse kann unter Umständen eine angemessene Reaktion auf sicherheitsrelevante Hard- oder Softwareänderungen schwierig sein.

Die Wahl eines Grundschutzansatzes wird daher in folgenden Fällen empfohlen:

• •

Wenn feststeht, dass im betrachteten Bereich nur IT-Systeme mit niedrigem oder mittlerem ("normalem") Schutzbedarf zum Einsatz kommen. Falls in einem Bereich (IT-System, Abteilung, ...) noch keine oder offensichtlich zu schwache Sicherheitsmaßnahmen vorhanden sind, kann die Realisierung von Grundschutzmaßnahmen dazu beitragen, rasch ein relativ gutes Niveau an IT-Sicherheit zu erreichen. In diesem Fall sollte aber in einem nachfolgenden Schritt geprüft werden, ob das erreichte Niveau bereits ausreichend ist oder weitere Analysen und Maßnahmen erforderlich sind. 109

Als Teil eines umfassenden Risikoanalysekonzeptes ("kombinierter Ansatz"): Wird zunächst in einem ersten Schritt festgestellt, welche IT-Systeme besonders schutzbedürftig sind ("Schutzbedarfsfeststellung"), so besteht die Möglichkeit, den Arbeitsaufwand für die Risikoanalyse und die Auswahl spezifischer Sicherheitsmaßnahmen auf diese hochschutzbedürftigen Systeme zu konzentrieren. Für alle anderen Systeme können Grundschutzmaßnahmen eingesetzt werden, ohne damit unangemessene Sicherheitsrisiken einzugehen. Details dazu s. Kapitel Kombinierter Ansatz.

4.3.2 Grundschutzanalyse und Auswahl von Maßnahmen
ISO Bezug: 27002 4.1, 4.2

Im Folgenden wird ein reiner Grundschutzansatz beschrieben, d.h. es wird davon ausgegangen, dass entweder bereits eine Schutzbedarfsfeststellung erfolgt ist und damit die IT-Systeme identifiziert sind, für die der IT-Grundschutz zu konzipieren ist, oder dass bewusst (zunächst) ein reiner Grundschutzansatz gewählt wird. Ein kombinierter Ansatz und die Stellung des IT-Grundschutzes in einem solchen werden im nachfolgenden Kapitel beschrieben. Eine Grundschutzanalyse besteht im Wesentlichen aus den folgenden beiden Teilschritten: Schritt 1: Nachbildung eines IT-Systems oder eines IT-Verbundes (Kombination mehrerer IT-Systeme) durch vorhandene Bausteine ("Modellierung") Schritt 2: Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen

4.3.2.1 Modellierung
ISO Bezug: 27002 4.1, 4.2

Die Modellierung eines IT-Systems oder eines IT-Verbundes ist abhängig vom zugrunde liegenden Baustein- und Maßnahmenkatalog, da versucht werden muss, das System durch die vorhandenen Bausteine möglichst genau nachzubilden. Eine der umfassendsten und ausgereiftesten Sammlungen von Bausteinen und Maßnahmen stellen die Grundschutz-Standards und -Kataloge des BSI dar ( [BSI GSHB]). Anhand dieses Werkes soll nachfolgend die Modellierung eines ITVerbundes beschrieben werden. 110

Zentrale Aufgabe des Schrittes "Modellierung" ist es, den betrachteten IT-Verbund mit Hilfe der vorhandenen Bausteine des IT-Grundschutzes nachzubilden. Als Ergebnis wird ein Modell des IT-Verbundes erstellt, das aus verschiedenen, ggf. auch mehrfach verwendeten Bausteinen des Handbuchs besteht und eine Abbildung zwischen den Bausteinen und den sicherheitsrelevanten Aspekten des IT-Verbundes beinhaltet. Um die Abbildung eines im Allgemeinen komplexen IT-Verbunds auf die Bausteine des Handbuchs zu erleichtern, bietet es sich an, die Sicherheitsaspekte gruppiert nach bestimmten Themen zu betrachten.

Abbildung 1: Schichten des IT-Grundschutzmodells nach BSI Grundschutz Die Sicherheitsaspekte eines IT-Verbunds werden wie folgt den einzelnen Schichten zugeordnet:

• •

Schicht 1 umfasst sämtliche übergreifenden Sicherheitsaspekte, die für sämtliche oder große Teile des IT-Verbunds gleichermaßen gelten. Dies betrifft insbesondere übergreifende Konzepte und die daraus abgeleiteten Regelungen.Typische Bausteine der Schicht 1 sind unter anderem Informationssicherheitsmanagement, Organisation, Datensicherungskonzept und Computer-Virenschutzkonzept. Schicht 2 befasst sich mit den baulich-technischen Gegebenheiten, in der Aspekte der infrastrukturellen Sicherheit zusammengeführt werden. Dies betrifft insbesondere die Bausteine Gebäude, Räume, Schutzschränke und häuslicher Arbeitsplatz. Schicht 3 betrifft die einzelnen IT-Systeme des IT-Verbunds, die ggf. in Gruppen zusammengefasst wurden. Hier werden die Sicherheitsaspekte sowohl von Clients als auch von Servern, aber auch von Stand-alone-Systemen behandelt. In die Schicht 3 fallen damit beispielsweise die Bausteine Unix-System, Tragbarer PC, Windows NT Netz und TK-Anlage. 111

• •

Schicht 4 betrachtet die Kommunikations- und Vernetzungsaspekte der ITSysteme, wie etwa die Bausteine Netz- und Systemmanagement und Firewalls. Schicht 5 schließlich beschäftigt sich mit den eigentlichen IT-Anwendungen, die im IT-Verbund genutzt werden. In dieser Schicht können unter anderem die Bausteine E-Mail, WWW-Server, Faxserver und Datenbanken zur Modellierung verwendet werden.

Die in diesem Schritt zu leistende Aufgabe besteht darin, das reale IT-System durch die vorhandenen Bausteine möglichst genau nachzubilden. Abschließend sollte überprüft werden, ob die Modellierung des Gesamtsystems vollständig ist und keine Lücken aufweist. Es wird empfohlen, hierzu den Netzplan oder eine vergleichbare Übersicht über den IT-Verbund heranzuziehen und die einzelnen Komponenten systematisch durchzugehen. Jede Komponente sollte entweder einer Gruppe zugeordnet oder einzeln modelliert worden sein. Wichtig ist, dass nicht nur alle Hard- und Software-Komponenten in technischer Hinsicht nachgebildet sind, sondern dass auch die zugehörigen organisatorischen, personellen und infrastrukturellen Aspekte vollständig abgedeckt sind.

4.3.2.2 Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen
ISO Bezug: 27002 4.1, 4.2

Im zweiten Schritt der Grundschutzanalyse wird die Modellierung nach IT-Grundschutz als Prüfplan verwendet, um festzustellen, welche Standardsicherheitsmaßnahmen bereits umgesetzt wurden, bzw. welche nicht oder unzureichend umgesetzt wurden. Das SOLL besteht aus den in den einzelnen Bausteinen empfohlenen Maßnahmen. Der Vergleich mit den vorhandenen Maßnahmen ergibt als Resultat die Maßnahmen, die es noch für den IT-Grundschutz umzusetzen gilt. Der eigentliche Soll-Ist-Vergleich soll mittels Interviews und stichprobenartiger Kontrollen durchgeführt werden.

4.3.3 Vorgehen bei Abweichungen
ISO Bezug: 27002 4.1, 4.2

112

Für die Errichtung eines IT-Grundschutzes sollten zwar prinzipiell alle im Baustein vorgeschlagenen IT-Grundschutzmaßnahmen umgesetzt werden, es besteht jedoch die Möglichkeit, dass bei bestimmten Einsatzumgebungen empfohlene Grundschutzmaßnahmen nicht umgesetzt werden können oder sollten. Diese Abweichung von der Empfehlung ist dann zu dokumentieren und zu begründen. An dieser Stelle sollten auch eventuell vorhandene über den IT-Grundschutz hinausgehende IT-Sicherheitsmaßnahmen herausgearbeitet und dokumentiert werden.

4.3.4 Dokumentation der Ergebnisse
ISO Bezug: 27002 4.1, 4.2

Aus der beschriebenen Vorgehensweise soll als Ergebnis eine Liste von Maßnahmen, die es für die Erreichung des IT-Grundschutzes noch umzusetzen gilt. Zu jeder Maßnahme sollten

• • • •

der Umsetzungsgrad (ja/teilweise/nein/entbehrlich) sowie, soweit zu diesem Zeitpunkt bereits möglich, die Verantwortlichkeiten für die Umsetzung der Zeitpunkt für die Umsetzung und eine Kostenschätzung

angegeben werden. Für die Durchführung einer Grundschutzanalyse in einer komplexen Einsatzumgebung empfiehlt sich der Einsatz eines Tools. Bekanntestes Beispiel ist das im Auftrag des BSI entwickelte "IT-Grundschutz-Tool". Hierdurch ergeben sich komfortable Möglichkeiten zur Auswertung und Revision der Ergebnisse, beispielsweise die Suche nach bestimmten Einträgen, der Generierung benutzerdefinierter Reports sowie Statistikfunktionen.

4.4 Kombinierter Ansatz
ISO Bezug: 27002 4.1, 4.2

113

Die Stärken beider oben diskutierter Risikoanalysestrategien - Zeit sparende Auswahl kostengünstiger IT-Sicherheitsmaßnahmen durch Grundschutzanalysen und wirksame Reduktion hoher Sicherheitsrisiken durch detaillierte Risikoanalysen - kommen in einem sog. kombinierten Ansatz zum Tragen. Dabei wird zunächst ermittelt, welche IT-Systeme hohe oder sehr hohe Sicherheitsanforderungen haben, und welche niedrige bis mittlere haben (Schutzbedarfsfeststellung). Das Ergebnis dieses Schrittes ist eine Einteilung in zwei Schutzbedarfskategorien: "niedrig bis mittel" und "hoch bis sehr hoch". IT-Systeme der Schutzbedarfskategorie "niedrig bis mittel" werden einer Grundschutzanalyse unterzogen, während IT-Systeme der Schutzbedarfskategorie "hoch bis sehr hoch" einer detaillierten Risikoanalyse zu unterziehen sind, auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden. Alternativ dazu können auch etwa drei Schutzbedarfskategorien gewählt werden (s. Kap. 4.4.1, zweites Beispiel). Dabei werden IT-Systeme der Schutzbedarfskategorie "normal" einer Grundschutzanalyse unterzogen. IT-Systeme der Schutzbedarfskategorie "hoch" sind einer eingehenderen Betrachtung zu unterziehen. Wahlweise sind auch hier Grundschutzmaßnahmen (ev. in verstärktem Maße) anzuwenden, oder es ist eine detaillierte Risikoanalyse durchzuführen. ITSysteme der Schutzbedarfskategorie "sehr hoch" sind jedenfalls einer detaillierten Risikoanalyse zu unterziehen, auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden. Generell empfiehlt es sich, zunächst eine Grundschutzanalyse für alle Systeme durchzuführen anschließend eine eventuelle erforderliche detaillierte Risikoanalyse für Systeme höherer Schutzbedarfskategorien.

Vorteile eines kombinierten Ansatzes

• • • •

Die Vorgehensweise ermöglicht es, rasch einen relativ guten Sicherheitslevel für alle IT-Systeme zu realisieren. Die in der Schutzbedarfsfeststellung erarbeiteten Erkenntnisse können die Grundlage für eine Prioritätenreihung für die nachfolgenden Aktivitäten bilden. Der Aufwand kann auf hochsicherheitsbedürftige Systeme konzentriert werden. Das Verfahren findet im Allgemeinen hohe Akzeptanz, da es mit verhältnismäßig geringem Initialaufwand rasch sichtbare Erfolge bringt.

114

Empfehlung:
Aus diesen Gründen kann für die Mehrheit der Fälle empfohlen werden, als Risikoanalysestrategie einen kombinierten Ansatz zu wählen.

4.4.1 Festlegung von Schutzbedarfskategorien
ISO Bezug: 27002 4.1, 4.2

Voraussetzung für eine Schutzbedarfsfeststellung ist die Festlegung von Schutzbedarfskategorien. Die nachfolgende Tabelle gibt eine Orientierungshilfe für die Festlegung der Schutzbedarfskategorien und damit die Klassifizierung der Anwendungen anhand der maximal möglichen Schäden anhand von Grenzwerten. Diese sind jedoch nur als Beispiele zu sehen. Jede Organisation sollte für sich prüfen, ob diese Klassifizierung ihren Anforderungen entspricht und gegebenenfalls eigene Grenzwerte und Einordnungen festlegen. Weiters ist darauf hinzuweisen, dass die in der Tabelle angeführten sieben Schadenskategorien nicht vollständig sein müssen. Für alle Schäden, die sich nicht in diesen Kategorien abbilden lassen, ist ebenfalls eine Aussage zu treffen, wo die Grenze zwischen "niedrig bis mittel" und "hoch bis sehr hoch" zu ziehen ist. Kategorie "niedrig bis mittel" Kategorie "hoch bis sehr hoch" 1. Verstoß gegen Gesetze, • Verstöße gegen • Schwere Verstöße Vorschriften oder Verträge Vorschriften gegen Gesetze und Gesetze mit und Vorschriften geringfügigen (Strafverfolgung) Konsequenzen • Verletzungen von Geringfügige Verträgen mit hohen • Verletzungen von Konventionalstrafen Verträgen mit geringen oder Haftungsschäden Konventionalstrafen • Ein möglicher Ein möglicher Missbrauch • Missbrauch personenbezogener personenbezogener Daten hat erhebliche Daten hat nur Auswirkungen auf geringfügige die gesellschaftliche Auswirkungen auf Stellung oder die die gesellschaftliche wirtschaftlichen 115

Kategorie "niedrig bis mittel" Kategorie "hoch bis sehr hoch" Stellung oder die Verhältnisse der/des wirtschaftlichen Betroffenen (Verlust Verhältnisse der/des der Vertraulichkeit oder Betroffenen Integrität sensibler Daten) 2. Beeinträchtigung der Eine Beeinträchtigung • • Eine über Bagatellpersönlichen Unversehrtheit erscheint nicht möglich. verletzungen hinausgehende Beeinträchtigung der persönlichen Unversehrtheit kann nicht absolut ausgeschlossen werden. 3. Beeinträchtigung der • Es kann zu einer • Es kann zu Aufgabenerfüllung leichten bis maximal einer schweren mittelschweren BeeinBeeinträchtigung der trächtigung der Aufgabenerfüllung Aufgabenerfüllung bis hin zur kommen. Handlungsunfähigkeit der betroffenen • Eine Zielerreichung Organisation kommen. ist mit vertretbarem Mehraufwand möglich. • Bedeutende Zielabweichung in Qualität und/oder Quantität. 4. Vertraulichkeit der • Es werden nur Daten • Es werden auch Daten verarbeiteten Information der Sicherheitsklassen der Sicherheitsklassen OFFEN und VERTRAULICH, EINGESCHRÄNKT GEHEIM und/oder verarbeitet bzw. STRENG GEHEIM gespeichert. verarbeitet bzw. gespeichert. 5. Dauer der Verzichtbarkeit • Die maximal • Die maximal tolerierbare Ausfallszeit tolerierbare Ausfallszeit der Anwendung beträgt des Systems beträgt mehrere Stunden bis lediglich einige mehrere Tage. Minuten.

116

Kategorie "niedrig bis mittel" Kategorie "hoch bis sehr hoch" 6. Negative Außenwirkung Eine geringe • • Eine breite bzw. nur interne Beeinträchtigung des Beeinträchtigung Vertrauens in die des Ansehens oder Organisation oder Vertrauens ist zu ihr Ansehen ist zu erwarten. erwarten. 7. Finanzielle Auswirkungen • Der finanzielle Schaden • Der zu erwartende ist kleiner als (z.B.) finanzielle Schaden ist Euro 50.000.--. größer als (z.B.) Euro 50.000.--. Eine andere Möglichkeit besteht darin, drei Schutzbedarfskategorien zu definieren: Schutzbedarfskategorie "normal": Die Schadensauswirkungen sind begrenzt und überschaubar. Maßnahmen des ITGrundschutzes reichen im Allgemeinen aus. Diese Kategorie entspricht der obigen Kategorie "niedrig bis mittel". Schutzbedarfskategorie "hoch": Die Schadensauswirkungen können beträchtlich sein. Wahlweise können weiter (verstärkte) Grundschutzmaßnahmen eingesetzt oder eine detaillierte Risikoanalyse durchgeführt werden. Schutzbedarfskategorie "sehr hoch": Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. IT-Grundschutzmaßnahmen alleine reichen nicht aus, die erforderlichen Sicherheitsmaßnahmen sollten individuell auf Basis einer Risikoanalyse ermittelt werden. Schutzbedarfskategorie "hoch": Die nachfolgende Tabelle gibt eine Orientierungshilfe für die Festlegung der Schutzbedarfskategorien und damit die Klassifizierung der Anwendungen anhand der oben angeführten Einteilungen. Diese sind wiederum als Beispiele zu sehen. Jede Organisation sollte für sich prüfen, ob diese Klassifizierung ihren Anforderungen entspricht und gegebenenfalls eigene Grenzwerte und Einordnungen festlegen. Kategorie "normal" Kategorie "hoch" Kategorie "sehr hoch" 1. Verstoß • Verstöße gegen • Verstöße gegen • Schwere gegen Gesetze, Vorschriften und Vorschriften Verstöße gegen Vorschriften oder Gesetze mit und Gesetze Gesetze und Verträge geringfügigen mit erheblichen Vorschriften Konsequenzen Konsequenzen (Strafverfolgung) 117

Kategorie "normal"

2. Beeinträchtigung der persönlichen Unversehrtheit

3. Beeinträchtigung der Aufgabenerfüllung

Kategorie "sehr hoch" Geringfügige Verletzungen • • Verletzungen Verletzungen von Verträgen von Verträgen, von Verträgen mit hohen deren mit keinen Konventionalstrafen Haftungsschäden oder geringen ruinös sind • Ein möglicher Konventionalstrafen Missbrauch • Ein möglicher Ein möglicher personenbezogener Missbrauch Missbrauch Daten hat personenbezogener personenbezogener erhebliche Daten würde Daten hat nur Auswirkungen für die/den geringfügige auf die Betroffene/n den Auswirkungen gesellschaftliche gesellschaftlichen auf die Stellung oder gesellschaftliche oder die wirtschaftlichen Stellung wirtschaftlichen Ruin bedeuten. oder die Verhältnisse wirtschaftlichen der/des Verhältnisse Betroffenen. der/des Betroffenen. Eine • Eine • Gravierende Beeinträchtigung Beeinträchtigung Beeinträchtigungen erscheint nicht der persönlichen der persönlichen möglich. Unversehrtheit Unversehrtheit kann nicht sind möglich. absolut • Gefahr für Leib ausgeschlossen und Leben werden. Es kann zu • Es kann zu • Es kann zu einer einer leichten einer schweren sehr schweren bis maximal Beeinträchtigung Beeinträchtigung mittelschweren der der Beeinträchtigung Aufgabenerfüllung Aufgabenerfüllung der kommen. bis hin zur Aufgabenerfüllung Bedeutende Handlungsunfähigkeit • kommen. der betroffenen Zielabweichung Organisation Eine in Qualität und/ kommen. Zielerreichung oder Quantität. ist mit vertretbarem Mehraufwand möglich.

Kategorie "hoch"

118

nur interne Beeinträchtigung landesweite Beeinträchtigung des Ansehens breite des Ansehens oder Vertrauens Ansehens. oder STRENG verarbeitet bzw. Der finanzielle • Der Schaden • Der finanzielle Schaden liegt bewirkt Schaden ist für unter (z.000. Eine geringe • Eine breite • Eine bzw. Die maximal Die maximal • • Die maximal tolerierbare tolerierbare tolerierbare Ausfallszeit der Ausfallszeit des Ausfallszeit des Anwendung Systems liegt Systems ist beträgt mehr als zwischen einer kleiner als eine 24 Stunden.) Euro beachtliche die Institution 50. Vertraulichkeit der verarbeiteten Information • 5.B. Stunde. sogar existenzgefährdender Art.Kategorie "normal" 4. gespeichert. verarbeitet bzw. Kategorie "hoch" 4. Finanzielle Auswirkungen • Kategorie "sehr hoch" Es werden Es werden • • Es werden nur Daten der auch Daten auch Daten Sicherheitsklassen der Klasse der Klassen OFFEN und VERTRAULICH GEHEIM und/ EINGESCHRÄNKT verarbeitet bzw. 4.2 Schutzbedarfsfeststellung ISO Bezug: 27002 4. ist zu erwarten. Die Schutzbedarfsfeststellung erfolgt in 3 Schritten: • Schritt 1: Erfassung aller vorhandenen oder geplanten IT-Systeme 119 . GEHEIM gespeichert. finanzielle existenzbedrohend.1. Verluste.2 Die Schutzbedarfsfeststellung bildet die Grundlage für eine Entscheidung über die weitere Vorgehensweise und ist daher mit entsprechender Sorgfalt durchzuführen. ist jedoch nicht existenzbedrohend. gespeichert. Negative Außenwirkung • 7.4. Dauer der Verzichtbarkeit • 6. Vertrauens.oder oder Vertrauens ist zu erwarten. Beeinträchtigung ist zu erwarten. und 24 Stunden.--. evtl.

wenn von Anwendungsstruktur und -ablauf vergleichbare Anwendungen auf diesen Systemen laufen. z. wie Rechner.2.nach ihrem Sicherheitsbedarf vorsortiert werden.2 Ziel dieses Schrittes ist es. Windows-Server). 120 . 4. Bildschirm. Drucker etc.4.4.1. • • • deren Daten/Informationen und Programme den höchsten Bedarf an Vertraulichkeit haben. Dabei sind zuerst diejenigen Anwendungen des jeweiligen IT-Systems zu benennen. Dies gilt insbesondere für PCs.2. 4. die die kürzeste tolerierbare Ausfallszeit haben. Diese sollten anschließend .• • Schritt 2: Erfassung der IT-Anwendungen und Zuordnung zu den einzelnen ITSystemen Schritt 3: Schutzbedarfsfeststellung für jedes IT-System 4. Tastatur.2 Erfassung der IT-Anwendungen und Zuordnung zu den einzelnen IT-Systemen ISO Bezug: 27002 4. Zur Reduktion der Komplexität kann man gleiche IT-Systeme zu Gruppen zusammenfassen.2 Zunächst werden die vorhandenen und geplanten IT-Systeme aufgelistet. die oft in großer Anzahl vorhanden sind. aus denen das ITSystem zusammengesetzt ist. 4.. alle oder zumindest die wichtigsten auf dem betrachteten IT-System laufenden oder geplanten IT-Anwendungen zu erfassen. Server. Windows-Server. PC-Client. StandAlone-PC.soweit zu diesem Zeitpunkt bereits möglich . nicht die einzelnen Bestandteile.B. An dieser Stelle soll nur das System als solches erfasst werden (z. deren Daten/Informationen und Programme den höchsten Bedarf an Integrität aufweisen.1.1 Erfassung aller vorhandenen oder geplanten IT-Systeme ISO Bezug: 27002 4.B. Hierbei steht die technische Realisierung eines IT-Systems im Vordergrund.

1 angeführte Tabelle dienen. so ist das gesamte System in die Schutzbedarfskategorie "normal" einzuordnen. wenn Vertraulichkeit. Alle IT-Systeme der Schutzbedarfskategorie "hoch bis sehr hoch" sind einer detaillierten Risikoanalyse zu unterziehen.1. 4. Ist für alle auf einem System laufenden Anwendungen ein normaler Schutzbedarf erhoben worden. eine den spezifischen Anforderungen der betroffenen Organisation entsprechende modifizierte Tabelle zu erstellen. Details dazu finden sich in Kapitel 4.3 Grundschutzansatz beschriebenen Vorgehensweise durchzuführen. "normal" ist eine Grundschutzanalyse gemäß der in Kapitel 4. Integrität oder Verfügbarkeit einer IT-Anwendung und/ oder der zugehörigen Informationen ganz oder teilweise verloren gehen.3 Schutzbedarfsfeststellung für jedes IT-System ISO Bezug: 27002 4. Die Ermittlung des Schutzbedarfes erfolgt nach dem Maximum-Prinzip. Wurde dagegen mindestens eine Applikation mit hohem oder sehr hohem Schutzbedarf ermittelt. 4.4. Die Auswahl einer konkreten Methode zur Risikoanalyse sowie der eventuelle Einsatz eines Tools zur Unterstützung dieser Analyse bleiben der durchführenden Institution überlassen. Es ist aber empfehlenswert. so ist das gesamte IT-System in die Schutzbedarfskategorie "hoch" bzw. "sehr hoch" einzuordnen.4. Dabei ist es unbedingt auch erforderlich. Als Orientierungshilfe für die Einordnung von IT-Anwendungen in Schutzbedarfskategorien kann die in 4.2 In dieser Phase soll die Frage beantwortet werden.2 Für alle IT-Systeme der Schutzbedarfskategorie "niedrig bis mittel" bzw. die Applikations-/Projektverantwortlichen und die Benutzer/innen der betrachteten IT-Anwendungen nach ihrer Einschätzung zu befragen.2 Detaillierte Risikoanalyse dieses Handbuchs.2. 4.1.4. 121 . Die Realisierung von Grundschutzmaßnahmen bietet hier in der Regel einen ausreichenden Schutz.4.3 Durchführung von Grundschutzanalysen und detaillierten Risikoanalysen ISO Bezug: 27002 4. welche Schäden zu erwarten sind. Die zu erwartenden Schäden bestimmen den Schutzbedarf.

Die Entscheidung über die Akzeptanz von Restrisiken ist daher immer eine für das spezielle System zu treffende Managemententscheidung.5 Akzeptables Restrisiko ISO Bezug: 27002 4.Geht man von drei Schutzbedarfskategorien aus. 5. 4.2 Sicherheitsmaßnahmen können für gewöhnlich Risiken nur teilweise mindern. dessen Abdeckung wirtschaftlich nicht mehr vertretbar wäre. Im Allgemeinen verbleibt ein Restrisiko.2 Verbleibt nach Durchführung aller vorgesehenen Sicherheitsmaßnahmen ein Restrisiko. verstärkten) Grundschutzmaßnahmen das Auslangen gefunden werden kann. akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken) und festlegen.6 Akzeptanz von außergewöhnlichen Restrisiken ISO Bezug: 27002 4. Es ist notwendig. so besteht in begründeten Ausnahmefällen die Möglichkeit. dass durch Kumulationseffekte oder gegenseitige Beeinflussungen eine Reihe von kleinen Einzelrisiken zu einem inakzeptablen Restrisiko führen kann. Ist dies technisch nicht möglich oder unwirtschaftlich. ist es hilfreich. IT-Systeme der Schutzbedarfskategorie "sehr hoch" sind jedenfalls einer detaillierten Risikoanalyse zu unterziehen. oder eine detaillierte Risikoanalyse erforderlich ist.4 Risikoanalysestrategien. Dabei ist zu beachten. welche Risiken die betroffene Organisation generell zu akzeptieren bereit ist.2. das höher ist als das generell akzeptable. 4. Um ein organisationsweit einheitliches Niveau des Restrisikos zu gewährleisten. diese Restrisiken so exakt wie möglich zu quantifizieren und sie dann bewusst zu akzeptieren. 122 . so sollten zusätzliche Sicherheitsmaßnahmen vorgesehen und damit das Risiko weiter reduziert werden. so ist für IT-Systeme der Schutzbedarfskategorie "hoch" zu überlegen. Diese sollten im Rahmen der Informationssicherheits-Politik definiert werden (vgl. dieses erhöhte Restrisiko bewusst anzunehmen. Dieser Prozess wird als "Risikoakzeptanz" bezeichnet. ob mit (ev. diesen Prozess durch generelle Richtlinien zu unterstützen.

Die Entscheidung über die Akzeptanz eines außergewöhnlichen Restrisikos ist durch das Management zu treffen. Die Entscheidung ist schriftlich zu begründen und durch die Leitung der Organisation in schriftlicher Form zu akzeptieren. die genauen Verantwortlichkeiten dafür sind in der Informationssicherheits-Politik festzulegen. 123 .

Diese Richtlinien werden in den nachgeordneten Sicherheitsrichtlinien.1 124 . konkret umgesetzt. akzeptables Restrisiko und Risikoakzeptanz Klassifizierung von Daten Klassifizierung von IT-Anwendungen und IT-Systemen. etwa der E-Mail-Sicherheitsrichtlinie oder der Netzwerksicherheitsrichtlinie. Diese sind: • • • • • • • • Informationssicherheitsziele und -strategien Erklärung der Leitungsebene über die Unterstützung der Ziele des Informationssicherheits-Managements (Management Commitment) Organisation und Verantwortlichkeiten für Informationssicherheit Risikoanalysestrategien. Das folgende Kapitel gibt eine Anleitung zur Erstellung einer derartigen Politik und legt die wesentlichen Inhalte fest. das die sicherheitsbezogenen Ziele. Verantwortlichkeiten und Methoden langfristig und verbindlich festlegt.1 Aufgaben und Ziele einer InformationssicherheitsPolitik ISO Bezug: 27001 4. Grundzüge der Business Continuity Planung Aktivitäten zur Überprüfung und Aufrechterhaltung der Sicherheit Verweise auf weitere Dokumente zum Thema Informationssicherheit. Strategien. 27002 5. Sie stellt ein Grundlagendokument dar.5 Informationssicherheits-Politik Dieses Kapitel nimmt Bezug auf ISO/IEC 27001 4 ff "InformationssicherheitsManagementsystem" sowie ISO 27002 . Die organisationsweite Informationssicherheits-Politik soll allgemeine Festlegungen treffen. die den Schutz der Informationen und der IT-Systeme innerhalb einer Organisation gewährleisten. wie etwa Sicherheitsrichtlinien 5.5 ff "Sicherheitspolitik". Ziel dieses Abschnittes ist es.1. die Erarbeitung einer Informationssicherheits-Politik zu unterstützen. Die Informationssicherheits-Politik bildet die Basis für die Entwicklung und die Umsetzung eines risikogerechten und wirtschaftlich angemessenen Informationssicherheits-Konzeptes.

Die Informationssicherheits-Politik legt Leitlinien fest.2. die Vertraulichkeit. 5.2 Inhalte der Informationssicherheits-Politik Der folgende Abschnitt beschreibt. Geltungsbereich Im Bereich der öffentlichen Verwaltung ist zumindest auf Ressortebene eine eigene. Integrität und Verfügbarkeit der Information in einer Organisation sicherzustellen. Das Management unterstützt und fördert die Aktivitäten zum Informationssicherheits-Management. 5. Jede/r Mitarbeiter/in muss Kenntnis über die wichtigsten Inhalte der Informationssicherheits-Politik haben. ressortspezifische Informationssicherheits-Politik zu erstellen. Die Informationssicherheits-Politik enthält ein explizites Statement des Managements über die Unterstützung der Informationssicherheitsziele (Management Commitment). Abhängig von der Unternehmensstruktur und den strategischen Zielen kann die Erstellung einer Informationssicherheits-Politik auch für kleinere Unternehmen empfehlenswert sein.1 Informationssicherheitsziele und -strategien 125 . abgeleitet werden. etwa auf Behördenoder Abteilungsebene. Im Bereich der Privatwirtschaft wird die Erarbeitung einer organisationsweiten Informationssicherheits-Politik zumindest für große bis mittlere Unternehmen empfohlen. und gibt Anleitungen zur Erstellung dieses Dokumentes. welche Themenbereiche im Rahmen der Informationssicherheits-Politik in jedem Fall angesprochen werden sollten. Die direkt mit Informationssicherheit beschäftigten Mitarbeiter/innen müssen im Besitz einer aktuellen Version der Informationssicherheits-Politik sein. Über die angeführten Themenbereiche hinaus können organisationsspezifisch weitere wichtige Sicherheitsthemen in die Informationssicherheits-Politik aufgenommen werden. schreibt aber keine Implementierung vor.Eine organisationsweite Informationssicherheits-Politik hat die Aufgabe. Bei Bedarf können aus dieser weitere Informationssicherheits-Politiken. Dabei gilt: • • • • • Die Informationssicherheits-Politik wird als schriftliches Dokument erstellt und bildet die Grundlage des Informationssicherheits-Managements. Die Informationssicherheits-Politik wird offiziell verabschiedet und in Kraft gesetzt.

insbesondere in Bezug auf Vertraulichkeit.ISO Bezug: 27002 6.zu formulieren. die mit dieser Politik erreicht werden sollen. Richtigkeit und Rechtzeitigkeit.1 Schritt 1: Festlegung der wesentlichen Informationssicherheitsziele Im Rahmen der Erstellung der Informationssicherheits-Politik sind zunächst die spezifischen Sicherheitsziele der Organisation zu erarbeiten. von SLAs und Normen) Korrektheit. Zur Präzisierung dieser Ziele sind nützlicherweise folgende Fragen zu stellen: • • 126 Welche Informationen sind besonders schützenswert? Welche Auswirkungen hätte eine gravierende Verletzung der Sicherheit dieser Informationen (Verlust von Vertraulichkeit. des Informationssicherheitsgesetzes. Verträge und Regelungen (etwa des Datenschutzgesetzes. die öffentliche Verwaltung im Allgemeinen Hohe Verlässlichkeit des Handelns. Dies erfordert: • • • • • • • • Vertraulichkeit der verarbeiteten Informationen Einhaltung aller Gesetze. Beispiele für solche Ziele sind: • • • Gewährleistung der Erfüllung von aus gesetzlichen Vorgaben resultierenden Anforderungen Gewährleistung des Vertrauens der Öffentlichkeit in die betroffene Organisation bzw.1.bezugnehmend auf die spezifischen Aufgaben und Projekte . Vollständigkeit und Authentizität der Informationen (Integrität der IT) Rechtzeitigkeit (Verfügbarkeit der Daten und Services) Sicherung der investierten Werte Sicherstellung der Kontinuität der Arbeitsabläufe Reduzierung der im Schadensfall entstehenden Kosten (Schadensvermeidung und Schadensbegrenzung) Gewährleistung des besonderen Prestiges Neben diesen eher allgemein gültigen Zielen sind die organisationsspezifischen Sicherheitsziele . Integrität und/oder Verfügbarkeit)? .

2. Schritt 3: Ausarbeitung von Strategien für das InformationssicherheitsManagement Die Sicherheitsstrategie legt fest. Detailbeschreibungen sind Aufgabe der nachgeordneten Sicherheitsrichtlinien. Beispiele für Strategien für das Informationssicherheits-Management sind: • • • • • • • eine klare Zuordnung aller Verantwortlichkeiten im InformationssicherheitsProzess die Einführung eines QM-Systems die Entwicklung von Sicherheitsrichtlinien für die wichtigsten Systeme. welches Sicherheitsniveau in Bezug auf • • • Vertraulichkeit Integrität und Verfügbarkeit angestrebt werden soll. Eine organisationsweite Informationssicherheits-Politik kann und soll lediglich eine High-Level-Beschreibung der gewählten Strategien beinhalten. Services und Anwendungen die Etablierung eines organisationsweiten Incident Handling Plans Orientierung an internationalen Richtlinien und Standards Informationssicherheit als integraler Bestandteil des gesamten Lebenszyklus eines IT-Systems die Förderung des Sicherheitsbewusstseins aller Mitarbeiter/innen.• • • Welche wesentlichen Entscheidungen hängen von der Genauigkeit. wie die definierten Sicherheitsziele erreicht werden können.2 Management Commitment 127 . 5. Integrität oder Verfügbarkeit dieser Informationen ab? Welche essentiellen Aufgaben der betreffenden Organisation können bei Kompromittierung dieser Informationen nicht mehr durchgeführt werden? Welche essentiellen Aufgaben der betreffenden Organisation können ohne ITUnterstützung nicht mehr durchgeführt werden? Schritt 2: Festlegung des angestrebten Sicherheitsniveaus In diesem Schritt ist festzulegen.

entsprechend ihrer Größe.1.ISO Bezug: 27002 6. Gremien. Auf der Ebene der Bundesverwaltung ist zusätzlich in jedem Ressort die Person einer/eines Informationssicherheitsbeauftragten gemäß Informationssicherheitsgesetz einzurichten. 6.3 Die Leitungsebene soll im Rahmen der Informationssicherheits-Politik ein klares Bekenntnis zur Bedeutung der Informationssicherheit für die Institution abgeben. Weiters werden für diesen Bereich durch das IKT-Board verbindliche Regelungen zur IKT-Sicherheit vorgegeben. 5. dass es sich bei diesen Funktionen bzw. Die Organisation des ISM ist für jede Institution . Zentrale Aufgaben im Informationssicherheits-Management-Prozess übernehmen dabei • • • • das Informationssicherheits-Management-Team die IT-Sicherheitsbeauftragten (zur Wahl der Bezeichnung s.2. ist es erforderlich.spezifisch festzulegen und in der Informationssicherheits-Politik festzuschreiben. unten) die Bereichs-IT-Sicherheitsbeauftragten und die Applikations-/Projektverantwortlichen. die Rollen und Verantwortlichkeiten aller in den Informationssicherheits-Prozess involvierten Personen klar zu definieren. Es ist zu betonen. dass eine Person eine dieser 128 .abhängig von der Größe und den Sicherheitsanforderungen einer Organisation . Struktur und Aufgaben . die im Folgenden näher beschrieben werden.1.2.1. Dazu zählen insbesondere die Unterstützung der Ziele und Prinzipien der Informationssicherheit und die Erklärung ihrer Übereinstimmung mit den Geschäftszielen und -strategien. In diesem Fall ist auf eine genaue Trennung der Kompetenzen und Verantwortlichkeiten Bedacht zu nehmen. um Rollen handelt. Genauso ist es möglich.3 Organisation und Verantwortlichkeiten für Informationssicherheit ISO Bezug: 27002 6. die .3 Um eine Berücksichtigung aller wichtigen Aspekte und eine effiziente Erledigung sämtlicher anfallender Aufgaben zu gewährleisten.durchaus auch von mehreren Personen wahrgenommen werden können.

dass ausreichend Zeit für die sicherheitsrelevanten Tätigkeiten zur Verfügung steht und es zu keinen Kollisionen von Verantwortlichkeiten oder Interessen kommt. auf die speziellen Aufgaben und Anforderungen der betreffenden Organisation abgestimmte Beschreibung ist im Rahmen der organisationsweiten Informationssicherheits-Politik zu geben.1 Die/der IT-Sicherheitsbeauftragte ISO Bezug: 27002 6. 129 .3 Die/der IT-Sicherheitsbeauftragte ist die zentrale Ansprechperson für alle Informations. die Gesamtverantwortung für die Informationssicherheit verbleibt aber bei dieser Person. Gesetz zukommen.1. Anmerkung: Die Bezeichnung "IT-Sicherheitsbeauftragte/r" für die Person einer/ eines zentralen Sicherheitsverantwortlichen wurde zum einen gewählt. weil es sich um einen in vielen Institutionen sowohl des Behörden. Die/der IT-Sicherheitsbeauftragte kann einzelne Aufgaben delegieren. Gremien kurz beschrieben.3.als auch des Privatwirtschaftsbereiches eingeführten Begriff handelt. Dabei ist aber unbedingt darauf zu achten. Zu den Pflichten der/des IT-Sicherheitsbeauftragten gehören: • • • • • die verantwortliche Mitwirkung an der Erstellung des InformationssicherheitsKonzeptes die Gesamtverantwortung für die Realisierung der ausgewählten Sicherheitsmaßnahmen die Planung und Koordination von Schulungs. 5.Rollen zusätzlich zu anderen Aufgaben übernimmt. Nachfolgend werden die wichtigsten typischen Aufgaben und Verantwortlichkeiten dieser Funktionen bzw. um diese Rolle gegenüber der Rolle der/des Informationssicherheitsbeauftragten gemäß Informationssicherheitsgesetz abzugrenzen.und IT-Sicherheitsfragen innerhalb einer Organisation und trägt die fachliche Verantwortung für diesen Bereich. der/dem ganz spezifische Aufgaben lt.und Sensibilisierungsveranstaltungen die Gewährleistung der Informationssicherheit im laufenden Betrieb sowie die Verwaltung der für Informationssicherheit zur Verfügung stehenden Ressourcen. Eine detaillierte.2. zum anderen. So könnte beispielsweise ein Systemadministrator als Bereichs-IT-Sicherheitsbeauftragte/r für dieses System agieren.

5. Zu den Aufgaben des Teams zählen typischerweise: • • • • • • die Festlegung der Informationssicherheitsziele der Organisation die Entwicklung einer organisationsweiten Informationssicherheits-Politik Unterstützung und Beratung bei der Erstellung des InformationssicherheitsKonzeptes die Überprüfung des Konzeptes auf Erreichung der Informationssicherheitsziele die Förderung des Sicherheitsbewusstseins in der gesamten Organisation sowie die Festlegung der personellen und finanziellen Ressourcen für Informationssicherheit.3 130 . Generell ist zu empfehlen. eventuell zusätzlich zu anderen Aufgaben.3. zugeordnet sein.2.2 Das Informationssicherheits-Management-Team ISO Bezug: 27002 6.1. 5.3 Das Informationssicherheits-Management-Team ist verantwortlich für die Regelung der organisationsweiten Informationssicherheitsbelange sowie für die Erarbeitung von Plänen.3 Die Bereichs-IT-Sicherheitsbeauftragten ISO Bezug: 27002 6.2. dass die/der IT-Sicherheitsbeauftragte sowie ein/e Vertreter/in der IT-Anwender/innen dem Informationssicherheits-Management-Team angehören. Daher sollte diese Rolle in jedem Fall .1. Zusammensetzung des Teams: Die genaue Festlegung der Zusammensetzung sowie der Aufgaben und Verantwortlichkeiten des Informationssicherheits-Management-Teams haben im Rahmen der Informationssicherheits-Politik zu erfolgen.Der Funktion der/des IT-Sicherheitsbeauftragten kommt eine zentrale Bedeutung zu.also auch bei kleinen Organisationen .3. Vorgaben und Richtlinien zur Informationssicherheit.definiert und klar einer Person.

Diese haben die fachliche Verantwortung für alle IT-Sicherheitsbelange in einem bestimmten Bereich. 5. auch eine Zuordnung nach Abteilungen oder Betriebsstandorten ist denkbar.3 Für jede IT-Anwendung und jedes IT-Projekt ist die fachliche Gesamtverantwortung und damit auch die Verantwortung für deren Sicherheit klar festzulegen. können diese von einer einzelnen Person oft nicht mehr abgedeckt werden. des Projekts die Klassifizierung der verarbeiteten Daten.2.und Qualitätsanforderungen der Applikation bzw. die Vergabe von Zugriffsrechten sowie organisatorische und administrative Maßnahmen zur Gewährleistung der ITSicherheit in der Projektentwicklung und im laufenden Betrieb. Bereichs-IT-Sicherheitsbeauftragte zu definieren. 131 .4 Applikations-/Projektverantwortliche ISO Bezug: 27002 6. Zu den Aufgaben einer/eines Bereichs-IT-Sicherheitsverantwortlichen zählen • • • • • • die Mitwirkung bei den ihren/seinen Bereich betreffenden Teilen des Informationssicherheits-Konzeptes die Erarbeitung eines detaillierten Plans zur Realisierung der ausgewählten Sicherheitsmaßnahmen die Umsetzung dieses Plans die regelmäßige Prüfung der Wirksamkeit und Einhaltung der eingesetzten Sicherheitsmaßnahmen im laufenden Betrieb Information der/des IT-Sicherheitsbeauftragten über bereichsspezifischen Schulungsbedarf sowie Meldungen an die/den IT-Sicherheitsbeauftragten bei sicherheitsrelevanten Ereignissen.Die Komplexität moderner IT-Systeme erfordert zur Gewährleistung eines angemessenen Sicherheitsniveaus tief gehende Systemkenntnisse. Daher wird es in vielen Fällen empfehlenswert sein.1.3.oder Projektverantwortlichen zählen insbesondere • • • • die Festlegung der Sicherheits. Zu den Aufgaben einer/eines Applikations. Wenn mehrere unterschiedliche Systemplattformen zum Einsatz kommen. Ein Bereich kann beispielsweise ein IT-System oder eine Betriebssystemplattform sein.

muss ihre/seine spezifischen Pflichten und Verantwortlichkeiten im Rahmen der Informationssicherheit kennen und erfüllen. 132 .3.5 Die/der Informationssicherheitsbeauftragte ISO Bezug: 27002 6.3 Auf Ressortebene sind gemäß Informationssicherheitsgesetz Informationssicherheitsbeauftragte zu bestellen. des Bundesministers des jeweiligen Ministeriums in Angelegenheiten der Informationssicherheit sowie Erstattung von Verbesserungsvorschlägen. auch wenn sie/er nicht direkt in den Bereich Informationssicherheit involviert ist.3 Sicherheit ist nicht ausschließlich Angelegenheit der damit per Definition betrauten Personen. falls erforderlich.2. Informationssicherheitsgesetz) klassifizierten Informationen die Berichterstattung darüber an die Informationssicherheitskommission Behebung von erkannten Mängeln Sicherheitsüberprüfung von betroffenen Personen gemäß §3 Abs. Jede/r Mitarbeiter/in.6 Weitere Pflichten und Verantwortungen im Bereich Informationssicherheit ISO Bezug: 27002 6.1. 1 Z1 und 2 Informationssicherheitsgesetz. Ebenso sind die Rechte und Pflichten von externen Personen.Neben den oben beschriebenen Rollen gibt es im Bereich der Bundesverwaltung eine spezielle. 5.2.3. Aufgaben der/des Informationssicherheitsbeauftragten sind: • • • • • • • die Überwachung der Einhaltung der Bestimmungen des Informationssicherheitsgesetzes. 5. Information der Bundesministerin bzw. per Gesetz festgelegte Rolle: die/den Informationssicherheitsbeauftragte/n. der Informationssicherheitsverordnung und der sonstigen Informationssicherheitsvorschriften die periodische Überprüfung der Sicherheitsvorkehrungen für den Schutz von (lt. Die/der Informationssicherheitsbeauftragte ist Mitglied der Informationssicherheitskommission.1. Lieferanten und Vertragspartnern festzulegen.

dass die Gesamtverantwortung für die Datenschutzbelange bei der Geschäftsführung verbleibt und nicht delegiert werden kann. Dazu wird in einer Risikoanalyse das Gesamtrisiko ermittelt. in denen personenbezogene Daten lt. Um Risiken zu beherrschen. DSG 2000 verarbeitet werden. Ziel ist es. Weiters ist die Vorgehensweise bei der Akzeptanz von außergewöhnlichen Restrisiken zu definieren. Details zur Risikoanalyse sind in Abschnitt Risikoanalyse enthalten. externe Mitarbeiter/innen Lieferanten und Vertragspartner 5. dass das verbleibende Restrisiko quantifizierbar und akzeptierbar wird. Es ist aber zu betonen. aufgeführt.3.Im Rahmen der organisationsweiten Informationssicherheits-Politik sind daher auch die Aufgaben und Verantwortlichkeiten folgender Personenkreise zu definieren: • • • • • Management/Behördenleitung ("Sicherheit als Managementaufgabe") Datenverarbeitungs(DV)-Entwicklung und technischer Support Dienstnehmer/innen Leasingpersonal.7 Informationssicherheit und Datenschutz ISO Bezug: 27002 6.2.1. in Organisationen.4 Auch wenn die Einrichtung einer/eines Datenschutzbeauftragten gesetzlich nicht gefordert ist (vgl.1.4 Risikoanalysestrategien. akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken ISO Bezug: 27002 4. Datenschutzgesetz (DSG 2000)). Im folgenden Abschnitt werden die wichtigsten Punkte. 5. In der Informationssicherheits-Politik sollen die Risikoanalysestrategie der Organisation sowie das akzeptable Restrisiko festgelegt werden.2.2 Methodisches Risikomanagement ist zur Erarbeitung eines vollständigen und organisationsweiten Informationssicherheits-Konzeptes unerlässlich. die im Rahmen der Informationssicherheits-Politik zum Thema Risikoanalyse festgelegt werden sollten. 133 . ist es zunächst erforderlich sie zu kennen und zu bewerten.3. 15. dieses Risiko so weit zu reduzieren. die datenschutzbezogenen Aufgaben zu konzentrieren und die erforderlichen Tätigkeiten zuzuordnen. ist es sinnvoll.

Dies erlaubt eine schnelle und effektive Auswahl von grundlegenden Sicherheitsmaßnahmen bei gleichzeitiger Gewährleistung eines angemessenen Schutzniveaus. Besteht sehr hoher Schutzbedarf. Der Nachteil liegt darin. Diese Vorgehensweise spart Ressourcen und führt schnell zu einem relativ hohen Niveau an Sicherheit. Bei normalem Schutzbedarf wird von einer pauschalisierten Gefährdungslage ausgegangen. dass der Grundschutzlevel für die vorhandenen Geschäftsprozesse und IT-Systeme möglicherweise nicht angemessen sein könnte. In der Informationssicherheits-Politik sind diese akzeptablen Restrisiken so exakt wie möglich zu quantifizieren. auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden. so dass auf eine detaillierte Risikoanalyse verzichtet und eine Grundschutzanalyse (s. o. die sie unterstützenden Systeme und die verarbeiteten Informationen ermittelt. benötigt jedoch viel Zeit und Aufwand.Schritt 1: Festlegung der anzuwendenden Risikoanalysestrategie Man kann drei Varianten zur Risikoanalysestrategie einer Organisation unterscheiden: • Grundschutzansatz: Unabhängig von den tatsächlichen Sicherheitsanforderungen werden für alle IT-Systeme Standardsicherheitsmaßnahmen ("Grundschutzmaßnahmen") eingesetzt. ausgehend von den Geschäftsprozessen. der Schutzbedarf für die einzelnen Prozesse. 134 .) durchgeführt werden kann. • Schritt 2: Festlegung des akzeptablen Restrisikos Nach Durchführung aller ausgewählten Sicherheitsmaßnahmen verbleibt im Allgemeinen ein Restrisiko. Bei hohem Schutzbedarf können wahlweise Grundschutzmaßnahmen eingesetzt oder eine detaillierte Risikoanalyse durchgeführt werden. Detaillierte Risikoanalyse: Für alle Geschäftsprozesse und die sie unterstützenden IT-Systeme wird eine detaillierte Risikoanalyse durchgeführt. dessen Abdeckung wirtschaftlich nicht mehr vertretbar wäre. Diese Methode gewährleistet die Auswahl von effektiven und angemessenen Sicherheitsmaßnahmen. so sind die betroffenen Geschäftsprozesse und IT-Systeme einer detaillierten Risikoanalyse zu unterziehen. Diese Option kombiniert die Vorteile des Grundschutzansatzes mit denen einer detaillierten Risikoanalyse und stellt heute die allgemein empfohlene Vorgehensweise dar. • Kombinierter Ansatz: In einem ersten Schritt wird in einer Schutzbedarfsfeststellung (High Level Risk Analysis).

5 Klassifizierung von Informationen ISO Bezug: 27002 7. gespeicherten und übertragenen Informationen in Bezug auf ihre Vertraulichkeit und die Datenschutzanforderungen ist wesentliche Voraussetzung für die spätere Auswahl adäquater Sicherheitsmaßnahmen. Diese Klassen sind lt. 135 .Schritt 3: Festlegung der Vorgehensweise zur Akzeptanz von außergewöhnlichen Restrisiken Verbleibt nach Durchführung aller im Sicherheitsplan vorgesehenen Maßnahmen ein Restrisiko.2 Die Klassifizierung der verarbeiteten.2. die Österreich im Einklang mit völkerrechtlichen Regelungen erhalten hat".1 Definition der Sicherheitsklassen ISO Bezug: 27002 7.2. 5. Vertraulichkeit (Vertraulichkeitsklassen) Die Vertraulichkeitsklassen können als Maß dafür gesehen werden. Informstionssicherheitsgesetz gesetzlich festgelegt für "klassifizierte Informationen. Daher sind in der Informationssicherheits-Politik entsprechende Sicherheitsklassen zu definieren und weiters die Verantwortlichkeiten für die Durchführung der Klassifizierung festzulegen.2. das höher ist als das generell akzeptable und dessen weitere Reduktion technisch nicht möglich oder unwirtschaftlich wäre. In der Sicherheitspolitik sind • • das Vorgehen bei Risiken. welche Auswirkungen ein Missbrauch der Information auf die Institution haben kann. so besteht in begründeten Ausnahmefällen die Möglichkeit einer bewussten Akzeptanz des erhöhten Restrisikos. 5. die in Abweichung von der generellen Sicherheitspolitik in Kauf genommen werden sollen. Im Bereich der Bundesverwaltung sind die unten angeführten hierarchischen Klassen definiert. sowie die Verantwortlichkeiten dafür festzulegen.1 Festlegung von Klassifizierungsstufen bzgl.5.

GEHEIM: Die Informationen sind vertraulich und ihre Preisgabe würde zudem die Gefahr einer erheblichen Schädigung der in Art. 20. 20. 3 BVG genannten Interessen zuwiderlaufen. da etwa die Behandlung von geheimen Daten durchwegs mit erheblichem Aufwand verbunden ist.HINWEIS: Im Sinne der Kompatibilität und Einheitlichkeit erscheint diese Klassifizierung auch für andere Daten im Bereich der Bundesverwaltung sinnvoll. 3 B-VG genannten Interessen schaffen. Abs. in denen nicht zwingende Gründe für ein anderes Klassifizierungsschema bestehen. 136 . Nicht-klassifizierte Informationen werden nachfolgend auch als "OFFEN" bezeichnet. • • • • EINGESCHRÄNKT: Die unbefugte Weitergabe der Informationen würde den in Art. dass die Klassifizierung der Daten sehr sorgfältig vorzunehmen ist. STRENG GEHEIM: Die Informationen sind geheim und ihr Bekannt werden würde überdies eine schwere Schädigung der in Art. Landes. zur Verschwiegenheit über alle ihnen ausschließlich aus ihrer amtlichen Tätigkeit bekannt gewordenen Tatsachen verpflichtet.und Gemeindeverwaltung betrauten Organe sowie die Organe anderer Körperschaften des öffentlichen Rechts sind. Aus Gründen der Kompatibilität wird die Anwendung des genannten Schemas in denjenigen Bereichen. sofern es nicht bereits diesbezügliche Regelungen gibt. . Abs. empfohlen. Im Rahmen der Informationssicherheits-Politik sollte darauf hingewiesen werden. deren Geheimhaltung im Interesse der Aufrechterhaltung der öffentlichen Ruhe.] VERTRAULICH: Die Informationen stehen nach anderen Bundesgesetzen unter strafrechtlichem Geheimhaltungsschutz und ihre Geheimhaltung ist im öffentlichen Interesse gelegen. im wirtschaftlichen Interesse einer Körperschaft des öffentlichen Rechts. Abs... auch die leichtfertige Einstufung in eine zu hohe Vertraulichkeitsklasse ist zu vermeiden. 3 B-VG genannten Interessen wahrscheinlich machen. Ordnung und Sicherheit. der umfassenden Landesverteidigung. In den übrigen Verwaltungsbereichen und in der Privatwirtschaft ist es jeder Organisation überlassen. [Anmerkung: Alle mit Aufgaben der Bundes-. soweit gesetzlich nicht anderes bestimmt ist. in ihrer Informationssicherheits-Politik eine für ihre Zwecke adäquate Definition von Vertraulichkeitsklassen vorzunehmen. 20. sofern sie nicht besonders strenge Sicherheitsanforderungen haben. der auswärtigen Beziehungen. zur Vorbereitung einer Entscheidung oder im überwiegenden Interesse der Parteien geboten ist (Amtsverschwiegenheit). Nicht nur die Einstufung in eine zu niedrige Vertraulichkeitsklasse ist mit potentiellen Gefahren verbunden. Allerdings werden Organisationen der Privatwirtschaft. im Allgemeinen mit weniger Klassen (meist 3 oder 4) das Auslangen finden.

dass die Klassifizierung einer Information von jener Person vorzunehmen ist.3 Erarbeitung von Regelungen zum Umgang mit klassifizierten Informationen 137 . 5. von jener Person in der Organisation. Gewerkschaftszugehörigkeit.2. politische Meinungen. Dies kann in den einzelnen Organisationen unterschiedlich sein und auch von IT-System zu IT-System differieren. Gesundheit oder Sexualleben von natürlichen Personen. Die nachfolgende Klassifizierung gemäß Datenschutzgesetz (DSG 2000) gilt sowohl für den Behörden. wer die Klassifizierung der Daten vorzunehmen hat. in welcher Form die Klassifizierung bzw. die diese Information von außen erhält.2.2 Festlegung der Verantwortlichkeiten und der Vorgehensweise für klassifizierte Informationen ISO Bezug: 27002 7.Klassifizierung von Daten in Bezug auf Datenschutz Werden personenbezogene Daten verarbeitet. so sind die Daten auch dahingehend zu klassifizieren. • 5. • • NUR INDIREKT PERSONENBEZOGEN: Der Personenbezug der Daten kann mit rechtlich zulässigen Mitteln nicht bestimmt werden.2. wenn diese keine eindeutigen Vorgaben gemacht hat. PERSONENBEZOGEN: Angaben über Betroffene (Anmerkung ad Betroffene: Jede vom Auftraggeber verschiedene natürliche oder juristische Person oder Personengemeinschaft.als auch für den privatwirtschaftlichen Bereich. Als allgemeine Richtlinie kann gelten. religiöse oder philosophische Überzeugungen.5. Weiters ist festzulegen. oder. deren Daten verwendet werden). Deklassifizierung erfolgt und wie klassifizierte Information gekennzeichnet wird. von der diese Information stammt. SENSIBEL: Daten über rassische und ethnische Herkunft.1 Im Rahmen der Informationssicherheits-Politik ist generell festzulegen. Die/der für die Information verantwortliche Mitarbeiter/in wird oft als "Dateneigner" oder "Data Owner" bezeichnet.5. deren Identität bestimmt oder bestimmbar ist.

wie die Information in Abhängigkeit von den Sicherheitsklassen zu behandeln ist. elektronische Übertragung. Grundzüge der Business Continuity Planung ISO Bezug: 27002 7. unter welchen Bedingungen) Deklassifizierung klassifizierter Information (wann. Versendung durch Post oder Kurier. Vorschriften zur Verschlüsselung) Registrierung klassifizierter Information Ausdruck klassifizierter Information (auf welchem Drucker. etwaige Vorschriften zur Verschlüsselung) Übermittlung klassifizierter Information (mündliche Weitergabe. chiffriert. so empfiehlt sich die Erarbeitung eines eigenständigen Dokumentes.2 5.2 In diesem Schritt ist festzulegen.ISO Bezug: 27002 7.2.a. die Verfügbarkeit der wichtigsten Applikationen und Systeme innerhalb eines definierten Zeitraumes zu gewährleisten sowie Vorkehrungen zur Schadensbegrenzung im Katastrophenfall zu treffen ("Gewährleistung eines kontinuierlichen Geschäftsbetriebes"). in dem u. Schutz der Backup-Medien) Aufbewahrung / Wiederverwendung / Vernichtung von Datenträgern mit klassifizierter Information Weitergabe klassifizierter Information (an wen.6 Klassifizierung von IT-Anwendungen und IT-Systemen. persönliche Weitergabe.2. Werden in einer Organisation häufig klassifizierte Informationen verarbeitet und gespeichert. durch wen. durch wen) Weitere Informationen zum Umgang mit klassifizierten Informationen siehe Kapitel 7.2. 138 .2 Ziel der Business Continuity Planung ist es. folgende Fragen behandelt werden: • • • • • • • • • Kennzeichnung klassifizierter Information (sowohl elektronischer als auch nichtelektronischer) Verwahrung klassifizierter Information (Zugriffsberechtigungen. über welche Verbindungen. durch wen) Backup (Klartext.

KPlanung). Ausfall der IT-Anwendung unbestimmter Dauer denkbar. Eine Behinderung in der Wahrnehmung der Aufgaben der betroffenen Verwaltungsstelle entsteht durch den Ausfall bzw. Zusätzlich zu den vier genannten Kategorien ist noch die Zusatzqualität „K-Fall sicher“ definiert. sondern muss in den entsprechenden weiteren Aktivitäten erfolgen. Im Rahmen der Informationssicherheits-Politik sind die Verfügbarkeitsklassen für IT-Anwendungen und die diesen Anwendungen zugrunde liegenden IT-Systeme sowie der darauf verarbeiteten oder gespeicherten Informationen zu definieren. dass ein Wiederaufsetzen eines definierten Notbetriebes in der Zero-Risk-Umgebung umgehend möglich ist. so dass bei Betriebsunterbrechung des einen Standortes die IT-Anwendung uneingeschränkt am zweiten Standort weiter betrieben werden kann.Dabei wird unterschieden zwischen der Aufrechterhaltung der Betriebsverfügbarkeit im Fall von Störungen oder Bedienungsfehlern (im Folgenden auch als Business Contingency Planung bezeichnet) sowie der Gewährleistung eines Notbetriebes und des geordneten Wiederanlaufs im Katastrophenfall (Katastrophenvorsorge. Dazu werden die Daten je nach Aktualisierungsgrad laufend in die Zero-Risk-Umgebung transferiert und der Betrieb der IT-Anwendung derart gestaltet. 139 . dass zumindest ein Notbetrieb in einer Zero-Risk-Umgebung möglich ist. Betriebsverfügbarkeitskategorie 4 – Redundante Standorte: Die IT-Infrastruktur sowie die darauf aufsetzende IT-Anwendung ist auf zwei Standorte verteilt. Betriebsverfügbarkeitskategorie 2 – Offline Sicherung: Es sind die gängigen Sicherungsmaßnahmen für die IT-Anwendung vorgesehen. Nachfolgend ein Beispiel für ein solches Klassifizierungsschema – basierend auf den Katastrophenvorsorge. Betriebsverfügbarkeitskategorie 3 – Redundante Infrastruktur: Die Infrastruktur für die IT-Anwendung ist derart ausgelegt. Die IT-Anwendung kann bei technischen Problemen erst nach deren Behebung am ursprünglichen Produktivsystem in Betrieb genommen werden. Es ist ein Datenverlust bzw. welche auch die Anforderungen in Katastrophenfällen berücksichtigt: • K-Fall sicher (K2 bis K4): Die IT-Anwendung ist derart konzipiert. Die Sicherung wird an einen externen Ort ausgelagert. Die Business Continuity Planung selbst ist nicht Bestandteil der InformationssicherheitsPolitik. Datenverlust nicht. dass bei Ausfall einer IT-Komponente der Betrieb durch redundante Auslegung ohne Unterbrechung fortgesetzt werden kann.und Ausfallssicherheitsüberlegungen im IT-Bereich des Bundeskanzleramtes [K-Fall]: • • • • Betriebsverfügbarkeitskategorie 1 – Keine Vorsorge (unkritisch): Für die IT-Anwendung werden keine besonderen Vorkehrungen getroffen. ein Datenverlust ist auszuschließen.

1 Die Informationssicherheits-Politik soll von allen Mitarbeiterinnen/Mitarbeitern getragen werden.8 Dokumente zur Informationssicherheit ISO Bezug: 27002 5. Informationssicherheit im laufenden Betrieb kontinuierlich zu überprüfen und aufrechtzuerhalten. Für nähere Informationen und für Klassifizierungsbeispiele siehe 14. 5. Wirksamkeit und Ordnungsmäßigkeit der eingesetzten Maßnahmen sowie deren Übereinstimmung mit der Informationssicherheits-Politik und dem Informationssicherheits-Konzept vorgeben. organisatorische Regelungen …) gegeben werden. 5.In Summe ergibt eine derartige Einstufung die Verfügbarkeitsklassen 1 bis 4 und K2 bis K4.1.1.2. 140 .1. Die Informationssicherheits-Politik muss daher Leitlinien und Kennzahlen zur Bewertung der Sicherheit hinsichtlich Angemessenheit.1 Abschließend sollte ein Verweis auf die wichtigsten Dokumente zum Informationssicherheits-Management (Sicherheitsrichtlinien.2 Informationssicherheit ist kein durch einmalige Anstrengungen erreichbarer und dann unveränderbarer Zustand. Es ist daher wichtig.1.3. dass bei ihrer Erstellung alle wesentlichen Kräfte der Organisation beteiligt werden und das Dokument mit Vertreterinnen/ Vertretern aller Beteiligten bzw. Die Zusatzoption „K-Fall sicher“ in Verbindung mit Betriebsverfügbarkeitskategorie 1 ist nicht sinnvoll. Informationen über spezielle Sicherheitsmaßnahmen oder -systeme.3 Life Cycle der Informationssicherheits-Politik 5.1 Erstellung der Informationssicherheits-Politik ISO Bezug: 27002 5.1 Definition von Verfügbarkeitsklassen 5.2. Umfassendes InformationssicherheitsManagement beinhaltet vielmehr auch die Aufgabe.7 Überprüfung und Aufrechterhaltung der Sicherheit ISO Bezug: 27002 5. Betroffenen abgestimmt wird.

Wesentliche Voraussetzung für eine erfolgreiche Implementierung und Umsetzung der Informationssicherheits-Politik ist. Dazu sollten in der Folge die für die einzelnen Personengruppen wichtigsten Richtlinien und Vorgaben der Informationssicherheits-Politik zusammengefasst und jeder/jedem Betroffenen in schriftlicher Form zur Kenntnis gebracht werden.Zunächst ist eine verantwortliche Person für die Erstellung der Informationssicherheits-Politik zu nominieren. Ergänzungen zu Dienstverträgen. 5. in den Abstimmungsprozess miteinbezogen werden: • • • • • • • IT-Abteilung Anwender/innen Bereichs-IT-Sicherheitsbeauftragte Personalabteilung Gebäudeverwaltung und Infrastruktur Revision Budgetabteilung Die wesentlichen Inhalte der Informationssicherheits-Politik müssen allen Betroffenen und Beteiligten. Wo nötig. Geheimhaltungsverpflichtungen von externen Personen. dass sie die volle und für jede/n Beteiligte/n sichtbare Unterstützung durch das Management erhält. in Kraft gesetzt und jedem Mitarbeiter/jeder Mitarbeiterin zur Verfügung gestellt.1 Die Informationssicherheits-Politik wird von der Leitung der Organisation offiziell verabschiedet. .1. 5. soweit bereits definiert. aber auch etwa externen Mitarbeiterinnen/Mitarbeitern und Lieferanten.3 Regelmäßige Überarbeitung 141 . also allen Mitarbeiterinnen/Mitarbeitern der Organisation. die/der IT-Sicherheitsbeauftragte sein.3..2 Offizielle Inkraftsetzung der Informationssicherheits-Politik ISO Bezug: 27002 5. bekannt sein.. Im Allgemeinen wird dies. sind das Einverständnis mit diesen Vorgaben und die Kenntnis der daraus erwachsenden Verpflichtungen auch durch eine Unterschrift bestätigen zu lassen (etwa Verpflichtung auf das Datengeheimnis. Weiters sollen Vertreter/innen folgender Bereiche an der Erstellung der organisationsweiten Informationssicherheits-Politik mitarbeiten bzw.).3.

142 . in der Organisationsstruktur oder in den Bedrohungen.2 Zwar stellt die Informationssicherheits-Politik ein langfristiges Dokument dar. Im Allgemeinen wird sie bei der für die IT-Sicherheit beauftragten Person liegen. so ist eine sofortige Überarbeitung der Informationssicherheits-Politik in die Wege zu leiten. nach dem die Informationssicherheits-Politik spätestens überprüft und aktualisiert werden sollte. dennoch ist auch sie regelmäßig auf ihre Aktualität und Übereinstimmung mit den tatsächlichen Anforderungen zu überprüfen und bei Bedarf entsprechend anzupassen. Kommt es jedoch zwischenzeitlich zu gravierenden Änderungen im ITSystem. Als Richtwert hierfür kann ein Zeitraum von zwei bis drei Jahren angesehen werden.ISO Bezug: 27002 5.1. Die Verantwortung dafür ist dezidiert festzulegen.

Folgendes zu veranlassen: 143 . Abgesehen von der Bereitstellung dafür notwendiger finanzieller und personeller Ressourcen müssen klare Ziele und Richtlinien vorgegeben und die jeweiligen Rollen und Verantwortlichkeiten festgesetzt werden.1 Interne Organisation ISO Bezug: 27002 6. Voraussetzung dafür ist eine aktive Rolle der ManagementEbene bei Implementierung. dass die Management-Ebene die Sicherheitsmaßnahmen auch selbst vorbildlich lebt. Mit der steigenden Abhängigkeit der Geschäftsprozesse von der Informationstechnik steigen auch die Anforderungen. 6. Ob Informationssicherheit erreicht und erhalten wird.1.6 Organisation Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 6 ff " ". dass die Informationssicherheit nach innen und außen gewährleistet ist. Dies kann auch.1 Management .1 In der Folge werden zunächst die Grundsätze und Maßnahmen des Informationssicherheits-Managements innerhalb der Organisation dargestellt. Sicherheitsexperten und Interessensgruppen.Verantwortung ISO Bezug: 27002 6. Kontrolle und Weiterentwicklung der Informationssicherheitsmaßnahmen sowie Etablierung und Pflege von Kontakten zu Behörden. Sie übernimmt die Gesamtverantwortung für Informationssicherheit. Dazu hat die Management-Ebene die Aufgabe. Letztlich kommt es aber auch darauf an. Sie initiiert und steuert den Informationssicherheits-Prozess innerhalb der Organisation. in verschiedenen Regelwerken festgelegt sein. dass alle Geschäftsbereiche zielgerichtet und ordnungsgemäß funktionieren und dass Risiken frühzeitig erkannt und minimiert werden. 6.1 Die oberste Management-Ebene jeder Behörde und jedes Unternehmens ist dafür verantwortlich. je nach Organisationsform und Geschäftsbereich. • • • Die Management-Ebene wird über mögliche Risiken und Konsequenzen aufgrund mangelhafter Informationssicherheit informiert.1. hängt also weitgehend vom Engagement und der Unterstützung des Managements ab.

dass bisweilen den Aussagen unbeteiligter Dritter mehr Gewicht bemessen wird als denen eigener Kollegen/ Kolleginnen. Zeit.1.• • • • • • • • Ermitteln der Sicherheitsrisiken für die Organisation und die Informationen sowie damit verbundene Auswirkungen und Kosten. die Aufgabe "Informationssicherheit" wird allerdings typischerweise an eine/n IT-Sicherheitsbeauftragte/n delegiert. Letztere bieten zusätzlich zum Fachlichen bei der notwendigen Sensibilisierung auch den Nutzen. Hilfestellungen kann die Management-Ebene dabei von branchentypischen Standard-Vorgehensweisen zur Informationssicherheit und externen Beratern/ Beraterinnen erhalten. 144 . steuern und kontrollieren.1. Etablierung von Mechanismen. Erarbeitung.Gremien ISO Bezug: 27002 6. Darstellung der Auswirkungen von Sicherheitsvorfällen auf die kritischen Geschäftsprozesse. die sich aus gesetzlichen und vertraglichen Vorgaben ergeben. Integration der Maßnahmen in die Prozesse der Organisation. um die Wirksamkeit der Maßnahmen der Informationssicherheits-Politik zu überprüfen. Dabei ist eine intensive Beteiligung der Führungsebene im "Managementprozess Informationssicherheit" erforderlich. Darstellung der Sicherheitsanforderungen. um das Informationssicherheits-Niveau aufrecht zu erhalten. dass sie in allen Bereichen mit den verfügbaren Ressourcen (Personal. [Q: BSI-Standard 100-2] 6. Die Verantwortung für Informationssicherheit verbleibt auch dort. Identifikation von Informationssicherheits-Zielen.1. Überprüfung und Genehmigung der Informationssicherheits-Politik.1 Die Management-Ebene muss den Sicherheitsprozess initiieren.1 Zusammenwirken verantwortliches Management Mitarbeiter/innen . Etablierung von Mechanismen. Die Management-Ebene muss allerdings die Informationssicherheitsziele so definieren. Finanzmittel) erreichbar sind.

Die Aufgabe "Informationssicherheit" wird durch die Management-Ebene aktiv unterstützt.Nur so kann das Informationssicherheits-Management sicherstellen. Die oberste Management-Ebene ist somit diejenige Instanz. um unter dem überall herrschenden Erfolgsdruck von den jeweiligen Fachverantwortlichen in jede wesentliche Aktivität eingebunden zu werden. Der/Die IT-Sicherheitsbeauftragte braucht hierbei erfahrungsgemäß die volle Unterstützung der Management-Ebene. Geschäftsprozessen und IT von der Management-Ebene häufig als Bringschuld der IT. Allerdings wird rechtzeitige Information über mögliche Risiken beim Umgang mit Informationen. Fachverfahren und Projekte integriert wird. Dies enthebt die Management-Ebene jedoch nicht von ihrer Verantwortung. Die Leitungsebene trägt zwar die Verantwortung für die Erreichung der Sicherheitsziele. Die Gesamtverantwortung für Informationssicherheit verbleibt bei der obersten Management-Ebene. speziell wenn es bereits zu einem Sicherheitsvorfall gekommen ist. Abhängig von Größe und Struktur der Organisation kann dies durch bestehende oder speziell eingerichtete Managementorgane oder -gremien umgesetzt werden. Die Management-Ebene muss sich dafür einsetzen. vor allem dass sie selbst die vorgegebenen Sicherheitsregeln beachtet. Die Management-Ebene übernimmt auch im Bereich Informationssicherheit eine Vorbildfunktion. Die Management-Ebene benennt die für Informationssicherheit zuständigen Mitarbeiter/innen und stattet diese mit den erforderlichen Kompetenzen und Ressourcen aus. dass keine untragbaren Risiken bestehen und Ressourcen an der richtigen Stelle investiert werden. Idealerweise sollten dabei folgende Prinzipien eingehalten werden: • • • • • Die Initiative für Informationssicherheit geht von der Management-Ebene aus. die die Entscheidung über den Umgang mit Risiken trifft und die entsprechenden Ressourcen zur Verfügung stellen muss. Dementsprechend sind die Zuständigkeiten und Verantwortlichkeiten bezüglich Informationssicherheitsthemen zu klären. dass Informationssicherheit in alle relevanten Geschäftsprozesse bzw. Die Management-Ebene trägt die Verantwortung für Prävention und Behandlung von Sicherheitsrisiken.oder Sicherheitsexperten gesehen. dass sie von solchen Informationen umfassend und rechtzeitig erreicht wird. der Sicherheitsprozess muss aber von allen Beschäftigten in einer Organisation mitgetragen und mitgestaltet werden. Daher sollten diese die Management-Ebene über mögliche Risiken und Konsequenzen aufgrund mangelhafter Informationssicherheit regelmäßig informieren. [Q: BSI-Standard 100-2] 145 .

Dazu sind Rollen innerhalb der Organisation festzulegen und diesen entsprechende Aufgaben zuzuordnen. Abstimmung und Beschlusslagen für die erforderlichen Maßnahmen. Wenn nötig sollten auch Fachexperten (Recht. Personalwesen) eingebunden werden. Aktivitäten im Rahmen einer solchen Zusammenarbeit sind: • • • • • • • Abgleichen der Sicherheitsaktivitäten mit der Informationssicherheits-Politik. Bewertung der Eignung und Wirksamkeit der Sicherheitsmaßnahmen. Beschaffenheit und Struktur der jeweiligen Organsiation ab. Schaffung und Förderung von Awareness und Etablierung von Ausbildungs. Identifikation von bestehenden oder sich verändernden Bedrohungen. Administratoren. Meistens umfasst die Koordination der Informationssicherheit die Zusammenarbeit von Managern/Managerinnen.1. muss der Informationssicherheits-Prozess organisationsweit umgesetzt werden. Entwicklern sowie Auditoren und Sicherheitspersonal.6.2 Koordination ISO Bezug: 27002 6.und Schulungsmaßnahmen für Informationssicherheit.2 Um das angestrebte Sicherheitsniveau zu erreichen. Schlussfolgerungen und Verbesserungsmaßnahmen aus Informationssicherheits-Vorfällen (in der eigenen oder auch anderen Organisationen) Wie viele und welche Personen mit Informationssicherheit befasst sind. wenn kein Einklang mit der Informationssicherheits-Politik erstellbar ist. Risikomanagement.Damit können alle wichtigen Aspekte berücksichtigt und die Aufgaben effizient und effektiv erledigt werden. denen die Informationen und informationsverarbeitenden Einrichtungen ausgesetzt sind. Diese Rollen werden dann qualifizierten Mitarbeitern/ Mitarbeiterinnen zur Ausführung übertragen. Maßnahmen. hängt selbstverständlich von der Größe. 146 . Zumindest sollte es jedoch eine/einen Sicherheitsbeauftragten als zentralen Ansprechpartner für die Koordination des InformationssicherheitsProzesses geben.1. Benutzern/Benutzerinnen.

Es regelt die übergreifenden Belange der Informationssicherheit und arbeitet Pläne. wer für Informationen. damit die Zuständigkeit jederzeit deutlich erkennbar ist.etwa in größeren Organisationen . sollten diese Rollen als Stabsstelle organisiert sein.2.3 Definierte Verantwortlichkeiten für Informationssicherheit ISO Bezug: 27002 6. Jede/r Mitarbeiter/in ist dabei für das verantwortlich. der/die Leiter/in IT zusammen mit dem Informationssicherheits-Management für die Ausarbeitung von Sicherheitsvorgaben für die IT-Komponenten. für welche Informationen. kann ein IS-Management-Team aufgebaut werden. Bei komplexeren Informationen. es sei denn. Unbeschadet davon ist jede/r Mitarbeiter/in für die Aufrechterhaltung der Informationssicherheit an seinem/ihrem Arbeitsplatz und in seiner/ihrer Umgebung verantwortlich. Vorgaben und Richtlinien aus.Gibt es . Anwendungen und IT-Komponenten sie in welcher Weise verantwortlich sind. Hierfür sollte immer eine konkrete Person (inklusive Vertreter/ in) und keine abstrakte Gruppe benannt werden. Anwendungen und Systemen. Der/Die Sicherheitsbeauftragte soll direkt einem/einer für Informationssicherheit verantwortlichen Manager/Managerin berichten. die Administratoren für deren korrekte Umsetzung und die Benutzer/innen für den sorgfältigen Umgang mit den zugehörigen Informationen. Umgekehrt sollten natürlich alle Mitarbeiter/innen wissen.1. Beispielsweise ist die Leitungsebene der Organisation verantwortlich für alle grundsätzlichen Entscheidungen bei der Einführung einer neuen Anwendung.1. Es muss festgelegt werden. Siehe dazu auch : 5.3 Um zu einer umfassenden Gesamtsicherheit zu gelangen.3 Organisation und Verantwortlichkeiten für Informationssicherheit [Q: BSI-Standard 100-2] 6. Um den direkten Zugang zur obersten Management-Ebene sicherzustellen. es ist explizit anders geregelt. Anwendungen und ITKomponenten sollten alle Verantwortlichen und deren Vertreter/innen namentlich genannt sein. Anwendungen und IT-Komponenten sowie für deren Sicherheit verantwortlich ist. ist die Beteiligung aller Mitarbeiter/innen einer Organisation an der Umsetzung der notwendigen Sicherheitsmaßnahmen erforderlich. was in seinem/ihrem Einflussbereich liegt.mehrere befasste Personen. Die Fachverantwortlichen als die "Eigentümer" von Informationen und Anwendungen müssen sicherstellen. dass 147 .

wöchentlich. Zugriff zu den Informationen. schriftlich dokumentiert werden Die Fachverantwortlichen müssen zusammen mit dem InformationssicherheitsManagement entscheiden. wie mit eventuellen Restrisiken umgegangen wird.1. Mobiltelefonen und Software. täglich. Die Regelung muss den gesamten Lebenszyklus der jeweiligen Komponente umfassen.2. PDA's.1.4 Benutzungsgenehmigung für Informationsverarbeitung ISO Bezug: 27002 6. B.3 Organisation und Verantwortlichkeiten für Informationssicherheit [Q: BSI-Katalog M 2. also je nach Eigenschaften und Sicherheitsrelevanz: • • • • • • • 148 Erstellung eines Anforderungskataloges Auswahl eines geeigneten Produktes Funktions. Siehe dazu auch : 5.• • • • • • der Schutzbedarf der Informationen. welche die Informationssicherheit gefährden. Freigabe. monatlich) überprüft wird die Aufgaben für die Umsetzung der Sicherheitsmaßnahmen klar definiert und zugewiesen werden der Zugang bzw. USB-Sticks.und Kompatibilitätstest Freigabe Installation Lizenzverwaltung Deinstallation .4 Beschaffung. Installation und Benutzung von Komponenten wie auch etwa externen Laufwerken.225] 6. Anwendungen und ITKomponenten geregelt ist Abweichungen. Dies betrifft die geregelte Abnahme. Anwendungen und IT-Komponenten korrekt festgestellt wurde die erforderlichen Sicherheitsmaßnahmen umgesetzt werden dies regelmäßig (z. Installation und Betrieb von informationsverarbeitenden Komponenten aller Art muss koordiniert und genehmigt sein.

1 Nutzungsverbot nicht-freigegebener Software. sowie 12.1 Mobile IT-Geräte Jedenfalls muss vor Genehmigung von den Komponenten bekannt sein: • • • • ihre Funktionstüchtigkeit ihre Sicherheitseigenschaften mögliche durch ihren Einsatz entstehende Sicherheitsrisiken allfällige Einsatzbedingungen.216] 149 .6 (ff) Testen von Software. Auch nach der Erstinstallation von Komponenten müssen diese weitergepflegt werden.1.7. wer der Eigentümer der Information ist.1.2 Nutzungsverbot privater Hard. wenn sich Änderungen auf die Sicherheit des Gesamtsystems auswirken könnten. zu erarbeitende Installationsanweisungen Während des Genehmigungsverfahrens sollten außerdem Installationsbzw.• Entsorgung / Vernichtung Notwendigkeit zur Koordination und Genehmigung betrifft auch Wartungsaktivitäten an bestehenden sicherheitsrelevanten Einrichtungen.3. Siehe dazu auch: 11.3. die Benutzer/ innen in deren Anwendung zu schulen. Statt dessen müssen exakte Policies ihrer Verwendung und notwendiger Maßnahmen (etwa Verschlüsselung) definiert und umgesetzt werden. Die Installation und Benutzung nicht freigegebener IT-Komponenten muss verboten und die Einhaltung dieses Verbotes regelmäßig kontrolliert werden.11 Deinstallation von Software.und Software-Komponenten [Q: BSI-Katalog M 2. Vor der Inbetriebnahme neuer Komponenten sind (sofern erforderlich) die Administratoren bzw. in denen auch alle sicherheitsrelevanten Einstellungen dokumentiert sind. sind generelle Verbote ihres Einsatzes zunehmend schwieriger umzusetzten. Ebenfalls muss die allfällige Verwendung von persönlichen oder privaten Informationsverarbeitungs-Einrichtungen geregelt werden. wenn sie auch Geschäftsinformationen verarbeiten sollen (weit verbreitet sind Kalender und Telefonlisten auf PDA's bzw. Siehe dazu auch : • • • • 12. bis 12. Mobiltelefonen): Diese können erhebliche Schwachstellen bedeuten. weiters ist bei diesen dann oft unklar. Da sie praktisch sind und in vielen Fällen von der ManagementEbene benutzt werden. und 12. Konfigurationsanleitungen erarbeitet werden.

geistigem Eigentum geregelt sind welche Verwendung der Informationen zulässig ist allfällige Kontrollrechte des Urhebers bzw.6. Aus diesem Grund muss sie den geltenden Gesetzen und Bestimmungen für die Organisation in dem speziellen Einsatzbereich entsprechen und diese berücksichtigen. der überlassenden Organisation allfällige Regelungen für den Gebrauch und die Weitergabe von vertraulichen Informationen an weitere Partner. diese entsprechend zu behandeln. Sie muss klar formuliert sein und aktuell gehalten werden.1. dass externe Mitarbeiter/innen Zugang zur organisationsinternen ITInfrastruktur haben. Vernichtung oder Rückgabe von Datenträgern wie die Eigentumsrechte an Informationen resp. B. ob die Vertraulichkeit für unbeschränkten Zeitraum sicherzustellen ist welche Aktionen bei Beendigung dieser Vereinbarung vorgenommen werden müssen. In einer Vertraulichkeitsvereinbarung sollte beschrieben sein: • • • • • • • • • welche Informationen vertraulich behandelt werden müssen für welchen Zeitraum diese Vertraulichkeitsvereinbarung gilt bzw. z. 150 . In der Vertraulichkeitsvereinbarung kann auch auf die relevanten Sicherheitsrichtlinien und weitere Richtlinien der Organisation hingewiesen werden. sollten diese neben der Vertraulichkeitsvereinbarung auch die ITSicherheitsrichtlinien für die Nutzung der jeweiligen IT-Systeme unterzeichnen. Hierüber sind Vertraulichkeitsvereinbarungen (Non-Disclosure-Agreements) abzuschließen. etwa Pflicht zur Überbindung der Vertraulichkeitsvereinbarung welche Konsequenzen bei Verletzung der Vereinbarung eintreten.5 Externe Mitarbeiter/innen oder Subunternehmen benötigen und erhalten häufig für die Erfüllung ihrer Aufgaben Zugang zu vertraulichen Informationen oder erzielen Ergebnisse. in welche Gerichtsbarkeit die Vertraulichkeitsvereinbarung fällt.1. die vertraulich behandelt werden müssen. In dem Fall.5 Vertraulichkeitsvereinbarungen ISO Bezug: 27002 6. etwa Strafzahlungen bzw. Eine Vertraulichkeitsvereinbarung bietet die rechtliche Grundlage für die Verpflichtung externer Mitarbeiter/innen zur vertraulichen Behandlung von Informationen. In diesen Fällen müssen sie rechtlich bindend verpflichtet werden. die von den externen Mitarbeitern/Mitarbeiterinnen unterzeichnet werden. Haftungen.

aber auch Wasser-. In diesem Fall muss klar definiert werden. Best Practices und anderer Bereiche erhöht. Polizei.bzw.1.7 Rasche Kontaktaufnahme mit zuständigen Behörden oder Versorgungseinrichtungen (Feuerwehr. Zum anderen sollten regelmäßige. der in der Regel viel umfassender ist. Verfahren und Kontaktlisten erstellt werden. verschiedene Vertraulichkeitsvereinbarungen . auch informelle Beziehungen zu solchen Institutionen gepflegt werden. sondern ein gemeinsamer Wissensstand mehrerer Partner aufgebaut. Dazu ist es sinnvoll. Produkten. kann die Organisation auf neue Gegebenheiten (etwa Vorschriften) angepasst werden. die Kontakte mit ihnen gepflegt werden.6 Kontaktpflege mit Behörden und Gremien ISO Bezug: 27002 6. Arbeits. Sinnvoll ist auch die Teilnahme oder Mitgliedschaft in Interessens-. zu bekommen. Daher sollen zum einen rechtzeitig Pläne. welche Vereinbarung für welche Fälle notwendig ist. Aufsicht. Damit wird nicht nur der eigene Wissensstand betreffend Technologien. In solchen Gremien sind meist rasch und unkompliziert Sicherheitswarnungen und Informationen über bereits erprobte Behebungsmaßnahmen. generell Zugang zu Expertenwissen.oder Telekombetreiber) ist insbesondere bei Notfällen.1. Weiters können über solche geeignete Gremien oder Foren neue oder zusätzliche Ansprechpartner für Problemlösungen bzw. in welchen aktiv mitgearbeitet oder lediglich Ergebnisse beobachtet werden. bzw. Behandlung von Sicherheitsvorfällen gefunden werden. resp.6.55] 6.5 Vereinbarung betreffend die Überlassung von Daten [Q: BSI-Katalog M 3. Expertengremien. 6. Gefährdungen.je nach Einsatzzweck . 151 . damit rasch und zuverlässig die richtigen Ansprechpartner kontaktiert und ggf. Damit können beispielsweise Vorsorgemaßnahmen vorab abgestimmt oder relevante Neuerungen bekanntgegeben werden. Muster siehe: Anhang C. resp. Sicherheitsvorfällen oder Verdacht auf kriminelle Handlungen von entscheidender Bedeutung. einen Überblick über passende Gremien und Interessensgruppen zu haben und zu entscheiden. Dies ist eine Aufgabe des Incident Handlings (siehe dazu 13.zu verwenden. ggf. Elektrizitäts und Gasversorgungsunternehmen sowie Internet.1.4 Alarmierungsplan). eingewiesen werden können.1.Es kann sinnvoll sein.

Terminverzug bei der Umsetzung von Sicherheitsmaßnahmen. 6.Allerdings ist zu beachten. Büros. oder es müssen geeignete Vertraulichkeitsvereinbarungen abgeschlossen werden. Infrastruktur und Umfeld sind immer wieder Änderungen unterworfen.oder Schadensfälle aber auch: Planungsänderungen.1. und bleibt nicht ohne Weiteres dauerhaft bestehen. Dies umfasst: • • • • • • • • • • • • neue Geschäftsprozesse neue Anwendungen neue Hard-. dass sensible Informationen auch gegenüber Gremien oder Kontaktpersonen geschützt bleiben müssen. Netzwerke) veränderte Organisationen (Outsourcing) neue Mitarbeiter/innen in Schlüsselpositionen oder: neue oder veränderte Gefährdungen (Nachbarfirmen mit Gefährdungspotenzialen) neue Angriffstechnologien veränderte Vermögenswerte und damit neuer Schutzbedarf Kenntnis von neuen Schwachstellen bereits eingetretene Sicherheitsvor.1.7 Unabhängige Audits der Sicherheitsmaßnahmen ISO Bezug: 27002 6. Entweder dürfen sie also nicht verwendet werden. Software neue oder veränderte Infrastrukturen (Gebäude.8 Das angestrebte Sicherheitsniveau wird in der Regel nicht auf einmal bzw. Leitungen. 152 . Organisation. mit einer einzelnen Maßnahme erreicht.

Termintreue. sondern: • • • • Suche nach und Eliminierung von Fehlerquellen. inwieweit sie umgesetzt sind (vorhanden. Durchführung der Prüfungen: Die laufenden Umsetzungsaktivitäten selbst sind hinsichtlich Umsetzungsstatus.Prüfziel und Prüfzweck: Dies erfordert die regelmäßige Überprüfung (Audit) aller Sicherheitsmaßnahmen. dokumentiert) und auch gelebt werden. ob die Sicherheitsmaßnahmen gemäß Sicherheitskonzept umgesetzt sind oder werden ob technische Maßnahmen korrekt implementiert bzw. insbesondere bei Änderungen in der Organisation. die am Sicherheitskonzept mitgewirkt haben. konfiguriert sind ob Auswertungen (etwa von Protokollen) tatsächlich durchgeführt werden und Auffälligkeiten beachtet werden 153 . Ziel der Prüfung ist nicht Überwachung der Mitarbeiter/innen als Selbstzweck oder gar deren Bloßstellung. Ressourceneinsatz und Kosten zu prüfen. Schwachstellen und Mängeln Abgleich. wirksam. Geprüft werden die Maßnahmen laut Sicherheitskonzept: • • • ob damit die angestrebten Sicherheitsziele erreicht werden können ob sie zum Zeitpunkt der Prüfung noch umsetzbar. Sie sollte durch eine weitgehend unabhängige und kompetente Stelle (Revisionsabteilung oder spezialisierte externe Gutachter) erfolgen: • • • damit nicht nur die unternehmenseigene Sichtweise zum Tragen kommt die Ergebnisse nicht angezweifelt werden können und die Gelegenheit zum Einbringen zusätzlicher Expertise genutzt werden kann. aktuell und vollständig sind ob bzw. Keinesfalls sollten Personen als Prüfer tätig sein. Solche Prüfungen sollten: • • • vom Management initiiert und begleitet sein regelmäßig durchgeführt werden (zumindest einmal pro Jahr) aber auch zwischenzeitlich und unangekündigt erfolgen.

Sicherheitsmaßnahmen. entsprechende Vertraulichkeitsvereinbarungen abgeschlossen werden. Dies gilt insbesondere auch für eingesetzte Prüfwerkzeuge. Ansonsten würden womöglich bekannte Schwachstellen oder gar Vorfälle verschwiegen oder heruntergespielt. Die Durchführung der Prüfung muss vom Management wie jedes andere Projekt koordiniert und begleitet werden. wenn sich die Information auch aus Quellen der normalen Tätigkeit gewinnen lässt). die zeitlich bzw. (Eignung. andererseits darf kein Bereich ungeprüft bleiben. Fortschritt. Immerhin bedeutet sie eine Zusatzbelastung für die Mitarbeiter/innen. was auf Grund der Ergebnisse der Prüfung geschehen soll.B. vorläufige Erkenntnisse und allfällige Probleme der Prüfung informiert wird. Sicherheitskonzept und dokumentierte Sicherheitsmaßnahmen. bisweilen auch räumlich ausreichend unterzubringen ist. Jedenfalls ist dem Management ein Prüfbericht vorzulegen: • • 154 Was wurde jeweils im Einzelnen geprüft und von wem Was war die Prüfgrundlage (z. ob nicht wirtschaftlichere Maßnahmen möglich sind) Schlußfolgerungen aus Sicherheitsvorfällen Verhindern. Sicherheitskonzept. Maßnahmen auf Grund der Prüfergebnisse: Es ist vorab zu definieren. Es sollte einerseits auf Effizienz geachtet werden (etwa Vermeiden unnötiger ad-hoc Listen und Aufstellungen. Basis für die Prüfung sind primär Sicherheitspolitik. Selbstverständlich muss dafür gesorgt sein. dass sensible Informationen geschützt bleiben müssen bzw.• • • • • • • Erkennen von schwachen oder nicht wirksamen Sicherheitsmaßnahmen von nicht eingehaltenen Sicherheitsanweisungen und den Ursachen dafür von neuen oder veränderten Bedrohungen Anpassungsbedarf für das Sicherheitskonzept bzw. dass das Management regelmäßig über Verlauf.und Korrekturmaßnahmen Wesentlich für den Erfolg der Prüfung im Sinne eines Verbesserungspotenzials ist die Akzeptanz und Offenheit seitens aller Beteiligter. die Sicherheitsziele zu erreichen. Auch hier ist darauf zu achten. Solche dürfen nur von autorisierten Personen verwendet werden und sind selbst vor Missbrauch zu schützen. dass sich Sicherheitsvorfälle wiederholen Aufzeigen von Verbesserungs. Daher muss ihnen der Nutzen dargestellt und allfällige Ängste vor Schuldzuweisungen genommen werden. Norm) .

Softwareänderungen. Schließlich entscheidet die Management-Ebene auf Basis der Prüfergebnisse. im Rahmen dessen die Korrekturmaßnahmen dokumentiert. Verantwortung und Ressourcen für ihre Umsetzung.existiert in der Organisation ein periodischer Verbesserungsprozess. um angemessene Konsequenzen einzuleiten. umgesetzt und ihrerseits wieder überprüft werden. zusätzliche Kontrollmechanismen.bei regelmäßigen Prüfungen . welche Konsequenzen zu ziehen bzw. Kommunikationsionfrastrukturanpassung Zu jeder festgestellten Abweichung soll eine Verbesserungsmaßnahme vorgeschlagen werden . [Q: BSI-Katalog M 2.199] 155 . Dazu wird ein Umsetzugsplan verabschiedet wobei festgehalten wird: • • • Zeitaufwand und Fertigstellungstermine Verantwortlichkeiten für die Umsetzung Zur Verfügung gestellte Ressourcen Die Umsetzung der Verbesserungsmaßnahmen ist dann Gegenstand des nächsten Audit. auf Basis der Ergebnisse entsprechende Verbesserungsmaßnahmen einzuleiten.oder gar disziplinäre Maßnahmen Infrastruktur: Bauliche Veränderungen. veränderte Zugriffsberechtigungen Personal: Awareness-. Schulungs. Werden unzulässige Aktivitäten von Mitarbeitern/Mitarbeiterinnen entdeckt. veränderte Leitungsführungen Technik: Hard-. Optimalerweise . Verbesserungsmaßnahmen abhängig von der Ursache können sein: • • • • • ISMS: Anpassung der Sicherheitspolitik oder des Sicherheitskonzepts Organisation: Abänderung organisatorischer Maßnahmen. Netzwerk-.• • • • Was war im Einzelnen das zu erreichende Prüfziel Inwieweit wurde es erreicht oder welche Abweichungen / Unregelmäßigkeiten wurden festgestellt War jeweils die Implementierung / Konfigurierung / Dokumentation korrekt Wie sind allfällig erkannte Schwachstellen / Unregelmäßigkeiten / neue Gefahren zu quantifizieren und welcher Handlungsbedarf ergibt sich daraus Es ist dann die Pflicht des Managements.inklusive Zeitpunkt. sollte der jeweilige Vorgesetzte informiert werden. Verbesserungsmaßnahmen einzuleiten sind.

Ad-Hoc Management-Berichte Im Anlassfall sollten ad-hoc Berichte erarbeitet werden. ist laufend dieses laufend zu bewerten und der Informationssicherheits-Prozess zu steuern. Um deren Niveau zu halten. etwa: • • • • • 156 unerwartete Sicherheitsprobleme neue Gefährdungspotenziale neue Gesetze Probleme die mit den vorgesehenen Ressourcen nicht gelöst werden können In Massenmedien dargestellte Vorfälle . Änderungen. sollte ggf. künftige Planungen) Verbesserungsvorschläge Dies sollte in regelmäßigen aber kurzen und übersichtlichen Berichten an die Management-Ebene erfolgen. Dies gilt auch für die aktuelle Situation der Informationssicherheit.1.ob und inwieweit die eigene Organisation betroffen ist .8 Berichtswesen ISO Bezug: 27002 6.1.8 Die Management-Ebene benötigt für ihre Entscheidungen aussagekräftige und aufbereitete Informationen. Probleme. Auf Aspekte. verwiesen. Ressourcenbedarf. Regelmäßige Management-Berichte Für die Management-Ebene sind nicht so sehr die Details. Jede Änderung an den Sicherheitszielen. diese aber nicht wiederholt werden. Verzögerungen.oder Sicherheitsvorfällen Berichte über den Status des Informationssicherheits-Prozesses (Erledigungen. den Implementíerungen und ím Umfeld wirkt sich auf das Sicherheitsniveau aus. die bereits in anderen Berichten erörtert wurden. Die Sprache sollte auch für nicht technisch versierte Leser verständlich sein.6. daher muss die Management-Ebene darüber informiert werden. sondern die Eckdaten relevant: • • • • Ergebnisse von Audits und Überprüfungen Berichte von Not.

1 6. einer Applikation. die auf ihren eigenen Systemen Anwendungen für ihre Kunden betreiben. Ob dies in den Räumlichkeiten des Auftraggebers oder in einer externen Betriebsstätte des Outsourcing-Dienstleisters geschieht.2 Outsourcing bedeutet. [Q: BSI-Katalog M 2. Ressourcenbedarfs und der jeweiligen Priorität.Abgesehen von bloßen Kenntnisnahmen ist das Ziel solcher Berichte meist eine Entscheidung der Management-Ebene.200] 6. Beispiele: • • • Nutzung und Betrieb von Hardware und Software Betrieb eines Rechenzentrums.1. Diese wird nur dann erreicht. einer Website Wachdienst Dienstleistungen mit Bezug zur IT-Sicherheit ausgelagert heißen Security Outsourcing oder Managed Security Services: • • • • ausgelagerter Firewall-Betrieb Netzwerküberwachung Virenschutz Betrieb eines Virtual Private Networks (VPN) Dienstleister.1 Outsourcing ISO Bezug: 27002 6. wenn zu den aufgezeigten Punkten auch klar formulierte Vorschläge für Maßnahmen dargestellt werden .2.inklusive einer Schätzung des damit verbundenen Aufwands bzw.2. dass Arbeits. heißen Application Service Provider (ASP): • E-Mail 157 . 10. ist nicht erheblich.oder Geschäftsprozesse einer Organisation ganz oder teilweise zu externen Dienstleistern ausgelagert und von diesen durchgeführt werden.2 Zusammenarbeit mit Externen ISO Bezug: 27002 6.

Sicherheitmaßnahmen sowie die Gestaltung vertraglicher Regelungen zwischen Auftraggeber und Dienstleister. dass die Informationssysteme und Netzwerke der eigenen Organisation und ihrer Dienstleister miteinander verbunden werden. Meist sind Auftraggeber und Dienstleister über das Internet oder ein VPN miteinander verbunden.2 Gefährdungen beim Outsourcing ISO Bezug: 27002 6. Damit ergeben sich eine Reihe von potenziell höchst gefährlichen bzw. Wesentlich sind daher beim Outsourcing die Kenntnis und Behandlung der Gefährdungen bzw. besteht nach wie vor ein Trend zu verstärkter Auslagerung.1 158 .2. Eine Herausforderung für die Informationssicherheit liegt darin. Die Erwartung an Outsourcing von Geschäftsprozessen oder Produktionen sind unter Anderem: • • • • Konzentration auf Kernkompetenz (Core Business) Kostenersparnis (etwa IT-Systeme samt Personal) Entlastung eigener Ressourcen Flexibilität der Prozesse Obwohl auch einige Outsourcing-Projekte gescheitert sind. existenzgefährdenden Risiken für die auftraggebende Organisation. [Q: BSI B 1.11] 6.2. Der Ablauf eigener Geschäftsprozesse wird nun vom Dienstleister gesteuert und es entsteht eine Abhängigkeit von dessen Qualität. spricht man von Application Hosting.• • • SAP-Anwendungen Archivierung Web-Shops Sind die Anwendungen Eigentum des Kunden.

Die Gefährdungen können parallel auf physikalischer. die Ausgestaltung der Wertschöpfungskette und betrifft viele weitere wesentliche Belange eines Organisationsmanagements.Die Gefährdungslage eines Outsourcing-Vorhabens ist ausgesprochen vielschichtig. Die Entscheidung über das Auslagern einer speziellen Aktivität beeinflusst nachhaltig die strategische Ausrichtung der Organisation.und Datenträgertransport Unzureichendes Sicherheitsmanagement Ungeeignete Verwaltung von Zugangs. müssen zuvor die organisationseigenen Werte und Informationen entsprechend ihrer strategischen Bedeutung für die Organisation beurteilt und klassifiziert werden. die Definition ihrer Kernkompetenzen.und Freigabeverfahren Ungesicherter Akten. um Fehlentwicklungen der eigenen Organisation frühzeitig zu erkennen und zu verhindern. Um die jeweils existierenden Risiken quantitativ bewerten zu können. • • • • • • • • • • • • • • • • • • Höhere Gewalt Ausfall eines Wide Area Netzwerkes Organisatorische Mängel Fehlende oder unzureichende Regelungen Unerlaubte Ausübung von Rechten Fehlendes oder unzureichendes Test. Es sollten daher alle Anstrengungen unternommen werden. technischer und auch menschlicher Ebene existieren und sind nachfolgend in den einzelnen Gefährdungskatalogen aufgeführt.und Zugriffsrechten Fehlerhafte Outsourcing-Strategie Unzulängliche vertragliche Regelungen mit einem externen Dienstleister Unzureichende Regelungen für das Ende des Outsourcing-Vorhabens Abhängigkeit von einem Outsourcing-Dienstleister Störung des Betriebsklimas durch ein Outsourcing-Vorhaben Mangelhafte IT-Sicherheit in der Outsourcing-Einführungsphase Schwachstellen bei der Anbindung an einen Outsourcing-Dienstleister Unzureichendes Notfallvorsorgekonzept beim Outsourcing Menschliche Fehlhandlungen 159 .

1 Ein ausgelagerter IT-Verbund kann sowohl aus Komponenten bestehen.2.11] 6.und Betriebsphasen ISO Bezug: 27002 6. Für jedes Teilsystem und für die Schnittstellenfunktionen muss das definierte Sicherheitsniveau gewährleistet sein.oder Integritätsverlust von Daten durch Fehlverhalten Technisches Versagen Schlechte oder fehlende Authentifikation Ausfall eines Kryptomoduls Ausfall der Systeme eines Outsourcing-Dienstleisters Vorsätzliche Handlungen Missbrauch von Fernwartungszugängen Missbrauch von Administratorrechten Social Engineering Vertraulichkeitsverlust schützenswerter Informationen Integritätsverlust schützenswerter Informationen Weitergabe von Daten an Dritte durch den Outsourcing-Dienstleister [Q: BSI B 1. Outsourcing zieht wirtschaftliche. In der Regel gibt es in diesem Fall Schnittstellen zur Verbindung der Systeme.• • • • • • • • • • • • Vertraulichkeits. organisatorische und sicherheitsrelevante Aspekte nach sich und bedingt vorab: • 160 Unternehmensstrategie . ob und in welcher Form ein OutsourcingVorhaben umgesetzt wird.2. die sich ausschließlich im Einflussbereich des Outsourcing-Dienstleisters befinden. als auch aus Komponenten beim Auftraggeber. müssen die sicherheitsrelevanten Gesichtspunkte herausgearbeitet werden.3 Outsourcing Planungs. Phase 1: Strategische Planung des Outsourcing-Vorhabens: Schon bei der Entscheidung. technische.

Der Dienstleister hat Zugriff auf Informationen und IT-Ressourcen der eigenen Organisation. Selbstverständlich gibt es viele Fälle. Im Rahmen des Outsourcing werden neue Prozesse und Arbeitsabläufe entworfen. Es muss klar sein.sowie weiteren Risiken .• • • • • Machbarkeitsstudie mit den Rahmenbedingungen Kosten-Nutzen-Schätzung Welche Anwendungen sollen ausgelagert werden (Kerngeschäft. wieso das dem Dienstleister gelingen wird. mitunter aber durch Auslagern mit höherem Risiko . • Die IT-Sicherheit sollte keinesfalls bei den strategischen Überlegungen vernachlässigt werden. wenn er dabei auch noch einen Gewinn lukriert. Konzessionen. Ein gewisser Know-How Transfer zum Dienstleister lässt sich (auch mit "wasserdichten" Vertraulichkeitsvereinbarungen) nicht verhindern. Daher sollte eine Sicherheitsanalyse durchgeführt werden. dass Mitarbeiter/innen oder Subunternehmer des Dienstleisters zeitweise in den Räumlichkeiten der eigenen Organisation arbeiten müssen. da bei dessen Mitarbeitern/Mitarbeiterinnen entsprechendes Wissen entsteht. damit Teile davon ausgelagert werden können: • • IT-Strukturanalyse Schutzbedarfsfeststellung 161 . Datenübertragung vom und zum Dienstleister erzeugt neue Gefährdungen. Gewerbeberechtigungen. es entsteht eine langfristige Bindung an den Dienstleister. ob Auslagerungen von Aufgaben rechtlich möglich bzw. auf Grund von Auflagen schwierig sein werden (etwa gesetztlich festgeschriebene Kompetenzen. Meist ist es notwendig. eingeführt und durchgeführt und bewirken Änderungen des Sicherheitskonzepts und der Implementierungen. Sie verliert die alleinige und vollständige Kontrolle darüber. Es muss vorab abgeschätzt werden.verbunden sein kann: • • • • • • Outsourcing kann in der Regel nicht einfach rückgängig gemacht werden. dass die Verantwortung für Produkte oder Dienstleistungen bei der eigenen Organisation verbleibt. Ein häufiger Grund. wie bestehende IT-Systeme oder IT-Verbünde abgegrenzt und getrennt werden können. wo dies tatsächlich möglich ist. etwa durch gute Auslastung großer Installationen. um festzustellen. Routineabläufe)? Wie können weiterhin Anforderungen an die IT gestellt werden? Was geschieht mit bisher selbst entwickelten IT-Anwendungen? Wesentlich ist zunächst die Klärung.bei gleicher oder gar besserer Qualität. Einschaltung von Aufsichtsbehörden). IT-Dienstleistungen auszulagern ist die Erwartung von Kostensenkungen .

Folgende Aspekte sind in der Regel zu berücksichtigen: • • • • • • • Welches Mindestniveau (IT-Grundschutz) ist von beiden Parteien zu erfüllen? Sowohl Dienstleister wie eigene Organisation müssen über ein Sicherheitskonzept verfügen und dieses umgesetzt haben. Kommunikationsverbindungen.• Feststellung des Handlungsbedarfs sowie der Kosten für umzusetzende Maßnahmen Bei hohem Schutzbedarf wichtiger Systeme oder Anwendungen muss eine ergänzende Sicherheitsanalyse (z. Meist wird ein zusätzliches Restrisiko bei der eigenen Orgtanisation verbleiben. Integrität und Verfügbarkeit müssen erfolgen. Notwendige Einräumung von Zutritts. B. Strukturanalyse und Schutzbedarfsfeststellung (IT-Systeme. Räume) hinsichtlich Vertraulichkeit. Auch nach erfolgter Auswahl wird eine weitere Verfeinerung der Sicherheitsanforderungen bis hin zu den Umsetzungsschritten notwendig sein. Es entstehen Schnittstellen zwischen den nun im Verbund wirkenden Aufgaben. Chancen und Risiken sowie den Erfahrungen. Risikoanalyse) durchgeführt werden.und Zugriffsrechten für den Dienstleister. Anwendungen. müssen die wesentlichen übergeordneten Sicherheitsanforderungen für das Outsourcing-Vorhaben festgelegt werden. Aufzeigen der Auswirkungen relevanter Gesetze und Vorschriften. Geschäftsprozessen. Diese werden zunächst beginnend mt den gewünschten Sicherheitsniveaus in den betroffenen Bereichen immer weiter verfeinert. Diese müssen identifiziert und beschrieben werden. einen geeigneten Dienstleister auszuwählen. Mit dem ausgelagerten Betrieb ergeben sich neue Sicherheitsanforderungen sowohl an den auszuwählenden Dienstleister wie auch an die eigene Organisation. Diese Sicherheitsanforderungen sind die Basis für das Ausschreibungsverfahren. Dies kann erheblichen Aufwand verursachen. 162 . An diese Schnittstellen müssen technische und organisatorische Sicherheitsanforderungen gestellt werden.250] Phase 2: Definition der wesentlichen Sicherheitsanforderungen: Wenn die Entscheidung zum Outsourcing gefallen ist. Anwendungen. [Q: BSI M 2. etwa bei länderübergreifendem Outsourcing oder wenn einer oder beide Partner weltweit tätig sind. um dann konkret genug zu sein. Schließlich erfolgt die Dokumentation der Outsourcing-Strategie mit Zielen. Systemen.

dass diese dann tatsächlich tätig sind und dass es geeignete Vertreter/innen gibt 163 . Anforderungen zur Qualitätssicherung (etwa Messungen von Reaktionszeiten.und Software (etwa keine Systeme anderer Mandanten im gleichen Raum des Dienstleisters. dass sich geeignete Dienstleister bewerben. Vorgaben an die Mandantenfähigkeit und ggf. Anforderungen an die Protokollierung und Auswertung von Protokolldateien.ggf. anders sein als das der eigenen Organisation) Anforderungen an die Informationssicherheit Kriterien zur Messung von Servicequalität und Sicherheit Anforderungen an die Qualifikation der Mitarbeiter/innen. Trennung von Hard. Audits .• • • • • • • • Beschreibung der Anforderungen an Infrastruktur. Spezielle Anforderungen an Hard-/ Software (etwa zertifizierte Produkte beim Dienstleister). Vorgaben zur Absicherung der Kommunikation zwischen Dienstleister und eigener Organisation (Verschlüsselungs. Spezifizieren von gewünschten Verfahren für die Kontrolle und Überwachung (etwa unangekündigte Kontrollen vor Ort. Anforderungen an die Verfügbarkeit von Diensten und IT-Systemen (Service Levels. durch unabhängige Dritte). Lastverteilung etwa bei Web-Servern). exklusiv genutzte Hardware in Käfigen). Personal und Technik durch das zu erreichende Sicherheitsniveau (etwa auch Alarmierungen. Kritische Erfolgsfaktoren dafür. Benennung von Sicherheitsbeauftragten beim Dienstleister). [Q: BSI M 2. Sicherstellung. Organisation.251] Phase 3: Auswahl des Outsourcing-Dienstleisters: Ihr kommt eine besondere Bedeutung zu. Verfügbarkeit). etwa da langfristige Abhängigkeiten entstehen. sind: • • • • • • • möglichst detailliertes Anforderungsprofil darauf basierendes Pflichtenheft Eine bedarfsgerechte Ausschreibung sollte enthalten: Beschreibung des Outsourcing-Vorhabens (Aufgabenbeschreibung und Aufgabenteilung) Beschreibung des geforderten Qualitätsniveaus (dieses kann ggf.und Signaturverfahren).

der die gewünschten Leistungen inklusive Qualitätsstandards und Fristen im Einklang mit der vorhandenen Gesetzgebung festschreibt. kann und sollte sich der Auftraggeber ein Mitspracherecht einräumen lassen. Diese Verträge werden häufig als Service Level Agreements (SLA) bezeichnet. Ausgestaltung der IT-Sicherheitsvorkehrungen. Vorliegen von Sicherheitsüberprüfungen der Mitarbeiter/ innen des Dienstleisters Zu beachten ist. [Q: BSI M 2. Auch die Erstellung des IT-Sicherheitskonzeptes selbst sollte Vertragsbestandteil sein. Nachträgliche Konkretisierungen und Ergänzungen des Vertrages. die vereinbarten Leistungen und Ziele so genau und eindeutig wie möglich vertraglich festzuhalten. wer für die fachlichen Inhalte verantwortlich ist und welche Mitwirkungspflichten dem Auftraggeber obliegen. Sprachkenntnisse). Verwertungsrechte. Sicherheitsüberprüfung. erstellen. Daher kann es notwendig sein. das auch ein Notfallvorsorgekonzept enthält. Weitergabe von Information an Dritte etc. die aufgrund unterschiedlicher Interpretationen der beschriebenen Leistungen notwendig werden. Reaktionszeiten. diese nur gegen Vertraulichkeitsvereinbarung an den sich bewerbenden Dienstleister zu übermitteln. Ggf.253] Phase 5: Erstellung eines IT-Sicherheitskonzepts für den ausgelagerten IT-Verbund: Auftraggeber und Outsourcing-Dienstleister müssen ein detailliertes Sicherheitskonzept. [Q: BSI M 2. dass diese von allen befassten Mitarbeitern/ Mitarbeiterinnen (auch den eigenen) auch in Detailaspekten beherrscht wird Notwendigkeit bzw. 164 . In diesem Vertrag müssen auch die genauen Modalitäten der Zusammenarbeit geklärt sein: Ansprechpartner. Dabei ist es empfehlenswert.252] Phase 4: Vertragsgestaltung: Auf Basis des Pflichtenheftes muss nun ein Vertrag mit dem Partner ausgehandelt werden. dass aus detallierten Sicherheitsanforderungen Schlüsse auf die eigenen Sicherheitsmechanismen und ihre Wirksamkeit gezogen werden können.• • Bei ausländischen Dienstleistern: Festlegung der Sprache für die gemeinsame Kommunikation und Sicherstellung. Kontrolle der Leistungen. welches Personal der Dienstleister einsetzen wird (Qualifikation. sind oftmals mit deutlichen Kostenerhöhungen für den Auftraggeber verbunden. Insbesondere ist zu klären. Umgang mit vertraulichen Informationen. IT-Anbindung.

Daher wird das Sicherheitskonzept für das Outsourcing-Vorhaben in den wenigsten Fällen gleich vollständig und endgültig sein. Outsourcing-Dienstleister 3. Jeder Beteiligte muss ein Sicherheitskonzept in seinem jeweiligen Einflussbereich erstellen und umsetzen (im Fall des Netzproviders sind die Schnittstellen relevant). da in der Regel 3 technische Parteien beteiligt sind: • • • 1.zuständig für die Netzanbindung ist in der Regel der Outsourcing-Dienstleister). ob es vorhanden und ausreichend ist. um Veränderungen z. um Angriffe möglichst zu erschweren Einsatz von Intrusion-Detection-Systemen (IDS).ggf. für die das "Vier-Augen-Prinzip" anzuwenden ist Hard-/Software Einsatz gehärteter Betriebssysteme. Besondere Aufmerksamkeit ist dabei auch auf die Migrationsphase der Aufgaben und Systeme zum Dienstleister zu richten. um Angriffe frühzeitig zu erkennen Einsatz von Datei-Integrität-Prüfungssystemen. Einige Themen und Aspekte für das OutsourcingSicherheitskonzept: Organisation • • • • • • Umgang mit Daten und schützenswerten Betriebsmitteln wie Druckerpapier und Speichermedien.Bei Outsourcing-Projekten ergeben sich viele technische und organisatorische Details erst im Laufe der Planung und der Migration der Systeme. Sicherheitskonzepte für Outsourcing-Vorhaben unterscheiden sich in einigen Punkten von solchen für eigene Systeme. sondern muss während der Migration stetig weiterentwickelt und konkretisiert werden. Outsourcing-Auftraggeber 2.und Timeservern. Am Sicherheitskonzept des Outsourcing-Dienstleisters ist der Auftraggeber nicht direkt beteiligt. sollte aber in einem Audit . da während dieser mit Sicherheitsvorfällen gerechten werden muss. zu erkennen Einsatz von Syslog. nach erfolgreichen Angriffen. aus welchem die Sicherheit im Zusammenspiel der Einzelsysteme hervorgeht.prüfen. um eine möglichst umfassende Protokollierung zu ermöglichen 165 . Netzprovider (Anbindung zwischen den Outsourcing-Parteien . durch externe Dritte . Darüber hinaus muss dann ein IT-Sicherheitskonzept für das Gesamtsystem erstellt und mit den Teilkonzepten abgestimmt werden. B. insbesondere Regelungen zum Anfertigen von Kopien und Löschen/Vernichten Festlegung von Aktionen.

aber Fehler beheben soll oder muss. Router. Zeitintervalle. Virenschutz) Erstellen von Arbeitsanweisungen mit konkreten Anordnungen für bestimmte Fehlersituationen Konzeption von regelmäßig durchzuführenden Notfallübungen Eine besodere Problematik kann sich dadurch ergeben. Verfügbarkeit. dass das Personal des Dienstleisters meist keine inhaltlichen Kenntnisse über die Anwendungen besitzt. Zuständigkeiten. beim Outsourcing-Dienstleister sowie für die Schnittstellen zwischen Auftraggeber und Dienstleister (z. Abläufen und organisatorische Regelungen Notfallvorsorge Beim Outsourcing-Betrieb ist auch die Notfallvorsorge auf unterschiedliche Parteien aufgeteilt und die IT-Komponenten sind verteilt. durch Verschlüsselung. Vertretungsregelungen. getrennte Backup-Medien für jeden Klienten. Daher sind genaue Anweisungen seitens des Auftraggebers erforderlich: 166 . Verbot von Gruppen-IDs für Personal des Dienstleisters Kommunikation • • • • • Absicherung der Kommunikation (z. elektronische Signatur) zwischen Dienstleister und Auftraggeber. B. die auf seinen Systemen betrieben werden. Notfallvorsorgekonzepte müssen für die Systeme beim Auftraggeber. unangekündigte Kontrollen vor Ort. Netzverbindung. Eskalationsstrategien. um sensitive Daten zu schützen Authentisierungsmechanismen Detailregelungen für weitere Netzanbindungen Detailregelungen für den Datenaustausch Kontrollen und Qualitätssicherung Detailregelungen (z. B. B. B. Ansprechpartnern und Abläufen Erstellen von Detailregelungen für die Datensicherung (z. Dienstqualität.• • Einsatz kaskadierter Firewallsysteme zur Erhöhung des Perimeterschutzes auf Seiten des Dienstleisters Sorgfältige Vergabe von Benutzer-Kennungen. Detailgrad) für Kontrollen und Messung von Sicherheit. Telekommunikationsprovider) existieren und detailliert beschreiben: • • • • Regelung und Dokumentation von Zuständigkeiten.

die in das IT-Sicherheitskonzept eingearbeitet werden müssen.Übergang der Anwendungen und Systeme zum Dienstleister: Besonders sicherheitskritisch ist die Migrations. Die kann der Dienstleister meist nicht selbst abschätzen und muss daher rechtzeitig mit dem Auftraggeber Kontakt aufnehmen.und Einführungsphase als Teil des gesamten Vorhabens betrachtet werden: • • • in dieser Phase sind zahlreiche Betriebsfremde involviert es müssen Abläufe etabliert. 167 . Seine Größe hängt vom Vorhaben ab.• • • • • wie bei Fehlern vorzugehen ist welche Aktionen erlaubt resp. [Q: BSI M 2. ggf. verboten sind auf welche anwendungsspezifischen Informationen zurückgegriffen werden kann ob und welche Schutzmaßnahmen für solche Informationen einzuhalten sind welche Anprechpartner beim Auftraggeber für anwendungsspezifische Probleme zur Verfügung stehen Ein weiteres Problem kann sich durch Fortpflanzung eines Anwendungsfehlers auf andere Anwendungen ergeben. zusätzlich mit externen Experten. Aufgaben übertragen Systeme neu eingerichtet bzw. werden Kopien von Produktionsdaten ohne weiteren Schutz verwendet).oder Übergangsphase.83] Phase 6: Migration . Phase 5 wird in der Regel erst nach Beendigung der Migrationsphase abgeschlossen werden können.254. In einem zu erarbeitenden vorläufigen Sicherheitskonzept müssen die Test. die selten sehr sicher sind (z.B. zumindest sollte es aus einem Sicherheitsexperten bestehen und hat die Aufgaben: • Zusammenstellung eines gemischten Teams aus Mitarbeitern/Mitarbeiterinnen des Auftraggebers und des Outsourcing-Dienstleisters. weil sich während der Migration der IT-Systeme und Anwendungen immer wieder neue Erkenntnisse ergeben. In der eigenen Organisation sollte ein Sicherheitsmanagement-Team speziell für die Umstellungsphase eingerichtet werden und schon vor der Umstellung für sicheren ITBetrieb während der Migrationsphase sorgen. die deshalb einer sorgfältigen Planung bedarf. angepasst werden Bei Tests in Phasen großer Arbeitsbelastung werden gerne "quick and dirty" Lösungen gewählt. M 6.

Mitarbeiter/innen zu zusätzlichen Bereitschaftsdiensten heranzuziehen. beispielsweise in der Behandlung von Fehlfunktionen und sicherheitsrelevanten Vorkommnissen eingestellt hat. auf Vollständigkeit und Aktualität. ob durch Erkenntnisse aus der Umstellung Verträge (Service Level Agreements) oder vorgesehene Sicherheitsmaßnahmen angepasst werden müssen. B. Urlaubssperren). Anruf eines vermeintlichen Mitarbeiters bzw. Sicherstellung. Auswahl geeigneter interner Mitarbeiter/innen für die Test-. entsteht eine Gefahr des Social Engineering (z.• • • • • • Erarbeiten eines Sicherheitskonzeptes für die Umstellungsphase. ohne die laufenden Systeme zu vernachlässigen. sind ggf. Einführungsphase und den späteren Betrieb (ggf. Ressourcenplanung und Tests.mit klaren Führungsstrukturen und eindeutigen Ansprechpartnern auf beiden Seiten . Da sie dabei mit neuen und unbekannten Ansprechpartnern konfrontiert sind. Anpassung auf neue Gegebenheuten durch das Outsourcing. Schulung der Mitarbeiter/innen des Auftraggebers über Abläufe und Verhalten während und nach der Umstellung. Einstellungen sicherheitsrelevanter Parameter . Festlegen der Verantwortlichkeiten für die Umstellungsphase . Laufende Überprüfung. Planung und Durchführung der erforderlichen Tests und Abnahmeprozeduren. ggf. • • • • In der Einführungsphase des Outsourcing-Vorhabens und der ersten Zeit des Betriebs muss dem Notfallkonzept besondere Aufmerksamkeit geschenkt werden. Prüfung der Dokumentation. Nach der Umstellung / Migration muss das Sicherheitskonzept auf Basis der Erfahrungen und Änderungen während der Umstellungsphase aktualisiert werden: • • • 168 Konkrete Darstellung aller Sicherheitsmaßnahmen Ansprechpartner und Zuständigkeiten mit Namen und notwendigen Kontaktdaten. Erreichbarkeitszeiten Dokumentation der Systemkonfigurationen inkl. Störungen durch Tests und dabei auftretende Fehler müssen einkalkuliert werden. einer Mitarbeiterin des Sicherheitsteams des Dienstleisters).auch auf oberer Management-Ebene. Applikationen und ITSysteme des Auftraggebers. Bis sich bei allen Beteiligten die notwendige Routine. Einweisung des Dienstleisters auf die relevanten Abläufe. vertragliches Mitspracherecht des Auftraggebers). die der Dienstleister übernehmen soll. Planung der Produktionsumstellung. dass die vorgesehenen Mitarbeiter/innen zur Verfügun stehen (ggf.

Die einzelnen Aufgaben unterscheiden sich zwar nicht grundsätzlich vom Betrieb innerhalb der eigenen Organisation. Gweschäftsprozesse durch den OutsourcingDienstleister sind Maßnahmen zur Gewährleistung der IT-Sicherheit im laufenden Betrieb notwendig und müssen bereits im Vorfeld .• Schulungen für das Personal auf den Regelbetrieb [Q: BSI M 2. B. ob sie noch aufeinander abgestimmt sind und das gewünschte Sicherheitsniveau gewährleisten Auswirkungen von Änderungen im Einflussbereich des Dienstleisters und Information darüber an den Auftraggeber Im Rahmen des ausgelagerten Betriebs sind weiters durchzuführen: Regelmäßige Kontrollen • • • • • • • • Durchführung der vereinbarten Audits Umsetzungsstand der vereinbarten Sicherheitsmaßnahmen Wartungszustand von Systemen und Anwendungen Rechtezuweisung durch den Dienstleister Einsatz von Mitarbeitern/Mitarbeiterinnen. Qualitätsniveau Datensicherung Regelmäßige Abstimmungen Informationsaustausch zwischen den Partnern über mögliche Auswirkungen auf die Dienstleistung bzw. geplante Projekte. durch die Verteilung auf mehrere Partner und zusätzlichem Abstimm.inklusive Notfall und Eskalationsszenarien . Kontrollbedarf entstehen allerdings Besonderheiten: • • • Regelmäßige Aktualisierungen von Richtlinien und Dokumentationen Regelmäßige Überprüfungen der Sicherheitskonzepte aller Beteiligten. die dem Auftraggeber nicht gemeldet wurden. z. Gesetzesänderungen. personelle/organisatorische Änderungen. B. vorgesehene Tests und Systemänderungen) 169 . Sicherheit (z.geplant worden sein. Verfügbarkeit. Vertretungen Performance.bzw.255] Phase 7: Planung und Sicherstellen des laufenden Betriebs: Nach Übernahme der Systeme bzw. Dies sollte in einem OursourcingBetriebskonzept erfolgen.

• • • • Information über aufgetretene Probleme wechselseitiges Feedback und Aufzeigen von Verbesserungspotenzialen Motivation der Mitarbeiter/innen (etwa positive Beispiele einer gelungenen Kooperation) Änderungswünsche (Hardware. Wiedereinspielen von Datensicherungen Beherrschung von Sicherheitsvorfällen [Q: BSIM 2. gestiegener Ressourcenbedarf) Regelmäßige Übungen und Tests • • • Reaktion auf Systemausfälle (Teil.256] 170 . Software. Ausweitung des Dienstleistungsportfolios.oder Totalausfälle) Wiederanlauf.

Checklisten. Versorgungseinrichtungen e) Mitarbeiter / Mitarbeiterinnen mit ihren Qualifikationen und Erfahrungen f) Immaterielle Werte. Hardware..7 Vermögenswerte und Klassifizierung von Informationen Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 7 ff "Management von Vermögenswerten". jeweils dazu eine/n Eigentümer/in /sowie Verantwortliche/n zu benennen und Regeln für den sicheren Umgang damit aufzustellen.1 Vermögenswerte Unter Vermögenswerten sind gemäß ISO 27002 ganz allgemein zu verstehen: • • • • • • a) Informationen (Daten. in einem Verzeichnis aufzulisten. Forschungsergebnisse.h. Vereinbarungen. Betriebsmittel.1 Inventar der Vermögenswerte (Assets) mittels Strukturanalyse ISO Bezug: 27002 7. Das heißt vereinfacht: Alles was für eine Organisation einen Wert darstellt.. Räume.1 Mittels Strukturanalyse werden die Geschäftsprozesse und die dafür benötigten Assets (Informationen. Verfahrensanleitungen. 171 .1. IT-Systeme. Schulungsunterlagen.) b) Software (System-. Verträge.und Kommunikationsdienste. Dokumentationen. d. Datenträger d) Rechen. Handbücher. Protokolle. wie zB Ruf und Image der Organisation. Die folgenden Maßnahmen sollen die Vermögenswerte der Organisation schützen. Zuerst werden geschäftskritische Informationen und Anwendungen ermittelt und die betroffenen IT-Systeme. Fahrzeuge. Pläne. 7. Anwendungssoftware) c) Gebäude. Kommunikationsnetze) erhoben.1. sie zu klassifizieren. Dazu ist es zunächst notwendig. Räume und Netze erfasst. Anwendungen. [Q: CASES Leitfaden "Klassifikation"] 7. zu identifizieren. Einrichtungen.

172 . jedes Objekt einzeln zu erfassen. IT-Systeme am gleichen Switch). Es kann daher auch zweckmäßig sein.B. Allerdings ist es dabei schwierig.B. Aktivitäten für eine Strukturanalyse: • • • • • Erfassung Geschäftsprozesse. Netzplanerhebung Dabei ist es oft nicht zweckmäßig ist. Erhebung von Datenträgern und Dokumenten. für die Inventarisierung. Stattdessen sollten Objekte zu Gruppen zusammengefasst werden. zuerst die Anwendungen und ausgehend davon die weiteren betroffenen Objekte zu ermitteln.klassische Vorgehensweise ist. Anwendungen und Informationen im Geltungsbereich. Damit wird die Strukturanalyse hinsichtlich Datenmenge und Komplexität handhabbar. ähnlichen administrativen und infrastrukturellen Rahmenbedingungen unterworfen. wenn als Datenquellen bereits aktuelle Datenbanken oder Übersichten vorhanden und nutzbar sind (z. Erfassung der baulichen Gegebenheiten. Oft lassen sich dann die Anwendungen anhand der betrachteten IT-Systeme leichter ermitteln. sie dienen ähnlichen Anwendungen. wenn sie folgende Ähnlichkeiten aufweisen: • • • • • • vom gleichen Typ. das Konfigurationsmanagement oder die Gestaltung von Geschäftsprozessen). abstrakte Anwendungen losgelöst von konkreten technischen Komponenten zu erfassen. Eine weitere Vereinfachung des Vorgangs kann sich ergeben. Erhebung von IT-Systemen. haben den gleichen Schutzbedarf. ähnlich konfiguriert. zunächst die IT-Systeme zu erheben. ähnlich in das Netz eingebunden (z.

Bei allen Teilaufgaben sollten jeweils Objekte zu Gruppen zusammengefasst werden. andererseits der optimalen Effizienz zu optimieren. Unternehmen) unterstützen. jeder Fachaufgabe im Geltungsbereich sind die damit zusammenhängenden Anwendungen und Informationen zu identifizieren. wenn dies sinnvoll und zulässig ist.1 Erfassung Geschäftsprozessen. die für die betrachteten Geschäftsprozesse oder Fachaufgaben erforderlich sind und ein jedenfalls ein Mindestniveau an: • • • Geheimhaltung (Vertraulichkeit) oder Korrektheit und Unverfälschtheit (Integrität) oder Verfügbarkeit 173 .Gruppierung Bei technischen Komponenten wird durch konsequente Gruppenbildung auch die Administration wesentlich vereinfacht wird. Eine ausführliche Version des Beispiels findet sich in den Hilfsmitteln zum IT.1.1 Anwendungen sind Verfahren. können auch Server zu Gruppen zusammengefasst werden). Sicherheitsmaßnahmen für einen solchen Bereich können ohne Unterscheidung verschiedenster Schwachstellen umgesetzt werden. In der Regel gibt es in einer Orgtanisation viele Clients. welche Geschäftsprozessen und Fachaufgaben in Organisationen (z. Für die geeignete Granularität ist zwischen einerseits einer für die Feststellung des Schutzbedarfs nötige Detaillierung.Grundschutz auf den BSI-Webseiten. Durch eine möglichst hohe Standardisierung innerhalb einer IT-Umgebung wird außerdem die Zahl potentieller Sicherheitslücken reduziert. Abgesehen von der zuvor beschriebenen Gruppenbildung beschränkt sich die Strukturanalyse auf Anwendungen und Informationen. Überdies können damit auch Kosten gespart werden. weil es dann nur wenige Grundkonfigurationen gibt. wo viele Server die gleiche Aufgaben wahrnehmen. [Q: BSI-Standard 100-2] 7.B. Ein wichtigste Beispiel ist die Zusammenfassung von Clients. Anwendungen und Informationen ISO Bezug: 27002 7. in großen Informationsverbünden.1. Die Teilaufgaben der Strukturanalyse werden nachfolgend beschrieben und durch ein begleitendes Beispiel erläutert. die sich jedoch gemäß obigem Schema in eine überschaubare Anzahl von Gruppen aufteilen lassen (Dies gilt analog auch für Räume und andere Objekte.Ausgehend von jedem Geschäftsprozess bzw. Eine Stichprobe aus einer Gruppe repräsentiert dann in der Regel den Sicherheitszustand der Gruppe.1. Behörden.

die Nutzung geeigneter Software.1 174 . ob die beschriebene Anwendung personenbezogene Daten speichert und/oder verarbeitet (Schutzbedarf der Information ergibt Schutzbedarf der Anwendung) Unterstützte Geschäftsprozesse Verantwortliche und Benutzer/innen der Anwendung (Ansprechpartner/innen für Sicherheitsfragen) Es empfiehlt sich natürlich eine tabellarische Darstellung bzw. die für die Anwendung bzw. sollten bei der Erfassung der Anwendungen die Benutzer bzw. Dabei sollte mit den Servern begonnen werden.1.erfordern.mitunter mobilen . Um dies sicherzustellen. welche Netzkomponenten welche Anwendungen unterstützen. Schließlich wird noch ermittelt. • • • • Es ist also für jede Fachaufgabe festzustellen. Abhängigkeiten zwischen Geschäftsprozess / Fachaufgabe und einer konkreten Anwendung darzustellen. Ergänzt wird die Erhebung mit den Clients und .1. empfiehlt es sich oft. pro erfasster Anwendung: • • • • Zwecks spätere Zuordnungensollten die Anwendungen durchnummeriert werden. in gemeinsamen Meeting der Fach. IT-Abteilungen und Anwendungsverantwortlichen.1. Wurden alternativ zuerst die IT-Systeme erfasst. Für Datenschutzbeauftragte / IT Sicherheitsbeauftragte: Vermerk. an ihnen orientiert die darauf laufenden Anwendungen zusammenzutragen. Denn es ist es angesichts der steigenden Komplexität oft schwierig.2 Erfassung von Datenträgern und Dokumenten ISO Bezug: 27002 7..EinzelplatzSystemen. [Q: BSI-Standard 100-2] 7. welche Anwendungen für ihre Abwicklung notwendig sind und auf welche Daten dabei zugegriffen wird. vervollständigt werden.ggf.für den Geschäftsprozess Verantwortlichen nach ihrer Einschätzung befragt werden .

1. Beispiele für gesondert erfasste Datenträger und Dokumente: • • • • • • Archiv. Client mit mit Betriebssystemangabe. Jedoch sind sie dann gesondert in der Strukturanalyse zu erfassen. es sei denn sie werden im normalen Betrieb mit unterschiedlichen Systemen verbunden (etwa externe Laufwerke). Netzdrucker. so sind beispielsweise Informationen über den Lagerbestand Voraussetzungen für die Verarbeitung von Bestellungen. Wartung. Mikrofilme Empfehlenswert ist auch die Erfassung der Abhängigkeiten zwischen Anwendungen. Server bzw. Bildschirm). Telekommunikationsanlagen.und Backup-Datenträger. Allerdings werden Systeme betrachtet und nicht einzelne Bestandteile (CPU. Smartphones für den mobilen Einsatz. Datenträger für den Austausch mit externen Kommunikationspartnern. Eine vollständige. Externe Festplatten. wenn sie nicht mit einer bestimmten Anwendung oder einem IT-System verknüpft sind. Dabei bedeutet der Begriff IT-System umfasst dabei nicht nur Computer im engeren Sinn. Ausgedruckte Notfall.1. USB-Sticks.1. etc. [Q: BSI-Standard 100-2] 7. Fehlersuche und Instandsetzung von IT-Systemen notwendig. Im Vordergrund steht dabei die technische Realisierung eines IT-Systems. wichtige Verträge.3 Erhebung der IT-Systeme ISO Bezug: 27002 7.und sonstige Handbücher.Bei der Erfassung der Anwendungen sollten auch Datenträger und Dokumente mitbetrachtet und können wie Anwendungen behandelt werden. 175 . Auch dafür sollten möglichst Gruppen gebildet und ur Datenträger und Dokumente mit einem Mindest-Schutzbedarf berücksichtigt werden. korrekte und aktuelle Auflistung der IT-Systeme ist auch für deren Überprüfung. beispielsweise Einzelplatz-PC.1 In ebenso tabellarischer Form wird eine Liste der vorhandenen und geplanten ITSysteme aufgestellt. sondern auch aktive Netzkomponenten.

Kürzel oder Bezeichnung des IT-Systems. Benutzer/innen. Netzpläne oder ähnliche grafische Übersichten sind auch aus betrieblichen Gründen in den meisten Institutionen vorhanden.1.4 Netzplan ISO Bezug: 27002 7. aktive Netzkomponenten (wie Switches.1 ). Token-Ring). insbesondere also auch solche.1. Plattform (z. können sie weiterhin als ein Objekt behandelt werden.1. in Planung). Für die Informationssicherheit sind folgende Objekte relevant: • • IT-Systeme ( Client. die nicht im Netzplan aufgeführt sind. auch solche. aus der die Zusammenhänge zwischen den wichtigen Anwendungen und den entsprechenden IT-Systemen hervorgehen. Informationen pro IT-System: • • • • • • • • eindeutige Nummerierung. Router. Wurden ITSysteme im Netzplan zu einer Gruppe zusammengefasst. Beschreibung (Typ und Funktion). ATM) etc.und Server-Computer). Status (in Betrieb. WLANs. bei Gruppen: Anzahl der zusammengefassten IT-Systeme. welche dem IT-System zuzuordnen sind (Datenverarbeitung und/ oder -transfer). Hardware-Architektur/Betriebssystem). Aufstellungsort . Anwendungen. B. 176 . die nicht im Netzplan aufgeführt sind. Auch dafür sollten nach Möglichkeit bereits existierende Datenbanken oder Übersichten über die vorhandenen oder geplanten IT-Systeme genutzt werden. Backbone-Techniken (FDDI. Netzverbindungen zwischen diesen Systemen: LANs (Ethernet.Zu erfassen sind sowohl die vernetzten als auch die nicht vernetzten IT-Systeme.1. (vgl 7. [Q: BSI-Standard 100-2] 7. Administratoren des IT-Systems. WLAN Access Points).1 Ein Netzplan ist eine grafische Übersicht über die im Geltungsbereich eingesetzten Komponenten und deren Vernetzung. Anwender/innen bzw. Netzdrucker etc. Ergebnis ist eine Übersicht. im Test.

virtuelle Netzverbindungen. B.• Verbindungen nach außen (z. auf den unteren Schichten verwendete Netzprotokolle (z. Bluetooth.B.. B. ISDN aber auch Funkstrecken. Kürzel oder Bezeichnung als Referenz zur Grafik. [Q: BSI-Standard 100-2] 7. wie Virtuelle LANs (VLANs) oder Virtuelle Private Netze (VPNs). Lichtwellenleiter. Identifikationsnummer). kann dafür ein separater Netzplan die Übersichtlichkeit verbessern. wenn ihre logischen (virtuellen) Strukturen wesentlich von den physischen abweichen. vollständige Bezeichnung (Hostname. Plattform (Hardware. WLAN. vorhandenene Kommunikationsschnittstellen (z.1. TCP/IP). X. Mobilfunk sowie Standleitungen zu entfernten Gebäuden oder Liegenschaften etc. Betriebssystem. Ggf. Internet mit Name des Providers).B. externe Netzanbindungen (z.. Der Netzplan sollte möglichst in elektronischer Form mit Hilfe geeigneter Tools erstellt und gepflegt werden. B. etc). zuständiger Administrator. maximale Datenübertragungsrate. etc).B.. Datenbank-Server für bestimmte Anwendung Nr. Art der Netzanbindung. Kommunikationsanbindung (z. Internet-Zugänge über DSL-Modems.. B. Router. verkabeltes LAN. Es empfiehlt sich. Internet. Jedes dargestellte Objekt sollte auch in einem zugehörigen Katalog eingetragen werden mit folgenden Elementen: • • • • • • • • eindeutige Nummerierung.Raumnummer). LAN. Ethernet. Standort (Gebäude. Bereiche mit unterschiedlichem Schutzbedarf zu kennzeichnen.5 Erfassung der Gebäude und Räume 177 . anch außen wird eingetragen: • • • • Art der Verkabelung bzw.1. sollten ebenfalls im Netzplan dargestellt werden.). z. Virtuelle IT-Systeme. WLAN. Typ und Funktion (z. Netzadresse Für die Netzverbindungen zwischen den Objekten bzw. Virtuelle Netze.

und Netzwerkstrukturen ständig an neue Anforderungen der Organisation angepasst. Gebäude. 178 . Dabei sollte auch die Art der in den Räumen jeweils verarbeiteten Informationen nachvollziehbar sein.6 Aktualisierung der Strukturanalyse ISO Bezug: 27002 7. [Q: BSI-Standard 100-2] 7.1. Datenträgerarchive). zu erstellen. Daher ist es of sinnvoll.1 In der Regel werden die IT. Viele Organisationen nutzen ein Gebäude oder eine Etage allen. in denen IT-Systeme aufgestellt oder die für den IT-Betrieb genutzt werden: • • • • • Räume. Oft sind Geschäftsprozesse und Fachaufgaben auch in fremden Räumlichkeiten angesiedelt. einen Plan über die Liegenschaften. Schutzschränke.1 In ein Sicherheitskonzept müssen alle Liegenschaften und Gebäude einbezogen werden. weitere Räume. die ausschließlich dem IT-Betrieb dienen (wie Serverräume. die weit verstreut sind oder mit anderen Nutzern geteilt werden müssen.ISO Bezug: 27002 7. dass die Aufzeichnungen dann nicht auf dem aktuellen Stand sind. da dies meist aufwändig ist. Räume. vor allem die Räume. über die Kommunikationsverbindungen laufen. den Plan zu aktualisieren. Nicht in jedem Fall werden solche Änderungen umgehend in den Aufzeichnungen der Erhebung bzw.1. innerhalb derer die betrachteten Geschäftsprozesse und Fachaufgaben betrieben werden. aber häufig nutzen Organisationen Liegenschaften. aber auch Aktenordner und Mikrofilme) aufbewahrt werden. Etagen. in denen unter anderem IT-Systeme betrieben werden (wie Büroräume). eine je nach Gegebenheiten eine mehr oder weniger umfangreiche Übersicht bzw. Räume sowie die Wegstrecke zwischen diesen. in denen IT-Systeme untergebracht sind sind wie Räume zu erfassen.1. In der Praxis werden oft nur größere Änderungen an der IT-Struktur einzelner Bereiche zum Anlass genommen. Dazu gehören Betriebsgelände.1. in denen schutzbedürftige Informationen (Datenträger. im Netzplan nachgezogen. sowie Wegstrecken. Die Folge ist.

Netzpläne. ob wirklich alle relevanten Komponenten ermittelt wurden . Dazu sollten auch die IT-Verantwortlichen und Administratoren der einzelnen Anwendungen bzw. Netze konsultiert werden. die vorliegenden Aufzeichnungen periodisch oder anlässlich größerer Änderungen bzw. indem sie beispielsweise akive Komponenten automatisch erkennen. Dabei ist normalerweise nicht der Eigentümer oder Inhaber im rechtlichen Sinn gemeint. Diese ggf. Dazu wird in der Organisation jedem Vemögenswert bzw. 179 . sondern ein/e Manager/ in bzw.2 Eigentum von Vermögenswerten ISO Bezug: 27002 7. der/die die Verantwortung für die Verwaltung dieses Vermögenswertes und somit für dessen Sicherheit trägt. die sich zum Zeitpunkt des Erkennungslaufes nicht in Betrieb befunden haben. Zu beachten ist jedoch.und Systemmanagement unterstützen Objeklisten bzw. Insbeseondere ist er/ sie für die Klassifikation des Vemögenswertes und die darauf anzuwendenden Sicherheitsregeln und -maßnahmen verantwortlich. Es muss sichergestellt sein. [Q: BSI-Standard 100-2] 7. dass solche Funktionen emporär zusätzlichen Netzverkehr erzeugen.1. Beauftragte/r.1. Existierende Iinformationen über Liegenschaften.2 Zu jedem Vermögenswert (Asset) muss es eine klar definierte Verantwortlichkeit geben. Einige Programme zum zentralisierten Netz. im Zuge von Audits mit den tatsächlich vorhandenen Strukturen und Objekten abzugleichen und gegebenenfalls auf den neuesten Stand zu bringen: • • • • • Existierende Übersichten.etwa solche. jeder Art von Vermögenswert ein Eigentümer zugewiesen. dass dieser Netzverkehr nicht zu Beeinträchtigungen des IT-Betriebs führt. Existierende Informationen über die enthaltenen Kommunikationsverbindungen sichten und gegebenenfalls aktualisieren und vervollständigen.Eine häufige Vorgehensweise besteht darin. halb-automatischen Erkennungen stets daraufhin geprüft werden. grafische Darstellungen und Netzpläne sichten. Existierende Informationen über die enthaltenen IT-Systeme sichten und gegebenenfalls aktualisieren und vervollständigen. Gebäude und Wegstrecken sichten und gegebenenfalls aktualisieren und vervollständigen. Ebenso sollte das Ergebnis von automatischen bzw. Dazu muss er/sie jedoch auch ausreichende und entsprechende Befugnisse besitzen. aktualisieren oder neu erstellen.

Diese Verantwortung kann zwar nicht delegiert werden. Anwendungen und IT-Komponenten sollten alle Verantwortlichen und deren Vertretungen namentlich genannt sein. Dazu müssen sie allerdings wissen. Bei komplexeren Informationen.225] 7.1 Verantwortiche für Vermögenswerte (Assets) ISO Bezug: 27002 7. die Administratoren für deren korrekte Umsetzung und die Benutzer/innen für den sorgfältigen Umgang mit den zugehörigen Informationen. Jede/r Mitarbeiter/in ist für das verantwortlich. der Leiter der IT zusammen mit dem Informationssicherheitsmanagement für die Ausarbeitung von Sicherheitsvorgaben für die IT-Komponenten. für welche Informationen.2 Aufgaben der Eigentümer und Verantwortlichen ISO Bezug: 27002 7. die Aufgaben für die Umsetzung der Sicherheitsmaßnahmen klar definiert und zugewiesen werden.2 Die Fachverantwortlichen als Eigentümer von Informationen und Anwendungen müssen die Sicherheitsmaßnahmen zu deren Schutz sicherstellen. Anwendungen und IT-Komponenten korrekt festgestellt wird. Anwendungen und ITKomponenten festgelegt werden. Beispielsweise ist die Leitungsebene der Organisation verantwortlich für alle grundsätzlichen Entscheidungen bei der Einführung einer neuen Anwendung.1. Anwendungen und Systemen.2. es ist explizit anders geregelt). .2 Grundsätzlich ist die Beteiligung und Mitwirkung aller Mitarbeiter/innen einer Organisation an der Umsetzung der erforderlichen Sicherheitsmaßnahmen erforderlich.2. damit die Zuständigkeit jederzeit deutlich erkennbar ist. was in seinem/ihrem Einflussbereich liegt (es sei denn. Es muss jedoch konkret und exakt für alle Informationen. wer für diese und deren Sicherheit verantwortlich ist. [Q: CASES Leitfaden "Klassifikation"] 7. Dazu sollte immer eine konkrete Person (inklusive Vertretung) und keine abstrakte Gruppe benannt werden.1.1.1. aber der Eigentümer kann Mitarbeiter/innen oder Berater mit der Verwaltung und Ausarbeitung der Regeln beauftragen und genehmigt schießlich die vorgeschlagenen Regeln. [Q: BSI M 2. • • 180 der Schutzbedarf der Informationen. Anwendungen und IT-Komponenten sie in welcher Weise verantwortlich sind.

Die Fachverantwortlichen müssen zusammen mit dem Management über eine Vorgehensweise befinden. [Q: BSI M 2.• • • • die erforderlichen Sicherheitsmaßnahmen umgesetzt werden. Zugriff zu den Informationen. 181 . 15.2. Diese PC-Richtlinie soll zumindest den Einsatz von unvernetzten PCs regeln. Selbstverständlich gehört dazu auch ein generell sorgfältiger und schonender Umgang mit Geräten wie etwa PC's.1 Herausgabe einer PC-Richtlinie ISO Bezug: 27002 7. wie mit eventuellen Restrisiken umgegangen werden soll.1 Um einen sicheren und ordnungsgemäßen Einsatz von Personalcomputern in größeren Organisationen zu gewährleisten. Beschädigung. werden PCs vernetzt betrieben oder als intelligente Terminals genutzt.3 Zulässige Nutzung von Vermögenswerten ISO Bezug: 27002 7.1.3. Die veranwortliche Entscheidung obliegt der Management-Ebene. ist die Richtlinie um diese meist weiter einschränkenden Punkte zu erweitern. Bedeutend ist in diesem Zusammenhang auch eine Clear Desk Policy.1. die Informationssicherheit gefährdende Abweichungen schriftlich dokumentiert werden. Speziell Administratoren und IT-Verantwortliche müssen mit den ihnen eingeräumten. in der verbindlich vorgeschrieben wird. um Kompromittierungen von gedruckten Informationen zu vermeiden. oft weitreichenden Privilegien sorgfältig und nur im vorgesehen Ausmaß umgehen . Diebstahl. welche Randbedingungen eingehalten werden müssen und welche IT-Sicherheitsmaßnahmen zu ergreifen sind.dies gilt auch für Notfälle und Ausnahmesituationen. sollte eine PC-Richtlinie erstellt werden. der Zugang bzw.1.225] 7.3. 11.3 Benutzer/innen von Informationen und den sie verarbeitenden Einrichtungen sind dafür verantwortlich.3.3. 7. Kompromittierung etc. geschützt werden. dies regelmäßig überprüft wird. dass diese nur gemäß ihrer vorgesehenen Bestimmung verwendet und vor Verlust. Anwendungen und ITKomponenten geregelt ist.1.

Umzusetzende und einzuhaltende IT-Sicherheitsmaßnahmen: Im letzten Teil der PC-Richtlinie ist festzulegen. Sind Telearbeiter/innen im Unternehmen bzw. PC-Administratoren.3 Regelungen für Telearbeit .1.aktualisiert werden. Es kann je nach Schutzbedarf auch über die ITGrundschutzmaßnahmen hinausgehen. 11. welche ITSicherheitsmaßnahmen von dem/der IT-Benutzer/in einzuhalten bzw. dazu Kapitel 11. sollte die PC-Richtlinie um die dafür spezifischen Regelungen ergänzt werden. das Datenschutzgesetz 2000 und das Urheberrechtsgesetz ) hingewiesen.3. Möglicher inhaltlicher Aufbau einer PC-Richtlinie: • • • • • Zielsetzung und Begriffsdefinitionen: Dieser erste Teil der PC-Richtlinie soll dazu dienen.insbesondere im Hinblick auf die ITSicherheitsmaßnahmen .1] 7. Dabei sind insbesondere die Funktionen IT-Benutzer/innen. dass jede/r PC-Benutzer/in ein Exemplar dieser Richtlinie besitzt und dass die Einhaltung regelmäßig überprüft wird.2. Bereichs-IT-Sicherheitsbeauftragte und Applikations-/Projektverantwortliche zu unterscheiden.3.3. Die PC-Richtlinie muss regelmäßig .B. [eh SYS 5. welche Inhalte für eine solche PC-Richtlinie sinnvoll sind. um alle relevanten betriebsinternen Regelungen aufzuführen. Rechtsvorschriften und interne Regelungen: Hier wird auf wichtige Rechtsvorschriften (z. Datenschutz-/IT-Sicherheitsbeauftragte.2. für welche Teile des Unternehmens bzw. 15.1 182 . wer im Zusammenhang mit dem PC-Einsatz welche Verantwortung trägt.3.1. Es ist dafür Sorge zu tragen. Vgl. Darüber hinaus kann diese Stelle genutzt werden.Im Folgenden wird grob umrissen. Gleichzeitig werden die für das gemeinsame Verständnis notwendigen Begriffe definiert und eine einheitliche Sprachregelung geschaffen. in der Behörde beschäftigt. umzusetzen sind. 11. Geltungsbereich: In diesem Teil muss verbindlich festgelegt werden. Vorgesetzte.2 Einführung eines PC-Checkheftes ISO-Bezug: 27002 7. die PC-Anwender/innen für IT-Sicherheit zu sensibilisieren und zu motivieren. Verantwortungsverteilung: In diesem Teil wird definiert.3.7. der Behörde die PC-Richtlinie gilt.

in dem der/die PC-Nutzer/in die wichtigsten Angaben zum Gerät dokumentiert. planmäßige Zeitpunkte für die Datensicherungen. Aufstellungsort des PC.B.und Software. Einsatzgebiet (z.Um die durchgeführten IT-Sicherheitsmaßnahmen am PC zu dokumentieren. durchgeführte Wartungen und Reparaturen. zur Verfügung stehendes Zubehör. [eh SYS 5.1.7.3 11.1.3 Geeignete Aufbewahrung tragbarer IT-Systeme ISO Bezug: 27002 7. große Organisationen führen und verwalten diese Dokumentationen im Allgemeinen zentral. Zugangsmittel.)). Diese Maßnahme bietet sich in erster Linie für kleine und mittlere Organisationen an. Ansprechpartner für Problemfälle und Zeitpunkte der durchgeführten Datensicherungen. eingesetzte Hard. Kundendienst Inland) Erlaubnis (Laptop) aus dem Betriebsräumen zu entfernen Beschreibung der Konfiguration.o. Passwort-Änderungen und Viren-Checks durchführt (sofern dies nicht zentral erfolgt (s. Kommt ein PC-Checkheft zum Einsatz.1 183 . Zeitpunkt von Passwort-Änderungen. kann ein PC-Checkheft eingeführt werden.3. des PC-Benutzers. durchgeführte Revisionen. durchgeführte Viren-Kontrollen. Das Führen eines solchen PC-Checkheftes erleichtert Kontrolltätigkeiten und unterstützt eine notwendige Selbstkontrolle der PC-Benutzerin bzw. so sollte es folgende Informationen enthalten: • • • • • • • • • • • • • • • Name der PC-Benutzerin bzw.2] 7. damit sie/er regelmäßig Datensicherungen. des PCBenutzers.

7. Zusätzlich ist ein Zugriffschutz zu aktivieren oder das Gerät auszuschalten. Bei mobilem Einsatz müssen die Benutzer/innen versuchen. Weil ein tragbares IT-Systeme besonders leicht zu transportieren und zu verbergen ist. 184 . die tragbaren ITSysteme auch außer Haus sicher aufzubewahren. so ist entweder dieser Raum nach Möglichkeit auch bei kurzzeitigem Verlassen zu verschließen oder das Gerät mitzunehmen. Vergleiche 11.Tragbare IT-Systeme wie Laptops.auch dann. Ebenso sollten mobile Endgeräte vor schädlichen Umwelteinflüssen geschützt werden. Insbesondere der Akku. also beispielsweise vor Feuchtigkeit durch Regen oder Spritzwasser. um unerlaubte Nutzung zu verhindern. jedenfalls sollte das Gerät nur so kurz als möglich in einem Kraftfahrzeug aufbewahrt werden (keinesfalls über Nacht). wenn sie sich im vermeintlichen sicheren Büro befinden. sondern in einem Schrank verschlossen werden. Zur Beaufsichtigung des Geräts gehört auch. sollte das Gerät von außen nicht sichtbar sein (Abdecken oder Einschließen in den Kofferraum). also beispielsweise in einem Schrank oder Schreibtisch. im Flugzeug oder im Hotelzimmer zu vergessen. es nicht etwa im Taxi. Bietet das Gerät eine Möglichkeit zum Anketten. in Hotelzimmern sollte das mobile IT-System nicht offen herumliegen. wird das mobile IT-System in einem fremden Büro vor Ort benutzt.1 Mobile ITGeräte Einige Hinweise für die mobile Nutzung: Schutz vor Diebstahl und Verlust: • • • • • • • Das Gerät sollte gar nicht oder nur in einem minimalen Zeitraum unbeaufsichtigt sein. Auch deshalb sollten IT-Geräte aber auch ihre Akkus nicht in geparkten Autos zurückgelassen werden. oder angekettet werden. Schutz vor Beschädigung: • • Ein mobiles IT-System sollte nie extremen Temperaturen ausgesetzt werden. wo möglich. sollte das Gerät außerhalb der Nutzungszeiten weggeschlossen werden. PDAs oder Mobiltelefone sind durch ihre Bauform immer beliebte Ziele für Diebstähle und müssen sicher aufbewahrt werden . aber auch das Display können anderenfalls beschädigt werden. am Flughafen. bei Aufbewahrung eines tragbaren PC oder PDA in einem Kraftfahrzeug. sollte sie genutzt werden.

oder Wachdienste. sinwieweit die Regelungen für die Mitnahme von Datenträgern und IT-Komponenten eingehalten werden. Die Art und der Umfang der anzuwendenden IT-Sicherheitsmaßnahmen für extern eingesetzte IT-Komponenten hängt einerseits vom Schutzbedarf der darauf gespeicherten IT-Anwendungen und Daten und andererseits von der Sicherheit der Einsatz. Grundsätzlich sollte für alle IT-Komponenten.B. das die wichtigsten Hinweise und Vorsichtsmaßnahmen zur geeigneten Aufbewahrung und zum sicheren Transport der Geräte enthält. M 1. Oft sollen sie aber auch außer Haus eingesetzt werden.34] 7.1. Verschlüsselung sensitiver Daten. dass solche Kontrollen nicht in unnötig schikanöse Durchsuchungen ausarten.bzw. aber dennoch sollten sie auch bei kürzeren Transportwegen möglichst stoßgeschützt befördert werden. welche grundlegenden IT-Sicherheitsmaßnahmen dabei beachtet werden müssen (Virenschutz. für die Benutzer mobiler IT-Systeme ein Merkblatt zu erstellen. bei Dienstreisen oder Telearbeit.7. Datenträger außer Haus mitgenommen werden dürfen.3 Datenträger und IT-Komponenten sind meist innerhalb der Liegenschaft(en) der eigenen Organisation hinreichend vor Mißbrauch und Diebstahl geschützt. eine entsprechende Genehmigung eingeholt werden müssen. in größeren Organisationen) Zurittskontrollen durch Portier. 185 . Datenträger außer Haus mitnehmen darf. etc. Gibt es (z. Bei Laptops sollte beispielsweise das Gerät zusammengeklappt werden.). Aufbewahrungsorte ab. [Q: BSI M 1.3. wer IT-Komponenten bzw. Für einen ausreichenden Schutz muss die Mitnahme von Datenträgern und IT-Komponenten klar geregelt werden. B. Dabei ist jedoch darauf zu achten. Grundsätzlich ist es immer empfehlenswert. da sowohl die Scharniere als auch der Bildschirm bei einem Sturz leicht beschädigt werden können. Es ist empfehlenswert. Dabei muss festgelegt werden: • • • welche IT-Komponenten bzw.1.• Mobile IT-Systeme sind heute zwar robust. die extern eingesetzt werden sollen. Aufbewahrung. z.4 Mitnahme von Datenträgern und IT-Komponenten ISO Bezug: 27002 . kann mittels Stichproben kontrolliert werden. für den Transport ein schützendes Behältnis zu verwenden.33.

10. 9. die Kamera in den Rechner (bzw. Bei Mitnahme ins Ausland: unerlaubter Import von Verschlüsselungstechnik Es ist mit der Offenlegung der Daten vor Zollbeamten zu rechnen [Q: BSI M 1. müssen diese .1.und ausgeschaltet werden kann.wenn möglich ausgeschaltet oder physikalisch vom Gerät getrennt werden. Diese Mechanismen sollten auch genutzt werden.1.1. Falls das Mikrofon bzw. solange jemand an dem IT-System arbeitet.Außerhalb der organisationseigenen Büros bzw. wann und von wem welche IT-Komponenten außer Haus eingesetzt wurden. die Videokamera eines vernetzten Rechners kann von denjenigen benutzt werden. ob Zugriffsrechte und Eigentümer bei einem Zugriff auf die Gerätedatei verändert werden.3. Liegenschaften sind die Benutzer/ innen für den Schutz der ihnen anvertrauten IT verantwortlich und darauf sowie auf zu ergreifende Vorsichtsmaßnahmen sind sie hinzuweisen. Falls dies der Fall ist oder falls gewünscht ist. Wenn die Benutzung eines vorhandenen Mikrofons oder einer Kamera generell verhindert werden soll.3 Geeignete Aufbewahrung tragbarer IT-Systeme ). Wartung und Weitergabe von extern eingesetzten IT-Systemen sollte geregelt werden.5 Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Videokameras ISO Bezug: 27002 7. die Kamera benutzen kann (und nicht nur in Einzelfällen eine Freigabe durch den Systemadministrator erfolgen soll). IT-Systeme oder Datenträger. Es ist zu prüfen. Bei Dienstreisen sollten sie nicht unbeaufsichtigt bleiben oder in Fahrzeugen zurückgelassen werden (siehe auch 7. den Bildschirm) integriert ist und nur durch Software ein. dass jede/r Benutzer/in das Mikrofon bzw. IT-Systeme wie Laptops oder Mobiltelefone und deren Anwendungen können im Allgemeinen durch PINs oder Passwörter abgesichert werden. das 186 .8. muss die Systemadministration ein Kommando zur Verfügung stellen.3. die Zugriffsrechte auf die entsprechende Gerätedatei haben. Die Verwaltung. sollten möglichst komplett verschlüsselt werden. müssen die Zugriffsrechte so gesetzt sein. die sensitive Daten enthalten. Der Zugriff auf die Gerätedatei sollte nur möglich sein.218] 7. etwa: • • • • • • • IT-Systeme müssen stets sicher aufbewahrt werden. Es sollte protokolliert werden.1.1 Das Mikrofon bzw.3.5. dass es keine Unbefugten benutzen können.

. wie etwa USB-Sticks. dass in vielen Fällen eine völlige Sperre der Wechselmedien entweder technisch nicht möglich oder aber aus betrieblichen Gründen nicht durchsetzbar ist.6] 7.. bringen aber auch eine Reihe von Risiken mit sich. 10. (Logische) Sperre von Schnittstellen: 187 .• • • nur aktiviert werden kann. etc.7. USB Festplatten oder CD-ROM..1.1. Mikrofon und Kamera nach einer voreingestellten Zeitspanne ohne Aktivität automatisch abzuschalten (Timeout). Es ist aber zu betonen.) und organisatorische Maßnahmen (Kontrollen.eine Reihe von Möglichkeiten zur Verfügung.B. . . wenn jemand an dem IT-System angemeldet ist. Laufwerke (bzw..3. nur durch diese/n Benutzer/in aktiviert werden kann und die Zugriffsberechtigungen dem/der Benutzer/in nach dem Abmelden wieder entzieht.8 Wechselmedien. Als derartige Risiken wären unter anderem zu nennen: • • • unkontrolliertes Booten von Geräten etwa von USB-Sticks.abhängig von der Art der Wechselmedien und dem zugrunde liegenden Betriebssystem .. ZIPDisketten..) erforderlich. Maßnahmen zur Sicherung von Wechselmedien: • • • Verzicht auf USB-. USB-Festplatten. unautorisierte Installation von Software und unberechtigte Kopien von Daten auf Wechselmedien (Verlust der Vertraulichkeit). CD-ROM-. ihr nachträglicher Ausbau) (Physischer) Verschluss von Laufwerken (z. 10. ermöglichen raschen und einfachen Transfer von Daten und Programmen. Wünschenswert wäre es auch.6 Absicherung von Wechselmedien ISO Bezug: 27002 7. durch Einsatz von Diskettenschlössern). . Verbote. Hier sind zusätzliche personelle (Anweisungen. CD-ROMs.1.3. Zur Verringerung dieser Bedrohungen stehen .. [eh SYS 5. die unten beispielhaft angeführt werden.

etwa über das Internet oder mittels Attachments von Mails möglich ist.2 188 .2 Klassifizierung von Informationen ISO Bezug: 27002 7. Dabei ist allerdings zu beachten. Es muss jedoch auch sichergestellt werden. Diese Vorgehensweise bietet einen relativ hohen Grad an Sicherheit (insbesondere an nachträglichen Nachweismöglichkeiten). dass die Benutzer diese Einstellungen nicht mehr verändern können. jedoch bestimmten Regeln unterworfen.1.3] 7. Hier sind entsprechende Vorkehrungen zu treffen. Die jeweiligen Regeln müssen allen Benutzern bekannt gegeben werden und deren Einhaltung kontrolliert werden. können die Akzeptanz dieser Maßnahme bei Benutzerinnen bzw.Vergleiche Kapitel 11. [eh SYS 5. die mit bestimmten kryptografischen Schlüsseln versehen worden sind.B. ist die parallele Schnittstelle oft für den Anschluss eines Druckers offen zu halten). Konfigurationsänderungen etc. Solche Regeln könnten etwa Beschränkungen auf die Verwendung bestimmter Dateitypen sein. Häufige Übersiedlungen. Es sollte hierbei jedenfalls das Booten von Wechselmedien im BIOS deaktiviert werden. Deaktivierung im BIOS: Das BIOS bietet Möglichkeiten um nur von bestimmten Laufwerken zu booten. Gegebenenfalls Verblenden und Verplomben von Schnittstellen Nach Anschluss aller erforderlichen Schnittstellen wird die Rückseite des Gerätes mit einer speziellen Abdeckung verblendet. Regeln: In vielen Fällen ist die Benutzung externer Speichermedien durchaus erlaubt. Diese wird verplombt. dass damit die Flexibilität der Systeme stark eingeschränkt wird. SCSISchnittstellen) und oft auch aus betrieblichen Gründen nicht durchführbar ist (z.4 Wechselmedien und externe Datenspeicher.7.• • • • Viele Betriebssysteme bieten die Möglichkeit. Verschlüsselung: Es existieren verschiedenste Produkte. dass bei IT-Systemen im Netzwerk ein Laden von Treibern etc. Es ist auch zu bedenken. zulassen.B. die Zugriffe ausschließlich auf Datenträger. so dass etwaige Manipulationen ersichtlich sind. Schnittstellen zu sperren. Benutzern und Systemverantwortlichen stark reduzieren. dass dies nicht immer technisch möglich (z. es ist aber zu bedenken.

deren Teilbereiche ja von unterschiedlichen Eigentümern interpretiert werden. Integrität und Verfügbarkeit des Assets wieder.5 Klassifizierung von Informationen beschrieben. Jede solche Sicherheitsklasse gibt die Anforderungen bezüglich Vertraulichkeit. Somit muss nicht für jedes Asset eine eigene Liste mit Regeln erstellt werden.Klassifikation dient zur Identifizierung. aber auch die Gewährleistung einer vollständigen und stimmigen Klassifikation.2.und Datenschutzkriterien ist unter 5. Bei der Klassifikation wird jedem Vermögenswert (Asset) eine bestimmte Sicherheitsklasse zugeordnet. Ein Leitfaden zur Klassifizierung nach Vertraulichkeits. Daher sollten Standardmethoden verwendet werden. Die Herausforderungen bei Klassifikation sind zunächst die richtige Einschätzung der jeweiligen Sicherheitsklasse. Die Klassifikation ist ein umfassender Ansatz. [Q: CASES Leitfaden "Klassifikation"] 189 . bei dem die einzelnen Assets durch ihre Klassen repräsentiert werden. Dokumentation und Umsetzung der Regeln für die richtige Verwendung von Informationen duch ihren jeweiligen Eigentümer.

2 gibt einige spezielle Regelungen für Fremdpersonal. die teilweise sinngemäß auch für Fremdpersonal gelten. Die Mitarbeiter/innen stellen eine der wichtigsten Ressourcen einer Organisation dar. Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000) § 15 "Datengeheimnis". Kapitel 8. Vorschriften und interner Regelungen zu verpflichten.1 Verpflichtung der Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze.3 Bei der Einstellung von Mitarbeiterinnen/Mitarbeitern sind diese zur Einhaltung einschlägiger Gesetze (z.B. 8. sowie dem Informationssicherheitsgesetz für den Bereich der öffentlichen Verwaltung). IT-Sicherheit kann auch bei besten technischen Maßnahmen nur funktionieren. Vorschriften und Regelungen ISO Bezug: 27002 8. Aus diesen Gründen ist der Schulung und Sensibilisierung für Fragen der ITSicherheit eine besondere Bedeutung zuzumessen.1.oder Fehlerquellen dar. 190 . wenn die Mitarbeiter/innen ein ausgeprägtes Sicherheitsbewusstsein haben und bereit und fähig sind.1. Im Folgenden werden in Kapitel 8. Kapitel 8. sich mit den Möglichkeiten und potentiellen Problemen von Mitarbeiterinnen/Mitarbeitern auseinander zu setzen ("Know your Employee"). § 14 "Datensicherheitsmaßnahmen" und § 13 "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland".1 Regelungen für eigene Mitarbeiter/innen angeführt.3 schließlich führt Maßnahmen zur Sensibilisierung und Schulung im Bereich IT-Sicherheit auf. Darüber hinaus ist es auch notwendig. die Vorgaben in der täglichen Praxis umzusetzen. Andererseits stellen Mitarbeiter/innen auch potentielle Angriffs.8 Personelle Sicherheit Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 8 ff "Personelle Sicherheit".1 Regelungen für Mitarbeiter/innen 8.

1. Neben der Verpflichtung auf die Einhaltung von Gesetzen und Vorschriften empfiehlt es sich insbesondere.1 Bei der Erstellung von Stellenbeschreibungen ist dafür Sorge zu tragen. Dies gilt in besonderem Maße für Mitarbeiter/innen mit speziellen Sicherheitsaufgaben (Mitglieder des IT-SicherheitsmanagementTeams. 8.3 Vertretungsregelungen ISO Bezug: 27002 8.6.1. nicht nur die Verpflichtung durchzuführen.1 191 . die dann auch in eine entsprechende Verpflichtungserklärung aufzunehmen sind: • • • Clear Desk Policy. IT-Sicherheitsbeauftragte. Regelungen zu folgenden Bereichen zu treffen. dass alle sicherheitsrelevanten Aufgaben und Verantwortlichkeiten explizit in diese Beschreibungen aufgenommen werden.3.2 Aufnahme der sicherheitsrelevanten Aufgaben und Verantwortlichkeiten in die Stellenbeschreibung ISO Bezug: 27002 8. Dabei ist es sinnvoll. sondern auch die erforderlichen Exemplare der Vorschriften und Regelungen auszuhändigen und gegenzeichnen zu lassen bzw.1. 8. 7. 8.1.2. 10.Damit sollen neue Mitarbeiter/innen mit den bestehenden Vorschriften und Regelungen zur IT-Sicherheit bekannt gemacht und gleichzeitig zu deren Einhaltung motiviert werden. Applikations-/Projektverantwortliche).3. Anzuführen sind dabei sowohl die allgemein aus der organisationsweiten IT-Sicherheitspolitik abzuleitenden Verpflichtungen als auch spezielle Verantwortlichkeiten auf Grund der Tätigkeit.1.1. Bereichs-ITSicherheitsbeauftragte. Datenschutzbeauftragte. falls vorgesehen (vgl.7 Clear Desk Policy) Einhaltung von PC-Benutzungsregeln (vgl. für die Mitarbeiter/innen an zentraler Stelle zur Einsichtnahme vorzuhalten. Kap.1 Herausgabe einer PCRichtlinie) Einhaltung der Regeln für die Benutzung des Internet (s.10 Remote Access und Anhang C) 8.

und Zutrittsberechtigungen nur im Vertretungsfall erhalten. sollte frühzeitig überlegt werden. welche externen Kräfte für den Vertretungsfall eingesetzt werden können. Hier ist es von besonders großer Bedeutung. 8. Die/der Vertreter/in darf die erforderlichen Zugangs.6 Kryptographische Maßnahmen). dass sie/er die Aufgaben jederzeit übernehmen kann. Unfall.3 Scheidet ein/e Mitarbeiter/in aus. so sollten einige Punkte beachtet werden. Dies ist besonders im Bereich der Informationsverarbeitung von Bedeutung.oder Projektstand hinreichend dokumentiert ist.1. dass der Verfahrens. vorgesehene Mehraugenprinzipien unterlaufen. da dafür meist Spezialwissen sowie eine zeitgerechte Einarbeitung unkundiger Mitarbeiter/innen unbedingt erforderlich sind.Vertretungsregelungen haben den Sinn. zB wenn sich zwei kollektiv Berechtigte wechselseitig vertreten. Es muss festgelegt sein. wer wen in welchen Angelegenheiten mit welchen Kompetenzen vertritt. so bedeutet deren Ausfall eine gravierende Gefährdung des Normalbetriebes. die auf Grund ihres Spezialwissens nicht kurzfristig ersetzbar sind. Für die Vertretungsregelungen sind folgende Randbedingungen einzuhalten: • • • • • • • Die Übernahme von Aufgaben im Vertretungsfall setzt voraus. Dies wären: 192 . Dienstreise) und auch unvorhersehbare Fälle (Krankheit.U. für vorhersehbare (Urlaub. dass es Personen gibt. eine/n Vertreter/in zu schulen. für Personen eine/n kompetente/n Vertreter/in zu benennen oder zu schulen. Stellt sich heraus. Kündigung) des Personenausfalls die Fortführung der Aufgabenwahrnehmung zu ermöglichen. Es sollte vermieden werden. Daher muss vor Eintritt eines solchen Falles geregelt sein. welcher Aufgabenumfang im Vertretungsfall von wem wahrgenommen werden soll. Im Zusammenhang mit der Verwendung von kryptographischen Systemen ist auch über ein Verfahren zur Offenlegung von kryptographischen Schlüsseln im Rahmen des Kryptokonzeptes zu achten (siehe auch Kapitel 12. Die/der Vertreter/in muss so geschult werden. Ist es in Ausnahmefällen nicht möglich.4 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeiterinnen/Mitarbeitern ISO Bezug: 27002 8. dass Vertretungsregeln u.

dass alle Verschwiegenheitserklärungen weiterhin in Kraft bleiben und keine im Rahmen der Tätigkeit erhaltenen Informationen weitergegeben werden dürfen. Dies betrifft auch die externen Zugangsberechtigungen via Datenübertragungseinrichtungen. Als ein praktikables Hilfsmittel haben sich Laufzettel erwiesen. Von der/dem Ausscheidenden sind sämtliche Unterlagen. dass bei Ausscheidenden keine Unterlagen. zu löschen.B. Nach Möglichkeit sollte eine Neuvergabe der User-ID an eine/n andere/n Mitarbeiter/in vermieden/ausgeschlossen werden.1. Speichermedien. auf denen die einzelnen Aktivitäten der/des Ausscheidenden vorgezeichnet sind. Ausgeschiedenen Mitarbeiterinnen/Mitarbeitern ist der unkontrollierte Zutritt zum Behörden. die sie/er vor Verlassen der Behörde bzw. Es sind sämtliche für die/den Ausscheidende/n eingerichteten Zugangsberechtigungen und Zugriffsrechte zu entziehen bzw.3 193 . ausgesprochen werden. 8. insbesondere der Portierdienst. insbesondere zu Räumen mit IT-Systemen zu verwehren. Optional kann sogar für den Zeitraum zwischen Aussprechen der Kündigung und dem Ausscheiden der Entzug sämtlicher Zugangs. Ist die ausscheidende Person ein/e Funktionsträger/in in einem Notlaufplan. Sämtliche mit Sicherheitsaufgaben betrauten Personen.5 Geregelte Verfahrensweise bei Versetzung eines Mitarbeiters ISO Bezug: 27002 8. ausgeliehene IT-Geräte (z. schützenswerte Räume zu betreten. so ist der Notlaufplan zu aktualisieren. so ist nach Ausscheiden einer der Personen die Zugangsberechtigung zu ändern. Dokumentationen) zurückzufordern. tragbare Rechner. Vor der Verabschiedung sollte noch einmal explizit darauf hingewiesen werden. Wurde in Ausnahmefällen eine Zugangsberechtigung zu einem IT-System zwischen mehreren Personen geteilt (z. ausgehändigte Schlüssel. sind über das Ausscheiden der/des Mitarbeiterin/Mitarbeiters zu unterrichten.und Zugriffsrechte auf IT-Systeme sowie darüber hinaus auch das Verbot.B. mittels eines gemeinsamen Passwortes).• • • • • • • • • • • Vor dem Ausscheiden ist eine Einweisung der/des Nachfolgerin/Nachfolgers durchzuführen. Firmenausweise einzuziehen.bzw. Betriebsmittel oder Zugangsmöglichkeiten verbleiden. Insbesondere sind die Behörden. des Unternehmens zu erledigen hat. Es ist sicherzustellen.oder Firmengelände. und diese Nachfolgenden für ihre Tätigkeiten zur Verfügung stehen.

Dazu gehört auch die ergonomische Gestaltung des Arbeitsplatzes. §126a zu Datenbeschädigung). In vielen Fällen kann es hilfreich sein. ihre Mitarbeiter/innen und eventuelle potentielle Probleme zu kennen ("Know your Employee").7 Clear Desk Policy ISO Bezug: 27002 8.1. die bei solchen Problemen konkrete Hilfe und Lösungsmöglichkeiten anbieten kann. Ergonomie ist nicht Gegenstand dieses Handbuches. Dazu gehören etwa verschließbare Schreibtische oder Schränke. Unterlagen und Zubehör verschlossen werden können..Bei Versetzung einer/eines Mitarbeiterin/Mitarbeiters oder einer wesentlichen Änderung ihrer/seiner Tätigkeit sind ihre/seine Zugangsberechtigungen sowie Zugriffsrechte auf Übereinstimmung mit den neuen Anforderungen zu überprüfen und gegebenenfalls anzupassen. Hierzu besteht eine Reihe von Regelungen und Normen.a. unbefugte Mitarbeiter/innen.) Zugriff zu Schriftstücken.6 Gewährleistung eines positiven Betriebsklimas ISO Bezug: 27002 8. in denen Datenträger. aber auch in den anderen Fällen ist dafür Sorge zu tragen. Daher sollte auch unter ITSicherheitsaspekten versucht werden. PC und Telefon. Ursache für eine unzureichende Aufgabenerfüllung können oftmals persönliche Probleme einer/eines Arbeitnehmerin/Arbeitnehmers sein. Schrank. 8. Datenträgern und IT-Komponenten haben. dass die Einhaltung von IT-Sicherheitsmaßnahmen unterstützt wird.2. ein positives Betriebsklima zu erreichen. 194 . Reinigungspersonal. eventuell zu Sicherheitsproblemen führen kann. die Wichtigkeit einer ergonomischen Gestaltung des Arbeitsplatzes sei aber hier nochmals betont. 8.1 Ein positives Betriebsklima motiviert die Mitarbeiter/innen einerseits zur Einhaltung von IT-Sicherheitsmaßnahmen und bewirkt andererseits die Reduzierung von fahrlässigen oder vorsätzlichen Handlungen (vgl. Daher ist es für jede Organisation wichtig. deren Nichtbeachtung u. Dokumentationen.2 Jede/r Mitarbeiter/in sollte vor ihrer/seiner Abwesenheit ihre/seine Unterlagen und den persönlichen Arbeitsbereich verschließen: Schreibtisch. die eine Störung des IT-Betriebs herbeiführen können. dass keine unberechtigten Personen (Besucher/innen. Dies gilt insbesondere für Großraumbüros..1. wenn eine Anlaufstelle zur Verfügung steht.2. Weiters ist bei der Ausstattung von Arbeitsplätzen darauf zu achten.

so sollte die Einhaltung dieser Regelung in die Verpflichtungserklärung jeder/jedes Mitarbeiterin/ Mitarbeiters (vgl.1. Das hierfür eingesetzte Personal muss sorgfältig ausgewählt werden. Administratoren und ihre Vertreter/innen sind in der Lage.die Befugnisse von Administratoren eingeschränkt werden können.9 Verpflichtung der PC-Benutzer/innen zum Abmelden ISO Bezug: 27002 8. sich bei Verlassen des Arbeitsplatzes abzumelden.1. bei Verlassen des Arbeitsplatzes am PC abmeldet.etwa die Verschlüsselung von ausgewählten Daten oder Zugriffsbeschränkungen zu Protokollfiles . 8. zu verändern und Berechtigungen so zu vergeben. dass die Befugnisse nur für die erforderlichen Administrationsaufgaben verwendet werden dürfen. Ist es einer/einem Dritten möglich. wenn jede/r Benutzer/in sich nach Aufgabenerfüllung bzw. 195 .3 Wird ein PC von mehreren Benutzerinnen/Benutzern genutzt und besitzen die einzelnen Benutzer/innen unterschiedliche Zugriffsrechte auf im PC gespeicherte Daten oder Programme.1. so ist die Abmeldung der/des Benutzerin/ Benutzers aus Gesichtspunkten der Ordnungsmäßigkeit dennoch vorzuschreiben.etwa durch Auswertung von Protokollen durch Revisoren . Daher sind alle PC-Benutzer/innen zu verpflichten.1.8 Benennung eines vertrauenswürdigen Administrators und Vertreterin/Vertreters ISO Bezug: 27002 8. Eine regelmäßige Kontrolle von Administratoren .Ist eine Clear Desk Policy-Regelung in einer Organisation vorgesehen.weit gehende und oftmals allumfassende Befugnisse.1 Administratoren von IT-Systemen und ihren Vertreterinnen/Vertretern muss vom Betreiber großes Vertrauen entgegengebracht werden können. Es soll regelmäßig darüber belehrt werden. ohne deren Aufgabenerfüllung zu beeinträchtigen.1. auf alle gespeicherten Daten zuzugreifen. Sie haben . dass erheblicher Missbrauch möglich wäre. so kann der erforderliche Schutz mittels einer Zugriffskontrolle nur dann erreicht werden. 8.ist vorzusehen. an einem PC unter der Identität einer/eines Anderen weiterzuarbeiten. Vorschriften und Regelungen ) aufgenommen werden. Ist keine Zugriffskontrolle realisiert. Kapitel 8.in Abhängigkeit vom eingesetzten System . Darüber hinaus sollte geprüft werden. sie ggf. wieweit durch technische Maßnahmen . so ist jegliche sinnvolle Zugriffskontrolle unmöglich.1 Verpflichtung der Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze.

Kontrollen sollten vor allen Dingen darauf ausgerichtet sein. vertrauliche Schreiben nicht unbeaufsichtigt am Drucker liegen zu lassen. kommt es nicht darauf an. Wenn die Mitarbeiter/innen dies befürchten müssen. dass nur eine kurze Unterbrechung der Arbeit erforderlich ist. ob die Benutzer/innen eines IT-Systems die organisatorischen Vorgaben (etwa Verpflichtung zur Abmeldung nach Aufgabenerfüllung oder Verbot der Weitergabe von Passwörtern) auch tatsächlich einhalten. besteht die Gefahr. kann an Stelle des Abmeldens auch eine manuelle oder nach einer gewissen Zeit automatische Aktivierung der Bildschirmsperre erfolgen.1.11 Geregelte Verfahrensweise bei vermuteten Sicherheitsverletzungen ISO Bezug: 27002 8. wenn zum Drucken nur ein weit entfernter Netzdrucker zur Verfügung steht.2. bestehende Probleme zu vertuschen. dass sie nicht offen über ihnen bekannte Schwachstellen und Sicherheitslücken berichten. die Ursachen für diese Probleme festzustellen und Lösungen aufzuzeigen. Wenn Mitarbeiter/innen eine Regelung ignorieren oder umgehen.1. Vielmehr ist es wichtig. während einer Kontrolle mit den Beteiligten über mögliche Problemlösungen zu sprechen und entsprechende Abhilfen vorzubereiten. dass diese nicht mit den Arbeitsabläufen vereinbar ist oder durch die Mitarbeiter/innen nicht umgesetzt werden kann.3 Mittels Protokollauswertung oder durch Stichproben ist in angemessenen Zeitabständen zu überprüfen. Mängel abzustellen.Ist absehbar. unsinnig. dass dies allen Beteiligten als Ziel der Kontrollen erkennbar ist und dass dabei keine Personen bloßgestellt werden oder als "Schuldige" identifiziert werden. Für die Akzeptanz von Kontrollen ist es wichtig. 8. 8. nur die Symptome zu beseitigen.3 196 . Diese können beispielsweise in der Änderung bestehender Regelungen oder in der Hinzunahme technischer Maßnahmen bestehen. sondern versuchen. Wenn bei Kontrollen Mängel festgestellt werden.1. Es ist daher sinnvoll.10 Kontrolle der Einhaltung der organisatorischen Vorgaben ISO Bezug: 27002 8. Beispielsweise ist eine Anweisung. ist das meist ein Zeichen dafür.

Die Vorgehensweise zur Untersuchung angeblicher (bewusster oder versehentlicher) Verletzungen von Sicherheitsvorgaben sowie potentielle Konsequenzen .1 Kurzfristig oder einmalig zum Einsatz kommendes Fremdpersonal ist wie Besucher/innen zu behandeln.2 Verpflichtung externer Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze. dazu etwa 9.1 Regelungen für den kurzfristigen Einsatz von Fremdpersonal ISO Bezug: 27002 8.2 197 . dass also etwa der Aufenthalt in sicherheitsrelevanten Bereichen nur in Begleitung von Mitarbeiterinnen/ Mitarbeitern der Behörde bzw.1.2.sollen festgelegt. vom Management verabschiedet und allen Mitarbeiterinnen/Mitarbeitern bekannt sein. Vorschriften und internen Regelungen zu verpflichten. Vorschriften und Regelungen ISO Bezug: 27002 8. denen Sicherheitsverletzungen angelastet werden. sind ebenfalls schriftlich auf die Einhaltung der geltenden einschlägigen Gesetze.2. In Anhang B werden Beispiele für die Formulierung derartiger Verpflichtungserklärungen gegeben. die über einen längeren Zeitraum in einer oder für eine Organisation tätig sind und ev.6 Portierdienst ).h. Eine derartig geregelte Verfahrensweise kann einerseits infolge der abschreckenden Wirkung zur Prävention von Sicherheitsverletzungen dienen und gewährleistet andererseits eine korrekte und faire Behandlung von Personen.2 Regelungen für den Einsatz von Fremdpersonal 8.im Falle interner Mitarbeiter/innen können dies beispielsweise disziplinäre Maßnahmen sein. im Falle externer Mitarbeiter/innen etwa vertraglich abgeleitete Konsequenzen .3 Externe Mitarbeiter/innen. 8. des Unternehmens erlaubt ist etc. (vgl. d.2.1. 8.2.1. Zugang zu vertraulichen Unterlagen und Daten bekommen könnten. 8.3 Beaufsichtigung oder Begleitung von Fremdpersonen ISO Bezug: 27002 8.

2. Wartungs.2. die ausdrücklich dafür vorgesehen sind. Tastaturschloss). nicht unbeaufsichtigt sein (siehe auch 9.Fremde (Besucher/innen.2 Geeignete Einrichtung eines häuslichen Arbeitsplatzes und 11.3.4 Information externer Mitarbeiter/innen über die ITSicherheitspolitik ISO Bezug: 27002 8.2 198 . Siehe auch 8.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter/innen ISO Bezug: 27002 8. Handwerker/innen.und Reinigungspersonal) sollten.3 Regelungen für Telearbeit ). 8.3 Sicherheitssensibilisierung und -schulung 8. außer in Räumen. eine/n Fremde/n allein im Büro zurückzulassen.1. Für den häuslichen Arbeitsplatz gilt.6 Portierdienst ). Kap. 11. Reinigungspersonal) ständig zu begleiten oder zu beaufsichtigen.7 Clear Desk Policy . sollte man eine/n Kollegin/Kollegen ins Zimmer oder den/die Besucher/in zu einer/einem Kollegin/Kollegen bitten. Ist es nicht möglich.4 Zutrittskontrolle und 9.1. wenn alle Arbeitsunterlagen verschlossen aufbewahrt sind und die IT über einen aktivierten Zugangsschutz gesichert ist (vgl.7.2 Externe Mitarbeiter/innen sind . Wird es erforderlich. dass Familienmitglieder und Besucher/innen sich nur dann alleine im Arbeitsbereich aufhalten dürfen.so weit es zur Erfüllung ihrer Aufgaben und Verpflichtungen erforderlich ist .7.2. Eine Dokumentation über den Aufenthalt von Fremdpersonen kann in einem Besucherbuch geführt werden. Die Notwendigkeit dieser Maßnahmen ist den Mitarbeiterinnen/Mitarbeitern zu erläutern und ggf. Schrank und PC (Schloss für Diskettenlaufwerk. 8. sollte zumindest der persönliche Arbeitsbereich abgeschlossen werden: Schreibtisch. in einer Dienstanweisung festzuhalten.1.B. Fremdpersonen (z.über hausinterne Regelungen und Vorschriften zur IT-Sicherheit sowie die organisationsweite IT-Sicherheitspolitik zu unterrichten.

Neuen Mitarbeiterinnen/Mitarbeitern müssen interne Regelungen. Dies betrifft sowohl die Nutzung von Standardprogrammpaketen als auch von speziell entwickelten IT-Anwendungen. Daher kommt der geregelten Einarbeitung neuer Mitarbeiter/innen eine entsprechend hohe Bedeutung zu.3.2 Schulung vor Programmnutzung ISO Bezug: 27002 8. Stehen leicht verständliche Handbücher zu IT-Anwendungen bereit. 8. 8. Daher ist es unabdingbar.1. 8. Sie wissen nicht. Die Einarbeitung bzw. wenn die Benutzer/innen eingehend in die ITAnwendungen eingewiesen werden.2 Schulung vor Programmnutzung und 8.1. Vorstellung aller Ansprechpartner/innen.2.2 199 . Erläuterung der hausinternen Regelungen und Vorschriften zur IT-Sicherheit und der organisationsweiten IT-Sicherheitspolitik. Einweisung sollte zumindest folgende Punkte umfassen: • • • Planung der notwendigen Schulungen.2. IT-Sicherheit nicht.2 Durch unsachgemäßen Umgang mit IT-Anwendungen hervorgerufene Schäden können vermieden werden. Darüber hinaus müssen auch bei umfangreichen Änderungen in einer IT-Anwendung Schulungsmaßnahmen durchgeführt werden. sich selbstständig einzuarbeiten. Daraus können Störungen und Schäden für den IT-Einsatz erwachsen. Eine wesentliche Voraussetzung dazu ist allerdings die Bereitstellung ausreichender Einarbeitungszeit. dass die Benutzer/ innen vor der Übernahme IT-gestützter Aufgaben ausreichend geschult werden. so kann an Stelle der Schulung auch die Aufforderung stehen. insbesondere zu IT-Sicherheitsfragen. Ohne eine entsprechende Einweisung kennen sie ihre Ansprechpartner/innen bzgl.3 Schulung und Sensibilisierung zu IT-Sicherheitsmaßnahmen ISO Bezug: 27002 8. welche IT-Sicherheitsmaßnahmen durchzuführen sind und welche IT-Sicherheitspolitik die Behörde bzw. arbeitsplatzbezogene Schulungsmaßnahmen (s. das Unternehmen betreibt. Gepflogenheiten und Verfahrensweisen im IT-Einsatz bekannt gegeben werden.3 Schulung und Sensibilisierung zu IT-Sicherheitsmaßnahmen ).3. auch 8.3.3.

sich auch in Eigeninitiative Kenntnisse anzueignen. Es liegt in der Verantwortung der Organisationsleitung. in hausinternen Publikationen. Darüber hinaus sollte jede/r Benutzer/in dazu motiviert werden. Diese Sensibilisierungsmaßnahmen sind in regelmäßigen Zeitabständen zu wiederholen. Die mitarbeiter/innenbezogenen IT-Sicherheitsmaßnahmen Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden. Darüber hinaus ist der Wert von Informationen herauszuarbeiten. evtl. die in einem IT-Sicherheitskonzept erarbeitet wurden und von den einzelnen Mitarbeiterinnen/Mitarbeitern umzusetzen sind. Zusätzlich sind Verhaltensregeln zu vermitteln.B. Eine solche Einbindung hat den Vorteil. ist jede/r Einzelne zum sorgfältigen Umgang mit der IT zu motivieren. die Verständnis für die IT-Sicherheitsmaßnahmen wecken. zu integrieren. auch durch praktische Hinweise z. Schulungsthemen zur IT-Sicherheit soweit möglich in andere Schulungskonzepte der betreffenden Organisation. Das Aufzeigen der Abhängigkeit der Organisation und damit der Arbeitsplätze von dem reibungslosen Funktionieren der IT-Systeme ist ein geeigneter Einstieg in die Sensibilisierung. durch geeignete Schulungsmaßnahmen hierfür die nötigen Voraussetzungen zu schaffen. etwa in die ITAnwenderschulung. Dieses ist in Schulungskonzepten darzulegen und zu dokumentieren. Um dies zu verhindern. Angesichts des Umfangs der möglichen Schulungsthemen und der Bedeutung der IT-Sicherheit ist bei der Auswahl der Schulungsinhalte ein koordiniertes Vorgehen erforderlich.Umfassende IT-Sicherheit kann nur dann gewährleistet werden. Integrität und Verfügbarkeit. Dieser Teil der Schulungsmaßnahmen hat große Bedeutung. wenn alle beteiligten und betroffenen Personen einen angemessenen Kenntnisstand über ITSicherheit allgemein und insbesondere über die Gefahren und Gegenmaßnahmen in ihrem eigenen Arbeitsgebiet haben. Die produktbezogenen IT-Sicherheitsmaßnahmen 200 . Insbesondere sollen folgende Themen in der Schulung zu IT-Sicherheitsmaßnahmen vermittelt werden: • • • Sensibilisierung für IT-Sicherheit Die überwiegende Zahl von Schäden im IT-Bereich entsteht durch Nachlässigkeit. da viele ITSicherheitsmaßnahmen erst nach einer entsprechenden Schulung und Motivation effektiv umgesetzt werden können. insbesondere unter den Gesichtspunkten Vertraulichkeit. Jede/ r Mitarbeiter/in ist auf die Notwendigkeit der IT-Sicherheit hinzuweisen. im Intranet oder am "Schwarzen Brett". dass ITSicherheit unmittelbar als Bestandteil des IT-Einsatzes wahrgenommen wird. Es sollte versucht werden.

Hinweise und Empfehlungen über die Strukturierung und Organisation von Dateien. Bürgerkarte . so sind die Mitarbeiter/innen in die Handhabung dieser Verfahren ausreichend einzuarbeiten.3. Besonders bedeutend ist dies für den PC-Bereich. Dies können neben Passwörtern zur Anmeldung.6. wann welchen Kommunikationspartnerinnen/ Kommunikationspartnern welche Datenträger übermittelt werden dürfen.) für die IT-Sicherheit erläutert werden. Die Bedeutung der Datensicherung und deren Durchführung Die regelmäßige Datensicherung ist eine der wichtigsten ITSicherheitsmaßnahmen in jedem IT-System.2 Regelungen des Gebrauchs von Chipkarten ).1 Regelungen des Passwortgebrauches und 11. 201 .) und Zugangskontrollmedien (Karten. auch 11. Vermittelt werden sollen das Datensicherungskonzept (s. die anwendungsspezifische Daten enthalten. 10. Token. können die Vergabe von Zugriffsrechten erleichtern und den Aufwand für die Datensicherung deutlich reduzieren. in dem jede/r Benutzer/in selbst die Datensicherung verantwortlich durchführen muss. Ebenso sind die Randbedingungen. die inhärent mit einem Softwareprodukt verbunden sind und bereits im Lieferumfang enthalten sind. Zugangscodes für Voicemail. digitale Signaturen oder Checksummenverfahren). Schutz vor Schadprogrammen und Schadfunktionen): • • • • • • Wirkungsweise und Arten von Schadprogrammen Vorbeugende Maßnahmen Erkennen des Schadprogrammbefalls Sofortmaßnahmen im Verdachtsfall Maßnahmen zur Eliminierung des Schadprogrammes • • Der richtige Einsatz von Zugangscodes und Zugangskontrollmedien Hierbei sollen die Bedeutung von Zugangscodes (Passwörtern.. die einen wirksamen Einsatz von Zugangscodes und Zugangskontrollmedien erst ermöglichen. der Pausenschaltung durch Bildschirmschoner auch Möglichkeiten der Verschlüsselung von Dokumenten oder Datenfeldern sein. ist allen Beteiligten bekannt zu geben. Kap. PINs. etc. Mögliche Inhalte dieser Schulung sind (siehe Kap..5 Datensicherung) der Organisation und die von jeder/jedem Einzelnen durchzuführenden Datensicherungsaufgaben. Das Verhalten bei Auftreten eines Schadprogramms auf einem PC Hier soll den Mitarbeiterinnen/Mitarbeitern vermittelt werden. herauszuarbeiten (vgl.• Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden. wie mit Viren umzugehen ist. Werden bestimmte IT-gestützte Verfahren zum Schutz der Daten während des Austausches eingesetzt (wie etwa Verschlüsselung. Der geregelte Ablauf eines Datenträgeraustausches Die Festlegung.

Löschung.• • • • Der Umgang mit personenbezogenen Daten An den Umgang mit personenbezogenen Daten sind besondere Anforderungen zu stellen. die mit personenbezogenen Daten (sowohl in IT-Systemen als auch in Akten) arbeiten müssen. 8. über gezieltes Aushorchen an vertrauliche Informationen zu gelangen. der Umgang mit Feuerlöschern. sich dagegen zu schützen. Mitarbeiter/innen. die die IT-Benutzer/innen in die Lage versetzt.5 Aktionen bei Auftreten von Sicherheitsproblemen (Incident Handling Pläne)) Vorbeugung gegen Social Engineering Die Mitarbeiter/innen sollen auf die Gefahren des Social Engineering hingewiesen werden. fehlerhaften Softwareinstallationen. bedarf es einer Betreuung und Beratung der IT-Benutzer/innen für die im laufenden Betrieb auftretenden Probleme.2. Diese Probleme können aus Hardwaredefekten. Die typischen Muster solcher Versuche. 202 . regelmäßige Schulungen und gegebenenfalls praktische Übungen sind vorzusehen (vgl. den Umgang mit den Rechten von Betroffenen (Auskunft. die Verhaltensweisen bei Feuer.3. Richtigstellung. Die Einweisung in Notfallmaßnahmen Sämtliche Mitarbeiter/innen (auch nicht unmittelbar mit IT befasste Personen wie Portier oder Wachpersonal) sind in bestehende Notfallmaßnahmen einzuweisen.2 Neben der Schulung. auch 8. ebenso wie die Methoden. aber auch aus Bedienungsfehlern resultieren. . sind für die gesetzlich erforderlichen Sicherheitsmaßnahmen zu schulen.3.. Richtiges Verhalten bei Auftreten von Sicherheitsproblemen (IHP) Die in den Incident Handling-Plänen (IHPs) festgelegten Aufgaben und Verantwortlichkeiten aller Mitarbeiter/innen bei Auftreten sicherheitsrelevanter Ereignisse sind allen betroffenen Mitarbeiterinnen/Mitarbeitern bekannt zu machen. Widerspruch. sollten Mitarbeiter/innen regelmäßig darauf hingewiesen werden.4 Betreuung und Beratung von IT-Benutzerinnen/ITBenutzern ISO Bezug: 27002 8. das Notfall-Meldesystem (wer als Erstes wie zu benachrichtigen ist) und der Umgang mit dem Disaster Recovery Handbuch. die Identität von Gesprächspartnerinnen/Gesprächspartnern zu überprüfen und insbesondere am Telefon keine vertraulichen Informationen weiterzugeben. Dazu gehören die Erläuterung der Fluchtwege. Datensicherheitsmaßnahmen sowie Übermittlung und Überlassung von Daten.. die vorhandene Informationstechnik sachgerecht einzusetzen.). Dies betrifft etwa Meldepflichten. sollten bekannt gegeben werden. Da Social Engineering oft mit der Vorspiegelung einer falschen Identität einhergeht.

Es muss für jede/n Benutzer/in klar ersichtlich sein. eine zentrale Stelle mit der Betreuung der IT-Benutzer/innen zu beauftragen und diese allen Mitarbeiterinnen/Mitarbeitern bekannt zu geben ("Helpdesk").5 Aktionen bei Auftreten von Sicherheitsproblemen (Incident Handling Pläne) ISO Bezug: 27002 8. Dabei hat sich die Wahl einer besonders leicht zu merkenden Telefonnummer besonders bewährt. an wen sie/er sich in Problemfällen zu wenden hat. Die Einrichtung eines Helpdesk kann sich insbesondere bei einer hohen Zahl dezentraler Systeme wie PCs als vorteilhaft erweisen. Gegenmaßnahmen treffen müssen. Untersuchung sicherheitsrelevanter Vorfälle. Unternehmen kann es daher sinnvoll sein. die sicherheitsrelevante Vorfälle behandeln bzw. IHPs sind allen betroffenen Mitarbeiterinnen/Mitarbeitern bekannt zu machen.2.3.1 Die Aufgaben und Verantwortlichkeiten aller Mitarbeiter/innen bei Auftreten von sicherheitsrelevanten Ereignissen sollten im Rahmen der organisationsweiten ITSicherheitspolitik (High-Level-Beschreibung) sowie spezieller "Incident HandlingPläne" (IHPs) sowohl für einzelne Bereiche als auch für die gesamte Organisation festgelegt werden (vgl.und Administrationspersonals 203 . die Verantwortlichkeiten für die Meldung bzw. 8.3 Erstellung eines Incident Handling Plans und Richtlinien zur Behandlung von Sicherheitsvorfällen dieses Handbuches). die einzuhaltenden Meldewege.In größeren Behörden bzw.6 Schulung des Wartungs. 8. dazu auch 13.3. die Protokollierung und Dokumentation sicherheitsrelevanter Vorfälle sowie die Ausbildung von Personen.1. Unter sicherheitsrelevanten Ereignissen sind dabei zu verstehen: • • • • • • • • Angriffe und (vermutete) Angriffsversuche gegen ein IT-System (vermutete) Sicherheitsschwächen Funktionsstörungen von Systemen (etwa durch maliziöse Software) Incident Handling-Pläne sollen in schriftlicher Form und verbindlich festlegen: wie auf sicherheitsrelevante Ereignisse zu reagieren ist.

204 .3. bringt aber auch neue potentielle Gefährdungen der Vertraulichkeit und Integrität von Informationen mit sich. die/der für die Verteilung eingehender Fax-Sendungen zuständig ist und als Ansprechpartner/in in FaxProblemfällen fungiert.erleichtert die Kommunikation. auch Dienstanweisungen sind den Mitarbeiterinnen/Mitarbeitern zur Kenntnis zu bringen und verfügbar zu halten.2.dazu zählen Fax und Router genauso wie etwa Anrufbeantworter und Voice Mail . Im Folgenden werden einige Beispiele angeführt.2. dass • • • • • • alltägliche Administrationsarbeiten selbst durchgeführt. Fax (Stand-alone-Gerät) • Festlegung einer/eines Fax-Verantwortlichen. Datensicherungen selbsttätig durchgeführt. Sicherheitshinweise und ggf.ISO Bezug: 27002 8. Alle Mitarbeiter/innen sind daher auf die Besonderheiten der Handhabung von solchen Geräten hinzuweisen und für potentielle Gefahren zu sensibilisieren. 8.2 Der Einsatz neuer Medien und Geräte . was solche Regelungen umfassen sollten. einfache Fehler selbst erkannt und behoben. die Eingriffe von externem Wartungspersonal nachvollzogen und Manipulationsversuche oder unbefugte Zugriffe auf die Systeme erkannt werden können. Tätigkeiten im Normalbetrieb bis zur Erkennung von Problemen eigenhändig durchgeführt.und Administrationspersonal sollte mindestens so weit geschult werden. Verständliche Bedienungsanleitungen.8 Einweisung in die Regelungen der Handhabung von Kommunikationsmedien ISO Bezug: 27002 8. Sie sind den jeweiligen technischen Anforderungen und Möglichkeiten anzupassen.2 Das Wartungs.

Abschalten nicht benötigter Leistungsmerkmale. Beispiele für zu vermittelnde Punkte sind: • • Korrekter Umgang mit dem Schloss des Schutzschrankes: Dabei ist auf typische Fehler hinzuweisen. Insbesondere ist einzufordern. Anrufbeantworter • • • • Regelung über den Einsatz von Sicherungscodes für die Fernabfrage Vermeidung schutzbedürftiger Informationen auf Anrufbeantwortern. einzuhaltende Sicherheitsmaßnahmen und Regelungen beim Betrieb eines Routers. 8. dass unnötige brennbare Materialien (Ausdrucke. überzählige Handbücher.Nichtbenutzung verschlossen wird.auch nur kurzfristiger . Im Falle eines Serverschrankes ist darauf hinzuweisen. ggf. Druckerpapier) nicht im Serverschrank aufbewahrt werden sollen. wer das Faxgerät benutzen darf. Verbot des Versendens von vertraulichen Informationen per Fax (oder besondere technische und organisatorische Vorkehrungen für diesen Fall.3 Nach der Beschaffung eines Schutzschrankes (Serverschrank oder Datensicherungsschrank . die die Nutzung eines Schutzschrankes umfasst.5. wie etwa telefonische Ankündigung eines derartigen Fax).7 Beschaffung und Einsatz geeigneter Schutzschränke ) sind die Benutzer/innen in die korrekte Bedienung einzuweisen. dass der Schutzschrank bei . Auswirkungen verschiedener Konfigurationen auf die Betriebssicherheit des Routers.• • • • • • Festlegung. Schlüsselhinterlegung und Vertretungsregelung sind aufzuzeigen. 205 . Verwendung einheitlicher Fax-Deckblätter. auch 9.vgl. Kontrolle von Einzelsendenachweisen. Fernzugänge Information über mögliche Gefährdungen. Die Regelungen zur Schlüsselverwaltung.3.3. Regelmäßiges Abhören und Löschen aufgezeichneter Gespräche.9 Einweisung in die Bedienung von Schutzschränken ISO Bezug: 27002 8. wie zum Beispiel das Nichtverwerfen von Codeschlössern. Dies sollte auch bei Neuübertragung einer Aufgabe erfolgen.

bei Bedarf disloziert gelagert werden. disloziert ausgelagert ist. sollten dessen Öffnungszeiten minimiert werden. 206 . Gegebenenfalls ist sporadisch zu kontrollieren. Eine Aufbewahrung im Serverschrank ist daher ungeeignet und nur dann zulässig.• • Datensicherungsträger des Servers sollten in einem anderen Brandabschnitt bzw. wenn eine Kopie der Datensicherungsbestände in einem anderen Brandabschnitt bzw. Wird ein klimatisierter Serverschrank eingesetzt. ob im Serverschrank Wasser kondensiert ist.

des Gebäudes sind sicherheitsrelevant? Im Folgenden werden eine Reihe von grundlegenden Sicherheitsmaßnahmen angeführt. Nach Möglichkeit sollten bauliche und infrastrukturelle Maßnahmen bereits in der Planungs.. dass die Bedingungen bzw.. welche? Wer hat Zutritt zum Gebäude? Gibt es eine physische Zutrittskontrolle? Ist ein Portierdienst eingerichtet? Stärke und Schutz/Überwachung von Wänden.).9 Physische und umgebungsbezogene Sicherheit Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 9 ff "Physische und umgebungsbezogene Sicherheit". Serverräume. Bauphase Berücksichtigung finden. Lüftungsschächten etc.. Weiters ist zu beachten. 207 . Klimaanlage. ein nachträglicher Einbau ist meist teuer oder gar unmöglich.. Gebäude oder Räume (Büros. wie etwa Grundstücke. Die in diesem Abschnitt beschriebenen Maßnahmen dienen dem Schutz von Informationssystemen mittels baulichen und infrastrukturellen Vorkehrungen.) Welche Bereiche des Grundstückes bzw. ist abhängig von Größe und Schutzbedarf der Organisation. Kommunikationsverbindungen. Datenträgerarchiv.bzw. Fenstern. Die nachfolgenden Fragen können bei der Beurteilung der baulichen und infrastrukturellen Sicherheit hilfreich sein: • • • • • • • Lage des Gebäudes (Befindet es sich auf einem eigenen gesicherten Grundstück? Wie sind die benachbarten öffentlichen Verkehrsflächen beschaffen?) Steht das Gebäude der betreffenden Organisation zur Alleinbenützung zur Verfügung oder gibt es andere Mitbenutzer. Welche davon in einem konkreten Fall zum Einsatz kommen. Infrastruktur (Wasser-. Auflagen von etwaigen Versicherungen eingehalten werden. . Räume für technische Infrastruktur. Stromversorgung. USV. Dabei sind verschiedene Schutzebenen zu betrachten. wenn ja. Türen.

zu berücksichtigen: • • • • • • • In Zusammenhang mit Schwächen in der Bausubstanz kann es durch Erschütterungen naher Verkehrswege (Straße. durch Evakuierung oder großräumige Absperrung) beeinträchtigt werden. können durch Unfälle beschädigt werden. UBahn) zu Beeinträchtigungen der IT kommen.1 Geeignete Standortauswahl ISO Bezug: 27002 Bei der Planung des Standortes. 9.1.. Bahn. In der Nähe von Sendeeinrichtungen kann es zu Störungen der IT kommen. Dabei handelt es sich nicht um eine vollständige Aufzählung aller für einen Bereich relevanten Normen und auch nicht um verbindliche Einsatzempfehlungen. .unter Umständen auch die Durchführung eines Anschlages erleichtern. kann aber . In der Nähe von Kraftwerken oder Fabriken kann durch Unfälle oder Betriebsstörungen (Explosion. möglicherweise zur Anwendung kommende Normen geben und ein detailliertes Einarbeiten in die Materie erleichtern. die direkt an Hauptverkehrstrassen (Autobahn.1 Bauliche und infrastrukturelle Maßnahmen 9. an dem ein Gebäude angemietet werden oder entstehen soll. neben den üblichen Aspekten wie Raumbedarf und Kosten auch Umfeldgegebenheiten. die Einfluss auf die Iinformationssicherheit haben. Gebäude.da diese Verkehrswege auch potentielle Fluchtwege darstellen können . für Gebäude in Einflugschneisen von Flughäfen besteht Gefahr durch einen eventuellen Flugzeugabsturz. Austritt schädlicher Stoffe) die Verfügbarkeit des Gebäudes (z. Eisenbahn.2 Anordnung schützenswerter Gebäudeteile 208 ..und Nachteile sind entsprechend abzuwägen. In der Nähe von Gewässern und in Niederungen ist mit Hochwasser zu rechnen.) liegen. Bei Überbauten von U-. S. Bundesstraße.1. Vor.Wo sinnvoll bzw.B. die angeführten Beispiele sollen lediglich einen Hinweis auf existierende. hilfreich werden in den nachfolgenden Maßnahmenbeschreibungen Normen beispielhaft herausgegriffen und angeführt. 9. Die Nähe zu optimalen Verkehrswegen wird in vielen Fällen als Vorteil angesehen werden. empfiehlt es sich. Streunende Haustiere können Fehlalarme von Bewegungsmeldern verursachen und Personen gefährden.oder Eisenbahnen kann es zu Störungen von Datenleitungen und CRT-Bildschirmen kommen.

1. Optimal ist es. auch das Umfeld des Gebäudes in das Sicherheitskonzept einzubeziehen (etwa bei einer eigenen. Sicherung von Kellerlichtschächten. so können zusätzliche bauliche und technische Sicherheitsmaßnahmen getroffen werden ("Perimeterschutz". Als Faustregel kann man sagen. besondere Schließzylinder. Räume im Erdgeschoss mit schlecht einsehbaren Höfen sind durch Einbruch und Sabotage gefährdet. Räume im Erdgeschoss . ausschließlich der betreffenden Organisation gehörigen Liegenschaft).zu öffentlichen Verkehrsflächen hin . dass schutzbedürftige Räume oder Bereiche im Zentrum eines Gebäudes besser untergebracht sind als in dessen Außenbereichen. diese Aspekte schon in die Bauplanung für ein neues Gebäude oder in die Raumbelegungsplanung bei Einzug in ein bestehendes einzubeziehen. Schranken und Fahrzeugsperren Kameraüberwachung und Bewegungsmelder 9. "Freilandschutz").3 Einbruchsschutz ISO Bezug: 27002 Die gängigen Maßnahmen zum Einbruchsschutz sollten den örtlichen Gegebenheiten entsprechend angepasst werden. 209 .Schützenswerte Räume oder Gebäudeteile sollten nicht in exponierten oder besonders gefährdeten Bereichen untergebracht sein. Besteht die Möglichkeit. Zusatzschlösser und Riegel. Dazu gehören: • • • Sicherungen bei einstiegsgefährdeten Türen oder Fenstern. Vandalismus und höhere Gewalt (Verkehrsunfälle in Gebäudenähe) gefährdet. Räume unterhalb von Flachdächern sind durch eindringendes Regenwasser gefährdet. Insbesondere ist zu beachten: • • • • Kellerräume sind durch Wasser gefährdet. Dazu zählen etwa: • • • Zäune und Mauern Tore.sind durch Anschlag.

Ein Zutrittskontrollsystem vereinigt verschiedene bauliche.und Geräteschutz fest. Dokumentation der Vergabe und Rücknahme von Zutrittsberechtigungen Definition von Zeitabhängigkeiten: Es ist zu klären.. Archive. Gebäude. Das Zutrittskontrollkonzept legt die generellen Richtlinien für den Perimeter-.) Zutritt zu welchen Bereichen benötigen. welche Personengruppen (etwa RZMitarbeiter/innen. Bestimmung einer/eines Verantwortlichen für Zutrittskontrolle: Diese/r vergibt die Zutrittsberechtigungen an die einzelnen Personen entsprechend den in der Sicherheitspolitik festgelegten Grundsätzen. . Kommunikationseinrichtungen und die Haustechnik sein. ob zeitliche Beschränkungen der Zutrittsrechte erforderlich sind. Generelle Festlegung der Zutrittskontrollpolitik: Hier wird grundsätzlich festgelegt. Kundinnen/ Kunden.und Lastenaufzügen außerhalb der Dienstzeit.).. Solche Zeitabhängigkeiten können etwa sein: Zutritt nur während der Arbeitszeit oder befristeter Zutritt bis zu einem fixierten Datum. Räume mit Peripheriegeräten (Drucker. welche Maßnahmen zum Einbruchsschutz beachtet werden müssen. Verschluss von Personen. Rechnerräume. Angehörige von Lieferfirmen etc. So verhindert beispielsweise eine getrennte Lagerung von Ersatzteilen für IT-Systeme und Datenträgern den unerlaubten Zugriff von Wartungstechnikerinnen/Wartungstechnikern auf die Datenträger. sollte auch beim IT-Einsatz der Grundsatz der Funktionstrennung berücksichtigt werden. einbruchgesicherte Notausgänge. Die einzelnen Bereiche können unterschiedliche Sicherheitsstufen aufweisen. Um die Zahl der zutrittsberechtigten Personen zu einem Raum möglichst gering zu halten. In Anhang A sind relevante ÖNORMEN zum Einbruchsschutz angeführt. 9. organisatorische und personelle Maßnahmen. 210 . Gebäude. Dazu gehören: • • • • • Festlegung der Sicherheitszonen: Zu schützende Bereiche können etwa Grundstücke. Fachabteilungsmitarbeiter/innen. Operator.4 Zutrittskontrolle Die Überwachung des Zutritts zu Gebäuden.1. Rechenzentren und sicherheitssensiblen Geräten zählt zu den wichtigsten physischen Schutzmaßnahmen. Den Mitarbeiterinnen/Mitarbeitern ist durch Regelungen bekannt zu geben.• • • Verschluss von nichtbenutzten Nebeneingängen.

Karte...und Abgänge. eines Mitarbeiters. Weiters sind folgende Fragen zu klären: • • • • Sind beim Betreten und/oder Verlassen eines geschützten Bereiches Vereinzelungsmechanismen (Drehtüren. sicherzustellen. Stehen die Kosten für die Installation... • • • 211 . Festlegung der Rechteprüfung: Im Zutrittskontrollkonzept ist festzulegen. wird ein Alarm an einer entfernten Überwachungsstelle (Portier. die Wartung und die regelmäßige Revision des Zutrittskontrollsystems in vertretbarer Relation zum möglichen Sicherheitsrisiko? Ist die Kapazität des Zutrittskontrollsystems der Größe der Organisation angepasst? Insbesondere ist eine ausreichende Zahl von Kontrollstellen und eventuellen Vereinzelungsmechanismen vorzusehen.. der den Zugang zu geschützten Bereichen gewaltsam erzwingen will. Voraussetzung für eine Nullsummenprüfung ist die Installation von Vereinzelungsmechanismen) erforderlich ? Ist das Auslösen eines "stillen Alarms" vorzusehen? Durch Eingabe einer vereinbarten Kennung. sowie welche Aktionen bei versuchtem unerlaubten Zutritt zu setzen sind.und Authentisierungssysteme wie Zugangscodes (Passwörter. Dabei bedarf es einer sorgfältigen Abwägung zwischen den Sicherheitsinteressen des Systembetreibers und den Schutzinteressen der Privatsphäre der/des Einzelnen. ob die Identifikation bzw. . .• • • • Festlegung der Zutrittskontrollmedien: Es ist festzulegen. Polizei) ausgelöst. PINs). um Warteschlangen auch zu Stoßzeiten (Arbeitsbeginn. welche Daten bei Zutritt zu und Verlassen von einem geschützten Bereich protokolliert werden. Eine solche Maßnahme bietet Schutz gegen jemanden. zu welchen Zeiten und unter welchen Randbedingungen eine Rechteprüfung erfolgen muss. Sperrmöglichkeiten bei Verlust oder Duplizierung des Zutrittskontrollmediums (Schlüssel. etwa einer zusätzlichen Ziffer zur üblichen PIN.) notwendig? Welche Maßnahmen sind bei unautorisierten Zutrittsversuchen zu setzen? Ist eine Nullsummenprüfung (Anmerkung . die Authentisierung durch Überwachungspersonal (persönlich oder mittels Überwachungskameras) oder durch automatische Identifikations. . den laufenden Betrieb. Behandlung von Ausnahmesituationen: Es ist u. dass im Brandfall die Mitarbeiter/innen schnellstmöglich die gefährdeten Zonen verlassen können. Karten oder biometrische Methoden erfolgen soll..Nullsummenprüfung: Feststellung der Anzahl der im geschützten Bereich befindlichen Personen durch Vergleich der Zu.) und bei Austritt einer Mitarbeiterin bzw.) zu vermeiden. Festlegung der Beweissicherung: Hier ist zu bestimmen. Schleusen.a. wo.

Die Herstellung. Reserveschlüssel sind vorzuhalten und gesichert aufzubewahren. ggf. Ausfälle. Beim Ausscheiden von MitarbeiterinnenMitarbeitern sind alle Schlüssel einzuziehen (Aufnahme der Schlüsselverwaltung in den Laufzettel). so sind für schutzbedürftige Bereiche eigene Schließgruppen zu bilden. Mängel im Zutrittskontrollsystem (häufige Fehlalarme. Überarbeitungen werden jedoch notwendig. 9.und Muster-Verordnung 2000 wurde eine neue Musteranwendung "MA002 Zutrittskontrollsysteme" geschaffen (s. Austausch des Schlosses.Das Zutrittskontrollkonzept sollte bereits vor der Systemauswahl so detailliert wie möglich feststehen und weitgehend stabil bleiben. Mit der Standard. Wartezeiten.1. Verwaltung und Ausgabe von Schlüsseln ist zentral zu regeln. Bei Zuständigkeitsänderungen von Mitarbeiterinnen/Mitarbeitern sind deren Schließberechtigungen zu prüfen und Schlüssel gegebenenfalls einzuziehen. Anhang C. die Regeln zu verletzen.). Ersatz. bei • • • Feststellung von Sicherheitsmängeln Erweiterungen des sicherheitsrelevanten Bereiches schlechter Benutzerakzeptanz: Die Akzeptanz durch die Benutzer ist ein entscheidendes Kriterium. Zu beachten ist: • • • • • • Ist eine Schließanlage vorhanden. überflüssige bürokratische Abläufe) können dazu führen. den Anwender hilfreich sein kann. Kostenerstattung.5 Verwaltung von Zutrittskontrollmedien ISO Bezug: 27002 Für alle Schlüssel eines Gebäudes ist ein Schließplan zu fertigen. wie bei Verlust einzelner Schlüssel zu reagieren ist (Meldung. Austausch von Schließgruppen etc.2 Musteranwendung MA002 Zutrittskontrollsysteme). 212 . Aufbewahrung. Die Ausgabe der Schlüssel erfolgt gegen Quittung und ist zu dokumentieren. die die Meldung beim Datenverarbeitungsregister erleichtert und daher für die Anwenderin bzw. Nicht ausgegebene Schlüssel und die Reserveschlüssel sind gegen unbefugten Zugriff geschützt aufzubewahren. dass auch grundsätzlich sicherheitsbewusste Mitarbeiter bereit sind. zu restriktive Handhabung. Es sind Vorkehrungen zu treffen. einzelne Räume aus der Schließgruppe herauszunehmen und mit Einzelschließung zu versehen.

Abhängig von der Sensibilität des Bereiches sind die Führung eines Besucherbuches. Gebäudesicherung nach Dienst.1.• • Schlösser und Schlüssel zu besonders schutzbedürftigen Bereichen (zu denen nur sehr wenige Schlüssel ausgegeben werden sollten) können bei Bedarf getauscht werden. 9. Der Portier hält vor Einlassgewährung einer Besucherin bzw. 9.1. so genannte Multifunktionschipkarten. Die Aufgabenbeschreibung muss verbindlich festschreiben. Kontrolle der Außentüren und Fenster). Dem Portier müssen die Mitarbeiter/innen bekannt sein. um so illegal nachgefertigten Schlüsseln die Funktion zu nehmen. dass bei der Durchführung des Portierdienstes einige Grundprinzipien beachtet werden. • • • • • • Der Portier beobachtet bzw. bzw. kontrolliert alle Personenbewegungen am Eingang zum Gebäude bzw. Scharfschaltung der Alarmanlage. sowie die Ausgabe von Besucherausweisen oder Besucherbegleitscheinen zu erwägen. Voraussetzung ist allerdings. Abhängig von der Sensibilität des zu schützenden Bereiches können auch gesperrte Schließsysteme zum Einsatz kommen. welche Aufgaben dem Portier im Zusammenspiel mit weiteren Schutzmaßnahmen zukommen (z. der Besucher wird zu der/dem Besuchten begleitet oder am Eingang abgeholt. diesem Mitarbeiter der Einlass zu verwehren ist.oder Geschäftsschluss.7 Einrichtung einer Postübernahmestelle 213 . in dem der Zutritt von Fremdpersonen zum Gebäude dokumentiert werden kann. ab wann dieser Mitarbeiterin bzw. Das Gleiche gilt sinngemäß auch für alle anderen Zutrittskontrollmedien wie Magnetstreifen. Unbekannte Personen haben sich beim Portier zu legitimieren. Die Besucherin bzw.oder Chipkarten. die die Anfertigung eines Schlüssels nur unter Vorliegen definierter Bedingungen (etwa schriftliche Zustimmung einer/eines Verantwortlichen) erlauben. ist auch der Portier zu unterrichten. Scheidet ein/ e Mitarbeiter/in aus.B. eines Besuchers bei der/dem Besuchten Rückfrage. sicherheitsrelevanten Bereich.6 Portierdienst ISO Bezug: 27002 Die Einrichtung eines Portierdienstes hat weit reichende positive Auswirkungen gegen eine ganze Reihe von Gefährdungen.

) bei der/dem Empfänger/in rückzufragen. Zaunanlage. die von einem Botendienst o.. so ist von der Dienst habenden Mitarbeiterin bzw. geeignete Beleuchtung. Wird außerhalb der Amts. so ist die Sendung nicht anzunehmen.B. vom Dienst habenden Mitarbeiter (z. um äußeren Gefährdungen entgegenzuwirken.B. entsprechende Geländegestaltung. Ist dies nicht der Fall oder ist die/ der Empfänger/in nicht erreichbar.1. Pakete.B.oder Botendienst bzw. Detektionssensorik. . 214 .B. Videoüberwachung.. des Grundstückes können folgende Vorkehrungen sinnvoll sein: • • • Einfriedung des Grundstückes z. von einer Privatperson gebracht werden. sind nicht zu übernehmen. Schutz durch Bewachungsunternehmen äußere Zutrittskontrollmechanismen z.und/oder Fahrzeugschleusen Entscheidend ist. Schutzmauer Freiland Sicherungsmaßnahmen z. 9.ä. dass der Perimeterschutz in ein stimmiges Gesamtschutzkonzept eingebettet ist. Personen. in dem die Verhältnismäßigkeiten der einzelnen Schutzmaßnahmen aufeinander abgestimmt sind. Solche Regeln können etwa sein: • • • • Pakete.ISO Bezug: 27002 Die Übernahme von Briefen und Paketen sollte durch eine zentrale Stelle unter Beachtung von für die betreffende Organisation adäquaten Sicherheitsregeln erfolgen.bzw.8 Perimeterschutz ISO Bezug: 27002 Sofern es die Gegebenheiten und die Infrastruktur es zulassen sollten bereits auf dem Grundstück der Organisation zusätzliche Sicherheitseinrichtungen installiert werden. dürfen erst nach Rücksprache mit der/dem namentlich angeführten Empfänger/in oder einer/ einem berechtigten Vertreter/in übernommen werden. Portier. ob eine Sendung erwartet wird. Operator. die ohne namentlich angeführten Empfänger/in an die Organisation adressiert sind und von einem Paket. gebracht werden. Für größere Organisationseinheiten ist die Beschaffung von Geräten zum Durchleuchten von Postsendungen zu erwägen. Je nach Art und Topologie der Infrastruktur bzw. Bürostunden ein Brief oder ein Paket abgegeben.

215 . In Anhang A sind eine Reihe von wichtigen Normen zum Thema Brandschutz angeführt. (Adresse siehe Anhang D) 9. wie sie zum Beispiel in den Publikationen des Verbands der Schadensversicherer (VdS) in Deutschland zu finden sind. dass die Arbeitgeber/innen und Arbeitnehmer/ innen alle Maßnahmen zu ergreifen haben. Gardinen und dergleichen. um das Risiko einer Brandentstehung zu minimieren.2. weitere Hinweise zum Brandschutz zu beachten. insbesondere • • Bundes-Bedienstetenschutzgesetz ArbeitnehmerInnenschutzgesetz und die dazu ergangenen Verordnungen. Sie ist von der Menge und vom Heizwert der Stoffe abhängig. 9. Es ist empfehlenswert.1 Einhaltung von Brandschutzvorschriften und Auflagen Die gesetzlichen Brandschutzvorschriften und die Auflagen der zuständigen Baubehörde sowie der örtlichen Feuerwehr sind unbedingt einzuhalten. die ins Gebäude eingebracht werden.2. Fußbodenbeläge.9. die die Entstehung und Ausbreitung von Bränden verhindern und die Bekämpfung von Bränden gewährleisten. Brandverhütungsstellen und/oder Brandschutzexpertinnen/Brandschutzexperten können und sollen bei der Brandschutzplanung hinzugezogen werden.2 Raumbelegung unter Berücksichtigung von Brandlasten Eine Brandlast entsteht durch alle brennbaren Stoffe. Grundsätzlich ist davon auszugehen. Ebenso ist es notwendig. die allgemeinen und speziellen Bestimmungen des Arbeitnehmerschutzes und die Arbeitsstättenverordnung bei der Errichtung und beim Betrieb zu beachten.2 Brandschutz Brandschutz stellt die Gesamtheit aller Maßnahmen dar. IT-Geräte und Leitungen stellen ebenso eine Brandlast dar wie Möbel.

Decke zu schotten (wieder zu verschließen). die die Möglichkeit einer Brandentstehung minimieren sollen.3 Organisation Brandschutz Brandschutz umfasst sowohl präventive Maßnahmen. 9. sollte eine vorherige Beachtung der vorhandenen Brandlasten im gleichen Raum und in den benachbarten Räumen erfolgen.2. 216 . Datenträgern etc. können geeignete Materialien verwendet werden.2. dass Trassen durch Brandwände und Decken führen. Präventive Maßnahmen können sowohl technischer (z. Organisatorische Maßnahmen umfassen personenbezogene Unterweisungen (keine Zigaretten in den Papierkorb.a. als auch Maßnahmen zur Brandbekämpfung und Evakuierung. Ausschalten von Kaffeemaschinen bei Dienstende..B. Ersatz leicht entzündlicher Arbeitsstoffe) als auch organisatorischer Natur sein. Die Durchbrüche sind nach Verlegung der Leitungen entsprechend dem Brandwiderstandswert der Wand bzw. So sollte etwa das Datenträgerarchiv nicht in der Nähe von oder über einem Papierlager oder Räumen mit erhöhter Brandlast untergebracht sein. • • • • Bestellung von Brandschutzbeauftragten Unterweisung der Arbeitnehmer/innen über die Verwendung der Feuerlöscheinrichtungen Ausarbeitung eines Evakuierungsplanes regelmäßige Brandschutzübungen 9. Entsprechende Richtlinien und Normen (etwa ÖNORM B 3836 und B 3850 . Um die Nachinstallation zu erleichtern.Bei der Unterbringung von IT-Geräten. Die Brandschutzordnung ist im Falle von erhöhtem Brandschutz zu erstellen und umfasst die zur Brandverhütung erforderlichen technischen und organisatorischen Vorkehrungen und Maßnahmen. .) sowie die Erstellung einer Brandschutzordnung.. Maßnahmen zur Brandbekämpfung und Evakuierung beinhalten u. keine Verwendung von Heizstrahlern. Sie ist allen Bediensteten jährlich einmal nachweislich zur Kenntnis zu bringen. siehe Anhang A ) sind dabei zu beachten.4 Brandabschottung von Trassen Bei Gebäuden mit mehreren Brandabschnitten lässt es sich kaum vermeiden.

9. Bei der Trassenplanung sollte die für den Brandschutz verantwortliche Person hinzugezogen werden. Die Nichtabschottung von nachträglichen Verkabelungen ist ein immer wieder anzutreffender Schwachpunkt von baulichem Brandschutz. welche hinsichtlich ihrer Brandwiderstandsdauer der ÖNORM B 3850 entsprechen müssen. den Arbeitnehmerschutzvorschriften und in den behördlichen Vorschreibungen und Genehmigungen ihren Niederschlag. Beleg. in den jeweiligen Bauordnungen der Länder. Brandschutzkissen oder Spachtelmassen am Markt.B.1 Einhaltung von Brandschutzvorschriften und Auflagen) besonders bei schutzbedürftigen Räumen wie Serverraum. Im Regelfall ist bei der Bildung eines Brandabschnittes bezüglich der Tür eine geringere Brandwiderstandsklasse gefordert als bei der Brandwand (meistens F90 für Wände und T30 für Türen).oder Kabeldurchführungen). bieten gegenüber normalen Bürotüren Vorteile: • • Sicherheitstüren (einbruchhemmende Türen) bieten auf Grund ihrer Stabilität einen höheren Schutz gegen Einbruch (z. Die angeführten Themenbereiche finden u. Stahlblechtüren.und Lieferanteneingängen).B.Brandabschottungen sind bautechnische Maßnahmen. Ansonsten sollten bei solchen Türen Feststellanlagen mit oder ohne eigene Branderkennung (Brandmelder) installiert werden. Wichtige ÖNORMEN dazu werden in Anhang A angeführt. wie z. Es sind hier verschiedene Systeme wie z. Brandschutzziegel.5 Verwendung von Brandschutztüren und Sicherheitstüren Brandschutztüren sind Brandschutzabschlüsse.2. bei Keller. 217 .B. um ein Aufkeilen zu verhindern.2.a. Brandschutztüren verzögern die Ausbreitung eines Brandes. bei Leitungs. Der Einsatz von Sicherheitstüren ist über den von der Feuerwehr vorgeschriebenen Bereich hinaus (vgl. 9. Sicherheitstüren.B. Wichtig ist neben einer Zulassung des Systems auch eine genaue Einhaltung der Verarbeitungsanleitungen. Brandschutztüren auf Verkehrswegen sind bei Vorhandensein einer Brandmeldeanlage an diese anzuschließen.oder Datenträgerarchiv vorzusehen. die einen Durchbruch durch einen Brandabschnitt über eine bestimmte Zeitdauer gegen Durchtritt eines Brandes abdichten (z.

9. bzw.Es ist dafür zu sorgen. ändert sich der Stromfluss. welche Träger der ionisierten Luftmoleküle sind. was bedeutet. Dringen nun Rauchpartikel. gelangen während der Überprüfungszeit eine oder mehrere weitere Meldungen zur Brandmeldeanlage. 218 . eingesetzt werden. dass Brand. 9.6 Brandmeldeanlagen Brandmeldeanlagen (BMA) dienen zur Überwachung eines bestimmten. besonders gefährdeten Bereiches oder eines gesamten Gebäudes. Entsprechend den Anschlussbedingungen müssen künftig alle neuen Brandmeldeanlagen über eine Interventionsschaltung verfügen. je nach Größe des Überwachungsbereiches. Alternativ können Türen mit einem automatischen Schließmechanismus und Anschluss an die Brandmeldeanlage. welche an einer Brandmeldeanlage hängen oder als Einzelmelder fungieren. in die Kammer ein. bis spätestens 2010 umgebaut werden und eine Interventionsschaltung aufweisen. werden diese sofort an die Feuerwehr weitergeleitet.2.B.2. Wird diese Brandmeldung in der vorgesehenen Zeit nicht quittiert. dass nach dem ersten Brandalarm 3 bis 6 Minuten Zeit verbleiben um die Meldung zu überprüfen. Derartige Anlagen werden von der Behörde vorgeschrieben und sind nach der TRVB S 123 (Brandmeldeanlagen) und TRVB S 114 (Anschaltebedingungen von Brandmeldeanlagen an öffentliche Feuerwehren) zu errichten. Sie sind jährlich durch eine Wartungsfirma und alle 2 Jahre durch eine autorisierte Prüfstelle zu überprüfen.und Rauchschutztüren auch tatsächlich geschlossen und nicht (unzulässigerweise) z. Bereits in Betrieb befindliche Brandmeldeanlagen mit einem TUS-Anschluss müssen. Derartige Brandmeldeanlagen können mit einer TUS-Leitung (Tonfrequentes Übertragungssystem) direkt mit der Feuerwehr verbunden sein oder intern auf einer kompetenten. der im Alarmfall aktiviert wird. durch Keile offen gehalten werden. ständig besetzten Stelle auflaufen. Bei automatischen Brandmeldern unterscheidet man: Ionisationsrauchmelder Bei Ionisationsrauchmeldern erfolgt die Branderkennung durch die Änderung des Stromflusses in der Ionisationskammer.7 Brandmelder Brandmelder dienen zur Früherkennung von Brandgefahren und werden in automatische und nichtautomatische Melder unterschieden. Dieser Stromfluss wird durch Ionisation der Luft in der Messkammer erzeugt.

ohne Verzögerung . Teeküchen . Dabei ist die räumliche Nähe zu schützenswerten Bereichen und Räumen wie Serverraum.Aerosolbildung) Raumhöhen Überwachungsflächen 9.oder Differentialmelder) Als Kriterium wird entweder eine definierte Maximaltemperatur bzw. Raum mit technischer Infrastruktur oder Belegarchiv anzustreben.Streulichtmelder Die Erkennungsgröße ist bei diesem Melder die Streuung eines definierten Lichtstrahles durch eindringenden Rauch. Diese Sofortbekämpfung ist nur möglich. anfangs noch gut beherrschbaren Brandherden.8 Handfeuerlöscher (Mittel der Ersten und Erweiterten Löschhilfe) Die meisten Brände entstehen aus kleinen. 219 . wenn entsprechende Handfeuerlöscher in der jeweils geeigneten Brandklasse ( ÖNORM EN 2:1993 02 01 ) in ausreichender Zahl und Größe im Gebäude zur Verfügung stehen. Nichtautomatische Brandmelder: Druckknopfmelder Durch Drücken des Melders wird die Brandmeldung über die Brandmeldeanlage direkt . ein Temperaturanstieg herangezogen. Besonders in Büros findet das Feuer reichlich Nahrung und kann sich sehr schnell ausbreiten.an die Feuerwehr weitergeleitet. Flammenmelder Bei Flammenmeldern erfolgt die Branderkennung durch die von Bränden ausgehende Strahlung. Sie können auch bei starken Luftbewegungen eingesetzt werden und haben eine große Überwachungsfläche.B. Wärmemelder (Maximal.2. Der Sofortbekämpfung von Bränden kommt also ein sehr hoher Stellenwert zu. Bei der Auswahl der Brandmelder sind folgende Kriterien zu beachten • • • • • • Art des Brandverlaufes Rauchentwicklung Rascher Temperaturanstieg Täuschungsanfälligkeit (z.

CO2-Löschanlagen CO2-Löschanlagen sind Gaslöschanlagen mit dem Löschmittel CO2. Die Einleitung des CO2 darf erst nach ausreichender Verzögerung zum Zwecke des Verlassens des Bereiches erfolgen. Die Feuerlöscher müssen so angebracht werden.Pulverlöscher mit Eignung für Brandklasse E bis 1000 V sind für elektrisch betriebene Peripheriegeräte geeignet. Diese werden meistens von der Behörde bei Vorlage einer erhöhten Brandgefährdung vorgeschrieben. Die Beschäftigten haben sich über die Standorte der nächsten Feuerlöscher zu informieren. (ehemals) Halonlöschanlagen 220 .9 Löschanlagen Löschanlagen der verschiedensten Ausführungen sind meistens mit einer Brandmeldeanlage gekoppelt und werden im Bedarfsfall von dieser selbständig ausgelöst. Die Auslösung des Löschmittels muss händisch unterbrechbar sein. eine Ausbreitung zu unterbinden. Bei der Planung ist neben der brandschutztechnisch richtigen Auslegung die erstickende Wirkung des CO2 als wesentlicher Faktor zu berücksichtigen. sollten Kohlendioxyd-Löscher (Brandklasse B) zur Verfügung stehen. Bei der Auslegung der Anlage (Löschwasserleistung. Wirkfläche und Löschwasserbevorratung) ist die Brandbelastung des jeweils betroffenen Bereiches zu berücksichtigen. z. Rechner. um Entstehungsbrände effizient zu bekämpfen bzw. Sprinkleranlagen Sprinkleranlagen sind automatisch wirkende Löschanlagen mit dem Löschmittel Wasser.2. Dabei ist zu beachten: • • • • Die Feuerlöscher müssen regelmäßig geprüft und gewartet werden. 9. Es muss daher nach Branderkennung eine sofortige Alarmierung der betroffenen Personen und eine Schließung des Flutungsbereiches erfolgen. Die Auslösung der Anlage erfolgt durch thermische Zerstörung der Sprinklerkopfabschlüsse (im Normalfall alkoholgefüllte Glasviolen). für elektronisch gesteuerte Geräte. Dadurch wird der Austritt von Wasser durch den Sprinklerkopf freigegeben.B. dass sie im Brandfall leicht erreichbar sind. Bei entsprechenden Brandschutzübungen sind die Mitarbeiter/innen in der Handhabung der Handfeuerlöscher zu unterweisen.

oft bis hin zur völligen Ignoranz.erfolgen.2. 9. Einige Beispiele dazu: • • • • Fluchtwege werden blockiert.10 Brandschutzbegehungen Die Erfahrungen zeigen. Schaumlöschanlagen Schaumlöschanlagen sind Löschanlagen mit dem Löschmittel Schaum. Aus diesem Grund sollten ein. Vorgefundene Missstände müssen dazu Anlass geben.2. Datenträgerarchiv.B. Im Wiederholungsfall oder bei besonders eklatanten Verstößen gegen die Brandschutzvorschriften sind auch entsprechende Sanktionen vorzusehen.bis zweimal im Jahr Brandschutzbegehungen angekündigt oder unangekündigt . 9. sollte ein Rauchverbot erlassen werden. Die Einhaltung des Rauchverbotes ist zu kontrollieren. welches die Ozonschicht zerstört) . dass im täglichen Betrieb die Vorschriften und Regelungen zum Brandschutz immer nachlässiger gehandhabt werden .11 Rauchverbot In Räumen mit IT oder Datenträgern (Serverraum. in denen Brände oder Verschmutzungen zu hohen Schäden führen können. Als Ersatz werden natürliche oder chemische Löschmittel sowie prinkleranlagen verwendet. 9. Dieses Rauchverbot dient gleicherweise dem vorbeugenden Brandschutz wie der Betriebssicherheit von IT mit mechanischen Funktionseinheiten. Brandabschottungen werden bei Arbeiten beschädigt und nicht ordnungsgemäß wiederhergerichtet. die Zustände und deren Ursachen unverzüglich zu beheben. Zulässige Brandlasten werden durch anwachsende Kabelmengen oder geänderte Nutzungen überschritten. z. Brandabschnittstüren werden durch Keile offen gehalten. durch Möbel und Papiervorräte.Seit 2004 gilt in der EU ein Verbot von Halon betriebenen Löschgeräten (FCKW. aber auch Belegarchiv).2. welche ähnlich wie Sprinkleranlagen funktionieren.12 Rauchschutzvorkehrungen 221 .

dass • • • • rauchdichte Brandschutztüren verwendet werden (vgl.) die Elektroinstallation zu prüfen und ggf.3 Stromversorgung. bei Rauchentwicklung selbsttätig geschlossen werden und die Rauchausbreitung verhindern Lüftungsanlage eine Ablüftung von Rauch vornehmen kann Lüftungs. bei Änderungen der Raumnutzung und bei Änderungen und Ergänzungen der technischen Ausrüstung (IT.B. Maßnahmen gegen elektrische und elektromagnetische Risiken 9. Ein umfassender Rauchschutz ist daher vorzusehen. 9. 9. anzupassen.3. Zumindest ist aber die Gefahr durch elektrische Spannungen beim Löschen des Feuers beseitigt. 222 . was bei kleinen Bränden zu deren Verlöschen führen kann. In diesem Sinne ist zu gewährleisten. Es ist also unerlässlich. Beleuchtung etc. dass z.1 Angepasste Aufteilung der Stromkreise Die Raumbelegung und die Anschlusswerte. Leitungen. für die eine Elektroinstallation ausgelegt wurde.2 Brandschutz ) Rauchschutztüren verwendet werden.Im Brandfall geht von der damit verbundenen Rauchentwicklung sowohl für Mensch als auch für IT-Gerätschaften eine erhebliche Gefahr aus. erforderlich werden. durch deren Abwärme. Andernfalls kann die Neuinstallation von Einspeisung. Klimaanlage. stimmen erfahrungsgemäß nach einiger Zeit nicht mehr mit den tatsächlichen Gegebenheiten überein. Verteilern etc. Mit Betätigung des Not-AusSchalters wird dem Brand eine wesentliche Energiequelle genommen. ist die Installation eines Not-Aus-Schalters nach Möglichkeit vorzusehen. durch hohe Gerätedichte oder durch Vorhandensein zusätzlicher Brandlasten ein erhöhtes Brandrisiko besteht.und Klimaanlage selbsttätig auf Rauchentwicklung reagieren 9.3. Das kann durch Umrangierung von Leitungen geschehen. die ggf. in denen elektrische Geräte in der Weise betrieben werden.2 Not-Aus-Schalter Bei Räumen.

9. Dabei ist allerdings zu bedenken. Dies ist insbesondere dann sinnvoll.Zu beachten ist. dass ein geordnetes Herunterfahren angeschlossener Rechner möglich ist. In einzelnen Fällen. • • • • wenn im Rechner umfangreiche Daten zwischengespeichert werden (z. beim Stromausfall ein großes Datenvolumen verloren gehen würde und nachträglich nochmals erfasst werden müsste. dass dieser Not-Aus-Schalter auch unnotwendigerweise versehentlich oder absichtlich betätigt werden kann. Zwei Arten der USV sind zu unterscheiden: Off-Line-USV: Hierbei werden die angeschlossenen Verbraucher im Normalfall direkt aus dem Stromversorgungsnetz gespeist.4 Lokale unterbrechungsfreie Stromversorgung Mit einer unterbrechungsfreien Stromversorgung (USV) kann ein kurzzeitiger Stromausfall überbrückt werden oder die Stromversorgung solange aufrechterhalten werden.3. in denen die Stromversorgung bei Ausfällen des öffentlichen Netzes über einen längeren Zeitraum aufrechtzuerhalten ist .3 Zentrale Notstromversorgung In Bereichen. schaltet sich die USV selbsttätig zu und übernimmt die Versorgung. bevor sie auf nichtflüchtige Speicher ausgelagert werden.ist eine zentrale Notstromversorgung vorzusehen. 223 . Der Not-Aus-Schalter sollte innerhalb des Raumes neben der Eingangstür (evtl. Erst wenn dieses ausfällt. wenn die Stabilität der Stromversorgung nicht ausreichend gewährleistet ist. dass lokale unterbrechungsfreie Stromversorgungen (USV) nach Ausschalten der externen Stromversorgung die Stromversorgung selbsttätig übernehmen und die angeschlossenen Geräte unter Spannung bleiben.3. Daher ist bei der Installation eines Not-Aus-Schalters zu beachten.4 Lokale unterbrechungsfreie Stromversorgung). Diese wird in der Regel als Diesel-Notstrom-Aggregat realisiert. 9. kann die Notstromversorgung auch in Form einer zweiten Energieeinspeisung aus dem Netz eines zweiten Energieversorgungsunternehmens (EVU) realisiert werden.3.B. dass auch die USV abgeschaltet und nicht nur von der externen Stromversorgung getrennt wird (siehe auch 9. wo die Verfügbarkeitsanforderungen es zulassen. mit Lagehinweis außen an der Tür) oder außerhalb des Raumes neben der Tür angebracht werden.dies kann sowohl für die Versorgung von IT-Anlagen als auch der Infrastruktur gelten . Cache-Speicher im Netz-Server).

so dass nach Abwarten dieser Zeitspanne noch 5 Minuten übrig bleiben.) lassen sich durch die Installation einer Blitzschutzanlage verhindern. ein rechtzeitiges automatisches Herunterfahren (Shut-down) einleiten können. Dachstuhlbrand u. R.3. d. Die meisten modernen USV-Geräte bieten Rechnerschnittstellen an. 9. 10 bis 15 Minuten ausgehen. sollte der Stromausfall länger andauern. Bei der Dimensionierung einer USV kann man i. Für spezielle Anwendungsfälle (z.• On-Line-USV: Hier ist die USV ständig zwischen Netz und Verbraucher geschaltet. Im Falle von Veränderungen ist zu überprüfen. Überspannungen zu glätten. ob die vorgehaltene Kapazität der USV noch ausreichend ist. entsprechend dem Zeitbedarf der IT und der Kapazität der USV.B. Die gesamte Stromversorgung läuft immer über die USV. um die angeschlossene IT geordnet herunterfahren zu können. so stellt dies eine Alternative zur lokalen USV dar. TK-Anlagen) kann die erforderliche Überbrückungszeit auch mehrere Stunden betragen. von einer üblichen Überbrückungszeit von ca.zu warten. durch Anschluss an eine zentrale USV). In diesem Zusammenhang ist auch 9. die nach einer vorher festgelegten Zeit. Um die Schutzwirkung aufrechtzuerhalten. Beide USV-Arten können neben der Überbrückung von Totalausfällen der Stromversorgung und Unterspannungen auch dazu dienen. die Stromversorgung unterbrechungsfrei aus einer anderen Quelle zu beziehen (z.2 Not-Aus-Schalter zu beachten. 224 . Weiters ist zu beachten: • • • Die USV ist regelmäßig .ä. ist eine regelmäßige Wartung der USV vorzusehen.entsprechend den Angaben des Herstellers . Die Mehrzahl aller Stromausfälle ist innerhalb von 5 bis 10 Minuten behoben. Die Wirksamkeit der USV ist regelmäßig zu testen.3. Falls die Möglichkeit besteht.B.5 Blitzschutzeinrichtungen (Äußerer Blitzschutz) Die direkten Auswirkungen eines Blitzeinschlages auf ein Gebäude (Beschädigung der Bausubstanz.

1500 V und ist auf die Vorschaltung eines Grobschutzes angewiesen.3. ob ein äußerer Blitzschutz vorhanden ist oder nicht. während Überspannungen anderer Ursachen geringer sind. dass der Potentialausgleich mitgeführt wird. 6000V. ersetzt werden.R. der Überspannungsschutz. dessen hohe Kosten dem Schutzgut gegenüber gerechtfertigt sein müssen). wie sie durch direkten Blitzschlag entstehen. Der Überspannungsschutz wird in der Regel in drei voneinander abhängigen Stufen aufgebaut: • • • Grobschutz: Geräte für den Grobschutz vermindern Überspannungen. Weiters ist zu beachten: • • Blitz. 9.Über diesen "Äußeren Blitzschutz" hinaus ist fast zwingend der "Innere Blitzschutz".3. ist ein optimaler Schutz möglich. Denn der äußere Blitzschutz schützt die elektrischen Betriebsmittel im Gebäude nicht. Potentialausgleich: Nur wenn alle Schutzeinrichtungen sich auf das gleiche Potential beziehen. 9. ein recht hohes zerstörerisches Potential. Überspannungen durch Blitz haben i. Feinschutz: Geräte für den Feinschutz senken Überspannungen so weit herab.und Überspannungsschutzeinrichtungen sollten periodisch und nach bekannten Ereignissen geprüft und ggf. erforderlich. können durch Induktion oder Blitzschlag Überspannungsspitzen im Stromversorgungsnetz entstehen. Dies ist nur durch einen Überspannungsschutz möglich (siehe dazu 9. um Mikroelektronikgeräte zu stören oder zu zerstören.7 Schutz gegen elektromagnetische Einstrahlung 225 .6 Überspannungsschutz (Innerer Blitzschutz) Je nach Qualität und Ausbau des Versorgungsnetzes des Energieversorgungsunternehmens und des eigenen Stromleitungsnetzes. Für die Auswahl des Grobschutzes ist es bedeutend. Mittelschutz: Der Mittelschutz begrenzt die verbleibende Überspannung auf ca. dass sie auch für empfindliche Bauteile mit Halbleiterbauelementen ungefährlich sind. abhängig vom Umfeld (andere Stromverbraucher) und von der geographischen Lage.3. Bei Nachinstallationen ist darauf zu achten. aber trotzdem ausreichen können. und begrenzen sie auf ca.d.6 Überspannungsschutz (Innerer Blitzschutz) .

Anmerkung: Diese Maßnahme behandelt den Schutz gegen Störstrahlung im täglichen Umfeld.) oder atmosphärische Entladungen. Mobilfunk-. Rundfunk. technisch und organisatorisch möglich. Anlagen mit starken Elektromotoren. Richtfunkanlagen. Bildschirme..aufgefangen und analysiert werden können. die entsprechend vertrauliche Daten verarbeiten oder übertragen und bei denen die Gefahr einer kompromittierenden Abstrahlung besteht. Wasserleitungen.. ist die Gefahr der kompromittierenden Abstrahlung gegeben. sollten solche Störquellen bereits bei der Planung berücksichtigt bzw.) können diese Abstrahlung beträchtlich verstärken. Tastaturen. die noch in einer Entfernung von mehreren Metern . LAN-Komponenten. verarbeitet oder dargestellt wird. Mögliche Ursachen für solche Störstrahlungen sind Radarstrahlung. Modems. Graphikkarten. wo Information elektronisch übertragen. Fax-Geräte und ähnliche Geräte geben elektromagnetische Wellen ab. Daher sollten. Als nachträgliche Maßnahmen bleiben etwa: • • die Verwendung von Schutzschränken mit speziellen Filtern und Türdichtungen oder die Abschirmung durch beschichtete Wände. von denen elektromagnetische Störungen ausgehen können (Schweißgeräte. den Verlust der Vertraulichkeit von Daten durch kompromittierende Abstrahlung zu verhindern.8 Schutz gegen kompromittierende Abstrahlung Überall dort. Drucker. 9. So weit möglich. . Maschinen. Schutz gegen einen elektromagnetischen Puls (EMP) als Folge kriegerischer Handlungen gehen über den mittleren Schutzbedarf hinaus und sind daher nicht Gegenstand des vorliegenden Handbuches. sind etwa: • Auswahl des Standortes (innerhalb eines Gebäudes): Bereits eine geeignete Aufstellung von IT-Komponenten. usw. so weit baulich.3.bei Monitoren bis zu mehreren hundert Metern . In der Nähe befindliche führende Leitungen (Heizkörper.und Fernsehsender. kann das potentielle Risiko durch kompromittierende Abstrahlung in erheblichem Maße verringern.Die Funktion informationstechnischer Geräte kann durch die elektromagnetische Strahlung benachbarter Einrichtungen beeinträchtigt werden. ausgeschaltet werden. Hochspannungsleitungen. potentiell gefährdete 226 . Abwehrmaßnahmen Möglichkeiten.

.. Wasserleitungen.bei entsprechenden Gegebenheiten .DEMA ) zu berücksichtigen. Demnach sind bereits bei der Anschaffung von Geräten jene mit entsprechenden Gegenmaßnahmen zu bevorzugen. z. ob es sich um eine analoge oder digitale Nachrichtenübertragung handelt. Dabei spielt es keine Rolle. Weiters ist eine Aufstellung in der Nähe von führenden Leitungen (Heizungsrohre. aus denen das Signal des ursächlichen Leiters wiedergewonnen werden kann. "Transient Electromagnetic Pulse Emanation Surveillance Technology" oder "Transient Electromagnetic Pulse Emanations Standard". Heizkörper. da selbstverständlich Fenster in den Schutz mit einzubeziehen sind.oder Gebäudeebene möglich. Dabei werden Wände. das mit einem transparenten Metallfilm beschichtet ist. Es wird auch die Meinung vertreten. Selbst bei der Verwendung von kleinsten Geräten wie beispielsweise Kryptomodulen oder Smart Cards ist auf deren kompromittierende Strahlung zu achten. wird am Markt angeboten. etc. kryptographische Anwendungen. Dieses Feld erzeugt auf in unmittelbarer Umgebung des Leiters verlegten Kabeln Spannungen und Ströme. [Anmerkung:: Für die Bedeutung des Wortes TEMPEST werden verschiedene Erklärungen genannt. Gerade bei sicherheitsrelevanten Anwendungen (Zugangssystemen. In diesem Zusammenhang sind die Möglichkeiten von Side-Channel-Attacken (Differential Power Analysis . Auch Spezialglas. Auch das Überkoppeln auf Leitungen ist eine Auswirkung von kompromittierender elektromagnetischer Strahlung.B. Wird ein Signal leitungsgebunden übertragen. sondern um einen Codenamen ohne besondere Bedeutung handelt. In beiden Fällen kann mit recht einfachen Maßnahmen das ursprüngliche Signal wiederaufbereitet werden.] Schirmung von Räumen und Gebäuden: Anstelle eines Schutzes auf Geräteebene ist . Böden und Decken entsprechend abgeschirmt. dass es sich nicht um ein Akronym. Schirmung von Geräten: Diese erfolgt durch die Verwendung spezieller Materialien. Eine Raumschirmung schützt im Allgemeinen auch gegen Störstrahlung von außen. Differential Electro-Manetic Analysis . so ist der elektrische Leiter mit einem elektromagnetischen Feld umgeben.• • • Komponenten in Räumen untergebracht werden.) zu vermeiden.auch ein Schutz auf Raum. "Temporary Emission and Spurious Transmission". . Überlagerung der kompromittierenden Abstrahlung: Durch Senden von Stördaten in einer bestimmten Frequenzbreite können die Emissionen der DV-Geräte überlagert werden.DPA. Solche abstrahlsichere Hardware-Komponenten werden in Anlehnung an den englischen Fachausdruck meist als "tempest-proof" oder "tempest-gehärtet" bezeichnet. die möglichst weit entfernt von Straßenfronten und Gebäuden mit Fremdfirmen sind. Geeignete Schutzmaßnahmen sind: 227 .) ist deren Schutzbedarf immens.

Solche Maßnahmen sind etwa: • • • • die Gewährleistung einer relativen Luftfeuchtigkeit von mindestens 50%. Telefon. Aus diesem Grund wird für Komponenten. Erdungsmaßnahmen. etc.oder Twisted-PairKabeln Achten auf hochwertige Schirmung der Kabel (vorzugsweise ist doppelte Schirmung zu verwenden . eine relativ hohe Widerstandsfähigkeit gegen elektrostatische Aufladung gefordert... Wasser. Gefahrenmeldung.und Schuhwerk die elektrostatische Aufladung von gehenden Personen 10 kV und mehr betragen kann. so zeigt sich die Notwendigkeit von Maßnahmen zur Vermeidung und Eliminierung elektrostatischer Aufladungen. die Verwendung geeigneter Werkstoffe (Bodenbeläge.1 Lagepläne der Versorgungsleitungen Es sind genaue Lagepläne aller Versorgungsleitungen (Strom.Kombination aus Folien. dass abhängig von Bodenbeschaffenheit .) im Gebäude und auf dem dazugehörenden Grundstück zu führen und alle die Leitungen betreffenden Sachverhalte aufzunehmen: 228 .).• • • • • Wahl geeigneter Kabeltypen wie beispielsweise Koaxial.9 Schutz gegen elektrostatische Aufladung Elektrostatische Aufladungen können Schäden an Bauteilen.4 Leitungsführung 9. Zieht man allerdings in Betracht. . die in ungeschützter Umgebung eingesetzt werden. Programmstörungen oder Datenverluste verursachen. Gas.3.hier stellen insbesondere Teppichböden eine Gefahrenquelle dar . der Einsatz von Antistatikmitteln.und Geflechtschirmung) Verlegung parallel geführter Kabel in ausreichendem Abstand zueinander Verringerung des Signal-Oberwellengehaltes durch elektrische Filterung (besonders bei digitalen Übertragungen) Vorzugsweise Verwendung von Lichtwellenleitern (Gefahr des Übersprechens deutlich geringer aber in Folge mechanischer Beschädigungen des Kabels ebenfalls möglich) 9. 9.4.

Verlegung der Leitungen in mechanisch festen und abschließbaren Kanälen. Weiters ist zu beachten: • • • Alle Arbeiten an Leitungen sind rechtzeitig und vollständig zu dokumentieren.oder Kunststoffpanzerrohren. Eine Schadstelle ist schneller zu lokalisieren. dazu auch 10. Leitungen und Verteiler zu sichern. Die Verantwortlichkeiten für Aktualisierung und Aufbewahrung der Pläne sind festzulegen.3.5 Dokumentation und Kennzeichnung der Verkabelung und 9. Nutzung der Leitungen (Nennung der daran angeschlossenen Netzteilnehmer.2. 9. Gefahrenpunkte und vorhandene und zu prüfende Schutzmaßnahmen. Dies kann auf verschiedene Weise erreicht werden. vorhandene Kennzeichnung. Es muss möglich sein.• • • • • • genaue Führung der Leitungen (Einzeichnung in bemaßte Grundriss. Die Pläne sind gesichert aufzubewahren. sich anhand der Pläne einfach und schnell ein genaues Bild der Situation zu machen. auf ein Mindestmaß reduziert werden.2 Materielle Sicherung von Leitungen und Verteilern In Räumen mit Publikumsverkehr oder in unübersichtlichen Bereichen eines Gebäudes und zugehöriger Bereiche ist es sinnvoll. Nagetierschutz.und Lagepläne). Verlegung der Leitungen in Stahl.8 Schutz gegen kompromittierende Abstrahlung . Verschluss von Verteilern und bei Bedarf zusätzlich elektrische Überwachung von Verteilern und Kanälen. da sie schützenswerte Informationen beinhalten. dass Leitungen bei Arbeiten versehentlich beschädigt werden. so weit möglich und zweckmäßig).4. genaue technische Daten (Typ und Abmessung). Nur so kann das Risiko. 229 . der Zugriff darauf ist zu regeln. etwa: • • • • • • Verlegung der Leitungen unter Putz. evtl. Vgl. die Störung schneller zu beheben.

4 Auswahl geeigneter Kabeltypen Bei der Auswahl von Kabeln ist neben der Berücksichtigung von übertragungstechnischen Anforderungen und Umfeldbedingungen auch die Frage nach den Sicherheitsanforderungen zu stellen. Weitere Angaben zur geeigneten Aufstellung und Aufbewahrung von IT-Systemen sind unter Kapitel 9. Abhilfe kann hier entweder die Verwendung mehrfach geschirmter Leitungen oder der Einsatz von Lichtwellenleitern bringen.5 Geeignete Aufstellung und Aufbewahrung zu finden.Bei Verschluss sind Regelungen zu treffen. Auftrennen aller Rangierungen und Verbindungen der freien Leitungen in den Verteilern (so weit möglich). Kurzschließen der freien Leitungen an beiden Kabelenden und in allen berührten Verteilern. Vgl. 230 . Ist dies auf Grund der damit verbundenen Beeinträchtigung des Dienstbetriebes (Öffnen von Decken.8 Schutz gegen kompromittierende Abstrahlung .3. dazu auch 9. 9. Gewährleisten.4. Herkömmliche Kupferleitungen bieten ein potentielles Ziel für aktive und passive Angriffe. 9.4. die die Zutrittsrechte. dass nicht mehr benötigte Leitungen bei ohnehin anstehenden Arbeiten im Netz entfernt werden. Fensterbank. Lichtwellenleiter sind unempfindlich gegen elektrische und elektromagnetische Störungen und bieten Schutz gegen (aktives und passives) Wiretapping auf der Leitung.und Fußbodenkanälen) nicht möglich.3 Entfernen oder Kurzschließen und Erden nicht benötigter Leitungen Nicht mehr benötigte Leitungen sollten nach Möglichkeit entfernt werden. sind folgende Maßnahmen sinnvoll: • • • • • Kennzeichnen der nicht benötigten Leitungen in der Revisionsdokumentation und Löschen der Eintragungen in der im Verteiler befindlichen Dokumentation. hier sind bei Bedarf entsprechende Schutzvorkehrungen zu treffen. Ein potentielles Angriffsziel stellen aber die Schnittstellen (etwa Verstärker) dar. Auflegen der freien Leitungen auf Erde (Masse) an beiden Kabelenden und in allen berührten Verteilern. die Verteilung der Schlüssel und die Zugriffsmodalitäten festlegen. bei dadurch entstehenden Masse-Brumm-Schleifen ist nur einseitig zu erden.

die ausschließlich dem/der Benutzer/in zugänglich sind. Ist dies nicht zu vermeiden.a.6 Vermeidung von wasserführenden Leitungen 231 . und dass Fremdpersonen keinen unautorisierten Zugriff zu den . Grundsätzlich sollen Trassen nur in den Bereichen verlegt werden.und Fensterbank-Kanalsysteme sind gegenüber den fremdgenutzten Bereichen mechanisch fest zu verschließen. dass Kabel nicht im Lauf. Der Standort von Geräten sollte so gewählt werden. In Produktionsbetrieben ist mit hohen induktiven Lasten und daraus resultierenden Störfeldern zu rechnen. Ist der Betriebserhalt nur für einzelne Kabel erforderlich. ist der entsprechende Trassenbereich mit Brandabschottung (s.und Kabelverlegung zu berücksichtigen. Fußboden. 9. Ein übersichtlicher Aufbau der Trassen erleichtert die Kontrolle. Bei Erdtrassen ist ca. 9. Bei einzelnen Kabeln (ohne Rohr) ist der Einbau von Kabelabdeckungen sinnvoll. Trassen und einzelne Kabel sollen immer so verlegt werden. Bei gemeinsam mit Dritten genutzten Gebäuden ist darauf zu achten. Besser ist es.2.4. Auch diese sind bei der Trassen. Ist dies nicht möglich und ist der Betriebserhalt aller auf der Trasse liegenden Kabel erforderlich. ist dafür ein entsprechendes Kabel zu wählen. In Tiefgaragen ist darauf zu achten.oder Fahrbereich liegen.4 Brandabschottung von Trassen ) zu versehen. dass sie vor direkten Beschädigungen durch Personen.in der Regel in geringer Deckenhöhe verlaufenden Trassen erhalten. sind die Kabel den zu erwartenden Belastungen entsprechend durch geeignete Kanalsysteme zu schützen. dass erkennbare Gefahrenquellen umgangen werden.9. Bereiche mit hoher Brandgefahr sind zu meiden. Fahrzeuge und Maschinen geschützt sind. dass durch Trassen im Fahrbereich die zulässige Fahrzeughöhe nicht unterschritten wird. 10 cm über der Trasse ein Warnband zu verlegen. sie an den Bereichsgrenzen enden zu lassen. Für den Schutz der Kabel gilt sinngemäß das Gleiche wie bei der Brandabschottung. dass Kabel nicht in Fußbodenkanälen durch deren Bereiche führen.4.5 Schadensmindernde Kabelführung Bei der Planung von Kabeltrassen ist darauf zu achten.

Diese Magnetventile sind außerhalb des Raumes/Bereiches einzubauen und müssen stromlos geschlossen sein. Günstig ist es. sind davon auch Telekommunikationsanlagen umfasst) Netzwerkkomponenten ( 9. Löschwasserleitungen und Heizungsrohre sein. Kühlwasserleitungen. Kommunikationsservern. Server) befinden.3 : z. sollten wasserführende Leitungen aller Art vermieden werden. Dabei wird unterschieden zwischen: • • • Arbeitsplatz-IT-Systemen ( 9. etc. Außerhalb der Heizperiode sind diese Ventile zu schließen. eine selbsttätige Entwässerung. . Als zusätzliche oder alternative Maßnahme empfiehlt sich ggf. deren Ablauf außerhalb des Raumes führt.5 Geeignete Aufstellung und Aufbewahrung Bei der Aufstellung eines IT-Systems sind verschiedene Voraussetzungen zu beachten. 9. erhöhen sollen.1 Geeignete Aufstellung eines Arbeitsplatz-ITSystems : PCs. möglichst außerhalb des Raumes/ Bereiches. versehen werden.5. Über diese Sicherheitsaspekte (die naturgemäß den Schwerpunkt des vorliegenden Handbuches bilden) hinaus. da so ein eventueller Leitungsschaden früher entdeckt wird.2. Router.... Im Folgenden werden generelle Hinweise für die Aufstellung von IT-Systemen und Komponenten gegeben. wie sie für die mittlere Datenverarbeitung typisch sind.B.) Server ( 9. wenn unbedingt erforderlich. Notebooks.B. kann als Minimalschutz eine Wasserauffangwanne oder -rinne unter der Leitung angebracht werden. die die Sicherheit des Systems gewährleisten bzw. in denen sich IT-Geräte mit zentralen Funktionen (z.5. sollen durch eine geeignete Aufstellung auch die Lebensdauer und Zuverlässigkeit der Technik sowie die Ergonomie des Systems verbessert werden. Die einzigen wasserführenden Leitungen sollten. Telearbeitsplätze. Modems.In Räumen oder Bereichen.2 Geeignete Aufstellung eines Servers : neben Datenbankservern. Zuleitungen zu Heizkörpern sollten mit Absperrventilen. Verteilerschränke.) 232 . dazu den Flur zu nutzen. Optional können Wassermelder mit automatisch arbeitenden Magnetventilen eingebaut werden. Sind Wasserleitungen unvermeidbar..

Programm.. Notebooks oder Terminals zu verstehen. 9. So kann ein Fax etwa als Standalone-Gerät betrachtet werden. Es ist festzuhalten. Um Vertraulichkeit.zusätzlich zu den von den Herstellern festgeschriebenen Vorgaben und Hinweisen sowie ergonomischen Gesichtspunkten . Integrität und Verfügbarkeit im Betrieb von Servern sicherzustellen.1 Geeignete Aufstellung eines Arbeitsplatz-IT-Systems Unter Arbeitsplatz-IT-Systemen sind etwa PCs. 9.5. versperrbare Diskettenlaufwerke. das System sollte nicht in unmittelbarer Nähe der Heizung aufgestellt werden (Vermeidung von Überhitzung.3. wird auch hier nicht auf den Bereich des klassischen Rechenzentrums eingegangen. 9. Diese kann realisiert werden als: • Serverraum (vgl.8 Schutz gegen kompromittierende Abstrahlung ). aber auch TK-Anlagen zu verstehen.). ist es zwingend erforderlich.. da hier im Allgemeinen sehr produkt. Bei der Aufstellung eines Arbeitsplatz-IT-Systems sollten . oder aber als Teil eines Arbeitsplatz-IT-Systems.5. . ein Fax direkt vom PC zu versenden.2 Geeignete Aufstellung eines Servers Unter Servern sind in diesem Zusammenhang etwa Datenbank-. 9.5.und herstellerspezifische Anforderungen bestehen und diese zudem über die Maßnahmen für den mittleren Schutzbedarf hinausgehen und damit den Rahmen der vorliegenden Arbeit sprengen würden.Wie für das gesamte Handbuch zutreffend und bereits in der Einleitung ausgeführt. aber auch kompromittierender Abstrahlung. vgl. diese in einer gesicherten Umgebung aufzustellen.unter anderem folgende Voraussetzungen beachtet werden: • • • der Standort in der Nähe eines Fensters oder einer Tür erhöht die Gefahr des Beobachtens von außerhalb. das System sollte so weit möglich und erforderlich. Die unten angeführten Maßnahmen sind daher als allgemeine Hinweise zu verstehen.6 Serverräume): 233 . falls die Möglichkeit besteht. physisch gesichert sein (Diebstahlschutz. die auf die Bedürfnisse des speziellen Falles abzubilden sind. dass eine generelle Klassifikation aller IT-Komponenten in eine der oben genannten Gruppen nicht möglich ist.und Kommunikationsserver.

B. durch Versperren des Raumes. zum anderen das unbefugte Ändern oder Auslesen der Modem-Konfiguration. muss sichergestellt werden. Wenn über ein Modem oder einen Modempool Zugänge zum internen Netz geschaffen werden. auch 9. Um den Missbrauch von Netzwerkkomponenten zu verhindern.7 Beschaffung und Einsatz geeigneter Schutzschränke ): Serverschränke dienen zur Unterbringung von IT-Geräten und sollen den Inhalt sowohl gegen unbefugten Zugriff als auch gegen die Einwirkung von Feuer oder schädigenden Stoffen (Staub. wenn kein separater Serverraum zur Verfügung steht (vgl.5. Eine Vertretungsregelung muss sicherstellen. dass der Zugriff zum Server auch im Vertretungsfall geregelt möglich ist.3 Geeignete Aufstellung von Netzwerkkomponenten Unter Netzwerkkomponenten sind beispielsweise Modems. 9. Datenträgern in kleinem Umfang sowie weiterer Hardware (etwa Drucker oder Netzwerkkomponenten).. dass nur Berechtigte physikalischen Zugriff darauf haben.1 Geeignete Aufstellung eines Arbeitsplatz-IT-Systems ).5. Serverschrank. so ist der physikalische Zugriff darauf abzusichern (z.) schützen. serverspezifischen Unterlagen. Router und Verteilerschränke zu verstehen.. Steht ein Modem direkt an einem Arbeitsplatz-IT-System zur Verfügung. . Details zu den technischen und organisatorischen Sicherheitsmaßnahmen bei Serverräumen und Serverschränken finden sich in 9. Generell ist zu beachten: • • Der Zugang und Zugriff zu Servern darf ausschließlich autorisierten Personen möglich sein.• Raum zur Unterbringung von Servern. 9.5. er wird nur sporadisch und zu kurzfristigen Arbeiten betreten.5. vgl. dass keine Umgehung einer bestehenden Firewall geschaffen wird.6 Serverräume und 9. So bedeutet etwa der Missbrauch eines Modems zum einem die Durchführung unbefugter Datenübertragungen. Sollen mit einem Modempool weitere externe Zugänge zu einem durch eine Firewall geschützten Netz geschaffen werden. muss dieser auf der unsicheren Seite der Firewall aufgestellt werden. Viren eingeschleppt oder Interna nach außen transferiert werden können. und unautorisierte Zugriffe auch in Ausnahmesituationen nicht vorkommen können.7 Beschaffung und Einsatz geeigneter Schutzschränke . wodurch Sicherheitslücken entstehen können. durch die Kosten verursacht.5. Gase. 234 . ist darauf zu achten. Im Serverraum ist im Allgemeinen kein ständig besetzter Arbeitsplatz eingerichtet.

vertrauliche.7 Beschaffung und Einsatz geeigneter Schutzschränke sind zu beachten.5. Handhelds und Personal Assistants. die bei der mobilen Nutzung zu beachten sind: • • • • Die Benutzer/innen mobiler IT-Geräte sind über die potentiellen Gefahren bei Mitnahme und Nutzung eines solchen Gerätes außerhalb der geschützten Umgebung eingehend zu informieren und zu sensibilisieren.1 Herausgabe einer PC-Richtlinie ). sollten auch Disketten und Streamerbänder ausschließlich chiffrierte Daten enthalten. Nach Möglichkeit sollten die Zeiten.6 Serverräume und 9. Hierfür können nur einige Hinweise gegeben werden. so ist die Installation eines Zugriffsschutzes (über Passwort oder Chipkarte) sowie einer Festplatten. so etwa Notebooks.etwa als Merkblätter an die Mitarbeiter/innen verteilt werden. in denen das Gerät unbeaufsichtigt bleibt. dass der Zugriff zu Netzwerkkomponenten auch im Vertretungsfall geregelt möglich ist und unautorisierte Zugriffe auch in Ausnahmesituationen nicht vorkommen können. mobile IT-Geräte auch außer Haus sicher aufzubewahren.4 Nutzung und Aufbewahrung mobiler IT-Geräte Unter mobilen IT-Geräten sind alle für einen mobilen Einsatz geeigneten Geräte zu verstehen. 9. So weit möglich sollten solche Informationen in schriftlicher Form . Dabei ist auch auf die besonderen Gegebenheiten in verschiedenen Zielgebieten und in speziellen Situationen (etwa bei einer besonders eingehenden Zollkontrolle) hinzuweisen.Netzwerkkomponenten sollten wie Server in einem gesicherten Serverraum oder einem Schutzschrank aufgestellt sein. Teil 1.5. dass die Zulässigkeit von Verschlüsselungstechnologien in den einzelnen Staaten unterschiedlich geregelt ist.2.1.3. Eine Vertretungsregelung muss sicherstellen. Kapitel 2. werden in Ausnahmefällen unverschlüsselte Disketten oder Streamerbänder im mobilen Einsatz verwendet. minimiert werden.4 dieses Handbuches [KIT S01] ) gespeichert und verarbeitet. Auch hier ist sicherzustellen: • • Der Zugang und Zugriff zu Netzwerkkomponenten darf ausschließlich autorisierten Personen möglich sein. Palmtops. Dabei ist zu beachten. auch 7. so sollten diese keinesfalls unbeaufsichtigt (etwa im Hotel oder in einem Wagen) zurückgelassen werden. muss sie/er versuchen. So weit möglich. Da die Umfeldbedingungen bei mobilem Einsatz meist außerhalb der direkten Einflussnahme der Benutzerin / des Benutzers liegen. personenbezogene und/oder sensible Daten ( Definitionen s. Werden auf mobilen IT-Geräten eingeschränkte. 235 .5. Die entsprechenden Maßnahmen 9. geheime und/ oder streng geheime bzw.oder Dateiverschlüsselung dringend zu empfehlen (vgl.

so ist dieser Raum nach Möglichkeit auch bei kurzzeitigem Verlassen zu verschließen. Einige neuere Geräte bieten zusätzlich die Möglichkeit zum Anketten des Gerätes. Poststelle) sind auf die sachgerechte und sichere Aufbewahrung und Handhabung von Datenträgern hinzuweisen. so sollte das Gerät von außen nicht sichtbar sein. Beschriebene Datenträger sollten bis zum Transport in entsprechenden Behältnissen (Schrank. Wird ein mobiles IT-Gerät in fremden Büroräumen vor Ort benutzt.5 Sichere Aufbewahrung der Datenträger vor und nach Versand Vor dem Versand eines Datenträgers ist zu gewährleisten. Im Serverraum ist kein ständig besetzter Arbeitsplatz eingerichtet. Die für den Transport oder für die Zustellung Verantwortlichen (z.5.• • • • Werden mobile IT-Geräte in einem Kraftfahrzeug aufbewahrt. wie etwa Protokolldrucker oder Klimatechnik. Der Diebstahl setzt dann den Einsatz von Werkzeug voraus. sollte zusätzlich das Gerät ausgeschaltet werden. er wird nur sporadisch und zu kurzfristigen Arbeiten betreten.5. um über das Bootpasswort die unerlaubte Nutzung zu verhindern. In Hotelräumen sollte ein mobiles IT-Gerät nicht offen aufliegen. Zu beachten ist jedoch. 9. Darüber hinaus können dort auch Datenträger (in kleinerem Umfang) sowie zusätzliche Hardware.6 Serverräume Ein Serverraum dient zur Unterbringung eines oder mehrerer Server sowie serverspezifischer Unterlagen. Tresor) verschlossen aufbewahrt werden. Das Abdecken des Gerätes oder das Einschließen in den Kofferraum bieten Abhilfe. 9. dass für den Zeitraum zwischen dem Speichern der Daten auf dem Datenträger und dem Transport ein ausreichender Zugriffsschutz besteht.B. Wird der Raum für längere Zeit verlassen. dass im Serverraum auf Grund der Konzentration von IT-Geräten und Daten ein deutlich höherer Schaden eintreten kann als beispielsweise in einem Büroraum. vorhanden sein. Weitere Maßnahmen dazu finden sich in Kapitel Betriebsmittel und Datenträger . 236 . Alternativ oder ergänzend kann auch eine verschlüsselte Speicherung der Daten vorgenommen werden. Das Verschließen des Gerätes in einem Schrank behindert Gelegenheitsdiebe.

8 Handfeuerlöscher 9.6. Besondere Beachtung ist dabei folgenden Maßnahmen zu widmen: • • • • • • • • • • • • • 9.7 Beschaffung und Einsatz geeigneter Schutzschränke Schutzschränke können ihren Inhalt gegen die Einwirkung von Feuer bzw.4 Lokale unterbrechungsfreie Stromversorgung 9. die im vorliegenden Kapitel 1 beschrieben werden.2 Raumbelegung unter Berücksichtigung von Brandlasten 9.4. Die Kürzel bedeuten im Einzelnen: P = Papier aller Art. Je nach angestrebter Schutzwirkung sind bei der Auswahl geeigneter Schutzschränke folgende Hinweise zu beachten: • Schutz gegen Feuereinwirkung: Bei Schutzschränken unterscheidet man bezüglich Schutz gegen Feuereinwirkung die Güteklassen S60 und S120 nach ÖNORM EN 1047-1.3. Durch Zusätze in der Klassifizierung werden die zu schützenden Datenträger bezeichnet.2 Not-Aus-Schalter 9.3.5.6. Magnetbänder.B.6 Überspannungsschutz (Innerer Blitzschutz) 9.5 Alarmanlage 9. gegen unbefugten Zugriff schützen.2. ob in ihnen bis zu einer Beflammungszeit von 60 bzw.11 Rauchverbot 9.6 Vermeidung von wasserführenden Leitung 9.2.4 Geschlossene Fenster und Türen 9.6. 120 Minuten während eines normierten Testes für die geschützten Datenträger verträgliche Temperaturen erhalten bleiben.6 Fernanzeige von Störungen 9. D = Datenträger (z.6.2.1. In diesen Güteklassen werden die Schutzschränke darauf geprüft.Für den Schutz von Serverräumen sind die entsprechenden baulichen und infrastrukturellen Maßnahmen.3 Beaufsichtigung oder Begleitung von Fremdpersonen 9. zur Anwendung zu bringen.7 Klimatisierung 8.2. Filme).4 Zutrittskontrolle 9. 237 .3.

Die Schließung sollte lokal durch Rauchgasmelder und/oder extern durch ein Signal einer Brandmeldeanlage (soweit vorhanden) ausgelöst werden können. die zum Schutz vor Feuer und Rauch dienen. welche Arten von Datenträgern in ihm aufbewahrt werden sollen. in dem Sicherheitsmerkmale von Schutzschränken kurz beschrieben werden. Nachrüstungen sind in der Regel schwierig. dass solche Schränke damit Schutz gegen Feuer für einen gewissen Zeitraum bieten. Die Innenausstattung des Schutzschrankes ist dieser Festlegung angemessen auszuwählen. Für den IT-Grundschutz sollten Wertschränke nach RAL-RG 627 [Anmerkung . dass im Brandfall der Betrieb eines in einem Serverschrank untergebrachten Servers nicht aufrechterhalten werden kann. Die Unterschiede zwischen den Klassen liegen in der Isolationsleistung. sollte eine Vorrichtung zum automatischen Schließen der Türen im Brandfall vorgesehen werden. Sind Zugriffsschutz und Brandschutz in Kombination erforderlich. Bei Schutzschränken.und Anlagenbau e. sollten in der Wand oder im Boden verankert werden. Hilfestellung bei der Bewertung des Widerstandswertes verschiedener Schutzschränke gibt das VDMA-Einheitsblatt 24990. die bei DIS-Schränken am höchsten ist. Schutz gegen unbefugten Zugriff: Der Schutzwert gegen unbefugten Zugriff wird neben der mechanischen Festigkeit des Schutzschrankes entscheidend durch die Güte des Schlosses beeinflusst. so dass Datenträger nicht zerstört werden. welche Geräte bzw. (VDMA) und RALRG 627 für Wertschränke.RAL: Deutsches Institut für Gütesicherung und Kennzeichnung e. so können Datensicherungsschränke nach RAL-RG 626/9 verwendet werden.V. Für den IT-Grundschutz sollten bei Schutz gegen Feuer Schutzschränke der Güteklasse S60 ausreichend sein.• DIS = Disketten und Magnetbandkassetten einschließlich aller anderen Datenträger. Bonn ] geeignet sein. die auf Grund ihrer geringen Größe relativ einfach weggetragen werden könnten. Dazu sollte vor der Beschaffung eines Schutzschrankes festgelegt werden. Zu beachten bleibt. da der Schutzwert des Schrankes und seine spezifische Zulassung beeinträchtigt werden können. jedoch ist davon auszugehen. Bei der Auswahl von Schutzschränken ist auch die zulässige Deckenbelastung am Aufstellungsort zu berücksichtigen. Es sollte auch Raum für zukünftige Erweiterungen mit eingeplant werden. Weitere relevante Normen und Informationen sind VDMA 24992 für Stahlschränke des Verbandes deutscher Maschinen. Serverschränke: 238 . Nach diesen Auswahlkriterien für den Schutzwert des Schutzschrankes ist als Nächstes die Ausstattung des Schrankes bedarfsgerecht festzulegen. Schutzschränke.V.

Die jeweils gültigen Codes von Codeschlössern sind aufzuzeichnen und gesichert zu hinterlegen. dass die Ausstattung ergonomisch gewählt ist. die ein Öffnen des Schutzschrankes erfordern. Bandlaufwerke vorgesehen werden. In diesen sollte außer für den Server und eine Tastatur auch Platz für einen Bildschirm und weitere Peripheriegeräte wie z. sogar als Einzigen. Andernfalls muss zumindest eine Lüftung vorhanden sein. das im Brandfall die Stromzufuhr der Geräte unterbricht (auf der Eingangs. Die Ausstattung des Schrankes mit einem lokal arbeitenden Brandfrüherkennungssystem. Die entsprechenden Geräte sollten dann im Schrank mit untergebracht werden. werden auch als Serverschränke bezeichnet. persönliche Daten. • • • • • Werden Schutzschränke mit mechanischen oder elektronischen Codeschlössern verwendet. damit Administrationsarbeiten am Server ungehindert durchgeführt werden können.Schutzschränke. dass der Code einem Unbefugten bekannt wurde und mindestens einmal alle zwölf Monate.B. 239 .und der Ausgangsseite der USV. So ist zum Beispiel ein ausziehbarer Boden für die Tastatur wünschenswert. ist empfehlenswert. Je nach Nutzung des Schrankes können auch eine Klimatisierung und/oder eine USV-Versorgung erforderlich sein. in denen wichtige IT-Komponenten (also im Regelfall Server) untergebracht sind. ggf. ihnen. nach Öffnung in Abwesenheit des Benutzers. dass Administratoren Arbeiten sitzend durchführen können. Zu beachten ist. Verschluss von Schutzschränken: Generell sind Schutzschränke bei Nichtbenutzung zu verschließen. der in einer Höhe angebracht wird. dass eine Hinterlegung im zugehörigen Schutzschrank sinnlos ist. so muss der Code für diese Schlösser geändert werden nach der Beschaffung. sofern diese vorhanden ist). damit Administrationsarbeiten vor Ort durchgeführt werden können. Es ist also nicht sinnvoll. Zugriff auf die Protokollausdrucke zu gewähren.B. Die Protokollierung der Aktionen am Server dient auch zur Kontrolle der Administratoren. Backup-Datenträger würden im Falle einer Beschädigung des Servers vermutlich ebenfalls beschädigt. unterbrochen. Der Code darf nicht aus leicht zu ermittelnden Zahlen (z. bei Wechsel des Benutzers. Nicht im gleichen Schrank untergebracht werden sollten Backup-Datenträger und Protokolldrucker. arithmetische Reihen) bestehen. Werden Arbeiten. so ist auch bei kurzfristigem Verlassen des Raumes der Schutzschrank zu verschließen. wenn der Verdacht besteht. Dazu ist zu beachten.

Mit geordnet ist gemeint. Verteiler sollten verschlossen sein und dürfen nur von den für die jeweilige Versorgungseinrichtung zuständigen Personen geöffnet werden.2 Regelungen für Zutritt zu Verteilern Die Verteiler (z. bei deren Umbau. Gefahrenmeldung. 9. z. zugestellt werden.4 Zutrittskontrolle ). Die Zugriffsmöglichkeiten können durch unterschiedliche Schlüssel und entsprechende Schlüsselverwaltung geregelt werden (siehe dazu 9. Verteiler nicht mit Möbeln. Datennetze.6. für Energieversorgung. so dass es für eine/n Angreifer/in schwieriger ist. Bei der Planung und Errichtung von Gebäuden.B. In Anhang A werden einige dieser Normen beispielhaft angeführt. dass festgelegt ist. 240 . Die dort geforderten Maßnahmen sind zu berücksichtigen. Telefon. Paletten etc.) im Gebäude muss möglich und geordnet sein.B. Diese Regelwerke tragen dazu bei.oder Datennetze) und bei Beschaffung und Betrieb von Geräten sind entsprechende Normen und Vorschriften unbedingt zu beachten. interne Versorgungsnetze wie Telefon.1.6 Weitere Schutzmaßnahmen 9. Mit möglich ist gemeint.Wenn der Schutzschrank neben einem Codeschloss ein weiteres Schloss besitzt. oder getrennt hinterlegt werden. beim Einbau technischer Gebäudeausrüstungen (z. Der Zutritt zu den Verteilern aller Versorgungseinrichtungen (Strom.6. was im Notfall einen schnelleren Zugriff erlauben würde. Geräten. Rohrpost etc. Gas. Telefon) sind nach Möglichkeit in Räumen für technische Infrastruktur unterzubringen.B. so ist abzuwägen. ob Code und Schlüssel gemeinsam hinterlegt werden. dass technische Einrichtungen ein ausreichendes Maß an Schutz für den/die Benutzer/in und Sicherheit für den Betrieb gewährleisten. Wasser. Vorschriften.1 Einhaltung einschlägiger Normen und Vorschriften Für nahezu alle Bereiche der Technik gibt es Normen bzw. dass sie nur noch mit Werkzeug zu öffnen oder unauffindbar sind. der ÖNORM und des ÖVE. 9. für verschlossene Verteiler die Schlüssel verfügbar sind und die Schlösser funktionieren. sich Zugriff zu verschaffen. wer welchen Verteiler öffnen darf. dass • • • Verteiler nicht bei Malerarbeiten mit Farbe oder Tapeten so verklebt werden.

Serverraum.und Erdgeschoss und. Ist es unvermeidbar. wenn eine Sicherungsmaßnahme installiert ist.B.7 Clear Desk Policy ). In diesem Fall sollte alternativ jede/r Mitarbeiter/in vor ihrer/seiner Abwesenheit Unterlagen und den persönlichen Arbeitsbereich (Schreibtisch. Türschilder wie z.B. Ersatzteillager. Schalträume.6. "Rechenzentrum" oder "EDV-Archiv" geben einem potentiellen Angreifer. Bei laufendem Rechner kann auf das Abschließen der Türen verzichtet werden. 241 . in Großraumbüros.3 Vermeidung von Lagehinweisen auf schützenswerte Gebäudeteile Schützenswerte Gebäudeteile sind z. auch in den höheren Etagen bieten sie einem/einer Einbrecher/in auch während der Betriebszeiten eine ideale Einstiegsmöglichkeit. Terrassen) sind in Zeiten. dass Unbefugte Zugriff auf darin befindliche Unterlagen und IT-Einrichtungen erlangen. Tastaturschloss. Datenträgerarchiv. 9. der zum Gebäude Zutritt hat.B.1. zu schließen. Dadurch wird verhindert. je nach Fassadengestaltung. der Bildschirm gelöscht wird und das Booten des Rechners die Eingabe eines Passwortes verlangt. mit der die Nutzung des Rechners nur unter Eingabe eines Passwortes weitergeführt werden kann (passwortunterstützte Bildschirmschoner). die für Fremde leicht von außen einsehbar sind (siehe auch 9. Schrank und PC (Schloss für Diskettenlaufwerk. Solche Bereiche sollten nach Möglichkeit keinen Hinweis auf ihre Nutzung tragen. 8. Im Keller. Rechenzentrum.9. dass z. um seine Aktivitäten gezielter und damit Erfolg versprechender vorbereiten zu können. z. in denen ein Raum nicht besetzt ist. Verteilungen der Stromversorgung. Hinweise. um den Einblick zu verhindern oder so zu gestalten. Während normaler Arbeitszeiten und sichergestellter kurzer Abwesenheit der Mitarbeiterin/des Mitarbeiters kann von einer zwingenden Regelung für Büroräume abgesehen werden.6. In manchen Fällen.B.2 Anordnung schützenswerter Gebäudeteile ). Telefon) verschließen (s. dass die Nutzung nicht offenbar wird. ist der Verschluss des Büros nicht möglich. Klimazentrale.4 Geschlossene Fenster und Türen Fenster und nach außen gehende Türen (Balkone. Dabei ist darauf zu achten.a. Auch nach innen gehende Türen nicht besetzter Räume sollten im Allgemeinen abgeschlossen werden. so sind geeignete Maßnahmen zu treffen. nicht nur ein Fenster einer ganzen Etage mit einem Sichtschutz versehen wird. IT in Räumen oder Gebäudebereichen unterzubringen.1.

Serverraum). ist eine regelmäßige Wartung und Funktionsprüfung der Alarmanlage vorzusehen.Bei ausgeschaltetem Rechner kann auf das Verschließen des Büros verzichtet werden. ob zumindest die Kernbereiche der IT (Serverräume.) in die Überwachung durch diese Anlage mit eingebunden werden sollen. dass die Passworteingabe keinesfalls umgangen werden kann.B. Telefonleitung) an anderer Stelle. werden oft in ge. Ist keine Alarmanlage vorhanden oder lässt sich die vorhandene nicht nutzen. ohne Anschluss an eine Zentrale.6 Fernanzeige von Störungen IT-Geräte und Supportgeräte. dass Störungen. Diese arbeiten völlig selbstständig. Weiters ist zu beachten: • • • Die Alarmanlage muss regelmäßig gewartet bzw.6. geprüft werden. Besonders wirksam ist "Stiller Alarm mit Rückfrage". 242 . Feuer. dies erfordert jedoch zusätzlichen organisatorischen Aufwand. Räume für technische Infrastruktur u. wenn die Inbetriebnahme des Gerätes die Eingabe eines Passwortes verlangt und sichergestellt ist. Um die Schutzwirkung aufrechtzuerhalten. ist zu überlegen.und verschlossenen Räumen untergebracht (z. meist durch ihre Auswirkungen auf die IT. Datenträgerarchive. Funktionsstörungen einer USV oder der Ausfall eines Klimagerätes seien als Beispiele für solche "schleichenden" Gefährdungen angeführt.5 Alarmanlage Ist eine Alarmanlage für Einbruch oder Brand vorhanden und lässt sich diese mit vertretbarem Aufwand entsprechend erweitern. Die Alarmierung erfolgt vor Ort oder mittels einer einfachen Zweidrahtleitung (evtl. die sich in ihrem Frühstadium auf die IT noch nicht auswirken und einfach zu beheben sind. die keine oder nur seltene Bedienung durch eine Person erfordern. 9.ä. Einbruch. Es muss auf jeden Fall sichergestellt werden. erst zu spät.6. Die zuständigen Personen sind über die im Alarmfall einzuleitenden Schritte zu unterrichten. 9. entdeckt werden. Diebstahl frühzeitig erkennen und Gegenmaßnahmen einleiten. So lassen sich Gefährdungen wie Feuer. kommen als Minimallösung lokale Melder in Betracht. dass keine schutzbedürftigen Gegenstände wie Unterlagen oder Datenträger offen aufliegen. Das führt dazu.

in denen sich Wasser sammeln und stauen kann oder in denen fließendes oder stehendes Wasser nicht oder erst spät entdeckt wird und in denen das Wasser Schäden verursachen kann.6. etc.6. 9. auf die man sich verlassen muss. Um die Schutzwirkung aufrechtzuerhalten ist eine regelmäßige Wartung der Klimatisierungseinrichtung vorzusehen. 9.8 Selbsttätige Entwässerung Alle Bereiche.und Wärmeaustausch eines Raumes manchmal nicht aus. über die eine Warnlampe eingeschaltet werden kann. reicht der normale Luft. Lufträume unter Doppelböden. säurefrei sind.7 Klimatisierung Um den zulässigen Betriebstemperaturbereich von IT-Geräten zu gewährleisten. Die technischen Möglichkeiten reichen dabei von einfachen Kontakten. Anstriche. a. Keller. Dazu muss das Klimagerät allerdings an eine Wasserleitung angeschlossen werden. kann ein Klimagerät durch Be. bis zu Rechnerschnittstellen mit dazugehörigem Softwarepaket für die gängigen Betriebssysteme.6. haben heute einen Anschluss für Störungsfernanzeigen. Deren Aufgabe ist es. die Raumtemperatur durch Kühlung unter dem von der IT vorgegebenen Höchstwert zu halten. Lichtschächte und Heizungsanlagen.und Entfeuchtung auch diese erfüllen.4. mit Wassermeldern ausgestattet sein. so dass der Einbau einer Klimatisierung erforderlich wird. Werden darüber hinaus Forderungen an die Luftfeuchtigkeit gestellt. um eine Korrosion von IT-Bauteilen durch vorbeigeführte Luft aus der Klimaanlage zu vermeiden.6 Vermeidung von wasserführenden Leitungen ist zu beachten. So ist etwa bei baulichen Maßnahmen. dass die Luftumwälzung durch eine Klimaanlage auch Emissionen aus der Umgebung in die Nähe von empfindlichen ITKomponenten bringen kann. insbesondere bei Umbauarbeiten in bestehenden Räumen und Gebäuden. 9. darauf zu achten. 9. Viele Geräte. dass Kleber. Zu diesen Bereichen gehören u. sollten mit einer selbsttätigen Entwässerung und ggf. Über die Schnittstellen ist es oft sogar möglich. jederzeit den aktuellen Betriebszustand der angeschlossenen Geräte festzustellen und so Ausfällen rechtzeitig begegnen zu können. ohne sie ständig prüfen oder beobachten zu können. Zusätzlich ist zu beachten.Durch eine Fernanzeige ist es möglich.9 Videounterstützte Überwachung 243 . solche Störungen früher zu erkennen.

ä.11 Vorgaben für ein Rechenzentrum Ein Rechenzentrum gilt als schützenswert und sollte daher im Sinne eines Sicherheitsbereiches konzipiert sein. Nach jedem Eingriff der eine Aktualisierung der Pläne erforderlich macht (bauliche Maßnahmen o. Derartige Überwachungssysteme stellen eine sinnvolle Ergänzung der bestehenden Maßnahmen (vgl. In diesem Zusammenhang sind die im Kapitel 1 „Bauliche und infrastrukturelle Maßnahmen“ getroffenen Maßnahmen von besonderer Bedeutung.4 Zutrittskontrolle ) Aufstellung und Anordnung von Geräten ( Abschnitt 9. sind diese umgehend auf den aktuellen Stand zu bringen.1.1.6 ) dar.Zur besseren Absicherung der Infrastruktur sollte bei Bedarf auf ein videounterstütztes Überwachungssystem zurückgegriffen werden.1. 9.10 Aktualität von Plänen Sämtliche Pläne sind aktuell zu halten und an geeigneten Stellen zu deponieren. Im Zuge der Konzeption und Installation müssen Personal sowie zusätzliche technische und infrastrukturelle Vorkehrungen zur Auswertung vorgesehen werden.).3 Einbruchsschutz ) Zutrittskontrollen ( 9. Die Wahl der Aufstellungsplätze der Kameras sollte unter Beiziehung der Betriebsrätin/des Betriebsrates und unter Berücksichtigung des Datenschutzes erfolgen.1 Geeignete Standortauswahl ) ausreichender Einbruchsschutz ( 9. Aus diesem Katalog sollten folgende Punkte besonders beachtet werden: • • • • geeignete Standortwahl ( 9.6. 9. Bei geeigneter Aufstellung ist auch die von Überwachungskameras ausgehende Abschreckung ein Vorteil derartiger Systeme.6.2 Strategie und Planung ) . Abschnitt 1. In diesem Zuge sind auch alle im Umlauf befindlichen Kopien der Pläne durch aktualisierte Kopien zu ersetzen.5 Geeignete Aufstellung und Aufbewahrung ) Weiters ist zu beachten: • 244 Verfügbarkeitsanforderungen ( Abschnitt 7.

Festlegung der IT-Sicherheitsanforderungen.und Lenkungsaufgabe zur Umsetzung eines wirksamen Prozesses mit dem Ziel.1 Etablierung eines IT-Sicherheits-Management-Prozesses ISO Bezug: 27002 10. Der IT-Sicherheits-ManagementProzess ist daher ein integraler Bestandteil der organisationsweiten ITSicherheitspolitik (vgl.1 Methodisches Sicherheitsmanagement ist zur Gewährleistung umfassender und angemessener IT-Sicherheit unerlässlich. Festlegung geeigneter Sicherheitsmaßnahmen. Verfügbarkeit.10 Sicherheitsmanagement in Kommunikation und Betrieb Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 . der die Vertraulichkeit. Authentizität und Zuverlässigkeit von IT-Systemen gewährleisten soll. Integrität. 10. Dabei handelt es sich um einen kontinuierlichen Prozess. Zurechenbarkeit.1.1 IT-Sicherheitsmanagement Informationssicherheitsmanagement steht für eine kontinuierliche Planungs. -strategien und -politiken der Organisation. Dieser Prozess ist zumindest auf Ebene der Gesamtorganisation zu etablieren. Die Umsetzung der in diesem Kapitel angeführten Maßnahmen soll dies gewährleisten. angemessenes und konsistentes Informationssicherheitsniveau für die gesamte Organisation herzustellen und zu erhalten. Ermittlung und Analyse von Bedrohungen und Risiken. 245 . 10.2 Erarbeitung einer organisationsweiten ITSicherheitspolitik . über eine Durchführung auf der Ebene einzelner Organisationseinheiten ist im Einzelfall zu entscheiden. Überwachung der Implementierung und des laufenden Betriebes der ausgewählten Maßnahmen.10 ff " Management der Kommunikation und des Betriebs ".1. Zu den Aufgaben des IT-Sicherheitsmanagements gehören: • • • • • Festlegung der IT-Sicherheitsziele. ein umfassendes. 10. und in dem Zusammenhang auch [IKTB-170902-8] ).

Abbildung 1: Aktivitäten im Rahmen des IT-Sicherheitsmanagements [eh SMG 1.• • Förderung des Sicherheitsbewusstseins innerhalb der Organisation sowie Entdecken von und Reaktion auf sicherheitsrelevante Ereignisse.1 Informationssicherheitsmanagement-Prozess werden die zur Etablierung eines umfassenden Informationssicherheits-Management-Prozesses erforderlichen Schritte detailliert beschrieben. In Kapitel 2.1] 246 . Die folgende Graphik zeigt die wichtigsten Aktivitäten im Rahmen des Informationssicherheitsmanagements und die eventuell erforderlichen Rückkopplungen zwischen den einzelnen Stufen.

2] 10.1. die für alle Einsatzbereiche der Informationstechnologie innerhalb einer Organisation zur Anwendung kommen und folgende Inhalte umfassen: • • • • • • • Grundsätzliche Ziele und Strategien Organisation und Verantwortlichkeiten für IT-Sicherheit Risikoanalysestrategien. "Entwicklung einer organisationsweiten Informationssicherheits-Politik" des vorliegenden Handbuchs. Jede Organisation sollte eine in schriftlicher Form vorliegende IT-Sicherheitspolitik erarbeiten. die als langfristig gültiges Dokument zu betrachten ist. Strategien. Die organisationsweite Informationssicherheits-Politik soll allgemeine Festlegungen treffen.2 Erarbeitung einer organisationsweiten Informationssicherheits-Politik ISO Bezug: 27001 4.und Verteidigungsdoktrin – Teilstrategie IKT-Sicherheit [OESVD-IT] hingewiesen.3 Erarbeitung von IT-Systemsicherheitspolitiken 247 .1. die unter Berücksichtigung gegebener Randbedingungen grundlegende Ziele. Ressorts in der öffentlichen Verwaltung werden auf Basis des IKT-BoardBeschlusses [IKTB-170902-8] explizit zur Umsetzung einer Sicherheitspolitik angehalten. [eh SMG 1. akzeptables Restrisiko und Risikoakzeptanz Klassifikation von Daten Organisationsweite Richtlinien zu Sicherheitsmaßnahmen Disaster Recovery Planung Nachfolgeaktivitäten zur Überprüfung und Aufrechterhaltung der Sicherheit Details und Anleitungen zur Erstellung einer organisationsweiten ITSicherheitspolitik finden sich in Kapitel 5. In diesem Zusammenhang sei auch auf die österreichische Sicherheits. Verantwortlichkeiten und Methoden für die Gewährleistung der IT-Sicherheit festlegen.1 Als organisationsweite IT-Sicherheitspolitik bezeichnet man die Leitlinien und Vorgaben innerhalb einer Organisation.10.

[eh SMG 1.ISO Bezug: 27001 4. Bedrohungen und Schwachstellen lt. 10. Details über die ausgewählten Sicherheitsmaßnahmen beschreibt und die Gründe für die Auswahl der Sicherheitsmaßnahmen dargelegt.1.1. Die IT-Systemsicherheitspolitik sollte Aussagen zu folgenden Bereichen treffen: Definition und Abgrenzung des Systems. "Entwicklung einer organisationsweiten Informationssicherheits-Politik" des vorliegenden Handbuchs.3 248 .4 Festlegung von Verantwortlichkeiten ISO Bezug: 27002 10.3] 10. welche • • • • • • • • • • • • • • • die grundlegenden Vorgaben und Leitlinien zur Sicherheit in diesem System definiert. Beschreibung der wichtigsten Komponenten Definition der wichtigsten Ziele und Funktionalitäten des Systems Festlegung der IT-Sicherheitsziele des Systems Abhängigkeit der Organisation vom betrachteten IT-System Investitionen in das System Risikoanalysestrategie Werte.1 Für jedes IT-System sollte eine IT-Systemsicherheitspolitik erarbeitet werden. Risikoanalyse Sicherheitsrisiken Beschreibung der bestehenden und der noch zu realisierenden Sicherheitsmaßnahmen Gründe für die Auswahl der Maßnahmen Kostenschätzungen für die Realisierung und Wartung (Aufrechterhaltung) der Sicherheitsmaßnahmen Verantwortlichkeiten Details und Anleitungen zur Erstellung von IT-Systemsicherheitspolitiken finden sich in Kapitel 5.1.1.

Wartungs.1. Zugangs.und Zugriffsberechtigungen. Abnahme und Freigabe von Software. Kauf und Leasing von Hardware und Software. 10.und Reparaturarbeiten. Datenträger. ist es erforderlich. Es empfiehlt sich. Datenschutz. darüber hinaus detaillierte Regelungen zu folgenden Bereichen zu treffen: • • • • • • • • • • • • • • • Datensicherung.und Betriebsmittelverwaltung. Notfallvorsorge und Vorgehensweise bei Verletzung der Sicherheitspolitik.2 Erarbeitung einer organisationsweiten Informationssicherheits-Politik und 5 Entwicklung einer organisationsweiten Informationssicherheits-Politik ). . trojanische Pferde. Weiters ist zu beachten: • Die Regelungen sind den betroffenen Mitarbeiterinnen/Mitarbeitern in geeigneter Weise bekannt zu geben. IT-Konfiguration. 249 . Schutz gegen Software mit Schadensfunktion (Viren. Datenarchivierung. Nähere Erläuterungen dazu finden sich in den nachfolgenden Maßnahmenbeschreibungen.Um eine Berücksichtigung aller wichtigen Sicherheitsaspekte und eine effiziente Erledigung sämtlicher anfallender Aufgaben zu gewährleisten.. Würmer. Software.. Zutritts-. Anwendungsentwicklung.) Revision. Dokumentation von IT-Verfahren. Datenübertragung. Diese Festlegung erfolgt zweckmäßig im Rahmen der organisationsweiten IT-Sicherheitspolitik (vgl. die Rollen aller in den IT-Sicherheitsprozess involvierten Personen klar zu definieren.

1. Sollte bei dieser Zuordnung eine Person miteinander unvereinbare Funktionen wahrnehmen müssen. Die getroffenen Regelungen sind regelmäßig zu aktualisieren.3. um Missverständnisse.4] 10. welche Funktionen nicht miteinander vereinbar sind. Die dabei getroffenen Festlegungen sind zu dokumentieren und bei Veränderungen im IT-Einsatz zu aktualisieren. ungeklärte Zuständigkeiten und Widersprüche zu verhindern. 10. Beispiele dafür sind: • • • • • Rechteverwaltung und Revision. Insbesondere wird deutlich.6 Einrichtung von Standardarbeitsplätzen 250 . Nach der Festlegung der einzuhaltenden Funktionstrennung kann die Zuordnung der Funktionen zu Personen erfolgen. Vorgaben hierfür können aus den Aufgaben selbst oder aus gesetzlichen Bestimmungen resultieren. [eh SMG 1. Es empfiehlt sich. so ist dies in einer entsprechenden Dokumentation über die Funktionsverteilung besonders hervorzuheben. dass meistens operative Funktionen nicht mit kontrollierenden Funktionen vereinbar sind. die Bekanntgabe zu dokumentieren.5] 10. Datenerfassung und Zahlungsanordnungsbefugnis.1.4 Im Rahmen der Zuordnung von Aufgaben und Verantwortlichkeiten ist auch festzulegen.1.5 Funktionstrennung ISO Bezug: 27002 10. also auch nicht von einer Person gleichzeitig wahrgenommen werden dürfen ("Funktionstrennung"). Programmierung und Test bei eigenerstellter Software. [eh SMG 1.1. Revision und Zahlungsanordnungsbefugnis. Netzadministration und Revision.• • • Sämtliche Regelungen sind in der aktuellen Form an einer Stelle vorzuhalten und bei berechtigtem Interesse zugänglich zu machen.

und Software können sich Anwender/innen gegenseitig helfen. Sie wird durch fachkundiges Personal durchgeführt. Der Aufwand für die Dokumentation des IT-Bestandes wird reduziert. Dadurch soll das Vertrauen in das Grundsystem gestärkt werden. Zuverlässigkeit. Ausfallzeiten werden somit minimiert.2002 [IKTB-170902-7] wird die Verwendung und Umsetzung einer sicheren Initialkonfiguration bei der Auslieferung von Systemen im Bundesbereich empfohlen. das sie am Arbeitsplatz vorfinden. IT-Nutzer/innen: • • Bei Gerätewechsel ist keine erneute Einweisung in die IT-Konfiguration erforderlich. Schulung: Die Teilnehmer/innen werden in dem Umfeld geschult. Die Einrichtung von Standardarbeitsplätzen ist in mehrfacher Hinsicht vorteilhaft: IT-Sicherheit: • • • • • Standardarbeitsplätze sind leichter in Sicherheitskonzepte einzubinden. Ergonomie. Durch gleiche IT-Ausstattung entfallen "Neidfaktoren" zwischen den einzelnen Benutzerinnen/Benutzern.1 Ein Standardarbeitsplatz ist gekennzeichnet durch einheitliche Hardware und Software sowie deren Konfiguration.ISO Bezug: 27002 10. Systemadministration bei Installation und Wartung: • • • Eine gewissenhaft geplante und getestete Installation kann fehlerfrei und mit geringem Arbeitsaufwand installiert werden. Geschwindigkeit und Wartbarkeit. Bei Fragen zu Hard. Die Planung und Einrichtung erfolgt üblicherweise unter den Aspekten der Aufgabenstellung. 251 . Der Einsatz nicht zulässiger Software ist einfacher festzustellen. IT-Management: Die Beschaffung größerer Stückzahlen gleicher Komponenten ermöglicht Preisvorteile.09. Die einheitliche Arbeitsumgebung erleichtert Wartung und Support. In Anlehnung an den IKT-Board Beschluss vom 17.1.

5 252 . 15 Security Compliance Checking und Monitoring Tests Evaluation und Zertifizierung von Systemen Änderungen der eingesetzten Sicherheitsmaßnahmen oder der Betriebsumgebung können eine neuerliche Akkreditierung des Systems erforderlich machen.1.2 Für jedes IT-System ist sicherzustellen. auch Kap. dass die Sicherheit des Systems • • • in einer bestimmten Betriebsumgebung.oder gegebenenfalls eine spezifische Anwendung .6] 10.7 Akkreditierung von IT-Systemen ISO Bezug: 27002 10. Dabei ist insbesondere darauf zu achten. dass es den Anforderungen der ITSystemsicherheitspolitik genügt.8 Change Management ISO Bezug: 27002 10. Techniken zur Akkreditierung sind: • • • Prüfung der Maßnahmen auf Übereinstimmung mit der IT-Sicherheitspolitik (Security Compliance Checking).2. Erst nach erfolgter Akkreditierung kann das System . unter bestimmten Einsatzbedingungen und für eine bestimmte vorgegebene Zeitspanne gewährleistet ist.1.1. [eh SMG 1. 12.3. Die Kriterien.in Echtbetrieb gehen.7] 10. sollten in der ITSystemsicherheitspolitik festgelegt werden. wann eine Neuakkreditierung durchzuführen ist. vgl.[eh SMG 1.

Im Rahmen des Konfigurationsmanagements ist sicherzustellen. Abhängig von der Bedeutung des Systems und dem Grad der Änderung kann eine neuerliche Durchführung vorangegangener Aktivitäten im Sicherheitsprozess (vgl. neue Netzwerkverbindungen. Alle Änderungen und die dazugehörigen Entscheidungsgrundlagen sind schriftlich zu dokumentieren..).1.B.1 Etablierung eines IT-Sicherheits-Management-Prozesses erforderlich werden. neue Sicherheitsanforderungen zu erkennen.2 Es ist dafür Sorge zu tragen.1.3] 10. Eine Änderung des IT-Systems oder seiner Einsatzbedingungen kann also • • Änderungen in der Umsetzung des Informationssicherheitsplans die Erstellung eines neuen Sicherheitskonzeptes 253 . . [eh T2 6. Sind signifikante Hardware. etwa externe oder anonyme. nach einem Umzug. Dazu gehören zum Beispiel: • • • • • • Änderungen des IT-Systems (neue Applikationen.. die sich aus Änderungen am IT-System ergeben.1. neue Hardware. Integrität oder Verfügbarkeit und Änderungen bei Bedrohungen oder Schwachstellen. räumliche Änderungen. z. 10. dass Änderungen an einem IT-System nicht zu einer Verringerung der Effizienz von einzelnen Sicherheitsmaßnahmen und damit einer Gefährdung der Gesamtsicherheit führen.1 Reaktion auf Änderungen am IT-System ISO Bezug: 27002 10.Aufgabe des Change Managements ist es. Änderungen in der Benutzerstruktur (neue. dass auf alle sicherheitsrelevanten Änderungen angemessen reagiert wird. so sind die Auswirkungen auf die Gesamtsicherheit des Systems zu untersuchen. der notwendigen Vertraulichkeit. Änderungen in der Bewertung der eingesetzten IT.oder Softwareänderungen in einem IT-System geplant.8. Änderungen in der Aufgabenstellung oder in der Wichtigkeit der Aufgabe für die Institution. Benutzergruppen).

In den genannten Dokumenten finden sich auch weitere Details. die freigegebene Software(version) nur unverändert installiert werden kann (vgl.1.2.10 Lizenzverwaltung und Versionskontrolle von Standardsoftware ) Für komplexe Eigenentwicklungen empfiehlt sich die Erstellung eines "SoftwarePflege. [eh BET 3.8 Installation und Konfiguration von Software ) und Standardsoftware einer Lizenzverwaltung und Versionskontrolle unterliegt (vgl. 12.3.und -Änderungskonzept (SWPÄ-Konzept )).1. 10. 12.6 Software-Pflege.2] 10.1. [eh BET 3. der sich auf die Gewährleistung der Integrität von Software bei Änderungen bezieht. 12. 10.9 Sicherstellen der Integrität von Software ). dass nur abgenommene und freigegebene Software installiert wird (vgl.5. 10.1.1.1.2.1.• • eine neue Risikoanalyse oder sogar die Überarbeitung der organisationsweiten Informationssicherheits-Politik erforderlich machen.1. Installation und Konfiguration entsprechend den Installationsanweisungen erfolgen (vgl.3.7 Abnahme und Freigabe von Software ).7.2.1 Dokumentation von Software ISO Bezug: 27002 10.4 254 .1] 10.2 Software-Änderungskontrolle ISO Bezug: 27002 10.und Änderungskonzeptes" (SWPÄ-Konzept. 12. den [IT-BVM] sowie den [Common Criteria] . 12.5.2 Software-Änderungskontrolle (Software Change Control) ist der Teil des Change Managements. • • • • Es ist sicherzustellen. 12.2 Dokumentation Die im Folgenden angeführten Maßnahmen geben grobe Richtlinien zu den Anforderungen an die Dokumentation. vgl. Dabei wird insbesondere auf die sicherheitsspezifischen Fragen im Rahmen der Dokumentation eingegangen.8.1. 12. Die Ausführungen orientieren sich an den [AVB-IT] .

Dabei ist zu achten auf: • • die Vollständigkeit und Korrektheit der gelieferten Dokumentation und die laufende Aktualisierung der Dokumentation während der gesamten Nutzungsdauer der Software. • • die Sicherheitseigenschaften der Software sowie den Beitrag der/des Endbenutzerin/Endbenutzers zur Gewährleistung der Sicherheit bei der Verwendung der Software zu verstehen. Die Benutzerdokumentation hat alle für die laufende Arbeit notwendigen Abläufe so zu beschreiben. Die Dokumentation muss zumindest beinhalten: • • • • Benutzerdokumentation Dokumentation für Installation und Administration Darüber hinaus können je nach Bedarf folgende Anforderungen bestehen: technische Dokumentation Entwicklungsdokumentation Benutzerdokumentation: Bei der Benutzerdokumentation (in den [IT-BVM] als "Anwendungshandbuch" bezeichnet) handelt es sich um Information über die Software. Die Benutzerdokumentation sollte in deutscher Sprache vorliegen. Aus sicherheitstechnischer Sicht soll die Benutzerdokumentation der/dem Endbenutzer/in helfen. dass sie für eine eingeschulte Person verständlich sind.Für jede Softwarekomponente ist die Verfügbarkeit der zu ihrer Nutzung erforderlichen und/oder zweckmäßigen Dokumentation sicherzustellen. Daneben hat die Dokumentation typische und vorhersehbare Fehlersituationen und deren Behebung zu beschreiben. etwa [AVB-IT] ). Dies kann und sollte auch vertraglich festgelegt werden (vgl. 255 . die die/der Entwickler/in der/dem Benutzer/in zur Verwendung bereitstellt.

zu konfigurieren und zu bedienen.2 Sourcecodehinterlegung ISO Bezug: 27002 10. dass sie für eine/n mit ähnlichen Komponenten vertraute/n Expertin/Experten verständlich und verwertbar ist. Daneben hat die Dokumentation typische und vorhersehbare Fehlersituationen und deren Behebung zu beschreiben.1. 256 .Ebenso empfiehlt sich eine Vereinbarung über die Lieferung der Dokumentation zusätzlich in maschinenlesbarer Form. sollte nach Möglichkeit . 12. so dass diese an definierten Arbeitsplätzen während der Arbeit abgerufen werden kann. zur Durchführung und Überwachung des Betriebs und zur Unterbrechung und Beendigung des Betriebs.2. Sie soll Administratoren helfen. Darüber hinaus muss sie Richtlinien zur konsistenten und wirksamen Nutzung der Sicherheitseigenschaften der Software enthalten und darlegen. Die Dokumentation für die Installation und Administration (im Folgenden kurz als "Administratordokumentation". Diese soll die Möglichkeit einer weiteren Fehlerbehebung. Dokumentation für Installation und Administration: Bei dieser Dokumentation handelt es sich um Information über die erforderlichen Maßnahmen zur Aufnahme des Betriebs. dass sie für eine eingeschulte Person verständlich sind.4. Technische Dokumentation: Diese muss den zum Zeitpunkt der Installation der Software üblichen Standards entsprechen und so gestaltet sein. Änderung und Wartung von Software für den Fall der Handlungsunfähigkeit des Softwareherstellers und den Fall der Einstellung der Weiterentwicklung oder Wartung sicherstellen. die für Administratoren von Bedeutung sind. die Software in einer sicheren Art und Weise zu installieren. wie solche Eigenschaften zusammenwirken. [eh ENT 2.1] 10. in den [IT-BVM] als "Betriebshandbuch" bezeichnet) hat alle für die Installation und die laufende Verwaltung des Systems notwendigen Abläufe so zu beschreiben.Sourcecodehinterlegung vereinbart werden. bei der der Sourcecode nicht mitgeliefert wird.1.3 Im Falle einer Lieferung von Software. Aus sicherheitstechnischer Sicht muss die Administratordokumentation die sicherheitsspezifischen Funktionen darlegen.insbesondere bei der Entwicklung von Individualsoftware .

1. Der Datenträger muss die in maschinenlesbarer Form vorliegende Dokumentation enthalten. so ist die/der Auftraggeber/in berechtigt. 10. Fehlerbehandlung usw. [eh ENT 2.) zu beauftragen oder diese selbst durchzuführen. der auf dem System der/des Auftraggeberin/Auftraggebers gelesen werden kann. in der Quellensprache bereit. Es ist eine Aufstellung der versiegelt hinterlegten Gegenstände sowie eine Anweisung über die Handhabung des Datenträgers und die Installation der Software beizulegen.3 Dokumentation der Systemkonfiguration ISO Bezug: 27002 10.. aus AVB-IT) ).2. . . Dabei ist zu beachten: • • • • Der Datenträger muss die Software in den ursprünglichen Programmiersprachen zum Zeitpunkt der Installation einschließlich aller seitherigen Änderungen enthalten. auf die Aktualität aller Komponenten sowie der Dokumentation ist zu achten.. Testverfahren.1. Tritt beim Hersteller Handlungsunfähigkeit (etwa Liquidation..4 257 . Die Hinterlegung muss bei jeder Lieferung einer neuen Version wiederholt werden.Durchführung: Die/der Auftragnehmer/in (SW-Hersteller) stellt die Software auf einem Datenträger. Eröffnung eines Konkursverfahrens. Nach der Installation wird der Datenträger mit dem Quellencode samt der dazugehörigen Dokumentation (Inhalt und Aufbau des Datenträgers.B. übersetzt sie in Maschinencode und nimmt die Installation auf dem System vor. die hinterlegten Datenträger zu entnehmen und entweder ein sachkundiges Unternehmen mit den erforderlichen weiteren Arbeiten (Wartung.) ein oder stellt sie/er entgegen anders lautenden Vereinbarungen die Weiterentwicklung und/oder Wartung der Software ein.) von der/ dem Auftragnehmer/in versiegelt und bei der/dem Auftraggeber/in oder einer/einem vertrauenswürdigen Dritten (z. Fehlerbehebung.1 Sourcecodehinterlegung (Muster. Programm und Datenflusspläne. Ein Vorschlag zur Formulierung einer entsprechenden vertraglichen Vereinbarung findet sich in den [AVB-IT] (s.7. Testprogramme.2] 10.. Notar/in) hinterlegt. Anhang B.

3] 10. Kap. Deren Anwendung ist allerdings auch generell zu empfehlen.4 Dokumentation der Datensicherung ISO Bezug: 27002 10. Dazu gehören auch die Zugriffsrechte der einzelnen Benutzer/innen (siehe 11.Planung.1 Sichere Initialkonfiguration und Zertifikatsgrundeinstellung .1 In einem Datensicherungskonzept muss festgelegt werden.5. Zur Gewährleistung einer ordnungsgemäßen und funktionierenden Datensicherung ist eine Dokumentation erforderlich. Dies gilt insbesondere für Änderungen an Systemverzeichnissen und -dateien. Dabei ist zu beachten: • • • • Die Dokumentation muss aktuell und verständlich sein. Speziell im Bundesbereich ist gemäß [IKTB-170902-7] eine definierte sichere Initialkonfiguration zu verwenden.5. Eine entsprechend dokumentierte Initialkonfiguration wird im Rahmen des Online-Angebotes des Chief Information Office des Bundes zur Verfügung stehen. die für jedes IT-System zumindest folgendes umfassen soll: 258 . Kontrolle und Notfallvorsorge des IT-Einsatzes basieren auf einer aktuellen Dokumentation des vorhandenen IT-Systems. Bei einem Netzbetrieb sind sowohl die physikalische Netzstruktur (vgl. [eh ENT 2. Nur eine aktuelle Dokumentation der Systemkonfiguration ermöglicht im Notfall einen geordneten Wiederanlauf des IT-Systems. wie die Dokumentation der Datensicherung zu erfolgen hat (vgl. damit auch ein/ e Vertreter/in die Administration jederzeit weiterführen kann.5 Datensicherung ). so dass ihre Verfügbarkeit im Bedarfsfall gewährleistet ist.2. Steuerung. 10. Bei Installation neuer Betriebssysteme oder bei Updates sind die vorgenommenen Änderungen besonders sorgfältig zu dokumentieren. In diesem Zusammenhang: siehe auch 11. 10. Um das Vertrauen in Betriebssysteme zu sichern. Die Unterlagen sind gesichert aufzubewahren.2. ist generell eine so genannte Vertrauenseinstellung im Zuge der Neuinstallation/-konfiguration vorzunehmen. Möglicherweise kann durch die Aktivierung neuer oder durch die Änderung bestehender Systemparameter das Verhalten des IT-Systems (insbesondere auch von Sicherheitsfunktionen) maßgeblich verändert werden.2 Einrichtung und Dokumentation der zugelassenen Benutzer/innen und Rechteprofile ) und der Stand der Datensicherung.2.5 Dokumentation und Kennzeichnung der Verkabelung ) als auch die logische Netzkonfiguration zu dokumentieren.

auf dem die Daten gesichert wurden. 259 . Standorte von Zentralen und Verteilern mit genauen Bezeichnungen. der benötigten Parameter und der Vorgehensweise. 9.1. technische Daten von Anschlusspunkten. Nennung der daran angeschlossenen Netzteilnehmer/ innen. der Datensicherungsumfang (welche Dateien/Verzeichnisse wurden gesichert). Fehlersuche. der Datenträger. Belegungspläne aller Rangierungen und Verteiler. Darüber hinaus bedarf es einer Beschreibung der Vorgehensweise. In dieser Dokumentation (auch Bestandsplan genannt) sind alle das Netz betreffenden Sachverhalte aufzunehmen: • • • • • • • • genauer Kabeltyp.und Software (mit Versionsnummer) und die bei der Datensicherung gewählten Parameter (Art der Datensicherung usw.5 Dokumentation und Kennzeichnung der Verkabelung ISO Bezug: 27002 10.und Lagepläne).2. die für die Datensicherung eingesetzte Hard. Instandsetzung und für erfolgreiche Überprüfung der Verkabelung ist eine gute Dokumentation und eindeutige Kennzeichnung aller Kabel erforderlich. auf dem die Daten im operativen Betrieb gespeichert sind.1. die einer/einem sachverständigen Dritten eine Wiederherstellung eines Datensicherungsbestandes erlaubt. [eh ENT 2. genaue Führung von Kabeln und Trassen in der Liegenschaft (Einzeichnung in bemaßte Grundriss. Auch hier muss eine Beschreibung der erforderlichen Hard. Die Güte dieser Revisionsdokumentation ist abhängig von der Vollständigkeit. nutzungsorientierte Kabelkennzeichnung. nach der die Datenrekonstruktion zu erfolgen hat.6] 10.). der Aktualität und der Lesbarkeit.und Software.2.3 Für Wartung. Nutzung aller Leitungen. Trassendimensionierung und -belegung. .• • • • • • das Datum der Datensicherung. der Datenträger. erstellt werden.

soweit nicht ausdrücklich vorgeschrieben (z. ist sie sicher aufzubewahren und der Zugriff darauf zu regeln.3 In jedem Verteiler sollte sich eine Dokumentation befinden. denkbar. Da es mit zunehmender Größe eines Netzes nicht möglich ist.4. und Raumnummern reichen in vielen Fällen aus.B. dass alle Arbeiten am Netz rechtzeitig und vollständig derjenigen/demjenigen bekannt werden. Es ist z. ist sicherzustellen.1 Lagepläne der Versorgungsleitungen [eh ENT 2. Diese Dokumentation ist möglichst neutral zu halten. Es muss möglich sein. Vgl. für Brandmeldeleitungen) keine Hinweise auf die Nutzungsart der Leitungen gegeben werden.6 Neutrale Dokumentation in den Verteilern ISO Bezug: 27002 10. Vollständigkeit und Korrektheit dieser Information zu achten. ist eine Aufteilung der Informationen sinnvoll. vorhandene und zu prüfende Schutzmaßnahmen. Es ist auf Aktualität. Verteiler-. Da diese Dokumentation schutzwürdige Informationen beinhaltet. die Vergabe von Fremdaufträgen oder die Freigabe gesicherter Bereiche von der Mitzeichnung dieser Person abhängig zu machen. die Ausgabe von Material.5] 260 . [eh ENT 2. Leitungs-.1. Tatsächliche Lageinformationen sind immer in maßstäbliche Pläne einzuzeichnen.• • Gefahrenpunkte. Alle weitergehenden Informationen sind in einer Revisionsdokumentation aufzuführen. sich anhand dieser Dokumentation einfach und schnell ein genaues Bild über die Verkabelung zu machen. die/der die Dokumentation führt. alle Informationen in einem Plan unterzubringen. andere Informationen können in Tabellenform geführt werden. Wichtig dabei ist eine eindeutige Zuordnung aller Angaben untereinander. 9. die den aktuellen Stand von Rangierungen und Leitungsbelegungen wiedergibt.2. Um die Aktualität der Dokumentation zu gewährleisten. Es sollen.4] 10.B.2. dazu auch 9.1. Nur bestehende und genutzte Verbindungen sind darin aufzuführen.

oder Geschäftsprozesse einer Organisation ganz oder teilweise zu externen Dienstleistern ausgelagert. so dass Teile von internen Geschäftsprozessen unter Leitung und Kontrolle eines externen Dienstleisters ablaufen. wird von Security Outsourcing oder Managed Security Services gesprochen. Auftraggeber und Dienstleister sind dabei über das Internet oder ein VPN miteinander verbunden. SAP-Anwendungen. Speziell in den letzten beiden Jahrzehnten hat sich der Trend zum Outsourcing enorm verstärkt. Die Gründe für Outsourcing sind vielfältig: die Konzentration einer Organisation auf ihre Kernkompetenzen. Da die Grenzen zwischen klassischem Outsourcing und reinem ASP in der Praxis zunehmend verschwimmen. ob die Leistung in den Räumlichkeiten des Auftraggebers oder in einer externen Betriebsstätte des Outsourcing-Dienstleisters erbracht wird. der oftmals durch weitere Begriffe ergänzt wird: Tasksourcing bezeichnet das Auslagern von Teilbereichen. der Zugriff auf spezialisierte Kenntnisse und Ressourcen. Das Auslagern von Geschäfts. die Freisetzung interner Ressourcen für andere Aufgaben.2 Beim Outsourcing werden Arbeits. Ebenso findet auf personeller Ebene ein intensiver Kontakt statt. Unter Application Service Provider (ASP) versteht man einen Dienstleister. Beim Auslagern von IT-gestützten Organisationsprozessen werden die IT-Systeme und Netze der auslagernden Organisation und ihres Outsourcing-Dienstleisters in der Regel eng miteinander verbunden. die Möglichkeit einer Kostenersparnis (z. die Überwachung des Netzes. die Erhöhung der Flexibilität sowie der Wettbewerbsfähigkeit einer Organisation sind nur einige Beispiele.und Produktionsprozesse. Werden Dienstleistungen mit Bezug zur IT-Sicherheit ausgelagert. die Straffung der internen Verwaltung. die verbesserte Skalierbarkeit der Geschäfts. Es gibt aber inzwischen auch publizierte Beispiele für gescheiterte OutsourcingProjekte. Archivierung.10. einer Applikation. einer Webseite oder des Wachdienstes. Outsourcing kann sowohl Nutzung und Betrieb von Hardware und Software. Web-Shops. Beschaffung). Beim Application Hosting ist ebenfalls der Betrieb von Anwendungen an einen Dienstleister ausgelagert. Dabei ist es unerheblich. Virenschutz oder der Betrieb eines Virtual Private Networks (VPN).3 Dienstleistungen durch Dritte (Outsourcing) ISO Bezug: 27002 10.und Produktionsprozessen ist ein etablierter Bestandteil heutiger Organisationsstrategien. der auf seinen eigenen Systemen einzelne Anwendungen oder Software für seine Kunden betreibt (E-Mail. Durch die enge Verbindung zum Dienstleister und 261 . Outsourcing ist ein Oberbegriff. Beispiele sind die Auslagerung des Firewall-Betriebs. keine Anschaffungsoder Betriebskosten für IT-Systeme). jedoch gehören im Gegensatz zum ASP-Modell die Anwendungen noch dem jeweiligen Kunden. Typische Beispiele sind der Betrieb eines Rechenzentrums. B. und dieser scheint auch für die nächste Zukunft ungebrochen. wo der Auftraggeber den Outsourcing-Vertrag gekündigt hat und die ausgelagerten Geschäftsprozesse wieder in Eigenregie betreibt (Insourcing). wird im Folgenden nur noch der Oberbegriff Outsourcing verwendet. aber auch Dienstleistungen betreffen.

1 Festlegung einer Outsourcing-Strategie ISO Bezug: 27002 10. welche Aufgaben oder IT-Anwendungen generell für Outsourcing in Frage kommen. Abhängigkeiten. Dabei darf die Bedeutung der rechtlichen Rahmenbedingungen nicht unterschätzt werden. ob einzelne Aufgabenbereiche ausgelagert wurden.3. Dabei müssen neben den wirtschaftlichen. Die Gefährdungslage eines Outsourcing-Vorhabens ist ausgesprochen vielschichtig. Nach ersten strategischen Überlegungen muss zunächst geklärt werden. ist zunächst kostenintensiv und mit Risiken verbunden. siehe dazu Kapitel 6. Machbarkeitsstudie mit Zusammenstellung der Rahmenbedingungen.2 Gefährdungen beim Outsorcing 10.die entstehende Abhängigkeit von der Dienstleistungsqualität ergeben sich Risiken für den Auftraggeber.2 Die Bindung an einen Outsourcing-Dienstleister erfolgt auf lange Sicht.) Der Betrachtung von Sicherheitsaspekten und der Gestaltung vertraglicher Regelungen zwischen Auftraggeber und Outsourcing-Dienstleister kommt im Rahmen eines Outsourcing-Vorhabens somit eine zentrale Rolle zu. Gesetze könnten beispielsweise das Auslagern bestimmter Kernaufgaben einer Institution generell verbieten oder zumindest weitreichende Auflagen enthalten und die Beteiligung von Aufsichtsbehörden vorschreiben. die sich mit ITSicherheitsaspekten des Outsourcing beschäftigen. Eine gute Planung des Outsourcing-Vorhabens ist daher wichtig. In der Regel bleibt der Auftraggeber weiterhin gegenüber seinen Kunden oder staatlichen Stellen voll verantwortlich für Dienstleistungen oder Produkte. 262 . unabhängig davon.2. Den Schwerpunkt dieses Bausteins bilden daher Maßnahmen. technischen und organisatorischen Randbedingungen auch die sicherheitsrelevanten Aspekte bedacht werden. betriebswirtschaftliche Aspekte mit Kosten-Nutzen-Abschätzung. Dazu zählen ebenfalls geeignete Maßnahmen zur Kontrolle der vertraglich vereinbarten Ziele und Leistungen sowie der IT-Sicherheitsmaßnahmen. (Beispielsweise könnten sensitive Organisationsinformationen gewollt oder ungewollt nach außen preisgegeben werden. Folgende Gesichtspunkte sollten betrachtet werden: • • • Unternehmensstrategie (Flexibilität. durch die im schlimmsten Fall sogar die Geschäftsgrundlage des Unternehmens oder der Behörde vital gefährdet werden können. zukünftige Planungen).

sollte sich die Mühe machen nachzurechnen. 263 . dass zwischen Auftraggeber und Dienstleister Daten übertragen werden. Die Praxis lehrt jedoch.Die IT-Sicherheit wird leider häufig zu Beginn der Planung vernachlässigt. zu welchen Kosten ein Dienstleister die vereinbarte Leistung erbringen muss. weil der Auftraggeber Leistungen erwartet. dass höchstens die Dienstleistungen in der Zukunft erbracht werden. Auch dadurch ergibt sich ein erhöhtes Gefahrenpotenzial. eingeführt und durchgeführt werden. der über Outsourcing nachdenkt. Die Folgen der notwendigen Umstellungen müssen geklärt und abgeschätzt werden. die er . Dies gilt sowohl für technische als auch organisatorische Sicherheitsaspekte. Stellt sich heraus. Für jeden Outsourcing-Dienstleister besteht ein nicht zu unterschätzender Interessenskonflikt: Einerseits muss er die Dienstleistung möglichst kostengünstig erbringen. ist beim Outsourcing leider oft das Gegenteil zu beobachten. Generell ist nämlich zu bedenken: • • • • • • Die Entscheidung zum Outsourcing ist in der Regel nicht einfach zu revidieren. dass Mitarbeiter oder Subunternehmer des Outsourcing-Dienstleisters (und damit Betriebsfremde) zeitweise in den Räumlichkeiten des Auftraggebers arbeiten müssen. obwohl ihr eine zentrale Bedeutung zukommt.im Gegensatz zum OutsourcingDienstleister . Bei dieser Rechnung stellt sich vielleicht heraus.als selbstverständlich erachtet. seine IT-Kosten signifikant senken zu können. Während IT-ManagerInnen in der Regel sehr kritisch und kostenbewusst sind und Versprechungen von Herstellern und Beratern mit großer Skepsis begegnen. um seinen Gewinn zu maximieren. sind Nachbesserungen in der Regel ohne hohe zusätzliche Kosten nicht zu erwarten. Jeder IT-Manager. Dadurch ergibt sich automatisch ein erhöhtes Gefahrenpotenzial. die von Anfang an vertraglich fixiert worden sind. Im Rahmen eines Outsourcing-Vorhabens müssen neue Prozesse und Arbeitsabläufe entworfen. Flexibilität und kundenfreundliches Verhalten. dass die Dienstleistungsqualität unzureichend ist. Die Bindung an den Dienstleister erfolgt unter Umständen sehr langfristig. dass eine seriöse Leistungserbringung zu den versprochenen niedrigen Kosten höchst unwahrscheinlich ist. Für die technische Umsetzung des Outsourcing-Vorhabens ist es notwendig. In der Regel ist es erforderlich. Allzu leicht verfällt hier der Auftraggeber den Werbeaussagen der Dienstleister in der frohen Erwartung. denen im Outsourcing-Szenario eine entscheidende Rolle zukommt. Je nach Outsourcing-Vorhaben betrifft dies dann auch Daten mit hohem Schutzbedarf. Dieser Punkt ist erfahrungsgemäß der am häufigsten unterschätzte. Der Dienstleister hat Zugriff auf Daten und IT-Ressourcen des Auftraggebers. andererseits erwartet der Auftraggeber hohe Dienstleistungsqualität. damit Auftraggeber und Auftragnehmer beide von dem Vertragsverhältnis profitieren. Der Outsourcing-Auftraggeber verliert dadurch die alleinige und vollständige Kontrolle über Daten und Ressourcen.

Gerade in der IT-Sicherheit ist es sehr zeitaufwändig und benötigt viel technisches Wissen. Die nachfolgenden Hinweise beleuchten Vor. ob und wie diesen begegnet werden soll. kann festgelegt werden. Vorteil: Im Idealfall kann durch das Outsourcing-Vorhaben ein besseres ITSicherheitsniveau erreicht werden. von ITSystemen) auch neue Sicherheitsprobleme ergeben. In der Folge muss das festgelegte Sicherheitsniveau jedoch auch für das ausgeweitete Angebot sichergestellt werden. B. In Folge können sich jedoch durch die Erweiterungen (z. Security-Bulletins. Ressourcen oder der Personalbedarf schneller angepasst bzw. da dies vom Outsourcing-Dienstleister unter Umständen auch kurzfristig eingekauft werden kann. so dass dadurch auch neue.und Nachteile von Outsourcing mit Bezug zur IT-Sicherheit. Vorteil: Es besteht mehr Flexibilität. langfristigen Outsourcing-Strategie den Blick nicht nur auf die Einsparung von Kosten richten. durch Diversifikation oder Ausweitung der Produktpalette) zu etablieren. Das Management darf bei der Entwicklung einer erfolgversprechenden.Um die Outsourcing-Strategie festzulegen. In dieser frühen Projektphase wird das Sicherheitskonzept naturgemäß nur Rahmenbedingungen beschreiben und keine detaillierten Maßnahmen enthalten. wie bestehende IT-Systeme abgegrenzt und getrennt werden können. muss daher immer eine individuelle Sicherheitsanalyse durchgeführt werden. Updatemeldungen und Bug-Reports auszuwerten. erweitert werden. neue Dienstleistungen (z. da der Dienstleister Spezialisten beschäftigt. • • • Vorteil: Es besteht die Möglichkeit. Schlussendlich wird dennoch ein gewisses Restrisiko durch den Outsourcing-Auftraggeber zu tragen sein.oder Produktportfolio müssen ebenfalls berücksichtigt werden. Sind die sicherheitsrelevanten Gefährdungen analysiert worden. ihre Relevanz zu erkennen und bei Bedarf rasch die richtigen Schritte einzuleiten. regelmäßig die Flut an Sicherheitshinweisen. B. Die Auswirkungen eines Outsourcing-Vorhabens auf die Aufgabenerfüllung. beispielsweise können Systeme. Fixe Kosten können so in variable umgewandelt werden. 264 . das Geschäftsmodell und das Dienstleistungs. Die Ergebnisse der Sicherheitsanalyse gehen unmittelbar in die Kosten-Nutzen-Abschätzung ein. Nur so kann letztendlich festgestellt werden. Anforderungen an die IT selbst zu bestimmen und zu kontrollieren in ausreichendem Maße erhalten werden. dass die Fähigkeit. Insbesondere an die Weiterentwicklung und Pflege selbstentwickelter IT-Systeme und Anwendungen sollte gedacht werden. Sollen Standardabläufe oder Kerngeschäftsprozesse ausgelagert werden? Wichtig ist in diesem Zusammenhang. sicherheitskritische Anwendungen betrieben werden können. damit Teile davon ausgelagert werden können.

eine Neugestaltung ihrer IT-Systeme und Anwendungen gegen interne Widerstände durchzusetzen. immer wieder die richtige Balance zwischen Sicherheit und "mehr Funktionalität" zu finden. können diese schwierig und zeitaufwendig zu beheben sein. Der dann entstehende Kostendruck führt oftmals zu Einsparungen bei der IT-Sicherheit. Stehen sie einmal nicht zur Verfügung (Krankheit. Sollten hierbei Defizite festgestellt werden. Dienstleister hingegen können in der Regel auf mehrere gleich qualifizierte ExpertInnen zurückgreifen. die sich gegenseitig vertreten können. weil es keinen gleichwertigen Vertreter gibt. Es ist daher wichtig. Urlaub) oder verlassen die Institution.und Softwarelösungen. Im Zuge des Outsourcings soll eine heterogene Systemlandschaft aufgeräumt und standardisiert werden. Nachteil: Eine Ausweitung des Dienstleistungsangebots oder die Erweiterung von IT-Systemen ist nicht mehr allein eine Entscheidung des eigenen Managements. steigende Vernetzung und steigende Anforderungen der Nutzer machen es zudem außerordentlich schwierig. immer kürzere Produktzyklen. Eine umfassende Kosten-Nutzen-Analyse jedes Outsourcing-Vorhabens ist essentiell für den strategischen und wirtschaftlichen Erfolg. Der strategische Wert der folgenden Ressourcen muss unter den Rahmenbedingungen des Outsourcing-Vorhabens eingeschätzt werden: • • Know-how MitarbeiterInnen 265 . vor allem wenn es zu Meinungsverschiedenheiten zwischen Auftraggeber und Dienstleister kommt. Nachteil: Wenn das Know-how der vom Outsourcing-Dienstleister eingesetzten SpezialistInnen nicht angemessen ist. so können dadurch gravierende ITSicherheitslücken entstehen. Vorteil: Gerade in Unternehmen oder Behörden mit kleiner IT-Abteilung haben einzelne MitarbeiterInnen oft einen hohen Stellenwert. Ist zusätzlich intern nicht mehr das Fachwissen vorhanden. Vorteil: Von einigen Institutionen wird Outsourcing häufig als vielleicht einzige Möglichkeit gesehen. können sich gravierende Sicherheitsprobleme ergeben. um das Sicherheitsniveau beim Outsourcing-Dienstleister zu kontrollieren. Wenn Fragen der IT-Sicherheit dann nicht zeitnah gelöst werden. Nachteil: Der Aufwand für die Kontrolle der Dienstleistungsqualität darf nicht unterschätzt werden. alle Parameter zu kennen und auch richtig einzuschätzen. Dienstleister kompensieren nicht selten günstige Konditionen bei Vertragsabschluss durch hohe Forderungen bei späteren Sonderwünschen oder neuen Anforderungen des Auftraggebers. werden Sicherheitslücken womöglich nicht einmal entdeckt. können sich Sicherheitslücken ergeben. Der Outsourcing-Dienstleister muss immer an der Diskussion beteiligt werden.• • • • • Zunehmende Komplexität der angebotenen Hard.

Die Erstellung eines detaillierten Sicherheitskonzeptes. Es ist zu bedenken. Es empfiehlt sich unter diesem Gesichtspunkt außerdem.• IT-Systeme und Anwendungen Bei der Kosten-Nutzen-Analyse können Studien und Erfahrungsberichte anderer Institutionen wertvolle Informationen liefern. aber auch an die eigene Organisation zu stellen. dass das Festlegen von IT-Sicherheitsanforderungen ein iterativer Prozess ist: • • Zunächst werden die gewünschten IT-Sicherheitsanforderungen durch den Auftraggeber spezifiziert. dass auf ihrer Basis der geeignete Dienstleister ausgesucht werden kann. wie und ob die gewünschten IT-Sicherheitsanforderungen durch die anbietenden Dienstleister geleistet werden können (siehe auch 10.3 Wahl eines geeigneten OutsourcingDienstleisters).2 Wenn eine Outsourcing-Strategie festgelegt wurde. Danach wird in der Angebotsphase abgeglichen.5 Erstellung eines IT-Sicherheitskonzepts für das OutsourcingVorhabenbeschrieben. Dabei sind Sicherheitsanforderungen an den Outsourcing-Dienstleister selbst. Chancen und Risiken des Outsourcing-Vorhabens sollten eindeutig beschrieben werden.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben ISO Bezug: 27002 10. 266 . müssen die ITSicherheitsanforderungen so konkret ausgearbeitet werden. 10. wird in 10. Die Ziele. das auf den hier formulierten Anforderungen aufbaut und nach Auswahl des Dienstleisters ausgearbeitet wird.3. Abschließend ist die Outsourcing-Strategie zu dokumentieren.3. Es sollte dabei auch auf Fehlentscheidungen und daraus abgeleitete Empfehlungen für die Zukunft hingewiesen werden.3. die benutzte Technik (inklusive Kommunikationswege und -dienste). die im Rahmen eines laufenden Outsourcing-Vorhabens gemachten Erfahrungen in die Dokumentation der Outsourcing-Strategie zu integrieren.

1 Festlegung einer OutsourcingStrategie). Es ist wichtig. Räumen) bezüglich Vertraulichkeit. das diesem Sicherheitshandbuch entspricht. Natürlich sind auch relevante Gesetze und Vorschriften zu beachten. Organisation. die relevanten IT-Verbünde genau abzugrenzen (z. nach Fachaufgabe. An die Schnittstellen können dann entsprechende technische Sicherheitsanforderungen gestellt werden.1 Festlegung einer Outsourcing-Strategie) erfolgen. IT-Systemen). Die Anforderungen an Infrastruktur.3. basierend auf den eingesetzten Betriebssystemen oder Sicherheitsmechanismen) erarbeitet werden. Zugriffsrechte auf Daten und Systeme) dem Outsourcing-Dienstleister vom Auftraggeber eingeräumt werden.3. Es muss eine Ist-Strukturanalyse von IT-Systemen und Anwendungen (siehe auch 10. Dies hängt entscheidend von der Sicherheitsstrategie und bereits vorhandenen Systemen und Anwendungen ab. Sollten darüber hinausgehende Anforderungen bestehen. B. so dass alle Schnittstellen identifiziert werden können. Zeitrestriktionen für den Alarmierungsplan) können spezifiziert werden. Es muss eine Schutzbedarfsfeststellung (z. Zusätzlich müssen sowohl Outsourcing-Dienstleister als auch der Auftraggeber selbst ein ITSicherheitskonzept besitzen und dieses umgesetzt haben. müssen diese detailliert beschrieben werden. Zutrittsrechte.• Ist ein Dienstleister ausgewählt. Personal und Technik müssen beschrieben werden. Es genügt hier oftmals die Verpflichtung auf ein Sicherheitsniveau. Systemen. In der Endphase dieses Abstimmungsprozesses müssen dann auch die Sicherheitsanforderungen für die konkrete Umsetzung definiert werden. so muss mit diesem die weitere Verfeinerung der IT-Sicherheitsanforderungen (z. in denen Auftraggeber oder Dienstleister länderübergreifend oder weltweit operieren. Kommunikationsverbindungen. Dies kann besonders in Fällen. Beispielsweise könnten folgende Punkte in Abhängigkeit vom Outsourcing-Vorhaben detailliert werden: • Anforderungen an sicherheitskritische organisatorische Prozesse (z. B. Integrität und Verfügbarkeit erfolgen (siehe auch 10. • Generell ergeben sich für Outsourcing-Szenarien folgende Mindestsicherheitsanforderungen: • • • • Die Umsetzung der Anforderungen des Sicherheitshandbuchs ist eine Minimalforderung an beide Outsourcing-Parteien. B. von Anwendungen. B. 267 . B. welche Rechte (z. aufwendig sein. Geschäftsprozess. Im Rahmen der IT-Sicherheitsanforderungen ist festzulegen.

Die Ausschreibung sollte die 268 . 10. Generell bilden die festgelegten IT-Sicherheitsanforderungen eine der Grundlagen für die Wahl eines geeigneten Outsourcing-Dienstleisters.3 Wahl eines geeigneten Outsourcing-Dienstleisters ISO Bezug: 27002 10. B. Anforderungen an die Verfügbarkeit von Diensten und IT-Systemen können gestellt werden. Vorgaben an die Mandantenfähigkeit sowie die diesbezügliche Trennung von Hard. in denen bereits Systeme anderer Mandanten des Dienstleisters stehen. z. B. dass ein IT-Sicherheitsbeauftragter / eine IT-Sicherheitsbeauftragte mit speziellen Kenntnissen (z. gemäß Common Criteria) beim Outsourcing-Dienstleister kann gefordert werden.3. Qualität oder auch Abläufen und organisatorischen Regelungen können festgelegt werden. Zeitintervalle. Audits (unter Umständen durch unabhängige Dritte) können spezifiziert werden.und Software können formuliert werden. Beispielsweise kann festgelegt werden. Anforderungen an die Protokollierung und Auswertung von Protokolldateien können festgelegt werden.• • • • • • • • Spezielle Anforderungen an bestimmte Rollen können festgelegt werden. Allgemeine Anforderungen bezüglich Kontrolle und Messung von Sicherheit. Es kann beispielsweise gefordert werden.2 Bei der Wahl eines geeigneten Outsourcing-Dienstleisters sind ein möglichst detailliertes Anforderungsprofil und ein darauf basierendes Pflichtenheft entscheidende Erfolgsfaktoren. Spezielle Verfahren zur Absicherung der Kommunikation zwischen Dienstleister und Auftraggeber wie Einsatz von Verschlüsselungs. Nur so kann eine bedarfsgerechte Ausschreibung erfolgen. für Web-Server mit Kundenzugriff bei sehr vielen Kunden) vorgegeben werden. B. Host-Kenntnissen) beim Outsourcing-Dienstleister benannt werden muss Der Einsatz zertifizierter Produkte (z. Spezielle ITSicherheitsanforderungen müssen jedoch eventuell an das von Dienstleistern umsetzbare IT-Sicherheitsniveau angepasst werden. wie unangekündigte Kontrollen vor Ort.und Signaturverfahren können fest vorgegeben werden. Zuständigkeiten. B. Beispielsweise kann in diesem Zusammenhang der Grad und die Methode der Lastverteilung (z. Gewünschte Verfahren oder Mechanismen für die Kontrolle und Überwachung. auf die sich auch geeignete Dienstleister bewerben. dass keine IT-Systeme des Auftraggebers in Räumen untergebracht werden dürfen.

da sich daraus Hinweise auf existierende oder geplante Sicherheitsmechanismen ableiten lassen. um mögliche Einflussfaktoren im Vorfeld abzuklären. die Detailanforderungen bezüglich Sicherheit nur gegen eine Vertraulichkeitsvereinbarung (Non-Disclosure-Agreement) an Dienstleister herauszugeben. da dies z.3. durch die landesspezifische Gesetzgebung zugelassene und verwendbare Sicherheitsmechanismen. andere Haftungsregelungen. B. Weiterhin müssen den potenziellen Dienstleistern auch möglichst detailliert • • die IT-Sicherheitsanforderungen und die Kriterien zur Messung von Servicequalität und Sicherheit mitgeteilt werden (siehe 10. Bei großen Unternehmen ist zu bedenken. B. nach ISO/IEC 27001 oder ISO 9000. ist eine sinnvolle Forderung. Die Kundenstruktur sollte beachtet werden. enthalten. Spionagerisiko. die Konkurrenten des Auftraggebers sind) zu achten. In Einzelfällen kann es notwendig sein. Zulieferer. Der Dienstleister sollte Referenzen für ähnliche OutsourcingVorhaben aufweisen können. Als wichtige grundsätzliche Bewertungskriterien für Dienstleister und dessen Personal können gelten • • • • • • Bei ausländischen Dienstleistern müssen besondere Aspekte bedacht werden. die Haftungsgrenzen beeinflussen kann.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben). da dies darauf hinweist. Das Anforderungsprofil hängt stark von der Art des Outsourcing-Vorhabens ab. im Partnerunternehmen bzw. dass diese sehr viele Auftraggeber und Projekte haben. Die Größe des Dienstleisters kann bei der Auswahl ein Argument sein. B. z. Bei kleinen Unternehmen könnte das Insolvenzrisiko höher sein. so dass ein einzelner Auftraggeber nur einer unter vielen ist und keine bevorzugte Stellung einnimmt. andere Sicherheitskultur. 269 . Die Eigentümerstruktur sollte recherchiert werden. eine Zertifizierung. Ein Qualitätsnachweis bzw. in welchem Wirtschaftssektor der Anbieter seine Stärken hat. Die Organisationsform eines Dienstleisters kann in Betracht gezogen werden. welches nicht zwangsläufig dem Niveau des Auftraggebers entsprechen muss.• • Beschreibung des Outsourcing-Vorhabens (Aufgabenbeschreibung und Aufgabenteilung) sowie Beschreibungen zum geforderten Qualitätsniveau. Dazu gehören beispielsweise: fremde Gesetzgebung. Dabei ist auf Interessenskonflikte durch Geschäftsbeziehungen zu Konkurrenten des Auftraggebers und auf die Unabhängigkeit von bestimmten Herstellern (z.

sind als Hilfsmittel und Checkliste bei der Vertragsgestaltung zu sehen. 10. die im Folgenden beschrieben werden. dass die im Angebot genannten MitarbeiterInnen auch später tatsächlich eingesetzt werden. Umfang und Detaillierungsgrad der vertraglichen Regelungen hängen immer vom speziellen Outsourcing-Projekt ab. Auch an die MitarbeiterInnen eines Dienstleisters sind diverse Anforderungen zu stellen (siehe auch 8. desto sorgfältiger und detaillierter muss der Vertrag zwischen Auftraggeber und Dienstleister ausgehandelt werden. Art. sich zu blamieren.3. • • • • Die Qualifikation der MitarbeiterInnen muss in die Bewertung der Angebote einfließen.2 Regelungen für den Einsatz von Fremdpersonal). lieber zu wichtigen Fragen schweigen. eine solche durchgeführt werden kann. Die Anzahl der verfügbaren MitarbeiterInnen muss bewertet werden.2 Nachdem ein Outsourcing-Dienstleister ausgewählt wurde. Dabei sollten auch die Vertretungsregelungen und die Arbeitszeiten hinterfragt werden. Je höher der Schutzbedarf der ausgelagerten IT-Systeme und Anwendungen ist.4 Vertragsgestaltung mit dem Outsourcing-Dienstleister ISO Bezug: 27002 10. Entsprechend dem erforderlichen Sicherheitsniveau für das OutsourcingVorhaben sollte in die Bewertung der Angebote mit aufgenommen werden. 270 . ob eine Sicherheitsüberprüfung der MitarbeiterInnen vorliegt bzw.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben). wenn sie ihre Sprachfähigkeiten als nicht perfekt einschätzen. Es ist nach der Projektvergabe darauf zu achten. Die Erfahrungen zeigen. ob die vorhandenen Sprachkenntnisse für die Klärung von Detailproblemen ausreichen. dass viele Personen aus Angst. Der Dienstleister sollte auf Einhaltung des Sicherheitshandbuchs und auf die vom Auftraggeber vorgegebenen Sicherheitsanforderungen verpflichtet werden (siehe 10. Die Aspekte. Dazu gehört natürlich. Hierbei sollte auch hinterfragt werden. Bei der Wahl ausländischer Partner muss eine gemeinsame Sprache für die Kommunikation zwischen den eigenen MitarbeiterInnen und denen des Dienstleisters festgelegt werden.• Auskünfte über die aktuelle wirtschaftliche Lage sowie Erwartungen an die zukünftige Geschäftsentwicklung der Dienstleister sollten eingeholt werden. ein IT-Sicherheitskonzept inklusive eines Notfallvorsorgekonzepts zu erstellen und Sicherheitsmaßnahmen sowie Systeme und Anwendungen zu dokumentieren. dass der Outsourcing-Dienstleister sich verpflichtet. müssen alle Aspekte des Outsourcing-Vorhabens vertraglich in sogenannten Service Level Agreements (SLAs) festgehalten und geregelt werden.3.

Reaktionszeiten. Rechenleistung. Dadurch lassen sich später Streitigkeiten zwischen den Parteien vermeiden.Zusätzlich zur allgemeinen Leistungsbeschreibung empfiehlt es sich jedoch immer. . wer für die fachlichen Inhalte verantwortlich ist und welche Mitwirkungspflichten dem Auftraggeber obliegen. alle vereinbarten Leistungen so genau und eindeutig wie möglich vertraglich festzuhalten. zu Verfügbarkeitsanforderungen. Zutrittskontrolle. Insbesondere ist zu klären. auch eine genaue quantitative Leistungsbeschreibung vertraglich zu fixieren. B. Nachträgliche Konkretisierungen und Ergänzungen des Vertrages. B.. Brandschutz.. sind oftmals mit deutlichen Kostenerhöhungen für den Auftraggeber verbunden.und Zugriffsberechtigungen für MitarbeiterInnen des Dienstleisters zu den Räumlichkeiten und IT-Systemen des Auftraggebers Zutritts. Anzahl der MitarbeiterInnen. Supportzeiten.und Zugriffsberechtigungen für Mitarbeiterinnen des Auftraggebers zu den Räumlichkeiten und IT-Systemen des Dienstleisters 271 . Auch die Erstellung des IT-Sicherheitskonzeptes selbst sollte Vertragsbestandteil sein. die aus Sicherheitssicht geregelt werden sollten: Infrastruktur • Absicherung der Infrastruktur des Dienstleisters (z. z. Arbeitsabläufen und Zuständigkeiten • • • • • • Verfahren zur Behebung von Problemen. zur Verfügung stehendem Speicherplatz. Benennung von AnsprechpartnerInnen mit den nötigen Befugnissen regelmäßige Abstimmungsrunden Archivierung und Löschung von Datenbeständen (insbesondere bei Beendigung des Vertragsverhältnisses) Zugriffsmöglichkeiten des Dienstleisters auf IT-Ressourcen des Auftraggebers: Wer greift wie auf welches System zu? Wie sind die Zuständigkeiten und Rechte? Zutritts. es empfiehlt sich jedoch immer. Im Folgenden findet sich eine Themenliste von Aspekten. Generell wäre eine allgemeine Verpflichtung auf die Einhaltung des Sicherheitshandbuchs zwar zufriedenstellend.) Organisatorische Regelungen/ Prozesse • • Festlegung von Kommunikationswegen und Ansprechpartnern Festlegung von Prozessen. die aufgrund unterschiedlicher Interpretationen der beschriebenen Leistungen notwendig werden.

272 . juristische Rahmenbedingungen • • • Eine Verpflichtung auf die Einhaltung von geltenden Normen und Gesetzen sowie der vereinbarten Sicherheitsmaßnahmen und sonstigen Rahmenbedingungen ist vertraglich zu regeln. Serviceverträge. Softwarelizenzen etc. wie bei einem Streik des Personals des Dienstleisters die Verfügbarkeit von Daten und Systemen sichergestellt werden kann. Es sollte beispielsweise geklärt sein. Haftung. Subunternehmer und Unterauftragnehmer des Dienstleisters ist zu regeln. ob bzw. diese grundsätzlich auszuschließen. Besonders wenn Dienstleister und Auftraggeber unterschiedlichen Branchen angehören oder ihren Sitz in verschiedenen Ländern haben. welche Systeme redundant ausgelegt sein müssen Von besonderer Bedeutung können Regelungen im Fall höherer Gewalt sein. Software und Schnittstellen sind festzulegen. Die Eigentums.Personal • • • • • • • • • • • Gestaltung der Arbeitsplätze von externen MitarbeiterInnen (Einhalten von Computerarbeitsplatzrichtlinien) Festlegung und Abstimmung von Vertretungsregelungen Verpflichtung zu Fortbildungsmaßnahmen Notfallvorsorge Kategorien zur Einteilung von Fehlern und Störfällen nach Art. In der Regel empfiehlt es sich nicht. ob der Dienstleister bereits bestehende Verträge mit Dritten (Hardwareausstattung.und Urheberrechte an Systemen.) übernimmt. sondern sinnvolle Regelungen festzulegen. Schwere und Dringlichkeit erforderliche Handlungen beim Eintreten eines Störfalls Reaktionszeiten und Eskalationsstufen Mitwirkungspflicht des Auftraggebers bei der Behebung von Notfällen Art und zeitliche Abfolge von regelmäßigen und adäquaten Notfallübungen Art und Umfang der Datensicherung Vereinbarung. Die Einbindung Dritter. Ebenso sind Vertraulichkeitsvereinbarungen (Non-Disclosure-Agreements) vertraglich zu fixieren. kann der Auftraggeber von derartigen Vorkommnissen gänzlich überrascht werden. Es ist auch zu klären.

Zu bedenken sind nämlich die folgenden Punkte • Quantifizierbarkeit des Schadens Wie ist es zu bewerten. dass Schadensersatzzahlungen nur das allerletzte Mittel sind und nicht dazu führen dürfen. Sanktionen oder Schadensersatz bei Nichteinhaltung der Dienstleistungsqualität müssen festgelegt werden. B. • Kann ein Schaden nachgewiesen bzw. Die Bedeutung von Schadensersatzzahlungen und juristischen Konsequenzen sollte dabei nicht überschätzt werden. Sicherheit lässt sich nicht mit juristischen Mitteln erzielen. Batchprogramme ist für den Fall der Beendigung des Dienstleistungsverhältnisses zu regeln. die dem Auftraggeber gehören. die nur zufällig nicht zu einem größeren Schaden geführt haben? • Insolvenz des Dienstleisters Das Recht auf Schadensersatzzahlungen ist wertlos. B.• • • • • • Die Weiterverwendung der vom Dienstleister eingesetzten Tools. der Verursacher überführt werden (z. Haftungsfragen im Schadensfall sind zu klären. für einen Wechsel oder bei Insolvenz des Dienstleisters. Nachweis von Spionage oder Manipulationen)? Es ist immer zu bedenken. Skripte. können spezifiziert werden. zurückzugeben. wenn diese die Zahlungsfähigkeit des Dienstleisters übersteigen und dieser Insolvenz anmeldet. Prozeduren. nach Beendigung des Auftrags alle Hardund Software inklusive gespeicherter Daten. Der Auftragnehmer ist zu verpflichten. • • Wie wird beispielsweise ein Imageschaden gemessen? Mandantenfähigkeit • Die notwendige Trennung von IT-Systemen und Anwendungen verschiedener Kunden muss vereinbart werden. Auf ein ausreichend flexibles Kündigungsrecht ist zu achten. dass aus Kostengründen andere Sicherheitsmaßnahmen vernachlässigt werden. Die Aufteilung von Risiken zwischen Auftraggeber und Dienstleister muss bedacht werden. Regelungen für das Ende des Outsourcing-Vorhabens. 273 . Alle vorhandenen Daten inklusive Datensicherungen sind ebenfalls zurückzugeben oder (je nach Vereinbarung) zu vernichten. wenn gravierende Pflichtverletzungen aufgedeckt werden. wenn der Auftraggeber durch das Ausmaß des Schadensereignisses seiner Geschäftsgrundlage beraubt wird und im schlimmsten Fall durch die Schadensfolgen die Zahlungsunfähigkeit eintritt. Nachfolgend fallen dann mindestens Kosten für den Umzug zu einem neuen Dienstleister an. • Katastrophale Schäden Eine Konventionalstrafe kommt zu spät. z.

sich neuen Anforderungen anzupassen. muss die physikalische Trennung (d. Eine kontinuierliche Verbesserung der Dienstleistungsqualität und des ITSicherheitsniveaus sollte bereits in den SLAs festgeschrieben werden. B. dass die vom Dienstleister eingesetzten Mitarbeiter nicht für andere Auftraggeber eingesetzt werden.und Produktionssystemen Zuständigkeiten bei der Erstellung von Testkonzepten Festlegen von zu benutzenden Testmodellen Zuständigkeiten bei Auftraggeber und Dienstleister bei der Durchführung von Tests (z. wenn beispielsweise gesetzliche Vorgaben geändert wurden. die es ermöglichen. dezidierte Hardware) vereinbart werden. Testverfahren für neue Soft. • Änderungsmanagement und Testverfahren • • • • • Es müssen Regelungen gefunden werden. Falls notwendig.und Hardware sind zu vereinbaren. dass der Auftraggeber immer in der Lage ist. Es kann auch sinnvoll sein. diese in seinem Sinne weiterzuentwickeln. so dass die eingesetzten MitarbeiterInnen nicht mit anderen MitarbeiterInnen des Dienstleisters auftraggeberbezogene Informationen austauschen dürfen. Der Evolutionspfad von Systemen muss daher geregelt werden. Nicht selten übernimmt der Dienstleister selbstentwickelte Systeme oder Software vom Auftraggeber. muss vereinbart werden. wie auf Systemerweiterungen. diese auf Verschwiegenheit zu verpflichten.• • Es ist sicherzustellen. gestiegene Anforderungen oder knapp werdende Ressourcen reagiert wird. Falls notwendig. Dies gilt insbesondere. dass Daten des Auftraggebers unter keinen Umständen anderen Kunden des Outsourcing-Dienstleisters zugänglich werden. • Es ist sicherzustellen. h. Der Zeitrahmen für die Behebung von Fehlern ist festzulegen. der damit die Fähigkeit verliert. Es ist festzulegen. Abnahmeund Freigabeprozeduren) 274 . In diesem Zusammenhang ist auch die Betreuung und Weiterentwicklung bereits vorhandener Systeme zu regeln. Mitarbeit oder Hilfestellung des Auftraggebers. dass Probleme bei anderen Kunden nicht die Abläufe und Systeme des Auftraggebers beeinrächtigen. Dabei sind folgende Punkte einzubeziehen: • • • • • Regelungen für Updates und Systemanpassungen Trennung von Test.

Dateneinsicht) eingeräumt werden. B. Der Auftraggeber muss die dazu notwendigen Auskunfts-.3. ohne dass der Auftraggeber sich vorbereiten konnte. Es ergeben sich jedoch folgende Besonderheiten. Aufsichtsbehörden) müssen auch beim Outsourcing-Dienstleister die entsprechenden Kontrollmöglichkeiten (z. Durch unerwartete Fehler dabei werden wichtige Anwendungen gestört.• • • Informationspflicht und Absprache vor wichtigen Eingriffen ins System (Negativbeispiel: Der Dienstleister spielt ein neues Betriebssystem auf dem Server ein. Dieses kann unter anderem auf Grundlage dieses Sicherheitshandbuchs erstellt sein. die berücksichtigt werden müssen: • Am Outsourcing-Vorhaben sind aus technischer Sicht in der Regel drei Parteien beteiligt: • • Outsourcing-Auftraggeber Outsourcing-Dienstleister 275 . das nach Beauftragung eines Dienstleisters erarbeitet wird. B. Einsichts-. Allen Institutionen. wird daher in den wenigsten Fällen gleich vollständig und endgültig sein und muss während der Migrationsphase von allen Beteiligten stetig weiterentwickelt und konkretisiert werden. Outsourcing-Projekte sind dadurch gekennzeichnet. Das IT-Sicherheitskonzept. dass sich viele technische und organisatorische Details erst im Laufe der Planung und bei Migration der Systeme ergeben. Zutrittsund Zugangsrechte besitzen. Wenn unabhängige Dritte Audits oder BenchmarkTests durchführen sollen. die beim Auftraggeber Prüfungen durchführen müssen (z.) Genehmigungsverfahren für die Durchführung von Tests Festlegung zumutbarer Qualitätseinbußen während der Testphase (z. Zutrittsrechte. Verfügbarkeit) Kontrollen • • Dienstleistungsqualität und IT-Sicherheit müssen regelmäßig kontrolliert werden.5 Erstellung eines IT-Sicherheitskonzepts für das Outsourcing-Vorhaben ISO Bezug: 27002 10.2 Für jedes Outsourcing-Vorhaben muss ein IT-Sicherheitskonzept existieren. Generell unterscheiden sich IT-Sicherheitskonzepte für Outsourcing-Vorhaben nur wenig von IT-Sicherheitskonzepten für selbstbetriebene IT-Systeme. 10. B. muss dies bereits im Vertrag geregelt sein.

276 . Jeder Beteiligte muss ein eigenes IT-Sicherheitskonzept erstellen und umsetzen. für den Einflussbereich des Auftraggebers sowie für die Schnittstellen und die Kommunikation zwischen diesen Bereichen. Die in 10.• Netzprovider. um spezielles Know-how verfügbar zu machen. Für die Migrationsphase muss eine IT-Sicherheitskonzeption erstellt werden.3. ob es vorhanden und ausreichend ist. welches die Sicherheit im Zusammenspiel der Einzelsysteme betrachtet. der Netzprovider stellt die Anbindung zwischen den Outsourcing-Parteien bereit.3. Die verschiedenen Teil-Konzepte müssen zwischen Auftraggeber und Dienstleistern abgestimmt werden. Für das Audit kann der Auftraggeber dabei auch auf externe Dritte zurückgreifen. Dieses kann auch durch externe ExpertInnen verstärkt werden.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhabenund 10. dass auf beiden Seiten Verantwortlichkeiten auch auf hohen Ebenen definiert werden. sollte aber in einem Audit prüfen. dass im Zweifelsfall mit entsprechendem Nachdruck gehandelt werden kann. welches auch das spezielle Outsourcing-Vorhaben umfasst. wobei beispielsweise die Maßnahmen konkretisiert und Ansprechpartner namentlich festgelegt werden. Erfahrungsgemäß ist der Übergang (Migration) von Aufgaben und IT-Systemen vom Auftraggeber zum Outsourcing-Dienstleister eine Projektphase. dass klare Führungsstrukturen geschaffen und auf beiden Seiten eindeutige AnsprechpartnerInnen definiert werden. Die Verantwortlichkeiten und Hierarchien für die Migrationsphase sind festzulegen. Aufbauend auf den dort beschriebenen grundlegenden Anforderungen muss im ITSicherheitskonzept die detaillierte Ausgestaltung erfolgen. Dabei ist der Auftraggeber am ITSicherheitskonzept des Outsourcing-Dienstleisters nicht direkt beteiligt.4 Vertragsgestaltung mit dem Outsourcing-Dienstleister genannten Sicherheitsanforderungen bilden dabei die Basis für das IT-Sicherheitskonzept. Damit sind ITSicherheitskonzepte erforderlich: • • • • • • für den Einflussbereich des Outsourcing-Dienstleisters. Aus diesem Grund müssen im Sicherheitskonzept Regelungen und Maßnahmen zur Migration behandelt werden: • • • Es ist ein gemischtes Team aus MitarbeiterInnen des Auftraggebers und des Outsourcing-Dienstleisters zu bilden. Zusätzlich ist darauf zu achten. in der verstärkt mit Sicherheitsvorfällen zu rechnen ist. Dabei ist es wichtig. Nur so kann sichergestellt werden. Zusätzlich zu den Einzelkonzepten ist ein IT-Sicherheitskonzept für das Gesamtsystem zu erstellen. Die Zuständigkeit für die Netzanbindung fällt dabei in der Regel dem Outsourcing-Dienstleister zu.

dass das ITSicherheitskonzept aktualisiert wird. Anruf eines vermeintlichen Mitglieds des Sicherheitsteams des Dienstleisters).• • • • • • • Die erforderlichen Tests müssen geplant und durchgeführt werden. Vertraglich kann sich ein Auftraggeber natürlich auch ein Mitspracherecht bei der Personalauswahl des OutsourcingDienstleisters einräumen lassen. Zusätzlich müssen Störungen durch notwendige Tests einkalkuliert werden. In der Einführungsphase des Outsourcing-Vorhabens und der ersten Zeit des Betriebs muss dem Notfallkonzept besondere Aufmerksamkeit geschenkt werden. da sich erfahrungsgemäß während der Migrationsphase immer Änderungen ergeben. beispielsweise in der Behandlung von Fehlfunktionen und sicherheitsrelevanten Vorkommnissen eingestellt hat. Applikationen und IT-Systeme des Auftraggebers genau kennen lernen und dahingehend eingewiesen werden. Der störungsfreie Betrieb ist durch genaue Ressourcenplanung und Tests sicherzustellen. Bis sich bei allen Beteiligten die notwendige Routine. AnsprechpartnerInnen und Zuständigkeiten werden mit Namen und notwendigen Kontaktdaten (Telefon. Die MitarbeiterInnen des Auftraggebers sind zum Verhalten während und nach der Migrationsphase zu schulen. Der Dienstleister muss die relevanten Abläufe. Die Prüfung der Dokumentation auf Vollständigkeit muss dabei ebenso bedacht werden wie das Anpassen der vorhandenen Dokumentation auf die veränderten Randbedingungen durch das Outsourcing-Vorhaben. Die produktiven Systeme dürfen dabei nicht vernachlässigt werden. Während der Migration muss ständig überprüft werden. eventuell erforderliche Zuordnungsbegriffe wie Kundennummern) dokumentiert. die der Dienstleister übernehmen soll. Dazu ist im Vorfeld zu überprüfen. Nach Abschluss der Migration muss sichergestellt werden. Die Dokumentation neuer Systeme oder Teilsysteme muss dabei ebenfalls sichergestellt sein. B. In der Regel sind die MitarbeiterInnen dabei mit neuen und unbekannten AnsprechpartnerInnen konfrontiert. Anwendungen und IT-Systeme. Dies birgt die Gefahr des Social Engineering (z. Dies bedeutet insbesondere: • • Alle Sicherheitsmaßnahmen müssen konkretisiert werden. Abnahmeprozeduren erarbeitet und die Produktionseinführung geplant werden. Einführungsphase und den späteren Betrieb auszuwählen. müssen ausreichend dokumentiert sein. Zeiten der Erreichbarkeit. sind verstärkt MitarbeiterInnen zu Bereitschaftsdiensten zu verpflichten. ob die SLAs oder die vorgesehenen IT-Sicherheitsmaßnahmen angepasst werden müssen. 277 . Es sind geeignete interne MitarbeiterInnen für die Test-. ob die vorgesehenen MitarbeiteInnenr zur Verfügung stehen.

Dabei ist vor allem darauf zu achten. zu erkennen Einsatz von Syslog. Im Folgenden sind einige Aspekte und Themen aufgelistet. B. infrastrukturellen und personellen Sicherheitsmaßnahmen können Maßnahmen aus folgenden Bereichen sinnvoll sein: Organisation • • • • • • • • Umgang mit Daten und schützenswerten Betriebsmitteln wie Druckerpapier und Speichermedien.• • Die Systemkonfigurationen ist zu dokumentieren. um Angriffe möglichst zu erschweren Einsatz von Intrusion-Detection-Systemen (IDS). B. Neben einem Überblick über die Gefährdungslage. Das Personal ist durch Schulungsmaßnahmen auf den Regelbetrieb vorzubereiten. wobei auch die eingestellten sicherheitsrelevanten Parameter zu erfassen sind. dass alle Ausnahmeregelungen. für die das "Vier-Augen-Prinzip" anzuwenden ist Hard-/Software Einsatz gehärteter Betriebssysteme. ist die Liste als Anregung zu verstehen und erhebt keinen Anspruch auf Vollständigkeit. aufgehoben werden. nach erfolgreichen Angriffen. und den organisatorischen. um Veränderungen z. erweiterte Zugriffsrechte. die der Motivation der Sicherheitsmaßnahmen dient. die im ITSicherheitskonzept im Detail beschrieben werden sollten. Da die Details eines IT-Sicherheitskonzeptes direkt vom Outsourcing-Vorhaben abhängen. um eine möglichst umfassende Protokollierung zu ermöglichen Einsatz kaskadierter Firewallsysteme zur Erhöhung des Perimeterschutzes auf Seiten des Dienstleisters sorgfältige Vergabe von Benutzer-Kennungen. um Angriffe frühzeitig zu erkennen Einsatz von Datei-Integrität-Prüfungssystemen. wie z. Verbot von Gruppen-IDs für Personal des Dienstleisters 278 .und Timeservern. die während der Migrationsphase notwendig waren. Als letzte Aufgabe muss das Outsourcing-Vorhaben nach der Migrationsphase in den sicheren Regelbetrieb überführt werden. insbesondere Regelungen zum Anfertigen von Kopien und Löschen/Vernichten Festlegung von Aktionen.

1 Richtlinien beim Datenaustausch mit Dritten) Kontrollen und QS • Detailregelungen (z. Telekommunikationsprovider) existieren. unangekündigte Kontrollen vor Ort. Netzverbindung.6 Notfallvorsorge beim Outsourcing ISO Bezug: 27002 10. B.8.3. Dienstqualität.4 Vertragsgestaltung mit dem Outsourcing-Dienstleister sind einige Hinweise gegeben. dass auch die Notfallvorsorge auf unterschiedliche Parteien aufgeteilt ist und durch die Verteilung der IT-Komponenten auch zusätzliche Komponenten neu hinzukommen. welche Aspekte bereits im Service Level Agreement geregelt werden sollten.1 Richtlinien bei Verbindung mit Netzen Dritter (Extranet)) Detailregelungen für den Datenaustausch (siehe 10. Abläufen und organisatorische Regelungen Notfallvorsorge • Das Notfallvorsorgekonzept ist in 10. In 10.Kommunikation • • • • Absicherung der Kommunikation (z. durch Verschlüsselung. Generell müssen Notfallvorsorgekonzepte für die Systeme beim Auftraggeber. Die Besonderheiten beim Outsourcing-Betrieb ergeben sich dadurch. 10.3. Zuständigkeiten. Detailgrad) für Kontrollen und Messung von Sicherheit. Router. Zeitintervalle. elektronische Signatur) zwischen Dienstleister und Auftraggeber. 279 . beim Outsourcing-Dienstleister sowie für die Schnittstellen zwischen Auftraggeber und Dienstleister (z.2 Für die Notfallvorsorge beim Outsourcing gelten grundsätzlich die gleichen Anforderungen wie beim nicht ausgelagerten Betrieb von IT-Systemen.6 Notfallvorsorge beim Outsourcing beschrieben.3. AnsprechpartnerInnen und Abläufe müssen klar geregelt und vollständig dokumentiert werden.9. B. B. um sensitive Daten zu schützen Authentisierungsmechanismen Detailregelungen für weitere Netzanbindungen (siehe 10. Im Notfallvorsorgekonzept müssen diese Vorgaben genau spezifiziert und im Detail beschrieben werden: • Zuständigkeiten.

benötigt der Outsourcing-Dienstleister detaillierte und umfangreiche Anweisungen sowie Listen mit Ansprechpartnern auf Seiten des Auftraggebers. wie er dabei vorgehen darf. Tritt ein Fehler in der Anwendung auf.• • • • Detailregelungen für die Datensicherung sind zu erstellen (z. Durch das Notfallvorsorgekonzept müssen dem Outsourcing-Dienstleister daher genaue Anweisungen zur Verfügung gestellt werden. um ungewünschte Seiteneffekte auf Applikationsebene zu verhindern. dem Dienstleister Informationen bezüglich des Schutzbedarfs der betroffenen Daten und Systeme zur Verfügung zu stellen. Netzprobleme) oder anwendungsspezifische (z. das keine Detailkenntnisse über die Anwendungen besitzt. B. Oftmals werden die Systeme des Auftraggebers von Personal des Dienstleisters betrieben. Besonders bei Problemen mit komplizierten Anwendungen oder bei umfangreichen Batch-Prozessen sind häufig Kenntnisse erforderlich. die auf den IT-Systemen betrieben werden. Aktionen zu definieren. Wichtig ist in diesem Fall auch. Detaillierte Arbeitsanweisungen mit konkreten Anordnungen für bestimmte Fehlersituationen sind zu erstellen. Es kann dabei auch sinnvoll sein. Eskalationsstrategien. B. Verarbeitung eines falschen Datensatzes. 280 . Datenträger voll. Die IT-Sicherheit hängt in Notfällen entscheidend von der Qualität der Arbeitsanweisungen für das Personal des Outsourcing-Dienstleisters ab. getrennte Backup-Medien für jeden Klienten. damit mit angemessener Umsicht gehandelt werden kann. Reboot einer Maschine). Meist ist aber dennoch eine Kooperation mit dem Auftraggeber notwendig. B. Ein Fehlverhalten einer Anwendung kann technische Ursachen haben (z. falsche Parametereinstellung). Die Verantwortung für die Anwendung liegt dennoch ausschließlich beim Auftraggeber. Virenschutz). die regelmäßig durchgeführt werden müssen. die explizit verboten sind (z. ohne umfangreiche Kenntnisse über das System zu besitzen. Ein Konzept für Notfallübungen. damit er richtig reagieren kann. muss erarbeitet werden. Verfügbarkeit. Liegen anwendungsspezifische Probleme vor. Bei technischen Fehlern ohne Auswirkungen auf andere Anwendungen wird der Outsourcing-Dienstleister den Fehler zwar selbst beheben können. Vertretungsregelungen. die nur beim Auftraggeber vorhanden sind. B. muss der Outsourcing-Dienstleister unter Umständen eine Fehlerbehebung herbeiführen. Programmfehler.

selbstreproduzierende Programme. Integrität und/oder Verfügbarkeit von Daten oder Programmen. beispielsweise dem Datum oder einer bestimmten Eingabe. Die angeführten Maßnahmen sind großteils auch gegen andere Arten von Software mit Schadensfunktion. die zur Vereinfachung im Folgenden generell als "Viren" bezeichnet werden. Trojanische Pferde dienen vor allem dazu. Bei den meisten über E-Mail verbreiteten "Viren" handelt es sich eigentlich um Würmer. Trojanische Pferde anwendbar. E-Mail zum Problem.schon durch ihr massenhaftes Auftreten und ihre rasante Verbreitung großes Aufsehen erregen und zu hohen Schäden führen. Würmer: Selbständige. Zu den Programmen mit Schadensfunktionen gehören: Viren: Nicht-selbständige. Computer auszuspionieren. (vgl. Verbreitung: Während früher Viren meist durch den Austausch verseuchter Datenträger verbreitet wurden. in andere Programme oder Dateien eingebettete Programmroutinen. die sich selbst reproduzieren und dadurch von dem/der Anwender/in nicht kontrollierbare Manipulationen in Systembereichen. Trojanische Pferde: Selbständige Programme mit verdeckter Schadensfunktion. Logische Bomben: Programme. Dies sind Programme.B. die sich in einem System (vor allem in Netzen) ausbreiten. deren Schadensfunktion von einer logischen Bedingung gesteuert wird. die verdeckte Funktionen enthalten und damit durch Löschen. dazu auch [NSA-EEC1] ) Das nachfolgende Kapitel beschäftigt sich vorwiegend mit dem Schutz gegen Viren und Würmer. Damit verursachen sie zusätzliche Arbeit und Kosten und haben einen negativen Einfluss auf die Vertraulichkeit.4 Computer-Viren (im Rahmen dieses Handbuchs der Einfachheit halber als Viren bezeichnet) gehören zu den "Programmen mit Schadensfunktionen" ("maliziöse Software").10. wie z. wird heute zunehmend die Verbreitung über Internet bzw. 281 . Überschreiben oder sonstige Veränderungen unkontrollierbare Schäden an Programmen und Daten bewirken können. an anderen Programmen oder deren Umgebung vornehmen. ohne Selbstreproduktion. die .unabhängig von der eigentlichen Schadensfunktion .4 Schutz vor Schadprogrammen und Schadfunktionen ISO Bezug: 27002 10.

ist ein mehrstufiges Schutzkonzept erforderlich. 11. Allerdings können ggf bestimmte (auch notwendige / vorgesehene) Funktionen nicht mehr oder zumindest weniger produktiv durchgeführt werden. sondern auch die Abstimmung dieser Maßnahmen aufeinander. um einem Virenbefall soweit wie möglich vorzubeugen. Die nachfolgend angeführten Maßnahmen dienen einer Vorbeugung gegen Virenbefall bzw. Schutzmaßnahmen sind zu treffen: • • • auf Ebene der Firewall auf Server-Ebene auf Client-Ebene Neben den technischen Schutzmaßnahmen sind auch organisatorische und personelle Maßnahmen erforderlich.5 ). • • 282 Regelmäßige Durchführung einer Datensicherung (vgl.2 Generelle Maßnahmen zur Vorbeugung gegen Virenbefall ISO Bezug: 27002 10.1 ). Für die Effizienz des Virenschutzkonzeptes sind dabei nicht nur die ausgewählten Maßnahmen selbst von Bedeutung.4.5.4. .1.4. die an die Erfordernisse der betroffenen Institution anzupassen sind.10. Die anzuwendenden Maßnahmen sind daher vor dem Hintergrund des Gesamtsystems und der jeweils gültigen Policy vorzuschreiben. einer Verringerung des Schadens im Falle eines Befalls. Je mehr bzw. bei dem in jeder Stufe angemessene und aufeinander abgestimmte Schutzmaßnahmen realisiert werden. desto geringer wird das allgemeine Risiko. 10.1] 10. im Falle eines Virenbefalls den Schaden möglichst zu begrenzen. 10. bzw. [eh SYS 4. Die nachfolgenden Maßnahmen geben eine Reihe von generellen Empfehlungen zum Virenschutz.1 Erstellung eines Virenschutzkonzepts ISO Bezug: 27002 10. je exakter die Empfehlungen umgesetzt werden. Sichere Aufbewahrung der Sicherheitskopien von Datenträgern (vgl.5.4.7 Um für ein komplexes IT-System oder eine gesamte Organisation einen effektiven Virenschutz zu erreichen.

Dies gilt in besonderem Maße für E-Mail-Programme. das Booten von externen Datenträgern (CD. Überprüfung aller vorinstallierten Neugeräte und gewarteten Geräte. "Private" Insel-Lösungen auf einzelnen Arbeitsplatz-Rechnern sollten nicht zugelassen werden.1 Viele Schadfunktionen (Nachladen von Code aus dem Internet. die Programme beinhalten) und bei allen ausgehenden Datenträgern. um die Sicherheit des Gesamtsystems nicht zu gefährden. um ihre Wirkung entfalten zu können. Übermittlung von vertraulichen Informationen aus dem geschützten Netz) benötigen definierte Verbindungswege in das Internet (Ports.und ausgehenden Datenträger (vgl. USB-Stick. • [eh SYS 4. die der Verbreitung von Schadprogrammen entgegenwirken. in der BootReihenfolge die System-Festplatte an erster Stelle einzustellen bzw.4. etc.VBS. auch 10.und ausgehenden Dateien über externe Netzwerke (EMails. Nutzung von nur einmal beschreibbaren Medien bei allen Datenträgern. gleich zentral abgeblockt werden.7.WSH.EXE). Es sollten nur vertrauenswürdige Programme zugelassen sein.). *.2] 10.und Fax-Nummer) benannt werden. Überprüfung aller ein. Dabei können Dateitypen (z. Gateways bieten meist auch Möglichkeiten ohne teure Zusatzprodukte Maßnahmen zu setzen.B. Adressen). Überprüfung aller ein.4. Daher ist durch eine restriktive Politik bei den Filterregeln der Firewalls eine wesentliche Erhöhung der Sicherheit erreichbar.3 Datenträgeraustausch ). *. die auch über entsprechende Sicherheitsfunktionen verfügen.) ganz zu unterbinden. *. Die Unterteilung der Festplatte in mehrere Partitionen kann die Rekonstruktion von Daten nach einem Virus-Schaden erleichtern (Anmerkung: Dies gilt auch bei einem Headcrash). auf die nicht geschrieben werden muss (gilt insbesondere für Datenträger. *. DVD. Internet) (s. Für Probleme sollte ein zentraler Ansprechpartner (E-Mail-Adresse. 283 . die im täglichen Arbeitsablauf nicht als Anhänge von E-Mails vorkommen. Telefon. Als vorbeugende Maßnahme gegen Virenbefall empfiehlt es sich.• • • • • • • Setzen eines Schreibschutzes bzw.BAT.3 Empfohlene Virenschutzmaßnahmen auf Firewall-Ebene ISO Bezug: 27002 10.u.

B. dass seine/ihre Mail nicht zugestellt werden konnte.4.1. Einsatz eines aktuellen Virenschutzprogrammes mit aktuellen Signatur-Dateien.4. durch unbedachte oder gewollte Handlungen den Rechner zu gefährden.7. etc.Der Einsatz spezieller Rechner. empfiehlt es sich.durch das Filtern entsprechender Textbegriffe die Ausbreitung neuer Schadsoftware gestoppt werden. Bildschirmschoner mit Passwort. (Auch wenn am Mail-Server bereits ein Virenschutzprogramm zum Einsatz kommt. ist in Form einer erweiterten Gatewayfunktionalität oder der Einbindung über eigene Protokolle (z.sogar vor dem Vorliegen der neuen Virensignaturen .5 Empfohlene Virenschutzmaßnahmen auf Client-Ebene und Einzelplatzrechnern ISO Bezug: 27002 10.4. empfiehlt sich die Installation dezentraler Virenschutzprogramme. Content Vectoring Protocol) möglich.) Aktivierung der Anzeige aller Dateitypen im Browser bzw. Dabei ist auf eine regelmäßige Aktualisierung der eingesetzten Programme zu achten. 10. .4. dem/der Absender/in einer solchen E-Mail eine automatisierte Nachricht zukommen zu lassen.).8 Auswahl und Einsatz von Virenschutzprogrammen ). [eh SYS 4.2 • • • 284 Aktivierung aller vorhandenen Sicherheitsfunktionen des Rechners (PasswortSchutz.4 Empfohlene Virenschutzmaßnahmen auf Server-Ebene ISO Bezug: 27002 10. 11. Dabei kann Mail mittels Virenscanner verschiedener Hersteller überprüft werden und .4] 10.3] 10. [eh SYS 4.4. um beispielsweise auch Schutz bei verschlüsselter Kommunikation zu erreichen. dazu auch 10. des berechtigten Benutzers Unbefugte keine Möglichkeit haben.2. die den Verkehr auf Viren und auch den Content der Mails scannen können. Mailprogramm.1 Auf E-Mail-Servern und allen Servern die zum Datenausgetausch genutzt werden sollten Virenschutzprogramme zur zentralen Überprüfung des E-Mail-Verkehrs und der ausgetauschten Dateien installiert werden (vgl. damit während der Abwesenheit der berechtigten Benutzerin bzw. Sollten Informationen geblockt werden. das im Hintergrund läuft (resident) und bei bekannten Viren Alarm schlägt.4.

*. zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.2 Die Sensibilisierung der Endanwender/innen für die Virenproblematik stellt eine wichtige Komponente beim Schutz gegen Viren dar.) und Beachtung von Warnmeldungen. Durch den Einsatz eines Firewall-Produkts auf den Einzelplatzrechnern (Personal Firewalls).). Auch laufende Informationen zu diesem Thema.• • • • • Aktivierung des Makro-Virenschutzes von Anwendungsprogrammen (MS Word. 10.4. deutschem Partner. JavaScript) und Skript-Sprachen (z.5] 10.EXE) oder ScriptSprachen (*. welche Programme auf das Internet zugreifen dürfen. Dadurch wird die zentrale Firewall. Erkennung von Viren durch den Benutzer ISO Bezug: 27002 10.) und ob die Anlage (Attachment) auch erwartet wurde.6 Vermeidung bzw. Absendern prüfen. *. Erkennen potentieller Gefahren bei eingehender E-Mail und Abwehrmaßnahmen: • • • Bei E-Mail auch von vermeintlich bekannten bzw. die regeln. kann der Schadsoftware ebenfalls gezielt entgegen gewirkt werden. Kein "Doppelklick" bei ausführbaren Programmen (*. etc. Die Ausführung von aktiven Inhalten in E-Mail-Programmen immer unterbinden (entsprechende Optionen setzen). 285 . wirkungsvoll ergänzt (vgl.4.6.4.). etc.COM. VBS) aus unbekannten Quellen etc. 10.BAT. etwa über das Intranet oder in Form interner Publikationen. Visual Basic Script. die keine Informationen über die aufrufenden Programme hat.15 ). Sofern möglich: Wahl der höchsten Stufen in den Sicherheitseinstellungen von Internet-Browsern (Deaktivieren von aktiven Inhalten (ActiveX. vertrauenswürdigen Absenderinnen bzw. die Möglichkeiten zu ihrer Erkennung und Vermeidung sowie die notwendigen Handlungsanweisungen im Falle eines (vermuteten) Virenbefalls hingewiesen werden. Powerpoint.VBS. Keine Nutzung von Applikationsverknüpfungen für Anwendungen mit potentiell aktivem Code (MS-Office) im Browser. Vorsicht bei mehreren E-Mails mit gleichlautendem Betreff. keine Aktivierung von Anwendungen über Internet. (sofern sie nicht bereits auf Firewall-Ebene gefiltert wurden). Excel.B. Daher sollte in Schulungen regelmäßig auf die Gefahr von Viren. sind empfehlenswert. Java.1. [eh SYS 4. ob der Text der Nachricht auch zum/ zur Absender/in passt (englischer Text von deutscher Partnerin bzw.

286 . Kettenbrief). auch in Teilen des kommerziellen Bereiches wird ein sofortiges Löschen von offensichtlich unsinnigen oder sonst wie verdächtigen Mails empfehlenswert sein. wo dies entweder aufgrund gesetzlicher Vorschriften oder kommerzieller Überlegungen nicht möglich ist. Mails oder Anhängen an Freundinnen bzw. Es ist zu beachten.SCR). dass Attachments nicht automatisch geöffnet werden. Im Privatbereich und ev. Die Konfiguration der E-Mail-Clients sollte so eingestellt sein.B. Freunde. da diese evtl. in letzter Konsequenz sogar nach telefonischer Absprache). Keinen Aufforderungen zur Weiterleitung von Warnungen. Bei der Verwendung des HTML-Formates ist ebenfalls Vorsicht geboten. Nur vertrauenswürdige E-Mail-Attachments öffnen (z. dass ein/e Endanwender/in unabsichtlich Viren verteilt. Keine unnötigen E-Mails mit Scherz-Programmen und ähnlichem versenden. "Quarantänebereiche" einzurichten. Spezialisten untersucht und weiterbehandelt werden können. Benutzer/innen müssen wissen. etc. Auch eine E-Mail im HTML-Format kann aktive Inhalte mit Schadensfunktion enthalten. Außerdem sollten als E-Mail-Editor keine Programme mit der Funktionalität von Makro-Sprachen (z. Es handelt sich nämlich meist um irritierende und belästigende Mails mit Falschmeldungen (Hoax oder "elektronische Ente". Maßnahmen bei ausgehender E-Mail: Durch Beachtung der nachfolgenden Maßnahmen kann die Gefahr reduziert werden. um der Gefahr einer Vireninfektion zu begegnen. dass verdächtige E-Mails in entsprechend sicherer Umgebung geöffnet und analysiert werden können.• • • • Vorsicht auch bei Dateien von Anwendungsprogrammen (Office.) sowie Bildschirmschonern (*. sondern direkt nur an den IT-Sicherheitsbeauftragten senden. einen Computer-Virus enthalten können. B. MS Word) oder Scripts eingesetzt werden. • • • Vermeidung aktiver Inhalte in E-Mails. wie sie diese Spezialistinnen/Spezialisten erreichen oder Mails an solche Bereiche weiterleiten können. ist dafür zu sorgen. in denen die Mails von Spezialistinnen bzw. In Bereichen. Empfohlene Verhaltensregeln im Verdachtsfall: Verdächtige E-Mails bzw. Bekannte oder Kolleginnen/Kollegen folgen. Dazu sind sog. deren Attachments sollten auf keinen Fall von dem/der Endanwender/in geöffnet werden. dass die Art des DateiAnhangs (Attachment) bei Sabotageangriffen oft getarnt ist und über ein Icon nicht sicher erkannt werden kann.

Da EMail mittlerweile das zentrale Informationsmedium geworden ist. 287 .1. Installierte Entpackungsprogramme sollten so konfiguriert sein.B. [eh SYS 4. nur Post-Eingang. dass unzulässige Veränderungen. dass auch Dateien von Office. stellen hierbei eine besondere Gefahr dar. Private Homepages. stellen einen Hauptverbreitungsweg für Viren und Trojanische Pferde dar. Verhalten bei Downloads aus dem Internet: Daten und Programme. meist durch Viren. Größenbeschränkung. 13. Daher sollten solche Dateien sofort gelöscht werden. die aus dem Internet abgerufen werden. auch angegebenen Prüfsumme.und anderen Anwendungsprogrammen (Text-. dürfen diese Systeme allenfalls kurzzeitig deaktiviert werden. • • • • Programme sollten nur von vertrauenswürdigen Seiten geladen werden.3 • • Die Informationswege für Notfälle sind zu planen. um Benutzerdaten auszuspähen.4. zu verändern oder zu löschen. Scripts mit Schadensfunktion enthalten können. Filterung von bestimmten Betreffs) vorzubereiten und auch zu testen. also insbesondere von den Originalseiten der Ersteller/innen. Tabellen.7 Erstellung von Notfallplänen im Fall von Vireninfektionen ISO Bezug: 12. sollte nach einem Download immer überprüft werden.) Makro-Viren bzw.6. Mit einem aktuellen Virenschutzprogramm sollten vor der Installation die Dateien immer überprüft werden. 14. PDF. keine Attachments. sowie einer evtl. vorgenommen worden sind. weiterzuleiten. die zuständigen Funktionen oder Personen zu definieren. Die Angabe der Größe von Dateien. Ausweichwege für die Kommunikation und Vertretungsregeln festzulegen. ob E-Mails im Ausgangs-Postkorb stehen. Gepackte (komprimierte) Dateien sollten erst entpackt und auf Viren überprüft werden. die bei anonymen Webspace-Providern eingerichtet werden. dass zu entpackende Dateien nicht automatisch gestartet werden.• Gelegentlich prüfen. Je nach vorliegendem Schadprogramm sind Verfahren zur differenzierten EMail-Filterung (z. Es muss darauf hingewiesen werden. Bei Abweichungen von der vorgegebenen Größe oder Prüfsumme ist zu vermuten. die nicht von dem/der Benutzer/in selbst verfasst wurden.6] 10. etc. damit nach wie vor Warnungen möglich sind.und Präsentations-Dateien.

die Speichermedien nach bekannten Viren durchsuchen . [eh SYS 4.1 Zum Schutz vor Viren können unterschiedliche Wirkprinzipien genutzt werden. SMS. dass bei Vorliegen eines neuen Virus die Updates der Virenschutzprogramme möglichst rasch auf Servern. Zahlreiche Programme bieten auch die Möglichkeit einer Entfernung gefundener Viren an. Funktionsfähigkeit hergestellt werden kann. Gateways und Clients eingestellt werden. wenn auch eingeschränkte. notfalls auch durch Fax. haben sich in der Vergangenheit als effektivstes und wirksamstes Mittel in der Viren-Bekämpfung erwiesen. da sie nur die zu ihrem Erstellungszeitpunkt bekannten Viren berücksichtigen.7] 10.• • • Es muss sichergestellt sein. Sollten durch einen neuen Virus die üblichen Informationswege nicht verfügbar sein.4. dass Virenschutzprogramme mit der Zeit ihre Wirksamkeit verlieren. Für den Notfall sind Backup. Ebenso wie andere Programme können sie durch Aufruf (transient) oder im Hintergrund (resident) genutzt werden. Die Betriebsart des Virenschutzprogramms hat entscheidenden Einfluss auf die Akzeptanz bei den Anwenderinnen/Anwendern und damit auf die tatsächlich erreichte Schutzfunktion. Spezialisten analysiert worden.und Restore-Strategien zu erarbeiten.8 Auswahl und Einsatz von Virenschutzprogrammen ISO Bezug: 27002 10. B. Ein gutes Virenschutzprogramm muss daher nicht nur in der Lage sein. damit in kürzester Zeit eine. so dass man weiß. Lautsprecherdurchsagen). Zu beachten ist. Die bekannten Viren sind durch Spezialistinnen bzw. Hierbei ist zu beachten. dass man durch das Virenschutzprogramm eine genauere Information über den jeweils entdeckten Virus erhält. sollten mit der Entfernung Spezialistinnen bzw. Ein weiterer Vorteil ist. sondern sie auch möglichst exakt identifizieren. sind alternative Verfahren zur zeitnahen Warnung vorzusehen (z. welche Rechner in welcher Reihenfolge in betriebsbereiten Zustand zu bringen sind. Daher ist eine regelmäßige Aktualisierung des Virenschutzprogramms erforderlich. Spezialisten betraut werden. dass die Qualität dieser Entfernungsroutinen sehr unterschiedlich ist. viele Viren zu finden. Man kann daher eine Infektion mit bekannten Viren grundsätzlich vermeiden. die festlegen. 288 . neu hinzugekommene jedoch meist nicht erkennen können. Wenn immer möglich. Programme. dass neu erhaltene Software oder Datenträger schon vor dem ersten Einsatz geprüft werden können. Von Vorteil ist.4. Die entsprechenden Verteilwege und Maßnahmen sind vorzubereiten und selbstverständlich auch regelmäßig zu testen. ob und welche Schadensfunktionen vorhanden sind.

durchsucht die eingestellten Teile des Computers. ohne dass der/die Anwender/in dabei mitwirkt. wobei gängige Komprimierungsfunktionen wie PKZIP unterstützt werden sollten. Datum und Uhrzeit der Überprüfung. z. insbesondere müssen alle sehr stark verbreiteten Viren erkannt werden. erkannte Viren zu entfernen.B. Boot. Hierbei werden zum Schutz vor Veränderung von den zu prüfenden Dateien oder Systembereichen (z. Beim residenten Betrieb wird das Virenschutzprogramm beim Start des Rechners in den Speicher geladen und verbleibt dort aktiv bis zum Ausschalten.Beim transienten Betrieb wird das Programm aufgerufen. sondern auch andere unberechtigte Veränderungen an Dateien. ausführen. die regelmäßig kontrolliert werden. 289 . Anzahl und Identifikation der Dateien und Objekte. Nach Möglichkeit muss das Produkt als residentes Programm eine permanente Virenkontrolle ermöglichen. Auf diese Weise können nicht nur Verseuchungen mit bisher unbekannten Viren erkannt werden. Gefundene Viren müssen mit einer vollständigen Pfad-Angabe angezeigt werden. Das Programm sollte Viren auch in komprimierter Form finden. er/sie kann inzwischen seine/ihre eigentliche Arbeit.B. Eine weitere präventive Maßnahme ist der Einsatz von ChecksummenPrüfprogrammen . Das Programm muss seine eigene Virenfreiheit feststellen. Im Wesentlichen sollte ein Virenschutzprogramm folgende Eigenschaften erfüllen: • • • • • • • • Der Umfang der erkannten Viren sollte möglichst groß sein und dem aktuell bekannten Bestand entsprechen. Prüfergebnis mit Prüfumfang. Meist löst der/die Anwender/in den Aufruf aus. die es erlaubt. bevor die Suchfunktion ausgeführt wird. Es verrichtet seine Tätigkeit.und Partition-Sektor) Prüfsummen berechnet. Das Programm sollte über eine Protokollierungsfunktion verfügen. Angabe aller benutzten Parameter. die nicht geprüft werden konnten. beendet seine Arbeit danach und macht den Speicher wieder frei. ohne weitere Schäden an Programmen oder Daten zu verursachen. die folgende Daten festhält: • • • • • Versionsstand des Programms. das Schreiben von Texten. Eine ständige Aktualisierung bezüglich neuer Viren muss vom Hersteller sichergestellt sein. Sinnvoll ist eine Funktionalität.

Booten des Rechners von einer einwandfreien. so sind zur Feststellung des Virus und zur anschließenden Beseitigung folgende Schritte durchzuführen. sollten fachkundige Betreuer/innen (Administrator. ob tatsächlich ein Virus aufgetreten ist und um welchen Virus es sich ggf.B.) auf Virenbefall und Entfernung eventuell vorhandener Viren. geprüften Notfall-CD (evtl. ständige Verringerung des freien Speicherplatzes. Falls dies nicht möglich ist.4.• • Das Programm sollte eine Warnung ausgeben. siehe 10. Erneute Überprüfung der Festplatte mit dem Viren-Suchprogramm. 290 . Überprüfen des Rechners mit einem aktuellen Virenschutzprogramm um festzustellen. so ist der/die Ersteller/in der Datei zu unterrichten. etc. Bereichs-IT-Sicherheitsverantwortliche/r. wenn ein Datenaustausch vom infizierten Rechner erfolgte. dass es offensichtlich nicht aktualisiert wurde.9 Verhaltensregeln bei Auftreten eines Virus ISO Bezug: 27002 10. Helpdesk) zu Hilfe geholt werden. Wechselplatten. Warnung an andere IT-Benutzer/innen. sollten folgende Schritte durchgeführt werden: • • • • • • • • Beenden der laufenden Programme und Abschalten des Rechners. dann sollte der Hersteller informiert werden. Ist die Quelle auf Original-Datenträger zurückzuführen.8] 10.1. veränderte Dateiinhalte. ohne dass etwas abgespeichert wurde). Es sollte versucht werden. 13 teilw. Liegt die Quelle in Dateien oder E-Mail.2 Generelle Maßnahmen zur Vorbeugung gegen Virenbefall ).4. die Quelle der Vireninfektion festzustellen. Das Programm sollte eine Liste der erkennbaren Viren und ihre Beschreibung beinhalten.4. Untersuchung aller anderen Datenträger (USB-Sticks. wenn es feststellt. handelt. Entfernen des Virus abhängig vom jeweiligen Virustyp. Darüber hinaus sind jeweils Beschreibungen von Sofortmaßnahmen und Maßnahmen zum Entfernen des Virus anzugeben. dass ein Rechner von einem Virus befallen ist (z. Grundregel: Falls möglich. unerklärliches Systemverhalten. nicht auffindbare Dateien. vorher Boot-Reihenfolge im BIOS-Setup ändern. Programmdateien werden länger. [eh SYS 4. Gibt es Anzeichen.

Anschließend ist das wiederhergestellte System noch einmal auf Schadsoftware zu überprüfen. Java-Applets oder Scripting-Programmen ermöglichen.4. mit einem Warnsystem für Computerviren und sonstigen schädigenden Inhalten eine Informationsbasis und ein Verteilsystem für derartige Informationen geschaffen.4.a. so muss versucht werden.2 Eines der größten Probleme bei der Konzeption eines Sicherheitsgateways (Firewall) ist die Behandlung der Probleme.AT) eingerichtet. die Daten aus den Datensicherungen und die Programme aus den Sicherungskopien der Programme (vgl.5. 291 . Darüber hinaus sind die Verantwortlichkeiten für die regelmäßig durchzuführenden Aktualisierungen innerhalb der Organisation zu definieren.10] 10. Dabei genügt es oft nicht. wie sie im Bereich der Computer-Viren möglich ist. Dabei wird u.9] 10.10 Warnsystem für Computerviren – Aktualisierung von Virenschutzprogrammen Im Zusammenhang mit Computerviren ist die permanente Aktualität des verwendeten Virenschutzprogrammes von größter Wichtigkeit. sowie Informationen über empfohlene aktive und passive Gegenmaßnahmen. [eh SYS 4. die eine ähnlich wirksame Erkennung von Schadfunktionen in ActiveX-Controls. [eh SYS 4. Neben der Aktualisierung der eingesetzten Software ist auch die Information über neue Computerviren. sich nur auf die periodischen Updates des Virenschutzprogramm-Herstellers zu verlassen. Bereits bei der Beschaffung von Virenschutzprogrammen ist daher für die Aktualisierbarkeit und die Versorgung von entsprechenden Updates durch den Hersteller Sorge zu tragen.Sollte der Virus Daten gelöscht oder verändert haben. welches den geeigneten Stellen der öffentlichen Verwaltung und der Wirtschaft zur Verfügung steht.at zur Behandlung beziehungsweise Verhinderung von Sicherheitsvorfällen im Bereich der Informations. 10.6 Sicherungskopie der eingesetzten Software ) zu rekonstruieren.11 Schutz vor aktiven Inhalten ISO Bezug: 27002 10. die durch die Übertragung aktiver Inhalte zu den Rechnern im zu schützenden Netz entstehen. Dieses wird in Kooperation mit CERT. Derzeit existieren noch keine brauchbaren Programme.und Kommunikationstechnologien betrieben. besonders wichtig.4. Im Bereich der öffentlichen Verwaltung wurde ein eigenes Government Computer Emergency Response Team (GovCERT.

Idealerweise sollte ein Browser die Möglichkeit bieten. Es sollte unbedingt beachtet werden. entsprechende 292 . Aktive Inhalte werden über spezielle Tags innerhalb einer HTML-Seite eingebunden. JavaScript aus Java heraus auszuführen. die auch ohne spezielle Initiierung durch den/die AnwenderIn Programme vom Server laden müssen. Das bedeutet. dass ein JavaFilter auch alle von den verwendeten Browsern unterstützten Dateiendungen für Java-Dateien kennen muss. Die Kontrolle aktiver Inhalte kann auf verschiedene Weise geschehen: • • Zentrale Filterung der aktiven Inhalte auf der Firewall Sämtliche als schädlich eingestuften Inhalte werden von einer Komponente der Firewall gefiltert. die Endung . dass wegen der komplexen Möglichkeiten der aktuellen HTMLSpezifikation oft nicht alle zu löschenden Tags von den Sicherheitsproxies erkannt werden. Stattdessen können auch komprimierte Dateien eingesetzt werden. dass beispielsweise Java-Applets nicht notwendigerweise als Datei mit der Endung . Dabei ist allerdings zu beachten. Die Umsetzung einer WhitelistStrategie für aktive Inhalte wird von verschiedenen Browsern in unterschiedlicher Weise und mehr oder weniger gut unterstützt (Beispiele: Zonenmodell des Microsoft Internet Explorers. Diese zur Zeit noch recht wenig benutzte Möglichkeit ist eine zentrale Voraussetzung. die Ausführung bestimmter Typen aktiver Inhalte getrennt für einzelne Server oder Domains freigeben oder verbieten zu können. beispielsweise in HTML-E-Mails. Browser-Profile bei Mozilla Firefox). lässt sich anhand des folgenden Beispiels darstellen: Ein Java-Applet bzw. um kaum zu kontrollierende IP-Verbindungen aufbauen zu können. In der Regel werden aktive Inhalte anhand der entsprechenden Tags aus einer HTML-Seite erkannt und gelöscht. oder sie werden durch einen Textbaustein ersetzt. B. der dem Anwender einen Hinweis über die Tatsache der Filterung gibt. die von aktiven Inhalten für die Rechner im zu schützenden Netz ausgeht. Ist das der Fall. Ähnliche Probleme existieren im Zusammenhang mit Flash-Objekten. .NET Assemblies und anderen aktiven Inhalten. Das Problem besteht dabei darin. die z. Um diese Eigenschaft trotz der Verwendung eines Paketfilters vollständig unterstützen zu können. Zusätzliches Schadenspotenzial resultiert auch aus der Möglichkeit. so dass keine potenziell schädlichen Programme mehr auf den Client-Rechnern eintreffen. können JavaApplets verwendet werden.class verschickt werden müssen. Dezentrale Abwehr auf den angeschlossenen Clients Die Ausführung aktiver Inhalte sollte normalerweise durch entsprechende Einstellungen im Browser unterbunden werden. dass auch aktive Inhalte außerhalb von Webseiten gefiltert werden müssen. der Browser darf gemäß der Java-Spezifikationen eine Netzverbindung zu dem Server aufbauen.Die Größe der Gefährdung.jar (Java-Archive) haben. Weiterhin ist problematisch. wenn Netz-Computer (NC) oder ähnliches eingesetzt werden sollen. von dem es geladen worden ist. müssen sehr viel mehr Ports freigeschaltet werden oder es muss ein dynamischer Paketfilter eingesetzt werden. dass es auf Grund von Schwachstellen in den Browsern Angreifern möglich sein kann.

die dafür ausschlaggebend waren. Installation von Anti-Viren-Software und Personal Firewalls auf den Clients Anti-Viren-Produkte können vor Viren. die das System gefährden. die durch aktive Inhalte automatisch heruntergeladen wurden. Acitve-X Objekte und mit Einschränkungen auch Javascript können mit einer digitalen Signatur versehen werden. Die Entscheidung für eine bestimmte Vorgehensweise und die Gründe.• Einschränkungen zu umgehen. Die Entscheidung. sollten nachvollziehbar dokumentiert werden. Personal Firewalls sind Programme. hängt in erster Linie vom Schutzbedarf der betreffenden Clients ab. die versuchen eine Netz-Verbindung aufzubauen. Java-Applets. die die Ausführung aktiver Inhalte kontrollieren und auf unbedenkliche Operationen beschränken können. die in Zusammenarbeit mit dem Anbieter der aktiven Inhalte die Signatur erstellt. und dass Personal Firewalls selbst Sicherheitslücken aufweisen können. Sie bieten einen guten Schutz vor bereits bekannten Schadprogrammen. Bei allen drei Optionen ist eine Sensibilisierung der Benutzer zusätzlich notwendig. Sie bieten meist neben der Funktion eines lokalen Paketfilters weitere Funktionen an. Makroviren und Trojanischen Pferden schützen. angewiesen ist. dass die richtige Konfiguration dieser Programme zusätzlichen Administrationsaufwand erfordert. Solche Verbindungsaufnahmen können dann meist entweder automatisch anhand festgelegter Regeln oder im Einzelfall vom Benutzer selbst erlaubt oder verboten werden. In einigen Fällen bieten sie auch sogenannte "Sandboxen". dass die Einstellungen auf den Clients bei allen unter Punkt 2 und 3 genannten Schutzvorkehrungen nicht versehentlich oder absichtlich vom Benutzer deaktiviert oder umgangen werden können. so bietet dies eine erhöhte Sicherheit vor Schadfunktionen. Diese Sicherheit ist jedoch nur indirekt. 293 . Beispielsweise bieten einige Personal Firewalls die Möglichkeit einer Überwachung anderer Programme. Personal Firewalls bieten zusammen mit Anti-VirenProgrammen einen recht guten Schutz vor bösartigen aktiven Inhalten. Allerdings muss berücksichtigt werden. Die Signatur dient dazu. Selbst die vollständige Deaktivierung der Ausführung aktiver Inhalte bietet aber nur einen begrenzten Schutz vor bösartigen aktiven Inhalten. die auf dem Client-Rechner installiert werden und dort meist mehrere Funktionen wahrnehmen. Aufgrund der Vielzahl von Software-Schwachstellen in den Browsern können die Sicherheitseinstellungen umgangen werden. so dass der intendierte Schutz tatsächlich nicht oder nicht in vollem Umfang existiert. Zudem muss sichergestellt werden. Werden ausschließlich signierte aktive Inhalte zugelassen. wie mit aktiven Inhalten in Webseiten umgegangen wird. die Integrität und Authentizität des jeweiligen aktiven Inhalts zu schützen. da der Nutzer auf die Vertrauenswürdigkeit der Signaturstelle.

sollte kritisch hinterfragt werden.12 Sicherer Aufruf ausführbarer Dateien ISO Bezug: 27002 10. Virenscanner auf dem Client Eine Filterung aktiver Inhalte auf dem Sicherheitsgateway mit Freischaltung für vertrauenswürdige Websites (Whitelist) Zusätzlich Filterung von Cookies (Whitelist) Die Kriterien. die aktive Inhalte im Browser benötigt. ob die Verwendung der aktiven Inhalte wirklich notwendig ist. Epfehlungen für normalen Schutzbedarf: • • • Allgemein: Deaktivierung aktiver Inhalte im Browser und Freischaltung nur für vertrauenswürdige Websites. dass ein angemessenes Sicherheitsniveau erreicht wurde [eh SYS 8. um sicher zu stellen. sollten deutlich restriktiver sein als bei normalem Schutzbedarf. die durch bösartige aktive Inhalte in Verbindung mit Schwachstellen in Webbrowsern oder im unterliegenden Betriebssystem entstehen können. Falls für bestimmte. Eine ergänzende Sicherheitsanalyse wird empfohlen. Bei Neuentwicklungen browserbasierter Anwendungen oder bei einer Weiterentwicklung einer bestehenden Anwendung. für welche Websites aktive Inhalte freigeschaltet werden. Die möglichen Schäden.5] 10. Anwendungen aktive Inhalte zwingend nötig sind. sollten sie nur für die betreffenden Server freigegeben werden.4.Eine zu "liberale" Einstellung oder gar eine generelle Freigabe aktiver Inhalte ist auch bei normalem Schutzbedarf nicht zu empfehlen. sind dafür zu gravierend. Virenscanner auf dem Client Eine Filterung aktiver Inhalte auf dem Sicherheitsgateway mit Freischaltung für vertrauenswürdige Websites (Whitelist) Epfehlungen für hohen Schutzbedarf: • • • • • • Deaktivierung aktiver Inhalte im Browser und Freischaltung nur für vertrauenswürdige Websites.4 294 . Oft lassen sich aktive Inhalte bei gleichwertiger Funktionalität durch serverseitig dynamisch erzeugte Webseiten ersetzen.

in denen nach den ausführbaren Dateien gesucht werden soll. Ein Angreifer könnte sonst eine modifizierte Datei mit dem selben Namen in ein Verzeichnis kopieren. nicht mit Administrator-Rechten gestartet werden. .cmd) und unter Unix oder Linux durch Dateirechte (x-Flag) erkennbar. dass diese Applikationen Schaden anrichten. die das jeweils aktuelle Arbeitsverzeichnis enthalten. Dasselbe gilt für neue Software. unter Unix oder Linux beispielsweise durch chroot-Umgebungen. der die Datei ausführt.vbs. die für einen späteren Einsatz auf einem Produktivsystem getestet werden soll.com. . B. Die Anzahl der angegebenen Verzeichnisse sollte gering und überschaubar gehalten werden.7 Abnahme und Freigabe von Software) Ein Angreifer könnte eine ausführbare Datei soweit verändern. Dies betrifft vor allem sehr komplexe Anwendungen wie zum Beispiel Webserver. dass nur die gewünschte.exe. nur über ein entsprechendes Programm angesehen werden. dass er die Privilegien des Benutzers erhält. weil sie sich in der Entwicklung befinden. Hierfür können beispielsweise separate Testsysteme eingesetzt werden oder spezielle Benutzerkonten ohne weitere Privilegien. in der entsprechenden Reihenfolge in der PATH-Variable eingetragen. So kann bei einem erfolgreichen Angriff der eintretende Schaden begrenzt werden. Nur so kann verhindert werden. z. Im Gegensatz hierzu können Anwendungsdaten. wie Textdateien. Diese Dienste dürfen. wenn möglich. Über klare Trennungen von Rechten. dürfen als Angabe in der PATH- 295 . . Relative Verzeichnisangaben. Auch bereits getestete Software kann die Sicherheit beeinträchtigen. dürfen nur in separaten Bereichen verwendet werden.bat. muss nachgedacht werden. Es muss sichergestellt werden. dürfen ausführbare Dateien nur lesbar sein. dass jeder Prozess nur so viele Rechte erhält wie unbedingt notwendig sind. könnte die modifizierte statt die gewünschte Datei ausgeführt werden Bei vielen Betriebssystemen werden die Verzeichnisse. Um dies zu verhindern. Wird beim Aufruf in den Verzeichnissen nach der Datei gesucht.Ausführbare Dateien können direkt gestartet werden. (Siehe auch 12. Hierfür eignen sich ebenfalls Benutzerkonten mit eingeschränkten Privilegien.1. auf das er Schreibrechte hat. Ein Schreibzugriff darf nur Administratoren gestattet werden Ausführbare Dateien für die Schreibrechte benötigt werden. Im Weiteren muss sichergestellt werden. dass nur freigegebene Versionen ausführbarer Dateien und keine eventuell eingebrachten modifizierten Versionen (insbesondere Trojanische Pferde) aufgerufen werden. Unter Windows sind ausführbare Dateien an ihrer Dateiendung (beispielsweise . . Schon beim Start von Anwendungen muss sichergestellt werden. freigegebene Version ausgeführt werden kann. die den eintretenden Schaden begrenzen können.

einerseits die MitarbeiterInnen für die Problematik zu sensibilisieren und zum Mitdenken anzuregen und sie andererseits technisch zu unterstützen. wenn E-Mail-Anhänge ausgeführt werden oder die E-Mail HTML-basiert ist (siehe unten). nicht ausführen. dass Dateien zunächst nur in Viewern oder anderen Darstellungsprogrammen angezeigt werden. Die größere Gefahr sind aber Anhänge. zumindest nachfragt. Wichtig ist aber auf jeden Fall.4 E-Mail ist einer der wichtigsten Übertragungswege für Computer-Viren und Würmer. Für den Umgang mit Dateiformaten.13 Vermeidung gefährlicher Dateiformate ISO Bezug: 27002 10. das Öffnen aller als problematisch eingestuften Dateiformate zu verbieten bzw. ob es wirklich nötig ist. Durch ein Zuviel an Anhängen kann die Verfügbarkeit eines EMail-Clients oder des E-Mail-Servers beeinträchtigt werden. dass als nächstes eine EMail mit solchen Attachments zu erwarten ist. indem die Gefährdungspotenziale durch entsprechende Konfiguration und Sicherheitswerkzeuge minimiert werden. Ansonsten sollten Dateien in möglichst "ungefährlichen" Formaten weitergegeben werden. können verschiedene Regelungen getroffen werden. dass alle Betroffenen sich der Problematik bewusst sind und entsprechend vorsichtig mit diesen Dateiformaten umgehen. ein Attachment anzuhängen. Dies muss regelmäßig überprüft werden. Dies führt allerdings erfahrungsgemäß zu großen Akzeptanzproblemen seitens der Kunden und der MitarbeiterInnen. In den in einer PATH-Variable enthaltenen Verzeichnissen darf nur der jeweilige Eigentümer Schreibrechte erhalten. dass Anhänge nicht versehentlich gestartet werden können. Vor dem Absenden einer E-Mail sollte sich jeder überlegen. Das Betriebssystem bzw..4. Ausführbare Dateien sollen nur in dafür vorgesehenen Verzeichnissen gespeichert sein. sondern das Programm vor der Ausführung warnt bzw. der E-Mail-Client sollte außerdem so eingerichtet sein. die ausführbaren Code enthalten und damit ungeahnte Nebeneffekte auslösen können. Eine rein textbasierte E-Mail ohne Anhänge ist dabei ungefährlich. die eventuell in den Dateien enthaltenen Programmcode. Die restriktivste Form ist es. 10. Gefährlich wird es erst. die als potentiell problematisch eingeschätzt werden. Wenn sich die Versendung von Dateien in "gefährlichen" Formaten nicht vermeiden lässt. Besser ist es im allgemeinen. Der E-Mail-Client sollte so eingestellt sein. oder ob die Informationen nicht genauso gut als Text in die E-Mail direkt eingefügt werden kann. sollte überlegt werden. 296 . ob die Datei geöffnet werden soll. Prinzipiell können E-Mails Anhänge in beliebiger Art und Menge beigefügt werden. wie Makros oder Skripte. diese am E-Mail-Gateway herauszufiltern.Variable nicht enthalten sein. den Empfänger mit einer kurzen E-Mail darauf hinzuweisen.

in eingehenden E-Mails enthaltene aktive Inhalte herauszufiltern. nicht makrofähigen Texteditor geöffnet werden.EXE. Powerpoint (. bzw. Star Office oder Open Office mit integrierter Makrosprache. dass bereits bei der Anzeige solcher E-Mails auf dem Client ungewollte Aktionen ausgelöst werden. Dies ist einerseits oft lästig. bei denen HTML-formatierte EMails als solche zu erkennen sind. Windows-Betriebssysteme sollten außerdem so konfiguriert sein.SCR). Außerdem sollte die Möglichkeit überprüft werden. B.BAT grundsätzlich mit einem einfachen. dass die enthaltenen Dateien problematisch sein können). mit der diese zwar geöffnet werden. .oder VisualBasic-Skript-Code enthalten können.JS. Diese können sich allerdings jederzeit ändern. SDW. die ungeplante Nebenwirkungen haben. z. da HTML-Mails eingebetteten JavaScript. wenn sie aktiviert wird Mit Zusatzmaßnahmen als vertretbar angesehen werden können: HTML. .COM. innerhalb deren aber eventuelle ComputerViren keinen Schaden auslösen können. SXW usw. wenn ein JavaScript-Filter oder andere Sicherheitsvorkehrungen eingesetzt werden.Im Folgenden werden einige Einschätzungen verschiedener Dateiformate gegeben.VBS. Besonders kritisch sind alle ausführbaren Programme (wie . damit der Benutzer diese nicht unbewusst öffnet. ein Tüftler solche Nebenwirkungen herausfindet. Beispielsweise sollten Dateitypen wie *. Durch Kombination verschiedener Sicherheitslücken in E-Mail-Clients und Browsern ist es in der Vergangenheit immer wieder zu Sicherheitsproblemen mit HTMLformatierten E-Mails gekommen Generell sollten möglichst keine HTML-formatierten E-Mails oder solche mit aktiven Inhalten zu versenden. B. .oder Shellskripte unter Unix).REG) sowie Bildschirmschoner (.BAT unter Windows. PDF (dabei ist darauf zu achten. ZIP (hier sollten die Benutzer allerdings gewarnt werden. • • Als weitgehend harmlos gelten bisher ASCII-.PPT. Vorsichtshalber sollte für alle diese Dateitypen eine "ungefährliche" Standardapplikation festgelegt werden. • Immer mehr E-Mails sind heutzutage auch HTML-formatiert. Dadurch wird die Datei zunächst in einem Editor dargestellt und nicht der Registrierungsdatenbank hinzugefügt. dass bei Registrierungsdateien (. Als möglicherweise gefährlich sollten die folgenden Dateiformate behandelt werden: alle Dateiformate von Office-Paketen wie Microsoft Office. weil nicht alle E-Mail-Clients dieses Format anzeigen können. beispielsweise an der Firewall. Word. . *.DOC.JS oder *. JPEG-formatierte Dateien. Registrierungsdateien (. Weiterhin sollten E-Mail-Clients gewählt werden.REG) als Standardvorgang Bearbeiten statt Zusammenführen eingestellt ist. . Andererseits kann dies aber auch dazu führen.PIF) oder Skript-Sprachen (.). GIF-. RTF (mit COM-Object-Filter). dass der PDF-Reader auf dem Endgerät als Standard installiert ist und nicht Adobe Acrobat).XLS. Excel. wenn z. . ein Hersteller seinem Produkt neue Features hinzufügt. 297 . ebenso wie Perl.VBS.

wo sie mit besonderen Sicherheitsvorkehrungen vom Empfänger eingesehen werden können (je nach E-Mail-Aufkommen kann dies allerdings einen nicht akzeptablen Aufwand mit sich bringen). sondern an einen besonderen Arbeitsplatz. welche Daten von wem wann gesichert werden. 10. die bei der regelmäßigen Datensicherung berücksichtigt werden. Beim Empfang von HTML-formatierten E-Mails sollte festgelegt werden. In den meisten Rechnersystemen können diese weitgehend automatisiert erfolgen. Zeitintervall: z. Verzeichnisse festzulegen. 10.5 Datensicherung Unabdingbare Voraussetzung für jeden Business Continuity Plan ist die Planung und Durchführung einer ordnungsgemäßen Datensicherung. Es sind Regelungen zu treffen.5. mit Hilfe von serverseitigen Tools in ein reines Textformat umgewandelt und danach mit einem entsprechenden Hinweis an die Benutzer weitergeleitet werden (dabei können allerdings Informationen verloren gehen).Generell sollte eine Vorgabe innerhalb einer Organisation zum Umgang mit HTMLformatierten E-Mails erstellt werden.2 Entwicklung eines Datensicherungskonzeptes ).B. ob diese • • • unverändert an die Benutzer weitergeleitet und die Benutzer für den verantwortungsvollen und vorsichtigen Umgang mit solchen E-Mails geschult und sensibilisiert werden. wöchentlich. 10. täglich. Empfehlenswert ist die Erstellung eines Datensicherungskonzeptes (vgl. Abhängig von der Menge und Wichtigkeit der laufend neu gespeicherten Daten und vom möglichen Schaden bei Verlust dieser Daten ist Folgendes festzulegen: • • 298 Umfang der zu sichernden Daten: Am einfachsten ist es.1 Zur Vermeidung von Datenverlusten müssen regelmäßige Datensicherungen durchgeführt werden. Partitionen bzw. nicht direkt an die Benutzer weitergeleitet werden. Z.5. monatlich . Eine geeignete Differenzierung kann die Übersichtlichkeit vergrößern sowie Aufwand und Kosten sparen helfen.1 Regelmäßige Datensicherung ISO Bezug: 27002 10.5.: Sicherung der selbsterstellten Dateien und der individuellen Konfigurationsdateien.B. Grundsätzlich sollten alle Benutzer für diese Problematik sensibilisiert sein.

zum Beispiel sofort nach Erstellung wichtiger Dateien oder mehrmals täglich. gewählte Parameter.B. nur die seit der letzten Komplettsicherung neu erstellten Daten werden gesichert. Für eingesetzte Software ist in der Regel die Aufbewahrung der Originaldatenträger und deren Sicherungskopien ausreichend. Werden zum Beispiel bei wöchentlicher Komplettsicherung nur zwei Generationen aufbewahrt. DVDs. Bänder. Falls bei vernetzten Rechnern nur die Server-Platten gesichert werden. freitags abends Anzahl der aufzubewahrenden Generationen: z. Benutzer/in) Zuständigkeit für die Überwachung der Sicherung. insbesondere bei automatischer Durchführung (Fehlermeldungen. verbleibender Platz auf den Speichermedien) Dokumentation der erstellten Sicherungen (Datum. Bei täglicher Komplettsicherung werden die letzten sieben Sicherungen aufbewahrt. außerdem die Freitagabend-Sicherungen der letzten zwei Monate. etc. Wiederaufbereitung der Datenträger (Löschung vor Wiederverwendung) Zuständigkeit für die Durchführung (Systemadministration. bleiben in Abhängigkeit vom Zeitpunkt des Verlustes nur zwei bis drei Wochen Zeit. dass die zu sichernden Daten regelmäßig von den Benutzerinnen und Benutzern oder automatisch dorthin überspielt werden. ist sicherzustellen. Beschriftung der Datenträger) Wegen des großen Aufwands können Komplettsicherungen in der Regel höchstens einmal täglich durchgeführt werden. Eine inkrementelle Sicherung kann häufiger erfolgen.B. ist wichtig.• • • • • • • Zeitpunkt: z. nachts. Sie braucht dann von der regelmäßigen Datensicherung nicht erfasst zu werden. Wechselplatten. Alle Benutzer/innen sollten über die Regelungen zur Datensicherung informiert sein. das heißt. Art der Durchführung der Sicherung. Die Vereinbarkeit mit dem laufenden Betrieb ist sicherzustellen. Werden zwischen zwei Komplettsicherungen mehrere inkrementelle Sicherungen durchgeführt. können auch jeweils nur die seit der letzten inkrementellen Sicherung neu erstellten Daten gesichert werden. Auch die Information der Benutzer/innen darüber. Daher und zur Senkung der Kosten sollen zwischen den Komplettsicherungen regelmäßig inkrementelle Sicherungen durchgeführt werden. um die Wiedereinspielung vorzunehmen. wie lange die Daten wiedereinspielbar sind. Die seit der letzten Sicherung erstellten Daten können nicht wiedereingespielt werden. um ggf.B. Speichermedien (abhängig von der Datenmenge): z. auf Unzulänglichkeiten (zum Beispiel zu geringes Zeitintervall für ihren Bedarf) hinweisen oder individuelle Ergänzungen vornehmen zu können (zum Beispiel zwischenzeitliche Spiegelung wichtiger Daten auf der eigenen Platte). 299 .

Damit können viele Fälle. Minimaldatensicherungskonzept (Beispiel): • Software: Sämtliche Software.1] 10. welche Minimalforderungen zur Datensicherung eingehalten werden müssen. pauschal behandelt werden. also sowohl Eigenentwicklungen als auch Standardsoftware. [eh BCP 1. ist einmalig mittels einer Vollsicherung zu sichern. Weiterhin ist damit eine Grundlage gegeben. Weiters ist dafür Sorge zu tragen.[eh BCP 1. die Änderungsfrequenz der Daten und die Verfügbarkeitsanforderungen sind einige dieser Faktoren.5. die diese Faktoren berücksichtigt und gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist. 300 .5.2 Übungen zur Datenrekonstruktion ).1 Für eine Organisation ist festzulegen. Für die Gewährleistung einer funktionierenden Datensicherung müssen praktische Übungen zur Datenrestaurierbarkeit verpflichtend vorgesehen sein (siehe 14.1 Die Verfahrensweise der Datensicherung wird von einer großen Zahl von Einflussfaktoren bestimmt. Das IT-System. in denen eingehende Untersuchungen und die Erstellung eines Datensicherungskonzeptes zu aufwendig sind. Diese Lösung muss auch jederzeit aktualisierbar und erweiterbar sein.5. für die noch kein Datensicherungskonzept erarbeitet wurde. das Datenvolumen.2.2] 10. Im Datensicherungskonzept gilt es. die generell für alle IT-Systeme gültig ist und damit auch für neue ITSysteme.2 Entwicklung eines Datensicherungskonzeptes ISO Bezug: 27002 10. Ein Beispiel soll dies erläutern. dass alle betroffenen ITSysteme im Datensicherungskonzept berücksichtigt werden und das Konzept stets den aktuellen Anforderungen entspricht.5.3 Festlegung des Minimaldatensicherungskonzeptes ISO Bezug: 27002 10. Ein möglicher Aufbau eines Datensicherungskonzeptes ist in Anhang B angeführt. Einzelne Punkte eines Datensicherungskonzeptes werden in den nachfolgenden Maßnahmen näher ausgeführt. eine Lösung zu finden.

zum Schlüsselaustausch.4 Datensicherung bei Einsatz kryptographischer Verfahren ISO Bezug: 27002 10. Es gibt unterschiedliche Methoden der Schlüsselspeicherung: • • • die Speicherung zu Transportzwecken auf einem transportablen Datenträger.B. die dauerhaft auf kryptographische Schlüssel zugreifen müssen. Trotzdem kann es aus verschiedenen Gründen notwendig sein.2 Beim Einsatz kryptographischer Verfahren darf die Frage der Datensicherung nicht vernachlässigt werden. USB-Stick (dient vor allem zur Schlüsselverteilung bzw.6. Datensicherung der Schlüssel Es muss sehr genau überlegt werden. zur Kommunikationsverschlüsselung.7 Key-Management ). ob und wie die benutzten kryptographischen Schlüssel gespeichert werden sollen.5.3] 10.3. Chipkarte. z. die Konfigurationsdaten der eingesetzten Kryptoprodukte zu sichern.5. kryptographische Schlüssel zu speichern. muss auch überlegt werden. Anwendungsdaten: Alle Anwendungsdaten sind mindestens einmal monatlich mittels einer Vollsicherung im Drei-Generationen-Prinzip zu sichern.1.B. siehe 12. also z. ob und wie die benutzten kryptographischen Schlüssel gespeichert werden sollen. Hierbei ist grundsätzlich zu beachten: 301 . Protokolldaten: Sämtliche Protokolldaten sind mindestens einmal monatlich mittels einer Vollsicherung im Drei-Generationen-Prinzip zu sichern. Neben der Frage.• • • Systemdaten: Systemdaten sind mindestens einmal monatlich mit einer Generation zu sichern. da jede Schlüsselkopie eine potentielle Schwachstelle ist. die Speicherung in IT-Komponenten. [eh BCP 1. Daneben ist es auch zweckmäßig. 12. die Schlüsselhinterlegung als Vorbeugung gegen Schlüsselverlust oder im Rahmen von Vertretungsregelungen. wie sinnvollerweise eine Datensicherung der verschlüsselten Daten erfolgen sollte.

als bei jedem Schlüsselverlust alle Kommunikationspartner zu informieren. Hierbei muss nicht nur sichergestellt werden. dass auch noch nach Jahren Daten auftauchen. die z. d. verwendet wird. Die Langzeitspeicherung von verschlüsselten oder signierten Daten bringt viele zusätzliche Probleme mit sich. diese unverschlüsselt zu speichern und dafür entsprechend sicher zu lagern. sollten sie auf jeden Fall in verschlüsselter Form gespeichert werden. dass die meisten Standardanwendungen. bei denen Schlüssel oder Passwörter in der Anwendung gespeichert werden.h. In diesem Fall ist es unter Umständen weniger aufwendig. dass Unbefugte sie nicht unbemerkt auslesen können. wenn keine Chipkarte o. sollten auf jeden Fall Sicherungskopien angefertigt werden. in Tresoren. Hierbei ist zu bedenken. beim Einsatz von Verschlüsselung während der Datenspeicherung notwendig. Treten hierbei Fehler auf. Falls jedoch für die Schlüsselspeicherung eine reine Softwarelösung gewählt wurde.• • • Kryptographische Schlüssel sollten so gespeichert bzw. sondern meist alle Daten unbrauchbar. dass die Datenträger regelmäßig aufgefrischt werden und jederzeit noch die technischen Komponenten zum Verarbeiten dieser zur Verfügung stehen.B. ist das Risiko des Schlüsselverlustes (etwa durch Bitfehler oder Festplattendefekt) erhöht. Damit eine unautorisierte Nutzung ausgeschlossen ist. die die Schlüssel bei Angriffen automatisch löscht. die nicht im Archiv gelagert waren. aufbewahrt werden. Die verwendeten Kryptomodule sollten vorsichtshalber immer archiviert werden. also z. sollten auch von privaten Signaturschlüsseln im Allgemeinen keine Kopien existieren. 302 . da die Erfahrung zeigt.B. eine ausreichend gesicherte Möglichkeit der Schlüsselhinterlegung zu schaffen. Beispielsweise könnten Schlüssel in spezieller Sicherheitshardware gespeichert werden. Als weitere Variante kann auch das Vier-Augen-Prinzip bei der Schlüsselspeicherung benutzt werden. also die Speicherung eines Schlüssels in Schlüsselhälften oder Schlüsselteilen. dass die verwendeten kryptographischen Algorithmen und die Schlüssellänge noch dem Stand der Technik entsprechen. zur Archivierung von Daten oder zur Generierung von Kommunikationsschlüsseln eingesetzt werden. Datensicherung der verschlüsselten Daten Besondere Sorgfalt ist bei der Datensicherung von verschlüsselten Daten bzw. sind nicht nur einige Datensätze. dies im Allgemeinen mit leicht zu brechenden Verfahren tun. Von langlebigen Schlüsseln. Bei der langfristigen Archivierung von Daten kann es daher sinnvoller sein. Falls sie in Software gespeichert werden. sondern auch.ä. Von Kommunikationsschlüsseln und anderen kurzlebigen Schlüsseln sollten keine Kopien erstellt werden.

1.) der Datensicherungsbestand zur Verfügung steht. damit sie nach einem Systemversagen oder einer Neuinstallation schnell wieder eingerichtet werden kann. Für den Katastrophenfall müssen die Backup-Datenträger räumlich getrennt vom Rechner .5 Geeignete Aufbewahrung der Backup-Datenträger ISO Bezug: 27002 10. Die gewählte Konfiguration sollte dokumentiert sein. Ein ausreichend schneller Zugriff im Bedarfsfall muss gewährleistet sein. so dass eine Entwendung ausgeschlossen werden kann. o. wenn möglich disloziert .2 Datenträgerverwaltung .1 Backup-Datenträger unterliegen besonderen Anforderungen hinsichtlich ihrer Aufbewahrung: • • • Der Zugriff auf diese Datenträger darf nur befugten Personen möglich sein.5. dass der Datenbestand eines derartigen Notfallarchivs nicht aufgrund der gleichen Schadensursache zerstört wird. Je nach Anforderungen und geforderte Ausfallsicherheit (Katastrophenvorsorge – vgl.4] 10.1 303 .5.5.5] 10.Datensicherung der Konfigurationsdaten der eingesetzten Produkte Bei komplexeren Kryptoprodukten sollte nicht vergessen werden. Zu beachten sind auch die Anforderungen aus 10.7. und dass im Falle der Unzugänglichkeit der Infrastruktur (beispielsweise aufgrund von Verschüttungen. [eh BCP 1. 14.aufbewahrt werden.auf jeden Fall in einem anderen Brandabschnitt.6 Sicherungskopie der eingesetzten Software ISO Bezug: 27002 10.5.1 ) kann es notwendig sein das Datenarchiv an einem gänzlich anderen Ort zu halten. [eh BCP 1.ä. Damit wird sichergestellt. deren Konfigurationsdaten zu sichern.

Von den Originaldatenträgern von Standardsoftware bzw. von der Originalsoftware bei Eigenentwicklungen ist sofern möglich eine Sicherungskopie zu erstellen, von der bei Bedarf die Software wieder eingespielt werden kann. Die Originaldatenträger und die Sicherungskopien sind getrennt voneinander aufzubewahren. Es ist darauf zu achten, dass der physikalische Schreibschutz des Datenträgers ein versehentliches Löschen oder Überschreiben der Daten verhindert Ein unerlaubter Zugriff, z.B. zur Erstellung einer Raubkopie, muss ausgeschlossen sein. [eh BCP 1.6]

10.5.7 Beschaffung eines geeigneten Datensicherungssystems
ISO Bezug: 27002 10.5.1 Ein Großteil der Fehler, die beim Erstellen oder Restaurieren einer Datensicherung auftreten, sind Fehlbedienungen. Daher sollte bei der Beschaffung eines Datensicherungssystems nicht allein auf dessen Leistungsfähigkeit geachtet werden, sondern auch auf seine Bedienbarkeit und insbesondere auf seine Toleranz gegenüber Benutzerfehlern. Bei der Auswahl von Sicherungssoftware sollte darauf geachtet werden, dass sie die folgenden Anforderungen erfüllt:

• • • •

Die Datensicherungssoftware sollte ein falsches Medium ebenso wie ein beschädigtes Medium im Sicherungslaufwerk erkennen können. Sie sollte mit der vorhandenen Hardware problemlos zusammenarbeiten. Es sollte möglich sein, Sicherungen automatisch zu vorwählbaren Zeiten bzw. in einstellbaren Intervallen durchführen zu lassen, ohne dass hierzu manuelle Eingriffe (außer dem eventuell notwendigen Bereitstellen von Sicherungsdatenträgern) erforderlich wären. Es sollte möglich sein, einen oder mehrere ausgewählte Benutzerinnen oder Benutzer automatisch über das Sicherungsergebnis und eventuelle Fehlermeldungen per E-Mail oder ähnliche Mechanismen zu informieren. Die Durchführung von Datensicherungen inklusive des Sicherungsergebnisses und möglicher Fehlermeldungen sollten in einer Protokolldatei abgespeichert werden. Die Sicherungssoftware sollte die Sicherung des Backup-Mediums durch ein Passwort oder, je nach Vertraulichkeitsanforderungen, durch Verschlüsselung unterstützen. Weiters sollte sie in der Lage sein, die gesicherten Daten in komprimierter Form abzuspeichern.

304

• • • •

Durch Vorgabe geeigneter Include- und Exclude-Listen bei der Datei- und Verzeichnisauswahl sollte genau spezifiziert werden können, welche Daten zu sichern sind und welche nicht. Es sollte möglich sein, diese Listen zu Sicherungsprofilen zusammenzufassen, abzuspeichern und für spätere Sicherungsläufe wieder zu benutzen. Es sollte möglich sein, die zu sichernden Daten in Abhängigkeit vom Datum ihrer Erstellung bzw. ihrer letzten Modifikation auszuwählen. Die Sicherungssoftware sollte die Erzeugung logischer und physischer Vollkopien sowie inkrementeller Kopien (Änderungssicherungen) unterstützen. Die zu sichernden Daten sollten auch auf Festplatten und Netzlaufwerken abgespeichert werden können. Die Sicherungssoftware sollte in der Lage sein, nach der Sicherung einen automatischen Vergleich der gesicherten Daten mit dem Original durchzuführen und nach der Wiederherstellung von Daten einen entsprechenden Vergleich zwischen den rekonstruierten Daten und dem Inhalt des Sicherungsdatenträgers durchzuführen. Bei der Wiederherstellung von Dateien sollte es möglich sein auszuwählen, ob die Dateien am ursprünglichen Ort oder auf einer anderen Platte bzw. in einem anderen Verzeichnis wiederhergestellt werden. Ebenso sollte es möglich sein, das Verhalten der Software für den Fall zu steuern, dass am Zielort schon eine Datei gleichen Namens vorhanden ist. Dabei sollte man wählen können, ob diese Datei immer, nie oder nur in dem Fall, dass sie älter als die zu rekonstruierende Datei ist, überschrieben wird, oder dass in diesem Fall eine explizite Anfrage erfolgt.

Falls mit dem eingesetzten Programm die Datensicherung durch ein Passwort geschützt werden kann, sollte diese Option genutzt werden. [eh BCP 1.7]

10.5.8 Datensicherung bei mobiler Nutzung eines IT-Systems
ISO Bezug: 27002 9.2.5, 10.5.1, 10.7.1, 10.8.1 teilw, 11.7.1 IT-Systeme im mobilen Einsatz (z.B. Laptops, Notebooks) sind in aller Regel nicht permanent in ein Netz eingebunden. Der Datenaustausch mit anderen IT-Systemen erfolgt üblicherweise über Datenträger oder über temporäre Netzanbindungen. Letztere können beispielsweise durch Remote Access oder direkten Anschluss an ein LAN nach Rückkehr zum Arbeitsplatz realisiert sein. Anders als bei stationären Clients ist es daher bei mobilen IT-Systemen meist unvermeidbar, dass Daten zumindest zeitweise lokal anstatt auf einem zentralen Server gespeichert werden. Dem Verlust dieser Daten muss durch geeignete Datensicherungsmaßnahmen vorgebeugt werden. Generell bieten sich folgende Verfahren zur Datensicherung an: 305

Datensicherung auf externen Datenträgern:
Der Vorteil dieses Verfahrens ist, dass die Datensicherung an nahezu jedem Ort und zu jeder Zeit erfolgen kann. Nachteilig ist, dass ein geeignetes Laufwerk und genügend Datenträger mitgeführt werden müssen und dass für den/die Benutzer/ in zusätzlicher Aufwand für die ordnungsgemäße Handhabung der Datenträger entsteht. Die Datenträger sollten eine ausreichende Speicherkapazität besitzen, so dass der/ die Benutzer/in nicht mehrere Datenträger pro Sicherungsvorgang in das Laufwerk einlegen muss. Bei unverschlüsselter Datenhaltung ergibt sich außerdem die Gefahr, dass Datenträger abhanden kommen und dadurch sensitive Daten kompromittiert werden können. Die Datenträger und das mobile IT-System sollten möglichst getrennt voneinander aufbewahrt werden, damit bei Verlust oder Diebstahl des ITSystems die Datenträger nicht ebenfalls abhanden kommen. Nach Rückkehr zum Arbeitsplatz müssen die Datensicherungen auf den Datenträgern in das Backup-System oder in das Produktivsystem bzw. die zentrale Datenhaltung der Organisation eingebracht werden.

Datensicherung über temporäre Netzverbindungen
Wenn die Möglichkeit besteht, das IT-System regelmäßig an ein Netz anzuschließen, beispielsweise über Remote Access, kann die Sicherung der lokalen Daten auch über die Netzanbindung erfolgen. Vorteilhaft ist hier, dass der/die Benutzer/in keine Datenträger verwalten und auch kein entsprechendes Laufwerk mitführen muss. Weiterhin lässt sich das Verfahren weitgehend automatisieren, beispielsweise kann die Datensicherung beim Einsatz von Remote Access nach jedem Einwahlvorgang automatisch gestartet werden. Entscheidend bei der Datensicherung über eine temporäre Netzverbindung ist, dass deren Bandbreite für das Volumen der zu sichernden Daten ausreichen muss. Die Datenübertragung darf nicht zu lange dauern und nicht zu übermäßigen Verzögerungen führen, wenn der/die Benutzer/in gleichzeitig auf entfernte Ressourcen zugreifen muss. Bei manchen Zugangstechnologien (z.B. Modem, Mobiltelefon) bedeutet dies, dass nur geringe Datenmengen pro Sicherungsvorgang transportiert werden können. Einige Datensicherungsprogramme bieten daher die Möglichkeit an, lediglich Informationen über die Änderungen des Datenbestands seit der letzten Datensicherung über die Netzverbindung zu übertragen. In vielen Fällen kann hierdurch das zu transportierende Datenvolumen stark reduziert werden. Eine wichtige Anforderung an die zur Datensicherung verwendete Software ist, dass unerwartete Verbindungsabbrüche erkannt und ordnungsgemäß behandelt werden. Die Konsistenz der gesicherten Daten darf durch Verbindungsabbrüche nicht beeinträchtigt werden. 306

Bei beiden Verfahren zur Datensicherung ist es wünschenswert, das Volumen der zu sichernden Daten zu minimieren. Neben dem Einsatz verlustfreier Kompressionsverfahren, die in viele Datensicherungsprogrammen integriert sind, können auch inkrementelle oder differentielle Sicherungsverfahren zum Einsatz kommen Hierdurch erhöht sich jedoch u.U. der Aufwand für die Wiederherstellung einer Datensicherung. [eh BCP 1.8]

10.5.9 Verpflichtung der Mitarbeiter/innen zur Datensicherung
ISO Bezug: 27002 8.2.2, 10.5.1 Da die Datensicherung eine wichtige IT-Sicherheitsmaßnahme darstellt, sollten die betroffenen Mitarbeiter/innen - vorzugsweise in schriftlicher Form - zur Einhaltung des Datensicherungskonzeptes bzw. des Minimaldatensicherungskonzeptes verpflichtet werden. Eine regelmäßige Motivation zur Datensicherung und Kontrolle auf Einhaltung ist empfehlenswert. [eh BCP 1.9]

10.6 Netzsicherheit
Zur Unterstützung der System-/Netzwerkadministration ist der Einsatz von entsprechenden Tools (z.B. CAD-Programmen, speziellen Tools für Netzpläne, Kabelmanagementtools im Zusammenhang mit Systemmanagementtools o.ä.) empfehlenswert. Eine konsequente Aktualisierung aller Informationen bei Umbauten oder Erweiterungen ist ebenso zu gewährleisten wie eine eindeutige und nachvollziehbare Dokumentation (vgl. auch 9.4.1 Lagepläne der Versorgungsleitungen). Gerade im Zusammenhang mit dem Absichern von Netzwerken gibt es eine Reihe weiterführender Literatur. Exemplarisch sei an dieser Stelle „The 60 Minute Network Security Guide“ der NSA [NSA-SD7] genannt.

10.6.1 Sicherstellung einer konsistenten Systemverwaltung
ISO Bezug: 27002 6.1.2, 10.10.1,10.10.2, 10.10.4, 11.1.1, 11.5.2, 12.4.1 In vielen komplexen IT-Systemen gibt es eine Administratorrolle, die keinerlei Beschränkungen unterliegt. Durch fehlende Beschränkungen ist die Gefahr von Fehlern oder Missbrauch besonders hoch.

307

Um Fehler zu vermeiden, soll unter dem Super-User-Login nur gearbeitet werden, wenn es notwendig ist. Andere Arbeiten soll auch der Administrator nicht unter der Administrator-Kennung erledigen. Insbesondere dürfen keine Programme anderer Benutzer/innen unter der Administrator-Kennung aufgerufen werden. Ferner sollte die routinemäßige Systemverwaltung (z.B. Backup, Einrichten einer/eines neuen Benutzerin/Benutzers) nur menügesteuert durchgeführt werden können. Für alle Administratoren sind zusätzliche Benutzerkennungen einzurichten, die nur über die eingeschränkten Rechte verfügen, die die Administratoren zur Aufgabenerfüllung außerhalb der Administration benötigen. Für Arbeiten, die nicht der Administration dienen, sollen die Administratoren ausschließlich diese zusätzlichen Benutzerkennungen verwenden. Falls das Betriebssystem erlaubt, sollte der Administrator grundsätzlich nicht als Superuser, sondern unter seiner persönlichen Benutzerkennung einsteigen und erst dann in die Superuser-Rolle wechseln. Bekannte Kennungen, wie etwa root, guest oder administrator, sind zu löschen, stillzulegen oder nach Bedarf zu modifizieren. Bekannte Passwörter (Firmenkennungen und Firmen-Passwörter) sind zu löschen bzw. zu ändern, insbesondere bei Netzwerkkomponenten (Router, Switches, ...). Alle durchgeführten Änderungen sollten dokumentiert werden, um diese nachvollziehbar zu machen und die Aufgabenteilung zu erleichtern. [eh SYS 6.1]

10.6.2 Ist-Aufnahme der aktuellen Netzsituation
ISO Bezug: 27002 6.2.1, 7.1.1, 10.6.2, 11.4 Die Bestandsaufnahme der aktuellen Netzsituation ist Voraussetzung für

• •

eine gezielte Sicherheitsanalyse des bestehenden Netzes sowie für die Erweiterung eines bestehenden Netzes.

Hierzu ist eine Ist-Aufnahme mit einhergehender Dokumentation der folgenden Aspekte, die z.T. aufeinander aufbauen, notwendig:

• • •
308

Netztopographie, Netztopologie, verwendete Netzprotokolle,

• •

Kommunikationsübergänge im LAN und zum WAN sowie Netzperformance und Verkehrsfluss.

Unter der Topographie eines Netzes wird die rein physikalische Struktur eines Netzes in Form der Kabelführung verstanden. Im Gegensatz dazu handelt es sich bei der Netztopologie um die logische Struktur eines Netzes. Die Topographie und Topologie eines Netzes sind nicht notwendig identisch. [eh SYS 6.3]

10.6.3 Analyse der aktuellen Netzsituation
ISO Bezug: 27002 7.1.1, 10.6.2, 11.4, 11.4.7, 12.6.1 Diese Maßnahme baut auf den Ergebnissen der Ist-Aufnahme nach 10.6.2 IstAufnahme der aktuellen Netzsituation auf und erfordert spezielle Kenntnisse im Bereich der Netztopologie, der Netztopographie und von netzspezifischen Schwachstellen. Darüber hinaus ist Erfahrung bei der Beurteilung der eingesetzten individuellen IT-Anwendungen hinsichtlich Vertraulichkeit, Integrität bzw. Verfügbarkeit notwendig. Eine Analyse der aktuellen Netzsituation besteht im Wesentlichen aus einer Strukturanalyse, einer Schutzbedarfsfeststellung und einer Schwachstellenanalyse.

Strukturanalyse
Diese besteht aus einer Analyse der nach 10.6.2 Ist-Aufnahme der aktuellen Netzsituation angelegten Dokumentationen. Die Strukturanalyse muss von einem Analyseteam durchgeführt werden, das in der Lage ist, alle möglichen Kommunikationsbeziehungen nachzuvollziehen oder auch herleiten zu können. Als Ergebnis muss das Analyseteam die Funktionsweise des Netzes verstanden haben und über die prinzipiellen Kommunikationsmöglichkeiten informiert sein. Häufig lassen sich bei der Strukturanalyse bereits konzeptionelle Schwächen des Netzes identifizieren.

Detaillierte Schutzbedarfsfeststellung
Bei besonders schutzwürdigen Applikationen sind in einer detaillierten Schutzbedarfsfeststellung zusätzlich die Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität in einzelnen Netzbereichen bzw. Segmenten zu berücksichtigen.

309

Hierzu ist es notwendig festzustellen, welche Anforderungen auf Grund der verschiedenen IT-Verfahren bestehen und wie diese auf die gegebene Netzsegmentierung Einfluss nehmen. Als Ergebnis muss erkenntlich sein, in welchen Netzsegmenten besondere Sicherheitsanforderungen bestehen.

Analyse von Schwachstellen im Netz
Basierend auf den bisher vorliegenden Ergebnissen erfolgt eine Analyse der Schwachpunkte des Netzes. Hierzu gehört insbesondere bei entsprechenden Verfügbarkeitsanforderungen die Identifizierung von nicht redundant ausgelegten Netzkomponenten (SinglePoint-of-Failures). Weiterhin müssen die Bereiche benannt werden, in denen die Anforderungen an Verfügbarkeit, Vertraulichkeit oder Integrität nicht eingehalten werden können bzw. besonderer Aufmerksamkeit bedürfen. Zudem ist festzustellen, ob die gewählte Segmentierung hinsichtlich Bandbreite und Performance geeignet ist. Es ist zu beachten, dass diese Maßnahme insbesondere in der Designphase für ein neues Netz oder einen neuen Netzteil sinnvoll ist, Änderungen in bestehenden Netzen können aus wirtschaftlichen Aspekten oft sehr schwierig sein. [eh SYS 6.4]

10.6.4 Entwicklung eines Netzkonzeptes
ISO Bezug: 27002 10.6.1, 11.4 Um den Anforderungen bezüglich Verfügbarkeit (auch Bandbreite und Performance), Vertraulichkeit und Integrität zu genügen, muss der Aufbau, die Änderung bzw. die Erweiterung eines Netzes sorgfältig geplant werden. Hierzu dient die Erstellung eines Netzkonzeptes. Die Entwicklung eines Netzkonzeptes unterteilt sich in einen analytischen und einen konzeptionellen Teil:

Analyse
Zunächst ist zu unterscheiden, ob ein bestehendes Netz zu erweitern bzw. zu verändern ist oder ob das Netz vollständig neu aufgebaut werden soll.

310

Im ersten Fall sind vorab die Maßnahmen 10.6.2 Ist-Aufnahme der aktuellen Netzsituation und 10.6.3 Analyse der aktuellen Netzsituation zu bearbeiten. Im zweiten Fall entfallen diese Maßnahmen. Stattdessen sind die Anforderungen an die Netzkommunikation zu ermitteln sowie eine Schutzbedarfsfeststellung des zukünftigen Netzes durchzuführen. Zur Ermittlung der Kommunikationsanforderungen ist der zukünftig zu erwartende Daten- und Verkehrsfluss zwischen logischen oder organisatorischen Einheiten festzustellen, da die zu erwartende Last die Segmentierung des zukünftigen Netzes beeinflussen muss. Die notwendigen logischen bzw. physikalischen Kommunikationsbeziehungen (dienste-, anwender-, gruppenbezogen) sind ebenfalls zu eruieren und die Kommunikationsübergänge zur LAN/LAN-Kopplung oder über ein WAN zu ermitteln. Die Schutzbedarfsanforderungen des Netzes werden aus denen der geplanten oder bereits bestehenden IT-Verfahren abgeleitet. Daraus werden physikalische und logische Segmentstrukturen gefolgert, so dass diesen Anforderungen (z.B. hinsichtlich Vertraulichkeit) durch eine Realisierung des Netzes Rechnung getragen werden kann. Zum Beispiel bestimmt der Schutzbedarf einer IT-Anwendung die zukünftige Segmentierung des Netzes. Schließlich muss versucht werden, die abgeleiteten Kommunikationsbeziehungen mit den Schutzbedarfsanforderungen zu harmonisieren. Unter Umständen sind hierzu Kommunikationsbeziehungen einzuschränken, um dem festgestellten Schutzbedarf gerecht zu werden. Abschließend sind die verfügbaren Ressourcen zu ermitteln. Hierzu gehören sowohl Personalressourcen, die erforderlich sind, um ein Konzept zu erstellen und umzusetzen bzw. um das Netz zu betreiben, als auch die hierfür notwendigen finanziellen Ressourcen. Die Ergebnisse sind entsprechend zu dokumentieren.

Konzeption
Im nächsten Schritt sind die Netzstruktur und die zu beachtenden Randbedingungen zu entwickeln. Dabei sind neben den oben genannten Gesichtspunkten auch die künftig zu erwartenden Anforderungen (z.B. hinsichtlich Bandbreite) sowie die örtlichen Gegebenheiten zu berücksichtigen. Die Erstellung eines Netzkonzeptes erfolgt analog 10.6.2 Ist-Aufnahme der aktuellen Netzsituation und besteht danach prinzipiell aus den folgenden Schritten, wobei diese Schritte nicht in jedem Fall streng aufeinander folgend ausgeführt werden können. In einigen Teilen beeinflussen sich die Ergebnisse der Schritte gegenseitig, so dass eine regelmäßige Überprüfung und Konsolidierung der Teilergebnisse vorgenommen werden muss. 311

• • •

Konzeption der Netztopographie und der Netztopologie, der physikalischen und logischen Segmentierung Konzeption der verwendeten Netzprotokolle Konzeption von Kommunikationsübergängen im LAN und WAN

[eh SYS 6.5]

10.6.5 Entwicklung eines Netzmanagementkonzeptes
ISO Bezug: 27002 10.6.1, 10.10 Netzmanagement umfasst die Gesamtheit der Vorkehrungen und Aktivitäten zur Sicherstellung des effektiven Einsatzes eines Netzes. Hierzu gehört beispielsweise die Überwachung der Netzkomponenten auf ihre korrekte Funktion, das Monitoring der Netzperformance und die zentrale Konfiguration der Netzkomponenten. Netzmanagement ist in erster Linie eine organisatorische Problemstellung, deren Lösung mit technischen Mitteln - einem Netzmanagementsystem lediglich unterstützt werden kann. Abzugrenzen vom Netzmanagement ist das Systemmanagement, welches sich in erster Linie mit dem Management verteilter Systeme befasst. Hierzu gehören beispielsweise eine zentrale Verwaltung der Benutzer/innen, Softwareverteilung, Management der Anwendungen usw. In einigen Bereichen, wie z.B. dem Konfigurationsmanagement (dem Überwachen und Konsolidieren von Konfigurationen eines Systems oder einer Netzkomponente) sind Netz- und Systemmanagement nicht klar zu trennen. In der ISO/IEC-Norm 7498-4 bzw. als X.700 der ITU-T [ITU-T] ist ein Netz- und Systemmanagement-Framework definiert. Vor der Beschaffung und dem Betrieb eines solchen Netzmanagementsystems ist im ersten Schritt ein Konzept zu erstellen, in dem alle Sicherheitsanforderungen an das Netzmanagement formuliert und angemessene Maßnahmen für den Fehleroder Alarmfall vorgeschlagen werden. Dabei sind insbesondere die folgenden Bestandteile eines Netzmanagementkonzeptes bei der Erstellung zu berücksichtigen und in einem Gesamtzusammenhang darzustellen:

• • • • •
312

Performancemessungen zur Netzanalyse (siehe 10.6.3 Analyse der aktuellen Netzsituation ), Reaktionen auf Fehlermeldungen der überwachten Netzkomponenten, Fernwartung / Remote-Control, insbesondere der aktiven Netzkomponenten, Generierung von Trouble-Tickets und Eskalation bei Netzproblemen, Protokollierung und Audit (Online und/oder Offline),

• • •

Einbindung eventuell vorhandener proprietärer Systeme bzw. von Systemen mit unterschiedlichen Managementprotokollen (z.B. im Telekommunikationsbereich), Konfigurationsmanagement aller im Einsatz befindlichen IT-Systeme, Verteilter Zugriff auf die Netzmanagementfunktionalitäten. (Für die Administration oder für das Audit kann ein Remotezugriff auf die Netzmanagementfunktionalitäten notwendig sein. Hier ist insbesondere eine sorgfältige Definition und Vergabe der Zugriffsrechte notwendig.)

[eh SYS 6.6]

10.6.6 Sicherer Betrieb eines Netzmanagementsystems
ISO Bezug: 27002 10.6.1, 10.6.2 Für den sicheren Betrieb eines Netzmanagementtools oder eines komplexen Netzmanagementsystems, welches beispielsweise aus mehreren verschiedenen Netzmanagementtools zusammengesetzt sein kann, ist die sichere Konfiguration aller beteiligten Komponenten zu überprüfen und sicherzustellen. Hierzu gehören die Betriebssysteme, auf denen das oder die Netzmanagementsysteme betrieben werden, die zumeist notwendigen externen Datenbanken für ein Netzmanagementsystem, das verwendete Protokoll und die aktiven Netzkomponenten selbst. Vor dem Betrieb eines Netzmanagementsystems muss die Ermittlung der Anforderungen an den Betrieb und die Erstellung eines Netzmanagementkonzeptes stehen (siehe 10.6.5 Entwicklung eines Netzmanagementkonzeptes ). Für den sicheren Betrieb eines Netzmanagementsystems sind folgende Daten relevant:

• • • •

Konfigurationsdaten des Netzmanagementsystems, die sich in entsprechend geschützten Verzeichnissen befinden müssen. Konfigurationsdaten der Netzkomponenten (Metakonfigurationsdateien), die sich ebenfalls in entsprechend geschützten Verzeichnissen befinden müssen. Passwortdateien für das Netzmanagementsystem. Hierbei ist beispielsweise auf die Güte des Passwortes und die Möglichkeit einer verschlüsselten Speicherung des Passwortes zu achten. Eine Administration der aktiven Netzkomponenten über das Netz sollte dann eingeschränkt werden und eine Administration über die lokalen Schnittstellen erfolgen, wenn die Erfüllung der Anforderungen an Vertraulichkeit und Integrität der Netzmanagementinformationen nicht gewährleistet werden kann. In diesem Fall ist auf ein zentrales Netzmanagement zu verzichten.

[eh SYS 6.7]

313

10.6.7 Sichere Konfiguration der aktiven Netzkomponenten
ISO Bezug: 27002 10.6.1, 11.4.4, 11.7.2 Neben der Sicherheit von Serversystemen und Endgeräten wird die eigentliche Netzinfrastruktur mit den aktiven Netzkomponenten in vielen Fällen vernachlässigt. Gerade zentrale aktive Netzkomponenten müssen jedoch sorgfältig konfiguriert werden. Denn während durch eine fehlerhafte Konfiguration eines Serversystems nur diejenigen Benutzer/innen betroffen sind, die die entsprechenden Dienste dieses Systems nutzen, können bei einer Fehlkonfiguration eines Routers größere Teilnetze bzw. sogar das gesamte Netz ausfallen oder Daten unbemerkt kompromittiert werden. Im Rahmen des Netzkonzeptes (siehe 10.6.4 Entwicklung eines Netzkonzeptes ) sollte auch die sichere Konfiguration der aktiven Netzkomponenten festgelegt werden. Dabei gilt es insbesondere Folgendes zu beachten:

• • •

Für Router und Layer-3-Switching muss ausgewählt werden, welche Protokolle weitergeleitet und welche nicht durchgelassen werden. Dies kann durch die Implementation geeigneter Filterregeln geschehen. Es muss festgelegt werden, welche IT-Systeme in welcher Richtung über die Router kommunizieren. Auch dies kann durch Filterregeln realisiert werden. Sofern dies von den aktiven Netzkomponenten unterstützt wird, sollte festgelegt werden, welche IT-Systeme Zugriff auf die Ports der Switches und Hubs des lokalen Netzes haben. Hierzu wird die MAC-Adresse des zugreifenden ITSystems ausgewertet und auf ihre Berechtigung hin überprüft.

Für aktive Netzkomponenten mit Routing-Funktionalität ist außerdem ein geeigneter Schutz der Routing-Updates erforderlich. Diese sind zur Aktualisierung der Routing-Tabellen erforderlich, um eine dynamische Anpassung an die aktuellen Gegebenheiten des lokalen Netzes zu erreichen. Dabei kann man zwei verschiedene Sicherheitsmechanismen unterscheiden:

Passwörter Die Verwendung von Passwörtern schützt die so konfigurierten Router vor der Annahme von Routing-Updates durch Router, die nicht über das entsprechende Passwort verfügen. Hierdurch können also Router davor geschützt werden, falsche oder ungültige Routing-Updates anzunehmen. Der Vorteil von Passwörtern gegenüber den anderen Schutzmechanismen ist ihr geringer Overhead, der nur wenig Bandbreite und Rechenzeit benötigt. Kryptographische Prüfsummen

314

Prüfsummen dienen zur Wahrung der Integrität von gültigen Routing-Updates, bzw. Message Authentication Codes schützen vor deren unbemerkten Veränderungen. Dies wird in der Regel bereits durch das Routing Protokoll gewährleistet. Vgl. auch den NSA „Router Security Configuration Guide“ [NSA-CIS2] . [eh SYS 6.8]

10.6.8 Festlegung einer Sicherheitsstrategie für ein ClientServer-Netz
ISO Bezug: 27002 6.2.3, 8.2.2, 8.3.3, 10.1, 10.6, 10.9, 10.10, 11.1, 11.2, 11.4.1, 11.5, 11.7.1 Nachfolgend wird eine methodische Vorgehensweise aufgezeigt, mittels derer eine umfassende Sicherheitsstrategie für ein Client-Server-Netz entwickelt werden kann. Abhängig vom verwendeten Betriebssystem und den eingesetzten Konfigurationen ist für die jeweilige Ausprägung individuell zu entscheiden, welche der beschriebenen Schritte anzuwenden sind. In der Sicherheitsstrategie muss aufgezeigt werden, wie ein Client-Server-Netz für die jeweilige Organisation sicher aufgebaut, administriert und betrieben wird. Nachfolgend werden die einzelnen Entwicklungsschritte einer solchen Strategie vorgestellt:

Definition der Client-Server-Netzstruktur Im ersten Schritt sind die logische Struktur des Client-Server-Netzes, insbesondere die Zuordnung der Server und der Netz-Domänen festzulegen. Nach Möglichkeit sollte auf die Verwendung von Peer-to-Peer-Funktionalitäten verzichtet werden, da diese die Sicherheit des Client-Server-Netzes beeinträchtigen können. Sofern sich dies jedoch nicht vermeiden lässt, sind verbindliche Regelungen für die Nutzung von Peer-to-Peer-Funktionalitäten zu treffen. Regelung der Verantwortlichkeiten Ein Client-Server-Netz sollte von geschulten Netzadministratoren nebst Stellvertreterinnen/Stellvertretern sicher betrieben werden. Diese allein dürfen Sicherheitsparameter im Netz verändern. Sie sind z.B. dafür zuständig, auf den Servern den entsprechenden Verantwortlichen Administrationsrechte und -werkzeuge zur Verfügung zu stellen, damit diese die Vergabe von Dateiund Verzeichnisberechtigungen, die Freigabe der von anderen benötigten Verzeichnisse bzw. Anwendungen, den Aufbau von Benutzergruppen und -accounts sowie die Einstellung der Systemrichtlinien für Benutzer/innen, Zugriffskontrolle und Überwachung vornehmen können. Die Verantwortlichkeiten der einzelnen Benutzer/innen im Client-Server-Netz sind unter Schritt 11 dargestellt. 315

Festlegung von Namenskonventionen Um die Verwaltung des Client-Server-Netzes zu erleichtern, sollten eindeutige Namen für die Rechner, Benutzergruppen und die Benutzer/innen verwendet werden. Zusätzlich sollten Namenskonventionen für die Freigabenamen von Verzeichnissen oder Druckern eingeführt werden. Sollen keine Rückschlüsse auf den Inhalt eines freigegebenen Verzeichnisses möglich sein, sind entsprechende Pseudonyme zu verwenden. Festlegung der Regeln für Benutzeraccounts Vor der Einrichtung von Benutzeraccounts sollten die Restriktionen, die für alle bzw. für bestimmte dieser Accounts gelten sollen, festgelegt werden. Dies betrifft insbesondere die Regelungen für Passwörter und für die Reaktion des Systems auf fehlerhafte Login-Vorgänge. Einrichtung von Gruppen Zur Vereinfachung der Administration sollten Benutzeraccounts, für die die gleichen Anforderungen gelten, zu Gruppen zusammengefasst werden. Benutzerrechte sowie Datei-, Verzeichnis- und Freigabeberechtigungen und ggf. weitere vordefinierte Funktionen werden dann den Gruppen und nicht einzelnen Benutzeraccounts zugeordnet. Die Benutzeraccounts erben die Rechte und Berechtigungen der Gruppen, denen sie angehören. So ist es z.B. denkbar, alle Mitarbeiter/innen einer Abteilung in einer Gruppe zusammenzufassen. Eine Zuweisung von Benutzerrechten und -berechtigungen an einzelne Benutzer/ innen sollte nur erfolgen, wenn dies ausnahmsweise unumgänglich ist. Festlegung von Benutzerrechten Rechte gestatten einem/einer Benutzer/in die Ausführung bestimmter Aktionen auf dem System. Sie beziehen sich auf das gesamte System, sind keinem speziellen Objekt zugeordnet und können die Berechtigungen für ein Objekt außer Kraft setzen, da ein Recht Vorrang vor allen Datei- und Verzeichnisberechtigungen haben kann. Festlegung der Vorgaben für Protokollierung Bei der Konfiguration der Protokollierung ist zu beachten, dass ein Mehr an Protokollierung nicht unbedingt auch die Sicherheit des überwachten Systems erhöht. Protokolldateien, die nicht ausgewertet werden oder die auf Grund ihres Umfangs nur mit großem Aufwand auswertbar sind, führen nicht zu einer besseren Kontrolle der Systemabläufe, sondern sind letztlich nutzlos. Aus diesen Gründen sollte die Protokollierung so eingestellt werden, dass sie im Normalfall nur die wirklich bedeutsamen Ereignisse aufzeichnet. Dabei sind selbstverständlich die gesetzlichen Vorgaben, insbesondere die Anforderungen aus dem Datenschutzgesetz, vorrangig zu beachten (vgl. dazu auch Kapitel 10.10 Protokollierung und Monitoring ). Regelungen zur Datenspeicherung

316

welche Verantwortung die einzelnen Administratoren im Client-Server-Netz übernehmen müssen. welche Dateien für den Betrieb freizugeben und welche Zugriffsrechte ihnen zuzuweisen sind. wo Benutzerdaten gespeichert werden. Benutzer/innen in jeweils eigenen Unterverzeichnissen abgelegt werden. welche Verzeichnisse und ev. Einrichtung von Projektverzeichnissen Um eine saubere Trennung von benutzer. sofern diese explizit festgelegt und nicht von Voreinstellungen des übergeordneten Verzeichnisses übernommen werden. sofern ihnen Rechte zur Ausführung administrativer Funktionen gegeben werden. sollte eine geeignete Verzeichnisstruktur festgelegt werden. Verantwortlichkeiten für Administratoren und Benutzer/innen im ClientServer-Netz Neben der Wahrnehmung der Netzmanagementaufgaben (siehe Pkt. 2) müssen weitere Verantwortlichkeiten festgelegt werden. dass Benutzerdaten nur auf einem Server abgelegt werden.und projektspezifischen Daten untereinander sowie von den Programmen und Daten des Betriebssystems durchzusetzen. das Hinterlegen und den Wechsel von Passwörtern und die Durchführung von Datensicherungen. mit der eine projekt. bestimmte Benutzerdaten nur auf der lokalen Festplatte abzulegen. • Auch die Endbenutzer/innen müssen in einem Client-Server-Netz bestimmte Verantwortlichkeiten übernehmen. Erst nach ausreichender Schulung kann der Echtbetrieb aufgenommen werden. Dies gilt analog für die Freigabe von Druckern. Vergabe der Zugriffsrechte Es ist festzulegen. In der Regel beschränken sich diese Verantwortlichkeiten jedoch auf die Vergabe von Zugriffsrechten auf die eigenen Dateien. Es ist festzulegen. So ist denkbar. 317 .und benutzerbezogene Dateiablage unterstützt wird. Eine Datenspeicherung auf der lokalen Festplatte ist bei diesem Modell nicht erlaubt. Eine generelle Empfehlung ist hier nicht möglich. Möglich ist aber auch. welche Benutzer/innen zu welchen Punkten geschult werden müssen. So können beispielsweise zwei Hauptverzeichnisse \Projekte und \Benutzer angelegt werden. Dies können zum Beispiel Verantwortlichkeiten sein für • • • • die Auswertung der Protokolldateien auf den einzelnen Servern oder Clients. Schulung Abschließend muss festgelegt werden. Insbesondere die Administratoren sind hinsichtlich der Verwaltung und der Sicherheit des Systems gründlich zu schulen. Nach welcher Strategie verfahren werden soll. muss jeweils im konkreten Einzelfall festgelegt werden. unter denen dann die Dateien und Verzeichnisse der Projekte bzw. die Vergabe von Zugriffsrechten.• • • Es ist festzulegen.

Bei der Schlüssellänge ist es sinnvoll den Schlüssel mit der größten Länge zu wählen. Da WEP-Schlüssel in kürzester Zeit kompromittiert werden können. bieten Schutz vor Zugriffen durch Dritte. ist zu verhindern. statischer Schlüssel verwendet. PDAs. d. Der Einsatz von Richtantennen hilft dabei die unbeabsichtigte räumliche Ausstrahlung zu unterbinden.2 (teilw. Somit soll die Option des Sendens der SSID deaktiviert werden.6. über den Knoten an das Netz verbinden. h. so dass die Schlüssel manuell administriert werden müssen. Folgende Maßnahmen sind zu beachten. so genannte Wireless LAN (WLAN) – Lösungen ergänzen zunehmend LAN Netzwerke. 11. Die steigende Zahl von portablen Computern (Notebooks. Deaktivieren des Sendens der Service Set ID: Die Service Set ID (SSID) ist ein Name des WLANs. sofern die 318 . Testen des Umkreises: Der mögliche Empfang im Umkreis der Organisation muss überprüft werden.4 Drahtlose Netzwerke bzw.).) unterstreicht die Forderung nach einem WLAN. Smartphones etc. Sicherheitstechnisch entstehen neue Gefährdungen und es sind einige Maßnahmen zu beachten.6. Zum einen bieten sie Flexibilität bei der Arbeitsplatzgestaltung und zum anderen sind für deren Aufbau keine aufwendigen Verkabelungsarbeiten notwendig. sollte WEP nicht mehr eingesetzt werden.10] 10.Die so entwickelte Sicherheitsstrategie ist zu dokumentieren und im erforderlichen Umfang den Benutzerinnen/Benutzern des Client-Server-Netzes mitzuteilen. [eh SYS 6. Weiterhin sieht WEP kein dynamisches Schlüsselmanagement vor. Bei WEP wird nur ein einziger. Bei unerwünschten Reichweiten müssen entsprechende Gegenmaßnahmen ergriffen werden. Weiters ist sie laufend etwaigen Veränderungen im Einsatzumfeld anzupassen. um nicht durch die Einführung von WLANs die Sicherheit des gesamten lokalen Netzwerkes zu kompromittieren.9 Wireless LAN (WLAN) ISO Bezug: 27002 10. die diese eindeutige SSID nicht kennen. in jeder WLAN-Komponente in einem Netz muss derselbe WEP-Schlüssel eingetragen sein. wenn es um die Installation und Konfiguration eines WLANs geht: • • • • Geeignete Positionierung und Ausrichtung der Zugriffspunkte und Antennen: Die Ausstrahlung soll über die Organisationsgrenzen hinweg weitgehend verhindert werden. Dessen Bekanntgabe an Knoten. Geeignete Verschlüsselungsoptionen aktivieren: Verschlüsselungsoptionen wie WiFi Protected Access (WPA).

Die Authentisierung erfolgt also auf Schicht 2. Daher sollten diese Passwörter eine hohe Komplexität und eine Länge von mindestens 20 Stellen besitzen. Die verwendbaren Schlüssellängen sollten demnach bei der Anschaffung der WLAN-Komponenten bereits berücksichtigt werden. WPA2 möglich. Die Nutzung der PSK ist in der Kombination mit WPA bzw. Für diese Schlüsselverwaltung und -verteilung greift IEEE 802.1X eine Schnittstelle zwischen Client. TKIP und CCMP sind symmetrische Verfahren.verwendeten Endgeräte dies zulassen. Bei WPA wird TKIP eingesetzt. ist zu empfehlen. die Schlüssel zum Schutz der Kommunikation oder zur Authentisierung mindestens alle drei bis sechs Monate zu wechseln. auf Access Points und Clients konfiguriert werden. Dictionary-Attacken.1X ist. Damit so etwas überhaupt funktioniert. Diese Passwörter werden über Hash-Funktionen in den PMK umgerechnet. Es besteht meist die Möglichkeit den gemeinsamen geheimen Schlüssel auch über Passwörter festzulegen. ist er anfällig gegenüber Wörterbuch. dass die Freischaltung eines Netzports erst dann erfolgt.11i auf einen anderen Standard zurück und zwar auf IEEE 802. Dynamische Schlüssel: Eine höhere Sicherheit bietet ein Mechanismus zur dynamischen Schlüsselverwaltung und -verteilung. 319 . Sollte WPA-PSK bzw. als Pre-Shared Key (PSK) bezeichnet. Diese Schnittstelle basiert auf dem Extensible Authentication Protocol (EAP) und einer Adaptierung dieses Protokolls für die Übertragung auf Layer 2 in LAN (als EAP over LAN. Ab einer gewissen Größe eines WLANs ist das Ausrollen eines neuen Schlüssels mit erheblichen Problemen verbunden. Hat ein solcher PSK eine zu geringe Komplexität (im Sinne der Länge des Schlüssels und der Zufälligkeit der Zeichen). WPA2-PSK verwendet werden. spezifiziert IEEE 802. Dieser Standard ist zur portbasierten Netzzugangskontrolle in kabelbasierten Netzen entworfen worden. Netzelement und einem Authentisierungssystem.1X. Dieser Schlüssel wird als Pairwise Master Key (PMK) bezeichnet. Grundsätzliche Idee in IEEE 802. alle Kommunikationspartner müssen daher einen gemeinsamen Schlüssel konfiguriert haben. wenn der Nutzer sich erfolgreich dem Netz gegenüber authentisiert hat. Der Pairwise Master Key (PMK) kann über zwei verschiedene Wege auf die beteiligten WLANKomponenten gelangen: • • Statische Schlüssel: Der PMK kann (analog zu WEP) manuell als ein statischer Schlüssel. Bei IEEE 802.11i (WPA2) kommt CCMP als kryptographisches Verfahren zur Integritätssicherung und zur Verschlüsselung der Nutzdaten hinzu. das die Nutzung dynamischer kryptographischer Schlüssel statt ausschließlich statischer bei WEP erlaubt. EAPOL bezeichnet). dass regelmäßig und insbesondere nach einer erfolgreichen Authentifizierung des WLAN-Clients am Access Point ein neuer Schlüssel (PMK) bereitgestellt wird. Hand in Hand geht damit die Festlegung einer Funktion zur Schlüsselverwaltung und -verteilung. der dafür sorgt.bzw.

Diese Erweiterung berücksichtigt aktuelle Weiterentwicklungen und Marktveränderungen im Bereich WLAN.6. 11. SNMP Community String. Angreifern durchaus bekannt sind (vgl.• • • • • • • Generell sollten in regelmäßigen Abständen. Dies bietet über WEP/ WEP+/WPA/o. Für den Bereich der Öffentlichen Verwaltung sind entsprechende Vorgaben und WLAN-Policies der Stabsstelle IKT-Strategie des Bundes (CIO) zu beachten (z. MAC-Adressfilterung am Zugriffspunkt: Der Zugang zu Zugriffspunkten kann bei vielen Geräten auch über die MACAdresse kontrolliert werden. wodurch die vertraulichen Inhalte mittels IPSEC oder SSL/TLS geschützt werden. die Schlüsselinformationen bei allen WLAN-Komponenten ausgetauscht werden. Administrator-Passwort – sind werksseitig voreingestellt und müssen sofort geändert werden. Nutzung eines Virtual Private Networks (VPN): Im WLAN sollte möglichst ein VPN etabliert werden. Einsatz einer zusätzlichen Firewall: Eine Firewall zwischen dem Zugriffspunkt und dem eigentlichen Netzwerk kann die Sicherheit erhöhen. um dadurch eventuell auftretende Schwierigkeiten zu erkennen. Bei größeren Installationen sollte hierfür eine geeignete Funktion in der zentralen WLAN-Management-Lösung enthalten sein.: [IKT-WLAN] [IKT-CLWLAN] ). Weiterführende Informationen.siehe weiter unten).3. sind den von der Stabsstelle IKT-Strategie des Bundes (CIO) herausgegebenen Empfehlungen zur Verwendung von WLANs zu entnehmen [IKT-WLAN] . 320 . Direkten Zugriff auf das Intranet über das WLAN sperren: Ist der Zugang über WLAN nicht durch starke Methoden der Authentifikation der Knoten und Verschlüsselung gesichert. hinausgehend eine Ende-zu-Ende Verschlüsselung.B. speziell aber nicht nur für die Organisationen der öffentlichen Verwaltung. mindestens jedoch vierteljährlich. VPN .1X. etwa nach IEEE 802.ä. Ändern von Standardeinstellungen (Passwörtern): Standardeinstellungen der Zugriffspunkte – etwa Service Set ID (SSID). um den Arbeitsaufwand gering zu halten. Darüber hinaus sind zusätzliche Maßnahmen sinnvoll (z.10 ). Kapitel 10. ist er als RAS anzusehen (vgl. Die darin enthaltene Checkliste ermöglicht ein einfaches und pragmatisches Anwenden der Empfehlungen.1 Regelungen des Passwortgebrauches ). Authentifikation der Knoten: Möglichkeiten der Authentifikation der Knoten sind zu aktivieren. In Ergänzung zu diesen allgemeine Informationen zu WLANs in der Verwaltung wurde von der Stabsstelle IKT-Strategie des Bundes (CIO) die so genannte „Checkliste WLAN“ [IKT-CLWLAN] veröffentlicht. da die Standardpasswörter Angreiferinnen bzw. Der Wechsel der Schlüsselinformationen an allen WLAN-Komponenten sollte bereits während der Planungsphase genau getestet werden. Dies sollte nach Möglichkeit genutzt werden.B.

2 Im Folgenden ist mit Remote Access generell jede Art von Fernzugriff auf Geschäftsinformationen (mit zB auch Mobile-Computing. der Managementzugriff auf entfernte Rechner (z.14] 10.4.B. zur Unterstützung von Mitarbeiterinnen/ Mitarbeitern im Außendienst oder auf Dienstreise). Dies gilt insbesondere für Anschlüsse an das Internet. da prinzipiell nicht nur ein Informationsfluss von außen in das zu schützende Netz stattfinden kann. Darüber hinaus gefährdet die Möglichkeit remote. inwieweit das zu schützende Netz in anschließbare. 321 .6. sich mit einem lokalen Rechner an ein entferntes Rechnernetz zu verbinden und dessen Ressourcen zu nutzen. sondern auch in die andere Richtung. Durch Remote Access wird es einem/einer Benutzer/in ermöglicht.B.B. Dies wird meist mittels einer VPN-Verbindung zwischen einzelnen IT-Systemen.7. das Anbinden von ganzen LANs (z. lässt aber auch neue Gefährdungen entstehen. Dabei ist auch zu prüfen.B.Konzeption ISO Bezug: 10. aus dem Internet).2. zur Fernwartung).2. Befehle auf Rechnern im lokalen Netz ausführen zu lassen. von einem entfernten Rechner aus (z. Generell lassen sich für den Einsatz von entfernten Zugängen im Wesentlichen folgende Szenarien unterscheiden: • • • • das Anbinden einzelner stationärer Arbeitsplatzrechner (z. für Telearbeit einzelner Mitarbeiter/innen).B.h.Geräten) über ein unsicheres resp. verschiedenen Standorten einer Institution oder auch zu Kunden erreicht. d. 11. Ein zu schützendes Teilnetz sollte daher nur dann an ein anderes Netz angeschlossen werden.10 Remote Access (VPN) . als ob eine direkte LAN-Koppelung bestehen würde. öffentliches Netz gemeint. zur Anbindung von lokalen Netzen von Außenstellen oder Filialen).6. nicht anschließbare und bedingt anschließbare Teile segmentiert werden muss. die Integrität und die Verfügbarkeit der lokalen Rechner und dadurch indirekt auch die Vertraulichkeit der lokalen Daten. das Anbinden mobiler Rechner (z. Die Vernetzung vorhandener Teilnetze mit globalen Netzen wie dem Internet führt zu einem neuen Informationsangebot.[eh SYS 6. 11. wenn dies unbedingt erforderlich ist.

bzw.bzw. Durch die Nutzung von alternativen oder redundanten VPN-(bzw. Der reibungslose Ablauf von Geschäftsprozessen kann bei Totalausfall oder bei Verbindungen mit nicht ausreichender Bandbreite unter Umständen beeinträchtigt werden. die das Internet als Kommunikationsmedium nutzen. um den Systemzugang für entfernte Benutzer/innen reglementieren zu können (z.oder RAS-Verbindungen übertragen werden. RAS-System eindeutig zu identifizieren sein. Zugriffskontrolle: Sind die entfernten Benutzer/innen authentisiert. ihre Remote-Zugriffe auch zu kontrollieren. 322 . die für lokale Netzressourcen durch befugte Administratoren festgelegt wurden. so muss das System in der Lage sein. Dazu müssen die Berechtigungen und Einschränkungen. Ihre Identität muss jeweils durch einen Authentisierungsmechanismus bei jedem Verbindungsaufbau zum lokalen Netz sichergestellt werden. RAS-Verbindung Nutzdaten übertragen werden. Integrität. so ist die Verfügbarkeit des Zugangs von besonderer Bedeutung. RAS)Zugängen kann diese Gefahr bis zu einem gewissen Grad verringert werden. RAS-Kommunikation kommt jedoch eine besondere Bedeutung zu. Dies gilt insbesondere für entfernte Zugänge. Im Rahmen des Systemzugangs müssen weitere Kontrollmechanismen angewandt werden. die über VPN. Generell sollen auch für Daten. Unter dem Gesichtspunkt der Sicherheit sind für entfernte Zugänge folgende Sicherheitsziele zu unterscheiden: • • • • Zugangssicherheit: Entfernte Benutzer/innen müssen durch das VPN.Für diese Szenarien bieten VPN-Technolgien eine einfache Lösung: entfernte Benutzer/innen verbinden sich über das Internet mit Hilfe von VPN-Clients mit dem Firmennetz. Der Absicherung der VPN. auch für entfernte Benutzer/innen durchgesetzt werden. da zur Abwicklung der Kommunikation verschiedene Kommunikationsmedien in Frage kommen. die im lokalen Netz geltenden Sicherheitsanforderungen bezüglich Kommunikationsabsicherung (Vertraulichkeit. Kommunikationssicherheit: Bei einem Remote-Zugriff auf lokale Ressourcen sollen im Allgemeinen auch über die aufgebaute VPN.bzw. Verfügbarkeit: Wird der entfernte Zugang im produktiven Betrieb genutzt. Authentizität) durchsetzbar sein.oder Bandbreitengarantien gegeben werden. Alternative Möglichkeiten die heute nur mehr wenig genutzt werden sind RAS-Zugänge über Standleitungen oder Modem-Einwahl. die in der Regel nicht dem Hoheitsbereich des Betreibers des lokalen Netzes zuzurechnen sind. zeitliche Beschränkungen oder Einschränkung auf erlaubte entfernte Verbindungspunkte).B. da hier in der Regel keine Verbindungs.

B. Dabei ist auch zu klären. folgende Fragen zu klären: • • • Festlegung der Geschäftsprozesse: Als erstes muss geklärt werden. die zunächst als Einzelkomponenten abgesichert werden sollten. das sich in das bestehende Sicherheitskonzept eingliedert: das VPN (RAS)System muss einerseits bestehende Sicherheitsforderungen umsetzen und erfordert andererseits das Aufstellen neuer. End-to-End.6.a.6.10. MitarbeiterInnen auf Dienstreise.1 Durchführung einer VPN-Anforderungsanalyse ISO Bezug: 27002 10.(oder RAS-)Verbindung zwischen einzelnen IT-Systemen. sollte eine Anforderungsanalyse durchgeführt werden. Ziel der Anforderungsanalyse ist es einerseits. MitarbeiterInnen einer Zweigstelle). [eh Teil 2 5. 11. Festlegung der Anwendungszwecke: Es gibt viele unterschiedliche Nutzungsszenarien für VPNs. für welche Geschäftsprozesse das Virtuelle Private Netz (VPN) genutzt und welche Informationen darüber kommuniziert werden sollen. welche Arten von BenutzerInnen mit welchen Berechtigungen und welchen Vorkenntnissen das VPN nutzen sollen (z.. betrachtet werden. welche der betroffenen Anwendungen zeitkritisch oder bandbreitenintensiv sind. Zusätzlich zu der Absicherung der Systemkomponenten muss jedoch auch ein VPN (RAS)-Sicherheitskonzept erstellt werden. Festlegung der BenutzerInnen: Es ist zu klären. B. verschiedenen Standorten einer Institution oder auch zu Kunden eingerichtet wird. AußendienstmitarbeiterInnen.4 Bevor eine VPN. die die jeweiligen Prozesse unterstützen. alle im konkreten Fall in Frage kommenden Einsatzszenarien zu bestimmen und andererseits daraus Anforderungen an die benötigten Hardwareund Software-Komponenten abzuleiten. Daher muss geklärt werden. Im Rahmen der Anforderungsanalyse sind u. welche Einsatzzwecke unterstützt werden sollen und welche VPN-Typen dafür eingesetzt werden (z. wie die Durchführung von Fernwartungstätigkeiten. wie diese sicher identifiziert und authentisiert werden sollen.Ein VPN (RAS)-System besteht aus mehreren Komponenten. 323 . Site-toSite-.7] 10. Aus den Ergebnissen müssen die benötigten Anforderungen ermittelt und gemäß ihrer Bedeutung für das Unternehmen oder die Behörde priorisiert werden. Neben den Geschäftsprozessen müssen auch die Anwendungen.2. die Anbindung einzelner Mitarbeiter oder ganzer Standorte. VPN (RAS)-spezifischer Sicherheitsregeln. Hierbei muss auch erfasst werden.und End-to-Site-VPNs). Durch das Aufstellen und Durchspielen von Nutzungsszenarien können spezielle Anforderungen an die VPN-Architektur oder die VPN-Komponenten aufgedeckt werden.

empfiehlt es sich. Besitzen die betroffenen Anwendungen einen höheren Schutzbedarf bezüglich der Verfügbarkeit. sondern auch die Protokolle. von wo über das jeweilige VPN auf welches Netz und auf welche IT-Systeme zugegriffen werden darf. Neben diesen klassischen Diensten kann auch auf einem Terminalserver gearbeitet oder über VoIP telefoniert werden. welche Applikationen über ein VPN genutzt werden dürfen und welche nicht. In vielen Fällen existieren hierzu übergeordnete Regelungen oder Richtlinien. Hierfür muss Fachpersonal vorhanden sein. Beschränkung der Netze: Mit VPNs können verschiedene Netze durch Nutzung einer sicheren Verbindung zu einem logischen Netz zusammengefasst werden. Bei der VPN-Anforderungsanalyse sollte entschieden werden. wer zu benachrichtigen ist. mit denen die Informationen übertragen werden können. Erhöhte Anforderungen an die Verfügbarkeit lassen sich bei VPNs nicht immer durch technische Sicherheitsmaßnahmen abdecken. wer für die Administration und den Betrieb des VPNs zuständig ist . Es sollte daher festgelegt werden. 324 . Auswahl der genutzten Applikationen und -protokolle: Über ein VPN können unterschiedliche Arten von Informationen versendet und empfangen werden. Vertraulichkeit und Integrität: Je nach Schutzbedarf bezüglich der Vertraulichkeit und Integrität werden häufig besondere Anforderungen an das VPN gestellt. Je nach Konfiguration können dadurch alle IT-Systeme eines Netzes auf alle IT-Systeme oder nur auf bestimmte IT-Systeme der anderen Netze zugreifen. Es muss nicht nur entschieden werden.und zwar auf beiden Seiten des VPNs. dass zu jeder Zeit ausreichend schnell Informationen über das VPN ausgetauscht werden können. dass Netzfreigaben nur über SMB statt NFS eingebunden werden dürfen. Im Weiteren muss geklärt werden. die im Allgemeinen durch zusätzliche Sicherheitsmaßnahmen abgedeckt werden können. Dateien kopiert oder auf einen Webserver zugegriffen werden. Beispielsweise können E-Mails übertragen. Bei der Durchführung einer VPN-Anforderungsanalyse sollte daher festgelegt werden. das über entsprechendes Wissen verfügt. die bei der Beschaffung und beim Betrieb von VPN-Komponenten berücksichtigt werden müssen. sollte dies bei der Anforderungsanalyse berücksichtigt werden.• • • • • Regelung von Zuständigkeiten: Auch VPN-Komponenten müssen durch fachkundiges Personal administriert und gewartet werden. die nicht unter der eigenen Kontrolle stehen und somit nicht beeinflusst werden können. Beispielsweise kann festgelegt werden. da VPNs oft über Netze aufgebaut werden. Verfügbarkeit: Besonders bei einer Standortvernetzung wird häufig gewünscht. Um Informationen mit hohem Schutzbedarf bezüglich Vertraulichkeit und/oder Integrität zu übertragen. gemäß den Common Criteria zertifizierte VPN-Komponenten einzusetzen. welche Applikationen eingesetzt werden dürfen. wenn das VPN ausfällt oder wenn Anzeichen für einen Sicherheitsvorfall entdeckt werden.

11. dass diese technischen Zugriffsbeschränkungen nicht absolut zuverlässig sind. Da VPN-Verbindungen oft über ein WAN aufgebaut werden. Wenn dies aber nicht gewünscht wird.4 Ein VPN-Konzept kann grob in drei Teilbereiche unterteilt werden: • • • Organisatorisches Konzept Technisches Konzept Sicherheitskonzept 325 . Zu beachten ist jedoch. Ebenso bestehen an End-to-End-VPNs andere Anforderungen als an Site-to-Site-VPNs. Diese Punkte müssen nicht zwangsläufig pauschal für die gesamte Institution betrachtet.• • Bandbreite und Verzögerung: Ein VPN ermöglicht es. müssen für zeitkritische Anwendungen spezielle Voraussetzungen berücksichtigt werden. dass sich mobile Mitarbeiter von beliebigen Orten unterwegs ins Institutions-LAN einwählen können. Dies kann auch technisch unterstützt werden. sondern können auch differenziert auf einzelne Standorte oder Anwendungszwecke angewendet werden.2 Entwicklung eines VPN-Konzeptes ISO Bezug: 27002 10.6. besonders im Hinblick auf die verfügbare Bandbreite und Verzögerungen bei der Übertragung. Beispielsweise könnte nur der IP-Adressbereich eines oder weniger Provider zugelassen werden. [eh SYS 7. Besonders bei der Vernetzung von mehreren Standorten kommt häufig nicht jeder Liegenschaft die gleiche Priorität zu.10. auf Applikationen in einem entfernten Netz zuzugreifen. Vertraulichkeit. An kleine Vertriebsbüros werden beispielsweise meist andere Anforderungen bezüglich Verfügbarkeit gestellt als an Unternehmenszentralen. Geographische Beschränkungen: Ein VPN kann dazu dienen.2. Zusätzlich müssen also den Benutzern entsprechende organisatorische Vorgaben gemacht werden.1] 10. Bei einer Wählverbindung könnte anhand der Ländervorwahl gefiltert werden. Für die VPN-Anforderungsanalyse sollten die benötigten Bandbreiten. Verfügbarkeit. die zulässige Verzögerung sowie gegebenenfalls weitere Qualitätsmerkmale des Netzes berücksichtigt werden. von wo auf das LAN zugegriffen werden darf. Als Lösungsansatz könnten die verschiedenen Anwendungszwecke zum Beispiel bezüglich ihrer Anforderungen an Bandbreite.6. sollte festgelegt werden. Die Anforderungen für die geplanten Szenarien sind zu dokumentieren und mit den Netzadministratoren und dem technischen Personal abzustimmen. Integrität und Dienstgüte (Quality of Service oder kurz QoS) klassifiziert werden. Dies betrifft beispielsweise Zugriffe auf Terminalserver oder die Telefonie über VoIP.

wie und durch wen diese erfolgt.und Zugriffsberechtigungen müssen dokumentiert und bei Änderungen fortgeschrieben werden. Das organisatorische Konzept sollte folgende Punkte beinhalten bzw. Nicht jeder Ort. in Bezug auf Sicherheit und technischer Ausstattung) der entfernte Arbeitsplatz genügen muss. Außendienst-Tätigkeiten. Nachweis bestimmter Kenntnisse (z. Ein per Extranet angebundener Lieferant muss beispielsweise andere Zugriffrechte als eine angebundene Zweigstelle haben. welchen Ansprüchen (z. welche Voraussetzungen für die Mitgliedschaft in einer Gruppe erfüllt werden müssen. Gegenüber stationären Clients kommen bei mobilen Clients weitere Gefährdungen hinzu. z. für den VPN-Zugang unterschiedliche Benutzergruppen mit verschiedenen Berechtigungen zu definieren. damit von dort VPN-Verbindungen in das LAN der Institution erlaubt werden können. eine Negativliste von besonders ungeeigneten Standorten zu führen. Überprüfung. Für feste entfernte Standorte (wie Telearbeitsplätze) müssen Anforderungen festgelegt werden. Verwaltung. B. Wartungsarbeiten). wie und von wem die Benutzerkonten und die Zugriffsberechtigungen verwaltet und administriert werden (Berechtigungskonzept). Überwachung). die dann adaptiert werden können. Die Gruppenzugehörigkeit von einzelnen BenutzerInnen sollte durch ein entsprechendes Anforderungsprofil geregelt werden. das festlegt. Je nach geplantem Einsatzszenario kann es zweckmäßiger sein. Hotel-Business-Center oder öffentliche Verkehrsmittel gehören. Die Betriebsorte von VPN-Clients unterliegen häufig nicht der Kontrolle des LAN-Betreibers und besitzen daher auch ein besonderes Gefährdungspotenzial. Teilnahme an Schulungen) und eine Zustimmung durch Vorgesetzte. Je nach konkreter Situation ergibt sich naturgemäß ein speziell auf die jeweiligen organisatorischen und technischen Gegebenheiten zugeschnittener zusätzlicher Abstimmungsbedarf. Wie die Erlaubnis zum entfernten Zugriff reglementiert werden soll. von welchen Standorten aus VPN-Verbindungen zum Ziel-LAN aufgebaut werden dürfen. Es empfiehlt sich. regeln: • • • Es sollten die Verantwortlichkeiten für das jeweilige VPN festgelegt werden (Installation. Dazu können z. an dem die technischen Voraussetzungen zum VPN-Verbindungsaufbau vorhanden sind. Je nach organisatorischer Struktur müssen die Verantwortlichkeiten existierender Rollen erweitert oder neue Rollen geschaffen werden Es muss festgelegt werden. Mögliche Voraussetzungen sind der Einsatzzweck (z. Hotel-Foyers.Im Folgenden werden jeweils die wesentlichen Fragestellungen aufgezeigt. Die erteilten Zugangs. Daher müssen Regelungen getroffen werden. Oft existieren schon ähnliche Regelungen. muss jeweils innerhalb der Institution entschieden werden. für die Erlaubnis zur Nutzung von Internet-Zugängen. B. B. Das Konzept kann eine anfängliche sowie eine periodisch wiederkehrende Überprüfung der Räumlichkeiten und dortigen Technik vorsehen und regeln. B. ist dafür geeignet. B. 326 . die im Rahmen der Teilkonzepte beantwortet werden müssen. Telearbeit. die beschreiben.

Diese müssen entsprechend verbindlich verpflichtet werden. wie sich eine Nichtverfügbarkeit des Systems auswirkt und welche Ausfallzeiten hingenommen werden können.• • • • • • • Wird die Sicherheit von VPN-Zugängen verletzt. Um einem Missbrauch vorzubeugen. müssen die Benutzer über deren ordnungsgemäße Handhabung informiert werden. die tatsächlich für die Benutzer erforderlich sind. Outsourcing beachtet werden. Ebenso müssen auch die Administratoren sowohl für die eingesetzten Produkte gründlich ausgebildet als auch über VPNSicherheitsrisiken und Sicherheitsmaßnahmen aufgeklärt werden.3. 327 . In diesem Zusammenhang muss auch ermittelt werden. Dieser leitet sich aus dem Schutzbedarf der darüber übertragenen Informationen sowie der damit verbundenen IT-Komponenten ab. Durchführung. Den Administratoren muss nicht nur für den Betrieb des VPNs ausreichend Zeit zur Verfügung stehen. Die Anforderungen an die VPN-Sicherheitsmechanismen (z. Falls Authentisierungstoken zum Einsatz kommen sollen. wie Änderungen an der VPN-Konfiguration durchzuführen sind (Beispiel: Beantragung. Hierbei muss hinterfragt werden. Aus den Sicherheitszonen heraus dürfen nur die Zugriffe erlaubt werden. müssen in der VPN-Sicherheitsrichtlinie die Rechte und Pflichten von VPN-BenutzerInnen festgelegt werden. Der Schutzbedarf für das VPN muss ermittelt werden. B. kann dies unter Umständen die Kompromittierung des gesamten LANs nach sich ziehen. Haben externe Zulieferer oder Kunden eine Anbindung an das VPN. Authentisierung und Integritätssicherung) müssen definiert werden. den kompletten Betrieb eines VPNs aus der Hand zu geben. sollte jede/ rjede VPN-Benutzer/in eine besondere Schulung erhalten. die Konzeption von Maßnahmen zur Steigerung der Informationssicherheit beim VPN-Betrieb und die Einarbeitung in neue Komponenten. Bei Fremdbetrieb eines VPNs müssen die Anforderungen aus 10. so müssen unterschiedliche Sicherheitszonen definiert werden. Überprüfung der durchgeführten Veränderung). Für die VPNAdministration sollten deshalb Verfahren festgelegt werden. Überprüfung der geplanten Konfiguration. Ein weiterer wichtiger Punkt bei der Konzeption ist die grundsätzliche Frage. die beschreiben. Da beim entfernten Zugriff auf ein LAN besondere Sicherheitsrisiken durch die meist ungesicherte Umgebung eines VPN-Clients bestehen. die Sicherheitsregelungen einzuhalten. Allerdings ist es nicht immer vorteilhaft oder erwünscht. Eigenbetrieb des VPNs notwendig ist oder ob auf Fremdrealisierung bzw. Im Rahmen dieser Schulung sollen die BenutzerInnen einerseits für die spezifischen VPNGefährdungen sensibilisiert und andererseits im Umgang mit den technischen Geräten und der Software unterrichtet werden. Viele Dienstleister verfügen über hohe Kompetenz und Erfahrung in Bezug auf die Planung. ob eine Eigenrealisierung bzw. sondern auch für die Suche nach Informationen über aktuelle VPN-Sicherheitslücken. -betrieb zurückgegriffen wird. Einrichtung und den Betrieb von VPNs. ob starke Kryptographie an allen beteiligten Standorten rechtlich eingesetzt werden darf.

dedizierte Zugangsnetze (Access Networks) zu bilden. welche Teilnetze bei Nutzung eines VPN-Zugangs erreichbar sind. Die herkömmlichen VPNs stellen solche Verfahren standardmäßig. Dazu muss ein geeignetes Verfahren ausgewählt werden. wie das VPN durch Hardware. Es sollte überlegt werden. und die dafür verwendeten Zugangsprotokolle sind zu beschreiben. Die Auswahl ist davon abhängig. MPLS (Multi Protocol Label Switching) oder dedizierte Leitungen benötigt. Dies gilt besonders für Zugriffe auf Webserver oder E-Mail-Server über Browser. Das Sicherheitskonzept muss aufbauend auf der aktuellen Netzstruktur analysieren. Verschlüsselung durch Netzkoppelelemente: Neben der Absicherung der Kommunikation durch Software kann auch der Einsatz von verschlüsselnden Netzkoppelelementen (Router. welche Applikationen eingesetzt werden sollen. interne Firewall) in das produktive Netz zugegriffen werden kann. Die Komponenten werden lediglich durch ihre Funktion definiert.Das technische Konzept sollte folgende Punkte beinhalten bzw. Modems) erwogen werden.und SoftwareKomponenten technisch realisiert ist.und Software Alle Dienste und Protokolle. die die Einwahl in das LAN ermöglichen. regeln: • • • • • Es sollte beschrieben sein. TLS/SSL-Verschlüsselung: Zur Verschlüsselung kann auch TLS/ SSL eingesetzt werden. Die Bildung von Zugangsnetzen erfordert dabei die Anschaffung und Wartung zusätzlicher Hard. wie diese Zugangspunkte an das LAN angeschlossen werden. die standardmäßig TLS/SSL-gesicherte Kommunikation unterstützen. Für einen zeitkritischen Datenverkehr werden eventuell QoS (Quality of Service). Im Rahmen der Sicherheitskonzeption sind alle VPN-Zugangspunkte zum lokalen Netz zu erfassen und es ist zu beschreiben. Relevant sind hier unter anderem: • • • Tunneling: Die Kommunikation kann auf niedriger Protokollebene verschlüsselt werden (so genanntes Tunneling). Paketfilter bzw. wenn von der Verschlüsselung auf niedriger Protokollebene aus bestimmten Gründen kein Gebrauch gemacht werden kann. Es müssen geeignete Verschlüsselungsverfahren zum Schutz der Daten festgelegt werden. Diese sind besonders für den stationären Einsatz und zur Anbindung mehrerer Rechner sinnvoll. jedoch in unterschiedlicher Zahl und Ausprägung zur Verfügung. Zu beachten ist jedoch. die über den VPN-Zugang zugelassen werden. aus denen nur kontrolliert (über Router. sowie die darüber zugreifbaren Ressourcen sind zu dokumentieren. Im Rahmen einer nachgeschalteten Analyse vorhandener Systemkomponenten und am Markt beschaffbarer neuer Komponenten können die Elemente des Konzeptes tatsächlichen Geräten und Software-Produkten zugeordnet werden Alle potentiellen VPN-Endpunkte. 328 . da die Verschlüsselung transparent erfolgt und die Endsysteme nicht belastet werden.

B. • • • • auf welche anderen internen oder externen Netze oder IT-Systeme über ein VPN zugegriffen werden darf. anhand der Anforderungen muss entschieden werden. sollten geeignete Monitoring-Systeme eingeplant werden. Um einen stabilen Betrieb und eine kontinuierliche Verbesserung gewährleisten zu können. regeln: • • Für den Einsatz von VPN-Komponenten in Behörden und Unternehmen müssen geeignete Sicherheitsrichtlinien aufgestellt werden. Die aus den Monitoring-Systemen gewonnenen Erkenntnisse tragen wesentlich zur Feinabstimmung des VPN-Betriebs bei Das VPN-Sicherheitskonzept sollte folgende Punkte beinhalten bzw. Dazu sind auch eine Vielzahl von Randbedingungen festzulegen wie z. 329 . damit dieser weitere Schritte unternehmen kann Administratoren. geschult werden. dass bei einem Verdacht auf Sicherheitsprobleme ein Sicherheitsverantwortlicher hierüber informiert werden muss. Die korrekte Umsetzung der in der VPN-Sicherheitsrichtlinie beschriebenen Sicherheitsmaßnahmen sollte regelmäßig kontrolliert werden. konfigurieren und benutzen darf. welcher VPN-Typ realisiert werden soll. Sie müssen regelmäßig auf Aktualität überprüft und gegebenenfalls angepasst werden. • • • welche Informationen über VPNs übertragen werden dürfen. End-to-End.• • • dass die Netzkoppelelemente sorgfältig konfiguriert und gewartet werden müssen. aber auch BenutzerInnen von VPN-Komponenten sollten über VPN-Gefährdungen und die zu beachtenden Sicherheitsmaßnahmen informiert bzw. Es gibt verschiedene Arten von VPNs (Site-to-Site. Für alle VPN-Komponenten sollten Sicherheitsmaßnahmen und eine StandardKonfiguration festgelegt werden. wer in der Institution VPN-Komponenten installieren. End-to-Site). Diese Entscheidung hat in der Regel erheblichen Einfluss auf die Kosten. Alle VPN-BenutzerInnen sollten darauf hingewiesen werden. Es muss entschieden werden. Es sollte beschrieben sein. Auch bei direkten Einwahlverfahren beispielsweise über analoge Telefonnetze oder ISDN ist eine Verschlüsselung zum Schutz der Daten erforderlich. Diese VPN-spezifischen Sicherheitsrichtlinien müssen konform zum generellen Sicherheitskonzept und den allgemeinen Sicherheitsrichtlinien der Institution sein. Die VPN-spezifischen Vorgaben können in den vorhandenen Richtlinien ergänzt oder in einer eigenen Richtlinie zusammengefasst werden. wo die VPN-Komponenten benutzt werden dürfen. ob die Verbindung über dedizierte CarrierLeitungen realisiert werden muss.

BenutzerInnen sollten für VPN-Gefährdungen sowie für Inhalte und Auswirkungen der VPN-Richtlinie sensibilisiert werden. Wichtig ist auch. eine vorhandene Personal Firewall nicht abgeschaltet werden darf • • die Konfiguration der VPN-Clients nicht von den BenutzerInnen verändert werden darf. beispielsweise Verschlusssachen. Daneben sollte eine VPN-spezifische Richtlinie für Administratoren erstellt werden. es sei denn mit von dafür freigegebenen Passwort-Speicher-Tools stets ein Virenscanner aktiviert sein muss. Außerdem sollte die BenutzerInnenrichtlinie Angaben dazu enthalten. BenutzerInnen sollten darauf hingewiesen werden. an welche anderen internen und externen Netze oder IT-Systeme der VPNClient gekoppelt werden darf. kann es sinnvoll sein. Ungeeignete Standorte können je nach Einsatzzweck z. z. So ist es durchaus üblich. dass klar beschrieben wird. Darin sollte festgelegt sein. wie mit Client-seitigen Sicherheitslösungen umzugehen ist. • welche Schritte bei (vermuteter) Kompromittierung des VPN-Clients zu unternehmen sind. vor allem. fremd-administrierte IT-Systeme können ebenso ungeeignet sein. Hotel-Foyers. wer für die Administration der unterschiedlichen VPN-Komponenten zuständig ist. wer zu benachrichtigen ist. B. die auch als Grundlage für die Schulung der Administratoren dienen kann. In einer solchen BenutzerInnenrichtlinie sollten dann kurz die Besonderheiten bei der VPN-Nutzung beschrieben werden. und • alle Freigaben von Verzeichnissen oder Diensten deaktiviert oder zumindest durch gute Passwörter geschützt sind. welche Daten im VPN genutzt und übertragen werden dürfen und welche nicht. B. nur durch die hierfür benannten Administratoren. B. Dazu gehört beispielsweise. • unter welchen Rahmenbedingungen sie sich an einem internen oder externen VPN anmelden dürfen. Passwörter nicht auf dem Client gespeichert werden dürfen.• Um BenutzerInnen nicht mit zu vielen Details zu belasten. Hotel-Business-Center oder öffentliche Verkehrsmittel sein. dass VPNs nur von geeigneten Standorten und mit von der Institution dafür zugelassenen ITKomponenten aufgebaut werden dürfen. wie z. Hierzu gehört vor allem der Umgang mit klassifizierten Informationen. dass für den Betrieb der serverseitigen Komponenten eine andere 330 . welche Schnittstellen es zwischen den am Betrieb beteiligten Administratoren gibt. dass • • • • • • • keine sicherheitsrelevanten Konfigurationen verändert werden dürfen. eine eigene VPN-BenutzerInnenrichtlinie zu erstellen. und wann welche Informationen zwischen den Zuständigen fließen müssen. in Form eines Merkblattes.

4 Unternehmen und Behörden haben vielfältige Anforderungen an Netze.6. Inbetriebnahme von Ersatzsystemen. Maßnahmen bei Kompromittierung des VPNs. geeignete Verwaltung aller VPN-Komponenten. B. sollten mit ihrer Unterschrift bestätigen. Alle VPN-AnwenderInnen. beschrieben. Ohne diese schriftliche Bestätigung sollte niemand VPNs nutzen dürfen.Organisationseinheit zuständig ist als für die Betreuung der VPN-Clients oder für das Identitäts.10.3 Auswahl einer geeigneten VPN-Systemarchitektur ISO Bezug: 27002 10. zumindest auf den Servern. Die unterschriebenen Erklärungen sind an einem geeigneten Ort. Typische VPN-Nutzungsszenarien: Nachfolgend werden einige Einsatzszenarien.6. Regelmäßige Auswertung von Protokolldateien. beispielsweise in der Personalakte. aufzubewahren. 11. Dementsprechend unterscheiden sich die Anforderungen der Institutionen und müssen bei der Auswahl von VPN-Produkten berücksichtigt werden. • • • • • • • Festlegung einer sicheren VPN-Konfiguration und Definition von sicheren Standard-Konfigurationen. Die VPN-Planung muss der Leitungsebene zur Entscheidung vorgelegt werden. Auswahl und Einrichtung von Kryptoverfahren inklusive Schlüsselmanagement. • Mobile MitarbeiterInnen: 331 . Die VPN-Richtlinie für Administratoren sollte weiterhin die wesentlichen Kernaspekte zum Betrieb einer VPN-Infrastruktur umfassen.2] 10. in denen VPNs üblicherweise eingesetzt werden. dass sie den Inhalt der VPN-Sicherheitsrichtlinie gelesen haben und die darin definierten Anweisungen auch einhalten.2. wie z. wie beispielsweise die Vernetzung unterschiedlicher Standorte und die Anbindung mobiler Mitarbeiter oder Telearbeitern an das interne Netz. egal ob BenutzerInnen oder Administratoren. [eh SYS 7.und Berechtigungsmanagement. Alle Entscheidungen müssen nachvollziehbar dokumentiert werden.

dass sich die MitarbeiterInnen von beliebigen Arbeitsorten.und Partner-Anbindung:: Häufig sollen Kunden oder Partner an das interne Netz einer Institution angebunden werden. • Auf internen Systemen soll durch externe Firmen Software entwickelt werden. Je nach Aufgabengebiet kann es sein. Die IT-Systeme des Telearbeitsplatzes sollten zentral administriert werden. B. sollen externe Datenbanken abgefragt werden. h. auf die Kunden oder Partner zugreifen können. ins interne Netz einwählen möchten. Die Kommunikation zwischen Telearbeitsrechner und LAN erfolgt normalerweise über unsichere. • Aus dem vertrauenswürdigen Netz heraus. einem Hotel oder Flughafen. Da die IT-Systeme der Kunden oder der Partner nicht unter der Kontrolle der Institution stehen. Neben der Absicherung solcher Verbindungen muss auch die Sicherheit des Endgeräts sowie dessen Einsatzumgebung beachtet werden. Fernwartung: Bei der Durchführung von Fernwartungstätigkeiten sind privilegierte Administratorzugänge auf interne Systeme erforderlich. Die Endgeräte der Mitarbeiter sind typischerweise Laptops oder PDAs. Hierbei werden die vertrauenswürdigen LANs. B. dass mit einem Sicherheitsgateway (Firewall) vom LAN der Institution getrennt ist. z. die unter eigener Kontrolle stehen. Support und Betrieb) interner Systeme kann durch eigene oder fremde MitarbeiterInnen durchgeführt werden. h. in einem separaten Netz betrieben werden. muss gewährleistet werden. um Waren aussuchen und bestellen zu können. Telearbeitsplatz: Bei der Anbindung eines Telearbeitsplatzes greift ein Client-System von einem festen Arbeitsort außerhalb der Büroumgebung auf das interne Netz einer Institution zu. von "außen". d. häufig über ein unsicheres öffentliches Transportnetz verbunden. In diesem Szenario ist besonders der Transportkanal abzusichern. abgerufen werden können. so dass diese aus einem nur eingeschränkt vertrauenswürdigen Netz. Folgende Szenarien sind typisch Es sollen bestimmte interne Informationen bereitgestellt werden. öffentliche Netze. dass nur auf die freigegebenen Ressourcen zugegriffen werden kann. Beispielsweise könnten alle IT-Systeme. Kunden. z. In beiden Fällen bestehen • • 332 . Zusätzlich müssen die Netze und die Client-Systeme der Standorte mittels Sicherheitsgateways gegen Angriffe aus dem Internet gesichert werden. Standortvernetzung:: Bei der Standortvernetzung werden Teilnetze an unterschiedlichen Standorten einer Institution miteinander verbunden. Die Fernwartung (Wartung. von "innen". d.• • • Mobile MitarbeiterInnen arbeiten an wechselnden Arbeitsplätzen in unterschiedlichen Umgebungen und benötigen dabei unter Umständen einen Fernzugriff auf Daten im LAN innerhalb der Institution.

um gemeinsame Anwendungen betreiben bzw. beispielsweise eines RADIUS-Servers. VPN-Endpunkte lassen sich entweder per Software oder per Hardware realisieren. Der initiierende Endpunkt wird als VPN-Client bezeichnet. VPN-Endpunkte Bei den VPN-Endpunkten wird grundsätzlich zwischen VPN-Server und VPNClient unterschieden. Hierbei ist. Derjenige Endpunkt. verschlüsselt übertragen werden. Werden fremde MitarbeiterInnen beauftragt. die IT-Systeme zu warten. Bei MitarbeiterInnenn im Außendienst besteht der VPN-Client in der Regel aus einer Software-Applikation auf einem mobilen IT-System. um die Kommunikation einzelner Protokolle und Anwendungen zu schützen. die sich in unsicheren Netzen befinden. Die Verbindungen lassen sich auf spezielle Systeme und Dienste beschränken. Ein derartiger VPNClient greift oft sehr stark in das installierte Betriebssystem ein. die Datenflusskontrolle und die Verfügbarkeit der Anbindung. End-to-End. Unterstützen beispielsweise die vorhandenen WLAN-Komponenten selbst keine sichere Verschlüsselung. wird zwischen Site-to-Site-. Die Vernetzung der einzelnen VPN-Endpunkte untereinander muss anhand der Ergebnisse der Anforderungsanalyse durchgeführt werden. das unabhängig vom WLAN ist. Es werden netzübergreifende Zugriffe benötigt. Je nachdem. Bei den VPN-Endpunkten muss für eine sichere Authentisierung gesorgt werden. Typische Verwendungen für End-to-End-VPNs sind: 333 . je nach Anwendungsgebiet. auch der Einsatz eines Authentisierungsservers. fungiert als VPN-Server. um entfernte physische Netze zu einem logischen zusammenzufassen oder um einzelne Endgeräte. Outsourcing berücksichtigt werden. Eine typische Verwendung für Verbindungen zwischen LANs ist die Anbindung von Außenstellen oder Filialen an das institutionsinterne Netz. müssen die Empfehlungen aus10. denkbar. VPN-Typen VPNs können eingesetzt werden.und End-to-Site-VPNs unterschieden. VPNs werden häufig auch verwendet.hohe Anforderungen an die Authentisierung des entfernten Benutzers. End-to-End-VPN End-to-End-VPNs werden meist für die Nutzung einzelner Anwendungen verwendet. über einen geschützten Kanal an ein zentrales LAN anzubinden. könnte die gesamte WLAN-Kommunikation mit einem VPN. nutzen zu können.3. Die Signalisierung und der Medientransport einer VoIPVerbindung könnten ebenfalls in einem VPN-Tunnel gebündelt und verschlüsselt werden. Die parallele Installation mehrerer unterschiedlicher VPN-Clients auf einem Endgerät sollte daher vermieden werden. zu dem die Verbindung aufgebaut wird. welche Systeme den Endpunkt der VPN-Verbindung darstellen. • • Site-to-Site-VPN Mit Site-to-Site-VPNs werden Netze gekoppelt. damit nur Berechtigte sich über das VPN einwählen können. Der Transportkanal wird durch VPN-Gateways in den angeschlossenen Netzen gesichert.

bzw. 334 . • Zugriffe über Terminalserver. Dabei werden die Daten aus dem vertrauenswürdigen Netz in der Regel unverschlüsselt über einen dedizierten Kommunikationskanal zu einem Gateway-Router des Anbieters geleitet. mittels Multiprotocol Label Switching. wenn die VPN-Verbindung zwischen verschiedenen Standorte durch vertrauenswürdige externe VPN-Dienstleister gewährleistet wird. Dadurch wird Zugriff auf das gesamte Netz benötigt. Durch Fernzugriff auf ein entferntes System können viele dort installierte Anwendungen genutzt werden. Solche VPNs werden für Zugriffe eines Clients auf mehrere Anwendungen verwendet. Für mobile NutzerInnen stellen Dienstleister zudem VPNs über Gateway-Router bereit. • VPN-Varianten Der Begriff VPN wird oft als Synonym für verschlüsselte Verbindungen verwendet. die auf unterschiedlichen IT-Systemen im LAN einer Institution liegen.bzw. wie beispielsweise spezielle Funktionen des genutzten Transportprotokolls.• Fernwartung dedizierter Systeme. MPLS). TelearbeiterInnen und mobile BenutzerInnen werden in der Regel mit End-to-Site-VPNs in das LAN integriert. die nur über spezielle Einwahl-Knoten erreicht werden können. so dass meist VPN-Software auf dem Client-System und ein VPN-Gateway im LAN den Transportkanal sichern. wie beispielsweise TLS/SSL-VPN oder IPSec-VPN. B. Systemebene häufig nicht erforderlich. Wird ein externer Dienstleister beauftragt. • Zugriffe auf einzelne Anwendungen oder Datenbanken. • Integration von Geschäftspartnern oder Kunden in Teilbereiche des zentralen Datennetzes einer Institution. Berechtigungen auf Administrator. Zusätzlich werden zwei grundlegende VPN-Varianten unterschieden: Trusted-VPN und SecureVPN. Hierbei sind Berechtigungen auf Administrator. VPN-Varianten werden häufig auch nach dem eingesetzten VPN-Protokoll benannt. ein Trusted-VPN zur Verfügung zu stellen. Systemebene auf dem Terminalserver sind dafür normalerweise nicht erforderlich. bei der Zugriffe auf Administratorebene erforderlich sind. End-to-Site-VPN (Remote-Access-VPN) End-to-Site-VPNs werden auch als Remote-Access-VPN (RAS-VPN) bezeichnet. Zur Absicherung des Transportkanals können jedoch auch andere Methoden eingesetzt werden. sollte zusätzlich Kapitel 10.3. Outsourcing berücksichtigt werden. die vor unberechtigtem Zugriff geschützt sind. Die Bildung des VPNs erfolgt durch logische Abschottung des VPN-Datenverkehrs vom übrigen Datenverkehr (z. VPNs werden als Trusted-VPN bezeichnet.

Diese Lösung wird auch als Secure-VPN bezeichnet. Linux mit IPSec) sein soll: • • • Dedizierte VPN-Gateways (Appliances): Diese VPN-Produkte dienen ausschließlich der Realisierung von VPNVerbindungen und bieten keine darüber hinausgehenden Funktionalitäten. Zusammengestellte VPN-Geräte bieten eine hohe Flexibilität und 335 . da beispielsweise das Betriebssystem bereits gehärtet ist. da die Sicherheit solcher Verbindungen ausschließlich in Händen des VPN-Dienstleisters liegt. Für die vertrauliche Datenkommunikation empfiehlt sich daher ein Secure-VPN. dass sie für den VPN-Einsatz optimiert sind und die sichere Konfiguration vereinfacht wird. wenn die Kommunikation an den Endpunkten der Verbindung durch Verschlüsselung geschützt wird. Werden für die Realisierung des VPNs dedizierte Carrier-Leitungen eingesetzt. Kombi-Geräte: Integrierte VPN-Geräte können beispielsweise Router und andere Komponenten von Sicherheitsgateways (z. handelt es sich um eine Sonderform eines Trusted-VPNs. Bei einer intensiven VPN-Nutzung ist daher zu prüfen. VPN-Geräte Grundsätzlich muss eine Entscheidung darüber getroffen werden. Die Kombination verschiedener Funktionalitäten auf einem Gerät kann jedoch zu Lasten der Performance gehen. nachträglich spezielle HardwareVerschlüsselungsmodule zur Steigerung der Performance einzubauen. dass die unterschiedlichen Funktionalitäten gemeinsam an einer Stelle administriert werden können. Application Level Gateways. Kombi-Geräte haben neben den finanziellen Aspekten oft den Vorteil. ALGs) darstellen. Die Verschlüsselung kann an den VPN-Endpunkten auf Transportebene (Secure-VPN) oder auf Anwendungsebene erfolgen. VPN-Appliances haben den Vorteil. B. ein Kombi-Gerät oder eine softwarebasierte VPN-Lösung auf Standard-IT-Systemen (z. Auch in diesem Fall müssen vertrauliche Daten vor der Übertragung durch Verschlüsselung geschützt werden. ob das gewählte VPN-Produkt ein dediziertes VPN-Gerät. Manche Kombi-Geräte bieten die Möglichkeit. VPNs auf Basis von Standard-IT-Systemen: VPN-Geräte können mit frei verfügbaren oder kommerziellen SoftwareKomponenten selbst zusammengestellt werden. die über eine VPN-Funktionalität verfügen oder entsprechend erweitert werden können. Die Abhängigkeit von Dritten in Bezug auf Vertraulichkeit kann vermieden werden.Für vertrauliche Daten sind Trusted-VPNs ohne zusätzliche Verschlüsselung auf der Anwendungsschicht nicht geeignet. B. ob aus Gründen der Verfügbarkeit oder des Durchsatzes eigenständige VPN-Komponenten vorzuziehen sind. So bietet ein Trusted-VPN zum Beispiel keinen Schutz gegen Innentäter des Anbieters. die im eigenen Verantwortungsbereich des VPN-Nutzers liegt. Diese Komponenten können oft auf handelsüblicher Hardware mit Standardbetriebssystemen installiert werden. wie beispielsweise Inhaltsfilterung auf Anwendungsebene. die im eigenen Verantwortungsbereich des VPN-Nutzers liegt.

welche die Vertraulichkeit und Integrität der Daten sichern. um geheime und öffentliche Schlüssel für die kryptographischen Mechanismen verwalten. Es sollten ausreichend starke anerkannte Authentisierungsverfahren vorhanden sein. Ein weiterer Nachteil ist. Wichtig ist dabei. dass bei Support-Anfragen meist unterschiedliche Ansprechpartner für die einzelnen Komponenten des VPNGerätes (z. QoS): Im Zusammenhang mit Netzübergängen ist der Begriff Dienstgüte als Überwachung und Steuerung der Kommunikation zu verstehen.sind für viele Anwendungsfälle gut geeignet. B. dass das Produkt sichere kryptographische Mechanismen bietet. Schlüsselmanagement: Zum Schlüsselmanagement müssen geeignete Funktionen vorhanden sein. 336 . von Systemen gegenüber BenutzerInnen und von BenutzerInnen gegenüber Systemen. Remote-Zugriffe sollten durch eine starke Authentisierung abgesichert werden. VPN-Software) kontaktiert werden müssen. verschiedene Benutzerkennungen mit unterschiedlichen Rechteprofilen einzurichten. Übertragungssicherung: Zur Übertragungssicherung kommen Funktionen zum Einsatz. Die ausgewählten Produkte sollten dabei möglichst flexibel sein und eine nahtlose Integration verschiedenster Techniken ermöglichen. Es muss möglich sein. die über ein Sicherheitsgateway erfolgen darf. Folgende Sicherheitsgrundfunktionen müssen bei der Auswahl von VPN-Produkten erfüllt werden: • • • • Identifikation. Bei der Planung und Realisierung des VPNs muss außerdem die Integration der VPN-Endpunkte in ein Sicherheitsgateway berücksichtigt werden. Authentisierung und Autorisierung: Hierunter fallen die Identifikation und Authentisierung von Systemen untereinander. Betriebssystem. Ein geeignetes Produkt muss die bei der VPNKonzeption ermittelten Anforderungen erfüllen können und eine Priorisierung von geschäftskritischen Applikationen ermöglichen. Es muss außerdem möglich sein. verteilen und eventuell auch erzeugen zu können. Hardware. Daraus können sich Sicherheitsrisiken beim Einsatz eines zusammengestellten VPNGerätes ergeben. die dem Stand der Technik entsprechend. Die Installation und Integration der benötigten Komponenten kann jedoch fehlerträchtig sein. Außerdem muss die Authentizität der Kommunikationspartner gewährleistet werden. die festgelegten Zugriffsrechte auf den VPN-Komponenten abbilden zu können. Dienstgüte (Quality of Service.

konfigurieren und nutzen? Genügt das Produkt den geltenden Ergonomievorschriften? Ist insbesondere für den VPN-Client die Benutzerführung so gestaltet. einfaches Einbinden neuer VPN-Server. gemeinsame Benutzerverwaltung für alle VPN-Zugänge)? Wartbarkeit • • • Kann das Produkt den Ansprüchen an die Performance gerecht werden? Bietet das Produkt Funktionen zur Lastverteilung? • Können im Rahmen der Wartungsverträge maximale Reaktionszeiten für die Problembehebung festgelegt werden? • Bietet der Hersteller einen kompetenten technischen Kundendienst (CallCenter.Die nun folgende Liste gibt einen Überblick über mögliche allgemeine Bewertungskriterien. ohne Abstriche in der Sicherheit in Kauf nehmen zu müssen (z. erhebt jedoch keinen Anspruch auf Vollständigkeit und kann um weitere allgemeine Anforderungen erweitert werden. bei Problemen sofort zu helfen? Zuverlässigkeit/Ausfallsicherheit • • • • Ist das Produkt einfach wartbar? Bietet der Hersteller regelmäßige Software-Updates an? Wird für das Produkt ein Wartungsvertrag angeboten? • • • • • • • Wie zuverlässig und ausfallsicher ist das Produkt? Bietet der Hersteller auch Hochverfügbarkeitslösungen an? Ist das Produkt im Dauerbetrieb einsetzbar? Benutzerfreundlichkeit Lässt sich das Produkt einfach installieren. dass die BenutzerInnen möglichst wenig mit technischen Details belastet werden? Ist die Sicherheit dabei trotzdem immer gewährleistet? 337 . • • Allgemeine Kriterien Performance und Skalierbarkeit • Können die Produkte die zu übertragenen Informationen komprimieren und dekomprimieren? • Kann das Produkt einem zukünftigen Wachstumsbedarf gerecht werden (z. durch kontextsensitive Hilfen. der in der Lage ist. B. die aus den geplanten konkreten Einsatzszenarien resultieren. Hotline) an. Online-Dokumentation. durch modularen Systemaufbau. B. dass auch ungeübte BenutzerInnen damit arbeiten können. Neben den hier aufgeführten Kriterien müssen weitere spezifische Anforderungen erarbeitet werden. detaillierte Fehlermeldungen)? Ist die Nutzung des VPN-Clients so konfigurierbar.

und Software zusammen (Betriebssysteme.• • Funktion Installation und Inbetriebnahme • • • • • • • Kann die Installation der VPN-Client-Software automatisiert mit vorgegebenen Konfigurationsparametern erfolgen? Ist die Installation der VPN-Client-Software auch für weniger versierte MitarbeiterInnen durchführbar? Können wichtige Konfigurationsparameter vor Veränderungen durch BenutzerInnen geschützt werden? Arbeitet das Produkt mit gängiger Hard. wie sich das System nach einem kritischen Fehler verhalten soll? Kann z. B. Einsteckkarten . dass auf fehlerhafte. B. verbindungsorientiert. dass nach einem kritischen Fehler automatisch ein Neustart durchgeführt oder der Administrator benachrichtigt wird? Administration Enthält die mitgelieferte Produktdokumentation eine genaue Darstellung aller technischen und administrativen Details? • Kann die Administration über eine graphische Benutzeroberfläche erfolgen. protokollorientiert. wie detailliert die Protokollierung erfolgt und welche Arten von Ereignissen aufgezeichnet werden? Werden durch die Protokollierung alle relevanten Daten erfasst? Ist die Protokollierung in der Weise möglich. eingestellt werden. benutzerorientiert. unsichere oder inkonsistente Konfigurationen hingewiesen wird oder diese verhindert werden? • Wird neben der graphischen Administrationsoberfläche auch eine kommandozeilenbasierte Schnittstelle angeboten? • Sind die administrativen Funktionen durch eine adäquate Zugriffskontrolle geschützt? Protokollierung • • • • • • Bietet das Produkt geeignete Funktionen zur Protokollierung an? Ist konfigurierbar. die sich intuitiv bedienen lässt? Ist die administrative Schnittstelle so gestaltet. Treiber)? Ist das VPN mit gängigen Systemmanagementsystemen kompatibel? Verhalten im Fehlerfall Bleibt die Sicherheit des VPN-Zugangs auch nach einem kritischen Fehler gewährleistet? • Kann konfiguriert werden. dienstorientiert)? 338 . dass die Daten nach unterschiedlichen Kategorien erfasst werden können (z.

L2F. ATM)? • Unterstützt das VPN-Produkt WAN-seitig alle geplanten Zugangstechnologien (z. B. technologieabhängige Mechanismen (z. analoge Telefonleitung.25)? • Ist die Anzahl der VPN-Clients. sondern auch auf entfernten Rechnern (zentrales Protokoll)? Werden für die entfernte Speicherung gängige Verfahren angeboten. B. Authentisierung und Zugriff • • Sind die Protokolldaten mit einem Zugriffsschutz versehen? • • • • Bietet das Produkt geeignete Funktionen zur gesicherten Datenübertragung an? Erfolgt die Absicherung der Kommunikation durch standardisierte Mechanismen? 339 . die sich gleichzeitig in den VPN-Server einwählen können. Rückruf des VPN-Clients durch den VPN-Server) an? Sicherheit: Kommunikation. SSL) unterstützt? • Bietet das VPN-Produkt je nach verwendeter Zugangstechnologie zusätzliche. B. • Kann die Protokollierung an die spezifischen Bestimmungen des Datenschutzes. IPSec. SLIP)? • Unterstützt das VPN-Produkt die gängigen Dienstprotokolle für den entfernten Zugriff (z. PPTP. Mobiltelefon. ISDN. so dass auch Fremdsysteme zur Protokollierung benutzt werden können (z. B. ausreichend? • Unterstützt das VPN-Produkt die gängigen Protokolle für den entfernten Zugang über Telekommunikationsnetze (z. angepasst werden? Kommunikation und Datenübertragung Unterstützt das VPN-Produkt LAN-seitig alle relevanten Netzwerktechnologien (z. insbesondere hinsichtlich Übertragungsformat und Übertragungsprotokoll? • Bietet das Produkt die Möglichkeit an. PPP. syslog)? Können die Protokolldaten abgesichert übertragen werden? • Bietet das Produkt leicht bedienbare Funktionen zur Auswertung der Protokolldaten an? • Kann die Protokollierung mit dem eingesetzten Systemmanagementsystem zusammenarbeiten. die für und in der Institution gelten.• Können die Protokolldaten nicht nur lokal gespeichert werden. B. B. ein Benutzerkonto zu sperren. Ethernet. wenn mehrere fehlgeschlagene Authentisierungsversuche in Folge für das jeweilige Benutzerkonto festgestellt werden. TCP/IP)? • Werden für den Internet-basierten Zugriff die gängigen Tunnel-Protokolle (z. Kanalbündelung für ISDN. beim Auftreten bestimmter Ereignisse den Administrator zu informieren oder auch geeignete Schutzmaßnahmen automatisch durchzuführen? Beispielsweise ist es oft sinnvoll. B. X.

dass nicht jedes Produkt alle Anforderungen gleichzeitig oder gleich gut erfüllt.4 Mit dem Aufbau eines VPNs kann begonnen werden. dass neue Authentisierungsmechanismen nachträglich integriert werden können? Erlaubt das VPN die Nutzung eines oder mehrerer gängiger externer Authentisierungsdienste. TACACS+. bevor ihnen Zugang zu lokalen Ressourcen gewährt wird? Können mehrere Authentisierungsmechanismen miteinander verknüpft werden? Ist die Systemarchitektur so aufgebaut. so müssen die am Markt erhältlichen Produkte dahingehend untersucht werden.• • • • • • • Sind alle verwendeten kryptographischen Verfahren etabliert. und entsprechen sie dem Stand der Technik? Erlaubt die Produktarchitektur eine nachträgliche Installation neuer Sicherheitsmechanismen? Bietet das Produkt geeignete Funktionen zur Authentisierung der BenutzerInnen.Implementierung ISO Bezug: 27002 10. sobald die erforderlichen Komponenten dafür beschafft worden sind (vgl. Analog kann auch der Erfüllungsgrad einer Anforderung durch das jeweilige Produkt in mehrere Stufen eingeteilt werden. Die Auswahl der VPN-Geräte stellt einen wesentlichen Aspekt für den reibungslosen Betrieb eines VPNs dar. ob die ausgewählten Produkte tatsächlich die Anforderungen ausreichend erfüllen und kompatibel mit den vorgesehenen Technologien sind.11 Remote Access (VPN) . da spätere Änderungen oft mit hohen Kosten oder auch mit Sicherheitseinbußen verbunden sind. Auf der Grundlage der durchgeführten Produktbewertung kann dann eine fundierte Kaufentscheidung getroffen werden. SecureID. Die Entscheidung muss daher gut überlegt sein. [eh SYS 7. 340 . voranstehende Maßnahmen)). Es ist zu erwarten.6.3] 10. RADIUS? Ist es möglich. MOA-ID) einzubinden? Sind alle Anforderungen an das zu beschaffende Produkt dokumentiert. B. z. 11. zusätzliche externe Authentisierungsdienste (z. Grundvoraussetzung für den sicheren VPN-Betrieb ist.6. inwieweit sie diese Anforderungen erfüllen. Daher sollten die einzelnen Anforderungen entsprechend ihrer Relevanz für die Institution gewichtet werden.2. dass die Installation und Konfiguration aller Komponenten gewissenhaft erfolgt und sich mit den gewählten VPN-Produkten auch tatsächlich die geforderten Sicherheitsfunktionen umsetzen lassen.B. Vor der Installation muss überprüft werden.

für die Konfiguration des Betriebssystems. auf denen ein Standard-Betriebssystem installiert ist und das als VPN-Endpunkt betrieben wird (Beispiel: Linux-System mit VPN-Unterstützung). 10. dürfen nur von qualifiziertem IT-Personal installiert werden.4 Zusätzlich zu den generellen Sicherheitsmaßnahmen. bei denen die Konfiguration der Plattform vom Hersteller vorgegeben ist und nicht geändert werden kann (VPNAppliances). Es muss sichergestellt werden. Dies kann entweder durch eine separate Installationsdokumentation erfolgen oder aber durch eine Bestätigung. B. Abweichungen von der festgelegten Systemarchitektur (beispielsweise zusätzliche Verbindungen) müssen hierbei begründet und dokumentiert werden.6. Auch VPN-Endpunkte auf mobilen IT-Systemen. die für die IT-Komponenten zu beachten sind. wenn die zu vernetzenden Standorte geografisch weit voneinander entfernt sind. Dies kann vor allem dann schwierig sein. Die Installation und Konfiguration der VPN-Komponenten ist zu dokumentieren.2. Es dürfen in dieser Phase also keine Verbindungen zu anderen Netzen vorhanden sein. 11. Beispielsweise muss geklärt werden. auf denen die VPN-Komponenten eingesetzt werden. Die Qualität der Dokumentation spielt im Hinblick auf die kontinuierliche Verbesserung des VPNs eine wesentliche Rolle. B. Daher sind zunächst die generellen Sicherheitsmaßnahmen für jedes dieser Betriebssysteme umzusetzen.10.1 Sichere Installation des VPN-Systems ISO Bezug: 27002 10.Zusätzlich muss die Sicherheit der IT-Systeme gewährleistet werden. Die korrekte Funktion jeder einzelnen Komponente muss überprüft werden (z. Der Einsatz solcher VPN-Geräte spart einerseits Zeit und es wird im Gegensatz zu einer individuellen Lösung weniger fachkundiges IT-Personal benötigt. Es gibt auch VPN-Komponenten. wie sie in den jeweiligen Bausteinen der IT-Grundschutz-Kataloge beschrieben werden. dass die Installation mit den Planungsvorgaben übereinstimmt. z. Bei den eingesetzten Produkten müssen vor der Inbetriebnahme alle aktuellen sicherheitsrelevanten Patches bzw. beispielsweise Laptops von AußendienstmitarbeiterInnenn. 10. dass die Installation aller VPN-Komponenten durch qualifiziertes Personal durchgeführt wird. Andererseits muss beim Einsatz von Appliances den Vorgaben des Herstellers vertraut werden. Dies betrifft besonders IT-Systeme. durch Funktionsprüfungen bzw. ob die nötigen Personalressourcen für eine VPN-Installation auch in anderen Ländern zur Verfügung stehen. Selbsttests oder Lasttests).11.6. 341 . Firmware-Updates eingespielt werden. sollten im Rahmen der Installation einesVPN-Systems folgende Punkte Beachtung finden: • • • • • Während der Installationsphase sollten weder BenutzerInnen noch Dritte auf das VPN oder Teile davon zugreifen dürfen.

6. Für den reibungslosen Betrieb des VPNs sind die in 10. dass nur die zum Test befugten Personen Zugriff auf das VPN erhalten.2 Sichere Konfiguration des VPN-Systems ISO Bezug: 27002 10. Diese muss das System in einen sicheren Betriebszustand überführen. durch Personaländerungen. Unabhängig davon. da es durch eine ungeeignete Konfiguration von VPN-Komponenten zu einem Verlust der Verfügbarkeit des Netzes oder Teilen davon kommen kann. kann nicht davon ausgegangen werden. Systemerweiterungen). Es ist Aufgabe der für das VPN zuständigen Administratoren. B. 11.4] 10. die einmal eingestellt und nie wieder verändert wird. Da ein VPN aus mehreren Komponenten und deren Konfiguration besteht. spielt daher die korrekte Konfiguration der beteiligten Komponenten eine wesentliche Rolle.6. dass es genau eine sichere (und statische) Konfiguration gibt. Ist die grundlegende Installation erfolgt. Fehlfunktionen und/oder Ausfällen führen.2. Der Verlust der Vertraulichkeit von Informationen oder der Datenintegrität ist ebenfalls denkbar. so kann mit der in der Folge beschriebenen sicheren Konfiguration des VPNs begonnen werden.12 Sicherer Betrieb des VPN-Systems erwähnten Handlungsweisen essenziell. [eh SYS 7. Ebenfalls ist es empfehlenswert.• • Für jede sicherheitsrelevante Einstellung muss ein Funktionstest der Sicherheitsmechanismen durchgeführt werden.4 Alle VPN-Komponenten müssen sorgfältig konfiguriert werden. Da die Konfiguration eines VPN-Systems in der Regel Veränderungen unterworfen ist (z. bereits in der Testumgebung Performance-Messungen und einen Testlauf der Schlüsselverteilung durchzuführen.11. dass jeweils nur 342 . Die dabei gewonnenen Erkenntnisse und Korrekturmaßnahmen müssen angemessen dokumentiert und in das Feinkonzept eingearbeitet werden. neue Nutzungsszenarien. Vielmehr wird die Konfiguration üblicherweise fortlaufend geändert. Das Ändern eines Konfigurationsparameters bei einer Komponente kann im Zusammenspiel mit den anderen Komponenten zu Sicherheitslücken. Beispielsweise sollten die Verschlüsselung der Verbindung sowie die eingesetzten Authentisierungsfunktionen mittels eines Netzanalyse-Tools überprüft werden Bevor das System in den Produktiveinsatz genommen wird. ergibt sich eine erhöhte Komplexität der Gesamtkonfiguration. Nach Abschluss der Installation ist die korrekte Funktion des Gesamtsystems zu überprüfen (Abnahme und Freigabe der Installation). Bei allen durchgeführten Tests ist darauf zu achten. muss es in einer vom Produktivnetz getrennten Umgebung aufgebaut und entsprechend getestet werden.6. ob es sich bei VPN-Komponenten um dedizierte Hardware (Appliances) oder softwarebasierte Systeme handelt. damit anschließend der laufende Betrieb aufgenommen werden kann.

die Grundeinstellungen zu überprüfen und entsprechend den Vorgaben der Sicherheitsrichtlinie anzupassen. sondern auf eine einfache Installation und Inbetriebnahme optimiert. Standardpasswörter müssen durch eigene. Hier sollten möglichst restriktive Einstellungen gelten. Generell kann zwischen den folgenden Konfigurationskategorien unterschieden werden: • • • • Die Default-Konfiguration ergibt sich durch die vom Hersteller voreingestellten Werte für die Konfigurationsparameter.und Softwarekomponenten. 11. auch bei eingeschränkter Betriebsfähigkeit die Sicherheit aufrechtzuerhalten.sichere Versionen der Systemkonfiguration definiert werden und das System von einer sicheren Konfiguration in die nachfolgende sichere Konfiguration überführt wird.4.6. eine erste Betriebskonfiguration einzustellen.5] 10. 11.3 VPNs sind aufgrund der übertragenen Daten attraktive Ziele für Angreifer und müssen daher sicher betrieben werden.6.5. um z. 10.12 Sicherer Betrieb des VPN-Systems ISO Bezug: 27002 10. Hier muss auch regelmäßig überprüft werden. 11. 11.11. die vom Hersteller oder Distributor einer VPN-Komponente vorgenommen werden. Der erste Schritt bei der Grundkonfiguration muss daher sein.6.2 Sichere Konfiguration des VPN-Systems) der beteiligten Hard.7. Die Grundeinstellungen. sind nicht unbedingt auf Sicherheit. ob neu bekannt gewordene Sicherheitslücken Anpassungen erfordern.ausgehend von der Default-Konfiguration . Zusätzlich müssen alle organisatorischen Abläufe definiert 343 .2. für jede der definierten Situationen eine adäquate Notfallkonfiguration festzulegen.11.6. Voraussetzungen hierfür sind die sichere Installation (vgl. 12. Im einfachsten Fall besteht die Notfallkonfiguration darin.1 Sichere Installation des VPN-Systems) und Konfiguration (vgl. Es empfiehlt sich. Sie dienen dazu. Alle Änderungen und die jeweils aktuelle Einstellungen müssen nachvollziehbar dokumentiert sein.eine sichere Anfangskonfiguration durch die Administratoren eingestellt werden.B.. Schließlich sollten sichere Notfallkonfigurationen im Rahmen der Notfallplanung definiert und dokumentiert werden. den Zugang zum VPNSystem zu sperren. Die sicheren Betriebskonfigurationen ergeben sich aus den jeweiligen Konfigurationen im laufenden Betrieb. ausreichend komplexe Passwörter ersetzt werden Nach der Installation und vor der Inbetriebnahme muss . [eh SYS 7.6. so dass nur die berechtigten Administratoren Veränderungen vornehmen können. In der Regel werden durch die Notfallplanung mehrere Notfallsituationen definiert. die das geplante Sicherheitskonzept umsetzt.10.

Damit eine geregelte Benutzer-Authentisierung beim VPN-Zugriff möglich ist. wenn auch die physikalische Sicherheit der beteiligten Hardware-Komponenten sichergestellt ist.und umgesetzt worden sein (z.und Management-Werkzeugen einer ständigen Überwachung unterliegen. Verfahren und Maßnahmen zum Einsatz kommen. Sie sollten dabei nach Möglichkeit durch eine Software zur Auswertung von Protokollierungsdaten unterstützt werden. Da VPN-Clients in der Regel in nicht vollständig kontrollierten Umgebungen betrieben werden. muss die Konsistenz der Authentisierungsdaten sichergestellt sein. damit die übertragenen Daten geschützt sind. müssen für diesen Fall spezielle Mechanismen. B. Meldewege und Zuständigkeiten). Dies kann durch zentrale Verwaltung der Daten (Authentisierungsserver) oder durch periodischen Abgleich geschehen. Im Umfeld des Servers sind folgende Empfehlungen für den sicheren Betrieb zu berücksichtigen: • • • • • • • Der VPN-Zugang sollte durch den Einsatz von Protokollierungs. Insbesondere mobile Clients sind hier einer besonderen Gefahr ausgesetzt. Weiterhin ist zu beachten. dass dadurch auch die Sicherheit des LANs beeinträchtigt wird. Ist ein Client kompromittiert. die den Schutz des Clients gewährleisten können. Werden Sicherheitsvorfälle festgestellt. Die im Rahmen der Überwachung gesammelten Informationen sollten regelmäßig durch geschulte Administratoren kontrolliert werden. die Sicherheit der VPN-Clients und die Sicherheit der Datenübertragung. dass die angestrebte Systemsicherheit nur gewährleistet werden kann. 344 . Die Sicherheit eines VPN-Systems lässt sich grob in drei Bereiche aufteilen: • • • die Sicherheit des VPN-Servers. so besteht die Gefahr. Revision: Das VPN-System sollte in regelmäßigen Abständen einer Revision unterzogen werden. da diese physikalisch besonders leicht anzugreifen sind (Diebstahl. Für jede Verbindung sollte die Absicherung der Kommunikation durch eines der im VPN-Sicherheitskonzept erlaubten Verfahren erzwungen werden. Die Bestimmungen des Datenschutzes sind zu beachten. Vandalismus). so sind sofort die vorher festgelegten Maßnahmen zu ergreifen. Für jede Verbindungsaufnahme ist immer die Benutzer-Authentisierung über den gewählten Mechanismus durchzuführen. Die Rollen Administrator und Revisor dürfen nicht der gleichen Person zugeordnet werden.

Hierzu bietet sich eine Festplattenverschlüsselung an. erlauben. zwischen erlaubten und unberechtigten Zugriffen zu unterscheiden. um sicherzustellen. Anderenfalls ist es meist nicht möglich festzustellen.B.Für den sicheren Betrieb von VPN-Clients sind daher folgende Aspekte zu berücksichtigen: • • Die Grundsicherheit des IT-Systems muss gewährleistet sein. Da mobile VPN-Clients größeren Risiken ausgesetzt sind als stationäre. Hierzu wird bei jedem Zugriff. soweit dies möglich ist. Andererseits können so einfach Software-Updates (Viren-Datenbanken. so dass die Rechner regelmäßig auf (unzulässige) Konfigurationsveränderungen untersucht werden müssen. für den noch keine Regel vorliegt. Es muss weiter davon ausgegangen werden. Entfernte Rechner stellen jedoch erhöhte Anforderungen an das Systemmanagement. Ähnlich wie herkömmliche Firewalls (siehe Kapitel 10. eine Auswahl an möglichen Reaktionen (z. Da es für den/die Benutzer/in jedoch in vielen Fällen schwierig ist. Insbesondere beim Zugriff über Internetverbindungen ist die Installation von Viren-Schutzprogrammen auf allen VPN-Clients notwendig. • • • • Die Kommunikationsverbindung zwischen VPN-Client und VPN-Server wird in der Regel über Netze von Dritten aufgebaut.13 ff ) filtern PC-Firewalls die Pakete der Netzkommunikationsprotokolle. welchem VPNClient zu welchem Zeitpunkt eine bestimmte Netzadresse zugewiesen wurde. Falls TCP/IP als Protokoll verwendet wird. bedingte Verarbeitung) angeboten. dass protokolliert werden muss. Die dabei benutzten Netzkomponenten unterliegen meist nicht der Kontrolle durch den Betreiber des LANs. Dieses Vorgehen bedeutet zwar einen höheren administrativen Aufwand (Wartung der Zuordnungstabellen). um eine neue Regel zu definieren. dass von abhanden gekommenen Geräten weder Daten ausgelesen noch unbefugt eine VPNVerbindung aufgebaut werden kann. Auch VPN-Clients sollten in das Systemmanagement einbezogen werden. auf den VPN-Clients so genannte PC-Firewalls einzusetzen und so vor unberechtigten Zugriffen aus dem Internet durch Dritte zu schützen. sollten sie durch zusätzliche Maßnahmen gesichert werden. Dies erlaubt einerseits die Überwachung der Clients im Rahmen der Aufrechterhaltung des laufenden Betriebes. Anwendungsprogramme) auf geregeltem Weg eingespielt werden. da diese nicht permanent mit dem Netz verbunden sind. Die Filterregeln können jedoch meist dynamisch durch den/die Benutzer/in erzeugt werden. erlaubt jedoch eine eindeutige Zuordnung von Netzadresse und Rechner. sollte der Regelsatz durch einen Administrator vorinstalliert werden. sollte überlegt werden. welcher VPN-Client eine bestimmte Aktion ausgeführt hat. Es sollte überlegt werden. für VPNClients feste IP-Adressen zu benutzen und diese nicht dynamisch zu vergeben. Der Nachteil bei einer dynamischen Vergabe der Netzadressen besteht darin. mit dem die Verbindung aufgebaut werden soll. ablehnen.6. dass die Daten nicht nur über das Telekommunikationsnetz eines Anbieters 345 .

müssen Sicherheitsmaßnahmen getroffen werden. wenn von der Verschlüsselung auf niedriger Protokollebene aus bestimmten Gründen kein Gebrauch gemacht werden kann.6.B. Dies gilt insbesondere beim Zugriff auf ein LAN aus dem Ausland.2. Relevant sind hier unter anderem: • • • • Tunneling: Die Kommunikation kann auf niedriger Protokollebene verschlüsselt werden (so genanntes Tunneling.6] 10. da die Verschlüsselung transparent erfolgt und die Clients und Server nicht belastet werden. E-Mail-Verschlüsselung: Für den Austausch von E-Mails über unsichere Kanäle kann die Nutzung von EMail-Verschlüsselung sinnvoll sein [eh SYS 7. die Vertraulichkeit der Daten sicherstellen. j edoch in unterschiedlicher Zahl und Ausprägung zur Verfügung.4.13 Entwicklung eines Firewallkonzeptes ISO Bezug: 27002 10. siehe auch 11.4. Daher gilt für die Datenübertragung: • • Die Nutzung der Datenverschlüsselung für alle übertragenen Daten ist für den sicheren Betrieb zwingend erforderlich.2 Einsatz geeigneter Tunnel-Protokolle für die VPN-Kommunikation ). dass die Geräte sorgfältig konfiguriert und gewartet werden müssen. Die herkömmlichen VPN-Systeme stellen solche Verfahren (z.6. sondern dass auch die Netze von Kooperationspartnern des Telekommunikationsanbieters benutzt werden. IPsec) standardmäßig. SSL/TLS-Verschlüsselung: Zur Verschlüsselung kann auch SSL/TLS eingesetzt werden. Verschlüsselung durch Netzkoppelelemente Neben der Absicherung der Kommunikation durch Software kann auch der Einsatz von verschlüsselnden Netzkoppelelementen (Router. Modems) erwogen werden. die z. können verschiedene Sicherungsmechanismen für VPN-Verbindungen benutzt werden.5 346 . Diese sind besonders für den stationären Einsatz und zur Anbindung mehrerer Rechner sinnvoll. Es sollten Signaturmechanismen eingesetzt werden. um die Authentizität und Integrität der Daten sicherzustellen. Dazu muss ein geeignetes Verfahren ausgewählt werden.übertragen werden. Dies gilt besonders für Zugriffe auf WWWServer oder E-Mail-Server über WWW-Browser.B. Um diesen Anforderungen an den Schutz der Daten gerecht zu werden. Um dem Schutzbedarf der so übertragenen Daten gerecht zu werden. Zu beachten ist jedoch. 11. die standardmäßig SSLgesicherte Kommunikation unterstützen.

Damit eine Firewall einen wirkungsvollen Schutz eines Netzes gegen Angriffe von außen bietet. in der IT-Sicherheitspolitik und dem IT-Sicherheitskonzept der Organisation eingebettet sein.oder mehrstufigen System bestehen. Dafür muss sichergestellt sein. daher dürfen auf einer Firewall nur die dafür erforderlichen Dienste verfügbar sein und keine weiteren Dienste wie wie z.IT-Systeme. Die Aufgaben und Anforderungen an die Firewall müssen in der InternetSicherheitspolitik festgelegt werden. eine verschlüsselte Verbindung oder ein separates Netz.1 Erstellung einer Internet-Sicherheitspolitik ). dürfen nur unter Verwendung ausreichender Sicherheitseinrichtungen mit Fremdnetzen verbunden werden. 10. Diese Sicherheitseinrichtungen. also z. die im Allgemeinen aus einem zwei. B.. angeboten werden angeboten werden. Eine Firewall darf ausschließlich als schützender Übergang zum internen Netz eingesetzt werden.B. die zeitweise oder dauernd an Produktionsnetze angeschlossen sind. korrekt installiert und korrekt administriert werden. Es müssen Regelungen getroffen werden. Damit eine Firewall effektiven Schutz bieten kann. Ein administrativer Zugang zur Firewall darf nur über einen gesicherten Weg möglich sein. über eine gesicherte Konsole. Eine Konsole sollte in einem Serverraum aufgestellt sein 347 . dass die Firewall die einzige Schnittstelle zwischen den beiden Netzen darstellt. werden als “Firewalls” bezeichnet. müssen folgende grundlegende Bedingungen erfüllt sein. müssen einige grundlegende Voraussetzungen erfüllt sein: • • • Jede Kommunikation zwischen den beiden Netzen muss ausnahmslos über die Firewall geführt werden. muss eine geeignete Firewall eingesetzt werden. Um die Sicherheit des zu schützenden Netzes zu gewährleisten. Der Anschluss an ein Fremdnetz darf erst dann erfolgen. ein Webserver.9. dass keine weiteren externen Verbindungen unter Umgehung der Firewall geschaffen werden dürfen. wenn überprüft worden ist. Die Firewall muss • • • • auf einer umfassenden Sicherheitspolitik aufsetzen (vgl. dass mit dem gewählten Firewallkonzept sowie den personellen und organisatorischen Randbedingungen alle Risiken beherrscht werden können.

Zeit. 348 . Ein Firewall-Administrator muss fundierte Kenntnisse über die eingesetzten IT-Komponenten besitzen und auch entsprechend geschult werden.1. da zu viele WWW-Server auch als Proxies nutzbar sind. In diesem Zusammenhang ist auch der Raum.4 Zutrittskontrolle und 9.6 Serverräume ).). Eine Protokollprüfung bestätigt beispielsweise. Jede Sicherheitspolitik muss konzeptionell auf bestmögliche Reduktion des eventuellen Schadensfalles ausgelegt sein (Betrieb von Teilnetzen. zusammen mit den Netzwerkeinrichtungen wie Routern einer besonderen Zugangskontrolle zu unterwerfen (vgl. Das Firewallkonzept muss sich permanent an Betriebserfahrungen der Firewall sowie aktuellen Entwicklungen orientieren und bei Bedarf unverzüglich angepasst werden.5. aber nicht vor allen. Beim Aufbau einer Firewall und der Erarbeitung einer Firewall-Sicherheitspolitik sollte man sich daher die Grenzen einer Firewall verdeutlichen: • • • • Es werden Protokolle überprüft. Die Benutzer/innen des lokalen Netzes sollten durch den Einsatz einer Firewall möglichst wenig Einschränkungen hinnehmen müssen. Die Filterung von aktiven Inhalten ist unter Umständen nur teilweise erfolgreich. Damit könnte ein/e Innentäter/in jemandem Externen den Zugriff auf interne Rechner ermöglichen. so dass eine Sperrung bestimmter IP-Adressen leicht umgangen werden kann. Eine Firewall kann das interne Netz vor vielen Gefahren beim Anschluss an das Internet schützen. nicht die Inhalte. Richtung und Benutzer getrennt) festgelegt werden können. Alleine die Auswertung der angefallenen Protokolldaten nimmt erfahrungsgemäß viel Zeit in Anspruch. dass eine E-Mail mit ordnungsgemäßen Befehlen zugestellt wurde. Eine Einschränkung der Internetzugriffe auf festgelegte Webserver ist in der Realität unmöglich.. Es ist zu entscheiden. können sie über das verwendete Kommunikationsprotokoll beliebige andere Protokolle tunneln. Für die Konzeption und den Betrieb einer Firewall muss geeignetes Personal zur Verfügung stehen. Sobald Benutzer/innen eine Kommunikation über eine Firewall herstellen dürfen. in dem die Firewall betrieben wird. frühzeitiger Einsatz von Routern. Dienst. 9. . kann aber keine Aussagen zum eigentlichen Inhalt der E-Mail machen.• • • • • • Eine Firewall baut auf einer für das zu schützende Netz definierten Sicherheitspolitik auf und gestattet nur die dort festgelegten Verbindungen. Diese Verbindungen müssen gegebenenfalls sehr detailliert (bis hin zu einer individuellen Angabe von IP-Adresse.. Der zeitliche Aufwand für den Betrieb einer Firewall darf nicht unterschätzt werden. ob besonders sensible Daten im Netz besser und kostengünstiger durch organisatorische als durch technische Maßnahmen geschützt werden sollen.

Dies ist aber mit dem herkömmlichen Protokoll SMTP alleine nicht realisierbar. kann auch die beste Firewall nicht helfen. Wenn ein/e Angreifer/in z. Ist die Dokumentation der technischen Ausstattung der Firewall durch den Hersteller mangelhaft. Im Extremfall kann die Software der Firewall selbst Hintertüren enthalten. auf dem ein HTTP-Sicherheitsproxy läuft. wenn die Absender zweifelsfrei nachweisbar sind. Keine Firewall kann zweifelsfrei feststellen. zur Bildung von abgesicherten Teilnetzen. zu schwach dimensioniert (zu wenig Arbeitsspeicher. Fehler in der Konfiguration können zu Sicherheitslücken oder Ausfällen führen. sie hat aber keinen Einfluss auf die Sicherheit der Kommunikation innerhalb dieser Netze! Auch die speziell unter Sicherheitsaspekten entwickelten Komponenten von Firewalls können trotz großer Sorgfalt Programmierfehler enthalten. so begünstigt dies Fehler bei Konfiguration und Administration.B. Eingebaute Hintertüren in der verwendeten Software können eventuell auch durch eine Firewall hindurch ausgenutzt werden. Außerdem gibt es immer wieder Implementationsfehler von Protokollen auf Endgeräten. dass nicht alle Arten der Adressierung erfasst werden. ob eine E-Mail vom Empfänger erwünscht ist oder nicht. durch Hintereinanderschaltung von verschiedenen Firewalls eine erhöhte Sicherheit zu erlangen. Beispielsweise ist es möglich. Firewalls schützen nicht vor allen Denial-of-Service-Attacken. Gerade in größeren Firmen ist dies problematisch. Eine Firewall schützt nicht vor dem Missbrauch freigegebener Kommunikation durch Innentäter ("Insider-Angriffe").B. Eine Firewall kann zwar einen Netzübergang sichern. die eine Firewall nicht abfangen kann. kann die Verfügbarkeit beeinträchtigt werden. z. Firewalls können nur begrenzt gegen eine absichtliche oder versehentliche Fehlkonfiguration der zu schützenden Clients und Server schützen. dass Angreifer die Komponenten der Firewall mit Hilfe von Schwachstellenscannern analysieren. Die korrekte Konfiguration der Komponenten der Firewall ist oft sehr anspruchsvoll. Leider ermöglichen viele Firewalls es nicht. 349 .• • • • • • • • • • • • • • • Die Filtersoftware ist häufig noch unausgereift. Wird beispielsweise der Rechner. zu langsamer Prozessor). Spam-Mails dürften erst dann verschwinden. die Anbindung zum Provider lahm legt. # Eine Firewall kann nicht gegen die bewusste oder unbewusste Missachtung von Sicherheitsrichtlinien und -konzepten durch die Anwender schützen. Wenn die Komponenten desrFirewall falsch dimensioniert sind. Die Filterung von Spam-Mails ist noch nicht ausgereift. Eine Firewall schützt nicht vor Social Engineering. Zudem können URL-Filter durch Nutzung von "Anonymizern" umgangen werden. wenn innerhalb der Firma auch Firewalls eingesetzt werden. Es kann nicht verhindert werden. so kann dies die Geschwindigkeit des Internetzugriffes stark beeinträchtigen.

2. auch 8. 10. die von Mitarbeitern auch extern benutzt werden.1 Bei der Installation einer Firewall sind folgende Schritte in der angegebenen Reihenfolge zu setzen (vgl.14 Installation einer Firewall ISO Bezug: 27002 10. 10.). [KIT S04] ): • • • • • • • • • • Festlegen der Sicherheitspolitik sowie der Benutzerordnung durch organisatorisch und technisch Verantwortliche in Zusammenarbeit mit Benutzervertretern/Benutzervertreterinnen (vgl.6. Würmer. vgl. Diskette. Trojanische Pferde) in das vertrauenswürdige Netz eingeschleppt werden. z.und Softwarevoraussetzungen im internen Netz Auswahl geeigneter Produkte Installation und Konfiguration der Firewall Der administrative Zugang zur Sicherheitseinrichtung darf nur über einen gesicherten Weg möglich sein. Eine Firewall schützt auch nicht davor.1. B.6. 11.2] 10. an das interne Netz angeschlossen. Überprüfung der Installation durch Querlesen der Definitionen und Funktionskontrolle Dokumentation der Installation zum Zweck der Nachvollziehbarkeit. so kann auf diese Weise Schadsoftware (Viren. [eh SYS 8. USB-Stick in das vertrauenswürdige Netz eingeschleppt werden. 12.3.15 Sicherer Betrieb einer Firewall ) sowie Weitermeldung der erhobenen Fakten an die/den Vorgesetzte/n 350 . Vorschriften und Regelungen ) Bestimmung der Sicherheitsverantwortlichen (Datenschutz-/ITSicherheitsbeauftragte/r (soweit nicht bereits nominiert) und Bereichs-ITSicherheitsbeauftragte/r ("Internet-Sicherheitsbeauftragte/r") Definition der angebotenen und anzufordernden Dienste Analyse der Hard. dass Schadprogramme auf Austauschmedien. der Wartung und der Validierung Laufende Beobachtung und Wartung Periodische Sicherheitsüberprüfung durch befugte Externe zu nicht angekündigten Zeitpunkten mindestens einmal im Quartal ("Screening".6.4.6.2.• • # Werden mobile Endgeräte (Laptop. 11. CD-ROM. PDA etc.1 Verpflichtung der Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze. 10..

15 Sicherer Betrieb einer Firewall ISO Bezug: 27002 10. Ändern von Berechtigungen. 12.4. Aus.1.6. Es sollte in zyklischen Abständen kontrolliert werden.3] 10. 15.1.2.1. Funktionen etc. Insbesondere müssen die für den Betrieb der Firewall getroffenen organisatorischen Regelungen regelmäßig oder zumindest sporadisch auf ihre Einhaltung überprüft werden. Alle Sicherheitskontrollen sollten zumindest teilweise auch durch Externe vorgenommen werden.2 Für einen sicheren Betrieb einer Firewall sind eine fachgemäße Administration sowie eine regelmäßige Überprüfung auf die korrekte Einhaltung der umgesetzten Sicherheitsmaßnahmen (Screening) erforderlich.B.1. durch Lesen der entsprechenden Newsletter) sowie entsprechende Weiterbildung Durch eine angemessene Stellvertreterregelung (und eine entsprechende Schulung der Stellvertreter/innen) ist eine kontinuierliche Administration zu gewährleisten. 15.4. 351 .6.• • • Revision der Behebung der bei den Sicherheitstests erhobenen Mängel Sammlung der relevanten Projekterfahrungen als Grundlage für eine Weiterentwicklung der Internet-Sicherheitspolitik und des Firewallkonzeptes. Filtern etc. 14.1.5. 11. Kontrolle und Auswertung der Logfiles Einschränken und Beenden des Internetzugangs Weiterleitung sicherheitsrelevanter Beobachtungen an die in der Sicherheitspolitik definierten Instanzen Benachrichtigung der zuständigen Instanzen bei Entdecken von Angriffen aus dem Internet Verfolgen der aktuellen Entwicklungen im Bereich Sicherheit (z.2. ob neue Zugänge unter Umgehung der Firewall geschaffen wurden. Profilen. Administration Die Administration einer Firewall umfasst die nachfolgend angeführten Aufgaben: • • • • • • • Anlegen und Entfernen von Benutzerinnen/Benutzern.6. 13. Im Bereich der öffentlichen Verwaltung sollten diese Projekterfahrungen an die IKT Koordinierungsstelle weitergegeben werden. 11. 13.und Weiterbildung des administrierenden Personals [eh SYS 8.

Die Defaulteinstellung der Filterregeln und die Anordnung der Komponenten müssen sicherstellen.B. die neutralen Beobachtern mit hoher Wahrscheinlichkeit auffallen. die/der keinen Eintrag in einer Access-Liste hat. Dabei ist zu testen. die in der Sicherheitspolitik vorgesehen sind. was nicht ausdrücklich erlaubt ist. Im Fehlerfall ist die Firewall abzuschalten.Regelmäßige Überprüfung Zusätzlich zu den regelmäßigen Wartungsaktivitäten ist es erforderlich. Security Compliance Checking. Dies muss auch bei einem völligen Ausfall der FirewallKomponenten gelten. blockiert werden. die nicht explizit erlaubt sind.B. Sicherheitsrelevante Änderungen erfordern zusätzlich "ad hoc"-Kontrollen. eine verschlüsselte Verbindung oder ein separates Netz erfolgen. Es müssen in regelmäßigen Abständen Integritätstests der eingesetzten Software durchgeführt werden.) Eine derartige Prüfung ist wie folgt durchzuführen: • • • • • • • • • • Überprüfung der Installation von außen interne Überprüfung der Internet-Sicherheitspolitik interne Überprüfung der Konfiguration interne Durchführung eventuell notwendiger Korrekturen erneute Prüfung von außen Dabei sind die folgenden Punkte zu beachten: Alle Filterregeln müssen korrekt umgesetzt sein. dass nur die Dienste zugelassen werden. dass alle Verbindungen. auch Screening. da die Gefahr besteht. Dies könnte z. keine Möglichkeit haben Dienste des Internets zu benutzen. Es muss die Regel "Alles. (Vgl. direkt über die Konsole. ein/e Benutzer/in. Diese Kontrollen sollten vorzugsweise durch eine vertrauenswürdige externe Instanz erfolgen. dürfen sich Administrator und Revisor nur über einen vertrauenswürdigen Pfad authentisieren. 352 . Um ein Mitlesen oder Verändern der Authentisierungsinformationen zu verhindern. eine Firewall regelmäßig (etwa einmal pro Quartal) durch eine geeignete Instanz kontrollieren zu lassen. dass Firewall-Administratoren durch Gewöhnungseffekte und Routinearbeit bestimmte Sicherheitslücken übersehen könnten. So darf z. ist verboten" realisiert sein.

die nicht benötigt werden. der durch eine/n Angreifer/in provoziert wird.4.2. entfernt werden.• • • • Die Firewall muss auf ihr Verhalten bei einem Systemabsturz getestet werden. Das Verbleiben von Software muss dokumentiert und begründet werden. damit keine alten oder fehlerhaften Access-Listen bei einem Neustart benutzt werden. dass für den sicheren Betrieb der Firewall relevante Dateien wie Access-Listen. Siehe dazu: 10. Auf den eingesetzten Komponenten dürfen nur Programme. vorhanden sein. sondern auch das weit schwieriger zu lösende Problem der Erkennung von ActiveX-Controls. 11.6. 11.6. Java-Applets oder Scripting-Programmen mit einer Schadfunktion. die für die Funktionsfähigkeit der Firewall nötig sind.16 Firewalls und aktive Inhalte ISO Bezug: 27002 10. Beispielsweise sollten die Software für die graphische Benutzeroberfläche sowie alle Treiber. Eine der Möglichkeiten ist die Filterung durch eine Firewall. die durch die Übertragung aktiver Inhalte zu den Rechnern im zu schützenden Netz entstehen. Der Einsatz dieser Programme muss ausführlich dokumentiert und begründet werden. Insbesondere darf kein automatischer Neustart möglich sein. 10. müssen diese streng kontrolliert und insbesondere auf Seiteneffekte überprüft werden.4. Diese sollten auch aus dem Betriebssystem-Kern entfernt werden. 10. die verhältnismäßig einfach auch auf den Rechnern der Anwender/innen durchgeführt werden kann. Bei einem Ausfall der Firewall muss sichergestellt sein.11 Schutz vor aktiven Inhalten [eh SYS 8. [eh SYS 8. Hierunter fällt nicht nur die Erkennung und Beseitigung von Viren.7 Eines der größten Probleme bei der Konzeption einer Firewall ist die Behandlung der Probleme. Die Kontrolle aktiver Inhalte kann auf verschiedene Weise geschehen.10. Die Access-Listen sind die wesentlichen Daten für den Betrieb der Firewall und müssen besonders gesichert werden. und die AccessListen müssen auf einem schreibgeschützten Medium speicherbar sein.4] 10.5] 353 .6. Passwortdateien oder Filterregeln auf dem aktuellsten Stand sind. Beim Wiedereinspielen von gesicherten Datenbeständen muss darauf geachtet werden. Falls nachträgliche Änderungen der Sicherheitspolitik erforderlich sind. dass in dieser Zeit keine Netzverbindungen aus dem zu schützenden Netz heraus oder zu diesem aufgebaut werden können.

die zum Aufbau sicherer Teilnetze eingesetzt werden.7.3 Da im Internet die Daten über nicht vorhersagbare Wege und Knotenpunkte verschickt werden. Zudem kann ein/e Angreifer/in. Die Ver. der/die einen externen Informationsserver unter seine/ihre Kontrolle gebracht hat. die verschlüsselte Kommunikation nicht belauschen. So könnte eine Hardwarelösung im Paketfilter als Schlüsselgerät arbeiten.17 Firewalls und Verschlüsselung ISO Bezug: 27002 10. 11.6. die z. 11. wenn keine unverschlüsselte Kommunikation über dieses Gerät gehen soll.4. 12.bzw. Zum Aufbau von verschlüsselten Verbindungen können eine Vielzahl von Hard. Die Integration der Verschlüsselung auf dem Application Gateway hat dagegen den Vorteil einer leichteren Benutzerverwaltung. 10. Dies ist insbesondere dann sinnvoll.4.6. und Verschlüsselung auf den Endgeräten. kann der Aufbau von virtuellen privaten Netzen (VPNs) sinnvoll sein.2. 354 . von Benutzerinnen/Benutzern bedarfsabhängig eingesetzt wird.2. wenn entsprechende Mechanismen schon in den unteren Schichten des Protokolls vorgesehen würden. auf Netzkoppelelementen. Entschlüsselung kann auf verschiedenen Geräten erfolgen. Hierbei wäre es sinnvoll.und Softwarelösungen eingesetzt werden. sollten die versandten Daten möglichst nur verschlüsselt übertragen werden.6. Sollen hierbei nur wenige Liegenschaften miteinander verbunden werden. damit Unbefugte keinen Zugriff darauf nehmen können.4. Dafür sollten alle Verbindungen von und zu diesen Partnern verschlüsselt werden.10. Verschlüsselung auf der Firewall: Um mit externen Kommunikationspartnern Daten über ein offenes Netz auszutauschen und /oder diesen Zugriff auf das eigene Netz zu geben.B. sind insbesondere Hardwarelösungen basierend auf symmetrischen kryptographischen Verfahren eine einfache und sichere Lösung. Zunächst sollte aber unterschieden werden zwischen • • Verschlüsselung auf der Firewall bzw.

bietet sich auch der Gebrauch von Mechanismen an. 12. d.2. Die Verschlüsselung von Daten stellt andererseits aber auch ein großes Problem für den wirksamen Einsatz von Firewalls dar. Auch die Protokollierungsmöglichkeiten werden durch eine Verschlüsselung stark eingeschränkt.6.Verschlüsselung auf den Endgeräten: Zum Schutz der Vertraulichkeit bestimmter Daten.7.B.h. 10. Andererseits sind die Daten selbst dann geschützt. Wenn die Übertragung verschlüsselter Daten über die Firewall zugelassen wird (z. die Nutzdaten z.3 355 .6. insbesondere bei der Versendung von E-Mails. nur zu ausgewählten Zielsystemen.6] 10.1. die eine Ende-zu-Ende-Verschlüsselung ermöglichen.6. Hierfür wird zum Beispiel häufig das frei verfügbare Programmpaket PGP (Pretty Good Privacy) eingesetzt.U.3. dies hängt von den Anforderungen im Einzelfall ab. u. 10.B. von bestimmten internen Rechnern den Aufbau von SSL/TLS-Verbindungen zu erlauben. in Hinblick auf Viren oder andere Schadprogramme zu kontrollieren.B. Eine generelle Empfehlung für oder gegen den Einsatz von Verschlüsselung über oder an der Firewall kann nicht gegeben werden.18 Einsatz von Verschlüsselungsverfahren zur Netzkommunikation ISO Bezug: 27002 10. SSL/ TLS).B. z. wenn ein/e Angreifer/in das Application Gateway unter seine/ihre Kontrolle gebracht hat. Eine erste ad-hoc-Lösung könnte darin bestehen. den Filtern. die eine Verschlüsselung der übertragenen Daten (z. Die Verschlüsselung auf den Endsystemen wird auf absehbare Zeit noch applikationsgebunden sein. Für eine vertrauenswürdige Datenübertragung mit ausgewählten Partnern im Internet sollten telnet und ftp Programme eingesetzt werden. SSL oder PGP. sind Filter auf der Anwendungsschicht nicht mehr in der Lage. Eine temporäre Entschlüsselung auf einer Filterkomponente zu Analysezwecken ist weder praktikabel noch wünschenswert.2. mittels SSH oderSSL/TLS) unterstützen. durch den Einsatz von S/MIME. [eh SYS 8.

Kommunikationsnetze transportieren Daten zwischen IT-Systemen. Dabei werden die Daten selten über eine dedizierte Kommunikationsleitung zwischen den an der Kommunikation beteiligten Partnern übertragen. Vielmehr werden die Daten über viele Zwischenstationen geleitet. Je nach Kommunikationsmedium und verwendeter Technik können die Daten von den Zwischenstationen unberechtigt abgehört werden, oder auch von im jeweiligen Vermittlungsnetz angesiedelten Dritten (z.B. bei der Verwendung des Ethernetprotokolls ohne Punkt-zu-PunktVernetzung). Da die zu übertragenden Daten nicht von unberechtigten Dritten abgehört, verändert oder zur späteren Wiedereinspeisung in das Netz (ReplayAttacke) benutzt werden sollen, muss ein geeigneter Mechanismus eingesetzt werden, der dies verhindert. Verschlüsselung der Daten mit - wenn nötig gegenseitiger Authentifizierung der Kommunikationspartner kann diese Gefahr (je nach Stärke des gewählten Verschlüsselungsverfahrens sowie der Sicherheit der verwendeten Schlüssel) reduzieren. In der Regel kommunizieren Anwendungen miteinander, um anwendungsbezogene Informationen auszutauschen. Die Verschlüsselung der Daten kann nun auf mehreren Ebenen erfolgen:

• • •

Auf Applikationsebene: Die kommunizierenden Applikationen müssen dabei jeweils über die entsprechenden Ver- und Entschlüsselungsmechanismen verfügen. Auf Betriebssystemebene: Die Verschlüsselung wird vom lokalen Betriebssystem durchgeführt. Jegliche Kommunikation über das Netz wird automatisch oder auf Anforderung verschlüsselt. Auf Netzkoppelelementebene: Die Verschlüsselung findet zwischen den Netzkoppelelementen (z.B. Router) statt.

Die einzelnen Mechanismen besitzen spezifische Vor- und Nachteile. Die Verschlüsselung auf Applikationsebene hat den Vorteil, dass die Verschlüsselung vollständig der Kontrolle der jeweiligen Applikation unterliegt. Ein Nachteil ist, dass zur verschlüsselten Kommunikation nur eine mit demselben Verschlüsselungsmechanismus ausgestattete Partnerapplikation in Frage kommt. Weiterhin können entsprechende Authentifizierungsmechanismen zwischen den beiden Partnerapplikationen zur Anwendung kommen. Im Gegensatz dazu findet die Verschlüsselung im Fall der Verschlüsselung auf Betriebssystemebene transparent für jede Applikation statt. Jede Applikation kann mit jeder anderen Applikation verschlüsselt kommunizieren, sofern das Betriebssystem, unter dem die Partnerapplikation abläuft, über den Verschlüsselungsmechanismus verfügt. Nachteilig wirkt sich hier aus, dass bei einer Authentifizierung lediglich die Rechner gegenseitig authentifiziert werden können, und nicht die jeweiligen Partnerapplikationen. 356

Der Einsatz von verschlüsselnden Netzkoppelelementen besitzt den Vorteil, dass applikations- und rechnerseitig keine Verschlüsselungsmechanismen vorhanden sein müssen. Die Verschlüsselung ist auch hier transparent für die Kommunikationspartner, allerdings findet die Kommunikation auf der Strecke bis zum ersten verschlüsselnden Netzkoppelelement unverschlüsselt statt und birgt damit ein Restrisiko. Authentifizierung ist hier nur zwischen den Koppelelementen möglich. Die eigentlichen Kommunikationspartner werden hier nicht authentifiziert. Werden sensitive Daten über ein Netz (auch innerhalb des Intranets) übertragen, empfiehlt sich der Einsatz von Verschlüsselungsmechanismen. Bieten die eingesetzten Applikationen keinen eigenen Verschlüsselungsmechanismus an oder wird das angebotene Verfahren als zu schwach eingestuft, so sollte von der Möglichkeit der betriebssystemseitigen Verschlüsselung Gebrauch gemacht werden. Hier bieten sich z.B. Verfahren wie SSL/TLS an, die zur transparenten Verschlüsselung auf Betriebssystemebene entworfen wurden. Je nach Sicherheitspolitik können auch verschlüsselnde Netzkoppelelemente eingesetzt werden, etwa um ein virtuelles privates Netz (VPN) mit einem Kommunikationspartner über das Internet zu realisieren. Entsprechende Softwaremechanismen sind in der Regel auch in Firewall-Systemen verfügbar. Erfolgt der Zugang auf sensible Daten über einen externen Zugang, so sind kryptographische Einmalverfahren mit einer Besitzkomponente einzusetzen. Wegen der einheitlichen Administrierbarkeit wird empfohlen für den Zugang die Bürgerkarte/ Dienstkarte und MOA-ID zu verwenden [IKTB-140605-01] . Beim Einsatz von verschlüsselter Kommunikation und gegenseitiger Authentifizierung sind umfangreiche Planungen im Rahmen der Sicherheitspolitik eines Unternehmens bzw. einer Behörde nötig. Im Rahmen der hier angesprochenen Kommunikationsverschlüsselungen sind insbesondere folgende Punkte zu beachten:

• • • • • •

Welche Verfahren sollen zur Verschlüsselung benutzt werden bzw. werden angeboten (z.B. in Routern)? Unterstützen/Nutzen die eingesetzten Verschlüsselungsmechanismen existierende oder geplante Standards (IPSec, IPv6, IKE; SSL, TLS); vergleiche dazu auch 10.8.6 Geeignete Auswahl eines E-Mail-Clients/Server zu Zugang zu E-Mail. Sind gemäß der Sicherheitspolitik ausreichend starke Verfahren und entsprechend lange Schlüssel gewählt worden? Werden die Schlüssel sicher aufbewahrt? Werden die Schlüssel in einer sicheren Umgebung erzeugt, und gelangen sie auf sicherem Weg zum notwendigen Einsatzpunkt (Rechner, Softwarekomponente)? Sind Schlüssel-Recovery-Mechanismen nötig?

357

Ähnliche Fragestellungen sind bei der Nutzung von Zertifikaten zur Authentifizierung von Kommunikationspartnern zu beachten. Im Bereich der öffentlichen Verwaltung sind außerdem bezüglich der Verschlüsselung des E-Mail-Verkehrs entsprechende Vorgaben, wie etwa die Vorgabe der Eigenschaften von Verschlüsselungszertifikaten gemäß des IKT-BoardBeschlusses [IKTB-181202-1] zu beachten. [eh SYS 8.17]

10.7 Betriebsmittel und Datenträger
In diesem Kapitel werden generelle Richtlinien zum Umgang mit Betriebsmitteln und Datenträgern gegeben. Der Umgang mit Datenträgern und den darauf gespeicherten Informationen ist in der "InformationssicherheitsPolitik" einer Organisation festzulegen (vgl. dazu 5.2.5 Klassifizierung von Informationen ). Diese Klassifikation und die damit verbundene Festlegung der Verantwortlichkeiten und Vorgehensweisen stellen eine wesentliche Grundlage für die IT-Sicherheit einer Organisation dar. Insbesondere sei darauf hingewiesen, dass einerseits die Klassifizierung der Daten national durch das Datenschutzgesetz 2000 (DSG 2000) sowie durch das Informationssicherheitsgesetz (InfoSiG) geregelt wird. International bzw. im EURaum ist der "Beschluss des Rates vom 19. März 2001 über die Annahme der Sicherheitsvorschriften des Rates" (2001/264/EG) einzuhalten, der die Verbindung zwischen den nationalen Klassifizierungen und Richtlinien darstellt. Dies ist gegebenenfalls in der Informationssicherheits-Politik zu berücksichtigen.

10.7.1 Betriebsmittelverwaltung
ISO Bezug: 27002 7.1, 10.7.2 Betriebsmittel für den IT-Einsatz sind alle erforderlichen Mittel wie Hardwarekomponenten (Rechner, Tastatur, Drucker, ...), Software (Systemsoftware, Individualprogramme, Standardsoftware u.ä.), Verbrauchsmaterial (Papier, Toner, Druckerpatronen), Datenträger (Magnetbänder, Disketten, Streamertapes, Festplatten, Wechselplatten, CD-ROMs u.ä.). Die Betriebsmittelverwaltung umfasst folgende Aufgaben:

• •
358

Beschaffung, Prüfung vor Einsatz,

• • •

Kennzeichnung, Bestandsführung und Außerbetriebnahme.

Beschaffung:
Neben reinen Wirtschaftlichkeitsaspekten kann durch ein geregeltes Beschaffungsverfahren auch die Neu- und Weiterentwicklung im Bereich der Informationstechnik stärker berücksichtigt werden. Eine zentrale Beschaffung sichert auch die Einführung und Einhaltung eines "Hausstandards" und vereinfacht damit die Schulung der Mitarbeiter/innen und die Wartung.

Prüfverfahren vor Einsatz:
Mit einem geregelten Prüfverfahren vor Einsatz der Betriebsmittel lassen sich unterschiedliche Gefährdungen abwenden. Beispiele dafür sind:

• • • •

Überprüfung der Vollständigkeit von Lieferungen (z.B. Handbücher), um die Verfügbarkeit aller Lieferteile zu gewährleisten, Test neuer PC-Software sowie neuer vorformatierter Datenträger mit einem Virensuchprogramm, Testläufe neuer Software auf speziellen Testsystemen, Überprüfung der Kompatibilität neuer Hardware- und Softwarekomponenten mit den vorhandenen.

Bestandsführung:
Alle wesentlichen Betriebsmittel sollten mit eindeutigen Identifizierungsmerkmalen gekennzeichnet werden. Zusätzlich sollten die Seriennummern vorhandener Geräte wie Bildschirm, Drucker, Festplatten etc. dokumentiert werden, damit sie nach einem Diebstahl identifiziert werden können. Für die Bestandsführung müssen die Betriebsmittel in Bestandsverzeichnissen aufgelistet werden. Ein solches Bestandsverzeichnis muss Auskunft geben können über Identifizierungsmerkmale, Beschaffungsquellen, Lieferzeiten, Verbleib der Betriebsmittel, Lagerhaltung, Aushändigungsvorschriften, Wartungsverträge und Wartungsintervalle.

359

Eine ordnungsgemäße Bestandsführung erleichtert nicht nur die Verbrauchsermittlung und Veranlassung von Nachbestellungen, sondern ermöglicht auch Vollständigkeitskontrollen, die Überprüfung des Einsatzes von nicht genehmigter Software oder die Feststellung der Entwendung von Betriebsmitteln. Im Bundesbereich gibt es Vorschriften über die Bestandsführung, die "Richtlinien für die Inventar- und Materialverwaltung (RIM)". Die dort vorgesehenen Aufzeichnungen reichen für einen sicheren EDV-Betrieb nicht aus. Die für den sicheren Betrieb zuständige Organisationseinheit muss daher eigene, entsprechend erweiterte Aufzeichnungen führen. [eh SYS 2.1]

10.7.2 Datenträgerverwaltung
ISO Bezug: 27002 10.7.1 Die Datenträgerverwaltung stellt einen Teil der Betriebsmittelverwaltung dar. Ihre Aufgabe ist es, den Zugriff auf Datenträger im erforderlichen Umfang und in angemessener Zeit zu gewährleisten. Neben den in 10.7.1 Betriebsmittelverwaltung angeführten Maßnahmen ist für die Verwaltung von Datenträgern zusätzlich zu beachten:

• • •

Die äußerliche Kennzeichnung von Datenträgern soll deren schnelle Identifizierung ermöglichen, jedoch für Unbefugte keine Rückschlüsse auf den Inhalt erlauben (z.B. die Kennzeichnung eines Datenträgers mit dem Stichwort "Gehaltsdaten"), um einen Missbrauch zu erschweren. Eine festgelegte Struktur von Kennzeichnungsmerkmalen (z.B. Datum, Ablagestruktur, lfd. Nummer) erleichtert die Zuordnung in Bestandsverzeichnissen. Für eine sachgerechte Behandlung von Datenträgern sind die Herstellerangaben zu beachten. Hinsichtlich der Aufbewahrung von Datenträgern sind einerseits Maßnahmen zur Lagerung (magnetfeld-/staubgeschützt, klimagerecht) und andererseits Maßnahmen zur Verhinderung des unbefugten Zugriffs (geeignete Behältnisse, Schränke, Räume) zu treffen. Versand und Transport: Die Verpackung des Datenträgers ist an seiner Schutzbedürftigkeit auszurichten. Hier sind die in der InformationssicherheitsPolitik festzulegenden Regeln umzusetzen (etwa Versand nur in verschlossenen/versiegelten Behältnissen, durch Kurierdienst, in chiffrierter Form, etc.). Der Datenträger darf über die zu versendenden Daten hinaus keine "Restdaten" enthalten. Dies kann durch physikalisches Löschen erreicht werden (s. auch unten "Wiederaufbereitung").

360

• •

Vor Versand oder Weitergabe wichtiger Datenträger sollte eine Sicherungskopie erstellt werden. Das Anfertigen von Kopien ist zu dokumentieren und die Kopien sind als solche zu kennzeichnen. Wiederaufbereitung: Eine geregelte Vorgehensweise für die Löschung bzw. Wiederaufbereitung von Datenträgern verhindert den Missbrauch der gespeicherten Daten. Vor der Wiederverwendung von Datenträgern, die schutzwürdige Daten enthalten haben, müssen diese Daten in irreversibler Form gelöscht werden. Außerbetriebnahme, Reparaturtausch: Datenträger, die schutzwürdige Daten enthalten und außer Betrieb genommen oder im Zuge einer Reparatur ausgetauscht werden sollen, sind mechanisch zu zerstören (vgl. dazu auch ÖNORM S 2109 Akten- und Datenvernichtung sowie 12.7 Wartung ).

Für den Fall, dass von Dritten erhaltene Datenträger eingesetzt werden, sind Regelungen über deren Behandlung vor dem Einsatz zu treffen. Werden zum Beispiel Daten für PCs übermittelt, sollte generell ein Viren-Check des Datenträgers erfolgen. Dies gilt entsprechend auch vor dem erstmaligen Einsatz neuer Datenträger. Es ist empfehlenswert, nicht nur beim Empfang, sondern auch vor dem Versenden von Datenträgern diese auf Viren zu überprüfen. Vgl. dazu auch Kap. 10.4 Virenschutz . [eh SYS 2.2]

10.7.3 Datenträgeraustausch
ISO Bezug: 27002 10.7.3, 10.8.2, 10.8.3

Kennzeichnung der Datenträger beim Versand
Neben den in 10.7.2 Datenträgerverwaltung dargestellten Umsetzungshinweisen ist bei einer ausreichenden Kennzeichnung von auszutauschenden Datenträgern darauf zu achten, dass Absender/in und (alle) Empfänger/innen unmittelbar zu identifizieren sind. Die Kennzeichnung muss den Inhalt des Datenträgers eindeutig für den/die Empfänger/in erkennbar machen. Es ist jedoch bei schützenswerten Informationen wichtig, dass diese Kennzeichnung für Unbefugte nicht interpretierbar ist. Darüber hinaus sollten die Datenträger mit den für das Auslesen notwendigen Parametern gekennzeichnet werden. Das Versanddatum, eventuelle Versionsnummern oder Ordnungsmerkmale können gegebenenfalls nützlich sein.

361

Regelung des Datenträgeraustausches
Sollen zwischen zwei oder mehreren Kommunikationspartnern Datenträger ausgetauscht werden, so sind zum ordnungsgemäßen Austausch einige Punkte zu beachten. Zum Beispiel:

Die Adressierung muss eindeutig erfolgen, um eine fehlerhafte Zustellung zu vermeiden. So sollte neben dem Namen der Empfängerin bzw. des Empfängers auch die Organisationseinheit und die genaue Bezeichnung der Behörde/ des Unternehmens angegeben sein. Entsprechendes gilt für die Adresse der Absenderin oder des Absenders. Dem Datenträger sollte (optional) ein Datenträgerbegleitzettel beigelegt werden, der Absender/in, Empfänger/in, Art des Datenträgers, Seriennummer, Identifikationsmerkmale für den Inhalt des Datenträgers, Datum des Versandes, ggf. Datum bis wann der Datenträger spätestens den/die Empfänger/in erreicht haben muss, sowie Parameter, die zum Lesen der Informationen benötigt werden (z.B. Bandgeschwindigkeit) enthält. Bei regelmäßigem Austausch von Datenträgern zwischen den gleichen Partnern empfiehlt es sich, dafür stets die gleichen Datenträger zu verwenden, so dass bei einem ev. Fehler bei der Wiederaufbereitung (vgl. 10.7.2 Datenträgerverwaltung ) die potentiellen Auswirkungen möglichst gering gehalten werden. Abhängig von den Regelungen der Informationssicherheits-Politik sind Datenträger, die Daten hoher Vertraulichkeitsstufen enthalten, beim Transport durch Dritte entweder zu verschlüsseln, oder in entsprechend versperrten Behältnissen zu transportieren

Nicht vermerkt werden sollte,

• • •

welches Passwort für die eventuell geschützten Informationen vergeben wurde, welche Schlüssel ggf. für eine Verschlüsselung der Informationen verwendet wurde, welchen Inhalt der Datenträger hat.

Der Versand des Datenträgers kann (optional) dokumentiert werden. Für jede stattgefundene Übermittlung ist dann in einem Protokoll festzuhalten, wer wann welche Informationen erhalten hat. Je nach Schutzbedarf beziehungsweise Wichtigkeit der übermittelten Informationen ist der Empfang zu quittieren und ein Quittungsvermerk dem erwähnten Protokoll beizufügen. Es sind jeweils Verantwortliche für den Versand und für den Empfang zu benennen.

362

[eh SYS 2.3]

10.8 Informationsaustausch / E-Mail
Der Austausch von Informationen zwischen Organisationen und Organisationseinheit bedarf der Entwicklung geeigneter Richtlinien und der Anwendung sicherer Verfahren zum Schutz der ausgetauschten Informationen und der dabei verwendeten Datenträger. Austauschvereinbarungen mit den Kommunikationspartnern und die einschlägigen Gesetze sind dabei einzuhalten

10.8.1 Richtlinien beim Datenaustausch mit Dritten
ISO Bezug: 27002 6.2.2, 6.2.3, 10.8.1, 10.8.2 Beim regelmäßigen Datenaustausch mit Dritten ist die Festlegung von Richtlinien bzw. der Abschluss von Vereinbarungen mit allen Beteiligten sinnvoll. Dabei spielt es keine Rolle, wie der Datenaustausch selbst erfolgt (Datenträgeraustausch, EMail, etc.). In einer derartigen Vereinbarung können Angaben zu folgenden Punkten enthalten sein:

• • • • • • • • •

Bestimmung der Verantwortlichen Benennung von Ansprechpartnerinnen bzw. Ansprechpartnern (in technischen, organisatorischen und sicherheitstechnischen Belangen) existiert ein Non-Disclosure-Agreement (NDA) Festlegung der Datennutzung welche Anwendungen und Datenformate sind zu verwenden wie und wo erfolgt die Prüfung auf Virenfreiheit wann dürfen Daten gelöscht werden Regelung des Schlüsselmanagements, falls erforderlich Einhaltung einschlägiger Gesetze (bspw. Datenschutzgesetz 2000 (DSG 2000) , etc.)

Weitere Punkte, die in eine solche Vereinbarung aufgenommen werden sollten, finden sich in 10.7.2 Datenträgerverwaltung und 10.7.3 Datenträgeraustausch [eh SYS 1.9]

363

10.8.2 Festlegung einer Sicherheitspolitik für E-Mail-Nutzung
ISO Bezug: 27002 10.4, 10.8, 10.9, 11.4 Vor der Freigabe von E-Mail-Systemen sollte festgelegt werden, für welchen Einsatz E-Mail vorgesehen ist. Abhängig davon differieren auch die Ansprüche an Vertraulichkeit, Verfügbarkeit, Integrität und Verbindlichkeit der zu übertragenden Daten sowie des eingesetzten E-Mail-Programms. Es muss geklärt werden, ob über E-Mail ausschließlich unverbindliche oder informelle Informationen weitergegeben werden sollen oder ob einige oder sogar alle der bisher schriftlich bearbeiteten Geschäftsvorfälle nun per E-Mail durchgeführt werden sollen. Bei letzterem ist zu klären, wie Anmerkungen an Vorgängen wie Verfügungen, Abzeichnungen oder Schlusszeichnungen, die bisher handschriftlich angebracht wurden, elektronisch abgebildet werden sollen. Weiters ist festzulegen, ob und in welchem Rahmen eine private Nutzung von E-Mail erlaubt ist. Die Organisation muss eine E-Mail-Sicherheitspolitik festlegen, in der folgende Punkte beschrieben sind:

• • • • • •

Wer einen E-Mail-Anschluss erhält, welche Regelungen von den Mail-Administratoren und den E-MailBenutzerinnen/Benutzern zu beachten sind (vgl. 10.8.3 Regelung für den Einsatz von E-Mail und anderen Kommunikationsdiensten ), bis zu welchem Vertraulichkeits- bzw. Integritätsanspruch Informationen per EMail versandt werden dürfen , ob und unter welchen Rahmenbedingungen eine private Nutzung von E-Mail erlaubt ist, wie die Benutzer/innen geschult werden und wie jederzeit technische Hilfestellung für die Benutzer/innen gewährleistet wird.

Durch organisatorische Regelungen oder durch die technische Umsetzung sind dabei insbesondere die folgenden Punkte zu gewährleisten:

• •

Für Organisationen im öffentlichen Bereich sind die im Rahmen der InternetPolicy [IKT-IPOL] enthaltenen E-Mail Richtlinien [IKT-MPOL] gemäß IKT-BoardBeschluss vom 17.09.2002 [IKTB-170902-1] umzusetzen. Die E-Mail-Progamme der Benutzer/innen müssen durch die Systemadministration so vorkonfiguriert sein, dass ohne weiteres Zutun der Benutzer/innen maximale Sicherheit erreicht werden kann (siehe auch 10.8.7 Sichere Konfiguration der Mailclients ).

364

• • • • •

• •

Für E-Mail-Adressen sind Namenskonventionen festzulegen. Insbesondere ist darauf zu achten, dass Sonderzeichen (Umlaute, ...) vermieden werden, da diese inhaltlich nicht einheitlich codiert sind. (vgl. E-Mail Richtlinien [IKTMPOL] im Rahmen der Internet-Policy [IKT-IPOL] gemäß [IKTB-170902-1] für Organisationen der öffentlichen Verwaltung zur Anwendung empfohlen) Für E-Mail-Adressen in Behörden bzw. in Organisationen der öffentlichen Verwaltung ist die in der anzuwendenden E-Mail-Policy enthaltene NamingPolicy empfohlen. (gemäß [IKTB-170902-1] ). Neben personenbezogenen E-Mail-Adressen können auch organisations- bzw. funktionsbezogene E-Mail-Adressen eingerichtet werden. Dies ist insbesondere bei zentralen Anlaufstellen wichtig. Die Übermittlung von Daten darf erst nach erfolgreicher Identifizierung und Authentisierung des Senders beim Übertragungssystem möglich sein. Die Benutzer/innen müssen vor erstmaliger Nutzung von E-Mail in die Handhabung der relevanten Applikationen eingewiesen werden. Die organisationsinternen Benutzerregelungen zur Dateiübermittlung müssen ihnen bekannt sein. Zur Beschreibung des Absenders werden bei E-Mails so genannte Signatures (Absenderangaben) an das Ende der E-Mail angefügt. Der Inhalt einer Signature sollte dem eines Briefkopfs ähneln, also Name, Organisationsbezeichnung und Telefonnummer u.ä. enthalten. Eine Signature sollte nicht zu umfangreich sein, da dies nur unnötig Übertragungszeit und Speicherplatz kostet. Die Behörde bzw. das Unternehmen sollte einen Standard für die einheitliche Gestaltung von Signatures festlegen. Von den eingesetzten Sicherheitsmechanismen hängt es ab, bis zu welchem Vertraulichkeitsanspruch Dateien per E-Mail versandt werden dürfen. Es ist grundsätzlich festzulegen, ob Mails bzw. Attachments in verschlüsselter Form übertragen werden dürfen. Dies erhöht zwar die Sicherheit gegen unautorisiertes Lesen oder Verändern, erschwert aber die Suche nach Viren oder macht sie gänzlich unmöglich. Ist der Einsatz von Verschlüsselungsverfahren prinzipiell erlaubt, so sollte geregelt werden, ob und wann übertragene Dateien verschlüsselt werden müssen (siehe auch 12.6 Einsatz kryptographischer Maßnahmen ). Gleichermaßen ist festzulegen, ob und in welcher Form kryptographische Mechanismen zur Überprüfung der Integrität von Daten (MACs, Digitale Signaturen, ...) eingesetzt werden dürfen bzw. müssen. Es ist zentral festzulegen, welche Applikationen für die Verschlüsselung bzw. den Einsatz von elektronischen Signaturen von den Benutzerinnen/Benutzern zu verwenden sind. Diese müssen den Benutzerinnen/Benutzern zur Verfügung gestellt werden, die wiederum in deren Anwendung unterwiesen werden müssen. Für Organisationen der Öffentlichen Verwaltung sind die „Richtlinien für EMail Zertifikate in der Verwaltung“ [IKT-MZERT] gemäß IKT-Board Beschluss [IKTB-230903-17] zu beachten. Es sollte festgelegt werden, unter welchen Bedingungen ein- oder ausgehende E-Mails zusätzlich ausgedruckt werden müssen. 365

• •

Die Dateiübertragung kann (optional) dokumentiert werden. Für jede stattgefundene Übermittlung ist dann in einem Protokoll festzuhalten, wer wann welche Informationen erhalten hat. Bei der Übertragung personenbezogener Daten sind die gesetzlichen Vorgaben zur Protokollierung zu beachten. Ob und wie ein externer Zugang zu E-Mail Diensten technisch und organisatorisch realisiert werden soll, ist zu prüfen und muss festgelegt werden. Technisch ist ein E-Mail-Zugang von Außen geeignet abzusichern, z.B. VPN, etc. In Organisationen der öffentlichen Verwaltung ist gemäß IKT-Board Beschluss [IKTB-110903-8] die Möglichkeit der Identifikation und Authentifikation mittels Bürgerkarte zu beachten.

E-Mails, die intern versandt werden, dürfen das interne Netz nicht verlassen. Dies ist durch die entsprechenden administrativen Maßnahmen sicherzustellen. Beispielsweise sollte die Übertragung von E-Mails zwischen verschiedenen Liegenschaften einer Organisation über eigene Standleitungen und nicht über das Internet erfolgen. Durch heutige Techniken (z.B. VPN) entfällt diese Forderung, wenn Nachrichten entsprechend verschlüsselt werden. [eh SYS 8.7]

10.8.3 Regelung für den Einsatz von E-Mail und anderen Kommunikationsdiensten
ISO Bezug: 27002 10.4, 10.8, 10.9, 11.2.4, 11.4, 15.2 Für den Einsatz von E-Mails sind u.a. folgende Punkte zu beachten:

• • • • •
366

Die Adressierung von E-Mail muss eindeutig erfolgen, um eine fehlerhafte Zustellung zu vermeiden. Innerhalb einer Organisation sollten Adressbücher und Verteilerlisten gepflegt werden, um die Korrektheit der gebräuchlichsten Adressen sicherzustellen. Durch den Versand von Testnachrichten an neue EMail-Adressen ist die korrekte Zustellung von Nachrichten zu prüfen. Für alle nach außen gehenden E-Mails ist eine Signatur (Absenderangabe am Ende der Mail) zu verwenden. Ausgehende E-Mails sollten protokolliert werden, da E-Mails auch "verschwinden" können. Die Betreffangabe (Subject) des Kommunikationssystems sollte immer ausgefüllt werden, z.B. entsprechend der Betreffangabe in einem Anschreiben. Die Korrektheit der durchgeführten Datenübertragung sollte überprüft werden. Die Empfängerseite sollte den korrekten Empfang überprüfen und der Senderseite bestätigen. Verwendung residenter Virenscanner für ein- bzw. ausgehende Dateien: Vor dem Absenden bzw. vor der Dateiübermittlung sind die ausgehenden Dateien explizit auf Viren zu überprüfen.

Erfolgt über die E-Mail auch eine Dateiübertragung, so sollten die folgenden Informationen an den/die Empfänger/in zusätzlich übermittelt werden:

ggf. Art der eingesetzten Software für Verschlüsselung bzw. Elektronischen Signatur. Jedoch sollte nicht vermerkt werden: welches Passwort für die eventuell geschützten Informationen vergeben wurde, • welche Schlüssel ggf. für eine Verschlüsselung der Informationen verwendet wurde. Regelmäßiges Löschen von E-Mails: E-Mails sollten nicht unnötig lange im Posteingang gespeichert werden. Sie sollten entweder nach dem Lesen gelöscht werden oder in Benutzerverzeichnissen gespeichert werden, wenn sie erhalten bleiben sollen. Viele Mailprogramme löschen E-Mails nicht sofort, sondern transferieren sie in spezielle Ordner. Benutzer/innen müssen darauf hingewiesen werden, wie sie E-Mails auf ihren Clients vollständig löschen können.

• • • • • •

Art der Datei (z.B. MS Word), Kurzbeschreibung über den Inhalt der Datei, Hinweis, dass Dateien auf Viren überprüft sind, ggf. Art des verwendeten Packprogramms (z.B. PKZIP)

Bei den meisten E-Mail-Systemen werden die Informationen unverschlüsselt über offene Leitungen transportiert und können auf diversen Zwischenrechnern gespeichert werden, bis sie schließlich ihre/n Empfänger/in erreichen. Auf diesem Weg können Informationen leicht manipuliert werden. Aber auch der/die Versender/ in einer E-Mail hat meistens die Möglichkeit, seine/ihre Absenderadresse (From) beliebig einzutragen, so dass grundsätzlich gilt, dass man sich nicht auf die Echtheit der Absenderangabe verlassen und sich nur nach Rückfrage oder bei Benutzung von Digitalen Signaturen der Authentizität des Absenders sicher sein kann. In Zweifelsfällen sollte daher die Echtheit des Absenders durch Rückfrage oder durch den Einsatz von Verschlüsselung und/oder Digitalen Signaturen (vgl. 12.6 Einsatz kryptographischer Maßnahmen ) überprüft werden. Es ist allerdings zu beachten, dass verschlüsselte Nachrichten im Allgemeinen nicht zentral auf Viren überprüft werden können (dazu wäre die zentrale Hinterlegung der notwendigen Schlüssel erforderlich). Es ist daher in der E-Mail-Sicherheitspolitik festzulegen, ob verschlüsselte Nachrichten zugelassen sind und wie damit zu verfahren ist. Wenn verschlüsselte Nachrichten nicht zugelassen sind, können diese etwa durch eine Poststelle (s. 10.8.5 Einrichtung eines Postmasters ) geblockt werden.

367

Es ist festzulegen, ob und gegebenenfalls in welchem Rahmen eine private Nutzung von E-Mail-Diensten zulässig ist. Diese Festlegung sollte im Rahmen einer Betriebsvereinbarung oder bei Abschluss des Arbeitsvertrages getroffen werden. Weiters sind auch die zulässigen Kontrollmaßnahmen des/der Arbeitgebers/ Arbeitgeberin (Protokollierung, Auswertung, ...) und die möglichen Sanktionen bei Verstößen gegen die getroffenen Vereinbarungen zu regeln. Alle Regelungen und Bedienungshinweise zum Einsatz von E-Mail sind schriftlich zu fixieren und sollten den Mitarbeiterinnen/Mitarbeitern jederzeit zur Verfügung stehen. Die Benutzer/innen müssen vor dem Einsatz von Kommunikationsdiensten wie E-Mail geschult werden, um Fehlbedienungen zu vermeiden und die Einhaltung der organisationsinternen Richtlinien zu gewährleisten. Insbesondere müssen sie hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen beim Versenden bzw. Empfangen von E-Mail sensibilisiert werden. Zur Vermeidung von Überlastung durch E-Mail sind die Mitarbeiter/innen über potentielles Fehlverhalten zu belehren. Sie sollten dabei ebenso vor der Teilnahme an E-Mail-Kettenbriefen, vor Spams, der unnötigen Weiterverbreitung von Virenwarnungen sowie vor der Abonnierung umfangreicher Mailinglisten gewarnt werden. Benutzer/innen müssen darüber informiert werden, dass Dateien, deren Inhalt Anstoß erregen könnte, weder verschickt noch auf Informationsservern eingestellt noch nachgefragt werden dürfen. Außerdem sollten Benutzer/innen darauf verpflichtet werden, dass bei der Nutzung von Kommunikationsdiensten

• • •

die fahrlässige oder gar vorsätzliche Unterbrechung des laufenden Betriebes unter allen Umständen vermieden werden muss (vgl. dazu § 126a zu Datenbeschädigung (StGB) ). Zu unterlassen sind insbesondere Versuche, ohne Autorisierung Zugang zu Netzdiensten - welcher Art auch immer - zu erhalten, Informationen, die über die Netze verfügbar sind, zu verändern, in die individuelle Arbeitsumgebung einer Netznutzerin bzw. eines Netznutzers einzugreifen oder unabsichtlich erhaltene Angaben über Rechner und Personen weiterzugeben. die Verbreitung von für die Allgemeinheit irrelevanten Informationen unterlassen werden muss. Die Belastung der Netze durch ungezielte und übermäßige Verbreitung von Informationen sollte vermieden werden. Eindringversuche an internen/externen Netzen/Geräten zu unterlassen sind, die Verbreitung von redundanten Informationen vermieden werden sollte.

368

dass sowohl die lokale Kommunikation als auch die Kommunikation auf Seiten des öffentlichen Netzes abgesichert wird.2.8. ist der Zugriff auch für die lokalen Benutzer/innen zu unterbinden.1. Damit Unbefugte nicht über den Mailserver auf Nachrichteninhalte zugreifen können. ob die Verbindung mit den benachbarten Mailservern. Die E-Mails werden vom Mailserver bis zur Weitergabe zwischengespeichert.6. Dafür sollte er gesichert (in einem Serverraum oder Serverschrank) aufgestellt sein. • Es muss regelmäßig kontrolliert werden. 14. Der Mailserver nimmt von anderen Mailservern E-Mails entgegen und leitet sie an die angeschlossenen Benutzer/innen oder Mailserver weiter.8. dass lokale E-Mails der angeschlossenen Benutzer/innen nur intern weitergeleitet werden und nicht in das öffentliche Netz gelangen können.Für den Bereich der öffentlichen Verwaltung wurde im Rahmen des IKT-Boards als Bestandteil der "Internet-Policy" [IKT-IPOL] eine "E-Mail-Policy" [IKT-MPOL] beschlossen und zur Anwendung empfohlen [IKTB-170902-1] . 10. Der Mailserver muss hierbei sicherstellen. noch stabil ist. insbesondere dem Mailserver des Mail-Providers.B.6 Geeignete Auswahl eines E-Mail-Clients/Server zu finden. Viele Internetprovider und Administratoren archivieren zusätzlich die einund ausgehenden E-Mails. dazu § 126a zu Datenbeschädigung (StGB) ).1 Der sichere Betrieb eines Mailservers setzt voraus.8] 10.3.4. Weiters reicht der Mailserver die gesendeten E-Mails lokaler Benutzer/innen an externe Mailserver weiter. 11.. Nähere Details dazu sind auch unter dem Punkt 10. [eh SYS 8.9.8.5 Einrichtung eines Postmasters ). Für den ordnungsgemäßen Betrieb sind Administratoren und Stellvertreter zu benennen und zum Betrieb des Mailservers und des zugrunde liegenden Betriebssystems zu schulen. Es muss ein Postmaster-Account eingerichtet werden. sowie die Handhabe von E-Mail-Zertifikaten nach den "Richtlinien für E-Mail-Zertifikate in der Verwaltung" [IKT-MZERT] der Stabsstelle IKT-Strategie des Bundes (CIO) zu richten. Auf die Bereiche. an den alle unzustellbaren E-Mails und alle Fehlermeldungen weitergeleitet werden (siehe auch 10.8. Darüber hinaus sind im Bereich öffentliche Verwaltung der Externe Zugang zu E-Mail-Diensten unter Beachtung des IKT-Board Beschlusses [IKTB-110903-8] zu gestalten. muss der Mailserver gegen unbefugten Zugriff gesichert sein (vgl. Auf die Mailboxen der lokal angeschlossenen Benutzer/innen dürfen nur diese Zugriff haben. 11. in denen E-Mails nur temporär für die Weiterleitung zwischengespeichert werden (z. und 369 . Spooldateien). 10. 10.4 Sicherer Betrieb eines Mail-Servers ISO Bezug: 27002 10.4.

8. Es sollte jederzeit kurzfristig möglich sein.B. Der Mailserver sollte ein abgeschlossenes. Ein Mailserver sollte davor geschützt werden. sondern über einen oder mehrere Mailclients direkt auf den Mailserver eines Providers zugreift. muss mit dem Provider ein Dienstleistervertrag im Sinne des § 11 Datenschutzgesetz (DSG 2000) abgeschlossen werden. Demnach sind auch Maßnahmen und Empfehlungen aus 10. Umfang und Inhalt der Protokollierung der Aktivitäten des Mail-Servers sind festzulegen. auch 10. Auch über die Filterung anderer Header-Einträge kann versucht werden. Java-Applets) überprüft werden (vgl. um mögliche Angriffe auf Benutzeraccounts zu erschweren. Es ist festzulegen. Dies kann z. um sich vor Spam-Mail zu schützen. Eingehende E-Mails sollten am Firewall oder am Mailserver auf Viren und andere schädliche Inhalte wie aktive Inhalte (z. bei Verdacht auf Manipulationen. Über Filterregeln können für bestimmte E-Mail-Adressen der Empfang oder die Weiterleitung von E-Mails gesperrt werden. insbesondere sollten von der Verfügbarkeit des Mailservers keine weiteren Dienste abhängig sein. damit der Filterung keine erwünschten E-Mails zum Opfer fallen. dass er E-Mails nur für die Organisation selber entgegennimmt und nur E-Mails verschickt. Spam auszugrenzen.• ob der für die Zwischenspeicherung der Mail zur Verfügung stehende Plattenplatz noch ausreicht. da ansonsten kein weiterer Nachrichtenaustausch möglich ist.B. Entsprechende Filterlisten sind im Internet verfügbar bzw. können von verschiedenen Herstellern der Kommunikationssoftware bezogen werden. Die Benutzernamen auf dem Mailserver sollten nicht aus den E-Mail-Adressen unmittelbar ableitbar sein.6 Geeignete Auswahl eines E-Mail-Clients/Server zu beachten. ihn abzuschalten. Dafür sollte ein Mailserver so konfiguriert werden. als Spam-Relay verwendet zu werden. welche einen eigenen Mailserver unterhalten. 370 . Wenn eine Organisation keinen eigenen Mailserver betreibt. die von Mitarbeiterinnen/Mitarbeitern der Organisation stammen.B. welche Protokolle und Dienste am Mailserver erlaubt sind. Daher sollten entsprechende Filterregeln sehr genau definiert werden. Für Organisationen der öffentlichen Verwaltung. Hierbei muss mit Bedacht vorgegangen werden. sinnvoll sein. ist zusätzlich die auf Basis des IKT-Board-Beschlusses [IKTB-170902-1] empfohlene E-Mail-Policy anzuwenden. eigenes Produktionssystem sein.16 Firewalls und aktive Inhalte ).6. indem beispielsweise aus jeder Spam-Mail eine neue dedizierte Filterregel abgeleitet wird. z.

6 Geeignete Auswahl eines E-Mail-Clients/Server 371 ..5. [eh SYS 8. Zuständige Betreuer/innen (ev. der/die Absender/in ist mittels einer entsprechenden Fehlermeldung zu informieren. Empfängers/Empfängerin. ob die externen Kommunikationsverbindungen funktionieren. Ablage in speziellen Quarantänebereichen. ob der gesamte Inhalt einer E-Mail einem gültigen Dokumentformat genügt (als Grundlage können hier die Richtlinien über Dokumentenaustauschformate (s. E-Mail. automatische Löschung nach einer vorgegebenen Zeitspanne.8.8.1. die versuchen sollten die Fehlerquellen zu beheben. Freigabe durch Sicherheitsbeauftragte nach Rücksprache und Begründung). Verständigung des/der Absenders/Absenderin bzw.1 In größeren Organisationen sollte zum reibungslosen Ablauf des E-Mail-Dienstes ein "Postmaster" benannt werden. 13.9] 10. Anlaufstelle bei Mailproblemen für Endbenutzer/innen sowie für die Betreiber von Gateway. Überprüfung. für die betreffende Organisation oder für ein IT-System speziell erstellte Richtlinien gelten).und Relaydiensten..4. 10. 12. .4.6tw.8. falls ein Virus gefunden wurde (Verhinderung einer Weiterleitung. Überprüfung der Attachments auf Viren. Dieser nimmt folgende Aufgaben wahr: • • • • • • • Bereitstellen der Maildienste auf lokaler Ebene.10] 10. Hotline oder Helpdesk) sollten jederzeit von den Benutzerinnen/Benutzern telefonisch erreicht werden können. wenn der Inhalt einer E-Mail (zur Gänze oder teilweise) nicht einem gültigen Dokumentenaustauschformat entspricht (etwa Blocken der Nachricht. Setzen von Maßnahmen. 10. 12. ev.10.[eh SYS 8. [KIT T05] bzw.) Überprüfung. muss nach Ablauf einer vordefinierten Frist vernichtet werden. Pflege der Adresstabellen. 14.5 Einrichtung eines Postmasters ISO Bezug: 27002 10. • Alle unzustellbaren E-Mails und alle Fehlermeldungen müssen an den Postmaster weitergeleitet werden. die unzustellbar bleibt. Verständigung der betroffenen Benutzer. Speicherung in einem Zwischenbereich. Setzen von Maßnahmen.

8.8. Zugang von Außen: Der uneingeschränkte Zugang von außen ist nur über eine geeignete Verschlüsselung einzurichten (z. VPN oder IPSEC). IMAP [RFC 3501]. 10. die auch die End-ToEnd Authentifizierung sicherstellt.B. Für die öffentliche Verwaltung ist die "Richtlinie für E-Mail Zertifikate in der Verwaltung" [IKTMZERT] zu beachten [IKTB-230903-17] . Darüber hinaus gilt es die existierende WEBMAIL-Policy (sowie vorhandene Checklisten) zu beachten. Die dabei eingesetzten Schlüssellängen der symmetrischen Schlüsselkomponenten müssen mindestens 100 Bit betragen. Eine komfortable Umsetzung erfordert.5 Gemäß den Vorgaben der E-Mail-Strategie des Bundes müssen E-MailProgramme (E-Mail-Clients und E-Mail-Server) unter dem Gesichtspunkt offener internationaler Standards gewählt werden. Die durch den IKT-Board-Beschluss [IKTB-170902-1] für die Organisationen der öffentlichen Verwaltung empfohlene E-Mail-Policy schreibt dabei die Einhaltung der folgenden Mindesteigenschaften vor: • • • • • 372 Kommunikation: Für die Kommunikation zwischen Clients und Servern im E-Mailverkehr sowie für die Kommunikation zwischen E-Mail-Servern selbst sind folgende Protokolle festgelegt: POP3 [RFC1939].2. Derartige Anforderungen werden im Detail in der für Organisationen der öffentlichen Verwaltung zu beachtenden E-Mail-Policy des Chief Information Office des Bundes behandelt.1. Im Bereich der öffentlichen Verwaltung ist für den externen E-Mail-Zugang auch der IKT-Board Beschluss [IKTB-110903-8] zu berücksichtigen. Für die Signatur von Attachments sind als Signaturformate PKCS#7 oder XML zu verwenden.4. Dafür wird folgender Standard im Rahmen der E-Mail-Policy für die öffentliche Verwaltung vorgeschrieben: LDAP V3 [RFC 4511] Sicherheit: Für die E-Mail-Sicherheit ist S/MIME V3 einzusetzen. Die Verschlüsselungen und Signaturen müssen jedenfalls CMS kompatibel sein.8. 10. in dem die Verwendung der Bürgerkarte zur Identifikation und Authentifikation empfohlen wird. 10. Nachweis der Standardkonformität: . PGP kann für die Vertraulichkeit in einer Übergangszeit in manchen Bereichen notwendig bleiben. TLS oder IPsec mit einer symmetrischen Schlüssellänge von mindestens 100 Bit).ISO Bezug: 27002 10. dass die eingesetzten Clients und Server entsprechende Interfaces zu diesen Verzeichnisdiensten aufweisen. SMTP [RFC 5321] Adress-Verwaltung: Die Verwaltung von E-Mail-Adressen und Attributen erfolgt in Verzeichnisdiensten. Mailzugänge über Web-Interfaces müssen zumindest verschlüsselt sein (Standard SSL bzw.8.

Als Reply-Adresse ist die E-Mail-Adresse der Benutzerin bzw.1. Damit kann der Nachweis der Konformität der Systeme mit den geforderten Standards und der Einhaltung der Mindestantwortzeiten erbracht werden.11] 10. Dieses dient zur Kompatibilitätsfeststellung der eingesetzten Systeme sowohl nach innen als auch nach außen. sei auf die entsprechenden Kapitel der "Internet Policy" [IKT-IPOL] .8.19] 10. Für weitere detaillierte Vorschriften. dass ohne weiteres Zutun der Benutzer/innen maximale Sicherheit erreicht werden kann.1 Die E-Mail-Progamme der Benutzer/innen müssen durch den Administrator so vorkonfiguriert sein. unter fremdem Namen E-Mails zu verschicken bzw. u. 10. die für die Organisationen der öffentlichen Verwaltung gemäß dem IKT-Board-Beschluss [IKTB-170902-1] anwendbar sind. Jede/r. [eh SYS 8. 15.8. das E-Mail-Passwort auszulesen.8 Verwendung von WebMail externer Anbietern ISO Bezug: 27002 7. die/der Zugriff auf den Mailclient hat. dass keine internen E-Mail-Adressen weitergegeben werden. Die Benutzer/innen sind darauf hinzuweisen. um sicherzustellen.U.8.5 373 .Für die Bereiche der öffentlichen Verwaltung wird ein Testmailservice angeboten.4.3. dass sie die Konfiguration nicht selbsttätig ändern dürfen. 12. Dabei wird das Passwort auf der Client-Festplatte abgelegt.7.8. 10. 10. 11.7.4.8.4.1. sowie auf die "EMail-Policy" [IKT-MPOL] der Stabsstelle IKT-Strategie des Bundes (CIO) verwiesen. Insbesondere sollten bei der Konfiguration der E-Mail-Clients folgende Punkte berücksichtigt werden: • • Das E-Mail-Passwort darf keinesfalls dauerhaft vom E-Mail-Programm gespeichert werden. sogar im Klartext oder nur schwach verschlüsselt. [NSA-ECC1] ).4. hat so die Möglichkeit.7 Sichere Konfiguration der Mailclients ISO Bezug: 27002 10. [eh SYS 8. 10.8.2. Bei der Konfiguration von E-Mail-Clients kann auf produktbezogene und aktuelle von vertrauenswürdigen Stellen veröffentlichte Leitlinien zurückgegriffen werden (z.2.B.2.3.2. des Benutzers einzustellen. 10.

B. usw. anfallender Kosten. SSL/TLS) auf die Mailbox zuzugreifen können E-Mails elektronisch signiert und/oder verschlüsselt werden findet eine Identitätsprüfung von Neukunden statt wird der Service durch fachkundiges und sicherheitstechnisch geschultes Personal realisiert (Social Engineering Attacks: beispielsweise soll das Erfragen des Passwortes durch einen fingierten Anruf am Helpdesk nicht möglich sein) eine Virenprüfung der E-Mails sollte anbieterseitig gewährleistet sein Spam-Filter sollten zur Verfügung stehen Bei der Verwendung von Web-Mail sollte der/die Anwender/in Folgendes beachten (vgl.8. auch 10.Eine Vielzahl von externen Maildiensteanbietern stellen ihre Services oft kostenlos (evtl.) [eh SYS 8. bei dem der/die Anwender/in die E-Mail-Dienste ohne jegliche clientseitige Software sondern nur unter Verwendung des Browsers nutzen kann.3. Es ergeben sich auch Unterschiede bezüglich Mailbox-Größen. etc. 11.1 Regelungen des Passwortgebrauches ) Zugriffe auf das Web-Mail-Konto dürfen nur über verschlüsselte Verbindungen erfolgen (SSL/TLS) trotz eines vorhandenen anbieterseitigen Virenschutzes sollten Attachments clientseitig auf Viren geprüft werden Beenden des Web-Mail-Dienstes nur über den vorgesehenen Ausstiegsmechanismus (Log-Out-Button. wie etwa: • • • • • • ist es möglich. Darüber hinaus sind die gebotenen Sicherheitsvorkehrungen zu beachten. In diesem Zusammenhang wird der Zugang zu den E-Mail-Konten in der Regel via Web-Mail angeboten. Die Anbieter derartiger Webmaildienste unterscheiden sich nicht nur hinsichtlich ggf.23] 374 . über eine verschlüsselte Verbindung (z. Diesbezüglich ist eine genaue Durchsicht der Allgemeinen Geschäftsbedingungen (AGB) des jeweiligen Anbieters vorzunehmen.6 Geeignete Auswahl eines E-Mail-Clients/Server ): • • • • Wahl eines geeigneten Passwortes (vgl. Verfügbarkeit. dem Einsatz von Spam-Filtern. in Verbindung mit Werbung) zur Verfügung.

Vereinbarungen notwendig.1 Zunehmend werden die nach außen hin abgeschotteten und abgesicherten Netzwerke von Organisationen zu einem Verbund zusammengeschlossen (Extranet). ist sicher zu stellen. E-Government Aus der immer weiter verbreiteten Nutzung von E-Commerce und E-Government ergeben sich Anforderungen an die Sicherheit der Systeme Applikationen und Transaktionen. Data Connection Agreement – DCA) sollen detaillierte Angaben zu folgenden Punkten enthalten sein: • • • • • • • • • • • Bestimmung der Verantwortlichen Haftungs. DIe Integrität und die Verfügbarkeit der Informationen. E-Commerce. ftp. Für diesen Schritt sind als Grundlage von allen Beteiligten einzuhaltende Richtlinien bzw.) Sicherheitslücken müssen von allen Beteiligten vor dem Netzzusammenschluss beseitigt werden. Web.und Schadensersatzregeln (z. Vorgehen bei Netzwerktrennung. auch bei Virenbefall.) eventuell Non-Disclosure-Agreement (NDA) Festlegung der Datennutzung Benennung von Ansprechpartnerinnen/Ansprechpartnern (in technischen.9.B. [eh SYS 8. etc. etc. die von Systemen über das öffentliche Internet angeboten werden. ausgetauscht) welche Sicherheitsmaßnahmen müssen gewährleistet werden wie sind weitere Vertragspartner in die Vereinbarung einzubinden Regelung über das Vorgehen beim Auftreten von Sicherheitslücken (betrifft Informationspflicht. organisatorischen und sicherheitstechnischen Belangen) welche Dienste werden zur Verfügung gestellt (z.21] 375 .9. 10. http.1 Richtlinien bei Verbindung mit Netzen Dritter (Extranet) ISO Bezug: 27002 10.) welche Plattformen werden unterstützt Richtlinien zur Protokollierung (wer protokolliert was/wann und wie werden Protokolldaten ggf.10.B. Dabei sind gegenseitige (stichprobenartige) Überprüfungen der vereinbarten und einzuhaltenden Sicherheitsmaßnahmen sinnvoll.9 Internet-. Hackerangriff. In einer derartigen Vereinbarung (sog. etc.

1. (Da die Anzahl der potentiellen Angreifer/innen und deren Kenntnisstand bei einer Anbindung an das Internet als sehr hoch angesehen werden muss. des Unternehmens kompatibel sein. Schutz der lokalen Netzkomponenten gegen Angriffe auf deren Verfügbarkeit (insbesondere gilt dies auch für Informationsserver. Verfügbarkeit der Informationen des externen Netzes im zu schützenden internen Netz. (Die Verfügbarkeit dieser Informationen muss aber gegenüber dem Schutz der lokalen Rechner und Informationen zurückstehen!). Schutz einer Firewall gegen Angriffe aus dem externen Netz.2 Erarbeitung einer organisationsweiten InformationssicherheitsPolitik ) : • • • • • • • • • • • Festlegung der Sicherheitsziele Auswahl der Kommunikationsanforderungen Diensteauswahl organisatorische Regelungen Beispiele für Sicherheitsziele sind: Schutz des internen Netzes gegen unbefugten Zugriff von außen. 11. Schutz vor Angriffen durch das Bekannt werden von neuen sicherheitsrelevanten Softwareschwachstellen. Sie muss mit der organisationsweiten Informationssicherheits-Politik der Behörde bzw. 10. aber auch gegen Manipulationen aus dem internen Netz.9. Schutz der lokal übertragenen und gespeicherten Daten gegen Angriffe auf deren Vertraulichkeit oder Integrität.4 Eine Internet-Sicherheitspolitik stellt eine IT-Systemsicherheitspolitik im Sinne von Kapitel5 Entwicklung einer organisationsweiten InformationssicherheitsPolitik des vorliegenden Handbuchs dar. 10. Schutz vor Angriffen.6.2 Erstellung einer Internet-Sicherheitspolitik ISO Bezug: 27002 10. Die Erstellung der Internet-Sicherheitspolitik umfasst im Wesentlichen folgende Schritte (vgl. das ICMP-Protokoll bzw.) 376 .10. die auf IP-Spoofing beruhen oder die Source-Routing Option. die Informationen aus dem internen Bereich für die Allgemeinheit zur Verfügung stellen). Routingprotokolle missbrauchen. ist dieses Sicherheitsziel von besonderer Bedeutung.3.9.

Dies muss auch die Voreinstellung sein: Alle Dienste. zu welchen Diensten ein/e Benutzer/in im Internet Zugang erhalten kann.B. nach innen hereingelassen werden? Welche Informationen sollen verdeckt werden (z. nur über einen Internet-Service-Provider oder auch über einen Modempool)? Welcher Datendurchsatz ist zu erwarten? Diensteauswahl Im dritten Schritt wird aus den Kommunikationsanforderungen abgeleitet. Es muss unterschieden werden zwischen denjenigen Diensten. die unbedingt notwendig sind. • • welche Dienste für welche Benutzer/innen und/oder Rechner zugelassen werden sollen und für welche Dienste Vertraulichkeit und/oder Integrität gewährleistet werden müssen. und denjenigen. Bei der Auswahl der Kommunikationsanforderungen müssen speziell die folgenden Fragen beantwortet werden: • • • • • Welche Informationen dürfen nach außen hindurch. die für externe Benutzer/innen zugelassen werden. für die noch keine expliziten Regeln festgelegt wurden. 377 . des Benutzers sowie von ihrem/seinem Problembewusstsein ab. vom dienstlichen Aufgabenbereich der Benutzerin bzw. dürfen nicht zugelassen werden. ob und welche der übertragenen Nutzinformationen gefiltert bzw. welche Dienste im zu sichernden Netz erlaubt und welche verboten werden müssen. zur Kontrolle auf Viren). In der Sicherheitspolitik muss für jeden Dienst explizit festgelegt werden. die interne Netzstruktur oder die Benutzernamen)? Welche Authentisierungsverfahren sollen benutzt werden (z. überprüft werden sollen (z. die für die Benutzer/ innen im zu schützenden Netz.Im nächsten Schritt ist festzulegen.B. Die Entscheidung darüber.B. hängt von der Qualität der Firewall. Es sollten nur die Dienste zugelassen werden.B. welche Arten der Kommunikation mit dem äußeren Netz zugelassen werden. Alle anderen Dienste müssen verboten werden.bzw. Es muss festgelegt werden. Einmalpasswörter oder Chipkarten)? Welche Zugänge werden benötigt (z.

2. Daneben müssen je nach Organisationsstruktur und -größe ein oder mehrere Verantwortliche für die Pflege der angebotenen Kommunikationsdienste benannt werden. Es müssen sowohl alle korrekt aufgebauten als auch die abgewiesenen Verbindungen protokolliert werden. es sollte eine ausreichende Anzahl von Verbindungsmöglichkeiten vorgesehen werden. müssen vorgesehen werden.B. oder Web-Server müssen auch die von den Benutzerinnen bzw. Angriffe auf eine Firewall sollten nicht nur erfolgreich verhindert. sogar Aktionen auszulösen. insbesondere für neue Dienste und kurzzeitige Änderungen (z. Benutzern eingesetzten Kommunikationsclients betreut werden. wie beispielsweise: • • • • • • • Es müssen Verantwortliche sowohl für die Erstellung als auch für die Umsetzung und die Kontrolle der Einhaltung der Internet-Sicherheitspolitik benannt werden (z. Die Benutzer/innen müssen über ihre Rechte. für Tests).B. Es ist daher eine Schulung erforderlich. Die Protokollierung muss den datenschutzrechtlichen Bestimmungen entsprechen. Es muss festgelegt werden. Neben dem Serverbetrieb wie Mail-. der/die Angreifer/in verfolgt werden soll oder ob die Netzverbindungen nach außen getrennt werden sollen.h. Die Firewall sollte aber auch in der Lage sein. umfassend informiert werden.B. auf Grund von vordefinierten Ereignissen. die entscheiden können. d. Warnungen auszugeben oder evtl. 378 . Bereichs-IT-Sicherheitsbeauftragte. welche Informationen protokolliert werden und wer die Protokolle auswertet. ob z. häufigen fehlerhaften Passworteingaben auf einem Application-Gateway oder Versuchen. Da hiermit starke Eingriffe in den Netzbetrieb verbunden sein können. welche Aktionen bei einem Angriff gestartet werden. die nicht auf technischer Ebene durch eine Firewall abgefangen werden können. s. und die entsprechenden Maßnahmen einleiten. die dem/der Benutzer/in mögliche Risiken aufzeigt und ihr/sein Problembewusstsein fördert.3 Organisation und Verantwortlichkeiten für Informationssicherheit ). sondern auch frühzeitig erkannt werden können. müssen Verantwortliche bestimmt sein. Jede spätere Änderung muss streng kontrolliert werden und insbesondere auf Seiteneffekte überprüft werden. Angriffe können über die Auswertung der Protokolldateien erkannt werden. Es ist zu klären. insbesondere auch über den Umfang der Nutzdaten-Filterung. Jeder Internetdienst birgt Gefahren.B. ob ein Angriff vorliegt. Darüber hinaus sind eine Reihe von organisatorischen Regelungen erforderlich. Die Aufgaben und Kompetenzen für die betroffenen Personen und Funktionen müssen eindeutig festgelegt sein. dass sie auch zukünftigen Anforderungen gerecht wird. verbotene Verbindungen aufzubauen.Die Sicherheitspolitik sollte so beschaffen sein. wie z. 5. Ausnahmeregelungen.

3 Festlegung einer WWW-Sicherheitsstrategie ISO Bezug: 27002 10. 379 .9. Hierbei ist die Absicherung eines WWW-Servers ebenso zu betrachten wie die der WWW-Clients und der Kommunikationsverbindungen zwischen diesen.1.9.w3. Behördenpolitik entsprechen)? Welche Zugriffsbeschränkungen auf den WWW-Server sollen realisiert werden? Teil einer Sicherheitsstrategie muss auch die regelmäßige Informationsbeschaffung über potentielle Sicherheitslücken sein. WWW-Server sind für Hacker/innen sehr attraktive Ziele. ob die getroffenen Maßnahmen ausreichend sind.B. welche Dienste genutzt und welche angeboten werden sollen. WWW-Sicherheitsstrategie für den Betrieb eines WWW-Servers In der Sicherheitsstrategie für den Betrieb eines WWW-Servers sollten die folgenden Fragen beantwortet werden: • • • • • Wer darf welche Informationen einstellen? Welche Randbedingungen sind beim Betrieb eines WWW-Servers zu beachten? Wie werden die Verantwortlichen geschult. insbesondere hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen? Welche Dateien dürfen aufgrund ihres Inhaltes nicht auf dem WWWServer eingestellt werden (z. welche Sicherheitsmaßnahmen in welchem Umfang umzusetzen sind. da einem erfolgreichen Angriff oft sehr große Publizität zuteil wird. 10.1] 10.9. nicht zur Veröffentlichung zulässig sind oder nicht der Firmen.bzw. Vor dem Einrichten eines WWW-Servers sollte in einer WWW-Sicherheitsstrategie beschrieben werden. um rechtzeitig Vorsorge dagegen treffen zu können. Anhand der in der WWW-Sicherheitsstrategie festgelegten Anforderungen kann dann regelmäßig überprüft werden. In der WWW-Sicherheitsstrategie muss neben einer Sicherheitsstrategie für den Betrieb eines WWW-Servers auch eine Sicherheitsstrategie für die WWW-Nutzung enthalten sein. weil die Inhalte vertraulich sind.[eh SYS 8.3 Vor der Nutzung von WWW-Diensten ist zunächst in einem Konzept darzustellen.org/Security/Faq/ ) dar. Daher muss der Absicherung eines WWW-Servers ein hoher Stellenwert eingeräumt werden. Eine wichtige Informationsquelle für Sicherheitshinweise zur WWW-Nutzung stellt die "World Wide Web Security FAQ" (unter http://www.

1.9. [eh SYS 8. Alle Regelungen und Bedienungshinweise zur WWW-Nutzung sind schriftlich zu fixieren und sollten den Mitarbeiterinnen/Mitarbeitern jederzeit zur Verfügung stehen. dass ohne weiteres Zutun der Benutzer/innen maximale Sicherheit erreicht werden kann (siehe auch 10.12] 10. Dateien. Es muss festgelegt werden.5 Sicherheit von WWWBrowsern ). soweit dies nicht durch eine zentrale Überprüfung gewährleistet wird. 10. um Fehlbedienungen zu vermeiden und die Einhaltung der organisationsinternen Richtlinien zu gewährleisten.WWW-Sicherheitsstrategie für die WWW-Nutzung In der Sicherheitsstrategie für die WWW-Nutzung sollten die folgenden Fragen beantwortet werden: • • • • Wer erhält WWW-Zugang? Welche Randbedingungen sind bei der WWW-Nutzung zu beachten? Wie werden die Benutzer/innen geschult? Wie wird technische Hilfestellung für die Benutzer/innen gewährleistet? Durch organisatorische Regelungen oder durch die technische Umsetzung sind dabei insbesondere folgende Punkte zu gewährleisten: • • • Die Browser der Benutzer/innen müssen durch den Administrator so vorkonfiguriert sein. sowohl in der Nutzung ihrer WWW-Browser als auch des Internets.9. Insbesondere müssen sie hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen sensibilisiert werden. dürfen weder auf WWW-Servern eingestellt noch nachgefragt werden. deren Inhalt Anstoß erregen könnte.9.9.4 Sicherer Betrieb eines WWW-Servers ISO Bezug: 27002 10. Nach dem Download von Dateien sind diese explizit auf Viren zu überprüfen. Die Benutzer/innen müssen vor der WWW-Nutzung geschult werden.3 380 . welche Inhalte als anstößig gelten.

[eh SYS 8. darf er nicht ans Netz genommen werden. verschiedene Dienste gehören auf verschiedene Rechner (beispielsweise ein WWW-Server und ein E-Mail-Server). da ein Fehler auf dem WWW-Server sonst Zugriffe auf interne Daten ermöglichen könnte.h. Hierfür sollte ein eigener Benutzeraccount wie wwwserver eingerichtet werden.13] 381 . die Administration sollte direkt an der Konsole. Die Kommunikation mit dem WWW-Server sollte durch einen Paketfilter auf ein Minimum beschränkt werden. Ein/e Angreifer/in könnte sonst durch Ausnutzung eines Fehlers diese mit den Rechten des HTTP-Servers manipulieren. Er darf sich nicht zwischen Firewall und internem Netz befinden. dass der Rechner optimal gegen Angriffe geschützt wird. Allen diesen Möglichkeiten gemeinsam ist allerdings. Je nach Art des WWW-Servers bieten sich unterschiedliche Möglichkeiten zum Schutz an. [NSA-SD4] . [NSA-SD2] . Daher sollte ein WWW-Server.). der Informationen im Internet anbietet. nur mit eingeschränkten Rechten ausgestattet sein sollte. Wichtig ist. Weiterhin sollte der WWW-Server vor dem Internet durch einen Firewall-Proxy oder aber zumindest durch einen Paketfilter abgesichert werden.WWW-Server sind attraktive Ziele für Angreifer und müssen daher sehr sorgfältig konfiguriert werden. sollte aber nach dem Start so schnell wie möglich mit den Rechten einer/eines weniger privilegierten neuen Benutzerin/ Benutzers weiterarbeiten. d.9. Solange der Rechner nicht entsprechend konfiguriert ist. das Betriebssystem sollte auf die unbedingt erforderlichen Funktionalitäten reduziert werden und auch sonst sollten sich nur unbedingt benötigte Programme auf dem WWW-Server befinden. dass der eigentliche Serverprozess des WWW-Servers. Er muss üblicherweise mit root-Privilegien gestartet werden. [NSA-SD5] u. dass diese/r Benutzer/in keine Schreibrechte auf die Protokolldateien besitzt. damit sie sicher betrieben werden können.ä. Ein WWW-Server sollte insbesondere keine unnötigen Netzdienste enthalten. Die Administration des WWW-Servers sollte nur über eine sichere Verbindung erfolgen. [NSA-SD3] .B.6 Schutz der WWW-Dateien ). Das Betriebssystem und die Software müssen so konfiguriert sein.h. nach starker Authentisierung (bei Zugriff aus dem LAN) oder über eine verschlüsselte Verbindung (bei Zugriff aus dem Internet) erfolgen. d. entsprechend den folgenden Vorgaben installiert werden: • • • • • • Auf einem WWW-Server sollte nur ein Minimum an Programmen vorhanden sein. Der Zugriff auf Dateien oder Verzeichnisse muss geschützt werden (siehe 10. Für die verschiedensten Server-Produkte sind teilweise detaillierte Leitlinien zu deren sicheren Konfiguration verfügbar (vgl. nämlich der http-Daemon. z.

Makro-Viren in Word. dass bei Dateitypen. ActiveX-Programme. 10.ä.B.oder Excel-Dokumenten).).B. Laden von Dateien und/oder Programmen: Beim Laden von Dateien und/oder Programmen können eine Vielzahl von Sicherheitsproblemen auftreten.1. die Makro-Viren enthalten können. Um solche Probleme zu vermeiden.9..6.9.5 Sicherheit von WWW-Browsern ISO Bezug: 27002 10. [NSASD10] .3. Java-Applets o.4. vgl. die aus dem Internet geladen werden und ohne Nachfrage auf dem lokalen Rechner ausgeführt werden (z. 382 . MakroViren und trojanische Pferde. 11.16 Firewalls und aktive Inhalte ). etc. Eine Gefährdung der lokalen Daten geht beispielsweise von Programmen aus. Ursachen dafür können sein: • • • falsche Handhabung durch die Benutzer/innen unzureichende Konfiguration der benutzten Browser (also der Programme für den Zugriff auf das WWW) Sicherheitslücken in den Browsern. Auch innerhalb von Dokumenten oder Bildern können Befehle enthalten sein.1. Bei der Konfiguration des Browsers ist darauf zu achten. die automatisch beim Betrachten ausgeführt werden und zu Schäden führen können (z. Darüber hinaus kann es auch sinnvoll sein.B. [NSA-SD8] .9. die bekanntesten sind sicherlich Viren. Beim Zugriff auf das World Wide Web (WWW) können verschiedene Sicherheitsprobleme auf den angeschlossenen Arbeitsplatzrechnern auftreten. die zugehörigen Anwendungen nicht automatisch gestartet werden. Aktuelle Virenschutzprogramme sollten auf allen Rechnern mit Internetzugang installiert sein und automatisch ausgeführt werden. produktspezifische Konfigurationsleitlinien zu verwenden (z. 10. dass die geladenen Dateien oder Programme aus vertrauenswürdigen Quellen stammen. Die Benutzer/innen dürfen sich nie darauf verlassen. sollten die im Folgenden beschriebenen Maßnahmen umgesetzt werden.10.

Selbst wenn über die Firewall automatisch die geladenen Informationen auf Viren überprüft werden. Plug-Ins und Zusatzprogramme Nicht alle Browser können alle Dateiformate direkt verarbeiten. sind eigenständige Programme. Zusatzprogramme.8 Installation und Konfiguration von Software und 12.4. In Zweifelsfällen ist die IT-Administration hinzuzuziehen. Grundsätzlich müssen bei der Installation von Programmen natürlich die organisationsinternen Sicherheitsregeln beachtet werden. Bei Viewern von Office-Dokumenten sollte darauf geachtet werden. Insbesondere dürfen nur getestete und zugelassene Programme installiert werden (vgl.B.1 Nutzungsverbot nicht-freigegebener Software ). vgl.1. Zusatzprogrammen für einen WWW-Browser sind dieselben Vorsichtsmaßnahmen wie beim Laden von Dateien und/oder Programmen zu beachten. 12.Alle Benutzer/innen müssen darauf hingewiesen werden. dass diese keine Makro-Befehle ausführen können (Schutz vor Makro-Viren. Bei einigen Dateiformaten werden zusätzlich noch Plug-Ins bzw. Vor der Installation sollten auf Stand-alone-Rechnern Tests auf die Schadensfreiheit der Programme durchgeführt werden. Zusatzprogramme benötigt. Es dürfen keine Programme installiert werden. Das ist nicht immer einfach: Viele Deinstallationsroutinen erkennen Plug-Ins nicht und nicht alle Browser bieten eine Übersicht über die installierten Plug-Ins.7 Abnahme und Freigabe von Software . bestimmte Dateiformate zu verarbeiten.h. in manchen Fällen auch abspielen. DLL-Dateien). bleiben die Benutzer/innen verantwortlich für die Schadensfreiheit von geladenen Dateien oder Programmen.6 Vermeidung bzw. z.1. Beim Hinzufügen von Plug-Ins bzw. dazu auch 12. Erkennung von Viren durch den Benutzer ). die von Installationsprogrammen ins Plug-In-Verzeichnis geladen werden und bei Aufruf des entsprechenden Dateiformates vom Browser ausgeführt werden. 383 . d. Dann müssen alle zu einem Plug-In gehörenden Dateien im Plug-In-Verzeichnis des Browsers manuell gelöscht werden. Viewer. Der Aufruf eines solchen Zusatzprogramms wird über eine Konfigurationsdatei des Browsers gesteuert. dass sie selber dafür verantwortlich sind. die in der Lage sind. beim Dateiladen alle entsprechenden Vorsichtsmaßnahmen zu ergreifen. denen man nicht unbedingt vertrauen kann. in der Dateiendung und Programm verknüpft sind. Bei Plug-Ins handelt es sich um Bibliotheksdateien (z. Daher sollten alle nicht benötigten Plug-Ins entfernt werden.B.3. Kapitel 10. im Allgemeinen anzeigen. Plug-Ins verbrauchen natürlich auch Speicherplatz und verlängern die Startzeit des Browsers.

sollte das Anlegen von Cookie-Dateien verhindert werden oder. sondern auch lokal. Wo dies nicht möglich ist. wo auf ihren lokalen Rechnern solche Daten gespeichert werden und wie sie diese löschen können. Hier ist insbesondere zu überprüfen. so dass damit auch transparent wird. sollten zumindest solche Browser eingesetzt werden. hängt vom eingesetzten Betriebssystem und der Browser-Variante ab. die beispielsweise bei jedem Systemstart oder jeder Benutzeranmeldung die alten Cookie-Dateien löscht. Allerdings kann ein WWW-Anbieter hiermit auch Benutzerprofile erstellen.txt oder Verzeichnissen wie cookies . Lassen sich die Benutzer/innen vor der Annahme von Cookies warnen. Passwörter und Benutzerverhalten gespeichert. ob der Browser weder den Schreibschutz zurücksetzen kann noch dadurch einen Absturz verursacht. Hotlists und Cache. Ansonsten kann es hilfreich sein. kann auch eine leere CookieDatei angelegt werden und mit einem Schreibschutz versehen werden. dass nur Befugte darauf Zugriff haben können. 384 . wo das nicht möglich ist. Damit können WWW-Anbieter beim nächsten Besuch der/des jeweiligen Benutzerin/Benutzers spezielle Informationen für diese/n anbieten oder dieser/diesem passwortgesichert nur bestimmte Dienste zugänglich machen. für zielgruppenorientierte Werbung. Um das Anlegen von Cookie-Dateien zu verhindern. Es sollten vorzugsweise Browser eingesetzt werden.Cookies: In so genannten Cookie-Dateien werden auf dem Rechner der Benutzerin bzw. diese regelmäßig gelöscht werden. bekommen sie mit der Warnung auch den zu erwartenden Inhalt des Cookies angezeigt. Datensammlungen: Nicht nur extern werden Daten über die Internetnutzung der verschiedenen Benutzer/innen gesammelt. Diese Option muss immer aktiviert werden. die die Benutzer/innen vor der Annahme von Cookies warnen. Auch hier muss sichergestellt werden. Inwieweit dies effektiv ist. z. des Benutzers Informationen über abgerufene WWW-Seiten. Cookies finden sich meist im Konfigurationsverzeichnis des benutzten WWW-Browsers in Dateien wie cookie. Dies gilt insbesondere auch für die von Browsern angelegten Dateien über History. Um dies zu verhindern. Die Benutzer/innen müssen informiert werden. mit denen sich das Anlegen von Cookies verhindern lässt. das regelmäßige Löschen der Cookies über eine Batch-Datei zu steuern. welche Anbieter welche Informationen über die Benutzer/innen sammeln.B.

Adressen. die im Browser gespeichert und evtl. evtl. auch weitergegeben werden (s. Cookie Liste.). Ein schlecht administrierter Proxy-Server kann daher massive Datenschutz-Verletzungen nach sich ziehen. Newsserver Visiten (s. Informationen über Benutzer/innen. d. Die Dateien der History Datenbank sollten nicht einfach gelöscht werden. und der nachgefragten URL. der die Anfrage gestartet hat. Angaben über betrachtete Bilder. History Datenbank (s. Damit kann für ein Benutzerprofil festgestellt werden. Informationen über Newsserver Visiten: Aus den meisten Browsern heraus kann direkt auf Newsserver zugegriffen werden. Zu diesen Informationen gehören: • • • • • • • • Favoriten.u.Diese Dateien sind auf Proxy-Servern besonders sensibel. inklusive der IP-Adresse des Clients. von denen diese/r einerseits vielleicht nicht will. betrachtete vertrauliche interne Dokumente etc. und die anderseits in ihrer Masse den verfügbaren Speicherplatz mit überflüssigen Informationen blockieren.u.). abgerufene WWW-Seiten. History Datenbank: History Datenbanken enthalten eine vollständige Sammlung über alle Aktivitäten. welche Newsgruppen und welche News ein Benutzer gelesen hat. 385 .). dass sie weitergegeben werden.u.. da bestimmte Einträge erhalten bleiben müssen. Dadurch verbraucht die History Datenbank auch schnell sehr viel Speicherplatz und sollte regelmäßig aufgeräumt werden. die mit einem Browser durchgeführt worden sind. Von den meisten Browsern werden viele Informationen über den/die Benutzer/innen und sein/ihr Nutzerverhalten gesammelt. Manche Browser speichern auch den vollständigen Inhalt aller gelesenen News.h.). URL Liste (Liste der letzten aufgerufenen URLs). Informationen im Cache (s. da auf einem ProxyServer alle externen WWW-Zugriffe aller Mitarbeiter/innen protokolliert werden.u. sondern durch vorbereitete Kopien einer leeren History Datenbank ersetzt werden.

Daher sind in Java und ActiveX verschiedene Sicherheitsmechanismen eingebaut. birgt im Zusammenhang mit ActiveX und Java gewisse Sicherheitsrisiken. Bei Java ist ein solcher Zugriff ebenfalls möglich. ActiveX erlaubt unter bestimmten Bedingungen die Nutzung lokaler Ressourcen. wenn Web-Seiten eines unbekannten oder eines neuen Anbieters aufgerufen werden. aktiv auf die Festplatte des Client zuzugreifen (ActiveX. Das Sicherheitskonzept von ActiveX basiert darauf. auch weitergegeben. Der Cache dient dazu. seit der Cache das letzte Mal gelöscht wurde. z. E-Mail-Adresse. um einen möglichen Missbrauch zu verhindern. so dass sich in einem nicht regelmäßig gelöschten Cache schnell Dutzende Megabyte Datenmüll ansammeln. Um nicht mit Werbe-E-Mail überflutet zu werden. Informationen im Cache: Viele Browser erzeugen in einem Cache-Verzeichnis große Mengen an Dateien.B. Daher sollte der Cache ebenso wie der Verlaufsordner regelmäßig gelöscht werden. ActiveX-Programme werden über den Browser statt auf dem Server auf der Client-Seite ausgeführt.bzw. dass der/ die Anwender/in dem Anbieter und einer authentifizierten dritten Stelle im World Wide Web vertraut. kann dies unter anderem dazu dienen. allerdings nicht eigenständig. Aus diesen Daten lassen sich darüber hinaus auch Benutzerprofile erstellen. 386 . die in jeder weiteren Sitzung absolut nutzlos sind. für die Browser-Benutzung einen Alias zu verwenden. jedoch nur wenn der/die Anwender/in dies explizit gestattet. Dieses Vertrauen ist problematisch. empfiehlt es sich. um das mehrfache Laden von Informationen einer Seite während einer Sitzung zu verhindern. sensible Informationen wie Kreditkartennummern verschlüsselt über das Internet zu übertragen. die Zugriffe auf Dateien des Client gestatten. Zugriff auf Client-Festplatte: Bei einigen Browsern wird WWW-Servern die Möglichkeit gegeben. Daher sollten solche Seiten von vornherein nicht im Cache abgelegt werden. Java. Wenn auf mit SSL/TLS gesicherte WWW-Seiten zugegriffen wird. Dies führt aber zu einer Verlagerung des Sicherheitsrisikos vom Server auf den Client. allerdings sind bereits mehrfach Sicherheitslücken gefunden worden. Java). Manche Browser löschen diese Daten.Informationen über Benutzer/innen: In einem Browser werden auch diverse Informationen über Benutzer/innen gespeichert und evtl. Realname. Die Benutzung von Browsern. Organisation. die den Text und die Bilder aller besichtigten Web-Seiten enthalten.

die gegenüber anderen internen Rechnern so abgeschottet sind. zumindest SSL/TLS sollte unterstützt werden. Falls die Benutzung von ActiveX. News-Reader und Mail-Clients bieten häufig die Möglichkeit. Auch in diesen Daten können Befehle enthalten sein. zunächst noch unbekannte Sicherheitsprobleme auftreten!). der Einsatz neuer Versionen (Achtung: gerade in neuen Versionen können ev. Sicherheitslücken in den WWW-Browsern: In den meisten Browsern sind bereits gravierende Sicherheitslücken gefunden worden. sich über neu bekannt gewordene Schwachstellen zu informieren und entsprechende Gegenmaßnahmen zu ergreifen. sowie zusätzliche organisatorische und administrative Maßnahmen. Mögliche Gegenmaßnahmen sind das Einspielen von Patches zur Beseitigung bekannter Sicherheitslücken. Neuere Browser unterstützen die Benutzung diverser Sicherheitsprotokolle. nur nach Rückfrage gestartet werden können. sollten diese nur auf Rechnern zugelassen sein. 387 . HTTPS oder SSL/TLS eingesetzt werden können. dass die Vertraulichkeit und Integrität sicherheitsrelevanter Daten nicht beeinträchtigt werden können.B. Zugriff nur auf eingeschränkte Dateisysteme.Auf Grund der bestehenden Probleme mit ActiveX. die zu einem automatischen Starten von Programmen auf dem lokalen Rechner führen. Es ist zu überlegen. beliebige Daten im MIME-Format zu lesen. keine Möglichkeit zum Verändern lokaler Daten) sollten auf jeden Fall genutzt werden. inwieweit zur sicheren Übertragung von Daten über das Internet neuere Protokolle wie IPsec. über die Option Disable Java) und nur bei vertrauenswürdigen Servern wieder eingeschaltet werden. Hierbei wäre es sinnvoll. Java und JavaScript unbedingt notwendig ist. Verschlüsselung: Da im Internet alle Daten im Klartext übertragen werden. Nutzung vorhandener Sicherheitsfunktionalitäten: Die vorhandenen Sicherheitsfunktionalitäten der Browser (Rückfrage vor dem Ausführen von Programmen. Beim Surfen im Internet sollte die automatische Ausführung von Programmen verhindert werden (z. Es ist daher sehr wichtig. Die entsprechenden Möglichkeiten sollten daher in den Konfigurationsdateien entfernt werden bzw. Java und JavaScript sollten diese generell abgeschaltet werden. neue. wenn entsprechende Mechanismen schon in den unteren Schichten des Protokolls vorgesehen würden. sollten sensible Daten nur verschlüsselt übertragen werden.

Es empfiehlt sich vor der Zulassung von Benutzerinnen/Benutzern zu Internet-Diensten. 11.9. im Internet gesammelte Informationen den anderen Mitarbeiterinnen und Mitarbeitern zur Verfügung zu stellen.3. Es sollten alle Benutzer/innen darauf hingewiesen werden.6 Schutz der WWW-Dateien ISO Bezug: 27002 10. Weiterhin müssen die Benutzer/innen darauf hingewiesen werden.14] 10. Dafür sollte im internen Netz ein spezieller Bereich vorgesehen werden. dass die dargestellten Regelungen zur Kenntnis genommen wurden und bei Benutzung der Kommunikationsdienste beachtet werden. [eh SYS 8. diese auf eine Benutzerordnung zu verpflichten. in dem solche Informationen strukturiert abgelegt werden können.4.9. Die Inhalte der Internet-Sicherheitsrichtlinie und der Benutzerordnung sind den Benutzerinnen und Benutzerin in einer Schulung darzulegen. um wiederholte Zugriffe auf dieselben externen WWW-Seiten zu vermeiden. da deren Umsetzung wie beispielsweise die Aktivierung bestimmter Optionen nicht ständig durch die Systemadministration überprüft werden kann.1 388 . In dieser Benutzerordnung sollten die zur Verfügung stehenden Kommunikationsdienste kurz erläutert und alle relevanten Regelungen aufgeführt werden. die aufgeführten Sicherheitsrichtlinien zu beachten. dass die Nutzung von Internetdiensten mit nicht unerheblichen Kosten verbunden ist. Dementsprechend sollte darauf geachtet werden. Daher sollte jede/r Benutzer/in vor der Nutzung von InternetDiensten durch entsprechende Anweisungen verpflichtet werden. dass • • • die Konfiguration der WWW-Programme nicht eigenmächtig geändert werden darf. Jede/r Benutzer/in sollte durch Unterschrift bestätigen. welche Daten protokolliert werden. wer die Ansprechpartner bei Sicherheitsproblemen sind.Regelungen: Ein Großteil der oben beschriebenen Maßnahmen liegt im Verantwortungsbereich der Benutzer/innen.

CD-ROM oder Festplatte mit Schreibschutz) gespeichert werden.Die Dateien und Verzeichnisse auf einem WWW-Server müssen gegen unbefugte Veränderungen. so müssen die dazu benutzten Programme (beispielsweise CGI-Skripte. nämlich dem Schutz vor unbefugtem Zugriff lokaler Benutzer und dem Schutz vor unbefugtem Zugriff von außen über das Web. Die Schreib. sollten über alle statischen Dateien und Verzeichnisse Prüfsummen gebildet und regelmäßig überprüft werden. da sonst alle Zugangsrestriktionen leicht ausgeschaltet werden können. Dies trifft insbesondere auf Systemprogramme und die WWW-Seiten zu. die Konfigurationsdateien zu schützen. WWW-Seiten werden zwar regelmäßig aktualisiert. Schutz vor unbefugten Veränderungen Auf einem typischen WWW-Server ändern sich nur die Protokolldateien ständig.U.gegen unbefugten Zugriff geschützt werden. aber auch u. ist es. sondern bestimmte Inhalte dynamisch erzeugt werden.abhängig von den Sicherheitsanforderungen . Generell muss zwischen zwei verschiedenen Aspekten unterschieden werden. Um sicherzustellen. dass auf diesem Weg ein unbefugter Zugriff oder gar eine Kompromittierung des Servers erfolgen kann. die Scripts unter einer Benutzer-ID auszuführen. die nur Zugang zu ausgewählten Dateien hat. Um zu verhindern. Insbesondere ist es wichtig. Teilnetze oder Domänen beschränkt werden.und Leserechte der WWW-Dateien sollten als lokale Dateien nur berechtigten Benutzerinnen/Benutzern Zugang erlauben. Schutz vor unbefugtem Zugriff Der Zugriff auf Dateien oder Verzeichnisse eines WWW-Servers ist zu schützen. können statische Daten auf einem schreibgeschützten Speichermedium (z. alle anderen Dateien sind statisch.B. unbefugten Zugang zu erschweren. Java Server Pages) besonders sorgfältig programmiert werden. Diese können auf verschiedene Arten geschützt werden: • Der Zugriff kann auf frei wählbare IP-Adressen. Generelle Aspekte Falls das Webangebot nicht nur aus statischen HTML-Dateien besteht. Eine Möglichkeit. . dass keine Dateien auf dem WWW-Server unbemerkt abgeändert werden können. sollten aber nicht auf dem WWW-Server selber bearbeitet werden. 389 . dass WWW-Dateien überhaupt von Unbefugten geändert werden können. um zu verhindern.

7 Einsatz von Stand-alone-Systemen zur Nutzung des Internets ISO Bezug: 27002 7.9.1.15] 10.8 Sichere Nutzung von E-Commerce bzw.18] 10.• • • Es können benutzerspezifische Kennungen und Passwörter vergeben werden. über die Daten sowohl ins Internet geschickt als auch von dort abgeholt werden können. E-Government Applikationen ISO Bezug: 27002 10. [eh SYS 8. 10.9. dass bei der Installation der Internet-Zugangssoftware keine unnötigen Programme installiert werden. ist es sinnvoll Rechner einzusetzen. durch die Installation von Server-Programmen den Rechner zu einem vollständigen Internet-Server zu machen.2.1 390 .9.1. Wichtig ist es zu beachten. die nur mit dem Internet vernetzt sind und keine weitere Netzverbindung zu einem LAN haben.6.6.9. Hierfür bieten die verschiedenen Betriebssysteme unterschiedliche Möglichkeiten mit jeweils spezifischen Gefährdungen für die Vertraulichkeit und Integrität der Daten auf diesem Rechner. Zugriffskontrolle wäre auch durch eine SSL/TLS-Verbindung mit clientseitigen Zertifikaten zur Authentifizierung möglich. die durch Angriffe aus dem Internet auf lokale Daten oder Rechner im LAN entstehen.3.3 Um die Gefährdungen. Die Dateien können verschlüsselt abgelegt werden und die zugehörigen kryptographischen Schlüssel werden nur dem Zielpublikum bekannt gegeben. [eh SYS 8. 10. zu verringern. Generelles zu Zertifikaten in der Öffentlichen Verwaltung siehe [IKTB-110903-3] und [IKTB-281003-19] . Die Installation der TCP/IP-Software bietet eine vollständige bidirektionale Verbindung zum Internet. So gibt es bei einigen Produkten und Betriebssystemen die Möglichkeiten. 10.

B. Für elektronische Bescheide wird das Bescheidschema empfohlen [IKTB-230904-01] 391 • • • • • . Werden bei SSL/TLS Zertifikate zur Authentisierung des Servers verwendet.E-Commerce und E-Government Anwendungen ergänzen zunehmend das Angebot im Internet. Bei E-Government Anwendungen ist beim Server-Zertifikat auf die Verwaltungseigenschaft(vgl. Zertifizierung nach ÖNORM A7700) überprüft werden. diese in beiden Schreibweisen z. Kapitel 10.9. so ist auf deren Gültigkeit sowie auf die Übereinstimmungen zwischen Server und den Angaben im Zertifikat zu achten. Der für derartige Internet-Anwendungen genutzte Rechner sollte einem/einer festen Benutzer/in zugeordnet sein – öffentlich zugängliche Internet-PCs sollten dafür nicht herangezogen werden.4 ).B.B.) zu achten. 10. wird empfohlen für Domänen mit Umlauten. externe Audits. Beispielhafte Applikationen in diesem Sinne wären Online-Banking. Bei diesen Anwendungen sollte in der Regel ein hohes Maß an Sicherheit gewahrt werden. Clientseitig sind Virenschutzmaßnahmen zu treffen (vgl. Um dem Missbrauch reservierter Domänen in abgewandelter Form vorzubeugen. Einschlägigen Richtlinien und Normen (z.5 Sicherheit von WWW-Browsern ) Zu diesem Thema veröffentlicht die Operative Unit des Chief Information Office ein Papier zur Kategorisierung von SSL/TLS-Verbindungen. Zur Verringerung der Länge der Signaturstrings ist die Verwendung von elliptischen Kurven anzuraten. 10.B: ÖNORM A7700 "Sicherheitstechnische Anforderungen an Webapplikationen" sind zu berücksichtigen Bei Anwendungen mit sehr hohem Schutzbedarf soll die Erfüllung dieser Anforderungen durch unabhängige Dritte (z. Updates.5 Sicherheit von WWW-Browsern ). sind auch die folgenden Empfehlungen und Kriterien in diesem Zusammenhang zu beachten: • • • • • • Die Anwendung muss die Anforderungen an Datenschutz und Datensicherheit erfüllen.: Online-Banking-Software) ist diese nur von vertrauenswürdigen Quellen zu beziehen und es ist auf dessen Aktualität (bzgl. sowohl "ae" als auch "ä" einzurichten [IKTB-110504-01] . Über generelle Empfehlungen hinaus (vgl. Die MOA Dienste sind für diese Kurven vorbereitet [IKTB-110505-03] . etc. "Richtlinien für Zertifikate für das E-Government (EGovernment OID)" [IKT-ZERT] ) und auf eine geeignete Zertifikatshierarchie zu achten [IKTB-110504-02] .9. sicherheitsrelevanter Patches. Internet-Shopping oder das Angebot von Behörden wie etwa FINANZOnline. Die Verwendung von verschlüsselten Verbindungen mittels SSL/TLS ist bei E-Commerce und E-Government Anwendungen immer vorauszusetzen (vgl. Im Falle notwendiger spezieller Software (z.

Städten und Gemeinden eingesetzt.Zertifikate die Sicherheit einerseits aber auch die Offenheit gegenüber dem Markt andererseits erreicht. deren Sicherheitsvorgaben nach österreichischer Rechtslage wirksam sind.B. Für die Zertifikate von Server und Client sind Zertifizierungsdienste zu verwenden. Seitens des IKT-Boards werden zusätzliche Anmerkungen zur Verständlichkeit angefügt: • • • • • • • Soweit symmetrische Schlüssel angewendet werden. SAP und ESS) ist auf die entsprechende Sicherheitsklasse des Zugangs zu achten [IKTB-270705-01] . Diese wurde im Rahmen des IKTBoard Beschlüsse [IKTB-040402-3] und [IKTB-051102-1] zur Verwendung in der öffentlichen Verwaltung empfohlen. sind die Schlüssellängen mit mindestens 100 Bit zu wählen. Generell haben sich Portale. dass mehrere Anwendungen über einen Punkt zugänglich sind. Ländern.9 Portalverbundsystem in der öffentlichen Verwaltung Bezug: Österreich Der Portalverbund ist ein Zusammenschluss von Verwaltungsportalen zur gemeinsamen Nutzung der bestehenden Infrastruktur.at [IKT-LDAP] ) zum Portalverbund vorgeschlagen. für EKIS und für eine Reihe weiterer wichtiger Anwendungen verschiedener Ressorts. Seitens der Arbeitsgruppe (Bund / Länder) wurde ein Protokoll ( Spezifikation Portal Verbund Protokoll PVP [IKT-PVP] ) und eine Struktur ( Spezifikation LDAP-gv. Weitere Portalkopplungsstrukturen werden nur nach vorheriger Abstimmung zwischen Bund. Bei Zugriff auf Verwaltungsanwendungen (z.9. 392 . Diese Portalstruktur ist für Organwalter und gesetzliche Vertretungen für den jeweils eigenen Wirkungsbereich . Im Portalverbund wird durch . dies mit ClientIdentifikation via Zertifikat durchzuführen.22] 10.[eh SYS 8. Die Benutzer/innen sind dabei entsprechend der Organisations-Zugehörigkeit zu erfassen [IKTB-240304-01] . Bei der Umsetzung von Anwendungsportalen ist darauf zu achten.mit einheitlichen Attributen versehene . Der Vorteil eines Portals ist.nicht jedoch für Bürger/innen anwendbar. Portale zwischen den Verwaltungen bilden die technische Basis für das zentrale Melderegister. die an andere Portale koppeln. dass diese das Portalverbundprotokoll unterstützen.

10.10.10. 10. Demnach sind bei der Administration von IT-Systemen die folgenden Aktivitäten vollständig zu protokollieren: • • Systemgenerierung und Modifikation von Systemparametern: Da auf dieser Ebene in der Regel keine systemgesteuerten Protokolle erzeugt werden.1.5 Art und Umfang von Protokollierungen hängen von den speziellen Anforderungen des IT-Systems und der darauf befindlichen Applikationen und Daten ab und sind im Einzelfall sorgfältig festzulegen.1.1 Erstellung von Protokolldateien ISO Bezug: 27002 10.10. 10. [eh SYS 8.2. Neben den Protokollen für den Portalverbund ist eine einheitliche Vorgehensweise in den Bereichen • • • • Verwendbare Verschlüsselungsverfahren Zertifikatsspezifikationen Keystoreformate und Zertifikatsmanagement anzuwenden.6.Für die Signatur und die Identifikation wird empfohlen die Module für Sicherheitstechniken für Online Verfahren (MOA-ID.20] 10. die mit der Systemdokumentation korrespondieren sollten. In Hinblick auf die Verwendung von Zertifikaten in der Öffentlichen Verwaltung werden besonders in den IKT-Board Beschlüssen [IKTB-110903-3] und [IKTB-281003-19] entsprechende Dokumente und Richtlinien beschlossen und zur Anwendung empfohlen (siehe dazu auch Richtlinien der IKT-Stabsstelle für ServerZertifikate [IKT-SZERT] ).10 Protokollierung und Monitoring 10. 10. bedarf es entsprechender detaillierter manueller Aufzeichnungen. Einrichten von Benutzerinnen und Benutzern: 393 . [IKTB-161203-01] Im Rahmen der Anwendungen des Bundes werden diese dann auch zur Sicherung der Konvergenz verwendet. wie sie für die meisten Systeme Gültigkeit haben. Die im Folgenden angeführten Anforderungen an die Protokollierung stellen Mindestanforderungen dar. MOA-SS/SP) einzubinden.

kommt einer vollständigen Protokollierung eine besondere Bedeutung zu (vgl. dem Überschreiben von Datenbeständen verbunden sind und häufig in "Ausnahmesituationen" durchgeführt werden. Benutzer/innen in diesem Sinne ist auch Systemadministratoren. Erstellung von Rechteprofilen: Im Rahmen der Protokollierung der Benutzerverwaltung kommt es insbesondere auch darauf an aufzuzeichnen. unbefugt gelöscht oder zerstört werden können). Datenbankmanagement). das betreffende IT-System zu benutzen. Restore) mit der Anfertigung von Kopien bzw.und Verfahrensfreigaben. ob Unbefugte sich Systemadministrator-Rechte erschlichen haben. kommt der vollständigen Protokollierung aller "auffälligen Abnormitäten" beim Einloggen und der Benutzung von Hard. Diese Protokolle sind Grundlage praktisch jeder Revisionsmaßnahme. Versuche unbefugten Einloggens und Überschreitung von Befugnissen: Geht man von einer wirksamen Authentisierungsprozedur und sachgerechten Befugniszuweisungen aus. besteht eine erhöhte Notwendigkeit zur Protokollierung. Änderungen an der Dateiorganisation: Im Hinblick auf die vielfältigen Manipulationsmöglichkeiten. wer die Anweisung zur Einrichtung bestimmter Benutzerrechte erteilt hat.und Softwarekomponenten eine zentrale Bedeutung zu. Durchführung von Datensicherungsmaßnahmen: Da derartige Maßnahmen (Backup. 394 . z. Das Überschreiben eines bestimmten protokollierten Ereignisses durch ein gezieltes Auffüllen des Speichers der Protokolldaten mit "unverdächtigen" Daten muss zuverlässig verhindert werden. die sich bereits bei Benutzung der "Standard-Dateiverwaltungssysteme" ergeben. wem von wann bis wann durch wen das Recht eingeräumt worden ist.B. Um eine ordnungsgemäße Auswertung der Protokolldaten zu ermöglichen ist zu beachten: • • • Die Speicherung der Protokolldaten hat in einer nicht manipulierbaren Form zu erfolgen (die Daten dürfen nicht gezielt verändert. um feststellen zu können. Sonstiger Aufruf von Administrations-Tools: Die Benutzung aller Administrations-Tools ist zu dokumentieren. Nicht-personenbezogene IDs sind zu vermeiden.• • • • • • Es ist vollständig zu protokollieren. da sie eine personenbezogene Auswertung unmöglich machen. Einspielen und Änderung von Anwendungssoftware: Die Protokolle repräsentieren das Ergebnis der Programm.

2 Datenschutzrechtliche Aspekte bei der Erstellung von Protokolldateien ISO Bezug: 27002 10. Protokoll. deren Daten im protokollierten Datenbestand enthalten sind. damit tatsächlich durchgeführte Verwendungsvorgänge.das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes . Abfragen und Übermittlungen. sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen. im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können. das mit mindestens fünfjähriger Freiheitsstrafe bedroht ist. dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind. dass es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens handelt. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen.10. haben Datenschutz-/ IT-Sicherheitsbeauftragte oder Applikationsverantwortliche in Übereinstimmung mit gesetzlichen Vorgaben (etwa Datenschutzgesetz (DSG 2000) ) und der organisationsweiten IT-Sicherheitspolitik zu treffen. wie insbesondere Änderungen. da ein zu großer Umfang an Daten die Auswertung der Daten erschweren oder sogar unmöglich machen kann.1] 10. Dabei ist es wichtig. oder zum Zweck der Kontrolle jener Personen. die auf den protokollierten Datenbestand zugegriffen haben. [eh SYS 10.unvereinbar sind.3 Lt. welche Daten zu protokollieren sind. Unter anderem ist dazu Protokoll zu führen. § 14 (DSG 2000) (Datensicherheitsmaßnahmen) ist je nach Art der verwendeten personenbezogenen Daten und nach Umfang und Zweck der Verwendung.und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden.• Die Entscheidung. 395 . sich auf die tatsächlich relevanten Informationen zu beschränken. die mit ihrem Ermittlungszweck .10. es sei denn. dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind. aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung.

Für diesen Fall bleibt zu beachten. die Installation eines Servers.3 Kontrolle von Protokolldateien ISO Bezug: 27002 10. dass diese Daten nur für Zwecke.10. sind nicht betroffen. die Hinweise auf eventuelle Sicherheitslücken. etc. der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes verwendet werden dürfen (vgl. Je nach Art der Protokolldaten kann es sinnvoll sein. 15. 15. diese auf externen Datenträgern zu archivieren.1.2.3. wie z.2 Die Protokollierung sicherheitsrelevanter Ereignisse ist als Sicherheitsmaßnahme nur wirksam. dass damit eine Kontrolle der Tätigkeiten des Administrators nur schwer möglich ist. kann ihre Auswertung auch durch den Administrator erfolgen. [eh SYS 10. 10. sind Protokollund Dokumentationsdaten drei Jahre lang aufzubewahren.10. Da Protokolldateien in vielen Fällen personenbezogene Daten beinhalten. Protokollierungen von nicht-personenbezogenen Daten. § 14 (DSG 2000) ). 10.10. die mit ihrem Ermittlungszweck vereinbar sind.1. Die regelmäßige Kontrolle dient darüber hinaus auch dem Zweck.Aufbewahrungsfristen Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist. §14 Z4 DSG 2000 (DSG 2000) ). als der von der Protokollierung oder Dokumentation betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird (lt. Ist es personell oder technisch nicht möglich. Dem/der Datenschutz-/IT-Sicherheitsbeauftragten ist jedenfalls eine derartige Auswertung vorzulegen. durch die anschließende Löschung der Protokolldaten ein übermäßiges Anwachsen der Protokolldateien zu verhindern.4. Davon darf in jenem Ausmaß abgewichen werden. ist sicherzustellen. wenn die protokollierten Daten in regelmäßigen Abständen durch einen Revisor ausgewertet werden. die Rolle eines unabhängigen Revisors für Protokolldateien zu implementieren.B. Diese Pflichten gelten nur für den Gebrauch von personenbezogenen Daten. Aufzeichnungen über den Datendurchsatz eines Systems. 10.5.10.2] 10.10.3. Manipulationsversuche und Unregelmäßigkeiten erkennen lassen: 396 . Die nachfolgenden Auswertungskriterien dienen als Beispiele.

die unter Administratorkennungen durchgeführt wurden. ein Werkzeug zur Auswertung zu benutzen. Konfiguration des Netzes)? Bei der Auswertung der Protokolldateien sollte besonderes Augenmerk auf alle Zugriffe gelegt werden.• • • • • • • • Liegen die Zeiten des An. Passwörter zu erraten)? Häufen sich unzulässige Zugriffsversuche (Hinweis auf Versuche zur Manipulation)? Gibt es auffällig große Zeitintervalle. [eh SYS 10. ist es sinnvoll. Diese Sicherstellung kann durch technische oder organisatorische Maßnahmen erfolgen. Die Meldewege im Fall von Auffälligkeiten sind festzulegen. Dieses Werkzeug sollte wählbare Auswertungskriterien zulassen und besonders kritische Einträge (z.3] 10.und Abmeldens außerhalb der Arbeitszeit (Hinweis auf Manipulationsversuche)? Häufen sich fehlerhafte Anmeldeversuche (Hinweis auf den Versuch. dass das konsequente Abmelden nach Arbeitsende nicht vollzogen wird)? Gibt es auffallend lange Verbindungszeiten in öffentliche Netze hinein? Wurde in einzelnen Netzsegmenten oder im gesamten Netz eine auffällig hohe Netzlast oder eine Unterbrechung des Netzbetriebes festgestellt (Hinweis auf Versuche.10. Wenn regelmäßig umfangreiche Protokolldateien ausgewertet werden müssen. in denen anscheinend kein Benutzerwechsel stattgefunden hat (Hinweis darauf. Es ist sicherzustellen. in denen keine Protokolldaten aufgezeichnet wurden (Hinweis auf eventuell gelöschte Protokollsätze)? Ist der Umfang der protokollierten Daten zu groß (eine umfangreiche Protokolldatei erschwert das Auffinden von Unregelmäßigkeiten)? Gibt es auffällig große Zeitintervalle. In besonders sicherheitskritischen Fällen sollte das Vier-Augen-Prinzip zur Anwendung kommen.B. zu beeinträchtigen oder auf eine ungeeignete Konzeption bzw.und Internetnutzung Bezug: Österreich 397 . mehrfacher fehlerhafter Anmeldeversuch) hervorheben. dass die Aktivitäten von Administratoren ausreichend kontrolliert werden können.4 Rechtliche Aspekte bei der Erstellung und Auswertung von Protokolldateien zur E-Mail. Weiters ist zu beachten: • • • • Die Verantwortung für die Auswertung der Protokolldaten ist genau festzulegen. die Dienste des Netzes zu verhindern bzw.

Begrenzung des Rechts zur Installation ausführbarer Programme. Gebrauch von stabiler Systemsoftware. Virenscanner. Die Rechte des Arbeitgebers auf Schutz seiner IKT-Einrichtungen (insb. 398 . die über die Ermittlung von allgemeinen Angaben zur Person oder über die Ermittlung von fachlichen Voraussetzungen hinausgehen. Gebrauch von Virenscannern) bleiben unberührt. f Bundes-Personalvertretungsgesetz (PVG) ist bei der Einführung von Systemen zur automationsunterstützten Ermittlung. • • Der Hauptgrund werden die Kosten sein. Gemäß § 9 Abs. Speicherplatz) als auch der Verlust an Produktivität. etc. sollte sich über die Gründe im Klaren sein.B. für das es derzeit noch keine klare Lösung gibt. ist die Einführung und Verwendung von Kontrollmaßnahmen und technischen Systemen. mit dem Dienststellenausschuss das Einvernehmen herzustellen. wobei die Frage. die vom Arbeitgeber zur Verfügung gestellten Ressourcen privat zu nutzen. Trojanern und anderer schädlicher Software lässt sich mit Hilfe geeigneter technischer Mittel stark reduzieren.) durch den Arbeitgeber ist ein Problem. unzulässig. Einrichtung von kontrollierten Umgebungen zur Ausführung fragwürdiger Programme. welche die Menschenwürde berühren.und Staatsanwaltschaftsdienstgesetz (RStDG) . GP ) verweisen auf die Judikatur zu § 96 Arbeitsverfassungsgesetz (ArbVG) . welche Maßnahmen die Menschenwürde berühren. Ein weiterer Grund für die Beschränkung privater E-Mail-Kommunikation kann im Schutz vor Viren. Es muss aber auch gesagt werden. Eine geringfügige private oder halbprivate Nutzung im Rahmen des normalen menschlichen Sozialverhaltens sollte zugelassen bzw. dass kein Recht der Arbeitnehmer/innen besteht. § 29n Vertragsbedienstetengesetz 1948 (VBG) und § 76g Richter. Verarbeitung und Übermittlung von personenbezogenen Daten der Bediensteten. ignoriert werden. interpretiert werden muss. Die Erläuterungen zu den Bestimmungen ( 1574 der Beilagen zu den Stenographischen Protokollen des Nationalrates XX.2 lit. Die Gefahr von Virenbefall. Ein totales Verbot privater Nutzung sollte nur in Extremfällen ausgesprochen werden (z. die durch private Kommunikation verursacht werden. Eine Vereinbarung zu diesem Thema ist wünschenswert. Trojanern und anderer schädlicher Software liegen. E-Mail etc. Ein Arbeitgeber. und zwar die direkten Kosten (Bandbreite. Gemäß § 79e Beamten-Dienstrechtsgesetz 1979 (BDG 1979) .Die Überwachung des Fernmeldeverkehrs (Telefon. insb. bei Behörden mit sehr hohen Ansprüchen an Sicherheit und Geheimhaltung). Private Kommunikation genießt prinzipiell den Schutz des Fernmeldegeheimnisses und des Grundrechtes auf Datenschutz. der die private Nutzung von Internetdiensten einschränken will.

15. mit der sich nachvollziehen lässt. Weiters darf Mail an die Personalvertretung durch den Arbeitgeber nicht inhaltlich kontrolliert werden. widerspricht daher dem Datenschutzgesetz (Entscheidung der Datenschutzkommission vom 6. [eh SYS 10.10.2.Oktober 1998.Behörden. falsche Behauptungen aufzustellen ("Ich habe alles rechtzeitig mit E-Mail beantragt. Eine Erfassung von Telefondaten..4] 10. sollte derartige Mail von jeglicher Kontrolle ausgenommen werden.").1. Der protokollierte Posteingang wiederum macht es unseriösen Elementen schwer. aber auch die Beamtinnen und Beamten bei ihrer Tätigkeit unterstützen. mit wem ein Personalvertreter telefonisch in Kontakt war. Uhrzeit.2 Eine angemessene Durchführung von Protokollierung. 10. Diese Entscheidung lässt sich auch auf E-Mail übertragen. 399 . werden rasch auf ein ernstes Problem stoßen: Den Nachweis von Zustellungen per E-Mail. die im Rahmen des E-Governments tätig sind.3.599/8-DSK/98).1. § 26 Bundes-Personalvertretungsgesetz (PVG) statuiert eine Geheimhaltungspflicht der Mitglieder der Personalvertretung über alle ihnen von einzelnen Bediensteten gemachten Mitteilungen.5 Audit und Protokollierung der Aktivitäten im Netz ISO Bezug: 27002 10. Zahl 120. Datum. 10.5.2. 15..10. Eine Aufzeichnung und Speicherung aller E-Mails (oder auch nur von Teilen. die der Sache nach oder auf Wunsch des/der Bediensteten vertraulich zu behandeln sind. Falls ein dienstliches Interesse an der Verwendung von E-Mail für nicht unmittelbar dienstliche Zwecke besteht (z. der Betreffzeile. begründet der protokollierte Postausgang zumindest den Anschein einer korrekten Versendung durch die Behörde.10. Solange keine zuverlässigen Verfahren für E-Mail-Zustellbestätigungen existieren.3. 10.B.10. wie z.6. Absender/in und Empfänger/in) kann die oben genannten Probleme verschärfen. Zusendung von Informationen durch die Personalvertretung).B. Audit und Revision ist ein wesentlicher Faktor der Netzsicherheit.

gewisse (im Allgemeinen zu definierende) Zustände für eine spätere Auswertung abzuspeichern. sicherheitskritische Zugriffe auf Netzkomponenten und Netzmanagementkomponenten mit oder ohne Erfolg. Zusätzlich werden beim Audit häufig auch Daten über Nutzungszeiträume und anfallende Kosten erhoben. Bei einem Online-Audit werden die Ereignisse mit Hilfe eines Tools (z. der insbesondere sicherheitskritische Ereignisse betrachtet. ob die Bandbreite des Netzes den derzeitigen Anforderungen genügt. sind z. Bei einem Offline-Audit werden die Daten protokolliert oder aus einer bestehenden Protokolldatei extrahiert.B. so dass diese oft nur mit Hilfe eines Werkzeuges sinnvoll ausgewertet werden können. die protokolliert werden können.Protokollierung: Eine Protokollierung innerhalb eines Netzmanagementsystems oder an bestimmten aktiven Netzkomponenten erlaubt es. oder die Erkennung von systematischen Angriffen auf das Netz. Bei der Protokollierung fallen zumeist sehr viele Einträge an. Dies kann online oder offline erfolgen. Weiterhin sollten folgende Vorkommnisse protokolliert werden: • • Hardware-Fehlfunktionen. wieder ausgeschaltet?). ein unautorisierter Zugriff auf eine Netzkomponente oder die Performance eines Netzes zu bestimmten Zeiten. Zugriffe auf aktive Netzkomponenten (wer hat sich wann angemeldet?). unzulässige Änderungen der IP-Adresse eines IT-Systems (in einem TCP/IPUmfeld). Dabei sind für ein Audit insbesondere folgende Vorkommnisse von Interesse: • • • • Daten über die Betriebsdauer von IT-Systemen (wann wurde welches IT-System ein. Verteilung der Netzlast über die Betriebsdauer eines Tages oder eines Monats und die allgemeine Performance des Netzes.B. 400 . Audit: Unter einem Audit wird die Verwendung eines Dienstes verstanden. einem Netzmanagementsystem) in Echtzeit betrachtet und ausgewertet. Eine Auswertung solcher Protokolle mit geeigneten Hilfsmitteln erlaubt beispielsweise einen Rückschluss. Beim Audit liegt die Fokussierung auf der Überwachung von sicherheitskritischen Ereignissen. die zu einem Ausfall eines IT-Systems führen können.bzw. Typische Fälle. die übertragenen fehlerhaften Pakete an einer Netzkomponente.

Bei einem Offline-Audit werden die Daten aus den Protokolldateien oder speziellen Auditdateien mit Hilfe eines Werkzeuges für Auditzwecke aufbereitet und durch den Auditor überprüft. mit denen sicherheitskritische Ereignisse überwacht und ausgewertet werden können. Dabei ist auch zu überlegen. dass die datenschutzrechtlichen Bestimmungen eingehalten werden. damit der zuständige Administrator oder Auditor auf wichtige Ereignisse sofort reagieren kann und nicht unter einer Flut von Informationen den Überblick verliert.Ein Audit kann sowohl online als auch offline betrieben werden. Zusätzlich werden weniger kritische Ereignisse offline ausgewertet. Revision: Bei der Revision werden die beim (Offline-) Audit gesammelten Daten von einem/einer oder mehreren unabhängigen Mitarbeitern/Mitarbeiterinnen (4Augen-Prinzip) überprüft. Dadurch wird ein hohes Sicherheitsrisiko erzeugt. Im letzteren Fall können Maßnahmen zur Einhaltung oder Wiederherstellung der Sicherheit nur zeitverzögert eingeleitet werden. sofort Maßnahmen einleiten kann. die sich von den gültigen Passwörtern meist nur um ein Zeichen bzw. Es muss weiterhin festgelegt werden. Administrator und Auditor) vorgenommen werden. Dafür müssen Ereignisse in geeignete Kategorien eingeteilt werden. wer die Protokolle und Audit-Daten auswertet. der ggf.B. Weiterhin ist darauf zu achten. die von einem Netzmanagementsystem generiert werden. ob eine Rollentrennung erforderlich ist. 401 . falls es zu einem unberechtigten Zugriff auf diese Informationen kommt. ist im Einzelfall zu entscheiden. protokolliert werden.und Audit-Funktionen sind in einem sinnvollen Umfang zu aktivieren. Bei einem Online-Audit werden entsprechend kategorisierte Ereignisse direkt dem Auditor mitgeteilt. um Unregelmäßigkeiten beim Betrieb der IT-Systeme aufzudecken und die Arbeit der Administratoren zu kontrollieren. Auf keinen Fall dürfen Benutzer-Passwörter im Rahmen eines Audits oder einer Protokollierung gesammelt werden.und Offline-Audit empfohlen. oder spezifische Datensammler einzusetzen. Hierbei muss eine angemessene Trennung zwischen Ereignisverursacher und auswerter (z. Die mit einem Netzmanagementsystem möglichen Protokollierungs. um eine Vertauschung zweier Zeichen unterscheiden. Im Allgemeinen wird eine Mischform aus Online. Dabei werden für das Online-Audit die sicherheitskritischen Ereignisse gefiltert und dem Auditor sofort zur Kenntnis gebracht. Neben Performance-Messungen zur Überwachung der Netzlast sind dabei insbesondere die Ereignisse (Events) auszuwerten. Ob falsch eingegebene Passwörter.

insbesondere in sensiblen Bereichen. 10.5 Aufgabe von Intrusion Detection Systemen ist die Überwachung bzw.Die Protokoll.B. 10.6] 402 . Zugriffsschutzsysteme und Firewalls nicht ersetzen.4.1. dass eine sinnvolle Auswertung möglich ist. weiterzumelden und gegebenenfalls Gegenmaßnahmen einzuleiten. die die Anbindung eines Netzwerkes an ein Fremdnetz (etwa Internet) absichern. [eh SYS 10. Eindringversuche zu erkennen.6. Analyse des Datenverkehrs bzw.1. wie Authentisierung.6 Intrusion Detection Systeme ISO Bezug: 27002 10. Intrusion Detection Systeme können andere Sicherheitsmaßnahmen. 10. 15.10. Sie können sehr schnell sehr umfangreich werden. beitragen.5] 10.1.10. sie können jedoch zu einer weiteren Erhöhung der Sicherheit.oder Auditdateien auf ein auswertbares Maß zu beschränken. sollten die Auswertungsintervalle daher angemessen.2.oder Auditdateien müssen regelmäßig ausgewertet werden.2.6. der Aktivitäten auf IT-Systemen. unterstützen Intrusion Detection Systeme die Erkennung unberechtigter Zugriffsversuche sowohl externer als auch interner Benutzer/innen innerhalb eines lokalen Netzes.10. mit dem Ziel. Um die Protokoll.10. [eh SYS 10. Dies umfasst folgende Teilaufgaben: • • • • Erfassung von Ereignissen: Sammlung der wesentlichen Ereignisdaten aus Netzpaketen oder Protokolldateien Analyse der erfassten Ereignisse: Untersuchung der gespeicherten Aktivitäten auf Auffälligkeiten (z. 10. aber dennoch so kurz gewählt werden. anormales Verhalten von Benutzerinnen/Benutzern ("Anomalie Intrusion Detection Systeme") oder bekannte Befehlsmuster ("Misuse Intrusion Detection Systeme")) Speicherung der analysierten Daten Einleitung von Gegenmaßnahmen: Generierung von Warnmeldungen und Setzen von Gegenmaßnahmen Im Unterschied zu Firewalls.

Da NTP ein Klartextprotokoll ohne kryptographische Sicherungen ist.10. Im Zweifelsfall sollte dieser Lösung der Vorzug gegeben werden. RFC 5905) auf einen externen Zeitserver zuzugreifen. Insbesondere bei der Auswertung von Protokollierungsinformationen ist dies von zentraler Bedeutung.) zurückgegriffen wird. oder wenn bei Anwendungen. In Österreich bietet beispielsweise das Bundesamt für Eich. muss sichergestellt werden. über das Protokoll NTP (Network Time Protocol Version 4. Falls die Zeitserver-Infrastruktur im Internet genutzt werden soll. so sollte dafür ein eigener Rechner vorgesehen werden. Synchronisationsprobleme auftreten. Windows-Rechner in einer Active Directory Infrastruktur gleichen zudem die Systemzeit mit dem Domänencontroller ab. Auch verteilte Dateisysteme und zentrale Authentisierungsdienste sind auf Zeitsynchronizität angewiesen.10. bevor sie die empfangenen Zeit-Informationen übernimmt und an die anderen Rechner im Netz weitergibt. Die Software des lokalen Zeit-Servers beziehungsweise NTP-Proxys muss eine Plausibilitätsprüfung vornehmen. An der Firewall sollte NTP in diesem Fall nur für den NTP-Proxy-Server freigeschaltet werden. 403 . nicht übernommen werden. sollte es nur innerhalb des eigenen Netzes eingesetzt werden.6 In vielen Situationen ist es bei vernetzten Systemen wichtig. öffentliche NTP-Zeitserver. etc. Im Internet existiert eine verteilte Infrastruktur von öffentlichen NTP Zeitservern. Ein Beispiel für eine solche Plausibilitätsprüfung ist. die eine vorher festgelegte maximale Zeitdifferenz überschreiten. beispielsweise um Fehlermeldungen. Für die korrekte Einstellung der Systemzeit bieten die meisten Betriebssysteme die Möglichkeit. die auf einen Angriff über das Netz hindeuten. dass alle bei einem Vorgang betroffenen Rechner eine korrekte Systemzeit besitzen. der als einziger die NTP-Informationen von den ausgewählten Zeitservern bezieht. Falls für die Zeitsynchronisation auf externe Quellen (Funkuhren. richtig korrelieren zu können. dass die empfangenen Zeit-Informationen nicht ungeprüft übernommen werden.ud Vermessunsswesen einen solchen Dienst an. Die Rechner im lokalen Netz synchronisieren ihre Systemuhr dann mit dem lokalen NTP-Proxy. dass sprunghafte Änderungen. Insbesondere in Netzen mit hohem Schutzbedarf sollten keinesfalls alle Geräte individuell per NTP direkt Anfragen an Zeitserver im Internet stellen.10. die über mehrere Rechner verteilt sind.7 Zeitsynchronisation ISO Bezug: 27002 10. Alternativ kann ein Rechner im internen Netz mit einem Funkuhr-Modul ausgestattet als lokaler Zeitserver eingesetzt werden.

1. Revision.1. wie erfolgen Identifikation und Authentisierung. Prozesse. 11. welche Regeln müssen bei Vergabe bzw.) und welche Objekte (z. 11. ändern. Umgesetzt werden die Zugriffsrechte durch die Rechteverwaltung des IT-Systems. vergeben bzw.4. Programmen und Daten nur berechtigten Personen oder Prozessen und nur im Rahmen der festgelegten Regeln möglich ist.1 Zugriffskontrollpolitik Durch organisatorische und technische Vorkehrungen ist sicherzustellen.B. widerspruchsfrei und überschaubar sein. Die Rechteverwaltung muss vollständig.). 11. Änderung eingehalten werden (Authentisierung.. dass der Zugriff zu IT-Systemen.B.B...und Passwortverwaltung Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 11 ff "Zugriffskontrolle". Schlüssel. . Programme. Berechtigungssysteme.B.) können zwischen Subjekten und Objekten existieren. Administrator.2. Benutzer/in und Revision.1. Netzwerken. welche Rollen müssen durch die Rechteverwaltung definiert werden (z.vorzugsweise im Rahmen der IT-Systemsicherheitspolitik ... wer darf Rechte einsehen. 11. 4-Augen-Prinzip). Personen.).1. 11. welche Rollen sind miteinander unvereinbar (z.11 Zugriffskontrolle.B. Daten.) unterliegen der Rechteverwaltung. IT-Anwendungen.getroffen werden ("Zugriffskontrollpolitik"): • • • • • • • welche Subjekte (z.6 Folgende grundsätzliche Festlegungen zur Rechteverwaltung in einem IT-System sollten ..5.. . Benutzer/innen. Schreiben. 11. Ausführen. welche Arten von Rechten (z.... 404 . ev.1 Grundsätzliche Festlegungen zur Rechteverwaltung ISO Bezug: 27002 10. Administrator und Auditor. 11. . Lesen.

Zugangskontrolle Geeignete Auswahl von Authentikations-Mechanismen Sichererer Umgang mit IDs und Passworten Aufteilung von Administratortätigkeiten 11. wenn kein Zugriff mehr benötigt wird.2 Benutzerverwaltung Wesentlich sind Verfahren zur geordneten und dokumentierten Erteilung von Zugriffsrechten auf Informationssysteme. denen bestimmte Rechte zugeordnet werden. Solche Rollen können etwa sein: Administrator. den darauf durchgeführten Aufgaben sowie der betroffenen Organisation abhängig sein. Diese sollen über die gesamte Lebensdauer des Zugriffsrechtes wirken.bzw. da damit Systemkontrollen außer Kraft gesetzt werden können. 405 .2. Datensicherer/in. deren Einhaltung generell empfohlen wird: • Die Rechteverwaltung darf nur durch eine/n Berechtigte/n und nur im Rahmen der in der Zugriffskontrollpolitik festgelegten Regeln durchgeführt werden.4 Die Vergabe und Verwaltung von Zugriffsrechten wird in hohem Maße vom spezifischen IT-System. Es gibt jedoch einige Grundregeln. 11.1 ] 11. Besonders relevant ist dabei die Kontrolle über privilegierte Zugriffsrechte.1 Vergabe und Verwaltung von Zugriffsrechten ISO Bezug: 27002 11. also vom erstmaligen Einrichten neuer Benutzer / Benutzerinnen bis zur Entfernung.2.Definition von Rollen: Viele IT-Systeme lassen es zu. Dies umfasst: • • • • • • Dokumentation der zugelassenen Benutzer/Innen und zugehöriger Rechteprofile Einrichten der Zugriffsrechte Erarbeiten von Richtlinien für die Zugriffs. [ eh SYS 1. Datenerfasser/in oder Sachbearbeiter/in. Rollen zu definieren.

1 11. zu löschen.. Benutzergruppen bilden die Voraussetzung für eine angemessene Vergabe von Zugriffsrechten und für die Sicherstellung eines geordneten und überwachbaren Betriebsablaufs. . Jede/r Benutzer/in soll ihre/seine Rechte innerhalb einer Anwendung einsehen können. Telefon. Bei Ausscheiden einer Mitarbeiterin bzw.B. Projekt. Zusätzlich sollte in definierten Abständen eine Suche nach "toten Benutzerkennungen".. Gruppenkennung.• • • • • • • Grundsätzlich sollten immer nur so viele Zugriffsrechte vergeben werden.) bestehen.B. Organisationseinheit. ebenso jede/r Verantwortliche für ihren/seinen Bereich.2 Einrichtung und Dokumentation der zugelassenen Benutzer/innen und Rechteprofile ISO Bezug: 27002 11. Personelle und aufgabenbezogene Änderungen müssen innerhalb der Rechteverwaltung unverzüglich berücksichtigt werden. systembezogen zu definierenden Zeitraum nicht benutzt wurden. ggf.: • • • • • 406 Name. Erreichbarkeit (z.bzw. für jede Benutzergruppe zunächst die erforderlichen Daten zu erfassen. .2 ] 11. also Kennungen. eines Mitarbeiters sind deren/dessen Kennung und die zugehörigen Rechte unverzüglich zu deaktivieren bzw. vorgesehen sein. bei Urlaub. eindeutige Identifikation zumindest des jeweiligen Berechtigungssystems. um von jedem/jeder Benutzer/in bzw. die seit einem längeren.2. Vorschlag für die Benutzer/innen.4 Regelungen für die Einrichtung von Benutzerinnen/Benutzern bzw. Es muss ein geregeltes Verfahren für den temporären Entzug von Zugriffsrechten (z. z. Es sollte ein Formblatt existieren. Karenz. Nicht mehr aktive Benutzerkennungen dürfen nicht für Nachfolger/innen reaktiviert werden. Raum). wenn diese nicht durch Konventionen vorgegeben sind.B.2. [ eh SYS 1. wie es für die Aufgabenwahrnehmung notwendig ist ("Need-to-know-Prinzip"). Vorname.

Zugriffsberechtigungen (für bestimmte Verzeichnisse.und Gruppennamen festzulegen. Ein Passwort. muss danach gewechselt werden (s. zulässig.B.1 Regelungen des Passwortgebrauches). Befristungen. Erreichbarkeit der Benutzerin bzw. eingeschränkte Benutzerumgebung. Für sensible IT-Systeme bzw.nachname) oder eigene Benutzer-IDs (z. Zustimmung von Vorgesetzten. das einem/einer neuen Benutzer/in für die erstmalige Systemnutzung mitgeteilt wird.3. Anonymisierte bzw. Benutzergruppen und Rechteprofile und ist Voraussetzung für Kontrollen. Abweichungen vom verwendeten Standard-Rechteprofil). des Benutzers. generische Benutzerkennungen sind nur bei unbedenklichen Inhalten. Zeitpunkt und Grund der Einrichtung. Namenskonventionen für die Benutzer. ggf. bei denen personenbezogene Zugriffssicherheit erforderlich ist. Befristungen. vorname.). Angaben über die geplante Tätigkeit im System und die dazu erforderlichen Rechte sowie die Dauer der Tätigkeit. Anwendungen. Endgeräte. Remote-Zugriffe. Dokumentation: Die Dokumentation dient der Übersicht über die zugelassenen Benutzer/innen. Es ist sinnvoll. [ eh SYS 1. wie zum Beispiel eine Kombination aus Vor. Kürzel Organisationseinheit plus lfd.und Nachnamen (z.3 ] 407 . es dürfen nicht mehrere Benutzer/innen unter derselben Kennung arbeiten.• • • ggf. muss jedem/jeder Benutzer/in eine eigene Benutzerkennung zugeordnet sein. sondern einem eingeschränkten Benutzerkreis zugänglich sein sollen. die jedoch nicht öffentlich. Nummer). Dokumentiert werden sollen insbesondere • • die zugelassenen Benutzer/innen mit folgenden Mindestangaben: zugeordnetes Rechteprofil (ggf. Plattenvolumen. Dies sollte vom System initiiert werden. etc. die zugelassenen Gruppen mit den zugehörigen Benutzerinnen/Benutzern. der Abweichungen). ggf. Restriktionen auf Zeiten.B. auch 11. Bei all diesen Aufzeichnungen ist auf Aktualität und Vollständigkeit zu achten. Zeitpunkt und Grund der Einrichtung. Begründung für die Wahl des Rechteprofils (und ggf.

die Daten ermöglichen. Notfällen ISO Bezug: 27002 11. so lässt sich dieses auch organisatorisch nachbilden. dass eine zeitgerechte Neuausstellung der Karte oder eine Ausstellung einer temporär gültigen Karte möglich ist oder aber Ersatzkarten zur Verfügung stehen. Nach der Rückkehr der Benutzerin bzw. Wird es notwendig. d. Abhängig von den Personalisierungsmöglichkeiten vor Ort ist dafür Sorge zu tragen. so sollte dies nach dem Vier-Augen-Prinzip. [ eh SYS 1.bzw. Ist vom System technisch kein Vier-Augen-Prinzip vorgesehen.B. des Benutzers ist diese/r über die Weitergabe des Passworts in Kenntnis zu setzen und ein neues Passwort von ihr/ ihm zu vergeben. von zwei Personen gleichzeitig.2 Es sind Vorkehrungen zu treffen. so ist dieses an einem geeigneten. im Urlaubs.2.oder Krankheitsfall) ihrer/ seiner Vertretung Zugriff auf das IT-System bzw. in einem Tresor) zu deponieren und bei jeder Änderung des Passwortes zu aktualisieren (regelmäßige Prüfung auf Aktualität erforderlich!). die es erlauben. ein Passwort zu hinterlegen.3 Organisatorische Regelungen für Zugriffsmöglichkeiten in Vertretungs. Beim Einsatz von Chipkarten zur Authentisierung sind Vorkehrungen zu treffen. Generell sollte in Applikationen und IT-Systemen eine Stellvertreterregelung schon eingebaut sein. Ist es in Einzelfällen doch notwendig. h. geschehen. damit keine Weitergabe von Passwörtern in Abwesenheitsfällen benötigt wird. eines Mitarbeiters (z. die in Notfällen bei Abwesenheit einer Mitarbeiterin bzw.11. bei momentaner Inoperabilität bzw. indem Passwörter in mehrere Teile zerlegt werden. dieses hinterlegte Passwort zu nutzen. wobei jeder im Notfall Zugriffsberechtigte nur einen Teil besitzt. geschützten Ort (z.B. Je nach den technischen Möglichkeiten können auch "Einmalpasswörter" oder Passwörter mit begrenzter Benutzungsdauer vergeben werden. Außerdem ist die Weitergabe des Passworts und deren Dauer zu dokumentieren.7 ] 408 . Nichtverfügbarkeit der Chipkarte einer/einem Berechtigten den Zugang zum System zu ermöglichen.

SYSTEM und Tastatur. Es ist zu prüfen. Für Benutzer/innen mit umfangreichen Rechten. ob das Berechtigungssystem alle Stellen des Passwortes oder nur Teile davon überprüft. etc. so ist die Sicherheit der Zugriffsrechteverwaltung des Systems entscheidend davon abhängig. Innerhalb des Passwortes sollte mindestens ein Zeichen verwendet werden.11. Einrichtungen wirksam zu halten.3. die eine Art Mindeststandard für die Wahl und die Handhabung von Passwörtern darstellen.3. Geburtsdaten. in Bereichen. Allerdings sind sie diesbezüglich mit verständlichen Anweisungen zu unterstützen. Der Hersteller bzw. von Außenstehenden leicht zu erratender Bedeutung. wie ABCDEF.oder Abteilungsbezeichnungen. das kein Buchstabe ist (Sonderzeichen oder Zahl).1 Erfolgt die Authentisierung in einem IT-System über Passwörter. 11. 409 • . dem Schutzbedarf der darauf laufenden Anwendungen bzw.und Zeichenmuster. KfzKennzeichen. Dafür ist es empfehlenswert. werden die Anforderungen im Allgemeinen höher liegen. wie Namen.1 Regelungen des Passwortgebrauches ISO Bezug: 27002 11. bzw. in denen mit streng vertraulichen Informationen gearbeitet wird. Im Folgenden werden jedoch einige Grundregeln gegeben. der gespeicherten Daten sowie den auf dem System realisierten technischen Möglichkeiten. Passwörter mit spezieller.3 Verantwortung der Benutzer / Benutzerinnen Die Benutzer / Benutzerinnen sind verantwortlich. die Benutzer/innen diesbezüglich zu unterweisen und die Einhaltung zu kontrollieren. • • • • Das Passwort sollte mindestens 6 Zeichen lang sein. wie etwa Administratoren. Voreingestellte Passwörter (z.B. Kompromittierung oder Diebstahl von Informationen bzw. Firmen. die Mechanismen gegen unbefugten Zugriff. eine Regelung zum Passwortgebrauch einzuführen. dass das Passwort korrekt gewählt und verwendet wird. etc. Regelungen zum Passwortgebrauch sind in hohem Maße abhängig vom betroffenen IT-System. sind ebenso zu vermeiden wie Standardausdrücke wie TEST. 123456. Lieferant sollte dazu nach allen voreingestellten Benutzerkennungen und Passwörtern befragt werden. des Herstellers bei Auslieferung von Systemen) müssen umgehend durch individuelle Passwörter ersetzt werden. QWERTZ.

• • • • • • • Passwörter dürfen nicht auf programmierbaren Funktionstasten gespeichert werden. Das Passwort muss geheim gehalten werden und sollte nur dem/der Benutzer/in persönlich bekannt sein. Nach einer vorgegebenen Anzahl von Fehlversuchen (meist 3) ist eine vordefinierte Aktion zu setzen. Wird es doch aufgeschrieben. aber auch eine Sperre des Gerätes oder ein Timeout.B. eine größere Anzahl zum Vergleich herangezogen werden ( Passwort Historie ). die nur vom Systemadministrator aufgehoben werden kann. mittels Einwegverschlüsselung. Bei der Eingabe darf das Passwort nicht auf dem Bildschirm angezeigt werden. die nach einmaligem Gebrauch gewechselt werden müssen. Falls IT-technisch möglich. Ist das Passwort unautorisierten Personen bekannt geworden. so ist für die Sicherheit dieser Aufzeichnungen besonders Sorge zu tragen.B. Der Passwortwechsel sollte vom System regelmäßig initiiert werden. alle 90 Tage. so ist ein sofortiger Passwortwechsel durchzuführen. Jede/r Benutzer/in muss sein eigenes Passwort jederzeit ändern können. eine Warnmeldung oder Ähnliches. Die Eingabe des Passwortes sollte unbeobachtet stattfinden. Die Wiederholung alter Passwörter beim Passwortwechsel sollte vom IT-System verhindert werden. Bei der Authentisierung in vernetzten Systemen sollten Passwörter verschlüsselt übertragen werden.5 ] 11. sollten folgende Randbedingungen eingehalten werden: • • • • Die Wahl von Trivialpasswörtern (s.3. Das Passwort sollte nach Möglichkeit nicht schriftlich fixiert werden.2 Bildschirmsperre 410 .o. • • • • [ eh SYS 1. Für die Erstanmeldung neuer Benutzer/innen sollten Einmalpasswörter vergeben werden. also Passwörter. Eine solche Aktion kann etwa eine Sperre der Benutzer-ID sein. z. Dazu sollten alle alten Passwörter bzw. Die Passwörter sollten im System zugriffssicher und nicht im Klartext gespeichert werden.) sollte mit technischen Mitteln verhindert werden ("Stopwortliste"). Das Passwort muss regelmäßig gewechselt werden. z.

[ eh SYS 1. des Benutzers zusätzlich ein Zugriffsschutz für das IT-System gewährleistet. Beim Einsatz von Chipkarten soll gewährleistet sein.3 Unter einer Bildschirmsperre versteht man die Möglichkeit.ISO Bezug: 27002 11. Als weiteres Leistungsmerkmal sollte die Bildschirmsperre eine automatische Aktivierung bei längerer Pausenzeit aufweisen. dass die Bildschirmsperre nur mittels Chipkarte und PIN wieder aufgehoben werden kann. wird bei der Abwesenheit der Benutzerin bzw. wenn der/die Benutzer/in den Arbeitsplatz für eine kurze Zeit verlässt. die die entsprechenden Dienste dieses Systems nutzen.3. Ein solcher Schutz ist zum einen durch Passwörter.2. 11. Die Aktivierung der Bildschirmsperre sollte erfolgen. können bei einer Fehlkonfiguration eines Routers größere Teilnetze bzw. Für aktive Netzkomponenten mit Routing-Funktionalität ist außerdem ein geeigneter Schutz der Routing-Updates erforderlich. sogar das gesamte Netz ausfallen oder Daten unbemerkt kompromittiert werden. um eine dynamische Anpassung an die aktuellen Gegebenheiten des lokalen Netzes zu erreichen. Denn während durch eine fehlerhafte Konfiguration eines Serversystems nur diejenigen Benutzer betroffen sind. um auf Daten und Anwendungen unabhängig vom Standort dieser Institution zugreifen zu können.3. zum anderen durch kryptographische Prüfsummen erreichbar. Gerade zentrale aktive Netzkomponenten müssen jedoch sorgfältig konfiguriert werden. Verfügt das Softwareprodukt außerdem über eine Passwort-Abfrage. oder der/die Benutzer/in auszuloggen.4 Fernzugriff Neben der Sicherheit von Serversystemen und Endgeräten wird die eigentliche Netzinfrastruktur mit den aktiven Netzkomponenten in vielen Fällen vernachlässigt. die auf dem Bildschirm aktuell vorhandenen Informationen zu verbergen. 411 . Beim Entfernen der Chipkarte ist entweder die Bildschirmsperre zu aktivieren. Diese sind zur Aktualisierung der Routing-Tabellen erforderlich. Behörden und Unternehmen müssen Fernzugriffsmöglichkeiten auf ihre IT-Systeme einrichten.8 ] 11.

besteht in vielen Fällen das Problem. Für mittlere und große Netze. müssen hier Querberechtigungen (Cross-Zertifikate.1 Nutzung eines Authentisierungsservers beim Fernzugriff ISO Bezug: 27002 11. die vor allen Dingen die Möglichkeit der Spionage und des Verlusts von Daten sowie der Sabotage der ITSysteme der Institution betreffen. Smartphone) realisiert werden. die organisatorisch meist in mehrere Teilnetze (Domänen. Vertrauensstellungen) oder ein zentraler Verzeichnisdienst eingerichtet und gepflegt werden. Mit dem Gewinn an Flexibilität sind Risiken verbunden. Die Verbindung zwischen dem Endgerät und der Zentrale führt in der Regel über das Internet.5. WiMax oder öffentliche Telefonnetze zugegriffen werden kann. 11.4. um die auf dem Endgerät gespeicherten Daten vor Verlust und gegen Vertraulichkeitsverletzungen zu schützen Einsatz eines kryptografisch gesicherten VPN. Zu den wichtigsten Maßnahmen gehören: • • • eine erfolgreiche Authentifizierung des Benutzers gegenüber seinem Endgerät und dem Netz der Institution Verschlüsselung der Daten auf dem Endgerät und eine regelmäßige Sicherung der Daten im Netz der Institution. 11. Verwaltungsbereiche) aufgeteilt sind. 412 . um so die Risiken durch Nachlässigkeit zu reduzieren. UMTS. Wurde ein Endgerät entwendet oder gestohlen.6. Laptop. um die Kommunikationsverbindung zwischen dem Endgerät und dem Netz der Institution vor unbefugtem Mitlesen zu schützen. WLAN. sollte sich der Fernzugriff des betroffenen Benutzers durch die Institution kurzfristig sperren lassen. Zusätzlich sollte eine Anwenderrichtlinie den Benutzer auf seine Sorgfaltspflichten hinweisen.Diese Fernzugriffsmöglichkeiten können mit unterschiedlichen Endgeräten (Desktop.4. Benutzerinnen sollte auf die Effizienz der Benutzerverwaltung auch für Fernzugriffe geachtet werden. auf das wiederum über DSLAnschlussleitungen. 11. dass in jedem Verwaltungsbereich eine getrennte Verwaltung der Benutzerdaten durchgeführt wird. 11.7 Für Netzwerke mit vielen Benutzern bzw. Sollen sich Benutzer/innen auch an fremden Teilnetzen anmelden können.

gleichgültig ob sie/er dazu eine RAS-Verbindung benutzt oder sich direkt im LAN befindet . Je nach System erzeugen diese z. der diese an den/die Benutzer/in weiterleitet. Durch die Verwendung von zentralen Authentisierungsservern kann erreicht werden. als sie von den Betriebssystemen standardmäßig unterstützt werden. Text) sein. Der/die Benutzer/in gibt ihr/sein Authentisierungsgeheimnis ein. die auch für den "normalen" Authentisierungsprozess bei der Systemanmeldung genutzt werden können.eine so genannte "Challenge" an den Prozess zurück. Der Anmeldeprozess leitet die Daten (meist transparent für Benutzer/innen) an den Authentisierungsserver weiter. Dies kann je nach verwendetem System ein Passwort oder ein Einmalpasswort in den unterschiedlichsten Ausprägungen (Nummern.sofern ein "Challenge-Response" Verfahren zum Einsatz kommt . Zur Kommunikation zwischen Anmeldeprozess und Authentisierungsserver wird in der Regel ein abgesichertes Protokoll eingesetzt. Der Authentisierungsserver sendet . Einmalpasswörter. eines Benutzers. 413 . kontaktiert dieser den Authentisierungsserver und informiert ihn über den eingegangenen Verbindungswunsch einer Benutzerin bzw. Das Programm zur Systemanmeldung wendet sich zur Überprüfung der von dem/der Benutzer/in eingegebenen Authentisierungsdaten an den Authentisierungsserver. Prinzipiell besitzen diese Systeme folgenden Aufbau: • • • Die Authentisierungsdaten der Benutzer/innen werden durch einen zentralen Server verwaltet. Der Zugang zum (Access-)Netz wird nach erfolgreicher Überprüfung gewährt.und Token-basierte Mechanismen zu nennen.laufen grob vereinfacht folgende Schritte ab: • • • • • Findet ein Verbindungsaufbau mit dem Anmeldeprozess statt. Der Authentisierungsserver verifiziert die Benutzerdaten und signalisiert dem Anmeldeprozess das Ergebnis der Überprüfung. Der Anmeldeprozess muss dazu die Nutzung externer Authentisierungsserver unterstützen und die Netzadresse des zu benutzenden Authentisierungsservers muss in den Konfigurationsdaten des Anmeldeprozesses korrekt eingetragen sein.B. Will sich ein/e Benutzer/in nun am System anmelden . dass einerseits die Authentisierungsdaten konsistent verwaltet werden und andererseits bessere Authentisierungsmechanismen genutzt werden können.Insbesondere im Kontext mit Fernzugriffen haben sich hier spezielle Authentisierungssysteme herausgebildet. die auf einem Display angezeigt werden und welche der/die Benutzer/in als Passwort angeben muss. Hier sind insbesondere Chipkarten.

Die Absicherung wird durch das Verschlüsseln und gegebenenfalls Signieren der ausgetauschten Datenpakete erreicht. Berücksichtigt werden muss jedoch. u. von den auf Protokollebene einsetzbaren Verfahren (siehe unten).Für mittlere und große Netze wird die Verwendung von Authentisierungsservern insbesondere bei Fernzugriffen empfohlen.10 Remote Access) Die Wahl des Verfahrens. werden die Daten über die Netze der beteiligten Internetdienstanbieter (und eventuell deren Kooperationspartner) geleitet. muss der zur Datenübertragung benutzte Netzpfad so abgesichert werden. da diese eine wesentlich höhere Sicherheit bei der Benutzer-Authentisierung bieten.6. 11. wie beispielsweise das Tunneling.3 Wird über ein Virtual Private Network (VPN) auf ein LAN zugegriffen. nachdem die Kommunikationspartner authentisiert wurden.7 ] 11. Da über eine VPN-Verbindung die direkte Anbindung an ein LAN erfolgt. Generell gilt: 414 . dass die Vertraulichkeit. von den durch die VPN. das zur Absicherung einer VPN-Verbindung zu benutzen ist.7. Ein Authentisierungsserver muss so im Netz platziert werden. Integrität und Authentizität gewährleistet ist. dass er einerseits performant erreicht werden kann.4. [ eh SYS 7.2 Einsatz geeigneter Tunnel-Protokolle für die VPNKommunikation ISO Bezug: 27002 11. Wird die Verbindung über das Internet aufgebaut. So wird beispielsweise bei einer direkten Einwahl (Direct Dial-In) das Netz eines Telekommunikationsanbieters benutzt. dass auch diese Server administriert und gewartet werden müssen. • • • von den Sicherheitsanforderungen an die Stärke der Verfahren (hierdurch werden beispielsweise die Schlüssellängen bestimmt).Hard. 12. aber andererseits auch vor unberechtigten Zugriffen geschützt ist. Im VPN-Umfeld haben sich verschiedene Verfahren und Mechanismen zur Absicherung der Kommunikationsverbindung herausgebildet. so erfolgt der Zugriff typischerweise über eine externe Datenverbindung.und Software unterstützten Verfahren. 10. hängt von verschiedenen Faktoren ab.4.A. (vgl.

• • Ein VPN-Produkt bietet in der Regel eine Auswahl von unterstützten Standardverfahren zur Kommunikationsabsicherung an. SSL/TLS). Hier sollte eine möglichst breite Unterstützung von Verfahren angestrebt und entsprechende Standards angewendet werden (beispielsweise IPSEC. [ eh SYS 7.3 Einsatz von Modems und ISDN-Adaptern ISO Bezug: 27002 11. Die zum Datentransport benutzten Protokolle bieten selbst schon Sicherheitsmechanismen an. bei Übermittlung personenbezogener Daten). es ist aber zu überlegen.8 ] 11. Einige der hier angeführten Grundsätze gelten allerdings auch für solche. Der sichere Einsatz eines Modems bedingt weiters einige administrative Maßnahmen: 415 . sollten diese im sinnvollen Rahmen genutzt werden. Korrekt eingegebene Passwörter sollten nicht mitprotokolliert werden. So ist etwa festzulegen: • • • • wer die/der Verantwortliche für den sicheren Betrieb des Modems ist (beispielsweise im Stand-alone Einsatz der IT-Benutzer/innen. die bei erfolglosen Login-Versuchen eingegebenen Passwörter mitzuprotokollieren. wer das Modem benutzen darf.4. Alternativ kann das VPN-Produkt auch eigene Verfahren anbieten.1 Modems werden angesichts der besseren Möglichkeiten durch Breitband-Internet bzw. Die Sicherheitsmechanismen basieren auf unterschiedlichen kryptographischen Verfahren. in welchen Fällen vertrauliche Informationen bei der Übertragung verschlüsselt werden müssen. um Passwort-Attacken zu entdecken.4. Diese können vom VPN-Produkt genutzt werden. ob erfolgreich oder erfolglos. Bietet die Kommunikationssoftware Protokollierungsfunktion an. in vernetzten Systemen der Administrator). Mobilfunk immer seltener verwendet. müssen protokolliert werden. Alle Login-Vorgänge. und es gibt nach wie vor noch Modemzugänge. in welchen Fällen durchgeführte Datenübertragungen zu protokollieren sind (z. Für den sicheren Einsatz sind eine Reihe von Regelungen zu treffen.B.

Außerdem müssen alle Benutzer/innen darauf hingewiesen werden. [ eh SYS 6. -partnerinnen bekannt gegeben werden.• • • • • Die Telefonnummer eines Modem-Zugangs darf nur den Kommunikationspartnern bzw. Außerdem müssen regelmäßig die Einstellungen des Modems und der Kommunikationssoftware überprüft werden sowie die durchgeführten Datenübertragungen protokolliert werden. dass das Modem nur solange mit dem Telefonnetz verbunden ist. Es muss außerdem darauf geachtet werden. wie etwa Passwortmechanismen oder Callback-Funktionen (vgl. Sie darf nicht im Telefonverzeichnis der Organisation erscheinen. dass nach einem Zusammenbruch der Modem-Verbindung externe Benutzer/innen automatisch vom IT-System ausgeloggt werden. um den Zugang vor Einwählversuchen zu schützen. Es ist darauf zu achten.4. Bei einem Stand-aloneSystem kann dies dadurch realisiert sein. Andernfalls kann der/die nächste Anrufer/in unter dieser Benutzerkennung weiterarbeiten. dass die eingesetzten Algorithmen stets dem Stand der Technik entsprechen. dass das Modem die Telefonverbindung unterbricht. ohne sich einzuloggen. die in Modems integriert sein können. dass auf einfache Weise unautorisierte Anrufer/innen abgewiesen werden können (siehe auch 11. wenn regelmäßig Übertragungen großer Datenmengen innerhalb einer Organisation mit verstreuten Liegenschaften durchgeführt werden sollen. Die vielfach angebotene Callback-Funktion bietet unter Sicherheitsgesichtspunkten den Vorteil. die übertragenen Daten zu verschlüsseln.4. die für die Datenübertragung berechtigt sind.5 Aktivierung einer vorhandenen Callback-Option). Ein externes Modem kann einfach ausgeschaltet werden. dazu 11. dass nach der Datenübertragung auch das Kommunikationsprogramm zu beenden ist. wie es für die Datenübertragung eingesetzt wird. Einige Modems bieten auch die Möglichkeit. Dann darf ein Zugriff auf die Kommunikationssoftware nur den Benutzerinnen/Benutzern möglich sein. sobald der/die Benutzer/in sich vom System abmeldet.11 ] 416 . Ist ein Modem in einen Netzserver integriert. von der Leitung getrennt wird. Die Anschaffung eines Modems mit Verschlüsselungsoption ist vorteilhaft. Es muss sichergestellt sein. können Benutzer/innen von ihren Arbeitsplatzrechnern auf das Modem zugreifen. Bei einem im Netzserver integrierten Modem muss dies über die Konfiguration sichergestellt werden. Sicherheitsmechanismen bei Modems: Es gibt vielfältige Sicherheitsmechanismen.4 Geeignete Modem-Konfiguration). Diese OnlineVerschlüsselung bedingt einen geringeren organisatorischen Aufwand als das Verschlüsseln der Daten mittels Zusatzprodukten. und es anschließend ausgeschaltet bzw.

wenn verhindert werden soll. dass sie von entfernten Modems fernkonfiguriert werden können.5 Aktivierung einer vorhandenen Callback-Option). Es ist wichtig. Nachfolgend werden einige sicherheitsrelevante Konfigurationen vorgestellt: Auto-Answer: Es kann eingestellt werden.4. Ansonsten ist ein Callback-Mechanismus einzusetzen (siehe 11.11. sollte sie genutzt und die Passwörter entsprechend den Sicherheitsanforderungen (vgl. Bei einigen Modems wird nach Eingabe eines bestimmten Befehls eine Liste der Rufnummern mit den zugehörigen Passwörtern angezeigt.7. Daher sollte der Zugang zum Modem nur befugten Personen möglich sein 417 . Es ist darauf zu achten. die dies verhindert und erzwingt.4 Geeignete Modem-Konfiguration ISO Bezug: 27002 11. Wenn diese Möglichkeit vorhanden ist. dass von außen unbemerkt eine Verbindung aufgebaut werden kann. dazu auch 11. Passwortgeschützte Speicherung von (Rückruf-)Nummern: Bei der Speicherung von Telefonnummern oder Rückrufnummern im nichtflüchtigen Speicher des Modems können diese bei vielen Modellen durch ein Passwort geschützt werden. den Befehlssatz des eingesetzten Modems daraufhin zu überprüfen. sollte gewählt werden.3 Fernwartung. dass das Modem einen ankommenden Ruf automatisch nach einer einzustellenden Anzahl von Klingelzeichen entgegennimmt.2 Die meisten Modems arbeiten nach dem nicht normierten.3.4. Größere Abweichungen gibt es in den erweiterten Befehlssätzen. Fernkonfiguration des Modems: Manche Modems können so eingestellt werden. wie die im folgenden beschriebenen Funktionen umgesetzt sind und ob durch fehlerhafte Konfiguration Sicherheitslücken entstehen können. Die Basis-Befehlssätze der verschiedenen Modems stimmen größtenteils überein. dass Anrufe manuell entgegengenommen werden müssen. dass diese Möglichkeit ausgeschaltet ist. herstellerabhängigen Hayes-Standard (auch AT-Standard genannt).1 Regelungen des Passwortgebrauches) gewählt werden. Die gewählten Einstellungen sollten im nichtflüchtigen Speicher des Modems gespeichert werden.4. Zum Problem der Fernwartung über Modems siehe 12. Eine Einstellung. Außerdem sollten sie auf Papier ausgedruckt werden. so dass sie jederzeit mit der aktuellen Einstellung verglichen werden können.

4.[ eh SYS 6. Ist diese Option aktiviert. Callback sollte auf der passiven Seite aktiviert sein. wenn feste Kommunikationspartner/innen sich automatisch einwählen können sollen.4. dass nur in der Zentrale festgelegte Nummern zurückgerufen werden. ist es für einen Angreifer wesentlich schwieriger. solange er nicht unter der voreingestellten Nummer erreichbar ist.5 Aktivierung einer vorhandenen Callback-Option ISO Bezug: 27002 11. die Möglichkeit haben. sollte das Callback von der Applikation und nicht vom Modem ausgelöst werden. den richtigen Moment abzupassen. wenn das Modem den Callback starten will. Es ist sicherzustellen. Ein Callback kann außer durch das Modem auch von der Applikation ausgelöst werden. Dadurch wird verhindert.2 Viele Modems bieten die Option eines automatischen Rückrufs (Callback).12 ] 11. [ eh SYS 6. in dem Moment. Hier sollte darauf geachtet werden. sofort nach dem erfolgreichen Verbindungsaufbau die Leitung und ruft eine voreingestellte Nummer zurück. dieses anzuwählen und damit den Callback abzufangen. die Nummer einzugeben. Wenn die Applikation den Callback durchführt. Anmerkung: Privilegierte Benutzer/innen können ev. Wenn die eingesetzte Applikation diese Option bietet. trennt das Modem. dass mit dem automatischen Rückruf auch die Kosten der Datenübertragung übernommen werden. unter der sie sich zurückrufen lassen möchten. wenn es einen Anruf erhält.13 ] 418 . dass die voreingestellten Rufnummern des Callback sporadisch kontrolliert und aktualisiert werden. Callback ist immer dann einzusetzen. von der Dateien abgerufen oder auf der Dateien eingespielt werden. da der Mechanismus sonst in eine Endlosschleife führt. Zu beachten ist. dass ein nicht autorisierter Anrufer diesen Modemzugang missbrauchen kann. also auf der Seite. Wenn das Modem ein Callback auslöst. und kein "Overrulen" durch den Anrufer möglich ist. dass der automatische Rückruf nur auf einer Seite aktiviert ist. kann ein Angreifer versuchen. Es ist darauf zu achten.

bieten grundsätzliche Fehlkonfigurationen potentielle Sicherheitsrisken. Somit werden im Zuge von Standardkonfigurationen zur Verfügung stehende Sicherheitsmechanismen oft nicht aktiviert. vorübergehender oder dauerhafter Unbrauchbarmachung und Zerstörung (Verletzung der Verfügbarkeit von Informationen und Programmen).5. 11.5 Zugriff auf Betriebssysteme Die Hauptaufgabe eines Betriebssystems besteht bis heute darin.5. 419 . Benutzern und Anwendungen den komfortablen Zugang zur Hardware und anderen Betriebsmitteln des Computersystems zu ermöglichen. bzw. Neben diesen Grundfunktionen muss ein Betriebssystem grundlegende Sicherheitskonzepte durchsetzen. Dazu gehört insbesondere sowohl der Schutz der Betriebssystemsoftware selbst als auch der Schutz einzelner Daten und Programme vor unberechtigter Benutzung (Verletzung der Vertraulichkeit von Informationen). Verfälschung (Verletzung der Integrität von Daten). 11.1 Sichere Initialkonfiguration und Zertifikatsgrundeinstellung ISO Bezug: 27002 11.11.4 Bei Neuinstallationen von Betriebssystemen und Software berücksichtigen die standardmäßigen und herstellerseitigen Grundeinstellungen kaum sicherheitstechnische Aspekte. Eine entsprechend dokumentierte Initialkonfiguration wird im Rahmen des Online-Angebotes des Chief Information Office des Bundes zur Verfügung stehen. Derartige Konfigurationen sollten sowohl für das Betriebssystem (vorrangig) aber auch für die verwendete Software von der Administration zur Verfügung gestellt werden.5. Im Bundesbereich ist gemäß dem IKT-Board Beschluss [IKTB-170902-7] eine definierte sichere Initialkonfiguration zu verwenden. Um dem entgegenzuwirken ist die Verwendung von geprüften Initialkonfigurationen zu bevorzugen.

wenn dies in der allgemeinen Strategie explizit festgehalten ist. sollte das Setup. Das implizite Vertrauen kann allen Zertifizierungsdiensten und den zugeordneten Diensten.oder Administrator-Passwort immer aktiviert werden.Zertifikatsgrundeinstellung Voreingestellt in Betriebssystemen bzw.5. 11. Teilweise können sogar verschiedene Passwörter für diese Prüfungen benutzt werden. wenn in den Arbeitsstationen die Mechanismen des Widerrufs hinreichend umgesetzt sind. Um zu verhindern. deren Zertifikaten dadurch explizit vertraut wird. sollte aber auf jeden Fall benutzt werden. dass Unbefugte die BIOS-Einstellungen ändern.5. durch einen definierten Satz an als vertrauenswürdig anerkannten Zertifikaten ersetzt werden. explizit ausgesprochen werden. die der EU Signaturrichtlinie (Art. Dies stellt ein Sicherheitsrisiko dar. denn der/die Anwender/in hat in der Regel keine Informationen über die Vertrauenswürdigkeit der Zertifizierungsstellen bzw.5. Nach IKT-Board-Beschluss [IKTB-040402-2] sind alle in der Bundesverwaltung auszuliefernden Arbeitsstationen initial so auszuliefern. Anderen Zertifizierungsdiensten kann im bereichs-/ressortübergreifenden Datenverkehr nur dann dass Vertrauen im System implizit gegeben werden. ob das Passwort vor jedem Rechnerstart oder nur vor Zugriffen auf die BIOS-Einstellungen überprüft werden soll.1) genügen. wenn keine anderen Zugriffsschutzmechanismen zur Verfügung stehen. ob deren Zertifikate zwischenzeitlich bereits kompromittiert wurden.4 Moderne BIOS-Varianten bieten eine Vielzahl von Sicherheitsmechanismen an. Dieser kann verhältnismäßig einfach überwunden werden. 420 . dass keinem Zertifizierungsdienst automatisch vertraut wird. • Passwortschutz: Bei den meisten BIOS-Varianten kann ein Passwortschutz aktiviert werden.2 Nutzung der BIOS-Sicherheitsmechanismen ISO Bezug: 27002 11. da hierdurch schwerwiegende Schäden verursacht werden können. mit denen sich die Benutzer/innen oder die Systemadministration vertraut machen sollten. Meist kann ausgewählt werden. [ eh SYS 5. 5. Demnach sollten in der Initialkonfiguration alle im Zertifikatsspeicher vorkonfigurierten Wurzelzertifikate (vertrauenswürdige Stammzertifikate) entfernt werden.8 ] 11. in Internet-Programmen (zum Beispiel Browsern) ist eine Vielzahl von „vertrauenswürdigen“ Zertifizierungsstellen. Auf keinen Fall sollten aber ungeschulte Benutzer/innen BIOS-Einträge verändern. bzw.

Der Schutzbedarf von Daten wirkt sich natürlich unmittelbar auf alle Medien aus. weitergeben darf. Ohne eine solche Umstellung der Boot-Reihenfolge können auch weitere Sicherheitsmaßnahmen wie etwa Zugriffsschutzmechanismen umgangen werden. Virus-Warnfunktion: Wird diese Funktion aktiviert.B. Generell sollte die Wirksamkeit der Umstellung der Boot-Reihenfolge durch einen Boot-Versuch geprüft werden. noch Diskettenlaufwerke) durch ein Passwort geschützt werden. Dazu gehört auch die regelmäßige Überprüfung auf Korrektheit und Vollständigkeit der Daten. personenbezogene. wer solche Daten lesen. auf denen diese gespeichert oder verarbeitet werden.• • Mit einigen (leider wenigen) BIOS-Varianten kann zusätzlich der Zugriff auf USBPorts (bzw. bei Fax oder E-Mail.6 Zugriff auf Anwendungen und Informationen Grundsätzlich sollten Mitarbeiter/innen natürlich sorgfältig mit allen Informationen umgehen. die einen höheren Schutzbedarf haben oder besonderen Restriktionen unterliegen.4 ] 11. Dies sollte benutzt werden. Daher ist es wichtig. bearbeiten bzw. des MBR (Master Boot Record) eine Bestätigung. verlangt der Rechner vor einer Veränderung des Bootsektors bzw. Diskette) im Laufwerksschacht vergessen wird. ggf. alle Mitarbeiter auf die für diese Daten geltenden Restriktionen hinzuweisen. falls versehentlich eine CD (resp. Virenschutz. Daten mit besonderem Schutzbedarf können in den unterschiedlichsten Bereichen anfallen. finanzrelevante. Je nach verwendetem BIOS und Betriebssystem muss auch das Booten von anderen austauschbaren Datenträgern wie USB-Ports verhindert werden. spart Zeit und schont das CD-Laufwerk. Darüber hinaus gibt es aber in vielen Bereichen Daten. dass es ein CD-Laufwerk E gibt).E_ bzw. da einige Controller die interne Reihenfolge außer Betrieb nehmen und eine getrennte Einstellung erfordern. Dies schützt vor der Infektion mit Boot-Viren. daher sollten in allen diesen Bereichen Festlegungen existieren. dass immer als Erstes von der Festplatte gebootet wird.E. z. Boot-Reihenfolge: Die Boot-Reihenfolge sollte so eingestellt sein. [ eh SYS 5. _C. z. um das unbefugte Einspielen von Software oder das unbemerkte Kopieren von Daten zu verhindern. so dass gesetzte Sicherheitsattribute ignoriert werden. Für diese gelten je nach ihrer Kategorisierung unterschiedliche Beschränkungen im Umgang mit ihnen. 421 . ob diese durchgeführt werden darf.B. vertrauliche oder Copyright-geschützte Daten. Ein Beispiel hierfür ist das Starten eines anderen Betriebssystems. Beispielsweise sollte also _C.A_ eingestellt werden (Annahme.

Objektes zu verstehen ist (meist durch Angabe eines Namens oder einer User-ID).3. versteht man unter "Authentisierung" den Nachweis der angegebenen Identität. Copyright-Vermerke oder Lizenzbedingungen kopiert werden dürfen. 11. Jede Organisation sollte eine Übersicht darüber haben.1 Während unter "Identifikation" die Bestimmung der Identität eines Subjektes bzw.1 Wahl geeigneter Mittel zur Authentisierung ISO Bezug: 27002 11. Grundsätzlich gibt es drei Arten der Authentisierung: • • 422 Authentisierung durch Wissen: etwa durch Eingabe von Passwörtern. bei deren Verlust die Organisation handlungsunfähig wird.6.2. Längerfristig gespeicherte oder archivierte Daten müssen regelmäßig auf ihre Lesbarkeit getestet werden. Die Wahl eines geeigneten Authentisierungsverfahrens ist von entscheidender Bedeutung für die Sicherheit des Gesamtsystems und muss daher den Sicherheitsanforderungen und den technischen Möglichkeiten gemäß getroffen werden. Manipulation und Verfälschung geschützt werden. Dazu gehören alle geschäftsrelevanten Daten. Weitergabe und Vernichtung besondere Vorschriften und Regelungen gelten. • • • Geschäftskritische Informationen müssen vor Verlust. dass weder Dokumente. Codes.17 ] 11. B. Alle Mitarbeiter/ innen müssen darauf hingewiesen werden. Verarbeitung. Ein besonderes Augenmerk muss auch auf alle Informationen gelegt werden. B. also z. diejenigen Daten. Nicht mehr benötigte Informationen müssen zuverlässig gelöscht werden. die die Beziehungen zusammenarbeitender Organisationen beeinträchtigen können oder aus deren Kenntnis ein Dritter (z. Neben den allgemeinen Sorgfaltspflichten können auch hier für diese Daten bei der Speicherung. welche Daten als geschäftskritisch einzustufen sind. kryptographischen Schlüsseln Authentisierung durch Besitz: beispielsweise von Schlüsseln oder Karten .6. Konkurrenzunternehmen) finanzielle Vorteile ziehen kann. [Q: BSI M 2. aber auch Anwendungen. welche die Grundlage für die Aufgabenerfüllung bilden.Viele Informationen. noch Dateien oder Software ohne Berücksichtigung evtl. unterliegen Copyright-Vermerken oder Weitergaberestriktionen ("Nur für den internen Gebrauch").4.

Authentisierung vorzusehen sein. Im Bereich der öffentlichen Verwaltung wird die Verwendung von so genannten Dienstkarten. 423 .6. Nach der Auswahl eines geeigneten Authentisierungsverfahrens sind Regelungen über die Handhabung der Authentifikationsmitteln zu treffen (vgl.2 Regelungen des Gebrauchs von Chipkarten). daher ist vorerst nur limitierter Einsatz der Biometrie möglich. Stimmerkennung. zur Identifikation bzw. in Verbindung mit der Bürgerkarte so genannte Single Sign-On Funktionalitäten zu realisieren. .3. dazu auch 11.. MOA-SS/SP) zu verwenden [IKTB-161203-01] . Diese Module stehen auch der Wirtschaft frei zur Verfügung [IKTB-110504-1] .. ob bei Verfahren der öffentlichen Verwaltung. Weiters besteht die Möglichkeit.als technisches Mittel der Wahl angesehen werden. gemäß der Empfehlung des IKT-Boards [IKTB-140102-1] . die folgenden allgemeinen Umsetzungsrichtlinien beschlossen: • Eine hohe Funktionsstärke (SOF high) ist derzeit und in absehbarer Zukunft nicht erreichbar. Fingerabdruck. besonders im Hinblick auf den Einsatz der Biometrie in Bereichen der öffentlichen Verwaltung. In vielen Fällen kommen Kombinationen der drei angeführten Prinzipien (etwa Authentisierung durch Wissen und Besitz) zur Anwendung. Unterschriftendynamik.1 Regelungen des Passwortgebrauches und 11. Biometrie kann allerdings noch nicht in allen Bereichen der Identifikation und Authentifikation – im Speziellen im Sinne eines authentischen Identitätsnachweises . Gemäß dem IKT-Board Beschluss [IKTB-260701-1] soll sogar anstelle eines konventionellen Sigle-Sign-On die Identifikation mit der Bürgerkarte. treten. Für die Signatur und die Identifikation wird empfohlen die Module für Onlineverfahren (MOA-ID. das gemäß dem IKT-Board Beschluss festgelegte Konzept Bürgerkarte zur Authentisierung von Benutzerinnen/Benutzern anzuwenden ist.B. Die Stabsstelle IKT-Strategie des Bundes hat im Rahmen des IKT-Board Beschlusses [IKTB-110903-10] . Die Sicherheit der einzelnen Authentisierungsverfahren ist sehr unterschiedlich und im Einzelfall immer zu hinterfragen. unter Verwendung geeigneter Basisdienste. Darüber hinaus ist generell zu prüfen. Biometrie: In der Diskussion um Mittel der Authentifikation rückt auch Biometrie zunehmend in den Mittelpunkt.• Authentisierung durch Eigenschaften oder Verhaltensmerkmale (biometrische Verfahren): z.

: • • • Personendokumente mit biometrischen Daten auf dem Dokument.2. sind noch nicht vorhanden. Anwendungen müssen zurzeit in kontrollierter Umgebung ablaufen. Zutrittskontrolle zu Anlagen und Räumen vor allem über Sekundärmechanismen (z.4.6. die durch die Behörde bestätigt (signiert) sind. ev. Dies gilt auch für Anwendungen mit Identifikationszuordnung in beschränkten Gruppen (im Normalfall etwa bis zu 100 Personen).2 Regelungen des Gebrauchs von Chipkarten ISO Bezug: 27002 11. Der Machtgeber für das Identifikationsobjekt (z.) muss die Möglichkeit der Kontrolle des Verifikationsprozesses haben.6. Verifikationsanwendungen mit biometrischen Daten unter Kontrolle des Inhabers/der Inhaberin und mit amtlicher Bestätigung (Signatur) zur breiten Anwendung sind derzeit möglich und können eingesetzt werden.1 Für Anwendungen im Sicherheitsbereich kommen intelligente Speicherkarten (Karten mit fest verdrahteter Sicherheitslogik) sowie Mikroprozessor-Karten (Karten mit Speicher und CPU. Die Identifikationsanwendung außerhalb der erkennungsdienstlichen Aufgaben ist noch nicht technologisch rechtfertigbar. Chipkarten haben unter Sicherheitsaspekten im Wesentlichen zwei Funktionen zu erfüllen. daher können zentrale Datenbanken nicht sinnvoll eingesetzt werden.B.B. [ eh SYS 1.4 ] 11. Anwendungen können im Bereich der Verifikation und der Komfortsteigerung einen wesentlichen Beitrag leisten. biometrisches Merkmal und Karte als Träger der Referenzdaten) oder in beschränkten Populationen. Sie dienen 424 .• • • • Standards für biometrische Merkmale. Zuordnung von Chipkarten zu Personen (dies ist vom Willensakt der Auslösung einer Funktion zu trennen.B. etc. da Wachzustand und Bewusstsein zurzeit in biometrischen Systemen nicht mit vertretbarem Aufwand technisch kontrollierbar sind). Derzeit praktikable Anwendungen für Biometrie sind z. Computer. 11. auch mit Co-Prozessor) zum Einsatz. Daten. die eine dauerhafte (etwa 10-jährige) Sicherheit gewährleisten.

Denkbar ist auch eine Multifaktor-Authentisierung. 425 .also in einem geschützten Bereich . PINs (Personal Identification Number) geschützt. Zugangscodes (etwa zu IT-Systemen). Angriffe gegen diesen geschützten Bereich erfordern einen sehr hohen technologischen Aufwand. Übertragbare Chipkarten ohne Namen sollten gar nicht oder nur in sicherheitstechnisch belanglosen Bereichen eingesetzt werden.im Folgenden wird der Einsatz von Chipkarten in sicherheitsrelevanten Applikationen behandelt. Generierung von Sessionkeys oder zur Durchführung von Transaktionen Entscheidender Vorteil der Chipkarte gegenüber anderen Medien ist. Verwendung kartenspezifischer Schlüssel und geeignete Implementierung von kryptographischen Algorithmen). Signatur.6 Kryptographische Maßnahmen). Ein Aufbewahren der PIN gemeinsam mit der Karte oder gar ein Notieren der PIN auf der Karte ist unbedingt zu vermeiden. Der Zugriff auf Daten und Funktionen von Chipkarten ist heute im Allgemeinen durch sog. Signaturschlüssel zur Generierung elektronischer Unterschriften (vgl. Kap. zur Chiffrierung. wo eine PIN zusammen mit biometrischen Merkmalen herangezogen wird. • • • Keine unautorisierte Weitergabe der Karte: Chipkarten stellen in der Regel ein persönliches Sicherheitsmedium dar und sollten daher sicher verwahrt und keinesfalls an andere Personen weitergegeben werden. . dass die Speicherung der vertraulichen Daten und die Durchführung von sicherheitskritischen Funktionen innerhalb der Karte .oder Zugriffskontrolle.. so sind eine Reihe von kryptographischen und systemtechnischen Gegenmaßnahmen zu setzen (etwa Schlüsseldiversifizierung.• • als Trägermedium für vertrauliche Daten z. persönliche Daten (medizinische Daten. Prüfungsergebnisse. Für Details zur Sicherheit von Chipkarten sei auf die Literatur verwiesen .erfolgen kann.) darstellen. Wenn erforderlich. Generierung von elektronischen Signaturen. Neben der Qualität der Karte selbst kommt auch der Wahl und der Handhabung der PIN entscheidende Bedeutung für die Sicherheit des Gesamtsystems zu. Die Chipkarten sollten immer mit dem Namen der Trägerin bzw. Dadurch kann die PIN zur leichteren Handhabe verkürzt werden.B.. Ist mit solchen Angriffen zu rechnen. Die PIN muss geheim gehalten werden und darf nur dem/der Benutzer/in persönlich bekannt sein. Im Folgenden werden einige Grundregeln gegeben. 12.B. die eine Art Mindeststandard für die Handhabung von Karten und PINs in sicherheitsrelevanten Anwendungen (etwa Zutritts. des Trägers versehen werden. etc.) als Security Modul (zur Durchführung von Sicherheitsfunktionen) z. sind die Mitarbeiter/innen in entsprechenden Verpflichtungserklärungen zur Einhaltung dieser Regelungen zu verpflichten. Authentisierung. Chiffrierschlüssel. Diese sind in hohem Maße abhängig vom Schutzbedarf des betroffenen Systems und der Art der Anwendung.

Dies erfolgt durch eine von der PIN unterschiedliche (und meist deutlich längere) Geheimzahl ("Supervisor PIN". [IKTB-040901-1] ). PINs dürfen nicht auf programmierbaren Funktionstasten gespeichert werden.6.6 Standardprodukte im PC-Bereich bieten oft eine Reihe von nützlichen ITSicherheitsfunktionen. ist eine Möglichkeit des Entsperrens vorzusehen.3.1. deren Güte im Einzelnen unterschiedlich sein kann. [ eh SYS 1. 11. die aber Unbefugte behindern bzw. die entweder dem/der Benutzer/in selbst oder einer/einem Sicherheitsverantwortlichen bekannt sein kann.5. mögliche Schäden verringern können. "Secure PIN-Pads" zum Einsatz kommen. Für Anwendungen mit hohem Sicherheitsbedarf in ungeschützten bzw. Da sich Chipkarten in der Regel nach einer festgelegten Anzahl von PINFalscheingaben (meist 3) selbst sperren . wenn vorher ein Passwort korrekt eingegeben wurde. ob eine Übertragung der PIN zwischen Tastatur und Karte im Klartext aus Sicherheitsgründen vertretbar ist. Zusätzlich ergibt sich bei der Wahl der einzusetzenden Chipkarte.3 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen ISO Bezug: 27002 11.dies stellt eines der wichtigsten Sicherheitsfeatures der Karte dar -. diese den Security Layer unterstützen (vgl. Die Eingabe der PIN sollte unbeobachtet stattfinden. 11. Die Wahl von Trivial-PINs ist zu vermeiden. Bei der Eingabe darf die PIN nicht auf einem Bildschirm oder Display angezeigt werden.6 ] 11. Im Folgenden seien einige dieser Funktionen kurz erläutert: • Passwortschutz bei Programmaufruf: Das Programm kann nur gestartet werden. "Personal Unblocking Key" (PUK)). Es ist zu prüfen.• • • • • • Die Länge der PIN hängt von Art und Schutzbedarf der Anwendung ab und liegt im Allgemeinen zwischen 4 und 8 Stellen. Dies verhindert die unberechtigte Nutzung des Programms. 426 . bei denen die Übertragung der PIN technisch oder mittels kryptographischer Verfahren geschützt wird. unkontrollierbaren Umgebungen sollten sog. dass speziell in Verbindung mit Anwendungen der öffentlichen Verwaltung.

Kap. [ eh SYS 3. Automatische Sicherung der Vorgängerdatei: Wird eine Datei gespeichert. Verschlüsselung von Dateien: Das Programm ist in der Lage.4. die nach dieser automatischen Speicherung eingetreten sind. Je nach eingesetzter Software und damit vorhandenen Zusatzsicherheitsfunktionen kann der Einsatz dieser Funktionen sinnvoll sein. die über den verwendeten geheimen Chiffrierschlüssel verfügen. Für mobil eingesetzte IT-Systeme bieten sich insbesondere die Nutzung des Passwortschutzes bei Programmaufruf und die automatische Speicherung an. 10. wenn das mit dieser Datei verknüpfte Passwort korrekt eingegeben wird. ob die zwischengespeicherten Daten nach dem regulären Programmende wieder gelöscht wurden (vgl. so dass eine unbefugte Kenntnisnahme verhindert werden kann. Automatisches Anzeigen von Makros in Dateien: Diese Funktion soll das unbeabsichtigte Ausführen von Makros verhindern und damit Schutz vor Makro-Viren bieten (vgl. Gegebenenfalls ist jedoch zu überprüfen. so wird die zweite Datei nicht gelöscht.4 ] 427 . eine Datei verschlüsselt abzuspeichern. Automatische Speicherung von Zwischenergebnissen: Das Programm nimmt eine automatische Speicherung von Zwischenergebnissen vor.• • • • • Zugriffsschutz zu einzelnen Dateien: Das Programm kann nur dann auf eine geschützte Datei zugreifen. Damit wird verhindert.1 Verifizieren der zu übertragenden Daten vor Weitergabe). sondern mit einer anderen Kennung versehen. so dass ein Stromausfall nur noch die Datenänderungen betrifft. Die Inhalte der Datei sind damit nur denjenigen zugänglich. zu der im angegebenen Pfad eine Datei gleichen Namens existiert.4 Schutz vor Schadprogrammen und Schadfunktionen). 12. dass versehentlich eine Datei gleichen Namens gelöscht wird. Dies verhindert den unerlaubten Zugriff mittels des Programms auf bestimmte Dateien.

nahezu überall arbeiten. Manipulation oder Zerstörung von Geräten oder Zubehör. Mobiltelefonen IT-Benutzer werden immer mobiler und können. Kälte. vorausgesetzt werden. Hitze). beispielsweise im Hotelzimmer. die eine mit einem Büroraum vergleichbare Sicherheitssituation erreichen lassen. Auch diese sollten angelehnt an das Lebenszyklus-Modell durchlaufen werden: • Planung und Konzeption der Einrichtung eines Arbeitsplatzes in fremder Umgebung. Vertraulichkeitsverlust schützenswerter Informationen Auch für mobile Arbeitsplätze sind eine Reihe von Maßnahmen umzusetzen. Unzureichende Kontrolle der Sicherheitsmaßnahmen. Manipulation an Informationen oder Software. Daher sind Sicherheitsmaßnahmen zu ergreifen. PDA. Nichtbeachtung von Sicherheitsmaßnahmen. dank immer kleinerer und leistungsfähigerer Geräte. Umwelteinflüsse (Nässe. in der Eisenbahn oder beim Kunden. 428 . Diebstahl von Geräten und/oder Datenträgern.11. wie sie in einer gewerblichen oder behördlichen Büroumgebung anzutreffen ist. Ungeeignete Entsorgung der Datenträger und Dokumente. Daher werden dienstliche Aufgaben häufig nicht mehr nur in Räumen des Unternehmens bzw. Ungesicherter Akten. Verlust. Sorglosigkeit im Umgang mit Informationen. Fehlende oder unzureichende Regelungen. Ungeeigneter Umgang mit Passwörtern. Typische Gefährdungen bei mobilen Arbeitsplätzen sind: • • • • • • • • • • • • • Beeinträchtigungen durch wechselnde Einsatzumgebungen. In solchen Umgebungen kann aber nicht die infrastrukturelle Sicherheit. sondern an wechselnden Arbeitsplätzen in unterschiedlichen Umgebungen.und Datenträgertransport. der Behörde wahrgenommen.7 Mobile Computing und Telarbeit Mobile IT-Arbeitsplätze mit Laptop.

B.B. Bei der letzteren unterscheidet man zwischen ausschließlicher Teleheimarbeit und alternierender Telearbeit. den Telearbeitsrechner der Telearbeiterin bzw. welche Informationen außerhalb der Räume der Organisation transportiert und bearbeitet werden dürfen und welche Schutzvorkehrungen dabei zu treffen sind. unter welchen Rahmenbedingungen Mitarbeiter mit mobilen IT-Systemen Zugriff auf interne Daten ihrer Institution haben dürfen. Die in diesem Kapitel aufgeführten Maßnahmenempfehlungen konzentrieren sich auf zusätzliche Sicherheitsanforderungen. die räumlich entfernt vom Standort des Arbeitgebers durchgeführt werden und deren Erledigung durch eine kommunikationstechnische Anbindung an die IT des Arbeitgebers unterstützt wird. des Telearbeiters.h. Telearbeit in Telearbeitszentren.). Bei Formen der Telearbeit. die Kommunikationsverbindung zwischen Telearbeitsrechner und Institution und den Kommunikationsrechner der Institution zur Anbindung des Telearbeitsrechners. Die Maßnahmenempfehlungen dieses Kapitels umfassen vier Bereiche: • • • • die Organisation der Telearbeit. der Arbeitnehmerin. Dabei ist auch zu klären. der/die Arbeitnehmer/in arbeitet teilweise im Büro und teilweise zu Hause. mobile Telearbeit sowie Telearbeit in der Wohnung des Arbeitnehmers bzw. Alle übrigen für dieses IT-System erforderlichen organisatorischen. Laptop. personellen und technischen Sicherheitsmaßnahmen sind selbstverständlich ebenfalls vollinhaltlich zur Anwendung zu bringen. Es gibt unterschiedliche Formen von Telearbeit.. besteht in der Regel zwischen dem Arbeitsplatz zu Hause und der Organisation eine Telekommunikationsverbindung. auch den Zugriff auf Daten in der Organisation ermöglicht. die sich aus einem Einsatz eines IT-Systems im Bereich der Telearbeit ergeben. die teilweise oder ganz im häuslichen Umfeld durchgeführt werden. Sorgfältige Entsorgung von Datenträgern und Ausdrucken (keinesfalls dürfen sie einfach in den Müll geworfen werden).• • • Regelungen für alle Außentätigkeiten. wie z. Schaffung und Einhaltung von Regelungen über die Arbeitsumgebung und die sorgfältige und sichere Behandlung der mitgenommenen IT-Systeme (z. PDA. welche den Austausch von Daten oder ggf. 429 . d.. Telearbeit Unter Telearbeit versteht man im Allgemeinen Tätigkeiten. Mobiltelefon.

sollte eine Sicherheitsrichtlinie erstellt werden. Die Daten sollten dementsprechend klassifiziert sein. welche Informationen mit mobilen IT-Systemen unterwegs verarbeitet werden dürfen. dass sie vertrauliche Informationen unterwegs nicht mit jedem austauschen und dies unterwegs auch nicht in Hör. Handhelds und Personal Assistants sowie auch mobile Datenträger wie USB-Festplatten und -Sticks. Ebenso sind bei der Nutzung von mobilen IT-Systemen diverse Punkte zu regeln: • Die Benutzer/innen müssen darüber informiert sein. Die Mitarbeiter/innen sollten auch darüber aufgeklärt werden. Da es bei mobilen IT-Systemen eine große Bandbreite von Varianten und Kombinationsmöglichkeiten gibt (von Handy über PDA zu Laptop mit WLANSchnittstelle).7. Zusätzlich sollte für die Benutzer/ innen ein kurzes und übersichtliches Merkblatt für die sichere Nutzung von mobilen IT-Systemen erstellt werden. Insbesondere sollte die Identitäten des Kommunikationspartner hinterfragt werden.und Sichtweite von Externen machen sollten. wenn hierfür geeignete und freigegebene Sicherheitsmechanismen eingesetzt werden. Palmtops. bevor detaillierte Auskünfte gegeben werden. Immerhin gibt es eine Vielzahl von Möglichkeiten. die sich innerhalb geschützter Räumlichkeiten befinden. so etwa Notebooks.7. Sie sind vielfältigeren Risiken ausgesetzt. mobile IT-Systeme unterwegs zu schützen. Je kleiner und leichter IT-Systeme werden. Daher sollten Mitarbeiter/innen für den Wert mobiler ITSysteme und den Wert der darauf gespeicherten Informationen sensibilisiert werden. Damit diese Möglichkeiten auch genutzt werden. in der alle umzusetzenden Sicherheitsmechanismen beschrieben sind. um Einschränkungen den Benutzern/ Benuzerinnen transparent zu machen Dienstgeheimnisse dürfen nur dann auf mobilen IT-Systemen verarbeitet werden. 430 .11.daher muss sie/er für möglichst sichere Aufbewahrung mobiler ITGeräte auch außer Haus sorgen. desto leichtfertiger wird erfahrungsgemäß damit umgegangen. sollten sie vor allem über die spezifischen Gefährdungen und Maßnahmen der von ihnen benutzten Geräte aufgeklärt werden. Die Umfeldbedingungen bei mobilem Einsatz liegen zumeist außerhalb der direkten Einflussnahme der Benutzerin / des Benutzers. als solche.1 Mobile IT-Geräte ISO Bezug: 27002 11.1 Unter mobilen IT-Geräten sind alle für einen mobilen Einsatz geeigneten Geräte zu verstehen.

oder Containerverschlüsselung. muss dieser Zugriff angemessen geschützt werden Es muss geklärt werden. Die Verwaltung. um eine lange Lebensdauer zu gewährleisten (z. um einem Verlust oder Diebstahl vorzubeugen bzw. Angebote. Ein mobiles IT-System stellt einen Wert dar. ob diese auch für private Zwecke benutzt werden dürfen. Beim Einsatz mobiler IT-Systeme ist zu klären. Empfindlichkeit gegenüber zu hohen oder zu niedrigen Temperaturen). B. Dies gilt besonders für fremde Räumlichkeiten wie Hotelzimmer sowie Kraftfahrzeuge.oder Wohnräumen. ob mobile Mitarbeiter/innen von unterwegs Zugriff auf interne Daten ihrer Institution erhalten sollen. Konstruktionsdaten. Akkupflege. die ein hohes Maß an Sicherheit verlangen (z. Dabei ist zu beachten. Daher sollten mobile IT-Systeme möglichst nicht unbeaufsichtigt bleiben oder ungeschützt herumliegen. Eine mögliche Alternative zu mitgenommenen Daten wären etwa zugriffsgeschützte Online-Festplatten am Server der eigenen Organisation.B. wie sie sorgfältig mit den mobilen IT-Systemen umgehen sollten.B. beispielsweise für private Schreiben oder gar Spiele nach Feierabend. dass bei privater Nutzung eines Internetzugangs weniger sichere Seiten aufgerufen werden als für dienstliche Zwecke. Keinesfalls dürfen solche Geräte ohne ausdrückliche Zustimmung der Organisation Dritten zur Reparatur oder Software-Wartung übergeben werden oder unautorisert darauf irgendwelche Software installiert werden. Containeroder Dateiverschlüsselung drigend zu empfehlen. Bei Mitnahme mobiler IT Geräte auf Auslandsreisen ist dies bereits im Vorfeld zu klären. Hierfür gibt es eine Reihe von brauchbaren Produkten zur transparenten Laufwerks. sondern in einem Schrank 431 . Wartung und Weitergabe von mobilen IT-Systemen sollte klar geregelt werden. Wirtschaftsdaten des Unternehmens. etwa dass bestimmte Verschlüsselungsprodukte nicht (auch nicht in installierter Form) importiert werden dürfen oder die verschlüsselten Daten den Zollbeamten offengelegt werden müssen. Aufbewahrung außerhalb von Büro. Besondere Gegebenheiten können sich in verschiedenen Zielgebieten und in speziellen Situationen (etwa bei einer besonders eingehenden Zollkontrolle) ergeben. dass die Zulässigkeit von Verschlüsselungstechnologien in den einzelnen Staaten unterschiedlich geregelt ist. Die Benutzer sollten darauf hingewiesen werden. personenbezogene oder sensible Daten) ist die Installation eines Zugriffsschutzes (über Passwort oder Chipkarte) unabdingbar sowie einer Festplatten-. Bei jedem Wechsel des Besitzers/ der Besitzerin alle benötigten Zugangsmechanismen (z. der potentielle Diebe/Diebinnen anlocken könnte.• • • • • • • Für Daten. Falls dies vorgesehen ist. Passwörter) gesichert weitergegeben werden. Insbesondere muss damit gerechnet werden.

Dies sollte dann auch regelmäßig kontrolliert werden. Werden mobile IT-Systeme in fremden Büroräume mitgenommen. ob die Nutzung oder sogar das Mitbringen von mobilen IT-Systemen in allen oder bestimmten Bereichen einer Behörde oder eines Unternehmens eingeschränkt werden sollte. In solchen Fällen sind die Geräte auszuschalten. Wird der Raum für längere Zeit verlassen.7. damit sie von außen nicht sichtbar sind.7. Notebook ISO Bezug: 27002 11. Alle Schutzmechanismen müssen aktiviert sein. so sind die Sicherheitsregelungen der besuchten Organisation zu beachten. im Kofferraum eingeschlossen sein.B. für Besprechungsräume sinnvoll sein.1 Laptop. Für die Nutzung zu Hause (Telearbeit) bieten einige neuere Geräte zusätzlich die Möglichkeit zum Anketten des Gerätes. sollte zusätzlich das Gerät ausgeschaltet werden.4 teilweise ] 11. da die Gefahr des bewussten oder unbewussten Abhörens der Raumgespräche über Mobiltelefone besteht.1 432 . wird auch die Kontrolle zunehmend schwieriger. da Laptops. Da die Geräte immer kleiner werden. sollten sie zumindest verdeckt werden. sondern etwa beim Portier abgegeben weden müssen.geworden sind. Wenn die Sicherheitsrichtlinie der Institution es nicht zulässt. Dies kann z. dass sie gar nicht mitgenommen werden dürfen. muss an allen Eingängen deutlich darauf hingewiesen werden. so ist dieser Raum nach Möglichkeit auch bei kurzzeitigem Verlassen zu verschließen. Ist das nicht möglich. [ eh INF 5. Es sollte überlegt werden. Allerdings wird ein solches Verbot zunehmend schwieriger durchsetzbar. Es kann aber auch sein. wenn sich das Gerät unmittelbar beim Besitzer/bei der Besitzerin befindet. um unkontrollierte Nutzung zu verhindern. Der Diebstahl setzt dann den Einsatz von Werkzeug voraus.1. PDA's und Mobiltelefone immer mehr zu unverzichtbaren Abeitsmitteln in Meetings gerade auch mit hochrangigen Besetzungen . dass mobile IT-Systeme mitgebracht werden.bzw. Wird ein mobiles IT-Gerät in fremden Büroräumen benutzt.

Ungeordneter oder unerlaubter Benutzerwechsel.Darunter versteht man einen PC. USB. so dass er indirekt als Brücke zwischen dem LAN und dem Internet wirken kann.oder DVDLaufwerke sowie über Schnittstellen zur Kommunikation über verschiedene Medien (beispielsweise Modem. Diebstahl. Ein Laptop hat eine kompaktere Bauform als Arbeitsplatzrechner und kann über Akkus zeitweise unabhängig von externer Stromversorgung betrieben werden. insbesondere mit dem Internet. Verlust gespeicherter Daten.oder Fremdpersonal. CD-ROM. Hitze). Firewire. Informationsverlust bei erschöpftem Speichermedium.oder Unternehmensnetz verbunden. Fahrlässige Zerstörung von Gerät oder Daten. Häufig wird er auch während der mobilen Nutzung über Modem oder Mobilfunk direkt mit externen Netzen. Laptops können mit allen üblichen Betriebssystemen wie Windows oder Linux betrieben werden. Unzureichender Umgang mit Passwörtern. Unkontrollierter Einsatz von Datenträgern. Manipulation oder Zerstörung von Geräten oder Zubehör. Typische Gefährdungen für Laptops: • • • • • • • • • • • • • • • • Beeinträchtigungen durch wechselnde Einsatzumgebungen. Unerlaubte Installation von Software. Nichtbeachtung von Sicherheitsmaßnahmen. Typischerweise wird ein Laptop zeitweise allein. Software-Schwachstellen oder -Fehler. LAN. Gefährdung durch Reinigungs. 433 . Kälte. verbunden. Unerlaubte Ausübung von Rechten. und von Zeit zu Zeit wird er zum Abgleich der Daten sowie zur Datensicherung mit dem Behörden. Er verfügt über eine Festplatte und meist auch über weitere Speichergeräte wie ein Disketten-. ohne Anschluss an ein Rechnernetz betrieben. Umwelteinflüsse (Nässe. Verlust. Ausfall der internen Stromversorgung.der aufgrund seiner Bauart transportfreundlich ist und mobil genutzt werden kann. WLAN).

• • • Richtlinien für die Nutzung von Laptops: Um Laptops sicher und effektiv in Behörden oder Unternehmen einsetzen zu können. die in den jeweiligen Schritten beachtet werden sollten.und Bedienungsfehler. Viren. Sorglosigkeit im Umgang mit Informationen. sowie die Maßnahmen. Manipulation an Informationen oder Software. Unberechtigte Datenweitergabe. Unberechtigte Privatnutzung. Unberechtigte Foto. Fehler bei der Synchronisation. Konfigurations. die dabei zu durchlaufen sind. wer das System wann und wofür nutzen darf und ob und in welcher Weise ein Anschluss an das Unternehmens. Ebenso ist zu regeln. Beschaffung von Laptops: Für die Beschaffung von Laptops müssen die aus dem Konzept resultierenden Anforderungen an die jeweiligen Produkte formuliert und basierend darauf die Auswahl der geeigneten Produkte getroffen werden Sichere Installation von Laptops: Eine sorgfältige Auswahl der Betriebssystem. Schadprogramme. da bei Laptops ein relativ hohes Diebstahlsrisiko besteht und die normalen 434 . sollte ein Konzept erstellt werden.• • • • • • • • Fehlerhafte Nutzung. Trojanische Pferde. Darauf aufbauend ist die Laptop-Nutzung zu regeln und Sicherheitsrichtlinien dafür zu erarbeiten. um Risiken durch Fehlbedienung oder absichtlichen Missbrauch der Laptops auszuschließen. Dies umfasst beispielsweise. Die Schritte.und Filmaufnahmen mit mobilen Endgeräten Maßnahmenempfehlungen für Laptops: Im Rahmen des Einsatzes von Laptops sind eine Reihe von Maßnahmen umzusetzen.bzw. Vertraulichkeitsverlust schützenswerter Informationen.und Software-Komponenten sowie deren sichere Installation ist notwendig. sind im Folgenden aufgeführt. beginnend mit der Konzeption über die Beschaffung bis zum Betrieb. Die hier zu treffenden Maßnahmen sind in hohem Grade abhängig von dem eingesetzten Betriebssystem zu realisieren. ob und in welcher Form bei mobiler Nutzung eine direkte Verbindung des Laptops mit dem Internet zulässig ist. Behördennetz gestattet wird. Dabei ist der Einsatz von Verschlüsselungsprodukten für tragbare IT-Systeme von besonderer Bedeutung. das auf den Sicherheitsanforderungen für die bereits vorhandenen IT-Systeme sowie den Anforderungen aus den geplanten Einsatzszenarien beruht.

Behördennetz über ein Virtual Private Network (VPN) erfolgt. wieder an das Unternehmens. Laptops werden häufig über längere Zeit losgelöst vom Firmen. Erst wenn dies sichergestellt ist. da Viren auch über verschlüsselte Kommunikationsverbindungen weiter verbreitet werden können.bzw. Zugleich sind allfällige Einfuhrbeschränkungen für Verschlüsselungsprodukte oder verschlüsselte Daten bei Auslandsreisen zu beachten. Um einen Überblick über die aktuell in das lokale Netz eingebundenen Laptops zu behalten und die Konfiguration aller Laptops 435 . Somit sind unter Umständen einerseits ihre Virendefinitionsdateien veraltet und sie sind andererseits einem hohen Infektionsrisiko ausgesetzt. die Software des Laptops auf aktuellem Stand zu halten und notwendige Sicherheitspatches zeitnah einzuspielen.bzw.und SoftwareManagement) notwendig.oder Behördennetz Infektionsquellen ersten Grades darstellen. der direkt am Internet betrieben wurde. Sicherer Betrieb von Laptops: Eine der wichtigsten IT-Sicherheitsmaßnahmen beim Betrieb heutiger Laptops ist die Installation und permanente Aktualisierung eines Virenschutzprogramms. dass die verwendeten Passwörter allgemein bekannt sind. Die hier zu treffenden Maßnahmen sind ebenfalls abhängig vom eingesetzten Betriebssystem und sind daher im Rahmen der Umsetzung der entsprechenden Bausteine zu realisieren. ob sich die aktuellste Version der bearbeiteten Daten auf dem Laptop oder im Netz befindet. Sichere Konfiguration der installierten Komponenten: Je nach Sicherheitsanforderungen müssen die beteiligten SoftwareKomponenten unterschiedlich konfiguriert werden. dass jederzeit erkennbar ist. Notwendig ist auch die Änderung voreingestellter Passwörter . dass der Anschluss an das Unternehmens. darf der Anschluss an das lokale Netz erfolgen.• • Funktionen der Zugangs. Um Angriffsversuche und missbräuchliche Nutzung erkennen zu können. sie durch eine restriktiv konfigurierte Personal Firewall gegen Angriffe aus dem Netz zu schützen. sind bei Laptops vor allem organisatorische Maßnahmen (Hard. wenn eine Trennung der Rechte mehrerer Benutzer erforderlich ist. Ebenso ist es unbedingt erforderlich. wenn der Laptop unter der Kontrolle des Diebes steht. Diese Geräte können sonst bei Anschluss an ein Firmen. Auch hier sind zusätzliche Maßnahmen erforderlich. weil nur zu häufig jede Zugangskontrolle dadurch illusorisch ist. Dies gilt auch für den Fall. Soll ein Laptop. Sofern Laptops bei mobiler Nutzung direkt an das Internet angeschlossen werden. Schutz vor Schadprogrammen und Aktualisierung der eingesetzten Viren-Schutzprogramme und Signaturen sind daher für Laptops ganz besonders wichtig. dass dieser Laptop nicht infiziert ist. um alle zu erwartenden Angriffe abzuwehren. so ist zunächst durch eine gründliche Überprüfung mit aktuellen Virensignaturen sicherzustellen. Der Virenschutz reicht alleine nicht aus.oder Behördennetz oder auch mit temporären Verbindungen zum Internet betrieben. Bei einem Wechsel zwischen netzgebundenem und mobilem Betrieb müssen die Datenbestände zwischen dem Server und dem Laptop synchronisiert werden. Behördennetz angeschlossen werden. Es muss dabei gewährleistet werden.und Zugriffskontrolle ihre Wirksamkeit verlieren. ist es unabdingbar.

Bei mobiler Nutzung ist in jedem Fall für geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz zu sorgen.1. Je nach der in einem Gebäude oder Büroraum gegebenen physischen Sicherheit kann es auch sinnvoll oder sogar notwendig sein. längerem Einsatz unterwegs das Ladegerät sowie ggf. Datensicherung von Laptops: Die Vorgehensweise und der erforderliche Umfang der Datensicherung richten sich nach dem Einsatzszenario des Laptops Nicht zuletzt sollte darauf geachtet werden. PDAs ohne eigene Tastatur.2 PDA (Personal Digital Assistant) ISO Bezug: 27002 11. für Reisen bzw. bei denen die Dateneingabe über das Display erfolgt (mittels Stift). um den Laptop vor Diebstahl zu schützen. Adressen und kleinen Notizen auch die Bearbeitung von E-Mail ermöglichen.7.• • jederzeit nachvollziehen zu können. dass keine schützenswerten Informationen mehr auf der Festplatte vorhanden sind. die typischerweise für StandardOffice Anwendungen von unterwegs verwendet werden. Der primäre Einsatzzweck ist das Erfassen und Verwalten von Terminen. dazu gehören unter anderem: • • • Organizer. ist darauf zu achten.1 Damit sind hier alle handtellergroßen. Adressen und kleinen Notizen. Gegebenenfalls ist dazu auch eineSoftware-Reinstallation durchzuführen. 436 . sei es im Rahmen des normalen Betriebs oder auch bei ihrer Aussonderung. Diese sollen neben dem Erfassen und Verwalten von Terminen. ist eine zentrale Verwaltung dieser Geräte wichtig. PDAs. Weitere spezifische Maßnahmen für Einzelsysteme betreffen vor allem den Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern sowie die 11.3 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen.6. Aussonderung: Bei Übergabe von Laptops an andere Benutzer/Innen.203 ] 11. Adapter für andere Stromspannungen bzw. Diebstahl-Sicherungen vorzusehen. mobilen Endgeräte zur Datenerfassung. um Adressen und Termine zu verwalten. [ Q: BSI B 3.7. bei denen die Dateneingabe über eine eingebaute Tastatur und/oder einen Touchscreen erfolgt. bearbeitung und -kommunikation beschrieben. Steckdosen im Ausland mitzuführen.

11. Generierung von Einmalpasswörtern). Kälte. Unerlaubte Ausübung von Rechten. Für sie gelten die Ausführungen des Kap.B. Unerlaubte Installation von Software. E-Mail. In der Praxis besteht eine besondere Problematik in der Vermischung von Daten der Organisation mit privaten Daten.bzw. PDAs werden aber auch zunehmend für sicherheitskritische Applikationen eingesetzt. Verlust. was zusätzlich Datenschutzproblematiken aufwirft . bzw.und MobiltelefonFunktionalitäten werden in zunehmendem Maß (in Gestalt der Smart Phones) kombiniert.1. Tabellenkalkulations-. wie beispielsweise die Nutzung als Authentisierungstoken für Zugriffe auf Unternehmensnetze (z. Ungeordneter oder unerlaubter Benutzerwechsel. Sub-Notebooks. Zum Teil werden hierfür angepasste Varianten von Textverarbeitungs-. die damit eine eingebaute Schnittstelle zur Datenübertragung besitzen. Beim Einsatz von Smartphones ist zusätzlich Baustein B 3. die wesentlich kleiner als normale Notebooks sind und daher beispielsweise weniger Peripheriegeräte und Anschlussmöglichkeiten bieten. Notebook. Speicherkarten). die aber unter anderem für die Vorführung von Präsentationen geeignet sind. Typische Gefährdungen für PDAs: • • • • • • • • • Beeinträchtigungen durch wechselnde Einsatzumgebungen. PDA. 437 . Speicherung von Patientendaten oder die Führung von Kundenkarteien. Unkontrollierter Einsatz von Datenträgern (z.und E-Mail Kontakte. Kalenderprogrammen angeboten. Umwelteinflüsse (Nässe. B.so darf die Behörde bzw. sogenannte Smartphones. Hitze).1 Laptop. Eine typische Anforderung an PDAs ist die Nutzung von Standard-OfficeAnwendungen auch unterwegs. werden in einigen Fällen private PDA's für dienstliche Zwecke genutzt. Anschaulichstes Beispiel hierfür sind der Kalender und das Adressbuch für Telefon. Es lässt sich mitunter gar nicht mehr zwischen privaten und dienstlichen Datenelementen unterscheiden. Fahrlässige Zerstörung von Gerät oder Daten. Diebstahl.404 Mobiltelefon umzusetzen. Die Übergänge zwischen den verschiedenen Gerätetypen sind fließend und außerdem dem ständigen Wandel der Technik unterworfen.• • PDAs mit integriertem Mobiltelefon. das Unternehmen keine privaten Daten löschen (auch nicht virenverseuchte E-Mails).7. Manipulation oder Zerstörung von Geräten oder Zubehör.

Die Schritte. Manipulation an Informationen oder Software. sollte ein Konzept erstellt werden. das auf den Sicherheitsanforderungen für die bereits vorhandenen IT-Systeme sowie den Anforderungen aus den geplanten Einsatzszenarien beruht. Software-Schwachstellen oder -Fehler. Sorglosigkeit im Umgang mit Informationen. Schadprogramme. Konfigurations. Informationsverlust bei erschöpftem Speichermedium. Unzureichende Identifikationsprüfung von Kommunikationspartnern. sind im Folgenden aufgeführt. Vertraulichkeitsverlust schützenswerter Informationen. beginnend mit der Konzeption über die Beschaffung bis zum Betrieb. • • Konzept: Um PDAs sicher und effektiv in Behörden oder Unternehmen einsetzen zu können. die dabei zu durchlaufen sind. Verlust gespeicherter Daten.305 Geeignete Auswahl von PDAs ). Unberechtigte Datenweitergabe. die in den jeweiligen Schritten beachtet werden sollten. Beschaffung: Für die Beschaffung von PDAs müssen die aus dem Konzept resultierenden Anforderungen an die jeweiligen Produkte formuliert und basierend darauf die Auswahl der geeigneten Produkte getroffen werden (siehe M 2. Nichtbeachtung von Sicherheitsmaßnahmen.und Filmaufnahmen mit mobilen Endgeräten. Unberechtigte Foto. Fehler bei der Synchronisation. Unzureichender Umgang mit Passwörtern. 438 . Trojanische Pferde. Darauf aufbauend ist die PDA-Nutzung zu regeln und Sicherheitsrichtlinien dafür zu erarbeiten.und Bedienungsfehler. sowie die Maßnahmen. Fehlerhafte Nutzung. Unberechtigte Privatnutzung.• • • • • • • • • • • • • • • • Ausfall des Geräts oder der internen Stromversorgung. Viren. Abhören von Raumgesprächen über PDAs mit eingebautem Mobilfunk Maßnahmenempfehlungen für PDAs: Im Rahmen des PDA-Einsatzes sind eine Reihe von Maßnahmen umzusetzen.

• • Konfiguration: Je nach Sicherheitsanforderungen müssen die beteiligten SoftwareKomponenten (PDA. Daten oder Programme. Wie bei anderen IT-Systemen ist aber auch hier zu beachten. dass verschiedene Benutzer damit arbeiten sollen. sicherheitsrelevante Konfigurationsänderungen durchzuführen. können entscheidende Hinweise enthalten. Adapter für andere Stromspannungen bzw. Die Synchronisationssoftware sollte so konfiguriert werden. auch die Informationen. sollten Sicherheitsmechanismen so gewählt und konfiguriert werden. so dass sie bei der nächsten Synchronisation automatisch auf den PDA transferiert werden. sollte neben einem E-Mail-Client ein Web-Browser installiert sein. Es ist explizit zu verbieten. Nicht zuletzt sollte darauf geachtet werden. dass die voreingestellte Konfiguration geändert wird. ActiveX und/oder Javascript. können in speziellen Verzeichnissen auf dem Benutzer-PC abgelegt werden. Synchronisationssoftware. Steckdosen im Ausland mitzuführen. für Reisen bzw. Betrieb: PDAs sind nicht dafür konzipiert. die auf einem PDA installiert werden sollen. Dieser sollte SSL bzw. welche Dateien jeweils transferiert werden. also z. Soweit technisch möglich. Software zum zentralen PDAManagement) unterschiedlich konfiguriert werden. Es sollten die Einstellungen regelmäßig kontrolliert und durch Administrationstools bei der Synchronisierung wieder auf die vorgegebenen Werte zurückgesetzt werden. (etwa nur für Administratoren zugreifbare Bereiche) Benutzer können also nicht daran gehindert werden. 439 . Der Synchronisationsvorgang sollte nicht unbeobachtet ablaufen. TSL beherrschen. Wenn über PDAs Internet-Dienste genutzt werden sollen. mit denen eventuell auch noch synchronisiert wird. Dies kann nur durch entsprechende Regelungen und Sensibilisierung der Benutzer erreicht werden. Der Zugriff auf diese Verzeichnisse sollte soweit wie möglich beschränkt werden. Dies betrifft vor allem die PDAs selber. Außerdem ist Augenmerk und Sensibilisierung auf allfällige Privat-PCs zu richten. vertrauenswürdigen Anbieters.oder behördeninterne Server. Daher sollten aktive Inhalte im WWW-Browser im Regelfall abgeschaltet sein und nur aktiviert werden. Auch PDAs müssen mit aktuellen Virenschutz-Programmen ausgestattet sein. längerem Einsatz unterwegs das Ladegerät sowie ggf. dass je nach Art dieser Programme mit ihrem Ausführen eventuell ein Sicherheitsrisiko verbunden sein kann. B. Daher gibt es auch im allgemeinen keine ausgefeilten Mechanismen zur Rollentrennung. also Java. beispielsweise für den Zugriff auf unternehmens. dass vor der Installation von Programmen eine Rückfrage beim Benutzer erfolgt. wenn diese aus einer vertrauenswürdigen Quelle kommen. von den WWWSeiten eines bekannten bzw. dass die Benutzer möglichst wenig Einflussmöglichkeiten haben. Einige der für PDAs verfügbaren Browser unterstützen auch aktive Inhalte. damit verschlüsselte Verbindungen hergestellt werden können. die Synchronisationsumgebung und gegebenenfalls spezielle Software zum zentralen PDA-Management.

die SIM-Karte hat und auch nutzt. Gebühreninformationen und ein persönliches Telefonbuch gespeichert werden. Damit ist es möglich. der SIM-Karte (SIM . Sie wird dem Teilnehmer beim Vertragsabschluss vom Netzbetreiber zugeteilt. Auf der SIM-Karte wird u. dass der Netzbereiber eine Reihe von Zugriffsmöglichkeiten auf das Telefon bzw. a. ob das verwendete Gerät im Netz zugelassen ist. M 4. das Mobilfunknetz zu nutzen (Identifikationsregister). Laptops zur Verfügung .3 Mobiltelefon.1 Mobiltelefone sind inzwischen nicht mehr wegzudenkende Bestandteile der Kommunikationsinfrastruktur geworden und stellen in ihrer modernsten Ausprägung als Smart Phone bereits die Funktionalität von PDAs bzw. schwarze Listen).1. dass ein Teilnehmer mit seiner SIM-Karte verschiedene Mobilfunkgeräte nutzen kann. welche Geräte als defekt oder als gestohlen gemeldet sind (graue bzw.und schaffen damit zusätzlich auch deren Sicherheitsrisiken.229 ] 11. Der Benutzer/ Die Benutzerin wird durch seine/ihre auf der SIM-Karte gespeicherten Kundennummer (IMSI International Mobile Subscriber Identity) identifiziert. 440 . ob der Teilnehmer überhaupt berechtigt ist. Damit kann zwischen Benutzer/In und Gerät unterschieden werden.[ Q: BSI B 3.7.405.7. Hier wird auf die typischen Eigenschaften der Mobilfunk-Komponente eingegangen. Es muss beachtet werden. Darüber hinaus können dort Kurznachrichten.Subscriber Identity Module).International Mobile Equipment Identity). die Rufnummer gespeichert und die kryptographischen Algorithmen für die Authentisierung und Nutzdatenverschlüsselung implementiert. Smart Phone ISO Bezug: 27002 11. Das Mobilfunkgerät ist gekennzeichnet durch seine international eindeutige Seriennummer (IMEI . Sie ist zu unterscheiden von den Telefonnummern. Ein Mobiltelefon besteht aus dem Mobilfunkgerät selbst und dem Identifikationsmodul. vom "SIM-Toolkit" zum Herunterladen neuer Funktionen bis zum Speichern aller möglicher Daten: • • • • wo sich der Teilnehmer befindet und ob er sein Mobiltelefon eingeschaltet hat.

auf dem Weg werden üblicherweise auch Festnetz-Strecken genutzt.B.B. Hitze) Verlust.• Verbindungsdaten für die Abrechnung der Dienste. wo keine Verschlüsselung wirksam ist. Zeitpunkt und Dauer der Verbindung und die Standorte. Kälte. Diebstahl Fahrlässige Zerstörung von Gerät oder Daten Manipulation oder Zerstörung von Geräten oder Zubehör Unerlaubte Ausübung von Rechten Unkontrollierter Einsatz von Datenträgern (z. aber auch auf Grund einer Anforderung der Strafverfolgung und Terrorismusbekämpfung. Sie enthalten Angaben über Kommunikationspartner (z. Fehler bei der Synchronisation Manipulation an Informationen oder Software (z. Konfigurations. Die kryptographischen Algorithmen der SIM-Karte dienen zur Identifikation des Teilnehmers gegenüber dem Netzbetreiber und zur Verschlüsselung der Gesprächs. Rufnummern des Angerufenen).und Bedienungsfehler. Übertragungsinhalte.bzw. Apps) Ungeordneter oder unerlaubter Benutzerwechsel Ausfall des Geräts oder der Stromversorgung Nicht-Verfügbarkeit des Mobilfunknetzes Verlust gespeicherter Daten Informationsverlust bei erschöpftem Speichermedium Software-Schwachstellen oder -Fehler Nichtbeachtung von Sicherheitsmaßnahmen Unzureichender Umgang mit Passwörtern Fehlerhafte Nutzung.B.B. Mobiltelefone können also durchaus sensitiv sein. Speicherkarten) Unerlaubte Installation von Software (z. Typische Gefährdungen für Mobiltelefone: • • • • • • • • • • • • • • • • • • Umwelteinflüsse (Nässe. Es handelt sich aber nicht um End-toEnd Verschlüsselung bis zum Kommunikationspartner. unerlaubtes Akzeptieren fremder SIM-Karten) Sorglosigkeit im Umgang mit Informationen 441 .

Die Übertragung von Kurzmitteilungen erfolgt immer über die Kurzmitteilungs-Zentrale. die vom Unternehmen oder der Behörde zur Verfügung gestellt werden. in der Praxis auch tatsächlich genutzt werden. Viren Vertraulichkeitsverlust schützenswerter Informationen Unzureichende Identifikationsprüfung von Kommunikationspartnern Unberechtigte Privatnutzung Unberechtigte Datenweitergabe Unberechtigte Foto. die die umzusetzenden Maßnahmen beschreibt. der Speicherplatz reicht nicht aus und ernsthafte Anfragen kommen nicht durch. diese Telefone in einer Sammelaufbewahrung zu halten. Trojanische Pferde. Betrieb: Zum sicheren Betrieb von Mobiltelefonen gehören unter anderem die Sicherstellung der Energieversorgung und bei Bedarf auch der Schutz vor Rufnummernermittlung gehören. über die mit minimalen Kosten Kurzmitteilungen versandt werden können.• • • • • • • • • Phishing Attacken auf Passwörter oder PINs via SMS Schadprogramme. kann es sinnvoll sein. Darüber hinaus 442 . Die Mailbox bzw. Beschaffung: Bei häufiger und wechselnder dienstlicher Nutzung von Mobiltelefonen. Es ist ohne großen Aufwand möglich. sollte eine Sicherheitsrichtlinie erstellt werden. Falls das Gerät zur Datenübertragung eingesetzt wird. Die Auswirkungen von SMS-Spam sind wie bei E-Mail. welche die Nachrichten an den jeweiligen Empfänger weiterleitet. Mobiltelefone sicher einzusetzen. beginnend mit der Planung über die Nutzung bis zur Notfallvorsorge: • • • Planung und Konzeption: Damit die Möglichkeiten. zur zuverlässigen Funktionsweise zu gewährleisten und Schutz geben Missbrauch zu beachten: • Kurzmitteilungen (SMS): Damit lassen sich Texte mit maximal 160 Zeichen von einem Mobiltelefon zum anderen oder auch an E-Mail-Adressen senden. auf diese Weise eine große Anzahl von SMS-Nachrichten an ein Mobiltelefon zu senden.und Filmaufnahmen mit mobilen Endgeräten Abhören von Raumgesprächen mit Mobiltelefonen Auswertung von Verbindungsdaten bei der Nutzung von Mobiltelefonen Maßnahmenempfehlungen für Mobiltelefone: Für Mobiltelefone sind eine Reihe von Maßnahmen umzusetzen. Im Internet gibt es diverse WWW-Angebote.

Die potentiellen Sicherheitsprobleme und Maßnahmen sind die gleichen wie bei auf PC üblicher Nutzung von E-Mail . Wenn dieser Service vom Netzbetreiber eingerichtet worden ist.und je nach Vertrag mit dem Netzbetreiber kann bei der E-Mail-Nutzung außerdem nur eine begrenzte Anzahl von E-Mails pro Monat gesendet oder empfangen werden . Faxe: können über Mobiltelefone können auch Faxe über SMS ins Festnetz versendet werden.• • entstehen dem Benutzer (evtl. im Schadensfall eine Zeit lang auf SMS zu verzichten. Eine Identifikation des Absenders ist bei SMS nicht zuverlässig möglich. wenn auch mitunter auf 160 Zeichen begrenzt. Hiergegen hilft nur. Auch wenn die Displays der Mobiltelefone klein sind. dass SMS-Nachrichten beim falschen Empfänger landen.B.bei Überschreitung drohen erhebliche Kosten. Je nach Inhalt einer empfangenen Kurzmitteilung ist es sinnvoll nachzufragen. auf den Eintrag in Telefonbücher zu verzichten. Es können auch Faxe empfangen werden. Damit muss auch mit den von Faxgeräten bekannten Problemen (lesbarer Empfang. Das wird für Phishing-SMS ausgenützt. 443 . Beim Versand von Kurzmitteilungen über das Internet erfolgt im Allgemeinen überhaupt keine eindeutige Identifizierung. richtige Zieladressen) gerechnet werden. weil eine falsche Rufnummer angegeben oder ein falscher Eintrag aus dem Telefonbuch als Empfänger ausgewählt wurde. dazu kommt noch dass der Speicherplatz des Mobiltelefons durch empfangene Faxe überlastet werden kann E-Mail: können über Mobiltelefone empfangen und verschickt werden. Konfiguration des Mobiltelefons nicht immer mitübertragen. Ausgehende E-Mails können ins Mobiltelefon gesprochen und als Audiodatei (WAV-Datei) versandt werden. Es passiert immer wieder. So können eingehende E-Mails von einem Sprachcomputer vorgelesen werden. Wie Kurzmitteilungen und Faxe können auch E-Mails schnell den vorhandenen Speicherplatz ausschöpfen . also z. Sie erfolgt maximal über die Rufnummer des Absenders und diese wird je nach Netzbetreiber bzw. an ein Faxgerät oder eine andere E-Mail-Adresse weitergeleitet werden. Sicherheitsmaßnahmen wie Verschlüsselung oder Signatur sind hierbei nicht möglich (außer über zusätzliche Module oder spezielle Geräte). Bestätigungen. hohe) Kosten. sollten die Empfängerangaben vor dem Absenden überprüft werden. bzw. Bei einigen Netzbetreibern können E-Mail-Dienste mit anderen Diensten kombiniert werden. im Vorfeld die eigene Rufnummer nicht zu breit zu streuen. erhält das Mobiltelefon eine eigene E-Mail-Adresse. wenn diese den Restriktionen der SMS-Übertragung genügen. ob diese wirklich vom angegebenen Absender stammt.

• Kopplung zu anderen IT-Systemen (Notebook. • Mobiltelefone bieten zunehmend die Möglichkeit. ohne dass dies besonders auffällt (bei Windows-PCs wird meist ein kleines Icon in der Task-Leiste angezeigt). Dies ist natürlich besonders ärgerlich. Damit kann Datensicherung sowie Synchronisation. PCMCIA). mindestens aber ein Ersatz-Akku mitgeführt werden. als Modems für Internetzugang genutzt zu werden. Es ist zu beachten. Organizer): Diese kann über Einsteckkarte (PC-Card. des Händlers darauf zu achten. auch mehrerer Mobiltelefone durchgeführt werden. • Der Ladezustand und die Funktionsfähigkeit des Mobiltelefon-Akkus sollten regelmäßig überprüft werden. dass solche Dienstleistungen angeboten werden. • Wenn ein Mobiltelefon kontinuierlich verfügbar sein soll. wenn Mobiltelefone im Rahmen von Alarmierungen eingesetzt werden (z. Reparatur: sollte nur von vertrauenswürdigen Fachbetrieben durchgeführt werden.in einen PC eingelesen und dort verwaltet werden. wenn es dringend benötigt wird oder dadurch wichtige Daten verloren gehen. 444 . dann entsteht eine unkontrollierbare Verbindung vom Netzwerk in die Außenwelt unter Umgehung des Firewall-Schutzes! Dafür ist entsprechende Sensibilisierung zu schaffen. Daher sollte eine Übersicht über entsprechende Fachbetriebe vorhanden sein. die Einbruchmeldeanlage setzt Alarmmeldungen über Mobilfunk ab oder Notfallpersonal wird über Mobiltelefone benachrichtigt). Klingeltöne. Softmodem.uner Wahrung der Regelungen für die Datenübertragung . USB. Alle Datenübertragungseinrichtungen sollten genehmigt sein und deren Nutzung klaren Regelungen unterliegen Nofallvorsorge: Ein Mobiltelefon kann aus verschiedenen Gründen ausfallen oder in seiner Funktionsfähigkeit gestört sein. • • Viele Händler bieten auch für die Dauer der Reparatur Ersatzgeräte an. ggf. und sich mobile Geräte oft automatisch untereinander verbinden. entsprechende Software . • • Die wichtigsten Einstellungen wie PINs und die Konfiguration von Sicherheitsmechanismen sollten schriftlich dokumentiert und entsprechend ihres Schutzbedarfs sicher aufbewahrt werden. Displaysymbole oder Ähnliches) sollte bei dienstlich genutzten Mobiltelefonen unterbunden oder verboten werden. • Herunterladen von Software oder Daten aus dem Internet (Apps. Das ist etwa dann unabdingbar.B. Erfolgt dies gleichzeitig mit einer Kopplung an eine IT-Komponente der Organisation im Netzwerk. Bei der Auswahl des Mobiltelefons bzw. • Alle auf der SIM-Karte oder im Telefon gespeicherten Daten über SIMKartenleser bzw. dass bei Funkschnittstellen ein Abhörrisiko besteht. Infrarot (IrDA Infrared Data Association) oder Bluetooth erfolgen. sollte ein ErsatzMobiltelefon.

manchmal noch mit Diskettenlaufwerken. Vorher sollten sie selbstverständlich gesichert werden. über Schnittstellen externe Speichermedien anzuschließen. sondern der PC kann auch mit Computer-Viren und anderen Schadprogrammen infiziert werden. soweit das noch möglich ist. Durch solche Laufwerke für Wechselmedien und externe Datenspeicher ergeben sich potentielle Sicherheitsprobleme: • • • Der PC könnte von solchen Laufwerken unkontrolliert gebootet werden. Es könnte unkontrolliert Software (auch Schadsoftware. M 5. Diebstahl: die SIM-Karte dieses Telefons sollte unverzüglich gesperrt werden. längeren Einsatz unterwegs das Ladegerät sowie ggf. Viren. gespeicherte E-Mails und das Telefonbuch im Gerät gelöscht werden.7.• Bevor das Mobiltelefon zur Reparatur gegeben wird. Beispiele sind USB-Memory-Sticks bzw. die von neueren Betriebssystemen (z. der Anrufspeicher.81 ] 11. also z. Beim Booten von Wechselmedien oder beim Installieren von Fremdsoftware können nicht nur Sicherheitseinstellungen außer Kraft gesetzt werden. CD-/DVD-Writer. sollten alle personenbezogenen Daten. ausgestattet.B.4 Wechselmedien und externe Datenspeicher (USBSticks. -Platten. Steckdosen im Ausland mitzuführen. [ Q: BSI B 3. DVDs) ISO Bezug: 27002 11. für Reisen bzw.1. • Nicht zuletzt sollte darauf geachtet werden.404. 445 . CDs. Trojanische Pferde) von solchen Laufwerken eingespielt werden. für MicrosoftBetriebssysteme ab Windows 2000) automatisch erkannt werden. Außerdem sollte die SIM-Karte entfernt werden.B. Dienstliche Daten könnten unberechtigt auf Wechselmedien kopiert werden. Zusätzlich besteht die Möglichkeit. die in die USB-Schnittstelle gesteckt werden. um Missbrauch und unnötige Kosten zu verhindern. und Firewire-Festplatten.1 Handelsübliche PCs sind heute in der Regel mit CD-/DVD-ROM-Laufwerk bzw. -Festplatten. Adapter für andere Stromspannungen bzw. Verlust.7.

um die Deaktivierung der Laufwerke rückgängig zu machen. Daher ist diese Lösung nur bei höherem Schutzbedarf oder besonderen Sicherheitsanforderungen sinnvoll.Diesen Gefahren muss durch geeignete organisatorische oder technische Sicherheitsmaßnahmen entgegengewirkt werden. dass der Ausbau unter Umständen die Administration und Wartung des IT-Systems behindert. Dadurch ist es in der Regel nicht sinnvoll. von welchen Laufwerken gebootet werden kann. dass die Schlösser herstellerseitig mit hinreichend vielen unterschiedlichen Schlüsseln angeboten werden. Die entsprechenden Einstellungen im Betriebssystem können gegebenenfalls sogar zentral vorgenommen werden. Damit diese Vorgehensweise wirksam ist. Außerdem sollte darauf geachtet werden. mit denen die unkontrollierte Nutzung verhindert werden kann. Nachteilig sind die Beschaffungskosten für die Laufwerksschlösser und der Aufwand für die erforderliche Schlüsselverwaltung. Diese Lösung sollte in Betracht gezogen werden. Deaktivierung im BIOS bzw. So werden beispielsweise Notebooks ausgeliefert. wenn besondere Sicherheitsanforderungen bestehen. die Installation von Fremdsoftware oder das Kopieren auf Wechselmedien. wenn die verwendete Schnittstelle auch für andere (erlaubte) Zusatzgeräte genutzt wird. ist aber meist mit erheblichem Aufwand verbunden.84 Nutzung der BIOSSicherheitsmechanismen) kann dadurch das unkontrollierte Booten von Wechselmedien und mobilen Datenträgern unterbunden werden. Dies erschwert die unberechtigte Nutzung. Betriebssystem: Im BIOS bieten die meisten PCs Einstellmöglichkeiten dafür. der Verzicht bei der Beschaffung) bietet zwar den sichersten Schutz vor den oben genannten Gefährdungen. z. dass die Laufwerksschlösser für die vorhandenen Laufwerke geeignet sind und diese nicht beschädigen können. Kontrolle der Schnittstellennutzung: Der Betrieb von externen Speichermedien wie USB-Memory-Sticks lässt sich nur sehr schwer verhindern. deren spezifische Vor. Bei der Beschaffung sollte sichergestellt werden. dass keine Hardware-Änderungen erforderlich sind. muss sichergestellt sein. In Verbindung mit einem PasswortSchutz der BIOS-Einstellungen (siehe auch M 4.und Nachteile im Folgenden kurz dargestellt werden: • • • • Ausbau von Laufwerken: Der Ausbau der Laufwerke für Wechselmedien (bzw. ein "USBSchloss" zu verwenden oder die Schnittstelle durch andere mechanische 446 . dass die Benutzer nicht über die Berechtigungen im Betriebssystem verfügen. die zum Anschluss einer Maus nur die USB-Schnittstelle zur Verfügung stellen. Die Deaktivierung der Laufwerke im BIOS bzw. Weiterhin ist zu berücksichtigen.B. Hierfür bieten sich verschiedene Vorgehensweisen an. Weiterhin können die vorhandenen Laufwerke und Schnittstellen bei modernen Betriebssystemen einzeln deaktiviert werden. Verschluss von Laufwerken: Für einige Laufwerksarten gibt es abschließbare Einschubvorrichtungen. Betriebssystem hat den Vorteil.

Kernelmodule geladen oder Einträge in Konfigurationsdateien (wie der Windows-Registry) erzeugt. Auf technischer Ebene sollte dann lediglich das Booten von Wechselmedien im BIOS deaktiviert werden. Ausbau. Computer-Viren oder Trojanische Pferde.und betriebssystemspezifisch. also insbesondere auch E-Mail und InternetAnbindungen.B. die detektiert werden können. Einzelheiten sind produkt. Bei einigen Zusatzprogrammen zur Absicherung der USB. z. Besonderes Augenmerk ist auf den Schutz vor Schadprogrammen. Verschlüsselung: Es gibt Produkte.oder Firewire-Schnittstellen kann zusätzlich festgelegt werden. die mit bestimmten kryptographischen Schlüsseln verschlüsselt worden sind. alle Laufwerke für Wechselmedien zu deaktivieren oder auszubauen. die Nutzung ist jedoch durch entsprechende Richtlinien reglementiert. zu richten. Die Installation und das Starten von Programmen. dass auschließlich Zugriffe auf dafür zugelassene mobile Datenträger möglich sind. Eine Lösung ist beispielsweise. In diesem Fall sollten die Richtlinien für die Nutzung der Laufwerke und Speichermedien so explizit wie möglich definiert werden. sollte untersagt und soweit wie möglich auch technisch unterbunden werden (siehe auch 12. Bei der Auswahl einer geeigneten Vorgehensweise müssen immer alle Laufwerke für Wechselmedien berücksichtigt werden. Diese rein organisatorische Lösung sollte nur dann gewählt werden. Alternativ kann das Hinzufügen von Geräten überwacht werden.1 Nutzungsverbot nicht freigegebener Software).durch technische Maßnahmen unterbunden werden. sondern schützt auch die Daten auf den mobilen Datenträgern bei Verlust oder Diebstahl. die von Wechselmedien eingespielt wurden. ist es nicht allein ausreichend. nur das Kopieren öffentlicher Text-Dokumente wird erlaubt. Anderenfalls sollte der Zugriff wie oben beschrieben . wenn die Benutzer hin und wieder oder regelmäßig auf die Laufwerke zugreifen müssen. Richtlinien für die Nutzung: In vielen Fällen dürfen die Benutzer die eingebauten Laufwerke für Wechselmedien oder Speichermedien an externen Schnittstellen durchaus verwenden. Die Nutzung von Schnittstellen sollte daher durch entsprechende Rechtevergabe auf Ebene des Betriebssystems oder mit Hilfe von Zusatzprogrammen geregelt werden. Dies schützt nicht nur vor unbefugtem Zugriff über manipulierte mobile Datenträger.3. Wenn der PC über eine Verbindung zum Internet verfügt.• • Maßnahmen zu deaktivieren. Beim Anschluss von Datenträgern an externen Schnittstellen werden oft vom Betriebssystem Treiber bzw. dass nur noch mobile Datenträger gelesen und beschrieben werden können. über Vernetzung Daten auszutauschen. die dafür sorgen. ob von externen Datenträgern nur gelesen werden kann. Verschluss oder Deaktivierung der Laufwerke im Betriebssystem kommen nicht in Frage. aber ebenso auch alle Möglichkeiten. 447 . Beispielsweise kann ein generelles Verbot ausgesprochen werden. Die Richtlinien müssen allen Benutzern bekannt gemacht und die Einhaltung kontrolliert werden.

1. dass die IT für private Zwecke benutzt wird. Die Einrichtung sollte unter Berücksichtigung von Ergonomie. Sicherheit und Gesundheitsschutz ausgewählt werden.3 Regelungen für Telearbeit ISO Bezug: 27002 9. [ eh SYS 9. um z.2. Insbesondere sollten folgende Punkte geregelt werden: • 448 Freiwilligkeit der Teilnahme an der Telearbeit.Damit die Sicherheitsmaßnahmen akzeptiert und beachtet werden. 13. Aus dem Aspekt der Sicherheit entstehen insbesondere folgende zusätzliche Anforderungen: • • • Sichtschutz des Monitors.1 ] 11.7.5.2.2 Geeignete Einrichtung eines häuslichen Arbeitsplatzes ISO Bezug: 27002 9. falls er durch ein Fenster beobachtet werden könnte Überspannungsschutz Bereitstellung versperrbarer Behältnisse zur Aufbewahrung von Datenträgern und Dokumenten Dienstlich genutzte IT sollte vom Arbeitgeber bereitgestellt werden.1 Da es bisher kein "Telearbeitsgesetz" mit eigenständigen gesetzlichen Regelungen gibt.2 Der häusliche Arbeitsplatz sollte von der übrigen Wohnung zumindest durch eine Tür abgetrennt sein und ausschließlich der beruflichen Tätigkeit dienen.4 ] 11. müssen die Benutzer über die Gefährdung durch Laufwerke für Wechselmedien informiert und sensibilisiert werden.5. 11. Betriebsvereinbarungen oder zusätzlich zum Arbeitsvertrag getroffene individuelle Vereinbarungen zwischen Telearbeiter/innen und Arbeitgeber geklärt werden.B. 11.7. . per Dienstanweisung ausschließen zu können.7.2.7. [ Q: BSI M 4. sollten wichtige Fragen entweder durch Kollektivverträge.

Dies sollte in Absprache mit dem/der Telearbeiter/in durch den/die in der Institution Verantwortlichen für den Arbeitsschutz. Darüber hinaus sollte vereinbart werden.B. Arbeitsmittel: Es kann festgeschrieben werden.B. des Telearbeiters begutachtet werden können. aber auch bei Arbeitsunfall oder Berufskrankheit). Haftung (bei Diebstahl oder Beschädigung der IT. wenn der Telearbeitsrechner dies nicht erfordert. Personalrat und dem/der direkten Vorgesetzten der Telearbeiterin bzw. dem/der Datenschutz-/IT-Sicherheitsbeauftragten sowie dem Betriebsbzw.B.B. Im Sinne der IT-Sicherheit sollten zusätzlich folgende Punkte behandelt werden: • • • • • • Arbeitszeitregelung: Die Verteilung der Arbeitszeiten auf Tätigkeiten in der Institution und am häuslichen Arbeitsplatz muss geregelt sein und feste Zeiten der Erreichbarkeit am häuslichen Arbeitsplatz müssen festgelegt werden.• • • • • Mehrarbeit und Zuschläge. Einrichtung eines Bildschirmarbeitsplatzes) und der Arbeitsumgebung gelten wie in der Institution. So kann ein E-Mail-Anschluss zur Verfügung gestellt werden. Datensicherung: Der/die Telearbeiter/in ist zu verpflichten. für Strom und Heizung. Aufwendungen für Fahrten zwischen Betrieb und häuslicher Wohnung. dass jeweils eine Generation der Datensicherung bei der Institution zur Unterstützung der Verfügbarkeit hinterlegt wird. Weiters kann die Benutzung von Disketten (Gefahr von Viren) untersagt werden. IT-Sicherheitsmaßnahmen: Der/die Telearbeiter/in ist zu verpflichten. die für die Telearbeit notwendigen ITSicherheitsmaßnahmen zu beachten und zu realisieren. Reaktionszeiten: Es sollte geregelt werden. Datenschutz: 449 . regelmäßig eine Datensicherung durchzuführen. Die umzusetzenden IT-Sicherheitsmaßnahmen sind dem/der Telearbeiter/in in schriftlicher Form zu übergeben. Am häuslichen Arbeitsplatz sollten dieselben Vorschriften und Richtlinien bezüglich der Gestaltung des Arbeitsplatzes (z. Beendigung der Telearbeit. wie häufig E-Mails gelesen werden) und wie schnell darauf reagiert werden sollte. Aufwendungen z. aber die Nutzung von anderen Internet-Diensten wird untersagt. welche Arbeitsmittel Telearbeiter/innen einsetzen können und welche nicht genutzt werden dürfen (z. in welchen Abständen aktuelle Informationen eingeholt werden (z. nicht freigegebene Software).

geregelt werden: • • • 450 welche Dokumente bzw.4 Regelung des Dokumenten. in Versandtasche. welche Daten nicht oder nur verschlüsselt elektronisch übermittelt werden dürfen. .5. welche Schutzmaßnahmen beim Transport zu beachten sind (beispielsweise Transport in geschlossenem Behälter.und Datenträgertransports zwischen häuslichem Arbeitsplatz und Institution ISO Bezug: 27002 9. . Datenkommunikation: Es muss festgelegt werden. mit vorheriger Anmeldung) vereinbart werden. Paketdienst. ist eine Regelung über Art und Weise des Austausches aufzustellen. per Einschreiben. IT-sicherheitsrelevante Vorkommnisse unverzüglich an eine zu bestimmende Stelle in der Institution zu melden. 10.2 ] 11. Entsprechende Merkblätter sind regelmäßig zu aktualisieren..8. Zutrittsrecht zum häuslichen Arbeitsplatz: Für die Durchführung von Kontrollen und für die Verfügbarkeit von Dokumenten und Daten im Vertretungsfall kann ein Zutrittsrecht zum häuslichen Arbeitsplatz (ggf. diese Regelungen schriftlich festzulegen und jedem/jeder Telearbeiter/in auszuhändigen. welche Daten auf welchem Weg übertragen bzw. Es empfiehlt sich. Darin sollten zumindest folgende Punkte betrachtet bzw.. [ eh SYS 9. Datenträger über welchen Transportweg (Postweg. 11.7. Datenträger nur persönlich transportiert werden dürfen.7.• • • • Der/die Telearbeiter/in ist auf die Einhaltung einschlägiger Datenschutzvorschriften zu verpflichten sowie auf die notwendigen Maßnahmen bei der Bearbeitung von personenbezogenen Daten am häuslichen Arbeitsplatz hinzuweisen.2 Damit der Austausch von Dokumenten und Datenträgern zwischen häuslichem Arbeitsplatz und Institution sicher vollzogen werden kann. Meldewege: Der/die Telearbeiter/in ist zu verpflichten. Transport von Dokumenten und Datenträgern: Die Art und Absicherung des Transports zwischen häuslichem Arbeitsplatz und Institution ist zu regeln. Kurier.2. mit Begleitschreiben oder mit Versiegelung) und welche Dokumente bzw.) ausgetauscht werden dürfen.

Der Benutzerservice versucht (auch telefonisch) kurzfristig Hilfestellung zu leisten bzw.und Hardwareproblemen.und Wartungskonzept erstellt werden.7. Die dienstlichen Unterlagen und Datenträger müssen außerhalb der Nutzungszeit darin verschlossen aufbewahrt werden. 451 .3 ] 11.7.7. muss bei der Auswahl eines geeigneten Dokumentenaustauschverfahrens beachtet werden.4] 11.und Wartungskonzept für Telearbeitsplätze ISO Bezug: 27002 11.7. Schreibtisch o.2 Dienstliche Unterlagen und Datenträger dürfen auch am häuslichen Arbeitsplatz nur dem/der autorisierten Mitarbeiter/in zugänglich sein.Da Schriftstücke oftmals Unikate sind. Es ist sicherzustellen. Aus diesem Grund muss ein verschließbarer Bereich (Schrank.ä. Jeweils eine Generation der Backup-Datenträger sollte jedoch in der Institution aufbewahrt werden. [ eh SYS 9. deren Vertretung darauf Zugriff hat. dass nur der/die Telearbeiter/in selber bzw.7. Die Schutzwirkung des abschließbaren Bereiches hat den Sicherheitsanforderungen der darin zu verwahrenden Unterlagen und Datenträger zu entsprechen. 10. leitet Wartungs.und Reparaturarbeiten ein.6 Betreuungs.2. Backup-Datenträger müssen im häuslichen Bereich verschlossen aufbewahrt werden. [ eh SYS 9. Dieses sollte folgende Punkte vorsehen: • Benennen von problembezogenen Ansprechpartnern für den Benutzerservice: An diese Stelle wenden sich Telearbeiter/innen bei Software. 11. Hingegen kann beim Datenträgeraustausch vorab eine Datensicherung erfolgen.5.) verfügbar sein. welchen Schaden der Verlust bedeuten würde.2 Für die Telearbeitsplätze muss ein spezielles Betreuungs. damit im Katastrophenfall der/die Vertreter/in auf die Backup-Datenträger zugreifen kann.5 Geeignete Aufbewahrung dienstlicher Unterlagen und Datenträger ISO Bezug: 27002 9.

aber auch Postaustausch sowie Akten. etwa ob private Nutzung erlaubt oder untersagt sein soll.7. Es muss auch geregelt werden.7.7.7 Geregelte Nutzung der Kommunikationsmöglichkeiten ISO Bezug: 27002 9.und Datenträgertransport benötigt und daher vom Telearbeitsrechner unterstützt werden. 11.1. Einführung von Standard-Telearbeitsrechnern: Wenn möglich sollten alle Telearbeiter/innen einer Institution einen definierten Standard-Telearbeitsrechner haben. Zu klären sind zumindest folgende Punkte: • 452 Datenflusskontrolle . in der Sicherheitsrichtlinie zur Telearbeit (siehe 11. 12. Fernwartung: Falls der Telearbeitsrechner über Fernwartung administriert und gewartet werden kann.3 Regelungen für Telearbeit).2. 11. Dies verringert den konzeptionellen und administrativen Aufwand für den Aufbau eines sicheren Telearbeitsrechners und erleichtert Problemlösungen für den Benutzerservice. wer autorisiert ist. um den Missbrauch eines Fernwartungszugangs zu verhindern (vgl.und Internet-Anbindung. sind die notwendigen Sicherheitsmaßnahmen sowie die erforderlichen Online-Zeiten zu vereinbaren.• • • • Wartungstermine: Die Termine für vor Ort durchzuführende Wartungsarbeiten sollten frühzeitig bekannt gegeben werden. IT-Komponenten zwischen Institution und häuslichem Arbeitsplatz der Telearbeiterin bzw.3 Fernwartung) Transport der IT: Es sollte aus Gründen der Haftung festgelegt werden. Insbesondere ist ein Sicherungsverfahren festzulegen.2 Für Telearbeit werden typischerweise verschiedene Möglichkeiten zur Kommunikation wie beispielsweise Telefon-. Diese Regelungen sind den Telearbeitern auszuhändigen. [ eh SYS 9. Fax. des Telearbeiters zu transportieren.5 ] 11.7. auf welche Weise die vorhandenen Kommunikationsmöglichkeiten genutzt werden dürfen. Die Regelungen über die Nutzung der Kommunikationsmöglichkeiten bei Telearbeit sind schriftlich zu fixieren. z.B.7.5. damit die Telearbeiter/innen zu diesen Zeiten den Zutritt zum häuslichen Arbeitsplatz gewährleisten können.

IT-Sicherheitsmaßnahmen • • • • • Welche Dienste dürfen zur Datenübertragung genutzt werden? Welche Dienste dürfen explizit nicht genutzt werden? Welche Informationen dürfen an wen versendet werden? Welcher Schriftverkehr darf über E-Mail abgewickelt werden? • • • Für welche Daten sollen welche Verschlüsselungsverfahren eingesetzt werden? • Für welche Daten ist eine Löschung nach erfolgreicher Übertragung notwendig? Dies kann beispielsweise für personenbezogene Daten gelten. Welche Optionen dürfen im Internet-Browser aktiviert werden? Welche Rahmenbedingungen und technischen Sicherheitsmaßnahmen müssen bei der Internet-Nutzung beachtet werden? Welche Sicherungsverfahren sollen im Internet-Browser aktiviert werden? 453 .• Falls der Telearbeitsrechner ein Fax-Modem besitzt oder wenn am Telearbeitsplatz ein Faxgerät vorhanden ist. so besteht die Gefahr.U. Internet-Nutzung • • • • • Wird die Nutzung von Internet-Diensten generell verboten? Welche Art von Daten darf aus dem Internet geladen werden? Werden Daten von fremden Servern geladen. so ist zu klären. welche Informationen per Fax an wen übermittelt werden dürfen. ist festzulegen. Rückschlüsse auf Unternehmensstrategien gezogen werden. • Von welchen Daten soll trotz der erfolgreichen Übertragung eine Kopie der Daten auf dem Telearbeitsrechner verbleiben? • Wird vor Versand oder nach Erhalt von Daten ein Viren-Check der Daten durchgeführt? • Für welche Datenübertragung soll eine Protokollierung erfolgen? Falls eine automatische Protokollierung nicht möglich sein sollte. dass Viren importiert werden. elektronische Recherchen) dürfen vom Telearbeitsrechner aus in Anspruch genommen werden? Beispielsweise können aus der Art der Abfragen u. ob und in welchem Umfang eine handschriftliche Protokollierung vorzusehen ist. • Der elektronische Versand welcher Informationen bedarf der vorherigen Zustimmung der Institution? Informationsgewinnung Welche elektronischen Dienstleistungen (Datenbankabfragen.

Auf Objekte.7.• Ist die Zustimmung der Institution erforderlich. [ eh SYS 9. Entsprechend sind die notwendigen Rechte wie Lese. 11.7. Dies gilt sowohl für den Zugriff auf Daten wie auf in der Institution verfügbare IT-Komponenten.2. dass der Schaden.7. Damit soll erreicht werden.2.8 Regelung der Zugriffsmöglichkeiten von Telearbeiter/innen ISO Bezug: 27002 9. die der/die Telearbeiter/in für seine/ihre Aufgaben nicht braucht. minimiert wird. ist eine anonyme Nutzung erforderlich. muss zuvor festgelegt werden. ITKomponenten) der/die Telearbeiter/in tatsächlich für die Erfüllung seiner/ihrer Aufgaben benötigt. 11.6.und Schreibrechte auf diese Objekte zuzuweisen.2 454 . welche Objekte (Daten. 11.2.Institution ISO Bezug: 27002 10. Programme. der auf Grund eines Hacker-Angriffs auf den Kommunikationsrechner entstehen kann.7 ] 11. sollte er/sie auch nicht zugreifen können.6 ] 11.5.9 Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner. Unterschriftenregelung • • • • Ist eine Unterschriftenregelung für die Kommunikation vorgesehen? Werden gesetzeskonforme elektronische Signaturen eingesetzt? Werden andere Authentisierungsverfahren für den Schriftverkehr genutzt? [ eh SYS 9.7. Erfordert die Telearbeit den Zugriff auf die IT der Institution (zum Beispiel auf einen Server). wenn der Telearbeiter sich am Informationsaustausch mittels Newsgruppen beteiligen will? Ggf.

die nachträglich feststellen lassen. dazu §126a zu Datenbeschädigung). so dass eine Maskerade ausgeschlossen werden kann. Sicherstellung der Verfügbarkeit der Datenübertragung: Falls zeitliche Verzögerungen bei der Telearbeit nur schwer zu tolerieren sind. werden dabei dienstliche Informationen üblicherweise über öffentliche Kommunikationsnetze übertragen. Dazu gehört neben einem geeigneten Verschlüsselungsverfahren auch ein angepasstes Schlüsselmanagement mit periodischem Schlüsselwechsel. Sicherstellung der Authentizität der Daten: Bei der Übertragung der Daten zwischen Telearbeitsrechner und Institution muss vertrauenswürdig feststellbar sein. dass Daten mit Absender "Telearbeitsrechner" auch tatsächlich von dort stammen. sind ggf. verzichtet werden. Da weder die Institution noch die Telearbeiter/innen großen Einfluss darauf nehmen können. Ebenso muss der Ursprung von Institutionsdaten zweifelsfrei auf die Institution zurückgeführt werden können. 455 . Sicherstellung der Integrität der übertragenen Daten: Die eingesetzten Übertragungsprotokolle müssen eine zufällige Veränderung übertragener Daten erkennen und beheben. sollte ein redundant ausgelegtes öffentliches Kommunikationsnetz als Übertragungsweg ausgewählt werden. falls das öffentliche Netz keine ausreichende Sicherheit bieten kann. Bei Bedarf kann auch ein zusätzlicher Fehlererkennungsmechanismus benutzt werden. Auf eine redundante Einführung der Netzanbindung an den Telearbeitsrechner und die Schnittstelle der Institution kann ggf. Sicherstellung der Nachvollziehbarkeit der Datenübertragung: Um eine Kommunikation nachvollziehbar zu machen. in dem der Ausfall einzelner Verbindungsstrecken nicht den Totalausfall der Kommunikationsmöglichkeiten bedeutet.Erfolgt im Rahmen der Telearbeit eine Datenübertragung zwischen einem Telearbeitsrechner und dem Kommunikationsrechner der Institution. können Protokollierungsfunktionen eingesetzt werden. zusätzliche Maßnahmen erforderlich. Generell muss die Datenübertragung zwischen Telearbeitsrechner und Institution folgende Sicherheitsanforderungen erfüllen: • • • • • Sicherstellung der Vertraulichkeit der übertragenen Daten: Es muss durch eine ausreichend sichere Verschlüsselung erreicht werden. ob die Kommunikation zwischen den richtigen Teilnehmern stattfindet. um absichtliche Manipulationen während der Datenübertragung erkennen zu können (vgl. welche Daten wann an wen übertragen wurden. ob die Vertraulichkeit. Dies bedeutet. dass auch durch Abhören der Kommunikation zwischen Telearbeitsrechner und Kommunikationsrechner der Institution kein Rückschluss auf den Inhalt der Daten möglich ist. Integrität und Verfügbarkeit im öffentlichen Kommunikationsnetz gewahrt werden.

7.1. um aufgeschaltete Angreifer abzuwehren.2 Je nach Art der Telearbeit und der dabei durchzuführenden Aufgaben gestaltet sich der Zugriff der Telearbeiter/innen auf Institutionsdaten anders.• Sicherstellung des Datenempfangs: Ist es für die Telearbeit von Bedeutung.6. 10. Die Stärke der dazu erforderlichen Mechanismen richtet sich dabei nach dem Schutzbedarf der übertragenen Daten. dass zwischen Telearbeiterinnen/Telearbeitern und Institution nur E-Mails ausgetauscht werden. Mitarbeiter/innen in der Institution und Telearbeiter/innen. müssen sich vor einem Zugriff auf den Rechner identifizieren und authentisieren. des Telearbeiters oder des Telearbeitsrechners anzustoßen.8 ] 11. [ eh SYS 9. Rollentrennung: Die Rollen der Administratoren und der Benutzer/innen des Kommunikationsrechners sind zu trennen. Eine Rechtevergabe darf ausschließlich Administratoren möglich sein. So ist denkbar. Ggf. Andererseits kann auch ein Zugriff auf Server in der Institution für die Telearbeiter/innen notwendig sein. ob Daten korrekt empfangen wurden. Nach mehrfachen Fehlversuchen ist der Zugang zu sperren.10 Sicherheitstechnische Anforderungen an den Kommunikationsrechner ISO Bezug: 27002 10. muss es für den Kommunikationsrechner auch möglich sein. ob der/die Empfänger/in die Daten korrekt empfangen hat. Im Rahmen der Identifikation und Authentisierung der Benutzer/innen sollte auch zusätzlich eine Identifizierung der Telearbeitsrechner stattfinden (zum Beispiel über Rufnummern und CallbackVerfahren). also Administratoren.10. während der Datenübertragung eine erneute Authentisierung der Telearbeiterin bzw.1. so können Quittungsmechanismen eingesetzt werden. aus denen hervorgeht. Unabhängig von den Zugriffsweisen muss der Kommunikationsrechner der Institution im Allgemeinen folgende Sicherheitsanforderungen erfüllen: • • • 456 Identifikation und Authentisierung: Sämtliche Benutzer/innen des Kommunikationsrechners. 11. Voreingestellte Passwörter sind zu ändern. Rechteverwaltung und -kontrolle: .7.

• • • • • Der Zugriff auf Dateien des Kommunikationsrechners darf nur im Rahmen der gebilligten Rechte erfolgen können. müssen dem Minimalitätsprinzip unterliegen: alles ist verboten. so sind sämtliche Funktionalitäten zur Fernadministration zu sperren. dem Revisor sollten Werkzeuge zur Verfügung stehen.zu verschlüsseln.9 ] 11. in dem ggf. Verschlüsselung: Daten.in Abstimmung mit der organisationsweiten IT-Sicherheitspolitik . Benutzer/in. um die Protokolldaten auszuwerten. was nicht ausdrücklich erlaubt wird. Dem Administrator bzw. Ist eine Fernadministration unvermeidbar. Die Dienste selbst sind auf den Umfang zu beschränken. Voreingestellte Passwörter und kryptographische Schlüssel sind zu ändern. Protokollierung: Datenübertragungen vom. Dabei sollten Auffälligkeiten automatisch gemeldet werden. [ eh SYS 9. Minimalität der Dienste: Dienste.11 Informationsfluss. die durch den Kommunikationsrechner zur Verfügung gestellt werden. Der Zugriff auf angeschlossene Rechner in der Institution und darauf gespeicherte Dateien ist zu reglementieren. Vermeidung oder Absicherung von Fernadministration: Benötigt der Kommunikationsrechner keine Fernadministration. Administrationsdaten sollten verschlüsselt übertragen werden. Meldewege und Fortbildung ISO Bezug: 27002 11. so muss sie ausreichend abgesichert werden.2 457 . Jegliche Fernadministration darf nur nach vorhergehender erfolgreicher Identifikation und Authentisierung stattfinden. Adresse und Dienst zu protokollieren. Administrationstätigkeiten sind zu protokollieren. zum und über den Kommunikationsrechner sind mit Uhrzeit.7. die auf dem Kommunikationsrechner für die Telearbeiter/innen vorgehalten werden. dass die Zugriffsmöglichkeiten auf das notwendige Mindestmaß beschränkt werden. kein Zugriff mehr möglich ist.7. Dabei ist darauf zu achten. der für die Aufgaben der Telearbeiter/innen notwendig ist. sind bei entsprechender Vertraulichkeit . Automatische Virenprüfung: Übertragene Daten sind einer automatischen Prüfung auf Viren zu unterziehen. Bei Systemabsturz oder bei Unregelmäßigkeiten muss der Kommunikationsrechner in einen sicheren Zustand übergehen.

B. Weiters müssen die Arbeitskolleginnen und -kollegen über Anwesenheits. Folgende Punkte müssen darüber hinaus bei der Telearbeit geklärt werden: • • • • Wer ist Ansprechperson bei technischen und/oder organisatorischen Problemen in der Telearbeit? Wem müssen Sicherheitsvorkommnisse mitgeteilt werden? Wie erfolgt die Aufgabenzuteilung? Wie erfolgt die Übergabe der Arbeitsergebnisse? Treten technisch-organisatorische Probleme auf. um sie dann dem/ der Telearbeiter/in per E-Mail zuzustellen.10 ] 458 . dass ein Sicherheitskonzept für die Telearbeitsplätze erstellt wird. [ eh SYS 9.Damit der/die Telearbeiter/in nicht vom betrieblichen Geschehen abgeschnitten wird. Dies ist wichtig. dass er/sie einfache Tätigkeiten (z. sollte der/die Vorgesetzte einen regelmäßigen Informationsaustausch zwischen Telearbeiter/innen und den Arbeitskolleginnen und -kollegen ermöglichen. müssen diese von dem/der Telearbeiter/in unverzüglich der Institution gemeldet werden. Telefonnummern der Telearbeiter/innen in Kenntnis gesetzt werden. Druckerpatrone wechseln) wahrnehmen kann bzw. Nach Bekanntgabe des Konzeptes müssen Telearbeiter/innen in die zu realisierenden Sicherheitsmaßnahmen eingewiesen und eventuell in ihrem Umgang geschult werden. Da für die Telearbeit zum Teil andere IT-Sicherheitsmaßnahmen ergriffen werden müssen als für die Arbeit innerhalb der Institution. einfache Probleme selbstständig lösen kann. ist es notwendig. Dies stellt dann ein Problem dar. damit der/die Telearbeiter/in auch zukünftig über Planungen und Zielsetzungen in seinem/ihrem Arbeitsbereich informiert ist. damit Frustrationen vermieden werden und ein positives Telearbeitsklima geschaffen wird und erhalten bleibt. Darüber hinaus ist der/die Telearbeiter/in so weit im Umgang mit dem Telearbeitsrechner zu schulen. wenn der/die Telearbeiter/in ausschließlich zu Hause arbeitet. Die Beteiligung der Telearbeiter/innen an Umlaufverfahren für Hausmitteilungen. Zusätzlich sind die Telearbeiter/innen über Änderungen von IT-Sicherheitsmaßnahmen zu unterrichten. Eine Lösung wäre eventuell das Einscannen wichtiger Schriftstücke.und Erreichbarkeitszeiten sowie die E-Mail-Adressen bzw. einschlägige Informationen und Zeitschriften ist zu regeln.

11. 11.13 Entsorgung von Datenträgern und Dokumenten ISO Bezug: 27002 10. Ergänzend dazu muss geregelt werden. Es empfiehlt sich.7.2.2 Über die Maßnahme 8. wie alte oder unbrauchbare Datenträger und Dokumente entsorgt werden ist dies am häuslichen Arbeitsplatz oder unterwegs nicht immer möglich. Auch eine Dokumentation der Arbeitsergebnisse seitens der Telearbeiterin bzw.1 Auch zu Hause oder unterwegs gibt es häufiger Material.3 Vertretungsregelungen hinaus sind im Falle der Vertretung von Telearbeitern und Telearbeiterinnen weitere Schritte notwendig. [ eh SYS 9. muss ein Informationsfluss zu seiner/ihrer Vertretung vorgesehen werden. Da der/die Telearbeiter/in hauptsächlich außerhalb der Institution tätig ist. Dies ist auch dann der Fall. 11.12 Vertretungsregelung für Telearbeit ISO Bezug: 27002 8.1. ob diese sensible Informationen enthalten könnten. Während es aber innerhalb der eigenen Institution eingeübte Verfahren gibt. wie zuverlässig diese ist.7.7. den Vertretungsfall probeweise durchzuspielen. Daher ist vor der Entsorgung ausgedienter Datenträger und Dokumente genau zu überlegen. Ggf. schon alleine deshalb. wie Vertreter im unerwarteten Vertretungsfall Zugriff auf die Daten im Telearbeitsrechner oder am Telearbeitsplatz vorhandene Unterlagen nehmen kann. wenn die Datenträger defekt sind. müssen die Datenträger und Dokumente im Zweifelsfall wieder mit zurück transportiert werden. Ist dies der Fall. wer die Entsorgung durchführt bzw. das entsorgt werden soll. da hier nicht unbedingt ersichtlich ist. Auch Shredder-Einrichtungen in fremden Institutionen sollten mit Vorsicht betrachtet werden.309 ] 459 . sind sporadische oder regelmäßige Treffen zwischen Telearbeiter/innen und ihren Vertretungen sinnvoll. da Experten auch hieraus wieder wertvolle Informationen zurückgewinnen können.11 ] 11.7. [Q: BSI M 2.7. damit das Gepäck noch tragbar bleibt. des Telearbeiters ist unabdingbar.1.1.

Die Verantwortlichkeiten für diese Aktivitäten müssen im Rahmen der organisationsweiten IT-Sicherheitspolitik bzw. Der IT-Sicherheitsprozess endet nicht mit der Umsetzung von Maßnahmen. die IT-Sicherheit im laufenden Betrieb aufrechtzuerhalten. unveränderbares Dokument. Eine nachträgliche Implementierung von Sicherheitsmaßnahmen ist bedeutend teurer und bietet im Allgemeinen weniger Schutz als Sicherheit.sollen erkannt und entsprechende Gegenmaßnahmen eingeleitet werden. 460 . eines Produktes sein. Ziel aller Follow-Up-Aktivitäten muss es sein. dazu auch Kap. Ein IT-Sicherheitskonzept ist kein statisches. sondern muss stets auf seine Wirksamkeit. Sicherheit sollte daher integrierter Bestandteil des gesamten Lebenszyklus eines ITSystems bzw. Betrieb und Wartung eines IT-Systems Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 12 ff " Beschaffung. der einzelnen ITSystemsicherheitspolitiken festgelegt werden. Die Anforderungen an die Sicherheit eines IT-Systems sollten bereits zu Beginn der Entwicklung ermittelt und abgestimmt werden.3 Sicherheitssensibilisierung und -schulung). Verschlechterungen der Wirksamkeit von Sicherheitsmaßnahmen . die Verantwortung für organisationsweite IT-Sicherheitsmaßnahmen sowie die Gesamtverantwortung bei der bzw. die von Beginn an in den Systementwicklungsprozess oder in den Auswahlprozess für ein Produkt integriert wurde. das erreichte Sicherheitsniveau aufrecht zu erhalten bzw. weiter zu erhöhen.12 Sicherheit in Entwicklung. 8. Von besonderer Bedeutung für die Aufrechterhaltung oder weitere Erhöhung eines einmal erreichten Sicherheitsniveaus ist eine permanente Sensibilisierung aller betroffenen Mitarbeiter/innen für Fragen der IT-Sicherheit (vgl. Als Richtlinie kann auch hier gelten. Aktualität und die Umsetzung in der täglichen Praxis überprüft werden. Entwicklung und Wartung von Informationssystemen ". beim Datenschutz-/IT-Sicherheitsbeauftragten.sei es durch eine Veränderung der Bedrohungslage oder durch falsche Verwendung der implementierten Sicherheitsmaßnahmen . sowie auch ISO 27002 10 ff " Management der Kommunikation und des Betriebs ". Umfassendes IT-Sicherheitsmanagement beinhaltet nicht zuletzt auch die Aufgabe. Weiters muss eine angemessene Reaktion auf sicherheitsrelevante Ereignisse gewährleistet sein. dass die Verantwortung für systemspezifische Maßnahmen bei den einzelnen Bereichs-IT-Sicherheitsbeauftragten liegen sollte.

der "Common Criteria" [Common Criteria] .1 Sicherheit im gesamten Lebenszyklus eines IT-Systems angeführten Maßnahmen orientieren sich am "Vorgehensmodell für die Entwicklung von IT-Systemen des Bundes" [IT-BVM] sowie teilweise an den Vorgaben der "Information Technology Security Evaluation Criteria" [ITSEC] bzw. wird in den folgenden Maßnahmenbeschreibungen der besseren Lesbarkeit halber. wobei der gemeinsame Oberbegriff "Evaluierungsgegenstand" (EVG) lautet. wenn nicht explizit angeführt. Das österreichische Vorgehensmodell wurde in Anlehnung an das international anerkannte deutsche Vorgehensmodell [Anmerkung:: Dieses wird seit sieben Jahren in vielen europäischen Ländern angewendet und wird laufend von der Bundesrepublik Deutschland gewartet und verbessert.] entwickelt. Es teilt sich in vier Bereiche auf: Abbildung 1: Die vier Bereiche (Submodelle) des IT-BVM 461 . auch wenn es sich im Einzelfall um ein Produkt (etwa Standardsoftware) oder eine Einzelkomponente handelt. das im folgenden kurz beschrieben wird. die zwischen "IT-Systemen" und "IT-Produkten" unterscheiden. 12.Die in Kapitel 12. Im Gegensatz zu den ITSEC. stets von "IT-Systemen" oder einfach "Systemen" gesprochen.1 Sicherheit im gesamten Lebenszyklus eines ITSystems In den [IT-BVM] wird ein an die Bedürfnisse der österreichischen Bundesverwaltung angepasstes Vorgehensmodell (V-Modell) für die Entwicklung von IT-Systemen vorgestellt.

die Ablage der Entwicklungsdokumente und des Programmcodes).Konfigurationsmanagement Dieser Bereich beinhaltet Tätigkeiten. die Änderungen leichter nachvollziehbar bzw.B. Alle diese Bereiche sind eng miteinander verzahnt. KM . Systemerstellung (SE) Der Bereich SE gliedert sich in sechs Phasen (Vierecke im Hintergrund).SE . 462 . die zur eigentlichen Erstellung des EDV-Systems notwendig sind. Jede Phase teilt sich in weitere Elementarphasen (Blöcke im Vordergrund) und diese wiederum in Aktivitäten (nicht abgebildet).Projektmanagement Hier werden alle Tätigkeiten zusammengefasst. werden in der QS zusammengefasst. QS . Kostensteuerung. Terminsteuerung usw.B.Qualitätssicherung Tätigkeiten.). die das Projekt steuern (wie z. um eine hohe Qualität der EDV-Anwendung sicherzustellen. überhaupt erst möglich machen (z. Weiters beschreibt es die Abhängigkeiten der Tätigkeiten untereinander und deren erzeugte Ergebnisse. PM .Systemerstellung In diesem Bereich werden die Tätigkeiten beschrieben.

Abbildung 2: Gliederung des Vorgehensmodells Es folgt eine kurze Beschreibung der Elementarphasen:

• • • • • • •

SE 1 - System-Anforderungsanalyse: Hier werden die Anforderungen an das Gesamtsystem erhoben. Unter dem Gesamtsystem versteht man nicht nur das IT-System, sondern auch das fachliche Umfeld, selbst wenn Teile davon später nicht mittels EDV abgedeckt werden. SE 2 - System-Entwurf: Der Grobentwurf des Gesamtsystems wird ermittelt und festgehalten SE 3 - SW-/HW-Anforderungsanalyse: In dieser Elementarphase konzentriert man sich bereits auf die Anforderungen der Software bzw. der Hardware. Bereiche, die nicht von der späteren ITAnwendung betroffen sind, werden hier nicht weiter untersucht. SE 4 - SW-Grobentwurf: Die Software wird grob gegliedert und beschrieben. SE 5 - SW-Feinentwurf: Die zuvor gebildete grobe SW-Struktur wird weiter verfeinert und beschrieben. SE 6 - SW-Implementierung: Die Softwarevorgaben werden in Programme bzw. Datenbanken umgesetzt. Erste Überprüfungen gegenüber dem SW-Feinentwurf werden durchgeführt. SE 7 - SW-Integration: Die einzelnen Softwareteile werden zu größeren Softwareeinheiten zusammengefügt und getestet. SE 8 - System integrieren: Die Software wird zum Gesamtsystem integriert. 463

SE 9 - Überleitung in die Nutzung: Das Gesamtsystem (EDV + Infrastruktur) wird am Bestimmungsort installiert und in Betrieb genommen.

Die Reihenfolge der Aktivitäten erscheint sequentiell. Dies entspricht der Vorstellung vom IT-Systemerstellungsprozess als einem strengen Top-down-Vorgehen. In der Regel sind jedoch Iterationen im Erstellungsprozess üblich. Die nachfolgende Abbildung zeigt eine schematisierte linearisierte Darstellung des logischen Ablaufs, der IT-Systemerstellung und deren Einbettung in das organisatorische Umfeld.

Abbildung 3: Randbedingungen zur IT-Systemerstellung 464

Das beschriebene Vorgehensmodell dient als Grundlage für die nachfolgenden Maßnahmen. Dabei werden die in den einzelnen Phasen für die IT-Sicherheit relevanten Maßnahmen herausgegriffen. Für weitere Details zum Vorgehensmodell sei auf das Gesamtkonzept ( [IT-BVM] ) verwiesen.

12.1.1 IT-Sicherheit in der System-Anforderungsanalyse
ISO Bezug: 27002 12.1.1, 12.2.3

Die Voruntersuchung besteht aus den Elementarphasen "SystemAnforderungsanalyse" und "System-Entwurf", die sich ihrerseits aus unterschiedlichen Aktivitäten zusammensetzen. In der System-Anforderungsanalyse, der ersten Elementarphase der Phase Voruntersuchung, werden die Anforderungen an das Gesamtsystem erhoben. Unter dem Gesamtsystem versteht man dabei nicht nur das IT-System, sondern auch das fachliche Umfeld, selbst wenn Teile davon später nicht mittels EDV abgedeckt werden. Der Anforderungskatalog kann etwa Aussagen zu folgenden Punkten enthalten:

• •

• • • •

Funktionale Anforderungen, die das System zur Unterstützung der Aufgabenerfüllung der Fachabteilung erfüllen muss. Die für die Fachaufgabe relevanten Einzelfunktionalitäten sollten hervorgehoben werden. IT-Einsatzumgebung: Diese wird einerseits beschrieben durch die Rahmenbedingungen, die durch die vorhandene oder geplante IT-Einsatzumgebung vorgegeben werden, und andererseits durch die Leistungsanforderungen, die durch das System an die Einsatzumgebung vorgegeben werden. Kompatibilitätsanforderungen zu anderen Programmen oder IT-Systemen, also Migrationsunterstützung und Aufwärts- und Abwärtskompatibilität. Performanceanforderungen: diese beschreiben die erforderlichen Leistungen hinsichtlich Durchsatz und Laufzeitverhalten. Für die geforderten Funktionen sollten möglichst genaue Angaben über die maximal zulässige Bearbeitungszeit getroffen werden. Interoperabilitätsanforderungen, d.h. die Zusammenarbeit mit anderen Produkten bzw. Systemen über Plattformgrenzen hinweg muss möglich sein. Alternativen zu Herstellermonopolen:

465

• • • • • •

Alternativen zu entstehenden Herstellermonopolen sind im Rahmen der SystemAnforderungsanalyse zu berücksichtigen. Speziell im Hinblick auf Kompatibilität und Austauschbarkeit im Notfall ist dies ein Beitrag zur Systemsicherheit. Als eine der Hauptschwierigkeiten wären beispielsweise proprietäre Protokolle zu identifizieren, die Probleme bei der Suche nach Ersatzsystemen darstellen. Aufgrund des IKT-Board-Beschlusses [IKTB-250602-1] sind derartige Alternativen bei Anschaffungen von Servern im Rahmen der öffentlichen Verwaltung empfohlen. (Vergleiche auch K-Fall-Vorgaben – 14.1.1 Definition von Verfügbarkeitsklassen ) Zuverlässigkeitsanforderungen: Diese betreffen die Stabilität des Systems, also Fehlererkennung und Toleranz sowie Ausfall- und Betriebssicherheit. Konformität zu Standards: Dies können internationale Normen, De-facto-Standards oder auch Hausstandards sein. Einhaltung von internen Regelungen und gesetzlichen Vorschriften, z.B. ausreichender Datenschutz bei der Verarbeitung personenbezogener Daten Anforderungen an die Benutzerfreundlichkeit, insbesondere an die Güte der Benutzeroberfläche sowie die Qualität der Benutzerdokumentation und der Hilfefunktionen. Anforderungen an die Wartbarkeit Obergrenze der Kosten: Dabei müssen nicht nur die unmittelbaren Entwicklungs- bzw. Beschaffungskosten für das System selber einbezogen werden, sondern auch Folgekosten, wie z.B. Wartungsaufwände, Personalkosten oder notwendige Schulungen. Aus den Anforderungen an die Dokumentation muss hervorgehen, welche Dokumente in welcher Güte (Vollständigkeit, Verständlichkeit) erforderlich sind. Bezüglich der Softwarequalität können Anforderungen gestellt werden, die von Herstellererklärungen über die eingesetzten Qualitätssicherungsverfahren, über ISO 9000 Zertifikate bis hin zu unabhängigen Softwareprüfungen nach ISO 12119 reichen.

• •

Zusätzlich zu den operationellen Anforderungen müssen die IT-Sicherheitsziele vorgegeben werden. Dies kann auf zwei Arten erfolgen:

• •

durch die Formulierung von Anforderungen an Vertraulichkeit, Integrität oder Verfügbarkeit (vgl. 14.1.1 Definition von Verfügbarkeitsklassen ) von bestimmten operationellen Funktionen oder verarbeiteten Informationen, anhand einer bereits vorgegebenen Sicherheitspolitik, die im Gesamtsystem durchgesetzt werden soll.

[ eh ENT 1.1 ]

466

12.1.2 Durchführung einer Risikoanalyse und Festlegung der IT-Sicherheitsanforderungen
ISO Bezug: 27002 12.1.1

Basierend auf den bereits definierten Anwenderanforderungen und Informationen über die Einsatzumgebung des Systems sind die für das System relevanten Bedrohungen zu ermitteln und die damit verbundenen Risiken zu bewerten. Zu möglichen Strategien und Vorgehensweisen zur Risikoanalyse s. Kap. 5 - Entwicklung einer organisationsweiten Informationssicherheitspolitik , des vorliegenden Sicherheitshandbuches. Die Ergebnisse der Risikoanalyse bilden die Grundlage für die Formulierung der Anforderungen an die IT-Sicherheit innerhalb der Anwenderforderungen (vgl. 12.1.1 IT-Sicherheit in der System-Anforderungsanalyse). Typische Sicherheitsanforderungen, die an ein gesamtes IT-System oder auch an eine Einzelkomponente oder ein Produkt möglicherweise gestellt werden, seien im Folgenden kurz erläutert (dabei wird im Folgenden wieder generell von "Systemen" gesprochen). Weitere Ausführungen finden sich in den [ITSEC] und den [Common Criteria] .

Identifizierung und Authentisierung: In vielen Systemen wird es Anforderungen geben, diejenigen Benutzer/innen zu bestimmen und zu überwachen, die Zugriff auf Betriebsmittel haben, die vom System kontrolliert werden. Dazu muss nicht nur die behauptete Identität der/des Benutzerin/Benutzers festgestellt, sondern auch die Tatsache nachgeprüft werden, dass die/der Benutzer/in tatsächlich die Person ist, die sie/er zu sein vorgibt. Dies geschieht, indem die/der Benutzer/in dem System Informationen liefert, die fest mit der/dem betreffenden Benutzer/in verknüpft sind. Dies können entweder personenbezogene oder personengebundene Informationen sein, s. dazu auch Kap. 11.1.1 Berechtigungssysteme, Schlüsselund Passwortverwaltung . Zugriffskontrolle: Bei vielen Systemen wird es erforderlich sein, sicherzustellen, dass Benutzer/ innen und Prozesse daran gehindert werden, Zugriff auf Informationen oder Betriebsmittel zu erhalten, für die sie kein Zugriffsrecht haben oder für die keine Notwendigkeit zu einem Zugriff besteht. Desgleichen wird es Anforderungen bezüglich der unbefugten Erzeugung, Änderung oder Löschung von Informationen geben. Beweissicherung:

467

Bei vielen Systemen wird es erforderlich sein sicherzustellen, dass über Handlungen, die von Benutzerinnen/Benutzern bzw. von Prozessen im Namen solcher Benutzer/innen ausgeführt werden, Informationen aufgezeichnet werden, damit die Folgen solcher Handlungen später der/dem betreffenden Benutzer/in zugeordnet werden können und die/der Benutzer/in für ihre/seine Handlungen verantwortlich gemacht werden kann. Protokollauswertung: Bei vielen Systemen wird sicherzustellen sein, dass sowohl über gewöhnliche Vorgänge als auch über außergewöhnliche Vorfälle ausreichend Informationen aufgezeichnet werden, damit durch Nachprüfungen später festgestellt werden kann, ob tatsächlich Sicherheitsverletzungen vorgelegen haben und welche Informationen oder sonstigen Betriebsmittel davon betroffen waren. Unverfälschbarkeit: Bei vielen Systemen wird es erforderlich sein, sicherzustellen, dass bestimmte Beziehungen zwischen unterschiedlichen Daten korrekt bleiben und dass Daten zwischen einzelnen Prozessen ohne Änderungen übertragen werden. Daneben müssen auch Funktionen bereitgestellt werden, die es bei der Übertragung von Daten zwischen einzelnen Prozessen, Benutzern und Objekten ermöglichen, Verluste, Ergänzungen oder Veränderungen zu entdecken bzw. zu verhindern, und die es unmöglich machen, die angebliche oder tatsächliche Herkunft bzw. Bestimmung der Datenübertragung zu ändern. Zuverlässigkeit: Bei vielen Systemen wird es erforderlich sein, sicherzustellen, dass zeitkritische Aufgaben genau zu dem Zeitpunkt durchgeführt werden, zu dem es erforderlich ist, also nicht früher oder später, und es wird sicherzustellen sein, dass zeitunkritische Aufgaben nicht in zeitkritische umgewandelt werden können. Desgleichen wird es bei vielen Systemen erforderlich sein, sicherzustellen, dass ein Zugriff in dem erforderlichen Moment möglich ist und Betriebsmittel nicht unnötig angefordert oder zurückgehalten werden. Übertragungssicherung: Dieser Begriff umfasst alle Funktionen, die für den Schutz der Daten während der Übertragung über Kommunikationskanäle vorgesehen sind:

• • • • •

Authentisierung Zugriffskontrolle Datenvertraulichkeit Datenintegrität Sende- und Empfangsnachweis

Über die ITSEC hinaus können weitere Sicherheitsanforderungen bestehen, wie etwa Datensicherung, Verschlüsselung gespeicherter Daten, Funktionen zur Wahrung der Datenintegrität oder datenschutzrechtliche Anforderungen. 468

Stärke der Mechanismen
Common Criteria definiert eine Stärke der Funktion (Strength of Function – SOF). Es handelt sich dabei um eine Charakterisierung von Sicherheitsfunktionen des Produkts, die den geringsten angenommenen Aufwand beschreibt, um die zugrunde liegenden Sicherheitsmechanismen durch einen direkten Angriff außer Kraft zu setzen. Es werden drei Stufen über das Angriffspotential definiert: niedrig: Die Stufe bietet angemessenen Schutz gegen zufälliges Brechen der Sicherheit durch Angreifer/innen, die über ein geringes Angriffspotential verfügen. mittel: Die Stufe bietet einen angemessenen Schutz gegen nahe liegendes oder absichtliches Brechen durch Angreifer/innen, die über ein mittleres Angriffspotential verfügen. hoch: Die Stufe bietet einen geeigneten Schutz gegen geplantes oder organisiertes Brechen der EVG-Sicherheit durch Angreifer/innen, die über ein hohes Angriffspotential verfügen. Ähnlich werden in ITSEC drei Stufen (niedrig, mittel, hoch) für die Stärke des Mechanismus definiert. [ eh ENT 1.2 ]

12.1.3 IT-Sicherheit in Design und Implementierung
ISO Bezug: 27002 12.1.1

System-Entwurf:
Diese Elementarphase des Entwicklungsprozesses bezieht sich auf die oberste Stufe der Definition und des Entwurfs eines IT-Systems oder Produktes. Dies erfolgt in Form einer Spezifikation auf hohem Abstraktionsniveau, die die grundlegende Struktur des Systems, seine externen Schnittstellen sowie seine Untergliederung in die wichtigsten Hardware- und Softwarekomponenten identifiziert. Bereits in dieser Elementarphase, in der die Systemarchitektur und ein Integrationsplan erarbeitet werden, ist auf eine adäquate Berücksichtigung der Sicherheitsanforderungen zu achten.

469

Aus Sicht der IT-Sicherheit ist es insbesondere wichtig, dass bereits im SystemEntwurf eine klare und wirksame Trennung zwischen IT-sicherheitsspezifischen, ITsicherheitsrelevanten und anderen Komponenten getroffen wird. Eine klare Trennung unterstützt die Sicherstellung der Korrektheit der weiteren Entwicklungsschritte und erleichtert eine eventuelle Evaluierung der Sicherheit des Systems (etwa nach [ITSEC] oder [Common Criteria] ). Dabei bedeuten:

• •

IT-sicherheitsspezifische Komponenten: Komponenten, die unmittelbar zur Durchsetzung der IT-Sicherheit beitragen IT-sicherheitsrelevante Komponenten: Komponenten, die nicht unmittelbar zur IT-Sicherheit beitragen, deren Fehlverhalten oder Missbrauch jedoch die Sicherheit gefährden kann.

Die Schnittstellen der IT-Sicherheitsmaßnahmen zu den beteiligten Architekturelementen müssen dokumentiert werden.

SW-Grobentwurf und SW-Feinentwurf:
Diese Elementarphasen des Entwicklungsprozesses beziehen sich auf die Verfeinerung des Systementwurfes bis hin zu einem Detaillierungsgrad, der als Basis für die Programmierung (und/oder Hardwarekonstruktion) verwendet werden kann. Aus Sicht der IT-Sicherheit sind hier insbesondere

• • •

die Abhängigkeiten der IT-Sicherheitsfunktionen, die Wechselwirkungen der IT-Sicherheitsmechanismen, die zur Realisierung der IT-Sicherheitsfunktionen gewählt wurden, und die Auswirkungen, die die Realisierung der IT-Sicherheitsfunktionen auf andere SW-Einheiten haben können,

zu untersuchen. Alle Schnittstellen der IT-sicherheitsspezifischen und der IT-sicherheitsrelevanten SW-Komponenten und -Module müssen mit ihrem Zweck und ihren Parametern beschrieben werden. Die Separierung vom nicht IT-sicherheitsrelevanten Teil muss sichtbar sein. Weiters ist festzustellen, ob und gegebenenfalls welche IT-sicherheitsspezifischen oder IT-sicherheitsrelevanten Anteile in anderen SW-Komponenten, -Modulen bzw. Datenbanken bei der Realisierung entstehen.

470

Implementierung und Tests:
Jede Komponente bzw. jedes Modul ist zunächst aus den Spezifikationen zu programmieren oder zu konstruieren. Diese Komponenten und Module müssen dann gegen ihre Spezifikationen geprüft und getestet werden. Anschließend werden einzelne Komponenten und Module zusammen in kontrollierter Form integriert, bis das komplette System vorliegt, das dann als Ganzes gegen die Spezifikation und die Sicherheitsvorgaben geprüft und getestet wird (vgl. dazu [ITBVM] , Kap 7, 8 und 9 (Phasen Implementierung, Test und Integration)). Details dazu siehe