Österreichisches Informationssicherheitshandbuch

Version 3.1.001 22. November 2010

1

Inhalt
Zum Geleit ..................................................................................................... 19 Vorwort und Management Summary .......................................................... 21
Zur Version 3 des Informationssicherheitshandbuchs ................................................... 21 Management Summary ...................................................................................................... 22 Hauptquellen und Danksagungen .................................................................................... 26

1 Einführung ................................................................................................... 28
1.1 Das Informationssicherheitshandbuch ....................................................................... 28 1.1.1 Ziele des Informationssicherheitshandbuchs ............................................................. 28 1.1.1.1 Ziele der Version 3 ................................................................................................ 29 1.1.2 Scope ......................................................................................................................... 29 1.1.3 Neuheiten der Version 3 ........................................................................................... 30 1.1.4 Quellen, Verträglichkeiten, Abgrenzungen ............................................................... 32 1.1.5 Informations- versus IT-Sicherheit ........................................................................... 35 1.2 Informationssicherheitsmanagement .......................................................................... 36 1.2.1 Ziele des Informationssicherheitsmanagements ........................................................ 36 1.2.2 Aufgaben des Informationssicherheitsmanagements ................................................. 37

2 Informationssicherheits-Management-System (ISMS) ............................ 39
2.1 Der Informationssicherheitsmanagementprozess ...................................................... 39 2.1.1 Entwicklung einer organisationsweiten Informationssicherheitspolitik .................... 41 2.1.2 Risikoanalyse ............................................................................................................. 41 2.1.3 Erstellung eines Sicherheitskonzeptes ....................................................................... 42 2.1.4 Umsetzung des Informationssicherheitsplans ............................................................ 42 2.1.5 Informationssicherheit im laufenden Betrieb ............................................................ 43 2.2 Erstellung von Sicherheitskonzepten ......................................................................... 44 2.2.1 Auswahl von Maßnahmen ......................................................................................... 44 2.2.1.1 Klassifikation von Sicherheitsmaßnahmen ............................................................. 45 2.2.1.2 Ausgangsbasis für die Auswahl von Maßnahmen ................................................. 47 2.2.1.3 Auswahl von Maßnahmen auf Basis einer detaillierten Risikoanalyse .................. 48 2.2.1.4 Auswahl von Maßnahmen im Falle eines Grundschutzansatzes ............................ 49 2.2.1.5 Auswahl von Maßnahmen im Falle eines kombinierten Risikoanalyseansatzes .............................................................................................................................................. 49

2

2.2.1.6 Bewertung von Maßnahmen .................................................................................. 50 2.2.1.7 Rahmenbedingungen .............................................................................................. 51 2.2.2 Risikoakzeptanz ......................................................................................................... 51 2.2.3 Sicherheitsrichtlinien ................................................................................................. 53 2.2.3.1 Aufgaben und Ziele ................................................................................................ 53 2.2.3.2 Inhalte ..................................................................................................................... 53 2.2.3.3 Fortschreibung der Sicherheitsrichtlinien ............................................................... 54 2.2.3.4 Verantwortlichkeiten .............................................................................................. 54 2.2.4 Informationssicherheitspläne für jedes System ......................................................... 55 2.2.5 Fortschreibung des Sicherheitskonzeptes .................................................................. 56 2.3 Umsetzung des Informationssicherheitsplans ............................................................ 57 2.3.1 Implementierung von Maßnahmen ........................................................................... 57 2.3.2 Sensibilisierung (Security Awareness) ...................................................................... 60 2.3.3 Schulung .................................................................................................................... 61 2.3.4 Akkreditierung ........................................................................................................... 63 2.4 Informationssicherheit im laufenden Betrieb ............................................................ 64 2.4.1 Aufrechterhaltung des erreichten Sicherheitsniveaus ................................................ 64 2.4.2 Wartung und administrativer Support von Sicherheitseinrichtungen ........................ 65 2.4.3 Überprüfung von Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) ....................................... 66 2.4.4 Fortlaufende Überwachung der IT-Systeme (Monitoring) ........................................ 67

3 Managementverantwortung und Aufgaben beim ISMS .......................... 69
3.1 Verantwortung der Managementebene ..................................................................... 69 3.1.1 Generelle Managementaufgaben beim ISMS ............................................................ 69 3.2 Ressourcenmanagement .............................................................................................. 71 3.2.1 Bereitstellung von Ressourcen .................................................................................. 71 3.2.2 Schulung und Awareness .......................................................................................... 74 3.3 Interne ISMS Audits ................................................................................................... 78 3.3.1 Planung und Vorbereitung interner Audits ............................................................... 79 3.3.2 Durchführung interner Audits ................................................................................... 81 3.3.3 Ergebnis und Auswertung interner Audits ................................................................ 83 3.4 Management-Review des ISMS .................................................................................. 86 3.4.1 Management-Review Methoden ................................................................................ 87 3.4.1.1 Review der Strategie und des Sicherheitskonzepts ................................................ 88 3

3.4.1.2 Review der Sicherheitsmaßnahmen ....................................................................... 89 3.4.2 Management-Review Ergebnis und Auswertung ...................................................... 90 3.5 Verbesserungsprozess beim ISMS .............................................................................. 91 3.5.1 Grundlagen für Verbesserungen ................................................................................ 91 3.5.2 Entscheidungs- und Handlungsbedarf ....................................................................... 92

4 Risikoanalyse ............................................................................................... 95
4.1 Risikoanalysestrategien ................................................................................................ 95 4.2 Detaillierte Risikoanalyse ............................................................................................ 96 4.2.1 Abgrenzung des Analysebereiches ............................................................................ 98 4.2.2 Identifikation der bedrohten Objekte (Werte, assets) ................................................ 99 4.2.3 Wertanalyse (Impact Analyse) ................................................................................ 100 4.2.3.1 Festlegung der Bewertungsbasis für Sachwerte ................................................... 100 4.2.3.2 Festlegung der Bewertungsbasis für immaterielle Werte ..................................... 101 4.2.3.3 Ermittlung der Abhängigkeiten zwischen den Objekten ...................................... 101 4.2.3.4 Bewertung der bedrohten Objekte ........................................................................ 102 4.2.4 Bedrohungsanalyse .................................................................................................. 102 4.2.4.1 Identifikation möglicher Bedrohungen ................................................................. 103 4.2.4.2 Bewertung möglicher Bedrohungen ..................................................................... 104 4.2.5 Schwachstellenanalyse ............................................................................................ 105 4.2.6 Identifikation bestehender Sicherheitsmaßnahmen ................................................. 106 4.2.7 Risikobewertung ...................................................................................................... 107 4.2.8 Auswertung und Aufbereitung der Ergebnisse ....................................................... 108 4.3 Grundschutzansatz ..................................................................................................... 108 4.3.1 Die Idee des IT-Grundschutzes ............................................................................... 109 4.3.2 Grundschutzanalyse und Auswahl von Maßnahmen ............................................... 110 4.3.2.1 Modellierung ........................................................................................................ 110 4.3.2.2 Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen ........... 112 4.3.3 Vorgehen bei Abweichungen .................................................................................. 112 4.3.4 Dokumentation der Ergebnisse ............................................................................... 113 4.4 Kombinierter Ansatz ................................................................................................. 113 4.4.1 Festlegung von Schutzbedarfskategorien ................................................................ 115 4.4.2 Schutzbedarfsfeststellung ........................................................................................ 119 4.4.2.1 Erfassung aller vorhandenen oder geplanten IT-Systeme .................................... 120 4

4.4.2.2 Erfassung der IT-Anwendungen und Zuordnung zu den einzelnen IT-Systemen ............................................................................................................................................ 120 4.4.2.3 Schutzbedarfsfeststellung für jedes IT-System .................................................... 121 4.4.3 Durchführung von Grundschutzanalysen und detaillierten Risikoanalysen ............ 121 4.5 Akzeptables Restrisiko .............................................................................................. 122 4.6 Akzeptanz von außergewöhnlichen Restrisiken ...................................................... 122

5 Informationssicherheits-Politik ................................................................ 124
5.1 Aufgaben und Ziele einer Informationssicherheits-Politik .................................... 124 5.2 Inhalte der Informationssicherheits-Politik ............................................................. 125 5.2.1 Informationssicherheitsziele und -strategien ........................................................... 125 5.2.2 Management Commitment ...................................................................................... 127 5.2.3 Organisation und Verantwortlichkeiten für Informationssicherheit ........................ 128 5.2.3.1 Die/der IT-Sicherheitsbeauftragte ........................................................................ 129 5.2.3.2 Das Informationssicherheits-Management-Team ................................................. 130 5.2.3.3 Die Bereichs-IT-Sicherheitsbeauftragten .............................................................. 130 5.2.3.4 Applikations-/Projektverantwortliche ................................................................... 131 5.2.3.5 Die/der Informationssicherheitsbeauftragte .......................................................... 132 5.2.3.6 Weitere Pflichten und Verantwortungen im Bereich Informationssicherheit ....... 132 5.2.3.7 Informationssicherheit und Datenschutz .............................................................. 133 5.2.4 Risikoanalysestrategien, akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken ........................................................................................ 133 5.2.5 Klassifizierung von Informationen .......................................................................... 135 5.2.5.1 Definition der Sicherheitsklassen ......................................................................... 135 5.2.5.2 Festlegung der Verantwortlichkeiten und der Vorgehensweise für klassifizierte Informationen .................................................................................................................... 137 5.2.5.3 Erarbeitung von Regelungen zum Umgang mit klassifizierten Informationen 137 ..... 5.2.6 Klassifizierung von IT-Anwendungen und IT-Systemen, Grundzüge der Business Continuity Planung ........................................................................................................... 138 5.2.7 Überprüfung und Aufrechterhaltung der Sicherheit ................................................ 140 5.2.8 Dokumente zur Informationssicherheit ................................................................... 140 5.3 Life Cycle der Informationssicherheits-Politik ....................................................... 140 5.3.1 Erstellung der Informationssicherheits-Politik ........................................................ 140 5.3.2 Offizielle Inkraftsetzung der Informationssicherheits-Politik ................................. 141 5.3.3 Regelmäßige Überarbeitung .................................................................................... 141 5

6 Organisation .............................................................................................. 143
6.1 Interne Organisation .................................................................................................. 143 6.1.1 Management - Verantwortung ................................................................................ 143 6.1.1.1 Zusammenwirken verantwortliches Management - Mitarbeiter/innen - Gremien ............................................................................................................................................ 144 6.1.2 Koordination ............................................................................................................ 146 6.1.3 Definierte Verantwortlichkeiten für Informationssicherheit .................................... 147 6.1.4 Benutzungsgenehmigung für Informationsverarbeitung ......................................... 148 6.1.5 Vertraulichkeitsvereinbarungen ............................................................................... 150 6.1.6 Kontaktpflege mit Behörden und Gremien ............................................................. 151 6.1.7 Unabhängige Audits der Sicherheitsmaßnahmen .................................................... 152 6.1.8 Berichtswesen .......................................................................................................... 156 6.2 Zusammenarbeit mit Externen ................................................................................. 157 6.2.1 Outsourcing ............................................................................................................. 157 6.2.2 Gefährdungen beim Outsourcing ............................................................................ 158 6.2.3 Outsourcing Planungs- und Betriebsphasen ............................................................ 160

7 Vermögenswerte und Klassifizierung von Informationen ..................... 171
7.1 Vermögenswerte ......................................................................................................... 171 7.1.1 Inventar der Vermögenswerte (Assets) mittels Strukturanalyse .............................. 171 7.1.1.1 Erfassung Geschäftsprozessen, Anwendungen und Informationen ...................... 173 7.1.1.2 Erfassung von Datenträgern und Dokumenten ..................................................... 174 7.1.1.3 Erhebung der IT-Systeme ..................................................................................... 175 7.1.1.4 Netzplan ................................................................................................................ 176 7.1.1.5 Erfassung der Gebäude und Räume ..................................................................... 177 7.1.1.6 Aktualisierung der Strukturanalyse ...................................................................... 178 7.1.2 Eigentum von Vermögenswerten ............................................................................ 179 7.1.2.1 Verantwortiche für Vermögenswerte (Assets) ..................................................... 180 7.1.2.2 Aufgaben der Eigentümer und Verantwortlichen ................................................. 180 7.1.3 Zulässige Nutzung von Vermögenswerten .............................................................. 181 7.1.3.1 Herausgabe einer PC-Richtlinie ........................................................................... 181 7.1.3.2 Einführung eines PC-Checkheftes ........................................................................ 182 7.1.3.3 Geeignete Aufbewahrung tragbarer IT-Systeme .................................................. 183

6

7.1.3.4 Mitnahme von Datenträgern und IT-Komponenten ............................................. 185 7.1.3.5 Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Videokameras ................................................................................................................... 186 7.1.3.6 Absicherung von Wechselmedien ........................................................................ 187 7.2 Klassifizierung von Informationen ........................................................................... 188

8 Personelle Sicherheit ................................................................................. 190
8.1 Regelungen für Mitarbeiter/innen ............................................................................ 190 8.1.1 Verpflichtung der Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen ........................................................................................... 190 8.1.2 Aufnahme der sicherheitsrelevanten Aufgaben und Verantwortlichkeiten in die Stellenbeschreibung .......................................................................................................... 191 8.1.3 Vertretungsregelungen ............................................................................................. 191 8.1.4 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeiterinnen/Mitarbeitern ............................................................................................................................................ 192 8.1.5 Geregelte Verfahrensweise bei Versetzung eines Mitarbeiters ............................... 193 8.1.6 Gewährleistung eines positiven Betriebsklimas ...................................................... 194 8.1.7 Clear Desk Policy ................................................................................................... 194 8.1.8 Benennung eines vertrauenswürdigen Administrators und Vertreterin/Vertreters ............................................................................................................................................ 195 8.1.9 Verpflichtung der PC-Benutzer/innen zum Abmelden ............................................ 195 8.1.10 Kontrolle der Einhaltung der organisatorischen Vorgaben ................................... 196 8.1.11 Geregelte Verfahrensweise bei vermuteten Sicherheitsverletzungen .................... 196 8.2 Regelungen für den Einsatz von Fremdpersonal .................................................... 197 8.2.1 Regelungen für den kurzfristigen Einsatz von Fremdpersonal ................................ 197 8.2.2 Verpflichtung externer Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen ........................................................................................... 197 8.2.3 Beaufsichtigung oder Begleitung von Fremdpersonen ............................................ 197 8.2.4 Information externer Mitarbeiter/innen über die IT-Sicherheitspolitik ................... 198 8.3 Sicherheitssensibilisierung und -schulung ............................................................... 198 8.3.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter/innen .................................. 198 8.3.2 Schulung vor Programmnutzung ............................................................................. 199 8.3.3 Schulung und Sensibilisierung zu IT-Sicherheitsmaßnahmen ................................ 199 8.3.4 Betreuung und Beratung von IT-Benutzerinnen/IT-Benutzern ............................... 202 8.3.5 Aktionen bei Auftreten von Sicherheitsproblemen (Incident Handling Pläne) ........ 203 8.3.6 Schulung des Wartungs- und Administrationspersonals ......................................... 203 7

8.3.8 Einweisung in die Regelungen der Handhabung von Kommunikationsmedien...... 204 8.3.9 Einweisung in die Bedienung von Schutzschränken ............................................... 205

9 Physische und umgebungsbezogene Sicherheit ...................................... 207
9.1 Bauliche und infrastrukturelle Maßnahmen ........................................................... 208 9.1.1 Geeignete Standortauswahl ..................................................................................... 208 9.1.2 Anordnung schützenswerter Gebäudeteile .............................................................. 208 9.1.3 Einbruchsschutz ....................................................................................................... 209 9.1.4 Zutrittskontrolle ....................................................................................................... 210 9.1.5 Verwaltung von Zutrittskontrollmedien .................................................................. 212 9.1.6 Portierdienst ............................................................................................................. 213 9.1.7 Einrichtung einer Postübernahmestelle ................................................................... 213 9.1.8 Perimeterschutz ....................................................................................................... 214 9.2 Brandschutz ................................................................................................................ 215 9.2.1 Einhaltung von Brandschutzvorschriften und Auflagen .......................................... 215 9.2.2 Raumbelegung unter Berücksichtigung von Brandlasten ........................................ 215 9.2.3 Organisation Brandschutz ....................................................................................... 216 9.2.4 Brandabschottung von Trassen ............................................................................... 216 9.2.5 Verwendung von Brandschutztüren und Sicherheitstüren ....................................... 217 9.2.6 Brandmeldeanlagen ................................................................................................. 218 9.2.7 Brandmelder ............................................................................................................ 218 9.2.8 Handfeuerlöscher (Mittel der Ersten und Erweiterten Löschhilfe) .......................... 219 9.2.9 Löschanlagen ........................................................................................................... 220 9.2.10 Brandschutzbegehungen ........................................................................................ 221 9.2.11 Rauchverbot ........................................................................................................... 221 9.2.12 Rauchschutzvorkehrungen ..................................................................................... 221 9.3 Stromversorgung, Maßnahmen gegen elektrische und elektromagnetische Risiken ............................................................................................................................... 222 9.3.1 Angepasste Aufteilung der Stromkreise .................................................................. 222 9.3.2 Not-Aus-Schalter ..................................................................................................... 222 9.3.3 Zentrale Notstromversorgung .................................................................................. 223 9.3.4 Lokale unterbrechungsfreie Stromversorgung ........................................................ 223 9.3.5 Blitzschutzeinrichtungen (Äußerer Blitzschutz) ...................................................... 224 9.3.6 Überspannungsschutz (Innerer Blitzschutz) ............................................................ 225 8

9.3.7 Schutz gegen elektromagnetische Einstrahlung ...................................................... 225 9.3.8 Schutz gegen kompromittierende Abstrahlung ....................................................... 226 9.3.9 Schutz gegen elektrostatische Aufladung ................................................................ 228 9.4 Leitungsführung ......................................................................................................... 228 9.4.1 Lagepläne der Versorgungsleitungen ...................................................................... 228 9.4.2 Materielle Sicherung von Leitungen und Verteilern ............................................... 229 9.4.3 Entfernen oder Kurzschließen und Erden nicht benötigter Leitungen ..................... 230 9.4.4 Auswahl geeigneter Kabeltypen .............................................................................. 230 9.4.5 Schadensmindernde Kabelführung .......................................................................... 231 9.4.6 Vermeidung von wasserführenden Leitungen ......................................................... 231 9.5 Geeignete Aufstellung und Aufbewahrung .............................................................. 232 9.5.1 Geeignete Aufstellung eines Arbeitsplatz-IT-Systems ............................................ 233 9.5.2 Geeignete Aufstellung eines Servers ....................................................................... 233 9.5.3 Geeignete Aufstellung von Netzwerkkomponenten ................................................ 234 9.5.4 Nutzung und Aufbewahrung mobiler IT-Geräte ..................................................... 235 9.5.5 Sichere Aufbewahrung der Datenträger vor und nach Versand .............................. 236 9.5.6 Serverräume ............................................................................................................. 236 9.5.7 Beschaffung und Einsatz geeigneter Schutzschränke .............................................. 237 9.6 Weitere Schutzmaßnahmen ...................................................................................... 240 9.6.1 Einhaltung einschlägiger Normen und Vorschriften ............................................... 240 9.6.2 Regelungen für Zutritt zu Verteilern ....................................................................... 240 9.6.3 Vermeidung von Lagehinweisen auf schützenswerte Gebäudeteile ........................ 241 9.6.4 Geschlossene Fenster und Türen ............................................................................. 241 9.6.5 Alarmanlage ............................................................................................................. 242 9.6.6 Fernanzeige von Störungen ..................................................................................... 242 9.6.7 Klimatisierung ......................................................................................................... 243 9.6.8 Selbsttätige Entwässerung ....................................................................................... 243 9.6.9 Videounterstützte Überwachung ............................................................................. 243 9.6.10 Aktualität von Plänen ............................................................................................ 244 9.6.11 Vorgaben für ein Rechenzentrum ......................................................................... 244

10 Sicherheitsmanagement in Kommunikation und Betrieb ................... 245
10.1 IT-Sicherheitsmanagement ...................................................................................... 245 10.1.1 Etablierung eines IT-Sicherheits-Management-Prozesses ..................................... 245 9

10.1.2 Erarbeitung einer organisationsweiten Informationssicherheits-Politik ................ 247 10.1.3 Erarbeitung von IT-Systemsicherheitspolitiken .................................................... 247 10.1.4 Festlegung von Verantwortlichkeiten .................................................................... 248 10.1.5 Funktionstrennung ................................................................................................. 250 10.1.6 Einrichtung von Standardarbeitsplätzen ................................................................ 250 10.1.7 Akkreditierung von IT-Systemen .......................................................................... 252 10.1.8 Change Management ............................................................................................. 252 10.1.8.1 Reaktion auf Änderungen am IT-System ........................................................... 253 10.1.8.2 Software-Änderungskontrolle ............................................................................. 254 10.2 Dokumentation ........................................................................................................ 254 10.2.1 Dokumentation von Software ................................................................................ 254 10.2.2 Sourcecodehinterlegung ......................................................................................... 256 10.2.3 Dokumentation der Systemkonfiguration .............................................................. 257 10.2.4 Dokumentation der Datensicherung ...................................................................... 258 10.2.5 Dokumentation und Kennzeichnung der Verkabelung .......................................... 259 10.2.6 Neutrale Dokumentation in den Verteilern ........................................................... 260 10.3 Dienstleistungen durch Dritte (Outsourcing) ....................................................... 261 10.3.1 Festlegung einer Outsourcing-Strategie ................................................................ 262 10.3.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben ................... 266 10.3.3 Wahl eines geeigneten Outsourcing-Dienstleisters ............................................... 268 10.3.4 Vertragsgestaltung mit dem Outsourcing-Dienstleister ......................................... 270 10.3.5 Erstellung eines IT-Sicherheitskonzepts für das Outsourcing-Vorhaben .............. 275 10.3.6 Notfallvorsorge beim Outsourcing ........................................................................ 279 10.4 Schutz vor Schadprogrammen und Schadfunktionen ......................................... 281 10.4.1 Erstellung eines Virenschutzkonzepts ................................................................... 282 10.4.2 Generelle Maßnahmen zur Vorbeugung gegen Virenbefall .................................. 282 10.4.3 Empfohlene Virenschutzmaßnahmen auf Firewall-Ebene .................................... 283 10.4.4 Empfohlene Virenschutzmaßnahmen auf Server-Ebene ....................................... 284 10.4.5 Empfohlene Virenschutzmaßnahmen auf Client-Ebene und Einzelplatzrechnern ............................................................................................................................................ 284 10.4.6 Vermeidung bzw. Erkennung von Viren durch den Benutzer ............................... 285 10.4.7 Erstellung von Notfallplänen im Fall von Vireninfektionen ................................. 287 10.4.8 Auswahl und Einsatz von Virenschutzprogrammen .............................................. 288 10

10.4.9 Verhaltensregeln bei Auftreten eines Virus .......................................................... 290 10.4.10 Warnsystem für Computerviren – Aktualisierung von Virenschutzprogrammen ............................................................................................................................................ 291 10.4.11 Schutz vor aktiven Inhalten ................................................................................. 291 10.4.12 Sicherer Aufruf ausführbarer Dateien ................................................................. 294 10.4.13 Vermeidung gefährlicher Dateiformate ............................................................... 296 10.5 Datensicherung ......................................................................................................... 298 10.5.1 Regelmäßige Datensicherung ................................................................................ 298 10.5.2 Entwicklung eines Datensicherungskonzeptes ...................................................... 300 10.5.3 Festlegung des Minimaldatensicherungskonzeptes ............................................... 300 10.5.4 Datensicherung bei Einsatz kryptographischer Verfahren .................................... 301 10.5.5 Geeignete Aufbewahrung der Backup-Datenträger ............................................... 303 10.5.6 Sicherungskopie der eingesetzten Software .......................................................... 303 10.5.7 Beschaffung eines geeigneten Datensicherungssystems ....................................... 304 10.5.8 Datensicherung bei mobiler Nutzung eines IT-Systems ....................................... 305 10.5.9 Verpflichtung der Mitarbeiter/innen zur Datensicherung ...................................... 307 10.6 Netzsicherheit ........................................................................................................... 307 10.6.1 Sicherstellung einer konsistenten Systemverwaltung ............................................ 307 10.6.2 Ist-Aufnahme der aktuellen Netzsituation ............................................................. 308 10.6.3 Analyse der aktuellen Netzsituation ...................................................................... 309 10.6.4 Entwicklung eines Netzkonzeptes ......................................................................... 310 10.6.5 Entwicklung eines Netzmanagementkonzeptes ..................................................... 312 10.6.6 Sicherer Betrieb eines Netzmanagementsystems .................................................. 313 10.6.7 Sichere Konfiguration der aktiven Netzkomponenten .......................................... 314 10.6.8 Festlegung einer Sicherheitsstrategie für ein Client-Server-Netz .......................... 315 10.6.9 Wireless LAN (WLAN) ........................................................................................ 318 10.6.10 Remote Access (VPN) - Konzeption .................................................................. 321 10.6.10.1 Durchführung einer VPN-Anforderungsanalyse .............................................. 323 10.6.10.2 Entwicklung eines VPN-Konzeptes ................................................................. 325 10.6.10.3 Auswahl einer geeigneten VPN-Systemarchitektur .......................................... 331 10.6.11 Remote Access (VPN) - Implementierung .......................................................... 340 10.6.11.1 Sichere Installation des VPN-Systems ............................................................. 341 10.6.11.2 Sichere Konfiguration des VPN-Systems ......................................................... 342 11

10.6.12 Sicherer Betrieb des VPN-Systems ..................................................................... 343 10.6.13 Entwicklung eines Firewallkonzeptes ................................................................. 346 10.6.14 Installation einer Firewall .................................................................................... 350 10.6.15 Sicherer Betrieb einer Firewall ........................................................................... 351 10.6.16 Firewalls und aktive Inhalte ................................................................................ 353 10.6.17 Firewalls und Verschlüsselung ............................................................................ 354 10.6.18 Einsatz von Verschlüsselungsverfahren zur Netzkommunikation ....................... 355 10.7 Betriebsmittel und Datenträger .............................................................................. 358 10.7.1 Betriebsmittelverwaltung ....................................................................................... 358 10.7.2 Datenträgerverwaltung ........................................................................................... 360 10.7.3 Datenträgeraustausch ............................................................................................. 361 10.8 Informationsaustausch / E-Mail ............................................................................. 363 10.8.1 Richtlinien beim Datenaustausch mit Dritten ....................................................... 363 10.8.2 Festlegung einer Sicherheitspolitik für E-Mail-Nutzung ....................................... 364 10.8.3 Regelung für den Einsatz von E-Mail und anderen Kommunikationsdiensten ...... 366 10.8.4 Sicherer Betrieb eines Mail-Servers ...................................................................... 369 10.8.5 Einrichtung eines Postmasters ............................................................................... 371 10.8.6 Geeignete Auswahl eines E-Mail-Clients/Server .................................................. 371 10.8.7 Sichere Konfiguration der Mailclients .................................................................. 373 10.8.8 Verwendung von WebMail externer Anbietern .................................................... 373 10.9 Internet-, Web, E-Commerce, E-Government ...................................................... 375 10.9.1 Richtlinien bei Verbindung mit Netzen Dritter (Extranet) .................................... 375 10.9.2 Erstellung einer Internet-Sicherheitspolitik ........................................................... 376 10.9.3 Festlegung einer WWW-Sicherheitsstrategie ........................................................ 379 10.9.4 Sicherer Betrieb eines WWW-Servers .................................................................. 380 10.9.5 Sicherheit von WWW-Browsern ........................................................................... 382 10.9.6 Schutz der WWW-Dateien .................................................................................... 388 10.9.7 Einsatz von Stand-alone-Systemen zur Nutzung des Internets .............................. 390 10.9.8 Sichere Nutzung von E-Commerce bzw. E-Government Applikationen ............... 390 10.9.9 Portalverbundsystem in der öffentlichen Verwaltung ........................................... 392 10.10 Protokollierung und Monitoring .......................................................................... 393 10.10.1 Erstellung von Protokolldateien .......................................................................... 393 10.10.2 Datenschutzrechtliche Aspekte bei der Erstellung von Protokolldateien ............. 395 12

10.10.3 Kontrolle von Protokolldateien ........................................................................... 396 10.10.4 Rechtliche Aspekte bei der Erstellung und Auswertung von Protokolldateien zur E-Mail- und Internetnutzung ...................................................................................... 397 10.10.5 Audit und Protokollierung der Aktivitäten im Netz ............................................ 399 10.10.6 Intrusion Detection Systeme ............................................................................... 402 10.10.7 Zeitsynchronisation .............................................................................................. 403

11 Zugriffskontrolle, Berechtigungssysteme, Schlüssel- und Passwortverwaltung ...................................................................................... 404
11.1 Zugriffskontrollpolitik ............................................................................................. 404 11.1.1 Grundsätzliche Festlegungen zur Rechteverwaltung ............................................. 404 11.2 Benutzerverwaltung ................................................................................................. 405 11.2.1 Vergabe und Verwaltung von Zugriffsrechten ...................................................... 405 11.2.2 Einrichtung und Dokumentation der zugelassenen Benutzer/innen und Rechteprofile ..................................................................................................................... 406 11.2.3 Organisatorische Regelungen für Zugriffsmöglichkeiten in Vertretungs- bzw. Notfällen ........................................................................................................................... 408 11.3 Verantwortung der Benutzer / Benutzerinnen ...................................................... 409 11.3.1 Regelungen des Passwortgebrauches .................................................................... 409 11.3.2 Bildschirmsperre .................................................................................................... 410 11.4 Fernzugriff ................................................................................................................ 411 11.4.1 Nutzung eines Authentisierungsservers beim Fernzugriff ..................................... 412 11.4.2 Einsatz geeigneter Tunnel-Protokolle für die VPN-Kommunikation .................... 414 11.4.3 Einsatz von Modems und ISDN-Adaptern ............................................................ 415 11.4.4 Geeignete Modem-Konfiguration .......................................................................... 417 11.4.5 Aktivierung einer vorhandenen Callback-Option .................................................. 418 11.5 Zugriff auf Betriebssysteme .................................................................................... 419 11.5.1 Sichere Initialkonfiguration und Zertifikatsgrundeinstellung ................................ 419 11.5.2 Nutzung der BIOS-Sicherheitsmechanismen ........................................................ 420 11.6 Zugriff auf Anwendungen und Informationen ...................................................... 421 11.6.1 Wahl geeigneter Mittel zur Authentisierung ......................................................... 422 11.6.2 Regelungen des Gebrauchs von Chipkarten .......................................................... 424 11.6.3 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen 426 .... 11.7 Mobile Computing und Telarbeit ........................................................................... 428 11.7.1 Mobile IT-Geräte ................................................................................................... 430 11.7.1.1 Laptop, Notebook ............................................................................................... 432 13

.......................................................... 460 12..und Datenträgertransports zwischen häuslichem Arbeitsplatz und Institution ....................Institution .....................7...........4 Wechselmedien und externe Datenspeicher (USB-Sticks................2 PDA (Personal Digital Assistant) ..................9 Sicherstellen der Integrität von Software .....................8 Regelung der Zugriffsmöglichkeiten von Telearbeiter/innen .........................................................7.........1 Sicherheit im gesamten Lebenszyklus eines IT-Systems .................. 465 12..................................................1.............. 476 12........2 Durchführung einer Risikoanalyse und Festlegung der ITSicherheitsanforderungen ............ 454 11................................7..............5 Geeignete Aufbewahrung dienstlicher Unterlagen und Datenträger .......... 452 11.........und Wartungskonzept für Telearbeitsplätze ................ 450 11.........................................12 Vertretungsregelung für Telearbeit ........7.........................10 Sicherheitstechnische Anforderungen an den Kommunikationsrechner ............................... 456 11..................................................... 479 12....... 440 11.....1......8 Installation und Konfiguration von Software .......................... 454 11. 459 12 Sicherheit in Entwicklung...................................11........7........ 451 11.........1..........1.1..............6 Betreuungs.........................................7....10 Lizenzverwaltung und Versionskontrolle von Standardsoftware ..................1. 445 11.3 Mobiltelefon.........7..... 472 12.........7.........................1...........7 Geregelte Nutzung der Kommunikationsmöglichkeiten ......... 436 11......................7.......... 461 12.... 480 12................................................ 474 12.................9 Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner.............1............. 448 11........7..........5 Entwicklung eines Testplans für Standardsoftware ...........3 IT-Sicherheit in Design und Implementierung ......1 IT-Sicherheit in der System-Anforderungsanalyse ............... 481 14 ...............................7.................... Smart Phone ....................1............. 469 12........ 451 11.................................................. 448 11...........13 Entsorgung von Datenträgern und Dokumenten ......2 Geeignete Einrichtung eines häuslichen Arbeitsplatzes .................................. 459 11............................... Betrieb und Wartung eines IT-Systems .............................11 Informationsfluss.....................................................7...1...... 467 12......................4 Regelung des Dokumenten.....................................11 Deinstallation von Software .......................................6 Testen von Software ................ DVDs) ...4 Entwicklungsumgebung .....3 Regelungen für Telearbeit ..................................................7....7 Abnahme und Freigabe von Software .....................................1....................... Meldewege und Fortbildung .............................1.......................... -Platten..... CDs.......................1....................................................7................................. 478 12..................................... 457 11..........................................7....................... 471 12..1.......

........................................ sicherheitsrelevante Ereignisse (Incident Handling) ....................... 506 12................................................3....9 Zertifizierungsdienste ..und -Änderungskonzept . 493 12.........................2 Nutzungsverbot privater Hard..............4.............. 485 12............................................................ 514 12..... 504 12..............1 Nutzungsverbot nicht-freigegebener Software ..........................7.................1 Entwicklung eines Kryptokonzepts .......7........................... 511 12..............................4 Auswahl eines geeigneten kryptographischen Produktes .......................1 Beachtung des Beitrags der Zertifizierung für die Beschaffung ...............7 Wartung ...................................3 Überprüfung des Software-Bestandes ................ 519 13 Sicherheitsvorfälle bzw.....5 Sicherheit von Systemdateien ......2....5.....................................................3..............1...6............................................1 Reaktion auf Sicherheitsvorfälle bzw........6..................................8 Einsatz elektronischer Signaturen ........... 487 12...... 489 12.................... 481 12............................7........5 Update/Upgrade von Soft...............................3 Auswahl eines geeigneten kryptographischen Verfahrens .. 491 12.................................. 483 12.........und Software-Komponenten .......3 Fernwartung .......................................................... 489 12...........................12......................................6...........................................6....................6.....6.2 Sorgfältige Durchführung von Konfigurationsänderungen ....und Hardware im Netzbereich .....................................2 Regelungen für externe Wartungsarbeiten ........... 516 12....................................... 498 12....................................................1 Verifizieren der zu übertragenden Daten vor Weitergabe ....................................................................................................................3.........3 Einsatz von Software ................ 505 12........................................3.................... 484 12..6 Einsatz kryptographischer Maßnahmen ........... 489 12............. 481 12.................2 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte........................... 487 12........................................... 513 12.................. 515 12........................................................... 517 12..............1 Regelungen für Wartungsarbeiten im Haus ..................3..........6 Physikalische Sicherheit von Kryptomodulen ..2 Evaluierung und Zertifizierung ..5 Regelung des Einsatzes von Kryptomodulen ........... 521 15 ................................... 495 12............ 483 12...................................4 Update von Software ...................................6 Software-Pflege..5............................................................................6.. 501 12..................................................................3.................7.......................................4 Korrekte Verarbeitung ................................................................. 521 13................................................... 521 13..7 Schlüssel-Management ........................... 486 12.......................6.. 485 12.......... Informationssicherheits-Ereignisse (Incident Handling) ............................................4 Wartung und administrativer Support von Sicherheitseinrichtungen .1 Überlegungen zu Informationssicherheits-Ereignissen ... 484 12.....6..........1 Systemdateien .........

...... 550 14........................1.......1.1..............................1.......................................................................................................... 526 13....1..............1........................................... 531 13.............1.4 Prioritäten bei der Behandlung von Sicherheitsvorfällen .. 523 13................................................ 543 14.............................8 Alarmierungsplan ..............................2 Erstellung einer Übersicht über Verfügbarkeitsanforderungen ..................... 546 14.....1.......................1.....1.............................10 Ersatzbeschaffungsplan ......1..... 557 15 Security Compliance ................1.....1... 552 14.......1 Definition von Verfügbarkeitsklassen .................3 Benennung einer/eines Notfall-Verantwortlichen ................ 548 14. 554 14.......................................................................... 537 13..................... 551 14.................................................. 559 15....................................8 Nachbereitung von Sicherheitsvorfällen (Lessons Learned) .....9 Erstellung eines Wiederanlaufplans ... 533 13......................................................................................... 559 15........................................................12 Abschließen von Versicherungen .....................................6 Behebung von Sicherheitsvorfällen .....................................6 Regelung der Verantwortung im Notfall ............ 528 13...................... 539 14 Disaster Recovery und Business Continuity ....1 Durchführung von Disaster Recovery Übungen ... 543 14........1........................5 Definition des eingeschränkten IT-Betriebs (Notlaufplan) .......................................................................1...............................................................2...................................................................1.........2 Festlegung von Verantwortlichkeiten bei Informationssicherheits-Ereignissen .............................................. 560 16 ... 544 14.......................................... 552 14...........2...................................... 556 14.....1........................... 548 14.......1 Security Compliance Checking und Monitoring ......1..13 Redundante Leitungsführung .............................1....4 Erstellung eines Disaster Recovery Handbuches .................7 Untersuchung interner und externer Ausweichmöglichkeiten ............2 Überprüfung auf Einhaltung der Sicherheitspolitiken .................................. 556 14........1.11 Lieferantenvereinbarungen .14 Redundante Auslegung der Netzkomponenten .2 Übungen zur Datenrekonstruktion ...........2 Umsetzung und Test .1 Einhaltung von rechtlichen und betrieblichen Vorgaben ........7 Eskalation von Sicherheitsvorfällen ........................................................................................................................................................................ 559 15. 547 14..13....................... 543 14.5 Meldewege bei Sicherheitsvorfällen ........................................................3 Erstellung eines Incident Handling Plans und Richtlinien zur Behandlung von Sicherheitsvorfällen ..........1 Security Compliance Checking und Monitoring ........1.... 546 14............................ 549 14...............................9 Computer Emergency Response Team (CERT) ......................... 555 14.......1...............1..................................................................................... 529 13...................1..............

.. 567 A..........2..........2...............2.......................1 Beschreibung der generellen Anforderungen .............................2 Rechtlicher Hintergrund .1........................................... 586 A. 564 15.................................................................... 560 15...........4.......2 MOA SP ............................................................ 568 A.............2 Tunneling .....3 Auswertung von Protokolldateien ...............................................1 MOA-ID Identifikation .................................4 Integritätsschutz ........................Signaturprüfung (MOA SP) / MOA SS ......................3...........................3 Ausstellung einer Sicherheitsunbedenklichkeitsbescheinigung ..............5 Durchführung von Sicherheitskontrollen in Client-Server-Netzen ...............6 Digitale Signaturen.............................2 Personenkennzeichen und Stammzahlen ................... 587 A...........................................7 Fortlaufende Überwachung der IT-Systeme (Monitoring) ................1............................1... 586 A....... 584 A..............3 Vollmachten .................1... 562 15............ 580 A..........3...............................................................Amtssignatur ..................1..8 Schlüsselverteilungszentralen ............1 Industrielle Sicherheit .... 592 A.......................... 583 A...2 Österreichische Sicherheits........................................................... 600 17 .........................................1... 574 A.....................................3.................. 599 A........... 586 A........1..15.....2.............1....3.................................Zustellung .... 575 A................................ 598 A...........2................. 580 A........1..2 Sicherheitstechnologien ...........................1.......3 MOA ZS .........................................1.........................................6 Kontrollgänge .....1................1............................................ Elektronische Signaturen ...............................................................5 Portalverbund .................................. 563 15...............1...... 578 A.....3............. 594 A..............................................5 Authentizitätsnachweise ...........1 Konzept und Funktionen der Bürgerkarte ......1...................1................................................und Verteidigungsdoktrin – Teilstrategie IKTSicherheit ................2................2...........................................4 Module für Online Applikationen (MOA) .........3...................................................1.3 Sicherheitsfunktionen für E-Government in Österreich ..............1 Elemente der Kryptographie ..............................2...1............................................1... 595 A....................... 586 A............. 565 A..1 Kryptographische Methoden ....................................3........ 583 A...1........1................................................2 Kryptographische Grundziele .........................4...............4............................................ 567 A.............................. 584 A...........Signaturerstellung am Server .............1......7 Schlüsselmanagement ......................1...4 MOA AS ....................3 Verschlüsselung .4 Kontrolle bestehender Verbindungen ......1.4..................................................... 567 A..1.................................2....................3.............................................1...............................................................1..........................................................................1. 571 A.1...................................................................1 Sicherheitsszenarien ....2................................. 573 A................1.....3....... 581 A..................1..............

......................................................................................2 Referenzdokumente .............6 Anpassung der Infrastruktur im Zuge der Virtualisierung .................. Vernichtung von Akten und Daten ..................................................................................................................... 615 A............. 626 628 628 629 629 C......... 649 18 .....................................5 Rollen und Verantwortlichkeiten bei der Virtualisierung ................... 616 A................ Informationssicherheit und IT-Sicherheit .....................................................................3................................................ 611 A....2........................................................................................................................................... Verpflichtungserklärungen und Dokumentationen ............................ 603 A.....................................2.........................................................3........................... 625 C.......................................... 614 A....A...2......................................... 643 Gesetzestexte .2..............2.......................... 617 A. 609 A......2........................... Sicherheitstüren und einbruchhemmende Türen .......3.................7 Aufteilung der Administrationstätigkeiten bei Virtualisierungsservern ..........................10 Erstellung eines Notfallplans für den Ausfall von Virtualisierungskomponenten ........... 605 A............................2 Anwendungen der Virtualisierungstechnik ........................................................1 Tunnel-Protokolle für die VPN-Kommunikation ..................................................................................9 Sicherer Betrieb virtueller Infrastrukturen ...........................3...........................3 Virtualisierung .. Wertbehältnisse ..........3........2........................ 621 B Muster für Verträge....................................................... 603 A............. 600 A............3...............................................................................1 Wichtige Normen .4 Planung ......................................................................3........................2.............................2.....................8 Sichere Konfiguration virtueller IT-Systeme ............................3......................... 619 A.............3.2.........3 Gefährdungen in Zusammenhang mit Virtualisierung .......................... 643 IKT-Board Beschlüsse ..............................2......................2......2..........3..........1 Einführung in die Virtualisierung ............................... 645 F Wichtige Adressen ............. 639 E Referenzierte IKT-Board Beschlüsse und Gesetze ..................... 626 Brandschutz .......

eine eigenständige.Austria (A-SIT) durch. Zusätzlich eignet sich das neue Informationssicherheitshandbuch auf Grund seiner neuen Struktur als konkrete Implementierungshilfe für nationale (E-Government) und internationale Normen (z. 19 . umfassende und dennoch kompakte Darstellung von Risken. die gerade in der Informationsverarbeitung besonders wichtig ist. Die grundlegende Überarbeitung und Aktualisierung seit der letzten Fassung aus 2007 führte das Bundeskanzleramt in Kooperation mit dem Zentrum für sichere Informationstechnologie . Methodisches Sicherheitsmanagement ist zur Gewährleistung umfassender und angemessener Informationssicherheit unerlässlich. Die nun erstmals ausschließlich elektronische Umsetzung in Verbindung mit einer kontinuierlichen Wartung durch definierte Autorengruppen mit fachspezifischen Anforderungen ermöglicht eine Tagesaktualität. dass weite Bereiche des täglichen Lebens ohne den Einsatz von informationstechnischen Systemen heute nicht mehr funktionsfähig sind. Dazu wurden Maßnahmenbausteine entwickelt. Diese Überarbeitung basiert einerseits auf aktuellen internationalen Entwicklungen im Bereich der Informationssicherheit und andererseits auf Kooperationen mit dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem schweizerischen Informatikstrategieorgan des Bundes (ISB). Aufbau und Inhalt orientieren sich nun nach internationalen Vorgaben und erleichtern damit die Umsetzung von Vorgaben aus der ISO/IEC 27000 Normenreihe. welche für österreichische Institutionen relevant sind. Das nun neu überarbeitete und neu strukturierte „Österreichische Informationssicherheitshandbuch“ beschreibt und unterstützt die Vorgehensweise zur Etablierung eines umfassenden Informationssicherheits-Managementsystems in Unternehmen und der öffentlichen Verwaltung. ISO/IEC 27001 und 27002) in der öffentlichen Verwaltung und der Privatwirtschaft. Der Aufbau des neuen Informationssicherheitshandbuchs ermöglicht auch die Berücksichtigung von Querschnittsmaterien nach Vorgabe durch Fachbereiche aus Verwaltung und Wirtschaft. Unterstützt werden auch eigene. rückt die Frage nach der Sicherheit der Informationen und der Informationstechnologie zunehmend in den Brennpunkt des Interesses. lokale Versionen.B. wobei weiterentwickelte zentrale Bausteine mit Hilfe automatischer Updates eingespielt werden können. weiter ausgebaut. Dabei wird die bisherige Stärke des Österreichischen Sicherheitshandbuchs. die sowohl von der öffentlichen Verwaltung als auch der Wirtschaft zielgruppenorientiert und einfach verwendet werden können. denen Informationen ausgesetzt sind und Gegenmaßnahmen.Zum Geleit Die Tatsache.

20 .Österreich besitzt mit dem "Österreichischen Informationssicherheitshandbuch" ein anerkanntes Standardwerk zur Informationssicherheit. das sich an internationalen Vorgaben orientiert und durch seine Kompaktheit auszeichnet. Es leistet einen wesentlichen Beitrag zur Erstellung und Implementierung von umfangreichen Sicherheitskonzepten in der öffentlichen Verwaltung und versteht sich als Hilfestellung für die Wirtschaft.

Auf Grund der fortschreitenden Entwicklung der Informationstechnologie wird es ein andauender Prozess sein. Die markantesten Neuheiten sind: • • • • • • Die bisherige Struktur mit 2 Teilen wurde an die Struktur der Normen ISO/IEC 27001 und 27002 angepasst: Es gibt jetzt einen Teil mit 15 Abschnitten und einer Reihe von Anhängen. Die technische Realisierung unterstützt nun unterschiedliche Sprachen. um die Aktualität sicherzustellen. Feedbacks zum Sicherheitshandbuch können Sie ganz einfach per E-Mail senden an: siha@a-sit. Gleichermaßen werden unterschiedliche Textversionen zum gleichen thematischen Inhalt für verschiedene Zielgruppen unterstützt und entwickelt. Damit kann das Sicherheitshandbuch international genutzt werden. dem bewährten Österreichischen Informationssicherheitshandbuch nicht nur neue Inhalte.Vorwort und Management Summary Zur Version 3 des Informationssicherheitshandbuchs Herzlich willkommen bei der Lektüre der Version 3 des Österreichischen Informationssicherheitshandbuchs. Damit können "eigene" Sicherheitshandbücher und -policies erarbeitet werden. Unbeschadet dessen sind wir für Feedbacks der Leser und Anwender dankbar.at 21 . Damit wird der Einsatz als Implementierungshilfe für ein ISMS gemäß ISO/IEC 27001 erleichtert. Die nun vorliegende Version 3.und Checklisten mit eigenen Kommentaren. bestehend aus Bausteinen der bisherigen zweiteiligen Version und neu verfassten Inhalten. Ein Update-Mechanismus vergleicht lokal ergänzte Themen mit allfälligen Änderungen in der zentralen Wissensbasis. jeweils aktuelle Themen und Aspekte in das Informationssicherheitshandbuch einzubringen. Eine moderne Web-Benutzeroberfläche erleichtert die Erarbeitung von lokal erzeugten Auswahl. Die inhaltliche Wartung erfolgt nun kontinuierlich.1 ist die erste Auflage in der neuen Struktur und bietet eine vollständige Wissensbasis. Sie sehen hier das Ergebnis eines ehrgeizigen internationalen Projekts mit dem Ziel. sondern auch neue Einsatzgebiete mit Hilfe von interaktiven Funktionalitäten zu geben.

Gehen sie uns verloren. Aus der Fülle möglicher Bedrohungen und der Fülle möglicher Gegenmaßnahmen methodisch diejenigen identifizieren zu helfen.die Palette reicht von geringfügig bis existenzbedrohend. dass wir damit einen richtigen Weg einschlagen. in den Schutz unserer Informationen zu investieren und was ist im speziellen Fall die optimale Lösung? Hier wird es schon differenzierter. Wir besitzen sie aus unterschiedlichen Gründen . welche für ein spezielles Szenario beachtet werden sollen bzw. wurde beim „Österreichischen Informationssicherheitshandbuch“ zunehmend dem steigenden Interesse aus der Wirtschaft Rechnung getragen. weil wir aus ihnen einen Vorteil ziehen. das sind die Projektpartner: • • • Bundeskanzleramt Österreich (BKA) Informatikstrategieorgan des Bundes (ISB). war von Beginn an die Zielsetzung dieses Handbuchs. weil ihre Kenntnis uns vor Schaden bewahrt und noch viel mehr. aber wie viel sind wir bereit. werden sie gestohlen. dennoch ist es der zentrale und immer wichtiger werdende Aspekt der Informationssicherheit. Niemand bestreitet das. 22 . dass Sie auch der Meinung sind. dann erleiden wir Schaden . Ausgehend von seiner ersten Version („IT-Sicherheitshandbuch für die öffentliche Verwaltung“). das zeigen entsprechende Umfragen immer wieder. Schweiz Zentrum für sichere Informationstechnologie . Wir. die sich am Sicherheitsbedürfnis öffentlicher Einrichtungen orientiert hat. wenn wir sie benötigen. Das ist zwar nichts Neues.Bleibt noch.als Projektverantwortliche Manfred Holzbach.Austria (A-SIT) .weil wir für ihre Verwahrung oder Verarbeitung Verantwortung tragen. sind sie falsch oder einfach nicht auffindbar. müssen. Ihnen für Ihr Interesse an der neuen Version zu danken und zu hoffen. redaktioneller Leiter Management Summary Mehr denn je ist uns bewusst: Informationen sind Werte.

obwohl die Mehrheit der Benutzer über die Gefahren Bescheid weiß.Weiterentwicklungen betreffen primär die Inhalte: Ist es doch die rasante Entwicklung im Bereich der Informationstechnologie (IT). ergänzt und ggf. Schulungsunterlagen ) erzeugt werden. sondern auch völlig neue Anwendungsgebiete wie z.sonst wären E-MailWürmer oder Phishing-Angriffe nicht so problematisch . Ein solches ist in ISO/IEC 27001 definiert als: 23 .sie entwickelt sich nicht so rasant weiter wie die Technik. Mit einer modernen Benutzeroberfläche kann sowohl einfach durch die Themen geblättert.es ist unerheblich wo sich der/die Nutzer/in gerade physisch befindet. welche sowohl in der öffentlichen Verwaltung als auch in der Privatwirtschaft zu bemerkenswerten Innovationsschüben führt.und Checklisten ( "eigene" Sicherheitshandbücher und -policies. Am Beispiel der Spam-E-Mails kann man erkennen. neu ausgerichtet wird. wie schnell ein zunächst harmlos erscheinendes Phänomen zu einem massiven Problem wurde. wenn "Cloud Computing" die geschäftliche und auch private Nutzung der Informationstechnologie durchdrungen haben wird. sowohl für die rechtmäßigen Besitzer/innen der Information wie auch für die potenziell unrechtmäßigen. Es werden unterschiedliche Sprachen unterstützt. die Umsetzung und die Aufrechterhaltung eines InformationssicherheitsManagementsystems (ISMS). Es gibt nicht nur immer wieder neue Technologien. Daher wurde die Kapitelstruktur weitgehende diesen Normen angepasst. auf „typische“ Verhaltensmuster ist Verlass . E-Government. um die Aktualität sicherzustellen. dass Information „ortslos“ wird . Kernelemente des Informationssicherheitshandbuchs sind der Aufbau. der besonderes Augenmerk zu schenken ist . Die inhaltliche Wartung erfolgt ab jetzt nun kontinuierlich. Die steigende Vernetzung führt dazu. Mit dieser Motivation wurden mit der nun vorliegenden Version 3 neue Wege beschritten: • • • • Ein wesentliches Einsatzgebiet ist die Implementierung der für Informationssicherheit wichtigen Normen ISO/IEC 27001 und 27002. Ein Sicherheitshandbuch erfüllt seinen Zweck nur.B. aber auch eigene Auswahl. Ein vorläufiger Höhepunkt dieser Entwicklung wird erreicht sein. wenn es regelmäßig der aktuellen Entwicklung Rechnung trägt und daher immer wieder überarbeitet. Zugleich steigt das Risikopotenzial weiter. und es wird in den Texten auf passende Normvorschriften hingewiesen. Und schließlich ist es immer noch die Person.

Im Informationssicherheitshandbuch wird darauf in den Kapiteln 2 und 24 . sondern zunächst aus dem Bewusstsein des Managements und der Mitarbeiter/innen einer Organisation. über das Ziel zu schießen: 100 % Sicherheit ist nicht erreichbar. Praktiken. also relevante Sicherheitsziele und strategien ermitteln. eine organisationsspezifische Informationssicherheits-Politik zu erstellen und spezifisch geeignete Sicherheitsmaßnahmen auswählen. enthält das Managementsystem die Struktur. Durchführen (Do): Umsetzen und Betreiben des ISMS. Prozesse und Ressourcen der Organisation. Instandhaltung und Verbesserung der Informationssicherheit abdeckt" bzw. Instandhaltung und Verbesserung eines Informationssicherheits-Managementsystems relevanten Anforderungen. Inhalt und Struktur des Informationssicherheitshandbuchs sind an die ISO/IEC Normen 27001 und 27002 angepasst: • ISO/IEC 27001 (Informationssicherheits-Managementsysteme – Anforderungen) beschreibt die für Einrichtung. der auf der Basis eines Geschäftsrisikoansatzes die Entwicklung. Umsetzung. für ihre Einhaltung sorgen und Informationssicherheit im laufenden Betrieb inklusive in Notfällen zu gewährleisten. also Sicherheitsmaßnahmen realisieren."Teil des gesamten Managementsystems. Schwachstellen und veränderte Umfeldbedingungen reagieren und die Ursachen für Gefährdungen beseitigen. das bedeutet auf erkannte Fehler. (ISO/IEC 27001. Verantwortung. Verfahren. Dies bedingt erneutes Planen. dass Informationen schützenswerte und gefährdete Werte für alle Beteiligten darstellen. wie viel man auch investiert. Überwachung. Überwachung. Überprüfung. Durchführung. Die für das Informationssicherheits-Managementsystem (ISMS) relevante Norm ISO/IEC 27001 beschreibt Informationssicherheit als "Kontinuierlichen Verbesserungsprozess" (KVP): • • • • Planen (Plan): Festlegen des ISMS. Planungsaktivitäten. Einhaltung der Sicherheitsmaßnahmen zu überprüfen. Grundsätze. Prüfen (Check): Überwachen und Überprüfen des ISMS auf seine Wirksamkeit. Handeln (Act): Instandhalten und Verbessern des ISMS. um sie zu erhalten. Überprüfung. aber auch Kenntnis über Vorfälle sowie üblicher Good-Practices zu erlangen. Sinnhaftigkeit. Daher sind auch kontinuierlich Anstrengungen und Kosten für Informationssicherheit in Kauf zu nehmen. Es ist aber auch bei der Informationssicherheit nicht sinnvoll. Durchführung. womit sich ein ständiger Kreislauf schließt. Implementierung. Begriffe 3.7) Informationssicherheit entsteht nicht von selbst aus Technik oder Know-How. das bedeutet Vorhandensein.

Literaturhinweise und Hilfsmittel wie Referenzen. Im Informationssicherheitshandbuch beziehen sich die Kapitel 4 bis 15 darauf und entsprechen in ihrer Thematik auch den Kapiteln der Norm. aber auch auf die durchgängige Einbeziehung des gesamten Lebenszyklus der jeweiligen Systeme. wie beispielsweise die "Industrielle Sicherheit" . ISO/IEC 27002 (Leitfaden für das Informationssicherheits-Management) beschreibt konkrete Empfehlungen für Aktivitäten zur Realisierung der Maßnahmenziele.. eingegangen. Informationssicherheit in einer Behörde.• 3 Bezug genommen: sie beschreiben den grundlegenden Vorgang. personeller. infrastruktureller und technischer Ebene beschrieben. 25 . In den Anhängen finden sich schließlich ausgewählte Technologie. Ein eigener Abschnitt im Anhang A beschreibt national relevante Sicherheitsmaßnahmen. Vorgaben entwickeln) zu können. Amtsgeheimnis. Verschlusssachenvorschriften. Es soll eine Ergänzung zu den bestehenden Regelungen und Vorschriften (Datenschutzgesetz. Regelungen und Rahmenbedingungen. einem Unternehmen zu etablieren und bieten konkrete Anleitungen den umfassenden und kontinuierlichen Sicherheitsprozess zu entwickeln. Damit können den spezifischen Bedrohungen angemessene Standardsicherheitsmaßnahmen für Informationssysteme und Informationen entgegengesetzt werden. die entsprechend den spezifischen Anforderungen und Bedürfnissen in einer Einsatzumgebung angepasst werden müssen. Ausrichtung und Umfang Von der Ausrichtung versteht sich das Informationssicherheitshandbuch nach wie vor als Sammlung von Leitlinien und Empfehlungen für die Praxis. Organisation bzw. . um sie auch in der Tiefe zu verstehen und Maßnahmen implementieren (etwa Produkte auswählen. die nicht in den ISO Normen abgedeckt sind.dargestellt wird hier die Unterstützung für die Erstellung einer Sicherheitsunbedenklichkeitsbescheinigung und eine Übersicht aller für industrielle Sicherheit relevanten Vorgabedokumente aus dem nationalen. Dies wird auch durch die Online-Funktionalitäten wie Checklisten unterstützt.) darstellen und setzt diese weder außer Kraft noch steht es zu ihnen im Widerspruch.und Szenariobeschreibungen sowie Musterdokumente. Es wird auch besonders auf die spezifisch österreichischen Anforderungen. Informationssicherheitsgesetz.. Sein Umfang soll nach wie vor zwei an sich gegenläufige Aspekte vereinen: • Die Themen sollen ausreichend konkret und detailliert dargestellt werden. EU.und NATO-Bereich. Es werden hier konkrete und detaillierte Einzelmaßnahmen mit Anleitungen zu ihrer korrekten Implementierung auf organisatorischer. von der Entwicklung bis zur Beendigung des Betriebs.

Im Informationssicherheitshandbuch wurde diesen internationalen Entwicklungen so weit wie möglich Rechnung getragen und auf einige dieser bewährten Quellen gegriffen. Bern. einheitliche methodische Vorgehensweisen zur Etablierung von Informationssicherheit sowie Standard-Maßnahmenkataloge zu erarbeiten." Hauptquellen und Danksagungen Schon lange wurden und werden auf nationaler und internationaler Ebene immer mehr Anstrengungen unternommen.• Es soll aber auch möglich bleiben. Informatikstrategieorgan des Bundes (ISB). zeitlichen und finanziellen Ressourcen auch erreicht werden kann. Wegen der immer höheren Abhängigkeit von Information gilt dies besonders für Risiken aus fehlender oder mangelhafter Informationssicherheit. einen systematischen und dauerhaften Sicherheits-Managementprozess zu etablieren. Ebenso etabliert ist die Arbeit von MELANI (Melde. Ausgesprochenen Dank sprechen wir den Organisationen und ihren maßgeblichen Partnern aus. sondern uns bei der Erarbeitung immer wieder mit Rat und Ermunterung unterstützt haben: • • 26 Bundesamt für Sicherheit in der Informationstechnik (BSI). die uns nicht nur ihre Zustimmung zur Nutzung ihrer Unterlagen gegeben. Bonn. Deutschland. Weiters waren auch die Vorgabedokumente der EU und NATO für Informationssicherheit maßgeblich. zu steuern und zu kontrollieren" "Ein angestrebtes Sicherheitsniveau macht nur dann Sinn. Abschließend drei Management-relevante Passagen (aus Kapitel 3): • • • "Zur Verantwortung der Management-Ebene gehört neben der Erreichung der geschäftlichen wie unternehmenspolitischen Ziele auch der angemessene Umgang mit Risiken. wenn es sich wirtschaftlich vertreten lässt und mit den verfügbaren personellen. Sie müssen so früh als möglich erkannt. Luxembourg ) in Luxemburg.und Analysestelle Informationssicherung) in der Schweiz und CASES (Cyberworld Awareness Security Enhancement Structure. wie dann in den einzelnen Textbausteinen auch angeführt." "Es ist daher eine Management-Verantwortung. das Gesamtwerk oder größere Teile am Stück zu lesen. bewertet und durch Setzen geeigneter und nachhaltiger Maßnahmen auf einen minimalen und akzpetierten Rest reduziert werden. Davon sind die Normenreihe ISO/IEC 27000 und der Grundschutz des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) wohl die bekanntesten und bedeutendsten. Schweiz. . eingeschätzt.

Luxembourg 27 .• Ministére de l'Economie et du Commerce extérieur.

Dabei wurde allerdings auf die die gebotene Kompaktheit geachtet."was gibt es dazu. -medien.1. und eignet sich daher sowohl als Basis für Schulungs. hat das Potenzial zielgruppengerecht unterschiedlicher Textierungen. umgesetzt und und eingehalten werden sollen .1 Das Informationssicherheitshandbuch 1.und Weiterbildungsmaßnahmen bzw.und Checklistenfunktionalität etwa. andererseits bietet es eine Auswahl an Möglichkeiten und Entscheidungskriterien für die Implementierung in der Praxis. worauf ist zu achten" Hier ermöglicht es die Auswahl. . Instrument zur Schulung und Weiterbildung: • • • • 28 Die Wissensbasis stellt insgesamt ein ganzheitliches und dennoch kompaktes und ganzheitliches Werk zur Informationssicherheit dar. die ausgewäht.1 Ziele des Informationssicherheitshandbuchs Das Österreichische Informationssicherheitshandbuch positioniert sich in der Mitte zwischen den normativen Vorgaben der ISO/IEC Normen 27001 / 27002 und verwandter Standards sowie der Fülle an sehr detaillierten Leitfäden und Handbüchern zur Informationssicherheit."welche Überlegungen sind anzustellen. welche Aktivitäten sind zu planen und zu entscheiden. Einerseits ist es durchaus im Stil einer Vorschrift formuliert. um notwendige Überlegungen und Maßnahmen klar und unzweifelhaft zu darzustellen. sicherstellen und ggf. um den Sicherheitsmanagement-Prozess zu etablieren und aufrecht zu erhalten: .1 Einführung 1. wo ist Kontrolle nötig" einen Katalog von konkreten Sicherheitsmaßnahmen. eignet sich auch zum Lesen bzw. beispielsweise den GrundschutzStandards und -Bausteinen des BSI. Das Sicherheitshandbuch bietet dazu: • • Gemäß der Norm geordnete Interpretation der Vorgaben und Prozessbeschreibungen. Durcharbeiten "am Stück". sowohl modular wie im Ganzen. auch zertifizieren lassen. ein "maßgeschneidertes" Sicherheitshandbuch abzuleiten und in Kommentaren die tatsächlich notwendigen Maßnahmen zu beschreiben. wie wird es gemacht. Implementierungshilfe zu ISO/IEC 27001: Viele Organisationen müssen oder wollen IT-Sicherheit gemäß der Norm ISO/IEC 27001 und nachgelagerter Normen etablierten bzw.

Letzteres wurde vor allem als Wunsch der Wirtschaft geäußert. dass das Österreichische Informationssicherheitshandbuch auch in anderen Ländern beachtet wird. Wenn auch ein Schwerpunkt auf IT-gestützter Information liegt.1.2 Scope Inhaltlich behandelt das vorliegende Handbuch den gesamten Bereich der Informationssicherheit. die Möglichkeit für länderspezifische Varianten .wobei Basiswissen gemeinsam verwaltet werden soll .und Darstellungsmodulen wurde dem Rechnung getragen.1.1. Es hat sich gezeigt.zu schaffen. aber auch einfach zur Selbstkontrolle können die notwendigen Schritte und Maßnahmen ausgewählt und dann mit der Checklistenfunktion der Grad der Erfüllung mitsamt Begründungen festgehalten werden. die Verwendung und Verbreitung des Informationssicherheitshandbuchs zu fördern. Wichtigstes Ziel der Neuauflage ist selbstverständlich. Hilfsmittel für Self-Checks: Als Hilfsmittel für Audits. sowie auch als schriftliche.3 nach flexiblerer Themenauswahl sowie der Möglichkeit zur Formulierung zielgruppengerechter Textierungen. 29 . 1. zum anderen von Erfahrungen und Wünschen der Benutzer/Benutzerinnen der bisherigen Version 2. Speziell aus der Schweiz kam der Vorschlag. gilt sinngemaß auch beispielsweise für Schulen. 1.Dafür kann der Inhalt mit der Auswahl.1 Ziele der Version 3 Der Relaunch als Version 3 ist motiviert einerseits von der Entwicklung und steigenden Bedeutung der Normenreihe ISO/IEC 27001 / 27002. Mit einer Neugestaltung der Datenstruktur und neu entwickelten Zugriffs.und Checklistenfunktionalität auf die relevanten Themen eingeschränkt und in den Kommentaren etwa Fragen und Antworten dargestellt weren. Somit kam es auch zur Mitwirkung des schweizerischen ISB am Relaunch-Projekt. Damit verknüpft ist konsequenterweise die Mehrsprachigkeit. wird Information dennoch umfassend gesehen: in elektronisch gespeicherter oder übertragener Form. gesprochene oder bildhaft dargestellte Informationen.

Regelungen und Rahmenbedingungen eingegangen.allerdings keine 1:1 Entsprechung auf der Ebene der einzelnen Details (Textbausteine). Organisation bzw. Ausnahmen gibt es allerdings dort. Informationssicherheit in einer Behörde. Überprüfung.und Markennamen vermieden. Ist es doch ein Zeil des Handbuchs. Sie entsprechen in ihrer Reihenfolge und generellen Thematik den Empfehlungen gemäß ISO/IEC 27002 bzw.und Lösungspotenzial aus der und für die Praxis zu geben. Durchführung. Überwachung. 8): es handelt sich um den grundlegenden Vorgang. der Aktivitäten zu ihrer Umsetzung und Einhaltung . infrastruktureller und technischer Ebene. Sie erörtern konkrete und detaillierte Einzelmaßnahmen und Anleitungen zu ihrer korrekten Implementierung wärend ihres gesamten Lebenszyklus auf organisatorischer. 30 . den umfassenden und kontinuierlichen Sicherheitsprozess zu entwickeln. dem Anhang zu ISO/IEC 27001 . wie Brandschutz. 5. kostenlos angeboten wird.Betrachtet werden dabei auch die Sicherheit von Hardware und Software. einem Unternehmen zu etablieren und bieten konkrete Anleitungen.1. Es wird allerdings auch auf spezifisch österreichische Anforderungen.3 Neuheiten der Version 3 Struktur Anpasssung an ISO/IEC 27001 / 27002: Anstelle der bisher 2 Hauptteile (Sicherheitsmanagement und Sicherheitsmaßnahmen) gibt es jetzt nach dem Management-Summary 15 Abschnitte und eine Reihe von Anhängen: • • • Abschnitt 1 ist eine Einführung sowohl für die Handhabung des Handbuchs als auch in die grundsätzliche Thematik. Abschnitte 2 und 3 beschreiben die für Einrichtung. Umsetzung. sowie organisatorische. bauliche und personelle Fragen. Die Abgrenzung zu verwandten Gebieten. Abschnitte 4 bis 15 beschreiben die konkreten Sicherheitsmaßnahmen. wo die Durchdringung so groß ist. Sicherheit von kritischen Infrastrukturen oder Datenschutz kann nicht immer eindeutig sein. Empfehlungen für bestimmte Produkte werden nicht gegeben. 1. Problem. die zur Speicherung. personeller. 7. inkl. Instandhaltung und Verbesserung eines Informationssicherheits-Managementsystems relevanten Anforderungen gemäß ISO/IEC 27001 4. dass das Produkt schon ein Synonym für die Implementierung darstellt. oder ein Produkt ausgesprochen spezifische Sicherheitseigenschaften aufweist bzw. soweit sie in direktem Zusammenhang mit der Sicherheit von IKT-Systemen und den von ihnen verarbeiteten Informationen stehen. Objektsicherheit. und nach Möglichkeit werden Produkt. oft gibt es Überschneidungen zwischen den einzelnen Themen. Verarbeitung und Übertragung von Informationen dient. 6.

Damit geht eine neue Nummerierung der Kapitel und Textbausteine einher. PDF) umgewandelt werden können. "Umgang mit Vermögenswerten". Management / Watungspersomal / Benutzer/innen) entwickelt.Bezüge zu den jeweils zugehörigen Kapiteln der ISO/IEC Normen 27001 und 27002 dargestellt. Damit werden zielgruppenorientierte Darstellungen unterstützt. Filteroptionen werden sowohl für Einsatzgebiete (z. die mittels geeigneter Transformationen in andere gängige Darstellungs.• • In den einzelnen Themenbausteinen werden . Mit Filteroptionen werden auch unterschiedliche Sprachen ermöglicht. bzw. Inhalte • • Um alle Themen laut ISO/IEC 27001 / 27002 abzudecken. Themenbausteine etwa zu "Outsourcing". "Internen Audits". In den Anhängen finden sich ausgewählte Szenarien und Technologien losgelöst von zu setzenden Maßnahmen.B. "Verbesserungsprozess" Neue und geänderte Themenbausteine zu veränderten Technologien oder Gefährdungen werden nunmehr kontinuierlich eingearbeitet. Die Datenbasis besteht aus einem Satz von XML (extended Markup Language) Dateien.soferne zutreffend . Government / Wirtschaft ) als auch für Rollen Leserkreise(z. Datenbasis (Online Version) • • • • • Jeder Textbaustein kann künftig in mehreren unterschiedlichen Ausprägungen (Formulierungen. Gesetzen und verwandter Literatur sowie Quellenhinweise. Er bietet als Hauptfunktionalitäten: 31 .B. gibt es nun neue Kapitel bzw. sondern Gegenstand von Vereinbarungen (in zentralen Autorengruppen oder individuellen Impelementierungen) und damit flexibel für Erweiterungen. Referenzen zu Normen. Die Filterregeln sind nicht a priori festgeschrieben. Muster für Verträge.(HTML) oder Textformate (RTF. Anweisungen. Vereinfachungen) vorhanden sein und mittels Filteroptionen ausgewählt werden. obsolete eleminiert. Links zu österreichischen Gesetzen führen direkt zum entsprechenden Gesetzestext im Rechtsinformationssystem ( RIS). Funktionalität (Online Viewer) Der neu entwickelte Online Viewer läuft in einem Standard-Browser und benötigt abgesehen vom Vorhandensein einer Javascript-Unterstützung keine Installation.

das ist eine individuelle Auswahl mit der Möglichkeit. Verträglichkeiten.Es finden sich hier die grundlegenden Prinzipien. das heißt einer individuelle Auswahl von Themen (ganze Kapitel. Rollen. Die internationale Normenfamillie ISO/IEC 27000 gibt einen allgemeinen Überblick über Managementsysteme für Informationssicherheit (ISMS) und über die Zusammenhänge ihrerverschiedenen Einzelnormen.oder Checklisten aktuell gehalten werden: • • • Die lokale Liste enthält mehrere Kapitel oder Bausteine aus der Wissensbasis. Einsatzgebiete für Auswahl. Statusberichte (Erfüllungsgrad von Maßnahmen). können die neuen Versionen aus der Wissensbasis in die lokale Liste übernommen werden. Beim Blättern in der Liste wird ein entsprechender Warnhinweis gegeben. die sich inzwischen geändert haben könnten (anhand ihrer jeweiligen Versionsnummer). pro Textbaustein Checkboxen anzukreuzen sowie Kommentare zu verfassen und lokal abzuspeichern. Konzepte.1.• • • • • • Blättern (Browse) im Sicherheitshandbuch: Das kann seriell vom Anfang bis zum Ende.oder Checklisten in PDF-Textdateien. Sie kann lokal abgespeichert und wieder geladen werden. Filteroptionen für Einsatzgebiete. Transformation von Auswahl. aber auch durch gezielten Sprung auf Kapitel oder Textbausteine erfolgen. Leserkreise sowie unterschiedliche Sprachen. Wenn gewünscht.oder Checklisten (Online Version).4 Quellen. Zusammenstellung einer Liste.oder Checklisten sind beispielsweise das Erstellen eigener Policies. SelfChecks und Querschnittsmaterien. 32 . Branchen. Unterkapitel oder Textbausteine) . Druck von Auswahl. Abgrenzungen Normenfamilie ISO/IEC 27000 Aufgrund der Komplexität von Informationstechnik und der Nachfrage nach Zertifizierung sind in den letzten Jahren zahlreiche Anleitungen. Begriffe und Definitionen für solche Managementsysteme. Zusammenstellung einer Checkliste. 1. Standards und nationale Normen zur Informationssicherheit entstanden. Schulungsunterlagen. Update Funktion Mit ihrer Hilfe können lokal abgespeicherte und verwendete Auswahl.

Information security management systems requirements specification" ist der erste internationale Standard zum Informationssicherheitsmanagement. ISO/IEC 27002 (vormals ISO 17799) "Information technology – Code of practice for information security management" befasst sich als Rahmenwerk für das Informationssicherheitsmanagement hauptsächlich mit den erforderlichen Schritten. Alle Standards dieser Reihe behandeln verschiedene Aspekte des Sicherheitsmanagements und beziehen sich auf die Anforderungen der ISO/IEC 27001. Weitere Standards der ISO/IEC 27000 Reihe: Langfristig wird die Normenreihe ISO/IEC 27000 voraussichtlich langfristig aus den Standards 27000 – 27019 und 27030-27044 bestehen. ISO/IEC 27001 bietet keine Hilfe für die praktische Umsetzung. um ein ISMS zu planen. um ein funktionierendes Informationssicherheitsmanagement aufzubauen und in der Organisation zu verankern.• • • • Der Standard ISO/IEC 27001 "Information technology . 33 . ISO/IEC 27005 "Information security risk management" enthält Rahmenempfehlungen zum Risikomanagement für Informationssicherheit. der auch eine Zertifizierung ermöglicht. ISO/IEC 27001 gibt in 5 konkreten Kapiteln (4. zu überwachen und laufend zu verbessern. 6. Das Informationssicherheitshandbuch geht in Aufbau. Die weiteren Standards sollen zum besseren Verständnis und zur praktischen Anwendbarkeit der ISO/IEC 27001 beitragen und beschäftigen sich beispielsweise mit der praktischen Umsetzung der ISO/IEC 27001. 8) allgemeine Empfehlungen für Management-Aktivitäten. 5. zu betreiben. die Anforderungen des ISO/IECStandards 27001 zu erfüllen. Die erforderlichen Informationssicherheitsmaßnahmen werden eher kurz auf ca. 7. ISO/IEC 27005 löst den bisherigen Standard ISO 13335-2 ab. bietet allerdings in einer kompakten Form auch technische und organisatorische Hinweise und Ratschläge zur Implementierung. Die Empfehlungen sind für Management-Ebenen formuliert und enthalten nur wenige konkrete technische Hinweise. etablieren. 100 Seiten skizzert angerissen. Ein normativer Anhang verweist auf die Umsetzung gemäß ISO/IEC 27002.Security techniques . Ihre Umsetzung ist auch nur eine von vielen Möglichkeiten. also der Messbarkeit von Risiken oder mit Methoden zum Risikomanagement. Struktur und Abhandlung der generellen Themen konform mit ISO/IEC 27001 und 27002. Es wird allerdings keine spezifische Methode für das Risikomanagement vorgegeben. Unter anderem unterstützt er bei der Umsetzung der Anforderungen aus ISO/IEC 27001.

Sie hat sich als ganzheitliches Konzept für Informationssicherheit und als Standard etabliert. breiter Raum gegeben. Teilweise grenzt es sich diesen gegenüber vor allem durch eine kompaktere Darstellungsweise ab. wobei keine ausgesprochenen Zielgruppen definiert sind. Unterschiedliche Zielgruppen werden durch jeweils separate Entwicklungen unterstützt. und das BSI bietet ISO/IEC 27001 Zertifzierungen nach ITGrundschutz an. die mittleren und kleineren Organisationseinheiten entgegenkommt und das Durcharbeiten des Informationssicherheitshandbuchs "am Stück" nach wie vor ermöglicht.und Analysestelle Informationssicherung) Im Rahmen von MELANI wird in der Schweiz ein CERT (Computer Emergency Response Team) betrieben. denen Banken und Finanzinstitutionen ausgesetzt sind. sämtliche relevanten Themen anszusprechen. genügen. Das Informationssicherheitshandbuch behandelt zum Teil eine ähnliche Thematik. Seine neuen Funktionalitäten wie unterschiedlich formulierte Textbausteine verfolgen auf eigene Weise das Ziel der Ansprache unterschiedlicher Zielgruppen. Lageberichte und Schulungsmaßnahmen geboten. Checklisten. So richtet sich etwa "BSI für Bürger" mit kurzen und einfach formulierten Darstellungen an Privatpersonen und KMU's. MELANI (Melde. Das Österreichische Informationssicherheitshandbuch wird auf Basis einer gelebten Kooperation mit dem BSI immer wieder mit neuen Entwicklungen bei den Grundschutz-Standards und -Bausteinen abgeglichen. 34 . beispielsweise wird den Problemen. Der Anspruch richtet sich auf gezielte und aktuelle Darstellung vor allem von Gefahren und Fehlverhalten. die Überprüfung des vorhandenen Sicherheitsniveaus und die Implementierung der angemessenen Informationssicherheit. positioniert sich dabei stark an der Implementierung und muss dem Anspruch.BSI Grundschutz Standards und Maßnahmenbausteine • • Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet seit 1994 zunächst mit dem Grundschutzhandbuch. aber auch auf einer Homepage Informationen über Gefahren und Maßnahmen. später mit den GrundschutzStandards und Maßnahmenbausteinen eine umfassende und äußerst detaillierte Informationsbasis und daraus etablierte Methoden für eine Vorgehensweise zum Aufbau einer Sicherheitsorganisation sowie für die Risikobewertung.

Auf sehr einfachen und anschaulichen Webseiten wird eine umfassende Darstellung der wesentlichsten Gefahren und Sicherheitsmaßnahmen geboten. so sind diese beiden Begriffe mittlerweile fast synonym zu sehen: auch in der ITSicherheit sind Fragen zu behandeln. während umgekehrt die Sicherheit von elektronisch gespeicherten und verarbeiteten Informationen ohne die technische Sicherung der zugrunde liegenden IKT.versus IT-Sicherheit Die Definition dieser beiden Begriffe und ihrer Abgrenzung voneinander war in den vergangenen Jahren oft Gegenstand lebhafter Diskussionen. International und nicht zuletzt in den Normen hat sich in den letzten Jahren eher der Begriff “Informationssicherheit” als der umfassendere etabliert .und Mittelbetriebe. wie Information an sich geschützt werden kann (etwa wie mit Papierausdrucken von vertraulichen Informationen umzugehen ist). schriftlich.5 Informations.und Kommunikationstechnologie-) Systeme nicht zu erreichen ist.(Informations. Die Grenzen sind also fließend.CASES (Cyberworld Awareness Security Enhancement Structure Die vom luxemburgischen Ministerium für Wirtschaft und Außenhandel betriebene Homepage "CASES" ist in deutscher und französischer Sprache verfügbar und richtet sich zum einen an Klein. 1. Mit Hilfe seiner neuen Funktionalitäten wie unterschiedlich formulierbarer Textbausteine und einer informell bereits aufgenommenen Kooperation werden sich nunmehr auch einige Inhalte von CASES im Informationssicherheutshandbuch finden. [Q: BSI Leitfaden Informationssicherheit] 35 .daher auch der Name "Informationssicherheitshandbuch".1. bildhaft oder gesprochen). aber vorschriftähnlicher Darstellung angesprochen. zum anderen an Schüler und deren Eltern. Das Informationssicherheitshandbuch hat sich aus dem "IT-Sicherheitshandbuch für die öffentliche Verwaltung" entwickelt und hat somit bisher als Zielgruppen mittlere bis größere Institutionen mit Bedarf nach knapper. Basistechnologien anschaulich beschrieben und auch Anleitungen zur Ausarbeitung einer Sicherheitspolitik speziell für kleine Organisationen gegeben. Dabei ist auch ein gewisser Bedeutungswandel bei diesen Begriffen festzustellen: Verstand man von einigen Jahren unter “IT-Sicherheit” im Wesentlichen den Schutz von IT-Systemen (und damit den auf ihnen verarbeiteten Informationen) und unter “Informationssicherheit” den Schutz von Informationen unabhängig von ihrer Darstellungsform (also elektronisch.

Die Erfüllung der Geschäftsprozesse ist ohne die Korrektheit.1. Dabei darf sich Sicherheit nicht auf einzelne Teilaspekte. geschrieben. Daher sind auch kontinuierlich Anstrengungen und Kosten für Informationssicherheit in Kauf zu nehmen. sondern zunächst aus dem Bewußtsein des Management und der Mitarbeiter/ Mitarbeiterinnen einer Organisation. Ziel muss es also sein. als Bild oder in gesprochener Form. dass 100 % Sicherheit nicht erreicht werden kann. für die Privatwirtschaft zur Anwendung empfohlen. Information kann dabei in unterschiedlicher Form existieren – elektronisch gespeichert oder übertragen.1 Ziele des Informationssicherheitsmanagements ISO Bezug: 27001 0. Vertraulichkeit und Verfügbarkeit der Informationen oft nicht mehr möglich. um sie zu erhalten. dass Informationen schützenswerte und gefährdete Werte für alle Beteiligten darstellen. wie viel man auch investiert.2. Die hier dargestellte Vorgehensweise wird für die österreichische Bundesverwaltung sowie für andere Bereiche der öffentlichen Verwaltung bzw.1] 1. wie die Verschlüsselung vertraulicher Daten oder die Installation von Firewalls beschränken. [eh Teil 1 . Die Tatsache. Es muss allerdings ebeso bewusst sein. rückt die Frage nach der Sicherheit der Informationen und der Informationstechnologie zunehmend in den Brennpunkt des Interesses. dass weite Bereiche des täglichen Lebens ohne den Einsatz von informationstechnischen Systemen heute nicht mehr funktionsfähig sind. ein angemessenes Sicherheitsniveau zu erreichen und dauerhaft zu erhalten. Methodisches Sicherheitsmanagement ist zur Gewährleistung umfassender und angemessener Informationssicherheit unerlässlich.2 Informationssicherheitsmanagement Information stellt heute sowohl für die öffentliche Verwaltung als auch für Organisationen der Privatwirtschaft einen wichtigen Wert dar. also elektronisch gespeicherte und verarbeitete Information genauso wie Information in schriftlicher oder gesprochener Form. 4 Informationssicherheit entsteht nicht von selbst aus Technik oder Know-How. 36 . sondern muss integraler Bestandteil eines modernen IKT(Informations.und Kommunikationstechnologie-) Konzeptes sein. Dabei wird Information unabhängig von ihrer Darstellungsform betrachtet. Das gegenständliche Handbuch beschreibt die Vorgehensweise zur Etablierung eines umfassenden Informationssicherheits-Management-Systems (ISMS).

Vertraulichkeit: Informationen dürfen nur für die vorgesehenen Personen und Prozesse offen gelegt werden.Durch Etablieren und Erhalten eines Informationssicherheits-Managementsystems (ISMS) sollen die grundlegenden Ziele der Informationssicherheit erreicht werden: • • • Integrität: Informationen dürfen nur von den vorgesehenen Personen und Prozessen verändert werden. also relevante Sicherheitsziele und strategien ermitteln. aber ebenso von Fehlern und Schlamperei gefährdet. wenn diese sie benötigen Das klingt selbstverständlich und einfach. Durchführen. Würmer). bedroht. 37 . da die Informationen den vielfäligen Gefahren ausgesetzt sind: • • • So ist Integrität von technischen Fehlern. für ihre Einhaltung sorgen und Informationssicherheit im laufenden Betrieb inklusive in Notfällen zu gewährleisten. kann diese Aufgabe erfolgreich wahrgenommen werden. Die für das Informationssicherheitsmanagement relevante Norm 27001 beschreibt Informationssicherheit als Kontinuierlichen Verbesserungsprozess (KVP) in einem Informationssicherheits-Managementsystem (ISMS) nach dem "Plan-Do-Check-Act"Modell (PDCA – "Planen. Verfügbarkeit: Informationen müssen für die vorgesehenen Personen und Prozesse bereitgestellt sein.1. [eh Teil 1 . Handeln"): • • Planen (Plan): Festlegen des ISMS.2. etc. ist in der Praxis allerdings eine Herausfoderungen für die Organisation. die Verfügbarkeit kann von kleineren und größeren Systemausfällen bis zu Bränden und Katastrophen.2 Aufgaben des Informationssicherheitsmanagements ISO Bezug: 27001 0. aber auch bewußten Denial-of-Service Attacken bis zum Stillstand . die Vertraulichkeit durch Spionageaktivitäten. 4 Informationssicherheit ist immer eine Management-Aufgabe. Datenmißbrauch.reduziert werden. eine organisationsspezifische Informationssicherheitspolitik zu erstellen und spezifisch geeignete Sicherheitsmaßnahmen auswählen. Durchführen (Do): Umsetzen und Betreiben des ISMS. also Sicherheitsmaßnahmen realisieren. unbefugten Manipulationsversuchen (auch etwa Viren. Fahrlässigkeit. Nur wenn die Leitung einer Organisation voll hinter den Sicherheitszielen und den damit verbundenen Aktivitäten steht. Prüfen.1] 1.

aber auch Kenntnis über Vorfälle sowie üblicher Good-Practices zu erlangen. Einhaltung der SIcherheitsmaßnahmen zu überprüfen.• • Prüfen (Check): Überwachen und Überprüfen des ISMS auf seine Wirksamkeit. welche Aufgaben eines ISMS umgesetzt und welche Sicherheitsmaßnahmen implementiert werden können zur: • • • • • • Festlegung der Sicherheitsziele und -strategien der Organisation. Informationssicherheitsmanagement ist also ein kontinuierlicher Prozess. Festlegung geeigneter Sicherheitsmaßnahmen.1] 38 . In den folgenden Kapiteln wird dargestellt. Dies bedingt erneutes Planen. Handeln (Act): Instandhalten und Verbessern des ISMS. [eh Teil 1 . Durch die Planungs-. Überwachung der Implementierung und des laufenden Betriebes der ausgewählten Maßnahmen. Prüf.1. Ermittlung und Bewertung der Informationssicherheitsrisiken (information security risk assessment). Förderung des Sicherheitsbewusstseins innerhalb der Organisation sowie Entdecken von und Reaktion auf sicherheitsrelevante Ereignisse (information security incident handling). das bedeutet auf erkannte Fehler. Am Beginn stehen Sicherheitsziele. womit sich ein ständiger Kreislauf schließt. Schwachstellen und veränderte Umfeldbedingungen reagieren und die Ursachen für Gefährdungen beseitigen. das bedeutet Vorhandensein. Sinnhaftigkeit. Durchführungs-. -handlungen werden sie erfüllt .und Verbesserungsprozesse bzw. also Erwartungen und Anforderungen der Verantwortlichen und Beteiligten.das schließlich akzeptierte Sicherheitsniveau wird erreicht.

2 Informationssicherheits-ManagementSystem (ISMS) Dieses Kapitel nimmt vor allem Bezug auf ISO/IEC 27001 4 "Informationssicherheits-Managementsystem" sowie ISO/IEC 27002 4 "Risikobewertung und -behandlung". Systeme und Netzwerke sind wichtige Werte jeder Organisation. Authentizität und Zuverlässigkeit bestehen. Integrität und Verfügbarkeit der Informationen und der sie verarbeitenden Systeme gewährleisten. 39 . dessen Strategien und Konzepte ständig auf ihre Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf fortzuschreiben sind. Fallweise können auch weitere Anforderungen wie Zurechenbarkeit. insbesondere den ISO/IEC 27001( [ISO/IEC 27001]). sowie auch noch den "Guidelines on the Management of IT Security (GMITS)" ([ISO/IEC TR 13335]) ( [ISO/IEC 13335]). Zentrale Aktivitäten im Rahmen des ISMS sind: • • • • • • die Entwicklung einer organisationsweiten Informationssicherheitspolitik die Durchführung einer Risikoanalyse die Erstellung eines Sicherheitskonzeptes die Umsetzung der Sicherheitsmaßnahmen die Gewährleistung der Informationssicherheit im laufenden Betrieb die kontinuierliche Überwachung und Verbesserung des ISMS Der nachfolgend dargestellte Prozess basiert auf internationalen Standards und Leitlinien zum Informationssicherheitsmanagement. sowohl in der öffentlichen Verwaltung als auch in der Privatwirtschaft. 2. Er kann sowohl auf eine gesamte Organisation als auch auf Teilbereiche Anwendung finden.1 Der Informationssicherheitsmanagementprozess Informationen und die sie verarbeitenden Prozesse. Informationssicherheitsmanagement ist ein kontinuierlicher Prozess. Informationssicherheitsmanagement (ISM) soll die Vertraulichkeit.

Im Folgenden wird. wenn nicht ausdrücklich anders angeführt. Das nachfolgende Bild zeigt die wichtigsten Aktivitäten im Rahmen des Informationssicherheitsmanagements und die eventuell erforderlichen Rückkopplungen zwischen den einzelnen Stufen. Unternehmen. 40 . wobei aber zu beachten ist.abhängig vom ITKonzept und den bestehenden Sicherheitsanforderungen ..) gemeint sein können. Abteilungen oder anderer Organisationseinheiten ist dann im spezifischen Zusammenhang . dass damit unterschiedliche Organisationseinheiten (Behörden..zu entscheiden.Über die Anwendung auf Ebene einzelner Behörden. Abteilungen. allgemein der Begriff "Organisation" (oder synonym dazu "Institution") verwendet.

1. Abhängig vom IT-Konzept und den Sicherheitsanforderungen kann es auch notwendig werden. auf dessen Basis die Informationssicherheit einer Organisation aufgebaut wird. Strategien. nachgeordnete Dienststellen. [eh Teil 1 . eine Hierarchie von Informationssicherheitspolitiken für verschiedene Organisationseinheiten (etwa Abteilungen.1 Entwicklung einer organisationsweiten Informationssicherheitspolitik ISO Bezug: 27001 4.) zu erstellen..1 Als organisationsweite Informationssicherheitspolitik (Corporate Information Security Policy) bezeichnet man die Leitlinien und Vorgaben innerhalb einer Organisation.1 Eine wesentliche Aufgabe des Informationssicherheitsmanagements ist das Erkennen und Einschätzen von Sicherheitsrisiken und deren Reduktion auf ein tragbares Maß.1. Verantwortlichkeiten und Methoden für die Gewährleistung der Informationssicherheit festlegen. Die organisationsweite Informationssicherheitspolitik (im Folgenden der Einfachheit halber als "Informationssicherheitspolitik" bezeichnet) stellt ein langfristig orientiertes Grundlagendokument dar. 41 . Die Informationssicherheitspolitik ist eingebettet in eine Hierarchie von Regelungen und Leitlinien. . Details zu Sicherheitsmaßnahmen und deren Umsetzung sind nicht Bestandteil der organisationsweiten Informationssicherheitspolitik.Abbildung 1: Aktivitäten im Rahmen des Informationssicherheitsmanagements Informationssicherheitsmanagement umfasst damit die folgenden Schritte: 2. sondern sind im Rahmen einzelner systemspezifischer Sicherheitsrichtlinien zu behandeln. die unter Berücksichtigung gegebener Randbedingungen grundlegende Ziele..2] 2. Dieses "Informationsrisikomanagement" oder auch "Informationssicherheitsrisikomanagement" sollte Teil des generellen Risikomanagements einer Organisation und mit der dort gewählten Vorgehensweise kompatibel sein.2 Risikoanalyse ISO Bezug: 27001 4.

wenn nicht explizit anders erwähnt. ebenso Risikoanalyse und Risikomanagement im Sinne von Informationssicherheitsrisikoanalyse und –management.2] 2. die die Risiken auf ein definiertes und beherrschbares Maß reduzieren sollen.Aus Gründen der besseren Lesbarkeit wird im Folgenden. Abschnitt 4 Risikoanalyse): Detaillierte Risikoanalyse. Im Rahmen des vorliegenden Handbuchs werden drei Risikoanalysestrategien behandelt (s.und langfristigen Aktionen festgehalten. ob dieses für die Organisation tragbar ist oder weitere Maßnahmen zur Risikoreduktion erforderlich sind.2 Erstellung von Sicherheitskonzepten behandelt.4 Umsetzung des Informationssicherheitsplans ISO Bezug: 27001 4. Diese sollen die grundlegenden Leitlinien zur Sicherheit eines konkreten IT-Systems bzw.1. mittel. Die Festlegung einer geeigneten Risikoanalysestrategie sollte im Rahmen der Informationssicherheitspolitik erfolgen. Die Sicherheitsrichtlinien müssen mit der organisationsweiten Informationssicherheitspolitik kompatibel sein.1.1 Abhängig von den Ergebnissen der Risikoanalyse werden in einem nächsten Schritt Maßnahmen ausgewählt. [eh Teil 1 .3 Erstellung eines Sicherheitskonzeptes ISO Bezug: 27001 4. In einem Informationssicherheitsplan werden alle kurz-. Im Anschluss daran ist das verbleibende Restrisiko zu ermitteln und zu prüfen. einer Anwendung vorgeben sowie konkrete Sicherheitsmaßnahmen und ihre Umsetzung beschreiben. um ein organisationsweit einheitliches Vorgehen zu gewährleisten.1 42 .2] 2. [eh Teil 1 . Der Vorgang wird im Detail in Kapitel 2. der Begriff "Risiko" stets im Sinne von "Informationssicherheitsrisiko" verwendet. die zur Umsetzung der ausgewählten Maßnahmen erforderlich sind. Für wichtige IT-Systeme und Anwendungen wird die Erstellung eigener Sicherheitsrichtlinien (auch als "IT-Systemsicherheitspolitiken" bezeichnet) empfohlen. Grundschutzansatz und Kombinierter Ansatz.

Das Kapitel 2.5 Informationssicherheit im laufenden Betrieb ISO Bezug: 27001 4. Weiters ist festzulegen.und Schulungsmaßnahmen.2] 43 .Bei der Implementierung der ausgewählten Sicherheitsmaßnahmen ist zu beachten. Dies erfolgt durch die Definition geeigneter Kennzahlen. Unabdingbare Voraussetzung für eine erfolgreiche Umsetzung des Informationssicherheitsplans in der Praxis sind auch entsprechende Sensibilisierungs. dass die meisten technischen Sicherheitsmaßnahmen ein geeignetes organisatorisches Umfeld brauchen. Kapitel 2.4 Informationssicherheit im laufenden Betrieb): • Die Aufrechterhaltung des erreichten Sicherheitsniveaus Dies umfasst: • • • • • • Wartung und administrativen Support von Sicherheitseinrichtungen die Messung der Effektivität der ausgewählten Sicherheitsmaßnahmen anhand definierter Kennzahlen (Information Security Measurement) die Überprüfung von Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) sowie die fortlaufende Überwachung der IT-Systeme (Monitoring) umfassendes Change-Management eine angemessene Reaktion auf sicherheitsrelevante Ereignisse (Incident Handling) [eh Teil 1 . die Sicherheit im laufenden Betrieb aufrechtzuerhalten und gegebenenfalls veränderten Bedingungen anzupassen.2] 2.3 Umsetzung des Informationssicherheitsplanes des vorliegenden Handbuchs behandelt diese Umsetzungsfragen.1 Umfassendes Informationssicherheitsmanagement beinhaltet nicht zuletzt auch die Aufgabe. Zu den erforderlichen Follow-Up-Aktivitäten zählen (s. um vollständig wirksam zu sein. [eh Teil 1 .1. wie die Effizienz und Effektivität der ausgewählten Sicherheitsmaßnahmen beurteilt werden kann.

die die Risiken auf ein akzeptables Maß reduzieren und unter dem Gesichtspunkt von Kosten und Nutzen eine optimale Lösung darstellen. 2. 7. Termin. 27002 4. Dies erfolgt durch die Auswahl geeigneter Maßnahmen.2.2.1 Ausgehend von den in der Risikoanalyse ermittelten Sicherheitsanforderungen wird ein Sicherheitskonzept erstellt.1 Auswahl von Maßnahmen ISO Bezug: 27002 4.2.1.und Ressourcenplanung für die Umsetzung Die Erstellung eines Sicherheitskonzeptes erfolgt in vier Schritten: • • • • Schritt 1: Auswahl von Maßnahmen Schritt 2: Prüfung von Restrisiken und Risikoakzeptanz Schritt 3: Erstellung von Sicherheitsrichtlinien Schritt 4: Erstellung eines Informationssicherheitsplans Diese vier Schritte werden in den folgenden Kapiteln näher beschrieben.1.1 44 . 7. Ein Sicherheitskonzept enthält: • • • • • • die Beschreibung des Ausgangszustands einschließlich der bestehenden Risiken (Ergebnisse der vorangegangenen Risikoanalyse) die Festlegung der durchzuführenden Maßnahmen die Begründung der Auswahl unter Kosten/Nutzen-Aspekten und hinsichtlich des Zusammenwirkens der einzelnen Maßnahmen eine Abschätzung des Restrisikos sowie eine verbindliche Aussage über die Akzeptanz des verbleibenden Restrisikos die Festlegung der Verantwortlichkeiten für die Auswahl und Umsetzung der Maßnahmen sowie für die regelmäßige Überprüfung des Konzeptes eine Prioritäten-.1.2 Erstellung von Sicherheitskonzepten ISO Bezug: 27001 4.2.2.

die organisationsweit (oder in Teilen der Organisation) einzusetzen sind.2.1.1] 2. einen früheren Zustand wiederherzustellen [eh Teil 1 . Dies kann auf unterschiedliche Arten erreicht werden.1 Je nach Betrachtungsweise kann eine Klassifikation von Sicherheitsmaßnahmen hinsichtlich nachfolgender Kriterien getroffen werden.1 Klassifikation von Sicherheitsmaßnahmen ISO Bezug: 27002 4. die die Sicherheit von Informationen und der sie verarbeitenden IT-Systeme erhöhen.2. Prozeduren und Mechanismen. Klassifikation nach Art der Maßnahmen Dies ist die "klassische" Einteilung der Sicherheitsmaßnahmen. Man unterscheidet: • • • • (informations-)technische Maßnahmen bauliche Maßnahmen organisatorische Maßnahmen personelle Maßnahmen Klassifikation nach Anwendungsbereichen Man unterscheidet: Maßnahmen. 45 .2. Sicherheitsmechanismen können: • • • • • • Risiken vermeiden Bedrohungen oder Schwachstellen verkleinern unerwünschte Ereignisse entdecken die Auswirkung eines unerwünschten Ereignisses eingrenzen Risiken überwälzen es möglich machen.Sicherheitsmaßnahmen sind Verfahrensweisen.

Man unterscheidet daher: • • • • • • 46 Maßnahmen zur Gewährleistung der Vertraulichkeit (confidentiality) Maßnahmen zur Gewährleistung der Integrität (integrity) Maßnahmen zur Gewährleistung der Verfügbarkeit (availability) Maßnahmen zur Gewährleistung der Zurechenbarkeit (accountability) Maßnahmen zur Gewährleistung der Authentizität (authenticity) Maßnahmen zur Gewährleistung der Zuverlässigkeit (reliability) . Dokumentation. Schulung und Bildung von Sicherheitsbewusstsein) bauliche Sicherheit und Infrastruktur Notfallvorsorge Systemspezifische Maßnahmen. Verfügbarkeit. Man unterscheidet etwa: • • • Nicht-vernetzte Systeme (Stand-Alone-PCs) Workstations in einem Netzwerk Server in einem Netzwerk Klassifikation nach Gefährdungen und Sicherheitsanforderungen Ausgehend von den Grundbedrohungen gegen ein IT-System (Verlust der Vertraulichkeit.Dazu gehören: • • • • • • • Etablierung eines ISMS-Prozesses und Erstellung von Informationssicherheitspolitiken organisatorische Maßnahmen (z. Kontrolle von Betriebsmitteln. etc. Auditing Reaktion auf sicherheitsrelevante Ereignisse (Incident Handling) personelle Maßnahmen (incl. Integrität.) werden die typischen Gefährdungen ermittelt. Die Auswahl systemspezifischer Maßnahmen hängt in hohem Maße vom Typ des zu schützenden IT-Systems ab. Rollentrennung) Überprüfung der IT-Sicherheitsmaßnahmen auf Übereinstimmung mit den Informationssicherheitspolitiken (Security Compliance Checking).B.

muss auf den Ergebnissen der Risikobewertung basieren. geplanter Sicherheitsmaßnahmen: Bei der Auswahl von Sicherheitsmaßnahmen zur Verminderung der Risiken wird vorausgesetzt.1. ein direkter Vergleich einzelner Sicherheitsmaßnahmen ( trade-off analysis) notwendig sein.2 Ausgangsbasis für die Auswahl von Maßnahmen ISO Bezug: 27002 4.2 Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen) ermittelt.2.6 Identifikation bestehender Sicherheitsmaßnahmen).5. 4.) In der Regel stehen verschiedene mögliche Sicherheitsmaßnahmen zur Auswahl.1 Liste existierender bzw. [eh Teil 1 . die als Ergebnis eine Aufstellung aller existierenden oder bereits geplanten Schutzmaßnahmen mit Angaben über ihren Implementierungsstatus und ihren Einsatz liefern soll.die bereits existierenden Sicherheitsmaßnahmen aufgelistet wurden. wobei auf die Ausgewogenheit von technischen und nicht-technischen Maßnahmen zu achten ist.2. Diese Auswahl wird von einer Reihe von Faktoren beeinflusst: • • • der Stärke der einzelnen Maßnahmen ihrer Benutzerfreundlichkeit und Transparenz für die Anwender/innen der Art der Schutzfunktion (Verringerung von Bedrohungen.. kann im Einzelfall eine Kosten-/Nutzen-Analyse bzw.Wirksame Informationssicherheit verlangt im Allgemeinen eine Kombination von verschiedenen Sicherheitsmaßnahmen. Bei einer Grundschutzanalyse werden die vorhandenen Maßnahmen im Rahmen des Soll-Ist-Vergleiches (vgl.1. Im Fall einer detaillierten Risikoanalyse erfolgt dies im Rahmen der "Identifikation bestehender Schutzmaßnahmen" (vgl. Um die sowohl aus Sicherheits.als auch aus Wirtschaftlichkeitsüberlegungen effizienteste Lösung zu finden.. .3. dass im vorhergehenden Schritt .2. Erkennen von Verletzungen. 47 . 4.der Risikoanalyse .1] 2. Ergebnisse der Risikobewertung: Die Auswahl der Sicherheitsmaßnahmen. die die Risiken auf ein definiertes und beherrschbares Maß reduzieren.

dass die Gesamtheit der ausgewählten Maßnahmen ein ausgewogenes Verhältnis der einzelnen Aspekte aufweist. die mehrere dieser Aspekte abdecken.1. so stehen für die Auswahl von geeigneten Sicherheitsmaßnahmen detailliertere und spezifischere Informationen zur Verfügung als im Fall einer Grundschutzanalyse. dass Sicherheitsmaßnahmen einen oder mehrere der folgenden Aspekte abdecken können: • • • • • • • Vorbeugung (präventive Maßnahmen) Aufdeckung (detektive Maßnahmen) Abschreckung Schadensbegrenzung Wiederherstellung eines früheren Zustandes Bildung von Sicherheitsbewusstsein Risikoüberwälzung Welche dieser Eigenschaften notwendig bzw. hängt von den speziellen Umständen ab. Welche der in Frage kommenden Maßnahmen tatsächlich ausgewählt und implementiert werden.2.[eh Teil 1 . ist vom spezifischen Fall abhängig. Generell ist festzuhalten.1 Wurde eine detaillierte Risikoanalyse durchgeführt. Es ist aber auch darauf zu achten. In der Mehrzahl der Fälle wird es verschiedene Maßnahmen zur Erfüllung einer bestimmten Sicherheitsanforderung geben.3 Auswahl von Maßnahmen auf Basis einer detaillierten Risikoanalyse ISO Bezug: 27002 4. 48 . In der Regel wird man Maßnahmen bevorzugen. wünschenswert ist.5. desto qualifizierter ist im Allgemeinen die für den Auswahlprozess zur Verfügung stehende Information. dass also nicht beispielsweise ausschließlich detektive oder ausschließlich präventive Maßnahmen zum Einsatz kommen.2] 2. die sich jedoch hinsichtlich ihrer Effizienz und ihrer Kosten unterscheiden.1. Je genauer und aufwändiger die Risikoanalyse durchgeführt wurde. Umgekehrt kann eine Maßnahme gleichzeitig mehrere Sicherheitsanforderungen abdecken.

In Maßnahmenkatalogen wird eine Reihe von Schutzmaßnahmen gegen die meisten üblichen Bedrohungen angeführt. Alternativ kann auch auf andere bestehende Kataloge zurückgegriffen werden. Eine sehr umfangreiche Sammlung von Grundschutzmaßnahmen.[eh Teil 1 . Kapitel 4.h. findet sich etwa in den IT-Grundschutz-Standards und -Maßnahmenkatalogen des BSI (vgl.4] 2.1 Grundsätzlich ist die Auswahl von Sicherheitsmaßnahmen im Falle eines Grundschutzansatzes relativ einfach. d. Die empfohlenen Maßnahmen werden mit den existierenden oder bereits geplanten Maßnahmen verglichen. ohne weitere Risikoanalyse.1 49 . Die betreffenden Bedrohungen werden a priori.5.2.1.1.2. [eh Teil 1 . die kontinuierlich weiterentwickelt werden.5.4 Auswahl von Maßnahmen im Falle eines Grundschutzansatzes ISO Bezug: 27002 4. als relevant für die durchführende Organisation angenommen. Standardwerke zur Auswahl von Maßnahmen: In diesem Sicherheitshandbuch werden die wichtigsten Grundschutzmaßnahmen für die öffentliche Verwaltung in Österreich angeführt. geplanten Maßnahmen werden in eine Liste von noch zu realisierenden Maßnahmen zusammengefasst.5 Auswahl von Maßnahmen im Falle eines kombinierten Risikoanalyseansatzes ISO Bezug: 27002 4.1.3] 2. Die noch nicht existierenden bzw.3 Grundschutzansatz dieses Handbuchs).1.

1. wenn ihre Notwendigkeit für die Benutzer/innen einsichtig ist. Zur Bewertung von Sicherheitsmaßnahmen ist wie folgt vorzugehen: • • • • • • 50 Erfassung aller Bedrohungen. dass die zusätzlichen Maßnahmen mit dem ITGesamtkonzept und den bereits bestehenden Sicherheitsmaßnahmen verträglich sind. dass sie einander ergänzen und unterstützen und sich nicht etwa gegenseitig behindern oder in ihrer Wirkung schwächen. Anschließend werden die noch fehlenden Sicherheitsmaßnahmen für IT-Systeme mit hohen bis sehr hohen Sicherheitsanforderungen ausgewählt. [eh Teil 1 . Die Akzeptanz von Maßnahmen steigt. in welchem Maß sie akzeptiert oder aber abgelehnt oder umgangen werden. da die Wirksamkeit von Sicherheitsmaßnahmen stark davon abhängt.h. in welchem Ausmaß die Maßnahmen eine Reduktion der Risiken bewirken . gegen die die ausgewählten Maßnahmen wirken Beschreibung der Auswirkung der Einzelmaßnahmen Beschreibung des Zusammenwirkens der ausgewählten und der bereits vorhandenen Sicherheitsmaßnahmen Überprüfung.B.1 Unabhängig von der verfolgten Strategie ist es in jedem Fall notwendig. Damit soll gewährleistet werden. dem des BSI entsprechende Schutzmaßnahmen ausgewählt und umgesetzt.2.5.1. andererseits auch für hochschutzbedürftige Systeme bereits ein gewisses Maß an Schutz bieten.6 Bewertung von Maßnahmen ISO Bezug: 27002 4. die Auswirkungen der ausgewählten Maßnahmen zu analysieren. d.5] 2. die einerseits ein adäquates Sicherheitsniveau für Systeme der Schutzbedarfsklasse "niedrig bis mittel" gewährleisten. ob und inwieweit die Maßnahmen zu Behinderungen beim Betrieb des IT-Systems führen können Überprüfung der Vereinbarkeit der Maßnahmen mit geltenden rechtlichen Vorschriften und Richtlinien Bewertung. In diesem Stadium ist auch die Einbeziehung der betroffenen Benutzer/innen zu empfehlen.Im Falle eines kombinierten Ansatzes werden zunächst anhand dieses Handbuchs oder eines Grundschutzkataloges wie z.

durch soziale Veränderungen oder durch Veränderungen im technischen oder organisatorischen Umfeld.2.6] 2. wie etwa die Lage eines Gebäudes.7] 2.und/oder Software Weitere Einschränkungen können organisatorischer.Bevor die Maßnahmen umgesetzt werden. gesetzlicher oder sozialer Natur sein.2 Risikoakzeptanz 51 . klimatische Bedingungen und Platzangebot können die Auswahl von Sicherheitsmaßnahmen beeinflussen. Umweltbedingungen Auch durch das Umfeld vorgegebene Rahmenbedingungen.2. die entweder durch das Umfeld vorgegeben oder durch das Management festgelegt werden. Die Kosten für Sicherheitsmaßnahmen müssen in einem angemessenen Verhältnis zum Wert der zu schützenden Objekte stehen.1.1.1.B.5. ob die Kosten für die Realisierung der Maßnahmen im richtigen Verhältnis zur Reduzierung der Risiken stehen und ob die Risiken auf ein akzeptables Maß beschränkt werden. Auch Rahmenbedingungen können im Laufe der Zeit. [eh Teil 1 . personeller. Kompatibilität von Hard. [eh Teil 1 . Beispiele für solche Rahmenbedingungen sind: • • • • Zeitliche Rahmenbedingungen Etwa: Wie schnell ist auf ein erkanntes Risiko zu reagieren? Wann kann/muss eine Maßnahme realisiert sein? Finanzielle Rahmenbedingungen Im Allgemeinen werden budgetäre Einschränkungen existieren.7 Rahmenbedingungen ISO Bezug: 27002 4. einem Wandel unterliegen und sind daher regelmäßig zu überprüfen und zu hinterfragen.1 Bei der Auswahl und Umsetzung von Sicherheitsmaßnahmen sind stets auch Rahmenbedingungen (constraints) zu berücksichtigen. Technische Rahmenbedingungen z. sollte die Leitungsebene entscheiden.5.

1 Risikoanalysestrategien. 14. Um zu entscheiden. zu untersuchen. Dabei bedient man sich am besten der Verfahren und Erkenntnisse aus der vorangegangenen Risikoanalyse. wie weit und mit welchen Kosten nicht-akzeptable Restrisiken weiter verringert werden können.6 Akzeptanz von außergewöhnlichen Restrisiken ). nicht-akzeptable bedürfen einer weiteren Analyse. 4. 4. so besteht in begründeten Ausnahmefällen die Möglichkeit einer bewussten Akzeptanz dieses erhöhten Restrisikos.1. Die Alternative dazu ist eine bewusste und dokumentierte Akzeptanz des erhöhten Restrisikos. Akzeptable Restrisiken können in Kauf genommen werden.1 Risikoanalysestrategien. Kapitel 4.1.2.1. Schritt 2: Bewertung der Restrisiken Die verbleibenden Restrisiken sind als "akzeptabel" oder "nicht-akzeptabel" zu klassifizieren. eventuell mit hohen Kosten verbundene Maßnahmen auszuwählen. ist wie folgt vorzugehen: Schritt 1: Quantifizierung des Restrisikos In diesem ersten Schritt ist das Restrisiko so exakt wie möglich zu ermitteln. akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken. 14. Kapitel 4. Es besteht die Möglichkeit. Schritt 3: Entscheidung über nicht-akzeptable Restrisiken Die weitere Behandlung von nicht-akzeptablen Restrisiken sollte stets eine Managemententscheidung sein. akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken. [eh Teil 1 .5. Das Vorgehen dabei und die Verantwortlichkeiten dafür sind in der Informationssicherheitspolitik festzulegen (vgl.5 Akzeptables Restrisiko sowie 4. Die Entscheidungsgrundlage dafür sollte in der (organisationsweiten) Informationssicherheitspolitik festgelegt sein (vgl.auch nach Auswahl und Umsetzung aller angemessenen Sicherheitsmaßnahmen verbleibt im Allgemeinen ein Restrisiko.2] 52 .2 Absolute Sicherheit ist nicht erreichbar . unwirtschaftlich oder aufgrund gegebener Rahmenbedingungen nicht wünschenswert. ob dieses für die betreffende Organisation tragbar ist oder weitere Maßnahmen zu veranlassen sind.6 Akzeptanz von außergewöhnlichen Restrisiken). Schritt 4: Akzeptanz von außergewöhnlichen Restrisiken Ist eine weitere Reduktion des Restrisikos nicht möglich. und zusätzliche.5 Akzeptables Restrisiko sowie 4.ISO Bezug: 27002 4.

Beschreibung der wichtigsten Komponenten Definition der wichtigsten Ziele und Funktionalitäten des Systems Festlegung der Informationssicherheitsziele des Systems Abhängigkeit der Organisation vom betrachteten IT-System. Beschaffungs.2.2.3 Sicherheitsrichtlinien ISO Bezug: 27001 4. Verfügbarkeit oder Integrität des Systems oder darauf verarbeiteter Information gefährdet wird. eine Netzsicherheitsrichtlinie. [eh Teil 1 .und Wartungskosten. Kosten für den laufenden Betrieb) 53 .3.2. Investitionen in das System (Entwicklungs-.1 Für alle komplexen oder stark verbreiteten IT-Systeme sollten spezifische Sicherheitsrichtlinien erarbeitet werden.2 Inhalte ISO Bezug: 27001 4.1 Während das Sicherheitsskonzept ganzheitlich Maßnahmen darstellt.2.3. dabei ist zu untersuchen.1 Eine Sicherheitsrichtlinie sollte Aussagen zu den sicherheitsrelevanten Bereichen eines Systems treffen: • • • • • Definition und Abgrenzung des Systems. wie weit die Aufgabenerfüllung der Organisation durch eine Verletzung der Vertraulichkeit. [eh Teil 1 .1 Aufgaben und Ziele ISO Bezug: 27001 4.2. sollen für jeweils spezifische Sicherheitsrichtlinien auf die einzelnen wichtigen Systeme eingehen.1] 2.2. Typische Beispiele sind etwa eine PC-Sicherheitsrichtlinie.2.5.5.3] 2. eine InternetSicherheitsrichtlinie oder eine Richtlinie zum Einsatz mobiler Geräte. um die Risiken auf ein definiertes und beherrschbares Maß zu bringen.3.

sondern ist regelmäßig auf Aktualität zu überprüfen und bei Bedarf entsprechend anzupassen. Bedrohungen und Schwachstellen lt.3.3 Fortschreibung der Sicherheitsrichtlinien ISO Bezug: 27001 4.1 Auch eine Sicherheitsrichtlinie stellt kein einmal erstelltes.3.1 54 .2. noch umzusetzenden Sicherheitsmaßnahmen stets dem tatsächlich aktuellen Stand entspricht.3. Insbesondere ist es von Bedeutung.2. [eh Teil 1 . dass die Liste der existierenden bzw.5. Risikoanalyse Sicherheitsrisiken Beschreibung der bestehenden und der noch zu realisierenden Sicherheitsmaßnahmen Gründe für die Auswahl der Maßnahmen Kostenschätzungen für die Realisierung und den laufenden Betrieb (Wartung) der Sicherheitsmaßnahmen Verantwortlichkeiten [eh Teil 1 .5.2.4 Verantwortlichkeiten ISO Bezug: 27001 4. unveränderbares Dokument dar.• • • • • • • Risikoanalysestrategie Werte.3] 2.2] 2.3.2.

5. die/der sie mit der/dem IT-Sicherheitsbeauftragten abstimmen wird.3 Ein Informationssicherheitsplan beschreibt.4 Informationssicherheitspläne für jedes System ISO Bezug: 27001 4. Er enthält eine Prioritäten.2. Im Allgemeinen wird diese Verantwortung bei der/dem für das gegenständliche System zuständigen Bereichs-IT-Sicherheitsbeauftragten liegen.und Sensibilisierungsmaßnahmen 55 . [eh Teil 1 .Die Verantwortlichkeiten für die Erstellung und Fortschreibung der Sicherheitsrichtlinien sind im Einzelnen in der Informationssicherheitspolitik festzulegen (vgl. abhängig von Prioritäten und Ressourcen Budget Verantwortlichkeiten Schulungs.und Ressourcenplanung sowie einen Zeitplan für die Umsetzung der Maßnahmen.und Aufwandsschätzung für Implementierung und Wartung der Maßnahmen Detailplanung für die Implementierung Diese soll folgende Punkte umfassen: • • • • • Prioritäten Zeitplan. wie die ausgewählten Sicherheitsmaßnahmen umgesetzt werden. dass die einzelnen Sicherheitsrichtlinien mit der organisationsweiten Informationssicherheitspolitik kompatibel sind und auch untereinander ein einheitliches.4] 2.3. Im Detail sind für jedes System zu erstellen: • • • • eine Liste der vorhandenen sowie eine Liste der noch zu implementierenden Sicherheitsmaßnahmen.3 Organisation und Verantwortlichkeiten für Informationssicherheit). vergleichbares Niveau aufweisen. Letztere/r hat dafür Sorge zu tragen. für jede dieser Maßnahmen sollte eine Aussage über ihre Wirksamkeit sowie möglicherweise notwendige Verbesserungen oder Verstärkungen getroffen werden eine Prioritätenreihung für die Implementierung der ausgewählten Sicherheitsmaßnahmen bzw. dazu Kapitel 5. die Verbesserung bestehender Maßnahmen eine Kosten.2.

[eh Teil 1 .• • • Test. IT-Ausstattung. etwa aufgrund von Preisänderungen oder der Verfügbarkeit neuer Technologien Voraussetzungen für eine effiziente und zielgerichtete Fortschreibung des Sicherheitskonzeptes sind: • • 56 die laufende Überprüfung von Akzeptanz und Einhaltung der Sicherheitsmaßnahmen die Protokollierung von Schadensereignissen . die die Eintrittswahrscheinlichkeit von Bedrohungen verändern. jährliches Update) Eintritt von Ereignissen.bzw.5.B. . wie etwa die Entwicklung neuer Techniken oder veränderte Einsatzbedingungen (Einsatzort.5 Fortschreibung des Sicherheitskonzeptes ISO Bezug: 27001 4.und Abnahmeverfahren und -termine Nachfolgeaktivitäten eine Bewertung des nach der Implementierung aller Maßnahmen zu erwartenden Restrisikos Weiters sollte der Sicherheitsplan auch die Kontrollmechanismen festlegen. Umfeldeigenschaften angepasst zu bleiben..2. Anlässe für eine neue Untersuchung und das Fortschreiben des Konzeptes können sein: • • • • • Ablauf eines vorgeschriebenen oder vereinbarten Zeitraumes (z.4] 2.4 Das Sicherheitskonzept muss laufend fortgeschrieben werden. die die Werte verändern können.) neue Möglichkeiten für Sicherheitsmaßnahmen. die die Bedrohungslage verändern. um an veränderte System. und Möglichkeiten des Eingriffes bei Abweichungen vom vorgesehenen Prozess oder bei notwendigen Änderungen definieren. die den Fortschritt der Implementierung der ausgewählten Maßnahmen bewerten. wie etwa die Änderungen von Organisationszielen oder Aufgabenbereichen.2. wie etwa politische oder gesellschaftliche Entwicklungen oder das Bekanntwerden neuer Attacken Eintritt von Ereignissen. Änderungen am Markt oder die Einführung neuer Applikationen Ereignisse..

Als letzter Schritt der Umsetzung des Informationssicherheitsplans sind die implementierten Maßnahmen in ihrer tatsächlichen Einsatzumgebung auf ihre Auswirkungen zu testen und abzunehmen (Akkreditierung).3. Dieser muss gut strukturiert.2.3 Umsetzung des Informationssicherheitsplans Die korrekte und effiziente Implementierung von Sicherheitsmaßnahmen und ihr zielgerichteter Einsatz hängen in hohem Maße von der Qualität des im vorangegangenen Schritt erstellten Informationssicherheitsplans ab. um die optimale Einhaltung und Akzeptanz der Maßnahmen bei den Anwenderinnen/ Anwendern zu erreichen. [eh Teil 1 .5. hängt vom Ausmaß der eingetretenen Veränderungen ab. genau dokumentiert und den tatsächlichen Anforderungen der betroffenen Institution angepasst sein.• die Kontrolle der Wirksamkeit und Angemessenheit der Maßnahmen Ob eine neuerliche Risikoanalyse erforderlich ist oder lediglich die Auswahl der Maßnahmen überarbeitet wird. Es empfiehlt sich. Gleichzeitig mit der Implementierung der Sicherheitsmaßnahmen sollten auch entsprechende Schulungs. der Zeitplan eingehalten wird.5.2 57 . dass • • • • • Verantwortlichkeiten rechtzeitig und eindeutig festgelegt werden.5] 2.und Sensibilisierungsmaßnahmen gesetzt werden.1 Implementierung von Maßnahmen ISO Bezug: 27001 4. die Umsetzung des Informationssicherheitsplans im Rahmen eines Projektes abzuwickeln.5] 2. finanzielle und personelle Ressourcen rechtzeitig zugewiesen werden. [eh Teil 1 . die Maßnahmen korrekt umgesetzt werden. die Kosten sich in dem vorher abgeschätzten Rahmen halten. Bei der Umsetzung des Plans ist zu beachten.

auf ihre Übereinstimmung mit der Sicherheitspolitik zu überprüfen (Security Compliance Checking) und auf Korrektheit und Vollständigkeit zu testen. dass • • die systemübergreifenden. korrekte und aktuelle Dokumentation dieser Implementierungen zu legen. dazu auch 2. der • • • die Testmethoden die Testumgebung die Zeitpläne für die Durchführung der Tests beinhaltet. Sie/ er hat dafür Sorge zu tragen. Die Verantwortlichkeiten dafür sind im Detail festzulegen. Die Abstimmung der einzelnen systemspezifischen Informationssicherheitspläne für die Gesamtorganisation obliegt in der Regel der/dem IT-Sicherheitsbeauftragten. für die Tests einen Testplan zu erstellen. sind die einzelnen Maßnahmen zu implementieren. ein anderer Teil aber organisationsweit einzusetzen ist (vgl. Dabei ist zu beachten. Die durchgeführten Tests sind im Detail zu beschreiben und die Ergebnisse in einem standardisierten Testbericht festzuhalten. zu erfolgen.2.Sobald der Informationssicherheitsplan erstellt und verabschiedet wurde. dass die Implementierung korrekt durchgeführt und abgeschlossen wurde. Schritt 1: Implementierung der Sicherheitsmaßnahmen Die Implementierung der ausgewählten Sicherheitsmaßnahmen hat anhand des Informationssicherheitsplans. angemessenes Sicherheitsniveau haben Besonderer Wert ist auf eine detaillierte. Es wird empfohlen. entsprechend der vorgegebenen Zeitpläne und Prioritäten. 58 .1 Auswahl von Maßnahmen). sowie nicht redundant oder widersprüchlich sind die systemspezifischen Maßnahmen kompatibel sind und ein einheitliches. dass ein Teil der Maßnahmen systemspezifisch sein wird. Schritt 2: Testplan und Tests Tests sollen sicherstellen. organisationsweiten Maßnahmen vollständig und angemessen.

Vollständigkeit Hoher Detaillierungsgrad: Die Sicherheitsmaßnahmen sind so detailliert zu beschreiben. zum anderen ausreichend Information für einen korrekten und effizienten Einsatz der Maßnahmen zur Verfügung steht. Diese Verfahrensweisen sind ebenfalls entsprechend zu dokumentieren.1 Security Compliance Checking und Monitoring) durchzuführen. dazu 5.Abhängig von der speziellen Bedrohungslage und der Art der Maßnahmen kann die Durchführung von Penetrationstests erforderlich sein. So weit wie möglich sollte bei der Klassifizierung und Behandlung solcher Dokumente auf die Vorgaben im Rahmen der Informationssicherheitspolitik der Organisation zurückgegriffen werden (vgl. Aufbewahrung und Vernichtung von sicherheitsrelevanter Dokumentation zu entwickeln. Schritt 3: Prüfung der Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) Security Compliance Checks sind sowohl im Rahmen der Implementierung der Maßnahmen als auch als wiederholte Aktivität zur Gewährleistung der Informationssicherheit im laufenden Betrieb (s. Es kann im Einzelfall notwendig sein. Verteilung. weitere Verfahrensweisen zur Erstellung. Benutzung. dazu auch Kap.2. Die wichtigsten Anforderungen an die Dokumentation sind: • • • Aktualität: Alle Sicherheitsmaßnahmen sind stets auf dem aktuellen Stand der Realisierung zu beschreiben. 15. Gewährleistung der Vertraulichkeit: Dokumentation über Sicherheitsmaßnahmen kann unter Umständen sehr vertrauliche Information enthalten und ist daher entsprechend zu schützen.5 Klassifizierung von Informationen). Dabei sind zu prüfen: • • • die vollständige und korrekte Umsetzung der Sicherheitsmaßnahmen der korrekte Einsatz der implementierten Sicherheitsmaßnahmen die Einhaltung der organisatorischen Sicherheitsmaßnahmen im täglichen Betrieb Dokumentation Die Dokumentation der implementierten Maßnahmen stellt einen wichtigen Teil der gesamten Sicherheitsdokumentation dar und ist notwendige Voraussetzung für die Kontinuität und Konsistenz des Informationssicherheitsprozesses. dass zum einen eventuell bestehende Sicherheitslücken erkannt werden können. 59 • .

8.die Anforderungen aus den einzelnen Teilbereichen und systemspezifische Anforderungen hier einfließen zu lassen und entsprechend zu koordinieren. die für die gesamte Organisation Gültigkeit haben) die wichtigsten Ergebnisse der Risikoanalysen (Bedrohungen. Das Sensibilisierungsprogramm sollte folgende Punkte umfassen: • Information aller Mitarbeiter/innen über die Informationssicherheitspolitik der Organisation. .und Integritätskontrolle: Es ist sicherzustellen..1] 2.. Informationssicherheit zu einem integrierten Bestandteil der täglichen Arbeit zu machen.• Konfigurations.beabsichtigte oder unbeabsichtigte Beeinträchtigung der implementierten Maßnahmen nach sich ziehen könnten. Das Sensibilisierungsprogramm sollte systemübergreifend sein. Schwachstellen. Risiken.2 Nur durch Verständnis und Motivation ist eine dauerhafte Einhaltung und Umsetzung der Richtlinien und Vorschriften zur Informationssicherheit zu erreichen. sollte ein umfassendes. Im Rahmen einer Einführung sollten insbesondere folgende Punkte erläutert werden: • • • • • • die Informationssicherheitsziele und -politik der Organisation sowie deren Erläuterung die Bedeutung der Informationssicherheit für die Organisation Organisation und Verantwortlichkeiten im Bereich der Informationssicherheit die Risikoanalysestrategie die Sicherheitsklassifizierung von Daten • • 60 ausgewählte Sicherheitsmaßnahmen (insbesondere solche. organisationsweites Sensibilisierungsprogramm erstellt werden.2. dass keine unauthorisierten Änderungen der Dokumentation erfolgen. Es ist Aufgabe der dafür verantwortlichen Person . das zum Ziel hat.dies wird in der Regel die/der ITSicherheitsbeauftragte sein .2. die eine . Um das Sicherheitsbewusstsein aller Mitarbeiter/innen zu fördern und den Stellenwert der Informationssicherheit innerhalb einer Organisation zu betonen.2.) die Pläne zur Implementierung und Überprüfung der Sicherheitsmaßnahmen .2 Sensibilisierung (Security Awareness) ISO Bezug: 27002 5. [eh Teil 1 .3.6.

ergeben. Auftreten eines Virus.2. 6.1.• • • die Auswirkungen von sicherheitsrelevanten Ereignissen für einzelne Anwender und für die gesamte Institution die Notwendigkeit. .2.3. 8. 15. Die Veranstaltungen zum Sensibilisierungsprogramm sollten in regelmäßigen Zeitabständen wiederholt werden.2. Dabei ist insbesondere die Verantwortung des Managements für Informationssicherheit zu betonen ("Informationssicherheit als Managementaufgabe").1. Gegebenenfalls liefern Bereichs-IT-Sicherheitsbeauftragte Informationen. folgende Maßnahmen beitragen: • • • regelmäßige Veranstaltungen zum Thema Informationssicherheit Publikationen schriftliche Festlegung der Berichtswege und Handlungsanweisungen im Falle eines vermuteten Sicherheitsproblems (z.5 Über das allgemeine Sensibilisierungsprogramm hinaus sind spezielle Schulungen zu Teilbereichen der Informationssicherheit erforderlich.3 Schulung ISO Bezug: 27002-5. im Arbeitsablauf.1. wann und wo solche Veranstaltungen nötig sind. wie es der neue Arbeitsplatz verlangt. Die organisationsweite Planung dieser Veranstaltungen sollte die/der IT-Sicherheitsbeauftragte übernehmen.a.B. Das Sensibilisierungsprogramm ist regelmäßig auf seine Wirksamkeit und Aktualität zu überprüfen und laufend an Veränderungen in der Informationssicherheitspolitik sowie an neue Technologien anzupassen. 61 . Sicherheitsverstöße zu melden und zu untersuchen die Konsequenzen bei Nichteinhaltung von Sicherheitsvorgaben Zur Sensibilisierung der Mitarbeiter/innen können u.6. z. Angriff von außen ("Hacker").B..2. 8. um das vorhandene Wissen aufzufrischen und neue Mitarbeiter/innen zu informieren. [eh Teil 1 . beförderte oder versetzte Mitarbeiter/in so weit in Fragen der Informationssicherheit geschult werden.2.) Das Sensibilisierungsprogramm sollte jede/n Mitarbeiter/in der Institution auf ihre/ seine Verantwortlichkeit für Informationssicherheit hinweisen..2.2] 2. wenn sich durch Sicherheitsmaßnahmen einschneidende Veränderungen. Darüber hinaus sollte jede/r neue.

digitale Signaturen u. die in besonderem Maße mit Informationssicherheit zu tun haben. die im Rahmen von Schulungsveranstaltungen behandelt werden sollten. Wiederaufbereitung und Virenschutz. Serverräumen. regelmäßige Überprüfung von Sicherheitsmaßnahmen und ähnliches Bauliche Sicherheit: Schutz von Gebäuden.ä. die mit Aufgaben der IT-Sicherheitsverwaltung betraut sind (z.und Sensibilisierungsveranstaltungen zum Thema Informationssicherheit müssen zeitgerecht geplant und umgesetzt werden.B. 62 . LANs. Typische Beispiele für die Themen. Protokollierung. Projektleiter/innen) Mitarbeiter/innen mit spezieller Verantwortung für den Betrieb eines IT-Systems oder einer wichtigen Applikation (z. Organisation des Informationssicherheitsmanagements. um keine Sicherheitslücken durch mangelndes Wissen oder Sicherheitsbewusstsein entstehen zu lassen.B. Vergabe von Zutritts-.Personen. Brandschutz) Personelle Sicherheit Hardware. Büroräumen und Versorgungseinrichtungen mit besonderer Betonung der Verantwortung der einzelnen Mitarbeiter/innen (z. Dazu zählen etwa: • • • • • • die/der IT-Sicherheitsbeauftragte und die Bereichs-IT-Sicherheitsbeauftragten die Mitglieder des Informationssicherheitsmanagement-Teams Mitarbeiter/innen.B.und Zugriffsrechten) Das Schulungsprogramm ist von jeder Organisation spezifisch für ihren Bedarf eigenen zu entwickeln. GEHEIM oder STRENG GEHEIM eingestuften Informationen Zugang haben Mitarbeiter/innen mit spezieller Verantwortung für die Systementwicklung (z.B.und Softwaresicherheit: Dazu gehören etwa Identifikation und Authentisierung. Handhabung von Zutrittskontrollmaßnahmen. sind: • • • • • • Sicherheitspolitik und -infrastruktur: Rollen und Verantwortlichkeiten. Zugangs. Applikationsverantwortliche) Mitarbeiter/innen. Netzwerksicherheit: Netzwerkinfrastruktur. Berechtigungssysteme. Verschlüsselung. Besondere Betonung ist dabei auf die Schulung der korrekten Implementierung und Anwendung von Sicherheitsmaßnahmen zu legen. sind speziell dafür auszubilden und zu schulen. Behandlung von sicherheitsrelevanten Vorfällen. Business Continuity Planung Schulungs. die zu VERTRAULICH. Inter-/Intranets.

3] 2.[eh Teil 1 .1 Implementierung von Maßnahmen und 2. dass seine Sicherheit • • • in einer definierten Betriebsumgebung unter definierten Einsatzbedingungen für eine definierte vorgegebene Zeitspanne gewährleistet ist.6.in Echtbetrieb gehen. Wesentlich bei der Akkreditierung ist die Anwendung standardisierter und damit vergleichbarer Vorgehens. Die Kriterien. ist insbesondere darauf zu achten. Wir ein IT-System akkreditiert.4.oder eine spezifische Anwendung davon .4] 63 .3. dass dieses den Anforderungen der Informationssicherheitspolitik und der Sicherheitsrichtlinien genügt.6. sollten in den zugehörigen Sicherheitsrichtlinien festgelegt werden.3 Überprüfung von Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) Tests Evaluation und Zertifizierung von Systemen Änderungen der eingesetzten Sicherheitsmaßnahmen oder der Betriebsumgebung können eine neuerliche Akkreditierung des Systems erforderlich machen.3. vgl. Techniken zur Akkreditierung sind: • • • Prüfung der Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking). wann eine Neuakkreditierung durchzuführen ist. Erst nach erfolgter Akkreditierung kann ein solches System . auch 2. [eh Teil 1 .4 Akkreditierung Unter Akkreditierung eines IT-Systems versteht man die durch eine unabhängige Instanz formal dokumentierte Sicherstellung.und Zustandsbeschreibungen sowie standardisierter Vorgaben für Erfüllung und Dokumentation.

6. sondern muss stets auf seine Wirksamkeit.sollen erkannt und entsprechende Gegenmaßnahmen eingeleitet werden. 8 Das nach der Umsetzung des Informationssicherheitsplans erreichte Sicherheitsniveau lässt sich nur dann aufrechterhalten.liegen sollte. Monitoring sichergestellt sind: • • • Wartung und administrativer Support der Sicherheitseinrichtungen müssen gewährleistet sein. 64 . Die Verantwortlichkeiten für diese Aktivitäten müssen im Rahmen der organisationsweiten Informationssicherheitspolitik bzw. die Informationssicherheit im laufenden Betrieb aufrechtzuerhalten. das erreichte Sicherheitsniveau zu erhalten bzw.1 Aufrechterhaltung des erreichten Sicherheitsniveaus ISO Bezug: 27001 4. 2. unveränderbares Dokument.2. Ein Sicherheitskonzept ist kein statisches. Aktualität und die Umsetzung in der täglichen Praxis überprüft werden.sei es durch eine Veränderung der Bedrohungslage oder durch falsche Verwendung der implementierten Sicherheitsmaßnahmen . die realisierten Maßnahmen müssen regelmäßig auf ihre Übereinstimmung mit der Informationssicherheitspolitik geprüft werden (Security Compliance Checking) und die IT-Systeme fortlaufend überwacht werden (Monitoring). Compliance. in den einzelnen Sicherheitsrichtlinien detailliert festgelegt werden. Ziel aller Follow-Up-Aktivitäten ist es.2.4. Generell gilt auch hier. dass die Verantwortung für systemspezifische Maßnahmen bei den einzelnen BereichsIT-Sicherheitsbeauftragten . wenn Support.4 Informationssicherheit im laufenden Betrieb Umfassendes Informationssicherheitsmanagement beinhaltet nicht zuletzt auch die Aufgabe. die Verantwortung für organisationsweite Sicherheitsmaßnahmen sowie die Gesamtverantwortung bei der/ dem IT-Sicherheitsbeauftragten. Verschlechterungen der Wirksamkeit von Sicherheitsmaßnahmen .4. weiter zu erhöhen.soweit definiert . Weiters muss eine angemessene Reaktion auf alle sicherheitsrelevanten Änderungen sowie auf sicherheitsrelevante Ereignisse gewährleistet sein.

1] 2. ist sicherzustellen. [eh Teil 1 . im Bereich Virenschutz). dazu auch 2.4. die Überprüfung der Parametereinstellungen und eventueller Rechte auf mögliche nichtautorisierte Änderungen. wenn verfügbar (besonders.und Supportaufgaben können im Einzelfall beträchtlich sein und sollten daher bereits bei der Auswahl der Sicherheitsmaßnahmen bekannt sein und in den Entscheidungsprozess mit einfließen. 8 Viele Sicherheitsmaßnahmen erfordern zur Gewährleistung ihrer einwandfreien Funktionsfähigkeit Wartung und administrativen Support. Die Kosten für Wartungs. die die Aufrechterhaltung der Informationssicherheitsmaßnahmen im laufenden Betrieb ermöglichen und unterstützen die Verantwortungen im laufenden Betrieb klar zugewiesen werden die Maßnahmen regelmäßig daraufhin geprüft werden. zu erfolgen und darf nur durch dafür autorisierte Personen vorgenommen werden. die mit den Lieferfirmen geschlossen wurden. dass • • • • die erforderlichen finanziellen und personellen Ressourcen zur Wartung von Sicherheitseinrichtungen zur Verfügung stehen organisatorische Regelungen existieren. die Reinitialisierung von Startwerten oder Zählern sowie Updates der Sicherheitssoftware.Von besonderer Wichtigkeit für die Aufrechterhaltung oder weitere Erhöhung eines einmal erreichten Sicherheitsniveaus ist eine permanente Sensibilisierung aller betroffenen Mitarbeiter/innen für Fragen der Informationssicherheit (vgl.7. 6. Alle Wartungs. ob sie wie beabsichtigt funktionieren 65 .2 Sensibilisierung (Security Awareness)).2 Wartung und administrativer Support von Sicherheitseinrichtungen ISO Bezug: 27001 4.1. Um die Aufrechterhaltung eines einmal erreichten Sicherheitsniveaus zu gewährleisten. Backup und Restore sowie die Wartung von sicherheitsrelevanten Komponenten.2.und Supportaktivitäten sollten nach einem detailliert festgelegten Plan erfolgen und regelmäßig durchgeführt werden. aber nicht ausschließlich.4. Zu diesen Aufgaben zählen etwa die regelmäßige Auswertung und Archivierung von Protokollen.3. Die Wartung von Sicherheitseinrichtungen hat in Abstimmung mit den Verträgen.

Zeitpunkte Security Compliance Checks sollten zu folgenden Zeitpunkten bzw.4.und Supportaktivitäten im Sicherheitsbereich sollten protokolliert werden.4. [eh Teil 1 . ob • • • die Sicherheitsmaßnahmen vollständig und korrekt umgesetzt werden der korrekte Einsatz der implementierten Sicherheitsmaßnahmen gewährleistet ist (Stichproben!) die organisatorischen Sicherheitsvorgaben im täglichen Betrieb eingehalten und akzeptiert werden Weiters sind die getroffenen Maßnahmen regelmäßig auf Übereinstimmung mit gesetzlichen und betrieblichen Vorgaben zu überprüfen.2.1. Die Prüfungen können durch externe oder interne Auditoren/Auditorinnen durchgeführt werden und sollten soweit möglich auf standardisierten Tests und Checklisten basieren.2.• Maßnahmen verstärkt werden.3 Überprüfung von Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) ISO Bezug: 27001 4.1 Zielsetzung Zur Gewährleistung eines angemessenen und gleich bleibenden Sicherheitsniveaus ist dafür Sorge zu tragen. Dabei ist zu prüfen. bei Eintreten folgender Ereignisse durchgeführt werden: 66 .1] 2. dass alle Maßnahmen so eingesetzt werden. wie es im Sicherheitskonzept und im Informationssicherheitsplan vorgesehen ist. -Projekte und Applikationen sowohl während der Planungsphase als auch im laufenden Betrieb und letztlich auch bei der Außerbetriebnahme sichergestellt sein. Der regelmäßigen Auswertung dieser Protokolle kommt besondere Bedeutung für die gesamte Informationssicherheit zu. falls sich neue Schwachstellen zeigen Alle Wartungs. Dies muss für alle IT-Systeme. 15.7.

Mögliche Gründe dafür sind eine Änderung der IT-Sicherheitsziele. in den Sicherheitsrichtlinien vorzugebenden Zeitspanne (z.2] 2.7. dazu auch Kap. 15. seine Benutzer/innen und die Systemumgebung das im Informationssicherheitsplan festgelegte Sicherheitsniveau beibehalten.4 Monitoring ist eine laufende Aktivität mit dem Ziel. daraus resultierend. die Zahl der Hacking-Versuche über Internet oder die Wirksamkeit des Passwortmechanismus betreffen. ob das IT-System. zu überprüfen. jährlich) sowie bei signifikanten Änderungen. Dazu wird ein Plan für eine kontinuierliche Überwachung der IT-Systeme im täglichen Betrieb erstellt.2. [eh Teil 1 . die Sicherheitsanforderungen an das Gesamtsystem können im Laufe des Lebenszyklus eines IT-Projektes oder -Systems erheblichen Änderungen unterliegen.1. sollte das Monitoring durch die Ermittlung von Kennzahlen unterstützt werden. Wo technisch möglich und sinnvoll.4. Schwachstellen. zu schützenden Werte und Sicherheitsmaßnahmen können möglicherweise signifikante Auswirkungen auf das Gesamtrisiko haben.1 Security Compliance Checking und Monitoring) für bereits in Betrieb befindliche IT-Systeme oder Applikationen: nach einer bestimmten.• • für neue IT-Systeme oder relevante neue Anwendungen: nach der Implementierung (vgl. Aus diesem Grund ist eine fortlaufende Überwachung folgender Bereiche erforderlich: • • Wert der zu schützenden Objekte: Sowohl die Werte von Objekten als auch.B. Solche Kennzahlen können beispielsweise die Systemverfügbarkeit.4 Fortlaufende Überwachung der IT-Systeme (Monitoring) ISO Bezug: 27002 4. Alle Änderungen der potentiellen Bedrohungen. Bedrohungen und Schwachstellen: 67 . neue Applikationen oder die Verarbeitung von Daten einer höheren Sicherheitsklasse auf existierenden Systemen oder Änderungen in der Hardware-Ausstattung. die eine rasche und einfache Erkennung von Abweichungen von den Sollvorgaben ermöglichen.

• Organisatorisch oder technologisch (hier insbesondere durch neue Technologien in der Außenwelt) bedingt können sowohl die Wahrscheinlichkeit des Eintritts einer Bedrohung als auch die potentielle Schadenshöhe im Laufe der Zeit starken Änderungen unterliegen und sind daher regelmäßig zu evaluieren. so sind entsprechende Gegenmaßnahmen zu setzen. dass sie einen angemessenen und den Vorgaben der Sicherheitsrichtlinien entsprechenden Schutz bieten. Durch ein kontinuierliches Monitoring soll die Leitung der Institution ein klares Bild darüber bekommen. Sicherheitsmaßnahmen: Die Wirksamkeit der implementierten Sicherheitsmaßnahmen ist laufend zu überprüfen. den Bedrohungen und den Schwachstellen. Werden im Rahmen des kontinuierlichen Monitoring signifikante Abweichungen des tatsächlichen Risikos von dem im Sicherheitskonzept festgelegten akzeptablen Restrisiko festgestellt. aber auch durch den Einsatz neuer Technologien.1. [eh Teil 1 . Neue potentielle Schwachstellen sind so früh wie möglich zu erkennen und abzusichern. können die Wirksamkeit der Sicherheitsmaßnahmen nachhaltig beeinflussen.3] 68 . was durch die Sicherheitsmaßnahmen erreicht wurde (Soll-/IstVergleich). ob die Ergebnisse den Sicherheitsanforderungen der Institution genügen sowie über den Erfolg einzelner spezifischer Aktivitäten zur Informationssicherheit. Änderungen in den Werten der bedrohten Objekte.7. Es ist sicherzustellen.

bewertet und durch Setzen geeigneter und nachhaltiger Maßnahmen auf einen minimalen und akzeptierten Rest reduziert werden. eingeschätzt. zu implementieren. so ist es zu planen. Festlegung von Kriterien für akzeptable Restrisiken Schaffung von Awareness für die Bedeutung und den Nutzen eines angemessenen Informationssicherheitsniveaus bzw. Einschätzung. Bewertung der Risiken. 3. zu steuern und zu kontrollieren.1 Verantwortung der Managementebene 3. des ISMS Schaffung von Awareness und Motivation für die Notwendigkeit der Einhaltung der Sicherheitsregeln Schaffung von Awareness und Motivation. Zur Verantwortung der Managementebene gehört neben der Erreichung der geschäftlichen wie unternehmenspolitischen Ziele auch der angemessene Umgang mit Risiken. Sie müssen so früh als möglich erkannt. Dies bedeutet.1 Generelle Managementaufgaben beim ISMS ISO Bezug: 27001 5. einen systematischen und dauerhaften Sicherheitsmanagementprozess zu etablieren.3 Managementverantwortung und Aufgaben beim ISMS Dieses Kapitel nimmt Bezug auf ISO/IEC 27001 5 bis 8 . zu betreiben sowie zu kontrollieren und zu verbessern. dass die Managementebene für die Umsetzung folgender Aufgaben zu sorgen hat: • • • • • • • Erarbeitung einer Sicherheitspolitik Erarbeitung der Zielsetzungen und Detailaufgaben des ISMS Benennung von Rollen und verantwortlichen Personen Darstellung. über Schwachstellen und Sicherheitsvorfälle zu informieren und Verbesserungen vorzuschlagen 69 .1. Wird ein Informationssicherheits-Management-System (ISMS) eingerichtet.1 Es ist eine Managementverantwortung. Wegen der immer höheren Abhängigkeit von Information gilt dies besonders für Risiken aus fehlender oder mangelhafter Informationssicherheit.

hängt von seiner Komplexität ab. 70 . dass sie mit Geschäftskennzahlen versorgt werden muss): • • • • • • Sicherheitsanforderungen. für die Sicherheit zum Geschäftsmodell gehört . sowie ihre voraussichtliche Entwicklung Aufgetretene Schwachstellen oder Sicherheitsvorfälle Auswirkungen von tatsächlichen oder potenziellen Sicherheitsvorfällen auf kritische Geschäftsprozesse Potenzielle Gefährdungen aus veränderten Rahmenbedingungen und zukünftigen Entwicklungen Brauchbare Vorgehensweisen zur Informationssicherheit aus allgemeinen oder branchenüblichen Standards. wenn sie stetig mit den essentiellen Informationen versorgt wird (analog dazu. diese wiederum von Größe und Aufgaben der Organisation.etwa bei großen Organisationen oder solchen.auch finanziellen Auswirkungen.im Rahmen einer eigenen Sicherheitsorganisation erfolgen. vergleichbaren Organisationen. Sehr kleine Organisationen werden fallweise unter der Leitung des Geschäftsführers/ der Geschäftsführerin punktuell externe Berater heranziehen. wird ein/e Sicherheitsbeauftragte/r oder mehrere Sicherheitsbeauftragte benannt. bei größeren Einheiten wird sich ein Mitglied der Managementebene persönlich um das ISMS kümmern bzw. Arbeitsgruppen Es muss laufend überprüft werden. Aus diesen Informationen sind von der Managementebene laufend Schlussfolgerungen zu ziehen und Entscheidungen zu treffen: welche Schwachstellen behoben wurden. Dies kann auch . Sie kann diese Verantwortung allerdings nur dann effizient wahrnehmen.• • • Bereitstellung ausreichender finanzieller und personeller Ressourcen für Einrichtung und dauerhaften Betrieb des ISMS sowie der Sicherheitsmaßnahmen Durchführung von Audits und Management-Reviews im Rahmen des ISMS Herbeiführung von Entscheidungen über Verbesserungsvorschläge. ob und welche Sicherheitsmaßnahmen zu adaptieren sind und welche Verbesserungsmöglichkeiten umgesetzt werden. welche mit Sicherheitsaufgaben betraut werden und diese ausschließlich oder zusätzlich zu anderen Aufgaben ausüben. Unbeschadet davon bleibt die Gesamtverantwortung jedoch immer bei der Managementebene. ob und welche Sicherheitsmaßnahmen bzw. im positiven Fall jeweils auch Sicherstellung von deren Umsetzung Wie der Sicherheitsprozess organisiert wird. angemessen sind. die sich aus gesetzlichen oder vertraglichen Verpflichtungen ableiten Aktuelle Sicherheitsrisiken mitsamt ihren möglichen . Verfahren des ISMS noch wirksam bzw.

2. zeitlichen und finanziellen Aufwand erreicht werden können. Daher macht es Sinn.und Awarenessmaßnahmen zu sorgen. Grenzen der Sicherheit: • • • Es muss klar sein. wenn es sich wirtschaftlich vertreten lässt und mit den verfügbaren personellen. Nur wenn der Sinn von Sicherheitsmaßnahmen bzw. -vorgaben und -anweisungen verstanden wird. die als Folge eines schweren Sicherheitsvorfalls anfallen würden.Die Managementebene hat die Aufgabe.Kosten verursachen. die Sicherheitsziele so zu definieren. Es können Verkettungen von Vorfällen auftreten. werden diese auch gelebt und Informationen über Schwachstellen gegeben bzw.oft erhebliche . die ihnen zugehörige Informationsverarbeitung geändert werden.2 Ressourcenmanagement 3. Verbesserungsvorschläge gemacht. dass es keine 100%ige Sicherheit geben kann. dass sie zwar die Risiken auf das akzeptierte Maß senken.1 Bereitstellung von Ressourcen ISO Bezug: 27001 5.336] 3. ist gar keine. Ist das nicht möglich. zeitlichen und finanziellen Ressourcen auch erreicht werden kann. werden sie auch von sich aus Ideen einbringen und die Tauglichkeit von Sicherheitsmaßnahmen aus Sicht der täglichen Praxis beurteilen. Diesen sind jene gegenüberstellen. 71 . dass Sicherheitsmaßnahmen . die nie fertig wird.1 Aufwand und Nutzen bei der Informationssicherheit Ein angestrebtes Sicherheitsniveau macht nur dann Sinn. sondern nur ein akzeptiertes Restrisiko. [Q: BSI M 2. aber mit vertretbarem personellen. Werden die Anwender/innen in die Planung und Umsetzung von Maßnahmen einbezogen. dann muss die Sicherheitsstrategie oder aber die Geschäftsprozesse bzw. die Mitarbeiter/innen zur aktiven Mitwirkung am Sicherheitsprozess zu motivieren und für diesbezüglich ausreichende Ausbildungs. Eine "starke" Sicherheitsmaßnahme. Es muss ebenso klar sein. die niemand vorhersagen kann und die ein höheres Schadenspotenzial als das akzeptierte Restrisiko nach sich ziehen.2.

Daher ist es eher in kleineren Organisationen möglich.Ab einem bestimmten Niveau rechnet sich der steigende Aufwand für angestrebte noch höhere Sicherheitsniveaus nicht mehr. Die Erfahrung zeigt allerdings. aber nur innerhalb eines geeigneten organisatorischen Rahmens und bedient von qualifizierten Menschen.und Arbeitsaufwand für alle mit der Informationssicherheit befassten Mitarbeiter/innen. Weit verbreitet ist die Ansicht. 72 .insbesondere IT-Sicherheit . der dennoch in einem eher straffen Terminplan zu erledigen ist. kurzfristig externe Sicherheitsexperten heranzuziehen. dass personelle Ressourcen und geeignete .zumindest ein Teil von ihnen . Mit einem solchen Team werden unterschiedliche Organisationseinheiten in den Sicherheitsprozess einbezogen und Kompetenzen gebündelt. bei der die Anzahl an Sicherheitsvorfällen signifikant zurückgeht. Selbstverständlich ist Sicherheitstechnik eine wichtige Lösung und häufig unentbehrlich.vor allem durch technische Maßnahmen bewerkstelligen lässt. In einem solchen Fall muss auf den Schutz der Informationen gegenüber Externen geachtet werden. Wenn möglich sollten diese als IS-Management-Team formiert und . Ressourcen für die Organisation Erfahrungsgemäß ist die Benennung eines/einer IT-Sicherheitsbeauftragten eine sehr effiziente Sicherheitsmaßnahme.organisatorische Maßnahmen in vielen Fällen am effektivsten sind. da der tatsächliche Gewinn an Sicherheit immer geringer wird. Größere Organisationen oder solche mit hohen Ansprüchen an Informationssicherheit. werden entweder hauptamtliche Sicherheitsbeauftragte beschäftigen oder ISManagement-Teams aus mehreren Mitarbeitern/Mitarbeiterinnen. zusammenstellen.oft sehr einfache . dass er/sie die Sicherheitsaufgaben neben den eigentlichen Tätigkeiten ausübt. dass sich Informationssicherheit .1 Richtlinien beim Datenaustausch mit Dritten ) Ressourcen für die Einrichtung des ISMS: IS-Management-Team Die sorgfältige Einrichtung und Planung des ISMS bedeutet einen erheblichen Zeit. Für ad-hoc Beratungen. Überprüfungen oder Implementierungen kann es sich auch für kleine Organisationen lohnen. Die Informationssicherheit wird dadurch schneller in allen Organisationseinheiten umgesetzt und es gibt weniger Konflikte.während dieser Zeit von ihren sonstigen Aufgaben so weit als möglich freigestellt werden. bis er gar nicht mehr zunimmt. Ihm/ihr muss allerdings ausreichend Zeit für seine diesbezügliche Tätigkeit zugestanden werden.8. welche dies neben ihren eigentlichen Aufgaben wahrnehmen können. ( siehe dazu 10.

Dabei ist auch laufend zu bewerten: • • • ob der Aufwand jeweils noch im Einklang zum Sicherheitsnutzen steht. Überlastete IT-Mitarbeiter/innen. welche Alternativen eingesetzt werden könnten. zeitliche und finanzielle Ressourcen erforderlich und bereitzustellen. um die Wirksamkeit und Eignung der Sicherheitsmaßnahmen systematisch überprüfen zu können. etc. fehlende Ausbildung. Ressourcen für Betrieb und Überprüfung Ein reibungsloser IT-Betrieb ist zwar eine Voraussetzung für Informationssicherheit. Datenschutz Personal Betriebsrat Finanz / Controlling Rechtsabteilung Für eine kontinuierliche Steuerung des Prozesses sollte ein solches IS-ManagementTeam regelmäßig zusammenkommen. Daher sollte sich die Managementebene immer wieder vom Ablauf des Betriebs und der Situation der Mitarbeiter/innen überzeugen und bei Mängeln für deren rasche Behebung sorgen. 73 . ob die verwendeten Sicherheitsmaßnahmen die zugehörigen Geschäftsprozesse noch unterstützen. in vielen Fällen aus Ressourcenmangel aber nicht gegeben. Weiters sind personelle. sind Quellen für plötzlich auftretende Fehler.aus den Bereichen zusammensetzen: • • • • • • • • • Informationssicherheit Fachabteilungen Haustechnik Revision IT. welche die ohnehin problematische Situation verschärfen. mangelhaft gewartete IT-Einrichtungen.Das IS-Management-Team kann sich etwa . Zusätzlich kann es zu schleichender Demotivierung mit allen negativen Folgen führen.je nach Größe und Art der Organisation .

Dies ist ein langfristiger und kontinuierlicher Prozeß mit vielschichtigen Effekten: • • • • • • • Überzeugung aller Mitarbeiter/innen. [Q: BSI Standard 100-2] 3. aber auch sicherheitsrelevanten Ziele wohl nur mit hinreichend ausgebildeten und informierten Mitarbeitern/Mitarbeiterinnen erreichen. Schulung und positive Bewußtseinsbildung vermittelt Kompetenz und ermöglicht den Mitarbeitern/Mitarbeiterinnen. Dies wird in der Regel von einem/ einer entsprechend ausgebildeten Mitarbeiter/in in Zusammenwirken mit der Managementebene durchgeführt.2. ausgeprägtes Sicherheitsbewußtsein bei den Mitarbeitern und Mitarbeiterinnen und deren ausreichende und weiterentwickelte Qualifikation. 74 .Schließlich sind noch Ressourcen bereitzustellen. um das ISMS selbst auf Konsistenz und Wirksamkeit zu überprüfen (Interne / externe Audits. was sie in kritischen Situationen tun bzw. Das beginnt selbstverständlich schon bei der Auswahl von Bewerbern bei der Einstellung und setzt dafür genaue und aktuelle Job-Beschreibungen voraus. Laufende Information.2 Schulung und Awareness ISO Bezug: 27001 5. die Folgen und Auswirkungen ihrer Tätigkeit im beruflichen und privaten Umfeld einzuschätzen. ManagementReviews) und ggf. dass und warum bestimmte Sicherheitsmaßnahmen notwendig und sinnvoll sind Wissen bei den Mitarbeitern/innen über Erwartungen hinsichtlich Informationssicherheit Wissen bei den Mitarbeitern/innen. Die mitgebrachten Kenntnisse und Erfahrungen decken jedoch nur einen Teil des Benötigten für die nunmehrige Tätigkeit ab und werden mit der Zeit weniger aktuell. dass Informationssicherheit ein Erfolgsfaktor ist Überzeugung aller Mitarbeiter/innen.2. unterlassen sollen Ausreichende Kenntnisse und Fertigkeiten zur Durchführung ihrer Aufgaben Kenntnis der betrieblichen Abläufe Kenntnis der Ansprechpartner für Sicherheitsfragen oder -probleme Die Organisation wird ihre geschäftlichen.2 Wirksame Informationssicherheitsmaßnahmen benötigen neben ihrer sachlichen Implementierung eine Sicherheitskultur der Organisation. Verbesserungen einzuleiten.

sich der Bedeutung von ausreichender Information. Selbstverständlich gilt auch hier der Grundsatz der Angemessenheit: Schulungen sind kein Selbstzweck.und Awarenessprogramm: Optimalerweise wird für umfassende und angemessene Kompetenz ein Schulungs.und Awarenessmaßnahmen nachhaltig zu unterstützen.Gefährdungen: Unzureichende Informationen und Kenntnisse können im Bereich der Informationssicherheit eine Reihe von Gefährdungen heraufbeschwören: • • • • Vertraulichkeits.oder Administratorrechten Manipulation an Informationen oder Software Social Engineering Ausspähen von Informationen Es muss daher im vitalen Interesse der Managementebene liegen. sondern ein Mittel zur Erreichung der geschäftlichen und sicherheitspolitischen Ziele und unterliegen wie jede andere Maßnahme einer Kosten-/Nutzen Relation. Fehlerhafte Nutzung oder Administration von IT-Systemen) Nichtbeachtung von Sicherheitsmaßnahmen Sorglosigkeit im Umgang mit Informationen Mangelhafte Akzeptanz von Informationssicherheit Weiters kann aus unzureichender Information (etwa wenn dies als böse Absicht des Managements interpretiert wird) im Zusammenwirken mit stetiger Überlastung Frustration entstehen. unerlaubte Ausübung von Rechten.und Awarenessprogramm aufgebaut und in Schritten durchlaufen. Schulung und Awareness für Informationssicherheit bei den Mitarbeitern/Mitarbeiterinnen bewusst zu sein und Schulungs. was mitunter zu vorsätzlichen Handlungen führen kann: • • • • • Unberechtigte IT-Nutzung Missbrauch von Benutzer.oder Integritätsverlust von Daten durch Fehlverhalten (unzureichende Kenntnis der Regelungen. 75 . Damit werden Unterschiede im Wissenstand einzelner Mitarbeiter/innen abgesehen von ausgesprochenen Spezialisierungen . Schulungs.ausgeglichen.

76 . erhebliche Kosten verursachen können und den Mitarbeitern/Mitarbeiterinnen erhebliche Zeit abverlangen. Administratoren. Spezialkenntnisse. neue Abläufe/ Systeme). Spezialisierung (etwa: neue Mitarbeiter/innen. Planung und Konzeption: Am Beginn des Programms steht die sorgfältige Planung . Weiters . • • • • • • Lernziele definieren: Vor allem Sicherheitsziele der eigenen Organisation müssen vermittelt werden. da diese unterschiedliche Bedürfnisse aber auch Zeitressourcen haben (etwa: Management. in der sie für ihre eigentlichen Aufgaben nicht zur Verfügung stehen. inkl.vor allem bei E-Learning . Seminare etc. da Schulungen. Basiswissen. aber auch Basiswissen zu Informationssicherheit und Fertigkeiten für Verhalten in kritischen Situationen. ob eigene Mitarbeiter/innen die Schulungen durchführen oder externe Trainer/innen.) gesorgt werden. Lernbedarf identifizieren: auf Basis bisheriger Kenntnisse. ob und inwieweit individuelle Schulungen notwendig sind oder ob z. E-Learning eingesetzt werden kann. etc. Im IT-Bereich können Sicherheitsschulungen durchaus in IT-Schulungen integriert werden.auch für weitere Programme . darauf verzichtet oder nur dezidierte Internet-PCs dafür verwendet werden.B. soweit möglich. dann muss für die notwendige Infrastruktur (Konferenzraum.und Awarenessmaßnahmen definieren. Weiters ist zu klären. sofern die Trainer hinreichend qualifiziert sind und der Sicherheit hinreichend Platz eingeräumt wird. Projektor. ob standardisierte Seminare ("von der Stange") ausreichen (dazu sind auch deren Termine zu berücksichtigen). Umfeld und Hintergründen. Schulungs.muss auf potenzielle Sicherheitsrisiken durch die Schulungsmedien geachtet werden (etwa aktive Inhalte wie Java.und Awarenessprogramme. Hier besteht jedoch die Gefahr einer Überfrachtung. Lernmethoden und -medien auswählen: eine wesentliche Entscheidung ist.untersucht werden. Externe).und Awarenessprogramm definieren inkl. Benutzer. sollten auf ihren Erfolg und ihre künftige Brauchbarkeit .diese zahlt sich wörtlich aus. Die generellen Anforderungen sind jedoch die gleichen wie bei größeren Einheiten. die bereits einmal durchgeführt wurden. Lerninhalte festlegen: jedenfalls alle Regelungen und Verfahren für den jeweiligen Arbeitsplatz.Speziell kleine Organisationen werden sich jedoch mitunter auf das Aufspüren und Beheben individueller Kenntnislücken beschränken müssen. Erfolgskriterien für das Schulungs. Zielgruppen für einzelne Schulungs. ActiveX) und ggf. haben dafür meist mit geringerer Komplexität zu tun. Stromanschluss. Javascript. Findet die Schulung in den eigenen Räumen statt. deren Messung. so dass dann aus Zeitmangel die Schulung gar nicht vollständig durchgeführt wird.

Die Organisation sollte für jede/n Mitarbeiter/in im Personalakt festhalten. ist eine sorgfältige Terminplanung erforderlich.Durchführung und Kontrolle: Damit möglichst alle vorgesehenen Mitarbeiter/innen effizient geschult werden. muss ggf. welche Schulungs-/ Awarenessmaßnahmen absolviert wurden. 77 . ggf. Die zu schulenden Mitarbeiter/innen müssen für die Zeit der Schulung möglichst von ihren angestammten Aufgaben freigestellt werden. dass sie im Zuge der Schulung nicht Kenntnis über sensible Informationen erhalten. kann auch ein positives Absolvieren dargestellt werden. auch Zeit für die Erledigung der wichtigsten Aufgaben verbleiben. Die Lerneinheiten sollten jeweils zeitlich so gestaltet werden. können sein: • • • Fragebögen mit Bewertungen der Teilnehmer Fragebögen mit Fragen aus dem gelernten Stoff Diskussionsmeeting Management / Sicherheitsbeauftragte/r / Mitarbeiter/innen nach der Schulungs-/Awarenessmaßnahme Dokumentation von Schulungs-/Awarenessmaßnahmen: Am Schluss einer Aus. um den Erfolg nachzuprüfen. Nach der Schulungs-/Awarenessmaßnahme sollte ihr Erfolg und ihre Effizienz überprüft werden: • • • • • Wurden alle betroffenen Mitarbeiter/innen erreicht? Wurden die Inhalte verstanden? Waren die Mitarbeiter/innen mit der Schulungs-/Awarenessmaßnahmen zufrieden? Gibt es (sachlich begründeten) Bedarf für weitere Schulungen? Hat sich die Einstellung der Mitarbeiter/innen gegenüber Sicherheitsmaßnahmen positiv geändert? Dies ist allerdings nicht einfach zu ermitteln.oder Weiterbildungsmaßnahme sollte jedem Teilnehmer/ jeder Teilnehmerin eine Teilnahmebestätigung übergeben werden. Wenn nicht anders möglich. Im Fall externer Trainer muss darauf geachtet werden. da es zu keinen mißbräuchlichen Überwachungsaktionen kommen darf. dass die Inhalte auch aufgenommen werden können. Methoden.

M 2.Flankierende Schulungs. Maßnahmen und Verfahren innerhalb der eigenen Organisation: • • • • 78 die gesetzlichen und normativen Vorschriften erfüllen. Daher sollte das Schulungsangebot sowohl für neue wie auch für erfahrene Mitarbeiter/innen in regelmäßigen Abständen Auffrischungs.13. Zeitschriften mit sicherheitsrelevanten Themen Mitarbeiterzeitung. nach wie vor geeignet sind. Schwachstellen und möglicher Abwehrmaßnahmen ist eine ständige Auffrischung und Erweiterung des Wissens über Informationssicherheit erforderlich. ob Ziele.312] 3.3 Interne ISMS Audits Interne Audits dienen zur Überprüfung. Messen und Konferenzen E-Learning-Programme Planspiele zur Informationssicherheit Diskussionsmeetings (Round-Tables) Flankierende Schulungs. einwandfrei funktionieren und wirksam sind. . IT-Systemen. um die Informationssicherheitsziele zu erreichen. Vorgaben. korrekt umgesetzt sind und von allen Beteiligten eingehalten werden. [Q: BSI B 1.und Ergänzungskurse vorsehen.und Awarenessmaßnahmen: Vor dem Hintergrund ständig neuer Anwendungen. 1-2 Quizfragen Rundschreiben. Poster und Broschüren interne Informationsveranstaltungen externe Seminare.und Awarenessmaßnahmen: Abgesehen von "klassischen" Schulungs-/Awarenessmaßnahmen bieten sich zur kontinuierlichen Weiterbildung an: • • • • • • • • • Informationsforum zur Informationssicherheit im Intranet Anmeldebildschirm mit Sicherheitsinformationen resp. E-Mails. Die Schulungsprogramme selbst müssen regelmäßig aktualisiert und an neue Gegebenheiten angepasst werden. Bedrohungen.

und Informationsbedarf der Führungskräfte und Mitarbeiter/innen Verbesserungspotenzial bei Geschäftsprozessen und Sicherheitsmaßnahmen Möglichkeiten zur Optimierung der Organisation sowie in der Motivation der Mitarbeiter/innen. tiefer in die Themen eindringen und können jeweils nach und nach Teilbereiche der Organisation umfassen. nach der der/die Auditor/in die Audit-Themen Punkt für Punkt durchgeht und die u. Rechnungsabschlüsse. Die Managementebene muss den Auditprozess initiieren und mittragen sowie dafür sorgen. Zertifizierungsaudits wesentlich umfassender erfolgen.1 Planung und Vorbereitung interner Audits ISO Bezug: 27001 6 Interne Audits sollten einmal pro Jahr durchgeführt werden und dabei nicht in Zeiten hoher Arbeitsbelastungen (Systemumstellungen. etc. da sie ihre Gedanken im Rahmen des Audits einbringen können und sollen 3.a. enthält: • • • • • Datum Zeit Thema Teilnehmer Erledigungsvermerk 79 .oder Zertifizierungsaudits.3. Das Audit sollte nach einem Auditplan verlaufen. Weiterer Nutzen liegt im Erkennen von: • • • • Schulungs.) oder reduzierter Ressourcen (Urlaubszeit) fallen. Interne Audits können im Vergleich zu zeitlich begrenzteren externen Akkreditierungs. Damit können Schwachstellen besser erkannt und zielgerichtete Verbesserungen eingeleitet werden. PC) zur Verfügung gestellt werden. welcher der Managementebene sowie allen Beteiligten bzw.bzw. Der Auditplan enthält eine konkrete Checkliste. dass den Auditoren/Auditorinnen und teilnehmenden Mitarbeitern/ Mitarbeiterinnen ausreichend Zeit und Sachressourcen (Konferenzraum.Interne Audits sind bei Akkreditierungen meist eine notwendige Vorleistung für extern durchgeführte Akkreditierungs. Betroffenen vorab bekannt gegeben wird.

für welche sie nicht verantwortlich sind Fachliche Qualifikationen: ausreichende Schul.B.und Berufsausbildung um die Geschäftsprozesse und Sicherheitsmaßnahmen zu verstehen Kenntnis der relevanten Gesetze und Normen. ebenso müssen die Ergebnisse aus früheren Audits einfließen. Anforderung an Auditoren/Auditorinnen: Die Managementebene muss einen oder mehrere Auditoren/Auditorinnen benennen. Belastbarkeit. Werden im Zuge des Audits vertrauliche Dokumentationen benötigt. Bewertung. an die allerdings Anforderungen zu stellen sind: Objektivität und Unparteilichkeit: • • • • • • • Auditoren/Auditorinnen dürfen nur Bereiche auditieren.Anforderungen an die Durchführung des Audits und die Verantwortlichkeiten sind festzulegen und zu dokumentieren. in denen sie nicht selbst tätig sind bzw. für das Audit relevante Normen (z. Analyse. ebenso die Anforderungen an die Ergebnisdokumentation.und Sicherheitsziele sowie der wesentlichen Abläufe und Prozesse Kenntnisse der wesentlichen Themen der Informationssicherheit Schulung um Audits durchführen zu können (Methodik. ISO 19011) Kenntnis der Unternehmens. so ist für deren ausreichenden Schutz zu sorgen. Fragetechnik. welche Bedeutung die zu untersuchenden Bereiche haben und in welchem Status (Planung / Etablierung / Test / produktiver Betrieb) sie sich befinden. inkl. Bei der Planung des Auditprogramms ist zu priorisieren. Festigkeit auch in Stresssituationen Einfühlungsvermögen zugleich mit Beharrlichkeit Erkennen von größeren Zusammenhängen und Konsequenzen aus Einzelinformationen . Berichtswesen) Persönliche Fähigkeiten: • • • • • 80 Klare und verständliche mündliche und schriftliche Ausdrucksweise Aktives Zuhören Ausdauer.

. Sicherheitskonzept.3.an deren Arbeitsplatz statt. vor allem wann welche Mitarbeiter/innen zur Verfügung stehen sollen. Systembeschreibungen. Es ist zunächst zu hinterfragen: • • • • • • Sind die Vorgaben geeignet. mit aktuellen Themen zu beginnen. Detailüberprüfungen finden meist im Gespräch mit den jeweils befassten Mitabeitern/Mitarbeiterinnen . Dabei werden die Unterlagen (Vorgaben. Programm. Sicherheitskonzept. Normen. Es ist oft sinnvoll.. so sollte nach weiteren Beispielen gefragt werden. um allfällige systematische Abweichungen aufzudecken. Arbeitsanweisungen) durchgegangen und Fragen gestellt / beantwortet.). Meist beginnt ein Audit mit einem Gespräch der Auditoren/Auditorinnen und maßgeblichen Mitarbeitern/Mitarbeiterinnen. der vorläufige Zeitplan wird besprochen.). aber auch an den Vorgaben liegen.2 Durchführung interner Audits ISO Bezug: 27001 6 Auditoren/Auditorinnen und Beteiligte aus den zu auditierenden Organisationseinheiten haben sich vorbereitet (Auditplan. Inhaltliche Grundlage des internen Audits sind die Vorgaben (Gesetze. Mitglieder der Managementebene sollten nach Möglichkeit anwesend sein. Werden Abweichungen von einer Vorgabe erkannt. Damit werden auch allfällige Ängste vor Notizen genommen. Checkliste.. Zunächst erklären die Auditoren/Auditorinnen die Zielsetzung des Audits. Handbücher. Systembeschreibungen. Diese sind relevant für Verbesserungsmaßnahmen: das Problem kann an der Einhaltung. die relevanten Gesetze einzuhalten und Normen zu erfüllen? Welche Vorgaben sind vorhanden? Sind sie den befassten Personen bekannt und werden sie verstanden? Sind die Vorgaben vollständig und klar formuliert? Gehen aus den Vorgaben die Verantwortlichkeiten und Zuständigkeiten hervor? Beschreiben die Vorgaben jeweils geschlossene Workflows (Eingabe / Verarbeitung / Ausgabe-Ergebnis)? Gibt es Vorgaben zur Protokollierung von Abweichungen / Vorfällen? 81 . . Geschäftsziele. Dokumentationen..etwa indem zu Ideen und Beiträgen für Verbesserungsmaßnahmen ermuntert wird und diese notiert werden.3. Sicherheitspolitik. .wenn möglich . Es liegt am Auditor / an der Auditorin. ein konstruktives und positives Klima zu schaffen .

.)? Welche persönliche Meinung haben die befassten Mitarbeiter/innen von den Vorgaben? Halten sie die Vorgaben für sinnvoll? Welche Verbesserungsmaßnahmen schlagen die Mitarbeiter/innen vor? Die Fragenkomplexe werden mit Hilfe der Checkliste durchgegangen. Meinungsäußerungen. die nicht angewendet werden? Gibt es umgekehrt durchgeführte Tätigkeiten.. ob eine bestimmte Maßnahme gut oder weniger gut umgesetzt ist. wenn Vertiefung zum Verständnis notwendig wird oder sich ein Verdacht auf Abweichungen ergibt.. Die Erkenntnisse für die Auditoren/Auditorinnen ergeben sich aus den Antworten in Relation mit den schriftlichen Unterlagen. . bieten Feedback und können zu einer angeregteren Diskussion beitragen. 82 . . Schon bei der Frage-/Antwortdiskussion müssen die Auditoren/Auditorinnen auf Objektivität und Unparteilichkeit achten. Auditoren/Auditorinnen müssen allerdings speziell darauf achten. Tagesprotokolle..)? Welche dokumentierten Hinweise über die Wirksamkeit der Vorgaben / Maßnahmen gibt es (verhinderte Eindringversuche. erfolgte Behebung von Störungen. um die Einhaltung kontrollieren und überprüfen zu können? Gibt es Vorgaben.• Wurden allfällige Verbesserungsmaßnahmen aus dem letzten Audit umgesetzt und wie? Der nächste Fragenkomplex betrifft ihre Einhaltung: • • • • • • • • • • Welche Nachweise sind vorgesehen. konnten solche anhand der Vorgaben behoben werden / mußte improvisiert werden? Gab es Änderungen bei den Vorgaben auf Grund von Sicherheitsvorfällen? Werden die jeweiligen Tätigkeiten in der Praxis dokumentiert und wie (Arbeitsaufzeichnungen.. sollten allerdings gezielt eingesetzt werden. Sinnvoll ist es dabei. situationsbezogen müssen ergänzende Fragen gestellt und beantwortet werden. dass ihre Fragen stets zum Zweck des Audits und keinesfalls zu ihrer eigenen Weiterbildung gestellt werden. für die keine Vorgaben existieren? Wie exakt werden die Vorgaben bei der praktischen Tätigkeit eingehalten? Gab es Sicherheitsvorfälle. Diese dient aber nur als Leitfaden. .).. nach den Gründen für entdeckte nicht eingehaltene Vorgaben zu fragen (nicht verstanden / Überlastung / mangelnde Information.

Verantwortlichkeiten oder Zuständigkeiten für Prozesse fehlen oder sind falsch. Bei Sicherheitsvorfällen musste improvisiert werden und die Vorgaben wurden nicht entsprechend modifiziert. Dabei ist auf Objektivität zu achten. aber auch Erkenntnisse zur Erhöhung der Qualität bzw. Nicht benötigte Vorgaben. sind falsch oder mangelhaft. etwa bei den subjektiv empfundenen Gründen für Abweichungen. Beispiele für Erkenntnisse. Vorgaben werden regelmäßig oder gar nicht eingehalten. welche Maßnahmen nach sich ziehen müssen: • • • • • • Wesentliche Vorgaben für Arbeitsabläufe fehlen. Protokolle werden nicht ausgewertet.Am Schluss der Durchführungsphase sollte wiederum ein Gespräch der Auditoren mit maßgeblichen Mitarbeitern/Mitarbeiterinnen und Managementvertretern stattfinden.3 Ergebnis und Auswertung interner Audits ISO Bezug: 27001 6 Die Erkenntnisse aus den Befragungen werden den einzelnen Vorgaben und Beschreibungen zugeordnet und von den Auditoren/Auditorinnen analysiert. 83 . Bedarf für Schulung und Awareness. allgemeinen Verbesserung: • • • • Die Vorgaben sind zu wenig bekannt. Empfehlungen) Allfällige Möglichkeiten zur Stellungnahme Termin für Schlussdokument und Schlusspräsentation 3.3. Dabei wird den Teilnehmern für ihre Mitwirkung gedankt und eine Vorschau auf das Ergebnis geboten: • • • • Vorläufige Erkenntnisse aus der Befragung und den Unterlagen Zeitpunkt und Art der Berichtslegung (Erkenntnisse. Ungünstig formulierte Vorgaben mit hohem Schulungsaufwand. Wesentliche vorgegebene Dokumentationen oder Protokolle werden nicht verfasst/geführt.

sondern kann davon ausgehen. Schließlich erfolgt die gesamtheitliche Auswertung nach: • • • • Vorhandensein und Qualität der Vorgaben. Empfehlungen zur Verbesserung von Prozessen und Maßnahmen. das diese in der Organisation bekannt sind. Tatsächliche (historische) oder künftige (potenzielle) Auswirkungen auf das Erreichen der Sicherheitsziele resp. die vereinfacht oder gar eingespart werden könnten. Die nächste Stufe sind Schlussfolgerungen für das Gesamtsystem. Grad ihrer Einhaltung. klar und verständlich formuliert sein und seine Gliederung für alle internen Audits möglichst gleich sein. Der Bericht sollte kompakt. Lücken im System. Schwachstellen bzw. Er sollte nicht redundanterweise das System. die sich durch mehrere Bereiche der Organisation ziehen: • • • • Gemeinsamkeiten bei mangelhaften Vorgaben (z. sowie zu: • • Empfehlungen zur Verbesserung der Vorgaben und ihrer Einhaltung. die Vorgaben oder Maßnahmen beschreiben. unverständliche Formulierung. Bereitstellung besserer Arbeitsmittel.B. Wirkungsgrad der Maßnahmen. beispielsweise wie folgt: 84 . Abweichungen und Trends zu finden. indem etwa versucht wird. Systematische Nichteinhaltungen.• • Prozesse und Abläufe. Interner Audit Bericht Der Bericht dient vor allem zur Dokumentation erkannter Schwachpunkte und als Checkliste für Verbesserungsmaßnahmen. komplizierte Beschaffung). aber auch Abweichungen an bestimmten Stellen in der Organisation. Single Points of Failure: Konzentration von Zuständigkeiten. ZIile der Organisation.

auditierte Organisationseinheit(en). Schlussbesprechung Vor der offiziellen Übergabe des Auditberichts an die Managementebene sollen die betroffenen Personen bzw. Auditzeitraum. Eine probate Vorgehensweise besteht in der Vorab-Aussendung des Berichts oder der für die Betroffenen relevanten Teile als "Vorversion zur Stellungnahme". verwendete Unterlagen. Aussagen über die Wirksamkeit von Maßnahmen (wenn möglich) Empfehlungen für Maßnahmen (bei mangelhafter Erfüllung) mit Terminhorizonten bzw.• • • • • • • Formalia (Anlass. zu den Erkenntnissen Stellung zu nehmen. die Ziele der Organisation Zusammenfassung und Priorisierung der wichtigsten Verbesserungsvorschläge (betreffend Vorgaben wie Umsetzungen und Einhaltung) Zeithorizont für das nächste Audit (ggf. dass Stellungnahmen nur berücksichtigt werden. Stellen Gelegenheit erhalten. außerplanmäßiges Nach-Audit bei schwerwiegenden Abweichungen) Stellungnahmen. Es sollte eine angemessene. allfällige Bereiche die nicht geprüft wurden Management Summary der wesentlichsten Erkenntnisse aus Gesamtsicht Jeweils pro auditierter Vorgabe: Bezeichnung. Immerhin kann es im Zuge des Audits zu Missverständnissen oder beim Verfassen des Berichts zu Darstellungen gekommen sein. nicht aber um etwa richtigerweise 85 . Inhalt Feststellungen (etwa: erfüllt / teilw. allgemeine Verbesserungsvorschläge (wie Schulungsbedarf) Identifizierte Zuständigkeiten für die Umsetzung sowie als Gesamtergebnis am Schluss: • • • • • Eindruck der Auditoren/Auditorinnen über den Ablauf des Audits Zusammenfassung der wesentlichsten Erkenntnisse über alle Bereiche Schlussfolgerungen für das Sicherheitsniveau bzw. Auditor/Auditorin. Es muss allen Beteiligten klar sein. um falsche Darstellungen im Bericht zu korrigieren. aber nicht zu lange Frist für die Stellungnahmen gesetzt werden und diese sollten nach Möglichkeit schriftlich erfolgen. erfüllt / nicht erfüllt / nicht anwendbar im Einzelfall) Begründungen. welche das Bild verzerren würden. Berichtsdatum.

wenn es sich um relevante Schwachstellen handelt. Die betroffenen Organisationseinheiten haben die Gelegenheit für Stellungnahmen . erfüllte Vorgaben positiv herausstreichen aber auch seine Entschlossenheit zur Umsetzung wichtiger Verbesserungsmaßnahmen zum Ausdruck bringen. Nichteinhaltung von Vorgaben. Abweichungen.erkannte Schwachstellen oder Abweichungen wegzudiskutieren. dass Maßnahmen zur Behebung von erkannten Schwachstellen. bei dem Mitarbeiter/innen für Nichteinhaltungen angeklagt werden. Dabei muss vor allem seitens des Managements darauf geachtet werden. Bei größeren Meinungsverschiedenheiten kann auch ein Gespräch mit den Betroffenen sinnvoll sein. Jedenfalls sollte ein Ergebnisprotokoll geführt und der Auditdokumentation beigelegt werden.4 Management-Review des ISMS Die Managementebene hat dafür zu sorgen. Verbesserungsvorschläge. daher entsprechend zu schützen. ergriffen werden oder aber die Ursachen beseitigt werden. An der Schlussbesprechung sollten maßgebliche Mitarbeiter/innen der auditierten Organisationseinheiten sowie Mitglieder der Managementebene teilnehmen. Schlussfolgerungen. Prüfergebnisse und -berichte sind in der Regel besonders vertraulich. 86 . etc.etwa betreffend Gründe für im Audit gemachte Feststellungen. Die Managementebene soll zum Ergebnis Stellung nehmen. dass das Ziel des Audits und der Schlussbesprechung die Optimierung von Vorgaben sowie Abläufen und des Sicherheitsniveaus ist und es sich keinesfalls um ein Tribunal handelt. nächstes Audit) und sprechen allfälligen Handlungsbedarf der Managementebene an. 3. Dies hat ohne unbegründete Verzögerung zu erfolgen.ist die inhaltliche Grundlage für ein nun folgendes Management-Review. Diese Dokumentation . wesentliche Erkenntnisse. Bei der Schlussbesprechung kann seitens des Managements bereits ein Ausblick über die Umsetzung von Verbesserungsvorschlägen samt Zeithorizont gemacht werden. Begründete Stellungnahmen werden in die offizielle Version des Berichts eingearbeitet und diese dem Management übergeben.insbesondere der Auditbericht . Die Auditoren/Auditorinnen präsentieren dabei das Gesamtergebnis laut Auditbericht (Ablauf des Audits.

Sicherheitspolitik.Eine erfolgreiche Steuerung mit den dafür notwendigen Entscheidungen ist allerdings nur möglich. Somit muss die Managementebene das ISMS regelmäßig . Weiters kann die regelmäßige Durchführung von Management-Reviews eine notwendige Voraussetzung für Akkreditierungen darstellen. hängt nicht zuletzt von der Größe und Komplexität der eigenen Organisation ab. Durchsicht der Dokumentation hinsichtlich Aktualität und Workshops (mit Ergebnisprotokollen) zur Diskussion von Problemen und Erfahrungen schon ausreichend sein. Sicherheitspolitik finden.1 Management-Review Methoden ISO Bezug: 27001 7.4. Abschätzen und Eliminieren von Fehlern und Schwachstellen Optimieren des Informationssicherheitsprozesses hinsichtlich Effizienz Verbesserung von Strategie. so sind deren Ergebnisse eine gute Grundlage für Management-Reviews. dass die Managementebene ein Bild über den aktuellen Stand des Sicherheitsniveaus und allfälligen Handlungsbedarf bekommt: 87 . Awareness der Mitarbeiter/innen. Wesentlich ist. -maßnahmen. inwieweit die Sicherheitsziele mit Hilfe der eingesetzten Sicherheitsstrategie und den dafür umgesetzten Maßnahmen tatsächlich erreicht werden konnten. Werden regelmäßig interne oder externe Audits durchgeführt. -konzept. einerseits den Sicherheitsprozess. Aufwertung der Unternehmenskultur 3. ob es aktuell und nachhaltig zur Erreichung der Sicherheitsund Geschäftsziele geeignet und wirksam ist.zumindest einmal jährlich .überprüfen. Grundsätzliche Aussagen zu einer solchen Überprüfung und ihren Grundlagen sollten sich daher bereits in der Informationssicherheitsstrategie bzw. Eine solche Überprüfung wird als Management-Review bezeichnet. In kleinen Organisationen können ansonsten jährliche Funktionsprüfungen der IT-Systeme. vorgaben und Abläufen hinsichtlich Praxistauglichkeit und Einsparungspotenzial Optimierung von Kompetenz. Zielsetzungen sind dabei: • • • • • Erkennen.1 Sie sollen geeignet sein. andererseits die Umsetzung der Sicherheitsmaßnahmen auf ihre Angemessenheit. wenn die Managementebene einen Überblick hat. Wie umfassend und damit aufwändig die Grundlagen sind. Wirksamkeit und Effizienz zu prüfen.

Dokumentation. Vorschriften oder Normen können erheblichen Einfluss auf die Geschäftsprozesse und damit auf das Sicherheitskonzept haben.1.mitunter strategischen Ursachen erforscht und Entscheidungen zur Abhilfe getroffen werden. Angriffe) Für Fragestellungen im Detail zur Erhebung und zum Erkennen von Schwachstellen und Verbesserungsmöglichkeiten siehe 3. Auswertung von Sicherheitsvorfällen Allfällige Übungen und Tests zur Simulation von Sicherheitsvorfällen und deren Ergebnisse Ereignisse.• • • • Berichte von internen oder externen Audits (resp. 88 .1 Review der Strategie und des Sicherheitskonzepts ISO Bezug: 27001 7. Sicherheitsbeauftragte sowie maßgebliche Führungskräfte oder Spezialisten aus den betroffenen Bereichen (etwa der IT) teilnehmen. [Q: BSI-Standard 100-2] 3. wenn man sich in trügerischer Weise darauf verläßt. an dem Vertreter der Managementebene. Technologien. Für die Durchführung ist es oft zielführend einen Workshop zu veranstalten.2 Dies ist zur kontinuierlichen Anpassung an sich laufend ändernde innere wie äußere Rahmenbedingungen notwendig.4. Relevante Aspekte: • • Gerade der IT-Bereich erweist sich als ausgesprochen schnelllebig. Trends.2 Durchführung interner Audits Relevant für das Management-Review sind allerdings nicht nur aktuell erkannte Erhebungen zu Schwachstellen. Entwicklungen im Umfeld der eigenen Organisation (Gesetze. Änderungen von relevanten Gesetzen. Konzepte. sondern es müssen die . Maßnahmen oder Technologien die noch vor einigen Jahren als sicher galten. vergleichbaren Erhebungen betreffend Vorgaben und deren Erfüllung) Erkennen.3. können zum heutigen Zeitpunkt sicherheitstechnisch völlig überholt sein und damit gefährliche Schwachstellen darstellen.

Outsourcing) müssen schon in der Planungsphase in das Sicherheitskonzept eingearbeitet werden. Umzug. unklar) oder im Bereich der für die Einhaltung Verantwortlichen liegt (Überlastung. Relevante Aspekte: • • • • Die Sinnhaftigkeit von Maßnahmen (Beitrag zum Erreichen von Sicherheitszielen) fällt in das Review der Sicherheitsstrategie Für ihre Umsetzung und Einhaltung ist entscheidend. ob ausreichend personelle. Wirtschaftlichkeit der Sicherheitsstrategie und spezifischer Sicherheitsmaßnahmen .2 Review der Sicherheitsmaßnahmen ISO Bezug: 27001 7. nicht bekannt.• • • Änderungen innerhalb der eigenen Organisation (neue IT-Systeme. Klima des Improvisierens). des Sicherheitskonzepts sein. Rückmeldungen über Fehler und Schwachstellen in den Prozessen (aus Audits. Wurden Vorgaben nicht eingehalten. neue Organisationsstruktur. aber auch Feedbacks von Mitarbeitern/Mitarbeiterinnen. mangelnde Motivation.1.2 Dies ist zur Sicherstellung der Einhaltung von Maßnahmen bei sich laufend ändernde innere wie äußere Rahmenbedingungen notwendig.4.wenn auch Kosten für die Informationssicherheit schwer zu ermitteln sind . die in der Folge eine Gefahr von fahrlässigen oder vorsätzlichen störenden Handlungen heraufbeschwören und jedenfalls die Effizienz mindern. zeitliche und finanzielle Ressourcen zur Verfügung gestellt wurden. Geschäftspartnern oder Kunden. Schulung bzw. nicht eingehaltene Sicherheitsmaßnahmen liegt in fehlender Akzeptanz seitens der Mitarbeiter/ innen. so ist zu klären ob es an den Vorgaben (fehlend. Ein weiterer Hauptgrund für nicht umgesetzte resp. [Q: BSI-Standard 100-2] 3. Beschwerden von Kunden oder Mitarbeitern können ein Indikator für Unzufriedenheit sein. unverständlich. Der Grund für mangelhaft umgesetzte bzw.sollte regelmäßig untersucht werden: ob die tatsächlich angefallenen Kosten den ursprünglich geplanten Kosten entsprechen oder ob inzwischen ressourcenschonendere Sicherheitsmaßnahmen verfügbar sind und sinnvoll eingesetzt werden können. Sie kann nicht erzwungen werden. basiert aber oft im Mangel an Information. nicht eingehaltene Sicherheitsmaßnahmen können Planungsfehler oder gar unrealistische Annahmen oder Elemente der Sicherheitsstrategie bzw. [Q: BSI-Standard 100-2] 89 . Bewusstseinsbildung.

der Sicherheitsstrategie. Motivationsförderung Aktualisierung von Dokumentationen Verbesserung der Methoden zur Messung der Wirksamkeit von Maßnahmen Schließlich sind im Rahmen des Verbesserungsprozesses Entscheidungen zu treffen. akzeptierten Risiken Änderungen von Prozessen. auf Grund von Veränderungen der eigenen Organisation oder des Umfelds bzw. wenn Sicherheitsziele unter den bisherigen Rahmenbedingungen nicht oder nur umständlich (also mit hohem finanziellen oder personellen Aufwand) erreicht werden können.und Awarenessmaßnahmen. Unter Umständen ist es sinnvoll./ Verbesserungspotenzial kann betreffen: • • • • • • • Aktualität der erkannten resp. die Sicherheitsstrategie oder das Sicherheitskonzept geändert und die Informationssicherheitsorganisation den Erfordernissen angepasst werden sollten. müssen. der Sicherheitspolitik und einzelner Sicherheitsmaßnahmen. dass die Sicherheitsziele. die Sicherheitsziele abgeändert werden. Wenn solche Veränderungen vorgenommen und Verbesserungen dann umgesetzt werden. B. Abläufen auf Grund des Reviews Verfügbarkeit von Ressourcen Schulungs.3. dass sie für die Entscheidungen und die Umsetzung von Maßnahmen geeignet sind. akzeptierten Risiken Wirksamkeit der erkannten resp. grundlegende Änderungen an der IT-Umgebung vorzunehmen oder Geschäftsprozesse zu verändern. Jedenfalls müssen die Ergebnisse des Management-Reviews so dokumentiert werden. Verbesserungen des ISMS. Ggf. Erfahrungen von Vorfällen.2 Management-Review Ergebnis und Auswertung ISO Bezug: 27001 7. 90 . Änderungs. schließt sich der Managementkreislauf wieder und es wird erneut mit der Planungsphase begonnen.4. z.3 Ergebnisse sind bewertete Möglichkeiten für Änderungen resp. ob / wann / welche Verbesserungsmaßnahmen umgesetzt werden. welche Ressourcen ihnen zugeordnet werden und unter welche Verantwortlichkeiten sie fallen. Es kann sich herausstellen.

die vom Management und allen Mitarbeitern/Mitarbeiterinnen getragen und umgesetzt werden.5 Verbesserungsprozess beim ISMS Um das angestrebte und erreichte Sicherheitsniveau dauerhaft zu gewährleisten. Sicherheitspolitik Sicherheitskonzept Sicherheitsmaßnahmen Abläufe und Verfahren Dokumentation Wissensstand und Awareness bei allen Beteiligten Ein etablierter und dokumentierter Verbesserungsprozess ist zum einen Voraussetzung für Akkreditierung resp. nach ISO 9001). zum anderen darf er nicht als administrativer Overhead gesehen werden.1 Grundlagen für Verbesserungen ISO Bezug: 27001 4. sondern vielmehr um die Summe kleinerer Schritte zur Verbesserung. Zertifizierung.2. Der Verbesserungsprozess geschieht nicht losgelöst von den Aktivitäten. 8. Vom Prinzip her ist der Verbesserungsprozess im Bereich der Informationssicherheit vergleichbar mit dem Verbesserungsprozess des Qualitätsmanagements (z. 8. Es handelt sich dabei nicht um eine periodisch wiederkehrende Vorgangsweise.[Q: BSI-Standard 100-2] 3. welche seine Grundlage bilden (Interne ISMS Audits sowie Management Review des ISMS).4.1.5. 3. müssen alle für die Informationssicherheit relevanten Bereiche einem kontinuierlichen Verbesserungsprozess unterzogen werden: • • • • • • Sicherheitsstrategie. sondern umfasst vor allem die Umsetzung der dort identifizierten Verbesserungsmaßnahmen.B. sondern soll alle Aktivitäten und die gesamte Organisation durchdringen. der Unterschied liegt in der Sicht auf die behandelten Aspekte und Abläufe (Risikominimierung). 91 .2 Verbesserungen basieren auf Erkenntnissen aus eigenen Betriebsabläufen. Vorschlägen und externen Informationsquellen.

Protokolle) des Management-Reviews Dokumentierte Abwicklungen von Reklamationen bzw. Schulungen.5.bzw. dass Mitarbeitervorschläge ernsthaft behandelt werden. [Q: BSI M 2.2 Entscheidungs.und Handlungsbedarf ISO Bezug: 27001 8.3 Dieser ergibt sich für die Managementebene bei: • • • • • Sicherheitspolitik. Beschwerden Vorschläge von Sicherheitsbeauftragten Vorschläge von Mitarbeitern/Mitarbeiterinnen Erfahrungen anderer vergleichbarer Organisationen Publizierte oder informelle Sicherheitswarnungen Informationen aus Fachpublikationen. Gerade Verbesserungsvorschläge der unmittelbar befassten Mitarbeiter/innen bieten ein oft unterschätztes Verbesserungs. darüber hinaus wird die Motivation gestärkt wenn es zur Organisationskultur gehört.2.199] 3. Fachtagungen. Protokolle) interner und externer Audits Ergebnisse (Berichte. Sicherheitskonzept: Aktualisierung. Mitwirkung in Gremien Ein Fokus sollte sich auf die Ursachen für erkannte Abweichungen und Gefährdungen richten. in der Praxis besser greifen oder weniger Ressourcen benötigen Implementierung: Verbesserung hinsichtlich korrekter Implementierung und Konfiguration Einhaltung: Organisatorische Maßnahmen. Verbesserung bei Anforderungen. 8. Anpassung an neue Rahmenbedingungen Sicherheitsmaßnahmen: Eliminieren erkannter Schwachstellen. Ebenso wertvoll erweisen sich gelebte Kontakte zu Sicherheitsbeauftragten anderer vergleichbarer Organisationen. Verbesserung. Awareness Auswertung: Verbesserungen bei Protokollierung und Protokollauswertung 92 . Einsparungspotenzial. Umstellung auf alternative Maßnahmen die effizienter sind.• • • • • • • • Ergebnisse (Berichte.

inklusive Zeitpunkt und Zuständigkeiten für die Umsetzung.und Prüfkriterien: Optimierung der Prozesse. Planung von baulichen oder infrastrukturellen Veränderungen. Fertigstellung. dass eine Korrekturmaßnahme verworfen wird. über Schulungs.bzw. Dabei kommen je nach Ursache in Frage: • • • • Anpassung organisatorischer Maßnahmen und Abläufe. Im Umsetzungsplan sollen Prioritäten abhängig vom jeweiligen Risiko gesetzt werden. Erkannte Fehler und Schwachstellen müssen ohne unnötigen Verzug eliminiert werden. Begleitende Kontrolle. Für jede erkannte Abweichung sollte eine Korrekturmaßnahme vorgeschlagen und darüber entschieden werden . Möglichst frühzeitige Prüfung der Wirksamkeit. Setzen von personellen Maßnahmen. In der Folge sind jeweils die Verantwortlichen für die Umsetzung zu benennen und mit den notwendigen Ressourcen auszustatten. Vornahme von technischen Veränderungen (etwa an Hard. allfällige Abänderungen. Kommunikationseinrichtungen oder Netzwerken). 93 . Terminen festhalten. Kommunikation der umzusetzenden Maßnahmen und Verbesserungen und Abstimmung mit allen Betroffenen. um die Wirksamkeit und Einhaltung von Sicherheitsmaßnahmen feststellen zu können Korrekturmaßnahmen: Sie sollen verhindern. Es müssen jeweils Entscheidungen der Managementebene erfolgen und dokumentiert werden .oder Software bzw. Umsetzung der Korrekturmaßnahmen: • • • • • • • Alle erforderlichen Korrekturmaßnahmen in einem Umsetzungsplan inkl. Dokumentation und Information des Managements über Fortschritt. dass in der Praxis festgestellte Abweichungen zum Sicherheitskonzept und den Anforderungen erneut auftreten.• Mess.auch für den Fall. Awarenessprogramme bis hin zu disziplinären Maßnahmen oder Auswechseln von leitenden Personen.

5.Vorbeugende Verbesserungsmaßnahmen: Diese werden auf Grund der Informationslage gemäß 3. bevor sie auftreten. D.5. Dabei ist wesentlich: • • • • • Die zu setzenden Maßnahmen müssen in Relation zu den möglichen Auswirkungen des erkannten Problempotenzials stehen. Allerdings müssen zuvor nicht nur tatsächlich festgestellte. es sind Umsetzungsplan.. Ihre Umsetzung entspricht sinngemäß der für Korrekturmaßnahmen. womit sich der Zyklus schließt.) Ergebnisse von Tests Durchführung von Disaster Recovery Übungen Übungen zur Datenrekonstruktion heranzuziehen.und Handlungsbedarf. Die Art der Maßnahmen entspricht weitgehend dem unter 3. .2 dargestellten Entscheidungs. Anforderungen an Vorbeugungsmaßnahmen müssen festgelegt werden.199] 94 . bereitzustellende Ressourcen sowie begleitende Kontrolle und Dokumentation notwendig.oder Risikolage (auf Grund neuer Risikoanalysen. benannte Verantwortliche. Die laufende bzw. obwohl noch keine Schwachstellen wirksam geworden sind. sonst werden sie unwirtschaftlich. Daher sind sie in vielen Fällen wirtschaftlicher als Korrekturmaßnahmen. sondern auch potenzielle Schwachstellen oder Abweichungen untersucht worden sein.. Sicherheitswarnungen. erfolgte Umsetzung von Konzeptänderungen oder Maßnahmen zwecks Korrektur und/oder Vorbeugung ist wiederum Gegenstand des ständigen Verbesserungsprozesses. Ziel ist es. [Q: BSI M 2. Ursachen für mögliche Abweichungen von den Anforderungen des ISMS zu eliminieren. Managemententscheidungen.h. Dazu sind insbesondere auch Ergebnisse von: • • • • Geänderter Gefährdungs.1 Grundlagen für Verbesserungen festgelegt.

in weiterer Folge dieses Risiko so weit zu reduzieren.und Nachteile und ihre typischen Einsatzbereiche gegenüber. eine Strategie zur Risikoanalyse festzulegen. diese Risiken zu erkennen und zu bewerten und so das Gesamtrisiko zu ermitteln.4 Risikoanalyse Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 4 ff " Risikobewertung und behandlung ". Das nachfolgende Kapitel beschreibt die drei heute meist verbreiteten Strategien zur Risikoanalyse . Eine wesentliche Voraussetzung für erfolgreiches Informationssicherheitsmanagement ist die Einschätzung der bestehenden Sicherheitsrisiken. wie die Ziele der Risikoanalyse . dass für kritische Systeme nicht schnell genug Schutzmaßnahmen ergriffen werden können. so dass neben hohen Kosten auch die Gefahr besteht. Ziel ist es.Erkennen und Bewerten von Einzelrisiken und Gesamtrisiko erreicht werden sollen. Diese Methode führt zu effektiven und angemessenen Sicherheitsmaßnahmen. In einer Risikoanalyse wird versucht. Diese sollte für die gesamte Organisation gültig sein und festlegen. 4.1 Es ist empfehlenswert. benötigt jedoch viel Zeit und Aufwand.detaillierte Risikoanalyse. Mögliche Risikoanalysestrategien sind: • Detaillierte Risikoanalyse: Für alle IT-Systeme wird eine detaillierte Risikoanalyse durchgeführt. dass das verbleibende Restrisiko quantifizierbar und akzeptierbar wird.1 Risikoanalysestrategien ISO Bezug: 27002 4.und stellt ihre Vor. Grundschutzansatz: • 95 . Grundschutzansatz und kombinierter Ansatz .

Durch den Verzicht auf eine detaillierte Risikoanalyse spart diese Vorgehensweise Ressourcen und führt schnell zu einem relativ hohen Niveau an Sicherheit. Grundschutzmaßnahmen ( Baseline Security Controls ) zum Einsatz. möglicherweise auch von Monaten liegt. Sie wird in den meisten Einsatzumgebungen die empfehlenswerte Strategie zur Risikoanalyse darstellen.• Unabhängig vom tatsächlichen Schutzbedarf wird für alle IT-Systeme von einer pauschalisierten Gefährdungslage ausgegangen. Kombinierter Ansatz: In einem ersten Schritt wird in einer Schutzbedarfsfeststellung ( High Level Risk Analysis ) der Schutzbedarf für die einzelnen IT-Systeme ermittelt. da alle IT-Systeme mit hohem Schutzbedarf wirksam und angemessen geschützt werden. Die erstmalige Durchführung einer detaillierten Risikoanalyse und die anschließende Erstellung eines Sicherheitskonzeptes erfordern einen Aufwand.2 Detaillierte Risikoanalyse ISO Bezug: 27002 4. Dazu werden die Werte (Assets). Für ITSysteme der Schutzbedarfskategorie "niedrig bis mittel" wird auf eine detaillierte Risikoanalyse verzichtet. Eine detaillierte Risikoanalyse umfasst die folgenden Schritte: 96 . der zumindest im Bereich von Wochen. und Maßnahmen für die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewählt werden können. Diese Option kombiniert die Vorteile des Grundschutz. Bedrohungen und Schwachstellen identifiziert und die daraus resultierenden Risiken ermittelt. IT-Systeme der Schutzbedarfskategorie "hoch bis sehr hoch" sind einer detaillierten Risikoanalyse zu unterziehen. Der Nachteil liegt darin. Dies erlaubt eine schnelle und effektive Auswahl von grundlegenden Sicherheitsmaßnahmen bei gleichzeitiger Gewährleistung eines angemessenen Schutzniveaus.1 Eine detaillierte Risikoanalyse für ein IT-System umfasst die Identifikation der bestehenden Risiken sowie eine Abschätzung ihrer Größe. Als Sicherheitsmaßnahmen kommen sog. Im Folgenden werden die drei angeführten Risikoanalysestrategien näher erläutert. 4. auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden.und des Risikoanalyseansatzes. dass der Grundschutzlevel für das betrachtete IT-System möglicherweise nicht angemessen sein könnte.

Personal sowie Infrastruktur.. ob und in welchem Maße auch andere Objekte (z. Hard. Leasingpersonal.. die sowohl aus Nachlässigkeit und Versehen als auch aus Absicht resultieren können. Die Bedrohungsanalyse umfasst: • • die Identifikation möglicher Bedrohungen (Katastrophen. mögliche Schwachstellen des Systems zu identifizieren und ihre Bedeutung zu klassifizieren. Außenstehende. Schritt 2: Identifikation der bedrohten Objekte (Werte. die innerhalb des im vorangegangenen Schritt festgesetzten Analysebereiches liegen.B. assets) Ziel dieses Schrittes ist die Erfassung aller bedrohten Objekte. Die Wertanalyse umfasst im Einzelnen: • • • • die Festlegung der Bewertungsbasis für Sachwerte die Festlegung der Bewertungsbasis für immaterielle Werte die Ermittlung der Abhängigkeiten zwischen den Objekten die Bewertung der bedrohten Objekte und der möglichen Schäden (Impact Analyse) Schritt 4: Bedrohungsanalyse Die Objekte sind vielfachen Bedrohungen ausgesetzt. Es ist daher erforderlich. Gebäude und Infrastruktur) in die Analyse einbezogen werden sollen. bewusste Angriffe) und möglicher Angreifer/innen (Mitarbeiter/innen. Schritt 3: Wertanalyse (Impact Analyse) In diesem Schritt wird der Wert der bedrohten Objekte ermittelt. . Fehlbedienung. Zu untersuchen sind dabei insbesondere die Bereiche Organisation.und Software.) die Ermittlung der Eintrittswahrscheinlichkeiten Schritt 5: Schwachstellenanalyse Eine Bedrohung kann nur durch die Ausnutzung einer vorhandenen Schwachstelle wirksam werden.Schritt 1: Abgrenzung des Analysebereiches Hier sind die zu analysierenden IT-Systeme zu spezifizieren und anzugeben. 97 .

2. die z. Wichtig ist. 4. dass alle der im Folgenden angeführten Schritte durchgeführt werden und die geforderten Ergebnisse liefern. Der Aufwand für die Durchführung des Verfahrens sollte dem Wert der ITAnwendungen und den Werten der Institution im Allgemeinen angemessen sein. dazu führen. Das vorliegende Handbuch gibt Hinweise und Unterstützung zur Durchführung dieser Schritte. um subjektive Einflüsse zu erkennen und so weit wie möglich zu vermeiden. In der Folge werden die einzelnen Schritte einer Risikoanalyse detailliert behandelt. dass Bedrohungen unbetrachtet bleiben. Es dürfen keine versteckten Annahmen gemacht werden.1 Abgrenzung des Analysebereiches ISO Bezug: 27002 4. Alle Bewertungen müssen begründet werden. Geplante neue Sicherheitsmaßnahmen müssen mit den existierenden kompatibel sein und eine wirtschaftlich und technisch sinnvolle Ergänzung darstellen. Schritt 7: Risikobewertung In diesem Schritt werden die Einzelrisiken und das Gesamtrisiko ermittelt und bewertet. dass sie später auch für andere nachvollziehbar sind.B.1 98 .Schritt 6: Identifikation bestehender Sicherheitsmaßnahmen Zur Vermeidung unnötiger Aufwände und Kosten sind die bereits existierenden Sicherheitsmaßnahmen zu erfassen und auf ihre Auswirkungen hinsichtlich der Gesamtsystemsicherheit sowie auf korrekte Funktion zu prüfen. Bei der Durchführung einer Risikoanalyse sind folgende Prinzipien zu beachten: • • • • • Das gesamte Verfahren muss transparent gemacht werden. Schritt 8: Auswertung und Aufbereitung der Ergebnisse Eine Auswertung und Aufbereitung des Ergebnisses schließt die Risikoanalyse ab. Ein derartiges Vorgehen erleichtert auch eine spätere Überarbeitung des Informationssicherheits-Konzeptes. Alle Schritte müssen so dokumentiert werden. Die Wahl einer konkreten Risikoanalysemethode sowie ein etwaiger Einsatz von Tools zur Unterstützung dieser Analyse bleiben der durchführenden Institution überlassen.

Integrität oder Verfügbarkeit eines anderen Objektes voraus. . 4. Information Personen Fähigkeiten: etwa Herstellen eines Produktes oder Erbringen einer Dienstleistung immaterielle Güter: beispielsweise Image. die innerhalb des festgestellten Analysebereiches liegen. also alle Objekte. Integrität oder Verfügbarkeit eines Objektes setzt vielfach die Vertraulichkeit. assets) ISO Bezug: 27002 4. Dazu zählen etwa: • • • • • physische Objekte: beispielsweise Gebäude. Paperware logische Objekte: beispielsweise Software.Vor Beginn einer Risikoanalyse ist es erforderlich. Beispiele dafür sind etwa die Erfordernis einer funktionsfähigen Infrastruktur (Stromversorgung. Dabei ist anzugeben.. Software und Daten des betrachteten IT-Systems beschränkt oder ob und in welchem Ausmaß andere Werte wie Gebäude und Infrastruktur. Fähigkeiten und Leistungen einbezogen werden sollen. immaterielle Güter. Unter den bedrohten Objekten einer Organisation ist alles zu verstehen. zu erfassen. was für diese schutzbedürftig ist. Personen. Infrastruktur.1 In diesem Schritt sind alle bedrohten Objekte ( assets ). Datenträger. Daten. Hardware. von denen der Betrieb des ITSystems und seine Anwendungen und damit die Funktionsfähigkeit der Organisation abhängen. den zu analysierenden Bereich genau abzugrenzen. ob sich die Analyse auf Hardware..) für den Betrieb eines IT-Systems oder die Abhängigkeit der Software von unversehrter und verfügbarer Hardware.2. Klimaanlage. Die Vertraulichkeit.2 Identifikation der bedrohten Objekte (Werte. Vertrauen in die Institution oder gute Beziehungen zu anderen Organisationen Zwischen den bedrohten Objekten bestehen grundsätzlich komplexe Abhängigkeiten. 99 .

3 Wertanalyse (Impact Analyse) ISO Bezug: 27002 4.1 Zunächst ist zu entscheiden. in welcher Tiefe und in welchem Detaillierungsgrad die einzelnen Objekte analysiert werden sollen. dem Wert. 100 . Die Wertanalyse umfasst im Einzelnen: • • • • die Festlegung der Bewertungsbasis für Sachwerte die Festlegung der Bewertungsbasis für immaterielle Werte die Ermittlung der Abhängigkeiten zwischen den Objekten die Bewertung der bedrohten Objekte und der möglichen Schäden 4. Dabei ist es den Erfordernissen im Einzelfall anzupassen. 4. dem Wiederbeschaffungswert eines Objektes. Eine quantitative Bewertung kann etwa beruhen auf • • • • dem Zeitwert eines Objektes.3.1 In diesem Schritt wird der Wert der im vorangegangenen Schritt identifizierten Objekte ermittelt.1 Festlegung der Bewertungsbasis für Sachwerte ISO Bezug: 27002 4. ob die Bewertung quantitativ oder qualitativ erfolgen soll.2. der sich aus dem Verlust oder der Modifikation eines zu schützenden Objektes für die betroffene Organisation ergibt.Die Identifizierung der bedrohten Objekte sowie ihre nachfolgende Bewertung stellen wesentliche Voraussetzungen für ein erfolgreiches Informationssicherheitsmanagement dar. oder dem Schaden. in vielen Fällen wird eine Zusammenfassung in Gruppen sinnvoll sein und beitragen. den Analyseaufwand zu begrenzen.2. den das Objekt für eine/n potentielle/n Angreifer/in hätte.

hoch 5-stufige Bewertung: unbedeutend .oder Wiederbeschaffungs-)Wert beträchtlich übersteigen können. 4. den das Objekt für einen potentiellen Angreifer hätte (z.3. die zu ihrer Verarbeitung bzw. was die einzelnen Klassen bedeuten bzw. auch die gegenseitige Abhängigkeit von Objekten festzustellen. Die Integrität von Information bedingt die Integrität und Verfügbarkeit der Hard. So ist etwa die Funktionsfähigkeit der Hardware abhängig von der Funktionsfähigkeit der Stromversorgung und eventuell der Klimaanlage.sehr hoch Als Basis für eine qualitative Bewertung ist festzulegen. wie etwa Bewahrung des guten Rufes oder Gewährleistung der Vertraulichkeit.und Software. vertrauliche Information). Es ist zu beachten.hoch .mittel . 4. oder dem Schaden.1 Es ist wichtig. Speicherung eingesetzt wird.B.gering .3 Ermittlung der Abhängigkeiten zwischen den Objekten ISO Bezug: 27002 4. wie sie definiert sind. kann eine quantitative oder eine qualitative Bewertungsbasis festgelegt werden. dass die potentiellen Schäden den eigentlichen (Zeit.2 Festlegung der Bewertungsbasis für immaterielle Werte ISO Bezug: 27002 4.3. Eine quantitative Bewertung kann in diesem Fall beruhen auf • • dem Wert.1 Auch für immaterielle Werte.Eine qualitative Bewertung erfolgt durch Einteilung in Klassen. der sich aus einem Angriff auf das zu schützende Objekt für die betroffene Organisation ergibt. 101 . da diese Einfluss auf die Bewertung der einzelnen zu schützenden Objekte haben kann.2.mittel .2. Beispiele hierfür sind etwa: • • 3-stufige Bewertung: gering .

4 Bewertung der bedrohten Objekte ISO Bezug: 27002 4. die einzelnen Bewertungen auf Plausibilität und Konsistenz zu prüfen und ein konsolidiertes Ergebnis zu erarbeiten.4 Bedrohungsanalyse ISO Bezug: 27002 4. Es ist Aufgabe derjenigen Person. Durchführung: • • • • Die Person. kommen. Die Bewertung sollte durch die Applikations-/Projektverantwortlichen sowie die betroffenen Benutzer/innen vorgenommen werden.1 Mit Ausnahme der Festsetzung von Zeit.2. erstellt eine Liste der zu bewertenden Objekte und gibt die Bewertungsbasen vor. . Unterstützung in der Bewertung kann von verschiedenen Abteilungen.4.. das zu einem Schaden für das System oder die Organisation führen kann". [ISO/IEC 13335] ist eine Bedrohung ein "möglicher Anlass für ein unerwünschtes Ereignis. Im Rahmen der Risikoanalyse müssen diese identifiziert werden. etwa Finanzen.3.. 4.2. die die Risikoanalyse durchführt. Bedrohungen sind charakterisiert durch: 102 .oder Wiederbeschaffungswert wird die Bewertung von bedrohten Objekten in der Regel sehr subjektiv sein. Einkauf. Ergebnis der Wertanalyse: Aufstellung der bedrohten Objekte und ihres Wertes für die Organisation. die die Risikoanalyse durchführt.1 Lt. Es ist daher notwendig. im Rahmen der Analyse möglichst genaue Bewertungsbasen und Regeln vorzugeben und diese eventuell durch Beispiele zu illustrieren sowie möglichst viele unterschiedliche Personen nach ihrer Einschätzung zu befragen. weiters ist ihre Schwere und Eintrittswahrscheinlichkeit abzuschätzen. Die zu schützenden Objekte sind vielfältigen Bedrohungen ausgesetzt. IT.

Im Falle absichtlicher Bedrohungen ist zwischen Innentätern und Außentätern zu unterscheiden.2. Blitzschlag. Personalausfall) Organisatorische Mängel (etwa fehlende oder unzureichende Regelungen für Wartung. . Die Bedrohungsanalyse umfasst im Einzelnen: • • die Identifikation möglicher Bedrohungen die Ermittlung der Eintrittswahrscheinlichkeiten 4. Dokumentation.1 Bedrohungen werden nach Kategorien unterteilt: • • • • • Höhere Gewalt (etwa Blitzschlag.) liegen statistische Daten vor. mangelhafte Kennzeichnung von Datenträgern) Menschliche Fehlhandlungen (etwa fehlerhafte Systemnutzung oder -administration. aber auch Geltungssucht oder erhoffte Publicity sein. Feuer.1 Identifikation möglicher Bedrohungen ISO Bezug: 27002 4. Wettbewerbsvorteile. Erdbeben. fahrlässige Zerstörung von Geräten oder Daten. Softwarefehler. Nichtbeachtung von Sicherheitsmaßnahmen) Technisches Versagen (etwa Ausfall von Versorgungs.. Test und Freigabe.4. Für einige umweltbedingte Bedrohungen (etwa Erdbeben. defekte Datenträger) Vorsätzliche Handlungen 103 . die Motivation: Motivation für (absichtliche) Bedrohungen können etwa finanzielle Gründe. die Größe des Schadens. die für die Einschätzung hilfreich sein können. Rache. wobei letztere wieder in absichtliche oder zufällige Bedrohungen zu unterteilen sind. die Häufigkeit des Auftretens..und Sicherheitseinrichtungen. der durch diese Bedrohung verursacht werden kann. fehlende Auswertung von Protokolldaten.• • • • ihren Ursprung: Bedrohungen durch die Umwelt oder durch den Menschen.

Wiedereinspielen von Nachrichten.1 In diesem Schritt der Risikoanalyse ist zu bestimmen. Viren. und in [ISO/IEC 27005]. Auch die Eintrittswahrscheinlichkeit kann quantitativ oder qualitativ bewertet werden. Es ist jedoch zu betonen. . Da eine quantitative Bewertung in vielen Fällen eine Genauigkeit vortäuschen könnte. seiner Komponenten. Manipulation an Daten oder Software. Nichtanerkennen einer Nachricht. mit welcher Wahrscheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird. Bewährt haben sich hier etwa drei. die den Charakter von Checklisten haben.. ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen.(etwa Manipulation/Zerstörung von Geräten. Statistiken. und darüber hinaus auch Bedrohungen einem ständigen Wandel und einer ständigen Weiterentwicklung unterworfen sind. die durch die ungenaue Methode der Schätzung nicht zu rechtfertigen ist. die ihrerseits eine Kombination aus Bedrohungen und Schwachstellen darstellen. Diese ist abhängig von: • • • • der Häufigkeit der Bedrohung (Wahrscheinlichkeit des Auftretens anhand von Erfahrungen. Solche Kataloge finden sich etwa in [BSI 7105].bis fünfteilige Skalen. Es ist daher immer erforderlich.. der Motivation und den vorausgesetzten Fähigkeiten und Ressourcen einer/ eines potentiellen Angreiferin/Angreifers. wie beispielsweise: 104 . Maskerade) Es ist wichtig. Einschätzung der Attraktivität und Verwundbarkeit des IT-Systems bzw. dass keine derartige Liste vollständig sein kann.).4. 4. über Bedrohungskataloge hinaus auch die Möglichkeit weiterer Bedrohungen in Betracht zu ziehen. Umweltfaktoren und organisationsspezifischen Einflüssen. Abhören. trojanische Pferde. Bei der Identifikation von möglichen Bedrohungen können Bedrohungskataloge hilfreich sein. alle wesentlichen Bedrohungen zu erfassen. da andernfalls Sicherheitslücken bestehen bleiben können.2 Bewertung möglicher Bedrohungen ISO Bezug: 27002 4.2. In den IT-Grundschutzkatalogen des BSI gibt es eine umfangreiche Sammlung von so genannten "Gefährdungen".

der von ihnen bedrohten Objekte. die durch eine Bedrohung ausgenützt werden kann.5 Schwachstellenanalyse ISO Bezug: 27002 4. und ihrer Eintrittswahrscheinlichkeiten. mangelndes Sicherheitsbewusstsein 105 .und Implementierungsfehler schwache Passwortmechanismen unzureichende Ausbildung. Beispiel: 4: einmal pro Minute 3: einmal pro Stunde 2: einmal pro Tag 1: einmal pro Monat 0: einmal im Jahr Ergebnis der Bedrohungsanalyse: Liste von Bedrohungen.1 Unter einer Schwachstelle ( vulnerability ) versteht man eine Sicherheitsschwäche eines oder mehrerer Objekte.oder Temperaturschwankungen bei Hardwarekomponenten kompromittierende Abstrahlung Spezifikations.4: sehr häufig 3: häufig 2: mittel 1: selten 0: sehr selten Diese allgemeinen Bedeutungen der Skalenwerte sind für den spezifischen Anwendungsbereich zu konkretisieren. Typische Beispiele für Schwachstellen sind etwa: • • • • • • • Mangelnder baulicher Schutz von Räumen mit IT-Einrichtungen Nachlässige Handhabung von Zutrittskontrollen Spannungs. 4.2.

Eine Schwachstelle selbst verursacht noch keinen Schaden, sie ist aber die Voraussetzung, die es einer Bedrohung ermöglicht, wirksam zu werden und damit ein IT-System zu beeinträchtigen. Auf Schwachstellen, für die eine korrespondierende Bedrohung existiert, sollte daher sofort reagiert werden. Eine Schwachstellenanalyse ist die Überprüfung von Sicherheitsschwächen, die durch festgestellte Bedrohungen ausgenutzt werden können. Diese Analyse muss sowohl das Umfeld als auch bereits vorhandene Schutzmaßnahmen mit einbeziehen. Es ist wichtig, jede Schwachstelle daraufhin zu bewerten, wie leicht es ist, sie auszunutzen. Beispielhafte Auflistungen von Schwachstellen, die auf typische Problembereiche hinweisen, finden sich etwa in [ISO/IEC 27005], Annex D sowie in [BSI 7105].

Ergebnis der Schwachstellenanalyse:
Liste von potentiellen Schwachstellen mit Angaben darüber, wie leicht diese für einen Angriff ausgenützt werden können.

4.2.6 Identifikation bestehender Sicherheitsmaßnahmen
ISO Bezug: 27002 4.1

Sicherheitsmaßnahmen sind Verfahrensweisen, Prozeduren und Mechanismen, die eine oder mehrere der nachfolgenden Funktionen erfüllen:

• • • • • •

Vermeidung von Risiken, Verkleinerung von Bedrohungen oder Schwachstellen, Entdeckung unerwünschter Ereignisse, Eingrenzung der Auswirkungen eines unerwünschten Ereignisses, Überwälzung von Risiken oder Wiederherstellung eines früheren Zustandes.

Wirksame IT-Sicherheit verlangt im Allgemeinen eine Kombination von verschiedenen Typen von Maßnahmen.

106

Da die Sicherheitsmaßnahmen, die aufgrund einer Risikoanalyse ausgewählt werden, in der Regel zusätzlich zu bereits bestehenden Maßnahmen eingeführt werden sollen, ist es notwendig, alle bereits existierenden oder geplanten Sicherheitsmaßnahmen zu identifizieren und ihre Auswirkungen zu überprüfen, um unnötigen Aufwand zu vermeiden. Stellt sich heraus, dass eine bereits existierende oder geplante Maßnahme ihren Anforderungen nicht gerecht wird, so ist zu prüfen, ob sie ersatzlos entfernt, durch andere Maßnahmen ersetzt oder aus Kostengründen belassen werden soll. Im Rahmen dieses Schrittes sollte auch geprüft werden, ob die bereits existierenden Sicherheitsmaßnahmen korrekt zum Einsatz kommen. Falsch oder unvollständig eingesetzte Sicherheitsmaßnahmen stellen eine zusätzliche potentielle Schwachstelle eines Systems dar.

Ergebnis:
Aufstellung aller bereits existierenden oder geplanten Sicherheitsmaßnahmen mit Angaben über ihren Implementierungsstatus und ihren Einsatz.

4.2.7 Risikobewertung
ISO Bezug: 27002 4.1

Ein Risiko ist die Möglichkeit, dass eine Bedrohung unter Ausnutzung einer Schwachstelle Schaden an einem Objekt oder den Verlust eines Objektes und damit direkt oder indirekt einen Schaden verursacht. Ziel dieses Schrittes ist es, die Risiken, denen ein IT-System und seine Objekte ausgesetzt sind, zu erkennen und zu bewerten, um auf dieser Basis geeignete und angemessene Sicherheitsmaßnahmen auswählen zu können. Risiken sind eine Funktion folgender Parameter:

• • • •

Wert der bedrohten Objekte (Schadensausmaß), Möglichkeit, eine Schwachstelle durch eine Bedrohung auszunutzen, Eintrittswahrscheinlichkeit einer Bedrohung, bereits existierende oder geplante Sicherheitsmaßnahmen, die dieses Risiko reduzieren könnten. 107

Wie diese Größen miteinander verknüpft werden, um die Höhe der Einzelrisiken und des Gesamtrisikos zu bestimmen, ist abhängig von der gewählten Risikoanalysemethode. Wieder können quantitative oder qualitative Bewertungen vorgenommen oder aber beide Möglichkeiten kombiniert werden. [ISO/IEC 27005] gibt im Anhang vier Beispiele für Methoden zur Risikobewertung. Es ist zu beachten, dass jegliche Änderung an Werten, Bedrohungen, Schwachstellen oder Sicherheitsmaßnahmen bedeutenden Einfluss auf die Einzelrisiken und auf das Gesamtrisiko haben kann.

Ergebnis:
Quantitative oder qualitative Bewertung von Einzelrisiken und Gesamtrisiko für den betrachteten Analysebereich.

4.2.8 Auswertung und Aufbereitung der Ergebnisse
ISO Bezug: 27002 4.1

Der adäquaten Aufbereitung, Auswertung und Interpretation der Ergebnisse einer Risikoanalyse kommt wachsende Bedeutung zu. Da die Risikoanalyse auch als Grundlage für weitreichende weiterführende Entscheidungen dient, ist auf eine klare Darstellung der Situation sowie eine umfassende Ergebnisdarstellung zu achten. Hilfreich dabei sind graphische und tabellarische Darstellungen.

4.3 Grundschutzansatz
ISO Bezug: 27002 4.1, 4.2

Die im Rahmen dieses Handbuchs empfohlene Vorgehensweise zur Grundschutzanalyse folgt im Wesentlichen den Vorgaben zum IT-Grundschutz des BSI. In diesem Kapitel wird eine kurze Zusammenfassung des Verfahrens, angepasst an die Erfordernisse der öffentlichen Verwaltung in Österreich, gegeben. Details zum Verfahren finden sich im BSI-Standard 100-2 sowie den BSI-Katalogen zu Gefährdungen und Sicherheitsmaßnahmen. 108

4.3.1 Die Idee des IT-Grundschutzes
ISO Bezug: 27002 4.1, 4.2

Ziel des Grundschutzansatzes ist es, den Aufwand für die Erstellung eines Informationssicherheits-Konzeptes angemessen zu begrenzen. Dies wird dadurch erreicht, dass von einer pauschalisierten Gefährdungslage ausgegangen und damit auf eine detaillierte Risikoanalyse verzichtet wird. Die Auswahl der zu realisierenden Sicherheitsmaßnahmen erfolgt auf der Basis vorgegebener Kataloge. Die Vorteile dieser Vorgehensweise sind:

• •

Der Aufwand für die Risikoanalyse wird stark reduziert. Der Einsatz von Grundschutzmaßnahmen führt schnell zu einem relativ hohen Niveau an Sicherheit gegen die häufigsten Bedrohungen.

Zudem sind Grundschutzmaßnahmen meist stark verbreitet und damit relativ kostengünstig und schnell zu implementieren. Dem stehen folgende Nachteile gegenüber:

• •

Der Grundschutzlevel kann für das betrachtete System zu hoch oder zu niedrig sein. Ist er zu hoch, werden unnötige finanzielle und personelle Ressourcen verbraucht, ist er zu niedrig, bleiben unter Umständen untragbare Risiken bestehen. Aufgrund der fehlenden detaillierten Risikoanalyse kann unter Umständen eine angemessene Reaktion auf sicherheitsrelevante Hard- oder Softwareänderungen schwierig sein.

Die Wahl eines Grundschutzansatzes wird daher in folgenden Fällen empfohlen:

• •

Wenn feststeht, dass im betrachteten Bereich nur IT-Systeme mit niedrigem oder mittlerem ("normalem") Schutzbedarf zum Einsatz kommen. Falls in einem Bereich (IT-System, Abteilung, ...) noch keine oder offensichtlich zu schwache Sicherheitsmaßnahmen vorhanden sind, kann die Realisierung von Grundschutzmaßnahmen dazu beitragen, rasch ein relativ gutes Niveau an IT-Sicherheit zu erreichen. In diesem Fall sollte aber in einem nachfolgenden Schritt geprüft werden, ob das erreichte Niveau bereits ausreichend ist oder weitere Analysen und Maßnahmen erforderlich sind. 109

Als Teil eines umfassenden Risikoanalysekonzeptes ("kombinierter Ansatz"): Wird zunächst in einem ersten Schritt festgestellt, welche IT-Systeme besonders schutzbedürftig sind ("Schutzbedarfsfeststellung"), so besteht die Möglichkeit, den Arbeitsaufwand für die Risikoanalyse und die Auswahl spezifischer Sicherheitsmaßnahmen auf diese hochschutzbedürftigen Systeme zu konzentrieren. Für alle anderen Systeme können Grundschutzmaßnahmen eingesetzt werden, ohne damit unangemessene Sicherheitsrisiken einzugehen. Details dazu s. Kapitel Kombinierter Ansatz.

4.3.2 Grundschutzanalyse und Auswahl von Maßnahmen
ISO Bezug: 27002 4.1, 4.2

Im Folgenden wird ein reiner Grundschutzansatz beschrieben, d.h. es wird davon ausgegangen, dass entweder bereits eine Schutzbedarfsfeststellung erfolgt ist und damit die IT-Systeme identifiziert sind, für die der IT-Grundschutz zu konzipieren ist, oder dass bewusst (zunächst) ein reiner Grundschutzansatz gewählt wird. Ein kombinierter Ansatz und die Stellung des IT-Grundschutzes in einem solchen werden im nachfolgenden Kapitel beschrieben. Eine Grundschutzanalyse besteht im Wesentlichen aus den folgenden beiden Teilschritten: Schritt 1: Nachbildung eines IT-Systems oder eines IT-Verbundes (Kombination mehrerer IT-Systeme) durch vorhandene Bausteine ("Modellierung") Schritt 2: Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen

4.3.2.1 Modellierung
ISO Bezug: 27002 4.1, 4.2

Die Modellierung eines IT-Systems oder eines IT-Verbundes ist abhängig vom zugrunde liegenden Baustein- und Maßnahmenkatalog, da versucht werden muss, das System durch die vorhandenen Bausteine möglichst genau nachzubilden. Eine der umfassendsten und ausgereiftesten Sammlungen von Bausteinen und Maßnahmen stellen die Grundschutz-Standards und -Kataloge des BSI dar ( [BSI GSHB]). Anhand dieses Werkes soll nachfolgend die Modellierung eines ITVerbundes beschrieben werden. 110

Zentrale Aufgabe des Schrittes "Modellierung" ist es, den betrachteten IT-Verbund mit Hilfe der vorhandenen Bausteine des IT-Grundschutzes nachzubilden. Als Ergebnis wird ein Modell des IT-Verbundes erstellt, das aus verschiedenen, ggf. auch mehrfach verwendeten Bausteinen des Handbuchs besteht und eine Abbildung zwischen den Bausteinen und den sicherheitsrelevanten Aspekten des IT-Verbundes beinhaltet. Um die Abbildung eines im Allgemeinen komplexen IT-Verbunds auf die Bausteine des Handbuchs zu erleichtern, bietet es sich an, die Sicherheitsaspekte gruppiert nach bestimmten Themen zu betrachten.

Abbildung 1: Schichten des IT-Grundschutzmodells nach BSI Grundschutz Die Sicherheitsaspekte eines IT-Verbunds werden wie folgt den einzelnen Schichten zugeordnet:

• •

Schicht 1 umfasst sämtliche übergreifenden Sicherheitsaspekte, die für sämtliche oder große Teile des IT-Verbunds gleichermaßen gelten. Dies betrifft insbesondere übergreifende Konzepte und die daraus abgeleiteten Regelungen.Typische Bausteine der Schicht 1 sind unter anderem Informationssicherheitsmanagement, Organisation, Datensicherungskonzept und Computer-Virenschutzkonzept. Schicht 2 befasst sich mit den baulich-technischen Gegebenheiten, in der Aspekte der infrastrukturellen Sicherheit zusammengeführt werden. Dies betrifft insbesondere die Bausteine Gebäude, Räume, Schutzschränke und häuslicher Arbeitsplatz. Schicht 3 betrifft die einzelnen IT-Systeme des IT-Verbunds, die ggf. in Gruppen zusammengefasst wurden. Hier werden die Sicherheitsaspekte sowohl von Clients als auch von Servern, aber auch von Stand-alone-Systemen behandelt. In die Schicht 3 fallen damit beispielsweise die Bausteine Unix-System, Tragbarer PC, Windows NT Netz und TK-Anlage. 111

• •

Schicht 4 betrachtet die Kommunikations- und Vernetzungsaspekte der ITSysteme, wie etwa die Bausteine Netz- und Systemmanagement und Firewalls. Schicht 5 schließlich beschäftigt sich mit den eigentlichen IT-Anwendungen, die im IT-Verbund genutzt werden. In dieser Schicht können unter anderem die Bausteine E-Mail, WWW-Server, Faxserver und Datenbanken zur Modellierung verwendet werden.

Die in diesem Schritt zu leistende Aufgabe besteht darin, das reale IT-System durch die vorhandenen Bausteine möglichst genau nachzubilden. Abschließend sollte überprüft werden, ob die Modellierung des Gesamtsystems vollständig ist und keine Lücken aufweist. Es wird empfohlen, hierzu den Netzplan oder eine vergleichbare Übersicht über den IT-Verbund heranzuziehen und die einzelnen Komponenten systematisch durchzugehen. Jede Komponente sollte entweder einer Gruppe zugeordnet oder einzeln modelliert worden sein. Wichtig ist, dass nicht nur alle Hard- und Software-Komponenten in technischer Hinsicht nachgebildet sind, sondern dass auch die zugehörigen organisatorischen, personellen und infrastrukturellen Aspekte vollständig abgedeckt sind.

4.3.2.2 Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen
ISO Bezug: 27002 4.1, 4.2

Im zweiten Schritt der Grundschutzanalyse wird die Modellierung nach IT-Grundschutz als Prüfplan verwendet, um festzustellen, welche Standardsicherheitsmaßnahmen bereits umgesetzt wurden, bzw. welche nicht oder unzureichend umgesetzt wurden. Das SOLL besteht aus den in den einzelnen Bausteinen empfohlenen Maßnahmen. Der Vergleich mit den vorhandenen Maßnahmen ergibt als Resultat die Maßnahmen, die es noch für den IT-Grundschutz umzusetzen gilt. Der eigentliche Soll-Ist-Vergleich soll mittels Interviews und stichprobenartiger Kontrollen durchgeführt werden.

4.3.3 Vorgehen bei Abweichungen
ISO Bezug: 27002 4.1, 4.2

112

Für die Errichtung eines IT-Grundschutzes sollten zwar prinzipiell alle im Baustein vorgeschlagenen IT-Grundschutzmaßnahmen umgesetzt werden, es besteht jedoch die Möglichkeit, dass bei bestimmten Einsatzumgebungen empfohlene Grundschutzmaßnahmen nicht umgesetzt werden können oder sollten. Diese Abweichung von der Empfehlung ist dann zu dokumentieren und zu begründen. An dieser Stelle sollten auch eventuell vorhandene über den IT-Grundschutz hinausgehende IT-Sicherheitsmaßnahmen herausgearbeitet und dokumentiert werden.

4.3.4 Dokumentation der Ergebnisse
ISO Bezug: 27002 4.1, 4.2

Aus der beschriebenen Vorgehensweise soll als Ergebnis eine Liste von Maßnahmen, die es für die Erreichung des IT-Grundschutzes noch umzusetzen gilt. Zu jeder Maßnahme sollten

• • • •

der Umsetzungsgrad (ja/teilweise/nein/entbehrlich) sowie, soweit zu diesem Zeitpunkt bereits möglich, die Verantwortlichkeiten für die Umsetzung der Zeitpunkt für die Umsetzung und eine Kostenschätzung

angegeben werden. Für die Durchführung einer Grundschutzanalyse in einer komplexen Einsatzumgebung empfiehlt sich der Einsatz eines Tools. Bekanntestes Beispiel ist das im Auftrag des BSI entwickelte "IT-Grundschutz-Tool". Hierdurch ergeben sich komfortable Möglichkeiten zur Auswertung und Revision der Ergebnisse, beispielsweise die Suche nach bestimmten Einträgen, der Generierung benutzerdefinierter Reports sowie Statistikfunktionen.

4.4 Kombinierter Ansatz
ISO Bezug: 27002 4.1, 4.2

113

Die Stärken beider oben diskutierter Risikoanalysestrategien - Zeit sparende Auswahl kostengünstiger IT-Sicherheitsmaßnahmen durch Grundschutzanalysen und wirksame Reduktion hoher Sicherheitsrisiken durch detaillierte Risikoanalysen - kommen in einem sog. kombinierten Ansatz zum Tragen. Dabei wird zunächst ermittelt, welche IT-Systeme hohe oder sehr hohe Sicherheitsanforderungen haben, und welche niedrige bis mittlere haben (Schutzbedarfsfeststellung). Das Ergebnis dieses Schrittes ist eine Einteilung in zwei Schutzbedarfskategorien: "niedrig bis mittel" und "hoch bis sehr hoch". IT-Systeme der Schutzbedarfskategorie "niedrig bis mittel" werden einer Grundschutzanalyse unterzogen, während IT-Systeme der Schutzbedarfskategorie "hoch bis sehr hoch" einer detaillierten Risikoanalyse zu unterziehen sind, auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden. Alternativ dazu können auch etwa drei Schutzbedarfskategorien gewählt werden (s. Kap. 4.4.1, zweites Beispiel). Dabei werden IT-Systeme der Schutzbedarfskategorie "normal" einer Grundschutzanalyse unterzogen. IT-Systeme der Schutzbedarfskategorie "hoch" sind einer eingehenderen Betrachtung zu unterziehen. Wahlweise sind auch hier Grundschutzmaßnahmen (ev. in verstärktem Maße) anzuwenden, oder es ist eine detaillierte Risikoanalyse durchzuführen. ITSysteme der Schutzbedarfskategorie "sehr hoch" sind jedenfalls einer detaillierten Risikoanalyse zu unterziehen, auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden. Generell empfiehlt es sich, zunächst eine Grundschutzanalyse für alle Systeme durchzuführen anschließend eine eventuelle erforderliche detaillierte Risikoanalyse für Systeme höherer Schutzbedarfskategorien.

Vorteile eines kombinierten Ansatzes

• • • •

Die Vorgehensweise ermöglicht es, rasch einen relativ guten Sicherheitslevel für alle IT-Systeme zu realisieren. Die in der Schutzbedarfsfeststellung erarbeiteten Erkenntnisse können die Grundlage für eine Prioritätenreihung für die nachfolgenden Aktivitäten bilden. Der Aufwand kann auf hochsicherheitsbedürftige Systeme konzentriert werden. Das Verfahren findet im Allgemeinen hohe Akzeptanz, da es mit verhältnismäßig geringem Initialaufwand rasch sichtbare Erfolge bringt.

114

Empfehlung:
Aus diesen Gründen kann für die Mehrheit der Fälle empfohlen werden, als Risikoanalysestrategie einen kombinierten Ansatz zu wählen.

4.4.1 Festlegung von Schutzbedarfskategorien
ISO Bezug: 27002 4.1, 4.2

Voraussetzung für eine Schutzbedarfsfeststellung ist die Festlegung von Schutzbedarfskategorien. Die nachfolgende Tabelle gibt eine Orientierungshilfe für die Festlegung der Schutzbedarfskategorien und damit die Klassifizierung der Anwendungen anhand der maximal möglichen Schäden anhand von Grenzwerten. Diese sind jedoch nur als Beispiele zu sehen. Jede Organisation sollte für sich prüfen, ob diese Klassifizierung ihren Anforderungen entspricht und gegebenenfalls eigene Grenzwerte und Einordnungen festlegen. Weiters ist darauf hinzuweisen, dass die in der Tabelle angeführten sieben Schadenskategorien nicht vollständig sein müssen. Für alle Schäden, die sich nicht in diesen Kategorien abbilden lassen, ist ebenfalls eine Aussage zu treffen, wo die Grenze zwischen "niedrig bis mittel" und "hoch bis sehr hoch" zu ziehen ist. Kategorie "niedrig bis mittel" Kategorie "hoch bis sehr hoch" 1. Verstoß gegen Gesetze, • Verstöße gegen • Schwere Verstöße Vorschriften oder Verträge Vorschriften gegen Gesetze und Gesetze mit und Vorschriften geringfügigen (Strafverfolgung) Konsequenzen • Verletzungen von Geringfügige Verträgen mit hohen • Verletzungen von Konventionalstrafen Verträgen mit geringen oder Haftungsschäden Konventionalstrafen • Ein möglicher Ein möglicher Missbrauch • Missbrauch personenbezogener personenbezogener Daten hat erhebliche Daten hat nur Auswirkungen auf geringfügige die gesellschaftliche Auswirkungen auf Stellung oder die die gesellschaftliche wirtschaftlichen 115

Kategorie "niedrig bis mittel" Kategorie "hoch bis sehr hoch" Stellung oder die Verhältnisse der/des wirtschaftlichen Betroffenen (Verlust Verhältnisse der/des der Vertraulichkeit oder Betroffenen Integrität sensibler Daten) 2. Beeinträchtigung der Eine Beeinträchtigung • • Eine über Bagatellpersönlichen Unversehrtheit erscheint nicht möglich. verletzungen hinausgehende Beeinträchtigung der persönlichen Unversehrtheit kann nicht absolut ausgeschlossen werden. 3. Beeinträchtigung der • Es kann zu einer • Es kann zu Aufgabenerfüllung leichten bis maximal einer schweren mittelschweren BeeinBeeinträchtigung der trächtigung der Aufgabenerfüllung Aufgabenerfüllung bis hin zur kommen. Handlungsunfähigkeit der betroffenen • Eine Zielerreichung Organisation kommen. ist mit vertretbarem Mehraufwand möglich. • Bedeutende Zielabweichung in Qualität und/oder Quantität. 4. Vertraulichkeit der • Es werden nur Daten • Es werden auch Daten verarbeiteten Information der Sicherheitsklassen der Sicherheitsklassen OFFEN und VERTRAULICH, EINGESCHRÄNKT GEHEIM und/oder verarbeitet bzw. STRENG GEHEIM gespeichert. verarbeitet bzw. gespeichert. 5. Dauer der Verzichtbarkeit • Die maximal • Die maximal tolerierbare Ausfallszeit tolerierbare Ausfallszeit der Anwendung beträgt des Systems beträgt mehrere Stunden bis lediglich einige mehrere Tage. Minuten.

116

Kategorie "niedrig bis mittel" Kategorie "hoch bis sehr hoch" 6. Negative Außenwirkung Eine geringe • • Eine breite bzw. nur interne Beeinträchtigung des Beeinträchtigung Vertrauens in die des Ansehens oder Organisation oder Vertrauens ist zu ihr Ansehen ist zu erwarten. erwarten. 7. Finanzielle Auswirkungen • Der finanzielle Schaden • Der zu erwartende ist kleiner als (z.B.) finanzielle Schaden ist Euro 50.000.--. größer als (z.B.) Euro 50.000.--. Eine andere Möglichkeit besteht darin, drei Schutzbedarfskategorien zu definieren: Schutzbedarfskategorie "normal": Die Schadensauswirkungen sind begrenzt und überschaubar. Maßnahmen des ITGrundschutzes reichen im Allgemeinen aus. Diese Kategorie entspricht der obigen Kategorie "niedrig bis mittel". Schutzbedarfskategorie "hoch": Die Schadensauswirkungen können beträchtlich sein. Wahlweise können weiter (verstärkte) Grundschutzmaßnahmen eingesetzt oder eine detaillierte Risikoanalyse durchgeführt werden. Schutzbedarfskategorie "sehr hoch": Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. IT-Grundschutzmaßnahmen alleine reichen nicht aus, die erforderlichen Sicherheitsmaßnahmen sollten individuell auf Basis einer Risikoanalyse ermittelt werden. Schutzbedarfskategorie "hoch": Die nachfolgende Tabelle gibt eine Orientierungshilfe für die Festlegung der Schutzbedarfskategorien und damit die Klassifizierung der Anwendungen anhand der oben angeführten Einteilungen. Diese sind wiederum als Beispiele zu sehen. Jede Organisation sollte für sich prüfen, ob diese Klassifizierung ihren Anforderungen entspricht und gegebenenfalls eigene Grenzwerte und Einordnungen festlegen. Kategorie "normal" Kategorie "hoch" Kategorie "sehr hoch" 1. Verstoß • Verstöße gegen • Verstöße gegen • Schwere gegen Gesetze, Vorschriften und Vorschriften Verstöße gegen Vorschriften oder Gesetze mit und Gesetze Gesetze und Verträge geringfügigen mit erheblichen Vorschriften Konsequenzen Konsequenzen (Strafverfolgung) 117

Kategorie "normal"

2. Beeinträchtigung der persönlichen Unversehrtheit

3. Beeinträchtigung der Aufgabenerfüllung

Kategorie "sehr hoch" Geringfügige Verletzungen • • Verletzungen Verletzungen von Verträgen von Verträgen, von Verträgen mit hohen deren mit keinen Konventionalstrafen Haftungsschäden oder geringen ruinös sind • Ein möglicher Konventionalstrafen Missbrauch • Ein möglicher Ein möglicher personenbezogener Missbrauch Missbrauch Daten hat personenbezogener personenbezogener erhebliche Daten würde Daten hat nur Auswirkungen für die/den geringfügige auf die Betroffene/n den Auswirkungen gesellschaftliche gesellschaftlichen auf die Stellung oder gesellschaftliche oder die wirtschaftlichen Stellung wirtschaftlichen Ruin bedeuten. oder die Verhältnisse wirtschaftlichen der/des Verhältnisse Betroffenen. der/des Betroffenen. Eine • Eine • Gravierende Beeinträchtigung Beeinträchtigung Beeinträchtigungen erscheint nicht der persönlichen der persönlichen möglich. Unversehrtheit Unversehrtheit kann nicht sind möglich. absolut • Gefahr für Leib ausgeschlossen und Leben werden. Es kann zu • Es kann zu • Es kann zu einer einer leichten einer schweren sehr schweren bis maximal Beeinträchtigung Beeinträchtigung mittelschweren der der Beeinträchtigung Aufgabenerfüllung Aufgabenerfüllung der kommen. bis hin zur Aufgabenerfüllung Bedeutende Handlungsunfähigkeit • kommen. der betroffenen Zielabweichung Organisation Eine in Qualität und/ kommen. Zielerreichung oder Quantität. ist mit vertretbarem Mehraufwand möglich.

Kategorie "hoch"

118

Vertraulichkeit der verarbeiteten Information • 5. gespeichert.Kategorie "normal" 4.B. verarbeitet bzw. Kategorie "hoch" 4.4. gespeichert. Eine geringe • Eine breite • Eine bzw. GEHEIM gespeichert. Vertrauens. evtl. nur interne Beeinträchtigung landesweite Beeinträchtigung des Ansehens breite des Ansehens oder Vertrauens Ansehens. finanzielle existenzbedrohend. Der finanzielle • Der Schaden • Der finanzielle Schaden liegt bewirkt Schaden ist für unter (z.1. ist zu erwarten. oder STRENG verarbeitet bzw. Stunde.000. 4.2 Schutzbedarfsfeststellung ISO Bezug: 27002 4. Beeinträchtigung ist zu erwarten.--. Verluste. Die Schutzbedarfsfeststellung erfolgt in 3 Schritten: • Schritt 1: Erfassung aller vorhandenen oder geplanten IT-Systeme 119 . und 24 Stunden. Die maximal Die maximal • • Die maximal tolerierbare tolerierbare tolerierbare Ausfallszeit der Ausfallszeit des Ausfallszeit des Anwendung Systems liegt Systems ist beträgt mehr als zwischen einer kleiner als eine 24 Stunden.oder oder Vertrauens ist zu erwarten.2 Die Schutzbedarfsfeststellung bildet die Grundlage für eine Entscheidung über die weitere Vorgehensweise und ist daher mit entsprechender Sorgfalt durchzuführen. Negative Außenwirkung • 7. ist jedoch nicht existenzbedrohend. Finanzielle Auswirkungen • Kategorie "sehr hoch" Es werden Es werden • • Es werden nur Daten der auch Daten auch Daten Sicherheitsklassen der Klasse der Klassen OFFEN und VERTRAULICH GEHEIM und/ EINGESCHRÄNKT verarbeitet bzw.) Euro beachtliche die Institution 50. sogar existenzgefährdender Art. Dauer der Verzichtbarkeit • 6.

4. An dieser Stelle soll nur das System als solches erfasst werden (z.4. die die kürzeste tolerierbare Ausfallszeit haben. StandAlone-PC.1 Erfassung aller vorhandenen oder geplanten IT-Systeme ISO Bezug: 27002 4. Dies gilt insbesondere für PCs.soweit zu diesem Zeitpunkt bereits möglich . wie Rechner. • • • deren Daten/Informationen und Programme den höchsten Bedarf an Vertraulichkeit haben. Drucker etc. Hierbei steht die technische Realisierung eines IT-Systems im Vordergrund.2 Ziel dieses Schrittes ist es. PC-Client. z. Server.1. Tastatur. wenn von Anwendungsstruktur und -ablauf vergleichbare Anwendungen auf diesen Systemen laufen.2. nicht die einzelnen Bestandteile.2 Erfassung der IT-Anwendungen und Zuordnung zu den einzelnen IT-Systemen ISO Bezug: 27002 4. 120 . 4.4. alle oder zumindest die wichtigsten auf dem betrachteten IT-System laufenden oder geplanten IT-Anwendungen zu erfassen. Diese sollten anschließend . deren Daten/Informationen und Programme den höchsten Bedarf an Integrität aufweisen. Windows-Server)..B. Windows-Server. Dabei sind zuerst diejenigen Anwendungen des jeweiligen IT-Systems zu benennen. 4. Zur Reduktion der Komplexität kann man gleiche IT-Systeme zu Gruppen zusammenfassen. die oft in großer Anzahl vorhanden sind.B.1.nach ihrem Sicherheitsbedarf vorsortiert werden.2 Zunächst werden die vorhandenen und geplanten IT-Systeme aufgelistet. aus denen das ITSystem zusammengesetzt ist.• • Schritt 2: Erfassung der IT-Anwendungen und Zuordnung zu den einzelnen ITSystemen Schritt 3: Schutzbedarfsfeststellung für jedes IT-System 4.2. Bildschirm.

so ist das gesamte IT-System in die Schutzbedarfskategorie "hoch" bzw.3 Schutzbedarfsfeststellung für jedes IT-System ISO Bezug: 27002 4.2 Detaillierte Risikoanalyse dieses Handbuchs. Ist für alle auf einem System laufenden Anwendungen ein normaler Schutzbedarf erhoben worden.1 angeführte Tabelle dienen.2 In dieser Phase soll die Frage beantwortet werden. welche Schäden zu erwarten sind.2 Für alle IT-Systeme der Schutzbedarfskategorie "niedrig bis mittel" bzw.1. Dabei ist es unbedingt auch erforderlich.2. Es ist aber empfehlenswert. Die Auswahl einer konkreten Methode zur Risikoanalyse sowie der eventuelle Einsatz eines Tools zur Unterstützung dieser Analyse bleiben der durchführenden Institution überlassen.4. Die zu erwartenden Schäden bestimmen den Schutzbedarf. die Applikations-/Projektverantwortlichen und die Benutzer/innen der betrachteten IT-Anwendungen nach ihrer Einschätzung zu befragen. Die Ermittlung des Schutzbedarfes erfolgt nach dem Maximum-Prinzip.3 Durchführung von Grundschutzanalysen und detaillierten Risikoanalysen ISO Bezug: 27002 4. Integrität oder Verfügbarkeit einer IT-Anwendung und/ oder der zugehörigen Informationen ganz oder teilweise verloren gehen. 4. Alle IT-Systeme der Schutzbedarfskategorie "hoch bis sehr hoch" sind einer detaillierten Risikoanalyse zu unterziehen.1. 4. "sehr hoch" einzuordnen. wenn Vertraulichkeit.4.4. "normal" ist eine Grundschutzanalyse gemäß der in Kapitel 4. Wurde dagegen mindestens eine Applikation mit hohem oder sehr hohem Schutzbedarf ermittelt.4. eine den spezifischen Anforderungen der betroffenen Organisation entsprechende modifizierte Tabelle zu erstellen. Details dazu finden sich in Kapitel 4. 4. Die Realisierung von Grundschutzmaßnahmen bietet hier in der Regel einen ausreichenden Schutz.3 Grundschutzansatz beschriebenen Vorgehensweise durchzuführen. so ist das gesamte System in die Schutzbedarfskategorie "normal" einzuordnen. Als Orientierungshilfe für die Einordnung von IT-Anwendungen in Schutzbedarfskategorien kann die in 4. 121 .

diese Restrisiken so exakt wie möglich zu quantifizieren und sie dann bewusst zu akzeptieren. oder eine detaillierte Risikoanalyse erforderlich ist. diesen Prozess durch generelle Richtlinien zu unterstützen. 4. so ist für IT-Systeme der Schutzbedarfskategorie "hoch" zu überlegen.6 Akzeptanz von außergewöhnlichen Restrisiken ISO Bezug: 27002 4. das höher ist als das generell akzeptable. ob mit (ev. 122 . verstärkten) Grundschutzmaßnahmen das Auslangen gefunden werden kann.Geht man von drei Schutzbedarfskategorien aus. 5. Dieser Prozess wird als "Risikoakzeptanz" bezeichnet. so sollten zusätzliche Sicherheitsmaßnahmen vorgesehen und damit das Risiko weiter reduziert werden. Im Allgemeinen verbleibt ein Restrisiko. Die Entscheidung über die Akzeptanz von Restrisiken ist daher immer eine für das spezielle System zu treffende Managemententscheidung.4 Risikoanalysestrategien. dieses erhöhte Restrisiko bewusst anzunehmen.5 Akzeptables Restrisiko ISO Bezug: 27002 4.2 Sicherheitsmaßnahmen können für gewöhnlich Risiken nur teilweise mindern. ist es hilfreich.2 Verbleibt nach Durchführung aller vorgesehenen Sicherheitsmaßnahmen ein Restrisiko. Diese sollten im Rahmen der Informationssicherheits-Politik definiert werden (vgl. Es ist notwendig. Ist dies technisch nicht möglich oder unwirtschaftlich.2. Um ein organisationsweit einheitliches Niveau des Restrisikos zu gewährleisten. akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken) und festlegen. dass durch Kumulationseffekte oder gegenseitige Beeinflussungen eine Reihe von kleinen Einzelrisiken zu einem inakzeptablen Restrisiko führen kann. so besteht in begründeten Ausnahmefällen die Möglichkeit. welche Risiken die betroffene Organisation generell zu akzeptieren bereit ist. 4. dessen Abdeckung wirtschaftlich nicht mehr vertretbar wäre. Dabei ist zu beachten. IT-Systeme der Schutzbedarfskategorie "sehr hoch" sind jedenfalls einer detaillierten Risikoanalyse zu unterziehen.

die genauen Verantwortlichkeiten dafür sind in der Informationssicherheits-Politik festzulegen. Die Entscheidung ist schriftlich zu begründen und durch die Leitung der Organisation in schriftlicher Form zu akzeptieren. 123 .Die Entscheidung über die Akzeptanz eines außergewöhnlichen Restrisikos ist durch das Management zu treffen.

Grundzüge der Business Continuity Planung Aktivitäten zur Überprüfung und Aufrechterhaltung der Sicherheit Verweise auf weitere Dokumente zum Thema Informationssicherheit. akzeptables Restrisiko und Risikoakzeptanz Klassifizierung von Daten Klassifizierung von IT-Anwendungen und IT-Systemen.5 ff "Sicherheitspolitik".1 124 . Das folgende Kapitel gibt eine Anleitung zur Erstellung einer derartigen Politik und legt die wesentlichen Inhalte fest. die Erarbeitung einer Informationssicherheits-Politik zu unterstützen. das die sicherheitsbezogenen Ziele. wie etwa Sicherheitsrichtlinien 5. Verantwortlichkeiten und Methoden langfristig und verbindlich festlegt. Diese sind: • • • • • • • • Informationssicherheitsziele und -strategien Erklärung der Leitungsebene über die Unterstützung der Ziele des Informationssicherheits-Managements (Management Commitment) Organisation und Verantwortlichkeiten für Informationssicherheit Risikoanalysestrategien. Die Informationssicherheits-Politik bildet die Basis für die Entwicklung und die Umsetzung eines risikogerechten und wirtschaftlich angemessenen Informationssicherheits-Konzeptes.1. die den Schutz der Informationen und der IT-Systeme innerhalb einer Organisation gewährleisten. Diese Richtlinien werden in den nachgeordneten Sicherheitsrichtlinien. Sie stellt ein Grundlagendokument dar.5 Informationssicherheits-Politik Dieses Kapitel nimmt Bezug auf ISO/IEC 27001 4 ff "InformationssicherheitsManagementsystem" sowie ISO 27002 . 27002 5. Die organisationsweite Informationssicherheits-Politik soll allgemeine Festlegungen treffen. konkret umgesetzt.1 Aufgaben und Ziele einer InformationssicherheitsPolitik ISO Bezug: 27001 4. Ziel dieses Abschnittes ist es. Strategien. etwa der E-Mail-Sicherheitsrichtlinie oder der Netzwerksicherheitsrichtlinie.

Eine organisationsweite Informationssicherheits-Politik hat die Aufgabe. Dabei gilt: • • • • • Die Informationssicherheits-Politik wird als schriftliches Dokument erstellt und bildet die Grundlage des Informationssicherheits-Managements. Die Informationssicherheits-Politik wird offiziell verabschiedet und in Kraft gesetzt. etwa auf Behördenoder Abteilungsebene. welche Themenbereiche im Rahmen der Informationssicherheits-Politik in jedem Fall angesprochen werden sollten. Abhängig von der Unternehmensstruktur und den strategischen Zielen kann die Erstellung einer Informationssicherheits-Politik auch für kleinere Unternehmen empfehlenswert sein.2. Die direkt mit Informationssicherheit beschäftigten Mitarbeiter/innen müssen im Besitz einer aktuellen Version der Informationssicherheits-Politik sein. Bei Bedarf können aus dieser weitere Informationssicherheits-Politiken. Die Informationssicherheits-Politik enthält ein explizites Statement des Managements über die Unterstützung der Informationssicherheitsziele (Management Commitment). ressortspezifische Informationssicherheits-Politik zu erstellen. Die Informationssicherheits-Politik legt Leitlinien fest. Über die angeführten Themenbereiche hinaus können organisationsspezifisch weitere wichtige Sicherheitsthemen in die Informationssicherheits-Politik aufgenommen werden. abgeleitet werden. Jede/r Mitarbeiter/in muss Kenntnis über die wichtigsten Inhalte der Informationssicherheits-Politik haben. 5. Im Bereich der Privatwirtschaft wird die Erarbeitung einer organisationsweiten Informationssicherheits-Politik zumindest für große bis mittlere Unternehmen empfohlen.2 Inhalte der Informationssicherheits-Politik Der folgende Abschnitt beschreibt. die Vertraulichkeit. Geltungsbereich Im Bereich der öffentlichen Verwaltung ist zumindest auf Ressortebene eine eigene. Integrität und Verfügbarkeit der Information in einer Organisation sicherzustellen. Das Management unterstützt und fördert die Aktivitäten zum Informationssicherheits-Management.1 Informationssicherheitsziele und -strategien 125 . 5. schreibt aber keine Implementierung vor. und gibt Anleitungen zur Erstellung dieses Dokumentes.

Zur Präzisierung dieser Ziele sind nützlicherweise folgende Fragen zu stellen: • • 126 Welche Informationen sind besonders schützenswert? Welche Auswirkungen hätte eine gravierende Verletzung der Sicherheit dieser Informationen (Verlust von Vertraulichkeit. von SLAs und Normen) Korrektheit.1. des Informationssicherheitsgesetzes. insbesondere in Bezug auf Vertraulichkeit.zu formulieren. Beispiele für solche Ziele sind: • • • Gewährleistung der Erfüllung von aus gesetzlichen Vorgaben resultierenden Anforderungen Gewährleistung des Vertrauens der Öffentlichkeit in die betroffene Organisation bzw.1 Schritt 1: Festlegung der wesentlichen Informationssicherheitsziele Im Rahmen der Erstellung der Informationssicherheits-Politik sind zunächst die spezifischen Sicherheitsziele der Organisation zu erarbeiten.bezugnehmend auf die spezifischen Aufgaben und Projekte . Dies erfordert: • • • • • • • • Vertraulichkeit der verarbeiteten Informationen Einhaltung aller Gesetze. die mit dieser Politik erreicht werden sollen. die öffentliche Verwaltung im Allgemeinen Hohe Verlässlichkeit des Handelns. Richtigkeit und Rechtzeitigkeit.ISO Bezug: 27002 6. Integrität und/oder Verfügbarkeit)? . Vollständigkeit und Authentizität der Informationen (Integrität der IT) Rechtzeitigkeit (Verfügbarkeit der Daten und Services) Sicherung der investierten Werte Sicherstellung der Kontinuität der Arbeitsabläufe Reduzierung der im Schadensfall entstehenden Kosten (Schadensvermeidung und Schadensbegrenzung) Gewährleistung des besonderen Prestiges Neben diesen eher allgemein gültigen Zielen sind die organisationsspezifischen Sicherheitsziele . Verträge und Regelungen (etwa des Datenschutzgesetzes.

welches Sicherheitsniveau in Bezug auf • • • Vertraulichkeit Integrität und Verfügbarkeit angestrebt werden soll.• • • Welche wesentlichen Entscheidungen hängen von der Genauigkeit. Detailbeschreibungen sind Aufgabe der nachgeordneten Sicherheitsrichtlinien. Eine organisationsweite Informationssicherheits-Politik kann und soll lediglich eine High-Level-Beschreibung der gewählten Strategien beinhalten.2. wie die definierten Sicherheitsziele erreicht werden können. Services und Anwendungen die Etablierung eines organisationsweiten Incident Handling Plans Orientierung an internationalen Richtlinien und Standards Informationssicherheit als integraler Bestandteil des gesamten Lebenszyklus eines IT-Systems die Förderung des Sicherheitsbewusstseins aller Mitarbeiter/innen. Beispiele für Strategien für das Informationssicherheits-Management sind: • • • • • • • eine klare Zuordnung aller Verantwortlichkeiten im InformationssicherheitsProzess die Einführung eines QM-Systems die Entwicklung von Sicherheitsrichtlinien für die wichtigsten Systeme. Schritt 3: Ausarbeitung von Strategien für das InformationssicherheitsManagement Die Sicherheitsstrategie legt fest.2 Management Commitment 127 . 5. Integrität oder Verfügbarkeit dieser Informationen ab? Welche essentiellen Aufgaben der betreffenden Organisation können bei Kompromittierung dieser Informationen nicht mehr durchgeführt werden? Welche essentiellen Aufgaben der betreffenden Organisation können ohne ITUnterstützung nicht mehr durchgeführt werden? Schritt 2: Festlegung des angestrebten Sicherheitsniveaus In diesem Schritt ist festzulegen.

3 Organisation und Verantwortlichkeiten für Informationssicherheit ISO Bezug: 27002 6. die im Folgenden näher beschrieben werden.2. dass eine Person eine dieser 128 . Es ist zu betonen. 6. dass es sich bei diesen Funktionen bzw.abhängig von der Größe und den Sicherheitsanforderungen einer Organisation .1.ISO Bezug: 27002 6. ist es erforderlich. um Rollen handelt. Gremien. Weiters werden für diesen Bereich durch das IKT-Board verbindliche Regelungen zur IKT-Sicherheit vorgegeben. Struktur und Aufgaben .spezifisch festzulegen und in der Informationssicherheits-Politik festzuschreiben. unten) die Bereichs-IT-Sicherheitsbeauftragten und die Applikations-/Projektverantwortlichen.durchaus auch von mehreren Personen wahrgenommen werden können.1.3 Die Leitungsebene soll im Rahmen der Informationssicherheits-Politik ein klares Bekenntnis zur Bedeutung der Informationssicherheit für die Institution abgeben. Auf der Ebene der Bundesverwaltung ist zusätzlich in jedem Ressort die Person einer/eines Informationssicherheitsbeauftragten gemäß Informationssicherheitsgesetz einzurichten.3 Um eine Berücksichtigung aller wichtigen Aspekte und eine effiziente Erledigung sämtlicher anfallender Aufgaben zu gewährleisten.1. In diesem Fall ist auf eine genaue Trennung der Kompetenzen und Verantwortlichkeiten Bedacht zu nehmen. die .2. Zentrale Aufgaben im Informationssicherheits-Management-Prozess übernehmen dabei • • • • das Informationssicherheits-Management-Team die IT-Sicherheitsbeauftragten (zur Wahl der Bezeichnung s. Die Organisation des ISM ist für jede Institution . die Rollen und Verantwortlichkeiten aller in den Informationssicherheits-Prozess involvierten Personen klar zu definieren. Genauso ist es möglich. Dazu zählen insbesondere die Unterstützung der Ziele und Prinzipien der Informationssicherheit und die Erklärung ihrer Übereinstimmung mit den Geschäftszielen und -strategien. 5.entsprechend ihrer Größe.

Nachfolgend werden die wichtigsten typischen Aufgaben und Verantwortlichkeiten dieser Funktionen bzw. 129 .als auch des Privatwirtschaftsbereiches eingeführten Begriff handelt. Dabei ist aber unbedingt darauf zu achten.3. Eine detaillierte. So könnte beispielsweise ein Systemadministrator als Bereichs-IT-Sicherheitsbeauftragte/r für dieses System agieren. Zu den Pflichten der/des IT-Sicherheitsbeauftragten gehören: • • • • • die verantwortliche Mitwirkung an der Erstellung des InformationssicherheitsKonzeptes die Gesamtverantwortung für die Realisierung der ausgewählten Sicherheitsmaßnahmen die Planung und Koordination von Schulungs.Rollen zusätzlich zu anderen Aufgaben übernimmt. um diese Rolle gegenüber der Rolle der/des Informationssicherheitsbeauftragten gemäß Informationssicherheitsgesetz abzugrenzen. der/dem ganz spezifische Aufgaben lt. Gremien kurz beschrieben. die Gesamtverantwortung für die Informationssicherheit verbleibt aber bei dieser Person.und Sensibilisierungsveranstaltungen die Gewährleistung der Informationssicherheit im laufenden Betrieb sowie die Verwaltung der für Informationssicherheit zur Verfügung stehenden Ressourcen. auf die speziellen Aufgaben und Anforderungen der betreffenden Organisation abgestimmte Beschreibung ist im Rahmen der organisationsweiten Informationssicherheits-Politik zu geben. dass ausreichend Zeit für die sicherheitsrelevanten Tätigkeiten zur Verfügung steht und es zu keinen Kollisionen von Verantwortlichkeiten oder Interessen kommt. zum anderen. Anmerkung: Die Bezeichnung "IT-Sicherheitsbeauftragte/r" für die Person einer/ eines zentralen Sicherheitsverantwortlichen wurde zum einen gewählt. Die/der IT-Sicherheitsbeauftragte kann einzelne Aufgaben delegieren. weil es sich um einen in vielen Institutionen sowohl des Behörden.2.3 Die/der IT-Sicherheitsbeauftragte ist die zentrale Ansprechperson für alle Informations.und IT-Sicherheitsfragen innerhalb einer Organisation und trägt die fachliche Verantwortung für diesen Bereich.1 Die/der IT-Sicherheitsbeauftragte ISO Bezug: 27002 6. Gesetz zukommen. 5.1.

2. zugeordnet sein.3.3 Das Informationssicherheits-Management-Team ist verantwortlich für die Regelung der organisationsweiten Informationssicherheitsbelange sowie für die Erarbeitung von Plänen.2.3 Die Bereichs-IT-Sicherheitsbeauftragten ISO Bezug: 27002 6. 5.definiert und klar einer Person.3 130 . 5. Zu den Aufgaben des Teams zählen typischerweise: • • • • • • die Festlegung der Informationssicherheitsziele der Organisation die Entwicklung einer organisationsweiten Informationssicherheits-Politik Unterstützung und Beratung bei der Erstellung des InformationssicherheitsKonzeptes die Überprüfung des Konzeptes auf Erreichung der Informationssicherheitsziele die Förderung des Sicherheitsbewusstseins in der gesamten Organisation sowie die Festlegung der personellen und finanziellen Ressourcen für Informationssicherheit.2 Das Informationssicherheits-Management-Team ISO Bezug: 27002 6. Daher sollte diese Rolle in jedem Fall . dass die/der IT-Sicherheitsbeauftragte sowie ein/e Vertreter/in der IT-Anwender/innen dem Informationssicherheits-Management-Team angehören.1.also auch bei kleinen Organisationen . eventuell zusätzlich zu anderen Aufgaben. Generell ist zu empfehlen. Vorgaben und Richtlinien zur Informationssicherheit. Zusammensetzung des Teams: Die genaue Festlegung der Zusammensetzung sowie der Aufgaben und Verantwortlichkeiten des Informationssicherheits-Management-Teams haben im Rahmen der Informationssicherheits-Politik zu erfolgen.3.Der Funktion der/des IT-Sicherheitsbeauftragten kommt eine zentrale Bedeutung zu.1.

Wenn mehrere unterschiedliche Systemplattformen zum Einsatz kommen. Zu den Aufgaben einer/eines Bereichs-IT-Sicherheitsverantwortlichen zählen • • • • • • die Mitwirkung bei den ihren/seinen Bereich betreffenden Teilen des Informationssicherheits-Konzeptes die Erarbeitung eines detaillierten Plans zur Realisierung der ausgewählten Sicherheitsmaßnahmen die Umsetzung dieses Plans die regelmäßige Prüfung der Wirksamkeit und Einhaltung der eingesetzten Sicherheitsmaßnahmen im laufenden Betrieb Information der/des IT-Sicherheitsbeauftragten über bereichsspezifischen Schulungsbedarf sowie Meldungen an die/den IT-Sicherheitsbeauftragten bei sicherheitsrelevanten Ereignissen. auch eine Zuordnung nach Abteilungen oder Betriebsstandorten ist denkbar.Die Komplexität moderner IT-Systeme erfordert zur Gewährleistung eines angemessenen Sicherheitsniveaus tief gehende Systemkenntnisse. Zu den Aufgaben einer/eines Applikations.1.4 Applikations-/Projektverantwortliche ISO Bezug: 27002 6.oder Projektverantwortlichen zählen insbesondere • • • • die Festlegung der Sicherheits. Daher wird es in vielen Fällen empfehlenswert sein. des Projekts die Klassifizierung der verarbeiteten Daten. Bereichs-IT-Sicherheitsbeauftragte zu definieren. Ein Bereich kann beispielsweise ein IT-System oder eine Betriebssystemplattform sein. können diese von einer einzelnen Person oft nicht mehr abgedeckt werden.3. die Vergabe von Zugriffsrechten sowie organisatorische und administrative Maßnahmen zur Gewährleistung der ITSicherheit in der Projektentwicklung und im laufenden Betrieb. 131 . Diese haben die fachliche Verantwortung für alle IT-Sicherheitsbelange in einem bestimmten Bereich.und Qualitätsanforderungen der Applikation bzw. 5.2.3 Für jede IT-Anwendung und jedes IT-Projekt ist die fachliche Gesamtverantwortung und damit auch die Verantwortung für deren Sicherheit klar festzulegen.

Aufgaben der/des Informationssicherheitsbeauftragten sind: • • • • • • • die Überwachung der Einhaltung der Bestimmungen des Informationssicherheitsgesetzes. der Informationssicherheitsverordnung und der sonstigen Informationssicherheitsvorschriften die periodische Überprüfung der Sicherheitsvorkehrungen für den Schutz von (lt. Lieferanten und Vertragspartnern festzulegen. Information der Bundesministerin bzw.3 Auf Ressortebene sind gemäß Informationssicherheitsgesetz Informationssicherheitsbeauftragte zu bestellen. per Gesetz festgelegte Rolle: die/den Informationssicherheitsbeauftragte/n.3. Jede/r Mitarbeiter/in.3.1. 1 Z1 und 2 Informationssicherheitsgesetz. des Bundesministers des jeweiligen Ministeriums in Angelegenheiten der Informationssicherheit sowie Erstattung von Verbesserungsvorschlägen. Informationssicherheitsgesetz) klassifizierten Informationen die Berichterstattung darüber an die Informationssicherheitskommission Behebung von erkannten Mängeln Sicherheitsüberprüfung von betroffenen Personen gemäß §3 Abs.2. muss ihre/seine spezifischen Pflichten und Verantwortlichkeiten im Rahmen der Informationssicherheit kennen und erfüllen. Ebenso sind die Rechte und Pflichten von externen Personen. falls erforderlich. auch wenn sie/er nicht direkt in den Bereich Informationssicherheit involviert ist.1.2. Die/der Informationssicherheitsbeauftragte ist Mitglied der Informationssicherheitskommission.Neben den oben beschriebenen Rollen gibt es im Bereich der Bundesverwaltung eine spezielle. 5.6 Weitere Pflichten und Verantwortungen im Bereich Informationssicherheit ISO Bezug: 27002 6. 5.5 Die/der Informationssicherheitsbeauftragte ISO Bezug: 27002 6.3 Sicherheit ist nicht ausschließlich Angelegenheit der damit per Definition betrauten Personen. 132 .

Es ist aber zu betonen. DSG 2000 verarbeitet werden. Im folgenden Abschnitt werden die wichtigsten Punkte. Details zur Risikoanalyse sind in Abschnitt Risikoanalyse enthalten.4 Risikoanalysestrategien. dass die Gesamtverantwortung für die Datenschutzbelange bei der Geschäftsführung verbleibt und nicht delegiert werden kann. 5. ist es sinnvoll. die im Rahmen der Informationssicherheits-Politik zum Thema Risikoanalyse festgelegt werden sollten.2. Dazu wird in einer Risikoanalyse das Gesamtrisiko ermittelt. in denen personenbezogene Daten lt. externe Mitarbeiter/innen Lieferanten und Vertragspartner 5. aufgeführt.2. In der Informationssicherheits-Politik sollen die Risikoanalysestrategie der Organisation sowie das akzeptable Restrisiko festgelegt werden.3. Datenschutzgesetz (DSG 2000)).Im Rahmen der organisationsweiten Informationssicherheits-Politik sind daher auch die Aufgaben und Verantwortlichkeiten folgender Personenkreise zu definieren: • • • • • Management/Behördenleitung ("Sicherheit als Managementaufgabe") Datenverarbeitungs(DV)-Entwicklung und technischer Support Dienstnehmer/innen Leasingpersonal. ist es zunächst erforderlich sie zu kennen und zu bewerten.7 Informationssicherheit und Datenschutz ISO Bezug: 27002 6.1. dieses Risiko so weit zu reduzieren.3. in Organisationen.1. Um Risiken zu beherrschen. 15. dass das verbleibende Restrisiko quantifizierbar und akzeptierbar wird.4 Auch wenn die Einrichtung einer/eines Datenschutzbeauftragten gesetzlich nicht gefordert ist (vgl.2 Methodisches Risikomanagement ist zur Erarbeitung eines vollständigen und organisationsweiten Informationssicherheits-Konzeptes unerlässlich. Weiters ist die Vorgehensweise bei der Akzeptanz von außergewöhnlichen Restrisiken zu definieren. die datenschutzbezogenen Aufgaben zu konzentrieren und die erforderlichen Tätigkeiten zuzuordnen. akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken ISO Bezug: 27002 4. 133 . Ziel ist es.

dass der Grundschutzlevel für die vorhandenen Geschäftsprozesse und IT-Systeme möglicherweise nicht angemessen sein könnte. • Kombinierter Ansatz: In einem ersten Schritt wird in einer Schutzbedarfsfeststellung (High Level Risk Analysis). Diese Vorgehensweise spart Ressourcen und führt schnell zu einem relativ hohen Niveau an Sicherheit. ausgehend von den Geschäftsprozessen. Besteht sehr hoher Schutzbedarf. o. Bei hohem Schutzbedarf können wahlweise Grundschutzmaßnahmen eingesetzt oder eine detaillierte Risikoanalyse durchgeführt werden. so dass auf eine detaillierte Risikoanalyse verzichtet und eine Grundschutzanalyse (s. Bei normalem Schutzbedarf wird von einer pauschalisierten Gefährdungslage ausgegangen. Diese Methode gewährleistet die Auswahl von effektiven und angemessenen Sicherheitsmaßnahmen. • Schritt 2: Festlegung des akzeptablen Restrisikos Nach Durchführung aller ausgewählten Sicherheitsmaßnahmen verbleibt im Allgemeinen ein Restrisiko. auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden. die sie unterstützenden Systeme und die verarbeiteten Informationen ermittelt.Schritt 1: Festlegung der anzuwendenden Risikoanalysestrategie Man kann drei Varianten zur Risikoanalysestrategie einer Organisation unterscheiden: • Grundschutzansatz: Unabhängig von den tatsächlichen Sicherheitsanforderungen werden für alle IT-Systeme Standardsicherheitsmaßnahmen ("Grundschutzmaßnahmen") eingesetzt. Der Nachteil liegt darin.) durchgeführt werden kann. Diese Option kombiniert die Vorteile des Grundschutzansatzes mit denen einer detaillierten Risikoanalyse und stellt heute die allgemein empfohlene Vorgehensweise dar. dessen Abdeckung wirtschaftlich nicht mehr vertretbar wäre. der Schutzbedarf für die einzelnen Prozesse. benötigt jedoch viel Zeit und Aufwand. Detaillierte Risikoanalyse: Für alle Geschäftsprozesse und die sie unterstützenden IT-Systeme wird eine detaillierte Risikoanalyse durchgeführt. 134 . In der Informationssicherheits-Politik sind diese akzeptablen Restrisiken so exakt wie möglich zu quantifizieren. Dies erlaubt eine schnelle und effektive Auswahl von grundlegenden Sicherheitsmaßnahmen bei gleichzeitiger Gewährleistung eines angemessenen Schutzniveaus. so sind die betroffenen Geschäftsprozesse und IT-Systeme einer detaillierten Risikoanalyse zu unterziehen.

135 . 5.2 Die Klassifizierung der verarbeiteten. Daher sind in der Informationssicherheits-Politik entsprechende Sicherheitsklassen zu definieren und weiters die Verantwortlichkeiten für die Durchführung der Klassifizierung festzulegen. welche Auswirkungen ein Missbrauch der Information auf die Institution haben kann.2. Vertraulichkeit (Vertraulichkeitsklassen) Die Vertraulichkeitsklassen können als Maß dafür gesehen werden.2.1 Definition der Sicherheitsklassen ISO Bezug: 27002 7. In der Sicherheitspolitik sind • • das Vorgehen bei Risiken. 5. Informstionssicherheitsgesetz gesetzlich festgelegt für "klassifizierte Informationen. Im Bereich der Bundesverwaltung sind die unten angeführten hierarchischen Klassen definiert.2. gespeicherten und übertragenen Informationen in Bezug auf ihre Vertraulichkeit und die Datenschutzanforderungen ist wesentliche Voraussetzung für die spätere Auswahl adäquater Sicherheitsmaßnahmen. die in Abweichung von der generellen Sicherheitspolitik in Kauf genommen werden sollen. die Österreich im Einklang mit völkerrechtlichen Regelungen erhalten hat".1 Festlegung von Klassifizierungsstufen bzgl. so besteht in begründeten Ausnahmefällen die Möglichkeit einer bewussten Akzeptanz des erhöhten Restrisikos. Diese Klassen sind lt. das höher ist als das generell akzeptable und dessen weitere Reduktion technisch nicht möglich oder unwirtschaftlich wäre.5.Schritt 3: Festlegung der Vorgehensweise zur Akzeptanz von außergewöhnlichen Restrisiken Verbleibt nach Durchführung aller im Sicherheitsplan vorgesehenen Maßnahmen ein Restrisiko. sowie die Verantwortlichkeiten dafür festzulegen.5 Klassifizierung von Informationen ISO Bezug: 27002 7.

3 B-VG genannten Interessen schaffen. empfohlen. im Allgemeinen mit weniger Klassen (meist 3 oder 4) das Auslangen finden. 20. im wirtschaftlichen Interesse einer Körperschaft des öffentlichen Rechts. in ihrer Informationssicherheits-Politik eine für ihre Zwecke adäquate Definition von Vertraulichkeitsklassen vorzunehmen. soweit gesetzlich nicht anderes bestimmt ist. zur Vorbereitung einer Entscheidung oder im überwiegenden Interesse der Parteien geboten ist (Amtsverschwiegenheit). 136 . 3 B-VG genannten Interessen wahrscheinlich machen. STRENG GEHEIM: Die Informationen sind geheim und ihr Bekannt werden würde überdies eine schwere Schädigung der in Art. Aus Gründen der Kompatibilität wird die Anwendung des genannten Schemas in denjenigen Bereichen. auch die leichtfertige Einstufung in eine zu hohe Vertraulichkeitsklasse ist zu vermeiden. Landes. [Anmerkung: Alle mit Aufgaben der Bundes-. .HINWEIS: Im Sinne der Kompatibilität und Einheitlichkeit erscheint diese Klassifizierung auch für andere Daten im Bereich der Bundesverwaltung sinnvoll.und Gemeindeverwaltung betrauten Organe sowie die Organe anderer Körperschaften des öffentlichen Rechts sind. Abs.. der umfassenden Landesverteidigung. Abs. Im Rahmen der Informationssicherheits-Politik sollte darauf hingewiesen werden. da etwa die Behandlung von geheimen Daten durchwegs mit erheblichem Aufwand verbunden ist. In den übrigen Verwaltungsbereichen und in der Privatwirtschaft ist es jeder Organisation überlassen. 3 BVG genannten Interessen zuwiderlaufen. dass die Klassifizierung der Daten sehr sorgfältig vorzunehmen ist.. • • • • EINGESCHRÄNKT: Die unbefugte Weitergabe der Informationen würde den in Art. sofern es nicht bereits diesbezügliche Regelungen gibt. Allerdings werden Organisationen der Privatwirtschaft. in denen nicht zwingende Gründe für ein anderes Klassifizierungsschema bestehen. der auswärtigen Beziehungen. GEHEIM: Die Informationen sind vertraulich und ihre Preisgabe würde zudem die Gefahr einer erheblichen Schädigung der in Art. sofern sie nicht besonders strenge Sicherheitsanforderungen haben. Ordnung und Sicherheit. Nicht nur die Einstufung in eine zu niedrige Vertraulichkeitsklasse ist mit potentiellen Gefahren verbunden. Abs. deren Geheimhaltung im Interesse der Aufrechterhaltung der öffentlichen Ruhe. 20. Nicht-klassifizierte Informationen werden nachfolgend auch als "OFFEN" bezeichnet. 20. zur Verschwiegenheit über alle ihnen ausschließlich aus ihrer amtlichen Tätigkeit bekannt gewordenen Tatsachen verpflichtet.] VERTRAULICH: Die Informationen stehen nach anderen Bundesgesetzen unter strafrechtlichem Geheimhaltungsschutz und ihre Geheimhaltung ist im öffentlichen Interesse gelegen.

Als allgemeine Richtlinie kann gelten. Gewerkschaftszugehörigkeit.5. deren Identität bestimmt oder bestimmbar ist. von der diese Information stammt.2. von jener Person in der Organisation. oder.3 Erarbeitung von Regelungen zum Umgang mit klassifizierten Informationen 137 . wenn diese keine eindeutigen Vorgaben gemacht hat.2. Weiters ist festzulegen. Die/der für die Information verantwortliche Mitarbeiter/in wird oft als "Dateneigner" oder "Data Owner" bezeichnet.1 Im Rahmen der Informationssicherheits-Politik ist generell festzulegen. 5. PERSONENBEZOGEN: Angaben über Betroffene (Anmerkung ad Betroffene: Jede vom Auftraggeber verschiedene natürliche oder juristische Person oder Personengemeinschaft.als auch für den privatwirtschaftlichen Bereich. dass die Klassifizierung einer Information von jener Person vorzunehmen ist.2. SENSIBEL: Daten über rassische und ethnische Herkunft. • • NUR INDIREKT PERSONENBEZOGEN: Der Personenbezug der Daten kann mit rechtlich zulässigen Mitteln nicht bestimmt werden. Die nachfolgende Klassifizierung gemäß Datenschutzgesetz (DSG 2000) gilt sowohl für den Behörden.5. religiöse oder philosophische Überzeugungen. Gesundheit oder Sexualleben von natürlichen Personen. in welcher Form die Klassifizierung bzw. die diese Information von außen erhält. wer die Klassifizierung der Daten vorzunehmen hat. Deklassifizierung erfolgt und wie klassifizierte Information gekennzeichnet wird. so sind die Daten auch dahingehend zu klassifizieren. politische Meinungen. Dies kann in den einzelnen Organisationen unterschiedlich sein und auch von IT-System zu IT-System differieren.Klassifizierung von Daten in Bezug auf Datenschutz Werden personenbezogene Daten verarbeitet.2 Festlegung der Verantwortlichkeiten und der Vorgehensweise für klassifizierte Informationen ISO Bezug: 27002 7. • 5. deren Daten verwendet werden).

2 5. etwaige Vorschriften zur Verschlüsselung) Übermittlung klassifizierter Information (mündliche Weitergabe. 138 . Werden in einer Organisation häufig klassifizierte Informationen verarbeitet und gespeichert.2.2. Schutz der Backup-Medien) Aufbewahrung / Wiederverwendung / Vernichtung von Datenträgern mit klassifizierter Information Weitergabe klassifizierter Information (an wen. chiffriert. die Verfügbarkeit der wichtigsten Applikationen und Systeme innerhalb eines definierten Zeitraumes zu gewährleisten sowie Vorkehrungen zur Schadensbegrenzung im Katastrophenfall zu treffen ("Gewährleistung eines kontinuierlichen Geschäftsbetriebes"). so empfiehlt sich die Erarbeitung eines eigenständigen Dokumentes. Vorschriften zur Verschlüsselung) Registrierung klassifizierter Information Ausdruck klassifizierter Information (auf welchem Drucker.2 Ziel der Business Continuity Planung ist es. Versendung durch Post oder Kurier. Grundzüge der Business Continuity Planung ISO Bezug: 27002 7. in dem u. folgende Fragen behandelt werden: • • • • • • • • • Kennzeichnung klassifizierter Information (sowohl elektronischer als auch nichtelektronischer) Verwahrung klassifizierter Information (Zugriffsberechtigungen.ISO Bezug: 27002 7. über welche Verbindungen.2. persönliche Weitergabe.a.2 In diesem Schritt ist festzulegen. durch wen. durch wen) Backup (Klartext. durch wen) Weitere Informationen zum Umgang mit klassifizierten Informationen siehe Kapitel 7. unter welchen Bedingungen) Deklassifizierung klassifizierter Information (wann. wie die Information in Abhängigkeit von den Sicherheitsklassen zu behandeln ist.6 Klassifizierung von IT-Anwendungen und IT-Systemen. elektronische Übertragung.

Zusätzlich zu den vier genannten Kategorien ist noch die Zusatzqualität „K-Fall sicher“ definiert. welche auch die Anforderungen in Katastrophenfällen berücksichtigt: • K-Fall sicher (K2 bis K4): Die IT-Anwendung ist derart konzipiert. Betriebsverfügbarkeitskategorie 3 – Redundante Infrastruktur: Die Infrastruktur für die IT-Anwendung ist derart ausgelegt. dass zumindest ein Notbetrieb in einer Zero-Risk-Umgebung möglich ist. ein Datenverlust ist auszuschließen. Die Sicherung wird an einen externen Ort ausgelagert. Die Business Continuity Planung selbst ist nicht Bestandteil der InformationssicherheitsPolitik. Es ist ein Datenverlust bzw. Im Rahmen der Informationssicherheits-Politik sind die Verfügbarkeitsklassen für IT-Anwendungen und die diesen Anwendungen zugrunde liegenden IT-Systeme sowie der darauf verarbeiteten oder gespeicherten Informationen zu definieren.und Ausfallssicherheitsüberlegungen im IT-Bereich des Bundeskanzleramtes [K-Fall]: • • • • Betriebsverfügbarkeitskategorie 1 – Keine Vorsorge (unkritisch): Für die IT-Anwendung werden keine besonderen Vorkehrungen getroffen. Dazu werden die Daten je nach Aktualisierungsgrad laufend in die Zero-Risk-Umgebung transferiert und der Betrieb der IT-Anwendung derart gestaltet. Betriebsverfügbarkeitskategorie 4 – Redundante Standorte: Die IT-Infrastruktur sowie die darauf aufsetzende IT-Anwendung ist auf zwei Standorte verteilt. Ausfall der IT-Anwendung unbestimmter Dauer denkbar. Eine Behinderung in der Wahrnehmung der Aufgaben der betroffenen Verwaltungsstelle entsteht durch den Ausfall bzw. so dass bei Betriebsunterbrechung des einen Standortes die IT-Anwendung uneingeschränkt am zweiten Standort weiter betrieben werden kann.Dabei wird unterschieden zwischen der Aufrechterhaltung der Betriebsverfügbarkeit im Fall von Störungen oder Bedienungsfehlern (im Folgenden auch als Business Contingency Planung bezeichnet) sowie der Gewährleistung eines Notbetriebes und des geordneten Wiederanlaufs im Katastrophenfall (Katastrophenvorsorge. dass ein Wiederaufsetzen eines definierten Notbetriebes in der Zero-Risk-Umgebung umgehend möglich ist. Nachfolgend ein Beispiel für ein solches Klassifizierungsschema – basierend auf den Katastrophenvorsorge. Die IT-Anwendung kann bei technischen Problemen erst nach deren Behebung am ursprünglichen Produktivsystem in Betrieb genommen werden. sondern muss in den entsprechenden weiteren Aktivitäten erfolgen. Betriebsverfügbarkeitskategorie 2 – Offline Sicherung: Es sind die gängigen Sicherungsmaßnahmen für die IT-Anwendung vorgesehen. Datenverlust nicht. dass bei Ausfall einer IT-Komponente der Betrieb durch redundante Auslegung ohne Unterbrechung fortgesetzt werden kann. 139 . KPlanung).

3.1 Erstellung der Informationssicherheits-Politik ISO Bezug: 27002 5. 5. Informationen über spezielle Sicherheitsmaßnahmen oder -systeme. Betroffenen abgestimmt wird. Umfassendes InformationssicherheitsManagement beinhaltet vielmehr auch die Aufgabe.1.1 Die Informationssicherheits-Politik soll von allen Mitarbeiterinnen/Mitarbeitern getragen werden.2. Informationssicherheit im laufenden Betrieb kontinuierlich zu überprüfen und aufrechtzuerhalten. Es ist daher wichtig.1.8 Dokumente zur Informationssicherheit ISO Bezug: 27002 5.3 Life Cycle der Informationssicherheits-Politik 5.In Summe ergibt eine derartige Einstufung die Verfügbarkeitsklassen 1 bis 4 und K2 bis K4. 140 . organisatorische Regelungen …) gegeben werden. Die Informationssicherheits-Politik muss daher Leitlinien und Kennzahlen zur Bewertung der Sicherheit hinsichtlich Angemessenheit.1 Definition von Verfügbarkeitsklassen 5.2. Die Zusatzoption „K-Fall sicher“ in Verbindung mit Betriebsverfügbarkeitskategorie 1 ist nicht sinnvoll. Wirksamkeit und Ordnungsmäßigkeit der eingesetzten Maßnahmen sowie deren Übereinstimmung mit der Informationssicherheits-Politik und dem Informationssicherheits-Konzept vorgeben. 5.1 Abschließend sollte ein Verweis auf die wichtigsten Dokumente zum Informationssicherheits-Management (Sicherheitsrichtlinien.7 Überprüfung und Aufrechterhaltung der Sicherheit ISO Bezug: 27002 5. Für nähere Informationen und für Klassifizierungsbeispiele siehe 14.2 Informationssicherheit ist kein durch einmalige Anstrengungen erreichbarer und dann unveränderbarer Zustand. dass bei ihrer Erstellung alle wesentlichen Kräfte der Organisation beteiligt werden und das Dokument mit Vertreterinnen/ Vertretern aller Beteiligten bzw.1.1.

5. Wesentliche Voraussetzung für eine erfolgreiche Implementierung und Umsetzung der Informationssicherheits-Politik ist. sind das Einverständnis mit diesen Vorgaben und die Kenntnis der daraus erwachsenden Verpflichtungen auch durch eine Unterschrift bestätigen zu lassen (etwa Verpflichtung auf das Datengeheimnis.1 Die Informationssicherheits-Politik wird von der Leitung der Organisation offiziell verabschiedet. Weiters sollen Vertreter/innen folgender Bereiche an der Erstellung der organisationsweiten Informationssicherheits-Politik mitarbeiten bzw.3.3.Zunächst ist eine verantwortliche Person für die Erstellung der Informationssicherheits-Politik zu nominieren. Ergänzungen zu Dienstverträgen. also allen Mitarbeiterinnen/Mitarbeitern der Organisation. Geheimhaltungsverpflichtungen von externen Personen... dass sie die volle und für jede/n Beteiligte/n sichtbare Unterstützung durch das Management erhält.3 Regelmäßige Überarbeitung 141 .2 Offizielle Inkraftsetzung der Informationssicherheits-Politik ISO Bezug: 27002 5.1. in den Abstimmungsprozess miteinbezogen werden: • • • • • • • IT-Abteilung Anwender/innen Bereichs-IT-Sicherheitsbeauftragte Personalabteilung Gebäudeverwaltung und Infrastruktur Revision Budgetabteilung Die wesentlichen Inhalte der Informationssicherheits-Politik müssen allen Betroffenen und Beteiligten.). die/der IT-Sicherheitsbeauftragte sein. 5. Dazu sollten in der Folge die für die einzelnen Personengruppen wichtigsten Richtlinien und Vorgaben der Informationssicherheits-Politik zusammengefasst und jeder/jedem Betroffenen in schriftlicher Form zur Kenntnis gebracht werden. Wo nötig. bekannt sein. aber auch etwa externen Mitarbeiterinnen/Mitarbeitern und Lieferanten. . in Kraft gesetzt und jedem Mitarbeiter/jeder Mitarbeiterin zur Verfügung gestellt. Im Allgemeinen wird dies. soweit bereits definiert.

142 . so ist eine sofortige Überarbeitung der Informationssicherheits-Politik in die Wege zu leiten. dennoch ist auch sie regelmäßig auf ihre Aktualität und Übereinstimmung mit den tatsächlichen Anforderungen zu überprüfen und bei Bedarf entsprechend anzupassen. Als Richtwert hierfür kann ein Zeitraum von zwei bis drei Jahren angesehen werden. nach dem die Informationssicherheits-Politik spätestens überprüft und aktualisiert werden sollte. Kommt es jedoch zwischenzeitlich zu gravierenden Änderungen im ITSystem. in der Organisationsstruktur oder in den Bedrohungen.2 Zwar stellt die Informationssicherheits-Politik ein langfristiges Dokument dar. Im Allgemeinen wird sie bei der für die IT-Sicherheit beauftragten Person liegen.1. Die Verantwortung dafür ist dezidiert festzulegen.ISO Bezug: 27002 5.

dass die Informationssicherheit nach innen und außen gewährleistet ist.Verantwortung ISO Bezug: 27002 6.1.1 Interne Organisation ISO Bezug: 27002 6. 6. Dazu hat die Management-Ebene die Aufgabe.1 Die oberste Management-Ebene jeder Behörde und jedes Unternehmens ist dafür verantwortlich.1 Management . Mit der steigenden Abhängigkeit der Geschäftsprozesse von der Informationstechnik steigen auch die Anforderungen. Sicherheitsexperten und Interessensgruppen. in verschiedenen Regelwerken festgelegt sein. hängt also weitgehend vom Engagement und der Unterstützung des Managements ab. • • • Die Management-Ebene wird über mögliche Risiken und Konsequenzen aufgrund mangelhafter Informationssicherheit informiert. Sie initiiert und steuert den Informationssicherheits-Prozess innerhalb der Organisation. Voraussetzung dafür ist eine aktive Rolle der ManagementEbene bei Implementierung. Ob Informationssicherheit erreicht und erhalten wird.6 Organisation Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 6 ff " ". je nach Organisationsform und Geschäftsbereich. 6. Folgendes zu veranlassen: 143 .1. dass alle Geschäftsbereiche zielgerichtet und ordnungsgemäß funktionieren und dass Risiken frühzeitig erkannt und minimiert werden. dass die Management-Ebene die Sicherheitsmaßnahmen auch selbst vorbildlich lebt. Letztlich kommt es aber auch darauf an. Kontrolle und Weiterentwicklung der Informationssicherheitsmaßnahmen sowie Etablierung und Pflege von Kontakten zu Behörden. Sie übernimmt die Gesamtverantwortung für Informationssicherheit. Abgesehen von der Bereitstellung dafür notwendiger finanzieller und personeller Ressourcen müssen klare Ziele und Richtlinien vorgegeben und die jeweiligen Rollen und Verantwortlichkeiten festgesetzt werden.1 In der Folge werden zunächst die Grundsätze und Maßnahmen des Informationssicherheits-Managements innerhalb der Organisation dargestellt. Dies kann auch.

dass bisweilen den Aussagen unbeteiligter Dritter mehr Gewicht bemessen wird als denen eigener Kollegen/ Kolleginnen. Dabei ist eine intensive Beteiligung der Führungsebene im "Managementprozess Informationssicherheit" erforderlich.1. Identifikation von Informationssicherheits-Zielen. Etablierung von Mechanismen. Überprüfung und Genehmigung der Informationssicherheits-Politik. 144 .Gremien ISO Bezug: 27002 6. Die Verantwortung für Informationssicherheit verbleibt auch dort.1.1 Die Management-Ebene muss den Sicherheitsprozess initiieren. um das Informationssicherheits-Niveau aufrecht zu erhalten. Letztere bieten zusätzlich zum Fachlichen bei der notwendigen Sensibilisierung auch den Nutzen. dass sie in allen Bereichen mit den verfügbaren Ressourcen (Personal. die sich aus gesetzlichen und vertraglichen Vorgaben ergeben.1. Hilfestellungen kann die Management-Ebene dabei von branchentypischen Standard-Vorgehensweisen zur Informationssicherheit und externen Beratern/ Beraterinnen erhalten. Integration der Maßnahmen in die Prozesse der Organisation. Zeit. Darstellung der Sicherheitsanforderungen. [Q: BSI-Standard 100-2] 6. Die Management-Ebene muss allerdings die Informationssicherheitsziele so definieren. um die Wirksamkeit der Maßnahmen der Informationssicherheits-Politik zu überprüfen.• • • • • • • • Ermitteln der Sicherheitsrisiken für die Organisation und die Informationen sowie damit verbundene Auswirkungen und Kosten. die Aufgabe "Informationssicherheit" wird allerdings typischerweise an eine/n IT-Sicherheitsbeauftragte/n delegiert. steuern und kontrollieren.1 Zusammenwirken verantwortliches Management Mitarbeiter/innen . Finanzmittel) erreichbar sind. Etablierung von Mechanismen. Erarbeitung. Darstellung der Auswirkungen von Sicherheitsvorfällen auf die kritischen Geschäftsprozesse.

dass Informationssicherheit in alle relevanten Geschäftsprozesse bzw. um unter dem überall herrschenden Erfolgsdruck von den jeweiligen Fachverantwortlichen in jede wesentliche Aktivität eingebunden zu werden. Die Leitungsebene trägt zwar die Verantwortung für die Erreichung der Sicherheitsziele. Die Management-Ebene muss sich dafür einsetzen. [Q: BSI-Standard 100-2] 145 . Die Aufgabe "Informationssicherheit" wird durch die Management-Ebene aktiv unterstützt. dass keine untragbaren Risiken bestehen und Ressourcen an der richtigen Stelle investiert werden. Idealerweise sollten dabei folgende Prinzipien eingehalten werden: • • • • • Die Initiative für Informationssicherheit geht von der Management-Ebene aus. Fachverfahren und Projekte integriert wird.oder Sicherheitsexperten gesehen. Die oberste Management-Ebene ist somit diejenige Instanz. Allerdings wird rechtzeitige Information über mögliche Risiken beim Umgang mit Informationen. Die Management-Ebene benennt die für Informationssicherheit zuständigen Mitarbeiter/innen und stattet diese mit den erforderlichen Kompetenzen und Ressourcen aus. speziell wenn es bereits zu einem Sicherheitsvorfall gekommen ist. Der/Die IT-Sicherheitsbeauftragte braucht hierbei erfahrungsgemäß die volle Unterstützung der Management-Ebene. dass sie von solchen Informationen umfassend und rechtzeitig erreicht wird. der Sicherheitsprozess muss aber von allen Beschäftigten in einer Organisation mitgetragen und mitgestaltet werden. Die Management-Ebene trägt die Verantwortung für Prävention und Behandlung von Sicherheitsrisiken. Dies enthebt die Management-Ebene jedoch nicht von ihrer Verantwortung. Die Management-Ebene übernimmt auch im Bereich Informationssicherheit eine Vorbildfunktion. Abhängig von Größe und Struktur der Organisation kann dies durch bestehende oder speziell eingerichtete Managementorgane oder -gremien umgesetzt werden. Daher sollten diese die Management-Ebene über mögliche Risiken und Konsequenzen aufgrund mangelhafter Informationssicherheit regelmäßig informieren. vor allem dass sie selbst die vorgegebenen Sicherheitsregeln beachtet. Dementsprechend sind die Zuständigkeiten und Verantwortlichkeiten bezüglich Informationssicherheitsthemen zu klären. Geschäftsprozessen und IT von der Management-Ebene häufig als Bringschuld der IT.Nur so kann das Informationssicherheits-Management sicherstellen. Die Gesamtverantwortung für Informationssicherheit verbleibt bei der obersten Management-Ebene. die die Entscheidung über den Umgang mit Risiken trifft und die entsprechenden Ressourcen zur Verfügung stellen muss.

6. Maßnahmen. wenn kein Einklang mit der Informationssicherheits-Politik erstellbar ist. Aktivitäten im Rahmen einer solchen Zusammenarbeit sind: • • • • • • • Abgleichen der Sicherheitsaktivitäten mit der Informationssicherheits-Politik. hängt selbstverständlich von der Größe.2 Koordination ISO Bezug: 27002 6. Beschaffenheit und Struktur der jeweiligen Organsiation ab. Risikomanagement.2 Um das angestrebte Sicherheitsniveau zu erreichen.1. denen die Informationen und informationsverarbeitenden Einrichtungen ausgesetzt sind. Zumindest sollte es jedoch eine/einen Sicherheitsbeauftragten als zentralen Ansprechpartner für die Koordination des InformationssicherheitsProzesses geben. Identifikation von bestehenden oder sich verändernden Bedrohungen. Schaffung und Förderung von Awareness und Etablierung von Ausbildungs. Meistens umfasst die Koordination der Informationssicherheit die Zusammenarbeit von Managern/Managerinnen. Bewertung der Eignung und Wirksamkeit der Sicherheitsmaßnahmen. muss der Informationssicherheits-Prozess organisationsweit umgesetzt werden. Abstimmung und Beschlusslagen für die erforderlichen Maßnahmen. Schlussfolgerungen und Verbesserungsmaßnahmen aus Informationssicherheits-Vorfällen (in der eigenen oder auch anderen Organisationen) Wie viele und welche Personen mit Informationssicherheit befasst sind. Entwicklern sowie Auditoren und Sicherheitspersonal. Personalwesen) eingebunden werden. Dazu sind Rollen innerhalb der Organisation festzulegen und diesen entsprechende Aufgaben zuzuordnen. Wenn nötig sollten auch Fachexperten (Recht. Diese Rollen werden dann qualifizierten Mitarbeitern/ Mitarbeiterinnen zur Ausführung übertragen. Administratoren.1. 146 .und Schulungsmaßnahmen für Informationssicherheit.Damit können alle wichtigen Aspekte berücksichtigt und die Aufgaben effizient und effektiv erledigt werden. Benutzern/Benutzerinnen.

kann ein IS-Management-Team aufgebaut werden. damit die Zuständigkeit jederzeit deutlich erkennbar ist. die Administratoren für deren korrekte Umsetzung und die Benutzer/innen für den sorgfältigen Umgang mit den zugehörigen Informationen. Es muss festgelegt werden.etwa in größeren Organisationen .mehrere befasste Personen. Um den direkten Zugang zur obersten Management-Ebene sicherzustellen. Anwendungen und ITKomponenten sollten alle Verantwortlichen und deren Vertreter/innen namentlich genannt sein. Siehe dazu auch : 5. Vorgaben und Richtlinien aus. der/die Leiter/in IT zusammen mit dem Informationssicherheits-Management für die Ausarbeitung von Sicherheitsvorgaben für die IT-Komponenten. Beispielsweise ist die Leitungsebene der Organisation verantwortlich für alle grundsätzlichen Entscheidungen bei der Einführung einer neuen Anwendung. Jede/r Mitarbeiter/in ist dabei für das verantwortlich. Anwendungen und IT-Komponenten sie in welcher Weise verantwortlich sind. es sei denn. dass 147 . für welche Informationen. Umgekehrt sollten natürlich alle Mitarbeiter/innen wissen. es ist explizit anders geregelt. wer für Informationen. Unbeschadet davon ist jede/r Mitarbeiter/in für die Aufrechterhaltung der Informationssicherheit an seinem/ihrem Arbeitsplatz und in seiner/ihrer Umgebung verantwortlich.2. Anwendungen und Systemen.1.3 Definierte Verantwortlichkeiten für Informationssicherheit ISO Bezug: 27002 6.3 Organisation und Verantwortlichkeiten für Informationssicherheit [Q: BSI-Standard 100-2] 6. Hierfür sollte immer eine konkrete Person (inklusive Vertreter/ in) und keine abstrakte Gruppe benannt werden.1. Anwendungen und IT-Komponenten sowie für deren Sicherheit verantwortlich ist.3 Um zu einer umfassenden Gesamtsicherheit zu gelangen.Gibt es . sollten diese Rollen als Stabsstelle organisiert sein. Die Fachverantwortlichen als die "Eigentümer" von Informationen und Anwendungen müssen sicherstellen. was in seinem/ihrem Einflussbereich liegt. Der/Die Sicherheitsbeauftragte soll direkt einem/einer für Informationssicherheit verantwortlichen Manager/Managerin berichten. ist die Beteiligung aller Mitarbeiter/innen einer Organisation an der Umsetzung der notwendigen Sicherheitsmaßnahmen erforderlich. Es regelt die übergreifenden Belange der Informationssicherheit und arbeitet Pläne. Bei komplexeren Informationen.

Zugriff zu den Informationen.• • • • • • der Schutzbedarf der Informationen. Installation und Betrieb von informationsverarbeitenden Komponenten aller Art muss koordiniert und genehmigt sein. Mobiltelefonen und Software.1. Dies betrifft die geregelte Abnahme.2. PDA's. welche die Informationssicherheit gefährden.1.3 Organisation und Verantwortlichkeiten für Informationssicherheit [Q: BSI-Katalog M 2. Siehe dazu auch : 5. USB-Sticks. wöchentlich. Anwendungen und IT-Komponenten korrekt festgestellt wurde die erforderlichen Sicherheitsmaßnahmen umgesetzt werden dies regelmäßig (z. Anwendungen und ITKomponenten geregelt ist Abweichungen. Installation und Benutzung von Komponenten wie auch etwa externen Laufwerken. Die Regelung muss den gesamten Lebenszyklus der jeweiligen Komponente umfassen.225] 6.4 Beschaffung. B. schriftlich dokumentiert werden Die Fachverantwortlichen müssen zusammen mit dem InformationssicherheitsManagement entscheiden. täglich.und Kompatibilitätstest Freigabe Installation Lizenzverwaltung Deinstallation .4 Benutzungsgenehmigung für Informationsverarbeitung ISO Bezug: 27002 6. wie mit eventuellen Restrisiken umgegangen wird. also je nach Eigenschaften und Sicherheitsrelevanz: • • • • • • • 148 Erstellung eines Anforderungskataloges Auswahl eines geeigneten Produktes Funktions. Freigabe. monatlich) überprüft wird die Aufgaben für die Umsetzung der Sicherheitsmaßnahmen klar definiert und zugewiesen werden der Zugang bzw.

216] 149 .6 (ff) Testen von Software. die Benutzer/ innen in deren Anwendung zu schulen. in denen auch alle sicherheitsrelevanten Einstellungen dokumentiert sind. Vor der Inbetriebnahme neuer Komponenten sind (sofern erforderlich) die Administratoren bzw.11 Deinstallation von Software. weiters ist bei diesen dann oft unklar. Siehe dazu auch : • • • • 12. Ebenfalls muss die allfällige Verwendung von persönlichen oder privaten Informationsverarbeitungs-Einrichtungen geregelt werden. Auch nach der Erstinstallation von Komponenten müssen diese weitergepflegt werden. wer der Eigentümer der Information ist. Konfigurationsanleitungen erarbeitet werden. wenn sich Änderungen auf die Sicherheit des Gesamtsystems auswirken könnten. und 12. Statt dessen müssen exakte Policies ihrer Verwendung und notwendiger Maßnahmen (etwa Verschlüsselung) definiert und umgesetzt werden.1 Nutzungsverbot nicht-freigegebener Software.7.• Entsorgung / Vernichtung Notwendigkeit zur Koordination und Genehmigung betrifft auch Wartungsaktivitäten an bestehenden sicherheitsrelevanten Einrichtungen.1.1 Mobile IT-Geräte Jedenfalls muss vor Genehmigung von den Komponenten bekannt sein: • • • • ihre Funktionstüchtigkeit ihre Sicherheitseigenschaften mögliche durch ihren Einsatz entstehende Sicherheitsrisiken allfällige Einsatzbedingungen.3. zu erarbeitende Installationsanweisungen Während des Genehmigungsverfahrens sollten außerdem Installationsbzw. sind generelle Verbote ihres Einsatzes zunehmend schwieriger umzusetzten. Siehe dazu auch: 11.und Software-Komponenten [Q: BSI-Katalog M 2.2 Nutzungsverbot privater Hard. wenn sie auch Geschäftsinformationen verarbeiten sollen (weit verbreitet sind Kalender und Telefonlisten auf PDA's bzw. sowie 12. bis 12.1. Mobiltelefonen): Diese können erhebliche Schwachstellen bedeuten. Da sie praktisch sind und in vielen Fällen von der ManagementEbene benutzt werden. Die Installation und Benutzung nicht freigegebener IT-Komponenten muss verboten und die Einhaltung dieses Verbotes regelmäßig kontrolliert werden.3.

Sie muss klar formuliert sein und aktuell gehalten werden. In der Vertraulichkeitsvereinbarung kann auch auf die relevanten Sicherheitsrichtlinien und weitere Richtlinien der Organisation hingewiesen werden. B. geistigem Eigentum geregelt sind welche Verwendung der Informationen zulässig ist allfällige Kontrollrechte des Urhebers bzw. In dem Fall. Vernichtung oder Rückgabe von Datenträgern wie die Eigentumsrechte an Informationen resp. In einer Vertraulichkeitsvereinbarung sollte beschrieben sein: • • • • • • • • • welche Informationen vertraulich behandelt werden müssen für welchen Zeitraum diese Vertraulichkeitsvereinbarung gilt bzw. in welche Gerichtsbarkeit die Vertraulichkeitsvereinbarung fällt. etwa Pflicht zur Überbindung der Vertraulichkeitsvereinbarung welche Konsequenzen bei Verletzung der Vereinbarung eintreten. ob die Vertraulichkeit für unbeschränkten Zeitraum sicherzustellen ist welche Aktionen bei Beendigung dieser Vereinbarung vorgenommen werden müssen.5 Vertraulichkeitsvereinbarungen ISO Bezug: 27002 6. diese entsprechend zu behandeln. z. 150 . die von den externen Mitarbeitern/Mitarbeiterinnen unterzeichnet werden.5 Externe Mitarbeiter/innen oder Subunternehmen benötigen und erhalten häufig für die Erfüllung ihrer Aufgaben Zugang zu vertraulichen Informationen oder erzielen Ergebnisse. In diesen Fällen müssen sie rechtlich bindend verpflichtet werden.6. dass externe Mitarbeiter/innen Zugang zur organisationsinternen ITInfrastruktur haben. der überlassenden Organisation allfällige Regelungen für den Gebrauch und die Weitergabe von vertraulichen Informationen an weitere Partner. etwa Strafzahlungen bzw.1. Hierüber sind Vertraulichkeitsvereinbarungen (Non-Disclosure-Agreements) abzuschließen. sollten diese neben der Vertraulichkeitsvereinbarung auch die ITSicherheitsrichtlinien für die Nutzung der jeweiligen IT-Systeme unterzeichnen. Aus diesem Grund muss sie den geltenden Gesetzen und Bestimmungen für die Organisation in dem speziellen Einsatzbereich entsprechen und diese berücksichtigen. die vertraulich behandelt werden müssen. Eine Vertraulichkeitsvereinbarung bietet die rechtliche Grundlage für die Verpflichtung externer Mitarbeiter/innen zur vertraulichen Behandlung von Informationen. Haftungen.1.

Es kann sinnvoll sein. Sinnvoll ist auch die Teilnahme oder Mitgliedschaft in Interessens-. Aufsicht. bzw. verschiedene Vertraulichkeitsvereinbarungen . generell Zugang zu Expertenwissen. Produkten. ggf. sondern ein gemeinsamer Wissensstand mehrerer Partner aufgebaut. auch informelle Beziehungen zu solchen Institutionen gepflegt werden. eingewiesen werden können.1. aber auch Wasser-. Zum anderen sollten regelmäßige. Damit wird nicht nur der eigene Wissensstand betreffend Technologien. resp.7 Rasche Kontaktaufnahme mit zuständigen Behörden oder Versorgungseinrichtungen (Feuerwehr. Verfahren und Kontaktlisten erstellt werden. Expertengremien. Behandlung von Sicherheitsvorfällen gefunden werden.5 Vereinbarung betreffend die Überlassung von Daten [Q: BSI-Katalog M 3. einen Überblick über passende Gremien und Interessensgruppen zu haben und zu entscheiden. In solchen Gremien sind meist rasch und unkompliziert Sicherheitswarnungen und Informationen über bereits erprobte Behebungsmaßnahmen. Gefährdungen.55] 6. welche Vereinbarung für welche Fälle notwendig ist. Dies ist eine Aufgabe des Incident Handlings (siehe dazu 13. Damit können beispielsweise Vorsorgemaßnahmen vorab abgestimmt oder relevante Neuerungen bekanntgegeben werden.6. Best Practices und anderer Bereiche erhöht. Weiters können über solche geeignete Gremien oder Foren neue oder zusätzliche Ansprechpartner für Problemlösungen bzw. kann die Organisation auf neue Gegebenheiten (etwa Vorschriften) angepasst werden. zu bekommen. der in der Regel viel umfassender ist.6 Kontaktpflege mit Behörden und Gremien ISO Bezug: 27002 6.bzw. in welchen aktiv mitgearbeitet oder lediglich Ergebnisse beobachtet werden. die Kontakte mit ihnen gepflegt werden. In diesem Fall muss klar definiert werden. 151 .1.je nach Einsatzzweck .oder Telekombetreiber) ist insbesondere bei Notfällen. Arbeits.4 Alarmierungsplan). Sicherheitsvorfällen oder Verdacht auf kriminelle Handlungen von entscheidender Bedeutung.1. Elektrizitäts und Gasversorgungsunternehmen sowie Internet. Dazu ist es sinnvoll. resp. Muster siehe: Anhang C. damit rasch und zuverlässig die richtigen Ansprechpartner kontaktiert und ggf. Polizei. 6.1.zu verwenden. Daher sollen zum einen rechtzeitig Pläne.

Büros. Organisation.1. mit einer einzelnen Maßnahme erreicht.7 Unabhängige Audits der Sicherheitsmaßnahmen ISO Bezug: 27002 6. dass sensible Informationen auch gegenüber Gremien oder Kontaktpersonen geschützt bleiben müssen. oder es müssen geeignete Vertraulichkeitsvereinbarungen abgeschlossen werden. Dies umfasst: • • • • • • • • • • • • neue Geschäftsprozesse neue Anwendungen neue Hard-. Terminverzug bei der Umsetzung von Sicherheitsmaßnahmen.8 Das angestrebte Sicherheitsniveau wird in der Regel nicht auf einmal bzw. Netzwerke) veränderte Organisationen (Outsourcing) neue Mitarbeiter/innen in Schlüsselpositionen oder: neue oder veränderte Gefährdungen (Nachbarfirmen mit Gefährdungspotenzialen) neue Angriffstechnologien veränderte Vermögenswerte und damit neuer Schutzbedarf Kenntnis von neuen Schwachstellen bereits eingetretene Sicherheitsvor. Software neue oder veränderte Infrastrukturen (Gebäude.Allerdings ist zu beachten. 152 . Infrastruktur und Umfeld sind immer wieder Änderungen unterworfen.oder Schadensfälle aber auch: Planungsänderungen. 6.1. Leitungen. Entweder dürfen sie also nicht verwendet werden. und bleibt nicht ohne Weiteres dauerhaft bestehen.

Durchführung der Prüfungen: Die laufenden Umsetzungsaktivitäten selbst sind hinsichtlich Umsetzungsstatus. wirksam. Schwachstellen und Mängeln Abgleich. inwieweit sie umgesetzt sind (vorhanden. Ziel der Prüfung ist nicht Überwachung der Mitarbeiter/innen als Selbstzweck oder gar deren Bloßstellung. Solche Prüfungen sollten: • • • vom Management initiiert und begleitet sein regelmäßig durchgeführt werden (zumindest einmal pro Jahr) aber auch zwischenzeitlich und unangekündigt erfolgen.Prüfziel und Prüfzweck: Dies erfordert die regelmäßige Überprüfung (Audit) aller Sicherheitsmaßnahmen. dokumentiert) und auch gelebt werden. die am Sicherheitskonzept mitgewirkt haben. aktuell und vollständig sind ob bzw. Sie sollte durch eine weitgehend unabhängige und kompetente Stelle (Revisionsabteilung oder spezialisierte externe Gutachter) erfolgen: • • • damit nicht nur die unternehmenseigene Sichtweise zum Tragen kommt die Ergebnisse nicht angezweifelt werden können und die Gelegenheit zum Einbringen zusätzlicher Expertise genutzt werden kann. Ressourceneinsatz und Kosten zu prüfen. Keinesfalls sollten Personen als Prüfer tätig sein. insbesondere bei Änderungen in der Organisation. Geprüft werden die Maßnahmen laut Sicherheitskonzept: • • • ob damit die angestrebten Sicherheitsziele erreicht werden können ob sie zum Zeitpunkt der Prüfung noch umsetzbar. ob die Sicherheitsmaßnahmen gemäß Sicherheitskonzept umgesetzt sind oder werden ob technische Maßnahmen korrekt implementiert bzw. konfiguriert sind ob Auswertungen (etwa von Protokollen) tatsächlich durchgeführt werden und Auffälligkeiten beachtet werden 153 . Termintreue. sondern: • • • • Suche nach und Eliminierung von Fehlerquellen.

• • • • • • • Erkennen von schwachen oder nicht wirksamen Sicherheitsmaßnahmen von nicht eingehaltenen Sicherheitsanweisungen und den Ursachen dafür von neuen oder veränderten Bedrohungen Anpassungsbedarf für das Sicherheitskonzept bzw. Immerhin bedeutet sie eine Zusatzbelastung für die Mitarbeiter/innen.und Korrekturmaßnahmen Wesentlich für den Erfolg der Prüfung im Sinne eines Verbesserungspotenzials ist die Akzeptanz und Offenheit seitens aller Beteiligter. Fortschritt. Die Durchführung der Prüfung muss vom Management wie jedes andere Projekt koordiniert und begleitet werden. dass das Management regelmäßig über Verlauf. Auch hier ist darauf zu achten. Daher muss ihnen der Nutzen dargestellt und allfällige Ängste vor Schuldzuweisungen genommen werden. ob nicht wirtschaftlichere Maßnahmen möglich sind) Schlußfolgerungen aus Sicherheitsvorfällen Verhindern. Norm) . Es sollte einerseits auf Effizienz geachtet werden (etwa Vermeiden unnötiger ad-hoc Listen und Aufstellungen. die zeitlich bzw. Sicherheitskonzept und dokumentierte Sicherheitsmaßnahmen. Jedenfalls ist dem Management ein Prüfbericht vorzulegen: • • 154 Was wurde jeweils im Einzelnen geprüft und von wem Was war die Prüfgrundlage (z. dass sensible Informationen geschützt bleiben müssen bzw. dass sich Sicherheitsvorfälle wiederholen Aufzeigen von Verbesserungs. Dies gilt insbesondere auch für eingesetzte Prüfwerkzeuge. bisweilen auch räumlich ausreichend unterzubringen ist. Selbstverständlich muss dafür gesorgt sein. die Sicherheitsziele zu erreichen. entsprechende Vertraulichkeitsvereinbarungen abgeschlossen werden. wenn sich die Information auch aus Quellen der normalen Tätigkeit gewinnen lässt). vorläufige Erkenntnisse und allfällige Probleme der Prüfung informiert wird. was auf Grund der Ergebnisse der Prüfung geschehen soll.B. Solche dürfen nur von autorisierten Personen verwendet werden und sind selbst vor Missbrauch zu schützen. Sicherheitsmaßnahmen. andererseits darf kein Bereich ungeprüft bleiben. Sicherheitskonzept. (Eignung. Ansonsten würden womöglich bekannte Schwachstellen oder gar Vorfälle verschwiegen oder heruntergespielt. Basis für die Prüfung sind primär Sicherheitspolitik. Maßnahmen auf Grund der Prüfergebnisse: Es ist vorab zu definieren.

Verantwortung und Ressourcen für ihre Umsetzung. Dazu wird ein Umsetzugsplan verabschiedet wobei festgehalten wird: • • • Zeitaufwand und Fertigstellungstermine Verantwortlichkeiten für die Umsetzung Zur Verfügung gestellte Ressourcen Die Umsetzung der Verbesserungsmaßnahmen ist dann Gegenstand des nächsten Audit. welche Konsequenzen zu ziehen bzw. auf Basis der Ergebnisse entsprechende Verbesserungsmaßnahmen einzuleiten. Schulungs. Netzwerk-. veränderte Leitungsführungen Technik: Hard-.199] 155 .existiert in der Organisation ein periodischer Verbesserungsprozess. [Q: BSI-Katalog M 2.bei regelmäßigen Prüfungen . im Rahmen dessen die Korrekturmaßnahmen dokumentiert.inklusive Zeitpunkt. Verbesserungsmaßnahmen einzuleiten sind. um angemessene Konsequenzen einzuleiten. Verbesserungsmaßnahmen abhängig von der Ursache können sein: • • • • • ISMS: Anpassung der Sicherheitspolitik oder des Sicherheitskonzepts Organisation: Abänderung organisatorischer Maßnahmen. Softwareänderungen.oder gar disziplinäre Maßnahmen Infrastruktur: Bauliche Veränderungen. Werden unzulässige Aktivitäten von Mitarbeitern/Mitarbeiterinnen entdeckt. Schließlich entscheidet die Management-Ebene auf Basis der Prüfergebnisse. veränderte Zugriffsberechtigungen Personal: Awareness-. sollte der jeweilige Vorgesetzte informiert werden. umgesetzt und ihrerseits wieder überprüft werden. Kommunikationsionfrastrukturanpassung Zu jeder festgestellten Abweichung soll eine Verbesserungsmaßnahme vorgeschlagen werden . zusätzliche Kontrollmechanismen.• • • • Was war im Einzelnen das zu erreichende Prüfziel Inwieweit wurde es erreicht oder welche Abweichungen / Unregelmäßigkeiten wurden festgestellt War jeweils die Implementierung / Konfigurierung / Dokumentation korrekt Wie sind allfällig erkannte Schwachstellen / Unregelmäßigkeiten / neue Gefahren zu quantifizieren und welcher Handlungsbedarf ergibt sich daraus Es ist dann die Pflicht des Managements. Optimalerweise .

Probleme.oder Sicherheitsvorfällen Berichte über den Status des Informationssicherheits-Prozesses (Erledigungen. diese aber nicht wiederholt werden.ob und inwieweit die eigene Organisation betroffen ist . Die Sprache sollte auch für nicht technisch versierte Leser verständlich sein. Um deren Niveau zu halten.1. verwiesen. Ad-Hoc Management-Berichte Im Anlassfall sollten ad-hoc Berichte erarbeitet werden. daher muss die Management-Ebene darüber informiert werden. Auf Aspekte. ist laufend dieses laufend zu bewerten und der Informationssicherheits-Prozess zu steuern.8 Berichtswesen ISO Bezug: 27002 6. Verzögerungen. die bereits in anderen Berichten erörtert wurden. Ressourcenbedarf.8 Die Management-Ebene benötigt für ihre Entscheidungen aussagekräftige und aufbereitete Informationen. Jede Änderung an den Sicherheitszielen. Änderungen. den Implementíerungen und ím Umfeld wirkt sich auf das Sicherheitsniveau aus. sondern die Eckdaten relevant: • • • • Ergebnisse von Audits und Überprüfungen Berichte von Not. etwa: • • • • • 156 unerwartete Sicherheitsprobleme neue Gefährdungspotenziale neue Gesetze Probleme die mit den vorgesehenen Ressourcen nicht gelöst werden können In Massenmedien dargestellte Vorfälle . Regelmäßige Management-Berichte Für die Management-Ebene sind nicht so sehr die Details.1. Dies gilt auch für die aktuelle Situation der Informationssicherheit. künftige Planungen) Verbesserungsvorschläge Dies sollte in regelmäßigen aber kurzen und übersichtlichen Berichten an die Management-Ebene erfolgen.6. sollte ggf.

Beispiele: • • • Nutzung und Betrieb von Hardware und Software Betrieb eines Rechenzentrums.2. ist nicht erheblich.200] 6. Ob dies in den Räumlichkeiten des Auftraggebers oder in einer externen Betriebsstätte des Outsourcing-Dienstleisters geschieht.2 Outsourcing bedeutet. heißen Application Service Provider (ASP): • E-Mail 157 . Ressourcenbedarfs und der jeweiligen Priorität. einer Applikation. Diese wird nur dann erreicht.oder Geschäftsprozesse einer Organisation ganz oder teilweise zu externen Dienstleistern ausgelagert und von diesen durchgeführt werden.inklusive einer Schätzung des damit verbundenen Aufwands bzw.2. dass Arbeits.1 Outsourcing ISO Bezug: 27002 6. einer Website Wachdienst Dienstleistungen mit Bezug zur IT-Sicherheit ausgelagert heißen Security Outsourcing oder Managed Security Services: • • • • ausgelagerter Firewall-Betrieb Netzwerküberwachung Virenschutz Betrieb eines Virtual Private Networks (VPN) Dienstleister.1. wenn zu den aufgezeigten Punkten auch klar formulierte Vorschläge für Maßnahmen dargestellt werden . die auf ihren eigenen Systemen Anwendungen für ihre Kunden betreiben. 10. [Q: BSI-Katalog M 2.1 6.2 Zusammenarbeit mit Externen ISO Bezug: 27002 6.Abgesehen von bloßen Kenntnisnahmen ist das Ziel solcher Berichte meist eine Entscheidung der Management-Ebene.

dass die Informationssysteme und Netzwerke der eigenen Organisation und ihrer Dienstleister miteinander verbunden werden.2. spricht man von Application Hosting. Damit ergeben sich eine Reihe von potenziell höchst gefährlichen bzw.1 158 . besteht nach wie vor ein Trend zu verstärkter Auslagerung.11] 6. existenzgefährdenden Risiken für die auftraggebende Organisation. Die Erwartung an Outsourcing von Geschäftsprozessen oder Produktionen sind unter Anderem: • • • • Konzentration auf Kernkompetenz (Core Business) Kostenersparnis (etwa IT-Systeme samt Personal) Entlastung eigener Ressourcen Flexibilität der Prozesse Obwohl auch einige Outsourcing-Projekte gescheitert sind.2 Gefährdungen beim Outsourcing ISO Bezug: 27002 6. Der Ablauf eigener Geschäftsprozesse wird nun vom Dienstleister gesteuert und es entsteht eine Abhängigkeit von dessen Qualität.2. [Q: BSI B 1.• • • SAP-Anwendungen Archivierung Web-Shops Sind die Anwendungen Eigentum des Kunden. Meist sind Auftraggeber und Dienstleister über das Internet oder ein VPN miteinander verbunden. Sicherheitmaßnahmen sowie die Gestaltung vertraglicher Regelungen zwischen Auftraggeber und Dienstleister. Wesentlich sind daher beim Outsourcing die Kenntnis und Behandlung der Gefährdungen bzw. Eine Herausforderung für die Informationssicherheit liegt darin.

und Datenträgertransport Unzureichendes Sicherheitsmanagement Ungeeignete Verwaltung von Zugangs. Um die jeweils existierenden Risiken quantitativ bewerten zu können.und Freigabeverfahren Ungesicherter Akten. • • • • • • • • • • • • • • • • • • Höhere Gewalt Ausfall eines Wide Area Netzwerkes Organisatorische Mängel Fehlende oder unzureichende Regelungen Unerlaubte Ausübung von Rechten Fehlendes oder unzureichendes Test. um Fehlentwicklungen der eigenen Organisation frühzeitig zu erkennen und zu verhindern. die Definition ihrer Kernkompetenzen. Es sollten daher alle Anstrengungen unternommen werden.Die Gefährdungslage eines Outsourcing-Vorhabens ist ausgesprochen vielschichtig. die Ausgestaltung der Wertschöpfungskette und betrifft viele weitere wesentliche Belange eines Organisationsmanagements. technischer und auch menschlicher Ebene existieren und sind nachfolgend in den einzelnen Gefährdungskatalogen aufgeführt.und Zugriffsrechten Fehlerhafte Outsourcing-Strategie Unzulängliche vertragliche Regelungen mit einem externen Dienstleister Unzureichende Regelungen für das Ende des Outsourcing-Vorhabens Abhängigkeit von einem Outsourcing-Dienstleister Störung des Betriebsklimas durch ein Outsourcing-Vorhaben Mangelhafte IT-Sicherheit in der Outsourcing-Einführungsphase Schwachstellen bei der Anbindung an einen Outsourcing-Dienstleister Unzureichendes Notfallvorsorgekonzept beim Outsourcing Menschliche Fehlhandlungen 159 . Die Gefährdungen können parallel auf physikalischer. müssen zuvor die organisationseigenen Werte und Informationen entsprechend ihrer strategischen Bedeutung für die Organisation beurteilt und klassifiziert werden. Die Entscheidung über das Auslagern einer speziellen Aktivität beeinflusst nachhaltig die strategische Ausrichtung der Organisation.

2.• • • • • • • • • • • • Vertraulichkeits.11] 6. organisatorische und sicherheitsrelevante Aspekte nach sich und bedingt vorab: • 160 Unternehmensstrategie .1 Ein ausgelagerter IT-Verbund kann sowohl aus Komponenten bestehen. die sich ausschließlich im Einflussbereich des Outsourcing-Dienstleisters befinden.oder Integritätsverlust von Daten durch Fehlverhalten Technisches Versagen Schlechte oder fehlende Authentifikation Ausfall eines Kryptomoduls Ausfall der Systeme eines Outsourcing-Dienstleisters Vorsätzliche Handlungen Missbrauch von Fernwartungszugängen Missbrauch von Administratorrechten Social Engineering Vertraulichkeitsverlust schützenswerter Informationen Integritätsverlust schützenswerter Informationen Weitergabe von Daten an Dritte durch den Outsourcing-Dienstleister [Q: BSI B 1. ob und in welcher Form ein OutsourcingVorhaben umgesetzt wird. technische. Für jedes Teilsystem und für die Schnittstellenfunktionen muss das definierte Sicherheitsniveau gewährleistet sein.3 Outsourcing Planungs. Phase 1: Strategische Planung des Outsourcing-Vorhabens: Schon bei der Entscheidung. In der Regel gibt es in diesem Fall Schnittstellen zur Verbindung der Systeme. müssen die sicherheitsrelevanten Gesichtspunkte herausgearbeitet werden.2. Outsourcing zieht wirtschaftliche. als auch aus Komponenten beim Auftraggeber.und Betriebsphasen ISO Bezug: 27002 6.

bei gleicher oder gar besserer Qualität. wenn er dabei auch noch einen Gewinn lukriert. wieso das dem Dienstleister gelingen wird. Routineabläufe)? Wie können weiterhin Anforderungen an die IT gestellt werden? Was geschieht mit bisher selbst entwickelten IT-Anwendungen? Wesentlich ist zunächst die Klärung. Daher sollte eine Sicherheitsanalyse durchgeführt werden. Der Dienstleister hat Zugriff auf Informationen und IT-Ressourcen der eigenen Organisation. auf Grund von Auflagen schwierig sein werden (etwa gesetztlich festgeschriebene Kompetenzen. Es muss klar sein. dass die Verantwortung für Produkte oder Dienstleistungen bei der eigenen Organisation verbleibt. Konzessionen.verbunden sein kann: • • • • • • Outsourcing kann in der Regel nicht einfach rückgängig gemacht werden. dass Mitarbeiter/innen oder Subunternehmer des Dienstleisters zeitweise in den Räumlichkeiten der eigenen Organisation arbeiten müssen. eingeführt und durchgeführt und bewirken Änderungen des Sicherheitskonzepts und der Implementierungen. Gewerbeberechtigungen. da bei dessen Mitarbeitern/Mitarbeiterinnen entsprechendes Wissen entsteht. Es muss vorab abgeschätzt werden. etwa durch gute Auslastung großer Installationen. wie bestehende IT-Systeme oder IT-Verbünde abgegrenzt und getrennt werden können. Einschaltung von Aufsichtsbehörden). ob Auslagerungen von Aufgaben rechtlich möglich bzw. Ein gewisser Know-How Transfer zum Dienstleister lässt sich (auch mit "wasserdichten" Vertraulichkeitsvereinbarungen) nicht verhindern. Selbstverständlich gibt es viele Fälle. • Die IT-Sicherheit sollte keinesfalls bei den strategischen Überlegungen vernachlässigt werden. Sie verliert die alleinige und vollständige Kontrolle darüber.• • • • • Machbarkeitsstudie mit den Rahmenbedingungen Kosten-Nutzen-Schätzung Welche Anwendungen sollen ausgelagert werden (Kerngeschäft. IT-Dienstleistungen auszulagern ist die Erwartung von Kostensenkungen . Datenübertragung vom und zum Dienstleister erzeugt neue Gefährdungen. damit Teile davon ausgelagert werden können: • • IT-Strukturanalyse Schutzbedarfsfeststellung 161 . Ein häufiger Grund. um festzustellen. mitunter aber durch Auslagern mit höherem Risiko . Meist ist es notwendig. es entsteht eine langfristige Bindung an den Dienstleister. Im Rahmen des Outsourcing werden neue Prozesse und Arbeitsabläufe entworfen. wo dies tatsächlich möglich ist.sowie weiteren Risiken .

Schließlich erfolgt die Dokumentation der Outsourcing-Strategie mit Zielen. Strukturanalyse und Schutzbedarfsfeststellung (IT-Systeme. Systemen. Mit dem ausgelagerten Betrieb ergeben sich neue Sicherheitsanforderungen sowohl an den auszuwählenden Dienstleister wie auch an die eigene Organisation. Dies kann erheblichen Aufwand verursachen. 162 . Folgende Aspekte sind in der Regel zu berücksichtigen: • • • • • • • Welches Mindestniveau (IT-Grundschutz) ist von beiden Parteien zu erfüllen? Sowohl Dienstleister wie eigene Organisation müssen über ein Sicherheitskonzept verfügen und dieses umgesetzt haben. Diese müssen identifiziert und beschrieben werden. Räume) hinsichtlich Vertraulichkeit. Geschäftsprozessen. B.250] Phase 2: Definition der wesentlichen Sicherheitsanforderungen: Wenn die Entscheidung zum Outsourcing gefallen ist. Kommunikationsverbindungen. Es entstehen Schnittstellen zwischen den nun im Verbund wirkenden Aufgaben. Auch nach erfolgter Auswahl wird eine weitere Verfeinerung der Sicherheitsanforderungen bis hin zu den Umsetzungsschritten notwendig sein. um dann konkret genug zu sein. Diese werden zunächst beginnend mt den gewünschten Sicherheitsniveaus in den betroffenen Bereichen immer weiter verfeinert. Meist wird ein zusätzliches Restrisiko bei der eigenen Orgtanisation verbleiben. Anwendungen. An diese Schnittstellen müssen technische und organisatorische Sicherheitsanforderungen gestellt werden. [Q: BSI M 2. Anwendungen. Integrität und Verfügbarkeit müssen erfolgen. Diese Sicherheitsanforderungen sind die Basis für das Ausschreibungsverfahren. etwa bei länderübergreifendem Outsourcing oder wenn einer oder beide Partner weltweit tätig sind.• Feststellung des Handlungsbedarfs sowie der Kosten für umzusetzende Maßnahmen Bei hohem Schutzbedarf wichtiger Systeme oder Anwendungen muss eine ergänzende Sicherheitsanalyse (z. einen geeigneten Dienstleister auszuwählen. Chancen und Risiken sowie den Erfahrungen. müssen die wesentlichen übergeordneten Sicherheitsanforderungen für das Outsourcing-Vorhaben festgelegt werden. Notwendige Einräumung von Zutritts. Risikoanalyse) durchgeführt werden. Aufzeigen der Auswirkungen relevanter Gesetze und Vorschriften.und Zugriffsrechten für den Dienstleister.

Personal und Technik durch das zu erreichende Sicherheitsniveau (etwa auch Alarmierungen.• • • • • • • • Beschreibung der Anforderungen an Infrastruktur. Anforderungen an die Verfügbarkeit von Diensten und IT-Systemen (Service Levels. dass sich geeignete Dienstleister bewerben. etwa da langfristige Abhängigkeiten entstehen. Spezielle Anforderungen an Hard-/ Software (etwa zertifizierte Produkte beim Dienstleister). Benennung von Sicherheitsbeauftragten beim Dienstleister). Audits . Vorgaben zur Absicherung der Kommunikation zwischen Dienstleister und eigener Organisation (Verschlüsselungs.251] Phase 3: Auswahl des Outsourcing-Dienstleisters: Ihr kommt eine besondere Bedeutung zu. Spezifizieren von gewünschten Verfahren für die Kontrolle und Überwachung (etwa unangekündigte Kontrollen vor Ort. Vorgaben an die Mandantenfähigkeit und ggf.und Signaturverfahren). anders sein als das der eigenen Organisation) Anforderungen an die Informationssicherheit Kriterien zur Messung von Servicequalität und Sicherheit Anforderungen an die Qualifikation der Mitarbeiter/innen. Anforderungen zur Qualitätssicherung (etwa Messungen von Reaktionszeiten. Verfügbarkeit). [Q: BSI M 2.ggf. Sicherstellung. Anforderungen an die Protokollierung und Auswertung von Protokolldateien. Kritische Erfolgsfaktoren dafür. exklusiv genutzte Hardware in Käfigen). dass diese dann tatsächlich tätig sind und dass es geeignete Vertreter/innen gibt 163 . Organisation. durch unabhängige Dritte).und Software (etwa keine Systeme anderer Mandanten im gleichen Raum des Dienstleisters. sind: • • • • • • • möglichst detailliertes Anforderungsprofil darauf basierendes Pflichtenheft Eine bedarfsgerechte Ausschreibung sollte enthalten: Beschreibung des Outsourcing-Vorhabens (Aufgabenbeschreibung und Aufgabenteilung) Beschreibung des geforderten Qualitätsniveaus (dieses kann ggf. Trennung von Hard. Lastverteilung etwa bei Web-Servern).

der die gewünschten Leistungen inklusive Qualitätsstandards und Fristen im Einklang mit der vorhandenen Gesetzgebung festschreibt.252] Phase 4: Vertragsgestaltung: Auf Basis des Pflichtenheftes muss nun ein Vertrag mit dem Partner ausgehandelt werden. Umgang mit vertraulichen Informationen. Verwertungsrechte. sind oftmals mit deutlichen Kostenerhöhungen für den Auftraggeber verbunden. Ggf. [Q: BSI M 2. IT-Anbindung. Auch die Erstellung des IT-Sicherheitskonzeptes selbst sollte Vertragsbestandteil sein. dass diese von allen befassten Mitarbeitern/ Mitarbeiterinnen (auch den eigenen) auch in Detailaspekten beherrscht wird Notwendigkeit bzw. diese nur gegen Vertraulichkeitsvereinbarung an den sich bewerbenden Dienstleister zu übermitteln. Weitergabe von Information an Dritte etc. das auch ein Notfallvorsorgekonzept enthält. In diesem Vertrag müssen auch die genauen Modalitäten der Zusammenarbeit geklärt sein: Ansprechpartner. die aufgrund unterschiedlicher Interpretationen der beschriebenen Leistungen notwendig werden. welches Personal der Dienstleister einsetzen wird (Qualifikation. Insbesondere ist zu klären. Ausgestaltung der IT-Sicherheitsvorkehrungen. Vorliegen von Sicherheitsüberprüfungen der Mitarbeiter/ innen des Dienstleisters Zu beachten ist. Sprachkenntnisse). Sicherheitsüberprüfung. kann und sollte sich der Auftraggeber ein Mitspracherecht einräumen lassen. Diese Verträge werden häufig als Service Level Agreements (SLA) bezeichnet. 164 . die vereinbarten Leistungen und Ziele so genau und eindeutig wie möglich vertraglich festzuhalten. Kontrolle der Leistungen. wer für die fachlichen Inhalte verantwortlich ist und welche Mitwirkungspflichten dem Auftraggeber obliegen. Daher kann es notwendig sein. Nachträgliche Konkretisierungen und Ergänzungen des Vertrages. erstellen. dass aus detallierten Sicherheitsanforderungen Schlüsse auf die eigenen Sicherheitsmechanismen und ihre Wirksamkeit gezogen werden können.253] Phase 5: Erstellung eines IT-Sicherheitskonzepts für den ausgelagerten IT-Verbund: Auftraggeber und Outsourcing-Dienstleister müssen ein detailliertes Sicherheitskonzept.• • Bei ausländischen Dienstleistern: Festlegung der Sprache für die gemeinsame Kommunikation und Sicherstellung. Dabei ist es empfehlenswert. [Q: BSI M 2. Reaktionszeiten.

Besondere Aufmerksamkeit ist dabei auch auf die Migrationsphase der Aufgaben und Systeme zum Dienstleister zu richten. Daher wird das Sicherheitskonzept für das Outsourcing-Vorhaben in den wenigsten Fällen gleich vollständig und endgültig sein. durch externe Dritte .ggf. Netzprovider (Anbindung zwischen den Outsourcing-Parteien . um Veränderungen z. Darüber hinaus muss dann ein IT-Sicherheitskonzept für das Gesamtsystem erstellt und mit den Teilkonzepten abgestimmt werden. Am Sicherheitskonzept des Outsourcing-Dienstleisters ist der Auftraggeber nicht direkt beteiligt. um Angriffe frühzeitig zu erkennen Einsatz von Datei-Integrität-Prüfungssystemen. Jeder Beteiligte muss ein Sicherheitskonzept in seinem jeweiligen Einflussbereich erstellen und umsetzen (im Fall des Netzproviders sind die Schnittstellen relevant). Sicherheitskonzepte für Outsourcing-Vorhaben unterscheiden sich in einigen Punkten von solchen für eigene Systeme. sondern muss während der Migration stetig weiterentwickelt und konkretisiert werden. B.zuständig für die Netzanbindung ist in der Regel der Outsourcing-Dienstleister). für die das "Vier-Augen-Prinzip" anzuwenden ist Hard-/Software Einsatz gehärteter Betriebssysteme.Bei Outsourcing-Projekten ergeben sich viele technische und organisatorische Details erst im Laufe der Planung und der Migration der Systeme. Outsourcing-Dienstleister 3. Outsourcing-Auftraggeber 2. aus welchem die Sicherheit im Zusammenspiel der Einzelsysteme hervorgeht. zu erkennen Einsatz von Syslog. da in der Regel 3 technische Parteien beteiligt sind: • • • 1.und Timeservern. Einige Themen und Aspekte für das OutsourcingSicherheitskonzept: Organisation • • • • • • Umgang mit Daten und schützenswerten Betriebsmitteln wie Druckerpapier und Speichermedien. insbesondere Regelungen zum Anfertigen von Kopien und Löschen/Vernichten Festlegung von Aktionen. da während dieser mit Sicherheitsvorfällen gerechten werden muss.prüfen. nach erfolgreichen Angriffen. sollte aber in einem Audit . um eine möglichst umfassende Protokollierung zu ermöglichen 165 . ob es vorhanden und ausreichend ist. um Angriffe möglichst zu erschweren Einsatz von Intrusion-Detection-Systemen (IDS).

aber Fehler beheben soll oder muss. Zeitintervalle. unangekündigte Kontrollen vor Ort. die auf seinen Systemen betrieben werden. durch Verschlüsselung. Ansprechpartnern und Abläufen Erstellen von Detailregelungen für die Datensicherung (z. Vertretungsregelungen. Eskalationsstrategien. beim Outsourcing-Dienstleister sowie für die Schnittstellen zwischen Auftraggeber und Dienstleister (z. Telekommunikationsprovider) existieren und detailliert beschreiben: • • • • Regelung und Dokumentation von Zuständigkeiten. Detailgrad) für Kontrollen und Messung von Sicherheit. Zuständigkeiten.• • Einsatz kaskadierter Firewallsysteme zur Erhöhung des Perimeterschutzes auf Seiten des Dienstleisters Sorgfältige Vergabe von Benutzer-Kennungen. B. dass das Personal des Dienstleisters meist keine inhaltlichen Kenntnisse über die Anwendungen besitzt. Verbot von Gruppen-IDs für Personal des Dienstleisters Kommunikation • • • • • Absicherung der Kommunikation (z. B. Virenschutz) Erstellen von Arbeitsanweisungen mit konkreten Anordnungen für bestimmte Fehlersituationen Konzeption von regelmäßig durchzuführenden Notfallübungen Eine besodere Problematik kann sich dadurch ergeben. um sensitive Daten zu schützen Authentisierungsmechanismen Detailregelungen für weitere Netzanbindungen Detailregelungen für den Datenaustausch Kontrollen und Qualitätssicherung Detailregelungen (z. Daher sind genaue Anweisungen seitens des Auftraggebers erforderlich: 166 . B. B. Router. Dienstqualität. Abläufen und organisatorische Regelungen Notfallvorsorge Beim Outsourcing-Betrieb ist auch die Notfallvorsorge auf unterschiedliche Parteien aufgeteilt und die IT-Komponenten sind verteilt. Notfallvorsorgekonzepte müssen für die Systeme beim Auftraggeber. Netzverbindung. elektronische Signatur) zwischen Dienstleister und Auftraggeber. getrennte Backup-Medien für jeden Klienten. Verfügbarkeit.

254. werden Kopien von Produktionsdaten ohne weiteren Schutz verwendet). die deshalb einer sorgfältigen Planung bedarf. die in das IT-Sicherheitskonzept eingearbeitet werden müssen. ggf. Die kann der Dienstleister meist nicht selbst abschätzen und muss daher rechtzeitig mit dem Auftraggeber Kontakt aufnehmen.Übergang der Anwendungen und Systeme zum Dienstleister: Besonders sicherheitskritisch ist die Migrations. Seine Größe hängt vom Vorhaben ab. Aufgaben übertragen Systeme neu eingerichtet bzw. verboten sind auf welche anwendungsspezifischen Informationen zurückgegriffen werden kann ob und welche Schutzmaßnahmen für solche Informationen einzuhalten sind welche Anprechpartner beim Auftraggeber für anwendungsspezifische Probleme zur Verfügung stehen Ein weiteres Problem kann sich durch Fortpflanzung eines Anwendungsfehlers auf andere Anwendungen ergeben.B. 167 . Phase 5 wird in der Regel erst nach Beendigung der Migrationsphase abgeschlossen werden können. M 6. zumindest sollte es aus einem Sicherheitsexperten bestehen und hat die Aufgaben: • Zusammenstellung eines gemischten Teams aus Mitarbeitern/Mitarbeiterinnen des Auftraggebers und des Outsourcing-Dienstleisters. [Q: BSI M 2. angepasst werden Bei Tests in Phasen großer Arbeitsbelastung werden gerne "quick and dirty" Lösungen gewählt. In der eigenen Organisation sollte ein Sicherheitsmanagement-Team speziell für die Umstellungsphase eingerichtet werden und schon vor der Umstellung für sicheren ITBetrieb während der Migrationsphase sorgen. zusätzlich mit externen Experten. weil sich während der Migration der IT-Systeme und Anwendungen immer wieder neue Erkenntnisse ergeben. die selten sehr sicher sind (z.oder Übergangsphase.• • • • • wie bei Fehlern vorzugehen ist welche Aktionen erlaubt resp. In einem zu erarbeitenden vorläufigen Sicherheitskonzept müssen die Test.83] Phase 6: Migration .und Einführungsphase als Teil des gesamten Vorhabens betrachtet werden: • • • in dieser Phase sind zahlreiche Betriebsfremde involviert es müssen Abläufe etabliert.

Auswahl geeigneter interner Mitarbeiter/innen für die Test-. auf Vollständigkeit und Aktualität. dass die vorgesehenen Mitarbeiter/innen zur Verfügun stehen (ggf. Anruf eines vermeintlichen Mitarbeiters bzw. entsteht eine Gefahr des Social Engineering (z. Einstellungen sicherheitsrelevanter Parameter . die der Dienstleister übernehmen soll. Da sie dabei mit neuen und unbekannten Ansprechpartnern konfrontiert sind. Sicherstellung. Nach der Umstellung / Migration muss das Sicherheitskonzept auf Basis der Erfahrungen und Änderungen während der Umstellungsphase aktualisiert werden: • • • 168 Konkrete Darstellung aller Sicherheitsmaßnahmen Ansprechpartner und Zuständigkeiten mit Namen und notwendigen Kontaktdaten. einer Mitarbeiterin des Sicherheitsteams des Dienstleisters). ob durch Erkenntnisse aus der Umstellung Verträge (Service Level Agreements) oder vorgesehene Sicherheitsmaßnahmen angepasst werden müssen. Mitarbeiter/innen zu zusätzlichen Bereitschaftsdiensten heranzuziehen. B. ggf. Planung der Produktionsumstellung. ohne die laufenden Systeme zu vernachlässigen. Störungen durch Tests und dabei auftretende Fehler müssen einkalkuliert werden. Laufende Überprüfung. Festlegen der Verantwortlichkeiten für die Umstellungsphase . Applikationen und ITSysteme des Auftraggebers. Einführungsphase und den späteren Betrieb (ggf. vertragliches Mitspracherecht des Auftraggebers). Einweisung des Dienstleisters auf die relevanten Abläufe. Ressourcenplanung und Tests.• • • • • • Erarbeiten eines Sicherheitskonzeptes für die Umstellungsphase. sind ggf. Schulung der Mitarbeiter/innen des Auftraggebers über Abläufe und Verhalten während und nach der Umstellung. • • • • In der Einführungsphase des Outsourcing-Vorhabens und der ersten Zeit des Betriebs muss dem Notfallkonzept besondere Aufmerksamkeit geschenkt werden. Urlaubssperren).mit klaren Führungsstrukturen und eindeutigen Ansprechpartnern auf beiden Seiten . beispielsweise in der Behandlung von Fehlfunktionen und sicherheitsrelevanten Vorkommnissen eingestellt hat. Bis sich bei allen Beteiligten die notwendige Routine.auch auf oberer Management-Ebene. Planung und Durchführung der erforderlichen Tests und Abnahmeprozeduren. Anpassung auf neue Gegebenheuten durch das Outsourcing. Erreichbarkeitszeiten Dokumentation der Systemkonfigurationen inkl. Prüfung der Dokumentation.

Sicherheit (z. Kontrollbedarf entstehen allerdings Besonderheiten: • • • Regelmäßige Aktualisierungen von Richtlinien und Dokumentationen Regelmäßige Überprüfungen der Sicherheitskonzepte aller Beteiligten. personelle/organisatorische Änderungen.255] Phase 7: Planung und Sicherstellen des laufenden Betriebs: Nach Übernahme der Systeme bzw. Vertretungen Performance.geplant worden sein. Gesetzesänderungen. Gweschäftsprozesse durch den OutsourcingDienstleister sind Maßnahmen zur Gewährleistung der IT-Sicherheit im laufenden Betrieb notwendig und müssen bereits im Vorfeld . z. die dem Auftraggeber nicht gemeldet wurden. durch die Verteilung auf mehrere Partner und zusätzlichem Abstimm. Die einzelnen Aufgaben unterscheiden sich zwar nicht grundsätzlich vom Betrieb innerhalb der eigenen Organisation. Verfügbarkeit. geplante Projekte. B.inklusive Notfall und Eskalationsszenarien .• Schulungen für das Personal auf den Regelbetrieb [Q: BSI M 2. Qualitätsniveau Datensicherung Regelmäßige Abstimmungen Informationsaustausch zwischen den Partnern über mögliche Auswirkungen auf die Dienstleistung bzw. vorgesehene Tests und Systemänderungen) 169 . ob sie noch aufeinander abgestimmt sind und das gewünschte Sicherheitsniveau gewährleisten Auswirkungen von Änderungen im Einflussbereich des Dienstleisters und Information darüber an den Auftraggeber Im Rahmen des ausgelagerten Betriebs sind weiters durchzuführen: Regelmäßige Kontrollen • • • • • • • • Durchführung der vereinbarten Audits Umsetzungsstand der vereinbarten Sicherheitsmaßnahmen Wartungszustand von Systemen und Anwendungen Rechtezuweisung durch den Dienstleister Einsatz von Mitarbeitern/Mitarbeiterinnen.bzw. B. Dies sollte in einem OursourcingBetriebskonzept erfolgen.

gestiegener Ressourcenbedarf) Regelmäßige Übungen und Tests • • • Reaktion auf Systemausfälle (Teil.256] 170 .• • • • Information über aufgetretene Probleme wechselseitiges Feedback und Aufzeigen von Verbesserungspotenzialen Motivation der Mitarbeiter/innen (etwa positive Beispiele einer gelungenen Kooperation) Änderungswünsche (Hardware. Wiedereinspielen von Datensicherungen Beherrschung von Sicherheitsvorfällen [Q: BSIM 2. Ausweitung des Dienstleistungsportfolios.oder Totalausfälle) Wiederanlauf. Software.

7. jeweils dazu eine/n Eigentümer/in /sowie Verantwortliche/n zu benennen und Regeln für den sicheren Umgang damit aufzustellen.. Dazu ist es zunächst notwendig.und Kommunikationsdienste. zu identifizieren. Kommunikationsnetze) erhoben. Betriebsmittel. Fahrzeuge.h. Räume. Vereinbarungen. Schulungsunterlagen. Forschungsergebnisse.1 Inventar der Vermögenswerte (Assets) mittels Strukturanalyse ISO Bezug: 27002 7. Handbücher. Räume und Netze erfasst. Verfahrensanleitungen.1 Vermögenswerte Unter Vermögenswerten sind gemäß ISO 27002 ganz allgemein zu verstehen: • • • • • • a) Informationen (Daten. [Q: CASES Leitfaden "Klassifikation"] 7.7 Vermögenswerte und Klassifizierung von Informationen Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 7 ff "Management von Vermögenswerten".. Versorgungseinrichtungen e) Mitarbeiter / Mitarbeiterinnen mit ihren Qualifikationen und Erfahrungen f) Immaterielle Werte. Pläne. Datenträger d) Rechen. d. in einem Verzeichnis aufzulisten. sie zu klassifizieren. IT-Systeme. Verträge.) b) Software (System-. 171 .1. Dokumentationen. Zuerst werden geschäftskritische Informationen und Anwendungen ermittelt und die betroffenen IT-Systeme. Das heißt vereinfacht: Alles was für eine Organisation einen Wert darstellt. Einrichtungen. Protokolle. wie zB Ruf und Image der Organisation.1 Mittels Strukturanalyse werden die Geschäftsprozesse und die dafür benötigten Assets (Informationen. Die folgenden Maßnahmen sollen die Vermögenswerte der Organisation schützen. Anwendungssoftware) c) Gebäude. Anwendungen. Hardware.1. Checklisten.

Oft lassen sich dann die Anwendungen anhand der betrachteten IT-Systeme leichter ermitteln. Netzplanerhebung Dabei ist es oft nicht zweckmäßig ist. jedes Objekt einzeln zu erfassen. ähnlich konfiguriert. Erhebung von IT-Systemen. ähnlich in das Netz eingebunden (z. wenn als Datenquellen bereits aktuelle Datenbanken oder Übersichten vorhanden und nutzbar sind (z. das Konfigurationsmanagement oder die Gestaltung von Geschäftsprozessen). Allerdings ist es dabei schwierig. für die Inventarisierung. Stattdessen sollten Objekte zu Gruppen zusammengefasst werden. Es kann daher auch zweckmäßig sein. haben den gleichen Schutzbedarf. IT-Systeme am gleichen Switch). Aktivitäten für eine Strukturanalyse: • • • • • Erfassung Geschäftsprozesse. sie dienen ähnlichen Anwendungen. Anwendungen und Informationen im Geltungsbereich. ähnlichen administrativen und infrastrukturellen Rahmenbedingungen unterworfen.B.klassische Vorgehensweise ist. 172 . Erhebung von Datenträgern und Dokumenten. Eine weitere Vereinfachung des Vorgangs kann sich ergeben. wenn sie folgende Ähnlichkeiten aufweisen: • • • • • • vom gleichen Typ. zuerst die Anwendungen und ausgehend davon die weiteren betroffenen Objekte zu ermitteln. Erfassung der baulichen Gegebenheiten. Damit wird die Strukturanalyse hinsichtlich Datenmenge und Komplexität handhabbar.B. abstrakte Anwendungen losgelöst von konkreten technischen Komponenten zu erfassen. zunächst die IT-Systeme zu erheben.

Anwendungen und Informationen ISO Bezug: 27002 7.Grundschutz auf den BSI-Webseiten. können auch Server zu Gruppen zusammengefasst werden). Überdies können damit auch Kosten gespart werden. in großen Informationsverbünden.1. Ein wichtigste Beispiel ist die Zusammenfassung von Clients. In der Regel gibt es in einer Orgtanisation viele Clients. wenn dies sinnvoll und zulässig ist. die für die betrachteten Geschäftsprozesse oder Fachaufgaben erforderlich sind und ein jedenfalls ein Mindestniveau an: • • • Geheimhaltung (Vertraulichkeit) oder Korrektheit und Unverfälschtheit (Integrität) oder Verfügbarkeit 173 .B. [Q: BSI-Standard 100-2] 7. jeder Fachaufgabe im Geltungsbereich sind die damit zusammenhängenden Anwendungen und Informationen zu identifizieren.1. die sich jedoch gemäß obigem Schema in eine überschaubare Anzahl von Gruppen aufteilen lassen (Dies gilt analog auch für Räume und andere Objekte.Ausgehend von jedem Geschäftsprozess bzw. Behörden. Für die geeignete Granularität ist zwischen einerseits einer für die Feststellung des Schutzbedarfs nötige Detaillierung. Die Teilaufgaben der Strukturanalyse werden nachfolgend beschrieben und durch ein begleitendes Beispiel erläutert. Unternehmen) unterstützen. Eine Stichprobe aus einer Gruppe repräsentiert dann in der Regel den Sicherheitszustand der Gruppe. Bei allen Teilaufgaben sollten jeweils Objekte zu Gruppen zusammengefasst werden. andererseits der optimalen Effizienz zu optimieren.Gruppierung Bei technischen Komponenten wird durch konsequente Gruppenbildung auch die Administration wesentlich vereinfacht wird. Abgesehen von der zuvor beschriebenen Gruppenbildung beschränkt sich die Strukturanalyse auf Anwendungen und Informationen. weil es dann nur wenige Grundkonfigurationen gibt. Sicherheitsmaßnahmen für einen solchen Bereich können ohne Unterscheidung verschiedenster Schwachstellen umgesetzt werden. Durch eine möglichst hohe Standardisierung innerhalb einer IT-Umgebung wird außerdem die Zahl potentieller Sicherheitslücken reduziert.1 Anwendungen sind Verfahren. Eine ausführliche Version des Beispiels findet sich in den Hilfsmitteln zum IT.1 Erfassung Geschäftsprozessen. welche Geschäftsprozessen und Fachaufgaben in Organisationen (z.1. wo viele Server die gleiche Aufgaben wahrnehmen.

vervollständigt werden.ggf.1. Dabei sollte mit den Servern begonnen werden. sollten bei der Erfassung der Anwendungen die Benutzer bzw. an ihnen orientiert die darauf laufenden Anwendungen zusammenzutragen.. Abhängigkeiten zwischen Geschäftsprozess / Fachaufgabe und einer konkreten Anwendung darzustellen. die für die Anwendung bzw. Wurden alternativ zuerst die IT-Systeme erfasst. welche Netzkomponenten welche Anwendungen unterstützen. Ergänzt wird die Erhebung mit den Clients und .EinzelplatzSystemen.1.erfordern. Um dies sicherzustellen. empfiehlt es sich oft. pro erfasster Anwendung: • • • • Zwecks spätere Zuordnungensollten die Anwendungen durchnummeriert werden.für den Geschäftsprozess Verantwortlichen nach ihrer Einschätzung befragt werden . die Nutzung geeigneter Software. ob die beschriebene Anwendung personenbezogene Daten speichert und/oder verarbeitet (Schutzbedarf der Information ergibt Schutzbedarf der Anwendung) Unterstützte Geschäftsprozesse Verantwortliche und Benutzer/innen der Anwendung (Ansprechpartner/innen für Sicherheitsfragen) Es empfiehlt sich natürlich eine tabellarische Darstellung bzw.1. in gemeinsamen Meeting der Fach. welche Anwendungen für ihre Abwicklung notwendig sind und auf welche Daten dabei zugegriffen wird. IT-Abteilungen und Anwendungsverantwortlichen. Für Datenschutzbeauftragte / IT Sicherheitsbeauftragte: Vermerk.1 174 .2 Erfassung von Datenträgern und Dokumenten ISO Bezug: 27002 7. • • • • Es ist also für jede Fachaufgabe festzustellen. Schließlich wird noch ermittelt. [Q: BSI-Standard 100-2] 7.mitunter mobilen . Denn es ist es angesichts der steigenden Komplexität oft schwierig.

Dabei bedeutet der Begriff IT-System umfasst dabei nicht nur Computer im engeren Sinn. Fehlersuche und Instandsetzung von IT-Systemen notwendig. Eine vollständige. Wartung.und sonstige Handbücher.1. USB-Sticks.1. Client mit mit Betriebssystemangabe. Beispiele für gesondert erfasste Datenträger und Dokumente: • • • • • • Archiv. Server bzw. Smartphones für den mobilen Einsatz.3 Erhebung der IT-Systeme ISO Bezug: 27002 7. 175 . wenn sie nicht mit einer bestimmten Anwendung oder einem IT-System verknüpft sind.und Backup-Datenträger. etc. wichtige Verträge. Allerdings werden Systeme betrachtet und nicht einzelne Bestandteile (CPU. beispielsweise Einzelplatz-PC. sondern auch aktive Netzkomponenten. Bildschirm). Externe Festplatten. Netzdrucker.1. Auch dafür sollten möglichst Gruppen gebildet und ur Datenträger und Dokumente mit einem Mindest-Schutzbedarf berücksichtigt werden.Bei der Erfassung der Anwendungen sollten auch Datenträger und Dokumente mitbetrachtet und können wie Anwendungen behandelt werden. korrekte und aktuelle Auflistung der IT-Systeme ist auch für deren Überprüfung. Mikrofilme Empfehlenswert ist auch die Erfassung der Abhängigkeiten zwischen Anwendungen. Datenträger für den Austausch mit externen Kommunikationspartnern. Jedoch sind sie dann gesondert in der Strukturanalyse zu erfassen. Telekommunikationsanlagen. Ausgedruckte Notfall. es sei denn sie werden im normalen Betrieb mit unterschiedlichen Systemen verbunden (etwa externe Laufwerke). Im Vordergrund steht dabei die technische Realisierung eines IT-Systems. so sind beispielsweise Informationen über den Lagerbestand Voraussetzungen für die Verarbeitung von Bestellungen.1 In ebenso tabellarischer Form wird eine Liste der vorhandenen und geplanten ITSysteme aufgestellt. [Q: BSI-Standard 100-2] 7.

Auch dafür sollten nach Möglichkeit bereits existierende Datenbanken oder Übersichten über die vorhandenen oder geplanten IT-Systeme genutzt werden. ATM) etc. (vgl 7. aktive Netzkomponenten (wie Switches. WLANs. Benutzer/innen. Aufstellungsort . 176 . auch solche. Hardware-Architektur/Betriebssystem). Für die Informationssicherheit sind folgende Objekte relevant: • • IT-Systeme ( Client.1. können sie weiterhin als ein Objekt behandelt werden.1 ).1. bei Gruppen: Anzahl der zusammengefassten IT-Systeme. die nicht im Netzplan aufgeführt sind. Ergebnis ist eine Übersicht. Netzverbindungen zwischen diesen Systemen: LANs (Ethernet.und Server-Computer). Netzpläne oder ähnliche grafische Übersichten sind auch aus betrieblichen Gründen in den meisten Institutionen vorhanden. Token-Ring). im Test. in Planung). Backbone-Techniken (FDDI.1 Ein Netzplan ist eine grafische Übersicht über die im Geltungsbereich eingesetzten Komponenten und deren Vernetzung. [Q: BSI-Standard 100-2] 7. Anwender/innen bzw.1. Administratoren des IT-Systems. WLAN Access Points).4 Netzplan ISO Bezug: 27002 7. die nicht im Netzplan aufgeführt sind. Router. Informationen pro IT-System: • • • • • • • • eindeutige Nummerierung. insbesondere also auch solche. aus der die Zusammenhänge zwischen den wichtigen Anwendungen und den entsprechenden IT-Systemen hervorgehen. Kürzel oder Bezeichnung des IT-Systems. welche dem IT-System zuzuordnen sind (Datenverarbeitung und/ oder -transfer). Plattform (z. Wurden ITSysteme im Netzplan zu einer Gruppe zusammengefasst.1. Netzdrucker etc. Anwendungen. Status (in Betrieb.Zu erfassen sind sowohl die vernetzten als auch die nicht vernetzten IT-Systeme. B. Beschreibung (Typ und Funktion).

B. externe Netzanbindungen (z..1. etc). X. Standort (Gebäude. B. vollständige Bezeichnung (Hostname. Ethernet. Bluetooth. Internet mit Name des Providers). verkabeltes LAN.B. auf den unteren Schichten verwendete Netzprotokolle (z. zuständiger Administrator. Ggf. Betriebssystem. etc). Es empfiehlt sich. B. Internet. Plattform (Hardware. Der Netzplan sollte möglichst in elektronischer Form mit Hilfe geeigneter Tools erstellt und gepflegt werden.. wenn ihre logischen (virtuellen) Strukturen wesentlich von den physischen abweichen.).• Verbindungen nach außen (z. Virtuelle Netze. virtuelle Netzverbindungen. ISDN aber auch Funkstrecken. WLAN. WLAN.1. B. Netzadresse Für die Netzverbindungen zwischen den Objekten bzw. Mobilfunk sowie Standleitungen zu entfernten Gebäuden oder Liegenschaften etc..B. vorhandenene Kommunikationsschnittstellen (z. Datenbank-Server für bestimmte Anwendung Nr. Typ und Funktion (z. [Q: BSI-Standard 100-2] 7.Raumnummer). sollten ebenfalls im Netzplan dargestellt werden. Bereiche mit unterschiedlichem Schutzbedarf zu kennzeichnen. Kommunikationsanbindung (z. wie Virtuelle LANs (VLANs) oder Virtuelle Private Netze (VPNs). LAN. Identifikationsnummer).. Lichtwellenleiter. kann dafür ein separater Netzplan die Übersichtlichkeit verbessern. Internet-Zugänge über DSL-Modems. Router. Virtuelle IT-Systeme. anch außen wird eingetragen: • • • • Art der Verkabelung bzw. Art der Netzanbindung. maximale Datenübertragungsrate. TCP/IP).5 Erfassung der Gebäude und Räume 177 . z. B. Kürzel oder Bezeichnung als Referenz zur Grafik. Jedes dargestellte Objekt sollte auch in einem zugehörigen Katalog eingetragen werden mit folgenden Elementen: • • • • • • • • eindeutige Nummerierung.

die ausschließlich dem IT-Betrieb dienen (wie Serverräume. in denen IT-Systeme aufgestellt oder die für den IT-Betrieb genutzt werden: • • • • • Räume.1. einen Plan über die Liegenschaften. in denen unter anderem IT-Systeme betrieben werden (wie Büroräume).1 In der Regel werden die IT. Räume. zu erstellen. Räume sowie die Wegstrecke zwischen diesen. aber häufig nutzen Organisationen Liegenschaften. dass die Aufzeichnungen dann nicht auf dem aktuellen Stand sind. vor allem die Räume. in denen schutzbedürftige Informationen (Datenträger.1 In ein Sicherheitskonzept müssen alle Liegenschaften und Gebäude einbezogen werden. Daher ist es of sinnvoll. im Netzplan nachgezogen. in denen IT-Systeme untergebracht sind sind wie Räume zu erfassen.und Netzwerkstrukturen ständig an neue Anforderungen der Organisation angepasst.1. Gebäude. Schutzschränke. Etagen. Oft sind Geschäftsprozesse und Fachaufgaben auch in fremden Räumlichkeiten angesiedelt. eine je nach Gegebenheiten eine mehr oder weniger umfangreiche Übersicht bzw. da dies meist aufwändig ist. Dabei sollte auch die Art der in den Räumen jeweils verarbeiteten Informationen nachvollziehbar sein. sowie Wegstrecken. den Plan zu aktualisieren. Nicht in jedem Fall werden solche Änderungen umgehend in den Aufzeichnungen der Erhebung bzw. aber auch Aktenordner und Mikrofilme) aufbewahrt werden. innerhalb derer die betrachteten Geschäftsprozesse und Fachaufgaben betrieben werden.ISO Bezug: 27002 7.1. die weit verstreut sind oder mit anderen Nutzern geteilt werden müssen. Datenträgerarchive).6 Aktualisierung der Strukturanalyse ISO Bezug: 27002 7. Viele Organisationen nutzen ein Gebäude oder eine Etage allen. In der Praxis werden oft nur größere Änderungen an der IT-Struktur einzelner Bereiche zum Anlass genommen. über die Kommunikationsverbindungen laufen. [Q: BSI-Standard 100-2] 7. Die Folge ist. weitere Räume.1. 178 . Dazu gehören Betriebsgelände.

Einige Programme zum zentralisierten Netz. Diese ggf. Dazu muss er/sie jedoch auch ausreichende und entsprechende Befugnisse besitzen. Netzpläne. [Q: BSI-Standard 100-2] 7. der/die die Verantwortung für die Verwaltung dieses Vermögenswertes und somit für dessen Sicherheit trägt. grafische Darstellungen und Netzpläne sichten. die vorliegenden Aufzeichnungen periodisch oder anlässlich größerer Änderungen bzw. aktualisieren oder neu erstellen. jeder Art von Vermögenswert ein Eigentümer zugewiesen. ob wirklich alle relevanten Komponenten ermittelt wurden . Insbeseondere ist er/ sie für die Klassifikation des Vemögenswertes und die darauf anzuwendenden Sicherheitsregeln und -maßnahmen verantwortlich. Es muss sichergestellt sein. dass solche Funktionen emporär zusätzlichen Netzverkehr erzeugen.etwa solche. Dabei ist normalerweise nicht der Eigentümer oder Inhaber im rechtlichen Sinn gemeint. Gebäude und Wegstrecken sichten und gegebenenfalls aktualisieren und vervollständigen.1.und Systemmanagement unterstützen Objeklisten bzw. Dazu wird in der Organisation jedem Vemögenswert bzw.Eine häufige Vorgehensweise besteht darin. dass dieser Netzverkehr nicht zu Beeinträchtigungen des IT-Betriebs führt.2 Eigentum von Vermögenswerten ISO Bezug: 27002 7. indem sie beispielsweise akive Komponenten automatisch erkennen. Existierende Informationen über die enthaltenen Kommunikationsverbindungen sichten und gegebenenfalls aktualisieren und vervollständigen. sondern ein/e Manager/ in bzw. Netze konsultiert werden.2 Zu jedem Vermögenswert (Asset) muss es eine klar definierte Verantwortlichkeit geben. Beauftragte/r. Existierende Iinformationen über Liegenschaften.1. im Zuge von Audits mit den tatsächlich vorhandenen Strukturen und Objekten abzugleichen und gegebenenfalls auf den neuesten Stand zu bringen: • • • • • Existierende Übersichten. Dazu sollten auch die IT-Verantwortlichen und Administratoren der einzelnen Anwendungen bzw. halb-automatischen Erkennungen stets daraufhin geprüft werden. 179 . Ebenso sollte das Ergebnis von automatischen bzw. Existierende Informationen über die enthaltenen IT-Systeme sichten und gegebenenfalls aktualisieren und vervollständigen. Zu beachten ist jedoch. die sich zum Zeitpunkt des Erkennungslaufes nicht in Betrieb befunden haben.

was in seinem/ihrem Einflussbereich liegt (es sei denn.1. der Leiter der IT zusammen mit dem Informationssicherheitsmanagement für die Ausarbeitung von Sicherheitsvorgaben für die IT-Komponenten. die Administratoren für deren korrekte Umsetzung und die Benutzer/innen für den sorgfältigen Umgang mit den zugehörigen Informationen. es ist explizit anders geregelt).1.Diese Verantwortung kann zwar nicht delegiert werden. • • 180 der Schutzbedarf der Informationen. Anwendungen und IT-Komponenten sollten alle Verantwortlichen und deren Vertretungen namentlich genannt sein. [Q: BSI M 2. wer für diese und deren Sicherheit verantwortlich ist. [Q: CASES Leitfaden "Klassifikation"] 7. . Dazu müssen sie allerdings wissen.1. Anwendungen und IT-Komponenten korrekt festgestellt wird.1.2.2. Es muss jedoch konkret und exakt für alle Informationen.1 Verantwortiche für Vermögenswerte (Assets) ISO Bezug: 27002 7. Bei komplexeren Informationen. Beispielsweise ist die Leitungsebene der Organisation verantwortlich für alle grundsätzlichen Entscheidungen bei der Einführung einer neuen Anwendung. Anwendungen und ITKomponenten festgelegt werden. die Aufgaben für die Umsetzung der Sicherheitsmaßnahmen klar definiert und zugewiesen werden. Anwendungen und Systemen. Dazu sollte immer eine konkrete Person (inklusive Vertretung) und keine abstrakte Gruppe benannt werden.2 Grundsätzlich ist die Beteiligung und Mitwirkung aller Mitarbeiter/innen einer Organisation an der Umsetzung der erforderlichen Sicherheitsmaßnahmen erforderlich. für welche Informationen. Jede/r Mitarbeiter/in ist für das verantwortlich. aber der Eigentümer kann Mitarbeiter/innen oder Berater mit der Verwaltung und Ausarbeitung der Regeln beauftragen und genehmigt schießlich die vorgeschlagenen Regeln. damit die Zuständigkeit jederzeit deutlich erkennbar ist.2 Aufgaben der Eigentümer und Verantwortlichen ISO Bezug: 27002 7.225] 7.2 Die Fachverantwortlichen als Eigentümer von Informationen und Anwendungen müssen die Sicherheitsmaßnahmen zu deren Schutz sicherstellen. Anwendungen und IT-Komponenten sie in welcher Weise verantwortlich sind.

Zugriff zu den Informationen. dies regelmäßig überprüft wird. oft weitreichenden Privilegien sorgfältig und nur im vorgesehen Ausmaß umgehen . [Q: BSI M 2. in der verbindlich vorgeschrieben wird.1 Um einen sicheren und ordnungsgemäßen Einsatz von Personalcomputern in größeren Organisationen zu gewährleisten.1 Herausgabe einer PC-Richtlinie ISO Bezug: 27002 7. wie mit eventuellen Restrisiken umgegangen werden soll.3 Benutzer/innen von Informationen und den sie verarbeitenden Einrichtungen sind dafür verantwortlich.3.3 Zulässige Nutzung von Vermögenswerten ISO Bezug: 27002 7. welche Randbedingungen eingehalten werden müssen und welche IT-Sicherheitsmaßnahmen zu ergreifen sind.1.3. Beschädigung.1.1. Diebstahl.dies gilt auch für Notfälle und Ausnahmesituationen.3. um Kompromittierungen von gedruckten Informationen zu vermeiden.• • • • die erforderlichen Sicherheitsmaßnahmen umgesetzt werden. 15. 11. werden PCs vernetzt betrieben oder als intelligente Terminals genutzt. die Informationssicherheit gefährdende Abweichungen schriftlich dokumentiert werden. Speziell Administratoren und IT-Verantwortliche müssen mit den ihnen eingeräumten.2. sollte eine PC-Richtlinie erstellt werden. Kompromittierung etc.1. Diese PC-Richtlinie soll zumindest den Einsatz von unvernetzten PCs regeln.3. ist die Richtlinie um diese meist weiter einschränkenden Punkte zu erweitern.225] 7. geschützt werden. 7. dass diese nur gemäß ihrer vorgesehenen Bestimmung verwendet und vor Verlust. Die Fachverantwortlichen müssen zusammen mit dem Management über eine Vorgehensweise befinden. der Zugang bzw. 181 . Die veranwortliche Entscheidung obliegt der Management-Ebene. Selbstverständlich gehört dazu auch ein generell sorgfältiger und schonender Umgang mit Geräten wie etwa PC's. Anwendungen und ITKomponenten geregelt ist. Bedeutend ist in diesem Zusammenhang auch eine Clear Desk Policy.

2. Vorgesetzte. dass jede/r PC-Benutzer/in ein Exemplar dieser Richtlinie besitzt und dass die Einhaltung regelmäßig überprüft wird. Sind Telearbeiter/innen im Unternehmen bzw. Dabei sind insbesondere die Funktionen IT-Benutzer/innen. Umzusetzende und einzuhaltende IT-Sicherheitsmaßnahmen: Im letzten Teil der PC-Richtlinie ist festzulegen. wer im Zusammenhang mit dem PC-Einsatz welche Verantwortung trägt. Es ist dafür Sorge zu tragen. Geltungsbereich: In diesem Teil muss verbindlich festgelegt werden. die PC-Anwender/innen für IT-Sicherheit zu sensibilisieren und zu motivieren.B. Es kann je nach Schutzbedarf auch über die ITGrundschutzmaßnahmen hinausgehen. für welche Teile des Unternehmens bzw. 15.1. Darüber hinaus kann diese Stelle genutzt werden. Bereichs-IT-Sicherheitsbeauftragte und Applikations-/Projektverantwortliche zu unterscheiden.7. PC-Administratoren.1] 7. 11. Rechtsvorschriften und interne Regelungen: Hier wird auf wichtige Rechtsvorschriften (z. [eh SYS 5.3. Vgl. um alle relevanten betriebsinternen Regelungen aufzuführen. in der Behörde beschäftigt. Datenschutz-/IT-Sicherheitsbeauftragte. der Behörde die PC-Richtlinie gilt. Gleichzeitig werden die für das gemeinsame Verständnis notwendigen Begriffe definiert und eine einheitliche Sprachregelung geschaffen. dazu Kapitel 11. Verantwortungsverteilung: In diesem Teil wird definiert.Im Folgenden wird grob umrissen.3.1.3 Regelungen für Telearbeit . 11. Die PC-Richtlinie muss regelmäßig . Möglicher inhaltlicher Aufbau einer PC-Richtlinie: • • • • • Zielsetzung und Begriffsdefinitionen: Dieser erste Teil der PC-Richtlinie soll dazu dienen. das Datenschutzgesetz 2000 und das Urheberrechtsgesetz ) hingewiesen. sollte die PC-Richtlinie um die dafür spezifischen Regelungen ergänzt werden.3.aktualisiert werden. welche Inhalte für eine solche PC-Richtlinie sinnvoll sind.2.3.2 Einführung eines PC-Checkheftes ISO-Bezug: 27002 7.3.insbesondere im Hinblick auf die ITSicherheitsmaßnahmen . umzusetzen sind.1 182 . welche ITSicherheitsmaßnahmen von dem/der IT-Benutzer/in einzuhalten bzw.

3 11. Kommt ein PC-Checkheft zum Einsatz. Aufstellungsort des PC.und Software.o.1. durchgeführte Wartungen und Reparaturen. Das Führen eines solchen PC-Checkheftes erleichtert Kontrolltätigkeiten und unterstützt eine notwendige Selbstkontrolle der PC-Benutzerin bzw.2] 7.3 Geeignete Aufbewahrung tragbarer IT-Systeme ISO Bezug: 27002 7. Einsatzgebiet (z.)).7. Zeitpunkt von Passwort-Änderungen.1 183 . so sollte es folgende Informationen enthalten: • • • • • • • • • • • • • • • Name der PC-Benutzerin bzw.3.Um die durchgeführten IT-Sicherheitsmaßnahmen am PC zu dokumentieren. Kundendienst Inland) Erlaubnis (Laptop) aus dem Betriebsräumen zu entfernen Beschreibung der Konfiguration. damit sie/er regelmäßig Datensicherungen. kann ein PC-Checkheft eingeführt werden. des PCBenutzers. eingesetzte Hard. zur Verfügung stehendes Zubehör. Passwort-Änderungen und Viren-Checks durchführt (sofern dies nicht zentral erfolgt (s. planmäßige Zeitpunkte für die Datensicherungen. große Organisationen führen und verwalten diese Dokumentationen im Allgemeinen zentral. des PC-Benutzers. durchgeführte Revisionen. durchgeführte Viren-Kontrollen. Zugangsmittel.1.B. [eh SYS 5. in dem der/die PC-Nutzer/in die wichtigsten Angaben zum Gerät dokumentiert. Ansprechpartner für Problemfälle und Zeitpunkte der durchgeführten Datensicherungen. Diese Maßnahme bietet sich in erster Linie für kleine und mittlere Organisationen an.

sollte das Gerät außerhalb der Nutzungszeiten weggeschlossen werden.auch dann. Schutz vor Beschädigung: • • Ein mobiles IT-System sollte nie extremen Temperaturen ausgesetzt werden. Zusätzlich ist ein Zugriffschutz zu aktivieren oder das Gerät auszuschalten. also beispielsweise in einem Schrank oder Schreibtisch. 184 . oder angekettet werden. es nicht etwa im Taxi.7. bei Aufbewahrung eines tragbaren PC oder PDA in einem Kraftfahrzeug. Auch deshalb sollten IT-Geräte aber auch ihre Akkus nicht in geparkten Autos zurückgelassen werden. also beispielsweise vor Feuchtigkeit durch Regen oder Spritzwasser.Tragbare IT-Systeme wie Laptops. Ebenso sollten mobile Endgeräte vor schädlichen Umwelteinflüssen geschützt werden. PDAs oder Mobiltelefone sind durch ihre Bauform immer beliebte Ziele für Diebstähle und müssen sicher aufbewahrt werden . Insbesondere der Akku. im Flugzeug oder im Hotelzimmer zu vergessen. sollte sie genutzt werden. in Hotelzimmern sollte das mobile IT-System nicht offen herumliegen. aber auch das Display können anderenfalls beschädigt werden. so ist entweder dieser Raum nach Möglichkeit auch bei kurzzeitigem Verlassen zu verschließen oder das Gerät mitzunehmen. wird das mobile IT-System in einem fremden Büro vor Ort benutzt.1 Mobile ITGeräte Einige Hinweise für die mobile Nutzung: Schutz vor Diebstahl und Verlust: • • • • • • • Das Gerät sollte gar nicht oder nur in einem minimalen Zeitraum unbeaufsichtigt sein. wo möglich. wenn sie sich im vermeintlichen sicheren Büro befinden. jedenfalls sollte das Gerät nur so kurz als möglich in einem Kraftfahrzeug aufbewahrt werden (keinesfalls über Nacht). Bei mobilem Einsatz müssen die Benutzer/innen versuchen. Vergleiche 11. Bietet das Gerät eine Möglichkeit zum Anketten. sollte das Gerät von außen nicht sichtbar sein (Abdecken oder Einschließen in den Kofferraum). Weil ein tragbares IT-Systeme besonders leicht zu transportieren und zu verbergen ist. sondern in einem Schrank verschlossen werden. Zur Beaufsichtigung des Geräts gehört auch. die tragbaren ITSysteme auch außer Haus sicher aufzubewahren. am Flughafen. um unerlaubte Nutzung zu verhindern.

Verschlüsselung sensitiver Daten.4 Mitnahme von Datenträgern und IT-Komponenten ISO Bezug: 27002 . Aufbewahrung.7.3 Datenträger und IT-Komponenten sind meist innerhalb der Liegenschaft(en) der eigenen Organisation hinreichend vor Mißbrauch und Diebstahl geschützt. Grundsätzlich ist es immer empfehlenswert. kann mittels Stichproben kontrolliert werden. Datenträger außer Haus mitnehmen darf. Grundsätzlich sollte für alle IT-Komponenten. Dabei muss festgelegt werden: • • • welche IT-Komponenten bzw. Bei Laptops sollte beispielsweise das Gerät zusammengeklappt werden. aber dennoch sollten sie auch bei kürzeren Transportwegen möglichst stoßgeschützt befördert werden. für den Transport ein schützendes Behältnis zu verwenden. Aufbewahrungsorte ab. bei Dienstreisen oder Telearbeit. für die Benutzer mobiler IT-Systeme ein Merkblatt zu erstellen.1.). welche grundlegenden IT-Sicherheitsmaßnahmen dabei beachtet werden müssen (Virenschutz. Für einen ausreichenden Schutz muss die Mitnahme von Datenträgern und IT-Komponenten klar geregelt werden.33. das die wichtigsten Hinweise und Vorsichtsmaßnahmen zur geeigneten Aufbewahrung und zum sicheren Transport der Geräte enthält. sinwieweit die Regelungen für die Mitnahme von Datenträgern und IT-Komponenten eingehalten werden.B. dass solche Kontrollen nicht in unnötig schikanöse Durchsuchungen ausarten. Dabei ist jedoch darauf zu achten. z. wer IT-Komponenten bzw.3.bzw. M 1.34] 7. eine entsprechende Genehmigung eingeholt werden müssen. Gibt es (z. die extern eingesetzt werden sollen. da sowohl die Scharniere als auch der Bildschirm bei einem Sturz leicht beschädigt werden können. Oft sollen sie aber auch außer Haus eingesetzt werden. Es ist empfehlenswert. in größeren Organisationen) Zurittskontrollen durch Portier. Die Art und der Umfang der anzuwendenden IT-Sicherheitsmaßnahmen für extern eingesetzte IT-Komponenten hängt einerseits vom Schutzbedarf der darauf gespeicherten IT-Anwendungen und Daten und andererseits von der Sicherheit der Einsatz. B.• Mobile IT-Systeme sind heute zwar robust. 185 . Datenträger außer Haus mitgenommen werden dürfen.oder Wachdienste. [Q: BSI M 1.1. etc.

Liegenschaften sind die Benutzer/ innen für den Schutz der ihnen anvertrauten IT verantwortlich und darauf sowie auf zu ergreifende Vorsichtsmaßnahmen sind sie hinzuweisen. Die Verwaltung.1. dass es keine Unbefugten benutzen können.3.und ausgeschaltet werden kann.3.1. die sensitive Daten enthalten. Es sollte protokolliert werden.3 Geeignete Aufbewahrung tragbarer IT-Systeme ). Es ist zu prüfen. solange jemand an dem IT-System arbeitet.5.1 Das Mikrofon bzw.5 Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Videokameras ISO Bezug: 27002 7.1. wann und von wem welche IT-Komponenten außer Haus eingesetzt wurden. Diese Mechanismen sollten auch genutzt werden. Falls dies der Fall ist oder falls gewünscht ist. müssen diese . sollten möglichst komplett verschlüsselt werden. Wenn die Benutzung eines vorhandenen Mikrofons oder einer Kamera generell verhindert werden soll. die Zugriffsrechte auf die entsprechende Gerätedatei haben. etwa: • • • • • • • IT-Systeme müssen stets sicher aufbewahrt werden. Falls das Mikrofon bzw. muss die Systemadministration ein Kommando zur Verfügung stellen. IT-Systeme wie Laptops oder Mobiltelefone und deren Anwendungen können im Allgemeinen durch PINs oder Passwörter abgesichert werden.Außerhalb der organisationseigenen Büros bzw. Der Zugriff auf die Gerätedatei sollte nur möglich sein. 10.3. IT-Systeme oder Datenträger.1. dass jede/r Benutzer/in das Mikrofon bzw.8. Wartung und Weitergabe von extern eingesetzten IT-Systemen sollte geregelt werden. das 186 . Bei Mitnahme ins Ausland: unerlaubter Import von Verschlüsselungstechnik Es ist mit der Offenlegung der Daten vor Zollbeamten zu rechnen [Q: BSI M 1. ob Zugriffsrechte und Eigentümer bei einem Zugriff auf die Gerätedatei verändert werden. die Kamera benutzen kann (und nicht nur in Einzelfällen eine Freigabe durch den Systemadministrator erfolgen soll). müssen die Zugriffsrechte so gesetzt sein. 9. die Videokamera eines vernetzten Rechners kann von denjenigen benutzt werden. Bei Dienstreisen sollten sie nicht unbeaufsichtigt bleiben oder in Fahrzeugen zurückgelassen werden (siehe auch 7.218] 7. den Bildschirm) integriert ist und nur durch Software ein.wenn möglich ausgeschaltet oder physikalisch vom Gerät getrennt werden. die Kamera in den Rechner (bzw.

abhängig von der Art der Wechselmedien und dem zugrunde liegenden Betriebssystem . . CD-ROMs... Verbote.• • • nur aktiviert werden kann..eine Reihe von Möglichkeiten zur Verfügung. 10. wie etwa USB-Sticks. durch Einsatz von Diskettenschlössern).8 Wechselmedien.1.7. die unten beispielhaft angeführt werden.) erforderlich. unautorisierte Installation von Software und unberechtigte Kopien von Daten auf Wechselmedien (Verlust der Vertraulichkeit). Maßnahmen zur Sicherung von Wechselmedien: • • • Verzicht auf USB-.6 Absicherung von Wechselmedien ISO Bezug: 27002 7. etc. Laufwerke (bzw. .3. bringen aber auch eine Reihe von Risiken mit sich.) und organisatorische Maßnahmen (Kontrollen.6] 7. [eh SYS 5. USB Festplatten oder CD-ROM.B. . USB-Festplatten. ermöglichen raschen und einfachen Transfer von Daten und Programmen. wenn jemand an dem IT-System angemeldet ist.1.3.1. ZIPDisketten... Als derartige Risiken wären unter anderem zu nennen: • • • unkontrolliertes Booten von Geräten etwa von USB-Sticks. 10. ihr nachträglicher Ausbau) (Physischer) Verschluss von Laufwerken (z. Wünschenswert wäre es auch. Hier sind zusätzliche personelle (Anweisungen. Mikrofon und Kamera nach einer voreingestellten Zeitspanne ohne Aktivität automatisch abzuschalten (Timeout). Es ist aber zu betonen. nur durch diese/n Benutzer/in aktiviert werden kann und die Zugriffsberechtigungen dem/der Benutzer/in nach dem Abmelden wieder entzieht. (Logische) Sperre von Schnittstellen: 187 ... Zur Verringerung dieser Bedrohungen stehen . dass in vielen Fällen eine völlige Sperre der Wechselmedien entweder technisch nicht möglich oder aber aus betrieblichen Gründen nicht durchsetzbar ist. CD-ROM-.

zulassen. Gegebenenfalls Verblenden und Verplomben von Schnittstellen Nach Anschluss aller erforderlichen Schnittstellen wird die Rückseite des Gerätes mit einer speziellen Abdeckung verblendet. Benutzern und Systemverantwortlichen stark reduzieren. Diese Vorgehensweise bietet einen relativ hohen Grad an Sicherheit (insbesondere an nachträglichen Nachweismöglichkeiten). Solche Regeln könnten etwa Beschränkungen auf die Verwendung bestimmter Dateitypen sein. SCSISchnittstellen) und oft auch aus betrieblichen Gründen nicht durchführbar ist (z.1. die mit bestimmten kryptografischen Schlüsseln versehen worden sind. können die Akzeptanz dieser Maßnahme bei Benutzerinnen bzw. Es sollte hierbei jedenfalls das Booten von Wechselmedien im BIOS deaktiviert werden.2 188 . jedoch bestimmten Regeln unterworfen. Diese wird verplombt. die Zugriffe ausschließlich auf Datenträger. ist die parallele Schnittstelle oft für den Anschluss eines Druckers offen zu halten). Dabei ist allerdings zu beachten. Schnittstellen zu sperren. Häufige Übersiedlungen.• • • • Viele Betriebssysteme bieten die Möglichkeit. dass die Benutzer diese Einstellungen nicht mehr verändern können. Regeln: In vielen Fällen ist die Benutzung externer Speichermedien durchaus erlaubt.B. es ist aber zu bedenken. dass dies nicht immer technisch möglich (z. Es muss jedoch auch sichergestellt werden. Verschlüsselung: Es existieren verschiedenste Produkte. Die jeweiligen Regeln müssen allen Benutzern bekannt gegeben werden und deren Einhaltung kontrolliert werden.B. etwa über das Internet oder mittels Attachments von Mails möglich ist. Hier sind entsprechende Vorkehrungen zu treffen. Deaktivierung im BIOS: Das BIOS bietet Möglichkeiten um nur von bestimmten Laufwerken zu booten.3] 7. dass bei IT-Systemen im Netzwerk ein Laden von Treibern etc.2 Klassifizierung von Informationen ISO Bezug: 27002 7.Vergleiche Kapitel 11. Konfigurationsänderungen etc. Es ist auch zu bedenken. [eh SYS 5.7.4 Wechselmedien und externe Datenspeicher. dass damit die Flexibilität der Systeme stark eingeschränkt wird. so dass etwaige Manipulationen ersichtlich sind.

2. Dokumentation und Umsetzung der Regeln für die richtige Verwendung von Informationen duch ihren jeweiligen Eigentümer. Ein Leitfaden zur Klassifizierung nach Vertraulichkeits. Die Klassifikation ist ein umfassender Ansatz. Die Herausforderungen bei Klassifikation sind zunächst die richtige Einschätzung der jeweiligen Sicherheitsklasse. Bei der Klassifikation wird jedem Vermögenswert (Asset) eine bestimmte Sicherheitsklasse zugeordnet. aber auch die Gewährleistung einer vollständigen und stimmigen Klassifikation.und Datenschutzkriterien ist unter 5. Somit muss nicht für jedes Asset eine eigene Liste mit Regeln erstellt werden. deren Teilbereiche ja von unterschiedlichen Eigentümern interpretiert werden. [Q: CASES Leitfaden "Klassifikation"] 189 . Daher sollten Standardmethoden verwendet werden. bei dem die einzelnen Assets durch ihre Klassen repräsentiert werden.5 Klassifizierung von Informationen beschrieben. Jede solche Sicherheitsklasse gibt die Anforderungen bezüglich Vertraulichkeit.Klassifikation dient zur Identifizierung. Integrität und Verfügbarkeit des Assets wieder.

Im Folgenden werden in Kapitel 8.8 Personelle Sicherheit Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 8 ff "Personelle Sicherheit". Kapitel 8.1 Regelungen für eigene Mitarbeiter/innen angeführt.1 Verpflichtung der Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze. IT-Sicherheit kann auch bei besten technischen Maßnahmen nur funktionieren. Aus diesen Gründen ist der Schulung und Sensibilisierung für Fragen der ITSicherheit eine besondere Bedeutung zuzumessen. Vorschriften und Regelungen ISO Bezug: 27002 8.3 Bei der Einstellung von Mitarbeiterinnen/Mitarbeitern sind diese zur Einhaltung einschlägiger Gesetze (z. Die Mitarbeiter/innen stellen eine der wichtigsten Ressourcen einer Organisation dar. 8. wenn die Mitarbeiter/innen ein ausgeprägtes Sicherheitsbewusstsein haben und bereit und fähig sind. sich mit den Möglichkeiten und potentiellen Problemen von Mitarbeiterinnen/Mitarbeitern auseinander zu setzen ("Know your Employee").1. Vorschriften und interner Regelungen zu verpflichten.1 Regelungen für Mitarbeiter/innen 8. die teilweise sinngemäß auch für Fremdpersonal gelten. die Vorgaben in der täglichen Praxis umzusetzen. § 14 "Datensicherheitsmaßnahmen" und § 13 "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland". Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000) § 15 "Datengeheimnis".1. Kapitel 8. sowie dem Informationssicherheitsgesetz für den Bereich der öffentlichen Verwaltung).oder Fehlerquellen dar.3 schließlich führt Maßnahmen zur Sensibilisierung und Schulung im Bereich IT-Sicherheit auf. Darüber hinaus ist es auch notwendig. Andererseits stellen Mitarbeiter/innen auch potentielle Angriffs.2 gibt einige spezielle Regelungen für Fremdpersonal. 190 .B.

3 Vertretungsregelungen ISO Bezug: 27002 8.1.Damit sollen neue Mitarbeiter/innen mit den bestehenden Vorschriften und Regelungen zur IT-Sicherheit bekannt gemacht und gleichzeitig zu deren Einhaltung motiviert werden. dass alle sicherheitsrelevanten Aufgaben und Verantwortlichkeiten explizit in diese Beschreibungen aufgenommen werden.1.6. Kap. falls vorgesehen (vgl. Bereichs-ITSicherheitsbeauftragte. Dabei ist es sinnvoll.2 Aufnahme der sicherheitsrelevanten Aufgaben und Verantwortlichkeiten in die Stellenbeschreibung ISO Bezug: 27002 8. Datenschutzbeauftragte.1. Neben der Verpflichtung auf die Einhaltung von Gesetzen und Vorschriften empfiehlt es sich insbesondere. IT-Sicherheitsbeauftragte.7 Clear Desk Policy) Einhaltung von PC-Benutzungsregeln (vgl. 7. Dies gilt in besonderem Maße für Mitarbeiter/innen mit speziellen Sicherheitsaufgaben (Mitglieder des IT-SicherheitsmanagementTeams.2. 8. sondern auch die erforderlichen Exemplare der Vorschriften und Regelungen auszuhändigen und gegenzeichnen zu lassen bzw. Regelungen zu folgenden Bereichen zu treffen.10 Remote Access und Anhang C) 8. 8.3.1 Herausgabe einer PCRichtlinie) Einhaltung der Regeln für die Benutzung des Internet (s. die dann auch in eine entsprechende Verpflichtungserklärung aufzunehmen sind: • • • Clear Desk Policy.1. 10. Applikations-/Projektverantwortliche).3. Anzuführen sind dabei sowohl die allgemein aus der organisationsweiten IT-Sicherheitspolitik abzuleitenden Verpflichtungen als auch spezielle Verantwortlichkeiten auf Grund der Tätigkeit.1 Bei der Erstellung von Stellenbeschreibungen ist dafür Sorge zu tragen. für die Mitarbeiter/innen an zentraler Stelle zur Einsichtnahme vorzuhalten.1. nicht nur die Verpflichtung durchzuführen.1. 8.1 191 .

dass es Personen gibt. Die/der Vertreter/in muss so geschult werden. Die/der Vertreter/in darf die erforderlichen Zugangs. für Personen eine/n kompetente/n Vertreter/in zu benennen oder zu schulen. Dienstreise) und auch unvorhersehbare Fälle (Krankheit. Es sollte vermieden werden.1. dass Vertretungsregeln u. welche externen Kräfte für den Vertretungsfall eingesetzt werden können. eine/n Vertreter/in zu schulen. zB wenn sich zwei kollektiv Berechtigte wechselseitig vertreten.oder Projektstand hinreichend dokumentiert ist. für vorhersehbare (Urlaub.4 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeiterinnen/Mitarbeitern ISO Bezug: 27002 8.Vertretungsregelungen haben den Sinn. so sollten einige Punkte beachtet werden. 8. dass der Verfahrens. Für die Vertretungsregelungen sind folgende Randbedingungen einzuhalten: • • • • • • • Die Übernahme von Aufgaben im Vertretungsfall setzt voraus.U. vorgesehene Mehraugenprinzipien unterlaufen. Hier ist es von besonders großer Bedeutung. dass sie/er die Aufgaben jederzeit übernehmen kann.3 Scheidet ein/e Mitarbeiter/in aus. Kündigung) des Personenausfalls die Fortführung der Aufgabenwahrnehmung zu ermöglichen. wer wen in welchen Angelegenheiten mit welchen Kompetenzen vertritt. Es muss festgelegt sein. Unfall. Stellt sich heraus. Ist es in Ausnahmefällen nicht möglich. Dies ist besonders im Bereich der Informationsverarbeitung von Bedeutung. Im Zusammenhang mit der Verwendung von kryptographischen Systemen ist auch über ein Verfahren zur Offenlegung von kryptographischen Schlüsseln im Rahmen des Kryptokonzeptes zu achten (siehe auch Kapitel 12.und Zutrittsberechtigungen nur im Vertretungsfall erhalten. welcher Aufgabenumfang im Vertretungsfall von wem wahrgenommen werden soll. sollte frühzeitig überlegt werden. Dies wären: 192 . so bedeutet deren Ausfall eine gravierende Gefährdung des Normalbetriebes. da dafür meist Spezialwissen sowie eine zeitgerechte Einarbeitung unkundiger Mitarbeiter/innen unbedingt erforderlich sind. die auf Grund ihres Spezialwissens nicht kurzfristig ersetzbar sind. Daher muss vor Eintritt eines solchen Falles geregelt sein.6 Kryptographische Maßnahmen).

so ist der Notlaufplan zu aktualisieren. insbesondere der Portierdienst. 8. und diese Nachfolgenden für ihre Tätigkeiten zur Verfügung stehen.3 193 . Dokumentationen) zurückzufordern. Vor der Verabschiedung sollte noch einmal explizit darauf hingewiesen werden.1. sind über das Ausscheiden der/des Mitarbeiterin/Mitarbeiters zu unterrichten. Es ist sicherzustellen. Als ein praktikables Hilfsmittel haben sich Laufzettel erwiesen.oder Firmengelände. Wurde in Ausnahmefällen eine Zugangsberechtigung zu einem IT-System zwischen mehreren Personen geteilt (z. Dies betrifft auch die externen Zugangsberechtigungen via Datenübertragungseinrichtungen.bzw. Von der/dem Ausscheidenden sind sämtliche Unterlagen. Optional kann sogar für den Zeitraum zwischen Aussprechen der Kündigung und dem Ausscheiden der Entzug sämtlicher Zugangs.B. dass bei Ausscheidenden keine Unterlagen. insbesondere zu Räumen mit IT-Systemen zu verwehren. schützenswerte Räume zu betreten. mittels eines gemeinsamen Passwortes).5 Geregelte Verfahrensweise bei Versetzung eines Mitarbeiters ISO Bezug: 27002 8. Firmenausweise einzuziehen. Betriebsmittel oder Zugangsmöglichkeiten verbleiden.• • • • • • • • • • • Vor dem Ausscheiden ist eine Einweisung der/des Nachfolgerin/Nachfolgers durchzuführen. die sie/er vor Verlassen der Behörde bzw. zu löschen. Es sind sämtliche für die/den Ausscheidende/n eingerichteten Zugangsberechtigungen und Zugriffsrechte zu entziehen bzw.B. auf denen die einzelnen Aktivitäten der/des Ausscheidenden vorgezeichnet sind. tragbare Rechner. Insbesondere sind die Behörden. des Unternehmens zu erledigen hat. Speichermedien. ausgehändigte Schlüssel. Nach Möglichkeit sollte eine Neuvergabe der User-ID an eine/n andere/n Mitarbeiter/in vermieden/ausgeschlossen werden. so ist nach Ausscheiden einer der Personen die Zugangsberechtigung zu ändern. ausgesprochen werden. Ausgeschiedenen Mitarbeiterinnen/Mitarbeitern ist der unkontrollierte Zutritt zum Behörden. ausgeliehene IT-Geräte (z. Sämtliche mit Sicherheitsaufgaben betrauten Personen. dass alle Verschwiegenheitserklärungen weiterhin in Kraft bleiben und keine im Rahmen der Tätigkeit erhaltenen Informationen weitergegeben werden dürfen.und Zugriffsrechte auf IT-Systeme sowie darüber hinaus auch das Verbot. Ist die ausscheidende Person ein/e Funktionsträger/in in einem Notlaufplan.

unbefugte Mitarbeiter/innen. Schrank. Unterlagen und Zubehör verschlossen werden können. 194 . wenn eine Anlaufstelle zur Verfügung steht.2 Jede/r Mitarbeiter/in sollte vor ihrer/seiner Abwesenheit ihre/seine Unterlagen und den persönlichen Arbeitsbereich verschließen: Schreibtisch. 8.6 Gewährleistung eines positiven Betriebsklimas ISO Bezug: 27002 8. Dazu gehört auch die ergonomische Gestaltung des Arbeitsplatzes. Hierzu besteht eine Reihe von Regelungen und Normen.Bei Versetzung einer/eines Mitarbeiterin/Mitarbeiters oder einer wesentlichen Änderung ihrer/seiner Tätigkeit sind ihre/seine Zugangsberechtigungen sowie Zugriffsrechte auf Übereinstimmung mit den neuen Anforderungen zu überprüfen und gegebenenfalls anzupassen. ihre Mitarbeiter/innen und eventuelle potentielle Probleme zu kennen ("Know your Employee").1 Ein positives Betriebsklima motiviert die Mitarbeiter/innen einerseits zur Einhaltung von IT-Sicherheitsmaßnahmen und bewirkt andererseits die Reduzierung von fahrlässigen oder vorsätzlichen Handlungen (vgl. Dazu gehören etwa verschließbare Schreibtische oder Schränke.2.1. 8. Dokumentationen. aber auch in den anderen Fällen ist dafür Sorge zu tragen.. deren Nichtbeachtung u. PC und Telefon. Dies gilt insbesondere für Großraumbüros. Weiters ist bei der Ausstattung von Arbeitsplätzen darauf zu achten. §126a zu Datenbeschädigung).1. die Wichtigkeit einer ergonomischen Gestaltung des Arbeitsplatzes sei aber hier nochmals betont. eventuell zu Sicherheitsproblemen führen kann. dass die Einhaltung von IT-Sicherheitsmaßnahmen unterstützt wird. dass keine unberechtigten Personen (Besucher/innen. ein positives Betriebsklima zu erreichen. in denen Datenträger. In vielen Fällen kann es hilfreich sein. die bei solchen Problemen konkrete Hilfe und Lösungsmöglichkeiten anbieten kann.2. Daher sollte auch unter ITSicherheitsaspekten versucht werden.a. Ursache für eine unzureichende Aufgabenerfüllung können oftmals persönliche Probleme einer/eines Arbeitnehmerin/Arbeitnehmers sein. Datenträgern und IT-Komponenten haben.) Zugriff zu Schriftstücken. Reinigungspersonal.. Ergonomie ist nicht Gegenstand dieses Handbuches. die eine Störung des IT-Betriebs herbeiführen können. Daher ist es für jede Organisation wichtig.7 Clear Desk Policy ISO Bezug: 27002 8.

Eine regelmäßige Kontrolle von Administratoren . Daher sind alle PC-Benutzer/innen zu verpflichten. an einem PC unter der Identität einer/eines Anderen weiterzuarbeiten. sie ggf. zu verändern und Berechtigungen so zu vergeben.1 Verpflichtung der Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze. so ist jegliche sinnvolle Zugriffskontrolle unmöglich.1.1.etwa durch Auswertung von Protokollen durch Revisoren . so ist die Abmeldung der/des Benutzerin/ Benutzers aus Gesichtspunkten der Ordnungsmäßigkeit dennoch vorzuschreiben.ist vorzusehen.1.3 Wird ein PC von mehreren Benutzerinnen/Benutzern genutzt und besitzen die einzelnen Benutzer/innen unterschiedliche Zugriffsrechte auf im PC gespeicherte Daten oder Programme. sich bei Verlassen des Arbeitsplatzes abzumelden.die Befugnisse von Administratoren eingeschränkt werden können.in Abhängigkeit vom eingesetzten System .1.1 Administratoren von IT-Systemen und ihren Vertreterinnen/Vertretern muss vom Betreiber großes Vertrauen entgegengebracht werden können. 195 . Administratoren und ihre Vertreter/innen sind in der Lage. bei Verlassen des Arbeitsplatzes am PC abmeldet. ohne deren Aufgabenerfüllung zu beeinträchtigen.weit gehende und oftmals allumfassende Befugnisse.1. 8.8 Benennung eines vertrauenswürdigen Administrators und Vertreterin/Vertreters ISO Bezug: 27002 8. dass die Befugnisse nur für die erforderlichen Administrationsaufgaben verwendet werden dürfen. so kann der erforderliche Schutz mittels einer Zugriffskontrolle nur dann erreicht werden.etwa die Verschlüsselung von ausgewählten Daten oder Zugriffsbeschränkungen zu Protokollfiles . auf alle gespeicherten Daten zuzugreifen. wenn jede/r Benutzer/in sich nach Aufgabenerfüllung bzw. Sie haben . Vorschriften und Regelungen ) aufgenommen werden. Darüber hinaus sollte geprüft werden. 8. wieweit durch technische Maßnahmen .Ist eine Clear Desk Policy-Regelung in einer Organisation vorgesehen. Ist keine Zugriffskontrolle realisiert. dass erheblicher Missbrauch möglich wäre. Ist es einer/einem Dritten möglich. Kapitel 8. Das hierfür eingesetzte Personal muss sorgfältig ausgewählt werden.9 Verpflichtung der PC-Benutzer/innen zum Abmelden ISO Bezug: 27002 8. Es soll regelmäßig darüber belehrt werden. so sollte die Einhaltung dieser Regelung in die Verpflichtungserklärung jeder/jedes Mitarbeiterin/ Mitarbeiters (vgl.

1.3 Mittels Protokollauswertung oder durch Stichproben ist in angemessenen Zeitabständen zu überprüfen. Diese können beispielsweise in der Änderung bestehender Regelungen oder in der Hinzunahme technischer Maßnahmen bestehen. während einer Kontrolle mit den Beteiligten über mögliche Problemlösungen zu sprechen und entsprechende Abhilfen vorzubereiten. kommt es nicht darauf an. Wenn Mitarbeiter/innen eine Regelung ignorieren oder umgehen. dass nur eine kurze Unterbrechung der Arbeit erforderlich ist. sondern versuchen.2. nur die Symptome zu beseitigen. besteht die Gefahr. Wenn bei Kontrollen Mängel festgestellt werden. Kontrollen sollten vor allen Dingen darauf ausgerichtet sein. Beispielsweise ist eine Anweisung. Vielmehr ist es wichtig. kann an Stelle des Abmeldens auch eine manuelle oder nach einer gewissen Zeit automatische Aktivierung der Bildschirmsperre erfolgen.1. Für die Akzeptanz von Kontrollen ist es wichtig. 8.11 Geregelte Verfahrensweise bei vermuteten Sicherheitsverletzungen ISO Bezug: 27002 8. 8. ob die Benutzer/innen eines IT-Systems die organisatorischen Vorgaben (etwa Verpflichtung zur Abmeldung nach Aufgabenerfüllung oder Verbot der Weitergabe von Passwörtern) auch tatsächlich einhalten. bestehende Probleme zu vertuschen.10 Kontrolle der Einhaltung der organisatorischen Vorgaben ISO Bezug: 27002 8. vertrauliche Schreiben nicht unbeaufsichtigt am Drucker liegen zu lassen.3 196 . dass sie nicht offen über ihnen bekannte Schwachstellen und Sicherheitslücken berichten. unsinnig. ist das meist ein Zeichen dafür. Mängel abzustellen. dass dies allen Beteiligten als Ziel der Kontrollen erkennbar ist und dass dabei keine Personen bloßgestellt werden oder als "Schuldige" identifiziert werden. wenn zum Drucken nur ein weit entfernter Netzdrucker zur Verfügung steht. die Ursachen für diese Probleme festzustellen und Lösungen aufzuzeigen.1. dass diese nicht mit den Arbeitsabläufen vereinbar ist oder durch die Mitarbeiter/innen nicht umgesetzt werden kann.Ist absehbar. Wenn die Mitarbeiter/innen dies befürchten müssen. Es ist daher sinnvoll.

die über einen längeren Zeitraum in einer oder für eine Organisation tätig sind und ev.1 Regelungen für den kurzfristigen Einsatz von Fremdpersonal ISO Bezug: 27002 8.h.2 197 . sind ebenfalls schriftlich auf die Einhaltung der geltenden einschlägigen Gesetze.Die Vorgehensweise zur Untersuchung angeblicher (bewusster oder versehentlicher) Verletzungen von Sicherheitsvorgaben sowie potentielle Konsequenzen . dazu etwa 9.2 Verpflichtung externer Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze. dass also etwa der Aufenthalt in sicherheitsrelevanten Bereichen nur in Begleitung von Mitarbeiterinnen/ Mitarbeitern der Behörde bzw. des Unternehmens erlaubt ist etc.3 Beaufsichtigung oder Begleitung von Fremdpersonen ISO Bezug: 27002 8.2 Regelungen für den Einsatz von Fremdpersonal 8.2.sollen festgelegt.2.2. 8.1.6 Portierdienst ).1 Kurzfristig oder einmalig zum Einsatz kommendes Fremdpersonal ist wie Besucher/innen zu behandeln. (vgl. 8. vom Management verabschiedet und allen Mitarbeiterinnen/Mitarbeitern bekannt sein. Vorschriften und Regelungen ISO Bezug: 27002 8.1. im Falle externer Mitarbeiter/innen etwa vertraglich abgeleitete Konsequenzen . Vorschriften und internen Regelungen zu verpflichten.im Falle interner Mitarbeiter/innen können dies beispielsweise disziplinäre Maßnahmen sein. Eine derartig geregelte Verfahrensweise kann einerseits infolge der abschreckenden Wirkung zur Prävention von Sicherheitsverletzungen dienen und gewährleistet andererseits eine korrekte und faire Behandlung von Personen. 8.2. Zugang zu vertraulichen Unterlagen und Daten bekommen könnten.3 Externe Mitarbeiter/innen. d. In Anhang B werden Beispiele für die Formulierung derartiger Verpflichtungserklärungen gegeben.1. denen Sicherheitsverletzungen angelastet werden.

Tastaturschloss).2 Externe Mitarbeiter/innen sind .2. eine/n Fremde/n allein im Büro zurückzulassen.1. Reinigungspersonal) ständig zu begleiten oder zu beaufsichtigen.3 Sicherheitssensibilisierung und -schulung 8.3. Die Notwendigkeit dieser Maßnahmen ist den Mitarbeiterinnen/Mitarbeitern zu erläutern und ggf. sollte man eine/n Kollegin/Kollegen ins Zimmer oder den/die Besucher/in zu einer/einem Kollegin/Kollegen bitten.4 Zutrittskontrolle und 9. Siehe auch 8. in einer Dienstanweisung festzuhalten.2. 8. Fremdpersonen (z. sollte zumindest der persönliche Arbeitsbereich abgeschlossen werden: Schreibtisch. nicht unbeaufsichtigt sein (siehe auch 9. Schrank und PC (Schloss für Diskettenlaufwerk.7.7.4 Information externer Mitarbeiter/innen über die ITSicherheitspolitik ISO Bezug: 27002 8.und Reinigungspersonal) sollten. dass Familienmitglieder und Besucher/innen sich nur dann alleine im Arbeitsbereich aufhalten dürfen.2 Geeignete Einrichtung eines häuslichen Arbeitsplatzes und 11.1.6 Portierdienst ).2 198 . Wartungs. Wird es erforderlich. wenn alle Arbeitsunterlagen verschlossen aufbewahrt sind und die IT über einen aktivierten Zugangsschutz gesichert ist (vgl. 8. 11.Fremde (Besucher/innen. die ausdrücklich dafür vorgesehen sind. Ist es nicht möglich. Kap.2. Handwerker/innen.7 Clear Desk Policy .so weit es zur Erfüllung ihrer Aufgaben und Verpflichtungen erforderlich ist . außer in Räumen.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter/innen ISO Bezug: 27002 8.B. Eine Dokumentation über den Aufenthalt von Fremdpersonen kann in einem Besucherbuch geführt werden.1.über hausinterne Regelungen und Vorschriften zur IT-Sicherheit sowie die organisationsweite IT-Sicherheitspolitik zu unterrichten. Für den häuslichen Arbeitsplatz gilt.3 Regelungen für Telearbeit ).

2 199 .3.3. Erläuterung der hausinternen Regelungen und Vorschriften zur IT-Sicherheit und der organisationsweiten IT-Sicherheitspolitik.2. Vorstellung aller Ansprechpartner/innen. Stehen leicht verständliche Handbücher zu IT-Anwendungen bereit. Eine wesentliche Voraussetzung dazu ist allerdings die Bereitstellung ausreichender Einarbeitungszeit. sich selbstständig einzuarbeiten. 8.3. arbeitsplatzbezogene Schulungsmaßnahmen (s. Die Einarbeitung bzw.3 Schulung und Sensibilisierung zu IT-Sicherheitsmaßnahmen ).1. Einweisung sollte zumindest folgende Punkte umfassen: • • • Planung der notwendigen Schulungen. wenn die Benutzer/innen eingehend in die ITAnwendungen eingewiesen werden. so kann an Stelle der Schulung auch die Aufforderung stehen. IT-Sicherheit nicht. auch 8. insbesondere zu IT-Sicherheitsfragen. Dies betrifft sowohl die Nutzung von Standardprogrammpaketen als auch von speziell entwickelten IT-Anwendungen.2 Schulung vor Programmnutzung und 8. Sie wissen nicht. dass die Benutzer/ innen vor der Übernahme IT-gestützter Aufgaben ausreichend geschult werden. 8.Neuen Mitarbeiterinnen/Mitarbeitern müssen interne Regelungen. Daher kommt der geregelten Einarbeitung neuer Mitarbeiter/innen eine entsprechend hohe Bedeutung zu. Darüber hinaus müssen auch bei umfangreichen Änderungen in einer IT-Anwendung Schulungsmaßnahmen durchgeführt werden.1.3 Schulung und Sensibilisierung zu IT-Sicherheitsmaßnahmen ISO Bezug: 27002 8.3. Daraus können Störungen und Schäden für den IT-Einsatz erwachsen. Ohne eine entsprechende Einweisung kennen sie ihre Ansprechpartner/innen bzgl. 8. Daher ist es unabdingbar. das Unternehmen betreibt.2 Durch unsachgemäßen Umgang mit IT-Anwendungen hervorgerufene Schäden können vermieden werden.2 Schulung vor Programmnutzung ISO Bezug: 27002 8. welche IT-Sicherheitsmaßnahmen durchzuführen sind und welche IT-Sicherheitspolitik die Behörde bzw. Gepflogenheiten und Verfahrensweisen im IT-Einsatz bekannt gegeben werden.2.

Eine solche Einbindung hat den Vorteil. Es sollte versucht werden. Das Aufzeigen der Abhängigkeit der Organisation und damit der Arbeitsplätze von dem reibungslosen Funktionieren der IT-Systeme ist ein geeigneter Einstieg in die Sensibilisierung. etwa in die ITAnwenderschulung. Um dies zu verhindern. Angesichts des Umfangs der möglichen Schulungsthemen und der Bedeutung der IT-Sicherheit ist bei der Auswahl der Schulungsinhalte ein koordiniertes Vorgehen erforderlich. Integrität und Verfügbarkeit.Umfassende IT-Sicherheit kann nur dann gewährleistet werden. Jede/ r Mitarbeiter/in ist auf die Notwendigkeit der IT-Sicherheit hinzuweisen. Die mitarbeiter/innenbezogenen IT-Sicherheitsmaßnahmen Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden. Diese Sensibilisierungsmaßnahmen sind in regelmäßigen Zeitabständen zu wiederholen. Dieser Teil der Schulungsmaßnahmen hat große Bedeutung. da viele ITSicherheitsmaßnahmen erst nach einer entsprechenden Schulung und Motivation effektiv umgesetzt werden können. wenn alle beteiligten und betroffenen Personen einen angemessenen Kenntnisstand über ITSicherheit allgemein und insbesondere über die Gefahren und Gegenmaßnahmen in ihrem eigenen Arbeitsgebiet haben. Es liegt in der Verantwortung der Organisationsleitung. im Intranet oder am "Schwarzen Brett". die Verständnis für die IT-Sicherheitsmaßnahmen wecken. zu integrieren. Darüber hinaus ist der Wert von Informationen herauszuarbeiten. Dieses ist in Schulungskonzepten darzulegen und zu dokumentieren. evtl. in hausinternen Publikationen. dass ITSicherheit unmittelbar als Bestandteil des IT-Einsatzes wahrgenommen wird. die in einem IT-Sicherheitskonzept erarbeitet wurden und von den einzelnen Mitarbeiterinnen/Mitarbeitern umzusetzen sind. Schulungsthemen zur IT-Sicherheit soweit möglich in andere Schulungskonzepte der betreffenden Organisation. durch geeignete Schulungsmaßnahmen hierfür die nötigen Voraussetzungen zu schaffen. sich auch in Eigeninitiative Kenntnisse anzueignen.B. Insbesondere sollen folgende Themen in der Schulung zu IT-Sicherheitsmaßnahmen vermittelt werden: • • • Sensibilisierung für IT-Sicherheit Die überwiegende Zahl von Schäden im IT-Bereich entsteht durch Nachlässigkeit. Die produktbezogenen IT-Sicherheitsmaßnahmen 200 . Darüber hinaus sollte jede/r Benutzer/in dazu motiviert werden. auch durch praktische Hinweise z. ist jede/r Einzelne zum sorgfältigen Umgang mit der IT zu motivieren. insbesondere unter den Gesichtspunkten Vertraulichkeit. Zusätzlich sind Verhaltensregeln zu vermitteln.

Der geregelte Ablauf eines Datenträgeraustausches Die Festlegung. Ebenso sind die Randbedingungen. auch 11. Dies können neben Passwörtern zur Anmeldung. digitale Signaturen oder Checksummenverfahren).5 Datensicherung) der Organisation und die von jeder/jedem Einzelnen durchzuführenden Datensicherungsaufgaben.6. Schutz vor Schadprogrammen und Schadfunktionen): • • • • • • Wirkungsweise und Arten von Schadprogrammen Vorbeugende Maßnahmen Erkennen des Schadprogrammbefalls Sofortmaßnahmen im Verdachtsfall Maßnahmen zur Eliminierung des Schadprogrammes • • Der richtige Einsatz von Zugangscodes und Zugangskontrollmedien Hierbei sollen die Bedeutung von Zugangscodes (Passwörtern. herauszuarbeiten (vgl.) für die IT-Sicherheit erläutert werden.• Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden. Mögliche Inhalte dieser Schulung sind (siehe Kap. die einen wirksamen Einsatz von Zugangscodes und Zugangskontrollmedien erst ermöglichen. Das Verhalten bei Auftreten eines Schadprogramms auf einem PC Hier soll den Mitarbeiterinnen/Mitarbeitern vermittelt werden. so sind die Mitarbeiter/innen in die Handhabung dieser Verfahren ausreichend einzuarbeiten. in dem jede/r Benutzer/in selbst die Datensicherung verantwortlich durchführen muss. wie mit Viren umzugehen ist. Bürgerkarte . Hinweise und Empfehlungen über die Strukturierung und Organisation von Dateien. ist allen Beteiligten bekannt zu geben.1 Regelungen des Passwortgebrauches und 11. Werden bestimmte IT-gestützte Verfahren zum Schutz der Daten während des Austausches eingesetzt (wie etwa Verschlüsselung. die anwendungsspezifische Daten enthalten.2 Regelungen des Gebrauchs von Chipkarten ). 10. Zugangscodes für Voicemail.) und Zugangskontrollmedien (Karten. Vermittelt werden sollen das Datensicherungskonzept (s. die inhärent mit einem Softwareprodukt verbunden sind und bereits im Lieferumfang enthalten sind. können die Vergabe von Zugriffsrechten erleichtern und den Aufwand für die Datensicherung deutlich reduzieren.. Die Bedeutung der Datensicherung und deren Durchführung Die regelmäßige Datensicherung ist eine der wichtigsten ITSicherheitsmaßnahmen in jedem IT-System. Token. etc.3. PINs. Kap.. 201 . wann welchen Kommunikationspartnerinnen/ Kommunikationspartnern welche Datenträger übermittelt werden dürfen. Besonders bedeutend ist dies für den PC-Bereich. der Pausenschaltung durch Bildschirmschoner auch Möglichkeiten der Verschlüsselung von Dokumenten oder Datenfeldern sein.

sind für die gesetzlich erforderlichen Sicherheitsmaßnahmen zu schulen.3.• • • • Der Umgang mit personenbezogenen Daten An den Umgang mit personenbezogenen Daten sind besondere Anforderungen zu stellen. aber auch aus Bedienungsfehlern resultieren. den Umgang mit den Rechten von Betroffenen (Auskunft. Richtigstellung. ebenso wie die Methoden. Mitarbeiter/innen. Die typischen Muster solcher Versuche. das Notfall-Meldesystem (wer als Erstes wie zu benachrichtigen ist) und der Umgang mit dem Disaster Recovery Handbuch. Datensicherheitsmaßnahmen sowie Übermittlung und Überlassung von Daten.5 Aktionen bei Auftreten von Sicherheitsproblemen (Incident Handling Pläne)) Vorbeugung gegen Social Engineering Die Mitarbeiter/innen sollen auf die Gefahren des Social Engineering hingewiesen werden. Löschung. bedarf es einer Betreuung und Beratung der IT-Benutzer/innen für die im laufenden Betrieb auftretenden Probleme.). sollten Mitarbeiter/innen regelmäßig darauf hingewiesen werden. Da Social Engineering oft mit der Vorspiegelung einer falschen Identität einhergeht. über gezieltes Aushorchen an vertrauliche Informationen zu gelangen.3. 8.. Dies betrifft etwa Meldepflichten. Widerspruch. die Verhaltensweisen bei Feuer. der Umgang mit Feuerlöschern. . regelmäßige Schulungen und gegebenenfalls praktische Übungen sind vorzusehen (vgl. die die IT-Benutzer/innen in die Lage versetzt. Dazu gehören die Erläuterung der Fluchtwege. 202 . die vorhandene Informationstechnik sachgerecht einzusetzen. Diese Probleme können aus Hardwaredefekten. sich dagegen zu schützen. die Identität von Gesprächspartnerinnen/Gesprächspartnern zu überprüfen und insbesondere am Telefon keine vertraulichen Informationen weiterzugeben. die mit personenbezogenen Daten (sowohl in IT-Systemen als auch in Akten) arbeiten müssen. Richtiges Verhalten bei Auftreten von Sicherheitsproblemen (IHP) Die in den Incident Handling-Plänen (IHPs) festgelegten Aufgaben und Verantwortlichkeiten aller Mitarbeiter/innen bei Auftreten sicherheitsrelevanter Ereignisse sind allen betroffenen Mitarbeiterinnen/Mitarbeitern bekannt zu machen.2.4 Betreuung und Beratung von IT-Benutzerinnen/ITBenutzern ISO Bezug: 27002 8. sollten bekannt gegeben werden. Die Einweisung in Notfallmaßnahmen Sämtliche Mitarbeiter/innen (auch nicht unmittelbar mit IT befasste Personen wie Portier oder Wachpersonal) sind in bestehende Notfallmaßnahmen einzuweisen. fehlerhaften Softwareinstallationen. auch 8.2 Neben der Schulung..

5 Aktionen bei Auftreten von Sicherheitsproblemen (Incident Handling Pläne) ISO Bezug: 27002 8.1. die sicherheitsrelevante Vorfälle behandeln bzw. Untersuchung sicherheitsrelevanter Vorfälle.6 Schulung des Wartungs. Die Einrichtung eines Helpdesk kann sich insbesondere bei einer hohen Zahl dezentraler Systeme wie PCs als vorteilhaft erweisen. Unternehmen kann es daher sinnvoll sein. Unter sicherheitsrelevanten Ereignissen sind dabei zu verstehen: • • • • • • • • Angriffe und (vermutete) Angriffsversuche gegen ein IT-System (vermutete) Sicherheitsschwächen Funktionsstörungen von Systemen (etwa durch maliziöse Software) Incident Handling-Pläne sollen in schriftlicher Form und verbindlich festlegen: wie auf sicherheitsrelevante Ereignisse zu reagieren ist. die Protokollierung und Dokumentation sicherheitsrelevanter Vorfälle sowie die Ausbildung von Personen. die einzuhaltenden Meldewege. an wen sie/er sich in Problemfällen zu wenden hat. IHPs sind allen betroffenen Mitarbeiterinnen/Mitarbeitern bekannt zu machen. 8.2. eine zentrale Stelle mit der Betreuung der IT-Benutzer/innen zu beauftragen und diese allen Mitarbeiterinnen/Mitarbeitern bekannt zu geben ("Helpdesk").1 Die Aufgaben und Verantwortlichkeiten aller Mitarbeiter/innen bei Auftreten von sicherheitsrelevanten Ereignissen sollten im Rahmen der organisationsweiten ITSicherheitspolitik (High-Level-Beschreibung) sowie spezieller "Incident HandlingPläne" (IHPs) sowohl für einzelne Bereiche als auch für die gesamte Organisation festgelegt werden (vgl. die Verantwortlichkeiten für die Meldung bzw.3.3 Erstellung eines Incident Handling Plans und Richtlinien zur Behandlung von Sicherheitsvorfällen dieses Handbuches). Dabei hat sich die Wahl einer besonders leicht zu merkenden Telefonnummer besonders bewährt. Es muss für jede/n Benutzer/in klar ersichtlich sein.und Administrationspersonals 203 . 8. Gegenmaßnahmen treffen müssen. dazu auch 13.3.In größeren Behörden bzw.

ISO Bezug: 27002 8.und Administrationspersonal sollte mindestens so weit geschult werden. 204 . Fax (Stand-alone-Gerät) • Festlegung einer/eines Fax-Verantwortlichen. die Eingriffe von externem Wartungspersonal nachvollzogen und Manipulationsversuche oder unbefugte Zugriffe auf die Systeme erkannt werden können. Verständliche Bedienungsanleitungen. dass • • • • • • alltägliche Administrationsarbeiten selbst durchgeführt.2 Das Wartungs.8 Einweisung in die Regelungen der Handhabung von Kommunikationsmedien ISO Bezug: 27002 8.2. einfache Fehler selbst erkannt und behoben.dazu zählen Fax und Router genauso wie etwa Anrufbeantworter und Voice Mail . Im Folgenden werden einige Beispiele angeführt. bringt aber auch neue potentielle Gefährdungen der Vertraulichkeit und Integrität von Informationen mit sich. 8. die/der für die Verteilung eingehender Fax-Sendungen zuständig ist und als Ansprechpartner/in in FaxProblemfällen fungiert.2 Der Einsatz neuer Medien und Geräte . Alle Mitarbeiter/innen sind daher auf die Besonderheiten der Handhabung von solchen Geräten hinzuweisen und für potentielle Gefahren zu sensibilisieren.erleichtert die Kommunikation. Datensicherungen selbsttätig durchgeführt.2. Sie sind den jeweiligen technischen Anforderungen und Möglichkeiten anzupassen. Sicherheitshinweise und ggf. auch Dienstanweisungen sind den Mitarbeiterinnen/Mitarbeitern zur Kenntnis zu bringen und verfügbar zu halten. was solche Regelungen umfassen sollten.3. Tätigkeiten im Normalbetrieb bis zur Erkennung von Problemen eigenhändig durchgeführt.

Beispiele für zu vermittelnde Punkte sind: • • Korrekter Umgang mit dem Schloss des Schutzschrankes: Dabei ist auf typische Fehler hinzuweisen. wie zum Beispiel das Nichtverwerfen von Codeschlössern.Nichtbenutzung verschlossen wird. Schlüsselhinterlegung und Vertretungsregelung sind aufzuzeigen. Druckerpapier) nicht im Serverschrank aufbewahrt werden sollen. 8.vgl.3 Nach der Beschaffung eines Schutzschrankes (Serverschrank oder Datensicherungsschrank . die die Nutzung eines Schutzschrankes umfasst. ggf.9 Einweisung in die Bedienung von Schutzschränken ISO Bezug: 27002 8. Abschalten nicht benötigter Leistungsmerkmale.3.auch nur kurzfristiger . Auswirkungen verschiedener Konfigurationen auf die Betriebssicherheit des Routers. Im Falle eines Serverschrankes ist darauf hinzuweisen. einzuhaltende Sicherheitsmaßnahmen und Regelungen beim Betrieb eines Routers. Verbot des Versendens von vertraulichen Informationen per Fax (oder besondere technische und organisatorische Vorkehrungen für diesen Fall. dass der Schutzschrank bei . wer das Faxgerät benutzen darf. Regelmäßiges Abhören und Löschen aufgezeichneter Gespräche. auch 9. Fernzugänge Information über mögliche Gefährdungen. wie etwa telefonische Ankündigung eines derartigen Fax). 205 .5. Anrufbeantworter • • • • Regelung über den Einsatz von Sicherungscodes für die Fernabfrage Vermeidung schutzbedürftiger Informationen auf Anrufbeantwortern. Verwendung einheitlicher Fax-Deckblätter. Kontrolle von Einzelsendenachweisen. Dies sollte auch bei Neuübertragung einer Aufgabe erfolgen. Insbesondere ist einzufordern.• • • • • • Festlegung. Die Regelungen zur Schlüsselverwaltung. dass unnötige brennbare Materialien (Ausdrucke.3. überzählige Handbücher.7 Beschaffung und Einsatz geeigneter Schutzschränke ) sind die Benutzer/innen in die korrekte Bedienung einzuweisen.

disloziert ausgelagert ist. sollten dessen Öffnungszeiten minimiert werden. Eine Aufbewahrung im Serverschrank ist daher ungeeignet und nur dann zulässig. bei Bedarf disloziert gelagert werden. 206 .• • Datensicherungsträger des Servers sollten in einem anderen Brandabschnitt bzw. ob im Serverschrank Wasser kondensiert ist. wenn eine Kopie der Datensicherungsbestände in einem anderen Brandabschnitt bzw. Wird ein klimatisierter Serverschrank eingesetzt. Gegebenenfalls ist sporadisch zu kontrollieren.

Räume für technische Infrastruktur. .9 Physische und umgebungsbezogene Sicherheit Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 9 ff "Physische und umgebungsbezogene Sicherheit".. Kommunikationsverbindungen. welche? Wer hat Zutritt zum Gebäude? Gibt es eine physische Zutrittskontrolle? Ist ein Portierdienst eingerichtet? Stärke und Schutz/Überwachung von Wänden. Infrastruktur (Wasser-. ein nachträglicher Einbau ist meist teuer oder gar unmöglich.. Gebäude oder Räume (Büros. 207 . Auflagen von etwaigen Versicherungen eingehalten werden. wie etwa Grundstücke. Weiters ist zu beachten. Klimaanlage. Fenstern.).bzw. des Gebäudes sind sicherheitsrelevant? Im Folgenden werden eine Reihe von grundlegenden Sicherheitsmaßnahmen angeführt. wenn ja. Die nachfolgenden Fragen können bei der Beurteilung der baulichen und infrastrukturellen Sicherheit hilfreich sein: • • • • • • • Lage des Gebäudes (Befindet es sich auf einem eigenen gesicherten Grundstück? Wie sind die benachbarten öffentlichen Verkehrsflächen beschaffen?) Steht das Gebäude der betreffenden Organisation zur Alleinbenützung zur Verfügung oder gibt es andere Mitbenutzer. USV. Nach Möglichkeit sollten bauliche und infrastrukturelle Maßnahmen bereits in der Planungs. dass die Bedingungen bzw.. Stromversorgung.) Welche Bereiche des Grundstückes bzw. Bauphase Berücksichtigung finden. Die in diesem Abschnitt beschriebenen Maßnahmen dienen dem Schutz von Informationssystemen mittels baulichen und infrastrukturellen Vorkehrungen. Serverräume. Welche davon in einem konkreten Fall zum Einsatz kommen.. Lüftungsschächten etc. Dabei sind verschiedene Schutzebenen zu betrachten. Datenträgerarchiv. ist abhängig von Größe und Schutzbedarf der Organisation. Türen.

an dem ein Gebäude angemietet werden oder entstehen soll. 9. Bei Überbauten von U-. In der Nähe von Kraftwerken oder Fabriken kann durch Unfälle oder Betriebsstörungen (Explosion. Eisenbahn.unter Umständen auch die Durchführung eines Anschlages erleichtern..da diese Verkehrswege auch potentielle Fluchtwege darstellen können . S. In der Nähe von Sendeeinrichtungen kann es zu Störungen der IT kommen. können durch Unfälle beschädigt werden. 9. möglicherweise zur Anwendung kommende Normen geben und ein detailliertes Einarbeiten in die Materie erleichtern.1. Vor. Austritt schädlicher Stoffe) die Verfügbarkeit des Gebäudes (z. Dabei handelt es sich nicht um eine vollständige Aufzählung aller für einen Bereich relevanten Normen und auch nicht um verbindliche Einsatzempfehlungen.B. durch Evakuierung oder großräumige Absperrung) beeinträchtigt werden.oder Eisenbahnen kann es zu Störungen von Datenleitungen und CRT-Bildschirmen kommen. Streunende Haustiere können Fehlalarme von Bewegungsmeldern verursachen und Personen gefährden. Gebäude..1 Geeignete Standortauswahl ISO Bezug: 27002 Bei der Planung des Standortes. die direkt an Hauptverkehrstrassen (Autobahn. empfiehlt es sich. die angeführten Beispiele sollen lediglich einen Hinweis auf existierende.Wo sinnvoll bzw. zu berücksichtigen: • • • • • • • In Zusammenhang mit Schwächen in der Bausubstanz kann es durch Erschütterungen naher Verkehrswege (Straße.1 Bauliche und infrastrukturelle Maßnahmen 9.2 Anordnung schützenswerter Gebäudeteile 208 . für Gebäude in Einflugschneisen von Flughäfen besteht Gefahr durch einen eventuellen Flugzeugabsturz. . Bahn. Bundesstraße.und Nachteile sind entsprechend abzuwägen. die Einfluss auf die Iinformationssicherheit haben.) liegen. neben den üblichen Aspekten wie Raumbedarf und Kosten auch Umfeldgegebenheiten. hilfreich werden in den nachfolgenden Maßnahmenbeschreibungen Normen beispielhaft herausgegriffen und angeführt. Die Nähe zu optimalen Verkehrswegen wird in vielen Fällen als Vorteil angesehen werden. UBahn) zu Beeinträchtigungen der IT kommen.1. In der Nähe von Gewässern und in Niederungen ist mit Hochwasser zu rechnen. kann aber .

Sicherung von Kellerlichtschächten. ausschließlich der betreffenden Organisation gehörigen Liegenschaft). Dazu gehören: • • • Sicherungen bei einstiegsgefährdeten Türen oder Fenstern. Optimal ist es. Als Faustregel kann man sagen. Schranken und Fahrzeugsperren Kameraüberwachung und Bewegungsmelder 9.zu öffentlichen Verkehrsflächen hin . Räume im Erdgeschoss .sind durch Anschlag.Schützenswerte Räume oder Gebäudeteile sollten nicht in exponierten oder besonders gefährdeten Bereichen untergebracht sein.1. Räume unterhalb von Flachdächern sind durch eindringendes Regenwasser gefährdet. Besteht die Möglichkeit. dass schutzbedürftige Räume oder Bereiche im Zentrum eines Gebäudes besser untergebracht sind als in dessen Außenbereichen. so können zusätzliche bauliche und technische Sicherheitsmaßnahmen getroffen werden ("Perimeterschutz". Dazu zählen etwa: • • • Zäune und Mauern Tore. Insbesondere ist zu beachten: • • • • Kellerräume sind durch Wasser gefährdet. auch das Umfeld des Gebäudes in das Sicherheitskonzept einzubeziehen (etwa bei einer eigenen.3 Einbruchsschutz ISO Bezug: 27002 Die gängigen Maßnahmen zum Einbruchsschutz sollten den örtlichen Gegebenheiten entsprechend angepasst werden. besondere Schließzylinder. "Freilandschutz"). 209 . Zusatzschlösser und Riegel. Räume im Erdgeschoss mit schlecht einsehbaren Höfen sind durch Einbruch und Sabotage gefährdet. Vandalismus und höhere Gewalt (Verkehrsunfälle in Gebäudenähe) gefährdet. diese Aspekte schon in die Bauplanung für ein neues Gebäude oder in die Raumbelegungsplanung bei Einzug in ein bestehendes einzubeziehen.

. Rechnerräume.1. Räume mit Peripheriegeräten (Drucker. Gebäude. . So verhindert beispielsweise eine getrennte Lagerung von Ersatzteilen für IT-Systeme und Datenträgern den unerlaubten Zugriff von Wartungstechnikerinnen/Wartungstechnikern auf die Datenträger. sollte auch beim IT-Einsatz der Grundsatz der Funktionstrennung berücksichtigt werden. Verschluss von Personen.• • • Verschluss von nichtbenutzten Nebeneingängen.). Solche Zeitabhängigkeiten können etwa sein: Zutritt nur während der Arbeitszeit oder befristeter Zutritt bis zu einem fixierten Datum. Rechenzentren und sicherheitssensiblen Geräten zählt zu den wichtigsten physischen Schutzmaßnahmen.und Lastenaufzügen außerhalb der Dienstzeit. In Anhang A sind relevante ÖNORMEN zum Einbruchsschutz angeführt. Generelle Festlegung der Zutrittskontrollpolitik: Hier wird grundsätzlich festgelegt. Dokumentation der Vergabe und Rücknahme von Zutrittsberechtigungen Definition von Zeitabhängigkeiten: Es ist zu klären. einbruchgesicherte Notausgänge. Archive. organisatorische und personelle Maßnahmen. Das Zutrittskontrollkonzept legt die generellen Richtlinien für den Perimeter-. ob zeitliche Beschränkungen der Zutrittsrechte erforderlich sind. welche Maßnahmen zum Einbruchsschutz beachtet werden müssen. Um die Zahl der zutrittsberechtigten Personen zu einem Raum möglichst gering zu halten. Fachabteilungsmitarbeiter/innen.) Zutritt zu welchen Bereichen benötigen. Kommunikationseinrichtungen und die Haustechnik sein. Kundinnen/ Kunden. Gebäude. Ein Zutrittskontrollsystem vereinigt verschiedene bauliche. Operator.und Geräteschutz fest. Bestimmung einer/eines Verantwortlichen für Zutrittskontrolle: Diese/r vergibt die Zutrittsberechtigungen an die einzelnen Personen entsprechend den in der Sicherheitspolitik festgelegten Grundsätzen. Dazu gehören: • • • • • Festlegung der Sicherheitszonen: Zu schützende Bereiche können etwa Grundstücke. 210 . 9. welche Personengruppen (etwa RZMitarbeiter/innen. Die einzelnen Bereiche können unterschiedliche Sicherheitsstufen aufweisen. Den Mitarbeiterinnen/Mitarbeitern ist durch Regelungen bekannt zu geben.4 Zutrittskontrolle Die Überwachung des Zutritts zu Gebäuden.. Angehörige von Lieferfirmen etc.

. den laufenden Betrieb. Karten oder biometrische Methoden erfolgen soll. sowie welche Aktionen bei versuchtem unerlaubten Zutritt zu setzen sind. Weiters sind folgende Fragen zu klären: • • • • Sind beim Betreten und/oder Verlassen eines geschützten Bereiches Vereinzelungsmechanismen (Drehtüren. Polizei) ausgelöst. Eine solche Maßnahme bietet Schutz gegen jemanden.und Authentisierungssysteme wie Zugangscodes (Passwörter. Festlegung der Beweissicherung: Hier ist zu bestimmen.) und bei Austritt einer Mitarbeiterin bzw..und Abgänge. Dabei bedarf es einer sorgfältigen Abwägung zwischen den Sicherheitsinteressen des Systembetreibers und den Schutzinteressen der Privatsphäre der/des Einzelnen. wo. Behandlung von Ausnahmesituationen: Es ist u. Voraussetzung für eine Nullsummenprüfung ist die Installation von Vereinzelungsmechanismen) erforderlich ? Ist das Auslösen eines "stillen Alarms" vorzusehen? Durch Eingabe einer vereinbarten Kennung. der den Zugang zu geschützten Bereichen gewaltsam erzwingen will.Nullsummenprüfung: Feststellung der Anzahl der im geschützten Bereich befindlichen Personen durch Vergleich der Zu.. etwa einer zusätzlichen Ziffer zur üblichen PIN. um Warteschlangen auch zu Stoßzeiten (Arbeitsbeginn.• • • • Festlegung der Zutrittskontrollmedien: Es ist festzulegen.) notwendig? Welche Maßnahmen sind bei unautorisierten Zutrittsversuchen zu setzen? Ist eine Nullsummenprüfung (Anmerkung .. die Wartung und die regelmäßige Revision des Zutrittskontrollsystems in vertretbarer Relation zum möglichen Sicherheitsrisiko? Ist die Kapazität des Zutrittskontrollsystems der Größe der Organisation angepasst? Insbesondere ist eine ausreichende Zahl von Kontrollstellen und eventuellen Vereinzelungsmechanismen vorzusehen. Schleusen. ob die Identifikation bzw. sicherzustellen. Karte. wird ein Alarm an einer entfernten Überwachungsstelle (Portier.. eines Mitarbeiters. PINs).) zu vermeiden. • • • 211 . . Sperrmöglichkeiten bei Verlust oder Duplizierung des Zutrittskontrollmediums (Schlüssel. zu welchen Zeiten und unter welchen Randbedingungen eine Rechteprüfung erfolgen muss.. dass im Brandfall die Mitarbeiter/innen schnellstmöglich die gefährdeten Zonen verlassen können. die Authentisierung durch Überwachungspersonal (persönlich oder mittels Überwachungskameras) oder durch automatische Identifikations. . . welche Daten bei Zutritt zu und Verlassen von einem geschützten Bereich protokolliert werden. Stehen die Kosten für die Installation.a. Festlegung der Rechteprüfung: Im Zutrittskontrollkonzept ist festzulegen.

dass auch grundsätzlich sicherheitsbewusste Mitarbeiter bereit sind. Reserveschlüssel sind vorzuhalten und gesichert aufzubewahren. Es sind Vorkehrungen zu treffen. 212 . Überarbeitungen werden jedoch notwendig.2 Musteranwendung MA002 Zutrittskontrollsysteme). Kostenerstattung. Mängel im Zutrittskontrollsystem (häufige Fehlalarme. bei • • • Feststellung von Sicherheitsmängeln Erweiterungen des sicherheitsrelevanten Bereiches schlechter Benutzerakzeptanz: Die Akzeptanz durch die Benutzer ist ein entscheidendes Kriterium. so sind für schutzbedürftige Bereiche eigene Schließgruppen zu bilden. Anhang C. Wartezeiten. wie bei Verlust einzelner Schlüssel zu reagieren ist (Meldung. überflüssige bürokratische Abläufe) können dazu führen. Bei Zuständigkeitsänderungen von Mitarbeiterinnen/Mitarbeitern sind deren Schließberechtigungen zu prüfen und Schlüssel gegebenenfalls einzuziehen. Ersatz. den Anwender hilfreich sein kann. Zu beachten ist: • • • • • • Ist eine Schließanlage vorhanden.Das Zutrittskontrollkonzept sollte bereits vor der Systemauswahl so detailliert wie möglich feststehen und weitgehend stabil bleiben. die die Meldung beim Datenverarbeitungsregister erleichtert und daher für die Anwenderin bzw. Die Ausgabe der Schlüssel erfolgt gegen Quittung und ist zu dokumentieren.). Aufbewahrung. Die Herstellung. ggf. Mit der Standard. einzelne Räume aus der Schließgruppe herauszunehmen und mit Einzelschließung zu versehen.und Muster-Verordnung 2000 wurde eine neue Musteranwendung "MA002 Zutrittskontrollsysteme" geschaffen (s. Nicht ausgegebene Schlüssel und die Reserveschlüssel sind gegen unbefugten Zugriff geschützt aufzubewahren. 9. Austausch von Schließgruppen etc. zu restriktive Handhabung. Verwaltung und Ausgabe von Schlüsseln ist zentral zu regeln.5 Verwaltung von Zutrittskontrollmedien ISO Bezug: 27002 Für alle Schlüssel eines Gebäudes ist ein Schließplan zu fertigen. Austausch des Schlosses. die Regeln zu verletzen. Beim Ausscheiden von MitarbeiterinnenMitarbeitern sind alle Schlüssel einzuziehen (Aufnahme der Schlüsselverwaltung in den Laufzettel). Ausfälle.1.

dass bei der Durchführung des Portierdienstes einige Grundprinzipien beachtet werden.7 Einrichtung einer Postübernahmestelle 213 .• • Schlösser und Schlüssel zu besonders schutzbedürftigen Bereichen (zu denen nur sehr wenige Schlüssel ausgegeben werden sollten) können bei Bedarf getauscht werden. so genannte Multifunktionschipkarten. sicherheitsrelevanten Bereich. um so illegal nachgefertigten Schlüsseln die Funktion zu nehmen.oder Geschäftsschluss.1.B. Das Gleiche gilt sinngemäß auch für alle anderen Zutrittskontrollmedien wie Magnetstreifen. ist auch der Portier zu unterrichten. in dem der Zutritt von Fremdpersonen zum Gebäude dokumentiert werden kann. ab wann dieser Mitarbeiterin bzw.6 Portierdienst ISO Bezug: 27002 Die Einrichtung eines Portierdienstes hat weit reichende positive Auswirkungen gegen eine ganze Reihe von Gefährdungen. welche Aufgaben dem Portier im Zusammenspiel mit weiteren Schutzmaßnahmen zukommen (z. Unbekannte Personen haben sich beim Portier zu legitimieren.oder Chipkarten. Der Portier hält vor Einlassgewährung einer Besucherin bzw. diesem Mitarbeiter der Einlass zu verwehren ist. sowie die Ausgabe von Besucherausweisen oder Besucherbegleitscheinen zu erwägen. Die Besucherin bzw. Dem Portier müssen die Mitarbeiter/innen bekannt sein. 9. der Besucher wird zu der/dem Besuchten begleitet oder am Eingang abgeholt. Scharfschaltung der Alarmanlage. kontrolliert alle Personenbewegungen am Eingang zum Gebäude bzw. eines Besuchers bei der/dem Besuchten Rückfrage. Gebäudesicherung nach Dienst. 9. Abhängig von der Sensibilität des Bereiches sind die Führung eines Besucherbuches. Scheidet ein/ e Mitarbeiter/in aus.1. Kontrolle der Außentüren und Fenster). Voraussetzung ist allerdings. die die Anfertigung eines Schlüssels nur unter Vorliegen definierter Bedingungen (etwa schriftliche Zustimmung einer/eines Verantwortlichen) erlauben. bzw. • • • • • • Der Portier beobachtet bzw. Die Aufgabenbeschreibung muss verbindlich festschreiben. Abhängig von der Sensibilität des zu schützenden Bereiches können auch gesperrte Schließsysteme zum Einsatz kommen.

9.1. Videoüberwachung. Solche Regeln können etwa sein: • • • • Pakete. Schutz durch Bewachungsunternehmen äußere Zutrittskontrollmechanismen z.) bei der/dem Empfänger/in rückzufragen.ISO Bezug: 27002 Die Übernahme von Briefen und Paketen sollte durch eine zentrale Stelle unter Beachtung von für die betreffende Organisation adäquaten Sicherheitsregeln erfolgen. dass der Perimeterschutz in ein stimmiges Gesamtschutzkonzept eingebettet ist. des Grundstückes können folgende Vorkehrungen sinnvoll sein: • • • Einfriedung des Grundstückes z. Personen. Portier.bzw. Je nach Art und Topologie der Infrastruktur bzw. gebracht werden. sind nicht zu übernehmen. vom Dienst habenden Mitarbeiter (z. von einer Privatperson gebracht werden. Operator. 214 .8 Perimeterschutz ISO Bezug: 27002 Sofern es die Gegebenheiten und die Infrastruktur es zulassen sollten bereits auf dem Grundstück der Organisation zusätzliche Sicherheitseinrichtungen installiert werden. Pakete. geeignete Beleuchtung.B.und/oder Fahrzeugschleusen Entscheidend ist.B.B.B. Schutzmauer Freiland Sicherungsmaßnahmen z. ob eine Sendung erwartet wird. Wird außerhalb der Amts. Detektionssensorik. Ist dies nicht der Fall oder ist die/ der Empfänger/in nicht erreichbar. Bürostunden ein Brief oder ein Paket abgegeben. entsprechende Geländegestaltung. so ist von der Dienst habenden Mitarbeiterin bzw. Zaunanlage. die von einem Botendienst o.ä.. in dem die Verhältnismäßigkeiten der einzelnen Schutzmaßnahmen aufeinander abgestimmt sind.oder Botendienst bzw. so ist die Sendung nicht anzunehmen. Für größere Organisationseinheiten ist die Beschaffung von Geräten zum Durchleuchten von Postsendungen zu erwägen. um äußeren Gefährdungen entgegenzuwirken. . dürfen erst nach Rücksprache mit der/dem namentlich angeführten Empfänger/in oder einer/ einem berechtigten Vertreter/in übernommen werden.. die ohne namentlich angeführten Empfänger/in an die Organisation adressiert sind und von einem Paket.

wie sie zum Beispiel in den Publikationen des Verbands der Schadensversicherer (VdS) in Deutschland zu finden sind.9. (Adresse siehe Anhang D) 9. die ins Gebäude eingebracht werden. Es ist empfehlenswert. IT-Geräte und Leitungen stellen ebenso eine Brandlast dar wie Möbel. die die Entstehung und Ausbreitung von Bränden verhindern und die Bekämpfung von Bränden gewährleisten. Fußbodenbeläge. die allgemeinen und speziellen Bestimmungen des Arbeitnehmerschutzes und die Arbeitsstättenverordnung bei der Errichtung und beim Betrieb zu beachten. Grundsätzlich ist davon auszugehen. Ebenso ist es notwendig.1 Einhaltung von Brandschutzvorschriften und Auflagen Die gesetzlichen Brandschutzvorschriften und die Auflagen der zuständigen Baubehörde sowie der örtlichen Feuerwehr sind unbedingt einzuhalten. um das Risiko einer Brandentstehung zu minimieren.2. Gardinen und dergleichen. dass die Arbeitgeber/innen und Arbeitnehmer/ innen alle Maßnahmen zu ergreifen haben. Brandverhütungsstellen und/oder Brandschutzexpertinnen/Brandschutzexperten können und sollen bei der Brandschutzplanung hinzugezogen werden.2. insbesondere • • Bundes-Bedienstetenschutzgesetz ArbeitnehmerInnenschutzgesetz und die dazu ergangenen Verordnungen.2 Brandschutz Brandschutz stellt die Gesamtheit aller Maßnahmen dar. Sie ist von der Menge und vom Heizwert der Stoffe abhängig.2 Raumbelegung unter Berücksichtigung von Brandlasten Eine Brandlast entsteht durch alle brennbaren Stoffe. 9. In Anhang A sind eine Reihe von wichtigen Normen zum Thema Brandschutz angeführt. weitere Hinweise zum Brandschutz zu beachten. 215 .

Ersatz leicht entzündlicher Arbeitsstoffe) als auch organisatorischer Natur sein. Um die Nachinstallation zu erleichtern.3 Organisation Brandschutz Brandschutz umfasst sowohl präventive Maßnahmen. 216 . Sie ist allen Bediensteten jährlich einmal nachweislich zur Kenntnis zu bringen. keine Verwendung von Heizstrahlern. Die Durchbrüche sind nach Verlegung der Leitungen entsprechend dem Brandwiderstandswert der Wand bzw. Ausschalten von Kaffeemaschinen bei Dienstende. als auch Maßnahmen zur Brandbekämpfung und Evakuierung.B.2.. So sollte etwa das Datenträgerarchiv nicht in der Nähe von oder über einem Papierlager oder Räumen mit erhöhter Brandlast untergebracht sein.4 Brandabschottung von Trassen Bei Gebäuden mit mehreren Brandabschnitten lässt es sich kaum vermeiden. Maßnahmen zur Brandbekämpfung und Evakuierung beinhalten u. können geeignete Materialien verwendet werden.) sowie die Erstellung einer Brandschutzordnung.. Organisatorische Maßnahmen umfassen personenbezogene Unterweisungen (keine Zigaretten in den Papierkorb. dass Trassen durch Brandwände und Decken führen. sollte eine vorherige Beachtung der vorhandenen Brandlasten im gleichen Raum und in den benachbarten Räumen erfolgen. Datenträgern etc. die die Möglichkeit einer Brandentstehung minimieren sollen. Die Brandschutzordnung ist im Falle von erhöhtem Brandschutz zu erstellen und umfasst die zur Brandverhütung erforderlichen technischen und organisatorischen Vorkehrungen und Maßnahmen.a. • • • • Bestellung von Brandschutzbeauftragten Unterweisung der Arbeitnehmer/innen über die Verwendung der Feuerlöscheinrichtungen Ausarbeitung eines Evakuierungsplanes regelmäßige Brandschutzübungen 9.2. Präventive Maßnahmen können sowohl technischer (z. siehe Anhang A ) sind dabei zu beachten. 9. Decke zu schotten (wieder zu verschließen). Entsprechende Richtlinien und Normen (etwa ÖNORM B 3836 und B 3850 . .Bei der Unterbringung von IT-Geräten.

den Arbeitnehmerschutzvorschriften und in den behördlichen Vorschreibungen und Genehmigungen ihren Niederschlag. welche hinsichtlich ihrer Brandwiderstandsdauer der ÖNORM B 3850 entsprechen müssen.1 Einhaltung von Brandschutzvorschriften und Auflagen) besonders bei schutzbedürftigen Räumen wie Serverraum.5 Verwendung von Brandschutztüren und Sicherheitstüren Brandschutztüren sind Brandschutzabschlüsse. bei Leitungs. in den jeweiligen Bauordnungen der Länder. Brandschutztüren auf Verkehrswegen sind bei Vorhandensein einer Brandmeldeanlage an diese anzuschließen. die einen Durchbruch durch einen Brandabschnitt über eine bestimmte Zeitdauer gegen Durchtritt eines Brandes abdichten (z. Wichtige ÖNORMEN dazu werden in Anhang A angeführt. 217 .Brandabschottungen sind bautechnische Maßnahmen.a. Sicherheitstüren.B. Im Regelfall ist bei der Bildung eines Brandabschnittes bezüglich der Tür eine geringere Brandwiderstandsklasse gefordert als bei der Brandwand (meistens F90 für Wände und T30 für Türen). Beleg. bei Keller.oder Kabeldurchführungen). wie z. Brandschutzkissen oder Spachtelmassen am Markt. 9. Der Einsatz von Sicherheitstüren ist über den von der Feuerwehr vorgeschriebenen Bereich hinaus (vgl. Wichtig ist neben einer Zulassung des Systems auch eine genaue Einhaltung der Verarbeitungsanleitungen. Die Nichtabschottung von nachträglichen Verkabelungen ist ein immer wieder anzutreffender Schwachpunkt von baulichem Brandschutz. 9.B.B. Die angeführten Themenbereiche finden u.oder Datenträgerarchiv vorzusehen. Brandschutztüren verzögern die Ausbreitung eines Brandes. Brandschutzziegel. bieten gegenüber normalen Bürotüren Vorteile: • • Sicherheitstüren (einbruchhemmende Türen) bieten auf Grund ihrer Stabilität einen höheren Schutz gegen Einbruch (z. Es sind hier verschiedene Systeme wie z. Ansonsten sollten bei solchen Türen Feststellanlagen mit oder ohne eigene Branderkennung (Brandmelder) installiert werden. um ein Aufkeilen zu verhindern.B.und Lieferanteneingängen).2. Bei der Trassenplanung sollte die für den Brandschutz verantwortliche Person hinzugezogen werden.2. Stahlblechtüren.

Derartige Brandmeldeanlagen können mit einer TUS-Leitung (Tonfrequentes Übertragungssystem) direkt mit der Feuerwehr verbunden sein oder intern auf einer kompetenten. besonders gefährdeten Bereiches oder eines gesamten Gebäudes. eingesetzt werden.Es ist dafür zu sorgen.2. Dieser Stromfluss wird durch Ionisation der Luft in der Messkammer erzeugt. dass Brand. in die Kammer ein. der im Alarmfall aktiviert wird. Derartige Anlagen werden von der Behörde vorgeschrieben und sind nach der TRVB S 123 (Brandmeldeanlagen) und TRVB S 114 (Anschaltebedingungen von Brandmeldeanlagen an öffentliche Feuerwehren) zu errichten. 218 . bzw.B. Sie sind jährlich durch eine Wartungsfirma und alle 2 Jahre durch eine autorisierte Prüfstelle zu überprüfen.2.und Rauchschutztüren auch tatsächlich geschlossen und nicht (unzulässigerweise) z.6 Brandmeldeanlagen Brandmeldeanlagen (BMA) dienen zur Überwachung eines bestimmten. ständig besetzten Stelle auflaufen. gelangen während der Überprüfungszeit eine oder mehrere weitere Meldungen zur Brandmeldeanlage. Wird diese Brandmeldung in der vorgesehenen Zeit nicht quittiert. welche Träger der ionisierten Luftmoleküle sind. durch Keile offen gehalten werden. Entsprechend den Anschlussbedingungen müssen künftig alle neuen Brandmeldeanlagen über eine Interventionsschaltung verfügen. welche an einer Brandmeldeanlage hängen oder als Einzelmelder fungieren.7 Brandmelder Brandmelder dienen zur Früherkennung von Brandgefahren und werden in automatische und nichtautomatische Melder unterschieden. 9. was bedeutet. ändert sich der Stromfluss. je nach Größe des Überwachungsbereiches. dass nach dem ersten Brandalarm 3 bis 6 Minuten Zeit verbleiben um die Meldung zu überprüfen. Bei automatischen Brandmeldern unterscheidet man: Ionisationsrauchmelder Bei Ionisationsrauchmeldern erfolgt die Branderkennung durch die Änderung des Stromflusses in der Ionisationskammer. werden diese sofort an die Feuerwehr weitergeleitet. bis spätestens 2010 umgebaut werden und eine Interventionsschaltung aufweisen. Bereits in Betrieb befindliche Brandmeldeanlagen mit einem TUS-Anschluss müssen. Alternativ können Türen mit einem automatischen Schließmechanismus und Anschluss an die Brandmeldeanlage. Dringen nun Rauchpartikel. 9.

2.oder Differentialmelder) Als Kriterium wird entweder eine definierte Maximaltemperatur bzw. wenn entsprechende Handfeuerlöscher in der jeweils geeigneten Brandklasse ( ÖNORM EN 2:1993 02 01 ) in ausreichender Zahl und Größe im Gebäude zur Verfügung stehen. Besonders in Büros findet das Feuer reichlich Nahrung und kann sich sehr schnell ausbreiten. ein Temperaturanstieg herangezogen. Teeküchen . Raum mit technischer Infrastruktur oder Belegarchiv anzustreben. Diese Sofortbekämpfung ist nur möglich. Der Sofortbekämpfung von Bränden kommt also ein sehr hoher Stellenwert zu. Sie können auch bei starken Luftbewegungen eingesetzt werden und haben eine große Überwachungsfläche. Nichtautomatische Brandmelder: Druckknopfmelder Durch Drücken des Melders wird die Brandmeldung über die Brandmeldeanlage direkt . Dabei ist die räumliche Nähe zu schützenswerten Bereichen und Räumen wie Serverraum.an die Feuerwehr weitergeleitet.Streulichtmelder Die Erkennungsgröße ist bei diesem Melder die Streuung eines definierten Lichtstrahles durch eindringenden Rauch. Wärmemelder (Maximal.ohne Verzögerung . Flammenmelder Bei Flammenmeldern erfolgt die Branderkennung durch die von Bränden ausgehende Strahlung.B.8 Handfeuerlöscher (Mittel der Ersten und Erweiterten Löschhilfe) Die meisten Brände entstehen aus kleinen. 219 . Bei der Auswahl der Brandmelder sind folgende Kriterien zu beachten • • • • • • Art des Brandverlaufes Rauchentwicklung Rascher Temperaturanstieg Täuschungsanfälligkeit (z. anfangs noch gut beherrschbaren Brandherden.Aerosolbildung) Raumhöhen Überwachungsflächen 9.

Bei der Auslegung der Anlage (Löschwasserleistung. 9. Die Auslösung der Anlage erfolgt durch thermische Zerstörung der Sprinklerkopfabschlüsse (im Normalfall alkoholgefüllte Glasviolen). sollten Kohlendioxyd-Löscher (Brandklasse B) zur Verfügung stehen.2. Die Beschäftigten haben sich über die Standorte der nächsten Feuerlöscher zu informieren. um Entstehungsbrände effizient zu bekämpfen bzw. (ehemals) Halonlöschanlagen 220 . Die Feuerlöscher müssen so angebracht werden. Bei der Planung ist neben der brandschutztechnisch richtigen Auslegung die erstickende Wirkung des CO2 als wesentlicher Faktor zu berücksichtigen. Dadurch wird der Austritt von Wasser durch den Sprinklerkopf freigegeben. eine Ausbreitung zu unterbinden. Die Auslösung des Löschmittels muss händisch unterbrechbar sein. CO2-Löschanlagen CO2-Löschanlagen sind Gaslöschanlagen mit dem Löschmittel CO2.9 Löschanlagen Löschanlagen der verschiedensten Ausführungen sind meistens mit einer Brandmeldeanlage gekoppelt und werden im Bedarfsfall von dieser selbständig ausgelöst. dass sie im Brandfall leicht erreichbar sind. Die Einleitung des CO2 darf erst nach ausreichender Verzögerung zum Zwecke des Verlassens des Bereiches erfolgen. für elektronisch gesteuerte Geräte. z.Pulverlöscher mit Eignung für Brandklasse E bis 1000 V sind für elektrisch betriebene Peripheriegeräte geeignet. Sprinkleranlagen Sprinkleranlagen sind automatisch wirkende Löschanlagen mit dem Löschmittel Wasser.B. Rechner. Wirkfläche und Löschwasserbevorratung) ist die Brandbelastung des jeweils betroffenen Bereiches zu berücksichtigen. Es muss daher nach Branderkennung eine sofortige Alarmierung der betroffenen Personen und eine Schließung des Flutungsbereiches erfolgen. Dabei ist zu beachten: • • • • Die Feuerlöscher müssen regelmäßig geprüft und gewartet werden. Diese werden meistens von der Behörde bei Vorlage einer erhöhten Brandgefährdung vorgeschrieben. Bei entsprechenden Brandschutzübungen sind die Mitarbeiter/innen in der Handhabung der Handfeuerlöscher zu unterweisen.

11 Rauchverbot In Räumen mit IT oder Datenträgern (Serverraum. Brandabschnittstüren werden durch Keile offen gehalten.2. z. dass im täglichen Betrieb die Vorschriften und Regelungen zum Brandschutz immer nachlässiger gehandhabt werden . in denen Brände oder Verschmutzungen zu hohen Schäden führen können. Vorgefundene Missstände müssen dazu Anlass geben. welche ähnlich wie Sprinkleranlagen funktionieren. Im Wiederholungsfall oder bei besonders eklatanten Verstößen gegen die Brandschutzvorschriften sind auch entsprechende Sanktionen vorzusehen. 9. Brandabschottungen werden bei Arbeiten beschädigt und nicht ordnungsgemäß wiederhergerichtet.erfolgen.2. die Zustände und deren Ursachen unverzüglich zu beheben. 9.2. Die Einhaltung des Rauchverbotes ist zu kontrollieren.Seit 2004 gilt in der EU ein Verbot von Halon betriebenen Löschgeräten (FCKW. Einige Beispiele dazu: • • • • Fluchtwege werden blockiert. sollte ein Rauchverbot erlassen werden. welches die Ozonschicht zerstört) . Datenträgerarchiv.bis zweimal im Jahr Brandschutzbegehungen angekündigt oder unangekündigt .12 Rauchschutzvorkehrungen 221 .B. Als Ersatz werden natürliche oder chemische Löschmittel sowie prinkleranlagen verwendet. Dieses Rauchverbot dient gleicherweise dem vorbeugenden Brandschutz wie der Betriebssicherheit von IT mit mechanischen Funktionseinheiten. 9.oft bis hin zur völligen Ignoranz.10 Brandschutzbegehungen Die Erfahrungen zeigen. aber auch Belegarchiv). Zulässige Brandlasten werden durch anwachsende Kabelmengen oder geänderte Nutzungen überschritten. durch Möbel und Papiervorräte. Schaumlöschanlagen Schaumlöschanlagen sind Löschanlagen mit dem Löschmittel Schaum. Aus diesem Grund sollten ein.

für die eine Elektroinstallation ausgelegt wurde. durch deren Abwärme. die ggf. 222 . Mit Betätigung des Not-AusSchalters wird dem Brand eine wesentliche Energiequelle genommen. erforderlich werden. Andernfalls kann die Neuinstallation von Einspeisung.2 Not-Aus-Schalter Bei Räumen. ist die Installation eines Not-Aus-Schalters nach Möglichkeit vorzusehen. 9. Verteilern etc. Klimaanlage. In diesem Sinne ist zu gewährleisten. stimmen erfahrungsgemäß nach einiger Zeit nicht mehr mit den tatsächlichen Gegebenheiten überein. was bei kleinen Bränden zu deren Verlöschen führen kann.B.2 Brandschutz ) Rauchschutztüren verwendet werden. 9.und Klimaanlage selbsttätig auf Rauchentwicklung reagieren 9. Es ist also unerlässlich. Leitungen. Maßnahmen gegen elektrische und elektromagnetische Risiken 9. durch hohe Gerätedichte oder durch Vorhandensein zusätzlicher Brandlasten ein erhöhtes Brandrisiko besteht.Im Brandfall geht von der damit verbundenen Rauchentwicklung sowohl für Mensch als auch für IT-Gerätschaften eine erhebliche Gefahr aus.1 Angepasste Aufteilung der Stromkreise Die Raumbelegung und die Anschlusswerte. dass z. in denen elektrische Geräte in der Weise betrieben werden.3. Zumindest ist aber die Gefahr durch elektrische Spannungen beim Löschen des Feuers beseitigt. dass • • • • rauchdichte Brandschutztüren verwendet werden (vgl. Das kann durch Umrangierung von Leitungen geschehen.) die Elektroinstallation zu prüfen und ggf. Beleuchtung etc. anzupassen.3. bei Rauchentwicklung selbsttätig geschlossen werden und die Rauchausbreitung verhindern Lüftungsanlage eine Ablüftung von Rauch vornehmen kann Lüftungs. Ein umfassender Rauchschutz ist daher vorzusehen. bei Änderungen der Raumnutzung und bei Änderungen und Ergänzungen der technischen Ausrüstung (IT.3 Stromversorgung.

dass dieser Not-Aus-Schalter auch unnotwendigerweise versehentlich oder absichtlich betätigt werden kann. Diese wird in der Regel als Diesel-Notstrom-Aggregat realisiert. beim Stromausfall ein großes Datenvolumen verloren gehen würde und nachträglich nochmals erfasst werden müsste.dies kann sowohl für die Versorgung von IT-Anlagen als auch der Infrastruktur gelten .3 Zentrale Notstromversorgung In Bereichen.B.Zu beachten ist. Zwei Arten der USV sind zu unterscheiden: Off-Line-USV: Hierbei werden die angeschlossenen Verbraucher im Normalfall direkt aus dem Stromversorgungsnetz gespeist. 9. bevor sie auf nichtflüchtige Speicher ausgelagert werden. kann die Notstromversorgung auch in Form einer zweiten Energieeinspeisung aus dem Netz eines zweiten Energieversorgungsunternehmens (EVU) realisiert werden.3. mit Lagehinweis außen an der Tür) oder außerhalb des Raumes neben der Tür angebracht werden. dass lokale unterbrechungsfreie Stromversorgungen (USV) nach Ausschalten der externen Stromversorgung die Stromversorgung selbsttätig übernehmen und die angeschlossenen Geräte unter Spannung bleiben. Erst wenn dieses ausfällt. Dabei ist allerdings zu bedenken. In einzelnen Fällen. schaltet sich die USV selbsttätig zu und übernimmt die Versorgung.4 Lokale unterbrechungsfreie Stromversorgung). dass auch die USV abgeschaltet und nicht nur von der externen Stromversorgung getrennt wird (siehe auch 9.3.ist eine zentrale Notstromversorgung vorzusehen. dass ein geordnetes Herunterfahren angeschlossener Rechner möglich ist. Der Not-Aus-Schalter sollte innerhalb des Raumes neben der Eingangstür (evtl. 9. in denen die Stromversorgung bei Ausfällen des öffentlichen Netzes über einen längeren Zeitraum aufrechtzuerhalten ist . Dies ist insbesondere dann sinnvoll. wo die Verfügbarkeitsanforderungen es zulassen. 223 .4 Lokale unterbrechungsfreie Stromversorgung Mit einer unterbrechungsfreien Stromversorgung (USV) kann ein kurzzeitiger Stromausfall überbrückt werden oder die Stromversorgung solange aufrechterhalten werden.3. • • • • wenn im Rechner umfangreiche Daten zwischengespeichert werden (z. Daher ist bei der Installation eines Not-Aus-Schalters zu beachten. wenn die Stabilität der Stromversorgung nicht ausreichend gewährleistet ist. Cache-Speicher im Netz-Server).

B. ein rechtzeitiges automatisches Herunterfahren (Shut-down) einleiten können. ist eine regelmäßige Wartung der USV vorzusehen. Überspannungen zu glätten. so dass nach Abwarten dieser Zeitspanne noch 5 Minuten übrig bleiben. Im Falle von Veränderungen ist zu überprüfen. 10 bis 15 Minuten ausgehen. um die angeschlossene IT geordnet herunterfahren zu können. durch Anschluss an eine zentrale USV).zu warten.5 Blitzschutzeinrichtungen (Äußerer Blitzschutz) Die direkten Auswirkungen eines Blitzeinschlages auf ein Gebäude (Beschädigung der Bausubstanz. ob die vorgehaltene Kapazität der USV noch ausreichend ist.• On-Line-USV: Hier ist die USV ständig zwischen Netz und Verbraucher geschaltet. Die Mehrzahl aller Stromausfälle ist innerhalb von 5 bis 10 Minuten behoben.3. Für spezielle Anwendungsfälle (z. so stellt dies eine Alternative zur lokalen USV dar. Die gesamte Stromversorgung läuft immer über die USV.ä.) lassen sich durch die Installation einer Blitzschutzanlage verhindern. Die Wirksamkeit der USV ist regelmäßig zu testen. Bei der Dimensionierung einer USV kann man i. Beide USV-Arten können neben der Überbrückung von Totalausfällen der Stromversorgung und Unterspannungen auch dazu dienen. entsprechend dem Zeitbedarf der IT und der Kapazität der USV.3.2 Not-Aus-Schalter zu beachten.B. sollte der Stromausfall länger andauern. In diesem Zusammenhang ist auch 9. Die meisten modernen USV-Geräte bieten Rechnerschnittstellen an. die Stromversorgung unterbrechungsfrei aus einer anderen Quelle zu beziehen (z. Weiters ist zu beachten: • • • Die USV ist regelmäßig . Falls die Möglichkeit besteht. TK-Anlagen) kann die erforderliche Überbrückungszeit auch mehrere Stunden betragen. die nach einer vorher festgelegten Zeit. 224 . von einer üblichen Überbrückungszeit von ca.entsprechend den Angaben des Herstellers . d. R. Dachstuhlbrand u. 9. Um die Schutzwirkung aufrechtzuerhalten.

6 Überspannungsschutz (Innerer Blitzschutz) Je nach Qualität und Ausbau des Versorgungsnetzes des Energieversorgungsunternehmens und des eigenen Stromleitungsnetzes.7 Schutz gegen elektromagnetische Einstrahlung 225 . Dies ist nur durch einen Überspannungsschutz möglich (siehe dazu 9. Bei Nachinstallationen ist darauf zu achten. ob ein äußerer Blitzschutz vorhanden ist oder nicht. 9.Über diesen "Äußeren Blitzschutz" hinaus ist fast zwingend der "Innere Blitzschutz".6 Überspannungsschutz (Innerer Blitzschutz) . dass der Potentialausgleich mitgeführt wird.R.3. Potentialausgleich: Nur wenn alle Schutzeinrichtungen sich auf das gleiche Potential beziehen. Für die Auswahl des Grobschutzes ist es bedeutend. Weiters ist zu beachten: • • Blitz.und Überspannungsschutzeinrichtungen sollten periodisch und nach bekannten Ereignissen geprüft und ggf. Feinschutz: Geräte für den Feinschutz senken Überspannungen so weit herab. um Mikroelektronikgeräte zu stören oder zu zerstören.3. während Überspannungen anderer Ursachen geringer sind. dessen hohe Kosten dem Schutzgut gegenüber gerechtfertigt sein müssen). Der Überspannungsschutz wird in der Regel in drei voneinander abhängigen Stufen aufgebaut: • • • Grobschutz: Geräte für den Grobschutz vermindern Überspannungen. aber trotzdem ausreichen können. ist ein optimaler Schutz möglich. ein recht hohes zerstörerisches Potential. 6000V. Denn der äußere Blitzschutz schützt die elektrischen Betriebsmittel im Gebäude nicht. abhängig vom Umfeld (andere Stromverbraucher) und von der geographischen Lage.d. können durch Induktion oder Blitzschlag Überspannungsspitzen im Stromversorgungsnetz entstehen. Überspannungen durch Blitz haben i. 9. ersetzt werden. Mittelschutz: Der Mittelschutz begrenzt die verbleibende Überspannung auf ca. erforderlich.3. wie sie durch direkten Blitzschlag entstehen. dass sie auch für empfindliche Bauteile mit Halbleiterbauelementen ungefährlich sind. 1500 V und ist auf die Vorschaltung eines Grobschutzes angewiesen. der Überspannungsschutz. und begrenzen sie auf ca.

Anmerkung: Diese Maßnahme behandelt den Schutz gegen Störstrahlung im täglichen Umfeld.bei Monitoren bis zu mehreren hundert Metern . Rundfunk. Maschinen. verarbeitet oder dargestellt wird.aufgefangen und analysiert werden können. In der Nähe befindliche führende Leitungen (Heizkörper. Graphikkarten. . Daher sollten. usw.Die Funktion informationstechnischer Geräte kann durch die elektromagnetische Strahlung benachbarter Einrichtungen beeinträchtigt werden.) können diese Abstrahlung beträchtlich verstärken. so weit baulich. den Verlust der Vertraulichkeit von Daten durch kompromittierende Abstrahlung zu verhindern.3. Als nachträgliche Maßnahmen bleiben etwa: • • die Verwendung von Schutzschränken mit speziellen Filtern und Türdichtungen oder die Abschirmung durch beschichtete Wände. Modems. Schutz gegen einen elektromagnetischen Puls (EMP) als Folge kriegerischer Handlungen gehen über den mittleren Schutzbedarf hinaus und sind daher nicht Gegenstand des vorliegenden Handbuches. Bildschirme. Fax-Geräte und ähnliche Geräte geben elektromagnetische Wellen ab. Anlagen mit starken Elektromotoren. potentiell gefährdete 226 . kann das potentielle Risiko durch kompromittierende Abstrahlung in erheblichem Maße verringern. die entsprechend vertrauliche Daten verarbeiten oder übertragen und bei denen die Gefahr einer kompromittierenden Abstrahlung besteht. So weit möglich. sollten solche Störquellen bereits bei der Planung berücksichtigt bzw.. Mobilfunk-. Hochspannungsleitungen. 9. Drucker. technisch und organisatorisch möglich. LAN-Komponenten. Richtfunkanlagen. Abwehrmaßnahmen Möglichkeiten. die noch in einer Entfernung von mehreren Metern . wo Information elektronisch übertragen. ausgeschaltet werden. sind etwa: • Auswahl des Standortes (innerhalb eines Gebäudes): Bereits eine geeignete Aufstellung von IT-Komponenten.8 Schutz gegen kompromittierende Abstrahlung Überall dort. von denen elektromagnetische Störungen ausgehen können (Schweißgeräte.und Fernsehsender.. ist die Gefahr der kompromittierenden Abstrahlung gegeben. Wasserleitungen.) oder atmosphärische Entladungen. Tastaturen. Mögliche Ursachen für solche Störstrahlungen sind Radarstrahlung.

In diesem Zusammenhang sind die Möglichkeiten von Side-Channel-Attacken (Differential Power Analysis .] Schirmung von Räumen und Gebäuden: Anstelle eines Schutzes auf Geräteebene ist . Eine Raumschirmung schützt im Allgemeinen auch gegen Störstrahlung von außen. Schirmung von Geräten: Diese erfolgt durch die Verwendung spezieller Materialien. Überlagerung der kompromittierenden Abstrahlung: Durch Senden von Stördaten in einer bestimmten Frequenzbreite können die Emissionen der DV-Geräte überlagert werden. Böden und Decken entsprechend abgeschirmt.bei entsprechenden Gegebenheiten . da selbstverständlich Fenster in den Schutz mit einzubeziehen sind.• • • Komponenten in Räumen untergebracht werden.DEMA ) zu berücksichtigen. In beiden Fällen kann mit recht einfachen Maßnahmen das ursprüngliche Signal wiederaufbereitet werden. Es wird auch die Meinung vertreten. Dieses Feld erzeugt auf in unmittelbarer Umgebung des Leiters verlegten Kabeln Spannungen und Ströme. die möglichst weit entfernt von Straßenfronten und Gebäuden mit Fremdfirmen sind. wird am Markt angeboten. aus denen das Signal des ursächlichen Leiters wiedergewonnen werden kann. Geeignete Schutzmaßnahmen sind: 227 . Gerade bei sicherheitsrelevanten Anwendungen (Zugangssystemen.. dass es sich nicht um ein Akronym. [Anmerkung:: Für die Bedeutung des Wortes TEMPEST werden verschiedene Erklärungen genannt. Demnach sind bereits bei der Anschaffung von Geräten jene mit entsprechenden Gegenmaßnahmen zu bevorzugen.auch ein Schutz auf Raum. das mit einem transparenten Metallfilm beschichtet ist.DPA.oder Gebäudeebene möglich. etc. Weiters ist eine Aufstellung in der Nähe von führenden Leitungen (Heizungsrohre. "Temporary Emission and Spurious Transmission".B.. ob es sich um eine analoge oder digitale Nachrichtenübertragung handelt. Differential Electro-Manetic Analysis . Solche abstrahlsichere Hardware-Komponenten werden in Anlehnung an den englischen Fachausdruck meist als "tempest-proof" oder "tempest-gehärtet" bezeichnet.) zu vermeiden. Wird ein Signal leitungsgebunden übertragen. Dabei werden Wände. . Dabei spielt es keine Rolle. sondern um einen Codenamen ohne besondere Bedeutung handelt. kryptographische Anwendungen.) ist deren Schutzbedarf immens. z. Heizkörper. "Transient Electromagnetic Pulse Emanation Surveillance Technology" oder "Transient Electromagnetic Pulse Emanations Standard". Selbst bei der Verwendung von kleinsten Geräten wie beispielsweise Kryptomodulen oder Smart Cards ist auf deren kompromittierende Strahlung zu achten. Auch Spezialglas. so ist der elektrische Leiter mit einem elektromagnetischen Feld umgeben. Wasserleitungen. Auch das Überkoppeln auf Leitungen ist eine Auswirkung von kompromittierender elektromagnetischer Strahlung.

Zieht man allerdings in Betracht. Telefon. Programmstörungen oder Datenverluste verursachen. so zeigt sich die Notwendigkeit von Maßnahmen zur Vermeidung und Eliminierung elektrostatischer Aufladungen. Erdungsmaßnahmen.). .Kombination aus Folien. Wasser.• • • • • Wahl geeigneter Kabeltypen wie beispielsweise Koaxial.und Schuhwerk die elektrostatische Aufladung von gehenden Personen 10 kV und mehr betragen kann. die in ungeschützter Umgebung eingesetzt werden. Solche Maßnahmen sind etwa: • • • • die Gewährleistung einer relativen Luftfeuchtigkeit von mindestens 50%. Gas.9 Schutz gegen elektrostatische Aufladung Elektrostatische Aufladungen können Schäden an Bauteilen. der Einsatz von Antistatikmitteln.4 Leitungsführung 9. Aus diesem Grund wird für Komponenten.. die Verwendung geeigneter Werkstoffe (Bodenbeläge.1 Lagepläne der Versorgungsleitungen Es sind genaue Lagepläne aller Versorgungsleitungen (Strom. etc.oder Twisted-PairKabeln Achten auf hochwertige Schirmung der Kabel (vorzugsweise ist doppelte Schirmung zu verwenden .und Geflechtschirmung) Verlegung parallel geführter Kabel in ausreichendem Abstand zueinander Verringerung des Signal-Oberwellengehaltes durch elektrische Filterung (besonders bei digitalen Übertragungen) Vorzugsweise Verwendung von Lichtwellenleitern (Gefahr des Übersprechens deutlich geringer aber in Folge mechanischer Beschädigungen des Kabels ebenfalls möglich) 9. 9.) im Gebäude und auf dem dazugehörenden Grundstück zu führen und alle die Leitungen betreffenden Sachverhalte aufzunehmen: 228 . dass abhängig von Bodenbeschaffenheit .4. Gefahrenmeldung.hier stellen insbesondere Teppichböden eine Gefahrenquelle dar . eine relativ hohe Widerstandsfähigkeit gegen elektrostatische Aufladung gefordert..3.

etwa: • • • • • • Verlegung der Leitungen unter Putz. 229 .2. Die Pläne sind gesichert aufzubewahren. der Zugriff darauf ist zu regeln. Weiters ist zu beachten: • • • Alle Arbeiten an Leitungen sind rechtzeitig und vollständig zu dokumentieren.und Lagepläne). Es muss möglich sein. Gefahrenpunkte und vorhandene und zu prüfende Schutzmaßnahmen. dazu auch 10. evtl. Verlegung der Leitungen in mechanisch festen und abschließbaren Kanälen. die Störung schneller zu beheben. Nur so kann das Risiko. genaue technische Daten (Typ und Abmessung). Dies kann auf verschiedene Weise erreicht werden.2 Materielle Sicherung von Leitungen und Verteilern In Räumen mit Publikumsverkehr oder in unübersichtlichen Bereichen eines Gebäudes und zugehöriger Bereiche ist es sinnvoll. Nutzung der Leitungen (Nennung der daran angeschlossenen Netzteilnehmer.5 Dokumentation und Kennzeichnung der Verkabelung und 9. auf ein Mindestmaß reduziert werden. sich anhand der Pläne einfach und schnell ein genaues Bild der Situation zu machen.3. Nagetierschutz.• • • • • • genaue Führung der Leitungen (Einzeichnung in bemaßte Grundriss. Eine Schadstelle ist schneller zu lokalisieren. Verlegung der Leitungen in Stahl. dass Leitungen bei Arbeiten versehentlich beschädigt werden. Die Verantwortlichkeiten für Aktualisierung und Aufbewahrung der Pläne sind festzulegen. so weit möglich und zweckmäßig).8 Schutz gegen kompromittierende Abstrahlung . da sie schützenswerte Informationen beinhalten. Verschluss von Verteilern und bei Bedarf zusätzlich elektrische Überwachung von Verteilern und Kanälen.4. Vgl. Leitungen und Verteiler zu sichern.oder Kunststoffpanzerrohren. vorhandene Kennzeichnung. 9.

8 Schutz gegen kompromittierende Abstrahlung . Auftrennen aller Rangierungen und Verbindungen der freien Leitungen in den Verteilern (so weit möglich). hier sind bei Bedarf entsprechende Schutzvorkehrungen zu treffen.4. 9.4. die die Zutrittsrechte. 230 . Herkömmliche Kupferleitungen bieten ein potentielles Ziel für aktive und passive Angriffe. Weitere Angaben zur geeigneten Aufstellung und Aufbewahrung von IT-Systemen sind unter Kapitel 9. die Verteilung der Schlüssel und die Zugriffsmodalitäten festlegen. bei dadurch entstehenden Masse-Brumm-Schleifen ist nur einseitig zu erden. Auflegen der freien Leitungen auf Erde (Masse) an beiden Kabelenden und in allen berührten Verteilern.Bei Verschluss sind Regelungen zu treffen. Gewährleisten.4 Auswahl geeigneter Kabeltypen Bei der Auswahl von Kabeln ist neben der Berücksichtigung von übertragungstechnischen Anforderungen und Umfeldbedingungen auch die Frage nach den Sicherheitsanforderungen zu stellen. Ist dies auf Grund der damit verbundenen Beeinträchtigung des Dienstbetriebes (Öffnen von Decken. 9. Abhilfe kann hier entweder die Verwendung mehrfach geschirmter Leitungen oder der Einsatz von Lichtwellenleitern bringen.5 Geeignete Aufstellung und Aufbewahrung zu finden.und Fußbodenkanälen) nicht möglich. Kurzschließen der freien Leitungen an beiden Kabelenden und in allen berührten Verteilern.3.3 Entfernen oder Kurzschließen und Erden nicht benötigter Leitungen Nicht mehr benötigte Leitungen sollten nach Möglichkeit entfernt werden. Lichtwellenleiter sind unempfindlich gegen elektrische und elektromagnetische Störungen und bieten Schutz gegen (aktives und passives) Wiretapping auf der Leitung. Vgl. dass nicht mehr benötigte Leitungen bei ohnehin anstehenden Arbeiten im Netz entfernt werden. Ein potentielles Angriffsziel stellen aber die Schnittstellen (etwa Verstärker) dar. dazu auch 9. Fensterbank. sind folgende Maßnahmen sinnvoll: • • • • • Kennzeichnen der nicht benötigten Leitungen in der Revisionsdokumentation und Löschen der Eintragungen in der im Verteiler befindlichen Dokumentation.

sind die Kabel den zu erwartenden Belastungen entsprechend durch geeignete Kanalsysteme zu schützen. Für den Schutz der Kabel gilt sinngemäß das Gleiche wie bei der Brandabschottung. 9. und dass Fremdpersonen keinen unautorisierten Zugriff zu den .und Fensterbank-Kanalsysteme sind gegenüber den fremdgenutzten Bereichen mechanisch fest zu verschließen. dass erkennbare Gefahrenquellen umgangen werden.4.9.4. 9. Grundsätzlich sollen Trassen nur in den Bereichen verlegt werden.und Kabelverlegung zu berücksichtigen. Bei Erdtrassen ist ca. In Tiefgaragen ist darauf zu achten. Ist dies nicht zu vermeiden. die ausschließlich dem/der Benutzer/in zugänglich sind. dass durch Trassen im Fahrbereich die zulässige Fahrzeughöhe nicht unterschritten wird.in der Regel in geringer Deckenhöhe verlaufenden Trassen erhalten. Ist der Betriebserhalt nur für einzelne Kabel erforderlich. sie an den Bereichsgrenzen enden zu lassen. dass Kabel nicht in Fußbodenkanälen durch deren Bereiche führen.oder Fahrbereich liegen. Bei einzelnen Kabeln (ohne Rohr) ist der Einbau von Kabelabdeckungen sinnvoll. Trassen und einzelne Kabel sollen immer so verlegt werden.6 Vermeidung von wasserführenden Leitungen 231 . Der Standort von Geräten sollte so gewählt werden. ist der entsprechende Trassenbereich mit Brandabschottung (s. Bei gemeinsam mit Dritten genutzten Gebäuden ist darauf zu achten. Fußboden. Auch diese sind bei der Trassen. Ist dies nicht möglich und ist der Betriebserhalt aller auf der Trasse liegenden Kabel erforderlich. In Produktionsbetrieben ist mit hohen induktiven Lasten und daraus resultierenden Störfeldern zu rechnen. dass sie vor direkten Beschädigungen durch Personen. 10 cm über der Trasse ein Warnband zu verlegen. Fahrzeuge und Maschinen geschützt sind.2. ist dafür ein entsprechendes Kabel zu wählen.a. Besser ist es. Ein übersichtlicher Aufbau der Trassen erleichtert die Kontrolle.4 Brandabschottung von Trassen ) zu versehen. dass Kabel nicht im Lauf.5 Schadensmindernde Kabelführung Bei der Planung von Kabeltrassen ist darauf zu achten. Bereiche mit hoher Brandgefahr sind zu meiden.

Verteilerschränke.1 Geeignete Aufstellung eines Arbeitsplatz-ITSystems : PCs. wenn unbedingt erforderlich. Sind Wasserleitungen unvermeidbar. sind davon auch Telekommunikationsanlagen umfasst) Netzwerkkomponenten ( 9.. kann als Minimalschutz eine Wasserauffangwanne oder -rinne unter der Leitung angebracht werden. in denen sich IT-Geräte mit zentralen Funktionen (z. Kommunikationsservern. Kühlwasserleitungen. etc. Telearbeitsplätze. Günstig ist es. erhöhen sollen. Zuleitungen zu Heizkörpern sollten mit Absperrventilen. Als zusätzliche oder alternative Maßnahme empfiehlt sich ggf.) 232 .5. sollten wasserführende Leitungen aller Art vermieden werden.. da so ein eventueller Leitungsschaden früher entdeckt wird. Server) befinden. Router. möglichst außerhalb des Raumes/ Bereiches. 9. Notebooks..5. dazu den Flur zu nutzen. Die einzigen wasserführenden Leitungen sollten. .5 Geeignete Aufstellung und Aufbewahrung Bei der Aufstellung eines IT-Systems sind verschiedene Voraussetzungen zu beachten. Im Folgenden werden generelle Hinweise für die Aufstellung von IT-Systemen und Komponenten gegeben.2. wie sie für die mittlere Datenverarbeitung typisch sind..) Server ( 9. die die Sicherheit des Systems gewährleisten bzw. Optional können Wassermelder mit automatisch arbeitenden Magnetventilen eingebaut werden.B. Über diese Sicherheitsaspekte (die naturgemäß den Schwerpunkt des vorliegenden Handbuches bilden) hinaus. eine selbsttätige Entwässerung. Außerhalb der Heizperiode sind diese Ventile zu schließen. sollen durch eine geeignete Aufstellung auch die Lebensdauer und Zuverlässigkeit der Technik sowie die Ergonomie des Systems verbessert werden.2 Geeignete Aufstellung eines Servers : neben Datenbankservern.3 : z. Modems. Dabei wird unterschieden zwischen: • • • Arbeitsplatz-IT-Systemen ( 9.B.In Räumen oder Bereichen. Diese Magnetventile sind außerhalb des Raumes/Bereiches einzubauen und müssen stromlos geschlossen sein. Löschwasserleitungen und Heizungsrohre sein. deren Ablauf außerhalb des Raumes führt. versehen werden.

das System sollte so weit möglich und erforderlich. Bei der Aufstellung eines Arbeitsplatz-IT-Systems sollten . oder aber als Teil eines Arbeitsplatz-IT-Systems. aber auch kompromittierender Abstrahlung.5. Es ist festzuhalten. da hier im Allgemeinen sehr produkt. die auf die Bedürfnisse des speziellen Falles abzubilden sind.5. vgl.. 9. Notebooks oder Terminals zu verstehen.1 Geeignete Aufstellung eines Arbeitsplatz-IT-Systems Unter Arbeitsplatz-IT-Systemen sind etwa PCs. 9.und Kommunikationsserver. ein Fax direkt vom PC zu versenden.zusätzlich zu den von den Herstellern festgeschriebenen Vorgaben und Hinweisen sowie ergonomischen Gesichtspunkten . diese in einer gesicherten Umgebung aufzustellen.und herstellerspezifische Anforderungen bestehen und diese zudem über die Maßnahmen für den mittleren Schutzbedarf hinausgehen und damit den Rahmen der vorliegenden Arbeit sprengen würden.5. dass eine generelle Klassifikation aller IT-Komponenten in eine der oben genannten Gruppen nicht möglich ist. Diese kann realisiert werden als: • Serverraum (vgl. physisch gesichert sein (Diebstahlschutz. versperrbare Diskettenlaufwerke. 9. So kann ein Fax etwa als Standalone-Gerät betrachtet werden.8 Schutz gegen kompromittierende Abstrahlung ). Die unten angeführten Maßnahmen sind daher als allgemeine Hinweise zu verstehen.6 Serverräume): 233 . 9. falls die Möglichkeit besteht. . wird auch hier nicht auf den Bereich des klassischen Rechenzentrums eingegangen. Programm.). aber auch TK-Anlagen zu verstehen. ist es zwingend erforderlich. Integrität und Verfügbarkeit im Betrieb von Servern sicherzustellen.Wie für das gesamte Handbuch zutreffend und bereits in der Einleitung ausgeführt.unter anderem folgende Voraussetzungen beachtet werden: • • • der Standort in der Nähe eines Fensters oder einer Tür erhöht die Gefahr des Beobachtens von außerhalb. Um Vertraulichkeit. das System sollte nicht in unmittelbarer Nähe der Heizung aufgestellt werden (Vermeidung von Überhitzung.2 Geeignete Aufstellung eines Servers Unter Servern sind in diesem Zusammenhang etwa Datenbank-.3..

6 Serverräume und 9.5. und unautorisierte Zugriffe auch in Ausnahmesituationen nicht vorkommen können. vgl. muss sichergestellt werden. Gase. Router und Verteilerschränke zu verstehen.. Serverschrank. Steht ein Modem direkt an einem Arbeitsplatz-IT-System zur Verfügung. Generell ist zu beachten: • • Der Zugang und Zugriff zu Servern darf ausschließlich autorisierten Personen möglich sein.• Raum zur Unterbringung von Servern. So bedeutet etwa der Missbrauch eines Modems zum einem die Durchführung unbefugter Datenübertragungen. dass nur Berechtigte physikalischen Zugriff darauf haben.3 Geeignete Aufstellung von Netzwerkkomponenten Unter Netzwerkkomponenten sind beispielsweise Modems. ist darauf zu achten. Im Serverraum ist im Allgemeinen kein ständig besetzter Arbeitsplatz eingerichtet.5.5. Sollen mit einem Modempool weitere externe Zugänge zu einem durch eine Firewall geschützten Netz geschaffen werden. muss dieser auf der unsicheren Seite der Firewall aufgestellt werden. 234 .5. Um den Missbrauch von Netzwerkkomponenten zu verhindern. Wenn über ein Modem oder einen Modempool Zugänge zum internen Netz geschaffen werden. so ist der physikalische Zugriff darauf abzusichern (z. wenn kein separater Serverraum zur Verfügung steht (vgl. Details zu den technischen und organisatorischen Sicherheitsmaßnahmen bei Serverräumen und Serverschränken finden sich in 9..5. Viren eingeschleppt oder Interna nach außen transferiert werden können. . serverspezifischen Unterlagen. er wird nur sporadisch und zu kurzfristigen Arbeiten betreten. 9.7 Beschaffung und Einsatz geeigneter Schutzschränke ): Serverschränke dienen zur Unterbringung von IT-Geräten und sollen den Inhalt sowohl gegen unbefugten Zugriff als auch gegen die Einwirkung von Feuer oder schädigenden Stoffen (Staub.B.7 Beschaffung und Einsatz geeigneter Schutzschränke . wodurch Sicherheitslücken entstehen können. auch 9. Datenträgern in kleinem Umfang sowie weiterer Hardware (etwa Drucker oder Netzwerkkomponenten). durch Versperren des Raumes. 9. Eine Vertretungsregelung muss sicherstellen. zum anderen das unbefugte Ändern oder Auslesen der Modem-Konfiguration. durch die Kosten verursacht. dass der Zugriff zum Server auch im Vertretungsfall geregelt möglich ist.) schützen.1 Geeignete Aufstellung eines Arbeitsplatz-IT-Systems ). dass keine Umgehung einer bestehenden Firewall geschaffen wird.

4 dieses Handbuches [KIT S01] ) gespeichert und verarbeitet. Dabei ist zu beachten. so etwa Notebooks. so sollten diese keinesfalls unbeaufsichtigt (etwa im Hotel oder in einem Wagen) zurückgelassen werden.6 Serverräume und 9. Teil 1. die bei der mobilen Nutzung zu beachten sind: • • • • Die Benutzer/innen mobiler IT-Geräte sind über die potentiellen Gefahren bei Mitnahme und Nutzung eines solchen Gerätes außerhalb der geschützten Umgebung eingehend zu informieren und zu sensibilisieren.1 Herausgabe einer PC-Richtlinie ). geheime und/ oder streng geheime bzw. Werden auf mobilen IT-Geräten eingeschränkte. Handhelds und Personal Assistants. dass die Zulässigkeit von Verschlüsselungstechnologien in den einzelnen Staaten unterschiedlich geregelt ist. So weit möglich sollten solche Informationen in schriftlicher Form .4 Nutzung und Aufbewahrung mobiler IT-Geräte Unter mobilen IT-Geräten sind alle für einen mobilen Einsatz geeigneten Geräte zu verstehen. minimiert werden. muss sie/er versuchen. Eine Vertretungsregelung muss sicherstellen.5. sollten auch Disketten und Streamerbänder ausschließlich chiffrierte Daten enthalten. Die entsprechenden Maßnahmen 9.5. So weit möglich. so ist die Installation eines Zugriffsschutzes (über Passwort oder Chipkarte) sowie einer Festplatten.oder Dateiverschlüsselung dringend zu empfehlen (vgl.3. in denen das Gerät unbeaufsichtigt bleibt. Palmtops.7 Beschaffung und Einsatz geeigneter Schutzschränke sind zu beachten. vertrauliche. 9. Auch hier ist sicherzustellen: • • Der Zugang und Zugriff zu Netzwerkkomponenten darf ausschließlich autorisierten Personen möglich sein.5.1. Dabei ist auch auf die besonderen Gegebenheiten in verschiedenen Zielgebieten und in speziellen Situationen (etwa bei einer besonders eingehenden Zollkontrolle) hinzuweisen. Kapitel 2.etwa als Merkblätter an die Mitarbeiter/innen verteilt werden. Hierfür können nur einige Hinweise gegeben werden. 235 . personenbezogene und/oder sensible Daten ( Definitionen s. dass der Zugriff zu Netzwerkkomponenten auch im Vertretungsfall geregelt möglich ist und unautorisierte Zugriffe auch in Ausnahmesituationen nicht vorkommen können. werden in Ausnahmefällen unverschlüsselte Disketten oder Streamerbänder im mobilen Einsatz verwendet.Netzwerkkomponenten sollten wie Server in einem gesicherten Serverraum oder einem Schutzschrank aufgestellt sein.2. Da die Umfeldbedingungen bei mobilem Einsatz meist außerhalb der direkten Einflussnahme der Benutzerin / des Benutzers liegen. mobile IT-Geräte auch außer Haus sicher aufzubewahren. auch 7. Nach Möglichkeit sollten die Zeiten.

dass für den Zeitraum zwischen dem Speichern der Daten auf dem Datenträger und dem Transport ein ausreichender Zugriffsschutz besteht. dass im Serverraum auf Grund der Konzentration von IT-Geräten und Daten ein deutlich höherer Schaden eintreten kann als beispielsweise in einem Büroraum. Darüber hinaus können dort auch Datenträger (in kleinerem Umfang) sowie zusätzliche Hardware. er wird nur sporadisch und zu kurzfristigen Arbeiten betreten. wie etwa Protokolldrucker oder Klimatechnik. so sollte das Gerät von außen nicht sichtbar sein. Das Abdecken des Gerätes oder das Einschließen in den Kofferraum bieten Abhilfe. sollte zusätzlich das Gerät ausgeschaltet werden. vorhanden sein.6 Serverräume Ein Serverraum dient zur Unterbringung eines oder mehrerer Server sowie serverspezifischer Unterlagen. Poststelle) sind auf die sachgerechte und sichere Aufbewahrung und Handhabung von Datenträgern hinzuweisen. Zu beachten ist jedoch. 9. Einige neuere Geräte bieten zusätzlich die Möglichkeit zum Anketten des Gerätes. Beschriebene Datenträger sollten bis zum Transport in entsprechenden Behältnissen (Schrank. Wird ein mobiles IT-Gerät in fremden Büroräumen vor Ort benutzt. 9. Tresor) verschlossen aufbewahrt werden.5.5.B. Weitere Maßnahmen dazu finden sich in Kapitel Betriebsmittel und Datenträger . Der Diebstahl setzt dann den Einsatz von Werkzeug voraus. In Hotelräumen sollte ein mobiles IT-Gerät nicht offen aufliegen. Wird der Raum für längere Zeit verlassen. 236 . Alternativ oder ergänzend kann auch eine verschlüsselte Speicherung der Daten vorgenommen werden. Die für den Transport oder für die Zustellung Verantwortlichen (z.5 Sichere Aufbewahrung der Datenträger vor und nach Versand Vor dem Versand eines Datenträgers ist zu gewährleisten. Im Serverraum ist kein ständig besetzter Arbeitsplatz eingerichtet. um über das Bootpasswort die unerlaubte Nutzung zu verhindern. so ist dieser Raum nach Möglichkeit auch bei kurzzeitigem Verlassen zu verschließen.• • • • Werden mobile IT-Geräte in einem Kraftfahrzeug aufbewahrt. Das Verschließen des Gerätes in einem Schrank behindert Gelegenheitsdiebe.

B.2.4 Zutrittskontrolle 9.2 Raumbelegung unter Berücksichtigung von Brandlasten 9.2.1.3.3.6 Überspannungsschutz (Innerer Blitzschutz) 9. die im vorliegenden Kapitel 1 beschrieben werden. In diesen Güteklassen werden die Schutzschränke darauf geprüft. 237 .5.3 Beaufsichtigung oder Begleitung von Fremdpersonen 9.2 Not-Aus-Schalter 9. Filme). D = Datenträger (z. Die Kürzel bedeuten im Einzelnen: P = Papier aller Art. Magnetbänder. ob in ihnen bis zu einer Beflammungszeit von 60 bzw.6. 120 Minuten während eines normierten Testes für die geschützten Datenträger verträgliche Temperaturen erhalten bleiben.7 Beschaffung und Einsatz geeigneter Schutzschränke Schutzschränke können ihren Inhalt gegen die Einwirkung von Feuer bzw. Durch Zusätze in der Klassifizierung werden die zu schützenden Datenträger bezeichnet.6 Vermeidung von wasserführenden Leitung 9.6.5 Alarmanlage 9.Für den Schutz von Serverräumen sind die entsprechenden baulichen und infrastrukturellen Maßnahmen.8 Handfeuerlöscher 9.6.4.2. zur Anwendung zu bringen. Besondere Beachtung ist dabei folgenden Maßnahmen zu widmen: • • • • • • • • • • • • • 9.4 Lokale unterbrechungsfreie Stromversorgung 9.7 Klimatisierung 8.3.4 Geschlossene Fenster und Türen 9.6 Fernanzeige von Störungen 9. gegen unbefugten Zugriff schützen. Je nach angestrebter Schutzwirkung sind bei der Auswahl geeigneter Schutzschränke folgende Hinweise zu beachten: • Schutz gegen Feuereinwirkung: Bei Schutzschränken unterscheidet man bezüglich Schutz gegen Feuereinwirkung die Güteklassen S60 und S120 nach ÖNORM EN 1047-1.11 Rauchverbot 9.2.6.

welche Arten von Datenträgern in ihm aufbewahrt werden sollen. (VDMA) und RALRG 627 für Wertschränke. sollten in der Wand oder im Boden verankert werden. Schutz gegen unbefugten Zugriff: Der Schutzwert gegen unbefugten Zugriff wird neben der mechanischen Festigkeit des Schutzschrankes entscheidend durch die Güte des Schlosses beeinflusst. Nachrüstungen sind in der Regel schwierig. Weitere relevante Normen und Informationen sind VDMA 24992 für Stahlschränke des Verbandes deutscher Maschinen. sollte eine Vorrichtung zum automatischen Schließen der Türen im Brandfall vorgesehen werden. Es sollte auch Raum für zukünftige Erweiterungen mit eingeplant werden. da der Schutzwert des Schrankes und seine spezifische Zulassung beeinträchtigt werden können. so dass Datenträger nicht zerstört werden. Die Unterschiede zwischen den Klassen liegen in der Isolationsleistung. die bei DIS-Schränken am höchsten ist. Für den IT-Grundschutz sollten Wertschränke nach RAL-RG 627 [Anmerkung . die zum Schutz vor Feuer und Rauch dienen. Hilfestellung bei der Bewertung des Widerstandswertes verschiedener Schutzschränke gibt das VDMA-Einheitsblatt 24990. Die Innenausstattung des Schutzschrankes ist dieser Festlegung angemessen auszuwählen. in dem Sicherheitsmerkmale von Schutzschränken kurz beschrieben werden. Zu beachten bleibt. so können Datensicherungsschränke nach RAL-RG 626/9 verwendet werden. Nach diesen Auswahlkriterien für den Schutzwert des Schutzschrankes ist als Nächstes die Ausstattung des Schrankes bedarfsgerecht festzulegen. Schutzschränke. Dazu sollte vor der Beschaffung eines Schutzschrankes festgelegt werden. Die Schließung sollte lokal durch Rauchgasmelder und/oder extern durch ein Signal einer Brandmeldeanlage (soweit vorhanden) ausgelöst werden können. jedoch ist davon auszugehen.und Anlagenbau e. dass im Brandfall der Betrieb eines in einem Serverschrank untergebrachten Servers nicht aufrechterhalten werden kann. welche Geräte bzw. Für den IT-Grundschutz sollten bei Schutz gegen Feuer Schutzschränke der Güteklasse S60 ausreichend sein. Bei der Auswahl von Schutzschränken ist auch die zulässige Deckenbelastung am Aufstellungsort zu berücksichtigen. Bonn ] geeignet sein. dass solche Schränke damit Schutz gegen Feuer für einen gewissen Zeitraum bieten. Bei Schutzschränken.V.V.• DIS = Disketten und Magnetbandkassetten einschließlich aller anderen Datenträger. Serverschränke: 238 . Sind Zugriffsschutz und Brandschutz in Kombination erforderlich.RAL: Deutsches Institut für Gütesicherung und Kennzeichnung e. die auf Grund ihrer geringen Größe relativ einfach weggetragen werden könnten.

damit Administrationsarbeiten am Server ungehindert durchgeführt werden können. Es ist also nicht sinnvoll. Bandlaufwerke vorgesehen werden. wenn der Verdacht besteht. ihnen. Dazu ist zu beachten. bei Wechsel des Benutzers. das im Brandfall die Stromzufuhr der Geräte unterbricht (auf der Eingangs.B. Zugriff auf die Protokollausdrucke zu gewähren. Zu beachten ist.und der Ausgangsseite der USV.Schutzschränke.B. So ist zum Beispiel ein ausziehbarer Boden für die Tastatur wünschenswert. Werden Arbeiten. dass die Ausstattung ergonomisch gewählt ist. Der Code darf nicht aus leicht zu ermittelnden Zahlen (z. dass eine Hinterlegung im zugehörigen Schutzschrank sinnlos ist. die ein Öffnen des Schutzschrankes erfordern. sofern diese vorhanden ist). ggf. Verschluss von Schutzschränken: Generell sind Schutzschränke bei Nichtbenutzung zu verschließen. In diesen sollte außer für den Server und eine Tastatur auch Platz für einen Bildschirm und weitere Peripheriegeräte wie z. Die Protokollierung der Aktionen am Server dient auch zur Kontrolle der Administratoren. Die jeweils gültigen Codes von Codeschlössern sind aufzuzeichnen und gesichert zu hinterlegen. Backup-Datenträger würden im Falle einer Beschädigung des Servers vermutlich ebenfalls beschädigt. Je nach Nutzung des Schrankes können auch eine Klimatisierung und/oder eine USV-Versorgung erforderlich sein. Andernfalls muss zumindest eine Lüftung vorhanden sein. Nicht im gleichen Schrank untergebracht werden sollten Backup-Datenträger und Protokolldrucker. dass der Code einem Unbefugten bekannt wurde und mindestens einmal alle zwölf Monate. 239 . Die entsprechenden Geräte sollten dann im Schrank mit untergebracht werden. so muss der Code für diese Schlösser geändert werden nach der Beschaffung. ist empfehlenswert. sogar als Einzigen. nach Öffnung in Abwesenheit des Benutzers. arithmetische Reihen) bestehen. Die Ausstattung des Schrankes mit einem lokal arbeitenden Brandfrüherkennungssystem. der in einer Höhe angebracht wird. dass Administratoren Arbeiten sitzend durchführen können. persönliche Daten. • • • • • Werden Schutzschränke mit mechanischen oder elektronischen Codeschlössern verwendet. in denen wichtige IT-Komponenten (also im Regelfall Server) untergebracht sind. unterbrochen. damit Administrationsarbeiten vor Ort durchgeführt werden können. so ist auch bei kurzfristigem Verlassen des Raumes der Schutzschrank zu verschließen. werden auch als Serverschränke bezeichnet.

Gas. was im Notfall einen schnelleren Zugriff erlauben würde. für Energieversorgung. Vorschriften. Telefon. beim Einbau technischer Gebäudeausrüstungen (z. Bei der Planung und Errichtung von Gebäuden. Telefon) sind nach Möglichkeit in Räumen für technische Infrastruktur unterzubringen. Verteiler sollten verschlossen sein und dürfen nur von den für die jeweilige Versorgungseinrichtung zuständigen Personen geöffnet werden.Wenn der Schutzschrank neben einem Codeschloss ein weiteres Schloss besitzt. Die Zugriffsmöglichkeiten können durch unterschiedliche Schlüssel und entsprechende Schlüsselverwaltung geregelt werden (siehe dazu 9. für verschlossene Verteiler die Schlüssel verfügbar sind und die Schlösser funktionieren. dass • • • Verteiler nicht bei Malerarbeiten mit Farbe oder Tapeten so verklebt werden. Datennetze. Mit geordnet ist gemeint. 240 . In Anhang A werden einige dieser Normen beispielhaft angeführt. der ÖNORM und des ÖVE. Die dort geforderten Maßnahmen sind zu berücksichtigen.B. wer welchen Verteiler öffnen darf. Diese Regelwerke tragen dazu bei. bei deren Umbau. dass festgelegt ist.oder Datennetze) und bei Beschaffung und Betrieb von Geräten sind entsprechende Normen und Vorschriften unbedingt zu beachten. z.6 Weitere Schutzmaßnahmen 9. Wasser. so ist abzuwägen. ob Code und Schlüssel gemeinsam hinterlegt werden. Rohrpost etc. so dass es für eine/n Angreifer/in schwieriger ist.4 Zutrittskontrolle ).2 Regelungen für Zutritt zu Verteilern Die Verteiler (z.6.B.1 Einhaltung einschlägiger Normen und Vorschriften Für nahezu alle Bereiche der Technik gibt es Normen bzw. Geräten. dass technische Einrichtungen ein ausreichendes Maß an Schutz für den/die Benutzer/in und Sicherheit für den Betrieb gewährleisten.1. Verteiler nicht mit Möbeln. 9. Mit möglich ist gemeint.) im Gebäude muss möglich und geordnet sein. Der Zutritt zu den Verteilern aller Versorgungseinrichtungen (Strom. oder getrennt hinterlegt werden. Gefahrenmeldung.6.B. interne Versorgungsnetze wie Telefon. dass sie nur noch mit Werkzeug zu öffnen oder unauffindbar sind. Paletten etc. 9. zugestellt werden. sich Zugriff zu verschaffen.

9. auch in den höheren Etagen bieten sie einem/einer Einbrecher/in auch während der Betriebszeiten eine ideale Einstiegsmöglichkeit. dass Unbefugte Zugriff auf darin befindliche Unterlagen und IT-Einrichtungen erlangen. "Rechenzentrum" oder "EDV-Archiv" geben einem potentiellen Angreifer.B.B. Bei laufendem Rechner kann auf das Abschließen der Türen verzichtet werden.3 Vermeidung von Lagehinweisen auf schützenswerte Gebäudeteile Schützenswerte Gebäudeteile sind z. Türschilder wie z. Rechenzentrum. der Bildschirm gelöscht wird und das Booten des Rechners die Eingabe eines Passwortes verlangt.7 Clear Desk Policy ).6. in Großraumbüros.B.2 Anordnung schützenswerter Gebäudeteile ). um seine Aktivitäten gezielter und damit Erfolg versprechender vorbereiten zu können. In diesem Fall sollte alternativ jede/r Mitarbeiter/in vor ihrer/seiner Abwesenheit Unterlagen und den persönlichen Arbeitsbereich (Schreibtisch. IT in Räumen oder Gebäudebereichen unterzubringen. Im Keller. dass die Nutzung nicht offenbar wird. Während normaler Arbeitszeiten und sichergestellter kurzer Abwesenheit der Mitarbeiterin/des Mitarbeiters kann von einer zwingenden Regelung für Büroräume abgesehen werden. in denen ein Raum nicht besetzt ist.B. zu schließen. mit der die Nutzung des Rechners nur unter Eingabe eines Passwortes weitergeführt werden kann (passwortunterstützte Bildschirmschoner). Telefon) verschließen (s. Terrassen) sind in Zeiten. 8. um den Einblick zu verhindern oder so zu gestalten.1. Hinweise. Schrank und PC (Schloss für Diskettenlaufwerk. wenn eine Sicherungsmaßnahme installiert ist. Datenträgerarchiv. Serverraum.4 Geschlossene Fenster und Türen Fenster und nach außen gehende Türen (Balkone. Ist es unvermeidbar. 241 .a. z. Dabei ist darauf zu achten. Klimazentrale. Tastaturschloss. Auch nach innen gehende Türen nicht besetzter Räume sollten im Allgemeinen abgeschlossen werden. In manchen Fällen. Solche Bereiche sollten nach Möglichkeit keinen Hinweis auf ihre Nutzung tragen.9. dass z.6. die für Fremde leicht von außen einsehbar sind (siehe auch 9. Dadurch wird verhindert. je nach Fassadengestaltung.1.und Erdgeschoss und. der zum Gebäude Zutritt hat. Verteilungen der Stromversorgung. Schalträume. Ersatzteillager. so sind geeignete Maßnahmen zu treffen. ist der Verschluss des Büros nicht möglich. nicht nur ein Fenster einer ganzen Etage mit einem Sichtschutz versehen wird.

Bei ausgeschaltetem Rechner kann auf das Verschließen des Büros verzichtet werden. meist durch ihre Auswirkungen auf die IT.ä. werden oft in ge. Diebstahl frühzeitig erkennen und Gegenmaßnahmen einleiten. Datenträgerarchive. Die zuständigen Personen sind über die im Alarmfall einzuleitenden Schritte zu unterrichten. die keine oder nur seltene Bedienung durch eine Person erfordern. Die Alarmierung erfolgt vor Ort oder mittels einer einfachen Zweidrahtleitung (evtl. Telefonleitung) an anderer Stelle. Serverraum). Funktionsstörungen einer USV oder der Ausfall eines Klimagerätes seien als Beispiele für solche "schleichenden" Gefährdungen angeführt. wenn die Inbetriebnahme des Gerätes die Eingabe eines Passwortes verlangt und sichergestellt ist. ohne Anschluss an eine Zentrale.6. dass keine schutzbedürftigen Gegenstände wie Unterlagen oder Datenträger offen aufliegen.5 Alarmanlage Ist eine Alarmanlage für Einbruch oder Brand vorhanden und lässt sich diese mit vertretbarem Aufwand entsprechend erweitern. dies erfordert jedoch zusätzlichen organisatorischen Aufwand. Ist keine Alarmanlage vorhanden oder lässt sich die vorhandene nicht nutzen. Räume für technische Infrastruktur u. Es muss auf jeden Fall sichergestellt werden. kommen als Minimallösung lokale Melder in Betracht. 242 . geprüft werden. ob zumindest die Kernbereiche der IT (Serverräume.6. Diese arbeiten völlig selbstständig. 9. entdeckt werden.) in die Überwachung durch diese Anlage mit eingebunden werden sollen.6 Fernanzeige von Störungen IT-Geräte und Supportgeräte.und verschlossenen Räumen untergebracht (z. dass Störungen. dass die Passworteingabe keinesfalls umgangen werden kann. Um die Schutzwirkung aufrechtzuerhalten. Feuer. die sich in ihrem Frühstadium auf die IT noch nicht auswirken und einfach zu beheben sind. erst zu spät. Einbruch.B. ist zu überlegen. Das führt dazu. So lassen sich Gefährdungen wie Feuer. Besonders wirksam ist "Stiller Alarm mit Rückfrage". 9. ist eine regelmäßige Wartung und Funktionsprüfung der Alarmanlage vorzusehen. Weiters ist zu beachten: • • • Die Alarmanlage muss regelmäßig gewartet bzw.

reicht der normale Luft. Die technischen Möglichkeiten reichen dabei von einfachen Kontakten. Deren Aufgabe ist es. Anstriche. Über die Schnittstellen ist es oft sogar möglich. Werden darüber hinaus Forderungen an die Luftfeuchtigkeit gestellt. darauf zu achten. ohne sie ständig prüfen oder beobachten zu können. auf die man sich verlassen muss. 9. kann ein Klimagerät durch Be. um eine Korrosion von IT-Bauteilen durch vorbeigeführte Luft aus der Klimaanlage zu vermeiden. bis zu Rechnerschnittstellen mit dazugehörigem Softwarepaket für die gängigen Betriebssysteme.4. mit Wassermeldern ausgestattet sein.und Entfeuchtung auch diese erfüllen. solche Störungen früher zu erkennen. 9.6. Zu diesen Bereichen gehören u. dass Kleber.8 Selbsttätige Entwässerung Alle Bereiche. Keller.6. säurefrei sind.7 Klimatisierung Um den zulässigen Betriebstemperaturbereich von IT-Geräten zu gewährleisten. in denen sich Wasser sammeln und stauen kann oder in denen fließendes oder stehendes Wasser nicht oder erst spät entdeckt wird und in denen das Wasser Schäden verursachen kann. dass die Luftumwälzung durch eine Klimaanlage auch Emissionen aus der Umgebung in die Nähe von empfindlichen ITKomponenten bringen kann. Viele Geräte. Lufträume unter Doppelböden. jederzeit den aktuellen Betriebszustand der angeschlossenen Geräte festzustellen und so Ausfällen rechtzeitig begegnen zu können. 9. So ist etwa bei baulichen Maßnahmen. sollten mit einer selbsttätigen Entwässerung und ggf. haben heute einen Anschluss für Störungsfernanzeigen. 9. Dazu muss das Klimagerät allerdings an eine Wasserleitung angeschlossen werden.9 Videounterstützte Überwachung 243 . so dass der Einbau einer Klimatisierung erforderlich wird.6.6 Vermeidung von wasserführenden Leitungen ist zu beachten. Zusätzlich ist zu beachten. a. etc. über die eine Warnlampe eingeschaltet werden kann. die Raumtemperatur durch Kühlung unter dem von der IT vorgegebenen Höchstwert zu halten. Lichtschächte und Heizungsanlagen. insbesondere bei Umbauarbeiten in bestehenden Räumen und Gebäuden.und Wärmeaustausch eines Raumes manchmal nicht aus.Durch eine Fernanzeige ist es möglich. Um die Schutzwirkung aufrechtzuerhalten ist eine regelmäßige Wartung der Klimatisierungseinrichtung vorzusehen.

Zur besseren Absicherung der Infrastruktur sollte bei Bedarf auf ein videounterstütztes Überwachungssystem zurückgegriffen werden.2 Strategie und Planung ) . Bei geeigneter Aufstellung ist auch die von Überwachungskameras ausgehende Abschreckung ein Vorteil derartiger Systeme. Aus diesem Katalog sollten folgende Punkte besonders beachtet werden: • • • • geeignete Standortwahl ( 9.6.10 Aktualität von Plänen Sämtliche Pläne sind aktuell zu halten und an geeigneten Stellen zu deponieren. Die Wahl der Aufstellungsplätze der Kameras sollte unter Beiziehung der Betriebsrätin/des Betriebsrates und unter Berücksichtigung des Datenschutzes erfolgen.).1 Geeignete Standortauswahl ) ausreichender Einbruchsschutz ( 9.6.1.3 Einbruchsschutz ) Zutrittskontrollen ( 9.ä. In diesem Zuge sind auch alle im Umlauf befindlichen Kopien der Pläne durch aktualisierte Kopien zu ersetzen.6 ) dar. 9. Abschnitt 1. Derartige Überwachungssysteme stellen eine sinnvolle Ergänzung der bestehenden Maßnahmen (vgl. In diesem Zusammenhang sind die im Kapitel 1 „Bauliche und infrastrukturelle Maßnahmen“ getroffenen Maßnahmen von besonderer Bedeutung.5 Geeignete Aufstellung und Aufbewahrung ) Weiters ist zu beachten: • 244 Verfügbarkeitsanforderungen ( Abschnitt 7. Im Zuge der Konzeption und Installation müssen Personal sowie zusätzliche technische und infrastrukturelle Vorkehrungen zur Auswertung vorgesehen werden.1.4 Zutrittskontrolle ) Aufstellung und Anordnung von Geräten ( Abschnitt 9.11 Vorgaben für ein Rechenzentrum Ein Rechenzentrum gilt als schützenswert und sollte daher im Sinne eines Sicherheitsbereiches konzipiert sein. sind diese umgehend auf den aktuellen Stand zu bringen. Nach jedem Eingriff der eine Aktualisierung der Pläne erforderlich macht (bauliche Maßnahmen o. 9.1.

Dieser Prozess ist zumindest auf Ebene der Gesamtorganisation zu etablieren. Integrität. Zurechenbarkeit. Ermittlung und Analyse von Bedrohungen und Risiken. Festlegung geeigneter Sicherheitsmaßnahmen. über eine Durchführung auf der Ebene einzelner Organisationseinheiten ist im Einzelfall zu entscheiden. Authentizität und Zuverlässigkeit von IT-Systemen gewährleisten soll. 245 . Überwachung der Implementierung und des laufenden Betriebes der ausgewählten Maßnahmen.2 Erarbeitung einer organisationsweiten ITSicherheitspolitik . Die Umsetzung der in diesem Kapitel angeführten Maßnahmen soll dies gewährleisten. Zu den Aufgaben des IT-Sicherheitsmanagements gehören: • • • • • Festlegung der IT-Sicherheitsziele.1.1 IT-Sicherheitsmanagement Informationssicherheitsmanagement steht für eine kontinuierliche Planungs. und in dem Zusammenhang auch [IKTB-170902-8] ). 10.1 Methodisches Sicherheitsmanagement ist zur Gewährleistung umfassender und angemessener IT-Sicherheit unerlässlich.und Lenkungsaufgabe zur Umsetzung eines wirksamen Prozesses mit dem Ziel. Festlegung der IT-Sicherheitsanforderungen. der die Vertraulichkeit. 10. -strategien und -politiken der Organisation. Verfügbarkeit. Dabei handelt es sich um einen kontinuierlichen Prozess. ein umfassendes.1. Der IT-Sicherheits-ManagementProzess ist daher ein integraler Bestandteil der organisationsweiten ITSicherheitspolitik (vgl.10 Sicherheitsmanagement in Kommunikation und Betrieb Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 . 10.1 Etablierung eines IT-Sicherheits-Management-Prozesses ISO Bezug: 27002 10.10 ff " Management der Kommunikation und des Betriebs ". angemessenes und konsistentes Informationssicherheitsniveau für die gesamte Organisation herzustellen und zu erhalten.

Abbildung 1: Aktivitäten im Rahmen des IT-Sicherheitsmanagements [eh SMG 1.• • Förderung des Sicherheitsbewusstseins innerhalb der Organisation sowie Entdecken von und Reaktion auf sicherheitsrelevante Ereignisse. In Kapitel 2.1 Informationssicherheitsmanagement-Prozess werden die zur Etablierung eines umfassenden Informationssicherheits-Management-Prozesses erforderlichen Schritte detailliert beschrieben.1] 246 . Die folgende Graphik zeigt die wichtigsten Aktivitäten im Rahmen des Informationssicherheitsmanagements und die eventuell erforderlichen Rückkopplungen zwischen den einzelnen Stufen.

[eh SMG 1. die unter Berücksichtigung gegebener Randbedingungen grundlegende Ziele.1. Strategien.und Verteidigungsdoktrin – Teilstrategie IKT-Sicherheit [OESVD-IT] hingewiesen.1 Als organisationsweite IT-Sicherheitspolitik bezeichnet man die Leitlinien und Vorgaben innerhalb einer Organisation. In diesem Zusammenhang sei auch auf die österreichische Sicherheits.2 Erarbeitung einer organisationsweiten Informationssicherheits-Politik ISO Bezug: 27001 4.2] 10. die als langfristig gültiges Dokument zu betrachten ist. Verantwortlichkeiten und Methoden für die Gewährleistung der IT-Sicherheit festlegen. die für alle Einsatzbereiche der Informationstechnologie innerhalb einer Organisation zur Anwendung kommen und folgende Inhalte umfassen: • • • • • • • Grundsätzliche Ziele und Strategien Organisation und Verantwortlichkeiten für IT-Sicherheit Risikoanalysestrategien.1.10.3 Erarbeitung von IT-Systemsicherheitspolitiken 247 . Die organisationsweite Informationssicherheits-Politik soll allgemeine Festlegungen treffen. Ressorts in der öffentlichen Verwaltung werden auf Basis des IKT-BoardBeschlusses [IKTB-170902-8] explizit zur Umsetzung einer Sicherheitspolitik angehalten. Jede Organisation sollte eine in schriftlicher Form vorliegende IT-Sicherheitspolitik erarbeiten. "Entwicklung einer organisationsweiten Informationssicherheits-Politik" des vorliegenden Handbuchs. akzeptables Restrisiko und Risikoakzeptanz Klassifikation von Daten Organisationsweite Richtlinien zu Sicherheitsmaßnahmen Disaster Recovery Planung Nachfolgeaktivitäten zur Überprüfung und Aufrechterhaltung der Sicherheit Details und Anleitungen zur Erstellung einer organisationsweiten ITSicherheitspolitik finden sich in Kapitel 5.

welche • • • • • • • • • • • • • • • die grundlegenden Vorgaben und Leitlinien zur Sicherheit in diesem System definiert.3 248 .1 Für jedes IT-System sollte eine IT-Systemsicherheitspolitik erarbeitet werden. Risikoanalyse Sicherheitsrisiken Beschreibung der bestehenden und der noch zu realisierenden Sicherheitsmaßnahmen Gründe für die Auswahl der Maßnahmen Kostenschätzungen für die Realisierung und Wartung (Aufrechterhaltung) der Sicherheitsmaßnahmen Verantwortlichkeiten Details und Anleitungen zur Erstellung von IT-Systemsicherheitspolitiken finden sich in Kapitel 5.ISO Bezug: 27001 4.4 Festlegung von Verantwortlichkeiten ISO Bezug: 27002 10. Details über die ausgewählten Sicherheitsmaßnahmen beschreibt und die Gründe für die Auswahl der Sicherheitsmaßnahmen dargelegt.1.3] 10. [eh SMG 1. 10. Beschreibung der wichtigsten Komponenten Definition der wichtigsten Ziele und Funktionalitäten des Systems Festlegung der IT-Sicherheitsziele des Systems Abhängigkeit der Organisation vom betrachteten IT-System Investitionen in das System Risikoanalysestrategie Werte.1. Bedrohungen und Schwachstellen lt. Die IT-Systemsicherheitspolitik sollte Aussagen zu folgenden Bereichen treffen: Definition und Abgrenzung des Systems.1.1. "Entwicklung einer organisationsweiten Informationssicherheits-Politik" des vorliegenden Handbuchs.

Zutritts-. Anwendungsentwicklung. trojanische Pferde. Dokumentation von IT-Verfahren. Diese Festlegung erfolgt zweckmäßig im Rahmen der organisationsweiten IT-Sicherheitspolitik (vgl. Schutz gegen Software mit Schadensfunktion (Viren. Datenträger. Kauf und Leasing von Hardware und Software. Würmer. ist es erforderlich. Es empfiehlt sich.und Betriebsmittelverwaltung.und Zugriffsberechtigungen. 10.. Zugangs.Um eine Berücksichtigung aller wichtigen Sicherheitsaspekte und eine effiziente Erledigung sämtlicher anfallender Aufgaben zu gewährleisten. die Rollen aller in den IT-Sicherheitsprozess involvierten Personen klar zu definieren.und Reparaturarbeiten. 249 . Nähere Erläuterungen dazu finden sich in den nachfolgenden Maßnahmenbeschreibungen.1.) Revision. Datenschutz. IT-Konfiguration. darüber hinaus detaillierte Regelungen zu folgenden Bereichen zu treffen: • • • • • • • • • • • • • • • Datensicherung. Notfallvorsorge und Vorgehensweise bei Verletzung der Sicherheitspolitik.2 Erarbeitung einer organisationsweiten Informationssicherheits-Politik und 5 Entwicklung einer organisationsweiten Informationssicherheits-Politik ). Datenarchivierung. Wartungs. Abnahme und Freigabe von Software. Datenübertragung. . Weiters ist zu beachten: • Die Regelungen sind den betroffenen Mitarbeiterinnen/Mitarbeitern in geeigneter Weise bekannt zu geben. Software..

1. [eh SMG 1. Datenerfassung und Zahlungsanordnungsbefugnis.3. um Missverständnisse.4 Im Rahmen der Zuordnung von Aufgaben und Verantwortlichkeiten ist auch festzulegen.5] 10.• • • Sämtliche Regelungen sind in der aktuellen Form an einer Stelle vorzuhalten und bei berechtigtem Interesse zugänglich zu machen. dass meistens operative Funktionen nicht mit kontrollierenden Funktionen vereinbar sind. so ist dies in einer entsprechenden Dokumentation über die Funktionsverteilung besonders hervorzuheben.1. Die getroffenen Regelungen sind regelmäßig zu aktualisieren. ungeklärte Zuständigkeiten und Widersprüche zu verhindern. Revision und Zahlungsanordnungsbefugnis. Vorgaben hierfür können aus den Aufgaben selbst oder aus gesetzlichen Bestimmungen resultieren.1.6 Einrichtung von Standardarbeitsplätzen 250 . Programmierung und Test bei eigenerstellter Software. Die dabei getroffenen Festlegungen sind zu dokumentieren und bei Veränderungen im IT-Einsatz zu aktualisieren.1. [eh SMG 1. Beispiele dafür sind: • • • • • Rechteverwaltung und Revision. Es empfiehlt sich. 10. also auch nicht von einer Person gleichzeitig wahrgenommen werden dürfen ("Funktionstrennung"). Nach der Festlegung der einzuhaltenden Funktionstrennung kann die Zuordnung der Funktionen zu Personen erfolgen.4] 10. Insbesondere wird deutlich. Netzadministration und Revision. die Bekanntgabe zu dokumentieren. Sollte bei dieser Zuordnung eine Person miteinander unvereinbare Funktionen wahrnehmen müssen. welche Funktionen nicht miteinander vereinbar sind.5 Funktionstrennung ISO Bezug: 27002 10.

IT-Management: Die Beschaffung größerer Stückzahlen gleicher Komponenten ermöglicht Preisvorteile. In Anlehnung an den IKT-Board Beschluss vom 17. Die Planung und Einrichtung erfolgt üblicherweise unter den Aspekten der Aufgabenstellung. Bei Fragen zu Hard. Die Einrichtung von Standardarbeitsplätzen ist in mehrfacher Hinsicht vorteilhaft: IT-Sicherheit: • • • • • Standardarbeitsplätze sind leichter in Sicherheitskonzepte einzubinden. Zuverlässigkeit. Geschwindigkeit und Wartbarkeit.ISO Bezug: 27002 10. Ergonomie. Durch gleiche IT-Ausstattung entfallen "Neidfaktoren" zwischen den einzelnen Benutzerinnen/Benutzern.1. Systemadministration bei Installation und Wartung: • • • Eine gewissenhaft geplante und getestete Installation kann fehlerfrei und mit geringem Arbeitsaufwand installiert werden. Sie wird durch fachkundiges Personal durchgeführt. das sie am Arbeitsplatz vorfinden. Dadurch soll das Vertrauen in das Grundsystem gestärkt werden. Ausfallzeiten werden somit minimiert. Der Einsatz nicht zulässiger Software ist einfacher festzustellen.09.2002 [IKTB-170902-7] wird die Verwendung und Umsetzung einer sicheren Initialkonfiguration bei der Auslieferung von Systemen im Bundesbereich empfohlen. Die einheitliche Arbeitsumgebung erleichtert Wartung und Support. IT-Nutzer/innen: • • Bei Gerätewechsel ist keine erneute Einweisung in die IT-Konfiguration erforderlich.und Software können sich Anwender/innen gegenseitig helfen. 251 . Schulung: Die Teilnehmer/innen werden in dem Umfeld geschult. Der Aufwand für die Dokumentation des IT-Bestandes wird reduziert.1 Ein Standardarbeitsplatz ist gekennzeichnet durch einheitliche Hardware und Software sowie deren Konfiguration.

[eh SMG 1.5 252 .2 Für jedes IT-System ist sicherzustellen. Dabei ist insbesondere darauf zu achten.7 Akkreditierung von IT-Systemen ISO Bezug: 27002 10.3.1. Die Kriterien. vgl. unter bestimmten Einsatzbedingungen und für eine bestimmte vorgegebene Zeitspanne gewährleistet ist.oder gegebenenfalls eine spezifische Anwendung .1. Erst nach erfolgter Akkreditierung kann das System .8 Change Management ISO Bezug: 27002 10. 12. sollten in der ITSystemsicherheitspolitik festgelegt werden.7] 10. wann eine Neuakkreditierung durchzuführen ist.6] 10.[eh SMG 1.2. dass die Sicherheit des Systems • • • in einer bestimmten Betriebsumgebung. 15 Security Compliance Checking und Monitoring Tests Evaluation und Zertifizierung von Systemen Änderungen der eingesetzten Sicherheitsmaßnahmen oder der Betriebsumgebung können eine neuerliche Akkreditierung des Systems erforderlich machen. dass es den Anforderungen der ITSystemsicherheitspolitik genügt. auch Kap.1.in Echtbetrieb gehen. Techniken zur Akkreditierung sind: • • • Prüfung der Maßnahmen auf Übereinstimmung mit der IT-Sicherheitspolitik (Security Compliance Checking).

Alle Änderungen und die dazugehörigen Entscheidungsgrundlagen sind schriftlich zu dokumentieren.).8.1.. Integrität oder Verfügbarkeit und Änderungen bei Bedrohungen oder Schwachstellen. Eine Änderung des IT-Systems oder seiner Einsatzbedingungen kann also • • Änderungen in der Umsetzung des Informationssicherheitsplans die Erstellung eines neuen Sicherheitskonzeptes 253 . neue Sicherheitsanforderungen zu erkennen. die sich aus Änderungen am IT-System ergeben. so sind die Auswirkungen auf die Gesamtsicherheit des Systems zu untersuchen. Abhängig von der Bedeutung des Systems und dem Grad der Änderung kann eine neuerliche Durchführung vorangegangener Aktivitäten im Sicherheitsprozess (vgl.B. 10. nach einem Umzug. .Aufgabe des Change Managements ist es.2 Es ist dafür Sorge zu tragen.1 Reaktion auf Änderungen am IT-System ISO Bezug: 27002 10. [eh T2 6.3] 10. dass auf alle sicherheitsrelevanten Änderungen angemessen reagiert wird. Sind signifikante Hardware..1 Etablierung eines IT-Sicherheits-Management-Prozesses erforderlich werden. dass Änderungen an einem IT-System nicht zu einer Verringerung der Effizienz von einzelnen Sicherheitsmaßnahmen und damit einer Gefährdung der Gesamtsicherheit führen. neue Netzwerkverbindungen. räumliche Änderungen. Dazu gehören zum Beispiel: • • • • • • Änderungen des IT-Systems (neue Applikationen. neue Hardware.oder Softwareänderungen in einem IT-System geplant. etwa externe oder anonyme.1. z. Im Rahmen des Konfigurationsmanagements ist sicherzustellen. Änderungen in der Benutzerstruktur (neue. Änderungen in der Aufgabenstellung oder in der Wichtigkeit der Aufgabe für die Institution.1. Benutzergruppen). Änderungen in der Bewertung der eingesetzten IT. der notwendigen Vertraulichkeit.

12. 12. 10.6 Software-Pflege. 12.1.1.7 Abnahme und Freigabe von Software ). 12. den [IT-BVM] sowie den [Common Criteria] . die freigegebene Software(version) nur unverändert installiert werden kann (vgl. • • • • Es ist sicherzustellen.1.2 Software-Änderungskontrolle ISO Bezug: 27002 10.4 254 . Die Ausführungen orientieren sich an den [AVB-IT] .2 Software-Änderungskontrolle (Software Change Control) ist der Teil des Change Managements.1.8 Installation und Konfiguration von Software ) und Standardsoftware einer Lizenzverwaltung und Versionskontrolle unterliegt (vgl. vgl. 10.1.• • eine neue Risikoanalyse oder sogar die Überarbeitung der organisationsweiten Informationssicherheits-Politik erforderlich machen. Installation und Konfiguration entsprechend den Installationsanweisungen erfolgen (vgl.und -Änderungskonzept (SWPÄ-Konzept )).5.1 Dokumentation von Software ISO Bezug: 27002 10. Dabei wird insbesondere auf die sicherheitsspezifischen Fragen im Rahmen der Dokumentation eingegangen. dass nur abgenommene und freigegebene Software installiert wird (vgl.2 Dokumentation Die im Folgenden angeführten Maßnahmen geben grobe Richtlinien zu den Anforderungen an die Dokumentation. 12.2] 10. [eh BET 3.8.1] 10.3. [eh BET 3. In den genannten Dokumenten finden sich auch weitere Details. 10.1. 12.1.5.1. der sich auf die Gewährleistung der Integrität von Software bei Änderungen bezieht.2.9 Sicherstellen der Integrität von Software ).10 Lizenzverwaltung und Versionskontrolle von Standardsoftware ) Für komplexe Eigenentwicklungen empfiehlt sich die Erstellung eines "SoftwarePflege.7.2. 12.3.und Änderungskonzeptes" (SWPÄ-Konzept.2.1.

255 . Aus sicherheitstechnischer Sicht soll die Benutzerdokumentation der/dem Endbenutzer/in helfen. etwa [AVB-IT] ). Die Dokumentation muss zumindest beinhalten: • • • • Benutzerdokumentation Dokumentation für Installation und Administration Darüber hinaus können je nach Bedarf folgende Anforderungen bestehen: technische Dokumentation Entwicklungsdokumentation Benutzerdokumentation: Bei der Benutzerdokumentation (in den [IT-BVM] als "Anwendungshandbuch" bezeichnet) handelt es sich um Information über die Software. die die/der Entwickler/in der/dem Benutzer/in zur Verwendung bereitstellt. dass sie für eine eingeschulte Person verständlich sind. Dabei ist zu achten auf: • • die Vollständigkeit und Korrektheit der gelieferten Dokumentation und die laufende Aktualisierung der Dokumentation während der gesamten Nutzungsdauer der Software. • • die Sicherheitseigenschaften der Software sowie den Beitrag der/des Endbenutzerin/Endbenutzers zur Gewährleistung der Sicherheit bei der Verwendung der Software zu verstehen. Die Benutzerdokumentation sollte in deutscher Sprache vorliegen.Für jede Softwarekomponente ist die Verfügbarkeit der zu ihrer Nutzung erforderlichen und/oder zweckmäßigen Dokumentation sicherzustellen. Dies kann und sollte auch vertraglich festgelegt werden (vgl. Daneben hat die Dokumentation typische und vorhersehbare Fehlersituationen und deren Behebung zu beschreiben. Die Benutzerdokumentation hat alle für die laufende Arbeit notwendigen Abläufe so zu beschreiben.

Aus sicherheitstechnischer Sicht muss die Administratordokumentation die sicherheitsspezifischen Funktionen darlegen.Ebenso empfiehlt sich eine Vereinbarung über die Lieferung der Dokumentation zusätzlich in maschinenlesbarer Form. 12.insbesondere bei der Entwicklung von Individualsoftware . bei der der Sourcecode nicht mitgeliefert wird.3 Im Falle einer Lieferung von Software. dass sie für eine/n mit ähnlichen Komponenten vertraute/n Expertin/Experten verständlich und verwertbar ist. zu konfigurieren und zu bedienen. Sie soll Administratoren helfen. [eh ENT 2. die Software in einer sicheren Art und Weise zu installieren. 256 . Darüber hinaus muss sie Richtlinien zur konsistenten und wirksamen Nutzung der Sicherheitseigenschaften der Software enthalten und darlegen. Daneben hat die Dokumentation typische und vorhersehbare Fehlersituationen und deren Behebung zu beschreiben. Die Dokumentation für die Installation und Administration (im Folgenden kurz als "Administratordokumentation". zur Durchführung und Überwachung des Betriebs und zur Unterbrechung und Beendigung des Betriebs. in den [IT-BVM] als "Betriebshandbuch" bezeichnet) hat alle für die Installation und die laufende Verwaltung des Systems notwendigen Abläufe so zu beschreiben. dass sie für eine eingeschulte Person verständlich sind. die für Administratoren von Bedeutung sind.1. Dokumentation für Installation und Administration: Bei dieser Dokumentation handelt es sich um Information über die erforderlichen Maßnahmen zur Aufnahme des Betriebs. sollte nach Möglichkeit .1.4.1] 10.Sourcecodehinterlegung vereinbart werden. Diese soll die Möglichkeit einer weiteren Fehlerbehebung.2 Sourcecodehinterlegung ISO Bezug: 27002 10. Änderung und Wartung von Software für den Fall der Handlungsunfähigkeit des Softwareherstellers und den Fall der Einstellung der Weiterentwicklung oder Wartung sicherstellen. so dass diese an definierten Arbeitsplätzen während der Arbeit abgerufen werden kann. Technische Dokumentation: Diese muss den zum Zeitpunkt der Installation der Software üblichen Standards entsprechen und so gestaltet sein. wie solche Eigenschaften zusammenwirken.2.

) von der/ dem Auftragnehmer/in versiegelt und bei der/dem Auftraggeber/in oder einer/einem vertrauenswürdigen Dritten (z. Eröffnung eines Konkursverfahrens. Ein Vorschlag zur Formulierung einer entsprechenden vertraglichen Vereinbarung findet sich in den [AVB-IT] (s. Programm und Datenflusspläne. so ist die/der Auftraggeber/in berechtigt. übersetzt sie in Maschinencode und nimmt die Installation auf dem System vor.7.. .. Die Hinterlegung muss bei jeder Lieferung einer neuen Version wiederholt werden. Dabei ist zu beachten: • • • • Der Datenträger muss die Software in den ursprünglichen Programmiersprachen zum Zeitpunkt der Installation einschließlich aller seitherigen Änderungen enthalten.4 257 .3 Dokumentation der Systemkonfiguration ISO Bezug: 27002 10. auf die Aktualität aller Komponenten sowie der Dokumentation ist zu achten.B.) zu beauftragen oder diese selbst durchzuführen..1. der auf dem System der/des Auftraggeberin/Auftraggebers gelesen werden kann. Testprogramme. Anhang B. in der Quellensprache bereit. Nach der Installation wird der Datenträger mit dem Quellencode samt der dazugehörigen Dokumentation (Inhalt und Aufbau des Datenträgers. [eh ENT 2.2. 10.2] 10. . Der Datenträger muss die in maschinenlesbarer Form vorliegende Dokumentation enthalten.1 Sourcecodehinterlegung (Muster.1.) ein oder stellt sie/er entgegen anders lautenden Vereinbarungen die Weiterentwicklung und/oder Wartung der Software ein. aus AVB-IT) ). Fehlerbehandlung usw. die hinterlegten Datenträger zu entnehmen und entweder ein sachkundiges Unternehmen mit den erforderlichen weiteren Arbeiten (Wartung. Es ist eine Aufstellung der versiegelt hinterlegten Gegenstände sowie eine Anweisung über die Handhabung des Datenträgers und die Installation der Software beizulegen.Durchführung: Die/der Auftragnehmer/in (SW-Hersteller) stellt die Software auf einem Datenträger.. Tritt beim Hersteller Handlungsunfähigkeit (etwa Liquidation. Notar/in) hinterlegt. Fehlerbehebung. Testverfahren.

In diesem Zusammenhang: siehe auch 11. Deren Anwendung ist allerdings auch generell zu empfehlen.5 Datensicherung ). 10. Kontrolle und Notfallvorsorge des IT-Einsatzes basieren auf einer aktuellen Dokumentation des vorhandenen IT-Systems. Nur eine aktuelle Dokumentation der Systemkonfiguration ermöglicht im Notfall einen geordneten Wiederanlauf des IT-Systems. Zur Gewährleistung einer ordnungsgemäßen und funktionierenden Datensicherung ist eine Dokumentation erforderlich. wie die Dokumentation der Datensicherung zu erfolgen hat (vgl.4 Dokumentation der Datensicherung ISO Bezug: 27002 10. Die Unterlagen sind gesichert aufzubewahren.2. Speziell im Bundesbereich ist gemäß [IKTB-170902-7] eine definierte sichere Initialkonfiguration zu verwenden.5. Kap. Um das Vertrauen in Betriebssysteme zu sichern. Bei Installation neuer Betriebssysteme oder bei Updates sind die vorgenommenen Änderungen besonders sorgfältig zu dokumentieren. Bei einem Netzbetrieb sind sowohl die physikalische Netzstruktur (vgl.1 Sichere Initialkonfiguration und Zertifikatsgrundeinstellung .2 Einrichtung und Dokumentation der zugelassenen Benutzer/innen und Rechteprofile ) und der Stand der Datensicherung.3] 10. so dass ihre Verfügbarkeit im Bedarfsfall gewährleistet ist. Dies gilt insbesondere für Änderungen an Systemverzeichnissen und -dateien. damit auch ein/ e Vertreter/in die Administration jederzeit weiterführen kann. Eine entsprechend dokumentierte Initialkonfiguration wird im Rahmen des Online-Angebotes des Chief Information Office des Bundes zur Verfügung stehen. [eh ENT 2.2.5.2. Möglicherweise kann durch die Aktivierung neuer oder durch die Änderung bestehender Systemparameter das Verhalten des IT-Systems (insbesondere auch von Sicherheitsfunktionen) maßgeblich verändert werden. Dabei ist zu beachten: • • • • Die Dokumentation muss aktuell und verständlich sein.Planung.1 In einem Datensicherungskonzept muss festgelegt werden.5 Dokumentation und Kennzeichnung der Verkabelung ) als auch die logische Netzkonfiguration zu dokumentieren. 10. ist generell eine so genannte Vertrauenseinstellung im Zuge der Neuinstallation/-konfiguration vorzunehmen. Steuerung. die für jedes IT-System zumindest folgendes umfassen soll: 258 . Dazu gehören auch die Zugriffsrechte der einzelnen Benutzer/innen (siehe 11.

erstellt werden. Nennung der daran angeschlossenen Netzteilnehmer/ innen. der Aktualität und der Lesbarkeit.• • • • • • das Datum der Datensicherung. Darüber hinaus bedarf es einer Beschreibung der Vorgehensweise. Instandsetzung und für erfolgreiche Überprüfung der Verkabelung ist eine gute Dokumentation und eindeutige Kennzeichnung aller Kabel erforderlich. technische Daten von Anschlusspunkten.). Fehlersuche. 9. 259 .2.und Software (mit Versionsnummer) und die bei der Datensicherung gewählten Parameter (Art der Datensicherung usw. Auch hier muss eine Beschreibung der erforderlichen Hard.und Software. nach der die Datenrekonstruktion zu erfolgen hat. genaue Führung von Kabeln und Trassen in der Liegenschaft (Einzeichnung in bemaßte Grundriss. Standorte von Zentralen und Verteilern mit genauen Bezeichnungen. nutzungsorientierte Kabelkennzeichnung.1. der benötigten Parameter und der Vorgehensweise. auf dem die Daten im operativen Betrieb gespeichert sind. . der Datenträger.3 Für Wartung. [eh ENT 2. Trassendimensionierung und -belegung.2.und Lagepläne). Nutzung aller Leitungen. auf dem die Daten gesichert wurden. Belegungspläne aller Rangierungen und Verteiler.5 Dokumentation und Kennzeichnung der Verkabelung ISO Bezug: 27002 10. die für die Datensicherung eingesetzte Hard. In dieser Dokumentation (auch Bestandsplan genannt) sind alle das Netz betreffenden Sachverhalte aufzunehmen: • • • • • • • • genauer Kabeltyp.6] 10.1. der Datenträger. die einer/einem sachverständigen Dritten eine Wiederherstellung eines Datensicherungsbestandes erlaubt. Die Güte dieser Revisionsdokumentation ist abhängig von der Vollständigkeit. der Datensicherungsumfang (welche Dateien/Verzeichnisse wurden gesichert).

Um die Aktualität der Dokumentation zu gewährleisten. für Brandmeldeleitungen) keine Hinweise auf die Nutzungsart der Leitungen gegeben werden.2. die Vergabe von Fremdaufträgen oder die Freigabe gesicherter Bereiche von der Mitzeichnung dieser Person abhängig zu machen. Es sollen. Tatsächliche Lageinformationen sind immer in maßstäbliche Pläne einzuzeichnen. die/der die Dokumentation führt.1 Lagepläne der Versorgungsleitungen [eh ENT 2.4. und Raumnummern reichen in vielen Fällen aus. 9. dazu auch 9.4] 10. Da diese Dokumentation schutzwürdige Informationen beinhaltet. ist eine Aufteilung der Informationen sinnvoll. dass alle Arbeiten am Netz rechtzeitig und vollständig derjenigen/demjenigen bekannt werden.3 In jedem Verteiler sollte sich eine Dokumentation befinden. Leitungs-. Es muss möglich sein. die den aktuellen Stand von Rangierungen und Leitungsbelegungen wiedergibt.1.2. ist sie sicher aufzubewahren und der Zugriff darauf zu regeln. andere Informationen können in Tabellenform geführt werden. Verteiler-. Es ist z. alle Informationen in einem Plan unterzubringen. Wichtig dabei ist eine eindeutige Zuordnung aller Angaben untereinander.1. Vollständigkeit und Korrektheit dieser Information zu achten.5] 260 . die Ausgabe von Material. ist sicherzustellen. sich anhand dieser Dokumentation einfach und schnell ein genaues Bild über die Verkabelung zu machen. Nur bestehende und genutzte Verbindungen sind darin aufzuführen. Vgl. Es ist auf Aktualität. soweit nicht ausdrücklich vorgeschrieben (z.B. Alle weitergehenden Informationen sind in einer Revisionsdokumentation aufzuführen. Da es mit zunehmender Größe eines Netzes nicht möglich ist. Diese Dokumentation ist möglichst neutral zu halten. [eh ENT 2.• • Gefahrenpunkte. denkbar.B. vorhandene und zu prüfende Schutzmaßnahmen.6 Neutrale Dokumentation in den Verteilern ISO Bezug: 27002 10.

3 Dienstleistungen durch Dritte (Outsourcing) ISO Bezug: 27002 10. Beim Application Hosting ist ebenfalls der Betrieb von Anwendungen an einen Dienstleister ausgelagert. die Straffung der internen Verwaltung. der auf seinen eigenen Systemen einzelne Anwendungen oder Software für seine Kunden betreibt (E-Mail. die Freisetzung interner Ressourcen für andere Aufgaben. Archivierung. Unter Application Service Provider (ASP) versteht man einen Dienstleister. Die Gründe für Outsourcing sind vielfältig: die Konzentration einer Organisation auf ihre Kernkompetenzen. Werden Dienstleistungen mit Bezug zur IT-Sicherheit ausgelagert. Auftraggeber und Dienstleister sind dabei über das Internet oder ein VPN miteinander verbunden. der oftmals durch weitere Begriffe ergänzt wird: Tasksourcing bezeichnet das Auslagern von Teilbereichen. Beispiele sind die Auslagerung des Firewall-Betriebs. Virenschutz oder der Betrieb eines Virtual Private Networks (VPN). Da die Grenzen zwischen klassischem Outsourcing und reinem ASP in der Praxis zunehmend verschwimmen. B. die Überwachung des Netzes.und Produktionsprozessen ist ein etablierter Bestandteil heutiger Organisationsstrategien. Es gibt aber inzwischen auch publizierte Beispiele für gescheiterte OutsourcingProjekte. Dabei ist es unerheblich. wo der Auftraggeber den Outsourcing-Vertrag gekündigt hat und die ausgelagerten Geschäftsprozesse wieder in Eigenregie betreibt (Insourcing). wird im Folgenden nur noch der Oberbegriff Outsourcing verwendet. die Möglichkeit einer Kostenersparnis (z.oder Geschäftsprozesse einer Organisation ganz oder teilweise zu externen Dienstleistern ausgelagert. und dieser scheint auch für die nächste Zukunft ungebrochen. Beschaffung). aber auch Dienstleistungen betreffen. die Erhöhung der Flexibilität sowie der Wettbewerbsfähigkeit einer Organisation sind nur einige Beispiele. Beim Auslagern von IT-gestützten Organisationsprozessen werden die IT-Systeme und Netze der auslagernden Organisation und ihres Outsourcing-Dienstleisters in der Regel eng miteinander verbunden. Speziell in den letzten beiden Jahrzehnten hat sich der Trend zum Outsourcing enorm verstärkt. jedoch gehören im Gegensatz zum ASP-Modell die Anwendungen noch dem jeweiligen Kunden.und Produktionsprozesse.10. Outsourcing kann sowohl Nutzung und Betrieb von Hardware und Software. einer Applikation.2 Beim Outsourcing werden Arbeits. Durch die enge Verbindung zum Dienstleister und 261 . Das Auslagern von Geschäfts. Ebenso findet auf personeller Ebene ein intensiver Kontakt statt. keine Anschaffungsoder Betriebskosten für IT-Systeme). ob die Leistung in den Räumlichkeiten des Auftraggebers oder in einer externen Betriebsstätte des Outsourcing-Dienstleisters erbracht wird. Typische Beispiele sind der Betrieb eines Rechenzentrums. wird von Security Outsourcing oder Managed Security Services gesprochen. Outsourcing ist ein Oberbegriff. der Zugriff auf spezialisierte Kenntnisse und Ressourcen. die verbesserte Skalierbarkeit der Geschäfts. SAP-Anwendungen. einer Webseite oder des Wachdienstes. so dass Teile von internen Geschäftsprozessen unter Leitung und Kontrolle eines externen Dienstleisters ablaufen. Web-Shops.

siehe dazu Kapitel 6. technischen und organisatorischen Randbedingungen auch die sicherheitsrelevanten Aspekte bedacht werden. Dazu zählen ebenfalls geeignete Maßnahmen zur Kontrolle der vertraglich vereinbarten Ziele und Leistungen sowie der IT-Sicherheitsmaßnahmen. welche Aufgaben oder IT-Anwendungen generell für Outsourcing in Frage kommen. ist zunächst kostenintensiv und mit Risiken verbunden.die entstehende Abhängigkeit von der Dienstleistungsqualität ergeben sich Risiken für den Auftraggeber. Den Schwerpunkt dieses Bausteins bilden daher Maßnahmen. Abhängigkeiten. (Beispielsweise könnten sensitive Organisationsinformationen gewollt oder ungewollt nach außen preisgegeben werden. Folgende Gesichtspunkte sollten betrachtet werden: • • • Unternehmensstrategie (Flexibilität. durch die im schlimmsten Fall sogar die Geschäftsgrundlage des Unternehmens oder der Behörde vital gefährdet werden können. Nach ersten strategischen Überlegungen muss zunächst geklärt werden.2. Machbarkeitsstudie mit Zusammenstellung der Rahmenbedingungen. Dabei müssen neben den wirtschaftlichen.1 Festlegung einer Outsourcing-Strategie ISO Bezug: 27002 10. In der Regel bleibt der Auftraggeber weiterhin gegenüber seinen Kunden oder staatlichen Stellen voll verantwortlich für Dienstleistungen oder Produkte.2 Die Bindung an einen Outsourcing-Dienstleister erfolgt auf lange Sicht. betriebswirtschaftliche Aspekte mit Kosten-Nutzen-Abschätzung.) Der Betrachtung von Sicherheitsaspekten und der Gestaltung vertraglicher Regelungen zwischen Auftraggeber und Outsourcing-Dienstleister kommt im Rahmen eines Outsourcing-Vorhabens somit eine zentrale Rolle zu. Gesetze könnten beispielsweise das Auslagern bestimmter Kernaufgaben einer Institution generell verbieten oder zumindest weitreichende Auflagen enthalten und die Beteiligung von Aufsichtsbehörden vorschreiben.3. unabhängig davon. ob einzelne Aufgabenbereiche ausgelagert wurden. zukünftige Planungen). Die Gefährdungslage eines Outsourcing-Vorhabens ist ausgesprochen vielschichtig. Eine gute Planung des Outsourcing-Vorhabens ist daher wichtig. Dabei darf die Bedeutung der rechtlichen Rahmenbedingungen nicht unterschätzt werden. die sich mit ITSicherheitsaspekten des Outsourcing beschäftigen. 262 .2 Gefährdungen beim Outsorcing 10.

eingeführt und durchgeführt werden. Stellt sich heraus. Der Dienstleister hat Zugriff auf Daten und IT-Ressourcen des Auftraggebers.Die IT-Sicherheit wird leider häufig zu Beginn der Planung vernachlässigt. damit Auftraggeber und Auftragnehmer beide von dem Vertragsverhältnis profitieren. Die Praxis lehrt jedoch. dass die Dienstleistungsqualität unzureichend ist. obwohl ihr eine zentrale Bedeutung zukommt.als selbstverständlich erachtet. Allzu leicht verfällt hier der Auftraggeber den Werbeaussagen der Dienstleister in der frohen Erwartung. weil der Auftraggeber Leistungen erwartet. Während IT-ManagerInnen in der Regel sehr kritisch und kostenbewusst sind und Versprechungen von Herstellern und Beratern mit großer Skepsis begegnen. ist beim Outsourcing leider oft das Gegenteil zu beobachten. um seinen Gewinn zu maximieren. die von Anfang an vertraglich fixiert worden sind. dass Mitarbeiter oder Subunternehmer des Outsourcing-Dienstleisters (und damit Betriebsfremde) zeitweise in den Räumlichkeiten des Auftraggebers arbeiten müssen. Bei dieser Rechnung stellt sich vielleicht heraus. Jeder IT-Manager. Die Folgen der notwendigen Umstellungen müssen geklärt und abgeschätzt werden. andererseits erwartet der Auftraggeber hohe Dienstleistungsqualität. Je nach Outsourcing-Vorhaben betrifft dies dann auch Daten mit hohem Schutzbedarf. sollte sich die Mühe machen nachzurechnen. dass höchstens die Dienstleistungen in der Zukunft erbracht werden. Die Bindung an den Dienstleister erfolgt unter Umständen sehr langfristig. sind Nachbesserungen in der Regel ohne hohe zusätzliche Kosten nicht zu erwarten. die er .im Gegensatz zum OutsourcingDienstleister . dass eine seriöse Leistungserbringung zu den versprochenen niedrigen Kosten höchst unwahrscheinlich ist. zu welchen Kosten ein Dienstleister die vereinbarte Leistung erbringen muss. Flexibilität und kundenfreundliches Verhalten. Für die technische Umsetzung des Outsourcing-Vorhabens ist es notwendig. seine IT-Kosten signifikant senken zu können. Dieser Punkt ist erfahrungsgemäß der am häufigsten unterschätzte. Dadurch ergibt sich automatisch ein erhöhtes Gefahrenpotenzial. 263 . Der Outsourcing-Auftraggeber verliert dadurch die alleinige und vollständige Kontrolle über Daten und Ressourcen. Generell ist nämlich zu bedenken: • • • • • • Die Entscheidung zum Outsourcing ist in der Regel nicht einfach zu revidieren. Im Rahmen eines Outsourcing-Vorhabens müssen neue Prozesse und Arbeitsabläufe entworfen. dass zwischen Auftraggeber und Dienstleister Daten übertragen werden. der über Outsourcing nachdenkt. Auch dadurch ergibt sich ein erhöhtes Gefahrenpotenzial. Dies gilt sowohl für technische als auch organisatorische Sicherheitsaspekte. In der Regel ist es erforderlich. Für jeden Outsourcing-Dienstleister besteht ein nicht zu unterschätzender Interessenskonflikt: Einerseits muss er die Dienstleistung möglichst kostengünstig erbringen. denen im Outsourcing-Szenario eine entscheidende Rolle zukommt.

Sind die sicherheitsrelevanten Gefährdungen analysiert worden. Fixe Kosten können so in variable umgewandelt werden. Die Auswirkungen eines Outsourcing-Vorhabens auf die Aufgabenerfüllung. Sollen Standardabläufe oder Kerngeschäftsprozesse ausgelagert werden? Wichtig ist in diesem Zusammenhang. muss daher immer eine individuelle Sicherheitsanalyse durchgeführt werden.und Nachteile von Outsourcing mit Bezug zur IT-Sicherheit. durch Diversifikation oder Ausweitung der Produktpalette) zu etablieren. beispielsweise können Systeme. Schlussendlich wird dennoch ein gewisses Restrisiko durch den Outsourcing-Auftraggeber zu tragen sein. sicherheitskritische Anwendungen betrieben werden können. • • • Vorteil: Es besteht die Möglichkeit. ihre Relevanz zu erkennen und bei Bedarf rasch die richtigen Schritte einzuleiten. ob und wie diesen begegnet werden soll. 264 . In Folge können sich jedoch durch die Erweiterungen (z. Ressourcen oder der Personalbedarf schneller angepasst bzw. regelmäßig die Flut an Sicherheitshinweisen. Updatemeldungen und Bug-Reports auszuwerten. Security-Bulletins. von ITSystemen) auch neue Sicherheitsprobleme ergeben. In der Folge muss das festgelegte Sicherheitsniveau jedoch auch für das ausgeweitete Angebot sichergestellt werden.oder Produktportfolio müssen ebenfalls berücksichtigt werden. Nur so kann letztendlich festgestellt werden. Gerade in der IT-Sicherheit ist es sehr zeitaufwändig und benötigt viel technisches Wissen. B. erweitert werden. damit Teile davon ausgelagert werden können. langfristigen Outsourcing-Strategie den Blick nicht nur auf die Einsparung von Kosten richten. da dies vom Outsourcing-Dienstleister unter Umständen auch kurzfristig eingekauft werden kann. In dieser frühen Projektphase wird das Sicherheitskonzept naturgemäß nur Rahmenbedingungen beschreiben und keine detaillierten Maßnahmen enthalten. B. Anforderungen an die IT selbst zu bestimmen und zu kontrollieren in ausreichendem Maße erhalten werden.Um die Outsourcing-Strategie festzulegen. Vorteil: Im Idealfall kann durch das Outsourcing-Vorhaben ein besseres ITSicherheitsniveau erreicht werden. so dass dadurch auch neue. kann festgelegt werden. neue Dienstleistungen (z. Vorteil: Es besteht mehr Flexibilität. Die nachfolgenden Hinweise beleuchten Vor. Die Ergebnisse der Sicherheitsanalyse gehen unmittelbar in die Kosten-Nutzen-Abschätzung ein. Insbesondere an die Weiterentwicklung und Pflege selbstentwickelter IT-Systeme und Anwendungen sollte gedacht werden. wie bestehende IT-Systeme abgegrenzt und getrennt werden können. dass die Fähigkeit. Das Management darf bei der Entwicklung einer erfolgversprechenden. da der Dienstleister Spezialisten beschäftigt. das Geschäftsmodell und das Dienstleistungs.

Vorteil: Gerade in Unternehmen oder Behörden mit kleiner IT-Abteilung haben einzelne MitarbeiterInnen oft einen hohen Stellenwert. Eine umfassende Kosten-Nutzen-Analyse jedes Outsourcing-Vorhabens ist essentiell für den strategischen und wirtschaftlichen Erfolg. Nachteil: Wenn das Know-how der vom Outsourcing-Dienstleister eingesetzten SpezialistInnen nicht angemessen ist. können diese schwierig und zeitaufwendig zu beheben sein. Der Outsourcing-Dienstleister muss immer an der Diskussion beteiligt werden. Vorteil: Von einigen Institutionen wird Outsourcing häufig als vielleicht einzige Möglichkeit gesehen. Dienstleister hingegen können in der Regel auf mehrere gleich qualifizierte ExpertInnen zurückgreifen. so können dadurch gravierende ITSicherheitslücken entstehen.• • • • • Zunehmende Komplexität der angebotenen Hard. Sollten hierbei Defizite festgestellt werden. werden Sicherheitslücken womöglich nicht einmal entdeckt.und Softwarelösungen. eine Neugestaltung ihrer IT-Systeme und Anwendungen gegen interne Widerstände durchzusetzen. Der dann entstehende Kostendruck führt oftmals zu Einsparungen bei der IT-Sicherheit. steigende Vernetzung und steigende Anforderungen der Nutzer machen es zudem außerordentlich schwierig. können sich gravierende Sicherheitsprobleme ergeben. Stehen sie einmal nicht zur Verfügung (Krankheit. Im Zuge des Outsourcings soll eine heterogene Systemlandschaft aufgeräumt und standardisiert werden. können sich Sicherheitslücken ergeben. Wenn Fragen der IT-Sicherheit dann nicht zeitnah gelöst werden. Nachteil: Der Aufwand für die Kontrolle der Dienstleistungsqualität darf nicht unterschätzt werden. Der strategische Wert der folgenden Ressourcen muss unter den Rahmenbedingungen des Outsourcing-Vorhabens eingeschätzt werden: • • Know-how MitarbeiterInnen 265 . Ist zusätzlich intern nicht mehr das Fachwissen vorhanden. die sich gegenseitig vertreten können. immer kürzere Produktzyklen. Nachteil: Eine Ausweitung des Dienstleistungsangebots oder die Erweiterung von IT-Systemen ist nicht mehr allein eine Entscheidung des eigenen Managements. um das Sicherheitsniveau beim Outsourcing-Dienstleister zu kontrollieren. immer wieder die richtige Balance zwischen Sicherheit und "mehr Funktionalität" zu finden. vor allem wenn es zu Meinungsverschiedenheiten zwischen Auftraggeber und Dienstleister kommt. alle Parameter zu kennen und auch richtig einzuschätzen. Es ist daher wichtig. Urlaub) oder verlassen die Institution. weil es keinen gleichwertigen Vertreter gibt. Dienstleister kompensieren nicht selten günstige Konditionen bei Vertragsabschluss durch hohe Forderungen bei späteren Sonderwünschen oder neuen Anforderungen des Auftraggebers.

10. Die Erstellung eines detaillierten Sicherheitskonzeptes. Dabei sind Sicherheitsanforderungen an den Outsourcing-Dienstleister selbst. müssen die ITSicherheitsanforderungen so konkret ausgearbeitet werden. Danach wird in der Angebotsphase abgeglichen. wie und ob die gewünschten IT-Sicherheitsanforderungen durch die anbietenden Dienstleister geleistet werden können (siehe auch 10. Chancen und Risiken des Outsourcing-Vorhabens sollten eindeutig beschrieben werden. Es ist zu bedenken. die benutzte Technik (inklusive Kommunikationswege und -dienste). dass das Festlegen von IT-Sicherheitsanforderungen ein iterativer Prozess ist: • • Zunächst werden die gewünschten IT-Sicherheitsanforderungen durch den Auftraggeber spezifiziert.• IT-Systeme und Anwendungen Bei der Kosten-Nutzen-Analyse können Studien und Erfahrungsberichte anderer Institutionen wertvolle Informationen liefern. wird in 10. Abschließend ist die Outsourcing-Strategie zu dokumentieren. die im Rahmen eines laufenden Outsourcing-Vorhabens gemachten Erfahrungen in die Dokumentation der Outsourcing-Strategie zu integrieren.3 Wahl eines geeigneten OutsourcingDienstleisters). das auf den hier formulierten Anforderungen aufbaut und nach Auswahl des Dienstleisters ausgearbeitet wird. Die Ziele. Es empfiehlt sich unter diesem Gesichtspunkt außerdem. Es sollte dabei auch auf Fehlentscheidungen und daraus abgeleitete Empfehlungen für die Zukunft hingewiesen werden. dass auf ihrer Basis der geeignete Dienstleister ausgesucht werden kann.2 Wenn eine Outsourcing-Strategie festgelegt wurde. 266 .3.3.5 Erstellung eines IT-Sicherheitskonzepts für das OutsourcingVorhabenbeschrieben. aber auch an die eigene Organisation zu stellen.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben ISO Bezug: 27002 10.3.

so dass alle Schnittstellen identifiziert werden können. Systemen. basierend auf den eingesetzten Betriebssystemen oder Sicherheitsmechanismen) erarbeitet werden. Sollten darüber hinausgehende Anforderungen bestehen. welche Rechte (z. Personal und Technik müssen beschrieben werden. Zugriffsrechte auf Daten und Systeme) dem Outsourcing-Dienstleister vom Auftraggeber eingeräumt werden. • Generell ergeben sich für Outsourcing-Szenarien folgende Mindestsicherheitsanforderungen: • • • • Die Umsetzung der Anforderungen des Sicherheitshandbuchs ist eine Minimalforderung an beide Outsourcing-Parteien. in denen Auftraggeber oder Dienstleister länderübergreifend oder weltweit operieren. Integrität und Verfügbarkeit erfolgen (siehe auch 10. Beispielsweise könnten folgende Punkte in Abhängigkeit vom Outsourcing-Vorhaben detailliert werden: • Anforderungen an sicherheitskritische organisatorische Prozesse (z. B. Die Anforderungen an Infrastruktur. Es muss eine Ist-Strukturanalyse von IT-Systemen und Anwendungen (siehe auch 10. müssen diese detailliert beschrieben werden. Natürlich sind auch relevante Gesetze und Vorschriften zu beachten. In der Endphase dieses Abstimmungsprozesses müssen dann auch die Sicherheitsanforderungen für die konkrete Umsetzung definiert werden. Es ist wichtig. Im Rahmen der IT-Sicherheitsanforderungen ist festzulegen. nach Fachaufgabe. Kommunikationsverbindungen. so muss mit diesem die weitere Verfeinerung der IT-Sicherheitsanforderungen (z.• Ist ein Dienstleister ausgewählt. Es muss eine Schutzbedarfsfeststellung (z.3. IT-Systemen). Geschäftsprozess. Dies hängt entscheidend von der Sicherheitsstrategie und bereits vorhandenen Systemen und Anwendungen ab. B. An die Schnittstellen können dann entsprechende technische Sicherheitsanforderungen gestellt werden.3. B. Räumen) bezüglich Vertraulichkeit.1 Festlegung einer OutsourcingStrategie). von Anwendungen. Zusätzlich müssen sowohl Outsourcing-Dienstleister als auch der Auftraggeber selbst ein ITSicherheitskonzept besitzen und dieses umgesetzt haben. die relevanten IT-Verbünde genau abzugrenzen (z. Organisation.1 Festlegung einer Outsourcing-Strategie) erfolgen. Zeitrestriktionen für den Alarmierungsplan) können spezifiziert werden. Zutrittsrechte. das diesem Sicherheitshandbuch entspricht. B. Dies kann besonders in Fällen. 267 . Es genügt hier oftmals die Verpflichtung auf ein Sicherheitsniveau. aufwendig sein. B.

Qualität oder auch Abläufen und organisatorischen Regelungen können festgelegt werden. Vorgaben an die Mandantenfähigkeit sowie die diesbezügliche Trennung von Hard.3. Generell bilden die festgelegten IT-Sicherheitsanforderungen eine der Grundlagen für die Wahl eines geeigneten Outsourcing-Dienstleisters. Allgemeine Anforderungen bezüglich Kontrolle und Messung von Sicherheit. B. Zuständigkeiten. Audits (unter Umständen durch unabhängige Dritte) können spezifiziert werden.2 Bei der Wahl eines geeigneten Outsourcing-Dienstleisters sind ein möglichst detailliertes Anforderungsprofil und ein darauf basierendes Pflichtenheft entscheidende Erfolgsfaktoren. dass keine IT-Systeme des Auftraggebers in Räumen untergebracht werden dürfen. Es kann beispielsweise gefordert werden. dass ein IT-Sicherheitsbeauftragter / eine IT-Sicherheitsbeauftragte mit speziellen Kenntnissen (z. Anforderungen an die Protokollierung und Auswertung von Protokolldateien können festgelegt werden. Spezielle Verfahren zur Absicherung der Kommunikation zwischen Dienstleister und Auftraggeber wie Einsatz von Verschlüsselungs. Host-Kenntnissen) beim Outsourcing-Dienstleister benannt werden muss Der Einsatz zertifizierter Produkte (z. gemäß Common Criteria) beim Outsourcing-Dienstleister kann gefordert werden. Beispielsweise kann in diesem Zusammenhang der Grad und die Methode der Lastverteilung (z. wie unangekündigte Kontrollen vor Ort.und Software können formuliert werden. Beispielsweise kann festgelegt werden. Gewünschte Verfahren oder Mechanismen für die Kontrolle und Überwachung. Zeitintervalle. z. auf die sich auch geeignete Dienstleister bewerben. in denen bereits Systeme anderer Mandanten des Dienstleisters stehen. B. B. Spezielle ITSicherheitsanforderungen müssen jedoch eventuell an das von Dienstleistern umsetzbare IT-Sicherheitsniveau angepasst werden.und Signaturverfahren können fest vorgegeben werden. 10. Die Ausschreibung sollte die 268 .3 Wahl eines geeigneten Outsourcing-Dienstleisters ISO Bezug: 27002 10.• • • • • • • • Spezielle Anforderungen an bestimmte Rollen können festgelegt werden. Nur so kann eine bedarfsgerechte Ausschreibung erfolgen. B. für Web-Server mit Kundenzugriff bei sehr vielen Kunden) vorgegeben werden. Anforderungen an die Verfügbarkeit von Diensten und IT-Systemen können gestellt werden.

im Partnerunternehmen bzw. in welchem Wirtschaftssektor der Anbieter seine Stärken hat. Als wichtige grundsätzliche Bewertungskriterien für Dienstleister und dessen Personal können gelten • • • • • • Bei ausländischen Dienstleistern müssen besondere Aspekte bedacht werden. nach ISO/IEC 27001 oder ISO 9000. 269 . die Detailanforderungen bezüglich Sicherheit nur gegen eine Vertraulichkeitsvereinbarung (Non-Disclosure-Agreement) an Dienstleister herauszugeben. eine Zertifizierung. B. Dazu gehören beispielsweise: fremde Gesetzgebung. andere Sicherheitskultur. Dabei ist auf Interessenskonflikte durch Geschäftsbeziehungen zu Konkurrenten des Auftraggebers und auf die Unabhängigkeit von bestimmten Herstellern (z.3. enthalten. z. Das Anforderungsprofil hängt stark von der Art des Outsourcing-Vorhabens ab. da dies darauf hinweist. so dass ein einzelner Auftraggeber nur einer unter vielen ist und keine bevorzugte Stellung einnimmt. In Einzelfällen kann es notwendig sein.• • Beschreibung des Outsourcing-Vorhabens (Aufgabenbeschreibung und Aufgabenteilung) sowie Beschreibungen zum geforderten Qualitätsniveau.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben). Weiterhin müssen den potenziellen Dienstleistern auch möglichst detailliert • • die IT-Sicherheitsanforderungen und die Kriterien zur Messung von Servicequalität und Sicherheit mitgeteilt werden (siehe 10. Die Organisationsform eines Dienstleisters kann in Betracht gezogen werden. welches nicht zwangsläufig dem Niveau des Auftraggebers entsprechen muss. durch die landesspezifische Gesetzgebung zugelassene und verwendbare Sicherheitsmechanismen. ist eine sinnvolle Forderung. andere Haftungsregelungen. Die Größe des Dienstleisters kann bei der Auswahl ein Argument sein. da dies z. Ein Qualitätsnachweis bzw. Bei großen Unternehmen ist zu bedenken. um mögliche Einflussfaktoren im Vorfeld abzuklären. Der Dienstleister sollte Referenzen für ähnliche OutsourcingVorhaben aufweisen können. Die Kundenstruktur sollte beachtet werden. Zulieferer. B. die Konkurrenten des Auftraggebers sind) zu achten. Die Eigentümerstruktur sollte recherchiert werden. Spionagerisiko. dass diese sehr viele Auftraggeber und Projekte haben. Bei kleinen Unternehmen könnte das Insolvenzrisiko höher sein. B. die Haftungsgrenzen beeinflussen kann. da sich daraus Hinweise auf existierende oder geplante Sicherheitsmechanismen ableiten lassen.

lieber zu wichtigen Fragen schweigen. Auch an die MitarbeiterInnen eines Dienstleisters sind diverse Anforderungen zu stellen (siehe auch 8. 270 . Umfang und Detaillierungsgrad der vertraglichen Regelungen hängen immer vom speziellen Outsourcing-Projekt ab. Dazu gehört natürlich.3. sich zu blamieren. Die Aspekte. desto sorgfältiger und detaillierter muss der Vertrag zwischen Auftraggeber und Dienstleister ausgehandelt werden. • • • • Die Qualifikation der MitarbeiterInnen muss in die Bewertung der Angebote einfließen.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben). Art. Hierbei sollte auch hinterfragt werden. dass der Outsourcing-Dienstleister sich verpflichtet.2 Regelungen für den Einsatz von Fremdpersonal). wenn sie ihre Sprachfähigkeiten als nicht perfekt einschätzen.• Auskünfte über die aktuelle wirtschaftliche Lage sowie Erwartungen an die zukünftige Geschäftsentwicklung der Dienstleister sollten eingeholt werden. ob die vorhandenen Sprachkenntnisse für die Klärung von Detailproblemen ausreichen. Der Dienstleister sollte auf Einhaltung des Sicherheitshandbuchs und auf die vom Auftraggeber vorgegebenen Sicherheitsanforderungen verpflichtet werden (siehe 10. sind als Hilfsmittel und Checkliste bei der Vertragsgestaltung zu sehen. die im Folgenden beschrieben werden. ob eine Sicherheitsüberprüfung der MitarbeiterInnen vorliegt bzw. Dabei sollten auch die Vertretungsregelungen und die Arbeitszeiten hinterfragt werden. 10. ein IT-Sicherheitskonzept inklusive eines Notfallvorsorgekonzepts zu erstellen und Sicherheitsmaßnahmen sowie Systeme und Anwendungen zu dokumentieren. dass viele Personen aus Angst. Entsprechend dem erforderlichen Sicherheitsniveau für das OutsourcingVorhaben sollte in die Bewertung der Angebote mit aufgenommen werden. Es ist nach der Projektvergabe darauf zu achten. eine solche durchgeführt werden kann.4 Vertragsgestaltung mit dem Outsourcing-Dienstleister ISO Bezug: 27002 10. Die Anzahl der verfügbaren MitarbeiterInnen muss bewertet werden. müssen alle Aspekte des Outsourcing-Vorhabens vertraglich in sogenannten Service Level Agreements (SLAs) festgehalten und geregelt werden. Je höher der Schutzbedarf der ausgelagerten IT-Systeme und Anwendungen ist. Bei der Wahl ausländischer Partner muss eine gemeinsame Sprache für die Kommunikation zwischen den eigenen MitarbeiterInnen und denen des Dienstleisters festgelegt werden.3. Die Erfahrungen zeigen. dass die im Angebot genannten MitarbeiterInnen auch später tatsächlich eingesetzt werden.2 Nachdem ein Outsourcing-Dienstleister ausgewählt wurde.

zur Verfügung stehendem Speicherplatz. wer für die fachlichen Inhalte verantwortlich ist und welche Mitwirkungspflichten dem Auftraggeber obliegen. Anzahl der MitarbeiterInnen. z.und Zugriffsberechtigungen für MitarbeiterInnen des Dienstleisters zu den Räumlichkeiten und IT-Systemen des Auftraggebers Zutritts.. B. Generell wäre eine allgemeine Verpflichtung auf die Einhaltung des Sicherheitshandbuchs zwar zufriedenstellend. Dadurch lassen sich später Streitigkeiten zwischen den Parteien vermeiden. die aufgrund unterschiedlicher Interpretationen der beschriebenen Leistungen notwendig werden. Arbeitsabläufen und Zuständigkeiten • • • • • • Verfahren zur Behebung von Problemen. Im Folgenden findet sich eine Themenliste von Aspekten. Reaktionszeiten. Zutrittskontrolle. es empfiehlt sich jedoch immer. B. auch eine genaue quantitative Leistungsbeschreibung vertraglich zu fixieren. die aus Sicherheitssicht geregelt werden sollten: Infrastruktur • Absicherung der Infrastruktur des Dienstleisters (z. Auch die Erstellung des IT-Sicherheitskonzeptes selbst sollte Vertragsbestandteil sein. . Brandschutz. alle vereinbarten Leistungen so genau und eindeutig wie möglich vertraglich festzuhalten.) Organisatorische Regelungen/ Prozesse • • Festlegung von Kommunikationswegen und Ansprechpartnern Festlegung von Prozessen.Zusätzlich zur allgemeinen Leistungsbeschreibung empfiehlt es sich jedoch immer. Supportzeiten. Insbesondere ist zu klären.. Rechenleistung. Nachträgliche Konkretisierungen und Ergänzungen des Vertrages. zu Verfügbarkeitsanforderungen.und Zugriffsberechtigungen für Mitarbeiterinnen des Auftraggebers zu den Räumlichkeiten und IT-Systemen des Dienstleisters 271 . sind oftmals mit deutlichen Kostenerhöhungen für den Auftraggeber verbunden. Benennung von AnsprechpartnerInnen mit den nötigen Befugnissen regelmäßige Abstimmungsrunden Archivierung und Löschung von Datenbeständen (insbesondere bei Beendigung des Vertragsverhältnisses) Zugriffsmöglichkeiten des Dienstleisters auf IT-Ressourcen des Auftraggebers: Wer greift wie auf welches System zu? Wie sind die Zuständigkeiten und Rechte? Zutritts.

und Urheberrechte an Systemen. Software und Schnittstellen sind festzulegen. Softwarelizenzen etc. Schwere und Dringlichkeit erforderliche Handlungen beim Eintreten eines Störfalls Reaktionszeiten und Eskalationsstufen Mitwirkungspflicht des Auftraggebers bei der Behebung von Notfällen Art und zeitliche Abfolge von regelmäßigen und adäquaten Notfallübungen Art und Umfang der Datensicherung Vereinbarung. Ebenso sind Vertraulichkeitsvereinbarungen (Non-Disclosure-Agreements) vertraglich zu fixieren. sondern sinnvolle Regelungen festzulegen. juristische Rahmenbedingungen • • • Eine Verpflichtung auf die Einhaltung von geltenden Normen und Gesetzen sowie der vereinbarten Sicherheitsmaßnahmen und sonstigen Rahmenbedingungen ist vertraglich zu regeln. ob bzw. Subunternehmer und Unterauftragnehmer des Dienstleisters ist zu regeln. Die Eigentums. Die Einbindung Dritter. Haftung. kann der Auftraggeber von derartigen Vorkommnissen gänzlich überrascht werden. wie bei einem Streik des Personals des Dienstleisters die Verfügbarkeit von Daten und Systemen sichergestellt werden kann. Besonders wenn Dienstleister und Auftraggeber unterschiedlichen Branchen angehören oder ihren Sitz in verschiedenen Ländern haben. In der Regel empfiehlt es sich nicht. welche Systeme redundant ausgelegt sein müssen Von besonderer Bedeutung können Regelungen im Fall höherer Gewalt sein. Es ist auch zu klären. 272 . diese grundsätzlich auszuschließen.) übernimmt. ob der Dienstleister bereits bestehende Verträge mit Dritten (Hardwareausstattung.Personal • • • • • • • • • • • Gestaltung der Arbeitsplätze von externen MitarbeiterInnen (Einhalten von Computerarbeitsplatzrichtlinien) Festlegung und Abstimmung von Vertretungsregelungen Verpflichtung zu Fortbildungsmaßnahmen Notfallvorsorge Kategorien zur Einteilung von Fehlern und Störfällen nach Art. Es sollte beispielsweise geklärt sein. Serviceverträge.

Skripte. dass aus Kostengründen andere Sicherheitsmaßnahmen vernachlässigt werden. Prozeduren. Die Bedeutung von Schadensersatzzahlungen und juristischen Konsequenzen sollte dabei nicht überschätzt werden. wenn der Auftraggeber durch das Ausmaß des Schadensereignisses seiner Geschäftsgrundlage beraubt wird und im schlimmsten Fall durch die Schadensfolgen die Zahlungsunfähigkeit eintritt. nach Beendigung des Auftrags alle Hardund Software inklusive gespeicherter Daten. Batchprogramme ist für den Fall der Beendigung des Dienstleistungsverhältnisses zu regeln. B. dass Schadensersatzzahlungen nur das allerletzte Mittel sind und nicht dazu führen dürfen. Die Aufteilung von Risiken zwischen Auftraggeber und Dienstleister muss bedacht werden. können spezifiziert werden. Der Auftragnehmer ist zu verpflichten. Auf ein ausreichend flexibles Kündigungsrecht ist zu achten. • Kann ein Schaden nachgewiesen bzw. Nachweis von Spionage oder Manipulationen)? Es ist immer zu bedenken. • • Wie wird beispielsweise ein Imageschaden gemessen? Mandantenfähigkeit • Die notwendige Trennung von IT-Systemen und Anwendungen verschiedener Kunden muss vereinbart werden. der Verursacher überführt werden (z. die nur zufällig nicht zu einem größeren Schaden geführt haben? • Insolvenz des Dienstleisters Das Recht auf Schadensersatzzahlungen ist wertlos. Regelungen für das Ende des Outsourcing-Vorhabens. Zu bedenken sind nämlich die folgenden Punkte • Quantifizierbarkeit des Schadens Wie ist es zu bewerten. Nachfolgend fallen dann mindestens Kosten für den Umzug zu einem neuen Dienstleister an. für einen Wechsel oder bei Insolvenz des Dienstleisters. Sanktionen oder Schadensersatz bei Nichteinhaltung der Dienstleistungsqualität müssen festgelegt werden. Haftungsfragen im Schadensfall sind zu klären. • Katastrophale Schäden Eine Konventionalstrafe kommt zu spät. wenn diese die Zahlungsfähigkeit des Dienstleisters übersteigen und dieser Insolvenz anmeldet. 273 . Sicherheit lässt sich nicht mit juristischen Mitteln erzielen. die dem Auftraggeber gehören. Alle vorhandenen Daten inklusive Datensicherungen sind ebenfalls zurückzugeben oder (je nach Vereinbarung) zu vernichten. z. zurückzugeben. B. wenn gravierende Pflichtverletzungen aufgedeckt werden.• • • • • • Die Weiterverwendung der vom Dienstleister eingesetzten Tools.

Mitarbeit oder Hilfestellung des Auftraggebers. Falls notwendig. so dass die eingesetzten MitarbeiterInnen nicht mit anderen MitarbeiterInnen des Dienstleisters auftraggeberbezogene Informationen austauschen dürfen. Dies gilt insbesondere. die es ermöglichen. diese in seinem Sinne weiterzuentwickeln. Eine kontinuierliche Verbesserung der Dienstleistungsqualität und des ITSicherheitsniveaus sollte bereits in den SLAs festgeschrieben werden. wie auf Systemerweiterungen. • Es ist sicherzustellen. Dabei sind folgende Punkte einzubeziehen: • • • • • Regelungen für Updates und Systemanpassungen Trennung von Test. der damit die Fähigkeit verliert. B. Der Zeitrahmen für die Behebung von Fehlern ist festzulegen. dass Daten des Auftraggebers unter keinen Umständen anderen Kunden des Outsourcing-Dienstleisters zugänglich werden. muss vereinbart werden. Nicht selten übernimmt der Dienstleister selbstentwickelte Systeme oder Software vom Auftraggeber. muss die physikalische Trennung (d. wenn beispielsweise gesetzliche Vorgaben geändert wurden. Es kann auch sinnvoll sein. dass die vom Dienstleister eingesetzten Mitarbeiter nicht für andere Auftraggeber eingesetzt werden. dezidierte Hardware) vereinbart werden.• • Es ist sicherzustellen. diese auf Verschwiegenheit zu verpflichten. Abnahmeund Freigabeprozeduren) 274 . Testverfahren für neue Soft. sich neuen Anforderungen anzupassen. Falls notwendig. Der Evolutionspfad von Systemen muss daher geregelt werden.und Produktionssystemen Zuständigkeiten bei der Erstellung von Testkonzepten Festlegen von zu benutzenden Testmodellen Zuständigkeiten bei Auftraggeber und Dienstleister bei der Durchführung von Tests (z.und Hardware sind zu vereinbaren. • Änderungsmanagement und Testverfahren • • • • • Es müssen Regelungen gefunden werden. Es ist festzulegen. dass der Auftraggeber immer in der Lage ist. In diesem Zusammenhang ist auch die Betreuung und Weiterentwicklung bereits vorhandener Systeme zu regeln. h. gestiegene Anforderungen oder knapp werdende Ressourcen reagiert wird. dass Probleme bei anderen Kunden nicht die Abläufe und Systeme des Auftraggebers beeinrächtigen.

Der Auftraggeber muss die dazu notwendigen Auskunfts-. das nach Beauftragung eines Dienstleisters erarbeitet wird. die beim Auftraggeber Prüfungen durchführen müssen (z. Generell unterscheiden sich IT-Sicherheitskonzepte für Outsourcing-Vorhaben nur wenig von IT-Sicherheitskonzepten für selbstbetriebene IT-Systeme.2 Für jedes Outsourcing-Vorhaben muss ein IT-Sicherheitskonzept existieren. Wenn unabhängige Dritte Audits oder BenchmarkTests durchführen sollen. Durch unerwartete Fehler dabei werden wichtige Anwendungen gestört. muss dies bereits im Vertrag geregelt sein. Aufsichtsbehörden) müssen auch beim Outsourcing-Dienstleister die entsprechenden Kontrollmöglichkeiten (z.5 Erstellung eines IT-Sicherheitskonzepts für das Outsourcing-Vorhaben ISO Bezug: 27002 10. Verfügbarkeit) Kontrollen • • Dienstleistungsqualität und IT-Sicherheit müssen regelmäßig kontrolliert werden. B.• • • Informationspflicht und Absprache vor wichtigen Eingriffen ins System (Negativbeispiel: Der Dienstleister spielt ein neues Betriebssystem auf dem Server ein. ohne dass der Auftraggeber sich vorbereiten konnte. wird daher in den wenigsten Fällen gleich vollständig und endgültig sein und muss während der Migrationsphase von allen Beteiligten stetig weiterentwickelt und konkretisiert werden. Das IT-Sicherheitskonzept. Einsichts-. Outsourcing-Projekte sind dadurch gekennzeichnet.3. Dieses kann unter anderem auf Grundlage dieses Sicherheitshandbuchs erstellt sein. B. 10. Allen Institutionen.) Genehmigungsverfahren für die Durchführung von Tests Festlegung zumutbarer Qualitätseinbußen während der Testphase (z. Es ergeben sich jedoch folgende Besonderheiten. B. die berücksichtigt werden müssen: • Am Outsourcing-Vorhaben sind aus technischer Sicht in der Regel drei Parteien beteiligt: • • Outsourcing-Auftraggeber Outsourcing-Dienstleister 275 . dass sich viele technische und organisatorische Details erst im Laufe der Planung und bei Migration der Systeme ergeben. Zutrittsund Zugangsrechte besitzen. Zutrittsrechte. Dateneinsicht) eingeräumt werden.

Dabei ist der Auftraggeber am ITSicherheitskonzept des Outsourcing-Dienstleisters nicht direkt beteiligt. Erfahrungsgemäß ist der Übergang (Migration) von Aufgaben und IT-Systemen vom Auftraggeber zum Outsourcing-Dienstleister eine Projektphase. Dieses kann auch durch externe ExpertInnen verstärkt werden. Die Zuständigkeit für die Netzanbindung fällt dabei in der Regel dem Outsourcing-Dienstleister zu.4 Vertragsgestaltung mit dem Outsourcing-Dienstleister genannten Sicherheitsanforderungen bilden dabei die Basis für das IT-Sicherheitskonzept. Aufbauend auf den dort beschriebenen grundlegenden Anforderungen muss im ITSicherheitskonzept die detaillierte Ausgestaltung erfolgen. Die verschiedenen Teil-Konzepte müssen zwischen Auftraggeber und Dienstleistern abgestimmt werden. um spezielles Know-how verfügbar zu machen. sollte aber in einem Audit prüfen. der Netzprovider stellt die Anbindung zwischen den Outsourcing-Parteien bereit. 276 .3. Die Verantwortlichkeiten und Hierarchien für die Migrationsphase sind festzulegen.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhabenund 10. Zusätzlich ist darauf zu achten. für den Einflussbereich des Auftraggebers sowie für die Schnittstellen und die Kommunikation zwischen diesen Bereichen. Die in 10. welches auch das spezielle Outsourcing-Vorhaben umfasst. in der verstärkt mit Sicherheitsvorfällen zu rechnen ist. Jeder Beteiligte muss ein eigenes IT-Sicherheitskonzept erstellen und umsetzen. dass im Zweifelsfall mit entsprechendem Nachdruck gehandelt werden kann. Aus diesem Grund müssen im Sicherheitskonzept Regelungen und Maßnahmen zur Migration behandelt werden: • • • Es ist ein gemischtes Team aus MitarbeiterInnen des Auftraggebers und des Outsourcing-Dienstleisters zu bilden. Zusätzlich zu den Einzelkonzepten ist ein IT-Sicherheitskonzept für das Gesamtsystem zu erstellen. dass klare Führungsstrukturen geschaffen und auf beiden Seiten eindeutige AnsprechpartnerInnen definiert werden.• Netzprovider. Für die Migrationsphase muss eine IT-Sicherheitskonzeption erstellt werden. wobei beispielsweise die Maßnahmen konkretisiert und Ansprechpartner namentlich festgelegt werden. ob es vorhanden und ausreichend ist.3. dass auf beiden Seiten Verantwortlichkeiten auch auf hohen Ebenen definiert werden. welches die Sicherheit im Zusammenspiel der Einzelsysteme betrachtet. Für das Audit kann der Auftraggeber dabei auch auf externe Dritte zurückgreifen. Damit sind ITSicherheitskonzepte erforderlich: • • • • • • für den Einflussbereich des Outsourcing-Dienstleisters. Dabei ist es wichtig. Nur so kann sichergestellt werden.

Die produktiven Systeme dürfen dabei nicht vernachlässigt werden. sind verstärkt MitarbeiterInnen zu Bereitschaftsdiensten zu verpflichten. Vertraglich kann sich ein Auftraggeber natürlich auch ein Mitspracherecht bei der Personalauswahl des OutsourcingDienstleisters einräumen lassen. Die MitarbeiterInnen des Auftraggebers sind zum Verhalten während und nach der Migrationsphase zu schulen. da sich erfahrungsgemäß während der Migrationsphase immer Änderungen ergeben. Anwendungen und IT-Systeme. Abnahmeprozeduren erarbeitet und die Produktionseinführung geplant werden. ob die vorgesehenen MitarbeiteInnenr zur Verfügung stehen. Nach Abschluss der Migration muss sichergestellt werden. AnsprechpartnerInnen und Zuständigkeiten werden mit Namen und notwendigen Kontaktdaten (Telefon. müssen ausreichend dokumentiert sein. Die Dokumentation neuer Systeme oder Teilsysteme muss dabei ebenfalls sichergestellt sein. Dies birgt die Gefahr des Social Engineering (z. Dies bedeutet insbesondere: • • Alle Sicherheitsmaßnahmen müssen konkretisiert werden. ob die SLAs oder die vorgesehenen IT-Sicherheitsmaßnahmen angepasst werden müssen. Der Dienstleister muss die relevanten Abläufe. Einführungsphase und den späteren Betrieb auszuwählen. Zeiten der Erreichbarkeit. Zusätzlich müssen Störungen durch notwendige Tests einkalkuliert werden. 277 . B. eventuell erforderliche Zuordnungsbegriffe wie Kundennummern) dokumentiert. Während der Migration muss ständig überprüft werden. Der störungsfreie Betrieb ist durch genaue Ressourcenplanung und Tests sicherzustellen. Es sind geeignete interne MitarbeiterInnen für die Test-. Anruf eines vermeintlichen Mitglieds des Sicherheitsteams des Dienstleisters). die der Dienstleister übernehmen soll.• • • • • • • Die erforderlichen Tests müssen geplant und durchgeführt werden. In der Einführungsphase des Outsourcing-Vorhabens und der ersten Zeit des Betriebs muss dem Notfallkonzept besondere Aufmerksamkeit geschenkt werden. dass das ITSicherheitskonzept aktualisiert wird. Bis sich bei allen Beteiligten die notwendige Routine. Die Prüfung der Dokumentation auf Vollständigkeit muss dabei ebenso bedacht werden wie das Anpassen der vorhandenen Dokumentation auf die veränderten Randbedingungen durch das Outsourcing-Vorhaben. Dazu ist im Vorfeld zu überprüfen. Applikationen und IT-Systeme des Auftraggebers genau kennen lernen und dahingehend eingewiesen werden. beispielsweise in der Behandlung von Fehlfunktionen und sicherheitsrelevanten Vorkommnissen eingestellt hat. In der Regel sind die MitarbeiterInnen dabei mit neuen und unbekannten AnsprechpartnerInnen konfrontiert.

nach erfolgreichen Angriffen. aufgehoben werden. zu erkennen Einsatz von Syslog. dass alle Ausnahmeregelungen. Da die Details eines IT-Sicherheitskonzeptes direkt vom Outsourcing-Vorhaben abhängen. Neben einem Überblick über die Gefährdungslage. wobei auch die eingestellten sicherheitsrelevanten Parameter zu erfassen sind. Das Personal ist durch Schulungsmaßnahmen auf den Regelbetrieb vorzubereiten. Als letzte Aufgabe muss das Outsourcing-Vorhaben nach der Migrationsphase in den sicheren Regelbetrieb überführt werden. Im Folgenden sind einige Aspekte und Themen aufgelistet. Dabei ist vor allem darauf zu achten.und Timeservern. B. B. um Angriffe möglichst zu erschweren Einsatz von Intrusion-Detection-Systemen (IDS). insbesondere Regelungen zum Anfertigen von Kopien und Löschen/Vernichten Festlegung von Aktionen. die im ITSicherheitskonzept im Detail beschrieben werden sollten. infrastrukturellen und personellen Sicherheitsmaßnahmen können Maßnahmen aus folgenden Bereichen sinnvoll sein: Organisation • • • • • • • • Umgang mit Daten und schützenswerten Betriebsmitteln wie Druckerpapier und Speichermedien. um Angriffe frühzeitig zu erkennen Einsatz von Datei-Integrität-Prüfungssystemen. erweiterte Zugriffsrechte. Verbot von Gruppen-IDs für Personal des Dienstleisters 278 . ist die Liste als Anregung zu verstehen und erhebt keinen Anspruch auf Vollständigkeit. für die das "Vier-Augen-Prinzip" anzuwenden ist Hard-/Software Einsatz gehärteter Betriebssysteme.• • Die Systemkonfigurationen ist zu dokumentieren. wie z. die während der Migrationsphase notwendig waren. um Veränderungen z. um eine möglichst umfassende Protokollierung zu ermöglichen Einsatz kaskadierter Firewallsysteme zur Erhöhung des Perimeterschutzes auf Seiten des Dienstleisters sorgfältige Vergabe von Benutzer-Kennungen. die der Motivation der Sicherheitsmaßnahmen dient. und den organisatorischen.

Detailgrad) für Kontrollen und Messung von Sicherheit. beim Outsourcing-Dienstleister sowie für die Schnittstellen zwischen Auftraggeber und Dienstleister (z. unangekündigte Kontrollen vor Ort.9.1 Richtlinien beim Datenaustausch mit Dritten) Kontrollen und QS • Detailregelungen (z. durch Verschlüsselung. In 10. Zuständigkeiten. B.4 Vertragsgestaltung mit dem Outsourcing-Dienstleister sind einige Hinweise gegeben. Router.3. B.3.1 Richtlinien bei Verbindung mit Netzen Dritter (Extranet)) Detailregelungen für den Datenaustausch (siehe 10. Abläufen und organisatorische Regelungen Notfallvorsorge • Das Notfallvorsorgekonzept ist in 10. Die Besonderheiten beim Outsourcing-Betrieb ergeben sich dadurch.8. 10. Netzverbindung. Zeitintervalle. Generell müssen Notfallvorsorgekonzepte für die Systeme beim Auftraggeber. AnsprechpartnerInnen und Abläufe müssen klar geregelt und vollständig dokumentiert werden. elektronische Signatur) zwischen Dienstleister und Auftraggeber. Dienstqualität.Kommunikation • • • • Absicherung der Kommunikation (z.2 Für die Notfallvorsorge beim Outsourcing gelten grundsätzlich die gleichen Anforderungen wie beim nicht ausgelagerten Betrieb von IT-Systemen. dass auch die Notfallvorsorge auf unterschiedliche Parteien aufgeteilt ist und durch die Verteilung der IT-Komponenten auch zusätzliche Komponenten neu hinzukommen. um sensitive Daten zu schützen Authentisierungsmechanismen Detailregelungen für weitere Netzanbindungen (siehe 10. Im Notfallvorsorgekonzept müssen diese Vorgaben genau spezifiziert und im Detail beschrieben werden: • Zuständigkeiten. B. 279 .6 Notfallvorsorge beim Outsourcing beschrieben.3.6 Notfallvorsorge beim Outsourcing ISO Bezug: 27002 10. Telekommunikationsprovider) existieren. welche Aspekte bereits im Service Level Agreement geregelt werden sollten.

getrennte Backup-Medien für jeden Klienten. B. die regelmäßig durchgeführt werden müssen. ohne umfangreiche Kenntnisse über das System zu besitzen. Programmfehler. Netzprobleme) oder anwendungsspezifische (z. falsche Parametereinstellung). Die Verantwortung für die Anwendung liegt dennoch ausschließlich beim Auftraggeber. Ein Fehlverhalten einer Anwendung kann technische Ursachen haben (z. B. Durch das Notfallvorsorgekonzept müssen dem Outsourcing-Dienstleister daher genaue Anweisungen zur Verfügung gestellt werden. Virenschutz). B. Besonders bei Problemen mit komplizierten Anwendungen oder bei umfangreichen Batch-Prozessen sind häufig Kenntnisse erforderlich. Tritt ein Fehler in der Anwendung auf. Verarbeitung eines falschen Datensatzes. Detaillierte Arbeitsanweisungen mit konkreten Anordnungen für bestimmte Fehlersituationen sind zu erstellen. das keine Detailkenntnisse über die Anwendungen besitzt. Ein Konzept für Notfallübungen. wie er dabei vorgehen darf. Liegen anwendungsspezifische Probleme vor. damit mit angemessener Umsicht gehandelt werden kann. Datenträger voll. Oftmals werden die Systeme des Auftraggebers von Personal des Dienstleisters betrieben. um ungewünschte Seiteneffekte auf Applikationsebene zu verhindern. Es kann dabei auch sinnvoll sein. Die IT-Sicherheit hängt in Notfällen entscheidend von der Qualität der Arbeitsanweisungen für das Personal des Outsourcing-Dienstleisters ab. 280 . die nur beim Auftraggeber vorhanden sind. muss der Outsourcing-Dienstleister unter Umständen eine Fehlerbehebung herbeiführen. damit er richtig reagieren kann. benötigt der Outsourcing-Dienstleister detaillierte und umfangreiche Anweisungen sowie Listen mit Ansprechpartnern auf Seiten des Auftraggebers. Bei technischen Fehlern ohne Auswirkungen auf andere Anwendungen wird der Outsourcing-Dienstleister den Fehler zwar selbst beheben können. Aktionen zu definieren. Reboot einer Maschine). Wichtig ist in diesem Fall auch. Vertretungsregelungen. B. Verfügbarkeit.• • • • Detailregelungen für die Datensicherung sind zu erstellen (z. die auf den IT-Systemen betrieben werden. Meist ist aber dennoch eine Kooperation mit dem Auftraggeber notwendig. die explizit verboten sind (z. Eskalationsstrategien. muss erarbeitet werden. dem Dienstleister Informationen bezüglich des Schutzbedarfs der betroffenen Daten und Systeme zur Verfügung zu stellen.

Die angeführten Maßnahmen sind großteils auch gegen andere Arten von Software mit Schadensfunktion. an anderen Programmen oder deren Umgebung vornehmen. Dies sind Programme. dazu auch [NSA-EEC1] ) Das nachfolgende Kapitel beschäftigt sich vorwiegend mit dem Schutz gegen Viren und Würmer. 281 . deren Schadensfunktion von einer logischen Bedingung gesteuert wird. Trojanische Pferde: Selbständige Programme mit verdeckter Schadensfunktion. in andere Programme oder Dateien eingebettete Programmroutinen.unabhängig von der eigentlichen Schadensfunktion .4 Computer-Viren (im Rahmen dieses Handbuchs der Einfachheit halber als Viren bezeichnet) gehören zu den "Programmen mit Schadensfunktionen" ("maliziöse Software"). selbstreproduzierende Programme.4 Schutz vor Schadprogrammen und Schadfunktionen ISO Bezug: 27002 10. die sich selbst reproduzieren und dadurch von dem/der Anwender/in nicht kontrollierbare Manipulationen in Systembereichen.schon durch ihr massenhaftes Auftreten und ihre rasante Verbreitung großes Aufsehen erregen und zu hohen Schäden führen. die sich in einem System (vor allem in Netzen) ausbreiten. die zur Vereinfachung im Folgenden generell als "Viren" bezeichnet werden. die . Damit verursachen sie zusätzliche Arbeit und Kosten und haben einen negativen Einfluss auf die Vertraulichkeit. (vgl. Trojanische Pferde dienen vor allem dazu. Integrität und/oder Verfügbarkeit von Daten oder Programmen. Bei den meisten über E-Mail verbreiteten "Viren" handelt es sich eigentlich um Würmer. Überschreiben oder sonstige Veränderungen unkontrollierbare Schäden an Programmen und Daten bewirken können.B. beispielsweise dem Datum oder einer bestimmten Eingabe. Verbreitung: Während früher Viren meist durch den Austausch verseuchter Datenträger verbreitet wurden. Computer auszuspionieren. ohne Selbstreproduktion. Trojanische Pferde anwendbar. Würmer: Selbständige. E-Mail zum Problem. wird heute zunehmend die Verbreitung über Internet bzw. Logische Bomben: Programme. die verdeckte Funktionen enthalten und damit durch Löschen. wie z. Zu den Programmen mit Schadensfunktionen gehören: Viren: Nicht-selbständige.10.

4.2 Generelle Maßnahmen zur Vorbeugung gegen Virenbefall ISO Bezug: 27002 10. desto geringer wird das allgemeine Risiko. bzw.4.4. einer Verringerung des Schadens im Falle eines Befalls.1.5.1 Erstellung eines Virenschutzkonzepts ISO Bezug: 27002 10. 11. Sichere Aufbewahrung der Sicherheitskopien von Datenträgern (vgl. • • 282 Regelmäßige Durchführung einer Datensicherung (vgl. [eh SYS 4. um einem Virenbefall soweit wie möglich vorzubeugen. Die nachfolgend angeführten Maßnahmen dienen einer Vorbeugung gegen Virenbefall bzw.5 ). die an die Erfordernisse der betroffenen Institution anzupassen sind. 10. ist ein mehrstufiges Schutzkonzept erforderlich. .1 ). Die nachfolgenden Maßnahmen geben eine Reihe von generellen Empfehlungen zum Virenschutz. Die anzuwendenden Maßnahmen sind daher vor dem Hintergrund des Gesamtsystems und der jeweils gültigen Policy vorzuschreiben. bei dem in jeder Stufe angemessene und aufeinander abgestimmte Schutzmaßnahmen realisiert werden.5. sondern auch die Abstimmung dieser Maßnahmen aufeinander.7 Um für ein komplexes IT-System oder eine gesamte Organisation einen effektiven Virenschutz zu erreichen.10. je exakter die Empfehlungen umgesetzt werden. Je mehr bzw. 10.4.1] 10. Schutzmaßnahmen sind zu treffen: • • • auf Ebene der Firewall auf Server-Ebene auf Client-Ebene Neben den technischen Schutzmaßnahmen sind auch organisatorische und personelle Maßnahmen erforderlich. Allerdings können ggf bestimmte (auch notwendige / vorgesehene) Funktionen nicht mehr oder zumindest weniger produktiv durchgeführt werden. im Falle eines Virenbefalls den Schaden möglichst zu begrenzen. Für die Effizienz des Virenschutzkonzeptes sind dabei nicht nur die ausgewählten Maßnahmen selbst von Bedeutung.

etc.) ganz zu unterbinden.WSH. • [eh SYS 4. Es sollten nur vertrauenswürdige Programme zugelassen sein. Adressen). die der Verbreitung von Schadprogrammen entgegenwirken. die auch über entsprechende Sicherheitsfunktionen verfügen.4.und ausgehenden Dateien über externe Netzwerke (EMails.u. Übermittlung von vertraulichen Informationen aus dem geschützten Netz) benötigen definierte Verbindungswege in das Internet (Ports. Für Probleme sollte ein zentraler Ansprechpartner (E-Mail-Adresse. *. das Booten von externen Datenträgern (CD.VBS.und ausgehenden Datenträger (vgl.4. auch 10.2] 10. die im täglichen Arbeitsablauf nicht als Anhänge von E-Mails vorkommen. DVD. 283 .BAT. Nutzung von nur einmal beschreibbaren Medien bei allen Datenträgern. *. um ihre Wirkung entfalten zu können.1 Viele Schadfunktionen (Nachladen von Code aus dem Internet. Überprüfung aller vorinstallierten Neugeräte und gewarteten Geräte. gleich zentral abgeblockt werden. Als vorbeugende Maßnahme gegen Virenbefall empfiehlt es sich. die Programme beinhalten) und bei allen ausgehenden Datenträgern.B. auf die nicht geschrieben werden muss (gilt insbesondere für Datenträger. "Private" Insel-Lösungen auf einzelnen Arbeitsplatz-Rechnern sollten nicht zugelassen werden. in der BootReihenfolge die System-Festplatte an erster Stelle einzustellen bzw. Telefon.7.3 Empfohlene Virenschutzmaßnahmen auf Firewall-Ebene ISO Bezug: 27002 10. Dabei können Dateitypen (z. USB-Stick. Überprüfung aller ein. Internet) (s. Überprüfung aller ein. um die Sicherheit des Gesamtsystems nicht zu gefährden. *. Gateways bieten meist auch Möglichkeiten ohne teure Zusatzprodukte Maßnahmen zu setzen.EXE). Dies gilt in besonderem Maße für E-Mail-Programme.3 Datenträgeraustausch ). *.• • • • • • • Setzen eines Schreibschutzes bzw.).und Fax-Nummer) benannt werden. Daher ist durch eine restriktive Politik bei den Filterregeln der Firewalls eine wesentliche Erhöhung der Sicherheit erreichbar. Die Unterteilung der Festplatte in mehrere Partitionen kann die Rekonstruktion von Daten nach einem Virus-Schaden erleichtern (Anmerkung: Dies gilt auch bei einem Headcrash).

Bildschirmschoner mit Passwort.4.3] 10. um beispielsweise auch Schutz bei verschlüsselter Kommunikation zu erreichen.1 Auf E-Mail-Servern und allen Servern die zum Datenausgetausch genutzt werden sollten Virenschutzprogramme zur zentralen Überprüfung des E-Mail-Verkehrs und der ausgetauschten Dateien installiert werden (vgl. Dabei ist auf eine regelmäßige Aktualisierung der eingesetzten Programme zu achten. Content Vectoring Protocol) möglich. Dabei kann Mail mittels Virenscanner verschiedener Hersteller überprüft werden und . [eh SYS 4. Sollten Informationen geblockt werden. [eh SYS 4. dem/der Absender/in einer solchen E-Mail eine automatisierte Nachricht zukommen zu lassen. (Auch wenn am Mail-Server bereits ein Virenschutzprogramm zum Einsatz kommt.sogar vor dem Vorliegen der neuen Virensignaturen .5 Empfohlene Virenschutzmaßnahmen auf Client-Ebene und Einzelplatzrechnern ISO Bezug: 27002 10. dass seine/ihre Mail nicht zugestellt werden konnte. durch unbedachte oder gewollte Handlungen den Rechner zu gefährden.4.4. das im Hintergrund läuft (resident) und bei bekannten Viren Alarm schlägt.durch das Filtern entsprechender Textbegriffe die Ausbreitung neuer Schadsoftware gestoppt werden.1. empfiehlt sich die Installation dezentraler Virenschutzprogramme. 10. Einsatz eines aktuellen Virenschutzprogrammes mit aktuellen Signatur-Dateien.4] 10. dazu auch 10. Mailprogramm.4. damit während der Abwesenheit der berechtigten Benutzerin bzw.).2 • • • 284 Aktivierung aller vorhandenen Sicherheitsfunktionen des Rechners (PasswortSchutz. empfiehlt es sich.2. die den Verkehr auf Viren und auch den Content der Mails scannen können.B.7.4. etc.Der Einsatz spezieller Rechner. des berechtigten Benutzers Unbefugte keine Möglichkeit haben.4.8 Auswahl und Einsatz von Virenschutzprogrammen ). ist in Form einer erweiterten Gatewayfunktionalität oder der Einbindung über eigene Protokolle (z. .) Aktivierung der Anzeige aller Dateitypen im Browser bzw. 11.4 Empfohlene Virenschutzmaßnahmen auf Server-Ebene ISO Bezug: 27002 10.

vertrauenswürdigen Absenderinnen bzw. 10. welche Programme auf das Internet zugreifen dürfen.BAT. Auch laufende Informationen zu diesem Thema. 285 . etc.EXE) oder ScriptSprachen (*.B. sind empfehlenswert. Durch den Einsatz eines Firewall-Produkts auf den Einzelplatzrechnern (Personal Firewalls).) und Beachtung von Warnmeldungen. etc.6 Vermeidung bzw. Vorsicht bei mehreren E-Mails mit gleichlautendem Betreff.VBS.4. Keine Nutzung von Applikationsverknüpfungen für Anwendungen mit potentiell aktivem Code (MS-Office) im Browser.• • • • • Aktivierung des Makro-Virenschutzes von Anwendungsprogrammen (MS Word. Visual Basic Script.). Erkennen potentieller Gefahren bei eingehender E-Mail und Abwehrmaßnahmen: • • • Bei E-Mail auch von vermeintlich bekannten bzw. [eh SYS 4.5] 10. wirkungsvoll ergänzt (vgl. ob der Text der Nachricht auch zum/ zur Absender/in passt (englischer Text von deutscher Partnerin bzw. die Möglichkeiten zu ihrer Erkennung und Vermeidung sowie die notwendigen Handlungsanweisungen im Falle eines (vermuteten) Virenbefalls hingewiesen werden. die regeln. Daher sollte in Schulungen regelmäßig auf die Gefahr von Viren.).) und ob die Anlage (Attachment) auch erwartet wurde. Excel.4. etwa über das Intranet oder in Form interner Publikationen. deutschem Partner. Erkennung von Viren durch den Benutzer ISO Bezug: 27002 10. kann der Schadsoftware ebenfalls gezielt entgegen gewirkt werden. Kein "Doppelklick" bei ausführbaren Programmen (*. VBS) aus unbekannten Quellen etc.COM. (sofern sie nicht bereits auf Firewall-Ebene gefiltert wurden). Powerpoint.1. Sofern möglich: Wahl der höchsten Stufen in den Sicherheitseinstellungen von Internet-Browsern (Deaktivieren von aktiven Inhalten (ActiveX. Java.2 Die Sensibilisierung der Endanwender/innen für die Virenproblematik stellt eine wichtige Komponente beim Schutz gegen Viren dar. Dadurch wird die zentrale Firewall. Absendern prüfen. 10.4. keine Aktivierung von Anwendungen über Internet. die keine Informationen über die aufrufenden Programme hat.6. *. *. Die Ausführung von aktiven Inhalten in E-Mail-Programmen immer unterbinden (entsprechende Optionen setzen). zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.15 ). JavaScript) und Skript-Sprachen (z.

Nur vertrauenswürdige E-Mail-Attachments öffnen (z. Auch eine E-Mail im HTML-Format kann aktive Inhalte mit Schadensfunktion enthalten. um der Gefahr einer Vireninfektion zu begegnen. Die Konfiguration der E-Mail-Clients sollte so eingestellt sein. wo dies entweder aufgrund gesetzlicher Vorschriften oder kommerzieller Überlegungen nicht möglich ist. Bekannte oder Kolleginnen/Kollegen folgen.B. Empfohlene Verhaltensregeln im Verdachtsfall: Verdächtige E-Mails bzw.) sowie Bildschirmschonern (*. Es handelt sich nämlich meist um irritierende und belästigende Mails mit Falschmeldungen (Hoax oder "elektronische Ente". Keine unnötigen E-Mails mit Scherz-Programmen und ähnlichem versenden. Spezialisten untersucht und weiterbehandelt werden können. B. auch in Teilen des kommerziellen Bereiches wird ein sofortiges Löschen von offensichtlich unsinnigen oder sonst wie verdächtigen Mails empfehlenswert sein. Mails oder Anhängen an Freundinnen bzw. Außerdem sollten als E-Mail-Editor keine Programme mit der Funktionalität von Makro-Sprachen (z. dass ein/e Endanwender/in unabsichtlich Viren verteilt. • • • Vermeidung aktiver Inhalte in E-Mails. dass die Art des DateiAnhangs (Attachment) bei Sabotageangriffen oft getarnt ist und über ein Icon nicht sicher erkannt werden kann. etc. 286 . wie sie diese Spezialistinnen/Spezialisten erreichen oder Mails an solche Bereiche weiterleiten können. sondern direkt nur an den IT-Sicherheitsbeauftragten senden. einen Computer-Virus enthalten können. Maßnahmen bei ausgehender E-Mail: Durch Beachtung der nachfolgenden Maßnahmen kann die Gefahr reduziert werden. in letzter Konsequenz sogar nach telefonischer Absprache). Benutzer/innen müssen wissen. dass Attachments nicht automatisch geöffnet werden.SCR). Dazu sind sog. da diese evtl.• • • • Vorsicht auch bei Dateien von Anwendungsprogrammen (Office. Keinen Aufforderungen zur Weiterleitung von Warnungen. dass verdächtige E-Mails in entsprechend sicherer Umgebung geöffnet und analysiert werden können. Freunde. In Bereichen. "Quarantänebereiche" einzurichten. MS Word) oder Scripts eingesetzt werden. Bei der Verwendung des HTML-Formates ist ebenfalls Vorsicht geboten. Im Privatbereich und ev. deren Attachments sollten auf keinen Fall von dem/der Endanwender/in geöffnet werden. ist dafür zu sorgen. in denen die Mails von Spezialistinnen bzw. Kettenbrief). Es ist zu beachten.

um Benutzerdaten auszuspähen.4. Scripts mit Schadensfunktion enthalten können. Die Angabe der Größe von Dateien. zu verändern oder zu löschen. dass auch Dateien von Office.6. Es muss darauf hingewiesen werden.3 • • Die Informationswege für Notfälle sind zu planen. Je nach vorliegendem Schadprogramm sind Verfahren zur differenzierten EMail-Filterung (z. Gepackte (komprimierte) Dateien sollten erst entpackt und auf Viren überprüft werden. 14.1.7 Erstellung von Notfallplänen im Fall von Vireninfektionen ISO Bezug: 12. dass unzulässige Veränderungen.6] 10. [eh SYS 4. damit nach wie vor Warnungen möglich sind. Größenbeschränkung. Mit einem aktuellen Virenschutzprogramm sollten vor der Installation die Dateien immer überprüft werden.und Präsentations-Dateien. weiterzuleiten. meist durch Viren. dass zu entpackende Dateien nicht automatisch gestartet werden. dürfen diese Systeme allenfalls kurzzeitig deaktiviert werden. • • • • Programme sollten nur von vertrauenswürdigen Seiten geladen werden. die bei anonymen Webspace-Providern eingerichtet werden. Tabellen. Private Homepages. auch angegebenen Prüfsumme. Installierte Entpackungsprogramme sollten so konfiguriert sein. sowie einer evtl. Da EMail mittlerweile das zentrale Informationsmedium geworden ist. Filterung von bestimmten Betreffs) vorzubereiten und auch zu testen. stellen hierbei eine besondere Gefahr dar. stellen einen Hauptverbreitungsweg für Viren und Trojanische Pferde dar. also insbesondere von den Originalseiten der Ersteller/innen. die zuständigen Funktionen oder Personen zu definieren.) Makro-Viren bzw. Daher sollten solche Dateien sofort gelöscht werden. PDF. nur Post-Eingang. 287 . Bei Abweichungen von der vorgegebenen Größe oder Prüfsumme ist zu vermuten.B. 13.• Gelegentlich prüfen. die aus dem Internet abgerufen werden. Ausweichwege für die Kommunikation und Vertretungsregeln festzulegen. keine Attachments. vorgenommen worden sind. ob E-Mails im Ausgangs-Postkorb stehen. Verhalten bei Downloads aus dem Internet: Daten und Programme. die nicht von dem/der Benutzer/in selbst verfasst wurden. etc. sollte nach einem Download immer überprüft werden.und anderen Anwendungsprogrammen (Text-.

wenn auch eingeschränkte.und Restore-Strategien zu erarbeiten. Von Vorteil ist. Programme. [eh SYS 4. welche Rechner in welcher Reihenfolge in betriebsbereiten Zustand zu bringen sind. dass man durch das Virenschutzprogramm eine genauere Information über den jeweils entdeckten Virus erhält. viele Viren zu finden. Ein gutes Virenschutzprogramm muss daher nicht nur in der Lage sein. dass neu erhaltene Software oder Datenträger schon vor dem ersten Einsatz geprüft werden können.7] 10. neu hinzugekommene jedoch meist nicht erkennen können. Spezialisten analysiert worden. Zu beachten ist. Sollten durch einen neuen Virus die üblichen Informationswege nicht verfügbar sein.4.8 Auswahl und Einsatz von Virenschutzprogrammen ISO Bezug: 27002 10. dass bei Vorliegen eines neuen Virus die Updates der Virenschutzprogramme möglichst rasch auf Servern. Lautsprecherdurchsagen). Zahlreiche Programme bieten auch die Möglichkeit einer Entfernung gefundener Viren an. Spezialisten betraut werden. Funktionsfähigkeit hergestellt werden kann.• • • Es muss sichergestellt sein.1 Zum Schutz vor Viren können unterschiedliche Wirkprinzipien genutzt werden. Gateways und Clients eingestellt werden. Ein weiterer Vorteil ist. Die entsprechenden Verteilwege und Maßnahmen sind vorzubereiten und selbstverständlich auch regelmäßig zu testen. Daher ist eine regelmäßige Aktualisierung des Virenschutzprogramms erforderlich. sondern sie auch möglichst exakt identifizieren. Wenn immer möglich. die Speichermedien nach bekannten Viren durchsuchen . B. Die Betriebsart des Virenschutzprogramms hat entscheidenden Einfluss auf die Akzeptanz bei den Anwenderinnen/Anwendern und damit auf die tatsächlich erreichte Schutzfunktion. dass die Qualität dieser Entfernungsroutinen sehr unterschiedlich ist. die festlegen. 288 . Hierbei ist zu beachten. Ebenso wie andere Programme können sie durch Aufruf (transient) oder im Hintergrund (resident) genutzt werden. so dass man weiß. notfalls auch durch Fax. da sie nur die zu ihrem Erstellungszeitpunkt bekannten Viren berücksichtigen. sollten mit der Entfernung Spezialistinnen bzw. haben sich in der Vergangenheit als effektivstes und wirksamstes Mittel in der Viren-Bekämpfung erwiesen. sind alternative Verfahren zur zeitnahen Warnung vorzusehen (z. ob und welche Schadensfunktionen vorhanden sind. damit in kürzester Zeit eine. Die bekannten Viren sind durch Spezialistinnen bzw. Für den Notfall sind Backup. Man kann daher eine Infektion mit bekannten Viren grundsätzlich vermeiden. dass Virenschutzprogramme mit der Zeit ihre Wirksamkeit verlieren. SMS.4.

bevor die Suchfunktion ausgeführt wird. Angabe aller benutzten Parameter. wobei gängige Komprimierungsfunktionen wie PKZIP unterstützt werden sollten. Das Programm sollte über eine Protokollierungsfunktion verfügen. ohne weitere Schäden an Programmen oder Daten zu verursachen.B. sondern auch andere unberechtigte Veränderungen an Dateien. Auf diese Weise können nicht nur Verseuchungen mit bisher unbekannten Viren erkannt werden. Beim residenten Betrieb wird das Virenschutzprogramm beim Start des Rechners in den Speicher geladen und verbleibt dort aktiv bis zum Ausschalten. Im Wesentlichen sollte ein Virenschutzprogramm folgende Eigenschaften erfüllen: • • • • • • • • Der Umfang der erkannten Viren sollte möglichst groß sein und dem aktuell bekannten Bestand entsprechen. die es erlaubt. das Schreiben von Texten. durchsucht die eingestellten Teile des Computers. die regelmäßig kontrolliert werden. Es verrichtet seine Tätigkeit. insbesondere müssen alle sehr stark verbreiteten Viren erkannt werden. Datum und Uhrzeit der Überprüfung. Eine ständige Aktualisierung bezüglich neuer Viren muss vom Hersteller sichergestellt sein.Beim transienten Betrieb wird das Programm aufgerufen. Das Programm sollte Viren auch in komprimierter Form finden. die nicht geprüft werden konnten.und Partition-Sektor) Prüfsummen berechnet. beendet seine Arbeit danach und macht den Speicher wieder frei. er/sie kann inzwischen seine/ihre eigentliche Arbeit. Hierbei werden zum Schutz vor Veränderung von den zu prüfenden Dateien oder Systembereichen (z. Das Programm muss seine eigene Virenfreiheit feststellen. Eine weitere präventive Maßnahme ist der Einsatz von ChecksummenPrüfprogrammen . die folgende Daten festhält: • • • • • Versionsstand des Programms. Boot.B. Nach Möglichkeit muss das Produkt als residentes Programm eine permanente Virenkontrolle ermöglichen. ohne dass der/die Anwender/in dabei mitwirkt. ausführen. 289 . Gefundene Viren müssen mit einer vollständigen Pfad-Angabe angezeigt werden. z. Prüfergebnis mit Prüfumfang. Anzahl und Identifikation der Dateien und Objekte. Sinnvoll ist eine Funktionalität. erkannte Viren zu entfernen. Meist löst der/die Anwender/in den Aufruf aus.

die Quelle der Vireninfektion festzustellen. etc. dass es offensichtlich nicht aktualisiert wurde.1. Überprüfen des Rechners mit einem aktuellen Virenschutzprogramm um festzustellen. so ist der/die Ersteller/in der Datei zu unterrichten. Bereichs-IT-Sicherheitsverantwortliche/r. veränderte Dateiinhalte.4. Darüber hinaus sind jeweils Beschreibungen von Sofortmaßnahmen und Maßnahmen zum Entfernen des Virus anzugeben. Erneute Überprüfung der Festplatte mit dem Viren-Suchprogramm. sollten folgende Schritte durchgeführt werden: • • • • • • • • Beenden der laufenden Programme und Abschalten des Rechners.4. vorher Boot-Reihenfolge im BIOS-Setup ändern. 13 teilw.2 Generelle Maßnahmen zur Vorbeugung gegen Virenbefall ). dass ein Rechner von einem Virus befallen ist (z. Gibt es Anzeichen. ohne dass etwas abgespeichert wurde). wenn es feststellt. 290 . Das Programm sollte eine Liste der erkennbaren Viren und ihre Beschreibung beinhalten. Untersuchung aller anderen Datenträger (USB-Sticks. ständige Verringerung des freien Speicherplatzes. wenn ein Datenaustausch vom infizierten Rechner erfolgte.) auf Virenbefall und Entfernung eventuell vorhandener Viren. Programmdateien werden länger. so sind zur Feststellung des Virus und zur anschließenden Beseitigung folgende Schritte durchzuführen. dann sollte der Hersteller informiert werden. nicht auffindbare Dateien. Wechselplatten. Booten des Rechners von einer einwandfreien. Ist die Quelle auf Original-Datenträger zurückzuführen. ob tatsächlich ein Virus aufgetreten ist und um welchen Virus es sich ggf. geprüften Notfall-CD (evtl.4.8] 10. siehe 10. Helpdesk) zu Hilfe geholt werden.B. Warnung an andere IT-Benutzer/innen.9 Verhaltensregeln bei Auftreten eines Virus ISO Bezug: 27002 10. handelt. Falls dies nicht möglich ist. sollten fachkundige Betreuer/innen (Administrator. Liegt die Quelle in Dateien oder E-Mail. Grundregel: Falls möglich.• • Das Programm sollte eine Warnung ausgeben. Entfernen des Virus abhängig vom jeweiligen Virustyp. Es sollte versucht werden. unerklärliches Systemverhalten. [eh SYS 4.

Derzeit existieren noch keine brauchbaren Programme.10 Warnsystem für Computerviren – Aktualisierung von Virenschutzprogrammen Im Zusammenhang mit Computerviren ist die permanente Aktualität des verwendeten Virenschutzprogrammes von größter Wichtigkeit.11 Schutz vor aktiven Inhalten ISO Bezug: 27002 10.a. sowie Informationen über empfohlene aktive und passive Gegenmaßnahmen.4. Dieses wird in Kooperation mit CERT. Dabei genügt es oft nicht. die eine ähnlich wirksame Erkennung von Schadfunktionen in ActiveX-Controls. welches den geeigneten Stellen der öffentlichen Verwaltung und der Wirtschaft zur Verfügung steht. Neben der Aktualisierung der eingesetzten Software ist auch die Information über neue Computerviren.AT) eingerichtet.4. mit einem Warnsystem für Computerviren und sonstigen schädigenden Inhalten eine Informationsbasis und ein Verteilsystem für derartige Informationen geschaffen.5. Anschließend ist das wiederhergestellte System noch einmal auf Schadsoftware zu überprüfen. Dabei wird u. besonders wichtig.4. sich nur auf die periodischen Updates des Virenschutzprogramm-Herstellers zu verlassen.und Kommunikationstechnologien betrieben. [eh SYS 4. 10.10] 10.Sollte der Virus Daten gelöscht oder verändert haben. die durch die Übertragung aktiver Inhalte zu den Rechnern im zu schützenden Netz entstehen. Im Bereich der öffentlichen Verwaltung wurde ein eigenes Government Computer Emergency Response Team (GovCERT. 291 . so muss versucht werden. die Daten aus den Datensicherungen und die Programme aus den Sicherungskopien der Programme (vgl. Java-Applets oder Scripting-Programmen ermöglichen.6 Sicherungskopie der eingesetzten Software ) zu rekonstruieren. wie sie im Bereich der Computer-Viren möglich ist. Darüber hinaus sind die Verantwortlichkeiten für die regelmäßig durchzuführenden Aktualisierungen innerhalb der Organisation zu definieren.9] 10. [eh SYS 4. Bereits bei der Beschaffung von Virenschutzprogrammen ist daher für die Aktualisierbarkeit und die Versorgung von entsprechenden Updates durch den Hersteller Sorge zu tragen.at zur Behandlung beziehungsweise Verhinderung von Sicherheitsvorfällen im Bereich der Informations.2 Eines der größten Probleme bei der Konzeption eines Sicherheitsgateways (Firewall) ist die Behandlung der Probleme.

Weiterhin ist problematisch. dass auch aktive Inhalte außerhalb von Webseiten gefiltert werden müssen. können JavaApplets verwendet werden. so dass keine potenziell schädlichen Programme mehr auf den Client-Rechnern eintreffen. Ähnliche Probleme existieren im Zusammenhang mit Flash-Objekten. beispielsweise in HTML-E-Mails. dass ein JavaFilter auch alle von den verwendeten Browsern unterstützten Dateiendungen für Java-Dateien kennen muss. entsprechende 292 . Dezentrale Abwehr auf den angeschlossenen Clients Die Ausführung aktiver Inhalte sollte normalerweise durch entsprechende Einstellungen im Browser unterbunden werden. Die Umsetzung einer WhitelistStrategie für aktive Inhalte wird von verschiedenen Browsern in unterschiedlicher Weise und mehr oder weniger gut unterstützt (Beispiele: Zonenmodell des Microsoft Internet Explorers. B. die Endung . Ist das der Fall.class verschickt werden müssen. die auch ohne spezielle Initiierung durch den/die AnwenderIn Programme vom Server laden müssen. Stattdessen können auch komprimierte Dateien eingesetzt werden. Um diese Eigenschaft trotz der Verwendung eines Paketfilters vollständig unterstützen zu können. die z. Idealerweise sollte ein Browser die Möglichkeit bieten. von dem es geladen worden ist. Das bedeutet. Aktive Inhalte werden über spezielle Tags innerhalb einer HTML-Seite eingebunden. Es sollte unbedingt beachtet werden. Dabei ist allerdings zu beachten. dass beispielsweise Java-Applets nicht notwendigerweise als Datei mit der Endung . .jar (Java-Archive) haben. der dem Anwender einen Hinweis über die Tatsache der Filterung gibt. Diese zur Zeit noch recht wenig benutzte Möglichkeit ist eine zentrale Voraussetzung. um kaum zu kontrollierende IP-Verbindungen aufbauen zu können. die von aktiven Inhalten für die Rechner im zu schützenden Netz ausgeht. Das Problem besteht dabei darin. Zusätzliches Schadenspotenzial resultiert auch aus der Möglichkeit. In der Regel werden aktive Inhalte anhand der entsprechenden Tags aus einer HTML-Seite erkannt und gelöscht. lässt sich anhand des folgenden Beispiels darstellen: Ein Java-Applet bzw. die Ausführung bestimmter Typen aktiver Inhalte getrennt für einzelne Server oder Domains freigeben oder verbieten zu können. wenn Netz-Computer (NC) oder ähnliches eingesetzt werden sollen. JavaScript aus Java heraus auszuführen. dass wegen der komplexen Möglichkeiten der aktuellen HTMLSpezifikation oft nicht alle zu löschenden Tags von den Sicherheitsproxies erkannt werden. müssen sehr viel mehr Ports freigeschaltet werden oder es muss ein dynamischer Paketfilter eingesetzt werden. oder sie werden durch einen Textbaustein ersetzt. Die Kontrolle aktiver Inhalte kann auf verschiedene Weise geschehen: • • Zentrale Filterung der aktiven Inhalte auf der Firewall Sämtliche als schädlich eingestuften Inhalte werden von einer Komponente der Firewall gefiltert. der Browser darf gemäß der Java-Spezifikationen eine Netzverbindung zu dem Server aufbauen. dass es auf Grund von Schwachstellen in den Browsern Angreifern möglich sein kann.NET Assemblies und anderen aktiven Inhalten.Die Größe der Gefährdung. Browser-Profile bei Mozilla Firefox).

die dafür ausschlaggebend waren. die durch aktive Inhalte automatisch heruntergeladen wurden. wie mit aktiven Inhalten in Webseiten umgegangen wird. Selbst die vollständige Deaktivierung der Ausführung aktiver Inhalte bietet aber nur einen begrenzten Schutz vor bösartigen aktiven Inhalten. Zudem muss sichergestellt werden. Personal Firewalls sind Programme. da der Nutzer auf die Vertrauenswürdigkeit der Signaturstelle. angewiesen ist.• Einschränkungen zu umgehen. Java-Applets. hängt in erster Linie vom Schutzbedarf der betreffenden Clients ab. Werden ausschließlich signierte aktive Inhalte zugelassen. dass die richtige Konfiguration dieser Programme zusätzlichen Administrationsaufwand erfordert. die auf dem Client-Rechner installiert werden und dort meist mehrere Funktionen wahrnehmen. die Integrität und Authentizität des jeweiligen aktiven Inhalts zu schützen. Die Entscheidung für eine bestimmte Vorgehensweise und die Gründe. so dass der intendierte Schutz tatsächlich nicht oder nicht in vollem Umfang existiert. Personal Firewalls bieten zusammen mit Anti-VirenProgrammen einen recht guten Schutz vor bösartigen aktiven Inhalten. Sie bieten einen guten Schutz vor bereits bekannten Schadprogrammen. In einigen Fällen bieten sie auch sogenannte "Sandboxen". Solche Verbindungsaufnahmen können dann meist entweder automatisch anhand festgelegter Regeln oder im Einzelfall vom Benutzer selbst erlaubt oder verboten werden. Die Signatur dient dazu. Makroviren und Trojanischen Pferden schützen. Installation von Anti-Viren-Software und Personal Firewalls auf den Clients Anti-Viren-Produkte können vor Viren. Die Entscheidung. die die Ausführung aktiver Inhalte kontrollieren und auf unbedenkliche Operationen beschränken können. Sie bieten meist neben der Funktion eines lokalen Paketfilters weitere Funktionen an. die das System gefährden. die in Zusammenarbeit mit dem Anbieter der aktiven Inhalte die Signatur erstellt. Acitve-X Objekte und mit Einschränkungen auch Javascript können mit einer digitalen Signatur versehen werden. Bei allen drei Optionen ist eine Sensibilisierung der Benutzer zusätzlich notwendig. sollten nachvollziehbar dokumentiert werden. dass die Einstellungen auf den Clients bei allen unter Punkt 2 und 3 genannten Schutzvorkehrungen nicht versehentlich oder absichtlich vom Benutzer deaktiviert oder umgangen werden können. Diese Sicherheit ist jedoch nur indirekt. 293 . so bietet dies eine erhöhte Sicherheit vor Schadfunktionen. Aufgrund der Vielzahl von Software-Schwachstellen in den Browsern können die Sicherheitseinstellungen umgangen werden. und dass Personal Firewalls selbst Sicherheitslücken aufweisen können. Beispielsweise bieten einige Personal Firewalls die Möglichkeit einer Überwachung anderer Programme. Allerdings muss berücksichtigt werden. die versuchen eine Netz-Verbindung aufzubauen.

sind dafür zu gravierend. die aktive Inhalte im Browser benötigt.4 294 . sollten deutlich restriktiver sein als bei normalem Schutzbedarf. Die möglichen Schäden. für welche Websites aktive Inhalte freigeschaltet werden.Eine zu "liberale" Einstellung oder gar eine generelle Freigabe aktiver Inhalte ist auch bei normalem Schutzbedarf nicht zu empfehlen. Oft lassen sich aktive Inhalte bei gleichwertiger Funktionalität durch serverseitig dynamisch erzeugte Webseiten ersetzen. ob die Verwendung der aktiven Inhalte wirklich notwendig ist.5] 10. Bei Neuentwicklungen browserbasierter Anwendungen oder bei einer Weiterentwicklung einer bestehenden Anwendung. Anwendungen aktive Inhalte zwingend nötig sind. um sicher zu stellen.4. sollte kritisch hinterfragt werden. Virenscanner auf dem Client Eine Filterung aktiver Inhalte auf dem Sicherheitsgateway mit Freischaltung für vertrauenswürdige Websites (Whitelist) Epfehlungen für hohen Schutzbedarf: • • • • • • Deaktivierung aktiver Inhalte im Browser und Freischaltung nur für vertrauenswürdige Websites. Eine ergänzende Sicherheitsanalyse wird empfohlen.12 Sicherer Aufruf ausführbarer Dateien ISO Bezug: 27002 10. sollten sie nur für die betreffenden Server freigegeben werden. Falls für bestimmte. Virenscanner auf dem Client Eine Filterung aktiver Inhalte auf dem Sicherheitsgateway mit Freischaltung für vertrauenswürdige Websites (Whitelist) Zusätzlich Filterung von Cookies (Whitelist) Die Kriterien. die durch bösartige aktive Inhalte in Verbindung mit Schwachstellen in Webbrowsern oder im unterliegenden Betriebssystem entstehen können. Epfehlungen für normalen Schutzbedarf: • • • Allgemein: Deaktivierung aktiver Inhalte im Browser und Freischaltung nur für vertrauenswürdige Websites. dass ein angemessenes Sicherheitsniveau erreicht wurde [eh SYS 8.

Hierfür können beispielsweise separate Testsysteme eingesetzt werden oder spezielle Benutzerkonten ohne weitere Privilegien. Um dies zu verhindern. Dasselbe gilt für neue Software. auf das er Schreibrechte hat. B. Über klare Trennungen von Rechten.cmd) und unter Unix oder Linux durch Dateirechte (x-Flag) erkennbar. die den eintretenden Schaden begrenzen können. dass jeder Prozess nur so viele Rechte erhält wie unbedingt notwendig sind.vbs. Im Gegensatz hierzu können Anwendungsdaten. Auch bereits getestete Software kann die Sicherheit beeinträchtigen. dass nur die gewünschte. Relative Verzeichnisangaben.1. unter Unix oder Linux beispielsweise durch chroot-Umgebungen. dürfen nur in separaten Bereichen verwendet werden. dass diese Applikationen Schaden anrichten. nur über ein entsprechendes Programm angesehen werden. in denen nach den ausführbaren Dateien gesucht werden soll. könnte die modifizierte statt die gewünschte Datei ausgeführt werden Bei vielen Betriebssystemen werden die Verzeichnisse. Diese Dienste dürfen. Es muss sichergestellt werden. Hierfür eignen sich ebenfalls Benutzerkonten mit eingeschränkten Privilegien. dürfen als Angabe in der PATH- 295 . Im Weiteren muss sichergestellt werden. Schon beim Start von Anwendungen muss sichergestellt werden. . wie Textdateien. Ein Angreifer könnte sonst eine modifizierte Datei mit dem selben Namen in ein Verzeichnis kopieren. der die Datei ausführt. Unter Windows sind ausführbare Dateien an ihrer Dateiendung (beispielsweise . wenn möglich.exe. dürfen ausführbare Dateien nur lesbar sein. die für einen späteren Einsatz auf einem Produktivsystem getestet werden soll.7 Abnahme und Freigabe von Software) Ein Angreifer könnte eine ausführbare Datei soweit verändern. muss nachgedacht werden.Ausführbare Dateien können direkt gestartet werden. Ein Schreibzugriff darf nur Administratoren gestattet werden Ausführbare Dateien für die Schreibrechte benötigt werden. dass nur freigegebene Versionen ausführbarer Dateien und keine eventuell eingebrachten modifizierten Versionen (insbesondere Trojanische Pferde) aufgerufen werden. in der entsprechenden Reihenfolge in der PATH-Variable eingetragen. So kann bei einem erfolgreichen Angriff der eintretende Schaden begrenzt werden.bat. nicht mit Administrator-Rechten gestartet werden. . Wird beim Aufruf in den Verzeichnissen nach der Datei gesucht. (Siehe auch 12. Nur so kann verhindert werden. z. Dies betrifft vor allem sehr komplexe Anwendungen wie zum Beispiel Webserver.com. die das jeweils aktuelle Arbeitsverzeichnis enthalten. dass er die Privilegien des Benutzers erhält. weil sie sich in der Entwicklung befinden. Die Anzahl der angegebenen Verzeichnisse sollte gering und überschaubar gehalten werden. freigegebene Version ausgeführt werden kann. . .

indem die Gefährdungspotenziale durch entsprechende Konfiguration und Sicherheitswerkzeuge minimiert werden. Wichtig ist aber auf jeden Fall. dass Anhänge nicht versehentlich gestartet werden können. die ausführbaren Code enthalten und damit ungeahnte Nebeneffekte auslösen können. dass als nächstes eine EMail mit solchen Attachments zu erwarten ist. Wenn sich die Versendung von Dateien in "gefährlichen" Formaten nicht vermeiden lässt. sollte überlegt werden. den Empfänger mit einer kurzen E-Mail darauf hinzuweisen.4. Der E-Mail-Client sollte so eingestellt sein. Für den Umgang mit Dateiformaten. sondern das Programm vor der Ausführung warnt bzw. wenn E-Mail-Anhänge ausgeführt werden oder die E-Mail HTML-basiert ist (siehe unten). 296 . Vor dem Absenden einer E-Mail sollte sich jeder überlegen. nicht ausführen. Ansonsten sollten Dateien in möglichst "ungefährlichen" Formaten weitergegeben werden. Besser ist es im allgemeinen.4 E-Mail ist einer der wichtigsten Übertragungswege für Computer-Viren und Würmer. Das Betriebssystem bzw. das Öffnen aller als problematisch eingestuften Dateiformate zu verbieten bzw. In den in einer PATH-Variable enthaltenen Verzeichnissen darf nur der jeweilige Eigentümer Schreibrechte erhalten. Prinzipiell können E-Mails Anhänge in beliebiger Art und Menge beigefügt werden. Gefährlich wird es erst. Dies führt allerdings erfahrungsgemäß zu großen Akzeptanzproblemen seitens der Kunden und der MitarbeiterInnen. die eventuell in den Dateien enthaltenen Programmcode. Die restriktivste Form ist es. dass alle Betroffenen sich der Problematik bewusst sind und entsprechend vorsichtig mit diesen Dateiformaten umgehen. Eine rein textbasierte E-Mail ohne Anhänge ist dabei ungefährlich. einerseits die MitarbeiterInnen für die Problematik zu sensibilisieren und zum Mitdenken anzuregen und sie andererseits technisch zu unterstützen. können verschiedene Regelungen getroffen werden. ob die Datei geöffnet werden soll. ob es wirklich nötig ist. die als potentiell problematisch eingeschätzt werden. ein Attachment anzuhängen.Variable nicht enthalten sein. oder ob die Informationen nicht genauso gut als Text in die E-Mail direkt eingefügt werden kann. zumindest nachfragt. der E-Mail-Client sollte außerdem so eingerichtet sein. Ausführbare Dateien sollen nur in dafür vorgesehenen Verzeichnissen gespeichert sein.. diese am E-Mail-Gateway herauszufiltern. Dies muss regelmäßig überprüft werden.13 Vermeidung gefährlicher Dateiformate ISO Bezug: 27002 10. wie Makros oder Skripte. dass Dateien zunächst nur in Viewern oder anderen Darstellungsprogrammen angezeigt werden. Die größere Gefahr sind aber Anhänge. 10. Durch ein Zuviel an Anhängen kann die Verfügbarkeit eines EMail-Clients oder des E-Mail-Servers beeinträchtigt werden.

oder Shellskripte unter Unix). . . .oder VisualBasic-Skript-Code enthalten können. Besonders kritisch sind alle ausführbaren Programme (wie . GIF-. Als möglicherweise gefährlich sollten die folgenden Dateiformate behandelt werden: alle Dateiformate von Office-Paketen wie Microsoft Office. Weiterhin sollten E-Mail-Clients gewählt werden. SDW. ZIP (hier sollten die Benutzer allerdings gewarnt werden. • • Als weitgehend harmlos gelten bisher ASCII-. nicht makrofähigen Texteditor geöffnet werden. . B. Durch Kombination verschiedener Sicherheitslücken in E-Mail-Clients und Browsern ist es in der Vergangenheit immer wieder zu Sicherheitsproblemen mit HTMLformatierten E-Mails gekommen Generell sollten möglichst keine HTML-formatierten E-Mails oder solche mit aktiven Inhalten zu versenden. Word. wenn z. da HTML-Mails eingebetteten JavaScript. weil nicht alle E-Mail-Clients dieses Format anzeigen können. Star Office oder Open Office mit integrierter Makrosprache. in eingehenden E-Mails enthaltene aktive Inhalte herauszufiltern. innerhalb deren aber eventuelle ComputerViren keinen Schaden auslösen können. Vorsichtshalber sollte für alle diese Dateitypen eine "ungefährliche" Standardapplikation festgelegt werden. Registrierungsdateien (. . SXW usw.PPT. RTF (mit COM-Object-Filter).PIF) oder Skript-Sprachen (.REG) sowie Bildschirmschoner (.JS oder *.SCR). Excel. Außerdem sollte die Möglichkeit überprüft werden. bei denen HTML-formatierte EMails als solche zu erkennen sind.XLS. dass bereits bei der Anzeige solcher E-Mails auf dem Client ungewollte Aktionen ausgelöst werden. • Immer mehr E-Mails sind heutzutage auch HTML-formatiert. PDF (dabei ist darauf zu achten.). Andererseits kann dies aber auch dazu führen. Dies ist einerseits oft lästig. z. bzw.REG) als Standardvorgang Bearbeiten statt Zusammenführen eingestellt ist. JPEG-formatierte Dateien.DOC. *. dass die enthaltenen Dateien problematisch sein können). dass der PDF-Reader auf dem Endgerät als Standard installiert ist und nicht Adobe Acrobat). wenn sie aktiviert wird Mit Zusatzmaßnahmen als vertretbar angesehen werden können: HTML. ein Tüftler solche Nebenwirkungen herausfindet.EXE.COM. Diese können sich allerdings jederzeit ändern. Powerpoint (. . Beispielsweise sollten Dateitypen wie *. die ungeplante Nebenwirkungen haben. B. ein Hersteller seinem Produkt neue Features hinzufügt.VBS. Windows-Betriebssysteme sollten außerdem so konfiguriert sein.JS. wenn ein JavaScript-Filter oder andere Sicherheitsvorkehrungen eingesetzt werden. beispielsweise an der Firewall. dass bei Registrierungsdateien (. ebenso wie Perl. mit der diese zwar geöffnet werden.BAT grundsätzlich mit einem einfachen. Dadurch wird die Datei zunächst in einem Editor dargestellt und nicht der Registrierungsdatenbank hinzugefügt.VBS.BAT unter Windows.Im Folgenden werden einige Einschätzungen verschiedener Dateiformate gegeben. 297 . damit der Benutzer diese nicht unbewusst öffnet.

Zeitintervall: z. die bei der regelmäßigen Datensicherung berücksichtigt werden.Generell sollte eine Vorgabe innerhalb einer Organisation zum Umgang mit HTMLformatierten E-Mails erstellt werden. Es sind Regelungen zu treffen. täglich. Empfehlenswert ist die Erstellung eines Datensicherungskonzeptes (vgl.1 Regelmäßige Datensicherung ISO Bezug: 27002 10.5.5. Verzeichnisse festzulegen. Abhängig von der Menge und Wichtigkeit der laufend neu gespeicherten Daten und vom möglichen Schaden bei Verlust dieser Daten ist Folgendes festzulegen: • • 298 Umfang der zu sichernden Daten: Am einfachsten ist es.: Sicherung der selbsterstellten Dateien und der individuellen Konfigurationsdateien.B.5 Datensicherung Unabdingbare Voraussetzung für jeden Business Continuity Plan ist die Planung und Durchführung einer ordnungsgemäßen Datensicherung. Z. mit Hilfe von serverseitigen Tools in ein reines Textformat umgewandelt und danach mit einem entsprechenden Hinweis an die Benutzer weitergeleitet werden (dabei können allerdings Informationen verloren gehen). ob diese • • • unverändert an die Benutzer weitergeleitet und die Benutzer für den verantwortungsvollen und vorsichtigen Umgang mit solchen E-Mails geschult und sensibilisiert werden. monatlich .B.1 Zur Vermeidung von Datenverlusten müssen regelmäßige Datensicherungen durchgeführt werden. Beim Empfang von HTML-formatierten E-Mails sollte festgelegt werden. In den meisten Rechnersystemen können diese weitgehend automatisiert erfolgen. Grundsätzlich sollten alle Benutzer für diese Problematik sensibilisiert sein. welche Daten von wem wann gesichert werden.2 Entwicklung eines Datensicherungskonzeptes ). 10. nicht direkt an die Benutzer weitergeleitet werden.5. 10. Eine geeignete Differenzierung kann die Übersichtlichkeit vergrößern sowie Aufwand und Kosten sparen helfen. sondern an einen besonderen Arbeitsplatz. Partitionen bzw. wöchentlich. 10. wo sie mit besonderen Sicherheitsvorkehrungen vom Empfänger eingesehen werden können (je nach E-Mail-Aufkommen kann dies allerdings einen nicht akzeptablen Aufwand mit sich bringen).

Alle Benutzer/innen sollten über die Regelungen zur Datensicherung informiert sein. freitags abends Anzahl der aufzubewahrenden Generationen: z. Sie braucht dann von der regelmäßigen Datensicherung nicht erfasst zu werden.• • • • • • • Zeitpunkt: z. etc. ist sicherzustellen.B. Eine inkrementelle Sicherung kann häufiger erfolgen. nur die seit der letzten Komplettsicherung neu erstellten Daten werden gesichert. wie lange die Daten wiedereinspielbar sind. können auch jeweils nur die seit der letzten inkrementellen Sicherung neu erstellten Daten gesichert werden. bleiben in Abhängigkeit vom Zeitpunkt des Verlustes nur zwei bis drei Wochen Zeit. Bänder. 299 . verbleibender Platz auf den Speichermedien) Dokumentation der erstellten Sicherungen (Datum. Bei täglicher Komplettsicherung werden die letzten sieben Sicherungen aufbewahrt. dass die zu sichernden Daten regelmäßig von den Benutzerinnen und Benutzern oder automatisch dorthin überspielt werden. um die Wiedereinspielung vorzunehmen.B.B. Die seit der letzten Sicherung erstellten Daten können nicht wiedereingespielt werden. Für eingesetzte Software ist in der Regel die Aufbewahrung der Originaldatenträger und deren Sicherungskopien ausreichend. Werden zum Beispiel bei wöchentlicher Komplettsicherung nur zwei Generationen aufbewahrt. Beschriftung der Datenträger) Wegen des großen Aufwands können Komplettsicherungen in der Regel höchstens einmal täglich durchgeführt werden. nachts. ist wichtig. Speichermedien (abhängig von der Datenmenge): z. Daher und zur Senkung der Kosten sollen zwischen den Komplettsicherungen regelmäßig inkrementelle Sicherungen durchgeführt werden. gewählte Parameter. Art der Durchführung der Sicherung. Wiederaufbereitung der Datenträger (Löschung vor Wiederverwendung) Zuständigkeit für die Durchführung (Systemadministration. Falls bei vernetzten Rechnern nur die Server-Platten gesichert werden. Wechselplatten. Werden zwischen zwei Komplettsicherungen mehrere inkrementelle Sicherungen durchgeführt. um ggf. zum Beispiel sofort nach Erstellung wichtiger Dateien oder mehrmals täglich. DVDs. außerdem die Freitagabend-Sicherungen der letzten zwei Monate. Benutzer/in) Zuständigkeit für die Überwachung der Sicherung. Die Vereinbarkeit mit dem laufenden Betrieb ist sicherzustellen. insbesondere bei automatischer Durchführung (Fehlermeldungen. Auch die Information der Benutzer/innen darüber. auf Unzulänglichkeiten (zum Beispiel zu geringes Zeitintervall für ihren Bedarf) hinweisen oder individuelle Ergänzungen vornehmen zu können (zum Beispiel zwischenzeitliche Spiegelung wichtiger Daten auf der eigenen Platte). das heißt.

die generell für alle IT-Systeme gültig ist und damit auch für neue ITSysteme. [eh BCP 1. Ein Beispiel soll dies erläutern. die Änderungsfrequenz der Daten und die Verfügbarkeitsanforderungen sind einige dieser Faktoren.5. Das IT-System.1 Für eine Organisation ist festzulegen. pauschal behandelt werden. das Datenvolumen. Weiters ist dafür Sorge zu tragen.5.2 Entwicklung eines Datensicherungskonzeptes ISO Bezug: 27002 10. Diese Lösung muss auch jederzeit aktualisierbar und erweiterbar sein. Weiterhin ist damit eine Grundlage gegeben.[eh BCP 1. welche Minimalforderungen zur Datensicherung eingehalten werden müssen.5. Minimaldatensicherungskonzept (Beispiel): • Software: Sämtliche Software. in denen eingehende Untersuchungen und die Erstellung eines Datensicherungskonzeptes zu aufwendig sind.2 Übungen zur Datenrekonstruktion ).3 Festlegung des Minimaldatensicherungskonzeptes ISO Bezug: 27002 10. Damit können viele Fälle. die diese Faktoren berücksichtigt und gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist. ist einmalig mittels einer Vollsicherung zu sichern.5. Einzelne Punkte eines Datensicherungskonzeptes werden in den nachfolgenden Maßnahmen näher ausgeführt.2.1 Die Verfahrensweise der Datensicherung wird von einer großen Zahl von Einflussfaktoren bestimmt. Im Datensicherungskonzept gilt es. eine Lösung zu finden. dass alle betroffenen ITSysteme im Datensicherungskonzept berücksichtigt werden und das Konzept stets den aktuellen Anforderungen entspricht. für die noch kein Datensicherungskonzept erarbeitet wurde. Für die Gewährleistung einer funktionierenden Datensicherung müssen praktische Übungen zur Datenrestaurierbarkeit verpflichtend vorgesehen sein (siehe 14.2] 10. 300 . also sowohl Eigenentwicklungen als auch Standardsoftware.1] 10. Ein möglicher Aufbau eines Datensicherungskonzeptes ist in Anhang B angeführt.

die Konfigurationsdaten der eingesetzten Kryptoprodukte zu sichern.B. Neben der Frage.2 Beim Einsatz kryptographischer Verfahren darf die Frage der Datensicherung nicht vernachlässigt werden. also z. Daneben ist es auch zweckmäßig.• • • Systemdaten: Systemdaten sind mindestens einmal monatlich mit einer Generation zu sichern.6. Chipkarte. Datensicherung der Schlüssel Es muss sehr genau überlegt werden.3. ob und wie die benutzten kryptographischen Schlüssel gespeichert werden sollen. kryptographische Schlüssel zu speichern. zum Schlüsselaustausch.1.5.5.B.7 Key-Management ).4 Datensicherung bei Einsatz kryptographischer Verfahren ISO Bezug: 27002 10. siehe 12. Trotzdem kann es aus verschiedenen Gründen notwendig sein. 12. die Speicherung in IT-Komponenten. wie sinnvollerweise eine Datensicherung der verschlüsselten Daten erfolgen sollte. ob und wie die benutzten kryptographischen Schlüssel gespeichert werden sollen. da jede Schlüsselkopie eine potentielle Schwachstelle ist.3] 10. die dauerhaft auf kryptographische Schlüssel zugreifen müssen. die Schlüsselhinterlegung als Vorbeugung gegen Schlüsselverlust oder im Rahmen von Vertretungsregelungen. Es gibt unterschiedliche Methoden der Schlüsselspeicherung: • • • die Speicherung zu Transportzwecken auf einem transportablen Datenträger. z. zur Kommunikationsverschlüsselung. USB-Stick (dient vor allem zur Schlüsselverteilung bzw. Protokolldaten: Sämtliche Protokolldaten sind mindestens einmal monatlich mittels einer Vollsicherung im Drei-Generationen-Prinzip zu sichern. Hierbei ist grundsätzlich zu beachten: 301 . Anwendungsdaten: Alle Anwendungsdaten sind mindestens einmal monatlich mittels einer Vollsicherung im Drei-Generationen-Prinzip zu sichern. [eh BCP 1. muss auch überlegt werden.

Als weitere Variante kann auch das Vier-Augen-Prinzip bei der Schlüsselspeicherung benutzt werden. Von Kommunikationsschlüsseln und anderen kurzlebigen Schlüsseln sollten keine Kopien erstellt werden. aufbewahrt werden. sind nicht nur einige Datensätze. dass die verwendeten kryptographischen Algorithmen und die Schlüssellänge noch dem Stand der Technik entsprechen.ä. zur Archivierung von Daten oder zur Generierung von Kommunikationsschlüsseln eingesetzt werden.h.B. sollten sie auf jeden Fall in verschlüsselter Form gespeichert werden. als bei jedem Schlüsselverlust alle Kommunikationspartner zu informieren. sondern meist alle Daten unbrauchbar. verwendet wird.• • • Kryptographische Schlüssel sollten so gespeichert bzw. ist das Risiko des Schlüsselverlustes (etwa durch Bitfehler oder Festplattendefekt) erhöht. Falls jedoch für die Schlüsselspeicherung eine reine Softwarelösung gewählt wurde.B. Beispielsweise könnten Schlüssel in spezieller Sicherheitshardware gespeichert werden. dass Unbefugte sie nicht unbemerkt auslesen können. da die Erfahrung zeigt. also die Speicherung eines Schlüssels in Schlüsselhälften oder Schlüsselteilen. sondern auch. die z. die nicht im Archiv gelagert waren. bei denen Schlüssel oder Passwörter in der Anwendung gespeichert werden. Treten hierbei Fehler auf. Von langlebigen Schlüsseln. sollten auf jeden Fall Sicherungskopien angefertigt werden. Damit eine unautorisierte Nutzung ausgeschlossen ist. Hierbei ist zu bedenken. Datensicherung der verschlüsselten Daten Besondere Sorgfalt ist bei der Datensicherung von verschlüsselten Daten bzw. eine ausreichend gesicherte Möglichkeit der Schlüsselhinterlegung zu schaffen. In diesem Fall ist es unter Umständen weniger aufwendig. dass auch noch nach Jahren Daten auftauchen. Die Langzeitspeicherung von verschlüsselten oder signierten Daten bringt viele zusätzliche Probleme mit sich. dies im Allgemeinen mit leicht zu brechenden Verfahren tun. also z. dass die meisten Standardanwendungen. Falls sie in Software gespeichert werden. beim Einsatz von Verschlüsselung während der Datenspeicherung notwendig. dass die Datenträger regelmäßig aufgefrischt werden und jederzeit noch die technischen Komponenten zum Verarbeiten dieser zur Verfügung stehen. wenn keine Chipkarte o. Die verwendeten Kryptomodule sollten vorsichtshalber immer archiviert werden. 302 . d. Hierbei muss nicht nur sichergestellt werden. in Tresoren. die die Schlüssel bei Angriffen automatisch löscht. sollten auch von privaten Signaturschlüsseln im Allgemeinen keine Kopien existieren. diese unverschlüsselt zu speichern und dafür entsprechend sicher zu lagern. Bei der langfristigen Archivierung von Daten kann es daher sinnvoller sein.

5] 10.5. Zu beachten sind auch die Anforderungen aus 10.auf jeden Fall in einem anderen Brandabschnitt.5 Geeignete Aufbewahrung der Backup-Datenträger ISO Bezug: 27002 10.ä. deren Konfigurationsdaten zu sichern. Damit wird sichergestellt.5. [eh BCP 1.2 Datenträgerverwaltung . damit sie nach einem Systemversagen oder einer Neuinstallation schnell wieder eingerichtet werden kann. Für den Katastrophenfall müssen die Backup-Datenträger räumlich getrennt vom Rechner .6 Sicherungskopie der eingesetzten Software ISO Bezug: 27002 10. Die gewählte Konfiguration sollte dokumentiert sein.1 ) kann es notwendig sein das Datenarchiv an einem gänzlich anderen Ort zu halten. o.4] 10.5.Datensicherung der Konfigurationsdaten der eingesetzten Produkte Bei komplexeren Kryptoprodukten sollte nicht vergessen werden. wenn möglich disloziert .aufbewahrt werden. so dass eine Entwendung ausgeschlossen werden kann.1 303 .) der Datensicherungsbestand zur Verfügung steht. [eh BCP 1. Ein ausreichend schneller Zugriff im Bedarfsfall muss gewährleistet sein. 14. dass der Datenbestand eines derartigen Notfallarchivs nicht aufgrund der gleichen Schadensursache zerstört wird.7.1 Backup-Datenträger unterliegen besonderen Anforderungen hinsichtlich ihrer Aufbewahrung: • • • Der Zugriff auf diese Datenträger darf nur befugten Personen möglich sein. Je nach Anforderungen und geforderte Ausfallsicherheit (Katastrophenvorsorge – vgl.1. und dass im Falle der Unzugänglichkeit der Infrastruktur (beispielsweise aufgrund von Verschüttungen.5.

Von den Originaldatenträgern von Standardsoftware bzw. von der Originalsoftware bei Eigenentwicklungen ist sofern möglich eine Sicherungskopie zu erstellen, von der bei Bedarf die Software wieder eingespielt werden kann. Die Originaldatenträger und die Sicherungskopien sind getrennt voneinander aufzubewahren. Es ist darauf zu achten, dass der physikalische Schreibschutz des Datenträgers ein versehentliches Löschen oder Überschreiben der Daten verhindert Ein unerlaubter Zugriff, z.B. zur Erstellung einer Raubkopie, muss ausgeschlossen sein. [eh BCP 1.6]

10.5.7 Beschaffung eines geeigneten Datensicherungssystems
ISO Bezug: 27002 10.5.1 Ein Großteil der Fehler, die beim Erstellen oder Restaurieren einer Datensicherung auftreten, sind Fehlbedienungen. Daher sollte bei der Beschaffung eines Datensicherungssystems nicht allein auf dessen Leistungsfähigkeit geachtet werden, sondern auch auf seine Bedienbarkeit und insbesondere auf seine Toleranz gegenüber Benutzerfehlern. Bei der Auswahl von Sicherungssoftware sollte darauf geachtet werden, dass sie die folgenden Anforderungen erfüllt:

• • • •

Die Datensicherungssoftware sollte ein falsches Medium ebenso wie ein beschädigtes Medium im Sicherungslaufwerk erkennen können. Sie sollte mit der vorhandenen Hardware problemlos zusammenarbeiten. Es sollte möglich sein, Sicherungen automatisch zu vorwählbaren Zeiten bzw. in einstellbaren Intervallen durchführen zu lassen, ohne dass hierzu manuelle Eingriffe (außer dem eventuell notwendigen Bereitstellen von Sicherungsdatenträgern) erforderlich wären. Es sollte möglich sein, einen oder mehrere ausgewählte Benutzerinnen oder Benutzer automatisch über das Sicherungsergebnis und eventuelle Fehlermeldungen per E-Mail oder ähnliche Mechanismen zu informieren. Die Durchführung von Datensicherungen inklusive des Sicherungsergebnisses und möglicher Fehlermeldungen sollten in einer Protokolldatei abgespeichert werden. Die Sicherungssoftware sollte die Sicherung des Backup-Mediums durch ein Passwort oder, je nach Vertraulichkeitsanforderungen, durch Verschlüsselung unterstützen. Weiters sollte sie in der Lage sein, die gesicherten Daten in komprimierter Form abzuspeichern.

304

• • • •

Durch Vorgabe geeigneter Include- und Exclude-Listen bei der Datei- und Verzeichnisauswahl sollte genau spezifiziert werden können, welche Daten zu sichern sind und welche nicht. Es sollte möglich sein, diese Listen zu Sicherungsprofilen zusammenzufassen, abzuspeichern und für spätere Sicherungsläufe wieder zu benutzen. Es sollte möglich sein, die zu sichernden Daten in Abhängigkeit vom Datum ihrer Erstellung bzw. ihrer letzten Modifikation auszuwählen. Die Sicherungssoftware sollte die Erzeugung logischer und physischer Vollkopien sowie inkrementeller Kopien (Änderungssicherungen) unterstützen. Die zu sichernden Daten sollten auch auf Festplatten und Netzlaufwerken abgespeichert werden können. Die Sicherungssoftware sollte in der Lage sein, nach der Sicherung einen automatischen Vergleich der gesicherten Daten mit dem Original durchzuführen und nach der Wiederherstellung von Daten einen entsprechenden Vergleich zwischen den rekonstruierten Daten und dem Inhalt des Sicherungsdatenträgers durchzuführen. Bei der Wiederherstellung von Dateien sollte es möglich sein auszuwählen, ob die Dateien am ursprünglichen Ort oder auf einer anderen Platte bzw. in einem anderen Verzeichnis wiederhergestellt werden. Ebenso sollte es möglich sein, das Verhalten der Software für den Fall zu steuern, dass am Zielort schon eine Datei gleichen Namens vorhanden ist. Dabei sollte man wählen können, ob diese Datei immer, nie oder nur in dem Fall, dass sie älter als die zu rekonstruierende Datei ist, überschrieben wird, oder dass in diesem Fall eine explizite Anfrage erfolgt.

Falls mit dem eingesetzten Programm die Datensicherung durch ein Passwort geschützt werden kann, sollte diese Option genutzt werden. [eh BCP 1.7]

10.5.8 Datensicherung bei mobiler Nutzung eines IT-Systems
ISO Bezug: 27002 9.2.5, 10.5.1, 10.7.1, 10.8.1 teilw, 11.7.1 IT-Systeme im mobilen Einsatz (z.B. Laptops, Notebooks) sind in aller Regel nicht permanent in ein Netz eingebunden. Der Datenaustausch mit anderen IT-Systemen erfolgt üblicherweise über Datenträger oder über temporäre Netzanbindungen. Letztere können beispielsweise durch Remote Access oder direkten Anschluss an ein LAN nach Rückkehr zum Arbeitsplatz realisiert sein. Anders als bei stationären Clients ist es daher bei mobilen IT-Systemen meist unvermeidbar, dass Daten zumindest zeitweise lokal anstatt auf einem zentralen Server gespeichert werden. Dem Verlust dieser Daten muss durch geeignete Datensicherungsmaßnahmen vorgebeugt werden. Generell bieten sich folgende Verfahren zur Datensicherung an: 305

Datensicherung auf externen Datenträgern:
Der Vorteil dieses Verfahrens ist, dass die Datensicherung an nahezu jedem Ort und zu jeder Zeit erfolgen kann. Nachteilig ist, dass ein geeignetes Laufwerk und genügend Datenträger mitgeführt werden müssen und dass für den/die Benutzer/ in zusätzlicher Aufwand für die ordnungsgemäße Handhabung der Datenträger entsteht. Die Datenträger sollten eine ausreichende Speicherkapazität besitzen, so dass der/ die Benutzer/in nicht mehrere Datenträger pro Sicherungsvorgang in das Laufwerk einlegen muss. Bei unverschlüsselter Datenhaltung ergibt sich außerdem die Gefahr, dass Datenträger abhanden kommen und dadurch sensitive Daten kompromittiert werden können. Die Datenträger und das mobile IT-System sollten möglichst getrennt voneinander aufbewahrt werden, damit bei Verlust oder Diebstahl des ITSystems die Datenträger nicht ebenfalls abhanden kommen. Nach Rückkehr zum Arbeitsplatz müssen die Datensicherungen auf den Datenträgern in das Backup-System oder in das Produktivsystem bzw. die zentrale Datenhaltung der Organisation eingebracht werden.

Datensicherung über temporäre Netzverbindungen
Wenn die Möglichkeit besteht, das IT-System regelmäßig an ein Netz anzuschließen, beispielsweise über Remote Access, kann die Sicherung der lokalen Daten auch über die Netzanbindung erfolgen. Vorteilhaft ist hier, dass der/die Benutzer/in keine Datenträger verwalten und auch kein entsprechendes Laufwerk mitführen muss. Weiterhin lässt sich das Verfahren weitgehend automatisieren, beispielsweise kann die Datensicherung beim Einsatz von Remote Access nach jedem Einwahlvorgang automatisch gestartet werden. Entscheidend bei der Datensicherung über eine temporäre Netzverbindung ist, dass deren Bandbreite für das Volumen der zu sichernden Daten ausreichen muss. Die Datenübertragung darf nicht zu lange dauern und nicht zu übermäßigen Verzögerungen führen, wenn der/die Benutzer/in gleichzeitig auf entfernte Ressourcen zugreifen muss. Bei manchen Zugangstechnologien (z.B. Modem, Mobiltelefon) bedeutet dies, dass nur geringe Datenmengen pro Sicherungsvorgang transportiert werden können. Einige Datensicherungsprogramme bieten daher die Möglichkeit an, lediglich Informationen über die Änderungen des Datenbestands seit der letzten Datensicherung über die Netzverbindung zu übertragen. In vielen Fällen kann hierdurch das zu transportierende Datenvolumen stark reduziert werden. Eine wichtige Anforderung an die zur Datensicherung verwendete Software ist, dass unerwartete Verbindungsabbrüche erkannt und ordnungsgemäß behandelt werden. Die Konsistenz der gesicherten Daten darf durch Verbindungsabbrüche nicht beeinträchtigt werden. 306

Bei beiden Verfahren zur Datensicherung ist es wünschenswert, das Volumen der zu sichernden Daten zu minimieren. Neben dem Einsatz verlustfreier Kompressionsverfahren, die in viele Datensicherungsprogrammen integriert sind, können auch inkrementelle oder differentielle Sicherungsverfahren zum Einsatz kommen Hierdurch erhöht sich jedoch u.U. der Aufwand für die Wiederherstellung einer Datensicherung. [eh BCP 1.8]

10.5.9 Verpflichtung der Mitarbeiter/innen zur Datensicherung
ISO Bezug: 27002 8.2.2, 10.5.1 Da die Datensicherung eine wichtige IT-Sicherheitsmaßnahme darstellt, sollten die betroffenen Mitarbeiter/innen - vorzugsweise in schriftlicher Form - zur Einhaltung des Datensicherungskonzeptes bzw. des Minimaldatensicherungskonzeptes verpflichtet werden. Eine regelmäßige Motivation zur Datensicherung und Kontrolle auf Einhaltung ist empfehlenswert. [eh BCP 1.9]

10.6 Netzsicherheit
Zur Unterstützung der System-/Netzwerkadministration ist der Einsatz von entsprechenden Tools (z.B. CAD-Programmen, speziellen Tools für Netzpläne, Kabelmanagementtools im Zusammenhang mit Systemmanagementtools o.ä.) empfehlenswert. Eine konsequente Aktualisierung aller Informationen bei Umbauten oder Erweiterungen ist ebenso zu gewährleisten wie eine eindeutige und nachvollziehbare Dokumentation (vgl. auch 9.4.1 Lagepläne der Versorgungsleitungen). Gerade im Zusammenhang mit dem Absichern von Netzwerken gibt es eine Reihe weiterführender Literatur. Exemplarisch sei an dieser Stelle „The 60 Minute Network Security Guide“ der NSA [NSA-SD7] genannt.

10.6.1 Sicherstellung einer konsistenten Systemverwaltung
ISO Bezug: 27002 6.1.2, 10.10.1,10.10.2, 10.10.4, 11.1.1, 11.5.2, 12.4.1 In vielen komplexen IT-Systemen gibt es eine Administratorrolle, die keinerlei Beschränkungen unterliegt. Durch fehlende Beschränkungen ist die Gefahr von Fehlern oder Missbrauch besonders hoch.

307

Um Fehler zu vermeiden, soll unter dem Super-User-Login nur gearbeitet werden, wenn es notwendig ist. Andere Arbeiten soll auch der Administrator nicht unter der Administrator-Kennung erledigen. Insbesondere dürfen keine Programme anderer Benutzer/innen unter der Administrator-Kennung aufgerufen werden. Ferner sollte die routinemäßige Systemverwaltung (z.B. Backup, Einrichten einer/eines neuen Benutzerin/Benutzers) nur menügesteuert durchgeführt werden können. Für alle Administratoren sind zusätzliche Benutzerkennungen einzurichten, die nur über die eingeschränkten Rechte verfügen, die die Administratoren zur Aufgabenerfüllung außerhalb der Administration benötigen. Für Arbeiten, die nicht der Administration dienen, sollen die Administratoren ausschließlich diese zusätzlichen Benutzerkennungen verwenden. Falls das Betriebssystem erlaubt, sollte der Administrator grundsätzlich nicht als Superuser, sondern unter seiner persönlichen Benutzerkennung einsteigen und erst dann in die Superuser-Rolle wechseln. Bekannte Kennungen, wie etwa root, guest oder administrator, sind zu löschen, stillzulegen oder nach Bedarf zu modifizieren. Bekannte Passwörter (Firmenkennungen und Firmen-Passwörter) sind zu löschen bzw. zu ändern, insbesondere bei Netzwerkkomponenten (Router, Switches, ...). Alle durchgeführten Änderungen sollten dokumentiert werden, um diese nachvollziehbar zu machen und die Aufgabenteilung zu erleichtern. [eh SYS 6.1]

10.6.2 Ist-Aufnahme der aktuellen Netzsituation
ISO Bezug: 27002 6.2.1, 7.1.1, 10.6.2, 11.4 Die Bestandsaufnahme der aktuellen Netzsituation ist Voraussetzung für

• •

eine gezielte Sicherheitsanalyse des bestehenden Netzes sowie für die Erweiterung eines bestehenden Netzes.

Hierzu ist eine Ist-Aufnahme mit einhergehender Dokumentation der folgenden Aspekte, die z.T. aufeinander aufbauen, notwendig:

• • •
308

Netztopographie, Netztopologie, verwendete Netzprotokolle,

• •

Kommunikationsübergänge im LAN und zum WAN sowie Netzperformance und Verkehrsfluss.

Unter der Topographie eines Netzes wird die rein physikalische Struktur eines Netzes in Form der Kabelführung verstanden. Im Gegensatz dazu handelt es sich bei der Netztopologie um die logische Struktur eines Netzes. Die Topographie und Topologie eines Netzes sind nicht notwendig identisch. [eh SYS 6.3]

10.6.3 Analyse der aktuellen Netzsituation
ISO Bezug: 27002 7.1.1, 10.6.2, 11.4, 11.4.7, 12.6.1 Diese Maßnahme baut auf den Ergebnissen der Ist-Aufnahme nach 10.6.2 IstAufnahme der aktuellen Netzsituation auf und erfordert spezielle Kenntnisse im Bereich der Netztopologie, der Netztopographie und von netzspezifischen Schwachstellen. Darüber hinaus ist Erfahrung bei der Beurteilung der eingesetzten individuellen IT-Anwendungen hinsichtlich Vertraulichkeit, Integrität bzw. Verfügbarkeit notwendig. Eine Analyse der aktuellen Netzsituation besteht im Wesentlichen aus einer Strukturanalyse, einer Schutzbedarfsfeststellung und einer Schwachstellenanalyse.

Strukturanalyse
Diese besteht aus einer Analyse der nach 10.6.2 Ist-Aufnahme der aktuellen Netzsituation angelegten Dokumentationen. Die Strukturanalyse muss von einem Analyseteam durchgeführt werden, das in der Lage ist, alle möglichen Kommunikationsbeziehungen nachzuvollziehen oder auch herleiten zu können. Als Ergebnis muss das Analyseteam die Funktionsweise des Netzes verstanden haben und über die prinzipiellen Kommunikationsmöglichkeiten informiert sein. Häufig lassen sich bei der Strukturanalyse bereits konzeptionelle Schwächen des Netzes identifizieren.

Detaillierte Schutzbedarfsfeststellung
Bei besonders schutzwürdigen Applikationen sind in einer detaillierten Schutzbedarfsfeststellung zusätzlich die Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität in einzelnen Netzbereichen bzw. Segmenten zu berücksichtigen.

309

Hierzu ist es notwendig festzustellen, welche Anforderungen auf Grund der verschiedenen IT-Verfahren bestehen und wie diese auf die gegebene Netzsegmentierung Einfluss nehmen. Als Ergebnis muss erkenntlich sein, in welchen Netzsegmenten besondere Sicherheitsanforderungen bestehen.

Analyse von Schwachstellen im Netz
Basierend auf den bisher vorliegenden Ergebnissen erfolgt eine Analyse der Schwachpunkte des Netzes. Hierzu gehört insbesondere bei entsprechenden Verfügbarkeitsanforderungen die Identifizierung von nicht redundant ausgelegten Netzkomponenten (SinglePoint-of-Failures). Weiterhin müssen die Bereiche benannt werden, in denen die Anforderungen an Verfügbarkeit, Vertraulichkeit oder Integrität nicht eingehalten werden können bzw. besonderer Aufmerksamkeit bedürfen. Zudem ist festzustellen, ob die gewählte Segmentierung hinsichtlich Bandbreite und Performance geeignet ist. Es ist zu beachten, dass diese Maßnahme insbesondere in der Designphase für ein neues Netz oder einen neuen Netzteil sinnvoll ist, Änderungen in bestehenden Netzen können aus wirtschaftlichen Aspekten oft sehr schwierig sein. [eh SYS 6.4]

10.6.4 Entwicklung eines Netzkonzeptes
ISO Bezug: 27002 10.6.1, 11.4 Um den Anforderungen bezüglich Verfügbarkeit (auch Bandbreite und Performance), Vertraulichkeit und Integrität zu genügen, muss der Aufbau, die Änderung bzw. die Erweiterung eines Netzes sorgfältig geplant werden. Hierzu dient die Erstellung eines Netzkonzeptes. Die Entwicklung eines Netzkonzeptes unterteilt sich in einen analytischen und einen konzeptionellen Teil:

Analyse
Zunächst ist zu unterscheiden, ob ein bestehendes Netz zu erweitern bzw. zu verändern ist oder ob das Netz vollständig neu aufgebaut werden soll.

310

Im ersten Fall sind vorab die Maßnahmen 10.6.2 Ist-Aufnahme der aktuellen Netzsituation und 10.6.3 Analyse der aktuellen Netzsituation zu bearbeiten. Im zweiten Fall entfallen diese Maßnahmen. Stattdessen sind die Anforderungen an die Netzkommunikation zu ermitteln sowie eine Schutzbedarfsfeststellung des zukünftigen Netzes durchzuführen. Zur Ermittlung der Kommunikationsanforderungen ist der zukünftig zu erwartende Daten- und Verkehrsfluss zwischen logischen oder organisatorischen Einheiten festzustellen, da die zu erwartende Last die Segmentierung des zukünftigen Netzes beeinflussen muss. Die notwendigen logischen bzw. physikalischen Kommunikationsbeziehungen (dienste-, anwender-, gruppenbezogen) sind ebenfalls zu eruieren und die Kommunikationsübergänge zur LAN/LAN-Kopplung oder über ein WAN zu ermitteln. Die Schutzbedarfsanforderungen des Netzes werden aus denen der geplanten oder bereits bestehenden IT-Verfahren abgeleitet. Daraus werden physikalische und logische Segmentstrukturen gefolgert, so dass diesen Anforderungen (z.B. hinsichtlich Vertraulichkeit) durch eine Realisierung des Netzes Rechnung getragen werden kann. Zum Beispiel bestimmt der Schutzbedarf einer IT-Anwendung die zukünftige Segmentierung des Netzes. Schließlich muss versucht werden, die abgeleiteten Kommunikationsbeziehungen mit den Schutzbedarfsanforderungen zu harmonisieren. Unter Umständen sind hierzu Kommunikationsbeziehungen einzuschränken, um dem festgestellten Schutzbedarf gerecht zu werden. Abschließend sind die verfügbaren Ressourcen zu ermitteln. Hierzu gehören sowohl Personalressourcen, die erforderlich sind, um ein Konzept zu erstellen und umzusetzen bzw. um das Netz zu betreiben, als auch die hierfür notwendigen finanziellen Ressourcen. Die Ergebnisse sind entsprechend zu dokumentieren.

Konzeption
Im nächsten Schritt sind die Netzstruktur und die zu beachtenden Randbedingungen zu entwickeln. Dabei sind neben den oben genannten Gesichtspunkten auch die künftig zu erwartenden Anforderungen (z.B. hinsichtlich Bandbreite) sowie die örtlichen Gegebenheiten zu berücksichtigen. Die Erstellung eines Netzkonzeptes erfolgt analog 10.6.2 Ist-Aufnahme der aktuellen Netzsituation und besteht danach prinzipiell aus den folgenden Schritten, wobei diese Schritte nicht in jedem Fall streng aufeinander folgend ausgeführt werden können. In einigen Teilen beeinflussen sich die Ergebnisse der Schritte gegenseitig, so dass eine regelmäßige Überprüfung und Konsolidierung der Teilergebnisse vorgenommen werden muss. 311

• • •

Konzeption der Netztopographie und der Netztopologie, der physikalischen und logischen Segmentierung Konzeption der verwendeten Netzprotokolle Konzeption von Kommunikationsübergängen im LAN und WAN

[eh SYS 6.5]

10.6.5 Entwicklung eines Netzmanagementkonzeptes
ISO Bezug: 27002 10.6.1, 10.10 Netzmanagement umfasst die Gesamtheit der Vorkehrungen und Aktivitäten zur Sicherstellung des effektiven Einsatzes eines Netzes. Hierzu gehört beispielsweise die Überwachung der Netzkomponenten auf ihre korrekte Funktion, das Monitoring der Netzperformance und die zentrale Konfiguration der Netzkomponenten. Netzmanagement ist in erster Linie eine organisatorische Problemstellung, deren Lösung mit technischen Mitteln - einem Netzmanagementsystem lediglich unterstützt werden kann. Abzugrenzen vom Netzmanagement ist das Systemmanagement, welches sich in erster Linie mit dem Management verteilter Systeme befasst. Hierzu gehören beispielsweise eine zentrale Verwaltung der Benutzer/innen, Softwareverteilung, Management der Anwendungen usw. In einigen Bereichen, wie z.B. dem Konfigurationsmanagement (dem Überwachen und Konsolidieren von Konfigurationen eines Systems oder einer Netzkomponente) sind Netz- und Systemmanagement nicht klar zu trennen. In der ISO/IEC-Norm 7498-4 bzw. als X.700 der ITU-T [ITU-T] ist ein Netz- und Systemmanagement-Framework definiert. Vor der Beschaffung und dem Betrieb eines solchen Netzmanagementsystems ist im ersten Schritt ein Konzept zu erstellen, in dem alle Sicherheitsanforderungen an das Netzmanagement formuliert und angemessene Maßnahmen für den Fehleroder Alarmfall vorgeschlagen werden. Dabei sind insbesondere die folgenden Bestandteile eines Netzmanagementkonzeptes bei der Erstellung zu berücksichtigen und in einem Gesamtzusammenhang darzustellen:

• • • • •
312

Performancemessungen zur Netzanalyse (siehe 10.6.3 Analyse der aktuellen Netzsituation ), Reaktionen auf Fehlermeldungen der überwachten Netzkomponenten, Fernwartung / Remote-Control, insbesondere der aktiven Netzkomponenten, Generierung von Trouble-Tickets und Eskalation bei Netzproblemen, Protokollierung und Audit (Online und/oder Offline),

• • •

Einbindung eventuell vorhandener proprietärer Systeme bzw. von Systemen mit unterschiedlichen Managementprotokollen (z.B. im Telekommunikationsbereich), Konfigurationsmanagement aller im Einsatz befindlichen IT-Systeme, Verteilter Zugriff auf die Netzmanagementfunktionalitäten. (Für die Administration oder für das Audit kann ein Remotezugriff auf die Netzmanagementfunktionalitäten notwendig sein. Hier ist insbesondere eine sorgfältige Definition und Vergabe der Zugriffsrechte notwendig.)

[eh SYS 6.6]

10.6.6 Sicherer Betrieb eines Netzmanagementsystems
ISO Bezug: 27002 10.6.1, 10.6.2 Für den sicheren Betrieb eines Netzmanagementtools oder eines komplexen Netzmanagementsystems, welches beispielsweise aus mehreren verschiedenen Netzmanagementtools zusammengesetzt sein kann, ist die sichere Konfiguration aller beteiligten Komponenten zu überprüfen und sicherzustellen. Hierzu gehören die Betriebssysteme, auf denen das oder die Netzmanagementsysteme betrieben werden, die zumeist notwendigen externen Datenbanken für ein Netzmanagementsystem, das verwendete Protokoll und die aktiven Netzkomponenten selbst. Vor dem Betrieb eines Netzmanagementsystems muss die Ermittlung der Anforderungen an den Betrieb und die Erstellung eines Netzmanagementkonzeptes stehen (siehe 10.6.5 Entwicklung eines Netzmanagementkonzeptes ). Für den sicheren Betrieb eines Netzmanagementsystems sind folgende Daten relevant:

• • • •

Konfigurationsdaten des Netzmanagementsystems, die sich in entsprechend geschützten Verzeichnissen befinden müssen. Konfigurationsdaten der Netzkomponenten (Metakonfigurationsdateien), die sich ebenfalls in entsprechend geschützten Verzeichnissen befinden müssen. Passwortdateien für das Netzmanagementsystem. Hierbei ist beispielsweise auf die Güte des Passwortes und die Möglichkeit einer verschlüsselten Speicherung des Passwortes zu achten. Eine Administration der aktiven Netzkomponenten über das Netz sollte dann eingeschränkt werden und eine Administration über die lokalen Schnittstellen erfolgen, wenn die Erfüllung der Anforderungen an Vertraulichkeit und Integrität der Netzmanagementinformationen nicht gewährleistet werden kann. In diesem Fall ist auf ein zentrales Netzmanagement zu verzichten.

[eh SYS 6.7]

313

10.6.7 Sichere Konfiguration der aktiven Netzkomponenten
ISO Bezug: 27002 10.6.1, 11.4.4, 11.7.2 Neben der Sicherheit von Serversystemen und Endgeräten wird die eigentliche Netzinfrastruktur mit den aktiven Netzkomponenten in vielen Fällen vernachlässigt. Gerade zentrale aktive Netzkomponenten müssen jedoch sorgfältig konfiguriert werden. Denn während durch eine fehlerhafte Konfiguration eines Serversystems nur diejenigen Benutzer/innen betroffen sind, die die entsprechenden Dienste dieses Systems nutzen, können bei einer Fehlkonfiguration eines Routers größere Teilnetze bzw. sogar das gesamte Netz ausfallen oder Daten unbemerkt kompromittiert werden. Im Rahmen des Netzkonzeptes (siehe 10.6.4 Entwicklung eines Netzkonzeptes ) sollte auch die sichere Konfiguration der aktiven Netzkomponenten festgelegt werden. Dabei gilt es insbesondere Folgendes zu beachten:

• • •

Für Router und Layer-3-Switching muss ausgewählt werden, welche Protokolle weitergeleitet und welche nicht durchgelassen werden. Dies kann durch die Implementation geeigneter Filterregeln geschehen. Es muss festgelegt werden, welche IT-Systeme in welcher Richtung über die Router kommunizieren. Auch dies kann durch Filterregeln realisiert werden. Sofern dies von den aktiven Netzkomponenten unterstützt wird, sollte festgelegt werden, welche IT-Systeme Zugriff auf die Ports der Switches und Hubs des lokalen Netzes haben. Hierzu wird die MAC-Adresse des zugreifenden ITSystems ausgewertet und auf ihre Berechtigung hin überprüft.

Für aktive Netzkomponenten mit Routing-Funktionalität ist außerdem ein geeigneter Schutz der Routing-Updates erforderlich. Diese sind zur Aktualisierung der Routing-Tabellen erforderlich, um eine dynamische Anpassung an die aktuellen Gegebenheiten des lokalen Netzes zu erreichen. Dabei kann man zwei verschiedene Sicherheitsmechanismen unterscheiden:

Passwörter Die Verwendung von Passwörtern schützt die so konfigurierten Router vor der Annahme von Routing-Updates durch Router, die nicht über das entsprechende Passwort verfügen. Hierdurch können also Router davor geschützt werden, falsche oder ungültige Routing-Updates anzunehmen. Der Vorteil von Passwörtern gegenüber den anderen Schutzmechanismen ist ihr geringer Overhead, der nur wenig Bandbreite und Rechenzeit benötigt. Kryptographische Prüfsummen

314

Prüfsummen dienen zur Wahrung der Integrität von gültigen Routing-Updates, bzw. Message Authentication Codes schützen vor deren unbemerkten Veränderungen. Dies wird in der Regel bereits durch das Routing Protokoll gewährleistet. Vgl. auch den NSA „Router Security Configuration Guide“ [NSA-CIS2] . [eh SYS 6.8]

10.6.8 Festlegung einer Sicherheitsstrategie für ein ClientServer-Netz
ISO Bezug: 27002 6.2.3, 8.2.2, 8.3.3, 10.1, 10.6, 10.9, 10.10, 11.1, 11.2, 11.4.1, 11.5, 11.7.1 Nachfolgend wird eine methodische Vorgehensweise aufgezeigt, mittels derer eine umfassende Sicherheitsstrategie für ein Client-Server-Netz entwickelt werden kann. Abhängig vom verwendeten Betriebssystem und den eingesetzten Konfigurationen ist für die jeweilige Ausprägung individuell zu entscheiden, welche der beschriebenen Schritte anzuwenden sind. In der Sicherheitsstrategie muss aufgezeigt werden, wie ein Client-Server-Netz für die jeweilige Organisation sicher aufgebaut, administriert und betrieben wird. Nachfolgend werden die einzelnen Entwicklungsschritte einer solchen Strategie vorgestellt:

Definition der Client-Server-Netzstruktur Im ersten Schritt sind die logische Struktur des Client-Server-Netzes, insbesondere die Zuordnung der Server und der Netz-Domänen festzulegen. Nach Möglichkeit sollte auf die Verwendung von Peer-to-Peer-Funktionalitäten verzichtet werden, da diese die Sicherheit des Client-Server-Netzes beeinträchtigen können. Sofern sich dies jedoch nicht vermeiden lässt, sind verbindliche Regelungen für die Nutzung von Peer-to-Peer-Funktionalitäten zu treffen. Regelung der Verantwortlichkeiten Ein Client-Server-Netz sollte von geschulten Netzadministratoren nebst Stellvertreterinnen/Stellvertretern sicher betrieben werden. Diese allein dürfen Sicherheitsparameter im Netz verändern. Sie sind z.B. dafür zuständig, auf den Servern den entsprechenden Verantwortlichen Administrationsrechte und -werkzeuge zur Verfügung zu stellen, damit diese die Vergabe von Dateiund Verzeichnisberechtigungen, die Freigabe der von anderen benötigten Verzeichnisse bzw. Anwendungen, den Aufbau von Benutzergruppen und -accounts sowie die Einstellung der Systemrichtlinien für Benutzer/innen, Zugriffskontrolle und Überwachung vornehmen können. Die Verantwortlichkeiten der einzelnen Benutzer/innen im Client-Server-Netz sind unter Schritt 11 dargestellt. 315

Festlegung von Namenskonventionen Um die Verwaltung des Client-Server-Netzes zu erleichtern, sollten eindeutige Namen für die Rechner, Benutzergruppen und die Benutzer/innen verwendet werden. Zusätzlich sollten Namenskonventionen für die Freigabenamen von Verzeichnissen oder Druckern eingeführt werden. Sollen keine Rückschlüsse auf den Inhalt eines freigegebenen Verzeichnisses möglich sein, sind entsprechende Pseudonyme zu verwenden. Festlegung der Regeln für Benutzeraccounts Vor der Einrichtung von Benutzeraccounts sollten die Restriktionen, die für alle bzw. für bestimmte dieser Accounts gelten sollen, festgelegt werden. Dies betrifft insbesondere die Regelungen für Passwörter und für die Reaktion des Systems auf fehlerhafte Login-Vorgänge. Einrichtung von Gruppen Zur Vereinfachung der Administration sollten Benutzeraccounts, für die die gleichen Anforderungen gelten, zu Gruppen zusammengefasst werden. Benutzerrechte sowie Datei-, Verzeichnis- und Freigabeberechtigungen und ggf. weitere vordefinierte Funktionen werden dann den Gruppen und nicht einzelnen Benutzeraccounts zugeordnet. Die Benutzeraccounts erben die Rechte und Berechtigungen der Gruppen, denen sie angehören. So ist es z.B. denkbar, alle Mitarbeiter/innen einer Abteilung in einer Gruppe zusammenzufassen. Eine Zuweisung von Benutzerrechten und -berechtigungen an einzelne Benutzer/ innen sollte nur erfolgen, wenn dies ausnahmsweise unumgänglich ist. Festlegung von Benutzerrechten Rechte gestatten einem/einer Benutzer/in die Ausführung bestimmter Aktionen auf dem System. Sie beziehen sich auf das gesamte System, sind keinem speziellen Objekt zugeordnet und können die Berechtigungen für ein Objekt außer Kraft setzen, da ein Recht Vorrang vor allen Datei- und Verzeichnisberechtigungen haben kann. Festlegung der Vorgaben für Protokollierung Bei der Konfiguration der Protokollierung ist zu beachten, dass ein Mehr an Protokollierung nicht unbedingt auch die Sicherheit des überwachten Systems erhöht. Protokolldateien, die nicht ausgewertet werden oder die auf Grund ihres Umfangs nur mit großem Aufwand auswertbar sind, führen nicht zu einer besseren Kontrolle der Systemabläufe, sondern sind letztlich nutzlos. Aus diesen Gründen sollte die Protokollierung so eingestellt werden, dass sie im Normalfall nur die wirklich bedeutsamen Ereignisse aufzeichnet. Dabei sind selbstverständlich die gesetzlichen Vorgaben, insbesondere die Anforderungen aus dem Datenschutzgesetz, vorrangig zu beachten (vgl. dazu auch Kapitel 10.10 Protokollierung und Monitoring ). Regelungen zur Datenspeicherung

316

mit der eine projekt. • Auch die Endbenutzer/innen müssen in einem Client-Server-Netz bestimmte Verantwortlichkeiten übernehmen. welche Benutzer/innen zu welchen Punkten geschult werden müssen. Schulung Abschließend muss festgelegt werden. sofern ihnen Rechte zur Ausführung administrativer Funktionen gegeben werden. die Vergabe von Zugriffsrechten. Möglich ist aber auch.• • • Es ist festzulegen. Nach welcher Strategie verfahren werden soll. 2) müssen weitere Verantwortlichkeiten festgelegt werden.und projektspezifischen Daten untereinander sowie von den Programmen und Daten des Betriebssystems durchzusetzen. Verantwortlichkeiten für Administratoren und Benutzer/innen im ClientServer-Netz Neben der Wahrnehmung der Netzmanagementaufgaben (siehe Pkt. So ist denkbar. In der Regel beschränken sich diese Verantwortlichkeiten jedoch auf die Vergabe von Zugriffsrechten auf die eigenen Dateien. welche Verantwortung die einzelnen Administratoren im Client-Server-Netz übernehmen müssen. welche Dateien für den Betrieb freizugeben und welche Zugriffsrechte ihnen zuzuweisen sind. unter denen dann die Dateien und Verzeichnisse der Projekte bzw. muss jeweils im konkreten Einzelfall festgelegt werden. Benutzer/innen in jeweils eigenen Unterverzeichnissen abgelegt werden. So können beispielsweise zwei Hauptverzeichnisse \Projekte und \Benutzer angelegt werden. Es ist festzulegen. wo Benutzerdaten gespeichert werden. Dies gilt analog für die Freigabe von Druckern. Eine generelle Empfehlung ist hier nicht möglich. Insbesondere die Administratoren sind hinsichtlich der Verwaltung und der Sicherheit des Systems gründlich zu schulen. welche Verzeichnisse und ev.und benutzerbezogene Dateiablage unterstützt wird. bestimmte Benutzerdaten nur auf der lokalen Festplatte abzulegen. das Hinterlegen und den Wechsel von Passwörtern und die Durchführung von Datensicherungen. Dies können zum Beispiel Verantwortlichkeiten sein für • • • • die Auswertung der Protokolldateien auf den einzelnen Servern oder Clients. Erst nach ausreichender Schulung kann der Echtbetrieb aufgenommen werden. dass Benutzerdaten nur auf einem Server abgelegt werden. sofern diese explizit festgelegt und nicht von Voreinstellungen des übergeordneten Verzeichnisses übernommen werden. 317 . Eine Datenspeicherung auf der lokalen Festplatte ist bei diesem Modell nicht erlaubt. Einrichtung von Projektverzeichnissen Um eine saubere Trennung von benutzer. sollte eine geeignete Verzeichnisstruktur festgelegt werden. Vergabe der Zugriffsrechte Es ist festzulegen.

sofern die 318 . bieten Schutz vor Zugriffen durch Dritte. [eh SYS 6.6. die diese eindeutige SSID nicht kennen. um nicht durch die Einführung von WLANs die Sicherheit des gesamten lokalen Netzwerkes zu kompromittieren. h. Deaktivieren des Sendens der Service Set ID: Die Service Set ID (SSID) ist ein Name des WLANs. Bei WEP wird nur ein einziger.) unterstreicht die Forderung nach einem WLAN. d.10] 10. Bei unerwünschten Reichweiten müssen entsprechende Gegenmaßnahmen ergriffen werden. Zum einen bieten sie Flexibilität bei der Arbeitsplatzgestaltung und zum anderen sind für deren Aufbau keine aufwendigen Verkabelungsarbeiten notwendig. in jeder WLAN-Komponente in einem Netz muss derselbe WEP-Schlüssel eingetragen sein. Geeignete Verschlüsselungsoptionen aktivieren: Verschlüsselungsoptionen wie WiFi Protected Access (WPA). Testen des Umkreises: Der mögliche Empfang im Umkreis der Organisation muss überprüft werden. Sicherheitstechnisch entstehen neue Gefährdungen und es sind einige Maßnahmen zu beachten. Folgende Maßnahmen sind zu beachten. so dass die Schlüssel manuell administriert werden müssen. Da WEP-Schlüssel in kürzester Zeit kompromittiert werden können. Der Einsatz von Richtantennen hilft dabei die unbeabsichtigte räumliche Ausstrahlung zu unterbinden. Smartphones etc. Weiters ist sie laufend etwaigen Veränderungen im Einsatzumfeld anzupassen.4 Drahtlose Netzwerke bzw.6.). sollte WEP nicht mehr eingesetzt werden. Bei der Schlüssellänge ist es sinnvoll den Schlüssel mit der größten Länge zu wählen. statischer Schlüssel verwendet. Dessen Bekanntgabe an Knoten. so genannte Wireless LAN (WLAN) – Lösungen ergänzen zunehmend LAN Netzwerke.2 (teilw.9 Wireless LAN (WLAN) ISO Bezug: 27002 10.Die so entwickelte Sicherheitsstrategie ist zu dokumentieren und im erforderlichen Umfang den Benutzerinnen/Benutzern des Client-Server-Netzes mitzuteilen. über den Knoten an das Netz verbinden. PDAs. wenn es um die Installation und Konfiguration eines WLANs geht: • • • • Geeignete Positionierung und Ausrichtung der Zugriffspunkte und Antennen: Die Ausstrahlung soll über die Organisationsgrenzen hinweg weitgehend verhindert werden. Die steigende Zahl von portablen Computern (Notebooks. Weiterhin sieht WEP kein dynamisches Schlüsselmanagement vor. Somit soll die Option des Sendens der SSID deaktiviert werden. ist zu verhindern. 11.

Für diese Schlüsselverwaltung und -verteilung greift IEEE 802.bzw. spezifiziert IEEE 802. WPA2-PSK verwendet werden. ist zu empfehlen. Der Pairwise Master Key (PMK) kann über zwei verschiedene Wege auf die beteiligten WLANKomponenten gelangen: • • Statische Schlüssel: Der PMK kann (analog zu WEP) manuell als ein statischer Schlüssel. Sollte WPA-PSK bzw. auf Access Points und Clients konfiguriert werden. Hat ein solcher PSK eine zu geringe Komplexität (im Sinne der Länge des Schlüssels und der Zufälligkeit der Zeichen).verwendeten Endgeräte dies zulassen. Dieser Schlüssel wird als Pairwise Master Key (PMK) bezeichnet. Grundsätzliche Idee in IEEE 802. Diese Schnittstelle basiert auf dem Extensible Authentication Protocol (EAP) und einer Adaptierung dieses Protokolls für die Übertragung auf Layer 2 in LAN (als EAP over LAN. Die Authentisierung erfolgt also auf Schicht 2. WPA2 möglich. Daher sollten diese Passwörter eine hohe Komplexität und eine Länge von mindestens 20 Stellen besitzen. Bei IEEE 802. Netzelement und einem Authentisierungssystem. EAPOL bezeichnet).1X eine Schnittstelle zwischen Client. Dieser Standard ist zur portbasierten Netzzugangskontrolle in kabelbasierten Netzen entworfen worden. 319 . Dictionary-Attacken.11i (WPA2) kommt CCMP als kryptographisches Verfahren zur Integritätssicherung und zur Verschlüsselung der Nutzdaten hinzu. Damit so etwas überhaupt funktioniert.1X ist. ist er anfällig gegenüber Wörterbuch. Es besteht meist die Möglichkeit den gemeinsamen geheimen Schlüssel auch über Passwörter festzulegen. Hand in Hand geht damit die Festlegung einer Funktion zur Schlüsselverwaltung und -verteilung. dass regelmäßig und insbesondere nach einer erfolgreichen Authentifizierung des WLAN-Clients am Access Point ein neuer Schlüssel (PMK) bereitgestellt wird. als Pre-Shared Key (PSK) bezeichnet. der dafür sorgt. die Schlüssel zum Schutz der Kommunikation oder zur Authentisierung mindestens alle drei bis sechs Monate zu wechseln. das die Nutzung dynamischer kryptographischer Schlüssel statt ausschließlich statischer bei WEP erlaubt. Die verwendbaren Schlüssellängen sollten demnach bei der Anschaffung der WLAN-Komponenten bereits berücksichtigt werden. alle Kommunikationspartner müssen daher einen gemeinsamen Schlüssel konfiguriert haben.1X. wenn der Nutzer sich erfolgreich dem Netz gegenüber authentisiert hat. Dynamische Schlüssel: Eine höhere Sicherheit bietet ein Mechanismus zur dynamischen Schlüsselverwaltung und -verteilung. Bei WPA wird TKIP eingesetzt. Die Nutzung der PSK ist in der Kombination mit WPA bzw.11i auf einen anderen Standard zurück und zwar auf IEEE 802. dass die Freischaltung eines Netzports erst dann erfolgt. Diese Passwörter werden über Hash-Funktionen in den PMK umgerechnet. TKIP und CCMP sind symmetrische Verfahren. Ab einer gewissen Größe eines WLANs ist das Ausrollen eines neuen Schlüssels mit erheblichen Problemen verbunden.

Dies bietet über WEP/ WEP+/WPA/o. hinausgehend eine Ende-zu-Ende Verschlüsselung. 320 . Ändern von Standardeinstellungen (Passwörtern): Standardeinstellungen der Zugriffspunkte – etwa Service Set ID (SSID). 11.6. Direkten Zugriff auf das Intranet über das WLAN sperren: Ist der Zugang über WLAN nicht durch starke Methoden der Authentifikation der Knoten und Verschlüsselung gesichert. Kapitel 10.• • • • • • • Generell sollten in regelmäßigen Abständen. Authentifikation der Knoten: Möglichkeiten der Authentifikation der Knoten sind zu aktivieren. Angreifern durchaus bekannt sind (vgl.1 Regelungen des Passwortgebrauches ). Einsatz einer zusätzlichen Firewall: Eine Firewall zwischen dem Zugriffspunkt und dem eigentlichen Netzwerk kann die Sicherheit erhöhen. mindestens jedoch vierteljährlich.B. Nutzung eines Virtual Private Networks (VPN): Im WLAN sollte möglichst ein VPN etabliert werden.ä. Darüber hinaus sind zusätzliche Maßnahmen sinnvoll (z.siehe weiter unten). die Schlüsselinformationen bei allen WLAN-Komponenten ausgetauscht werden. SNMP Community String. sind den von der Stabsstelle IKT-Strategie des Bundes (CIO) herausgegebenen Empfehlungen zur Verwendung von WLANs zu entnehmen [IKT-WLAN] .10 ). etwa nach IEEE 802. Administrator-Passwort – sind werksseitig voreingestellt und müssen sofort geändert werden. wodurch die vertraulichen Inhalte mittels IPSEC oder SSL/TLS geschützt werden. Dies sollte nach Möglichkeit genutzt werden. Der Wechsel der Schlüsselinformationen an allen WLAN-Komponenten sollte bereits während der Planungsphase genau getestet werden. Die darin enthaltene Checkliste ermöglicht ein einfaches und pragmatisches Anwenden der Empfehlungen. MAC-Adressfilterung am Zugriffspunkt: Der Zugang zu Zugriffspunkten kann bei vielen Geräten auch über die MACAdresse kontrolliert werden.3. um den Arbeitsaufwand gering zu halten. ist er als RAS anzusehen (vgl. Weiterführende Informationen. Bei größeren Installationen sollte hierfür eine geeignete Funktion in der zentralen WLAN-Management-Lösung enthalten sein.1X. speziell aber nicht nur für die Organisationen der öffentlichen Verwaltung. Diese Erweiterung berücksichtigt aktuelle Weiterentwicklungen und Marktveränderungen im Bereich WLAN. um dadurch eventuell auftretende Schwierigkeiten zu erkennen. da die Standardpasswörter Angreiferinnen bzw.B. VPN . In Ergänzung zu diesen allgemeine Informationen zu WLANs in der Verwaltung wurde von der Stabsstelle IKT-Strategie des Bundes (CIO) die so genannte „Checkliste WLAN“ [IKT-CLWLAN] veröffentlicht. Für den Bereich der Öffentlichen Verwaltung sind entsprechende Vorgaben und WLAN-Policies der Stabsstelle IKT-Strategie des Bundes (CIO) zu beachten (z.: [IKT-WLAN] [IKT-CLWLAN] ).

Die Vernetzung vorhandener Teilnetze mit globalen Netzen wie dem Internet führt zu einem neuen Informationsangebot. als ob eine direkte LAN-Koppelung bestehen würde.10 Remote Access (VPN) . zur Anbindung von lokalen Netzen von Außenstellen oder Filialen).6. verschiedenen Standorten einer Institution oder auch zu Kunden erreicht. Dies wird meist mittels einer VPN-Verbindung zwischen einzelnen IT-Systemen.4. von einem entfernten Rechner aus (z.2.B. zur Fernwartung). Dabei ist auch zu prüfen. die Integrität und die Verfügbarkeit der lokalen Rechner und dadurch indirekt auch die Vertraulichkeit der lokalen Daten.B. Darüber hinaus gefährdet die Möglichkeit remote.2. Befehle auf Rechnern im lokalen Netz ausführen zu lassen. Ein zu schützendes Teilnetz sollte daher nur dann an ein anderes Netz angeschlossen werden. nicht anschließbare und bedingt anschließbare Teile segmentiert werden muss.B. 11. d. 11. das Anbinden von ganzen LANs (z. da prinzipiell nicht nur ein Informationsfluss von außen in das zu schützende Netz stattfinden kann.7.6.2 Im Folgenden ist mit Remote Access generell jede Art von Fernzugriff auf Geschäftsinformationen (mit zB auch Mobile-Computing. Durch Remote Access wird es einem/einer Benutzer/in ermöglicht. zur Unterstützung von Mitarbeiterinnen/ Mitarbeitern im Außendienst oder auf Dienstreise). für Telearbeit einzelner Mitarbeiter/innen). Generell lassen sich für den Einsatz von entfernten Zugängen im Wesentlichen folgende Szenarien unterscheiden: • • • • das Anbinden einzelner stationärer Arbeitsplatzrechner (z.Konzeption ISO Bezug: 10. lässt aber auch neue Gefährdungen entstehen.B. sondern auch in die andere Richtung. 321 . das Anbinden mobiler Rechner (z. öffentliches Netz gemeint. Dies gilt insbesondere für Anschlüsse an das Internet. wenn dies unbedingt erforderlich ist. der Managementzugriff auf entfernte Rechner (z.Geräten) über ein unsicheres resp. inwieweit das zu schützende Netz in anschließbare. aus dem Internet).B.[eh SYS 6. sich mit einem lokalen Rechner an ein entferntes Rechnernetz zu verbinden und dessen Ressourcen zu nutzen.h.14] 10.

Dies gilt insbesondere für entfernte Zugänge. Dazu müssen die Berechtigungen und Einschränkungen. so muss das System in der Lage sein. Zugriffskontrolle: Sind die entfernten Benutzer/innen authentisiert. die über VPN. Integrität. Der reibungslose Ablauf von Geschäftsprozessen kann bei Totalausfall oder bei Verbindungen mit nicht ausreichender Bandbreite unter Umständen beeinträchtigt werden.oder Bandbreitengarantien gegeben werden.bzw. zeitliche Beschränkungen oder Einschränkung auf erlaubte entfernte Verbindungspunkte). so ist die Verfügbarkeit des Zugangs von besonderer Bedeutung. RAS-System eindeutig zu identifizieren sein. 322 . da hier in der Regel keine Verbindungs. Im Rahmen des Systemzugangs müssen weitere Kontrollmechanismen angewandt werden. Kommunikationssicherheit: Bei einem Remote-Zugriff auf lokale Ressourcen sollen im Allgemeinen auch über die aufgebaute VPN. ihre Remote-Zugriffe auch zu kontrollieren. auch für entfernte Benutzer/innen durchgesetzt werden. um den Systemzugang für entfernte Benutzer/innen reglementieren zu können (z. Alternative Möglichkeiten die heute nur mehr wenig genutzt werden sind RAS-Zugänge über Standleitungen oder Modem-Einwahl. Generell sollen auch für Daten.bzw.bzw. Authentizität) durchsetzbar sein. RAS)Zugängen kann diese Gefahr bis zu einem gewissen Grad verringert werden. Unter dem Gesichtspunkt der Sicherheit sind für entfernte Zugänge folgende Sicherheitsziele zu unterscheiden: • • • • Zugangssicherheit: Entfernte Benutzer/innen müssen durch das VPN. Verfügbarkeit: Wird der entfernte Zugang im produktiven Betrieb genutzt. die im lokalen Netz geltenden Sicherheitsanforderungen bezüglich Kommunikationsabsicherung (Vertraulichkeit. die das Internet als Kommunikationsmedium nutzen. Durch die Nutzung von alternativen oder redundanten VPN-(bzw. die für lokale Netzressourcen durch befugte Administratoren festgelegt wurden. Der Absicherung der VPN. Ihre Identität muss jeweils durch einen Authentisierungsmechanismus bei jedem Verbindungsaufbau zum lokalen Netz sichergestellt werden. da zur Abwicklung der Kommunikation verschiedene Kommunikationsmedien in Frage kommen. RAS-Verbindung Nutzdaten übertragen werden. RAS-Kommunikation kommt jedoch eine besondere Bedeutung zu.B. die in der Regel nicht dem Hoheitsbereich des Betreibers des lokalen Netzes zuzurechnen sind.Für diese Szenarien bieten VPN-Technolgien eine einfache Lösung: entfernte Benutzer/innen verbinden sich über das Internet mit Hilfe von VPN-Clients mit dem Firmennetz.oder RAS-Verbindungen übertragen werden.

VPN (RAS)-spezifischer Sicherheitsregeln. die Anbindung einzelner Mitarbeiter oder ganzer Standorte. Zusätzlich zu der Absicherung der Systemkomponenten muss jedoch auch ein VPN (RAS)-Sicherheitskonzept erstellt werden. verschiedenen Standorten einer Institution oder auch zu Kunden eingerichtet wird.7] 10. welche Arten von BenutzerInnen mit welchen Berechtigungen und welchen Vorkenntnissen das VPN nutzen sollen (z.1 Durchführung einer VPN-Anforderungsanalyse ISO Bezug: 27002 10. Daher muss geklärt werden.4 Bevor eine VPN. MitarbeiterInnen einer Zweigstelle). Im Rahmen der Anforderungsanalyse sind u. wie diese sicher identifiziert und authentisiert werden sollen. betrachtet werden. das sich in das bestehende Sicherheitskonzept eingliedert: das VPN (RAS)System muss einerseits bestehende Sicherheitsforderungen umsetzen und erfordert andererseits das Aufstellen neuer. B. MitarbeiterInnen auf Dienstreise.(oder RAS-)Verbindung zwischen einzelnen IT-Systemen. Dabei ist auch zu klären. alle im konkreten Fall in Frage kommenden Einsatzszenarien zu bestimmen und andererseits daraus Anforderungen an die benötigten Hardwareund Software-Komponenten abzuleiten. Aus den Ergebnissen müssen die benötigten Anforderungen ermittelt und gemäß ihrer Bedeutung für das Unternehmen oder die Behörde priorisiert werden. wie die Durchführung von Fernwartungstätigkeiten.und End-to-Site-VPNs). welche der betroffenen Anwendungen zeitkritisch oder bandbreitenintensiv sind.6. Ziel der Anforderungsanalyse ist es einerseits. Site-toSite-.10. Neben den Geschäftsprozessen müssen auch die Anwendungen.Ein VPN (RAS)-System besteht aus mehreren Komponenten. die die jeweiligen Prozesse unterstützen.. für welche Geschäftsprozesse das Virtuelle Private Netz (VPN) genutzt und welche Informationen darüber kommuniziert werden sollen. welche Einsatzzwecke unterstützt werden sollen und welche VPN-Typen dafür eingesetzt werden (z. 11. sollte eine Anforderungsanalyse durchgeführt werden.2. End-to-End. 323 . [eh Teil 2 5. Festlegung der Anwendungszwecke: Es gibt viele unterschiedliche Nutzungsszenarien für VPNs. folgende Fragen zu klären: • • • Festlegung der Geschäftsprozesse: Als erstes muss geklärt werden.a. Durch das Aufstellen und Durchspielen von Nutzungsszenarien können spezielle Anforderungen an die VPN-Architektur oder die VPN-Komponenten aufgedeckt werden. die zunächst als Einzelkomponenten abgesichert werden sollten. B. Hierbei muss auch erfasst werden. AußendienstmitarbeiterInnen.6. Festlegung der BenutzerInnen: Es ist zu klären.

mit denen die Informationen übertragen werden können. wer zu benachrichtigen ist. wer für die Administration und den Betrieb des VPNs zuständig ist . empfiehlt es sich. Beispielsweise kann festgelegt werden. Im Weiteren muss geklärt werden. Beispielsweise können E-Mails übertragen. Bei der Durchführung einer VPN-Anforderungsanalyse sollte daher festgelegt werden. Besitzen die betroffenen Anwendungen einen höheren Schutzbedarf bezüglich der Verfügbarkeit.und zwar auf beiden Seiten des VPNs.• • • • • Regelung von Zuständigkeiten: Auch VPN-Komponenten müssen durch fachkundiges Personal administriert und gewartet werden. von wo über das jeweilige VPN auf welches Netz und auf welche IT-Systeme zugegriffen werden darf. Erhöhte Anforderungen an die Verfügbarkeit lassen sich bei VPNs nicht immer durch technische Sicherheitsmaßnahmen abdecken. Es muss nicht nur entschieden werden. die nicht unter der eigenen Kontrolle stehen und somit nicht beeinflusst werden können. sondern auch die Protokolle. 324 . Bei der VPN-Anforderungsanalyse sollte entschieden werden. gemäß den Common Criteria zertifizierte VPN-Komponenten einzusetzen. wenn das VPN ausfällt oder wenn Anzeichen für einen Sicherheitsvorfall entdeckt werden. Verfügbarkeit: Besonders bei einer Standortvernetzung wird häufig gewünscht. die im Allgemeinen durch zusätzliche Sicherheitsmaßnahmen abgedeckt werden können. In vielen Fällen existieren hierzu übergeordnete Regelungen oder Richtlinien. Je nach Konfiguration können dadurch alle IT-Systeme eines Netzes auf alle IT-Systeme oder nur auf bestimmte IT-Systeme der anderen Netze zugreifen. Hierfür muss Fachpersonal vorhanden sein. Vertraulichkeit und Integrität: Je nach Schutzbedarf bezüglich der Vertraulichkeit und Integrität werden häufig besondere Anforderungen an das VPN gestellt. Auswahl der genutzten Applikationen und -protokolle: Über ein VPN können unterschiedliche Arten von Informationen versendet und empfangen werden. sollte dies bei der Anforderungsanalyse berücksichtigt werden. die bei der Beschaffung und beim Betrieb von VPN-Komponenten berücksichtigt werden müssen. welche Applikationen eingesetzt werden dürfen. Es sollte daher festgelegt werden. dass zu jeder Zeit ausreichend schnell Informationen über das VPN ausgetauscht werden können. Neben diesen klassischen Diensten kann auch auf einem Terminalserver gearbeitet oder über VoIP telefoniert werden. welche Applikationen über ein VPN genutzt werden dürfen und welche nicht. dass Netzfreigaben nur über SMB statt NFS eingebunden werden dürfen. Dateien kopiert oder auf einen Webserver zugegriffen werden. Beschränkung der Netze: Mit VPNs können verschiedene Netze durch Nutzung einer sicheren Verbindung zu einem logischen Netz zusammengefasst werden. Um Informationen mit hohem Schutzbedarf bezüglich Vertraulichkeit und/oder Integrität zu übertragen. das über entsprechendes Wissen verfügt. da VPNs oft über Netze aufgebaut werden.

die zulässige Verzögerung sowie gegebenenfalls weitere Qualitätsmerkmale des Netzes berücksichtigt werden. müssen für zeitkritische Anwendungen spezielle Voraussetzungen berücksichtigt werden.10.2.2 Entwicklung eines VPN-Konzeptes ISO Bezug: 27002 10. dass sich mobile Mitarbeiter von beliebigen Orten unterwegs ins Institutions-LAN einwählen können.• • Bandbreite und Verzögerung: Ein VPN ermöglicht es.4 Ein VPN-Konzept kann grob in drei Teilbereiche unterteilt werden: • • • Organisatorisches Konzept Technisches Konzept Sicherheitskonzept 325 . Zusätzlich müssen also den Benutzern entsprechende organisatorische Vorgaben gemacht werden. Bei einer Wählverbindung könnte anhand der Ländervorwahl gefiltert werden. sondern können auch differenziert auf einzelne Standorte oder Anwendungszwecke angewendet werden. Geographische Beschränkungen: Ein VPN kann dazu dienen. Als Lösungsansatz könnten die verschiedenen Anwendungszwecke zum Beispiel bezüglich ihrer Anforderungen an Bandbreite. sollte festgelegt werden. 11.6. Die Anforderungen für die geplanten Szenarien sind zu dokumentieren und mit den Netzadministratoren und dem technischen Personal abzustimmen. Zu beachten ist jedoch. auf Applikationen in einem entfernten Netz zuzugreifen. Für die VPN-Anforderungsanalyse sollten die benötigten Bandbreiten. Integrität und Dienstgüte (Quality of Service oder kurz QoS) klassifiziert werden. Beispielsweise könnte nur der IP-Adressbereich eines oder weniger Provider zugelassen werden. Besonders bei der Vernetzung von mehreren Standorten kommt häufig nicht jeder Liegenschaft die gleiche Priorität zu. An kleine Vertriebsbüros werden beispielsweise meist andere Anforderungen bezüglich Verfügbarkeit gestellt als an Unternehmenszentralen. Dies kann auch technisch unterstützt werden. Wenn dies aber nicht gewünscht wird. Dies betrifft beispielsweise Zugriffe auf Terminalserver oder die Telefonie über VoIP. dass diese technischen Zugriffsbeschränkungen nicht absolut zuverlässig sind.1] 10. [eh SYS 7. Ebenso bestehen an End-to-End-VPNs andere Anforderungen als an Site-to-Site-VPNs. Vertraulichkeit.6. besonders im Hinblick auf die verfügbare Bandbreite und Verzögerungen bei der Übertragung. von wo auf das LAN zugegriffen werden darf. Da VPN-Verbindungen oft über ein WAN aufgebaut werden. Diese Punkte müssen nicht zwangsläufig pauschal für die gesamte Institution betrachtet. Verfügbarkeit.

Die erteilten Zugangs. Wartungsarbeiten). wie und von wem die Benutzerkonten und die Zugriffsberechtigungen verwaltet und administriert werden (Berechtigungskonzept).und Zugriffsberechtigungen müssen dokumentiert und bei Änderungen fortgeschrieben werden. an dem die technischen Voraussetzungen zum VPN-Verbindungsaufbau vorhanden sind. Hotel-Foyers. Wie die Erlaubnis zum entfernten Zugriff reglementiert werden soll. Es empfiehlt sich. für den VPN-Zugang unterschiedliche Benutzergruppen mit verschiedenen Berechtigungen zu definieren. ist dafür geeignet. muss jeweils innerhalb der Institution entschieden werden. damit von dort VPN-Verbindungen in das LAN der Institution erlaubt werden können. wie und durch wen diese erfolgt. Das organisatorische Konzept sollte folgende Punkte beinhalten bzw. in Bezug auf Sicherheit und technischer Ausstattung) der entfernte Arbeitsplatz genügen muss. Für feste entfernte Standorte (wie Telearbeitsplätze) müssen Anforderungen festgelegt werden. B. 326 . Oft existieren schon ähnliche Regelungen. Mögliche Voraussetzungen sind der Einsatzzweck (z. die beschreiben. Telearbeit. regeln: • • • Es sollten die Verantwortlichkeiten für das jeweilige VPN festgelegt werden (Installation. B.Im Folgenden werden jeweils die wesentlichen Fragestellungen aufgezeigt. Ein per Extranet angebundener Lieferant muss beispielsweise andere Zugriffrechte als eine angebundene Zweigstelle haben. Je nach konkreter Situation ergibt sich naturgemäß ein speziell auf die jeweiligen organisatorischen und technischen Gegebenheiten zugeschnittener zusätzlicher Abstimmungsbedarf. Überwachung). Teilnahme an Schulungen) und eine Zustimmung durch Vorgesetzte. Die Betriebsorte von VPN-Clients unterliegen häufig nicht der Kontrolle des LAN-Betreibers und besitzen daher auch ein besonderes Gefährdungspotenzial. die im Rahmen der Teilkonzepte beantwortet werden müssen. Verwaltung. Das Konzept kann eine anfängliche sowie eine periodisch wiederkehrende Überprüfung der Räumlichkeiten und dortigen Technik vorsehen und regeln. das festlegt. Je nach geplantem Einsatzszenario kann es zweckmäßiger sein. die dann adaptiert werden können. eine Negativliste von besonders ungeeigneten Standorten zu führen. Hotel-Business-Center oder öffentliche Verkehrsmittel gehören. Daher müssen Regelungen getroffen werden. Je nach organisatorischer Struktur müssen die Verantwortlichkeiten existierender Rollen erweitert oder neue Rollen geschaffen werden Es muss festgelegt werden. für die Erlaubnis zur Nutzung von Internet-Zugängen. B. Nicht jeder Ort. Dazu können z. B. welchen Ansprüchen (z. z. von welchen Standorten aus VPN-Verbindungen zum Ziel-LAN aufgebaut werden dürfen. Überprüfung. Gegenüber stationären Clients kommen bei mobilen Clients weitere Gefährdungen hinzu. Nachweis bestimmter Kenntnisse (z. Die Gruppenzugehörigkeit von einzelnen BenutzerInnen sollte durch ein entsprechendes Anforderungsprofil geregelt werden. Außendienst-Tätigkeiten. welche Voraussetzungen für die Mitgliedschaft in einer Gruppe erfüllt werden müssen. B.

wie Änderungen an der VPN-Konfiguration durchzuführen sind (Beispiel: Beantragung. die beschreiben. Der Schutzbedarf für das VPN muss ermittelt werden. ob eine Eigenrealisierung bzw. B. Überprüfung der geplanten Konfiguration. so müssen unterschiedliche Sicherheitszonen definiert werden. -betrieb zurückgegriffen wird.• • • • • • • Wird die Sicherheit von VPN-Zugängen verletzt. den kompletten Betrieb eines VPNs aus der Hand zu geben. sollte jede/ rjede VPN-Benutzer/in eine besondere Schulung erhalten. Eigenbetrieb des VPNs notwendig ist oder ob auf Fremdrealisierung bzw. ob starke Kryptographie an allen beteiligten Standorten rechtlich eingesetzt werden darf. Ein weiterer wichtiger Punkt bei der Konzeption ist die grundsätzliche Frage. Authentisierung und Integritätssicherung) müssen definiert werden. Einrichtung und den Betrieb von VPNs. 327 . Aus den Sicherheitszonen heraus dürfen nur die Zugriffe erlaubt werden. In diesem Zusammenhang muss auch ermittelt werden. wie sich eine Nichtverfügbarkeit des Systems auswirkt und welche Ausfallzeiten hingenommen werden können. Überprüfung der durchgeführten Veränderung). Im Rahmen dieser Schulung sollen die BenutzerInnen einerseits für die spezifischen VPNGefährdungen sensibilisiert und andererseits im Umgang mit den technischen Geräten und der Software unterrichtet werden. sondern auch für die Suche nach Informationen über aktuelle VPN-Sicherheitslücken. die Konzeption von Maßnahmen zur Steigerung der Informationssicherheit beim VPN-Betrieb und die Einarbeitung in neue Komponenten. Hierbei muss hinterfragt werden. Für die VPNAdministration sollten deshalb Verfahren festgelegt werden. Haben externe Zulieferer oder Kunden eine Anbindung an das VPN. die tatsächlich für die Benutzer erforderlich sind. Outsourcing beachtet werden. Falls Authentisierungstoken zum Einsatz kommen sollen. Um einem Missbrauch vorzubeugen. Ebenso müssen auch die Administratoren sowohl für die eingesetzten Produkte gründlich ausgebildet als auch über VPNSicherheitsrisiken und Sicherheitsmaßnahmen aufgeklärt werden.3. Allerdings ist es nicht immer vorteilhaft oder erwünscht. müssen in der VPN-Sicherheitsrichtlinie die Rechte und Pflichten von VPN-BenutzerInnen festgelegt werden. müssen die Benutzer über deren ordnungsgemäße Handhabung informiert werden. Diese müssen entsprechend verbindlich verpflichtet werden. Die Anforderungen an die VPN-Sicherheitsmechanismen (z. die Sicherheitsregelungen einzuhalten. Dieser leitet sich aus dem Schutzbedarf der darüber übertragenen Informationen sowie der damit verbundenen IT-Komponenten ab. Viele Dienstleister verfügen über hohe Kompetenz und Erfahrung in Bezug auf die Planung. Den Administratoren muss nicht nur für den Betrieb des VPNs ausreichend Zeit zur Verfügung stehen. Bei Fremdbetrieb eines VPNs müssen die Anforderungen aus 10. Durchführung. Da beim entfernten Zugriff auf ein LAN besondere Sicherheitsrisiken durch die meist ungesicherte Umgebung eines VPN-Clients bestehen. kann dies unter Umständen die Kompromittierung des gesamten LANs nach sich ziehen.

Die Auswahl ist davon abhängig. Die Komponenten werden lediglich durch ihre Funktion definiert. Für einen zeitkritischen Datenverkehr werden eventuell QoS (Quality of Service).und Software Alle Dienste und Protokolle. die die Einwahl in das LAN ermöglichen. Dies gilt besonders für Zugriffe auf Webserver oder E-Mail-Server über Browser. wie das VPN durch Hardware.und SoftwareKomponenten technisch realisiert ist. MPLS (Multi Protocol Label Switching) oder dedizierte Leitungen benötigt. Es müssen geeignete Verschlüsselungsverfahren zum Schutz der Daten festgelegt werden. Modems) erwogen werden. 328 . jedoch in unterschiedlicher Zahl und Ausprägung zur Verfügung. Relevant sind hier unter anderem: • • • Tunneling: Die Kommunikation kann auf niedriger Protokollebene verschlüsselt werden (so genanntes Tunneling). und die dafür verwendeten Zugangsprotokolle sind zu beschreiben. die über den VPN-Zugang zugelassen werden. dedizierte Zugangsnetze (Access Networks) zu bilden. Dazu muss ein geeignetes Verfahren ausgewählt werden. Paketfilter bzw. wie diese Zugangspunkte an das LAN angeschlossen werden. interne Firewall) in das produktive Netz zugegriffen werden kann. regeln: • • • • • Es sollte beschrieben sein. Diese sind besonders für den stationären Einsatz und zur Anbindung mehrerer Rechner sinnvoll. da die Verschlüsselung transparent erfolgt und die Endsysteme nicht belastet werden. Das Sicherheitskonzept muss aufbauend auf der aktuellen Netzstruktur analysieren. welche Teilnetze bei Nutzung eines VPN-Zugangs erreichbar sind. wenn von der Verschlüsselung auf niedriger Protokollebene aus bestimmten Gründen kein Gebrauch gemacht werden kann. Die Bildung von Zugangsnetzen erfordert dabei die Anschaffung und Wartung zusätzlicher Hard. sowie die darüber zugreifbaren Ressourcen sind zu dokumentieren. Die herkömmlichen VPNs stellen solche Verfahren standardmäßig. Zu beachten ist jedoch. Im Rahmen der Sicherheitskonzeption sind alle VPN-Zugangspunkte zum lokalen Netz zu erfassen und es ist zu beschreiben. welche Applikationen eingesetzt werden sollen. Es sollte überlegt werden. Verschlüsselung durch Netzkoppelelemente: Neben der Absicherung der Kommunikation durch Software kann auch der Einsatz von verschlüsselnden Netzkoppelelementen (Router. die standardmäßig TLS/SSL-gesicherte Kommunikation unterstützen. aus denen nur kontrolliert (über Router. TLS/SSL-Verschlüsselung: Zur Verschlüsselung kann auch TLS/ SSL eingesetzt werden. Im Rahmen einer nachgeschalteten Analyse vorhandener Systemkomponenten und am Markt beschaffbarer neuer Komponenten können die Elemente des Konzeptes tatsächlichen Geräten und Software-Produkten zugeordnet werden Alle potentiellen VPN-Endpunkte.Das technische Konzept sollte folgende Punkte beinhalten bzw.

aber auch BenutzerInnen von VPN-Komponenten sollten über VPN-Gefährdungen und die zu beachtenden Sicherheitsmaßnahmen informiert bzw. damit dieser weitere Schritte unternehmen kann Administratoren.• • • dass die Netzkoppelelemente sorgfältig konfiguriert und gewartet werden müssen. Auch bei direkten Einwahlverfahren beispielsweise über analoge Telefonnetze oder ISDN ist eine Verschlüsselung zum Schutz der Daten erforderlich. Für alle VPN-Komponenten sollten Sicherheitsmaßnahmen und eine StandardKonfiguration festgelegt werden. Diese Entscheidung hat in der Regel erheblichen Einfluss auf die Kosten. dass bei einem Verdacht auf Sicherheitsprobleme ein Sicherheitsverantwortlicher hierüber informiert werden muss. Diese VPN-spezifischen Sicherheitsrichtlinien müssen konform zum generellen Sicherheitskonzept und den allgemeinen Sicherheitsrichtlinien der Institution sein. Die VPN-spezifischen Vorgaben können in den vorhandenen Richtlinien ergänzt oder in einer eigenen Richtlinie zusammengefasst werden. Die korrekte Umsetzung der in der VPN-Sicherheitsrichtlinie beschriebenen Sicherheitsmaßnahmen sollte regelmäßig kontrolliert werden. ob die Verbindung über dedizierte CarrierLeitungen realisiert werden muss. • • • • auf welche anderen internen oder externen Netze oder IT-Systeme über ein VPN zugegriffen werden darf. End-to-Site). Um einen stabilen Betrieb und eine kontinuierliche Verbesserung gewährleisten zu können. Es gibt verschiedene Arten von VPNs (Site-to-Site. • • • welche Informationen über VPNs übertragen werden dürfen. Sie müssen regelmäßig auf Aktualität überprüft und gegebenenfalls angepasst werden. Es muss entschieden werden. welcher VPN-Typ realisiert werden soll. B. regeln: • • Für den Einsatz von VPN-Komponenten in Behörden und Unternehmen müssen geeignete Sicherheitsrichtlinien aufgestellt werden. Es sollte beschrieben sein. Die aus den Monitoring-Systemen gewonnenen Erkenntnisse tragen wesentlich zur Feinabstimmung des VPN-Betriebs bei Das VPN-Sicherheitskonzept sollte folgende Punkte beinhalten bzw. sollten geeignete Monitoring-Systeme eingeplant werden. Alle VPN-BenutzerInnen sollten darauf hingewiesen werden. konfigurieren und benutzen darf. anhand der Anforderungen muss entschieden werden. Dazu sind auch eine Vielzahl von Randbedingungen festzulegen wie z. geschult werden. wo die VPN-Komponenten benutzt werden dürfen. End-to-End. wer in der Institution VPN-Komponenten installieren. 329 .

wie z. B. wer zu benachrichtigen ist. Hierzu gehört vor allem der Umgang mit klassifizierten Informationen. vor allem. eine eigene VPN-BenutzerInnenrichtlinie zu erstellen. Wichtig ist auch. Darin sollte festgelegt sein. dass VPNs nur von geeigneten Standorten und mit von der Institution dafür zugelassenen ITKomponenten aufgebaut werden dürfen. welche Schnittstellen es zwischen den am Betrieb beteiligten Administratoren gibt. wie mit Client-seitigen Sicherheitslösungen umzugehen ist. Dazu gehört beispielsweise. dass für den Betrieb der serverseitigen Komponenten eine andere 330 . nur durch die hierfür benannten Administratoren. B. beispielsweise Verschlusssachen. Hotel-Business-Center oder öffentliche Verkehrsmittel sein. • welche Schritte bei (vermuteter) Kompromittierung des VPN-Clients zu unternehmen sind. So ist es durchaus üblich. eine vorhandene Personal Firewall nicht abgeschaltet werden darf • • die Konfiguration der VPN-Clients nicht von den BenutzerInnen verändert werden darf. Außerdem sollte die BenutzerInnenrichtlinie Angaben dazu enthalten. und wann welche Informationen zwischen den Zuständigen fließen müssen. die auch als Grundlage für die Schulung der Administratoren dienen kann. kann es sinnvoll sein.• Um BenutzerInnen nicht mit zu vielen Details zu belasten. B. In einer solchen BenutzerInnenrichtlinie sollten dann kurz die Besonderheiten bei der VPN-Nutzung beschrieben werden. BenutzerInnen sollten darauf hingewiesen werden. an welche anderen internen und externen Netze oder IT-Systeme der VPNClient gekoppelt werden darf. Daneben sollte eine VPN-spezifische Richtlinie für Administratoren erstellt werden. z. dass • • • • • • • keine sicherheitsrelevanten Konfigurationen verändert werden dürfen. • unter welchen Rahmenbedingungen sie sich an einem internen oder externen VPN anmelden dürfen. Passwörter nicht auf dem Client gespeichert werden dürfen. dass klar beschrieben wird. welche Daten im VPN genutzt und übertragen werden dürfen und welche nicht. Hotel-Foyers. wer für die Administration der unterschiedlichen VPN-Komponenten zuständig ist. Ungeeignete Standorte können je nach Einsatzzweck z. es sei denn mit von dafür freigegebenen Passwort-Speicher-Tools stets ein Virenscanner aktiviert sein muss. und • alle Freigaben von Verzeichnissen oder Diensten deaktiviert oder zumindest durch gute Passwörter geschützt sind. fremd-administrierte IT-Systeme können ebenso ungeeignet sein. BenutzerInnen sollten für VPN-Gefährdungen sowie für Inhalte und Auswirkungen der VPN-Richtlinie sensibilisiert werden. in Form eines Merkblattes.

sollten mit ihrer Unterschrift bestätigen. • Mobile MitarbeiterInnen: 331 . Maßnahmen bei Kompromittierung des VPNs. B. Die VPN-Richtlinie für Administratoren sollte weiterhin die wesentlichen Kernaspekte zum Betrieb einer VPN-Infrastruktur umfassen.10.Organisationseinheit zuständig ist als für die Betreuung der VPN-Clients oder für das Identitäts. dass sie den Inhalt der VPN-Sicherheitsrichtlinie gelesen haben und die darin definierten Anweisungen auch einhalten.2] 10. aufzubewahren. beschrieben. Die VPN-Planung muss der Leitungsebene zur Entscheidung vorgelegt werden. egal ob BenutzerInnen oder Administratoren.2. geeignete Verwaltung aller VPN-Komponenten. Ohne diese schriftliche Bestätigung sollte niemand VPNs nutzen dürfen. in denen VPNs üblicherweise eingesetzt werden.4 Unternehmen und Behörden haben vielfältige Anforderungen an Netze.3 Auswahl einer geeigneten VPN-Systemarchitektur ISO Bezug: 27002 10. 11.6.6.und Berechtigungsmanagement. [eh SYS 7. zumindest auf den Servern. • • • • • • • Festlegung einer sicheren VPN-Konfiguration und Definition von sicheren Standard-Konfigurationen. Alle Entscheidungen müssen nachvollziehbar dokumentiert werden. Typische VPN-Nutzungsszenarien: Nachfolgend werden einige Einsatzszenarien. Alle VPN-AnwenderInnen. wie z. Regelmäßige Auswertung von Protokolldateien. Inbetriebnahme von Ersatzsystemen. Dementsprechend unterscheiden sich die Anforderungen der Institutionen und müssen bei der Auswahl von VPN-Produkten berücksichtigt werden. Die unterschriebenen Erklärungen sind an einem geeigneten Ort. wie beispielsweise die Vernetzung unterschiedlicher Standorte und die Anbindung mobiler Mitarbeiter oder Telearbeitern an das interne Netz. Auswahl und Einrichtung von Kryptoverfahren inklusive Schlüsselmanagement. beispielsweise in der Personalakte.

Je nach Aufgabengebiet kann es sein. Die Kommunikation zwischen Telearbeitsrechner und LAN erfolgt normalerweise über unsichere. Beispielsweise könnten alle IT-Systeme. ins interne Netz einwählen möchten. B. Die Endgeräte der Mitarbeiter sind typischerweise Laptops oder PDAs. B. muss gewährleistet werden. so dass diese aus einem nur eingeschränkt vertrauenswürdigen Netz. Support und Betrieb) interner Systeme kann durch eigene oder fremde MitarbeiterInnen durchgeführt werden. • Auf internen Systemen soll durch externe Firmen Software entwickelt werden. h. In diesem Szenario ist besonders der Transportkanal abzusichern.• • • Mobile MitarbeiterInnen arbeiten an wechselnden Arbeitsplätzen in unterschiedlichen Umgebungen und benötigen dabei unter Umständen einen Fernzugriff auf Daten im LAN innerhalb der Institution. Da die IT-Systeme der Kunden oder der Partner nicht unter der Kontrolle der Institution stehen. Fernwartung: Bei der Durchführung von Fernwartungstätigkeiten sind privilegierte Administratorzugänge auf interne Systeme erforderlich. von "innen". dass sich die MitarbeiterInnen von beliebigen Arbeitsorten. auf die Kunden oder Partner zugreifen können. Die IT-Systeme des Telearbeitsplatzes sollten zentral administriert werden. In beiden Fällen bestehen • • 332 . • Aus dem vertrauenswürdigen Netz heraus.und Partner-Anbindung:: Häufig sollen Kunden oder Partner an das interne Netz einer Institution angebunden werden. Standortvernetzung:: Bei der Standortvernetzung werden Teilnetze an unterschiedlichen Standorten einer Institution miteinander verbunden. h. von "außen". dass nur auf die freigegebenen Ressourcen zugegriffen werden kann. Hierbei werden die vertrauenswürdigen LANs. einem Hotel oder Flughafen. sollen externe Datenbanken abgefragt werden. in einem separaten Netz betrieben werden. abgerufen werden können. Kunden. öffentliche Netze. d. Neben der Absicherung solcher Verbindungen muss auch die Sicherheit des Endgeräts sowie dessen Einsatzumgebung beachtet werden. Telearbeitsplatz: Bei der Anbindung eines Telearbeitsplatzes greift ein Client-System von einem festen Arbeitsort außerhalb der Büroumgebung auf das interne Netz einer Institution zu. um Waren aussuchen und bestellen zu können. z. z. Die Fernwartung (Wartung. häufig über ein unsicheres öffentliches Transportnetz verbunden. d. Zusätzlich müssen die Netze und die Client-Systeme der Standorte mittels Sicherheitsgateways gegen Angriffe aus dem Internet gesichert werden. Folgende Szenarien sind typisch Es sollen bestimmte interne Informationen bereitgestellt werden. dass mit einem Sicherheitsgateway (Firewall) vom LAN der Institution getrennt ist. die unter eigener Kontrolle stehen.

3. Derjenige Endpunkt. Werden fremde MitarbeiterInnen beauftragt.hohe Anforderungen an die Authentisierung des entfernten Benutzers. Die parallele Installation mehrerer unterschiedlicher VPN-Clients auf einem Endgerät sollte daher vermieden werden. Ein derartiger VPNClient greift oft sehr stark in das installierte Betriebssystem ein. End-to-End-VPN End-to-End-VPNs werden meist für die Nutzung einzelner Anwendungen verwendet. End-to-End. über einen geschützten Kanal an ein zentrales LAN anzubinden. die IT-Systeme zu warten. Unterstützen beispielsweise die vorhandenen WLAN-Komponenten selbst keine sichere Verschlüsselung. denkbar. Die Verbindungen lassen sich auf spezielle Systeme und Dienste beschränken. um gemeinsame Anwendungen betreiben bzw. VPNs werden häufig auch verwendet. um die Kommunikation einzelner Protokolle und Anwendungen zu schützen. Eine typische Verwendung für Verbindungen zwischen LANs ist die Anbindung von Außenstellen oder Filialen an das institutionsinterne Netz. Die Signalisierung und der Medientransport einer VoIPVerbindung könnten ebenfalls in einem VPN-Tunnel gebündelt und verschlüsselt werden. Es werden netzübergreifende Zugriffe benötigt. zu dem die Verbindung aufgebaut wird. könnte die gesamte WLAN-Kommunikation mit einem VPN. um entfernte physische Netze zu einem logischen zusammenzufassen oder um einzelne Endgeräte. Typische Verwendungen für End-to-End-VPNs sind: 333 . VPN-Endpunkte Bei den VPN-Endpunkten wird grundsätzlich zwischen VPN-Server und VPNClient unterschieden. Hierbei ist. fungiert als VPN-Server.und End-to-Site-VPNs unterschieden. die sich in unsicheren Netzen befinden. damit nur Berechtigte sich über das VPN einwählen können. • • Site-to-Site-VPN Mit Site-to-Site-VPNs werden Netze gekoppelt. beispielsweise eines RADIUS-Servers. Bei den VPN-Endpunkten muss für eine sichere Authentisierung gesorgt werden. Outsourcing berücksichtigt werden. VPN-Typen VPNs können eingesetzt werden. Die Vernetzung der einzelnen VPN-Endpunkte untereinander muss anhand der Ergebnisse der Anforderungsanalyse durchgeführt werden. die Datenflusskontrolle und die Verfügbarkeit der Anbindung. das unabhängig vom WLAN ist. VPN-Endpunkte lassen sich entweder per Software oder per Hardware realisieren. verschlüsselt übertragen werden. Bei MitarbeiterInnenn im Außendienst besteht der VPN-Client in der Regel aus einer Software-Applikation auf einem mobilen IT-System. auch der Einsatz eines Authentisierungsservers. wird zwischen Site-to-Site-. Der initiierende Endpunkt wird als VPN-Client bezeichnet. Der Transportkanal wird durch VPN-Gateways in den angeschlossenen Netzen gesichert. Je nachdem. nutzen zu können. welche Systeme den Endpunkt der VPN-Verbindung darstellen. je nach Anwendungsgebiet. müssen die Empfehlungen aus10.

ein Trusted-VPN zur Verfügung zu stellen. Für mobile NutzerInnen stellen Dienstleister zudem VPNs über Gateway-Router bereit. die vor unberechtigtem Zugriff geschützt sind. Hierbei sind Berechtigungen auf Administrator.3. VPNs werden als Trusted-VPN bezeichnet. TelearbeiterInnen und mobile BenutzerInnen werden in der Regel mit End-to-Site-VPNs in das LAN integriert. • Zugriffe über Terminalserver. Dadurch wird Zugriff auf das gesamte Netz benötigt. • Integration von Geschäftspartnern oder Kunden in Teilbereiche des zentralen Datennetzes einer Institution. die nur über spezielle Einwahl-Knoten erreicht werden können. wie beispielsweise TLS/SSL-VPN oder IPSec-VPN. wenn die VPN-Verbindung zwischen verschiedenen Standorte durch vertrauenswürdige externe VPN-Dienstleister gewährleistet wird. Berechtigungen auf Administrator. End-to-Site-VPN (Remote-Access-VPN) End-to-Site-VPNs werden auch als Remote-Access-VPN (RAS-VPN) bezeichnet. • VPN-Varianten Der Begriff VPN wird oft als Synonym für verschlüsselte Verbindungen verwendet. Zusätzlich werden zwei grundlegende VPN-Varianten unterschieden: Trusted-VPN und SecureVPN. Solche VPNs werden für Zugriffe eines Clients auf mehrere Anwendungen verwendet. • Zugriffe auf einzelne Anwendungen oder Datenbanken.bzw. die auf unterschiedlichen IT-Systemen im LAN einer Institution liegen. mittels Multiprotocol Label Switching. MPLS). B. Durch Fernzugriff auf ein entferntes System können viele dort installierte Anwendungen genutzt werden. Systemebene häufig nicht erforderlich. Outsourcing berücksichtigt werden.bzw. VPN-Varianten werden häufig auch nach dem eingesetzten VPN-Protokoll benannt.• Fernwartung dedizierter Systeme. sollte zusätzlich Kapitel 10. wie beispielsweise spezielle Funktionen des genutzten Transportprotokolls. Zur Absicherung des Transportkanals können jedoch auch andere Methoden eingesetzt werden. Die Bildung des VPNs erfolgt durch logische Abschottung des VPN-Datenverkehrs vom übrigen Datenverkehr (z. Dabei werden die Daten aus dem vertrauenswürdigen Netz in der Regel unverschlüsselt über einen dedizierten Kommunikationskanal zu einem Gateway-Router des Anbieters geleitet. Wird ein externer Dienstleister beauftragt. Systemebene auf dem Terminalserver sind dafür normalerweise nicht erforderlich. so dass meist VPN-Software auf dem Client-System und ein VPN-Gateway im LAN den Transportkanal sichern. bei der Zugriffe auf Administratorebene erforderlich sind. 334 .

dass sie für den VPN-Einsatz optimiert sind und die sichere Konfiguration vereinfacht wird. da die Sicherheit solcher Verbindungen ausschließlich in Händen des VPN-Dienstleisters liegt. die im eigenen Verantwortungsbereich des VPN-Nutzers liegt. die im eigenen Verantwortungsbereich des VPN-Nutzers liegt. dass die unterschiedlichen Funktionalitäten gemeinsam an einer Stelle administriert werden können. VPNs auf Basis von Standard-IT-Systemen: VPN-Geräte können mit frei verfügbaren oder kommerziellen SoftwareKomponenten selbst zusammengestellt werden. die über eine VPN-Funktionalität verfügen oder entsprechend erweitert werden können. Bei einer intensiven VPN-Nutzung ist daher zu prüfen. ALGs) darstellen. So bietet ein Trusted-VPN zum Beispiel keinen Schutz gegen Innentäter des Anbieters. ob das gewählte VPN-Produkt ein dediziertes VPN-Gerät. wenn die Kommunikation an den Endpunkten der Verbindung durch Verschlüsselung geschützt wird. Application Level Gateways. Werden für die Realisierung des VPNs dedizierte Carrier-Leitungen eingesetzt. nachträglich spezielle HardwareVerschlüsselungsmodule zur Steigerung der Performance einzubauen. Kombi-Geräte: Integrierte VPN-Geräte können beispielsweise Router und andere Komponenten von Sicherheitsgateways (z.Für vertrauliche Daten sind Trusted-VPNs ohne zusätzliche Verschlüsselung auf der Anwendungsschicht nicht geeignet. wie beispielsweise Inhaltsfilterung auf Anwendungsebene. Zusammengestellte VPN-Geräte bieten eine hohe Flexibilität und 335 . handelt es sich um eine Sonderform eines Trusted-VPNs. B. Die Abhängigkeit von Dritten in Bezug auf Vertraulichkeit kann vermieden werden. Manche Kombi-Geräte bieten die Möglichkeit. VPN-Geräte Grundsätzlich muss eine Entscheidung darüber getroffen werden. Linux mit IPSec) sein soll: • • • Dedizierte VPN-Gateways (Appliances): Diese VPN-Produkte dienen ausschließlich der Realisierung von VPNVerbindungen und bieten keine darüber hinausgehenden Funktionalitäten. ob aus Gründen der Verfügbarkeit oder des Durchsatzes eigenständige VPN-Komponenten vorzuziehen sind. ein Kombi-Gerät oder eine softwarebasierte VPN-Lösung auf Standard-IT-Systemen (z. Auch in diesem Fall müssen vertrauliche Daten vor der Übertragung durch Verschlüsselung geschützt werden. Diese Komponenten können oft auf handelsüblicher Hardware mit Standardbetriebssystemen installiert werden. Diese Lösung wird auch als Secure-VPN bezeichnet. Die Verschlüsselung kann an den VPN-Endpunkten auf Transportebene (Secure-VPN) oder auf Anwendungsebene erfolgen. B. Für die vertrauliche Datenkommunikation empfiehlt sich daher ein Secure-VPN. Die Kombination verschiedener Funktionalitäten auf einem Gerät kann jedoch zu Lasten der Performance gehen. Kombi-Geräte haben neben den finanziellen Aspekten oft den Vorteil. VPN-Appliances haben den Vorteil. da beispielsweise das Betriebssystem bereits gehärtet ist.

die dem Stand der Technik entsprechend. Daraus können sich Sicherheitsrisiken beim Einsatz eines zusammengestellten VPNGerätes ergeben. Dienstgüte (Quality of Service. Hardware. Authentisierung und Autorisierung: Hierunter fallen die Identifikation und Authentisierung von Systemen untereinander. Remote-Zugriffe sollten durch eine starke Authentisierung abgesichert werden. Schlüsselmanagement: Zum Schlüsselmanagement müssen geeignete Funktionen vorhanden sein. Die ausgewählten Produkte sollten dabei möglichst flexibel sein und eine nahtlose Integration verschiedenster Techniken ermöglichen. verschiedene Benutzerkennungen mit unterschiedlichen Rechteprofilen einzurichten. QoS): Im Zusammenhang mit Netzübergängen ist der Begriff Dienstgüte als Überwachung und Steuerung der Kommunikation zu verstehen. Die Installation und Integration der benötigten Komponenten kann jedoch fehlerträchtig sein. dass bei Support-Anfragen meist unterschiedliche Ansprechpartner für die einzelnen Komponenten des VPNGerätes (z. Folgende Sicherheitsgrundfunktionen müssen bei der Auswahl von VPN-Produkten erfüllt werden: • • • • Identifikation. Ein geeignetes Produkt muss die bei der VPNKonzeption ermittelten Anforderungen erfüllen können und eine Priorisierung von geschäftskritischen Applikationen ermöglichen. Übertragungssicherung: Zur Übertragungssicherung kommen Funktionen zum Einsatz. Es sollten ausreichend starke anerkannte Authentisierungsverfahren vorhanden sein. Es muss außerdem möglich sein. welche die Vertraulichkeit und Integrität der Daten sichern. Bei der Planung und Realisierung des VPNs muss außerdem die Integration der VPN-Endpunkte in ein Sicherheitsgateway berücksichtigt werden.sind für viele Anwendungsfälle gut geeignet. verteilen und eventuell auch erzeugen zu können. 336 . von Systemen gegenüber BenutzerInnen und von BenutzerInnen gegenüber Systemen. um geheime und öffentliche Schlüssel für die kryptographischen Mechanismen verwalten. Betriebssystem. dass das Produkt sichere kryptographische Mechanismen bietet. die über ein Sicherheitsgateway erfolgen darf. die festgelegten Zugriffsrechte auf den VPN-Komponenten abbilden zu können. Es muss möglich sein. B. Außerdem muss die Authentizität der Kommunikationspartner gewährleistet werden. Wichtig ist dabei. VPN-Software) kontaktiert werden müssen. Ein weiterer Nachteil ist.

ohne Abstriche in der Sicherheit in Kauf nehmen zu müssen (z. dass die BenutzerInnen möglichst wenig mit technischen Details belastet werden? Ist die Sicherheit dabei trotzdem immer gewährleistet? 337 . durch kontextsensitive Hilfen. konfigurieren und nutzen? Genügt das Produkt den geltenden Ergonomievorschriften? Ist insbesondere für den VPN-Client die Benutzerführung so gestaltet. erhebt jedoch keinen Anspruch auf Vollständigkeit und kann um weitere allgemeine Anforderungen erweitert werden. durch modularen Systemaufbau. gemeinsame Benutzerverwaltung für alle VPN-Zugänge)? Wartbarkeit • • • Kann das Produkt den Ansprüchen an die Performance gerecht werden? Bietet das Produkt Funktionen zur Lastverteilung? • Können im Rahmen der Wartungsverträge maximale Reaktionszeiten für die Problembehebung festgelegt werden? • Bietet der Hersteller einen kompetenten technischen Kundendienst (CallCenter. Neben den hier aufgeführten Kriterien müssen weitere spezifische Anforderungen erarbeitet werden. Hotline) an. detaillierte Fehlermeldungen)? Ist die Nutzung des VPN-Clients so konfigurierbar. einfaches Einbinden neuer VPN-Server. bei Problemen sofort zu helfen? Zuverlässigkeit/Ausfallsicherheit • • • • Ist das Produkt einfach wartbar? Bietet der Hersteller regelmäßige Software-Updates an? Wird für das Produkt ein Wartungsvertrag angeboten? • • • • • • • Wie zuverlässig und ausfallsicher ist das Produkt? Bietet der Hersteller auch Hochverfügbarkeitslösungen an? Ist das Produkt im Dauerbetrieb einsetzbar? Benutzerfreundlichkeit Lässt sich das Produkt einfach installieren. B. der in der Lage ist. B.Die nun folgende Liste gibt einen Überblick über mögliche allgemeine Bewertungskriterien. die aus den geplanten konkreten Einsatzszenarien resultieren. • • Allgemeine Kriterien Performance und Skalierbarkeit • Können die Produkte die zu übertragenen Informationen komprimieren und dekomprimieren? • Kann das Produkt einem zukünftigen Wachstumsbedarf gerecht werden (z. dass auch ungeübte BenutzerInnen damit arbeiten können. Online-Dokumentation.

benutzerorientiert.und Software zusammen (Betriebssysteme. dienstorientiert)? 338 . Treiber)? Ist das VPN mit gängigen Systemmanagementsystemen kompatibel? Verhalten im Fehlerfall Bleibt die Sicherheit des VPN-Zugangs auch nach einem kritischen Fehler gewährleistet? • Kann konfiguriert werden. eingestellt werden. dass nach einem kritischen Fehler automatisch ein Neustart durchgeführt oder der Administrator benachrichtigt wird? Administration Enthält die mitgelieferte Produktdokumentation eine genaue Darstellung aller technischen und administrativen Details? • Kann die Administration über eine graphische Benutzeroberfläche erfolgen. unsichere oder inkonsistente Konfigurationen hingewiesen wird oder diese verhindert werden? • Wird neben der graphischen Administrationsoberfläche auch eine kommandozeilenbasierte Schnittstelle angeboten? • Sind die administrativen Funktionen durch eine adäquate Zugriffskontrolle geschützt? Protokollierung • • • • • • Bietet das Produkt geeignete Funktionen zur Protokollierung an? Ist konfigurierbar. wie sich das System nach einem kritischen Fehler verhalten soll? Kann z. protokollorientiert. B.• • Funktion Installation und Inbetriebnahme • • • • • • • Kann die Installation der VPN-Client-Software automatisiert mit vorgegebenen Konfigurationsparametern erfolgen? Ist die Installation der VPN-Client-Software auch für weniger versierte MitarbeiterInnen durchführbar? Können wichtige Konfigurationsparameter vor Veränderungen durch BenutzerInnen geschützt werden? Arbeitet das Produkt mit gängiger Hard. Einsteckkarten . verbindungsorientiert. die sich intuitiv bedienen lässt? Ist die administrative Schnittstelle so gestaltet. B. dass die Daten nach unterschiedlichen Kategorien erfasst werden können (z. dass auf fehlerhafte. wie detailliert die Protokollierung erfolgt und welche Arten von Ereignissen aufgezeichnet werden? Werden durch die Protokollierung alle relevanten Daten erfasst? Ist die Protokollierung in der Weise möglich.

SSL) unterstützt? • Bietet das VPN-Produkt je nach verwendeter Zugangstechnologie zusätzliche. • Kann die Protokollierung an die spezifischen Bestimmungen des Datenschutzes. syslog)? Können die Protokolldaten abgesichert übertragen werden? • Bietet das Produkt leicht bedienbare Funktionen zur Auswertung der Protokolldaten an? • Kann die Protokollierung mit dem eingesetzten Systemmanagementsystem zusammenarbeiten. ausreichend? • Unterstützt das VPN-Produkt die gängigen Protokolle für den entfernten Zugang über Telekommunikationsnetze (z. insbesondere hinsichtlich Übertragungsformat und Übertragungsprotokoll? • Bietet das Produkt die Möglichkeit an. PPTP. B. Authentisierung und Zugriff • • Sind die Protokolldaten mit einem Zugriffsschutz versehen? • • • • Bietet das Produkt geeignete Funktionen zur gesicherten Datenübertragung an? Erfolgt die Absicherung der Kommunikation durch standardisierte Mechanismen? 339 . B. sondern auch auf entfernten Rechnern (zentrales Protokoll)? Werden für die entfernte Speicherung gängige Verfahren angeboten. IPSec. B. B. analoge Telefonleitung. L2F. Kanalbündelung für ISDN. angepasst werden? Kommunikation und Datenübertragung Unterstützt das VPN-Produkt LAN-seitig alle relevanten Netzwerktechnologien (z. ATM)? • Unterstützt das VPN-Produkt WAN-seitig alle geplanten Zugangstechnologien (z. Rückruf des VPN-Clients durch den VPN-Server) an? Sicherheit: Kommunikation. technologieabhängige Mechanismen (z. die für und in der Institution gelten. TCP/IP)? • Werden für den Internet-basierten Zugriff die gängigen Tunnel-Protokolle (z. B. so dass auch Fremdsysteme zur Protokollierung benutzt werden können (z. SLIP)? • Unterstützt das VPN-Produkt die gängigen Dienstprotokolle für den entfernten Zugriff (z. beim Auftreten bestimmter Ereignisse den Administrator zu informieren oder auch geeignete Schutzmaßnahmen automatisch durchzuführen? Beispielsweise ist es oft sinnvoll.• Können die Protokolldaten nicht nur lokal gespeichert werden.25)? • Ist die Anzahl der VPN-Clients. B. Mobiltelefon. B. die sich gleichzeitig in den VPN-Server einwählen können. ISDN. Ethernet. ein Benutzerkonto zu sperren. PPP. wenn mehrere fehlgeschlagene Authentisierungsversuche in Folge für das jeweilige Benutzerkonto festgestellt werden. X.

dass neue Authentisierungsmechanismen nachträglich integriert werden können? Erlaubt das VPN die Nutzung eines oder mehrerer gängiger externer Authentisierungsdienste. Analog kann auch der Erfüllungsgrad einer Anforderung durch das jeweilige Produkt in mehrere Stufen eingeteilt werden.3] 10. B.• • • • • • • Sind alle verwendeten kryptographischen Verfahren etabliert. dass nicht jedes Produkt alle Anforderungen gleichzeitig oder gleich gut erfüllt.4 Mit dem Aufbau eines VPNs kann begonnen werden. so müssen die am Markt erhältlichen Produkte dahingehend untersucht werden. Die Entscheidung muss daher gut überlegt sein. MOA-ID) einzubinden? Sind alle Anforderungen an das zu beschaffende Produkt dokumentiert.6. [eh SYS 7. SecureID. Auf der Grundlage der durchgeführten Produktbewertung kann dann eine fundierte Kaufentscheidung getroffen werden. da spätere Änderungen oft mit hohen Kosten oder auch mit Sicherheitseinbußen verbunden sind.11 Remote Access (VPN) . zusätzliche externe Authentisierungsdienste (z. Grundvoraussetzung für den sicheren VPN-Betrieb ist.B. 340 . bevor ihnen Zugang zu lokalen Ressourcen gewährt wird? Können mehrere Authentisierungsmechanismen miteinander verknüpft werden? Ist die Systemarchitektur so aufgebaut. RADIUS? Ist es möglich.Implementierung ISO Bezug: 27002 10. inwieweit sie diese Anforderungen erfüllen. Daher sollten die einzelnen Anforderungen entsprechend ihrer Relevanz für die Institution gewichtet werden. z. Es ist zu erwarten. sobald die erforderlichen Komponenten dafür beschafft worden sind (vgl. ob die ausgewählten Produkte tatsächlich die Anforderungen ausreichend erfüllen und kompatibel mit den vorgesehenen Technologien sind. 11. und entsprechen sie dem Stand der Technik? Erlaubt die Produktarchitektur eine nachträgliche Installation neuer Sicherheitsmechanismen? Bietet das Produkt geeignete Funktionen zur Authentisierung der BenutzerInnen. dass die Installation und Konfiguration aller Komponenten gewissenhaft erfolgt und sich mit den gewählten VPN-Produkten auch tatsächlich die geforderten Sicherheitsfunktionen umsetzen lassen. TACACS+. voranstehende Maßnahmen)). Vor der Installation muss überprüft werden.6. Die Auswahl der VPN-Geräte stellt einen wesentlichen Aspekt für den reibungslosen Betrieb eines VPNs dar.2.

bei denen die Konfiguration der Plattform vom Hersteller vorgegeben ist und nicht geändert werden kann (VPNAppliances). Der Einsatz solcher VPN-Geräte spart einerseits Zeit und es wird im Gegensatz zu einer individuellen Lösung weniger fachkundiges IT-Personal benötigt. Die Qualität der Dokumentation spielt im Hinblick auf die kontinuierliche Verbesserung des VPNs eine wesentliche Rolle. wenn die zu vernetzenden Standorte geografisch weit voneinander entfernt sind. Dies kann vor allem dann schwierig sein. 10. B. Dies kann entweder durch eine separate Installationsdokumentation erfolgen oder aber durch eine Bestätigung. Es gibt auch VPN-Komponenten. Daher sind zunächst die generellen Sicherheitsmaßnahmen für jedes dieser Betriebssysteme umzusetzen. 11.2. 10. Andererseits muss beim Einsatz von Appliances den Vorgaben des Herstellers vertraut werden. Firmware-Updates eingespielt werden. Es dürfen in dieser Phase also keine Verbindungen zu anderen Netzen vorhanden sein.11. dürfen nur von qualifiziertem IT-Personal installiert werden. dass die Installation aller VPN-Komponenten durch qualifiziertes Personal durchgeführt wird. Die Installation und Konfiguration der VPN-Komponenten ist zu dokumentieren.10. dass die Installation mit den Planungsvorgaben übereinstimmt. Die korrekte Funktion jeder einzelnen Komponente muss überprüft werden (z. Es muss sichergestellt werden. Bei den eingesetzten Produkten müssen vor der Inbetriebnahme alle aktuellen sicherheitsrelevanten Patches bzw.Zusätzlich muss die Sicherheit der IT-Systeme gewährleistet werden. 341 . ob die nötigen Personalressourcen für eine VPN-Installation auch in anderen Ländern zur Verfügung stehen. für die Konfiguration des Betriebssystems. Dies betrifft besonders IT-Systeme. Beispielsweise muss geklärt werden. durch Funktionsprüfungen bzw. Auch VPN-Endpunkte auf mobilen IT-Systemen.6. Selbsttests oder Lasttests). sollten im Rahmen der Installation einesVPN-Systems folgende Punkte Beachtung finden: • • • • • Während der Installationsphase sollten weder BenutzerInnen noch Dritte auf das VPN oder Teile davon zugreifen dürfen. auf denen ein Standard-Betriebssystem installiert ist und das als VPN-Endpunkt betrieben wird (Beispiel: Linux-System mit VPN-Unterstützung).6. auf denen die VPN-Komponenten eingesetzt werden.1 Sichere Installation des VPN-Systems ISO Bezug: 27002 10. z.4 Zusätzlich zu den generellen Sicherheitsmaßnahmen. beispielsweise Laptops von AußendienstmitarbeiterInnenn. wie sie in den jeweiligen Bausteinen der IT-Grundschutz-Kataloge beschrieben werden. die für die IT-Komponenten zu beachten sind. Abweichungen von der festgelegten Systemarchitektur (beispielsweise zusätzliche Verbindungen) müssen hierbei begründet und dokumentiert werden. B.

dass nur die zum Test befugten Personen Zugriff auf das VPN erhalten. Diese muss das System in einen sicheren Betriebszustand überführen. durch Personaländerungen.6. Fehlfunktionen und/oder Ausfällen führen. kann nicht davon ausgegangen werden.2 Sichere Konfiguration des VPN-Systems ISO Bezug: 27002 10. Beispielsweise sollten die Verschlüsselung der Verbindung sowie die eingesetzten Authentisierungsfunktionen mittels eines Netzanalyse-Tools überprüft werden Bevor das System in den Produktiveinsatz genommen wird. Für den reibungslosen Betrieb des VPNs sind die in 10. Es ist Aufgabe der für das VPN zuständigen Administratoren.12 Sicherer Betrieb des VPN-Systems erwähnten Handlungsweisen essenziell. Da ein VPN aus mehreren Komponenten und deren Konfiguration besteht. Die dabei gewonnenen Erkenntnisse und Korrekturmaßnahmen müssen angemessen dokumentiert und in das Feinkonzept eingearbeitet werden. da es durch eine ungeeignete Konfiguration von VPN-Komponenten zu einem Verlust der Verfügbarkeit des Netzes oder Teilen davon kommen kann. Unabhängig davon. Systemerweiterungen).4 Alle VPN-Komponenten müssen sorgfältig konfiguriert werden. Vielmehr wird die Konfiguration üblicherweise fortlaufend geändert. [eh SYS 7. B. Ist die grundlegende Installation erfolgt.6. muss es in einer vom Produktivnetz getrennten Umgebung aufgebaut und entsprechend getestet werden. so kann mit der in der Folge beschriebenen sicheren Konfiguration des VPNs begonnen werden. spielt daher die korrekte Konfiguration der beteiligten Komponenten eine wesentliche Rolle. bereits in der Testumgebung Performance-Messungen und einen Testlauf der Schlüsselverteilung durchzuführen.11. dass es genau eine sichere (und statische) Konfiguration gibt.6. neue Nutzungsszenarien.2. 11. ergibt sich eine erhöhte Komplexität der Gesamtkonfiguration.• • Für jede sicherheitsrelevante Einstellung muss ein Funktionstest der Sicherheitsmechanismen durchgeführt werden. Ebenfalls ist es empfehlenswert. Der Verlust der Vertraulichkeit von Informationen oder der Datenintegrität ist ebenfalls denkbar. ob es sich bei VPN-Komponenten um dedizierte Hardware (Appliances) oder softwarebasierte Systeme handelt. damit anschließend der laufende Betrieb aufgenommen werden kann. Das Ändern eines Konfigurationsparameters bei einer Komponente kann im Zusammenspiel mit den anderen Komponenten zu Sicherheitslücken. dass jeweils nur 342 . die einmal eingestellt und nie wieder verändert wird.4] 10. Bei allen durchgeführten Tests ist darauf zu achten. Nach Abschluss der Installation ist die korrekte Funktion des Gesamtsystems zu überprüfen (Abnahme und Freigabe der Installation). Da die Konfiguration eines VPN-Systems in der Regel Veränderungen unterworfen ist (z.

11. den Zugang zum VPNSystem zu sperren. Im einfachsten Fall besteht die Notfallkonfiguration darin.B.ausgehend von der Default-Konfiguration . Voraussetzungen hierfür sind die sichere Installation (vgl. 11. Die sicheren Betriebskonfigurationen ergeben sich aus den jeweiligen Konfigurationen im laufenden Betrieb.7.5] 10.. 11. um z. 11.2 Sichere Konfiguration des VPN-Systems) der beteiligten Hard. sondern auf eine einfache Installation und Inbetriebnahme optimiert. 10. die vom Hersteller oder Distributor einer VPN-Komponente vorgenommen werden.und Softwarekomponenten. ausreichend komplexe Passwörter ersetzt werden Nach der Installation und vor der Inbetriebnahme muss . eine erste Betriebskonfiguration einzustellen. so dass nur die berechtigten Administratoren Veränderungen vornehmen können. Der erste Schritt bei der Grundkonfiguration muss daher sein.10. 11. sind nicht unbedingt auf Sicherheit. Hier sollten möglichst restriktive Einstellungen gelten. die Grundeinstellungen zu überprüfen und entsprechend den Vorgaben der Sicherheitsrichtlinie anzupassen.6.6. Es empfiehlt sich. Generell kann zwischen den folgenden Konfigurationskategorien unterschieden werden: • • • • Die Default-Konfiguration ergibt sich durch die vom Hersteller voreingestellten Werte für die Konfigurationsparameter. Schließlich sollten sichere Notfallkonfigurationen im Rahmen der Notfallplanung definiert und dokumentiert werden.3 VPNs sind aufgrund der übertragenen Daten attraktive Ziele für Angreifer und müssen daher sicher betrieben werden.4.sichere Versionen der Systemkonfiguration definiert werden und das System von einer sicheren Konfiguration in die nachfolgende sichere Konfiguration überführt wird.eine sichere Anfangskonfiguration durch die Administratoren eingestellt werden. Alle Änderungen und die jeweils aktuelle Einstellungen müssen nachvollziehbar dokumentiert sein. die das geplante Sicherheitskonzept umsetzt. 12. [eh SYS 7. Sie dienen dazu. ob neu bekannt gewordene Sicherheitslücken Anpassungen erfordern.6. Zusätzlich müssen alle organisatorischen Abläufe definiert 343 . Hier muss auch regelmäßig überprüft werden. für jede der definierten Situationen eine adäquate Notfallkonfiguration festzulegen. Die Grundeinstellungen.12 Sicherer Betrieb des VPN-Systems ISO Bezug: 27002 10.5.6.1 Sichere Installation des VPN-Systems) und Konfiguration (vgl.6.11. Standardpasswörter müssen durch eigene. auch bei eingeschränkter Betriebsfähigkeit die Sicherheit aufrechtzuerhalten.2. In der Regel werden durch die Notfallplanung mehrere Notfallsituationen definiert.

so besteht die Gefahr. Sie sollten dabei nach Möglichkeit durch eine Software zur Auswertung von Protokollierungsdaten unterstützt werden. Vandalismus). 344 . Werden Sicherheitsvorfälle festgestellt. B. Meldewege und Zuständigkeiten). Im Umfeld des Servers sind folgende Empfehlungen für den sicheren Betrieb zu berücksichtigen: • • • • • • • Der VPN-Zugang sollte durch den Einsatz von Protokollierungs. Da VPN-Clients in der Regel in nicht vollständig kontrollierten Umgebungen betrieben werden. da diese physikalisch besonders leicht anzugreifen sind (Diebstahl. Die im Rahmen der Überwachung gesammelten Informationen sollten regelmäßig durch geschulte Administratoren kontrolliert werden. Für jede Verbindungsaufnahme ist immer die Benutzer-Authentisierung über den gewählten Mechanismus durchzuführen. dass dadurch auch die Sicherheit des LANs beeinträchtigt wird. wenn auch die physikalische Sicherheit der beteiligten Hardware-Komponenten sichergestellt ist. dass die angestrebte Systemsicherheit nur gewährleistet werden kann.und umgesetzt worden sein (z. Damit eine geregelte Benutzer-Authentisierung beim VPN-Zugriff möglich ist. Verfahren und Maßnahmen zum Einsatz kommen. Ist ein Client kompromittiert. Die Sicherheit eines VPN-Systems lässt sich grob in drei Bereiche aufteilen: • • • die Sicherheit des VPN-Servers. Die Rollen Administrator und Revisor dürfen nicht der gleichen Person zugeordnet werden. Revision: Das VPN-System sollte in regelmäßigen Abständen einer Revision unterzogen werden. muss die Konsistenz der Authentisierungsdaten sichergestellt sein. Dies kann durch zentrale Verwaltung der Daten (Authentisierungsserver) oder durch periodischen Abgleich geschehen.und Management-Werkzeugen einer ständigen Überwachung unterliegen. Weiterhin ist zu beachten. Insbesondere mobile Clients sind hier einer besonderen Gefahr ausgesetzt. die Sicherheit der VPN-Clients und die Sicherheit der Datenübertragung. Für jede Verbindung sollte die Absicherung der Kommunikation durch eines der im VPN-Sicherheitskonzept erlaubten Verfahren erzwungen werden. die den Schutz des Clients gewährleisten können. damit die übertragenen Daten geschützt sind. so sind sofort die vorher festgelegten Maßnahmen zu ergreifen. müssen für diesen Fall spezielle Mechanismen. Die Bestimmungen des Datenschutzes sind zu beachten.

Für den sicheren Betrieb von VPN-Clients sind daher folgende Aspekte zu berücksichtigen: • • Die Grundsicherheit des IT-Systems muss gewährleistet sein. Anderenfalls ist es meist nicht möglich festzustellen. sollten sie durch zusätzliche Maßnahmen gesichert werden. zwischen erlaubten und unberechtigten Zugriffen zu unterscheiden. bedingte Verarbeitung) angeboten. so dass die Rechner regelmäßig auf (unzulässige) Konfigurationsveränderungen untersucht werden müssen. Hierzu wird bei jedem Zugriff.6.B. Der Nachteil bei einer dynamischen Vergabe der Netzadressen besteht darin. Da es für den/die Benutzer/in jedoch in vielen Fällen schwierig ist. Die dabei benutzten Netzkomponenten unterliegen meist nicht der Kontrolle durch den Betreiber des LANs. welchem VPNClient zu welchem Zeitpunkt eine bestimmte Netzadresse zugewiesen wurde. sollte überlegt werden. Da mobile VPN-Clients größeren Risiken ausgesetzt sind als stationäre. Dies erlaubt einerseits die Überwachung der Clients im Rahmen der Aufrechterhaltung des laufenden Betriebes. erlauben. ablehnen. für den noch keine Regel vorliegt. • • • • Die Kommunikationsverbindung zwischen VPN-Client und VPN-Server wird in der Regel über Netze von Dritten aufgebaut. Andererseits können so einfach Software-Updates (Viren-Datenbanken. eine Auswahl an möglichen Reaktionen (z. Insbesondere beim Zugriff über Internetverbindungen ist die Installation von Viren-Schutzprogrammen auf allen VPN-Clients notwendig. auf den VPN-Clients so genannte PC-Firewalls einzusetzen und so vor unberechtigten Zugriffen aus dem Internet durch Dritte zu schützen. Die Filterregeln können jedoch meist dynamisch durch den/die Benutzer/in erzeugt werden. für VPNClients feste IP-Adressen zu benutzen und diese nicht dynamisch zu vergeben. da diese nicht permanent mit dem Netz verbunden sind. um sicherzustellen. mit dem die Verbindung aufgebaut werden soll. Dieses Vorgehen bedeutet zwar einen höheren administrativen Aufwand (Wartung der Zuordnungstabellen). dass protokolliert werden muss. Ähnlich wie herkömmliche Firewalls (siehe Kapitel 10. Es sollte überlegt werden. Entfernte Rechner stellen jedoch erhöhte Anforderungen an das Systemmanagement. Anwendungsprogramme) auf geregeltem Weg eingespielt werden. dass die Daten nicht nur über das Telekommunikationsnetz eines Anbieters 345 . Auch VPN-Clients sollten in das Systemmanagement einbezogen werden. dass von abhanden gekommenen Geräten weder Daten ausgelesen noch unbefugt eine VPNVerbindung aufgebaut werden kann. soweit dies möglich ist. um eine neue Regel zu definieren. erlaubt jedoch eine eindeutige Zuordnung von Netzadresse und Rechner. Es muss weiter davon ausgegangen werden. sollte der Regelsatz durch einen Administrator vorinstalliert werden.13 ff ) filtern PC-Firewalls die Pakete der Netzkommunikationsprotokolle. welcher VPN-Client eine bestimmte Aktion ausgeführt hat. Falls TCP/IP als Protokoll verwendet wird. Hierzu bietet sich eine Festplattenverschlüsselung an.

E-Mail-Verschlüsselung: Für den Austausch von E-Mails über unsichere Kanäle kann die Nutzung von EMail-Verschlüsselung sinnvoll sein [eh SYS 7. Um dem Schutzbedarf der so übertragenen Daten gerecht zu werden. Zu beachten ist jedoch. SSL/TLS-Verschlüsselung: Zur Verschlüsselung kann auch SSL/TLS eingesetzt werden. Relevant sind hier unter anderem: • • • • Tunneling: Die Kommunikation kann auf niedriger Protokollebene verschlüsselt werden (so genanntes Tunneling. j edoch in unterschiedlicher Zahl und Ausprägung zur Verfügung. Die herkömmlichen VPN-Systeme stellen solche Verfahren (z. Diese sind besonders für den stationären Einsatz und zur Anbindung mehrerer Rechner sinnvoll.6] 10.6. Dazu muss ein geeignetes Verfahren ausgewählt werden. müssen Sicherheitsmaßnahmen getroffen werden. die z.2 Einsatz geeigneter Tunnel-Protokolle für die VPN-Kommunikation ).5 346 .2.4. Daher gilt für die Datenübertragung: • • Die Nutzung der Datenverschlüsselung für alle übertragenen Daten ist für den sicheren Betrieb zwingend erforderlich. um die Authentizität und Integrität der Daten sicherzustellen. Modems) erwogen werden.B. Um diesen Anforderungen an den Schutz der Daten gerecht zu werden. IPsec) standardmäßig. sondern dass auch die Netze von Kooperationspartnern des Telekommunikationsanbieters benutzt werden. siehe auch 11. die Vertraulichkeit der Daten sicherstellen. Dies gilt insbesondere beim Zugriff auf ein LAN aus dem Ausland. können verschiedene Sicherungsmechanismen für VPN-Verbindungen benutzt werden. da die Verschlüsselung transparent erfolgt und die Clients und Server nicht belastet werden. Es sollten Signaturmechanismen eingesetzt werden.4.übertragen werden. Dies gilt besonders für Zugriffe auf WWWServer oder E-Mail-Server über WWW-Browser. die standardmäßig SSLgesicherte Kommunikation unterstützen.13 Entwicklung eines Firewallkonzeptes ISO Bezug: 27002 10. Verschlüsselung durch Netzkoppelelemente Neben der Absicherung der Kommunikation durch Software kann auch der Einsatz von verschlüsselnden Netzkoppelelementen (Router.B. wenn von der Verschlüsselung auf niedriger Protokollebene aus bestimmten Gründen kein Gebrauch gemacht werden kann. 11.6. dass die Geräte sorgfältig konfiguriert und gewartet werden müssen.

dass keine weiteren externen Verbindungen unter Umgehung der Firewall geschaffen werden dürfen. in der IT-Sicherheitspolitik und dem IT-Sicherheitskonzept der Organisation eingebettet sein. muss eine geeignete Firewall eingesetzt werden. müssen folgende grundlegende Bedingungen erfüllt sein. Dafür muss sichergestellt sein..9. Um die Sicherheit des zu schützenden Netzes zu gewährleisten. wenn überprüft worden ist. die zeitweise oder dauernd an Produktionsnetze angeschlossen sind. dass mit dem gewählten Firewallkonzept sowie den personellen und organisatorischen Randbedingungen alle Risiken beherrscht werden können. werden als “Firewalls” bezeichnet.1 Erstellung einer Internet-Sicherheitspolitik ). Es müssen Regelungen getroffen werden. über eine gesicherte Konsole.B. korrekt installiert und korrekt administriert werden. ein Webserver. die im Allgemeinen aus einem zwei. Die Firewall muss • • • • auf einer umfassenden Sicherheitspolitik aufsetzen (vgl. dass die Firewall die einzige Schnittstelle zwischen den beiden Netzen darstellt. dürfen nur unter Verwendung ausreichender Sicherheitseinrichtungen mit Fremdnetzen verbunden werden. Ein administrativer Zugang zur Firewall darf nur über einen gesicherten Weg möglich sein.oder mehrstufigen System bestehen.IT-Systeme. müssen einige grundlegende Voraussetzungen erfüllt sein: • • • Jede Kommunikation zwischen den beiden Netzen muss ausnahmslos über die Firewall geführt werden. B. Damit eine Firewall effektiven Schutz bieten kann. eine verschlüsselte Verbindung oder ein separates Netz. daher dürfen auf einer Firewall nur die dafür erforderlichen Dienste verfügbar sein und keine weiteren Dienste wie wie z. Eine Konsole sollte in einem Serverraum aufgestellt sein 347 . Der Anschluss an ein Fremdnetz darf erst dann erfolgen. 10. Eine Firewall darf ausschließlich als schützender Übergang zum internen Netz eingesetzt werden. Die Aufgaben und Anforderungen an die Firewall müssen in der InternetSicherheitspolitik festgelegt werden. Diese Sicherheitseinrichtungen. Damit eine Firewall einen wirkungsvollen Schutz eines Netzes gegen Angriffe von außen bietet. angeboten werden angeboten werden. also z.

6 Serverräume ).5.4 Zutrittskontrolle und 9. Dienst. Sobald Benutzer/innen eine Kommunikation über eine Firewall herstellen dürfen. Eine Firewall kann das interne Netz vor vielen Gefahren beim Anschluss an das Internet schützen. Die Filterung von aktiven Inhalten ist unter Umständen nur teilweise erfolgreich.. ob besonders sensible Daten im Netz besser und kostengünstiger durch organisatorische als durch technische Maßnahmen geschützt werden sollen. Beim Aufbau einer Firewall und der Erarbeitung einer Firewall-Sicherheitspolitik sollte man sich daher die Grenzen einer Firewall verdeutlichen: • • • • Es werden Protokolle überprüft. 348 . Es ist zu entscheiden. Zeit. Diese Verbindungen müssen gegebenenfalls sehr detailliert (bis hin zu einer individuellen Angabe von IP-Adresse. In diesem Zusammenhang ist auch der Raum. Eine Einschränkung der Internetzugriffe auf festgelegte Webserver ist in der Realität unmöglich. Damit könnte ein/e Innentäter/in jemandem Externen den Zugriff auf interne Rechner ermöglichen. aber nicht vor allen. können sie über das verwendete Kommunikationsprotokoll beliebige andere Protokolle tunneln. da zu viele WWW-Server auch als Proxies nutzbar sind. 9.. zusammen mit den Netzwerkeinrichtungen wie Routern einer besonderen Zugangskontrolle zu unterwerfen (vgl. Eine Protokollprüfung bestätigt beispielsweise. Jede Sicherheitspolitik muss konzeptionell auf bestmögliche Reduktion des eventuellen Schadensfalles ausgelegt sein (Betrieb von Teilnetzen. kann aber keine Aussagen zum eigentlichen Inhalt der E-Mail machen. Die Benutzer/innen des lokalen Netzes sollten durch den Einsatz einer Firewall möglichst wenig Einschränkungen hinnehmen müssen.). . frühzeitiger Einsatz von Routern. nicht die Inhalte. in dem die Firewall betrieben wird. Der zeitliche Aufwand für den Betrieb einer Firewall darf nicht unterschätzt werden. Für die Konzeption und den Betrieb einer Firewall muss geeignetes Personal zur Verfügung stehen. Ein Firewall-Administrator muss fundierte Kenntnisse über die eingesetzten IT-Komponenten besitzen und auch entsprechend geschult werden. so dass eine Sperrung bestimmter IP-Adressen leicht umgangen werden kann. Alleine die Auswertung der angefallenen Protokolldaten nimmt erfahrungsgemäß viel Zeit in Anspruch. dass eine E-Mail mit ordnungsgemäßen Befehlen zugestellt wurde. Richtung und Benutzer getrennt) festgelegt werden können. Das Firewallkonzept muss sich permanent an Betriebserfahrungen der Firewall sowie aktuellen Entwicklungen orientieren und bei Bedarf unverzüglich angepasst werden.• • • • • • Eine Firewall baut auf einer für das zu schützende Netz definierten Sicherheitspolitik auf und gestattet nur die dort festgelegten Verbindungen.1.

kann auch die beste Firewall nicht helfen. wenn die Absender zweifelsfrei nachweisbar sind. z. wenn innerhalb der Firma auch Firewalls eingesetzt werden. Es kann nicht verhindert werden. Die korrekte Konfiguration der Komponenten der Firewall ist oft sehr anspruchsvoll. Die Filterung von Spam-Mails ist noch nicht ausgereift. 349 . Leider ermöglichen viele Firewalls es nicht. Wird beispielsweise der Rechner.B. Wenn die Komponenten desrFirewall falsch dimensioniert sind. durch Hintereinanderschaltung von verschiedenen Firewalls eine erhöhte Sicherheit zu erlangen. auf dem ein HTTP-Sicherheitsproxy läuft. sie hat aber keinen Einfluss auf die Sicherheit der Kommunikation innerhalb dieser Netze! Auch die speziell unter Sicherheitsaspekten entwickelten Komponenten von Firewalls können trotz großer Sorgfalt Programmierfehler enthalten.• • • • • • • • • • • • • • • Die Filtersoftware ist häufig noch unausgereift. die Anbindung zum Provider lahm legt. kann die Verfügbarkeit beeinträchtigt werden. Gerade in größeren Firmen ist dies problematisch. Keine Firewall kann zweifelsfrei feststellen. die eine Firewall nicht abfangen kann. zu schwach dimensioniert (zu wenig Arbeitsspeicher. zu langsamer Prozessor). Fehler in der Konfiguration können zu Sicherheitslücken oder Ausfällen führen. Außerdem gibt es immer wieder Implementationsfehler von Protokollen auf Endgeräten. Beispielsweise ist es möglich.B. Im Extremfall kann die Software der Firewall selbst Hintertüren enthalten. Dies ist aber mit dem herkömmlichen Protokoll SMTP alleine nicht realisierbar. so begünstigt dies Fehler bei Konfiguration und Administration. Eine Firewall schützt nicht vor dem Missbrauch freigegebener Kommunikation durch Innentäter ("Insider-Angriffe"). Ist die Dokumentation der technischen Ausstattung der Firewall durch den Hersteller mangelhaft. Eine Firewall kann zwar einen Netzübergang sichern. # Eine Firewall kann nicht gegen die bewusste oder unbewusste Missachtung von Sicherheitsrichtlinien und -konzepten durch die Anwender schützen. so kann dies die Geschwindigkeit des Internetzugriffes stark beeinträchtigen. zur Bildung von abgesicherten Teilnetzen. Firewalls schützen nicht vor allen Denial-of-Service-Attacken. ob eine E-Mail vom Empfänger erwünscht ist oder nicht. dass Angreifer die Komponenten der Firewall mit Hilfe von Schwachstellenscannern analysieren. Firewalls können nur begrenzt gegen eine absichtliche oder versehentliche Fehlkonfiguration der zu schützenden Clients und Server schützen. Wenn ein/e Angreifer/in z. Eine Firewall schützt nicht vor Social Engineering. Zudem können URL-Filter durch Nutzung von "Anonymizern" umgangen werden. Spam-Mails dürften erst dann verschwinden. Eingebaute Hintertüren in der verwendeten Software können eventuell auch durch eine Firewall hindurch ausgenutzt werden. dass nicht alle Arten der Adressierung erfasst werden.

vgl. Trojanische Pferde) in das vertrauenswürdige Netz eingeschleppt werden. so kann auf diese Weise Schadsoftware (Viren.2] 10. 12.6. 10.4.2. 10.. Diskette. CD-ROM. Überprüfung der Installation durch Querlesen der Definitionen und Funktionskontrolle Dokumentation der Installation zum Zweck der Nachvollziehbarkeit. auch 8. an das interne Netz angeschlossen. 11. der Wartung und der Validierung Laufende Beobachtung und Wartung Periodische Sicherheitsüberprüfung durch befugte Externe zu nicht angekündigten Zeitpunkten mindestens einmal im Quartal ("Screening".6. Eine Firewall schützt auch nicht davor.• • # Werden mobile Endgeräte (Laptop.14 Installation einer Firewall ISO Bezug: 27002 10. [eh SYS 8.6.6. PDA etc. [KIT S04] ): • • • • • • • • • • Festlegen der Sicherheitspolitik sowie der Benutzerordnung durch organisatorisch und technisch Verantwortliche in Zusammenarbeit mit Benutzervertretern/Benutzervertreterinnen (vgl.und Softwarevoraussetzungen im internen Netz Auswahl geeigneter Produkte Installation und Konfiguration der Firewall Der administrative Zugang zur Sicherheitseinrichtung darf nur über einen gesicherten Weg möglich sein. 11. 10.3. z. Würmer.2.1 Verpflichtung der Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze.1 Bei der Installation einer Firewall sind folgende Schritte in der angegebenen Reihenfolge zu setzen (vgl. Vorschriften und Regelungen ) Bestimmung der Sicherheitsverantwortlichen (Datenschutz-/ITSicherheitsbeauftragte/r (soweit nicht bereits nominiert) und Bereichs-ITSicherheitsbeauftragte/r ("Internet-Sicherheitsbeauftragte/r") Definition der angebotenen und anzufordernden Dienste Analyse der Hard.1.15 Sicherer Betrieb einer Firewall ) sowie Weitermeldung der erhobenen Fakten an die/den Vorgesetzte/n 350 . B. USB-Stick in das vertrauenswürdige Netz eingeschleppt werden.). dass Schadprogramme auf Austauschmedien. die von Mitarbeitern auch extern benutzt werden.

durch Lesen der entsprechenden Newsletter) sowie entsprechende Weiterbildung Durch eine angemessene Stellvertreterregelung (und eine entsprechende Schulung der Stellvertreter/innen) ist eine kontinuierliche Administration zu gewährleisten.1.B. ob neue Zugänge unter Umgehung der Firewall geschaffen wurden.5. Alle Sicherheitskontrollen sollten zumindest teilweise auch durch Externe vorgenommen werden. Filtern etc. 15. Es sollte in zyklischen Abständen kontrolliert werden. 11. Insbesondere müssen die für den Betrieb der Firewall getroffenen organisatorischen Regelungen regelmäßig oder zumindest sporadisch auf ihre Einhaltung überprüft werden. Administration Die Administration einer Firewall umfasst die nachfolgend angeführten Aufgaben: • • • • • • • Anlegen und Entfernen von Benutzerinnen/Benutzern.4.1. 11. 13.und Weiterbildung des administrierenden Personals [eh SYS 8. Aus. Kontrolle und Auswertung der Logfiles Einschränken und Beenden des Internetzugangs Weiterleitung sicherheitsrelevanter Beobachtungen an die in der Sicherheitspolitik definierten Instanzen Benachrichtigung der zuständigen Instanzen bei Entdecken von Angriffen aus dem Internet Verfolgen der aktuellen Entwicklungen im Bereich Sicherheit (z. Funktionen etc.2 Für einen sicheren Betrieb einer Firewall sind eine fachgemäße Administration sowie eine regelmäßige Überprüfung auf die korrekte Einhaltung der umgesetzten Sicherheitsmaßnahmen (Screening) erforderlich. Im Bereich der öffentlichen Verwaltung sollten diese Projekterfahrungen an die IKT Koordinierungsstelle weitergegeben werden.4.6.6.1.1. 14.1.2.2. Profilen. 351 .15 Sicherer Betrieb einer Firewall ISO Bezug: 27002 10. Ändern von Berechtigungen. 12.3] 10.6. 15. 13.• • • Revision der Behebung der bei den Sicherheitstests erhobenen Mängel Sammlung der relevanten Projekterfahrungen als Grundlage für eine Weiterentwicklung der Internet-Sicherheitspolitik und des Firewallkonzeptes.

eine Firewall regelmäßig (etwa einmal pro Quartal) durch eine geeignete Instanz kontrollieren zu lassen.B. keine Möglichkeit haben Dienste des Internets zu benutzen. die in der Sicherheitspolitik vorgesehen sind. ein/e Benutzer/in. Die Defaulteinstellung der Filterregeln und die Anordnung der Komponenten müssen sicherstellen. Security Compliance Checking. die/der keinen Eintrag in einer Access-Liste hat. 352 .B. da die Gefahr besteht. dass alle Verbindungen. Sicherheitsrelevante Änderungen erfordern zusätzlich "ad hoc"-Kontrollen. Es muss die Regel "Alles. Es müssen in regelmäßigen Abständen Integritätstests der eingesetzten Software durchgeführt werden. die neutralen Beobachtern mit hoher Wahrscheinlichkeit auffallen. direkt über die Konsole. was nicht ausdrücklich erlaubt ist. die nicht explizit erlaubt sind.) Eine derartige Prüfung ist wie folgt durchzuführen: • • • • • • • • • • Überprüfung der Installation von außen interne Überprüfung der Internet-Sicherheitspolitik interne Überprüfung der Konfiguration interne Durchführung eventuell notwendiger Korrekturen erneute Prüfung von außen Dabei sind die folgenden Punkte zu beachten: Alle Filterregeln müssen korrekt umgesetzt sein. Im Fehlerfall ist die Firewall abzuschalten. Dies könnte z. dürfen sich Administrator und Revisor nur über einen vertrauenswürdigen Pfad authentisieren. auch Screening. Um ein Mitlesen oder Verändern der Authentisierungsinformationen zu verhindern.Regelmäßige Überprüfung Zusätzlich zu den regelmäßigen Wartungsaktivitäten ist es erforderlich. eine verschlüsselte Verbindung oder ein separates Netz erfolgen. dass Firewall-Administratoren durch Gewöhnungseffekte und Routinearbeit bestimmte Sicherheitslücken übersehen könnten. dass nur die Dienste zugelassen werden. (Vgl. So darf z. ist verboten" realisiert sein. blockiert werden. Dabei ist zu testen. Diese Kontrollen sollten vorzugsweise durch eine vertrauenswürdige externe Instanz erfolgen. Dies muss auch bei einem völligen Ausfall der FirewallKomponenten gelten.

6.16 Firewalls und aktive Inhalte ISO Bezug: 27002 10.4] 10.7 Eines der größten Probleme bei der Konzeption einer Firewall ist die Behandlung der Probleme. entfernt werden. Eine der Möglichkeiten ist die Filterung durch eine Firewall. Hierunter fällt nicht nur die Erkennung und Beseitigung von Viren. dass für den sicheren Betrieb der Firewall relevante Dateien wie Access-Listen. Die Access-Listen sind die wesentlichen Daten für den Betrieb der Firewall und müssen besonders gesichert werden. sondern auch das weit schwieriger zu lösende Problem der Erkennung von ActiveX-Controls. Siehe dazu: 10.6. die verhältnismäßig einfach auch auf den Rechnern der Anwender/innen durchgeführt werden kann. die nicht benötigt werden. Der Einsatz dieser Programme muss ausführlich dokumentiert und begründet werden. Insbesondere darf kein automatischer Neustart möglich sein. Passwortdateien oder Filterregeln auf dem aktuellsten Stand sind. [eh SYS 8.10.2.4. Java-Applets oder Scripting-Programmen mit einer Schadfunktion. und die AccessListen müssen auf einem schreibgeschützten Medium speicherbar sein. der durch eine/n Angreifer/in provoziert wird. 11.5] 353 . Bei einem Ausfall der Firewall muss sichergestellt sein. damit keine alten oder fehlerhaften Access-Listen bei einem Neustart benutzt werden. 10. Das Verbleiben von Software muss dokumentiert und begründet werden.6. Die Kontrolle aktiver Inhalte kann auf verschiedene Weise geschehen. müssen diese streng kontrolliert und insbesondere auf Seiteneffekte überprüft werden. Diese sollten auch aus dem Betriebssystem-Kern entfernt werden. Beim Wiedereinspielen von gesicherten Datenbeständen muss darauf geachtet werden. vorhanden sein. Auf den eingesetzten Komponenten dürfen nur Programme. 11. Falls nachträgliche Änderungen der Sicherheitspolitik erforderlich sind. Beispielsweise sollten die Software für die graphische Benutzeroberfläche sowie alle Treiber. 10.• • • • Die Firewall muss auf ihr Verhalten bei einem Systemabsturz getestet werden.11 Schutz vor aktiven Inhalten [eh SYS 8. die durch die Übertragung aktiver Inhalte zu den Rechnern im zu schützenden Netz entstehen. dass in dieser Zeit keine Netzverbindungen aus dem zu schützenden Netz heraus oder zu diesem aufgebaut werden können. die für die Funktionsfähigkeit der Firewall nötig sind.4.

4. Verschlüsselung auf der Firewall: Um mit externen Kommunikationspartnern Daten über ein offenes Netz auszutauschen und /oder diesen Zugriff auf das eigene Netz zu geben.4. die zum Aufbau sicherer Teilnetze eingesetzt werden.2. Dafür sollten alle Verbindungen von und zu diesen Partnern verschlüsselt werden. kann der Aufbau von virtuellen privaten Netzen (VPNs) sinnvoll sein.4.und Softwarelösungen eingesetzt werden.2. Dies ist insbesondere dann sinnvoll. und Verschlüsselung auf den Endgeräten.6. Sollen hierbei nur wenige Liegenschaften miteinander verbunden werden. Hierbei wäre es sinnvoll.17 Firewalls und Verschlüsselung ISO Bezug: 27002 10. die verschlüsselte Kommunikation nicht belauschen.7. die z. wenn entsprechende Mechanismen schon in den unteren Schichten des Protokolls vorgesehen würden. Die Integration der Verschlüsselung auf dem Application Gateway hat dagegen den Vorteil einer leichteren Benutzerverwaltung. der/die einen externen Informationsserver unter seine/ihre Kontrolle gebracht hat.3 Da im Internet die Daten über nicht vorhersagbare Wege und Knotenpunkte verschickt werden.B. 10. Die Ver. sollten die versandten Daten möglichst nur verschlüsselt übertragen werden. Zudem kann ein/e Angreifer/in. auf Netzkoppelelementen.10. 11.6. 354 . damit Unbefugte keinen Zugriff darauf nehmen können. 11. Zum Aufbau von verschlüsselten Verbindungen können eine Vielzahl von Hard.bzw. von Benutzerinnen/Benutzern bedarfsabhängig eingesetzt wird.6. wenn keine unverschlüsselte Kommunikation über dieses Gerät gehen soll. 12. Entschlüsselung kann auf verschiedenen Geräten erfolgen. sind insbesondere Hardwarelösungen basierend auf symmetrischen kryptographischen Verfahren eine einfache und sichere Lösung. Zunächst sollte aber unterschieden werden zwischen • • Verschlüsselung auf der Firewall bzw. So könnte eine Hardwarelösung im Paketfilter als Schlüsselgerät arbeiten.

Eine temporäre Entschlüsselung auf einer Filterkomponente zu Analysezwecken ist weder praktikabel noch wünschenswert. mittels SSH oderSSL/TLS) unterstützen.6.6. 10.U. bietet sich auch der Gebrauch von Mechanismen an. Für eine vertrauenswürdige Datenübertragung mit ausgewählten Partnern im Internet sollten telnet und ftp Programme eingesetzt werden. 12. z. von bestimmten internen Rechnern den Aufbau von SSL/TLS-Verbindungen zu erlauben. SSL/ TLS). insbesondere bei der Versendung von E-Mails. nur zu ausgewählten Zielsystemen. Eine erste ad-hoc-Lösung könnte darin bestehen.B.18 Einsatz von Verschlüsselungsverfahren zur Netzkommunikation ISO Bezug: 27002 10. dies hängt von den Anforderungen im Einzelfall ab.Verschlüsselung auf den Endgeräten: Zum Schutz der Vertraulichkeit bestimmter Daten. wenn ein/e Angreifer/in das Application Gateway unter seine/ihre Kontrolle gebracht hat. SSL oder PGP. in Hinblick auf Viren oder andere Schadprogramme zu kontrollieren. Auch die Protokollierungsmöglichkeiten werden durch eine Verschlüsselung stark eingeschränkt.6.6] 10. die eine Ende-zu-Ende-Verschlüsselung ermöglichen.1. Hierfür wird zum Beispiel häufig das frei verfügbare Programmpaket PGP (Pretty Good Privacy) eingesetzt.3. Die Verschlüsselung auf den Endsystemen wird auf absehbare Zeit noch applikationsgebunden sein. durch den Einsatz von S/MIME.B. die eine Verschlüsselung der übertragenen Daten (z. u. d.B.2. sind Filter auf der Anwendungsschicht nicht mehr in der Lage. Wenn die Übertragung verschlüsselter Daten über die Firewall zugelassen wird (z. [eh SYS 8. 10. Eine generelle Empfehlung für oder gegen den Einsatz von Verschlüsselung über oder an der Firewall kann nicht gegeben werden. Die Verschlüsselung von Daten stellt andererseits aber auch ein großes Problem für den wirksamen Einsatz von Firewalls dar. Andererseits sind die Daten selbst dann geschützt. den Filtern.B. die Nutzdaten z.h.2.7.3 355 .

Kommunikationsnetze transportieren Daten zwischen IT-Systemen. Dabei werden die Daten selten über eine dedizierte Kommunikationsleitung zwischen den an der Kommunikation beteiligten Partnern übertragen. Vielmehr werden die Daten über viele Zwischenstationen geleitet. Je nach Kommunikationsmedium und verwendeter Technik können die Daten von den Zwischenstationen unberechtigt abgehört werden, oder auch von im jeweiligen Vermittlungsnetz angesiedelten Dritten (z.B. bei der Verwendung des Ethernetprotokolls ohne Punkt-zu-PunktVernetzung). Da die zu übertragenden Daten nicht von unberechtigten Dritten abgehört, verändert oder zur späteren Wiedereinspeisung in das Netz (ReplayAttacke) benutzt werden sollen, muss ein geeigneter Mechanismus eingesetzt werden, der dies verhindert. Verschlüsselung der Daten mit - wenn nötig gegenseitiger Authentifizierung der Kommunikationspartner kann diese Gefahr (je nach Stärke des gewählten Verschlüsselungsverfahrens sowie der Sicherheit der verwendeten Schlüssel) reduzieren. In der Regel kommunizieren Anwendungen miteinander, um anwendungsbezogene Informationen auszutauschen. Die Verschlüsselung der Daten kann nun auf mehreren Ebenen erfolgen:

• • •

Auf Applikationsebene: Die kommunizierenden Applikationen müssen dabei jeweils über die entsprechenden Ver- und Entschlüsselungsmechanismen verfügen. Auf Betriebssystemebene: Die Verschlüsselung wird vom lokalen Betriebssystem durchgeführt. Jegliche Kommunikation über das Netz wird automatisch oder auf Anforderung verschlüsselt. Auf Netzkoppelelementebene: Die Verschlüsselung findet zwischen den Netzkoppelelementen (z.B. Router) statt.

Die einzelnen Mechanismen besitzen spezifische Vor- und Nachteile. Die Verschlüsselung auf Applikationsebene hat den Vorteil, dass die Verschlüsselung vollständig der Kontrolle der jeweiligen Applikation unterliegt. Ein Nachteil ist, dass zur verschlüsselten Kommunikation nur eine mit demselben Verschlüsselungsmechanismus ausgestattete Partnerapplikation in Frage kommt. Weiterhin können entsprechende Authentifizierungsmechanismen zwischen den beiden Partnerapplikationen zur Anwendung kommen. Im Gegensatz dazu findet die Verschlüsselung im Fall der Verschlüsselung auf Betriebssystemebene transparent für jede Applikation statt. Jede Applikation kann mit jeder anderen Applikation verschlüsselt kommunizieren, sofern das Betriebssystem, unter dem die Partnerapplikation abläuft, über den Verschlüsselungsmechanismus verfügt. Nachteilig wirkt sich hier aus, dass bei einer Authentifizierung lediglich die Rechner gegenseitig authentifiziert werden können, und nicht die jeweiligen Partnerapplikationen. 356

Der Einsatz von verschlüsselnden Netzkoppelelementen besitzt den Vorteil, dass applikations- und rechnerseitig keine Verschlüsselungsmechanismen vorhanden sein müssen. Die Verschlüsselung ist auch hier transparent für die Kommunikationspartner, allerdings findet die Kommunikation auf der Strecke bis zum ersten verschlüsselnden Netzkoppelelement unverschlüsselt statt und birgt damit ein Restrisiko. Authentifizierung ist hier nur zwischen den Koppelelementen möglich. Die eigentlichen Kommunikationspartner werden hier nicht authentifiziert. Werden sensitive Daten über ein Netz (auch innerhalb des Intranets) übertragen, empfiehlt sich der Einsatz von Verschlüsselungsmechanismen. Bieten die eingesetzten Applikationen keinen eigenen Verschlüsselungsmechanismus an oder wird das angebotene Verfahren als zu schwach eingestuft, so sollte von der Möglichkeit der betriebssystemseitigen Verschlüsselung Gebrauch gemacht werden. Hier bieten sich z.B. Verfahren wie SSL/TLS an, die zur transparenten Verschlüsselung auf Betriebssystemebene entworfen wurden. Je nach Sicherheitspolitik können auch verschlüsselnde Netzkoppelelemente eingesetzt werden, etwa um ein virtuelles privates Netz (VPN) mit einem Kommunikationspartner über das Internet zu realisieren. Entsprechende Softwaremechanismen sind in der Regel auch in Firewall-Systemen verfügbar. Erfolgt der Zugang auf sensible Daten über einen externen Zugang, so sind kryptographische Einmalverfahren mit einer Besitzkomponente einzusetzen. Wegen der einheitlichen Administrierbarkeit wird empfohlen für den Zugang die Bürgerkarte/ Dienstkarte und MOA-ID zu verwenden [IKTB-140605-01] . Beim Einsatz von verschlüsselter Kommunikation und gegenseitiger Authentifizierung sind umfangreiche Planungen im Rahmen der Sicherheitspolitik eines Unternehmens bzw. einer Behörde nötig. Im Rahmen der hier angesprochenen Kommunikationsverschlüsselungen sind insbesondere folgende Punkte zu beachten:

• • • • • •

Welche Verfahren sollen zur Verschlüsselung benutzt werden bzw. werden angeboten (z.B. in Routern)? Unterstützen/Nutzen die eingesetzten Verschlüsselungsmechanismen existierende oder geplante Standards (IPSec, IPv6, IKE; SSL, TLS); vergleiche dazu auch 10.8.6 Geeignete Auswahl eines E-Mail-Clients/Server zu Zugang zu E-Mail. Sind gemäß der Sicherheitspolitik ausreichend starke Verfahren und entsprechend lange Schlüssel gewählt worden? Werden die Schlüssel sicher aufbewahrt? Werden die Schlüssel in einer sicheren Umgebung erzeugt, und gelangen sie auf sicherem Weg zum notwendigen Einsatzpunkt (Rechner, Softwarekomponente)? Sind Schlüssel-Recovery-Mechanismen nötig?

357

Ähnliche Fragestellungen sind bei der Nutzung von Zertifikaten zur Authentifizierung von Kommunikationspartnern zu beachten. Im Bereich der öffentlichen Verwaltung sind außerdem bezüglich der Verschlüsselung des E-Mail-Verkehrs entsprechende Vorgaben, wie etwa die Vorgabe der Eigenschaften von Verschlüsselungszertifikaten gemäß des IKT-BoardBeschlusses [IKTB-181202-1] zu beachten. [eh SYS 8.17]

10.7 Betriebsmittel und Datenträger
In diesem Kapitel werden generelle Richtlinien zum Umgang mit Betriebsmitteln und Datenträgern gegeben. Der Umgang mit Datenträgern und den darauf gespeicherten Informationen ist in der "InformationssicherheitsPolitik" einer Organisation festzulegen (vgl. dazu 5.2.5 Klassifizierung von Informationen ). Diese Klassifikation und die damit verbundene Festlegung der Verantwortlichkeiten und Vorgehensweisen stellen eine wesentliche Grundlage für die IT-Sicherheit einer Organisation dar. Insbesondere sei darauf hingewiesen, dass einerseits die Klassifizierung der Daten national durch das Datenschutzgesetz 2000 (DSG 2000) sowie durch das Informationssicherheitsgesetz (InfoSiG) geregelt wird. International bzw. im EURaum ist der "Beschluss des Rates vom 19. März 2001 über die Annahme der Sicherheitsvorschriften des Rates" (2001/264/EG) einzuhalten, der die Verbindung zwischen den nationalen Klassifizierungen und Richtlinien darstellt. Dies ist gegebenenfalls in der Informationssicherheits-Politik zu berücksichtigen.

10.7.1 Betriebsmittelverwaltung
ISO Bezug: 27002 7.1, 10.7.2 Betriebsmittel für den IT-Einsatz sind alle erforderlichen Mittel wie Hardwarekomponenten (Rechner, Tastatur, Drucker, ...), Software (Systemsoftware, Individualprogramme, Standardsoftware u.ä.), Verbrauchsmaterial (Papier, Toner, Druckerpatronen), Datenträger (Magnetbänder, Disketten, Streamertapes, Festplatten, Wechselplatten, CD-ROMs u.ä.). Die Betriebsmittelverwaltung umfasst folgende Aufgaben:

• •
358

Beschaffung, Prüfung vor Einsatz,

• • •

Kennzeichnung, Bestandsführung und Außerbetriebnahme.

Beschaffung:
Neben reinen Wirtschaftlichkeitsaspekten kann durch ein geregeltes Beschaffungsverfahren auch die Neu- und Weiterentwicklung im Bereich der Informationstechnik stärker berücksichtigt werden. Eine zentrale Beschaffung sichert auch die Einführung und Einhaltung eines "Hausstandards" und vereinfacht damit die Schulung der Mitarbeiter/innen und die Wartung.

Prüfverfahren vor Einsatz:
Mit einem geregelten Prüfverfahren vor Einsatz der Betriebsmittel lassen sich unterschiedliche Gefährdungen abwenden. Beispiele dafür sind:

• • • •

Überprüfung der Vollständigkeit von Lieferungen (z.B. Handbücher), um die Verfügbarkeit aller Lieferteile zu gewährleisten, Test neuer PC-Software sowie neuer vorformatierter Datenträger mit einem Virensuchprogramm, Testläufe neuer Software auf speziellen Testsystemen, Überprüfung der Kompatibilität neuer Hardware- und Softwarekomponenten mit den vorhandenen.

Bestandsführung:
Alle wesentlichen Betriebsmittel sollten mit eindeutigen Identifizierungsmerkmalen gekennzeichnet werden. Zusätzlich sollten die Seriennummern vorhandener Geräte wie Bildschirm, Drucker, Festplatten etc. dokumentiert werden, damit sie nach einem Diebstahl identifiziert werden können. Für die Bestandsführung müssen die Betriebsmittel in Bestandsverzeichnissen aufgelistet werden. Ein solches Bestandsverzeichnis muss Auskunft geben können über Identifizierungsmerkmale, Beschaffungsquellen, Lieferzeiten, Verbleib der Betriebsmittel, Lagerhaltung, Aushändigungsvorschriften, Wartungsverträge und Wartungsintervalle.

359

Eine ordnungsgemäße Bestandsführung erleichtert nicht nur die Verbrauchsermittlung und Veranlassung von Nachbestellungen, sondern ermöglicht auch Vollständigkeitskontrollen, die Überprüfung des Einsatzes von nicht genehmigter Software oder die Feststellung der Entwendung von Betriebsmitteln. Im Bundesbereich gibt es Vorschriften über die Bestandsführung, die "Richtlinien für die Inventar- und Materialverwaltung (RIM)". Die dort vorgesehenen Aufzeichnungen reichen für einen sicheren EDV-Betrieb nicht aus. Die für den sicheren Betrieb zuständige Organisationseinheit muss daher eigene, entsprechend erweiterte Aufzeichnungen führen. [eh SYS 2.1]

10.7.2 Datenträgerverwaltung
ISO Bezug: 27002 10.7.1 Die Datenträgerverwaltung stellt einen Teil der Betriebsmittelverwaltung dar. Ihre Aufgabe ist es, den Zugriff auf Datenträger im erforderlichen Umfang und in angemessener Zeit zu gewährleisten. Neben den in 10.7.1 Betriebsmittelverwaltung angeführten Maßnahmen ist für die Verwaltung von Datenträgern zusätzlich zu beachten:

• • •

Die äußerliche Kennzeichnung von Datenträgern soll deren schnelle Identifizierung ermöglichen, jedoch für Unbefugte keine Rückschlüsse auf den Inhalt erlauben (z.B. die Kennzeichnung eines Datenträgers mit dem Stichwort "Gehaltsdaten"), um einen Missbrauch zu erschweren. Eine festgelegte Struktur von Kennzeichnungsmerkmalen (z.B. Datum, Ablagestruktur, lfd. Nummer) erleichtert die Zuordnung in Bestandsverzeichnissen. Für eine sachgerechte Behandlung von Datenträgern sind die Herstellerangaben zu beachten. Hinsichtlich der Aufbewahrung von Datenträgern sind einerseits Maßnahmen zur Lagerung (magnetfeld-/staubgeschützt, klimagerecht) und andererseits Maßnahmen zur Verhinderung des unbefugten Zugriffs (geeignete Behältnisse, Schränke, Räume) zu treffen. Versand und Transport: Die Verpackung des Datenträgers ist an seiner Schutzbedürftigkeit auszurichten. Hier sind die in der InformationssicherheitsPolitik festzulegenden Regeln umzusetzen (etwa Versand nur in verschlossenen/versiegelten Behältnissen, durch Kurierdienst, in chiffrierter Form, etc.). Der Datenträger darf über die zu versendenden Daten hinaus keine "Restdaten" enthalten. Dies kann durch physikalisches Löschen erreicht werden (s. auch unten "Wiederaufbereitung").

360

• •

Vor Versand oder Weitergabe wichtiger Datenträger sollte eine Sicherungskopie erstellt werden. Das Anfertigen von Kopien ist zu dokumentieren und die Kopien sind als solche zu kennzeichnen. Wiederaufbereitung: Eine geregelte Vorgehensweise für die Löschung bzw. Wiederaufbereitung von Datenträgern verhindert den Missbrauch der gespeicherten Daten. Vor der Wiederverwendung von Datenträgern, die schutzwürdige Daten enthalten haben, müssen diese Daten in irreversibler Form gelöscht werden. Außerbetriebnahme, Reparaturtausch: Datenträger, die schutzwürdige Daten enthalten und außer Betrieb genommen oder im Zuge einer Reparatur ausgetauscht werden sollen, sind mechanisch zu zerstören (vgl. dazu auch ÖNORM S 2109 Akten- und Datenvernichtung sowie 12.7 Wartung ).

Für den Fall, dass von Dritten erhaltene Datenträger eingesetzt werden, sind Regelungen über deren Behandlung vor dem Einsatz zu treffen. Werden zum Beispiel Daten für PCs übermittelt, sollte generell ein Viren-Check des Datenträgers erfolgen. Dies gilt entsprechend auch vor dem erstmaligen Einsatz neuer Datenträger. Es ist empfehlenswert, nicht nur beim Empfang, sondern auch vor dem Versenden von Datenträgern diese auf Viren zu überprüfen. Vgl. dazu auch Kap. 10.4 Virenschutz . [eh SYS 2.2]

10.7.3 Datenträgeraustausch
ISO Bezug: 27002 10.7.3, 10.8.2, 10.8.3

Kennzeichnung der Datenträger beim Versand
Neben den in 10.7.2 Datenträgerverwaltung dargestellten Umsetzungshinweisen ist bei einer ausreichenden Kennzeichnung von auszutauschenden Datenträgern darauf zu achten, dass Absender/in und (alle) Empfänger/innen unmittelbar zu identifizieren sind. Die Kennzeichnung muss den Inhalt des Datenträgers eindeutig für den/die Empfänger/in erkennbar machen. Es ist jedoch bei schützenswerten Informationen wichtig, dass diese Kennzeichnung für Unbefugte nicht interpretierbar ist. Darüber hinaus sollten die Datenträger mit den für das Auslesen notwendigen Parametern gekennzeichnet werden. Das Versanddatum, eventuelle Versionsnummern oder Ordnungsmerkmale können gegebenenfalls nützlich sein.

361

Regelung des Datenträgeraustausches
Sollen zwischen zwei oder mehreren Kommunikationspartnern Datenträger ausgetauscht werden, so sind zum ordnungsgemäßen Austausch einige Punkte zu beachten. Zum Beispiel:

Die Adressierung muss eindeutig erfolgen, um eine fehlerhafte Zustellung zu vermeiden. So sollte neben dem Namen der Empfängerin bzw. des Empfängers auch die Organisationseinheit und die genaue Bezeichnung der Behörde/ des Unternehmens angegeben sein. Entsprechendes gilt für die Adresse der Absenderin oder des Absenders. Dem Datenträger sollte (optional) ein Datenträgerbegleitzettel beigelegt werden, der Absender/in, Empfänger/in, Art des Datenträgers, Seriennummer, Identifikationsmerkmale für den Inhalt des Datenträgers, Datum des Versandes, ggf. Datum bis wann der Datenträger spätestens den/die Empfänger/in erreicht haben muss, sowie Parameter, die zum Lesen der Informationen benötigt werden (z.B. Bandgeschwindigkeit) enthält. Bei regelmäßigem Austausch von Datenträgern zwischen den gleichen Partnern empfiehlt es sich, dafür stets die gleichen Datenträger zu verwenden, so dass bei einem ev. Fehler bei der Wiederaufbereitung (vgl. 10.7.2 Datenträgerverwaltung ) die potentiellen Auswirkungen möglichst gering gehalten werden. Abhängig von den Regelungen der Informationssicherheits-Politik sind Datenträger, die Daten hoher Vertraulichkeitsstufen enthalten, beim Transport durch Dritte entweder zu verschlüsseln, oder in entsprechend versperrten Behältnissen zu transportieren

Nicht vermerkt werden sollte,

• • •

welches Passwort für die eventuell geschützten Informationen vergeben wurde, welche Schlüssel ggf. für eine Verschlüsselung der Informationen verwendet wurde, welchen Inhalt der Datenträger hat.

Der Versand des Datenträgers kann (optional) dokumentiert werden. Für jede stattgefundene Übermittlung ist dann in einem Protokoll festzuhalten, wer wann welche Informationen erhalten hat. Je nach Schutzbedarf beziehungsweise Wichtigkeit der übermittelten Informationen ist der Empfang zu quittieren und ein Quittungsvermerk dem erwähnten Protokoll beizufügen. Es sind jeweils Verantwortliche für den Versand und für den Empfang zu benennen.

362

[eh SYS 2.3]

10.8 Informationsaustausch / E-Mail
Der Austausch von Informationen zwischen Organisationen und Organisationseinheit bedarf der Entwicklung geeigneter Richtlinien und der Anwendung sicherer Verfahren zum Schutz der ausgetauschten Informationen und der dabei verwendeten Datenträger. Austauschvereinbarungen mit den Kommunikationspartnern und die einschlägigen Gesetze sind dabei einzuhalten

10.8.1 Richtlinien beim Datenaustausch mit Dritten
ISO Bezug: 27002 6.2.2, 6.2.3, 10.8.1, 10.8.2 Beim regelmäßigen Datenaustausch mit Dritten ist die Festlegung von Richtlinien bzw. der Abschluss von Vereinbarungen mit allen Beteiligten sinnvoll. Dabei spielt es keine Rolle, wie der Datenaustausch selbst erfolgt (Datenträgeraustausch, EMail, etc.). In einer derartigen Vereinbarung können Angaben zu folgenden Punkten enthalten sein:

• • • • • • • • •

Bestimmung der Verantwortlichen Benennung von Ansprechpartnerinnen bzw. Ansprechpartnern (in technischen, organisatorischen und sicherheitstechnischen Belangen) existiert ein Non-Disclosure-Agreement (NDA) Festlegung der Datennutzung welche Anwendungen und Datenformate sind zu verwenden wie und wo erfolgt die Prüfung auf Virenfreiheit wann dürfen Daten gelöscht werden Regelung des Schlüsselmanagements, falls erforderlich Einhaltung einschlägiger Gesetze (bspw. Datenschutzgesetz 2000 (DSG 2000) , etc.)

Weitere Punkte, die in eine solche Vereinbarung aufgenommen werden sollten, finden sich in 10.7.2 Datenträgerverwaltung und 10.7.3 Datenträgeraustausch [eh SYS 1.9]

363

10.8.2 Festlegung einer Sicherheitspolitik für E-Mail-Nutzung
ISO Bezug: 27002 10.4, 10.8, 10.9, 11.4 Vor der Freigabe von E-Mail-Systemen sollte festgelegt werden, für welchen Einsatz E-Mail vorgesehen ist. Abhängig davon differieren auch die Ansprüche an Vertraulichkeit, Verfügbarkeit, Integrität und Verbindlichkeit der zu übertragenden Daten sowie des eingesetzten E-Mail-Programms. Es muss geklärt werden, ob über E-Mail ausschließlich unverbindliche oder informelle Informationen weitergegeben werden sollen oder ob einige oder sogar alle der bisher schriftlich bearbeiteten Geschäftsvorfälle nun per E-Mail durchgeführt werden sollen. Bei letzterem ist zu klären, wie Anmerkungen an Vorgängen wie Verfügungen, Abzeichnungen oder Schlusszeichnungen, die bisher handschriftlich angebracht wurden, elektronisch abgebildet werden sollen. Weiters ist festzulegen, ob und in welchem Rahmen eine private Nutzung von E-Mail erlaubt ist. Die Organisation muss eine E-Mail-Sicherheitspolitik festlegen, in der folgende Punkte beschrieben sind:

• • • • • •

Wer einen E-Mail-Anschluss erhält, welche Regelungen von den Mail-Administratoren und den E-MailBenutzerinnen/Benutzern zu beachten sind (vgl. 10.8.3 Regelung für den Einsatz von E-Mail und anderen Kommunikationsdiensten ), bis zu welchem Vertraulichkeits- bzw. Integritätsanspruch Informationen per EMail versandt werden dürfen , ob und unter welchen Rahmenbedingungen eine private Nutzung von E-Mail erlaubt ist, wie die Benutzer/innen geschult werden und wie jederzeit technische Hilfestellung für die Benutzer/innen gewährleistet wird.

Durch organisatorische Regelungen oder durch die technische Umsetzung sind dabei insbesondere die folgenden Punkte zu gewährleisten:

• •

Für Organisationen im öffentlichen Bereich sind die im Rahmen der InternetPolicy [IKT-IPOL] enthaltenen E-Mail Richtlinien [IKT-MPOL] gemäß IKT-BoardBeschluss vom 17.09.2002 [IKTB-170902-1] umzusetzen. Die E-Mail-Progamme der Benutzer/innen müssen durch die Systemadministration so vorkonfiguriert sein, dass ohne weiteres Zutun der Benutzer/innen maximale Sicherheit erreicht werden kann (siehe auch 10.8.7 Sichere Konfiguration der Mailclients ).

364

• • • • •

• •

Für E-Mail-Adressen sind Namenskonventionen festzulegen. Insbesondere ist darauf zu achten, dass Sonderzeichen (Umlaute, ...) vermieden werden, da diese inhaltlich nicht einheitlich codiert sind. (vgl. E-Mail Richtlinien [IKTMPOL] im Rahmen der Internet-Policy [IKT-IPOL] gemäß [IKTB-170902-1] für Organisationen der öffentlichen Verwaltung zur Anwendung empfohlen) Für E-Mail-Adressen in Behörden bzw. in Organisationen der öffentlichen Verwaltung ist die in der anzuwendenden E-Mail-Policy enthaltene NamingPolicy empfohlen. (gemäß [IKTB-170902-1] ). Neben personenbezogenen E-Mail-Adressen können auch organisations- bzw. funktionsbezogene E-Mail-Adressen eingerichtet werden. Dies ist insbesondere bei zentralen Anlaufstellen wichtig. Die Übermittlung von Daten darf erst nach erfolgreicher Identifizierung und Authentisierung des Senders beim Übertragungssystem möglich sein. Die Benutzer/innen müssen vor erstmaliger Nutzung von E-Mail in die Handhabung der relevanten Applikationen eingewiesen werden. Die organisationsinternen Benutzerregelungen zur Dateiübermittlung müssen ihnen bekannt sein. Zur Beschreibung des Absenders werden bei E-Mails so genannte Signatures (Absenderangaben) an das Ende der E-Mail angefügt. Der Inhalt einer Signature sollte dem eines Briefkopfs ähneln, also Name, Organisationsbezeichnung und Telefonnummer u.ä. enthalten. Eine Signature sollte nicht zu umfangreich sein, da dies nur unnötig Übertragungszeit und Speicherplatz kostet. Die Behörde bzw. das Unternehmen sollte einen Standard für die einheitliche Gestaltung von Signatures festlegen. Von den eingesetzten Sicherheitsmechanismen hängt es ab, bis zu welchem Vertraulichkeitsanspruch Dateien per E-Mail versandt werden dürfen. Es ist grundsätzlich festzulegen, ob Mails bzw. Attachments in verschlüsselter Form übertragen werden dürfen. Dies erhöht zwar die Sicherheit gegen unautorisiertes Lesen oder Verändern, erschwert aber die Suche nach Viren oder macht sie gänzlich unmöglich. Ist der Einsatz von Verschlüsselungsverfahren prinzipiell erlaubt, so sollte geregelt werden, ob und wann übertragene Dateien verschlüsselt werden müssen (siehe auch 12.6 Einsatz kryptographischer Maßnahmen ). Gleichermaßen ist festzulegen, ob und in welcher Form kryptographische Mechanismen zur Überprüfung der Integrität von Daten (MACs, Digitale Signaturen, ...) eingesetzt werden dürfen bzw. müssen. Es ist zentral festzulegen, welche Applikationen für die Verschlüsselung bzw. den Einsatz von elektronischen Signaturen von den Benutzerinnen/Benutzern zu verwenden sind. Diese müssen den Benutzerinnen/Benutzern zur Verfügung gestellt werden, die wiederum in deren Anwendung unterwiesen werden müssen. Für Organisationen der Öffentlichen Verwaltung sind die „Richtlinien für EMail Zertifikate in der Verwaltung“ [IKT-MZERT] gemäß IKT-Board Beschluss [IKTB-230903-17] zu beachten. Es sollte festgelegt werden, unter welchen Bedingungen ein- oder ausgehende E-Mails zusätzlich ausgedruckt werden müssen. 365

• •

Die Dateiübertragung kann (optional) dokumentiert werden. Für jede stattgefundene Übermittlung ist dann in einem Protokoll festzuhalten, wer wann welche Informationen erhalten hat. Bei der Übertragung personenbezogener Daten sind die gesetzlichen Vorgaben zur Protokollierung zu beachten. Ob und wie ein externer Zugang zu E-Mail Diensten technisch und organisatorisch realisiert werden soll, ist zu prüfen und muss festgelegt werden. Technisch ist ein E-Mail-Zugang von Außen geeignet abzusichern, z.B. VPN, etc. In Organisationen der öffentlichen Verwaltung ist gemäß IKT-Board Beschluss [IKTB-110903-8] die Möglichkeit der Identifikation und Authentifikation mittels Bürgerkarte zu beachten.

E-Mails, die intern versandt werden, dürfen das interne Netz nicht verlassen. Dies ist durch die entsprechenden administrativen Maßnahmen sicherzustellen. Beispielsweise sollte die Übertragung von E-Mails zwischen verschiedenen Liegenschaften einer Organisation über eigene Standleitungen und nicht über das Internet erfolgen. Durch heutige Techniken (z.B. VPN) entfällt diese Forderung, wenn Nachrichten entsprechend verschlüsselt werden. [eh SYS 8.7]

10.8.3 Regelung für den Einsatz von E-Mail und anderen Kommunikationsdiensten
ISO Bezug: 27002 10.4, 10.8, 10.9, 11.2.4, 11.4, 15.2 Für den Einsatz von E-Mails sind u.a. folgende Punkte zu beachten:

• • • • •
366

Die Adressierung von E-Mail muss eindeutig erfolgen, um eine fehlerhafte Zustellung zu vermeiden. Innerhalb einer Organisation sollten Adressbücher und Verteilerlisten gepflegt werden, um die Korrektheit der gebräuchlichsten Adressen sicherzustellen. Durch den Versand von Testnachrichten an neue EMail-Adressen ist die korrekte Zustellung von Nachrichten zu prüfen. Für alle nach außen gehenden E-Mails ist eine Signatur (Absenderangabe am Ende der Mail) zu verwenden. Ausgehende E-Mails sollten protokolliert werden, da E-Mails auch "verschwinden" können. Die Betreffangabe (Subject) des Kommunikationssystems sollte immer ausgefüllt werden, z.B. entsprechend der Betreffangabe in einem Anschreiben. Die Korrektheit der durchgeführten Datenübertragung sollte überprüft werden. Die Empfängerseite sollte den korrekten Empfang überprüfen und der Senderseite bestätigen. Verwendung residenter Virenscanner für ein- bzw. ausgehende Dateien: Vor dem Absenden bzw. vor der Dateiübermittlung sind die ausgehenden Dateien explizit auf Viren zu überprüfen.

Erfolgt über die E-Mail auch eine Dateiübertragung, so sollten die folgenden Informationen an den/die Empfänger/in zusätzlich übermittelt werden:

ggf. Art der eingesetzten Software für Verschlüsselung bzw. Elektronischen Signatur. Jedoch sollte nicht vermerkt werden: welches Passwort für die eventuell geschützten Informationen vergeben wurde, • welche Schlüssel ggf. für eine Verschlüsselung der Informationen verwendet wurde. Regelmäßiges Löschen von E-Mails: E-Mails sollten nicht unnötig lange im Posteingang gespeichert werden. Sie sollten entweder nach dem Lesen gelöscht werden oder in Benutzerverzeichnissen gespeichert werden, wenn sie erhalten bleiben sollen. Viele Mailprogramme löschen E-Mails nicht sofort, sondern transferieren sie in spezielle Ordner. Benutzer/innen müssen darauf hingewiesen werden, wie sie E-Mails auf ihren Clients vollständig löschen können.

• • • • • •

Art der Datei (z.B. MS Word), Kurzbeschreibung über den Inhalt der Datei, Hinweis, dass Dateien auf Viren überprüft sind, ggf. Art des verwendeten Packprogramms (z.B. PKZIP)

Bei den meisten E-Mail-Systemen werden die Informationen unverschlüsselt über offene Leitungen transportiert und können auf diversen Zwischenrechnern gespeichert werden, bis sie schließlich ihre/n Empfänger/in erreichen. Auf diesem Weg können Informationen leicht manipuliert werden. Aber auch der/die Versender/ in einer E-Mail hat meistens die Möglichkeit, seine/ihre Absenderadresse (From) beliebig einzutragen, so dass grundsätzlich gilt, dass man sich nicht auf die Echtheit der Absenderangabe verlassen und sich nur nach Rückfrage oder bei Benutzung von Digitalen Signaturen der Authentizität des Absenders sicher sein kann. In Zweifelsfällen sollte daher die Echtheit des Absenders durch Rückfrage oder durch den Einsatz von Verschlüsselung und/oder Digitalen Signaturen (vgl. 12.6 Einsatz kryptographischer Maßnahmen ) überprüft werden. Es ist allerdings zu beachten, dass verschlüsselte Nachrichten im Allgemeinen nicht zentral auf Viren überprüft werden können (dazu wäre die zentrale Hinterlegung der notwendigen Schlüssel erforderlich). Es ist daher in der E-Mail-Sicherheitspolitik festzulegen, ob verschlüsselte Nachrichten zugelassen sind und wie damit zu verfahren ist. Wenn verschlüsselte Nachrichten nicht zugelassen sind, können diese etwa durch eine Poststelle (s. 10.8.5 Einrichtung eines Postmasters ) geblockt werden.

367

Es ist festzulegen, ob und gegebenenfalls in welchem Rahmen eine private Nutzung von E-Mail-Diensten zulässig ist. Diese Festlegung sollte im Rahmen einer Betriebsvereinbarung oder bei Abschluss des Arbeitsvertrages getroffen werden. Weiters sind auch die zulässigen Kontrollmaßnahmen des/der Arbeitgebers/ Arbeitgeberin (Protokollierung, Auswertung, ...) und die möglichen Sanktionen bei Verstößen gegen die getroffenen Vereinbarungen zu regeln. Alle Regelungen und Bedienungshinweise zum Einsatz von E-Mail sind schriftlich zu fixieren und sollten den Mitarbeiterinnen/Mitarbeitern jederzeit zur Verfügung stehen. Die Benutzer/innen müssen vor dem Einsatz von Kommunikationsdiensten wie E-Mail geschult werden, um Fehlbedienungen zu vermeiden und die Einhaltung der organisationsinternen Richtlinien zu gewährleisten. Insbesondere müssen sie hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen beim Versenden bzw. Empfangen von E-Mail sensibilisiert werden. Zur Vermeidung von Überlastung durch E-Mail sind die Mitarbeiter/innen über potentielles Fehlverhalten zu belehren. Sie sollten dabei ebenso vor der Teilnahme an E-Mail-Kettenbriefen, vor Spams, der unnötigen Weiterverbreitung von Virenwarnungen sowie vor der Abonnierung umfangreicher Mailinglisten gewarnt werden. Benutzer/innen müssen darüber informiert werden, dass Dateien, deren Inhalt Anstoß erregen könnte, weder verschickt noch auf Informationsservern eingestellt noch nachgefragt werden dürfen. Außerdem sollten Benutzer/innen darauf verpflichtet werden, dass bei der Nutzung von Kommunikationsdiensten

• • •

die fahrlässige oder gar vorsätzliche Unterbrechung des laufenden Betriebes unter allen Umständen vermieden werden muss (vgl. dazu § 126a zu Datenbeschädigung (StGB) ). Zu unterlassen sind insbesondere Versuche, ohne Autorisierung Zugang zu Netzdiensten - welcher Art auch immer - zu erhalten, Informationen, die über die Netze verfügbar sind, zu verändern, in die individuelle Arbeitsumgebung einer Netznutzerin bzw. eines Netznutzers einzugreifen oder unabsichtlich erhaltene Angaben über Rechner und Personen weiterzugeben. die Verbreitung von für die Allgemeinheit irrelevanten Informationen unterlassen werden muss. Die Belastung der Netze durch ungezielte und übermäßige Verbreitung von Informationen sollte vermieden werden. Eindringversuche an internen/externen Netzen/Geräten zu unterlassen sind, die Verbreitung von redundanten Informationen vermieden werden sollte.

368

1 Der sichere Betrieb eines Mailservers setzt voraus. 10. noch stabil ist. 11.8. 10.8. Nähere Details dazu sind auch unter dem Punkt 10.8] 10. Damit Unbefugte nicht über den Mailserver auf Nachrichteninhalte zugreifen können. 14. 10. Für den ordnungsgemäßen Betrieb sind Administratoren und Stellvertreter zu benennen und zum Betrieb des Mailservers und des zugrunde liegenden Betriebssystems zu schulen. 11. insbesondere dem Mailserver des Mail-Providers.6 Geeignete Auswahl eines E-Mail-Clients/Server zu finden.5 Einrichtung eines Postmasters ).4 Sicherer Betrieb eines Mail-Servers ISO Bezug: 27002 10. dass sowohl die lokale Kommunikation als auch die Kommunikation auf Seiten des öffentlichen Netzes abgesichert wird. dass lokale E-Mails der angeschlossenen Benutzer/innen nur intern weitergeleitet werden und nicht in das öffentliche Netz gelangen können. Auf die Bereiche. an den alle unzustellbaren E-Mails und alle Fehlermeldungen weitergeleitet werden (siehe auch 10.3. • Es muss regelmäßig kontrolliert werden. ob die Verbindung mit den benachbarten Mailservern.. Spooldateien). dazu § 126a zu Datenbeschädigung (StGB) ).4.8. und 369 .2. Dafür sollte er gesichert (in einem Serverraum oder Serverschrank) aufgestellt sein.8. Es muss ein Postmaster-Account eingerichtet werden. Darüber hinaus sind im Bereich öffentliche Verwaltung der Externe Zugang zu E-Mail-Diensten unter Beachtung des IKT-Board Beschlusses [IKTB-110903-8] zu gestalten. Der Mailserver muss hierbei sicherstellen. ist der Zugriff auch für die lokalen Benutzer/innen zu unterbinden.Für den Bereich der öffentlichen Verwaltung wurde im Rahmen des IKT-Boards als Bestandteil der "Internet-Policy" [IKT-IPOL] eine "E-Mail-Policy" [IKT-MPOL] beschlossen und zur Anwendung empfohlen [IKTB-170902-1] .B. Viele Internetprovider und Administratoren archivieren zusätzlich die einund ausgehenden E-Mails. Die E-Mails werden vom Mailserver bis zur Weitergabe zwischengespeichert.1. Auf die Mailboxen der lokal angeschlossenen Benutzer/innen dürfen nur diese Zugriff haben. Der Mailserver nimmt von anderen Mailservern E-Mails entgegen und leitet sie an die angeschlossenen Benutzer/innen oder Mailserver weiter. Weiters reicht der Mailserver die gesendeten E-Mails lokaler Benutzer/innen an externe Mailserver weiter.9.4.6. in denen E-Mails nur temporär für die Weiterleitung zwischengespeichert werden (z. sowie die Handhabe von E-Mail-Zertifikaten nach den "Richtlinien für E-Mail-Zertifikate in der Verwaltung" [IKT-MZERT] der Stabsstelle IKT-Strategie des Bundes (CIO) zu richten. muss der Mailserver gegen unbefugten Zugriff gesichert sein (vgl. [eh SYS 8.

Über Filterregeln können für bestimmte E-Mail-Adressen der Empfang oder die Weiterleitung von E-Mails gesperrt werden. Entsprechende Filterlisten sind im Internet verfügbar bzw.6 Geeignete Auswahl eines E-Mail-Clients/Server zu beachten. auch 10. die von Mitarbeiterinnen/Mitarbeitern der Organisation stammen. Für Organisationen der öffentlichen Verwaltung. Spam auszugrenzen. welche einen eigenen Mailserver unterhalten. Eingehende E-Mails sollten am Firewall oder am Mailserver auf Viren und andere schädliche Inhalte wie aktive Inhalte (z. bei Verdacht auf Manipulationen. Wenn eine Organisation keinen eigenen Mailserver betreibt. ist zusätzlich die auf Basis des IKT-Board-Beschlusses [IKTB-170902-1] empfohlene E-Mail-Policy anzuwenden. insbesondere sollten von der Verfügbarkeit des Mailservers keine weiteren Dienste abhängig sein. eigenes Produktionssystem sein. Demnach sind auch Maßnahmen und Empfehlungen aus 10. indem beispielsweise aus jeder Spam-Mail eine neue dedizierte Filterregel abgeleitet wird. welche Protokolle und Dienste am Mailserver erlaubt sind.16 Firewalls und aktive Inhalte ).• ob der für die Zwischenspeicherung der Mail zur Verfügung stehende Plattenplatz noch ausreicht. Es sollte jederzeit kurzfristig möglich sein. um mögliche Angriffe auf Benutzeraccounts zu erschweren. Java-Applets) überprüft werden (vgl. um sich vor Spam-Mail zu schützen.B. da ansonsten kein weiterer Nachrichtenaustausch möglich ist.6. damit der Filterung keine erwünschten E-Mails zum Opfer fallen. als Spam-Relay verwendet zu werden.B. Der Mailserver sollte ein abgeschlossenes. Auch über die Filterung anderer Header-Einträge kann versucht werden. dass er E-Mails nur für die Organisation selber entgegennimmt und nur E-Mails verschickt. Die Benutzernamen auf dem Mailserver sollten nicht aus den E-Mail-Adressen unmittelbar ableitbar sein.B. 370 . Hierbei muss mit Bedacht vorgegangen werden. sinnvoll sein. sondern über einen oder mehrere Mailclients direkt auf den Mailserver eines Providers zugreift. z. ihn abzuschalten. Dafür sollte ein Mailserver so konfiguriert werden. muss mit dem Provider ein Dienstleistervertrag im Sinne des § 11 Datenschutzgesetz (DSG 2000) abgeschlossen werden. Daher sollten entsprechende Filterregeln sehr genau definiert werden. Ein Mailserver sollte davor geschützt werden.8. Umfang und Inhalt der Protokollierung der Aktivitäten des Mail-Servers sind festzulegen. können von verschiedenen Herstellern der Kommunikationssoftware bezogen werden. Dies kann z. Es ist festzulegen.

[eh SYS 8. Verständigung der betroffenen Benutzer.. Speicherung in einem Zwischenbereich. Empfängers/Empfängerin. Anlaufstelle bei Mailproblemen für Endbenutzer/innen sowie für die Betreiber von Gateway. Zuständige Betreuer/innen (ev. ob der gesamte Inhalt einer E-Mail einem gültigen Dokumentformat genügt (als Grundlage können hier die Richtlinien über Dokumentenaustauschformate (s. Dieser nimmt folgende Aufgaben wahr: • • • • • • • Bereitstellen der Maildienste auf lokaler Ebene. Pflege der Adresstabellen.4. E-Mail. muss nach Ablauf einer vordefinierten Frist vernichtet werden.8. Überprüfung der Attachments auf Viren. Hotline oder Helpdesk) sollten jederzeit von den Benutzerinnen/Benutzern telefonisch erreicht werden können.6tw.und Relaydiensten. die versuchen sollten die Fehlerquellen zu beheben. für die betreffende Organisation oder für ein IT-System speziell erstellte Richtlinien gelten). 10.) Überprüfung. 12. 14. . der/die Absender/in ist mittels einer entsprechenden Fehlermeldung zu informieren.1 In größeren Organisationen sollte zum reibungslosen Ablauf des E-Mail-Dienstes ein "Postmaster" benannt werden.8. Setzen von Maßnahmen.4. • Alle unzustellbaren E-Mails und alle Fehlermeldungen müssen an den Postmaster weitergeleitet werden.10. falls ein Virus gefunden wurde (Verhinderung einer Weiterleitung.8. automatische Löschung nach einer vorgegebenen Zeitspanne.1. 10.9] 10. Verständigung des/der Absenders/Absenderin bzw.5 Einrichtung eines Postmasters ISO Bezug: 27002 10.10] 10. Setzen von Maßnahmen. Überprüfung. ob die externen Kommunikationsverbindungen funktionieren. die unzustellbar bleibt. Ablage in speziellen Quarantänebereichen. 13.5. wenn der Inhalt einer E-Mail (zur Gänze oder teilweise) nicht einem gültigen Dokumentenaustauschformat entspricht (etwa Blocken der Nachricht. [eh SYS 8. 12. [KIT T05] bzw.. Freigabe durch Sicherheitsbeauftragte nach Rücksprache und Begründung). ev.6 Geeignete Auswahl eines E-Mail-Clients/Server 371 .

8. 10.2.8.ISO Bezug: 27002 10. Die durch den IKT-Board-Beschluss [IKTB-170902-1] für die Organisationen der öffentlichen Verwaltung empfohlene E-Mail-Policy schreibt dabei die Einhaltung der folgenden Mindesteigenschaften vor: • • • • • 372 Kommunikation: Für die Kommunikation zwischen Clients und Servern im E-Mailverkehr sowie für die Kommunikation zwischen E-Mail-Servern selbst sind folgende Protokolle festgelegt: POP3 [RFC1939]. Mailzugänge über Web-Interfaces müssen zumindest verschlüsselt sein (Standard SSL bzw.B. TLS oder IPsec mit einer symmetrischen Schlüssellänge von mindestens 100 Bit). 10. dass die eingesetzten Clients und Server entsprechende Interfaces zu diesen Verzeichnisdiensten aufweisen. Für die Signatur von Attachments sind als Signaturformate PKCS#7 oder XML zu verwenden. Die Verschlüsselungen und Signaturen müssen jedenfalls CMS kompatibel sein.8. PGP kann für die Vertraulichkeit in einer Übergangszeit in manchen Bereichen notwendig bleiben. Darüber hinaus gilt es die existierende WEBMAIL-Policy (sowie vorhandene Checklisten) zu beachten. Dafür wird folgender Standard im Rahmen der E-Mail-Policy für die öffentliche Verwaltung vorgeschrieben: LDAP V3 [RFC 4511] Sicherheit: Für die E-Mail-Sicherheit ist S/MIME V3 einzusetzen.4. VPN oder IPSEC). Für die öffentliche Verwaltung ist die "Richtlinie für E-Mail Zertifikate in der Verwaltung" [IKTMZERT] zu beachten [IKTB-230903-17] . Nachweis der Standardkonformität: . SMTP [RFC 5321] Adress-Verwaltung: Die Verwaltung von E-Mail-Adressen und Attributen erfolgt in Verzeichnisdiensten.5 Gemäß den Vorgaben der E-Mail-Strategie des Bundes müssen E-MailProgramme (E-Mail-Clients und E-Mail-Server) unter dem Gesichtspunkt offener internationaler Standards gewählt werden. die auch die End-ToEnd Authentifizierung sicherstellt. 10. IMAP [RFC 3501]. Zugang von Außen: Der uneingeschränkte Zugang von außen ist nur über eine geeignete Verschlüsselung einzurichten (z.8. Derartige Anforderungen werden im Detail in der für Organisationen der öffentlichen Verwaltung zu beachtenden E-Mail-Policy des Chief Information Office des Bundes behandelt. Im Bereich der öffentlichen Verwaltung ist für den externen E-Mail-Zugang auch der IKT-Board Beschluss [IKTB-110903-8] zu berücksichtigen. Die dabei eingesetzten Schlüssellängen der symmetrischen Schlüsselkomponenten müssen mindestens 100 Bit betragen. in dem die Verwendung der Bürgerkarte zur Identifikation und Authentifikation empfohlen wird. Eine komfortable Umsetzung erfordert.1.

das E-Mail-Passwort auszulesen.B. des Benutzers einzustellen.2. die für die Organisationen der öffentlichen Verwaltung gemäß dem IKT-Board-Beschluss [IKTB-170902-1] anwendbar sind. Insbesondere sollten bei der Konfiguration der E-Mail-Clients folgende Punkte berücksichtigt werden: • • Das E-Mail-Passwort darf keinesfalls dauerhaft vom E-Mail-Programm gespeichert werden. [eh SYS 8.Für die Bereiche der öffentlichen Verwaltung wird ein Testmailservice angeboten. sei auf die entsprechenden Kapitel der "Internet Policy" [IKT-IPOL] . 10. dass ohne weiteres Zutun der Benutzer/innen maximale Sicherheit erreicht werden kann.4. hat so die Möglichkeit. dass sie die Konfiguration nicht selbsttätig ändern dürfen.8. Die Benutzer/innen sind darauf hinzuweisen. [eh SYS 8.7.11] 10. u.5 373 . sowie auf die "EMail-Policy" [IKT-MPOL] der Stabsstelle IKT-Strategie des Bundes (CIO) verwiesen.7.3. [NSA-ECC1] ).3.8. 10. die/der Zugriff auf den Mailclient hat. 10.2. Für weitere detaillierte Vorschriften. 15.4. Als Reply-Adresse ist die E-Mail-Adresse der Benutzerin bzw. um sicherzustellen.2.2.1.8. dass keine internen E-Mail-Adressen weitergegeben werden.4. Dabei wird das Passwort auf der Client-Festplatte abgelegt. sogar im Klartext oder nur schwach verschlüsselt.1 Die E-Mail-Progamme der Benutzer/innen müssen durch den Administrator so vorkonfiguriert sein. Dieses dient zur Kompatibilitätsfeststellung der eingesetzten Systeme sowohl nach innen als auch nach außen. 12.19] 10. Jede/r.U.8. 11. 10.4. 10.8. Bei der Konfiguration von E-Mail-Clients kann auf produktbezogene und aktuelle von vertrauenswürdigen Stellen veröffentlichte Leitlinien zurückgegriffen werden (z. Damit kann der Nachweis der Konformität der Systeme mit den geforderten Standards und der Einhaltung der Mindestantwortzeiten erbracht werden.7 Sichere Konfiguration der Mailclients ISO Bezug: 27002 10.8. unter fremdem Namen E-Mails zu verschicken bzw.8 Verwendung von WebMail externer Anbietern ISO Bezug: 27002 7.1.

Es ergeben sich auch Unterschiede bezüglich Mailbox-Größen. anfallender Kosten. etc. In diesem Zusammenhang wird der Zugang zu den E-Mail-Konten in der Regel via Web-Mail angeboten. 11.6 Geeignete Auswahl eines E-Mail-Clients/Server ): • • • • Wahl eines geeigneten Passwortes (vgl.B. bei dem der/die Anwender/in die E-Mail-Dienste ohne jegliche clientseitige Software sondern nur unter Verwendung des Browsers nutzen kann. Verfügbarkeit. dem Einsatz von Spam-Filtern. Diesbezüglich ist eine genaue Durchsicht der Allgemeinen Geschäftsbedingungen (AGB) des jeweiligen Anbieters vorzunehmen. Die Anbieter derartiger Webmaildienste unterscheiden sich nicht nur hinsichtlich ggf. auch 10.8. usw. über eine verschlüsselte Verbindung (z.1 Regelungen des Passwortgebrauches ) Zugriffe auf das Web-Mail-Konto dürfen nur über verschlüsselte Verbindungen erfolgen (SSL/TLS) trotz eines vorhandenen anbieterseitigen Virenschutzes sollten Attachments clientseitig auf Viren geprüft werden Beenden des Web-Mail-Dienstes nur über den vorgesehenen Ausstiegsmechanismus (Log-Out-Button.) [eh SYS 8. wie etwa: • • • • • • ist es möglich. SSL/TLS) auf die Mailbox zuzugreifen können E-Mails elektronisch signiert und/oder verschlüsselt werden findet eine Identitätsprüfung von Neukunden statt wird der Service durch fachkundiges und sicherheitstechnisch geschultes Personal realisiert (Social Engineering Attacks: beispielsweise soll das Erfragen des Passwortes durch einen fingierten Anruf am Helpdesk nicht möglich sein) eine Virenprüfung der E-Mails sollte anbieterseitig gewährleistet sein Spam-Filter sollten zur Verfügung stehen Bei der Verwendung von Web-Mail sollte der/die Anwender/in Folgendes beachten (vgl. in Verbindung mit Werbung) zur Verfügung.3.Eine Vielzahl von externen Maildiensteanbietern stellen ihre Services oft kostenlos (evtl.23] 374 . Darüber hinaus sind die gebotenen Sicherheitsvorkehrungen zu beachten.

In einer derartigen Vereinbarung (sog.B.) welche Plattformen werden unterstützt Richtlinien zur Protokollierung (wer protokolliert was/wann und wie werden Protokolldaten ggf. etc.B.9. 10. E-Commerce. auch bei Virenbefall. Hackerangriff. ftp. Vereinbarungen notwendig.1 Richtlinien bei Verbindung mit Netzen Dritter (Extranet) ISO Bezug: 27002 10. Data Connection Agreement – DCA) sollen detaillierte Angaben zu folgenden Punkten enthalten sein: • • • • • • • • • • • Bestimmung der Verantwortlichen Haftungs.) Sicherheitslücken müssen von allen Beteiligten vor dem Netzzusammenschluss beseitigt werden. E-Government Aus der immer weiter verbreiteten Nutzung von E-Commerce und E-Government ergeben sich Anforderungen an die Sicherheit der Systeme Applikationen und Transaktionen. organisatorischen und sicherheitstechnischen Belangen) welche Dienste werden zur Verfügung gestellt (z. ausgetauscht) welche Sicherheitsmaßnahmen müssen gewährleistet werden wie sind weitere Vertragspartner in die Vereinbarung einzubinden Regelung über das Vorgehen beim Auftreten von Sicherheitslücken (betrifft Informationspflicht. ist sicher zu stellen. Web.und Schadensersatzregeln (z. die von Systemen über das öffentliche Internet angeboten werden.9 Internet-.10. Vorgehen bei Netzwerktrennung. Dabei sind gegenseitige (stichprobenartige) Überprüfungen der vereinbarten und einzuhaltenden Sicherheitsmaßnahmen sinnvoll. Für diesen Schritt sind als Grundlage von allen Beteiligten einzuhaltende Richtlinien bzw.21] 375 . [eh SYS 8.1 Zunehmend werden die nach außen hin abgeschotteten und abgesicherten Netzwerke von Organisationen zu einem Verbund zusammengeschlossen (Extranet). etc.9. http. etc.) eventuell Non-Disclosure-Agreement (NDA) Festlegung der Datennutzung Benennung von Ansprechpartnerinnen/Ansprechpartnern (in technischen. DIe Integrität und die Verfügbarkeit der Informationen.

3. das ICMP-Protokoll bzw. 10. Schutz einer Firewall gegen Angriffe aus dem externen Netz.2 Erarbeitung einer organisationsweiten InformationssicherheitsPolitik ) : • • • • • • • • • • • Festlegung der Sicherheitsziele Auswahl der Kommunikationsanforderungen Diensteauswahl organisatorische Regelungen Beispiele für Sicherheitsziele sind: Schutz des internen Netzes gegen unbefugten Zugriff von außen.1.9.6. (Da die Anzahl der potentiellen Angreifer/innen und deren Kenntnisstand bei einer Anbindung an das Internet als sehr hoch angesehen werden muss. Routingprotokolle missbrauchen. Die Erstellung der Internet-Sicherheitspolitik umfasst im Wesentlichen folgende Schritte (vgl. 11. die auf IP-Spoofing beruhen oder die Source-Routing Option. (Die Verfügbarkeit dieser Informationen muss aber gegenüber dem Schutz der lokalen Rechner und Informationen zurückstehen!). Schutz vor Angriffen. 10. ist dieses Sicherheitsziel von besonderer Bedeutung.10.4 Eine Internet-Sicherheitspolitik stellt eine IT-Systemsicherheitspolitik im Sinne von Kapitel5 Entwicklung einer organisationsweiten InformationssicherheitsPolitik des vorliegenden Handbuchs dar. Sie muss mit der organisationsweiten Informationssicherheits-Politik der Behörde bzw. Schutz der lokalen Netzkomponenten gegen Angriffe auf deren Verfügbarkeit (insbesondere gilt dies auch für Informationsserver. des Unternehmens kompatibel sein.9. Verfügbarkeit der Informationen des externen Netzes im zu schützenden internen Netz.) 376 .2 Erstellung einer Internet-Sicherheitspolitik ISO Bezug: 27002 10. aber auch gegen Manipulationen aus dem internen Netz. Schutz der lokal übertragenen und gespeicherten Daten gegen Angriffe auf deren Vertraulichkeit oder Integrität. Schutz vor Angriffen durch das Bekannt werden von neuen sicherheitsrelevanten Softwareschwachstellen. die Informationen aus dem internen Bereich für die Allgemeinheit zur Verfügung stellen).

Einmalpasswörter oder Chipkarten)? Welche Zugänge werden benötigt (z. Dies muss auch die Voreinstellung sein: Alle Dienste. die für externe Benutzer/innen zugelassen werden.B. und denjenigen. ob und welche der übertragenen Nutzinformationen gefiltert bzw. welche Arten der Kommunikation mit dem äußeren Netz zugelassen werden. zur Kontrolle auf Viren).B. Es sollten nur die Dienste zugelassen werden.bzw. Bei der Auswahl der Kommunikationsanforderungen müssen speziell die folgenden Fragen beantwortet werden: • • • • • Welche Informationen dürfen nach außen hindurch. nach innen hereingelassen werden? Welche Informationen sollen verdeckt werden (z.B. Die Entscheidung darüber. die für die Benutzer/ innen im zu schützenden Netz.B. Alle anderen Dienste müssen verboten werden. überprüft werden sollen (z. dürfen nicht zugelassen werden. Es muss unterschieden werden zwischen denjenigen Diensten. für die noch keine expliziten Regeln festgelegt wurden. die interne Netzstruktur oder die Benutzernamen)? Welche Authentisierungsverfahren sollen benutzt werden (z. 377 . die unbedingt notwendig sind. zu welchen Diensten ein/e Benutzer/in im Internet Zugang erhalten kann.Im nächsten Schritt ist festzulegen. welche Dienste im zu sichernden Netz erlaubt und welche verboten werden müssen. nur über einen Internet-Service-Provider oder auch über einen Modempool)? Welcher Datendurchsatz ist zu erwarten? Diensteauswahl Im dritten Schritt wird aus den Kommunikationsanforderungen abgeleitet. • • welche Dienste für welche Benutzer/innen und/oder Rechner zugelassen werden sollen und für welche Dienste Vertraulichkeit und/oder Integrität gewährleistet werden müssen. hängt von der Qualität der Firewall. vom dienstlichen Aufgabenbereich der Benutzerin bzw. In der Sicherheitspolitik muss für jeden Dienst explizit festgelegt werden. des Benutzers sowie von ihrem/seinem Problembewusstsein ab. Es muss festgelegt werden.

2. dass sie auch zukünftigen Anforderungen gerecht wird. Die Aufgaben und Kompetenzen für die betroffenen Personen und Funktionen müssen eindeutig festgelegt sein. 378 . verbotene Verbindungen aufzubauen. Darüber hinaus sind eine Reihe von organisatorischen Regelungen erforderlich.B.h. sogar Aktionen auszulösen. Es müssen sowohl alle korrekt aufgebauten als auch die abgewiesenen Verbindungen protokolliert werden. der/die Angreifer/in verfolgt werden soll oder ob die Netzverbindungen nach außen getrennt werden sollen. Benutzern eingesetzten Kommunikationsclients betreut werden.B.B. es sollte eine ausreichende Anzahl von Verbindungsmöglichkeiten vorgesehen werden. die entscheiden können. Ausnahmeregelungen. Warnungen auszugeben oder evtl.Die Sicherheitspolitik sollte so beschaffen sein. wie beispielsweise: • • • • • • • Es müssen Verantwortliche sowohl für die Erstellung als auch für die Umsetzung und die Kontrolle der Einhaltung der Internet-Sicherheitspolitik benannt werden (z. Jede spätere Änderung muss streng kontrolliert werden und insbesondere auf Seiteneffekte überprüft werden. Angriffe auf eine Firewall sollten nicht nur erfolgreich verhindert. müssen Verantwortliche bestimmt sein. Es ist zu klären. Die Benutzer/innen müssen über ihre Rechte. und die entsprechenden Maßnahmen einleiten. s. Neben dem Serverbetrieb wie Mail-. Angriffe können über die Auswertung der Protokolldateien erkannt werden. umfassend informiert werden. die nicht auf technischer Ebene durch eine Firewall abgefangen werden können. häufigen fehlerhaften Passworteingaben auf einem Application-Gateway oder Versuchen. Bereichs-IT-Sicherheitsbeauftragte. oder Web-Server müssen auch die von den Benutzerinnen bzw. Die Firewall sollte aber auch in der Lage sein. Es ist daher eine Schulung erforderlich. welche Aktionen bei einem Angriff gestartet werden. welche Informationen protokolliert werden und wer die Protokolle auswertet. ob ein Angriff vorliegt. insbesondere für neue Dienste und kurzzeitige Änderungen (z. ob z. d. wie z. insbesondere auch über den Umfang der Nutzdaten-Filterung. Daneben müssen je nach Organisationsstruktur und -größe ein oder mehrere Verantwortliche für die Pflege der angebotenen Kommunikationsdienste benannt werden. die dem/der Benutzer/in mögliche Risiken aufzeigt und ihr/sein Problembewusstsein fördert. Da hiermit starke Eingriffe in den Netzbetrieb verbunden sein können.B. 5. Die Protokollierung muss den datenschutzrechtlichen Bestimmungen entsprechen. auf Grund von vordefinierten Ereignissen. Es muss festgelegt werden. Jeder Internetdienst birgt Gefahren. müssen vorgesehen werden. sondern auch frühzeitig erkannt werden können.3 Organisation und Verantwortlichkeiten für Informationssicherheit ). für Tests).

9. Vor dem Einrichten eines WWW-Servers sollte in einer WWW-Sicherheitsstrategie beschrieben werden.org/Security/Faq/ ) dar.B. WWW-Server sind für Hacker/innen sehr attraktive Ziele. Daher muss der Absicherung eines WWW-Servers ein hoher Stellenwert eingeräumt werden.1. Hierbei ist die Absicherung eines WWW-Servers ebenso zu betrachten wie die der WWW-Clients und der Kommunikationsverbindungen zwischen diesen.9. insbesondere hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen? Welche Dateien dürfen aufgrund ihres Inhaltes nicht auf dem WWWServer eingestellt werden (z.1] 10. welche Sicherheitsmaßnahmen in welchem Umfang umzusetzen sind. da einem erfolgreichen Angriff oft sehr große Publizität zuteil wird.[eh SYS 8. Eine wichtige Informationsquelle für Sicherheitshinweise zur WWW-Nutzung stellt die "World Wide Web Security FAQ" (unter http://www. nicht zur Veröffentlichung zulässig sind oder nicht der Firmen. um rechtzeitig Vorsorge dagegen treffen zu können. ob die getroffenen Maßnahmen ausreichend sind. Behördenpolitik entsprechen)? Welche Zugriffsbeschränkungen auf den WWW-Server sollen realisiert werden? Teil einer Sicherheitsstrategie muss auch die regelmäßige Informationsbeschaffung über potentielle Sicherheitslücken sein. Anhand der in der WWW-Sicherheitsstrategie festgelegten Anforderungen kann dann regelmäßig überprüft werden.9. 10. weil die Inhalte vertraulich sind. WWW-Sicherheitsstrategie für den Betrieb eines WWW-Servers In der Sicherheitsstrategie für den Betrieb eines WWW-Servers sollten die folgenden Fragen beantwortet werden: • • • • • Wer darf welche Informationen einstellen? Welche Randbedingungen sind beim Betrieb eines WWW-Servers zu beachten? Wie werden die Verantwortlichen geschult.w3. In der WWW-Sicherheitsstrategie muss neben einer Sicherheitsstrategie für den Betrieb eines WWW-Servers auch eine Sicherheitsstrategie für die WWW-Nutzung enthalten sein.3 Festlegung einer WWW-Sicherheitsstrategie ISO Bezug: 27002 10. 379 .3 Vor der Nutzung von WWW-Diensten ist zunächst in einem Konzept darzustellen. welche Dienste genutzt und welche angeboten werden sollen.bzw.

5 Sicherheit von WWWBrowsern ). sowohl in der Nutzung ihrer WWW-Browser als auch des Internets. Insbesondere müssen sie hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen sensibilisiert werden.9.9. Es muss festgelegt werden.12] 10. soweit dies nicht durch eine zentrale Überprüfung gewährleistet wird. dass ohne weiteres Zutun der Benutzer/innen maximale Sicherheit erreicht werden kann (siehe auch 10.9. [eh SYS 8. Die Benutzer/innen müssen vor der WWW-Nutzung geschult werden.9.3 380 . dürfen weder auf WWW-Servern eingestellt noch nachgefragt werden. welche Inhalte als anstößig gelten.4 Sicherer Betrieb eines WWW-Servers ISO Bezug: 27002 10. 10.1. Dateien. Alle Regelungen und Bedienungshinweise zur WWW-Nutzung sind schriftlich zu fixieren und sollten den Mitarbeiterinnen/Mitarbeitern jederzeit zur Verfügung stehen.WWW-Sicherheitsstrategie für die WWW-Nutzung In der Sicherheitsstrategie für die WWW-Nutzung sollten die folgenden Fragen beantwortet werden: • • • • Wer erhält WWW-Zugang? Welche Randbedingungen sind bei der WWW-Nutzung zu beachten? Wie werden die Benutzer/innen geschult? Wie wird technische Hilfestellung für die Benutzer/innen gewährleistet? Durch organisatorische Regelungen oder durch die technische Umsetzung sind dabei insbesondere folgende Punkte zu gewährleisten: • • • Die Browser der Benutzer/innen müssen durch den Administrator so vorkonfiguriert sein. deren Inhalt Anstoß erregen könnte. Nach dem Download von Dateien sind diese explizit auf Viren zu überprüfen. um Fehlbedienungen zu vermeiden und die Einhaltung der organisationsinternen Richtlinien zu gewährleisten.

9. Ein WWW-Server sollte insbesondere keine unnötigen Netzdienste enthalten.). Das Betriebssystem und die Software müssen so konfiguriert sein. Ein/e Angreifer/in könnte sonst durch Ausnutzung eines Fehlers diese mit den Rechten des HTTP-Servers manipulieren. Die Administration des WWW-Servers sollte nur über eine sichere Verbindung erfolgen. das Betriebssystem sollte auf die unbedingt erforderlichen Funktionalitäten reduziert werden und auch sonst sollten sich nur unbedingt benötigte Programme auf dem WWW-Server befinden. [NSA-SD2] . sollte aber nach dem Start so schnell wie möglich mit den Rechten einer/eines weniger privilegierten neuen Benutzerin/ Benutzers weiterarbeiten. Allen diesen Möglichkeiten gemeinsam ist allerdings.6 Schutz der WWW-Dateien ). die Administration sollte direkt an der Konsole. Wichtig ist. Er darf sich nicht zwischen Firewall und internem Netz befinden. Solange der Rechner nicht entsprechend konfiguriert ist. dass der eigentliche Serverprozess des WWW-Servers.ä.h. [eh SYS 8. verschiedene Dienste gehören auf verschiedene Rechner (beispielsweise ein WWW-Server und ein E-Mail-Server). Er muss üblicherweise mit root-Privilegien gestartet werden. z. dass der Rechner optimal gegen Angriffe geschützt wird. Je nach Art des WWW-Servers bieten sich unterschiedliche Möglichkeiten zum Schutz an. d. nämlich der http-Daemon. nach starker Authentisierung (bei Zugriff aus dem LAN) oder über eine verschlüsselte Verbindung (bei Zugriff aus dem Internet) erfolgen. Für die verschiedensten Server-Produkte sind teilweise detaillierte Leitlinien zu deren sicheren Konfiguration verfügbar (vgl. da ein Fehler auf dem WWW-Server sonst Zugriffe auf interne Daten ermöglichen könnte. Daher sollte ein WWW-Server.h. [NSA-SD3] . darf er nicht ans Netz genommen werden. damit sie sicher betrieben werden können. entsprechend den folgenden Vorgaben installiert werden: • • • • • • Auf einem WWW-Server sollte nur ein Minimum an Programmen vorhanden sein. nur mit eingeschränkten Rechten ausgestattet sein sollte.WWW-Server sind attraktive Ziele für Angreifer und müssen daher sehr sorgfältig konfiguriert werden. Hierfür sollte ein eigener Benutzeraccount wie wwwserver eingerichtet werden. [NSA-SD5] u. Weiterhin sollte der WWW-Server vor dem Internet durch einen Firewall-Proxy oder aber zumindest durch einen Paketfilter abgesichert werden. Der Zugriff auf Dateien oder Verzeichnisse muss geschützt werden (siehe 10. der Informationen im Internet anbietet.B.13] 381 . Die Kommunikation mit dem WWW-Server sollte durch einen Paketfilter auf ein Minimum beschränkt werden. d. [NSA-SD4] . dass diese/r Benutzer/in keine Schreibrechte auf die Protokolldateien besitzt.

Darüber hinaus kann es auch sinnvoll sein. Aktuelle Virenschutzprogramme sollten auf allen Rechnern mit Internetzugang installiert sein und automatisch ausgeführt werden. [NSA-SD8] . 10. die bekanntesten sind sicherlich Viren. 382 .16 Firewalls und aktive Inhalte ).B. MakroViren und trojanische Pferde. ActiveX-Programme. Die Benutzer/innen dürfen sich nie darauf verlassen. Eine Gefährdung der lokalen Daten geht beispielsweise von Programmen aus. Auch innerhalb von Dokumenten oder Bildern können Befehle enthalten sein. vgl. die automatisch beim Betrachten ausgeführt werden und zu Schäden führen können (z.B.ä. dass die geladenen Dateien oder Programme aus vertrauenswürdigen Quellen stammen. Um solche Probleme zu vermeiden. 10.B. 11. Bei der Konfiguration des Browsers ist darauf zu achten.9. Beim Zugriff auf das World Wide Web (WWW) können verschiedene Sicherheitsprobleme auf den angeschlossenen Arbeitsplatzrechnern auftreten.3.5 Sicherheit von WWW-Browsern ISO Bezug: 27002 10. sollten die im Folgenden beschriebenen Maßnahmen umgesetzt werden.6. die zugehörigen Anwendungen nicht automatisch gestartet werden.). die Makro-Viren enthalten können. Ursachen dafür können sein: • • • falsche Handhabung durch die Benutzer/innen unzureichende Konfiguration der benutzten Browser (also der Programme für den Zugriff auf das WWW) Sicherheitslücken in den Browsern.. dass bei Dateitypen.9. [NSASD10] .4. Laden von Dateien und/oder Programmen: Beim Laden von Dateien und/oder Programmen können eine Vielzahl von Sicherheitsproblemen auftreten. Makro-Viren in Word. etc.10.oder Excel-Dokumenten). Java-Applets o. produktspezifische Konfigurationsleitlinien zu verwenden (z.1. die aus dem Internet geladen werden und ohne Nachfrage auf dem lokalen Rechner ausgeführt werden (z.1.9.

Bei einigen Dateiformaten werden zusätzlich noch Plug-Ins bzw.4. Der Aufruf eines solchen Zusatzprogramms wird über eine Konfigurationsdatei des Browsers gesteuert. Beim Hinzufügen von Plug-Ins bzw. Viewer. d. dass sie selber dafür verantwortlich sind.1.B. In Zweifelsfällen ist die IT-Administration hinzuzuziehen. Es dürfen keine Programme installiert werden. in der Dateiendung und Programm verknüpft sind. Daher sollten alle nicht benötigten Plug-Ins entfernt werden. in manchen Fällen auch abspielen. Zusatzprogrammen für einen WWW-Browser sind dieselben Vorsichtsmaßnahmen wie beim Laden von Dateien und/oder Programmen zu beachten.1. 383 .3. Zusatzprogramme. Plug-Ins verbrauchen natürlich auch Speicherplatz und verlängern die Startzeit des Browsers.1 Nutzungsverbot nicht-freigegebener Software ). Bei Viewern von Office-Dokumenten sollte darauf geachtet werden. Vor der Installation sollten auf Stand-alone-Rechnern Tests auf die Schadensfreiheit der Programme durchgeführt werden. Grundsätzlich müssen bei der Installation von Programmen natürlich die organisationsinternen Sicherheitsregeln beachtet werden.B.6 Vermeidung bzw. Zusatzprogramme benötigt. bleiben die Benutzer/innen verantwortlich für die Schadensfreiheit von geladenen Dateien oder Programmen. Erkennung von Viren durch den Benutzer ). z. Plug-Ins und Zusatzprogramme Nicht alle Browser können alle Dateiformate direkt verarbeiten. die von Installationsprogrammen ins Plug-In-Verzeichnis geladen werden und bei Aufruf des entsprechenden Dateiformates vom Browser ausgeführt werden. Kapitel 10.Alle Benutzer/innen müssen darauf hingewiesen werden. bestimmte Dateiformate zu verarbeiten. vgl. beim Dateiladen alle entsprechenden Vorsichtsmaßnahmen zu ergreifen. Insbesondere dürfen nur getestete und zugelassene Programme installiert werden (vgl. Dann müssen alle zu einem Plug-In gehörenden Dateien im Plug-In-Verzeichnis des Browsers manuell gelöscht werden.7 Abnahme und Freigabe von Software . im Allgemeinen anzeigen. denen man nicht unbedingt vertrauen kann. dazu auch 12. sind eigenständige Programme. 12.8 Installation und Konfiguration von Software und 12.h. Bei Plug-Ins handelt es sich um Bibliotheksdateien (z. DLL-Dateien). die in der Lage sind. dass diese keine Makro-Befehle ausführen können (Schutz vor Makro-Viren. Selbst wenn über die Firewall automatisch die geladenen Informationen auf Viren überprüft werden. Das ist nicht immer einfach: Viele Deinstallationsroutinen erkennen Plug-Ins nicht und nicht alle Browser bieten eine Übersicht über die installierten Plug-Ins.

Wo dies nicht möglich ist. mit denen sich das Anlegen von Cookies verhindern lässt. sondern auch lokal. z.txt oder Verzeichnissen wie cookies . wo das nicht möglich ist. Es sollten vorzugsweise Browser eingesetzt werden. Allerdings kann ein WWW-Anbieter hiermit auch Benutzerprofile erstellen. Damit können WWW-Anbieter beim nächsten Besuch der/des jeweiligen Benutzerin/Benutzers spezielle Informationen für diese/n anbieten oder dieser/diesem passwortgesichert nur bestimmte Dienste zugänglich machen. sollten zumindest solche Browser eingesetzt werden. Um das Anlegen von Cookie-Dateien zu verhindern. Dies gilt insbesondere auch für die von Browsern angelegten Dateien über History. sollte das Anlegen von Cookie-Dateien verhindert werden oder. dass nur Befugte darauf Zugriff haben können. kann auch eine leere CookieDatei angelegt werden und mit einem Schreibschutz versehen werden. für zielgruppenorientierte Werbung. Hotlists und Cache. Um dies zu verhindern.Cookies: In so genannten Cookie-Dateien werden auf dem Rechner der Benutzerin bzw. so dass damit auch transparent wird. die die Benutzer/innen vor der Annahme von Cookies warnen. bekommen sie mit der Warnung auch den zu erwartenden Inhalt des Cookies angezeigt. des Benutzers Informationen über abgerufene WWW-Seiten. ob der Browser weder den Schreibschutz zurücksetzen kann noch dadurch einen Absturz verursacht. die beispielsweise bei jedem Systemstart oder jeder Benutzeranmeldung die alten Cookie-Dateien löscht. Hier ist insbesondere zu überprüfen. Datensammlungen: Nicht nur extern werden Daten über die Internetnutzung der verschiedenen Benutzer/innen gesammelt. hängt vom eingesetzten Betriebssystem und der Browser-Variante ab. Lassen sich die Benutzer/innen vor der Annahme von Cookies warnen. Passwörter und Benutzerverhalten gespeichert. 384 . Die Benutzer/innen müssen informiert werden. diese regelmäßig gelöscht werden. Auch hier muss sichergestellt werden. Inwieweit dies effektiv ist. Diese Option muss immer aktiviert werden. Ansonsten kann es hilfreich sein. welche Anbieter welche Informationen über die Benutzer/innen sammeln. Cookies finden sich meist im Konfigurationsverzeichnis des benutzten WWW-Browsers in Dateien wie cookie.B. wo auf ihren lokalen Rechnern solche Daten gespeichert werden und wie sie diese löschen können. das regelmäßige Löschen der Cookies über eine Batch-Datei zu steuern.

). Newsserver Visiten (s.). URL Liste (Liste der letzten aufgerufenen URLs).).u.Diese Dateien sind auf Proxy-Servern besonders sensibel. und der nachgefragten URL. die im Browser gespeichert und evtl. sondern durch vorbereitete Kopien einer leeren History Datenbank ersetzt werden. Dadurch verbraucht die History Datenbank auch schnell sehr viel Speicherplatz und sollte regelmäßig aufgeräumt werden. Damit kann für ein Benutzerprofil festgestellt werden. d. Manche Browser speichern auch den vollständigen Inhalt aller gelesenen News. von denen diese/r einerseits vielleicht nicht will. inklusive der IP-Adresse des Clients.u.h. abgerufene WWW-Seiten. Informationen im Cache (s. Adressen. der die Anfrage gestartet hat. Ein schlecht administrierter Proxy-Server kann daher massive Datenschutz-Verletzungen nach sich ziehen. evtl. welche Newsgruppen und welche News ein Benutzer gelesen hat. da bestimmte Einträge erhalten bleiben müssen. betrachtete vertrauliche interne Dokumente etc.)..u. dass sie weitergegeben werden. Zu diesen Informationen gehören: • • • • • • • • Favoriten. Informationen über Newsserver Visiten: Aus den meisten Browsern heraus kann direkt auf Newsserver zugegriffen werden. Von den meisten Browsern werden viele Informationen über den/die Benutzer/innen und sein/ihr Nutzerverhalten gesammelt. History Datenbank (s. auch weitergegeben werden (s. History Datenbank: History Datenbanken enthalten eine vollständige Sammlung über alle Aktivitäten.u. Informationen über Benutzer/innen. Angaben über betrachtete Bilder. da auf einem ProxyServer alle externen WWW-Zugriffe aller Mitarbeiter/innen protokolliert werden. Cookie Liste. die mit einem Browser durchgeführt worden sind. Die Dateien der History Datenbank sollten nicht einfach gelöscht werden. und die anderseits in ihrer Masse den verfügbaren Speicherplatz mit überflüssigen Informationen blockieren. 385 .

Informationen im Cache: Viele Browser erzeugen in einem Cache-Verzeichnis große Mengen an Dateien. Bei Java ist ein solcher Zugriff ebenfalls möglich. Das Sicherheitskonzept von ActiveX basiert darauf. Realname. Wenn auf mit SSL/TLS gesicherte WWW-Seiten zugegriffen wird.B. die in jeder weiteren Sitzung absolut nutzlos sind. wenn Web-Seiten eines unbekannten oder eines neuen Anbieters aufgerufen werden. Daher sollte der Cache ebenso wie der Verlaufsordner regelmäßig gelöscht werden. ActiveX erlaubt unter bestimmten Bedingungen die Nutzung lokaler Ressourcen. birgt im Zusammenhang mit ActiveX und Java gewisse Sicherheitsrisiken. kann dies unter anderem dazu dienen. Manche Browser löschen diese Daten. empfiehlt es sich. aktiv auf die Festplatte des Client zuzugreifen (ActiveX. Daher sollten solche Seiten von vornherein nicht im Cache abgelegt werden. Die Benutzung von Browsern.bzw. so dass sich in einem nicht regelmäßig gelöschten Cache schnell Dutzende Megabyte Datenmüll ansammeln. z. ActiveX-Programme werden über den Browser statt auf dem Server auf der Client-Seite ausgeführt. Java). seit der Cache das letzte Mal gelöscht wurde. die Zugriffe auf Dateien des Client gestatten. sensible Informationen wie Kreditkartennummern verschlüsselt über das Internet zu übertragen. Organisation. Java.Informationen über Benutzer/innen: In einem Browser werden auch diverse Informationen über Benutzer/innen gespeichert und evtl. Dies führt aber zu einer Verlagerung des Sicherheitsrisikos vom Server auf den Client. die den Text und die Bilder aller besichtigten Web-Seiten enthalten. um einen möglichen Missbrauch zu verhindern. für die Browser-Benutzung einen Alias zu verwenden. dass der/ die Anwender/in dem Anbieter und einer authentifizierten dritten Stelle im World Wide Web vertraut. jedoch nur wenn der/die Anwender/in dies explizit gestattet. 386 . Aus diesen Daten lassen sich darüber hinaus auch Benutzerprofile erstellen. Um nicht mit Werbe-E-Mail überflutet zu werden. E-Mail-Adresse. Zugriff auf Client-Festplatte: Bei einigen Browsern wird WWW-Servern die Möglichkeit gegeben. Dieses Vertrauen ist problematisch. allerdings sind bereits mehrfach Sicherheitslücken gefunden worden. Daher sind in Java und ActiveX verschiedene Sicherheitsmechanismen eingebaut. auch weitergegeben. allerdings nicht eigenständig. um das mehrfache Laden von Informationen einer Seite während einer Sitzung zu verhindern. Der Cache dient dazu.

Beim Surfen im Internet sollte die automatische Ausführung von Programmen verhindert werden (z. zumindest SSL/TLS sollte unterstützt werden. Sicherheitslücken in den WWW-Browsern: In den meisten Browsern sind bereits gravierende Sicherheitslücken gefunden worden. Auch in diesen Daten können Befehle enthalten sein.B.Auf Grund der bestehenden Probleme mit ActiveX. Nutzung vorhandener Sicherheitsfunktionalitäten: Die vorhandenen Sicherheitsfunktionalitäten der Browser (Rückfrage vor dem Ausführen von Programmen. News-Reader und Mail-Clients bieten häufig die Möglichkeit. beliebige Daten im MIME-Format zu lesen. Es ist zu überlegen. über die Option Disable Java) und nur bei vertrauenswürdigen Servern wieder eingeschaltet werden. Java und JavaScript unbedingt notwendig ist. 387 . Verschlüsselung: Da im Internet alle Daten im Klartext übertragen werden. sich über neu bekannt gewordene Schwachstellen zu informieren und entsprechende Gegenmaßnahmen zu ergreifen. Die entsprechenden Möglichkeiten sollten daher in den Konfigurationsdateien entfernt werden bzw. sollten diese nur auf Rechnern zugelassen sein. Neuere Browser unterstützen die Benutzung diverser Sicherheitsprotokolle. zunächst noch unbekannte Sicherheitsprobleme auftreten!). inwieweit zur sicheren Übertragung von Daten über das Internet neuere Protokolle wie IPsec. Zugriff nur auf eingeschränkte Dateisysteme. Java und JavaScript sollten diese generell abgeschaltet werden. HTTPS oder SSL/TLS eingesetzt werden können. die zu einem automatischen Starten von Programmen auf dem lokalen Rechner führen. dass die Vertraulichkeit und Integrität sicherheitsrelevanter Daten nicht beeinträchtigt werden können. wenn entsprechende Mechanismen schon in den unteren Schichten des Protokolls vorgesehen würden. neue. Es ist daher sehr wichtig. sowie zusätzliche organisatorische und administrative Maßnahmen. keine Möglichkeit zum Verändern lokaler Daten) sollten auf jeden Fall genutzt werden. der Einsatz neuer Versionen (Achtung: gerade in neuen Versionen können ev. Hierbei wäre es sinnvoll. Falls die Benutzung von ActiveX. nur nach Rückfrage gestartet werden können. die gegenüber anderen internen Rechnern so abgeschottet sind. sollten sensible Daten nur verschlüsselt übertragen werden. Mögliche Gegenmaßnahmen sind das Einspielen von Patches zur Beseitigung bekannter Sicherheitslücken.

Daher sollte jede/r Benutzer/in vor der Nutzung von InternetDiensten durch entsprechende Anweisungen verpflichtet werden. Es sollten alle Benutzer/innen darauf hingewiesen werden. Die Inhalte der Internet-Sicherheitsrichtlinie und der Benutzerordnung sind den Benutzerinnen und Benutzerin in einer Schulung darzulegen. diese auf eine Benutzerordnung zu verpflichten.1 388 .9. dass • • • die Konfiguration der WWW-Programme nicht eigenmächtig geändert werden darf. 11. Jede/r Benutzer/in sollte durch Unterschrift bestätigen. Dafür sollte im internen Netz ein spezieller Bereich vorgesehen werden. die aufgeführten Sicherheitsrichtlinien zu beachten.3.4. im Internet gesammelte Informationen den anderen Mitarbeiterinnen und Mitarbeitern zur Verfügung zu stellen. da deren Umsetzung wie beispielsweise die Aktivierung bestimmter Optionen nicht ständig durch die Systemadministration überprüft werden kann. Dementsprechend sollte darauf geachtet werden. in dem solche Informationen strukturiert abgelegt werden können. dass die dargestellten Regelungen zur Kenntnis genommen wurden und bei Benutzung der Kommunikationsdienste beachtet werden. Es empfiehlt sich vor der Zulassung von Benutzerinnen/Benutzern zu Internet-Diensten. wer die Ansprechpartner bei Sicherheitsproblemen sind. welche Daten protokolliert werden.Regelungen: Ein Großteil der oben beschriebenen Maßnahmen liegt im Verantwortungsbereich der Benutzer/innen.9. [eh SYS 8. um wiederholte Zugriffe auf dieselben externen WWW-Seiten zu vermeiden.6 Schutz der WWW-Dateien ISO Bezug: 27002 10. In dieser Benutzerordnung sollten die zur Verfügung stehenden Kommunikationsdienste kurz erläutert und alle relevanten Regelungen aufgeführt werden.14] 10. Weiterhin müssen die Benutzer/innen darauf hingewiesen werden. dass die Nutzung von Internetdiensten mit nicht unerheblichen Kosten verbunden ist.

Dies trifft insbesondere auf Systemprogramme und die WWW-Seiten zu. so müssen die dazu benutzten Programme (beispielsweise CGI-Skripte.und Leserechte der WWW-Dateien sollten als lokale Dateien nur berechtigten Benutzerinnen/Benutzern Zugang erlauben. dass WWW-Dateien überhaupt von Unbefugten geändert werden können. alle anderen Dateien sind statisch. 389 . da sonst alle Zugangsrestriktionen leicht ausgeschaltet werden können. WWW-Seiten werden zwar regelmäßig aktualisiert. Java Server Pages) besonders sorgfältig programmiert werden. Schutz vor unbefugtem Zugriff Der Zugriff auf Dateien oder Verzeichnisse eines WWW-Servers ist zu schützen. ist es. Um zu verhindern. Die Schreib. Eine Möglichkeit. . nämlich dem Schutz vor unbefugtem Zugriff lokaler Benutzer und dem Schutz vor unbefugtem Zugriff von außen über das Web. Schutz vor unbefugten Veränderungen Auf einem typischen WWW-Server ändern sich nur die Protokolldateien ständig.abhängig von den Sicherheitsanforderungen . um zu verhindern. die Konfigurationsdateien zu schützen. aber auch u. CD-ROM oder Festplatte mit Schreibschutz) gespeichert werden.gegen unbefugten Zugriff geschützt werden. Generell muss zwischen zwei verschiedenen Aspekten unterschieden werden. Diese können auf verschiedene Arten geschützt werden: • Der Zugriff kann auf frei wählbare IP-Adressen. dass keine Dateien auf dem WWW-Server unbemerkt abgeändert werden können.B.Die Dateien und Verzeichnisse auf einem WWW-Server müssen gegen unbefugte Veränderungen. dass auf diesem Weg ein unbefugter Zugriff oder gar eine Kompromittierung des Servers erfolgen kann. Insbesondere ist es wichtig. die Scripts unter einer Benutzer-ID auszuführen. sondern bestimmte Inhalte dynamisch erzeugt werden. unbefugten Zugang zu erschweren. Generelle Aspekte Falls das Webangebot nicht nur aus statischen HTML-Dateien besteht. sollten über alle statischen Dateien und Verzeichnisse Prüfsummen gebildet und regelmäßig überprüft werden. können statische Daten auf einem schreibgeschützten Speichermedium (z. sollten aber nicht auf dem WWW-Server selber bearbeitet werden. Teilnetze oder Domänen beschränkt werden. die nur Zugang zu ausgewählten Dateien hat.U. Um sicherzustellen.

über die Daten sowohl ins Internet geschickt als auch von dort abgeholt werden können.18] 10.3 Um die Gefährdungen.3.1.8 Sichere Nutzung von E-Commerce bzw. Zugriffskontrolle wäre auch durch eine SSL/TLS-Verbindung mit clientseitigen Zertifikaten zur Authentifizierung möglich. die durch Angriffe aus dem Internet auf lokale Daten oder Rechner im LAN entstehen. die nur mit dem Internet vernetzt sind und keine weitere Netzverbindung zu einem LAN haben.7 Einsatz von Stand-alone-Systemen zur Nutzung des Internets ISO Bezug: 27002 7. 10. [eh SYS 8. E-Government Applikationen ISO Bezug: 27002 10.15] 10. Die Installation der TCP/IP-Software bietet eine vollständige bidirektionale Verbindung zum Internet. ist es sinnvoll Rechner einzusetzen. Hierfür bieten die verschiedenen Betriebssysteme unterschiedliche Möglichkeiten mit jeweils spezifischen Gefährdungen für die Vertraulichkeit und Integrität der Daten auf diesem Rechner.9.1 390 . So gibt es bei einigen Produkten und Betriebssystemen die Möglichkeiten.6. Wichtig ist es zu beachten.9. Die Dateien können verschlüsselt abgelegt werden und die zugehörigen kryptographischen Schlüssel werden nur dem Zielpublikum bekannt gegeben. [eh SYS 8.9. dass bei der Installation der Internet-Zugangssoftware keine unnötigen Programme installiert werden.2. 10. Generelles zu Zertifikaten in der Öffentlichen Verwaltung siehe [IKTB-110903-3] und [IKTB-281003-19] . zu verringern.1. 10.• • • Es können benutzerspezifische Kennungen und Passwörter vergeben werden. durch die Installation von Server-Programmen den Rechner zu einem vollständigen Internet-Server zu machen.9.6.

10.5 Sicherheit von WWW-Browsern ). so ist auf deren Gültigkeit sowie auf die Übereinstimmungen zwischen Server und den Angaben im Zertifikat zu achten.4 ). Bei E-Government Anwendungen ist beim Server-Zertifikat auf die Verwaltungseigenschaft(vgl.: Online-Banking-Software) ist diese nur von vertrauenswürdigen Quellen zu beziehen und es ist auf dessen Aktualität (bzgl.) zu achten. Für elektronische Bescheide wird das Bescheidschema empfohlen [IKTB-230904-01] 391 • • • • • .9. externe Audits. "Richtlinien für Zertifikate für das E-Government (EGovernment OID)" [IKT-ZERT] ) und auf eine geeignete Zertifikatshierarchie zu achten [IKTB-110504-02] . Der für derartige Internet-Anwendungen genutzte Rechner sollte einem/einer festen Benutzer/in zugeordnet sein – öffentlich zugängliche Internet-PCs sollten dafür nicht herangezogen werden. Beispielhafte Applikationen in diesem Sinne wären Online-Banking. diese in beiden Schreibweisen z. sicherheitsrelevanter Patches.E-Commerce und E-Government Anwendungen ergänzen zunehmend das Angebot im Internet. Um dem Missbrauch reservierter Domänen in abgewandelter Form vorzubeugen.9.B. Einschlägigen Richtlinien und Normen (z. Internet-Shopping oder das Angebot von Behörden wie etwa FINANZOnline. Bei diesen Anwendungen sollte in der Regel ein hohes Maß an Sicherheit gewahrt werden. wird empfohlen für Domänen mit Umlauten. Die Verwendung von verschlüsselten Verbindungen mittels SSL/TLS ist bei E-Commerce und E-Government Anwendungen immer vorauszusetzen (vgl. Zur Verringerung der Länge der Signaturstrings ist die Verwendung von elliptischen Kurven anzuraten.B. Die MOA Dienste sind für diese Kurven vorbereitet [IKTB-110505-03] . Clientseitig sind Virenschutzmaßnahmen zu treffen (vgl.5 Sicherheit von WWW-Browsern ) Zu diesem Thema veröffentlicht die Operative Unit des Chief Information Office ein Papier zur Kategorisierung von SSL/TLS-Verbindungen. sowohl "ae" als auch "ä" einzurichten [IKTB-110504-01] . Über generelle Empfehlungen hinaus (vgl.B: ÖNORM A7700 "Sicherheitstechnische Anforderungen an Webapplikationen" sind zu berücksichtigen Bei Anwendungen mit sehr hohem Schutzbedarf soll die Erfüllung dieser Anforderungen durch unabhängige Dritte (z. Im Falle notwendiger spezieller Software (z. 10. sind auch die folgenden Empfehlungen und Kriterien in diesem Zusammenhang zu beachten: • • • • • • Die Anwendung muss die Anforderungen an Datenschutz und Datensicherheit erfüllen. Zertifizierung nach ÖNORM A7700) überprüft werden. etc. Kapitel 10. Updates.B. Werden bei SSL/TLS Zertifikate zur Authentisierung des Servers verwendet.

Städten und Gemeinden eingesetzt. dass mehrere Anwendungen über einen Punkt zugänglich sind.Zertifikate die Sicherheit einerseits aber auch die Offenheit gegenüber dem Markt andererseits erreicht. 392 . die an andere Portale koppeln.nicht jedoch für Bürger/innen anwendbar.9 Portalverbundsystem in der öffentlichen Verwaltung Bezug: Österreich Der Portalverbund ist ein Zusammenschluss von Verwaltungsportalen zur gemeinsamen Nutzung der bestehenden Infrastruktur.9. Für die Zertifikate von Server und Client sind Zertifizierungsdienste zu verwenden.mit einheitlichen Attributen versehene . Portale zwischen den Verwaltungen bilden die technische Basis für das zentrale Melderegister.22] 10. Seitens des IKT-Boards werden zusätzliche Anmerkungen zur Verständlichkeit angefügt: • • • • • • • Soweit symmetrische Schlüssel angewendet werden. dass diese das Portalverbundprotokoll unterstützen. Bei der Umsetzung von Anwendungsportalen ist darauf zu achten. Generell haben sich Portale. Die Benutzer/innen sind dabei entsprechend der Organisations-Zugehörigkeit zu erfassen [IKTB-240304-01] . Weitere Portalkopplungsstrukturen werden nur nach vorheriger Abstimmung zwischen Bund. Der Vorteil eines Portals ist.at [IKT-LDAP] ) zum Portalverbund vorgeschlagen.B. sind die Schlüssellängen mit mindestens 100 Bit zu wählen. Seitens der Arbeitsgruppe (Bund / Länder) wurde ein Protokoll ( Spezifikation Portal Verbund Protokoll PVP [IKT-PVP] ) und eine Struktur ( Spezifikation LDAP-gv. für EKIS und für eine Reihe weiterer wichtiger Anwendungen verschiedener Ressorts. deren Sicherheitsvorgaben nach österreichischer Rechtslage wirksam sind.[eh SYS 8. Ländern. SAP und ESS) ist auf die entsprechende Sicherheitsklasse des Zugangs zu achten [IKTB-270705-01] . Bei Zugriff auf Verwaltungsanwendungen (z. Diese Portalstruktur ist für Organwalter und gesetzliche Vertretungen für den jeweils eigenen Wirkungsbereich . dies mit ClientIdentifikation via Zertifikat durchzuführen. Diese wurde im Rahmen des IKTBoard Beschlüsse [IKTB-040402-3] und [IKTB-051102-1] zur Verwendung in der öffentlichen Verwaltung empfohlen. Im Portalverbund wird durch .

MOA-SS/SP) einzubinden.1 Erstellung von Protokolldateien ISO Bezug: 27002 10. wie sie für die meisten Systeme Gültigkeit haben.10.2. 10. [eh SYS 8.1.20] 10. 10.1.5 Art und Umfang von Protokollierungen hängen von den speziellen Anforderungen des IT-Systems und der darauf befindlichen Applikationen und Daten ab und sind im Einzelfall sorgfältig festzulegen. 10.10.10.10.Für die Signatur und die Identifikation wird empfohlen die Module für Sicherheitstechniken für Online Verfahren (MOA-ID. die mit der Systemdokumentation korrespondieren sollten. Die im Folgenden angeführten Anforderungen an die Protokollierung stellen Mindestanforderungen dar.6. Demnach sind bei der Administration von IT-Systemen die folgenden Aktivitäten vollständig zu protokollieren: • • Systemgenerierung und Modifikation von Systemparametern: Da auf dieser Ebene in der Regel keine systemgesteuerten Protokolle erzeugt werden.10 Protokollierung und Monitoring 10. Neben den Protokollen für den Portalverbund ist eine einheitliche Vorgehensweise in den Bereichen • • • • Verwendbare Verschlüsselungsverfahren Zertifikatsspezifikationen Keystoreformate und Zertifikatsmanagement anzuwenden. [IKTB-161203-01] Im Rahmen der Anwendungen des Bundes werden diese dann auch zur Sicherung der Konvergenz verwendet. bedarf es entsprechender detaillierter manueller Aufzeichnungen. Einrichten von Benutzerinnen und Benutzern: 393 . In Hinblick auf die Verwendung von Zertifikaten in der Öffentlichen Verwaltung werden besonders in den IKT-Board Beschlüssen [IKTB-110903-3] und [IKTB-281003-19] entsprechende Dokumente und Richtlinien beschlossen und zur Anwendung empfohlen (siehe dazu auch Richtlinien der IKT-Stabsstelle für ServerZertifikate [IKT-SZERT] ).

um feststellen zu können. Erstellung von Rechteprofilen: Im Rahmen der Protokollierung der Benutzerverwaltung kommt es insbesondere auch darauf an aufzuzeichnen. Das Überschreiben eines bestimmten protokollierten Ereignisses durch ein gezieltes Auffüllen des Speichers der Protokolldaten mit "unverdächtigen" Daten muss zuverlässig verhindert werden. unbefugt gelöscht oder zerstört werden können). Nicht-personenbezogene IDs sind zu vermeiden. kommt der vollständigen Protokollierung aller "auffälligen Abnormitäten" beim Einloggen und der Benutzung von Hard. da sie eine personenbezogene Auswertung unmöglich machen. Versuche unbefugten Einloggens und Überschreitung von Befugnissen: Geht man von einer wirksamen Authentisierungsprozedur und sachgerechten Befugniszuweisungen aus. ob Unbefugte sich Systemadministrator-Rechte erschlichen haben.und Verfahrensfreigaben. Änderungen an der Dateiorganisation: Im Hinblick auf die vielfältigen Manipulationsmöglichkeiten. Um eine ordnungsgemäße Auswertung der Protokolldaten zu ermöglichen ist zu beachten: • • • Die Speicherung der Protokolldaten hat in einer nicht manipulierbaren Form zu erfolgen (die Daten dürfen nicht gezielt verändert. kommt einer vollständigen Protokollierung eine besondere Bedeutung zu (vgl. wem von wann bis wann durch wen das Recht eingeräumt worden ist. Datenbankmanagement). z. das betreffende IT-System zu benutzen. Sonstiger Aufruf von Administrations-Tools: Die Benutzung aller Administrations-Tools ist zu dokumentieren. Einspielen und Änderung von Anwendungssoftware: Die Protokolle repräsentieren das Ergebnis der Programm. Benutzer/innen in diesem Sinne ist auch Systemadministratoren. Restore) mit der Anfertigung von Kopien bzw. 394 . dem Überschreiben von Datenbeständen verbunden sind und häufig in "Ausnahmesituationen" durchgeführt werden.und Softwarekomponenten eine zentrale Bedeutung zu. wer die Anweisung zur Einrichtung bestimmter Benutzerrechte erteilt hat. die sich bereits bei Benutzung der "Standard-Dateiverwaltungssysteme" ergeben. Durchführung von Datensicherungsmaßnahmen: Da derartige Maßnahmen (Backup.B. besteht eine erhöhte Notwendigkeit zur Protokollierung.• • • • • • Es ist vollständig zu protokollieren. Diese Protokolle sind Grundlage praktisch jeder Revisionsmaßnahme.

Dabei ist es wichtig. da ein zu großer Umfang an Daten die Auswertung der Daten erschweren oder sogar unmöglich machen kann.und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden.unvereinbar sind. die mit ihrem Ermittlungszweck .10. welche Daten zu protokollieren sind. Abfragen und Übermittlungen. Protokoll. 395 . oder zum Zweck der Kontrolle jener Personen. aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung. im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können. sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen.das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes . das mit mindestens fünfjähriger Freiheitsstrafe bedroht ist. Unter anderem ist dazu Protokoll zu führen. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen. wie insbesondere Änderungen. sich auf die tatsächlich relevanten Informationen zu beschränken. dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind. haben Datenschutz-/ IT-Sicherheitsbeauftragte oder Applikationsverantwortliche in Übereinstimmung mit gesetzlichen Vorgaben (etwa Datenschutzgesetz (DSG 2000) ) und der organisationsweiten IT-Sicherheitspolitik zu treffen.3 Lt. damit tatsächlich durchgeführte Verwendungsvorgänge. dass es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens handelt.10.• Die Entscheidung. dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind.1] 10. § 14 (DSG 2000) (Datensicherheitsmaßnahmen) ist je nach Art der verwendeten personenbezogenen Daten und nach Umfang und Zweck der Verwendung. es sei denn. deren Daten im protokollierten Datenbestand enthalten sind.2 Datenschutzrechtliche Aspekte bei der Erstellung von Protokolldateien ISO Bezug: 27002 10. [eh SYS 10. die auf den protokollierten Datenbestand zugegriffen haben.

als der von der Protokollierung oder Dokumentation betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird (lt. die Installation eines Servers. Die regelmäßige Kontrolle dient darüber hinaus auch dem Zweck. ist sicherzustellen. dass damit eine Kontrolle der Tätigkeiten des Administrators nur schwer möglich ist. Dem/der Datenschutz-/IT-Sicherheitsbeauftragten ist jedenfalls eine derartige Auswertung vorzulegen. diese auf externen Datenträgern zu archivieren. [eh SYS 10. sind nicht betroffen. dass diese Daten nur für Zwecke. Für diesen Fall bleibt zu beachten.Aufbewahrungsfristen Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist. sind Protokollund Dokumentationsdaten drei Jahre lang aufzubewahren. Je nach Art der Protokolldaten kann es sinnvoll sein. 10.1.2 Die Protokollierung sicherheitsrelevanter Ereignisse ist als Sicherheitsmaßnahme nur wirksam.1. durch die anschließende Löschung der Protokolldaten ein übermäßiges Anwachsen der Protokolldateien zu verhindern. Davon darf in jenem Ausmaß abgewichen werden. Aufzeichnungen über den Datendurchsatz eines Systems. Ist es personell oder technisch nicht möglich. §14 Z4 DSG 2000 (DSG 2000) ). Protokollierungen von nicht-personenbezogenen Daten. die Hinweise auf eventuelle Sicherheitslücken.3. Diese Pflichten gelten nur für den Gebrauch von personenbezogenen Daten. wie z. Manipulationsversuche und Unregelmäßigkeiten erkennen lassen: 396 .2] 10.10.2.10. 10.10. 10.B. 15.4. 15.3 Kontrolle von Protokolldateien ISO Bezug: 27002 10. die Rolle eines unabhängigen Revisors für Protokolldateien zu implementieren. etc. Da Protokolldateien in vielen Fällen personenbezogene Daten beinhalten.10. der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes verwendet werden dürfen (vgl. Die nachfolgenden Auswertungskriterien dienen als Beispiele. § 14 (DSG 2000) ). wenn die protokollierten Daten in regelmäßigen Abständen durch einen Revisor ausgewertet werden.5.10.3. die mit ihrem Ermittlungszweck vereinbar sind. kann ihre Auswertung auch durch den Administrator erfolgen.

Die Meldewege im Fall von Auffälligkeiten sind festzulegen. Passwörter zu erraten)? Häufen sich unzulässige Zugriffsversuche (Hinweis auf Versuche zur Manipulation)? Gibt es auffällig große Zeitintervalle.und Abmeldens außerhalb der Arbeitszeit (Hinweis auf Manipulationsversuche)? Häufen sich fehlerhafte Anmeldeversuche (Hinweis auf den Versuch. die unter Administratorkennungen durchgeführt wurden. ein Werkzeug zur Auswertung zu benutzen.10. die Dienste des Netzes zu verhindern bzw. in denen keine Protokolldaten aufgezeichnet wurden (Hinweis auf eventuell gelöschte Protokollsätze)? Ist der Umfang der protokollierten Daten zu groß (eine umfangreiche Protokolldatei erschwert das Auffinden von Unregelmäßigkeiten)? Gibt es auffällig große Zeitintervalle. ist es sinnvoll. Es ist sicherzustellen.4 Rechtliche Aspekte bei der Erstellung und Auswertung von Protokolldateien zur E-Mail. [eh SYS 10. Konfiguration des Netzes)? Bei der Auswertung der Protokolldateien sollte besonderes Augenmerk auf alle Zugriffe gelegt werden. mehrfacher fehlerhafter Anmeldeversuch) hervorheben. In besonders sicherheitskritischen Fällen sollte das Vier-Augen-Prinzip zur Anwendung kommen. Dieses Werkzeug sollte wählbare Auswertungskriterien zulassen und besonders kritische Einträge (z.und Internetnutzung Bezug: Österreich 397 .B. zu beeinträchtigen oder auf eine ungeeignete Konzeption bzw.• • • • • • • • Liegen die Zeiten des An. Diese Sicherstellung kann durch technische oder organisatorische Maßnahmen erfolgen. in denen anscheinend kein Benutzerwechsel stattgefunden hat (Hinweis darauf. Wenn regelmäßig umfangreiche Protokolldateien ausgewertet werden müssen. dass die Aktivitäten von Administratoren ausreichend kontrolliert werden können. dass das konsequente Abmelden nach Arbeitsende nicht vollzogen wird)? Gibt es auffallend lange Verbindungszeiten in öffentliche Netze hinein? Wurde in einzelnen Netzsegmenten oder im gesamten Netz eine auffällig hohe Netzlast oder eine Unterbrechung des Netzbetriebes festgestellt (Hinweis auf Versuche.3] 10. Weiters ist zu beachten: • • • • Die Verantwortung für die Auswertung der Protokolldaten ist genau festzulegen.

ist die Einführung und Verwendung von Kontrollmaßnahmen und technischen Systemen. f Bundes-Personalvertretungsgesetz (PVG) ist bei der Einführung von Systemen zur automationsunterstützten Ermittlung. Gebrauch von Virenscannern) bleiben unberührt.2 lit. Private Kommunikation genießt prinzipiell den Schutz des Fernmeldegeheimnisses und des Grundrechtes auf Datenschutz. und zwar die direkten Kosten (Bandbreite. Ein totales Verbot privater Nutzung sollte nur in Extremfällen ausgesprochen werden (z.und Staatsanwaltschaftsdienstgesetz (RStDG) . Die Gefahr von Virenbefall. Speicherplatz) als auch der Verlust an Produktivität. E-Mail etc. GP ) verweisen auf die Judikatur zu § 96 Arbeitsverfassungsgesetz (ArbVG) . 398 . die vom Arbeitgeber zur Verfügung gestellten Ressourcen privat zu nutzen. Verarbeitung und Übermittlung von personenbezogenen Daten der Bediensteten. wobei die Frage. Eine geringfügige private oder halbprivate Nutzung im Rahmen des normalen menschlichen Sozialverhaltens sollte zugelassen bzw. Begrenzung des Rechts zur Installation ausführbarer Programme. Trojanern und anderer schädlicher Software lässt sich mit Hilfe geeigneter technischer Mittel stark reduzieren. Virenscanner. die durch private Kommunikation verursacht werden. sollte sich über die Gründe im Klaren sein. Ein weiterer Grund für die Beschränkung privater E-Mail-Kommunikation kann im Schutz vor Viren. Die Erläuterungen zu den Bestimmungen ( 1574 der Beilagen zu den Stenographischen Protokollen des Nationalrates XX. welche Maßnahmen die Menschenwürde berühren. Trojanern und anderer schädlicher Software liegen.) durch den Arbeitgeber ist ein Problem. Gemäß § 9 Abs. interpretiert werden muss. Gemäß § 79e Beamten-Dienstrechtsgesetz 1979 (BDG 1979) . mit dem Dienststellenausschuss das Einvernehmen herzustellen. Gebrauch von stabiler Systemsoftware. ignoriert werden. • • Der Hauptgrund werden die Kosten sein. bei Behörden mit sehr hohen Ansprüchen an Sicherheit und Geheimhaltung). Es muss aber auch gesagt werden. etc. Einrichtung von kontrollierten Umgebungen zur Ausführung fragwürdiger Programme. für das es derzeit noch keine klare Lösung gibt. insb. der die private Nutzung von Internetdiensten einschränken will. § 29n Vertragsbedienstetengesetz 1948 (VBG) und § 76g Richter. unzulässig. Ein Arbeitgeber. Die Rechte des Arbeitgebers auf Schutz seiner IKT-Einrichtungen (insb.Die Überwachung des Fernmeldeverkehrs (Telefon. welche die Menschenwürde berühren.B. Eine Vereinbarung zu diesem Thema ist wünschenswert. dass kein Recht der Arbeitnehmer/innen besteht. die über die Ermittlung von allgemeinen Angaben zur Person oder über die Ermittlung von fachlichen Voraussetzungen hinausgehen.

der Betreffzeile. Datum.6. 10. sollte derartige Mail von jeglicher Kontrolle ausgenommen werden.10. [eh SYS 10.Behörden. 15."). wie z. 399 ..1. Audit und Revision ist ein wesentlicher Faktor der Netzsicherheit. Der protokollierte Posteingang wiederum macht es unseriösen Elementen schwer. Eine Aufzeichnung und Speicherung aller E-Mails (oder auch nur von Teilen.10. aber auch die Beamtinnen und Beamten bei ihrer Tätigkeit unterstützen. Diese Entscheidung lässt sich auch auf E-Mail übertragen.2. 15.3. 10.2. 10. begründet der protokollierte Postausgang zumindest den Anschein einer korrekten Versendung durch die Behörde. widerspricht daher dem Datenschutzgesetz (Entscheidung der Datenschutzkommission vom 6. Absender/in und Empfänger/in) kann die oben genannten Probleme verschärfen.B. Uhrzeit. die der Sache nach oder auf Wunsch des/der Bediensteten vertraulich zu behandeln sind.2 Eine angemessene Durchführung von Protokollierung. Weiters darf Mail an die Personalvertretung durch den Arbeitgeber nicht inhaltlich kontrolliert werden.4] 10. werden rasch auf ein ernstes Problem stoßen: Den Nachweis von Zustellungen per E-Mail. Zusendung von Informationen durch die Personalvertretung). Eine Erfassung von Telefondaten.10. § 26 Bundes-Personalvertretungsgesetz (PVG) statuiert eine Geheimhaltungspflicht der Mitglieder der Personalvertretung über alle ihnen von einzelnen Bediensteten gemachten Mitteilungen. falsche Behauptungen aufzustellen ("Ich habe alles rechtzeitig mit E-Mail beantragt.5.599/8-DSK/98).5 Audit und Protokollierung der Aktivitäten im Netz ISO Bezug: 27002 10. Solange keine zuverlässigen Verfahren für E-Mail-Zustellbestätigungen existieren. mit wem ein Personalvertreter telefonisch in Kontakt war.3.B. Falls ein dienstliches Interesse an der Verwendung von E-Mail für nicht unmittelbar dienstliche Zwecke besteht (z. mit der sich nachvollziehen lässt..10.1.Oktober 1998. die im Rahmen des E-Governments tätig sind. Zahl 120.

die übertragenen fehlerhaften Pakete an einer Netzkomponente. Zugriffe auf aktive Netzkomponenten (wer hat sich wann angemeldet?). Weiterhin sollten folgende Vorkommnisse protokolliert werden: • • Hardware-Fehlfunktionen. Beim Audit liegt die Fokussierung auf der Überwachung von sicherheitskritischen Ereignissen. einem Netzmanagementsystem) in Echtzeit betrachtet und ausgewertet. Bei einem Offline-Audit werden die Daten protokolliert oder aus einer bestehenden Protokolldatei extrahiert.B. gewisse (im Allgemeinen zu definierende) Zustände für eine spätere Auswertung abzuspeichern. Dies kann online oder offline erfolgen. Typische Fälle. die zu einem Ausfall eines IT-Systems führen können. Verteilung der Netzlast über die Betriebsdauer eines Tages oder eines Monats und die allgemeine Performance des Netzes. Bei der Protokollierung fallen zumeist sehr viele Einträge an. ob die Bandbreite des Netzes den derzeitigen Anforderungen genügt. oder die Erkennung von systematischen Angriffen auf das Netz. die protokolliert werden können. so dass diese oft nur mit Hilfe eines Werkzeuges sinnvoll ausgewertet werden können. Bei einem Online-Audit werden die Ereignisse mit Hilfe eines Tools (z. ein unautorisierter Zugriff auf eine Netzkomponente oder die Performance eines Netzes zu bestimmten Zeiten. Eine Auswertung solcher Protokolle mit geeigneten Hilfsmitteln erlaubt beispielsweise einen Rückschluss. Zusätzlich werden beim Audit häufig auch Daten über Nutzungszeiträume und anfallende Kosten erhoben. unzulässige Änderungen der IP-Adresse eines IT-Systems (in einem TCP/IPUmfeld). Dabei sind für ein Audit insbesondere folgende Vorkommnisse von Interesse: • • • • Daten über die Betriebsdauer von IT-Systemen (wann wurde welches IT-System ein. wieder ausgeschaltet?).Protokollierung: Eine Protokollierung innerhalb eines Netzmanagementsystems oder an bestimmten aktiven Netzkomponenten erlaubt es. sind z. sicherheitskritische Zugriffe auf Netzkomponenten und Netzmanagementkomponenten mit oder ohne Erfolg.bzw.B. 400 . Audit: Unter einem Audit wird die Verwendung eines Dienstes verstanden. der insbesondere sicherheitskritische Ereignisse betrachtet.

mit denen sicherheitskritische Ereignisse überwacht und ausgewertet werden können.B. Dadurch wird ein hohes Sicherheitsrisiko erzeugt. Im letzteren Fall können Maßnahmen zur Einhaltung oder Wiederherstellung der Sicherheit nur zeitverzögert eingeleitet werden. Ob falsch eingegebene Passwörter.und Offline-Audit empfohlen. Weiterhin ist darauf zu achten. Auf keinen Fall dürfen Benutzer-Passwörter im Rahmen eines Audits oder einer Protokollierung gesammelt werden. ist im Einzelfall zu entscheiden. Revision: Bei der Revision werden die beim (Offline-) Audit gesammelten Daten von einem/einer oder mehreren unabhängigen Mitarbeitern/Mitarbeiterinnen (4Augen-Prinzip) überprüft. der ggf.und Audit-Funktionen sind in einem sinnvollen Umfang zu aktivieren. Dafür müssen Ereignisse in geeignete Kategorien eingeteilt werden. die sich von den gültigen Passwörtern meist nur um ein Zeichen bzw. falls es zu einem unberechtigten Zugriff auf diese Informationen kommt. Neben Performance-Messungen zur Überwachung der Netzlast sind dabei insbesondere die Ereignisse (Events) auszuwerten. Im Allgemeinen wird eine Mischform aus Online. Es muss weiterhin festgelegt werden. Dabei werden für das Online-Audit die sicherheitskritischen Ereignisse gefiltert und dem Auditor sofort zur Kenntnis gebracht. Bei einem Online-Audit werden entsprechend kategorisierte Ereignisse direkt dem Auditor mitgeteilt.Ein Audit kann sowohl online als auch offline betrieben werden. dass die datenschutzrechtlichen Bestimmungen eingehalten werden. um Unregelmäßigkeiten beim Betrieb der IT-Systeme aufzudecken und die Arbeit der Administratoren zu kontrollieren. protokolliert werden. Dabei ist auch zu überlegen. Die mit einem Netzmanagementsystem möglichen Protokollierungs. oder spezifische Datensammler einzusetzen. ob eine Rollentrennung erforderlich ist. Administrator und Auditor) vorgenommen werden. wer die Protokolle und Audit-Daten auswertet. damit der zuständige Administrator oder Auditor auf wichtige Ereignisse sofort reagieren kann und nicht unter einer Flut von Informationen den Überblick verliert. Hierbei muss eine angemessene Trennung zwischen Ereignisverursacher und auswerter (z. die von einem Netzmanagementsystem generiert werden. Bei einem Offline-Audit werden die Daten aus den Protokolldateien oder speziellen Auditdateien mit Hilfe eines Werkzeuges für Auditzwecke aufbereitet und durch den Auditor überprüft. sofort Maßnahmen einleiten kann. Zusätzlich werden weniger kritische Ereignisse offline ausgewertet. um eine Vertauschung zweier Zeichen unterscheiden. 401 .

Um die Protokoll. dass eine sinnvolle Auswertung möglich ist. sollten die Auswertungsintervalle daher angemessen. 15. weiterzumelden und gegebenenfalls Gegenmaßnahmen einzuleiten. 10. Eindringversuche zu erkennen.oder Auditdateien auf ein auswertbares Maß zu beschränken.10.6] 402 .2.B. sie können jedoch zu einer weiteren Erhöhung der Sicherheit.Die Protokoll.4. unterstützen Intrusion Detection Systeme die Erkennung unberechtigter Zugriffsversuche sowohl externer als auch interner Benutzer/innen innerhalb eines lokalen Netzes. [eh SYS 10. beitragen.10.10.6.10. Sie können sehr schnell sehr umfangreich werden. 10. der Aktivitäten auf IT-Systemen.1. anormales Verhalten von Benutzerinnen/Benutzern ("Anomalie Intrusion Detection Systeme") oder bekannte Befehlsmuster ("Misuse Intrusion Detection Systeme")) Speicherung der analysierten Daten Einleitung von Gegenmaßnahmen: Generierung von Warnmeldungen und Setzen von Gegenmaßnahmen Im Unterschied zu Firewalls.5] 10. Analyse des Datenverkehrs bzw.5 Aufgabe von Intrusion Detection Systemen ist die Überwachung bzw. Zugriffsschutzsysteme und Firewalls nicht ersetzen. mit dem Ziel. aber dennoch so kurz gewählt werden. wie Authentisierung. Dies umfasst folgende Teilaufgaben: • • • • Erfassung von Ereignissen: Sammlung der wesentlichen Ereignisdaten aus Netzpaketen oder Protokolldateien Analyse der erfassten Ereignisse: Untersuchung der gespeicherten Aktivitäten auf Auffälligkeiten (z.1.2. die die Anbindung eines Netzwerkes an ein Fremdnetz (etwa Internet) absichern. Intrusion Detection Systeme können andere Sicherheitsmaßnahmen.1.6. insbesondere in sensiblen Bereichen. 10.oder Auditdateien müssen regelmäßig ausgewertet werden.6 Intrusion Detection Systeme ISO Bezug: 27002 10. 10. [eh SYS 10.

sollte es nur innerhalb des eigenen Netzes eingesetzt werden. Für die korrekte Einstellung der Systemzeit bieten die meisten Betriebssysteme die Möglichkeit.ud Vermessunsswesen einen solchen Dienst an. dass die empfangenen Zeit-Informationen nicht ungeprüft übernommen werden. Im Internet existiert eine verteilte Infrastruktur von öffentlichen NTP Zeitservern. Insbesondere in Netzen mit hohem Schutzbedarf sollten keinesfalls alle Geräte individuell per NTP direkt Anfragen an Zeitserver im Internet stellen. Falls die Zeitserver-Infrastruktur im Internet genutzt werden soll. Die Rechner im lokalen Netz synchronisieren ihre Systemuhr dann mit dem lokalen NTP-Proxy. über das Protokoll NTP (Network Time Protocol Version 4. RFC 5905) auf einen externen Zeitserver zuzugreifen. dass sprunghafte Änderungen. beispielsweise um Fehlermeldungen. dass alle bei einem Vorgang betroffenen Rechner eine korrekte Systemzeit besitzen. der als einziger die NTP-Informationen von den ausgewählten Zeitservern bezieht.10. bevor sie die empfangenen Zeit-Informationen übernimmt und an die anderen Rechner im Netz weitergibt. Im Zweifelsfall sollte dieser Lösung der Vorzug gegeben werden. In Österreich bietet beispielsweise das Bundesamt für Eich. Alternativ kann ein Rechner im internen Netz mit einem Funkuhr-Modul ausgestattet als lokaler Zeitserver eingesetzt werden. Ein Beispiel für eine solche Plausibilitätsprüfung ist. Synchronisationsprobleme auftreten. die über mehrere Rechner verteilt sind. die auf einen Angriff über das Netz hindeuten. An der Firewall sollte NTP in diesem Fall nur für den NTP-Proxy-Server freigeschaltet werden.10. etc. Windows-Rechner in einer Active Directory Infrastruktur gleichen zudem die Systemzeit mit dem Domänencontroller ab.) zurückgegriffen wird.10. Falls für die Zeitsynchronisation auf externe Quellen (Funkuhren. Insbesondere bei der Auswertung von Protokollierungsinformationen ist dies von zentraler Bedeutung. Die Software des lokalen Zeit-Servers beziehungsweise NTP-Proxys muss eine Plausibilitätsprüfung vornehmen. Auch verteilte Dateisysteme und zentrale Authentisierungsdienste sind auf Zeitsynchronizität angewiesen. nicht übernommen werden. oder wenn bei Anwendungen. 403 . so sollte dafür ein eigener Rechner vorgesehen werden.6 In vielen Situationen ist es bei vernetzten Systemen wichtig. die eine vorher festgelegte maximale Zeitdifferenz überschreiten. richtig korrelieren zu können.7 Zeitsynchronisation ISO Bezug: 27002 10. öffentliche NTP-Zeitserver. Da NTP ein Klartextprotokoll ohne kryptographische Sicherungen ist. muss sichergestellt werden.

Revision.B. 11. wer darf Rechte einsehen.getroffen werden ("Zugriffskontrollpolitik"): • • • • • • • welche Subjekte (z. Ausführen.1 Zugriffskontrollpolitik Durch organisatorische und technische Vorkehrungen ist sicherzustellen.. Änderung eingehalten werden (Authentisierung. Benutzer/innen.6 Folgende grundsätzliche Festlegungen zur Rechteverwaltung in einem IT-System sollten . Die Rechteverwaltung muss vollständig. welche Rollen müssen durch die Rechteverwaltung definiert werden (z..) können zwischen Subjekten und Objekten existieren. 11. widerspruchsfrei und überschaubar sein. dass der Zugriff zu IT-Systemen.) und welche Objekte (z. Benutzer/in und Revision.B.1.) unterliegen der Rechteverwaltung. ev.B. Programmen und Daten nur berechtigten Personen oder Prozessen und nur im Rahmen der festgelegten Regeln möglich ist. .1. welche Arten von Rechten (z..4.und Passwortverwaltung Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 11 ff "Zugriffskontrolle". Schlüssel. IT-Anwendungen. .B.5... welche Rollen sind miteinander unvereinbar (z. 11.1..1. Administrator. 11. Daten.11 Zugriffskontrolle.). Umgesetzt werden die Zugriffsrechte durch die Rechteverwaltung des IT-Systems. Prozesse. wie erfolgen Identifikation und Authentisierung. 4-Augen-Prinzip).1 Grundsätzliche Festlegungen zur Rechteverwaltung ISO Bezug: 27002 10. Personen. Netzwerken. Administrator und Auditor. 11. Programme.. 404 ..).vorzugsweise im Rahmen der IT-Systemsicherheitspolitik .2. Schreiben. Berechtigungssysteme. ändern.. 11. Lesen..B. vergeben bzw. . welche Regeln müssen bei Vergabe bzw. 11.

1 ] 11.bzw.4 Die Vergabe und Verwaltung von Zugriffsrechten wird in hohem Maße vom spezifischen IT-System. also vom erstmaligen Einrichten neuer Benutzer / Benutzerinnen bis zur Entfernung. deren Einhaltung generell empfohlen wird: • Die Rechteverwaltung darf nur durch eine/n Berechtigte/n und nur im Rahmen der in der Zugriffskontrollpolitik festgelegten Regeln durchgeführt werden. Rollen zu definieren. da damit Systemkontrollen außer Kraft gesetzt werden können.Definition von Rollen: Viele IT-Systeme lassen es zu. Diese sollen über die gesamte Lebensdauer des Zugriffsrechtes wirken. Besonders relevant ist dabei die Kontrolle über privilegierte Zugriffsrechte. Es gibt jedoch einige Grundregeln. [ eh SYS 1.2. Zugangskontrolle Geeignete Auswahl von Authentikations-Mechanismen Sichererer Umgang mit IDs und Passworten Aufteilung von Administratortätigkeiten 11. wenn kein Zugriff mehr benötigt wird. Solche Rollen können etwa sein: Administrator. Datensicherer/in.2. Dies umfasst: • • • • • • Dokumentation der zugelassenen Benutzer/Innen und zugehöriger Rechteprofile Einrichten der Zugriffsrechte Erarbeiten von Richtlinien für die Zugriffs. den darauf durchgeführten Aufgaben sowie der betroffenen Organisation abhängig sein. 11.1 Vergabe und Verwaltung von Zugriffsrechten ISO Bezug: 27002 11. Datenerfasser/in oder Sachbearbeiter/in. 405 .2 Benutzerverwaltung Wesentlich sind Verfahren zur geordneten und dokumentierten Erteilung von Zugriffsrechten auf Informationssysteme. denen bestimmte Rechte zugeordnet werden.

zu löschen.: • • • • • 406 Name. Nicht mehr aktive Benutzerkennungen dürfen nicht für Nachfolger/innen reaktiviert werden.4 Regelungen für die Einrichtung von Benutzerinnen/Benutzern bzw. Jede/r Benutzer/in soll ihre/seine Rechte innerhalb einer Anwendung einsehen können. Benutzergruppen bilden die Voraussetzung für eine angemessene Vergabe von Zugriffsrechten und für die Sicherstellung eines geordneten und überwachbaren Betriebsablaufs. Bei Ausscheiden einer Mitarbeiterin bzw.• • • • • • • Grundsätzlich sollten immer nur so viele Zugriffsrechte vergeben werden.) bestehen. Es sollte ein Formblatt existieren. ebenso jede/r Verantwortliche für ihren/seinen Bereich. . Karenz. . Organisationseinheit. die seit einem längeren. vorgesehen sein. ggf. Gruppenkennung.B.2 Einrichtung und Dokumentation der zugelassenen Benutzer/innen und Rechteprofile ISO Bezug: 27002 11.B.2 ] 11. Projekt.1 11. wie es für die Aufgabenwahrnehmung notwendig ist ("Need-to-know-Prinzip"). systembezogen zu definierenden Zeitraum nicht benutzt wurden.. [ eh SYS 1. Telefon. Raum). eines Mitarbeiters sind deren/dessen Kennung und die zugehörigen Rechte unverzüglich zu deaktivieren bzw. für jede Benutzergruppe zunächst die erforderlichen Daten zu erfassen.bzw. Zusätzlich sollte in definierten Abständen eine Suche nach "toten Benutzerkennungen". bei Urlaub.2. Es muss ein geregeltes Verfahren für den temporären Entzug von Zugriffsrechten (z. Vorname. z. wenn diese nicht durch Konventionen vorgegeben sind.2. eindeutige Identifikation zumindest des jeweiligen Berechtigungssystems. also Kennungen. Vorschlag für die Benutzer/innen. Personelle und aufgabenbezogene Änderungen müssen innerhalb der Rechteverwaltung unverzüglich berücksichtigt werden.. Erreichbarkeit (z. um von jedem/jeder Benutzer/in bzw.B.

Ein Passwort. Zeitpunkt und Grund der Einrichtung. vorname. Bei all diesen Aufzeichnungen ist auf Aktualität und Vollständigkeit zu achten. der Abweichungen).• • • ggf.nachname) oder eigene Benutzer-IDs (z. ggf. muss danach gewechselt werden (s. Zustimmung von Vorgesetzten. Endgeräte. etc.3.und Gruppennamen festzulegen. Befristungen. Es ist sinnvoll. Zugriffsberechtigungen (für bestimmte Verzeichnisse. zulässig. die zugelassenen Gruppen mit den zugehörigen Benutzerinnen/Benutzern. des Benutzers. Restriktionen auf Zeiten. Namenskonventionen für die Benutzer. Abweichungen vom verwendeten Standard-Rechteprofil).und Nachnamen (z. Kürzel Organisationseinheit plus lfd.3 ] 407 . [ eh SYS 1. Benutzergruppen und Rechteprofile und ist Voraussetzung für Kontrollen. muss jedem/jeder Benutzer/in eine eigene Benutzerkennung zugeordnet sein. Anonymisierte bzw. Erreichbarkeit der Benutzerin bzw. auch 11. Angaben über die geplante Tätigkeit im System und die dazu erforderlichen Rechte sowie die Dauer der Tätigkeit.1 Regelungen des Passwortgebrauches). Plattenvolumen. Remote-Zugriffe. wie zum Beispiel eine Kombination aus Vor. Anwendungen. das einem/einer neuen Benutzer/in für die erstmalige Systemnutzung mitgeteilt wird. Nummer).B. die jedoch nicht öffentlich. ggf. Begründung für die Wahl des Rechteprofils (und ggf. Dies sollte vom System initiiert werden.). sondern einem eingeschränkten Benutzerkreis zugänglich sein sollen. eingeschränkte Benutzerumgebung. es dürfen nicht mehrere Benutzer/innen unter derselben Kennung arbeiten. Zeitpunkt und Grund der Einrichtung. Befristungen. bei denen personenbezogene Zugriffssicherheit erforderlich ist.B. generische Benutzerkennungen sind nur bei unbedenklichen Inhalten. Dokumentation: Die Dokumentation dient der Übersicht über die zugelassenen Benutzer/innen. Dokumentiert werden sollen insbesondere • • die zugelassenen Benutzer/innen mit folgenden Mindestangaben: zugeordnetes Rechteprofil (ggf. Für sensible IT-Systeme bzw.

so ist dieses an einem geeigneten.B. Generell sollte in Applikationen und IT-Systemen eine Stellvertreterregelung schon eingebaut sein.11. geschehen. in einem Tresor) zu deponieren und bei jeder Änderung des Passwortes zu aktualisieren (regelmäßige Prüfung auf Aktualität erforderlich!). die Daten ermöglichen. wobei jeder im Notfall Zugriffsberechtigte nur einen Teil besitzt. die in Notfällen bei Abwesenheit einer Mitarbeiterin bzw. des Benutzers ist diese/r über die Weitergabe des Passworts in Kenntnis zu setzen und ein neues Passwort von ihr/ ihm zu vergeben.oder Krankheitsfall) ihrer/ seiner Vertretung Zugriff auf das IT-System bzw. Abhängig von den Personalisierungsmöglichkeiten vor Ort ist dafür Sorge zu tragen.2 Es sind Vorkehrungen zu treffen. Ist vom System technisch kein Vier-Augen-Prinzip vorgesehen. so lässt sich dieses auch organisatorisch nachbilden. Außerdem ist die Weitergabe des Passworts und deren Dauer zu dokumentieren.B. bei momentaner Inoperabilität bzw. im Urlaubs.7 ] 408 . so sollte dies nach dem Vier-Augen-Prinzip. d. geschützten Ort (z. Nichtverfügbarkeit der Chipkarte einer/einem Berechtigten den Zugang zum System zu ermöglichen. von zwei Personen gleichzeitig. damit keine Weitergabe von Passwörtern in Abwesenheitsfällen benötigt wird. Notfällen ISO Bezug: 27002 11. Wird es notwendig. h. die es erlauben.bzw. Nach der Rückkehr der Benutzerin bzw. eines Mitarbeiters (z. [ eh SYS 1. ein Passwort zu hinterlegen. Je nach den technischen Möglichkeiten können auch "Einmalpasswörter" oder Passwörter mit begrenzter Benutzungsdauer vergeben werden.3 Organisatorische Regelungen für Zugriffsmöglichkeiten in Vertretungs. Ist es in Einzelfällen doch notwendig. dieses hinterlegte Passwort zu nutzen. indem Passwörter in mehrere Teile zerlegt werden. Beim Einsatz von Chipkarten zur Authentisierung sind Vorkehrungen zu treffen.2. dass eine zeitgerechte Neuausstellung der Karte oder eine Ausstellung einer temporär gültigen Karte möglich ist oder aber Ersatzkarten zur Verfügung stehen.

ob das Berechtigungssystem alle Stellen des Passwortes oder nur Teile davon überprüft. wie etwa Administratoren. QWERTZ.3. Für Benutzer/innen mit umfangreichen Rechten. 123456. Innerhalb des Passwortes sollte mindestens ein Zeichen verwendet werden. KfzKennzeichen.11. Voreingestellte Passwörter (z. 409 • .3 Verantwortung der Benutzer / Benutzerinnen Die Benutzer / Benutzerinnen sind verantwortlich. wie ABCDEF. der gespeicherten Daten sowie den auf dem System realisierten technischen Möglichkeiten. sind ebenso zu vermeiden wie Standardausdrücke wie TEST. Kompromittierung oder Diebstahl von Informationen bzw.1 Regelungen des Passwortgebrauches ISO Bezug: 27002 11. Firmen.B. Lieferant sollte dazu nach allen voreingestellten Benutzerkennungen und Passwörtern befragt werden. Einrichtungen wirksam zu halten. werden die Anforderungen im Allgemeinen höher liegen. Der Hersteller bzw. • • • • Das Passwort sollte mindestens 6 Zeichen lang sein. dem Schutzbedarf der darauf laufenden Anwendungen bzw. eine Regelung zum Passwortgebrauch einzuführen.oder Abteilungsbezeichnungen. die eine Art Mindeststandard für die Wahl und die Handhabung von Passwörtern darstellen. etc. des Herstellers bei Auslieferung von Systemen) müssen umgehend durch individuelle Passwörter ersetzt werden.3. Es ist zu prüfen. die Mechanismen gegen unbefugten Zugriff. Im Folgenden werden jedoch einige Grundregeln gegeben. die Benutzer/innen diesbezüglich zu unterweisen und die Einhaltung zu kontrollieren. von Außenstehenden leicht zu erratender Bedeutung. Dafür ist es empfehlenswert. Allerdings sind sie diesbezüglich mit verständlichen Anweisungen zu unterstützen. so ist die Sicherheit der Zugriffsrechteverwaltung des Systems entscheidend davon abhängig. SYSTEM und Tastatur.1 Erfolgt die Authentisierung in einem IT-System über Passwörter. dass das Passwort korrekt gewählt und verwendet wird. Geburtsdaten. etc. in Bereichen. in denen mit streng vertraulichen Informationen gearbeitet wird. 11. das kein Buchstabe ist (Sonderzeichen oder Zahl). Regelungen zum Passwortgebrauch sind in hohem Maße abhängig vom betroffenen IT-System.und Zeichenmuster. Passwörter mit spezieller. bzw. wie Namen.

so ist ein sofortiger Passwortwechsel durchzuführen. Die Wiederholung alter Passwörter beim Passwortwechsel sollte vom IT-System verhindert werden. Ist das Passwort unautorisierten Personen bekannt geworden. Das Passwort muss geheim gehalten werden und sollte nur dem/der Benutzer/in persönlich bekannt sein. Bei der Eingabe darf das Passwort nicht auf dem Bildschirm angezeigt werden.2 Bildschirmsperre 410 . Falls IT-technisch möglich. Jede/r Benutzer/in muss sein eigenes Passwort jederzeit ändern können. so ist für die Sicherheit dieser Aufzeichnungen besonders Sorge zu tragen. Eine solche Aktion kann etwa eine Sperre der Benutzer-ID sein. Für die Erstanmeldung neuer Benutzer/innen sollten Einmalpasswörter vergeben werden. z. • • • • [ eh SYS 1. Der Passwortwechsel sollte vom System regelmäßig initiiert werden. eine Warnmeldung oder Ähnliches. Dazu sollten alle alten Passwörter bzw. mittels Einwegverschlüsselung. Das Passwort sollte nach Möglichkeit nicht schriftlich fixiert werden. Bei der Authentisierung in vernetzten Systemen sollten Passwörter verschlüsselt übertragen werden.o.5 ] 11. die nur vom Systemadministrator aufgehoben werden kann. Nach einer vorgegebenen Anzahl von Fehlversuchen (meist 3) ist eine vordefinierte Aktion zu setzen. die nach einmaligem Gebrauch gewechselt werden müssen.B. Die Eingabe des Passwortes sollte unbeobachtet stattfinden.) sollte mit technischen Mitteln verhindert werden ("Stopwortliste"). alle 90 Tage. sollten folgende Randbedingungen eingehalten werden: • • • • Die Wahl von Trivialpasswörtern (s. also Passwörter.B. Die Passwörter sollten im System zugriffssicher und nicht im Klartext gespeichert werden. Wird es doch aufgeschrieben. Das Passwort muss regelmäßig gewechselt werden. eine größere Anzahl zum Vergleich herangezogen werden ( Passwort Historie ). z. aber auch eine Sperre des Gerätes oder ein Timeout.3.• • • • • • • Passwörter dürfen nicht auf programmierbaren Funktionstasten gespeichert werden.

Beim Entfernen der Chipkarte ist entweder die Bildschirmsperre zu aktivieren. wenn der/die Benutzer/in den Arbeitsplatz für eine kurze Zeit verlässt. Für aktive Netzkomponenten mit Routing-Funktionalität ist außerdem ein geeigneter Schutz der Routing-Updates erforderlich. Behörden und Unternehmen müssen Fernzugriffsmöglichkeiten auf ihre IT-Systeme einrichten.8 ] 11. Die Aktivierung der Bildschirmsperre sollte erfolgen. oder der/die Benutzer/in auszuloggen. Denn während durch eine fehlerhafte Konfiguration eines Serversystems nur diejenigen Benutzer betroffen sind.2. zum anderen durch kryptographische Prüfsummen erreichbar. sogar das gesamte Netz ausfallen oder Daten unbemerkt kompromittiert werden. wird bei der Abwesenheit der Benutzerin bzw. Gerade zentrale aktive Netzkomponenten müssen jedoch sorgfältig konfiguriert werden. können bei einer Fehlkonfiguration eines Routers größere Teilnetze bzw.3 Unter einer Bildschirmsperre versteht man die Möglichkeit. um auf Daten und Anwendungen unabhängig vom Standort dieser Institution zugreifen zu können. Als weiteres Leistungsmerkmal sollte die Bildschirmsperre eine automatische Aktivierung bei längerer Pausenzeit aufweisen. Ein solcher Schutz ist zum einen durch Passwörter.3.ISO Bezug: 27002 11. die auf dem Bildschirm aktuell vorhandenen Informationen zu verbergen. des Benutzers zusätzlich ein Zugriffsschutz für das IT-System gewährleistet. Verfügt das Softwareprodukt außerdem über eine Passwort-Abfrage. dass die Bildschirmsperre nur mittels Chipkarte und PIN wieder aufgehoben werden kann. Beim Einsatz von Chipkarten soll gewährleistet sein.3. um eine dynamische Anpassung an die aktuellen Gegebenheiten des lokalen Netzes zu erreichen. 11. [ eh SYS 1. Diese sind zur Aktualisierung der Routing-Tabellen erforderlich. 411 .4 Fernzugriff Neben der Sicherheit von Serversystemen und Endgeräten wird die eigentliche Netzinfrastruktur mit den aktiven Netzkomponenten in vielen Fällen vernachlässigt. die die entsprechenden Dienste dieses Systems nutzen.

11. auf das wiederum über DSLAnschlussleitungen.Diese Fernzugriffsmöglichkeiten können mit unterschiedlichen Endgeräten (Desktop. UMTS. Die Verbindung zwischen dem Endgerät und der Zentrale führt in der Regel über das Internet.1 Nutzung eines Authentisierungsservers beim Fernzugriff ISO Bezug: 27002 11. Benutzerinnen sollte auf die Effizienz der Benutzerverwaltung auch für Fernzugriffe geachtet werden. 11. um die Kommunikationsverbindung zwischen dem Endgerät und dem Netz der Institution vor unbefugtem Mitlesen zu schützen. Zu den wichtigsten Maßnahmen gehören: • • • eine erfolgreiche Authentifizierung des Benutzers gegenüber seinem Endgerät und dem Netz der Institution Verschlüsselung der Daten auf dem Endgerät und eine regelmäßige Sicherung der Daten im Netz der Institution. Zusätzlich sollte eine Anwenderrichtlinie den Benutzer auf seine Sorgfaltspflichten hinweisen. 412 . Wurde ein Endgerät entwendet oder gestohlen. die organisatorisch meist in mehrere Teilnetze (Domänen. Smartphone) realisiert werden. Laptop. Sollen sich Benutzer/innen auch an fremden Teilnetzen anmelden können. um so die Risiken durch Nachlässigkeit zu reduzieren. Für mittlere und große Netze. WLAN. müssen hier Querberechtigungen (Cross-Zertifikate. 11. die vor allen Dingen die Möglichkeit der Spionage und des Verlusts von Daten sowie der Sabotage der ITSysteme der Institution betreffen.5. Mit dem Gewinn an Flexibilität sind Risiken verbunden. sollte sich der Fernzugriff des betroffenen Benutzers durch die Institution kurzfristig sperren lassen. um die auf dem Endgerät gespeicherten Daten vor Verlust und gegen Vertraulichkeitsverletzungen zu schützen Einsatz eines kryptografisch gesicherten VPN. besteht in vielen Fällen das Problem. WiMax oder öffentliche Telefonnetze zugegriffen werden kann.4. Vertrauensstellungen) oder ein zentraler Verzeichnisdienst eingerichtet und gepflegt werden.4. 11.7 Für Netzwerke mit vielen Benutzern bzw. dass in jedem Verwaltungsbereich eine getrennte Verwaltung der Benutzerdaten durchgeführt wird.6. Verwaltungsbereiche) aufgeteilt sind.

laufen grob vereinfacht folgende Schritte ab: • • • • • Findet ein Verbindungsaufbau mit dem Anmeldeprozess statt.gleichgültig ob sie/er dazu eine RAS-Verbindung benutzt oder sich direkt im LAN befindet . Hier sind insbesondere Chipkarten. Einmalpasswörter.Insbesondere im Kontext mit Fernzugriffen haben sich hier spezielle Authentisierungssysteme herausgebildet. Der Anmeldeprozess leitet die Daten (meist transparent für Benutzer/innen) an den Authentisierungsserver weiter. als sie von den Betriebssystemen standardmäßig unterstützt werden. 413 . die auch für den "normalen" Authentisierungsprozess bei der Systemanmeldung genutzt werden können. Zur Kommunikation zwischen Anmeldeprozess und Authentisierungsserver wird in der Regel ein abgesichertes Protokoll eingesetzt.eine so genannte "Challenge" an den Prozess zurück. Durch die Verwendung von zentralen Authentisierungsservern kann erreicht werden. Prinzipiell besitzen diese Systeme folgenden Aufbau: • • • Die Authentisierungsdaten der Benutzer/innen werden durch einen zentralen Server verwaltet.sofern ein "Challenge-Response" Verfahren zum Einsatz kommt . Dies kann je nach verwendetem System ein Passwort oder ein Einmalpasswort in den unterschiedlichsten Ausprägungen (Nummern. Der Authentisierungsserver sendet . eines Benutzers. dass einerseits die Authentisierungsdaten konsistent verwaltet werden und andererseits bessere Authentisierungsmechanismen genutzt werden können. kontaktiert dieser den Authentisierungsserver und informiert ihn über den eingegangenen Verbindungswunsch einer Benutzerin bzw. der diese an den/die Benutzer/in weiterleitet. Der Zugang zum (Access-)Netz wird nach erfolgreicher Überprüfung gewährt. Der/die Benutzer/in gibt ihr/sein Authentisierungsgeheimnis ein.B. Will sich ein/e Benutzer/in nun am System anmelden . Der Anmeldeprozess muss dazu die Nutzung externer Authentisierungsserver unterstützen und die Netzadresse des zu benutzenden Authentisierungsservers muss in den Konfigurationsdaten des Anmeldeprozesses korrekt eingetragen sein.und Token-basierte Mechanismen zu nennen. die auf einem Display angezeigt werden und welche der/die Benutzer/in als Passwort angeben muss. Das Programm zur Systemanmeldung wendet sich zur Überprüfung der von dem/der Benutzer/in eingegebenen Authentisierungsdaten an den Authentisierungsserver. Je nach System erzeugen diese z. Der Authentisierungsserver verifiziert die Benutzerdaten und signalisiert dem Anmeldeprozess das Ergebnis der Überprüfung. Text) sein.

nachdem die Kommunikationspartner authentisiert wurden. so erfolgt der Zugriff typischerweise über eine externe Datenverbindung.Für mittlere und große Netze wird die Verwendung von Authentisierungsservern insbesondere bei Fernzugriffen empfohlen. Ein Authentisierungsserver muss so im Netz platziert werden.4. das zur Absicherung einer VPN-Verbindung zu benutzen ist. dass die Vertraulichkeit. aber andererseits auch vor unberechtigten Zugriffen geschützt ist.7 ] 11. Generell gilt: 414 .2 Einsatz geeigneter Tunnel-Protokolle für die VPNKommunikation ISO Bezug: 27002 11. Berücksichtigt werden muss jedoch. hängt von verschiedenen Faktoren ab.3 Wird über ein Virtual Private Network (VPN) auf ein LAN zugegriffen.6. Wird die Verbindung über das Internet aufgebaut. (vgl. 11. Die Absicherung wird durch das Verschlüsseln und gegebenenfalls Signieren der ausgetauschten Datenpakete erreicht.Hard. Im VPN-Umfeld haben sich verschiedene Verfahren und Mechanismen zur Absicherung der Kommunikationsverbindung herausgebildet.10 Remote Access) Die Wahl des Verfahrens. da diese eine wesentlich höhere Sicherheit bei der Benutzer-Authentisierung bieten. von den auf Protokollebene einsetzbaren Verfahren (siehe unten). So wird beispielsweise bei einer direkten Einwahl (Direct Dial-In) das Netz eines Telekommunikationsanbieters benutzt.und Software unterstützten Verfahren. u. muss der zur Datenübertragung benutzte Netzpfad so abgesichert werden.A. wie beispielsweise das Tunneling. [ eh SYS 7. • • • von den Sicherheitsanforderungen an die Stärke der Verfahren (hierdurch werden beispielsweise die Schlüssellängen bestimmt). von den durch die VPN. 12.7.4. 10. dass er einerseits performant erreicht werden kann. dass auch diese Server administriert und gewartet werden müssen. Integrität und Authentizität gewährleistet ist. werden die Daten über die Netze der beteiligten Internetdienstanbieter (und eventuell deren Kooperationspartner) geleitet. Da über eine VPN-Verbindung die direkte Anbindung an ein LAN erfolgt.

Alternativ kann das VPN-Produkt auch eigene Verfahren anbieten. die bei erfolglosen Login-Versuchen eingegebenen Passwörter mitzuprotokollieren. SSL/TLS). und es gibt nach wie vor noch Modemzugänge. in welchen Fällen vertrauliche Informationen bei der Übertragung verschlüsselt werden müssen. in welchen Fällen durchgeführte Datenübertragungen zu protokollieren sind (z. bei Übermittlung personenbezogener Daten). Alle Login-Vorgänge. um Passwort-Attacken zu entdecken. ob erfolgreich oder erfolglos. Diese können vom VPN-Produkt genutzt werden. [ eh SYS 7. Die Sicherheitsmechanismen basieren auf unterschiedlichen kryptographischen Verfahren. müssen protokolliert werden.4. Hier sollte eine möglichst breite Unterstützung von Verfahren angestrebt und entsprechende Standards angewendet werden (beispielsweise IPSEC. Korrekt eingegebene Passwörter sollten nicht mitprotokolliert werden. Mobilfunk immer seltener verwendet.3 Einsatz von Modems und ISDN-Adaptern ISO Bezug: 27002 11.1 Modems werden angesichts der besseren Möglichkeiten durch Breitband-Internet bzw. Der sichere Einsatz eines Modems bedingt weiters einige administrative Maßnahmen: 415 . es ist aber zu überlegen.B.4. Einige der hier angeführten Grundsätze gelten allerdings auch für solche. wer das Modem benutzen darf.8 ] 11. in vernetzten Systemen der Administrator). Für den sicheren Einsatz sind eine Reihe von Regelungen zu treffen.• • Ein VPN-Produkt bietet in der Regel eine Auswahl von unterstützten Standardverfahren zur Kommunikationsabsicherung an. Die zum Datentransport benutzten Protokolle bieten selbst schon Sicherheitsmechanismen an. So ist etwa festzulegen: • • • • wer die/der Verantwortliche für den sicheren Betrieb des Modems ist (beispielsweise im Stand-alone Einsatz der IT-Benutzer/innen. Bietet die Kommunikationssoftware Protokollierungsfunktion an. sollten diese im sinnvollen Rahmen genutzt werden.

Die Anschaffung eines Modems mit Verschlüsselungsoption ist vorteilhaft. Dann darf ein Zugriff auf die Kommunikationssoftware nur den Benutzerinnen/Benutzern möglich sein.4. ohne sich einzuloggen. wenn regelmäßig Übertragungen großer Datenmengen innerhalb einer Organisation mit verstreuten Liegenschaften durchgeführt werden sollen. die in Modems integriert sein können. Bei einem im Netzserver integrierten Modem muss dies über die Konfiguration sichergestellt werden. dass auf einfache Weise unautorisierte Anrufer/innen abgewiesen werden können (siehe auch 11.4 Geeignete Modem-Konfiguration). dass nach einem Zusammenbruch der Modem-Verbindung externe Benutzer/innen automatisch vom IT-System ausgeloggt werden. wie es für die Datenübertragung eingesetzt wird. Es ist darauf zu achten. dass die eingesetzten Algorithmen stets dem Stand der Technik entsprechen. Es muss sichergestellt sein. sobald der/die Benutzer/in sich vom System abmeldet. Ein externes Modem kann einfach ausgeschaltet werden. Außerdem müssen regelmäßig die Einstellungen des Modems und der Kommunikationssoftware überprüft werden sowie die durchgeführten Datenübertragungen protokolliert werden. -partnerinnen bekannt gegeben werden. von der Leitung getrennt wird. Die vielfach angebotene Callback-Funktion bietet unter Sicherheitsgesichtspunkten den Vorteil. die übertragenen Daten zu verschlüsseln. Es muss außerdem darauf geachtet werden. Sicherheitsmechanismen bei Modems: Es gibt vielfältige Sicherheitsmechanismen.5 Aktivierung einer vorhandenen Callback-Option). Einige Modems bieten auch die Möglichkeit. Außerdem müssen alle Benutzer/innen darauf hingewiesen werden. um den Zugang vor Einwählversuchen zu schützen.4. dass das Modem nur solange mit dem Telefonnetz verbunden ist. [ eh SYS 6. und es anschließend ausgeschaltet bzw.• • • • • Die Telefonnummer eines Modem-Zugangs darf nur den Kommunikationspartnern bzw. Sie darf nicht im Telefonverzeichnis der Organisation erscheinen. können Benutzer/innen von ihren Arbeitsplatzrechnern auf das Modem zugreifen. dazu 11. Bei einem Stand-aloneSystem kann dies dadurch realisiert sein. Diese OnlineVerschlüsselung bedingt einen geringeren organisatorischen Aufwand als das Verschlüsseln der Daten mittels Zusatzprodukten. dass nach der Datenübertragung auch das Kommunikationsprogramm zu beenden ist. die für die Datenübertragung berechtigt sind. dass das Modem die Telefonverbindung unterbricht.11 ] 416 . Ist ein Modem in einen Netzserver integriert. wie etwa Passwortmechanismen oder Callback-Funktionen (vgl. Andernfalls kann der/die nächste Anrufer/in unter dieser Benutzerkennung weiterarbeiten.

Wenn diese Möglichkeit vorhanden ist.1 Regelungen des Passwortgebrauches) gewählt werden. den Befehlssatz des eingesetzten Modems daraufhin zu überprüfen.5 Aktivierung einer vorhandenen Callback-Option).2 Die meisten Modems arbeiten nach dem nicht normierten. wie die im folgenden beschriebenen Funktionen umgesetzt sind und ob durch fehlerhafte Konfiguration Sicherheitslücken entstehen können. wenn verhindert werden soll. Daher sollte der Zugang zum Modem nur befugten Personen möglich sein 417 . Nachfolgend werden einige sicherheitsrelevante Konfigurationen vorgestellt: Auto-Answer: Es kann eingestellt werden.7.3 Fernwartung. Außerdem sollten sie auf Papier ausgedruckt werden. so dass sie jederzeit mit der aktuellen Einstellung verglichen werden können.11.3.4. dass das Modem einen ankommenden Ruf automatisch nach einer einzustellenden Anzahl von Klingelzeichen entgegennimmt. dass sie von entfernten Modems fernkonfiguriert werden können. Eine Einstellung. dass von außen unbemerkt eine Verbindung aufgebaut werden kann. sollte gewählt werden. sollte sie genutzt und die Passwörter entsprechend den Sicherheitsanforderungen (vgl. herstellerabhängigen Hayes-Standard (auch AT-Standard genannt). die dies verhindert und erzwingt. dazu auch 11.4 Geeignete Modem-Konfiguration ISO Bezug: 27002 11.4. Die Basis-Befehlssätze der verschiedenen Modems stimmen größtenteils überein. Passwortgeschützte Speicherung von (Rückruf-)Nummern: Bei der Speicherung von Telefonnummern oder Rückrufnummern im nichtflüchtigen Speicher des Modems können diese bei vielen Modellen durch ein Passwort geschützt werden. Zum Problem der Fernwartung über Modems siehe 12. dass Anrufe manuell entgegengenommen werden müssen. Größere Abweichungen gibt es in den erweiterten Befehlssätzen. Ansonsten ist ein Callback-Mechanismus einzusetzen (siehe 11. Die gewählten Einstellungen sollten im nichtflüchtigen Speicher des Modems gespeichert werden. dass diese Möglichkeit ausgeschaltet ist. Bei einigen Modems wird nach Eingabe eines bestimmten Befehls eine Liste der Rufnummern mit den zugehörigen Passwörtern angezeigt.4. Fernkonfiguration des Modems: Manche Modems können so eingestellt werden. Es ist darauf zu achten. Es ist wichtig.

ist es für einen Angreifer wesentlich schwieriger. dass mit dem automatischen Rückruf auch die Kosten der Datenübertragung übernommen werden. dass die voreingestellten Rufnummern des Callback sporadisch kontrolliert und aktualisiert werden.13 ] 418 . also auf der Seite. die Nummer einzugeben. und kein "Overrulen" durch den Anrufer möglich ist.2 Viele Modems bieten die Option eines automatischen Rückrufs (Callback). Ein Callback kann außer durch das Modem auch von der Applikation ausgelöst werden. wenn feste Kommunikationspartner/innen sich automatisch einwählen können sollen. kann ein Angreifer versuchen. Wenn die Applikation den Callback durchführt. Hier sollte darauf geachtet werden. Callback sollte auf der passiven Seite aktiviert sein. von der Dateien abgerufen oder auf der Dateien eingespielt werden. wenn das Modem den Callback starten will. [ eh SYS 6. Anmerkung: Privilegierte Benutzer/innen können ev. Zu beachten ist. sofort nach dem erfolgreichen Verbindungsaufbau die Leitung und ruft eine voreingestellte Nummer zurück. Es ist darauf zu achten.12 ] 11. Wenn das Modem ein Callback auslöst.4. den richtigen Moment abzupassen. solange er nicht unter der voreingestellten Nummer erreichbar ist. Es ist sicherzustellen.[ eh SYS 6. trennt das Modem. dieses anzuwählen und damit den Callback abzufangen. in dem Moment. Callback ist immer dann einzusetzen. dass ein nicht autorisierter Anrufer diesen Modemzugang missbrauchen kann. dass der automatische Rückruf nur auf einer Seite aktiviert ist. Ist diese Option aktiviert. sollte das Callback von der Applikation und nicht vom Modem ausgelöst werden.4. Dadurch wird verhindert. wenn es einen Anruf erhält. Wenn die eingesetzte Applikation diese Option bietet. dass nur in der Zentrale festgelegte Nummern zurückgerufen werden. da der Mechanismus sonst in eine Endlosschleife führt. die Möglichkeit haben.5 Aktivierung einer vorhandenen Callback-Option ISO Bezug: 27002 11. unter der sie sich zurückrufen lassen möchten.

Verfälschung (Verletzung der Integrität von Daten). 11. Benutzern und Anwendungen den komfortablen Zugang zur Hardware und anderen Betriebsmitteln des Computersystems zu ermöglichen. Somit werden im Zuge von Standardkonfigurationen zur Verfügung stehende Sicherheitsmechanismen oft nicht aktiviert. 419 . Dazu gehört insbesondere sowohl der Schutz der Betriebssystemsoftware selbst als auch der Schutz einzelner Daten und Programme vor unberechtigter Benutzung (Verletzung der Vertraulichkeit von Informationen). vorübergehender oder dauerhafter Unbrauchbarmachung und Zerstörung (Verletzung der Verfügbarkeit von Informationen und Programmen).1 Sichere Initialkonfiguration und Zertifikatsgrundeinstellung ISO Bezug: 27002 11. Neben diesen Grundfunktionen muss ein Betriebssystem grundlegende Sicherheitskonzepte durchsetzen.5.5.5 Zugriff auf Betriebssysteme Die Hauptaufgabe eines Betriebssystems besteht bis heute darin. 11. bzw. Um dem entgegenzuwirken ist die Verwendung von geprüften Initialkonfigurationen zu bevorzugen.5.4 Bei Neuinstallationen von Betriebssystemen und Software berücksichtigen die standardmäßigen und herstellerseitigen Grundeinstellungen kaum sicherheitstechnische Aspekte. bieten grundsätzliche Fehlkonfigurationen potentielle Sicherheitsrisken.11. Im Bundesbereich ist gemäß dem IKT-Board Beschluss [IKTB-170902-7] eine definierte sichere Initialkonfiguration zu verwenden. Derartige Konfigurationen sollten sowohl für das Betriebssystem (vorrangig) aber auch für die verwendete Software von der Administration zur Verfügung gestellt werden. Eine entsprechend dokumentierte Initialkonfiguration wird im Rahmen des Online-Angebotes des Chief Information Office des Bundes zur Verfügung stehen.

deren Zertifikaten dadurch explizit vertraut wird. Um zu verhindern. die der EU Signaturrichtlinie (Art. Dieser kann verhältnismäßig einfach überwunden werden.5. Teilweise können sogar verschiedene Passwörter für diese Prüfungen benutzt werden.1) genügen. ob das Passwort vor jedem Rechnerstart oder nur vor Zugriffen auf die BIOS-Einstellungen überprüft werden soll.2 Nutzung der BIOS-Sicherheitsmechanismen ISO Bezug: 27002 11.5.oder Administrator-Passwort immer aktiviert werden. sollte das Setup. 11. in Internet-Programmen (zum Beispiel Browsern) ist eine Vielzahl von „vertrauenswürdigen“ Zertifizierungsstellen.Zertifikatsgrundeinstellung Voreingestellt in Betriebssystemen bzw. Dies stellt ein Sicherheitsrisiko dar. dass keinem Zertifizierungsdienst automatisch vertraut wird.4 Moderne BIOS-Varianten bieten eine Vielzahl von Sicherheitsmechanismen an. wenn in den Arbeitsstationen die Mechanismen des Widerrufs hinreichend umgesetzt sind. Auf keinen Fall sollten aber ungeschulte Benutzer/innen BIOS-Einträge verändern.5. 5. mit denen sich die Benutzer/innen oder die Systemadministration vertraut machen sollten. dass Unbefugte die BIOS-Einstellungen ändern. bzw. durch einen definierten Satz an als vertrauenswürdig anerkannten Zertifikaten ersetzt werden. wenn keine anderen Zugriffsschutzmechanismen zur Verfügung stehen. Meist kann ausgewählt werden. ob deren Zertifikate zwischenzeitlich bereits kompromittiert wurden. wenn dies in der allgemeinen Strategie explizit festgehalten ist. denn der/die Anwender/in hat in der Regel keine Informationen über die Vertrauenswürdigkeit der Zertifizierungsstellen bzw. Nach IKT-Board-Beschluss [IKTB-040402-2] sind alle in der Bundesverwaltung auszuliefernden Arbeitsstationen initial so auszuliefern. sollte aber auf jeden Fall benutzt werden. explizit ausgesprochen werden. Anderen Zertifizierungsdiensten kann im bereichs-/ressortübergreifenden Datenverkehr nur dann dass Vertrauen im System implizit gegeben werden. [ eh SYS 5. da hierdurch schwerwiegende Schäden verursacht werden können.8 ] 11. • Passwortschutz: Bei den meisten BIOS-Varianten kann ein Passwortschutz aktiviert werden. 420 . Das implizite Vertrauen kann allen Zertifizierungsdiensten und den zugeordneten Diensten. Demnach sollten in der Initialkonfiguration alle im Zertifikatsspeicher vorkonfigurierten Wurzelzertifikate (vertrauenswürdige Stammzertifikate) entfernt werden.

noch Diskettenlaufwerke) durch ein Passwort geschützt werden. ob diese durchgeführt werden darf. Virenschutz. des MBR (Master Boot Record) eine Bestätigung. verlangt der Rechner vor einer Veränderung des Bootsektors bzw.4 ] 11. Virus-Warnfunktion: Wird diese Funktion aktiviert. wer solche Daten lesen. falls versehentlich eine CD (resp. Der Schutzbedarf von Daten wirkt sich natürlich unmittelbar auf alle Medien aus. bearbeiten bzw. Boot-Reihenfolge: Die Boot-Reihenfolge sollte so eingestellt sein. daher sollten in allen diesen Bereichen Festlegungen existieren. Dazu gehört auch die regelmäßige Überprüfung auf Korrektheit und Vollständigkeit der Daten. Daten mit besonderem Schutzbedarf können in den unterschiedlichsten Bereichen anfallen. finanzrelevante. alle Mitarbeiter auf die für diese Daten geltenden Restriktionen hinzuweisen. dass es ein CD-Laufwerk E gibt). Ohne eine solche Umstellung der Boot-Reihenfolge können auch weitere Sicherheitsmaßnahmen wie etwa Zugriffsschutzmechanismen umgangen werden. Für diese gelten je nach ihrer Kategorisierung unterschiedliche Beschränkungen im Umgang mit ihnen. Generell sollte die Wirksamkeit der Umstellung der Boot-Reihenfolge durch einen Boot-Versuch geprüft werden. z. Daher ist es wichtig.6 Zugriff auf Anwendungen und Informationen Grundsätzlich sollten Mitarbeiter/innen natürlich sorgfältig mit allen Informationen umgehen. Dies sollte benutzt werden. Ein Beispiel hierfür ist das Starten eines anderen Betriebssystems. z.E_ bzw. ggf. so dass gesetzte Sicherheitsattribute ignoriert werden. da einige Controller die interne Reihenfolge außer Betrieb nehmen und eine getrennte Einstellung erfordern. spart Zeit und schont das CD-Laufwerk. [ eh SYS 5. Beispielsweise sollte also _C. dass immer als Erstes von der Festplatte gebootet wird. _C. weitergeben darf.B. bei Fax oder E-Mail.B.E. um das unbefugte Einspielen von Software oder das unbemerkte Kopieren von Daten zu verhindern. Darüber hinaus gibt es aber in vielen Bereichen Daten. 421 . die einen höheren Schutzbedarf haben oder besonderen Restriktionen unterliegen. Dies schützt vor der Infektion mit Boot-Viren. personenbezogene.• • Mit einigen (leider wenigen) BIOS-Varianten kann zusätzlich der Zugriff auf USBPorts (bzw. Je nach verwendetem BIOS und Betriebssystem muss auch das Booten von anderen austauschbaren Datenträgern wie USB-Ports verhindert werden.A_ eingestellt werden (Annahme. auf denen diese gespeichert oder verarbeitet werden. vertrauliche oder Copyright-geschützte Daten. Diskette) im Laufwerksschacht vergessen wird.

Objektes zu verstehen ist (meist durch Angabe eines Namens oder einer User-ID). die die Beziehungen zusammenarbeitender Organisationen beeinträchtigen können oder aus deren Kenntnis ein Dritter (z. aber auch Anwendungen. unterliegen Copyright-Vermerken oder Weitergaberestriktionen ("Nur für den internen Gebrauch"). versteht man unter "Authentisierung" den Nachweis der angegebenen Identität.1 Wahl geeigneter Mittel zur Authentisierung ISO Bezug: 27002 11.4. also z. Copyright-Vermerke oder Lizenzbedingungen kopiert werden dürfen.1 Während unter "Identifikation" die Bestimmung der Identität eines Subjektes bzw. kryptographischen Schlüsseln Authentisierung durch Besitz: beispielsweise von Schlüsseln oder Karten . bei deren Verlust die Organisation handlungsunfähig wird. Konkurrenzunternehmen) finanzielle Vorteile ziehen kann. Alle Mitarbeiter/ innen müssen darauf hingewiesen werden. Verarbeitung. B. dass weder Dokumente. Weitergabe und Vernichtung besondere Vorschriften und Regelungen gelten. 11. Längerfristig gespeicherte oder archivierte Daten müssen regelmäßig auf ihre Lesbarkeit getestet werden. Jede Organisation sollte eine Übersicht darüber haben. Nicht mehr benötigte Informationen müssen zuverlässig gelöscht werden. diejenigen Daten. Manipulation und Verfälschung geschützt werden. [Q: BSI M 2. noch Dateien oder Software ohne Berücksichtigung evtl. Grundsätzlich gibt es drei Arten der Authentisierung: • • 422 Authentisierung durch Wissen: etwa durch Eingabe von Passwörtern. • • • Geschäftskritische Informationen müssen vor Verlust. Codes. Ein besonderes Augenmerk muss auch auf alle Informationen gelegt werden. welche Daten als geschäftskritisch einzustufen sind.Viele Informationen.6. welche die Grundlage für die Aufgabenerfüllung bilden.2. Neben den allgemeinen Sorgfaltspflichten können auch hier für diese Daten bei der Speicherung. B. Die Wahl eines geeigneten Authentisierungsverfahrens ist von entscheidender Bedeutung für die Sicherheit des Gesamtsystems und muss daher den Sicherheitsanforderungen und den technischen Möglichkeiten gemäß getroffen werden. Dazu gehören alle geschäftsrelevanten Daten.17 ] 11.6.3.

. Weiters besteht die Möglichkeit. das gemäß dem IKT-Board Beschluss festgelegte Konzept Bürgerkarte zur Authentisierung von Benutzerinnen/Benutzern anzuwenden ist.6. in Verbindung mit der Bürgerkarte so genannte Single Sign-On Funktionalitäten zu realisieren. Authentisierung vorzusehen sein. besonders im Hinblick auf den Einsatz der Biometrie in Bereichen der öffentlichen Verwaltung. dazu auch 11.B. Biometrie kann allerdings noch nicht in allen Bereichen der Identifikation und Authentifikation – im Speziellen im Sinne eines authentischen Identitätsnachweises . Fingerabdruck. 423 . daher ist vorerst nur limitierter Einsatz der Biometrie möglich. Darüber hinaus ist generell zu prüfen. Gemäß dem IKT-Board Beschluss [IKTB-260701-1] soll sogar anstelle eines konventionellen Sigle-Sign-On die Identifikation mit der Bürgerkarte. Unterschriftendynamik. ob bei Verfahren der öffentlichen Verwaltung. Die Stabsstelle IKT-Strategie des Bundes hat im Rahmen des IKT-Board Beschlusses [IKTB-110903-10] .1 Regelungen des Passwortgebrauches und 11. In vielen Fällen kommen Kombinationen der drei angeführten Prinzipien (etwa Authentisierung durch Wissen und Besitz) zur Anwendung.3. unter Verwendung geeigneter Basisdienste.• Authentisierung durch Eigenschaften oder Verhaltensmerkmale (biometrische Verfahren): z.2 Regelungen des Gebrauchs von Chipkarten). Im Bereich der öffentlichen Verwaltung wird die Verwendung von so genannten Dienstkarten. Die Sicherheit der einzelnen Authentisierungsverfahren ist sehr unterschiedlich und im Einzelfall immer zu hinterfragen. treten. Für die Signatur und die Identifikation wird empfohlen die Module für Onlineverfahren (MOA-ID.. Nach der Auswahl eines geeigneten Authentisierungsverfahrens sind Regelungen über die Handhabung der Authentifikationsmitteln zu treffen (vgl. die folgenden allgemeinen Umsetzungsrichtlinien beschlossen: • Eine hohe Funktionsstärke (SOF high) ist derzeit und in absehbarer Zukunft nicht erreichbar. zur Identifikation bzw. MOA-SS/SP) zu verwenden [IKTB-161203-01] . gemäß der Empfehlung des IKT-Boards [IKTB-140102-1] . Diese Module stehen auch der Wirtschaft frei zur Verfügung [IKTB-110504-1] . .als technisches Mittel der Wahl angesehen werden. Stimmerkennung. Biometrie: In der Diskussion um Mittel der Authentifikation rückt auch Biometrie zunehmend in den Mittelpunkt.

6. Zuordnung von Chipkarten zu Personen (dies ist vom Willensakt der Auslösung einer Funktion zu trennen. Daten. ev. die durch die Behörde bestätigt (signiert) sind. Anwendungen müssen zurzeit in kontrollierter Umgebung ablaufen. Zutrittskontrolle zu Anlagen und Räumen vor allem über Sekundärmechanismen (z. Der Machtgeber für das Identifikationsobjekt (z. Verifikationsanwendungen mit biometrischen Daten unter Kontrolle des Inhabers/der Inhaberin und mit amtlicher Bestätigung (Signatur) zur breiten Anwendung sind derzeit möglich und können eingesetzt werden.B. Die Identifikationsanwendung außerhalb der erkennungsdienstlichen Aufgaben ist noch nicht technologisch rechtfertigbar.: • • • Personendokumente mit biometrischen Daten auf dem Dokument. Derzeit praktikable Anwendungen für Biometrie sind z. Chipkarten haben unter Sicherheitsaspekten im Wesentlichen zwei Funktionen zu erfüllen.) muss die Möglichkeit der Kontrolle des Verifikationsprozesses haben.• • • • Standards für biometrische Merkmale. auch mit Co-Prozessor) zum Einsatz. Dies gilt auch für Anwendungen mit Identifikationszuordnung in beschränkten Gruppen (im Normalfall etwa bis zu 100 Personen). Sie dienen 424 .6. [ eh SYS 1.B.4 ] 11.2. da Wachzustand und Bewusstsein zurzeit in biometrischen Systemen nicht mit vertretbarem Aufwand technisch kontrollierbar sind).4.2 Regelungen des Gebrauchs von Chipkarten ISO Bezug: 27002 11. sind noch nicht vorhanden. biometrisches Merkmal und Karte als Träger der Referenzdaten) oder in beschränkten Populationen. Anwendungen können im Bereich der Verifikation und der Komfortsteigerung einen wesentlichen Beitrag leisten. 11. daher können zentrale Datenbanken nicht sinnvoll eingesetzt werden. etc.B. Computer.1 Für Anwendungen im Sicherheitsbereich kommen intelligente Speicherkarten (Karten mit fest verdrahteter Sicherheitslogik) sowie Mikroprozessor-Karten (Karten mit Speicher und CPU. die eine dauerhafte (etwa 10-jährige) Sicherheit gewährleisten.

• • als Trägermedium für vertrauliche Daten z.. sind die Mitarbeiter/innen in entsprechenden Verpflichtungserklärungen zur Einhaltung dieser Regelungen zu verpflichten. Zugangscodes (etwa zu IT-Systemen). Ein Aufbewahren der PIN gemeinsam mit der Karte oder gar ein Notieren der PIN auf der Karte ist unbedingt zu vermeiden. Angriffe gegen diesen geschützten Bereich erfordern einen sehr hohen technologischen Aufwand.im Folgenden wird der Einsatz von Chipkarten in sicherheitsrelevanten Applikationen behandelt. dass die Speicherung der vertraulichen Daten und die Durchführung von sicherheitskritischen Funktionen innerhalb der Karte . die eine Art Mindeststandard für die Handhabung von Karten und PINs in sicherheitsrelevanten Anwendungen (etwa Zutritts. Signatur.. Wenn erforderlich. Die Chipkarten sollten immer mit dem Namen der Trägerin bzw. des Trägers versehen werden. Denkbar ist auch eine Multifaktor-Authentisierung. . Im Folgenden werden einige Grundregeln gegeben. Generierung von Sessionkeys oder zur Durchführung von Transaktionen Entscheidender Vorteil der Chipkarte gegenüber anderen Medien ist. persönliche Daten (medizinische Daten. zur Chiffrierung. Neben der Qualität der Karte selbst kommt auch der Wahl und der Handhabung der PIN entscheidende Bedeutung für die Sicherheit des Gesamtsystems zu. Diese sind in hohem Maße abhängig vom Schutzbedarf des betroffenen Systems und der Art der Anwendung. Ist mit solchen Angriffen zu rechnen. Kap.) als Security Modul (zur Durchführung von Sicherheitsfunktionen) z. PINs (Personal Identification Number) geschützt. • • • Keine unautorisierte Weitergabe der Karte: Chipkarten stellen in der Regel ein persönliches Sicherheitsmedium dar und sollten daher sicher verwahrt und keinesfalls an andere Personen weitergegeben werden. Für Details zur Sicherheit von Chipkarten sei auf die Literatur verwiesen . Dadurch kann die PIN zur leichteren Handhabe verkürzt werden. so sind eine Reihe von kryptographischen und systemtechnischen Gegenmaßnahmen zu setzen (etwa Schlüsseldiversifizierung. Chiffrierschlüssel. wo eine PIN zusammen mit biometrischen Merkmalen herangezogen wird. Verwendung kartenspezifischer Schlüssel und geeignete Implementierung von kryptographischen Algorithmen). Prüfungsergebnisse. etc.erfolgen kann. Authentisierung. 425 .B.oder Zugriffskontrolle. Der Zugriff auf Daten und Funktionen von Chipkarten ist heute im Allgemeinen durch sog. Generierung von elektronischen Signaturen.) darstellen. Die PIN muss geheim gehalten werden und darf nur dem/der Benutzer/in persönlich bekannt sein. 12. Übertragbare Chipkarten ohne Namen sollten gar nicht oder nur in sicherheitstechnisch belanglosen Bereichen eingesetzt werden.B. Signaturschlüssel zur Generierung elektronischer Unterschriften (vgl.6 Kryptographische Maßnahmen).also in einem geschützten Bereich .

Da sich Chipkarten in der Regel nach einer festgelegten Anzahl von PINFalscheingaben (meist 3) selbst sperren . wenn vorher ein Passwort korrekt eingegeben wurde. deren Güte im Einzelnen unterschiedlich sein kann. [IKTB-040901-1] ). unkontrollierbaren Umgebungen sollten sog. PINs dürfen nicht auf programmierbaren Funktionstasten gespeichert werden.6 ] 11. Für Anwendungen mit hohem Sicherheitsbedarf in ungeschützten bzw. Bei der Eingabe darf die PIN nicht auf einem Bildschirm oder Display angezeigt werden.• • • • • • Die Länge der PIN hängt von Art und Schutzbedarf der Anwendung ab und liegt im Allgemeinen zwischen 4 und 8 Stellen. ob eine Übertragung der PIN zwischen Tastatur und Karte im Klartext aus Sicherheitsgründen vertretbar ist. diese den Security Layer unterstützen (vgl. Dies erfolgt durch eine von der PIN unterschiedliche (und meist deutlich längere) Geheimzahl ("Supervisor PIN".1. mögliche Schäden verringern können. bei denen die Übertragung der PIN technisch oder mittels kryptographischer Verfahren geschützt wird.6 Standardprodukte im PC-Bereich bieten oft eine Reihe von nützlichen ITSicherheitsfunktionen. ist eine Möglichkeit des Entsperrens vorzusehen. Im Folgenden seien einige dieser Funktionen kurz erläutert: • Passwortschutz bei Programmaufruf: Das Programm kann nur gestartet werden. Die Eingabe der PIN sollte unbeobachtet stattfinden. Es ist zu prüfen. Zusätzlich ergibt sich bei der Wahl der einzusetzenden Chipkarte. 426 . dass speziell in Verbindung mit Anwendungen der öffentlichen Verwaltung.3. [ eh SYS 1.3 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen ISO Bezug: 27002 11. Die Wahl von Trivial-PINs ist zu vermeiden. die aber Unbefugte behindern bzw. "Secure PIN-Pads" zum Einsatz kommen.5.dies stellt eines der wichtigsten Sicherheitsfeatures der Karte dar -.6. 11. "Personal Unblocking Key" (PUK)). Dies verhindert die unberechtigte Nutzung des Programms. 11. die entweder dem/der Benutzer/in selbst oder einer/einem Sicherheitsverantwortlichen bekannt sein kann.

Automatische Speicherung von Zwischenergebnissen: Das Programm nimmt eine automatische Speicherung von Zwischenergebnissen vor.• • • • • Zugriffsschutz zu einzelnen Dateien: Das Programm kann nur dann auf eine geschützte Datei zugreifen. wenn das mit dieser Datei verknüpfte Passwort korrekt eingegeben wird. sondern mit einer anderen Kennung versehen. Die Inhalte der Datei sind damit nur denjenigen zugänglich. so wird die zweite Datei nicht gelöscht. Für mobil eingesetzte IT-Systeme bieten sich insbesondere die Nutzung des Passwortschutzes bei Programmaufruf und die automatische Speicherung an. so dass ein Stromausfall nur noch die Datenänderungen betrifft. eine Datei verschlüsselt abzuspeichern.1 Verifizieren der zu übertragenden Daten vor Weitergabe). 12. [ eh SYS 3.4. Automatisches Anzeigen von Makros in Dateien: Diese Funktion soll das unbeabsichtigte Ausführen von Makros verhindern und damit Schutz vor Makro-Viren bieten (vgl. Damit wird verhindert. zu der im angegebenen Pfad eine Datei gleichen Namens existiert. Kap. Automatische Sicherung der Vorgängerdatei: Wird eine Datei gespeichert.4 ] 427 . dass versehentlich eine Datei gleichen Namens gelöscht wird. Je nach eingesetzter Software und damit vorhandenen Zusatzsicherheitsfunktionen kann der Einsatz dieser Funktionen sinnvoll sein. die über den verwendeten geheimen Chiffrierschlüssel verfügen. Verschlüsselung von Dateien: Das Programm ist in der Lage.4 Schutz vor Schadprogrammen und Schadfunktionen). 10. Gegebenenfalls ist jedoch zu überprüfen. so dass eine unbefugte Kenntnisnahme verhindert werden kann. ob die zwischengespeicherten Daten nach dem regulären Programmende wieder gelöscht wurden (vgl. Dies verhindert den unerlaubten Zugriff mittels des Programms auf bestimmte Dateien. die nach dieser automatischen Speicherung eingetreten sind.

nahezu überall arbeiten. dank immer kleinerer und leistungsfähigerer Geräte. Manipulation an Informationen oder Software.7 Mobile Computing und Telarbeit Mobile IT-Arbeitsplätze mit Laptop. 428 . wie sie in einer gewerblichen oder behördlichen Büroumgebung anzutreffen ist.11. Ungesicherter Akten. Mobiltelefonen IT-Benutzer werden immer mobiler und können. beispielsweise im Hotelzimmer. Hitze). PDA.und Datenträgertransport. Umwelteinflüsse (Nässe. Daher sind Sicherheitsmaßnahmen zu ergreifen. Diebstahl von Geräten und/oder Datenträgern. Ungeeignete Entsorgung der Datenträger und Dokumente. der Behörde wahrgenommen. Verlust. Unzureichende Kontrolle der Sicherheitsmaßnahmen. Sorglosigkeit im Umgang mit Informationen. Nichtbeachtung von Sicherheitsmaßnahmen. Kälte. Ungeeigneter Umgang mit Passwörtern. Fehlende oder unzureichende Regelungen. In solchen Umgebungen kann aber nicht die infrastrukturelle Sicherheit. vorausgesetzt werden. Vertraulichkeitsverlust schützenswerter Informationen Auch für mobile Arbeitsplätze sind eine Reihe von Maßnahmen umzusetzen. sondern an wechselnden Arbeitsplätzen in unterschiedlichen Umgebungen. Manipulation oder Zerstörung von Geräten oder Zubehör. in der Eisenbahn oder beim Kunden. Typische Gefährdungen bei mobilen Arbeitsplätzen sind: • • • • • • • • • • • • • Beeinträchtigungen durch wechselnde Einsatzumgebungen. Auch diese sollten angelehnt an das Lebenszyklus-Modell durchlaufen werden: • Planung und Konzeption der Einrichtung eines Arbeitsplatzes in fremder Umgebung. die eine mit einem Büroraum vergleichbare Sicherheitssituation erreichen lassen. Daher werden dienstliche Aufgaben häufig nicht mehr nur in Räumen des Unternehmens bzw.

unter welchen Rahmenbedingungen Mitarbeiter mit mobilen IT-Systemen Zugriff auf interne Daten ihrer Institution haben dürfen. Telearbeit in Telearbeitszentren. Bei der letzteren unterscheidet man zwischen ausschließlicher Teleheimarbeit und alternierender Telearbeit. Schaffung und Einhaltung von Regelungen über die Arbeitsumgebung und die sorgfältige und sichere Behandlung der mitgenommenen IT-Systeme (z. auch den Zugriff auf Daten in der Organisation ermöglicht. die sich aus einem Einsatz eines IT-Systems im Bereich der Telearbeit ergeben. der/die Arbeitnehmer/in arbeitet teilweise im Büro und teilweise zu Hause. die räumlich entfernt vom Standort des Arbeitgebers durchgeführt werden und deren Erledigung durch eine kommunikationstechnische Anbindung an die IT des Arbeitgebers unterstützt wird. wie z. Sorgfältige Entsorgung von Datenträgern und Ausdrucken (keinesfalls dürfen sie einfach in den Müll geworfen werden). B. Dabei ist auch zu klären.h. welche Informationen außerhalb der Räume der Organisation transportiert und bearbeitet werden dürfen und welche Schutzvorkehrungen dabei zu treffen sind. des Telearbeiters. Die in diesem Kapitel aufgeführten Maßnahmenempfehlungen konzentrieren sich auf zusätzliche Sicherheitsanforderungen.. Mobiltelefon. der Arbeitnehmerin. PDA. Es gibt unterschiedliche Formen von Telearbeit. 429 . besteht in der Regel zwischen dem Arbeitsplatz zu Hause und der Organisation eine Telekommunikationsverbindung. Alle übrigen für dieses IT-System erforderlichen organisatorischen. Die Maßnahmenempfehlungen dieses Kapitels umfassen vier Bereiche: • • • • die Organisation der Telearbeit. Laptop.• • • Regelungen für alle Außentätigkeiten.). welche den Austausch von Daten oder ggf. personellen und technischen Sicherheitsmaßnahmen sind selbstverständlich ebenfalls vollinhaltlich zur Anwendung zu bringen. Telearbeit Unter Telearbeit versteht man im Allgemeinen Tätigkeiten. d. den Telearbeitsrechner der Telearbeiterin bzw. die teilweise oder ganz im häuslichen Umfeld durchgeführt werden..B. mobile Telearbeit sowie Telearbeit in der Wohnung des Arbeitnehmers bzw. die Kommunikationsverbindung zwischen Telearbeitsrechner und Institution und den Kommunikationsrechner der Institution zur Anbindung des Telearbeitsrechners. Bei Formen der Telearbeit.

sollte eine Sicherheitsrichtlinie erstellt werden. desto leichtfertiger wird erfahrungsgemäß damit umgegangen. welche Informationen mit mobilen IT-Systemen unterwegs verarbeitet werden dürfen. mobile IT-Systeme unterwegs zu schützen. Damit diese Möglichkeiten auch genutzt werden. in der alle umzusetzenden Sicherheitsmechanismen beschrieben sind. Die Daten sollten dementsprechend klassifiziert sein.7. Zusätzlich sollte für die Benutzer/ innen ein kurzes und übersichtliches Merkblatt für die sichere Nutzung von mobilen IT-Systemen erstellt werden. Daher sollten Mitarbeiter/innen für den Wert mobiler ITSysteme und den Wert der darauf gespeicherten Informationen sensibilisiert werden. als solche. um Einschränkungen den Benutzern/ Benuzerinnen transparent zu machen Dienstgeheimnisse dürfen nur dann auf mobilen IT-Systemen verarbeitet werden. sollten sie vor allem über die spezifischen Gefährdungen und Maßnahmen der von ihnen benutzten Geräte aufgeklärt werden.7. wenn hierfür geeignete und freigegebene Sicherheitsmechanismen eingesetzt werden.11. bevor detaillierte Auskünfte gegeben werden. 430 . so etwa Notebooks. Ebenso sind bei der Nutzung von mobilen IT-Systemen diverse Punkte zu regeln: • Die Benutzer/innen müssen darüber informiert sein.und Sichtweite von Externen machen sollten. Palmtops. Je kleiner und leichter IT-Systeme werden. dass sie vertrauliche Informationen unterwegs nicht mit jedem austauschen und dies unterwegs auch nicht in Hör. Sie sind vielfältigeren Risiken ausgesetzt. die sich innerhalb geschützter Räumlichkeiten befinden. Handhelds und Personal Assistants sowie auch mobile Datenträger wie USB-Festplatten und -Sticks.1 Mobile IT-Geräte ISO Bezug: 27002 11. Da es bei mobilen IT-Systemen eine große Bandbreite von Varianten und Kombinationsmöglichkeiten gibt (von Handy über PDA zu Laptop mit WLANSchnittstelle). Immerhin gibt es eine Vielzahl von Möglichkeiten.daher muss sie/er für möglichst sichere Aufbewahrung mobiler ITGeräte auch außer Haus sorgen.1 Unter mobilen IT-Geräten sind alle für einen mobilen Einsatz geeigneten Geräte zu verstehen. Die Umfeldbedingungen bei mobilem Einsatz liegen zumeist außerhalb der direkten Einflussnahme der Benutzerin / des Benutzers. Insbesondere sollte die Identitäten des Kommunikationspartner hinterfragt werden. Die Mitarbeiter/innen sollten auch darüber aufgeklärt werden.

sondern in einem Schrank 431 . Keinesfalls dürfen solche Geräte ohne ausdrückliche Zustimmung der Organisation Dritten zur Reparatur oder Software-Wartung übergeben werden oder unautorisert darauf irgendwelche Software installiert werden. Dabei ist zu beachten. Empfindlichkeit gegenüber zu hohen oder zu niedrigen Temperaturen). Falls dies vorgesehen ist. Akkupflege.oder Wohnräumen.oder Containerverschlüsselung. muss dieser Zugriff angemessen geschützt werden Es muss geklärt werden. Aufbewahrung außerhalb von Büro.• • • • • • • Für Daten. wie sie sorgfältig mit den mobilen IT-Systemen umgehen sollten. Die Verwaltung. um eine lange Lebensdauer zu gewährleisten (z. ob diese auch für private Zwecke benutzt werden dürfen. dass die Zulässigkeit von Verschlüsselungstechnologien in den einzelnen Staaten unterschiedlich geregelt ist. ob mobile Mitarbeiter/innen von unterwegs Zugriff auf interne Daten ihrer Institution erhalten sollen.B. B. Wirtschaftsdaten des Unternehmens. Die Benutzer sollten darauf hingewiesen werden. personenbezogene oder sensible Daten) ist die Installation eines Zugriffsschutzes (über Passwort oder Chipkarte) unabdingbar sowie einer Festplatten-. Passwörter) gesichert weitergegeben werden. Hierfür gibt es eine Reihe von brauchbaren Produkten zur transparenten Laufwerks. beispielsweise für private Schreiben oder gar Spiele nach Feierabend. Bei jedem Wechsel des Besitzers/ der Besitzerin alle benötigten Zugangsmechanismen (z.B. Ein mobiles IT-System stellt einen Wert dar. Insbesondere muss damit gerechnet werden. etwa dass bestimmte Verschlüsselungsprodukte nicht (auch nicht in installierter Form) importiert werden dürfen oder die verschlüsselten Daten den Zollbeamten offengelegt werden müssen. Bei Mitnahme mobiler IT Geräte auf Auslandsreisen ist dies bereits im Vorfeld zu klären. dass bei privater Nutzung eines Internetzugangs weniger sichere Seiten aufgerufen werden als für dienstliche Zwecke. Wartung und Weitergabe von mobilen IT-Systemen sollte klar geregelt werden. Containeroder Dateiverschlüsselung drigend zu empfehlen. um einem Verlust oder Diebstahl vorzubeugen bzw. der potentielle Diebe/Diebinnen anlocken könnte. Beim Einsatz mobiler IT-Systeme ist zu klären. Dies gilt besonders für fremde Räumlichkeiten wie Hotelzimmer sowie Kraftfahrzeuge. Besondere Gegebenheiten können sich in verschiedenen Zielgebieten und in speziellen Situationen (etwa bei einer besonders eingehenden Zollkontrolle) ergeben. Konstruktionsdaten. Angebote. Daher sollten mobile IT-Systeme möglichst nicht unbeaufsichtigt bleiben oder ungeschützt herumliegen. Eine mögliche Alternative zu mitgenommenen Daten wären etwa zugriffsgeschützte Online-Festplatten am Server der eigenen Organisation. die ein hohes Maß an Sicherheit verlangen (z.

Es kann aber auch sein.B. Für die Nutzung zu Hause (Telearbeit) bieten einige neuere Geräte zusätzlich die Möglichkeit zum Anketten des Gerätes. wird auch die Kontrolle zunehmend schwieriger. Allerdings wird ein solches Verbot zunehmend schwieriger durchsetzbar. sondern etwa beim Portier abgegeben weden müssen. PDA's und Mobiltelefone immer mehr zu unverzichtbaren Abeitsmitteln in Meetings gerade auch mit hochrangigen Besetzungen . Es sollte überlegt werden. dass sie gar nicht mitgenommen werden dürfen. Ist das nicht möglich. so ist dieser Raum nach Möglichkeit auch bei kurzzeitigem Verlassen zu verschließen. wenn sich das Gerät unmittelbar beim Besitzer/bei der Besitzerin befindet. im Kofferraum eingeschlossen sein. Wird ein mobiles IT-Gerät in fremden Büroräumen benutzt.geworden sind. Werden mobile IT-Systeme in fremden Büroräume mitgenommen. Der Diebstahl setzt dann den Einsatz von Werkzeug voraus. um unkontrollierte Nutzung zu verhindern. Wenn die Sicherheitsrichtlinie der Institution es nicht zulässt. Da die Geräte immer kleiner werden.1 Laptop. da Laptops. Alle Schutzmechanismen müssen aktiviert sein. [ eh INF 5. ob die Nutzung oder sogar das Mitbringen von mobilen IT-Systemen in allen oder bestimmten Bereichen einer Behörde oder eines Unternehmens eingeschränkt werden sollte. Notebook ISO Bezug: 27002 11. muss an allen Eingängen deutlich darauf hingewiesen werden. so sind die Sicherheitsregelungen der besuchten Organisation zu beachten. Dies sollte dann auch regelmäßig kontrolliert werden. Dies kann z.7. sollte zusätzlich das Gerät ausgeschaltet werden. In solchen Fällen sind die Geräte auszuschalten. dass mobile IT-Systeme mitgebracht werden. sollten sie zumindest verdeckt werden. Wird der Raum für längere Zeit verlassen. damit sie von außen nicht sichtbar sind.7.bzw.1 432 .1.4 teilweise ] 11. für Besprechungsräume sinnvoll sein. da die Gefahr des bewussten oder unbewussten Abhörens der Raumgespräche über Mobiltelefone besteht.

Darunter versteht man einen PC. Häufig wird er auch während der mobilen Nutzung über Modem oder Mobilfunk direkt mit externen Netzen. insbesondere mit dem Internet. LAN.oder Fremdpersonal. Fahrlässige Zerstörung von Gerät oder Daten. Ungeordneter oder unerlaubter Benutzerwechsel. Typischerweise wird ein Laptop zeitweise allein. verbunden. Diebstahl. Verlust gespeicherter Daten.oder DVDLaufwerke sowie über Schnittstellen zur Kommunikation über verschiedene Medien (beispielsweise Modem. Nichtbeachtung von Sicherheitsmaßnahmen. 433 . Verlust. Unzureichender Umgang mit Passwörtern. USB. Unerlaubte Installation von Software. so dass er indirekt als Brücke zwischen dem LAN und dem Internet wirken kann. Er verfügt über eine Festplatte und meist auch über weitere Speichergeräte wie ein Disketten-. WLAN). Typische Gefährdungen für Laptops: • • • • • • • • • • • • • • • • Beeinträchtigungen durch wechselnde Einsatzumgebungen. Software-Schwachstellen oder -Fehler. und von Zeit zu Zeit wird er zum Abgleich der Daten sowie zur Datensicherung mit dem Behörden.oder Unternehmensnetz verbunden. Ausfall der internen Stromversorgung. ohne Anschluss an ein Rechnernetz betrieben. Kälte. Manipulation oder Zerstörung von Geräten oder Zubehör. Unkontrollierter Einsatz von Datenträgern. CD-ROM. Informationsverlust bei erschöpftem Speichermedium. Ein Laptop hat eine kompaktere Bauform als Arbeitsplatzrechner und kann über Akkus zeitweise unabhängig von externer Stromversorgung betrieben werden.der aufgrund seiner Bauart transportfreundlich ist und mobil genutzt werden kann. Firewire. Gefährdung durch Reinigungs. Umwelteinflüsse (Nässe. Unerlaubte Ausübung von Rechten. Hitze). Laptops können mit allen üblichen Betriebssystemen wie Windows oder Linux betrieben werden.

und Filmaufnahmen mit mobilen Endgeräten Maßnahmenempfehlungen für Laptops: Im Rahmen des Einsatzes von Laptops sind eine Reihe von Maßnahmen umzusetzen. sollte ein Konzept erstellt werden. • • • Richtlinien für die Nutzung von Laptops: Um Laptops sicher und effektiv in Behörden oder Unternehmen einsetzen zu können. Dies umfasst beispielsweise. Fehler bei der Synchronisation. ob und in welcher Form bei mobiler Nutzung eine direkte Verbindung des Laptops mit dem Internet zulässig ist. Die Schritte. Beschaffung von Laptops: Für die Beschaffung von Laptops müssen die aus dem Konzept resultierenden Anforderungen an die jeweiligen Produkte formuliert und basierend darauf die Auswahl der geeigneten Produkte getroffen werden Sichere Installation von Laptops: Eine sorgfältige Auswahl der Betriebssystem. Die hier zu treffenden Maßnahmen sind in hohem Grade abhängig von dem eingesetzten Betriebssystem zu realisieren. Unberechtigte Privatnutzung.und Bedienungsfehler. Trojanische Pferde. beginnend mit der Konzeption über die Beschaffung bis zum Betrieb.• • • • • • • • Fehlerhafte Nutzung. sowie die Maßnahmen. das auf den Sicherheitsanforderungen für die bereits vorhandenen IT-Systeme sowie den Anforderungen aus den geplanten Einsatzszenarien beruht. Viren. die dabei zu durchlaufen sind. Dabei ist der Einsatz von Verschlüsselungsprodukten für tragbare IT-Systeme von besonderer Bedeutung. die in den jeweiligen Schritten beachtet werden sollten. Vertraulichkeitsverlust schützenswerter Informationen. um Risiken durch Fehlbedienung oder absichtlichen Missbrauch der Laptops auszuschließen. Darauf aufbauend ist die Laptop-Nutzung zu regeln und Sicherheitsrichtlinien dafür zu erarbeiten. wer das System wann und wofür nutzen darf und ob und in welcher Weise ein Anschluss an das Unternehmens. Unberechtigte Datenweitergabe. Ebenso ist zu regeln. sind im Folgenden aufgeführt. Schadprogramme.und Software-Komponenten sowie deren sichere Installation ist notwendig. da bei Laptops ein relativ hohes Diebstahlsrisiko besteht und die normalen 434 .bzw. Sorglosigkeit im Umgang mit Informationen. Manipulation an Informationen oder Software. Konfigurations. Behördennetz gestattet wird. Unberechtigte Foto.

und SoftwareManagement) notwendig. dass der Anschluss an das Unternehmens. wenn der Laptop unter der Kontrolle des Diebes steht. dass die verwendeten Passwörter allgemein bekannt sind. Behördennetz über ein Virtual Private Network (VPN) erfolgt. sie durch eine restriktiv konfigurierte Personal Firewall gegen Angriffe aus dem Netz zu schützen. Schutz vor Schadprogrammen und Aktualisierung der eingesetzten Viren-Schutzprogramme und Signaturen sind daher für Laptops ganz besonders wichtig.und Zugriffskontrolle ihre Wirksamkeit verlieren. darf der Anschluss an das lokale Netz erfolgen. Sichere Konfiguration der installierten Komponenten: Je nach Sicherheitsanforderungen müssen die beteiligten SoftwareKomponenten unterschiedlich konfiguriert werden. Bei einem Wechsel zwischen netzgebundenem und mobilem Betrieb müssen die Datenbestände zwischen dem Server und dem Laptop synchronisiert werden. Erst wenn dies sichergestellt ist. Behördennetz angeschlossen werden.bzw. ob sich die aktuellste Version der bearbeiteten Daten auf dem Laptop oder im Netz befindet. so ist zunächst durch eine gründliche Überprüfung mit aktuellen Virensignaturen sicherzustellen. Notwendig ist auch die Änderung voreingestellter Passwörter .• • Funktionen der Zugangs. sind bei Laptops vor allem organisatorische Maßnahmen (Hard.oder Behördennetz Infektionsquellen ersten Grades darstellen. Dies gilt auch für den Fall. Die hier zu treffenden Maßnahmen sind ebenfalls abhängig vom eingesetzten Betriebssystem und sind daher im Rahmen der Umsetzung der entsprechenden Bausteine zu realisieren. Auch hier sind zusätzliche Maßnahmen erforderlich.bzw. der direkt am Internet betrieben wurde. Zugleich sind allfällige Einfuhrbeschränkungen für Verschlüsselungsprodukte oder verschlüsselte Daten bei Auslandsreisen zu beachten. Es muss dabei gewährleistet werden. Diese Geräte können sonst bei Anschluss an ein Firmen. Laptops werden häufig über längere Zeit losgelöst vom Firmen. da Viren auch über verschlüsselte Kommunikationsverbindungen weiter verbreitet werden können. wenn eine Trennung der Rechte mehrerer Benutzer erforderlich ist. Sicherer Betrieb von Laptops: Eine der wichtigsten IT-Sicherheitsmaßnahmen beim Betrieb heutiger Laptops ist die Installation und permanente Aktualisierung eines Virenschutzprogramms. ist es unabdingbar. die Software des Laptops auf aktuellem Stand zu halten und notwendige Sicherheitspatches zeitnah einzuspielen. wieder an das Unternehmens. um alle zu erwartenden Angriffe abzuwehren. Somit sind unter Umständen einerseits ihre Virendefinitionsdateien veraltet und sie sind andererseits einem hohen Infektionsrisiko ausgesetzt. dass dieser Laptop nicht infiziert ist.oder Behördennetz oder auch mit temporären Verbindungen zum Internet betrieben. Der Virenschutz reicht alleine nicht aus. Ebenso ist es unbedingt erforderlich. Sofern Laptops bei mobiler Nutzung direkt an das Internet angeschlossen werden. Um einen Überblick über die aktuell in das lokale Netz eingebundenen Laptops zu behalten und die Konfiguration aller Laptops 435 . Um Angriffsversuche und missbräuchliche Nutzung erkennen zu können. Soll ein Laptop. weil nur zu häufig jede Zugangskontrolle dadurch illusorisch ist. dass jederzeit erkennbar ist.

dazu gehören unter anderem: • • • Organizer.1. Weitere spezifische Maßnahmen für Einzelsysteme betreffen vor allem den Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern sowie die 11. Der primäre Einsatzzweck ist das Erfassen und Verwalten von Terminen.• • jederzeit nachvollziehen zu können. mobilen Endgeräte zur Datenerfassung. bei denen die Dateneingabe über eine eingebaute Tastatur und/oder einen Touchscreen erfolgt. bei denen die Dateneingabe über das Display erfolgt (mittels Stift).2 PDA (Personal Digital Assistant) ISO Bezug: 27002 11. 436 .6. um Adressen und Termine zu verwalten. Aussonderung: Bei Übergabe von Laptops an andere Benutzer/Innen. längerem Einsatz unterwegs das Ladegerät sowie ggf. dass keine schützenswerten Informationen mehr auf der Festplatte vorhanden sind. Diebstahl-Sicherungen vorzusehen.3 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen. PDAs ohne eigene Tastatur. Diese sollen neben dem Erfassen und Verwalten von Terminen. Datensicherung von Laptops: Die Vorgehensweise und der erforderliche Umfang der Datensicherung richten sich nach dem Einsatzszenario des Laptops Nicht zuletzt sollte darauf geachtet werden. PDAs.7. Adressen und kleinen Notizen. für Reisen bzw. sei es im Rahmen des normalen Betriebs oder auch bei ihrer Aussonderung.203 ] 11. Steckdosen im Ausland mitzuführen. Adressen und kleinen Notizen auch die Bearbeitung von E-Mail ermöglichen. Je nach der in einem Gebäude oder Büroraum gegebenen physischen Sicherheit kann es auch sinnvoll oder sogar notwendig sein. bearbeitung und -kommunikation beschrieben. um den Laptop vor Diebstahl zu schützen. ist darauf zu achten. die typischerweise für StandardOffice Anwendungen von unterwegs verwendet werden.1 Damit sind hier alle handtellergroßen. Gegebenenfalls ist dazu auch eineSoftware-Reinstallation durchzuführen. Bei mobiler Nutzung ist in jedem Fall für geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz zu sorgen. Adapter für andere Stromspannungen bzw.7. ist eine zentrale Verwaltung dieser Geräte wichtig. [ Q: BSI B 3.

wie beispielsweise die Nutzung als Authentisierungstoken für Zugriffe auf Unternehmensnetze (z.1. Zum Teil werden hierfür angepasste Varianten von Textverarbeitungs-. Kälte. Beim Einsatz von Smartphones ist zusätzlich Baustein B 3. PDAs werden aber auch zunehmend für sicherheitskritische Applikationen eingesetzt. Diebstahl. Unerlaubte Installation von Software. Umwelteinflüsse (Nässe. Es lässt sich mitunter gar nicht mehr zwischen privaten und dienstlichen Datenelementen unterscheiden. Hitze).bzw. B. Ungeordneter oder unerlaubter Benutzerwechsel. die wesentlich kleiner als normale Notebooks sind und daher beispielsweise weniger Peripheriegeräte und Anschlussmöglichkeiten bieten. Unerlaubte Ausübung von Rechten. Anschaulichstes Beispiel hierfür sind der Kalender und das Adressbuch für Telefon. In der Praxis besteht eine besondere Problematik in der Vermischung von Daten der Organisation mit privaten Daten. Notebook. die aber unter anderem für die Vorführung von Präsentationen geeignet sind. sogenannte Smartphones.1 Laptop.7. die damit eine eingebaute Schnittstelle zur Datenübertragung besitzen. 437 . Typische Gefährdungen für PDAs: • • • • • • • • • Beeinträchtigungen durch wechselnde Einsatzumgebungen. das Unternehmen keine privaten Daten löschen (auch nicht virenverseuchte E-Mails). Kalenderprogrammen angeboten.und E-Mail Kontakte.• • PDAs mit integriertem Mobiltelefon. werden in einigen Fällen private PDA's für dienstliche Zwecke genutzt. Verlust.404 Mobiltelefon umzusetzen. Fahrlässige Zerstörung von Gerät oder Daten.B. Eine typische Anforderung an PDAs ist die Nutzung von Standard-OfficeAnwendungen auch unterwegs. bzw. 11. PDA. Speicherkarten).und MobiltelefonFunktionalitäten werden in zunehmendem Maß (in Gestalt der Smart Phones) kombiniert. Für sie gelten die Ausführungen des Kap. Tabellenkalkulations-.so darf die Behörde bzw. Manipulation oder Zerstörung von Geräten oder Zubehör. Generierung von Einmalpasswörtern). Speicherung von Patientendaten oder die Führung von Kundenkarteien. Unkontrollierter Einsatz von Datenträgern (z. was zusätzlich Datenschutzproblematiken aufwirft . Die Übergänge zwischen den verschiedenen Gerätetypen sind fließend und außerdem dem ständigen Wandel der Technik unterworfen. E-Mail. Sub-Notebooks.

sollte ein Konzept erstellt werden. Viren. Fehler bei der Synchronisation. Software-Schwachstellen oder -Fehler. Unberechtigte Foto. sowie die Maßnahmen. Unzureichende Identifikationsprüfung von Kommunikationspartnern. Manipulation an Informationen oder Software. Abhören von Raumgesprächen über PDAs mit eingebautem Mobilfunk Maßnahmenempfehlungen für PDAs: Im Rahmen des PDA-Einsatzes sind eine Reihe von Maßnahmen umzusetzen. Trojanische Pferde. Die Schritte. 438 . beginnend mit der Konzeption über die Beschaffung bis zum Betrieb. • • Konzept: Um PDAs sicher und effektiv in Behörden oder Unternehmen einsetzen zu können. Informationsverlust bei erschöpftem Speichermedium. Darauf aufbauend ist die PDA-Nutzung zu regeln und Sicherheitsrichtlinien dafür zu erarbeiten. die dabei zu durchlaufen sind. Vertraulichkeitsverlust schützenswerter Informationen. Konfigurations. Unberechtigte Datenweitergabe.305 Geeignete Auswahl von PDAs ). sind im Folgenden aufgeführt.• • • • • • • • • • • • • • • • Ausfall des Geräts oder der internen Stromversorgung.und Filmaufnahmen mit mobilen Endgeräten.und Bedienungsfehler. die in den jeweiligen Schritten beachtet werden sollten. Sorglosigkeit im Umgang mit Informationen. Unberechtigte Privatnutzung. das auf den Sicherheitsanforderungen für die bereits vorhandenen IT-Systeme sowie den Anforderungen aus den geplanten Einsatzszenarien beruht. Schadprogramme. Beschaffung: Für die Beschaffung von PDAs müssen die aus dem Konzept resultierenden Anforderungen an die jeweiligen Produkte formuliert und basierend darauf die Auswahl der geeigneten Produkte getroffen werden (siehe M 2. Fehlerhafte Nutzung. Nichtbeachtung von Sicherheitsmaßnahmen. Unzureichender Umgang mit Passwörtern. Verlust gespeicherter Daten.

(etwa nur für Administratoren zugreifbare Bereiche) Benutzer können also nicht daran gehindert werden. Soweit technisch möglich. können in speziellen Verzeichnissen auf dem Benutzer-PC abgelegt werden. TSL beherrschen. Dies kann nur durch entsprechende Regelungen und Sensibilisierung der Benutzer erreicht werden. Daher gibt es auch im allgemeinen keine ausgefeilten Mechanismen zur Rollentrennung. 439 . auch die Informationen. also z. von den WWWSeiten eines bekannten bzw. B. Synchronisationssoftware. Der Zugriff auf diese Verzeichnisse sollte soweit wie möglich beschränkt werden. mit denen eventuell auch noch synchronisiert wird. für Reisen bzw. die Synchronisationsumgebung und gegebenenfalls spezielle Software zum zentralen PDA-Management. Einige der für PDAs verfügbaren Browser unterstützen auch aktive Inhalte. sollten Sicherheitsmechanismen so gewählt und konfiguriert werden. Wenn über PDAs Internet-Dienste genutzt werden sollen. damit verschlüsselte Verbindungen hergestellt werden können. beispielsweise für den Zugriff auf unternehmens. die auf einem PDA installiert werden sollen. Die Synchronisationssoftware sollte so konfiguriert werden. ActiveX und/oder Javascript. Es sollten die Einstellungen regelmäßig kontrolliert und durch Administrationstools bei der Synchronisierung wieder auf die vorgegebenen Werte zurückgesetzt werden. Wie bei anderen IT-Systemen ist aber auch hier zu beachten. dass je nach Art dieser Programme mit ihrem Ausführen eventuell ein Sicherheitsrisiko verbunden sein kann. Betrieb: PDAs sind nicht dafür konzipiert. Software zum zentralen PDAManagement) unterschiedlich konfiguriert werden. Steckdosen im Ausland mitzuführen. Daten oder Programme. längerem Einsatz unterwegs das Ladegerät sowie ggf. so dass sie bei der nächsten Synchronisation automatisch auf den PDA transferiert werden. vertrauenswürdigen Anbieters. sicherheitsrelevante Konfigurationsänderungen durchzuführen. Adapter für andere Stromspannungen bzw. Auch PDAs müssen mit aktuellen Virenschutz-Programmen ausgestattet sein. also Java. sollte neben einem E-Mail-Client ein Web-Browser installiert sein. Der Synchronisationsvorgang sollte nicht unbeobachtet ablaufen.• • Konfiguration: Je nach Sicherheitsanforderungen müssen die beteiligten SoftwareKomponenten (PDA. Außerdem ist Augenmerk und Sensibilisierung auf allfällige Privat-PCs zu richten. Es ist explizit zu verbieten. welche Dateien jeweils transferiert werden. können entscheidende Hinweise enthalten. dass vor der Installation von Programmen eine Rückfrage beim Benutzer erfolgt. dass die voreingestellte Konfiguration geändert wird. Daher sollten aktive Inhalte im WWW-Browser im Regelfall abgeschaltet sein und nur aktiviert werden. Dieser sollte SSL bzw. dass die Benutzer möglichst wenig Einflussmöglichkeiten haben.oder behördeninterne Server. dass verschiedene Benutzer damit arbeiten sollen. Nicht zuletzt sollte darauf geachtet werden. wenn diese aus einer vertrauenswürdigen Quelle kommen. Dies betrifft vor allem die PDAs selber.

M 4.und schaffen damit zusätzlich auch deren Sicherheitsrisiken. Es muss beachtet werden. Sie ist zu unterscheiden von den Telefonnummern.7. Hier wird auf die typischen Eigenschaften der Mobilfunk-Komponente eingegangen. Laptops zur Verfügung . vom "SIM-Toolkit" zum Herunterladen neuer Funktionen bis zum Speichern aller möglicher Daten: • • • • wo sich der Teilnehmer befindet und ob er sein Mobiltelefon eingeschaltet hat. Damit ist es möglich.229 ] 11. Der Benutzer/ Die Benutzerin wird durch seine/ihre auf der SIM-Karte gespeicherten Kundennummer (IMSI International Mobile Subscriber Identity) identifiziert. Smart Phone ISO Bezug: 27002 11. Darüber hinaus können dort Kurznachrichten.Subscriber Identity Module).405. dass der Netzbereiber eine Reihe von Zugriffsmöglichkeiten auf das Telefon bzw. die SIM-Karte hat und auch nutzt. 440 .1. Ein Mobiltelefon besteht aus dem Mobilfunkgerät selbst und dem Identifikationsmodul. schwarze Listen). Damit kann zwischen Benutzer/In und Gerät unterschieden werden. ob der Teilnehmer überhaupt berechtigt ist. welche Geräte als defekt oder als gestohlen gemeldet sind (graue bzw.[ Q: BSI B 3. a. dass ein Teilnehmer mit seiner SIM-Karte verschiedene Mobilfunkgeräte nutzen kann. ob das verwendete Gerät im Netz zugelassen ist. Sie wird dem Teilnehmer beim Vertragsabschluss vom Netzbetreiber zugeteilt. die Rufnummer gespeichert und die kryptographischen Algorithmen für die Authentisierung und Nutzdatenverschlüsselung implementiert. Das Mobilfunkgerät ist gekennzeichnet durch seine international eindeutige Seriennummer (IMEI . das Mobilfunknetz zu nutzen (Identifikationsregister).1 Mobiltelefone sind inzwischen nicht mehr wegzudenkende Bestandteile der Kommunikationsinfrastruktur geworden und stellen in ihrer modernsten Ausprägung als Smart Phone bereits die Funktionalität von PDAs bzw.7.International Mobile Equipment Identity). Gebühreninformationen und ein persönliches Telefonbuch gespeichert werden. Auf der SIM-Karte wird u.3 Mobiltelefon. der SIM-Karte (SIM .

Diebstahl Fahrlässige Zerstörung von Gerät oder Daten Manipulation oder Zerstörung von Geräten oder Zubehör Unerlaubte Ausübung von Rechten Unkontrollierter Einsatz von Datenträgern (z.• Verbindungsdaten für die Abrechnung der Dienste. Übertragungsinhalte. Typische Gefährdungen für Mobiltelefone: • • • • • • • • • • • • • • • • • • Umwelteinflüsse (Nässe. Rufnummern des Angerufenen). Zeitpunkt und Dauer der Verbindung und die Standorte.B.B. unerlaubtes Akzeptieren fremder SIM-Karten) Sorglosigkeit im Umgang mit Informationen 441 .B. Apps) Ungeordneter oder unerlaubter Benutzerwechsel Ausfall des Geräts oder der Stromversorgung Nicht-Verfügbarkeit des Mobilfunknetzes Verlust gespeicherter Daten Informationsverlust bei erschöpftem Speichermedium Software-Schwachstellen oder -Fehler Nichtbeachtung von Sicherheitsmaßnahmen Unzureichender Umgang mit Passwörtern Fehlerhafte Nutzung. wo keine Verschlüsselung wirksam ist. Fehler bei der Synchronisation Manipulation an Informationen oder Software (z. Konfigurations. Speicherkarten) Unerlaubte Installation von Software (z.bzw. Sie enthalten Angaben über Kommunikationspartner (z. Hitze) Verlust. aber auch auf Grund einer Anforderung der Strafverfolgung und Terrorismusbekämpfung.und Bedienungsfehler. Mobiltelefone können also durchaus sensitiv sein.B. Kälte. Es handelt sich aber nicht um End-toEnd Verschlüsselung bis zum Kommunikationspartner. Die kryptographischen Algorithmen der SIM-Karte dienen zur Identifikation des Teilnehmers gegenüber dem Netzbetreiber und zur Verschlüsselung der Gesprächs. auf dem Weg werden üblicherweise auch Festnetz-Strecken genutzt.

diese Telefone in einer Sammelaufbewahrung zu halten. Mobiltelefone sicher einzusetzen. Falls das Gerät zur Datenübertragung eingesetzt wird. Betrieb: Zum sicheren Betrieb von Mobiltelefonen gehören unter anderem die Sicherstellung der Energieversorgung und bei Bedarf auch der Schutz vor Rufnummernermittlung gehören.und Filmaufnahmen mit mobilen Endgeräten Abhören von Raumgesprächen mit Mobiltelefonen Auswertung von Verbindungsdaten bei der Nutzung von Mobiltelefonen Maßnahmenempfehlungen für Mobiltelefone: Für Mobiltelefone sind eine Reihe von Maßnahmen umzusetzen. beginnend mit der Planung über die Nutzung bis zur Notfallvorsorge: • • • Planung und Konzeption: Damit die Möglichkeiten. auf diese Weise eine große Anzahl von SMS-Nachrichten an ein Mobiltelefon zu senden. Darüber hinaus 442 . Es ist ohne großen Aufwand möglich. Trojanische Pferde. Die Übertragung von Kurzmitteilungen erfolgt immer über die Kurzmitteilungs-Zentrale. Die Mailbox bzw. die vom Unternehmen oder der Behörde zur Verfügung gestellt werden. welche die Nachrichten an den jeweiligen Empfänger weiterleitet. Beschaffung: Bei häufiger und wechselnder dienstlicher Nutzung von Mobiltelefonen. kann es sinnvoll sein. der Speicherplatz reicht nicht aus und ernsthafte Anfragen kommen nicht durch. Die Auswirkungen von SMS-Spam sind wie bei E-Mail. sollte eine Sicherheitsrichtlinie erstellt werden. die die umzusetzenden Maßnahmen beschreibt. Im Internet gibt es diverse WWW-Angebote. zur zuverlässigen Funktionsweise zu gewährleisten und Schutz geben Missbrauch zu beachten: • Kurzmitteilungen (SMS): Damit lassen sich Texte mit maximal 160 Zeichen von einem Mobiltelefon zum anderen oder auch an E-Mail-Adressen senden. Viren Vertraulichkeitsverlust schützenswerter Informationen Unzureichende Identifikationsprüfung von Kommunikationspartnern Unberechtigte Privatnutzung Unberechtigte Datenweitergabe Unberechtigte Foto. in der Praxis auch tatsächlich genutzt werden. über die mit minimalen Kosten Kurzmitteilungen versandt werden können.• • • • • • • • • Phishing Attacken auf Passwörter oder PINs via SMS Schadprogramme.

Bei einigen Netzbetreibern können E-Mail-Dienste mit anderen Diensten kombiniert werden. So können eingehende E-Mails von einem Sprachcomputer vorgelesen werden.B. Auch wenn die Displays der Mobiltelefone klein sind.bei Überschreitung drohen erhebliche Kosten. dazu kommt noch dass der Speicherplatz des Mobiltelefons durch empfangene Faxe überlastet werden kann E-Mail: können über Mobiltelefone empfangen und verschickt werden. im Vorfeld die eigene Rufnummer nicht zu breit zu streuen.• • entstehen dem Benutzer (evtl. Es können auch Faxe empfangen werden. Je nach Inhalt einer empfangenen Kurzmitteilung ist es sinnvoll nachzufragen. Sicherheitsmaßnahmen wie Verschlüsselung oder Signatur sind hierbei nicht möglich (außer über zusätzliche Module oder spezielle Geräte). Beim Versand von Kurzmitteilungen über das Internet erfolgt im Allgemeinen überhaupt keine eindeutige Identifizierung. sollten die Empfängerangaben vor dem Absenden überprüft werden.und je nach Vertrag mit dem Netzbetreiber kann bei der E-Mail-Nutzung außerdem nur eine begrenzte Anzahl von E-Mails pro Monat gesendet oder empfangen werden . bzw. Es passiert immer wieder. Sie erfolgt maximal über die Rufnummer des Absenders und diese wird je nach Netzbetreiber bzw. im Schadensfall eine Zeit lang auf SMS zu verzichten. auf den Eintrag in Telefonbücher zu verzichten. an ein Faxgerät oder eine andere E-Mail-Adresse weitergeleitet werden. Ausgehende E-Mails können ins Mobiltelefon gesprochen und als Audiodatei (WAV-Datei) versandt werden. ob diese wirklich vom angegebenen Absender stammt. wenn diese den Restriktionen der SMS-Übertragung genügen. richtige Zieladressen) gerechnet werden. Eine Identifikation des Absenders ist bei SMS nicht zuverlässig möglich. 443 . Faxe: können über Mobiltelefone können auch Faxe über SMS ins Festnetz versendet werden. Damit muss auch mit den von Faxgeräten bekannten Problemen (lesbarer Empfang. weil eine falsche Rufnummer angegeben oder ein falscher Eintrag aus dem Telefonbuch als Empfänger ausgewählt wurde. Die potentiellen Sicherheitsprobleme und Maßnahmen sind die gleichen wie bei auf PC üblicher Nutzung von E-Mail . wenn auch mitunter auf 160 Zeichen begrenzt. Bestätigungen. Hiergegen hilft nur. dass SMS-Nachrichten beim falschen Empfänger landen. erhält das Mobiltelefon eine eigene E-Mail-Adresse. Das wird für Phishing-SMS ausgenützt. Wenn dieser Service vom Netzbetreiber eingerichtet worden ist. Konfiguration des Mobiltelefons nicht immer mitübertragen. Wie Kurzmitteilungen und Faxe können auch E-Mails schnell den vorhandenen Speicherplatz ausschöpfen . hohe) Kosten. also z.

ohne dass dies besonders auffällt (bei Windows-PCs wird meist ein kleines Icon in der Task-Leiste angezeigt). als Modems für Internetzugang genutzt zu werden. die Einbruchmeldeanlage setzt Alarmmeldungen über Mobilfunk ab oder Notfallpersonal wird über Mobiltelefone benachrichtigt). dann entsteht eine unkontrollierbare Verbindung vom Netzwerk in die Außenwelt unter Umgehung des Firewall-Schutzes! Dafür ist entsprechende Sensibilisierung zu schaffen. Alle Datenübertragungseinrichtungen sollten genehmigt sein und deren Nutzung klaren Regelungen unterliegen Nofallvorsorge: Ein Mobiltelefon kann aus verschiedenen Gründen ausfallen oder in seiner Funktionsfähigkeit gestört sein.• Kopplung zu anderen IT-Systemen (Notebook. Organizer): Diese kann über Einsteckkarte (PC-Card. entsprechende Software .uner Wahrung der Regelungen für die Datenübertragung . Infrarot (IrDA Infrared Data Association) oder Bluetooth erfolgen. Displaysymbole oder Ähnliches) sollte bei dienstlich genutzten Mobiltelefonen unterbunden oder verboten werden. • Wenn ein Mobiltelefon kontinuierlich verfügbar sein soll. • Mobiltelefone bieten zunehmend die Möglichkeit. Klingeltöne.B. Dies ist natürlich besonders ärgerlich. Erfolgt dies gleichzeitig mit einer Kopplung an eine IT-Komponente der Organisation im Netzwerk.in einen PC eingelesen und dort verwaltet werden. mindestens aber ein Ersatz-Akku mitgeführt werden. • • Viele Händler bieten auch für die Dauer der Reparatur Ersatzgeräte an. Softmodem. USB. Es ist zu beachten. • Herunterladen von Software oder Daten aus dem Internet (Apps. wenn es dringend benötigt wird oder dadurch wichtige Daten verloren gehen. 444 . Damit kann Datensicherung sowie Synchronisation. Bei der Auswahl des Mobiltelefons bzw. • • Die wichtigsten Einstellungen wie PINs und die Konfiguration von Sicherheitsmechanismen sollten schriftlich dokumentiert und entsprechend ihres Schutzbedarfs sicher aufbewahrt werden. dass bei Funkschnittstellen ein Abhörrisiko besteht. wenn Mobiltelefone im Rahmen von Alarmierungen eingesetzt werden (z. auch mehrerer Mobiltelefone durchgeführt werden. Das ist etwa dann unabdingbar. ggf. PCMCIA). Reparatur: sollte nur von vertrauenswürdigen Fachbetrieben durchgeführt werden. • Alle auf der SIM-Karte oder im Telefon gespeicherten Daten über SIMKartenleser bzw. und sich mobile Geräte oft automatisch untereinander verbinden. Daher sollte eine Übersicht über entsprechende Fachbetriebe vorhanden sein. dass solche Dienstleistungen angeboten werden. sollte ein ErsatzMobiltelefon. • Der Ladezustand und die Funktionsfähigkeit des Mobiltelefon-Akkus sollten regelmäßig überprüft werden. des Händlers darauf zu achten.

CD-/DVD-Writer.404. für Reisen bzw.7. • Nicht zuletzt sollte darauf geachtet werden. [ Q: BSI B 3. die in die USB-Schnittstelle gesteckt werden. Steckdosen im Ausland mitzuführen.4 Wechselmedien und externe Datenspeicher (USBSticks. Beim Booten von Wechselmedien oder beim Installieren von Fremdsoftware können nicht nur Sicherheitseinstellungen außer Kraft gesetzt werden. also z.B.1 Handelsübliche PCs sind heute in der Regel mit CD-/DVD-ROM-Laufwerk bzw. Vorher sollten sie selbstverständlich gesichert werden. sollten alle personenbezogenen Daten. -Festplatten. und Firewire-Festplatten. über Schnittstellen externe Speichermedien anzuschließen. Viren.1. Zusätzlich besteht die Möglichkeit. Diebstahl: die SIM-Karte dieses Telefons sollte unverzüglich gesperrt werden. CDs. -Platten. gespeicherte E-Mails und das Telefonbuch im Gerät gelöscht werden. der Anrufspeicher. Verlust. M 5. für MicrosoftBetriebssysteme ab Windows 2000) automatisch erkannt werden. DVDs) ISO Bezug: 27002 11. Außerdem sollte die SIM-Karte entfernt werden.7. längeren Einsatz unterwegs das Ladegerät sowie ggf. 445 .B. Durch solche Laufwerke für Wechselmedien und externe Datenspeicher ergeben sich potentielle Sicherheitsprobleme: • • • Der PC könnte von solchen Laufwerken unkontrolliert gebootet werden. Es könnte unkontrolliert Software (auch Schadsoftware. manchmal noch mit Diskettenlaufwerken. Beispiele sind USB-Memory-Sticks bzw. um Missbrauch und unnötige Kosten zu verhindern. Trojanische Pferde) von solchen Laufwerken eingespielt werden. Dienstliche Daten könnten unberechtigt auf Wechselmedien kopiert werden.• Bevor das Mobiltelefon zur Reparatur gegeben wird. die von neueren Betriebssystemen (z.81 ] 11. sondern der PC kann auch mit Computer-Viren und anderen Schadprogrammen infiziert werden. Adapter für andere Stromspannungen bzw. soweit das noch möglich ist. ausgestattet.

Weiterhin ist zu berücksichtigen. die zum Anschluss einer Maus nur die USB-Schnittstelle zur Verfügung stellen.Diesen Gefahren muss durch geeignete organisatorische oder technische Sicherheitsmaßnahmen entgegengewirkt werden. Diese Lösung sollte in Betracht gezogen werden. muss sichergestellt sein. ein "USBSchloss" zu verwenden oder die Schnittstelle durch andere mechanische 446 . Dies erschwert die unberechtigte Nutzung. Daher ist diese Lösung nur bei höherem Schutzbedarf oder besonderen Sicherheitsanforderungen sinnvoll. wenn die verwendete Schnittstelle auch für andere (erlaubte) Zusatzgeräte genutzt wird.und Nachteile im Folgenden kurz dargestellt werden: • • • • Ausbau von Laufwerken: Der Ausbau der Laufwerke für Wechselmedien (bzw. dass der Ausbau unter Umständen die Administration und Wartung des IT-Systems behindert. Verschluss von Laufwerken: Für einige Laufwerksarten gibt es abschließbare Einschubvorrichtungen. Dadurch ist es in der Regel nicht sinnvoll. dass die Benutzer nicht über die Berechtigungen im Betriebssystem verfügen. um die Deaktivierung der Laufwerke rückgängig zu machen. der Verzicht bei der Beschaffung) bietet zwar den sichersten Schutz vor den oben genannten Gefährdungen. die Installation von Fremdsoftware oder das Kopieren auf Wechselmedien. von welchen Laufwerken gebootet werden kann. In Verbindung mit einem PasswortSchutz der BIOS-Einstellungen (siehe auch M 4. Hierfür bieten sich verschiedene Vorgehensweisen an. Die Deaktivierung der Laufwerke im BIOS bzw. So werden beispielsweise Notebooks ausgeliefert. Außerdem sollte darauf geachtet werden. Damit diese Vorgehensweise wirksam ist. wenn besondere Sicherheitsanforderungen bestehen. Bei der Beschaffung sollte sichergestellt werden. mit denen die unkontrollierte Nutzung verhindert werden kann. Betriebssystem: Im BIOS bieten die meisten PCs Einstellmöglichkeiten dafür. Deaktivierung im BIOS bzw. Die entsprechenden Einstellungen im Betriebssystem können gegebenenfalls sogar zentral vorgenommen werden. Kontrolle der Schnittstellennutzung: Der Betrieb von externen Speichermedien wie USB-Memory-Sticks lässt sich nur sehr schwer verhindern. Betriebssystem hat den Vorteil.84 Nutzung der BIOSSicherheitsmechanismen) kann dadurch das unkontrollierte Booten von Wechselmedien und mobilen Datenträgern unterbunden werden. Weiterhin können die vorhandenen Laufwerke und Schnittstellen bei modernen Betriebssystemen einzeln deaktiviert werden. dass die Laufwerksschlösser für die vorhandenen Laufwerke geeignet sind und diese nicht beschädigen können.B. dass die Schlösser herstellerseitig mit hinreichend vielen unterschiedlichen Schlüsseln angeboten werden. deren spezifische Vor. ist aber meist mit erheblichem Aufwand verbunden. dass keine Hardware-Änderungen erforderlich sind. Nachteilig sind die Beschaffungskosten für die Laufwerksschlösser und der Aufwand für die erforderliche Schlüsselverwaltung. z.

Beispielsweise kann ein generelles Verbot ausgesprochen werden.3. dass auschließlich Zugriffe auf dafür zugelassene mobile Datenträger möglich sind. Besonderes Augenmerk ist auf den Schutz vor Schadprogrammen. z. Bei der Auswahl einer geeigneten Vorgehensweise müssen immer alle Laufwerke für Wechselmedien berücksichtigt werden. alle Laufwerke für Wechselmedien zu deaktivieren oder auszubauen.oder Firewire-Schnittstellen kann zusätzlich festgelegt werden. Eine Lösung ist beispielsweise. Diese rein organisatorische Lösung sollte nur dann gewählt werden. also insbesondere auch E-Mail und InternetAnbindungen. Wenn der PC über eine Verbindung zum Internet verfügt. sondern schützt auch die Daten auf den mobilen Datenträgern bei Verlust oder Diebstahl. Einzelheiten sind produkt. die detektiert werden können. Ausbau. über Vernetzung Daten auszutauschen. ist es nicht allein ausreichend.1 Nutzungsverbot nicht freigegebener Software).B. Die Installation und das Starten von Programmen. Dies schützt nicht nur vor unbefugtem Zugriff über manipulierte mobile Datenträger. Verschluss oder Deaktivierung der Laufwerke im Betriebssystem kommen nicht in Frage. Bei einigen Zusatzprogrammen zur Absicherung der USB. Beim Anschluss von Datenträgern an externen Schnittstellen werden oft vom Betriebssystem Treiber bzw. sollte untersagt und soweit wie möglich auch technisch unterbunden werden (siehe auch 12. die Nutzung ist jedoch durch entsprechende Richtlinien reglementiert. Auf technischer Ebene sollte dann lediglich das Booten von Wechselmedien im BIOS deaktiviert werden. nur das Kopieren öffentlicher Text-Dokumente wird erlaubt. 447 .durch technische Maßnahmen unterbunden werden. In diesem Fall sollten die Richtlinien für die Nutzung der Laufwerke und Speichermedien so explizit wie möglich definiert werden. die von Wechselmedien eingespielt wurden. Kernelmodule geladen oder Einträge in Konfigurationsdateien (wie der Windows-Registry) erzeugt. Alternativ kann das Hinzufügen von Geräten überwacht werden. zu richten. die dafür sorgen. ob von externen Datenträgern nur gelesen werden kann. aber ebenso auch alle Möglichkeiten. Verschlüsselung: Es gibt Produkte. dass nur noch mobile Datenträger gelesen und beschrieben werden können.• • Maßnahmen zu deaktivieren. Anderenfalls sollte der Zugriff wie oben beschrieben . Die Richtlinien müssen allen Benutzern bekannt gemacht und die Einhaltung kontrolliert werden. wenn die Benutzer hin und wieder oder regelmäßig auf die Laufwerke zugreifen müssen. Richtlinien für die Nutzung: In vielen Fällen dürfen die Benutzer die eingebauten Laufwerke für Wechselmedien oder Speichermedien an externen Schnittstellen durchaus verwenden. Computer-Viren oder Trojanische Pferde. die mit bestimmten kryptographischen Schlüsseln verschlüsselt worden sind.und betriebssystemspezifisch. Die Nutzung von Schnittstellen sollte daher durch entsprechende Rechtevergabe auf Ebene des Betriebssystems oder mit Hilfe von Zusatzprogrammen geregelt werden.

1 Da es bisher kein "Telearbeitsgesetz" mit eigenständigen gesetzlichen Regelungen gibt. sollten wichtige Fragen entweder durch Kollektivverträge. Betriebsvereinbarungen oder zusätzlich zum Arbeitsvertrag getroffene individuelle Vereinbarungen zwischen Telearbeiter/innen und Arbeitgeber geklärt werden.5.7. .B.Damit die Sicherheitsmaßnahmen akzeptiert und beachtet werden. [ Q: BSI M 4. Aus dem Aspekt der Sicherheit entstehen insbesondere folgende zusätzliche Anforderungen: • • • Sichtschutz des Monitors. falls er durch ein Fenster beobachtet werden könnte Überspannungsschutz Bereitstellung versperrbarer Behältnisse zur Aufbewahrung von Datenträgern und Dokumenten Dienstlich genutzte IT sollte vom Arbeitgeber bereitgestellt werden. müssen die Benutzer über die Gefährdung durch Laufwerke für Wechselmedien informiert und sensibilisiert werden.2.4 ] 11. dass die IT für private Zwecke benutzt wird. 13. Sicherheit und Gesundheitsschutz ausgewählt werden. per Dienstanweisung ausschließen zu können.2 Geeignete Einrichtung eines häuslichen Arbeitsplatzes ISO Bezug: 27002 9. 11. Die Einrichtung sollte unter Berücksichtigung von Ergonomie.2 Der häusliche Arbeitsplatz sollte von der übrigen Wohnung zumindest durch eine Tür abgetrennt sein und ausschließlich der beruflichen Tätigkeit dienen. um z. Insbesondere sollten folgende Punkte geregelt werden: • 448 Freiwilligkeit der Teilnahme an der Telearbeit. [ eh SYS 9.7.3 Regelungen für Telearbeit ISO Bezug: 27002 9.2.2.1.7. 11.1 ] 11.7.5.

Arbeitsmittel: Es kann festgeschrieben werden.B. Am häuslichen Arbeitsplatz sollten dieselben Vorschriften und Richtlinien bezüglich der Gestaltung des Arbeitsplatzes (z. So kann ein E-Mail-Anschluss zur Verfügung gestellt werden. dass jeweils eine Generation der Datensicherung bei der Institution zur Unterstützung der Verfügbarkeit hinterlegt wird. regelmäßig eine Datensicherung durchzuführen. die für die Telearbeit notwendigen ITSicherheitsmaßnahmen zu beachten und zu realisieren. in welchen Abständen aktuelle Informationen eingeholt werden (z. Dies sollte in Absprache mit dem/der Telearbeiter/in durch den/die in der Institution Verantwortlichen für den Arbeitsschutz. welche Arbeitsmittel Telearbeiter/innen einsetzen können und welche nicht genutzt werden dürfen (z.B. Haftung (bei Diebstahl oder Beschädigung der IT. für Strom und Heizung. wie häufig E-Mails gelesen werden) und wie schnell darauf reagiert werden sollte. Personalrat und dem/der direkten Vorgesetzten der Telearbeiterin bzw. Reaktionszeiten: Es sollte geregelt werden. Datensicherung: Der/die Telearbeiter/in ist zu verpflichten. Darüber hinaus sollte vereinbart werden. Beendigung der Telearbeit. aber die Nutzung von anderen Internet-Diensten wird untersagt. Einrichtung eines Bildschirmarbeitsplatzes) und der Arbeitsumgebung gelten wie in der Institution. Weiters kann die Benutzung von Disketten (Gefahr von Viren) untersagt werden. Aufwendungen für Fahrten zwischen Betrieb und häuslicher Wohnung. des Telearbeiters begutachtet werden können. IT-Sicherheitsmaßnahmen: Der/die Telearbeiter/in ist zu verpflichten. Die umzusetzenden IT-Sicherheitsmaßnahmen sind dem/der Telearbeiter/in in schriftlicher Form zu übergeben.• • • • • Mehrarbeit und Zuschläge. dem/der Datenschutz-/IT-Sicherheitsbeauftragten sowie dem Betriebsbzw. Aufwendungen z. Datenschutz: 449 .B. aber auch bei Arbeitsunfall oder Berufskrankheit). Im Sinne der IT-Sicherheit sollten zusätzlich folgende Punkte behandelt werden: • • • • • • Arbeitszeitregelung: Die Verteilung der Arbeitszeiten auf Tätigkeiten in der Institution und am häuslichen Arbeitsplatz muss geregelt sein und feste Zeiten der Erreichbarkeit am häuslichen Arbeitsplatz müssen festgelegt werden. wenn der Telearbeitsrechner dies nicht erfordert. nicht freigegebene Software).B.

7. Entsprechende Merkblätter sind regelmäßig zu aktualisieren. welche Daten auf welchem Weg übertragen bzw. geregelt werden: • • • 450 welche Dokumente bzw. Paketdienst.8.2 Damit der Austausch von Dokumenten und Datenträgern zwischen häuslichem Arbeitsplatz und Institution sicher vollzogen werden kann.• • • • Der/die Telearbeiter/in ist auf die Einhaltung einschlägiger Datenschutzvorschriften zu verpflichten sowie auf die notwendigen Maßnahmen bei der Bearbeitung von personenbezogenen Daten am häuslichen Arbeitsplatz hinzuweisen. in Versandtasche.5..7.und Datenträgertransports zwischen häuslichem Arbeitsplatz und Institution ISO Bezug: 27002 9. . 10. Datenträger über welchen Transportweg (Postweg. Transport von Dokumenten und Datenträgern: Die Art und Absicherung des Transports zwischen häuslichem Arbeitsplatz und Institution ist zu regeln. Meldewege: Der/die Telearbeiter/in ist zu verpflichten.4 Regelung des Dokumenten. [ eh SYS 9.2 ] 11. ist eine Regelung über Art und Weise des Austausches aufzustellen.2. mit vorheriger Anmeldung) vereinbart werden. per Einschreiben. welche Daten nicht oder nur verschlüsselt elektronisch übermittelt werden dürfen. mit Begleitschreiben oder mit Versiegelung) und welche Dokumente bzw. diese Regelungen schriftlich festzulegen und jedem/jeder Telearbeiter/in auszuhändigen. . Zutrittsrecht zum häuslichen Arbeitsplatz: Für die Durchführung von Kontrollen und für die Verfügbarkeit von Dokumenten und Daten im Vertretungsfall kann ein Zutrittsrecht zum häuslichen Arbeitsplatz (ggf.) ausgetauscht werden dürfen. IT-sicherheitsrelevante Vorkommnisse unverzüglich an eine zu bestimmende Stelle in der Institution zu melden. Datenkommunikation: Es muss festgelegt werden. 11. Kurier. Datenträger nur persönlich transportiert werden dürfen.. Darin sollten zumindest folgende Punkte betrachtet bzw. Es empfiehlt sich. welche Schutzmaßnahmen beim Transport zu beachten sind (beispielsweise Transport in geschlossenem Behälter.

6 Betreuungs. [ eh SYS 9.7. Die dienstlichen Unterlagen und Datenträger müssen außerhalb der Nutzungszeit darin verschlossen aufbewahrt werden. Dieses sollte folgende Punkte vorsehen: • Benennen von problembezogenen Ansprechpartnern für den Benutzerservice: An diese Stelle wenden sich Telearbeiter/innen bei Software.Da Schriftstücke oftmals Unikate sind. Jeweils eine Generation der Backup-Datenträger sollte jedoch in der Institution aufbewahrt werden. 10. [ eh SYS 9. Hingegen kann beim Datenträgeraustausch vorab eine Datensicherung erfolgen.7. Aus diesem Grund muss ein verschließbarer Bereich (Schrank.) verfügbar sein.3 ] 11.und Reparaturarbeiten ein. dass nur der/die Telearbeiter/in selber bzw. leitet Wartungs. welchen Schaden der Verlust bedeuten würde. 11.ä. Es ist sicherzustellen.2 Dienstliche Unterlagen und Datenträger dürfen auch am häuslichen Arbeitsplatz nur dem/der autorisierten Mitarbeiter/in zugänglich sein.2. deren Vertretung darauf Zugriff hat. Backup-Datenträger müssen im häuslichen Bereich verschlossen aufbewahrt werden.5. 451 . Schreibtisch o.7.und Hardwareproblemen.7.2 Für die Telearbeitsplätze muss ein spezielles Betreuungs.und Wartungskonzept für Telearbeitsplätze ISO Bezug: 27002 11.7. Der Benutzerservice versucht (auch telefonisch) kurzfristig Hilfestellung zu leisten bzw.5 Geeignete Aufbewahrung dienstlicher Unterlagen und Datenträger ISO Bezug: 27002 9. Die Schutzwirkung des abschließbaren Bereiches hat den Sicherheitsanforderungen der darin zu verwahrenden Unterlagen und Datenträger zu entsprechen.4] 11. damit im Katastrophenfall der/die Vertreter/in auf die Backup-Datenträger zugreifen kann. muss bei der Auswahl eines geeigneten Dokumentenaustauschverfahrens beachtet werden.und Wartungskonzept erstellt werden.

11. aber auch Postaustausch sowie Akten. in der Sicherheitsrichtlinie zur Telearbeit (siehe 11. Fernwartung: Falls der Telearbeitsrechner über Fernwartung administriert und gewartet werden kann.und Datenträgertransport benötigt und daher vom Telearbeitsrechner unterstützt werden.7.7 Geregelte Nutzung der Kommunikationsmöglichkeiten ISO Bezug: 27002 9. 12.7. um den Missbrauch eines Fernwartungszugangs zu verhindern (vgl. wer autorisiert ist. etwa ob private Nutzung erlaubt oder untersagt sein soll.1. Dies verringert den konzeptionellen und administrativen Aufwand für den Aufbau eines sicheren Telearbeitsrechners und erleichtert Problemlösungen für den Benutzerservice. sind die notwendigen Sicherheitsmaßnahmen sowie die erforderlichen Online-Zeiten zu vereinbaren. Zu klären sind zumindest folgende Punkte: • 452 Datenflusskontrolle .3 Regelungen für Telearbeit).2.5.und Internet-Anbindung. 11.5 ] 11. Einführung von Standard-Telearbeitsrechnern: Wenn möglich sollten alle Telearbeiter/innen einer Institution einen definierten Standard-Telearbeitsrechner haben.2 Für Telearbeit werden typischerweise verschiedene Möglichkeiten zur Kommunikation wie beispielsweise Telefon-. z. [ eh SYS 9. Die Regelungen über die Nutzung der Kommunikationsmöglichkeiten bei Telearbeit sind schriftlich zu fixieren. damit die Telearbeiter/innen zu diesen Zeiten den Zutritt zum häuslichen Arbeitsplatz gewährleisten können.B.7. auf welche Weise die vorhandenen Kommunikationsmöglichkeiten genutzt werden dürfen. Diese Regelungen sind den Telearbeitern auszuhändigen. IT-Komponenten zwischen Institution und häuslichem Arbeitsplatz der Telearbeiterin bzw.7. des Telearbeiters zu transportieren. Insbesondere ist ein Sicherungsverfahren festzulegen. Fax. Es muss auch geregelt werden.7.3 Fernwartung) Transport der IT: Es sollte aus Gründen der Haftung festgelegt werden.• • • • Wartungstermine: Die Termine für vor Ort durchzuführende Wartungsarbeiten sollten frühzeitig bekannt gegeben werden.

dass Viren importiert werden. elektronische Recherchen) dürfen vom Telearbeitsrechner aus in Anspruch genommen werden? Beispielsweise können aus der Art der Abfragen u. so ist zu klären. welche Informationen per Fax an wen übermittelt werden dürfen. IT-Sicherheitsmaßnahmen • • • • • Welche Dienste dürfen zur Datenübertragung genutzt werden? Welche Dienste dürfen explizit nicht genutzt werden? Welche Informationen dürfen an wen versendet werden? Welcher Schriftverkehr darf über E-Mail abgewickelt werden? • • • Für welche Daten sollen welche Verschlüsselungsverfahren eingesetzt werden? • Für welche Daten ist eine Löschung nach erfolgreicher Übertragung notwendig? Dies kann beispielsweise für personenbezogene Daten gelten. • Der elektronische Versand welcher Informationen bedarf der vorherigen Zustimmung der Institution? Informationsgewinnung Welche elektronischen Dienstleistungen (Datenbankabfragen. Welche Optionen dürfen im Internet-Browser aktiviert werden? Welche Rahmenbedingungen und technischen Sicherheitsmaßnahmen müssen bei der Internet-Nutzung beachtet werden? Welche Sicherungsverfahren sollen im Internet-Browser aktiviert werden? 453 .• Falls der Telearbeitsrechner ein Fax-Modem besitzt oder wenn am Telearbeitsplatz ein Faxgerät vorhanden ist. Internet-Nutzung • • • • • Wird die Nutzung von Internet-Diensten generell verboten? Welche Art von Daten darf aus dem Internet geladen werden? Werden Daten von fremden Servern geladen. so besteht die Gefahr. • Von welchen Daten soll trotz der erfolgreichen Übertragung eine Kopie der Daten auf dem Telearbeitsrechner verbleiben? • Wird vor Versand oder nach Erhalt von Daten ein Viren-Check der Daten durchgeführt? • Für welche Datenübertragung soll eine Protokollierung erfolgen? Falls eine automatische Protokollierung nicht möglich sein sollte. Rückschlüsse auf Unternehmensstrategien gezogen werden. ist festzulegen. ob und in welchem Umfang eine handschriftliche Protokollierung vorzusehen ist.U.

7.6 ] 11. 11.7. Dies gilt sowohl für den Zugriff auf Daten wie auf in der Institution verfügbare IT-Komponenten. sollte er/sie auch nicht zugreifen können. Unterschriftenregelung • • • • Ist eine Unterschriftenregelung für die Kommunikation vorgesehen? Werden gesetzeskonforme elektronische Signaturen eingesetzt? Werden andere Authentisierungsverfahren für den Schriftverkehr genutzt? [ eh SYS 9.2. [ eh SYS 9.6.Institution ISO Bezug: 27002 10. Entsprechend sind die notwendigen Rechte wie Lese.9 Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner.7. ist eine anonyme Nutzung erforderlich.2. die der/die Telearbeiter/in für seine/ihre Aufgaben nicht braucht. muss zuvor festgelegt werden.5. der auf Grund eines Hacker-Angriffs auf den Kommunikationsrechner entstehen kann. Damit soll erreicht werden. minimiert wird.2 454 . 11.und Schreibrechte auf diese Objekte zuzuweisen.7. Programme. wenn der Telearbeiter sich am Informationsaustausch mittels Newsgruppen beteiligen will? Ggf.7 ] 11. dass der Schaden.2. welche Objekte (Daten. Auf Objekte. Erfordert die Telearbeit den Zugriff auf die IT der Institution (zum Beispiel auf einen Server).8 Regelung der Zugriffsmöglichkeiten von Telearbeiter/innen ISO Bezug: 27002 9. 11. ITKomponenten) der/die Telearbeiter/in tatsächlich für die Erfüllung seiner/ihrer Aufgaben benötigt.• Ist die Zustimmung der Institution erforderlich.

dazu §126a zu Datenbeschädigung). verzichtet werden. dass Daten mit Absender "Telearbeitsrechner" auch tatsächlich von dort stammen. in dem der Ausfall einzelner Verbindungsstrecken nicht den Totalausfall der Kommunikationsmöglichkeiten bedeutet. so dass eine Maskerade ausgeschlossen werden kann. 455 . welche Daten wann an wen übertragen wurden.Erfolgt im Rahmen der Telearbeit eine Datenübertragung zwischen einem Telearbeitsrechner und dem Kommunikationsrechner der Institution. die nachträglich feststellen lassen. um absichtliche Manipulationen während der Datenübertragung erkennen zu können (vgl. Auf eine redundante Einführung der Netzanbindung an den Telearbeitsrechner und die Schnittstelle der Institution kann ggf. Sicherstellung der Authentizität der Daten: Bei der Übertragung der Daten zwischen Telearbeitsrechner und Institution muss vertrauenswürdig feststellbar sein. Dies bedeutet. Dazu gehört neben einem geeigneten Verschlüsselungsverfahren auch ein angepasstes Schlüsselmanagement mit periodischem Schlüsselwechsel. Da weder die Institution noch die Telearbeiter/innen großen Einfluss darauf nehmen können. Generell muss die Datenübertragung zwischen Telearbeitsrechner und Institution folgende Sicherheitsanforderungen erfüllen: • • • • • Sicherstellung der Vertraulichkeit der übertragenen Daten: Es muss durch eine ausreichend sichere Verschlüsselung erreicht werden. sollte ein redundant ausgelegtes öffentliches Kommunikationsnetz als Übertragungsweg ausgewählt werden. Sicherstellung der Verfügbarkeit der Datenübertragung: Falls zeitliche Verzögerungen bei der Telearbeit nur schwer zu tolerieren sind. dass auch durch Abhören der Kommunikation zwischen Telearbeitsrechner und Kommunikationsrechner der Institution kein Rückschluss auf den Inhalt der Daten möglich ist. werden dabei dienstliche Informationen üblicherweise über öffentliche Kommunikationsnetze übertragen. sind ggf. ob die Vertraulichkeit. zusätzliche Maßnahmen erforderlich. Bei Bedarf kann auch ein zusätzlicher Fehlererkennungsmechanismus benutzt werden. Sicherstellung der Nachvollziehbarkeit der Datenübertragung: Um eine Kommunikation nachvollziehbar zu machen. falls das öffentliche Netz keine ausreichende Sicherheit bieten kann. Ebenso muss der Ursprung von Institutionsdaten zweifelsfrei auf die Institution zurückgeführt werden können. Sicherstellung der Integrität der übertragenen Daten: Die eingesetzten Übertragungsprotokolle müssen eine zufällige Veränderung übertragener Daten erkennen und beheben. können Protokollierungsfunktionen eingesetzt werden. Integrität und Verfügbarkeit im öffentlichen Kommunikationsnetz gewahrt werden. ob die Kommunikation zwischen den richtigen Teilnehmern stattfindet.

des Telearbeiters oder des Telearbeitsrechners anzustoßen. müssen sich vor einem Zugriff auf den Rechner identifizieren und authentisieren. so können Quittungsmechanismen eingesetzt werden. aus denen hervorgeht. Andererseits kann auch ein Zugriff auf Server in der Institution für die Telearbeiter/innen notwendig sein. Mitarbeiter/innen in der Institution und Telearbeiter/innen. Rollentrennung: Die Rollen der Administratoren und der Benutzer/innen des Kommunikationsrechners sind zu trennen.6. muss es für den Kommunikationsrechner auch möglich sein. also Administratoren. Die Stärke der dazu erforderlichen Mechanismen richtet sich dabei nach dem Schutzbedarf der übertragenen Daten.1. [ eh SYS 9.• Sicherstellung des Datenempfangs: Ist es für die Telearbeit von Bedeutung. Eine Rechtevergabe darf ausschließlich Administratoren möglich sein. ob Daten korrekt empfangen wurden. Rechteverwaltung und -kontrolle: . um aufgeschaltete Angreifer abzuwehren. Im Rahmen der Identifikation und Authentisierung der Benutzer/innen sollte auch zusätzlich eine Identifizierung der Telearbeitsrechner stattfinden (zum Beispiel über Rufnummern und CallbackVerfahren). Unabhängig von den Zugriffsweisen muss der Kommunikationsrechner der Institution im Allgemeinen folgende Sicherheitsanforderungen erfüllen: • • • 456 Identifikation und Authentisierung: Sämtliche Benutzer/innen des Kommunikationsrechners. Nach mehrfachen Fehlversuchen ist der Zugang zu sperren. ob der/die Empfänger/in die Daten korrekt empfangen hat. Voreingestellte Passwörter sind zu ändern.10.7.2 Je nach Art der Telearbeit und der dabei durchzuführenden Aufgaben gestaltet sich der Zugriff der Telearbeiter/innen auf Institutionsdaten anders.7.10 Sicherheitstechnische Anforderungen an den Kommunikationsrechner ISO Bezug: 27002 10. So ist denkbar. während der Datenübertragung eine erneute Authentisierung der Telearbeiterin bzw.1. 11.8 ] 11. Ggf. 10. dass zwischen Telearbeiterinnen/Telearbeitern und Institution nur E-Mails ausgetauscht werden.

der für die Aufgaben der Telearbeiter/innen notwendig ist.9 ] 11.2 457 . in dem ggf. Ist eine Fernadministration unvermeidbar. Dem Administrator bzw. zum und über den Kommunikationsrechner sind mit Uhrzeit. dass die Zugriffsmöglichkeiten auf das notwendige Mindestmaß beschränkt werden. Automatische Virenprüfung: Übertragene Daten sind einer automatischen Prüfung auf Viren zu unterziehen. Minimalität der Dienste: Dienste.• • • • • Der Zugriff auf Dateien des Kommunikationsrechners darf nur im Rahmen der gebilligten Rechte erfolgen können. Bei Systemabsturz oder bei Unregelmäßigkeiten muss der Kommunikationsrechner in einen sicheren Zustand übergehen.in Abstimmung mit der organisationsweiten IT-Sicherheitspolitik . Der Zugriff auf angeschlossene Rechner in der Institution und darauf gespeicherte Dateien ist zu reglementieren. Administrationstätigkeiten sind zu protokollieren. so sind sämtliche Funktionalitäten zur Fernadministration zu sperren. kein Zugriff mehr möglich ist. die durch den Kommunikationsrechner zur Verfügung gestellt werden. Protokollierung: Datenübertragungen vom. müssen dem Minimalitätsprinzip unterliegen: alles ist verboten. Adresse und Dienst zu protokollieren. Dabei sollten Auffälligkeiten automatisch gemeldet werden.7. Administrationsdaten sollten verschlüsselt übertragen werden. sind bei entsprechender Vertraulichkeit . Benutzer/in. was nicht ausdrücklich erlaubt wird. dem Revisor sollten Werkzeuge zur Verfügung stehen.11 Informationsfluss.7.zu verschlüsseln. Dabei ist darauf zu achten. die auf dem Kommunikationsrechner für die Telearbeiter/innen vorgehalten werden. Meldewege und Fortbildung ISO Bezug: 27002 11. um die Protokolldaten auszuwerten. Voreingestellte Passwörter und kryptographische Schlüssel sind zu ändern. Vermeidung oder Absicherung von Fernadministration: Benötigt der Kommunikationsrechner keine Fernadministration. Jegliche Fernadministration darf nur nach vorhergehender erfolgreicher Identifikation und Authentisierung stattfinden. Die Dienste selbst sind auf den Umfang zu beschränken. so muss sie ausreichend abgesichert werden. [ eh SYS 9. Verschlüsselung: Daten.

Eine Lösung wäre eventuell das Einscannen wichtiger Schriftstücke.Damit der/die Telearbeiter/in nicht vom betrieblichen Geschehen abgeschnitten wird. Darüber hinaus ist der/die Telearbeiter/in so weit im Umgang mit dem Telearbeitsrechner zu schulen. einfache Probleme selbstständig lösen kann. einschlägige Informationen und Zeitschriften ist zu regeln.10 ] 458 . Die Beteiligung der Telearbeiter/innen an Umlaufverfahren für Hausmitteilungen. Druckerpatrone wechseln) wahrnehmen kann bzw. sollte der/die Vorgesetzte einen regelmäßigen Informationsaustausch zwischen Telearbeiter/innen und den Arbeitskolleginnen und -kollegen ermöglichen.B. Dies ist wichtig. damit der/die Telearbeiter/in auch zukünftig über Planungen und Zielsetzungen in seinem/ihrem Arbeitsbereich informiert ist.und Erreichbarkeitszeiten sowie die E-Mail-Adressen bzw. Telefonnummern der Telearbeiter/innen in Kenntnis gesetzt werden. Weiters müssen die Arbeitskolleginnen und -kollegen über Anwesenheits. damit Frustrationen vermieden werden und ein positives Telearbeitsklima geschaffen wird und erhalten bleibt. [ eh SYS 9. Nach Bekanntgabe des Konzeptes müssen Telearbeiter/innen in die zu realisierenden Sicherheitsmaßnahmen eingewiesen und eventuell in ihrem Umgang geschult werden. dass er/sie einfache Tätigkeiten (z. dass ein Sicherheitskonzept für die Telearbeitsplätze erstellt wird. um sie dann dem/ der Telearbeiter/in per E-Mail zuzustellen. wenn der/die Telearbeiter/in ausschließlich zu Hause arbeitet. müssen diese von dem/der Telearbeiter/in unverzüglich der Institution gemeldet werden. Dies stellt dann ein Problem dar. Da für die Telearbeit zum Teil andere IT-Sicherheitsmaßnahmen ergriffen werden müssen als für die Arbeit innerhalb der Institution. Folgende Punkte müssen darüber hinaus bei der Telearbeit geklärt werden: • • • • Wer ist Ansprechperson bei technischen und/oder organisatorischen Problemen in der Telearbeit? Wem müssen Sicherheitsvorkommnisse mitgeteilt werden? Wie erfolgt die Aufgabenzuteilung? Wie erfolgt die Übergabe der Arbeitsergebnisse? Treten technisch-organisatorische Probleme auf. Zusätzlich sind die Telearbeiter/innen über Änderungen von IT-Sicherheitsmaßnahmen zu unterrichten. ist es notwendig.

3 Vertretungsregelungen hinaus sind im Falle der Vertretung von Telearbeitern und Telearbeiterinnen weitere Schritte notwendig.7.7.11 ] 11. den Vertretungsfall probeweise durchzuspielen. das entsorgt werden soll.13 Entsorgung von Datenträgern und Dokumenten ISO Bezug: 27002 10. des Telearbeiters ist unabdingbar. müssen die Datenträger und Dokumente im Zweifelsfall wieder mit zurück transportiert werden. Ist dies der Fall. 11. wer die Entsorgung durchführt bzw. [ eh SYS 9.11. Dies ist auch dann der Fall. damit das Gepäck noch tragbar bleibt.7. sind sporadische oder regelmäßige Treffen zwischen Telearbeiter/innen und ihren Vertretungen sinnvoll.1 Auch zu Hause oder unterwegs gibt es häufiger Material. wie zuverlässig diese ist.1. Ergänzend dazu muss geregelt werden. da Experten auch hieraus wieder wertvolle Informationen zurückgewinnen können. da hier nicht unbedingt ersichtlich ist.7. Während es aber innerhalb der eigenen Institution eingeübte Verfahren gibt.1. 11. Daher ist vor der Entsorgung ausgedienter Datenträger und Dokumente genau zu überlegen.2 Über die Maßnahme 8. Da der/die Telearbeiter/in hauptsächlich außerhalb der Institution tätig ist.1. Auch eine Dokumentation der Arbeitsergebnisse seitens der Telearbeiterin bzw. Es empfiehlt sich.2. ob diese sensible Informationen enthalten könnten. wenn die Datenträger defekt sind. Ggf.12 Vertretungsregelung für Telearbeit ISO Bezug: 27002 8. wie alte oder unbrauchbare Datenträger und Dokumente entsorgt werden ist dies am häuslichen Arbeitsplatz oder unterwegs nicht immer möglich. Auch Shredder-Einrichtungen in fremden Institutionen sollten mit Vorsicht betrachtet werden. [Q: BSI M 2.7. schon alleine deshalb. wie Vertreter im unerwarteten Vertretungsfall Zugriff auf die Daten im Telearbeitsrechner oder am Telearbeitsplatz vorhandene Unterlagen nehmen kann. muss ein Informationsfluss zu seiner/ihrer Vertretung vorgesehen werden.309 ] 459 .

460 . Die Verantwortlichkeiten für diese Aktivitäten müssen im Rahmen der organisationsweiten IT-Sicherheitspolitik bzw. Verschlechterungen der Wirksamkeit von Sicherheitsmaßnahmen . eines Produktes sein. dazu auch Kap.sollen erkannt und entsprechende Gegenmaßnahmen eingeleitet werden.12 Sicherheit in Entwicklung. Eine nachträgliche Implementierung von Sicherheitsmaßnahmen ist bedeutend teurer und bietet im Allgemeinen weniger Schutz als Sicherheit.sei es durch eine Veränderung der Bedrohungslage oder durch falsche Verwendung der implementierten Sicherheitsmaßnahmen . beim Datenschutz-/IT-Sicherheitsbeauftragten. Sicherheit sollte daher integrierter Bestandteil des gesamten Lebenszyklus eines ITSystems bzw. weiter zu erhöhen. die Verantwortung für organisationsweite IT-Sicherheitsmaßnahmen sowie die Gesamtverantwortung bei der bzw. dass die Verantwortung für systemspezifische Maßnahmen bei den einzelnen Bereichs-IT-Sicherheitsbeauftragten liegen sollte. 8. Ziel aller Follow-Up-Aktivitäten muss es sein. unveränderbares Dokument. der einzelnen ITSystemsicherheitspolitiken festgelegt werden. die von Beginn an in den Systementwicklungsprozess oder in den Auswahlprozess für ein Produkt integriert wurde. das erreichte Sicherheitsniveau aufrecht zu erhalten bzw. Umfassendes IT-Sicherheitsmanagement beinhaltet nicht zuletzt auch die Aufgabe. Ein IT-Sicherheitskonzept ist kein statisches. sowie auch ISO 27002 10 ff " Management der Kommunikation und des Betriebs ".3 Sicherheitssensibilisierung und -schulung). die IT-Sicherheit im laufenden Betrieb aufrechtzuerhalten. Der IT-Sicherheitsprozess endet nicht mit der Umsetzung von Maßnahmen. Weiters muss eine angemessene Reaktion auf sicherheitsrelevante Ereignisse gewährleistet sein. Entwicklung und Wartung von Informationssystemen ". Aktualität und die Umsetzung in der täglichen Praxis überprüft werden. sondern muss stets auf seine Wirksamkeit. Die Anforderungen an die Sicherheit eines IT-Systems sollten bereits zu Beginn der Entwicklung ermittelt und abgestimmt werden. Betrieb und Wartung eines IT-Systems Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 12 ff " Beschaffung. Als Richtlinie kann auch hier gelten. Von besonderer Bedeutung für die Aufrechterhaltung oder weitere Erhöhung eines einmal erreichten Sicherheitsniveaus ist eine permanente Sensibilisierung aller betroffenen Mitarbeiter/innen für Fragen der IT-Sicherheit (vgl.

die zwischen "IT-Systemen" und "IT-Produkten" unterscheiden.1 Sicherheit im gesamten Lebenszyklus eines IT-Systems angeführten Maßnahmen orientieren sich am "Vorgehensmodell für die Entwicklung von IT-Systemen des Bundes" [IT-BVM] sowie teilweise an den Vorgaben der "Information Technology Security Evaluation Criteria" [ITSEC] bzw. wenn nicht explizit angeführt.] entwickelt.1 Sicherheit im gesamten Lebenszyklus eines ITSystems In den [IT-BVM] wird ein an die Bedürfnisse der österreichischen Bundesverwaltung angepasstes Vorgehensmodell (V-Modell) für die Entwicklung von IT-Systemen vorgestellt.Die in Kapitel 12. das im folgenden kurz beschrieben wird. 12. der "Common Criteria" [Common Criteria] . auch wenn es sich im Einzelfall um ein Produkt (etwa Standardsoftware) oder eine Einzelkomponente handelt. wobei der gemeinsame Oberbegriff "Evaluierungsgegenstand" (EVG) lautet. Das österreichische Vorgehensmodell wurde in Anlehnung an das international anerkannte deutsche Vorgehensmodell [Anmerkung:: Dieses wird seit sieben Jahren in vielen europäischen Ländern angewendet und wird laufend von der Bundesrepublik Deutschland gewartet und verbessert. wird in den folgenden Maßnahmenbeschreibungen der besseren Lesbarkeit halber. Es teilt sich in vier Bereiche auf: Abbildung 1: Die vier Bereiche (Submodelle) des IT-BVM 461 . Im Gegensatz zu den ITSEC. stets von "IT-Systemen" oder einfach "Systemen" gesprochen.

). die zur eigentlichen Erstellung des EDV-Systems notwendig sind. Terminsteuerung usw. die das Projekt steuern (wie z. PM . Kostensteuerung. um eine hohe Qualität der EDV-Anwendung sicherzustellen. Alle diese Bereiche sind eng miteinander verzahnt. 462 .Systemerstellung In diesem Bereich werden die Tätigkeiten beschrieben. Systemerstellung (SE) Der Bereich SE gliedert sich in sechs Phasen (Vierecke im Hintergrund).Projektmanagement Hier werden alle Tätigkeiten zusammengefasst. KM . werden in der QS zusammengefasst. die Änderungen leichter nachvollziehbar bzw.B.B. die Ablage der Entwicklungsdokumente und des Programmcodes).Konfigurationsmanagement Dieser Bereich beinhaltet Tätigkeiten.SE . überhaupt erst möglich machen (z. QS .Qualitätssicherung Tätigkeiten. Jede Phase teilt sich in weitere Elementarphasen (Blöcke im Vordergrund) und diese wiederum in Aktivitäten (nicht abgebildet). Weiters beschreibt es die Abhängigkeiten der Tätigkeiten untereinander und deren erzeugte Ergebnisse.

Abbildung 2: Gliederung des Vorgehensmodells Es folgt eine kurze Beschreibung der Elementarphasen:

• • • • • • •

SE 1 - System-Anforderungsanalyse: Hier werden die Anforderungen an das Gesamtsystem erhoben. Unter dem Gesamtsystem versteht man nicht nur das IT-System, sondern auch das fachliche Umfeld, selbst wenn Teile davon später nicht mittels EDV abgedeckt werden. SE 2 - System-Entwurf: Der Grobentwurf des Gesamtsystems wird ermittelt und festgehalten SE 3 - SW-/HW-Anforderungsanalyse: In dieser Elementarphase konzentriert man sich bereits auf die Anforderungen der Software bzw. der Hardware. Bereiche, die nicht von der späteren ITAnwendung betroffen sind, werden hier nicht weiter untersucht. SE 4 - SW-Grobentwurf: Die Software wird grob gegliedert und beschrieben. SE 5 - SW-Feinentwurf: Die zuvor gebildete grobe SW-Struktur wird weiter verfeinert und beschrieben. SE 6 - SW-Implementierung: Die Softwarevorgaben werden in Programme bzw. Datenbanken umgesetzt. Erste Überprüfungen gegenüber dem SW-Feinentwurf werden durchgeführt. SE 7 - SW-Integration: Die einzelnen Softwareteile werden zu größeren Softwareeinheiten zusammengefügt und getestet. SE 8 - System integrieren: Die Software wird zum Gesamtsystem integriert. 463

SE 9 - Überleitung in die Nutzung: Das Gesamtsystem (EDV + Infrastruktur) wird am Bestimmungsort installiert und in Betrieb genommen.

Die Reihenfolge der Aktivitäten erscheint sequentiell. Dies entspricht der Vorstellung vom IT-Systemerstellungsprozess als einem strengen Top-down-Vorgehen. In der Regel sind jedoch Iterationen im Erstellungsprozess üblich. Die nachfolgende Abbildung zeigt eine schematisierte linearisierte Darstellung des logischen Ablaufs, der IT-Systemerstellung und deren Einbettung in das organisatorische Umfeld.

Abbildung 3: Randbedingungen zur IT-Systemerstellung 464

Das beschriebene Vorgehensmodell dient als Grundlage für die nachfolgenden Maßnahmen. Dabei werden die in den einzelnen Phasen für die IT-Sicherheit relevanten Maßnahmen herausgegriffen. Für weitere Details zum Vorgehensmodell sei auf das Gesamtkonzept ( [IT-BVM] ) verwiesen.

12.1.1 IT-Sicherheit in der System-Anforderungsanalyse
ISO Bezug: 27002 12.1.1, 12.2.3

Die Voruntersuchung besteht aus den Elementarphasen "SystemAnforderungsanalyse" und "System-Entwurf", die sich ihrerseits aus unterschiedlichen Aktivitäten zusammensetzen. In der System-Anforderungsanalyse, der ersten Elementarphase der Phase Voruntersuchung, werden die Anforderungen an das Gesamtsystem erhoben. Unter dem Gesamtsystem versteht man dabei nicht nur das IT-System, sondern auch das fachliche Umfeld, selbst wenn Teile davon später nicht mittels EDV abgedeckt werden. Der Anforderungskatalog kann etwa Aussagen zu folgenden Punkten enthalten:

• •

• • • •

Funktionale Anforderungen, die das System zur Unterstützung der Aufgabenerfüllung der Fachabteilung erfüllen muss. Die für die Fachaufgabe relevanten Einzelfunktionalitäten sollten hervorgehoben werden. IT-Einsatzumgebung: Diese wird einerseits beschrieben durch die Rahmenbedingungen, die durch die vorhandene oder geplante IT-Einsatzumgebung vorgegeben werden, und andererseits durch die Leistungsanforderungen, die durch das System an die Einsatzumgebung vorgegeben werden. Kompatibilitätsanforderungen zu anderen Programmen oder IT-Systemen, also Migrationsunterstützung und Aufwärts- und Abwärtskompatibilität. Performanceanforderungen: diese beschreiben die erforderlichen Leistungen hinsichtlich Durchsatz und Laufzeitverhalten. Für die geforderten Funktionen sollten möglichst genaue Angaben über die maximal zulässige Bearbeitungszeit getroffen werden. Interoperabilitätsanforderungen, d.h. die Zusammenarbeit mit anderen Produkten bzw. Systemen über Plattformgrenzen hinweg muss möglich sein. Alternativen zu Herstellermonopolen:

465

• • • • • •

Alternativen zu entstehenden Herstellermonopolen sind im Rahmen der SystemAnforderungsanalyse zu berücksichtigen. Speziell im Hinblick auf Kompatibilität und Austauschbarkeit im Notfall ist dies ein Beitrag zur Systemsicherheit. Als eine der Hauptschwierigkeiten wären beispielsweise proprietäre Protokolle zu identifizieren, die Probleme bei der Suche nach Ersatzsystemen darstellen. Aufgrund des IKT-Board-Beschlusses [IKTB-250602-1] sind derartige Alternativen bei Anschaffungen von Servern im Rahmen der öffentlichen Verwaltung empfohlen. (Vergleiche auch K-Fall-Vorgaben – 14.1.1 Definition von Verfügbarkeitsklassen ) Zuverlässigkeitsanforderungen: Diese betreffen die Stabilität des Systems, also Fehlererkennung und Toleranz sowie Ausfall- und Betriebssicherheit. Konformität zu Standards: Dies können internationale Normen, De-facto-Standards oder auch Hausstandards sein. Einhaltung von internen Regelungen und gesetzlichen Vorschriften, z.B. ausreichender Datenschutz bei der Verarbeitung personenbezogener Daten Anforderungen an die Benutzerfreundlichkeit, insbesondere an die Güte der Benutzeroberfläche sowie die Qualität der Benutzerdokumentation und der Hilfefunktionen. Anforderungen an die Wartbarkeit Obergrenze der Kosten: Dabei müssen nicht nur die unmittelbaren Entwicklungs- bzw. Beschaffungskosten für das System selber einbezogen werden, sondern auch Folgekosten, wie z.B. Wartungsaufwände, Personalkosten oder notwendige Schulungen. Aus den Anforderungen an die Dokumentation muss hervorgehen, welche Dokumente in welcher Güte (Vollständigkeit, Verständlichkeit) erforderlich sind. Bezüglich der Softwarequalität können Anforderungen gestellt werden, die von Herstellererklärungen über die eingesetzten Qualitätssicherungsverfahren, über ISO 9000 Zertifikate bis hin zu unabhängigen Softwareprüfungen nach ISO 12119 reichen.

• •

Zusätzlich zu den operationellen Anforderungen müssen die IT-Sicherheitsziele vorgegeben werden. Dies kann auf zwei Arten erfolgen:

• •

durch die Formulierung von Anforderungen an Vertraulichkeit, Integrität oder Verfügbarkeit (vgl. 14.1.1 Definition von Verfügbarkeitsklassen ) von bestimmten operationellen Funktionen oder verarbeiteten Informationen, anhand einer bereits vorgegebenen Sicherheitspolitik, die im Gesamtsystem durchgesetzt werden soll.

[ eh ENT 1.1 ]

466

12.1.2 Durchführung einer Risikoanalyse und Festlegung der IT-Sicherheitsanforderungen
ISO Bezug: 27002 12.1.1

Basierend auf den bereits definierten Anwenderanforderungen und Informationen über die Einsatzumgebung des Systems sind die für das System relevanten Bedrohungen zu ermitteln und die damit verbundenen Risiken zu bewerten. Zu möglichen Strategien und Vorgehensweisen zur Risikoanalyse s. Kap. 5 - Entwicklung einer organisationsweiten Informationssicherheitspolitik , des vorliegenden Sicherheitshandbuches. Die Ergebnisse der Risikoanalyse bilden die Grundlage für die Formulierung der Anforderungen an die IT-Sicherheit innerhalb der Anwenderforderungen (vgl. 12.1.1 IT-Sicherheit in der System-Anforderungsanalyse). Typische Sicherheitsanforderungen, die an ein gesamtes IT-System oder auch an eine Einzelkomponente oder ein Produkt möglicherweise gestellt werden, seien im Folgenden kurz erläutert (dabei wird im Folgenden wieder generell von "Systemen" gesprochen). Weitere Ausführungen finden sich in den [ITSEC] und den [Common Criteria] .

Identifizierung und Authentisierung: In vielen Systemen wird es Anforderungen geben, diejenigen Benutzer/innen zu bestimmen und zu überwachen, die Zugriff auf Betriebsmittel haben, die vom System kontrolliert werden. Dazu muss nicht nur die behauptete Identität der/des Benutzerin/Benutzers festgestellt, sondern auch die Tatsache nachgeprüft werden, dass die/der Benutzer/in tatsächlich die Person ist, die sie/er zu sein vorgibt. Dies geschieht, indem die/der Benutzer/in dem System Informationen liefert, die fest mit der/dem betreffenden Benutzer/in verknüpft sind. Dies können entweder personenbezogene oder personengebundene Informationen sein, s. dazu auch Kap. 11.1.1 Berechtigungssysteme, Schlüsselund Passwortverwaltung . Zugriffskontrolle: Bei vielen Systemen wird es erforderlich sein, sicherzustellen, dass Benutzer/ innen und Prozesse daran gehindert werden, Zugriff auf Informationen oder Betriebsmittel zu erhalten, für die sie kein Zugriffsrecht haben oder für die keine Notwendigkeit zu einem Zugriff besteht. Desgleichen wird es Anforderungen bezüglich der unbefugten Erzeugung, Änderung oder Löschung von Informationen geben. Beweissicherung:

467

Bei vielen Systemen wird es erforderlich sein sicherzustellen, dass über Handlungen, die von Benutzerinnen/Benutzern bzw. von Prozessen im Namen solcher Benutzer/innen ausgeführt werden, Informationen aufgezeichnet werden, damit die Folgen solcher Handlungen später der/dem betreffenden Benutzer/in zugeordnet werden können und die/der Benutzer/in für ihre/seine Handlungen verantwortlich gemacht werden kann. Protokollauswertung: Bei vielen Systemen wird sicherzustellen sein, dass sowohl über gewöhnliche Vorgänge als auch über außergewöhnliche Vorfälle ausreichend Informationen aufgezeichnet werden, damit durch Nachprüfungen später festgestellt werden kann, ob tatsächlich Sicherheitsverletzungen vorgelegen haben und welche Informationen oder sonstigen Betriebsmittel davon betroffen waren. Unverfälschbarkeit: Bei vielen Systemen wird es erforderlich sein, sicherzustellen, dass bestimmte Beziehungen zwischen unterschiedlichen Daten korrekt bleiben und dass Daten zwischen einzelnen Prozessen ohne Änderungen übertragen werden. Daneben müssen auch Funktionen bereitgestellt werden, die es bei der Übertragung von Daten zwischen einzelnen Prozessen, Benutzern und Objekten ermöglichen, Verluste, Ergänzungen oder Veränderungen zu entdecken bzw. zu verhindern, und die es unmöglich machen, die angebliche oder tatsächliche Herkunft bzw. Bestimmung der Datenübertragung zu ändern. Zuverlässigkeit: Bei vielen Systemen wird es erforderlich sein, sicherzustellen, dass zeitkritische Aufgaben genau zu dem Zeitpunkt durchgeführt werden, zu dem es erforderlich ist, also nicht früher oder später, und es wird sicherzustellen sein, dass zeitunkritische Aufgaben nicht in zeitkritische umgewandelt werden können. Desgleichen wird es bei vielen Systemen erforderlich sein, sicherzustellen, dass ein Zugriff in dem erforderlichen Moment möglich ist und Betriebsmittel nicht unnötig angefordert oder zurückgehalten werden. Übertragungssicherung: Dieser Begriff umfasst alle Funktionen, die für den Schutz der Daten während der Übertragung über Kommunikationskanäle vorgesehen sind:

• • • • •

Authentisierung Zugriffskontrolle Datenvertraulichkeit Datenintegrität Sende- und Empfangsnachweis

Über die ITSEC hinaus können weitere Sicherheitsanforderungen bestehen, wie etwa Datensicherung, Verschlüsselung gespeicherter Daten, Funktionen zur Wahrung der Datenintegrität oder datenschutzrechtliche Anforderungen. 468

Stärke der Mechanismen
Common Criteria definiert eine Stärke der Funktion (Strength of Function – SOF). Es handelt sich dabei um eine Charakterisierung von Sicherheitsfunktionen des Produkts, die den geringsten angenommenen Aufwand beschreibt, um die zugrunde liegenden Sicherheitsmechanismen durch einen direkten Angriff außer Kraft zu setzen. Es werden drei Stufen über das Angriffspotential definiert: niedrig: Die Stufe bietet angemessenen Schutz gegen zufälliges Brechen der Sicherheit durch Angreifer/innen, die über ein geringes Angriffspotential verfügen. mittel: Die Stufe bietet einen angemessenen Schutz gegen nahe liegendes oder absichtliches Brechen durch Angreifer/innen, die über ein mittleres Angriffspotential verfügen. hoch: Die Stufe bietet einen geeigneten Schutz gegen geplantes oder organisiertes Brechen der EVG-Sicherheit durch Angreifer/innen, die über ein hohes Angriffspotential verfügen. Ähnlich werden in ITSEC drei Stufen (niedrig, mittel, hoch) für die Stärke des Mechanismus definiert. [ eh ENT 1.2 ]

12.1.3 IT-Sicherheit in Design und Implementierung
ISO Bezug: 27002 12.1.1

System-Entwurf:
Diese Elementarphase des Entwicklungsprozesses bezieht sich auf die oberste Stufe der Definition und des Entwurfs eines IT-Systems oder Produktes. Dies erfolgt in Form einer Spezifikation auf hohem Abstraktionsniveau, die die grundlegende Struktur des Systems, seine externen Schnittstellen sowie seine Untergliederung in die wichtigsten Hardware- und Softwarekomponenten identifiziert. Bereits in dieser Elementarphase, in der die Systemarchitektur und ein Integrationsplan erarbeitet werden, ist auf eine adäquate Berücksichtigung der Sicherheitsanforderungen zu achten.

469

Aus Sicht der IT-Sicherheit ist es insbesondere wichtig, dass bereits im SystemEntwurf eine klare und wirksame Trennung zwischen IT-sicherheitsspezifischen, ITsicherheitsrelevanten und anderen Komponenten getroffen wird. Eine klare Trennung unterstützt die Sicherstellung der Korrektheit der weiteren Entwicklungsschritte und erleichtert eine eventuelle Evaluierung der Sicherheit des Systems (etwa nach [ITSEC] oder [Common Criteria] ). Dabei bedeuten:

• •

IT-sicherheitsspezifische Komponenten: Komponenten, die unmittelbar zur Durchsetzung der IT-Sicherheit beitragen IT-sicherheitsrelevante Komponenten: Komponenten, die nicht unmittelbar zur IT-Sicherheit beitragen, deren Fehlverhalten oder Missbrauch jedoch die Sicherheit gefährden kann.

Die Schnittstellen der IT-Sicherheitsmaßnahmen zu den beteiligten Architekturelementen müssen dokumentiert werden.

SW-Grobentwurf und SW-Feinentwurf:
Diese Elementarphasen des Entwicklungsprozesses beziehen sich auf die Verfeinerung des Systementwurfes bis hin zu einem Detaillierungsgrad, der als Basis für die Programmierung (und/oder Hardwarekonstruktion) verwendet werden kann. Aus Sicht der IT-Sicherheit sind hier insbesondere

• • •

die Abhängigkeiten der IT-Sicherheitsfunktionen, die Wechselwirkungen der IT-Sicherheitsmechanismen, die zur Realisierung der IT-Sicherheitsfunktionen gewählt wurden, und die Auswirkungen, die die Realisierung der IT-Sicherheitsfunktionen auf andere SW-Einheiten haben können,

zu untersuchen. Alle Schnittstellen der IT-sicherheitsspezifischen und der IT-sicherheitsrelevanten SW-Komponenten und -Module müssen mit ihrem Zweck und ihren Parametern beschrieben werden. Die Separierung vom nicht IT-sicherheitsrelevanten Teil muss sichtbar sein. Weiters ist festzustellen, ob und gegebenenfalls welche IT-sicherheitsspezifischen oder IT-sicherheitsrelevanten Anteile in anderen SW-Komponenten, -Modulen bzw. Datenbanken bei der Realisierung entstehen.

470

Implementierung und Tests:
Jede Komponente bzw. jedes Modul ist zunächst aus den Spezifikationen zu programmieren oder zu konstruieren. Diese Komponenten und Module müssen dann gegen ihre Spezifikationen geprüft und getestet werden. Anschließend werden einzelne Komponenten und Module zusammen in kontrollierter Form integriert, bis das komplette System vorliegt, das dann als Ganzes gegen die Spezifikation und die Sicherheitsvorgaben geprüft und getestet wird (vgl. dazu [ITBVM] , Kap 7, 8 und 9 (Phasen Implementierung, Test und Integration)). Details dazu siehe auch 12.1.5 Entwicklung eines Testplans für Standardsoftware und 12.1.6 Testen von Software . [ eh ENT 1.3 ]

12.1.4 Entwicklungsumgebung
ISO Bezug: 27002 12