Österreichisches Informationssicherheitshandbuch

Version 3.1.001 22. November 2010

1

Inhalt
Zum Geleit ..................................................................................................... 19 Vorwort und Management Summary .......................................................... 21
Zur Version 3 des Informationssicherheitshandbuchs ................................................... 21 Management Summary ...................................................................................................... 22 Hauptquellen und Danksagungen .................................................................................... 26

1 Einführung ................................................................................................... 28
1.1 Das Informationssicherheitshandbuch ....................................................................... 28 1.1.1 Ziele des Informationssicherheitshandbuchs ............................................................. 28 1.1.1.1 Ziele der Version 3 ................................................................................................ 29 1.1.2 Scope ......................................................................................................................... 29 1.1.3 Neuheiten der Version 3 ........................................................................................... 30 1.1.4 Quellen, Verträglichkeiten, Abgrenzungen ............................................................... 32 1.1.5 Informations- versus IT-Sicherheit ........................................................................... 35 1.2 Informationssicherheitsmanagement .......................................................................... 36 1.2.1 Ziele des Informationssicherheitsmanagements ........................................................ 36 1.2.2 Aufgaben des Informationssicherheitsmanagements ................................................. 37

2 Informationssicherheits-Management-System (ISMS) ............................ 39
2.1 Der Informationssicherheitsmanagementprozess ...................................................... 39 2.1.1 Entwicklung einer organisationsweiten Informationssicherheitspolitik .................... 41 2.1.2 Risikoanalyse ............................................................................................................. 41 2.1.3 Erstellung eines Sicherheitskonzeptes ....................................................................... 42 2.1.4 Umsetzung des Informationssicherheitsplans ............................................................ 42 2.1.5 Informationssicherheit im laufenden Betrieb ............................................................ 43 2.2 Erstellung von Sicherheitskonzepten ......................................................................... 44 2.2.1 Auswahl von Maßnahmen ......................................................................................... 44 2.2.1.1 Klassifikation von Sicherheitsmaßnahmen ............................................................. 45 2.2.1.2 Ausgangsbasis für die Auswahl von Maßnahmen ................................................. 47 2.2.1.3 Auswahl von Maßnahmen auf Basis einer detaillierten Risikoanalyse .................. 48 2.2.1.4 Auswahl von Maßnahmen im Falle eines Grundschutzansatzes ............................ 49 2.2.1.5 Auswahl von Maßnahmen im Falle eines kombinierten Risikoanalyseansatzes .............................................................................................................................................. 49

2

2.2.1.6 Bewertung von Maßnahmen .................................................................................. 50 2.2.1.7 Rahmenbedingungen .............................................................................................. 51 2.2.2 Risikoakzeptanz ......................................................................................................... 51 2.2.3 Sicherheitsrichtlinien ................................................................................................. 53 2.2.3.1 Aufgaben und Ziele ................................................................................................ 53 2.2.3.2 Inhalte ..................................................................................................................... 53 2.2.3.3 Fortschreibung der Sicherheitsrichtlinien ............................................................... 54 2.2.3.4 Verantwortlichkeiten .............................................................................................. 54 2.2.4 Informationssicherheitspläne für jedes System ......................................................... 55 2.2.5 Fortschreibung des Sicherheitskonzeptes .................................................................. 56 2.3 Umsetzung des Informationssicherheitsplans ............................................................ 57 2.3.1 Implementierung von Maßnahmen ........................................................................... 57 2.3.2 Sensibilisierung (Security Awareness) ...................................................................... 60 2.3.3 Schulung .................................................................................................................... 61 2.3.4 Akkreditierung ........................................................................................................... 63 2.4 Informationssicherheit im laufenden Betrieb ............................................................ 64 2.4.1 Aufrechterhaltung des erreichten Sicherheitsniveaus ................................................ 64 2.4.2 Wartung und administrativer Support von Sicherheitseinrichtungen ........................ 65 2.4.3 Überprüfung von Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) ....................................... 66 2.4.4 Fortlaufende Überwachung der IT-Systeme (Monitoring) ........................................ 67

3 Managementverantwortung und Aufgaben beim ISMS .......................... 69
3.1 Verantwortung der Managementebene ..................................................................... 69 3.1.1 Generelle Managementaufgaben beim ISMS ............................................................ 69 3.2 Ressourcenmanagement .............................................................................................. 71 3.2.1 Bereitstellung von Ressourcen .................................................................................. 71 3.2.2 Schulung und Awareness .......................................................................................... 74 3.3 Interne ISMS Audits ................................................................................................... 78 3.3.1 Planung und Vorbereitung interner Audits ............................................................... 79 3.3.2 Durchführung interner Audits ................................................................................... 81 3.3.3 Ergebnis und Auswertung interner Audits ................................................................ 83 3.4 Management-Review des ISMS .................................................................................. 86 3.4.1 Management-Review Methoden ................................................................................ 87 3.4.1.1 Review der Strategie und des Sicherheitskonzepts ................................................ 88 3

3.4.1.2 Review der Sicherheitsmaßnahmen ....................................................................... 89 3.4.2 Management-Review Ergebnis und Auswertung ...................................................... 90 3.5 Verbesserungsprozess beim ISMS .............................................................................. 91 3.5.1 Grundlagen für Verbesserungen ................................................................................ 91 3.5.2 Entscheidungs- und Handlungsbedarf ....................................................................... 92

4 Risikoanalyse ............................................................................................... 95
4.1 Risikoanalysestrategien ................................................................................................ 95 4.2 Detaillierte Risikoanalyse ............................................................................................ 96 4.2.1 Abgrenzung des Analysebereiches ............................................................................ 98 4.2.2 Identifikation der bedrohten Objekte (Werte, assets) ................................................ 99 4.2.3 Wertanalyse (Impact Analyse) ................................................................................ 100 4.2.3.1 Festlegung der Bewertungsbasis für Sachwerte ................................................... 100 4.2.3.2 Festlegung der Bewertungsbasis für immaterielle Werte ..................................... 101 4.2.3.3 Ermittlung der Abhängigkeiten zwischen den Objekten ...................................... 101 4.2.3.4 Bewertung der bedrohten Objekte ........................................................................ 102 4.2.4 Bedrohungsanalyse .................................................................................................. 102 4.2.4.1 Identifikation möglicher Bedrohungen ................................................................. 103 4.2.4.2 Bewertung möglicher Bedrohungen ..................................................................... 104 4.2.5 Schwachstellenanalyse ............................................................................................ 105 4.2.6 Identifikation bestehender Sicherheitsmaßnahmen ................................................. 106 4.2.7 Risikobewertung ...................................................................................................... 107 4.2.8 Auswertung und Aufbereitung der Ergebnisse ....................................................... 108 4.3 Grundschutzansatz ..................................................................................................... 108 4.3.1 Die Idee des IT-Grundschutzes ............................................................................... 109 4.3.2 Grundschutzanalyse und Auswahl von Maßnahmen ............................................... 110 4.3.2.1 Modellierung ........................................................................................................ 110 4.3.2.2 Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen ........... 112 4.3.3 Vorgehen bei Abweichungen .................................................................................. 112 4.3.4 Dokumentation der Ergebnisse ............................................................................... 113 4.4 Kombinierter Ansatz ................................................................................................. 113 4.4.1 Festlegung von Schutzbedarfskategorien ................................................................ 115 4.4.2 Schutzbedarfsfeststellung ........................................................................................ 119 4.4.2.1 Erfassung aller vorhandenen oder geplanten IT-Systeme .................................... 120 4

4.4.2.2 Erfassung der IT-Anwendungen und Zuordnung zu den einzelnen IT-Systemen ............................................................................................................................................ 120 4.4.2.3 Schutzbedarfsfeststellung für jedes IT-System .................................................... 121 4.4.3 Durchführung von Grundschutzanalysen und detaillierten Risikoanalysen ............ 121 4.5 Akzeptables Restrisiko .............................................................................................. 122 4.6 Akzeptanz von außergewöhnlichen Restrisiken ...................................................... 122

5 Informationssicherheits-Politik ................................................................ 124
5.1 Aufgaben und Ziele einer Informationssicherheits-Politik .................................... 124 5.2 Inhalte der Informationssicherheits-Politik ............................................................. 125 5.2.1 Informationssicherheitsziele und -strategien ........................................................... 125 5.2.2 Management Commitment ...................................................................................... 127 5.2.3 Organisation und Verantwortlichkeiten für Informationssicherheit ........................ 128 5.2.3.1 Die/der IT-Sicherheitsbeauftragte ........................................................................ 129 5.2.3.2 Das Informationssicherheits-Management-Team ................................................. 130 5.2.3.3 Die Bereichs-IT-Sicherheitsbeauftragten .............................................................. 130 5.2.3.4 Applikations-/Projektverantwortliche ................................................................... 131 5.2.3.5 Die/der Informationssicherheitsbeauftragte .......................................................... 132 5.2.3.6 Weitere Pflichten und Verantwortungen im Bereich Informationssicherheit ....... 132 5.2.3.7 Informationssicherheit und Datenschutz .............................................................. 133 5.2.4 Risikoanalysestrategien, akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken ........................................................................................ 133 5.2.5 Klassifizierung von Informationen .......................................................................... 135 5.2.5.1 Definition der Sicherheitsklassen ......................................................................... 135 5.2.5.2 Festlegung der Verantwortlichkeiten und der Vorgehensweise für klassifizierte Informationen .................................................................................................................... 137 5.2.5.3 Erarbeitung von Regelungen zum Umgang mit klassifizierten Informationen 137 ..... 5.2.6 Klassifizierung von IT-Anwendungen und IT-Systemen, Grundzüge der Business Continuity Planung ........................................................................................................... 138 5.2.7 Überprüfung und Aufrechterhaltung der Sicherheit ................................................ 140 5.2.8 Dokumente zur Informationssicherheit ................................................................... 140 5.3 Life Cycle der Informationssicherheits-Politik ....................................................... 140 5.3.1 Erstellung der Informationssicherheits-Politik ........................................................ 140 5.3.2 Offizielle Inkraftsetzung der Informationssicherheits-Politik ................................. 141 5.3.3 Regelmäßige Überarbeitung .................................................................................... 141 5

6 Organisation .............................................................................................. 143
6.1 Interne Organisation .................................................................................................. 143 6.1.1 Management - Verantwortung ................................................................................ 143 6.1.1.1 Zusammenwirken verantwortliches Management - Mitarbeiter/innen - Gremien ............................................................................................................................................ 144 6.1.2 Koordination ............................................................................................................ 146 6.1.3 Definierte Verantwortlichkeiten für Informationssicherheit .................................... 147 6.1.4 Benutzungsgenehmigung für Informationsverarbeitung ......................................... 148 6.1.5 Vertraulichkeitsvereinbarungen ............................................................................... 150 6.1.6 Kontaktpflege mit Behörden und Gremien ............................................................. 151 6.1.7 Unabhängige Audits der Sicherheitsmaßnahmen .................................................... 152 6.1.8 Berichtswesen .......................................................................................................... 156 6.2 Zusammenarbeit mit Externen ................................................................................. 157 6.2.1 Outsourcing ............................................................................................................. 157 6.2.2 Gefährdungen beim Outsourcing ............................................................................ 158 6.2.3 Outsourcing Planungs- und Betriebsphasen ............................................................ 160

7 Vermögenswerte und Klassifizierung von Informationen ..................... 171
7.1 Vermögenswerte ......................................................................................................... 171 7.1.1 Inventar der Vermögenswerte (Assets) mittels Strukturanalyse .............................. 171 7.1.1.1 Erfassung Geschäftsprozessen, Anwendungen und Informationen ...................... 173 7.1.1.2 Erfassung von Datenträgern und Dokumenten ..................................................... 174 7.1.1.3 Erhebung der IT-Systeme ..................................................................................... 175 7.1.1.4 Netzplan ................................................................................................................ 176 7.1.1.5 Erfassung der Gebäude und Räume ..................................................................... 177 7.1.1.6 Aktualisierung der Strukturanalyse ...................................................................... 178 7.1.2 Eigentum von Vermögenswerten ............................................................................ 179 7.1.2.1 Verantwortiche für Vermögenswerte (Assets) ..................................................... 180 7.1.2.2 Aufgaben der Eigentümer und Verantwortlichen ................................................. 180 7.1.3 Zulässige Nutzung von Vermögenswerten .............................................................. 181 7.1.3.1 Herausgabe einer PC-Richtlinie ........................................................................... 181 7.1.3.2 Einführung eines PC-Checkheftes ........................................................................ 182 7.1.3.3 Geeignete Aufbewahrung tragbarer IT-Systeme .................................................. 183

6

7.1.3.4 Mitnahme von Datenträgern und IT-Komponenten ............................................. 185 7.1.3.5 Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Videokameras ................................................................................................................... 186 7.1.3.6 Absicherung von Wechselmedien ........................................................................ 187 7.2 Klassifizierung von Informationen ........................................................................... 188

8 Personelle Sicherheit ................................................................................. 190
8.1 Regelungen für Mitarbeiter/innen ............................................................................ 190 8.1.1 Verpflichtung der Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen ........................................................................................... 190 8.1.2 Aufnahme der sicherheitsrelevanten Aufgaben und Verantwortlichkeiten in die Stellenbeschreibung .......................................................................................................... 191 8.1.3 Vertretungsregelungen ............................................................................................. 191 8.1.4 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeiterinnen/Mitarbeitern ............................................................................................................................................ 192 8.1.5 Geregelte Verfahrensweise bei Versetzung eines Mitarbeiters ............................... 193 8.1.6 Gewährleistung eines positiven Betriebsklimas ...................................................... 194 8.1.7 Clear Desk Policy ................................................................................................... 194 8.1.8 Benennung eines vertrauenswürdigen Administrators und Vertreterin/Vertreters ............................................................................................................................................ 195 8.1.9 Verpflichtung der PC-Benutzer/innen zum Abmelden ............................................ 195 8.1.10 Kontrolle der Einhaltung der organisatorischen Vorgaben ................................... 196 8.1.11 Geregelte Verfahrensweise bei vermuteten Sicherheitsverletzungen .................... 196 8.2 Regelungen für den Einsatz von Fremdpersonal .................................................... 197 8.2.1 Regelungen für den kurzfristigen Einsatz von Fremdpersonal ................................ 197 8.2.2 Verpflichtung externer Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen ........................................................................................... 197 8.2.3 Beaufsichtigung oder Begleitung von Fremdpersonen ............................................ 197 8.2.4 Information externer Mitarbeiter/innen über die IT-Sicherheitspolitik ................... 198 8.3 Sicherheitssensibilisierung und -schulung ............................................................... 198 8.3.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter/innen .................................. 198 8.3.2 Schulung vor Programmnutzung ............................................................................. 199 8.3.3 Schulung und Sensibilisierung zu IT-Sicherheitsmaßnahmen ................................ 199 8.3.4 Betreuung und Beratung von IT-Benutzerinnen/IT-Benutzern ............................... 202 8.3.5 Aktionen bei Auftreten von Sicherheitsproblemen (Incident Handling Pläne) ........ 203 8.3.6 Schulung des Wartungs- und Administrationspersonals ......................................... 203 7

8.3.8 Einweisung in die Regelungen der Handhabung von Kommunikationsmedien...... 204 8.3.9 Einweisung in die Bedienung von Schutzschränken ............................................... 205

9 Physische und umgebungsbezogene Sicherheit ...................................... 207
9.1 Bauliche und infrastrukturelle Maßnahmen ........................................................... 208 9.1.1 Geeignete Standortauswahl ..................................................................................... 208 9.1.2 Anordnung schützenswerter Gebäudeteile .............................................................. 208 9.1.3 Einbruchsschutz ....................................................................................................... 209 9.1.4 Zutrittskontrolle ....................................................................................................... 210 9.1.5 Verwaltung von Zutrittskontrollmedien .................................................................. 212 9.1.6 Portierdienst ............................................................................................................. 213 9.1.7 Einrichtung einer Postübernahmestelle ................................................................... 213 9.1.8 Perimeterschutz ....................................................................................................... 214 9.2 Brandschutz ................................................................................................................ 215 9.2.1 Einhaltung von Brandschutzvorschriften und Auflagen .......................................... 215 9.2.2 Raumbelegung unter Berücksichtigung von Brandlasten ........................................ 215 9.2.3 Organisation Brandschutz ....................................................................................... 216 9.2.4 Brandabschottung von Trassen ............................................................................... 216 9.2.5 Verwendung von Brandschutztüren und Sicherheitstüren ....................................... 217 9.2.6 Brandmeldeanlagen ................................................................................................. 218 9.2.7 Brandmelder ............................................................................................................ 218 9.2.8 Handfeuerlöscher (Mittel der Ersten und Erweiterten Löschhilfe) .......................... 219 9.2.9 Löschanlagen ........................................................................................................... 220 9.2.10 Brandschutzbegehungen ........................................................................................ 221 9.2.11 Rauchverbot ........................................................................................................... 221 9.2.12 Rauchschutzvorkehrungen ..................................................................................... 221 9.3 Stromversorgung, Maßnahmen gegen elektrische und elektromagnetische Risiken ............................................................................................................................... 222 9.3.1 Angepasste Aufteilung der Stromkreise .................................................................. 222 9.3.2 Not-Aus-Schalter ..................................................................................................... 222 9.3.3 Zentrale Notstromversorgung .................................................................................. 223 9.3.4 Lokale unterbrechungsfreie Stromversorgung ........................................................ 223 9.3.5 Blitzschutzeinrichtungen (Äußerer Blitzschutz) ...................................................... 224 9.3.6 Überspannungsschutz (Innerer Blitzschutz) ............................................................ 225 8

9.3.7 Schutz gegen elektromagnetische Einstrahlung ...................................................... 225 9.3.8 Schutz gegen kompromittierende Abstrahlung ....................................................... 226 9.3.9 Schutz gegen elektrostatische Aufladung ................................................................ 228 9.4 Leitungsführung ......................................................................................................... 228 9.4.1 Lagepläne der Versorgungsleitungen ...................................................................... 228 9.4.2 Materielle Sicherung von Leitungen und Verteilern ............................................... 229 9.4.3 Entfernen oder Kurzschließen und Erden nicht benötigter Leitungen ..................... 230 9.4.4 Auswahl geeigneter Kabeltypen .............................................................................. 230 9.4.5 Schadensmindernde Kabelführung .......................................................................... 231 9.4.6 Vermeidung von wasserführenden Leitungen ......................................................... 231 9.5 Geeignete Aufstellung und Aufbewahrung .............................................................. 232 9.5.1 Geeignete Aufstellung eines Arbeitsplatz-IT-Systems ............................................ 233 9.5.2 Geeignete Aufstellung eines Servers ....................................................................... 233 9.5.3 Geeignete Aufstellung von Netzwerkkomponenten ................................................ 234 9.5.4 Nutzung und Aufbewahrung mobiler IT-Geräte ..................................................... 235 9.5.5 Sichere Aufbewahrung der Datenträger vor und nach Versand .............................. 236 9.5.6 Serverräume ............................................................................................................. 236 9.5.7 Beschaffung und Einsatz geeigneter Schutzschränke .............................................. 237 9.6 Weitere Schutzmaßnahmen ...................................................................................... 240 9.6.1 Einhaltung einschlägiger Normen und Vorschriften ............................................... 240 9.6.2 Regelungen für Zutritt zu Verteilern ....................................................................... 240 9.6.3 Vermeidung von Lagehinweisen auf schützenswerte Gebäudeteile ........................ 241 9.6.4 Geschlossene Fenster und Türen ............................................................................. 241 9.6.5 Alarmanlage ............................................................................................................. 242 9.6.6 Fernanzeige von Störungen ..................................................................................... 242 9.6.7 Klimatisierung ......................................................................................................... 243 9.6.8 Selbsttätige Entwässerung ....................................................................................... 243 9.6.9 Videounterstützte Überwachung ............................................................................. 243 9.6.10 Aktualität von Plänen ............................................................................................ 244 9.6.11 Vorgaben für ein Rechenzentrum ......................................................................... 244

10 Sicherheitsmanagement in Kommunikation und Betrieb ................... 245
10.1 IT-Sicherheitsmanagement ...................................................................................... 245 10.1.1 Etablierung eines IT-Sicherheits-Management-Prozesses ..................................... 245 9

10.1.2 Erarbeitung einer organisationsweiten Informationssicherheits-Politik ................ 247 10.1.3 Erarbeitung von IT-Systemsicherheitspolitiken .................................................... 247 10.1.4 Festlegung von Verantwortlichkeiten .................................................................... 248 10.1.5 Funktionstrennung ................................................................................................. 250 10.1.6 Einrichtung von Standardarbeitsplätzen ................................................................ 250 10.1.7 Akkreditierung von IT-Systemen .......................................................................... 252 10.1.8 Change Management ............................................................................................. 252 10.1.8.1 Reaktion auf Änderungen am IT-System ........................................................... 253 10.1.8.2 Software-Änderungskontrolle ............................................................................. 254 10.2 Dokumentation ........................................................................................................ 254 10.2.1 Dokumentation von Software ................................................................................ 254 10.2.2 Sourcecodehinterlegung ......................................................................................... 256 10.2.3 Dokumentation der Systemkonfiguration .............................................................. 257 10.2.4 Dokumentation der Datensicherung ...................................................................... 258 10.2.5 Dokumentation und Kennzeichnung der Verkabelung .......................................... 259 10.2.6 Neutrale Dokumentation in den Verteilern ........................................................... 260 10.3 Dienstleistungen durch Dritte (Outsourcing) ....................................................... 261 10.3.1 Festlegung einer Outsourcing-Strategie ................................................................ 262 10.3.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben ................... 266 10.3.3 Wahl eines geeigneten Outsourcing-Dienstleisters ............................................... 268 10.3.4 Vertragsgestaltung mit dem Outsourcing-Dienstleister ......................................... 270 10.3.5 Erstellung eines IT-Sicherheitskonzepts für das Outsourcing-Vorhaben .............. 275 10.3.6 Notfallvorsorge beim Outsourcing ........................................................................ 279 10.4 Schutz vor Schadprogrammen und Schadfunktionen ......................................... 281 10.4.1 Erstellung eines Virenschutzkonzepts ................................................................... 282 10.4.2 Generelle Maßnahmen zur Vorbeugung gegen Virenbefall .................................. 282 10.4.3 Empfohlene Virenschutzmaßnahmen auf Firewall-Ebene .................................... 283 10.4.4 Empfohlene Virenschutzmaßnahmen auf Server-Ebene ....................................... 284 10.4.5 Empfohlene Virenschutzmaßnahmen auf Client-Ebene und Einzelplatzrechnern ............................................................................................................................................ 284 10.4.6 Vermeidung bzw. Erkennung von Viren durch den Benutzer ............................... 285 10.4.7 Erstellung von Notfallplänen im Fall von Vireninfektionen ................................. 287 10.4.8 Auswahl und Einsatz von Virenschutzprogrammen .............................................. 288 10

10.4.9 Verhaltensregeln bei Auftreten eines Virus .......................................................... 290 10.4.10 Warnsystem für Computerviren – Aktualisierung von Virenschutzprogrammen ............................................................................................................................................ 291 10.4.11 Schutz vor aktiven Inhalten ................................................................................. 291 10.4.12 Sicherer Aufruf ausführbarer Dateien ................................................................. 294 10.4.13 Vermeidung gefährlicher Dateiformate ............................................................... 296 10.5 Datensicherung ......................................................................................................... 298 10.5.1 Regelmäßige Datensicherung ................................................................................ 298 10.5.2 Entwicklung eines Datensicherungskonzeptes ...................................................... 300 10.5.3 Festlegung des Minimaldatensicherungskonzeptes ............................................... 300 10.5.4 Datensicherung bei Einsatz kryptographischer Verfahren .................................... 301 10.5.5 Geeignete Aufbewahrung der Backup-Datenträger ............................................... 303 10.5.6 Sicherungskopie der eingesetzten Software .......................................................... 303 10.5.7 Beschaffung eines geeigneten Datensicherungssystems ....................................... 304 10.5.8 Datensicherung bei mobiler Nutzung eines IT-Systems ....................................... 305 10.5.9 Verpflichtung der Mitarbeiter/innen zur Datensicherung ...................................... 307 10.6 Netzsicherheit ........................................................................................................... 307 10.6.1 Sicherstellung einer konsistenten Systemverwaltung ............................................ 307 10.6.2 Ist-Aufnahme der aktuellen Netzsituation ............................................................. 308 10.6.3 Analyse der aktuellen Netzsituation ...................................................................... 309 10.6.4 Entwicklung eines Netzkonzeptes ......................................................................... 310 10.6.5 Entwicklung eines Netzmanagementkonzeptes ..................................................... 312 10.6.6 Sicherer Betrieb eines Netzmanagementsystems .................................................. 313 10.6.7 Sichere Konfiguration der aktiven Netzkomponenten .......................................... 314 10.6.8 Festlegung einer Sicherheitsstrategie für ein Client-Server-Netz .......................... 315 10.6.9 Wireless LAN (WLAN) ........................................................................................ 318 10.6.10 Remote Access (VPN) - Konzeption .................................................................. 321 10.6.10.1 Durchführung einer VPN-Anforderungsanalyse .............................................. 323 10.6.10.2 Entwicklung eines VPN-Konzeptes ................................................................. 325 10.6.10.3 Auswahl einer geeigneten VPN-Systemarchitektur .......................................... 331 10.6.11 Remote Access (VPN) - Implementierung .......................................................... 340 10.6.11.1 Sichere Installation des VPN-Systems ............................................................. 341 10.6.11.2 Sichere Konfiguration des VPN-Systems ......................................................... 342 11

10.6.12 Sicherer Betrieb des VPN-Systems ..................................................................... 343 10.6.13 Entwicklung eines Firewallkonzeptes ................................................................. 346 10.6.14 Installation einer Firewall .................................................................................... 350 10.6.15 Sicherer Betrieb einer Firewall ........................................................................... 351 10.6.16 Firewalls und aktive Inhalte ................................................................................ 353 10.6.17 Firewalls und Verschlüsselung ............................................................................ 354 10.6.18 Einsatz von Verschlüsselungsverfahren zur Netzkommunikation ....................... 355 10.7 Betriebsmittel und Datenträger .............................................................................. 358 10.7.1 Betriebsmittelverwaltung ....................................................................................... 358 10.7.2 Datenträgerverwaltung ........................................................................................... 360 10.7.3 Datenträgeraustausch ............................................................................................. 361 10.8 Informationsaustausch / E-Mail ............................................................................. 363 10.8.1 Richtlinien beim Datenaustausch mit Dritten ....................................................... 363 10.8.2 Festlegung einer Sicherheitspolitik für E-Mail-Nutzung ....................................... 364 10.8.3 Regelung für den Einsatz von E-Mail und anderen Kommunikationsdiensten ...... 366 10.8.4 Sicherer Betrieb eines Mail-Servers ...................................................................... 369 10.8.5 Einrichtung eines Postmasters ............................................................................... 371 10.8.6 Geeignete Auswahl eines E-Mail-Clients/Server .................................................. 371 10.8.7 Sichere Konfiguration der Mailclients .................................................................. 373 10.8.8 Verwendung von WebMail externer Anbietern .................................................... 373 10.9 Internet-, Web, E-Commerce, E-Government ...................................................... 375 10.9.1 Richtlinien bei Verbindung mit Netzen Dritter (Extranet) .................................... 375 10.9.2 Erstellung einer Internet-Sicherheitspolitik ........................................................... 376 10.9.3 Festlegung einer WWW-Sicherheitsstrategie ........................................................ 379 10.9.4 Sicherer Betrieb eines WWW-Servers .................................................................. 380 10.9.5 Sicherheit von WWW-Browsern ........................................................................... 382 10.9.6 Schutz der WWW-Dateien .................................................................................... 388 10.9.7 Einsatz von Stand-alone-Systemen zur Nutzung des Internets .............................. 390 10.9.8 Sichere Nutzung von E-Commerce bzw. E-Government Applikationen ............... 390 10.9.9 Portalverbundsystem in der öffentlichen Verwaltung ........................................... 392 10.10 Protokollierung und Monitoring .......................................................................... 393 10.10.1 Erstellung von Protokolldateien .......................................................................... 393 10.10.2 Datenschutzrechtliche Aspekte bei der Erstellung von Protokolldateien ............. 395 12

10.10.3 Kontrolle von Protokolldateien ........................................................................... 396 10.10.4 Rechtliche Aspekte bei der Erstellung und Auswertung von Protokolldateien zur E-Mail- und Internetnutzung ...................................................................................... 397 10.10.5 Audit und Protokollierung der Aktivitäten im Netz ............................................ 399 10.10.6 Intrusion Detection Systeme ............................................................................... 402 10.10.7 Zeitsynchronisation .............................................................................................. 403

11 Zugriffskontrolle, Berechtigungssysteme, Schlüssel- und Passwortverwaltung ...................................................................................... 404
11.1 Zugriffskontrollpolitik ............................................................................................. 404 11.1.1 Grundsätzliche Festlegungen zur Rechteverwaltung ............................................. 404 11.2 Benutzerverwaltung ................................................................................................. 405 11.2.1 Vergabe und Verwaltung von Zugriffsrechten ...................................................... 405 11.2.2 Einrichtung und Dokumentation der zugelassenen Benutzer/innen und Rechteprofile ..................................................................................................................... 406 11.2.3 Organisatorische Regelungen für Zugriffsmöglichkeiten in Vertretungs- bzw. Notfällen ........................................................................................................................... 408 11.3 Verantwortung der Benutzer / Benutzerinnen ...................................................... 409 11.3.1 Regelungen des Passwortgebrauches .................................................................... 409 11.3.2 Bildschirmsperre .................................................................................................... 410 11.4 Fernzugriff ................................................................................................................ 411 11.4.1 Nutzung eines Authentisierungsservers beim Fernzugriff ..................................... 412 11.4.2 Einsatz geeigneter Tunnel-Protokolle für die VPN-Kommunikation .................... 414 11.4.3 Einsatz von Modems und ISDN-Adaptern ............................................................ 415 11.4.4 Geeignete Modem-Konfiguration .......................................................................... 417 11.4.5 Aktivierung einer vorhandenen Callback-Option .................................................. 418 11.5 Zugriff auf Betriebssysteme .................................................................................... 419 11.5.1 Sichere Initialkonfiguration und Zertifikatsgrundeinstellung ................................ 419 11.5.2 Nutzung der BIOS-Sicherheitsmechanismen ........................................................ 420 11.6 Zugriff auf Anwendungen und Informationen ...................................................... 421 11.6.1 Wahl geeigneter Mittel zur Authentisierung ......................................................... 422 11.6.2 Regelungen des Gebrauchs von Chipkarten .......................................................... 424 11.6.3 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen 426 .... 11.7 Mobile Computing und Telarbeit ........................................................................... 428 11.7.1 Mobile IT-Geräte ................................................................................................... 430 11.7.1.1 Laptop, Notebook ............................................................................................... 432 13

3 Regelungen für Telearbeit ......................... 481 14 .......................................................... 474 12....................... 476 12........................................7.....1.......7 Geregelte Nutzung der Kommunikationsmöglichkeiten ........... 480 12................. 460 12..................... 454 11..................... 448 11.........................................................................................................................................................3 Mobiltelefon......9 Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner....................1 IT-Sicherheit in der System-Anforderungsanalyse ...7....5 Entwicklung eines Testplans für Standardsoftware ........7......4 Wechselmedien und externe Datenspeicher (USB-Sticks........10 Sicherheitstechnische Anforderungen an den Kommunikationsrechner ................ 451 11................... 467 12.............11.................2 Durchführung einer Risikoanalyse und Festlegung der ITSicherheitsanforderungen .3 IT-Sicherheit in Design und Implementierung .................................Institution ..8 Regelung der Zugriffsmöglichkeiten von Telearbeiter/innen .........................4 Regelung des Dokumenten. Meldewege und Fortbildung ..............7....................... 469 12............................................... CDs... 478 12..1..und Wartungskonzept für Telearbeitsplätze ......................................12 Vertretungsregelung für Telearbeit ......... 452 11.. 465 12..................................... 451 11.. 436 11....... DVDs) .....................................7.......... 456 11..................und Datenträgertransports zwischen häuslichem Arbeitsplatz und Institution .11 Informationsfluss........1...................................9 Sicherstellen der Integrität von Software ..7..............2 PDA (Personal Digital Assistant) ..............7................. 445 11......13 Entsorgung von Datenträgern und Dokumenten ..........1................ -Platten...........6 Testen von Software .................................................7..................1.................................. 471 12..1..... Smart Phone ..8 Installation und Konfiguration von Software ......... 448 11.........................................1.......................... 459 12 Sicherheit in Entwicklung...................................................... 454 11........1.......1........................................... 472 12.............. 457 11.....1....................1..........................7..............7........1......1 Sicherheit im gesamten Lebenszyklus eines IT-Systems ....................7 Abnahme und Freigabe von Software ..................................................7..........6 Betreuungs....................................................... Betrieb und Wartung eines IT-Systems ...............................1........................................... 461 12................... 450 11.............10 Lizenzverwaltung und Versionskontrolle von Standardsoftware .......................7.................. 459 11............. 479 12......5 Geeignete Aufbewahrung dienstlicher Unterlagen und Datenträger .....................................................11 Deinstallation von Software . 440 11............1........................................................................2 Geeignete Einrichtung eines häuslichen Arbeitsplatzes ...7...............7....................4 Entwicklungsumgebung .....7.......................

487 12........ 484 12.............. Informationssicherheits-Ereignisse (Incident Handling) .........2 Nutzungsverbot privater Hard.3 Einsatz von Software .............4 Update von Software ................3....6 Einsatz kryptographischer Maßnahmen ....................1 Verifizieren der zu übertragenden Daten vor Weitergabe ................................................2 Regelungen für externe Wartungsarbeiten ......................................................................................................................3..................3...................5................... 489 12.............7...............................2 Sorgfältige Durchführung von Konfigurationsänderungen .................4 Wartung und administrativer Support von Sicherheitseinrichtungen ..................4 Auswahl eines geeigneten kryptographischen Produktes ............................................ 485 12..............................................6.. 511 12.....2 Evaluierung und Zertifizierung ............................1 Entwicklung eines Kryptokonzepts ....................................... 486 12...6 Software-Pflege.........................................1 Regelungen für Wartungsarbeiten im Haus ........... 506 12..........1 Überlegungen zu Informationssicherheits-Ereignissen .......... 483 12.......................6.......1 Nutzungsverbot nicht-freigegebener Software .................. 521 15 .............6.. 521 13....................................6.. 491 12...................................................................1..... 493 12......................... 519 13 Sicherheitsvorfälle bzw..............3 Fernwartung .12........................................................................................................6.......... 489 12...................................... 513 12............................... 516 12...................................................................9 Zertifizierungsdienste . 517 12..........................................3 Überprüfung des Software-Bestandes ............................ 495 12...........5 Update/Upgrade von Soft...7.............. 481 12...und Software-Komponenten ........ 514 12....4 Korrekte Verarbeitung .......... 485 12.............. 481 12.. sicherheitsrelevante Ereignisse (Incident Handling) ..................3......7...........................................7 Schlüssel-Management .......1 Systemdateien ............ 498 12.......................................................6........................................4.....................................6...............................5 Regelung des Einsatzes von Kryptomodulen .................... 483 12.. 515 12.............................................5........................3.......... 504 12......................................und Hardware im Netzbereich ..........................................7 Wartung ........6 Physikalische Sicherheit von Kryptomodulen ............2 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte........................1 Beachtung des Beitrags der Zertifizierung für die Beschaffung .......1 Reaktion auf Sicherheitsvorfälle bzw.................................8 Einsatz elektronischer Signaturen .............................................................................................................2... 489 12............................................................................................... 484 12........6....... 505 12.........................................6................................... 521 13....................................................5 Sicherheit von Systemdateien ....3.......... 487 12....3 Auswahl eines geeigneten kryptographischen Verfahrens ......und -Änderungskonzept ... 501 12....7....

.......1 Security Compliance Checking und Monitoring .................. 560 16 ............................... 529 13..............2 Erstellung einer Übersicht über Verfügbarkeitsanforderungen ........................................... 559 15..........6 Behebung von Sicherheitsvorfällen ........ 555 14..................................7 Untersuchung interner und externer Ausweichmöglichkeiten ......... 533 13..1.......................12 Abschließen von Versicherungen ........................................1...............1....................... 547 14.1......2.. 549 14...........................................7 Eskalation von Sicherheitsvorfällen ......................1....................................................... 556 14.....1.....................................1................................. 537 13.........11 Lieferantenvereinbarungen ...........1..................... 546 14................1............. 552 14............................1....1........................................................................................... 559 15....... 523 13.................................................1................................... 554 14.............4 Prioritäten bei der Behandlung von Sicherheitsvorfällen .................... 543 14.............................1........................................ 551 14..........................1..............5 Meldewege bei Sicherheitsvorfällen .............. 526 13............3 Benennung einer/eines Notfall-Verantwortlichen ......2........... 528 13.........................................................................1................................. 548 14.........1 Definition von Verfügbarkeitsklassen ......5 Definition des eingeschränkten IT-Betriebs (Notlaufplan) .......1................................................... 557 15 Security Compliance ............................................ 548 14.......................3 Erstellung eines Incident Handling Plans und Richtlinien zur Behandlung von Sicherheitsvorfällen .... 544 14..13 Redundante Leitungsführung ...................................................................................................................1...................1...............2 Überprüfung auf Einhaltung der Sicherheitspolitiken ......................2 Übungen zur Datenrekonstruktion ...........................................8 Alarmierungsplan ............ 531 13............14 Redundante Auslegung der Netzkomponenten .......................................1..............2 Festlegung von Verantwortlichkeiten bei Informationssicherheits-Ereignissen ................................................ 559 15...............................................4 Erstellung eines Disaster Recovery Handbuches .................... 552 14.... 550 14................................... 543 14.13......................2 Umsetzung und Test ....................8 Nachbereitung von Sicherheitsvorfällen (Lessons Learned) ...............1...........1....9 Computer Emergency Response Team (CERT) ..............................1 Durchführung von Disaster Recovery Übungen ............ 543 14..........10 Ersatzbeschaffungsplan ............. 546 14............................9 Erstellung eines Wiederanlaufplans ...1 Security Compliance Checking und Monitoring .........1...........................................................................1 Einhaltung von rechtlichen und betrieblichen Vorgaben ............1........6 Regelung der Verantwortung im Notfall ...................... 539 14 Disaster Recovery und Business Continuity ............1.................................... 556 14.............................

.....1........1...........1 Konzept und Funktionen der Bürgerkarte .................................. 567 A................................................ 562 15......... 573 A...... 592 A............. 574 A....................... 580 A.......................... 575 A............1........5 Portalverbund ...6 Kontrollgänge ........3.....................................4 Module für Online Applikationen (MOA) ........................... 567 A............Signaturprüfung (MOA SP) / MOA SS ....1................3 Auswertung von Protokolldateien ................................2................................................2.3......................1.1 MOA-ID Identifikation .......................................................4.....................4...........2................1 Beschreibung der generellen Anforderungen ..............................2 MOA SP ...4 Kontrolle bestehender Verbindungen ..........2.....................3...................3..4 MOA AS . 565 A.........................1...............................1 Industrielle Sicherheit .....1..........................1..........3 Ausstellung einer Sicherheitsunbedenklichkeitsbescheinigung ..........3 MOA ZS ........................................................................................1...............................................1....................................................7 Fortlaufende Überwachung der IT-Systeme (Monitoring) ........... 568 A..2......3..... 586 A...2 Personenkennzeichen und Stammzahlen ........................... 586 A............................. 587 A.............................................8 Schlüsselverteilungszentralen .................... 578 A........................................1.............................2 Rechtlicher Hintergrund ..............................2...................................................................... 586 A.........1 Kryptographische Methoden .....1.............1..............4......................... 564 15..........5 Authentizitätsnachweise .. 584 A...3...............................................................................................................................................2 Tunneling ............................. 583 A..1......3 Vollmachten ......5 Durchführung von Sicherheitskontrollen in Client-Server-Netzen ...................................................................... 599 A....1....................... Elektronische Signaturen ...................Zustellung ........... 567 A.......................2 Sicherheitstechnologien ..........1...................1......... 595 A.........................1..............1.........................und Verteidigungsdoktrin – Teilstrategie IKTSicherheit .....................Signaturerstellung am Server ........................1....................3.........2 Österreichische Sicherheits.........1........................... 581 A...............1....4....7 Schlüsselmanagement ..1.......1............................... 560 15.............1................................3.....................................4 Integritätsschutz ........................1.........................3 Sicherheitsfunktionen für E-Government in Österreich ..2........... 598 A........................... 583 A................................................... 586 A.1.........................................................................1 Sicherheitsszenarien ........................................2..........1..... 584 A.................15..........1 Elemente der Kryptographie ......................................1... 600 17 ......6 Digitale Signaturen.................1..3......................................... 563 15...3 Verschlüsselung ...2............................................2.................Amtssignatur ........................................ 580 A...............1.................................. 571 A............2 Kryptographische Grundziele ............ 594 A.................

.............3......................................10 Erstellung eines Notfallplans für den Ausfall von Virtualisierungskomponenten .......................7 Aufteilung der Administrationstätigkeiten bei Virtualisierungsservern ..............................................3 Virtualisierung ......................................................................................2 Referenzdokumente ..............................................2..........2........2..........................................3...........................2......................................................................... Wertbehältnisse .. 625 C.....9 Sicherer Betrieb virtueller Infrastrukturen ..... 614 A.................................................. 603 A... Sicherheitstüren und einbruchhemmende Türen ........................................3 Gefährdungen in Zusammenhang mit Virtualisierung ...........................2........... 603 A.....................................................................1 Wichtige Normen ..................................6 Anpassung der Infrastruktur im Zuge der Virtualisierung ................ 616 A.............2.. 643 Gesetzestexte ...............................................................................3.................................2......................................... 645 F Wichtige Adressen ..................1 Tunnel-Protokolle für die VPN-Kommunikation ..............3............... 626 Brandschutz ....................................... Vernichtung von Akten und Daten ....................................... 639 E Referenzierte IKT-Board Beschlüsse und Gesetze ........................................... 617 A....3.....................2 Anwendungen der Virtualisierungstechnik ...2...........3................................. Informationssicherheit und IT-Sicherheit ..... 649 18 ....................... 600 A....3...2....................................................................................... 609 A.......................1 Einführung in die Virtualisierung ........ Verpflichtungserklärungen und Dokumentationen .......................................................................................................2..................................................................................................... 619 A..........................3..2............................................. 611 A...... 643 IKT-Board Beschlüsse ................. 621 B Muster für Verträge.A....................... 626 628 628 629 629 C........4 Planung ................... 605 A.........8 Sichere Konfiguration virtueller IT-Systeme ............................3................3...... 615 A......................................................................2...................2...............................5 Rollen und Verantwortlichkeiten bei der Virtualisierung ..................

rückt die Frage nach der Sicherheit der Informationen und der Informationstechnologie zunehmend in den Brennpunkt des Interesses. Das nun neu überarbeitete und neu strukturierte „Österreichische Informationssicherheitshandbuch“ beschreibt und unterstützt die Vorgehensweise zur Etablierung eines umfassenden Informationssicherheits-Managementsystems in Unternehmen und der öffentlichen Verwaltung. welche für österreichische Institutionen relevant sind. Aufbau und Inhalt orientieren sich nun nach internationalen Vorgaben und erleichtern damit die Umsetzung von Vorgaben aus der ISO/IEC 27000 Normenreihe. 19 . Methodisches Sicherheitsmanagement ist zur Gewährleistung umfassender und angemessener Informationssicherheit unerlässlich. eine eigenständige. Die grundlegende Überarbeitung und Aktualisierung seit der letzten Fassung aus 2007 führte das Bundeskanzleramt in Kooperation mit dem Zentrum für sichere Informationstechnologie . denen Informationen ausgesetzt sind und Gegenmaßnahmen. Unterstützt werden auch eigene. lokale Versionen.Zum Geleit Die Tatsache. Diese Überarbeitung basiert einerseits auf aktuellen internationalen Entwicklungen im Bereich der Informationssicherheit und andererseits auf Kooperationen mit dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem schweizerischen Informatikstrategieorgan des Bundes (ISB). ISO/IEC 27001 und 27002) in der öffentlichen Verwaltung und der Privatwirtschaft. weiter ausgebaut. Der Aufbau des neuen Informationssicherheitshandbuchs ermöglicht auch die Berücksichtigung von Querschnittsmaterien nach Vorgabe durch Fachbereiche aus Verwaltung und Wirtschaft. Die nun erstmals ausschließlich elektronische Umsetzung in Verbindung mit einer kontinuierlichen Wartung durch definierte Autorengruppen mit fachspezifischen Anforderungen ermöglicht eine Tagesaktualität.Austria (A-SIT) durch.B. Zusätzlich eignet sich das neue Informationssicherheitshandbuch auf Grund seiner neuen Struktur als konkrete Implementierungshilfe für nationale (E-Government) und internationale Normen (z. Dabei wird die bisherige Stärke des Österreichischen Sicherheitshandbuchs. dass weite Bereiche des täglichen Lebens ohne den Einsatz von informationstechnischen Systemen heute nicht mehr funktionsfähig sind. wobei weiterentwickelte zentrale Bausteine mit Hilfe automatischer Updates eingespielt werden können. umfassende und dennoch kompakte Darstellung von Risken. Dazu wurden Maßnahmenbausteine entwickelt. die sowohl von der öffentlichen Verwaltung als auch der Wirtschaft zielgruppenorientiert und einfach verwendet werden können. die gerade in der Informationsverarbeitung besonders wichtig ist.

Österreich besitzt mit dem "Österreichischen Informationssicherheitshandbuch" ein anerkanntes Standardwerk zur Informationssicherheit. Es leistet einen wesentlichen Beitrag zur Erstellung und Implementierung von umfangreichen Sicherheitskonzepten in der öffentlichen Verwaltung und versteht sich als Hilfestellung für die Wirtschaft. das sich an internationalen Vorgaben orientiert und durch seine Kompaktheit auszeichnet. 20 .

jeweils aktuelle Themen und Aspekte in das Informationssicherheitshandbuch einzubringen. Die technische Realisierung unterstützt nun unterschiedliche Sprachen. Sie sehen hier das Ergebnis eines ehrgeizigen internationalen Projekts mit dem Ziel. Die markantesten Neuheiten sind: • • • • • • Die bisherige Struktur mit 2 Teilen wurde an die Struktur der Normen ISO/IEC 27001 und 27002 angepasst: Es gibt jetzt einen Teil mit 15 Abschnitten und einer Reihe von Anhängen. Damit können "eigene" Sicherheitshandbücher und -policies erarbeitet werden. um die Aktualität sicherzustellen. bestehend aus Bausteinen der bisherigen zweiteiligen Version und neu verfassten Inhalten.1 ist die erste Auflage in der neuen Struktur und bietet eine vollständige Wissensbasis. Die nun vorliegende Version 3. Feedbacks zum Sicherheitshandbuch können Sie ganz einfach per E-Mail senden an: siha@a-sit. Die inhaltliche Wartung erfolgt nun kontinuierlich.Vorwort und Management Summary Zur Version 3 des Informationssicherheitshandbuchs Herzlich willkommen bei der Lektüre der Version 3 des Österreichischen Informationssicherheitshandbuchs. Auf Grund der fortschreitenden Entwicklung der Informationstechnologie wird es ein andauender Prozess sein. Damit wird der Einsatz als Implementierungshilfe für ein ISMS gemäß ISO/IEC 27001 erleichtert. Unbeschadet dessen sind wir für Feedbacks der Leser und Anwender dankbar.und Checklisten mit eigenen Kommentaren. dem bewährten Österreichischen Informationssicherheitshandbuch nicht nur neue Inhalte. Damit kann das Sicherheitshandbuch international genutzt werden. Gleichermaßen werden unterschiedliche Textversionen zum gleichen thematischen Inhalt für verschiedene Zielgruppen unterstützt und entwickelt. sondern auch neue Einsatzgebiete mit Hilfe von interaktiven Funktionalitäten zu geben. Ein Update-Mechanismus vergleicht lokal ergänzte Themen mit allfälligen Änderungen in der zentralen Wissensbasis. Eine moderne Web-Benutzeroberfläche erleichtert die Erarbeitung von lokal erzeugten Auswahl.at 21 .

dann erleiden wir Schaden . das zeigen entsprechende Umfragen immer wieder. aber wie viel sind wir bereit. Schweiz Zentrum für sichere Informationstechnologie .Bleibt noch. müssen. weil wir aus ihnen einen Vorteil ziehen. Gehen sie uns verloren. welche für ein spezielles Szenario beachtet werden sollen bzw. 22 . Ausgehend von seiner ersten Version („IT-Sicherheitshandbuch für die öffentliche Verwaltung“).weil wir für ihre Verwahrung oder Verarbeitung Verantwortung tragen. dennoch ist es der zentrale und immer wichtiger werdende Aspekt der Informationssicherheit. wurde beim „Österreichischen Informationssicherheitshandbuch“ zunehmend dem steigenden Interesse aus der Wirtschaft Rechnung getragen. werden sie gestohlen. sind sie falsch oder einfach nicht auffindbar. Wir. das sind die Projektpartner: • • • Bundeskanzleramt Österreich (BKA) Informatikstrategieorgan des Bundes (ISB).Austria (A-SIT) . war von Beginn an die Zielsetzung dieses Handbuchs.die Palette reicht von geringfügig bis existenzbedrohend. Wir besitzen sie aus unterschiedlichen Gründen . weil ihre Kenntnis uns vor Schaden bewahrt und noch viel mehr. in den Schutz unserer Informationen zu investieren und was ist im speziellen Fall die optimale Lösung? Hier wird es schon differenzierter. redaktioneller Leiter Management Summary Mehr denn je ist uns bewusst: Informationen sind Werte. Niemand bestreitet das.als Projektverantwortliche Manfred Holzbach. wenn wir sie benötigen. Das ist zwar nichts Neues. Aus der Fülle möglicher Bedrohungen und der Fülle möglicher Gegenmaßnahmen methodisch diejenigen identifizieren zu helfen. die sich am Sicherheitsbedürfnis öffentlicher Einrichtungen orientiert hat. Ihnen für Ihr Interesse an der neuen Version zu danken und zu hoffen. dass wir damit einen richtigen Weg einschlagen. dass Sie auch der Meinung sind.

Ein solches ist in ISO/IEC 27001 definiert als: 23 . wenn "Cloud Computing" die geschäftliche und auch private Nutzung der Informationstechnologie durchdrungen haben wird. um die Aktualität sicherzustellen. welche sowohl in der öffentlichen Verwaltung als auch in der Privatwirtschaft zu bemerkenswerten Innovationsschüben führt. sondern auch völlig neue Anwendungsgebiete wie z. der besonderes Augenmerk zu schenken ist . Kernelemente des Informationssicherheitshandbuchs sind der Aufbau. Und schließlich ist es immer noch die Person. neu ausgerichtet wird. auf „typische“ Verhaltensmuster ist Verlass . Mit dieser Motivation wurden mit der nun vorliegenden Version 3 neue Wege beschritten: • • • • Ein wesentliches Einsatzgebiet ist die Implementierung der für Informationssicherheit wichtigen Normen ISO/IEC 27001 und 27002. wie schnell ein zunächst harmlos erscheinendes Phänomen zu einem massiven Problem wurde. Ein Sicherheitshandbuch erfüllt seinen Zweck nur.Weiterentwicklungen betreffen primär die Inhalte: Ist es doch die rasante Entwicklung im Bereich der Informationstechnologie (IT). wenn es regelmäßig der aktuellen Entwicklung Rechnung trägt und daher immer wieder überarbeitet. die Umsetzung und die Aufrechterhaltung eines InformationssicherheitsManagementsystems (ISMS).es ist unerheblich wo sich der/die Nutzer/in gerade physisch befindet. dass Information „ortslos“ wird .und Checklisten ( "eigene" Sicherheitshandbücher und -policies. Mit einer modernen Benutzeroberfläche kann sowohl einfach durch die Themen geblättert. Die inhaltliche Wartung erfolgt ab jetzt nun kontinuierlich. und es wird in den Texten auf passende Normvorschriften hingewiesen. Es werden unterschiedliche Sprachen unterstützt.sonst wären E-MailWürmer oder Phishing-Angriffe nicht so problematisch . Die steigende Vernetzung führt dazu. Schulungsunterlagen ) erzeugt werden.obwohl die Mehrheit der Benutzer über die Gefahren Bescheid weiß. Ein vorläufiger Höhepunkt dieser Entwicklung wird erreicht sein. sowohl für die rechtmäßigen Besitzer/innen der Information wie auch für die potenziell unrechtmäßigen. aber auch eigene Auswahl.B. Zugleich steigt das Risikopotenzial weiter. Daher wurde die Kapitelstruktur weitgehende diesen Normen angepasst. Am Beispiel der Spam-E-Mails kann man erkennen. E-Government.sie entwickelt sich nicht so rasant weiter wie die Technik. ergänzt und ggf. Es gibt nicht nur immer wieder neue Technologien.

(ISO/IEC 27001. Überprüfung. Implementierung. Daher sind auch kontinuierlich Anstrengungen und Kosten für Informationssicherheit in Kauf zu nehmen. enthält das Managementsystem die Struktur."Teil des gesamten Managementsystems. der auf der Basis eines Geschäftsrisikoansatzes die Entwicklung. Durchführen (Do): Umsetzen und Betreiben des ISMS. über das Ziel zu schießen: 100 % Sicherheit ist nicht erreichbar. Überwachung. dass Informationen schützenswerte und gefährdete Werte für alle Beteiligten darstellen. Überwachung. für ihre Einhaltung sorgen und Informationssicherheit im laufenden Betrieb inklusive in Notfällen zu gewährleisten. Verfahren. Prozesse und Ressourcen der Organisation. Die für das Informationssicherheits-Managementsystem (ISMS) relevante Norm ISO/IEC 27001 beschreibt Informationssicherheit als "Kontinuierlichen Verbesserungsprozess" (KVP): • • • • Planen (Plan): Festlegen des ISMS. Überprüfung. Es ist aber auch bei der Informationssicherheit nicht sinnvoll. also relevante Sicherheitsziele und strategien ermitteln. Dies bedingt erneutes Planen. eine organisationsspezifische Informationssicherheits-Politik zu erstellen und spezifisch geeignete Sicherheitsmaßnahmen auswählen. das bedeutet Vorhandensein. Planungsaktivitäten. Instandhaltung und Verbesserung eines Informationssicherheits-Managementsystems relevanten Anforderungen. das bedeutet auf erkannte Fehler.7) Informationssicherheit entsteht nicht von selbst aus Technik oder Know-How. Sinnhaftigkeit. Umsetzung. Schwachstellen und veränderte Umfeldbedingungen reagieren und die Ursachen für Gefährdungen beseitigen. Instandhaltung und Verbesserung der Informationssicherheit abdeckt" bzw. Begriffe 3. wie viel man auch investiert. Handeln (Act): Instandhalten und Verbessern des ISMS. sondern zunächst aus dem Bewusstsein des Managements und der Mitarbeiter/innen einer Organisation. Durchführung. Grundsätze. Im Informationssicherheitshandbuch wird darauf in den Kapiteln 2 und 24 . aber auch Kenntnis über Vorfälle sowie üblicher Good-Practices zu erlangen. Einhaltung der Sicherheitsmaßnahmen zu überprüfen. Inhalt und Struktur des Informationssicherheitshandbuchs sind an die ISO/IEC Normen 27001 und 27002 angepasst: • ISO/IEC 27001 (Informationssicherheits-Managementsysteme – Anforderungen) beschreibt die für Einrichtung. Prüfen (Check): Überwachen und Überprüfen des ISMS auf seine Wirksamkeit. Praktiken. also Sicherheitsmaßnahmen realisieren. um sie zu erhalten. womit sich ein ständiger Kreislauf schließt. Verantwortung. Durchführung.

EU. 25 . aber auch auf die durchgängige Einbeziehung des gesamten Lebenszyklus der jeweiligen Systeme. eingegangen. einem Unternehmen zu etablieren und bieten konkrete Anleitungen den umfassenden und kontinuierlichen Sicherheitsprozess zu entwickeln. Literaturhinweise und Hilfsmittel wie Referenzen. von der Entwicklung bis zur Beendigung des Betriebs. Informationssicherheitsgesetz. Ein eigener Abschnitt im Anhang A beschreibt national relevante Sicherheitsmaßnahmen.. Es werden hier konkrete und detaillierte Einzelmaßnahmen mit Anleitungen zu ihrer korrekten Implementierung auf organisatorischer. Informationssicherheit in einer Behörde. infrastruktureller und technischer Ebene beschrieben. In den Anhängen finden sich schließlich ausgewählte Technologie. Organisation bzw. Amtsgeheimnis. .• 3 Bezug genommen: sie beschreiben den grundlegenden Vorgang. Vorgaben entwickeln) zu können. ISO/IEC 27002 (Leitfaden für das Informationssicherheits-Management) beschreibt konkrete Empfehlungen für Aktivitäten zur Realisierung der Maßnahmenziele. Im Informationssicherheitshandbuch beziehen sich die Kapitel 4 bis 15 darauf und entsprechen in ihrer Thematik auch den Kapiteln der Norm.) darstellen und setzt diese weder außer Kraft noch steht es zu ihnen im Widerspruch.. Es wird auch besonders auf die spezifisch österreichischen Anforderungen.dargestellt wird hier die Unterstützung für die Erstellung einer Sicherheitsunbedenklichkeitsbescheinigung und eine Übersicht aller für industrielle Sicherheit relevanten Vorgabedokumente aus dem nationalen.und NATO-Bereich. Regelungen und Rahmenbedingungen. die nicht in den ISO Normen abgedeckt sind.und Szenariobeschreibungen sowie Musterdokumente. Dies wird auch durch die Online-Funktionalitäten wie Checklisten unterstützt. um sie auch in der Tiefe zu verstehen und Maßnahmen implementieren (etwa Produkte auswählen. personeller. Ausrichtung und Umfang Von der Ausrichtung versteht sich das Informationssicherheitshandbuch nach wie vor als Sammlung von Leitlinien und Empfehlungen für die Praxis. wie beispielsweise die "Industrielle Sicherheit" . Sein Umfang soll nach wie vor zwei an sich gegenläufige Aspekte vereinen: • Die Themen sollen ausreichend konkret und detailliert dargestellt werden. Verschlusssachenvorschriften. die entsprechend den spezifischen Anforderungen und Bedürfnissen in einer Einsatzumgebung angepasst werden müssen. Damit können den spezifischen Bedrohungen angemessene Standardsicherheitsmaßnahmen für Informationssysteme und Informationen entgegengesetzt werden. Es soll eine Ergänzung zu den bestehenden Regelungen und Vorschriften (Datenschutzgesetz.

Abschließend drei Management-relevante Passagen (aus Kapitel 3): • • • "Zur Verantwortung der Management-Ebene gehört neben der Erreichung der geschäftlichen wie unternehmenspolitischen Ziele auch der angemessene Umgang mit Risiken. Weiters waren auch die Vorgabedokumente der EU und NATO für Informationssicherheit maßgeblich.• Es soll aber auch möglich bleiben. die uns nicht nur ihre Zustimmung zur Nutzung ihrer Unterlagen gegeben. wie dann in den einzelnen Textbausteinen auch angeführt. zu steuern und zu kontrollieren" "Ein angestrebtes Sicherheitsniveau macht nur dann Sinn. Sie müssen so früh als möglich erkannt. zeitlichen und finanziellen Ressourcen auch erreicht werden kann. einen systematischen und dauerhaften Sicherheits-Managementprozess zu etablieren. bewertet und durch Setzen geeigneter und nachhaltiger Maßnahmen auf einen minimalen und akzpetierten Rest reduziert werden. Informatikstrategieorgan des Bundes (ISB).und Analysestelle Informationssicherung) in der Schweiz und CASES (Cyberworld Awareness Security Enhancement Structure. Bonn. Davon sind die Normenreihe ISO/IEC 27000 und der Grundschutz des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) wohl die bekanntesten und bedeutendsten. Ebenso etabliert ist die Arbeit von MELANI (Melde." "Es ist daher eine Management-Verantwortung. eingeschätzt. Bern. . das Gesamtwerk oder größere Teile am Stück zu lesen. Im Informationssicherheitshandbuch wurde diesen internationalen Entwicklungen so weit wie möglich Rechnung getragen und auf einige dieser bewährten Quellen gegriffen. Wegen der immer höheren Abhängigkeit von Information gilt dies besonders für Risiken aus fehlender oder mangelhafter Informationssicherheit. Ausgesprochenen Dank sprechen wir den Organisationen und ihren maßgeblichen Partnern aus. Deutschland. Luxembourg ) in Luxemburg. einheitliche methodische Vorgehensweisen zur Etablierung von Informationssicherheit sowie Standard-Maßnahmenkataloge zu erarbeiten. Schweiz." Hauptquellen und Danksagungen Schon lange wurden und werden auf nationaler und internationaler Ebene immer mehr Anstrengungen unternommen. sondern uns bei der Erarbeitung immer wieder mit Rat und Ermunterung unterstützt haben: • • 26 Bundesamt für Sicherheit in der Informationstechnik (BSI). wenn es sich wirtschaftlich vertreten lässt und mit den verfügbaren personellen.

Luxembourg 27 .• Ministére de l'Economie et du Commerce extérieur.

.1 Einführung 1.1. Dabei wurde allerdings auf die die gebotene Kompaktheit geachtet.und Checklistenfunktionalität etwa. Durcharbeiten "am Stück". Implementierungshilfe zu ISO/IEC 27001: Viele Organisationen müssen oder wollen IT-Sicherheit gemäß der Norm ISO/IEC 27001 und nachgelagerter Normen etablierten bzw. sowohl modular wie im Ganzen. umgesetzt und und eingehalten werden sollen . wie wird es gemacht. welche Aktivitäten sind zu planen und zu entscheiden. worauf ist zu achten" Hier ermöglicht es die Auswahl. um notwendige Überlegungen und Maßnahmen klar und unzweifelhaft zu darzustellen. auch zertifizieren lassen. die ausgewäht.1 Ziele des Informationssicherheitshandbuchs Das Österreichische Informationssicherheitshandbuch positioniert sich in der Mitte zwischen den normativen Vorgaben der ISO/IEC Normen 27001 / 27002 und verwandter Standards sowie der Fülle an sehr detaillierten Leitfäden und Handbüchern zur Informationssicherheit. sicherstellen und ggf. Einerseits ist es durchaus im Stil einer Vorschrift formuliert. ein "maßgeschneidertes" Sicherheitshandbuch abzuleiten und in Kommentaren die tatsächlich notwendigen Maßnahmen zu beschreiben. andererseits bietet es eine Auswahl an Möglichkeiten und Entscheidungskriterien für die Implementierung in der Praxis. Das Sicherheitshandbuch bietet dazu: • • Gemäß der Norm geordnete Interpretation der Vorgaben und Prozessbeschreibungen."welche Überlegungen sind anzustellen."was gibt es dazu. wo ist Kontrolle nötig" einen Katalog von konkreten Sicherheitsmaßnahmen. beispielsweise den GrundschutzStandards und -Bausteinen des BSI. eignet sich auch zum Lesen bzw. -medien. hat das Potenzial zielgruppengerecht unterschiedlicher Textierungen. und eignet sich daher sowohl als Basis für Schulungs. um den Sicherheitsmanagement-Prozess zu etablieren und aufrecht zu erhalten: .1 Das Informationssicherheitshandbuch 1. Instrument zur Schulung und Weiterbildung: • • • • 28 Die Wissensbasis stellt insgesamt ein ganzheitliches und dennoch kompaktes und ganzheitliches Werk zur Informationssicherheit dar.und Weiterbildungsmaßnahmen bzw.

sowie auch als schriftliche.und Checklistenfunktionalität auf die relevanten Themen eingeschränkt und in den Kommentaren etwa Fragen und Antworten dargestellt weren.3 nach flexiblerer Themenauswahl sowie der Möglichkeit zur Formulierung zielgruppengerechter Textierungen.1 Ziele der Version 3 Der Relaunch als Version 3 ist motiviert einerseits von der Entwicklung und steigenden Bedeutung der Normenreihe ISO/IEC 27001 / 27002. 1. Hilfsmittel für Self-Checks: Als Hilfsmittel für Audits. die Verwendung und Verbreitung des Informationssicherheitshandbuchs zu fördern. Letzteres wurde vor allem als Wunsch der Wirtschaft geäußert. Speziell aus der Schweiz kam der Vorschlag. Wenn auch ein Schwerpunkt auf IT-gestützter Information liegt. 1. Es hat sich gezeigt.2 Scope Inhaltlich behandelt das vorliegende Handbuch den gesamten Bereich der Informationssicherheit. wird Information dennoch umfassend gesehen: in elektronisch gespeicherter oder übertragener Form. aber auch einfach zur Selbstkontrolle können die notwendigen Schritte und Maßnahmen ausgewählt und dann mit der Checklistenfunktion der Grad der Erfüllung mitsamt Begründungen festgehalten werden.1.1. 29 . zum anderen von Erfahrungen und Wünschen der Benutzer/Benutzerinnen der bisherigen Version 2.zu schaffen.wobei Basiswissen gemeinsam verwaltet werden soll . die Möglichkeit für länderspezifische Varianten . Wichtigstes Ziel der Neuauflage ist selbstverständlich. Damit verknüpft ist konsequenterweise die Mehrsprachigkeit. Mit einer Neugestaltung der Datenstruktur und neu entwickelten Zugriffs. gilt sinngemaß auch beispielsweise für Schulen. Somit kam es auch zur Mitwirkung des schweizerischen ISB am Relaunch-Projekt.und Darstellungsmodulen wurde dem Rechnung getragen.1. gesprochene oder bildhaft dargestellte Informationen.Dafür kann der Inhalt mit der Auswahl. dass das Österreichische Informationssicherheitshandbuch auch in anderen Ländern beachtet wird.

Umsetzung. Verarbeitung und Übertragung von Informationen dient. sowie organisatorische.3 Neuheiten der Version 3 Struktur Anpasssung an ISO/IEC 27001 / 27002: Anstelle der bisher 2 Hauptteile (Sicherheitsmanagement und Sicherheitsmaßnahmen) gibt es jetzt nach dem Management-Summary 15 Abschnitte und eine Reihe von Anhängen: • • • Abschnitt 1 ist eine Einführung sowohl für die Handhabung des Handbuchs als auch in die grundsätzliche Thematik. 7. kostenlos angeboten wird. Empfehlungen für bestimmte Produkte werden nicht gegeben. 30 . Ausnahmen gibt es allerdings dort. Organisation bzw. den umfassenden und kontinuierlichen Sicherheitsprozess zu entwickeln. Instandhaltung und Verbesserung eines Informationssicherheits-Managementsystems relevanten Anforderungen gemäß ISO/IEC 27001 4.allerdings keine 1:1 Entsprechung auf der Ebene der einzelnen Details (Textbausteine). Informationssicherheit in einer Behörde. personeller. bauliche und personelle Fragen. Abschnitte 4 bis 15 beschreiben die konkreten Sicherheitsmaßnahmen. Sicherheit von kritischen Infrastrukturen oder Datenschutz kann nicht immer eindeutig sein. 6. dem Anhang zu ISO/IEC 27001 . dass das Produkt schon ein Synonym für die Implementierung darstellt. und nach Möglichkeit werden Produkt.1. Überprüfung. Ist es doch ein Zeil des Handbuchs. Problem. soweit sie in direktem Zusammenhang mit der Sicherheit von IKT-Systemen und den von ihnen verarbeiteten Informationen stehen. inkl. 5. Sie erörtern konkrete und detaillierte Einzelmaßnahmen und Anleitungen zu ihrer korrekten Implementierung wärend ihres gesamten Lebenszyklus auf organisatorischer.und Markennamen vermieden. 8): es handelt sich um den grundlegenden Vorgang. Durchführung. Überwachung.Betrachtet werden dabei auch die Sicherheit von Hardware und Software. Es wird allerdings auch auf spezifisch österreichische Anforderungen. Sie entsprechen in ihrer Reihenfolge und generellen Thematik den Empfehlungen gemäß ISO/IEC 27002 bzw. Objektsicherheit. wo die Durchdringung so groß ist. wie Brandschutz.und Lösungspotenzial aus der und für die Praxis zu geben. die zur Speicherung. Abschnitte 2 und 3 beschreiben die für Einrichtung. oder ein Produkt ausgesprochen spezifische Sicherheitseigenschaften aufweist bzw. Regelungen und Rahmenbedingungen eingegangen. Die Abgrenzung zu verwandten Gebieten. der Aktivitäten zu ihrer Umsetzung und Einhaltung . oft gibt es Überschneidungen zwischen den einzelnen Themen. infrastruktureller und technischer Ebene. einem Unternehmen zu etablieren und bieten konkrete Anleitungen. 1.

Muster für Verträge. Datenbasis (Online Version) • • • • • Jeder Textbaustein kann künftig in mehreren unterschiedlichen Ausprägungen (Formulierungen. "Umgang mit Vermögenswerten". Referenzen zu Normen. Funktionalität (Online Viewer) Der neu entwickelte Online Viewer läuft in einem Standard-Browser und benötigt abgesehen vom Vorhandensein einer Javascript-Unterstützung keine Installation. gibt es nun neue Kapitel bzw.• • In den einzelnen Themenbausteinen werden . Themenbausteine etwa zu "Outsourcing".soferne zutreffend .B. Mit Filteroptionen werden auch unterschiedliche Sprachen ermöglicht. Gesetzen und verwandter Literatur sowie Quellenhinweise. Die Filterregeln sind nicht a priori festgeschrieben. Die Datenbasis besteht aus einem Satz von XML (extended Markup Language) Dateien. Damit werden zielgruppenorientierte Darstellungen unterstützt. In den Anhängen finden sich ausgewählte Szenarien und Technologien losgelöst von zu setzenden Maßnahmen. bzw.(HTML) oder Textformate (RTF. Government / Wirtschaft ) als auch für Rollen Leserkreise(z. sondern Gegenstand von Vereinbarungen (in zentralen Autorengruppen oder individuellen Impelementierungen) und damit flexibel für Erweiterungen. Inhalte • • Um alle Themen laut ISO/IEC 27001 / 27002 abzudecken. die mittels geeigneter Transformationen in andere gängige Darstellungs.Bezüge zu den jeweils zugehörigen Kapiteln der ISO/IEC Normen 27001 und 27002 dargestellt. Management / Watungspersomal / Benutzer/innen) entwickelt. Links zu österreichischen Gesetzen führen direkt zum entsprechenden Gesetzestext im Rechtsinformationssystem ( RIS). "Internen Audits". Filteroptionen werden sowohl für Einsatzgebiete (z. Er bietet als Hauptfunktionalitäten: 31 . obsolete eleminiert. Damit geht eine neue Nummerierung der Kapitel und Textbausteine einher. Anweisungen.B. "Verbesserungsprozess" Neue und geänderte Themenbausteine zu veränderten Technologien oder Gefährdungen werden nunmehr kontinuierlich eingearbeitet. Vereinfachungen) vorhanden sein und mittels Filteroptionen ausgewählt werden. PDF) umgewandelt werden können.

die sich inzwischen geändert haben könnten (anhand ihrer jeweiligen Versionsnummer). Begriffe und Definitionen für solche Managementsysteme.oder Checklisten in PDF-Textdateien. Beim Blättern in der Liste wird ein entsprechender Warnhinweis gegeben. Filteroptionen für Einsatzgebiete. können die neuen Versionen aus der Wissensbasis in die lokale Liste übernommen werden. Statusberichte (Erfüllungsgrad von Maßnahmen). Zusammenstellung einer Checkliste. Druck von Auswahl. Leserkreise sowie unterschiedliche Sprachen. Abgrenzungen Normenfamilie ISO/IEC 27000 Aufgrund der Komplexität von Informationstechnik und der Nachfrage nach Zertifizierung sind in den letzten Jahren zahlreiche Anleitungen. Schulungsunterlagen. Zusammenstellung einer Liste. 32 .oder Checklisten aktuell gehalten werden: • • • Die lokale Liste enthält mehrere Kapitel oder Bausteine aus der Wissensbasis. SelfChecks und Querschnittsmaterien.Es finden sich hier die grundlegenden Prinzipien. Wenn gewünscht. Konzepte.1.4 Quellen. Transformation von Auswahl. Branchen. Rollen. Die internationale Normenfamillie ISO/IEC 27000 gibt einen allgemeinen Überblick über Managementsysteme für Informationssicherheit (ISMS) und über die Zusammenhänge ihrerverschiedenen Einzelnormen.oder Checklisten (Online Version). Update Funktion Mit ihrer Hilfe können lokal abgespeicherte und verwendete Auswahl. das heißt einer individuelle Auswahl von Themen (ganze Kapitel. Einsatzgebiete für Auswahl. Verträglichkeiten. aber auch durch gezielten Sprung auf Kapitel oder Textbausteine erfolgen.• • • • • • Blättern (Browse) im Sicherheitshandbuch: Das kann seriell vom Anfang bis zum Ende.oder Checklisten sind beispielsweise das Erstellen eigener Policies. Sie kann lokal abgespeichert und wieder geladen werden. pro Textbaustein Checkboxen anzukreuzen sowie Kommentare zu verfassen und lokal abzuspeichern. das ist eine individuelle Auswahl mit der Möglichkeit. Unterkapitel oder Textbausteine) . Standards und nationale Normen zur Informationssicherheit entstanden. 1.

Die erforderlichen Informationssicherheitsmaßnahmen werden eher kurz auf ca. ISO/IEC 27002 (vormals ISO 17799) "Information technology – Code of practice for information security management" befasst sich als Rahmenwerk für das Informationssicherheitsmanagement hauptsächlich mit den erforderlichen Schritten. Weitere Standards der ISO/IEC 27000 Reihe: Langfristig wird die Normenreihe ISO/IEC 27000 voraussichtlich langfristig aus den Standards 27000 – 27019 und 27030-27044 bestehen. zu überwachen und laufend zu verbessern.Information security management systems requirements specification" ist der erste internationale Standard zum Informationssicherheitsmanagement. 7. ISO/IEC 27005 "Information security risk management" enthält Rahmenempfehlungen zum Risikomanagement für Informationssicherheit. 100 Seiten skizzert angerissen. bietet allerdings in einer kompakten Form auch technische und organisatorische Hinweise und Ratschläge zur Implementierung. ISO/IEC 27001 gibt in 5 konkreten Kapiteln (4. um ein funktionierendes Informationssicherheitsmanagement aufzubauen und in der Organisation zu verankern. der auch eine Zertifizierung ermöglicht. Die weiteren Standards sollen zum besseren Verständnis und zur praktischen Anwendbarkeit der ISO/IEC 27001 beitragen und beschäftigen sich beispielsweise mit der praktischen Umsetzung der ISO/IEC 27001. Unter anderem unterstützt er bei der Umsetzung der Anforderungen aus ISO/IEC 27001. zu betreiben. um ein ISMS zu planen. Alle Standards dieser Reihe behandeln verschiedene Aspekte des Sicherheitsmanagements und beziehen sich auf die Anforderungen der ISO/IEC 27001. ISO/IEC 27001 bietet keine Hilfe für die praktische Umsetzung. 5. Die Empfehlungen sind für Management-Ebenen formuliert und enthalten nur wenige konkrete technische Hinweise. ISO/IEC 27005 löst den bisherigen Standard ISO 13335-2 ab.• • • • Der Standard ISO/IEC 27001 "Information technology . Ein normativer Anhang verweist auf die Umsetzung gemäß ISO/IEC 27002. Das Informationssicherheitshandbuch geht in Aufbau. etablieren. 8) allgemeine Empfehlungen für Management-Aktivitäten. Es wird allerdings keine spezifische Methode für das Risikomanagement vorgegeben. Ihre Umsetzung ist auch nur eine von vielen Möglichkeiten. die Anforderungen des ISO/IECStandards 27001 zu erfüllen.Security techniques . 33 . Struktur und Abhandlung der generellen Themen konform mit ISO/IEC 27001 und 27002. also der Messbarkeit von Risiken oder mit Methoden zum Risikomanagement. 6.

und Analysestelle Informationssicherung) Im Rahmen von MELANI wird in der Schweiz ein CERT (Computer Emergency Response Team) betrieben. Sie hat sich als ganzheitliches Konzept für Informationssicherheit und als Standard etabliert. und das BSI bietet ISO/IEC 27001 Zertifzierungen nach ITGrundschutz an. So richtet sich etwa "BSI für Bürger" mit kurzen und einfach formulierten Darstellungen an Privatpersonen und KMU's. Checklisten. MELANI (Melde. breiter Raum gegeben. später mit den GrundschutzStandards und Maßnahmenbausteinen eine umfassende und äußerst detaillierte Informationsbasis und daraus etablierte Methoden für eine Vorgehensweise zum Aufbau einer Sicherheitsorganisation sowie für die Risikobewertung. Teilweise grenzt es sich diesen gegenüber vor allem durch eine kompaktere Darstellungsweise ab. Das Informationssicherheitshandbuch behandelt zum Teil eine ähnliche Thematik. beispielsweise wird den Problemen. Lageberichte und Schulungsmaßnahmen geboten. 34 . genügen. Das Österreichische Informationssicherheitshandbuch wird auf Basis einer gelebten Kooperation mit dem BSI immer wieder mit neuen Entwicklungen bei den Grundschutz-Standards und -Bausteinen abgeglichen. Unterschiedliche Zielgruppen werden durch jeweils separate Entwicklungen unterstützt. Der Anspruch richtet sich auf gezielte und aktuelle Darstellung vor allem von Gefahren und Fehlverhalten. wobei keine ausgesprochenen Zielgruppen definiert sind. Seine neuen Funktionalitäten wie unterschiedlich formulierte Textbausteine verfolgen auf eigene Weise das Ziel der Ansprache unterschiedlicher Zielgruppen.BSI Grundschutz Standards und Maßnahmenbausteine • • Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet seit 1994 zunächst mit dem Grundschutzhandbuch. sämtliche relevanten Themen anszusprechen. die mittleren und kleineren Organisationseinheiten entgegenkommt und das Durcharbeiten des Informationssicherheitshandbuchs "am Stück" nach wie vor ermöglicht. aber auch auf einer Homepage Informationen über Gefahren und Maßnahmen. positioniert sich dabei stark an der Implementierung und muss dem Anspruch. denen Banken und Finanzinstitutionen ausgesetzt sind. die Überprüfung des vorhandenen Sicherheitsniveaus und die Implementierung der angemessenen Informationssicherheit.

und Mittelbetriebe.daher auch der Name "Informationssicherheitshandbuch". Basistechnologien anschaulich beschrieben und auch Anleitungen zur Ausarbeitung einer Sicherheitspolitik speziell für kleine Organisationen gegeben. Die Grenzen sind also fließend.1.(Informations. während umgekehrt die Sicherheit von elektronisch gespeicherten und verarbeiteten Informationen ohne die technische Sicherung der zugrunde liegenden IKT. aber vorschriftähnlicher Darstellung angesprochen.und Kommunikationstechnologie-) Systeme nicht zu erreichen ist. wie Information an sich geschützt werden kann (etwa wie mit Papierausdrucken von vertraulichen Informationen umzugehen ist). Auf sehr einfachen und anschaulichen Webseiten wird eine umfassende Darstellung der wesentlichsten Gefahren und Sicherheitsmaßnahmen geboten. so sind diese beiden Begriffe mittlerweile fast synonym zu sehen: auch in der ITSicherheit sind Fragen zu behandeln.CASES (Cyberworld Awareness Security Enhancement Structure Die vom luxemburgischen Ministerium für Wirtschaft und Außenhandel betriebene Homepage "CASES" ist in deutscher und französischer Sprache verfügbar und richtet sich zum einen an Klein.5 Informations. schriftlich. bildhaft oder gesprochen).versus IT-Sicherheit Die Definition dieser beiden Begriffe und ihrer Abgrenzung voneinander war in den vergangenen Jahren oft Gegenstand lebhafter Diskussionen. zum anderen an Schüler und deren Eltern. Mit Hilfe seiner neuen Funktionalitäten wie unterschiedlich formulierbarer Textbausteine und einer informell bereits aufgenommenen Kooperation werden sich nunmehr auch einige Inhalte von CASES im Informationssicherheutshandbuch finden. 1. [Q: BSI Leitfaden Informationssicherheit] 35 . International und nicht zuletzt in den Normen hat sich in den letzten Jahren eher der Begriff “Informationssicherheit” als der umfassendere etabliert . Dabei ist auch ein gewisser Bedeutungswandel bei diesen Begriffen festzustellen: Verstand man von einigen Jahren unter “IT-Sicherheit” im Wesentlichen den Schutz von IT-Systemen (und damit den auf ihnen verarbeiteten Informationen) und unter “Informationssicherheit” den Schutz von Informationen unabhängig von ihrer Darstellungsform (also elektronisch. Das Informationssicherheitshandbuch hat sich aus dem "IT-Sicherheitshandbuch für die öffentliche Verwaltung" entwickelt und hat somit bisher als Zielgruppen mittlere bis größere Institutionen mit Bedarf nach knapper.

1] 1. rückt die Frage nach der Sicherheit der Informationen und der Informationstechnologie zunehmend in den Brennpunkt des Interesses. Dabei wird Information unabhängig von ihrer Darstellungsform betrachtet. Information kann dabei in unterschiedlicher Form existieren – elektronisch gespeichert oder übertragen. wie die Verschlüsselung vertraulicher Daten oder die Installation von Firewalls beschränken. sondern zunächst aus dem Bewußtsein des Management und der Mitarbeiter/ Mitarbeiterinnen einer Organisation. 4 Informationssicherheit entsteht nicht von selbst aus Technik oder Know-How. Die Tatsache.und Kommunikationstechnologie-) Konzeptes sein. also elektronisch gespeicherte und verarbeitete Information genauso wie Information in schriftlicher oder gesprochener Form. [eh Teil 1 . Daher sind auch kontinuierlich Anstrengungen und Kosten für Informationssicherheit in Kauf zu nehmen. dass Informationen schützenswerte und gefährdete Werte für alle Beteiligten darstellen. ein angemessenes Sicherheitsniveau zu erreichen und dauerhaft zu erhalten.2 Informationssicherheitsmanagement Information stellt heute sowohl für die öffentliche Verwaltung als auch für Organisationen der Privatwirtschaft einen wichtigen Wert dar. dass 100 % Sicherheit nicht erreicht werden kann. Ziel muss es also sein. sondern muss integraler Bestandteil eines modernen IKT(Informations. geschrieben.1 Ziele des Informationssicherheitsmanagements ISO Bezug: 27001 0. Es muss allerdings ebeso bewusst sein. Das gegenständliche Handbuch beschreibt die Vorgehensweise zur Etablierung eines umfassenden Informationssicherheits-Management-Systems (ISMS). dass weite Bereiche des täglichen Lebens ohne den Einsatz von informationstechnischen Systemen heute nicht mehr funktionsfähig sind. um sie zu erhalten. Die hier dargestellte Vorgehensweise wird für die österreichische Bundesverwaltung sowie für andere Bereiche der öffentlichen Verwaltung bzw. wie viel man auch investiert.2. Die Erfüllung der Geschäftsprozesse ist ohne die Korrektheit. Dabei darf sich Sicherheit nicht auf einzelne Teilaspekte. Vertraulichkeit und Verfügbarkeit der Informationen oft nicht mehr möglich. Methodisches Sicherheitsmanagement ist zur Gewährleistung umfassender und angemessener Informationssicherheit unerlässlich.1. als Bild oder in gesprochener Form. 36 . für die Privatwirtschaft zur Anwendung empfohlen.

Würmer). [eh Teil 1 . Prüfen. Durchführen. 37 .Durch Etablieren und Erhalten eines Informationssicherheits-Managementsystems (ISMS) sollen die grundlegenden Ziele der Informationssicherheit erreicht werden: • • • Integrität: Informationen dürfen nur von den vorgesehenen Personen und Prozessen verändert werden. aber auch bewußten Denial-of-Service Attacken bis zum Stillstand . Fahrlässigkeit. Handeln"): • • Planen (Plan): Festlegen des ISMS. für ihre Einhaltung sorgen und Informationssicherheit im laufenden Betrieb inklusive in Notfällen zu gewährleisten. ist in der Praxis allerdings eine Herausfoderungen für die Organisation.1. die Vertraulichkeit durch Spionageaktivitäten. Die für das Informationssicherheitsmanagement relevante Norm 27001 beschreibt Informationssicherheit als Kontinuierlichen Verbesserungsprozess (KVP) in einem Informationssicherheits-Managementsystem (ISMS) nach dem "Plan-Do-Check-Act"Modell (PDCA – "Planen.2 Aufgaben des Informationssicherheitsmanagements ISO Bezug: 27001 0. also relevante Sicherheitsziele und strategien ermitteln. da die Informationen den vielfäligen Gefahren ausgesetzt sind: • • • So ist Integrität von technischen Fehlern. die Verfügbarkeit kann von kleineren und größeren Systemausfällen bis zu Bränden und Katastrophen. unbefugten Manipulationsversuchen (auch etwa Viren. Datenmißbrauch. kann diese Aufgabe erfolgreich wahrgenommen werden.reduziert werden.2. bedroht. 4 Informationssicherheit ist immer eine Management-Aufgabe. Verfügbarkeit: Informationen müssen für die vorgesehenen Personen und Prozesse bereitgestellt sein. wenn diese sie benötigen Das klingt selbstverständlich und einfach. etc. Vertraulichkeit: Informationen dürfen nur für die vorgesehenen Personen und Prozesse offen gelegt werden. Durchführen (Do): Umsetzen und Betreiben des ISMS. Nur wenn die Leitung einer Organisation voll hinter den Sicherheitszielen und den damit verbundenen Aktivitäten steht. eine organisationsspezifische Informationssicherheitspolitik zu erstellen und spezifisch geeignete Sicherheitsmaßnahmen auswählen.1] 1. also Sicherheitsmaßnahmen realisieren. aber ebenso von Fehlern und Schlamperei gefährdet.

In den folgenden Kapiteln wird dargestellt.1.und Verbesserungsprozesse bzw. Festlegung geeigneter Sicherheitsmaßnahmen. Durchführungs-. womit sich ein ständiger Kreislauf schließt. Handeln (Act): Instandhalten und Verbessern des ISMS. Förderung des Sicherheitsbewusstseins innerhalb der Organisation sowie Entdecken von und Reaktion auf sicherheitsrelevante Ereignisse (information security incident handling).das schließlich akzeptierte Sicherheitsniveau wird erreicht. Am Beginn stehen Sicherheitsziele. aber auch Kenntnis über Vorfälle sowie üblicher Good-Practices zu erlangen. welche Aufgaben eines ISMS umgesetzt und welche Sicherheitsmaßnahmen implementiert werden können zur: • • • • • • Festlegung der Sicherheitsziele und -strategien der Organisation. Dies bedingt erneutes Planen. das bedeutet auf erkannte Fehler. Überwachung der Implementierung und des laufenden Betriebes der ausgewählten Maßnahmen. Sinnhaftigkeit. Einhaltung der SIcherheitsmaßnahmen zu überprüfen.• • Prüfen (Check): Überwachen und Überprüfen des ISMS auf seine Wirksamkeit.1] 38 . Prüf. Durch die Planungs-. das bedeutet Vorhandensein. also Erwartungen und Anforderungen der Verantwortlichen und Beteiligten. Ermittlung und Bewertung der Informationssicherheitsrisiken (information security risk assessment). [eh Teil 1 . Informationssicherheitsmanagement ist also ein kontinuierlicher Prozess. Schwachstellen und veränderte Umfeldbedingungen reagieren und die Ursachen für Gefährdungen beseitigen. -handlungen werden sie erfüllt .

sowohl in der öffentlichen Verwaltung als auch in der Privatwirtschaft. Informationssicherheitsmanagement ist ein kontinuierlicher Prozess. Zentrale Aktivitäten im Rahmen des ISMS sind: • • • • • • die Entwicklung einer organisationsweiten Informationssicherheitspolitik die Durchführung einer Risikoanalyse die Erstellung eines Sicherheitskonzeptes die Umsetzung der Sicherheitsmaßnahmen die Gewährleistung der Informationssicherheit im laufenden Betrieb die kontinuierliche Überwachung und Verbesserung des ISMS Der nachfolgend dargestellte Prozess basiert auf internationalen Standards und Leitlinien zum Informationssicherheitsmanagement. Informationssicherheitsmanagement (ISM) soll die Vertraulichkeit. sowie auch noch den "Guidelines on the Management of IT Security (GMITS)" ([ISO/IEC TR 13335]) ( [ISO/IEC 13335]).2 Informationssicherheits-ManagementSystem (ISMS) Dieses Kapitel nimmt vor allem Bezug auf ISO/IEC 27001 4 "Informationssicherheits-Managementsystem" sowie ISO/IEC 27002 4 "Risikobewertung und -behandlung".1 Der Informationssicherheitsmanagementprozess Informationen und die sie verarbeitenden Prozesse. Er kann sowohl auf eine gesamte Organisation als auch auf Teilbereiche Anwendung finden. 39 . 2. insbesondere den ISO/IEC 27001( [ISO/IEC 27001]). Integrität und Verfügbarkeit der Informationen und der sie verarbeitenden Systeme gewährleisten. dessen Strategien und Konzepte ständig auf ihre Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf fortzuschreiben sind. Systeme und Netzwerke sind wichtige Werte jeder Organisation. Authentizität und Zuverlässigkeit bestehen. Fallweise können auch weitere Anforderungen wie Zurechenbarkeit.

Im Folgenden wird. dass damit unterschiedliche Organisationseinheiten (Behörden. allgemein der Begriff "Organisation" (oder synonym dazu "Institution") verwendet.abhängig vom ITKonzept und den bestehenden Sicherheitsanforderungen . Unternehmen. wobei aber zu beachten ist. Abteilungen oder anderer Organisationseinheiten ist dann im spezifischen Zusammenhang .zu entscheiden. Abteilungen.) gemeint sein können... 40 .Über die Anwendung auf Ebene einzelner Behörden. Das nachfolgende Bild zeigt die wichtigsten Aktivitäten im Rahmen des Informationssicherheitsmanagements und die eventuell erforderlichen Rückkopplungen zwischen den einzelnen Stufen. wenn nicht ausdrücklich anders angeführt.

41 .) zu erstellen.Abbildung 1: Aktivitäten im Rahmen des Informationssicherheitsmanagements Informationssicherheitsmanagement umfasst damit die folgenden Schritte: 2. nachgeordnete Dienststellen. die unter Berücksichtigung gegebener Randbedingungen grundlegende Ziele. [eh Teil 1 .. Verantwortlichkeiten und Methoden für die Gewährleistung der Informationssicherheit festlegen. Die organisationsweite Informationssicherheitspolitik (im Folgenden der Einfachheit halber als "Informationssicherheitspolitik" bezeichnet) stellt ein langfristig orientiertes Grundlagendokument dar.2 Risikoanalyse ISO Bezug: 27001 4. . eine Hierarchie von Informationssicherheitspolitiken für verschiedene Organisationseinheiten (etwa Abteilungen. auf dessen Basis die Informationssicherheit einer Organisation aufgebaut wird. Details zu Sicherheitsmaßnahmen und deren Umsetzung sind nicht Bestandteil der organisationsweiten Informationssicherheitspolitik.1. Die Informationssicherheitspolitik ist eingebettet in eine Hierarchie von Regelungen und Leitlinien.1 Eine wesentliche Aufgabe des Informationssicherheitsmanagements ist das Erkennen und Einschätzen von Sicherheitsrisiken und deren Reduktion auf ein tragbares Maß.1..1 Entwicklung einer organisationsweiten Informationssicherheitspolitik ISO Bezug: 27001 4.2] 2. sondern sind im Rahmen einzelner systemspezifischer Sicherheitsrichtlinien zu behandeln. Dieses "Informationsrisikomanagement" oder auch "Informationssicherheitsrisikomanagement" sollte Teil des generellen Risikomanagements einer Organisation und mit der dort gewählten Vorgehensweise kompatibel sein.1 Als organisationsweite Informationssicherheitspolitik (Corporate Information Security Policy) bezeichnet man die Leitlinien und Vorgaben innerhalb einer Organisation. Abhängig vom IT-Konzept und den Sicherheitsanforderungen kann es auch notwendig werden. Strategien.

einer Anwendung vorgeben sowie konkrete Sicherheitsmaßnahmen und ihre Umsetzung beschreiben. Der Vorgang wird im Detail in Kapitel 2. Grundschutzansatz und Kombinierter Ansatz.3 Erstellung eines Sicherheitskonzeptes ISO Bezug: 27001 4. Für wichtige IT-Systeme und Anwendungen wird die Erstellung eigener Sicherheitsrichtlinien (auch als "IT-Systemsicherheitspolitiken" bezeichnet) empfohlen. [eh Teil 1 .4 Umsetzung des Informationssicherheitsplans ISO Bezug: 27001 4. Diese sollen die grundlegenden Leitlinien zur Sicherheit eines konkreten IT-Systems bzw. [eh Teil 1 . um ein organisationsweit einheitliches Vorgehen zu gewährleisten.1 42 . Die Sicherheitsrichtlinien müssen mit der organisationsweiten Informationssicherheitspolitik kompatibel sein. mittel. wenn nicht explizit anders erwähnt. Im Anschluss daran ist das verbleibende Restrisiko zu ermitteln und zu prüfen.und langfristigen Aktionen festgehalten.2 Erstellung von Sicherheitskonzepten behandelt.2] 2. der Begriff "Risiko" stets im Sinne von "Informationssicherheitsrisiko" verwendet.2] 2.Aus Gründen der besseren Lesbarkeit wird im Folgenden. die zur Umsetzung der ausgewählten Maßnahmen erforderlich sind. ebenso Risikoanalyse und Risikomanagement im Sinne von Informationssicherheitsrisikoanalyse und –management.1. ob dieses für die Organisation tragbar ist oder weitere Maßnahmen zur Risikoreduktion erforderlich sind. die die Risiken auf ein definiertes und beherrschbares Maß reduzieren sollen.1. Abschnitt 4 Risikoanalyse): Detaillierte Risikoanalyse. Die Festlegung einer geeigneten Risikoanalysestrategie sollte im Rahmen der Informationssicherheitspolitik erfolgen. Im Rahmen des vorliegenden Handbuchs werden drei Risikoanalysestrategien behandelt (s. In einem Informationssicherheitsplan werden alle kurz-.1 Abhängig von den Ergebnissen der Risikoanalyse werden in einem nächsten Schritt Maßnahmen ausgewählt.

die Sicherheit im laufenden Betrieb aufrechtzuerhalten und gegebenenfalls veränderten Bedingungen anzupassen. Weiters ist festzulegen. wie die Effizienz und Effektivität der ausgewählten Sicherheitsmaßnahmen beurteilt werden kann. Dies erfolgt durch die Definition geeigneter Kennzahlen. Das Kapitel 2.Bei der Implementierung der ausgewählten Sicherheitsmaßnahmen ist zu beachten.2] 2.und Schulungsmaßnahmen.3 Umsetzung des Informationssicherheitsplanes des vorliegenden Handbuchs behandelt diese Umsetzungsfragen. dass die meisten technischen Sicherheitsmaßnahmen ein geeignetes organisatorisches Umfeld brauchen.1.4 Informationssicherheit im laufenden Betrieb): • Die Aufrechterhaltung des erreichten Sicherheitsniveaus Dies umfasst: • • • • • • Wartung und administrativen Support von Sicherheitseinrichtungen die Messung der Effektivität der ausgewählten Sicherheitsmaßnahmen anhand definierter Kennzahlen (Information Security Measurement) die Überprüfung von Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) sowie die fortlaufende Überwachung der IT-Systeme (Monitoring) umfassendes Change-Management eine angemessene Reaktion auf sicherheitsrelevante Ereignisse (Incident Handling) [eh Teil 1 .1 Umfassendes Informationssicherheitsmanagement beinhaltet nicht zuletzt auch die Aufgabe.5 Informationssicherheit im laufenden Betrieb ISO Bezug: 27001 4. Kapitel 2.2] 43 . um vollständig wirksam zu sein. [eh Teil 1 . Unabdingbare Voraussetzung für eine erfolgreiche Umsetzung des Informationssicherheitsplans in der Praxis sind auch entsprechende Sensibilisierungs. Zu den erforderlichen Follow-Up-Aktivitäten zählen (s.

1.1.2 Erstellung von Sicherheitskonzepten ISO Bezug: 27001 4. 7.2. Ein Sicherheitskonzept enthält: • • • • • • die Beschreibung des Ausgangszustands einschließlich der bestehenden Risiken (Ergebnisse der vorangegangenen Risikoanalyse) die Festlegung der durchzuführenden Maßnahmen die Begründung der Auswahl unter Kosten/Nutzen-Aspekten und hinsichtlich des Zusammenwirkens der einzelnen Maßnahmen eine Abschätzung des Restrisikos sowie eine verbindliche Aussage über die Akzeptanz des verbleibenden Restrisikos die Festlegung der Verantwortlichkeiten für die Auswahl und Umsetzung der Maßnahmen sowie für die regelmäßige Überprüfung des Konzeptes eine Prioritäten-. 7. die die Risiken auf ein akzeptables Maß reduzieren und unter dem Gesichtspunkt von Kosten und Nutzen eine optimale Lösung darstellen.2.2.2. Termin.und Ressourcenplanung für die Umsetzung Die Erstellung eines Sicherheitskonzeptes erfolgt in vier Schritten: • • • • Schritt 1: Auswahl von Maßnahmen Schritt 2: Prüfung von Restrisiken und Risikoakzeptanz Schritt 3: Erstellung von Sicherheitsrichtlinien Schritt 4: Erstellung eines Informationssicherheitsplans Diese vier Schritte werden in den folgenden Kapiteln näher beschrieben.2.1 44 .1 Ausgehend von den in der Risikoanalyse ermittelten Sicherheitsanforderungen wird ein Sicherheitskonzept erstellt. 27002 4. Dies erfolgt durch die Auswahl geeigneter Maßnahmen.1 Auswahl von Maßnahmen ISO Bezug: 27002 4. 2.1.

2.2. die organisationsweit (oder in Teilen der Organisation) einzusetzen sind.1. Dies kann auf unterschiedliche Arten erreicht werden. Man unterscheidet: • • • • (informations-)technische Maßnahmen bauliche Maßnahmen organisatorische Maßnahmen personelle Maßnahmen Klassifikation nach Anwendungsbereichen Man unterscheidet: Maßnahmen.1 Klassifikation von Sicherheitsmaßnahmen ISO Bezug: 27002 4.1] 2.Sicherheitsmaßnahmen sind Verfahrensweisen. einen früheren Zustand wiederherzustellen [eh Teil 1 .1 Je nach Betrachtungsweise kann eine Klassifikation von Sicherheitsmaßnahmen hinsichtlich nachfolgender Kriterien getroffen werden. Prozeduren und Mechanismen. 45 . Sicherheitsmechanismen können: • • • • • • Risiken vermeiden Bedrohungen oder Schwachstellen verkleinern unerwünschte Ereignisse entdecken die Auswirkung eines unerwünschten Ereignisses eingrenzen Risiken überwälzen es möglich machen. Klassifikation nach Art der Maßnahmen Dies ist die "klassische" Einteilung der Sicherheitsmaßnahmen. die die Sicherheit von Informationen und der sie verarbeitenden IT-Systeme erhöhen.2.

Auditing Reaktion auf sicherheitsrelevante Ereignisse (Incident Handling) personelle Maßnahmen (incl. Dokumentation. Kontrolle von Betriebsmitteln. Rollentrennung) Überprüfung der IT-Sicherheitsmaßnahmen auf Übereinstimmung mit den Informationssicherheitspolitiken (Security Compliance Checking). Man unterscheidet etwa: • • • Nicht-vernetzte Systeme (Stand-Alone-PCs) Workstations in einem Netzwerk Server in einem Netzwerk Klassifikation nach Gefährdungen und Sicherheitsanforderungen Ausgehend von den Grundbedrohungen gegen ein IT-System (Verlust der Vertraulichkeit. Integrität.B.) werden die typischen Gefährdungen ermittelt. etc. Schulung und Bildung von Sicherheitsbewusstsein) bauliche Sicherheit und Infrastruktur Notfallvorsorge Systemspezifische Maßnahmen.Dazu gehören: • • • • • • • Etablierung eines ISMS-Prozesses und Erstellung von Informationssicherheitspolitiken organisatorische Maßnahmen (z. Verfügbarkeit. Man unterscheidet daher: • • • • • • 46 Maßnahmen zur Gewährleistung der Vertraulichkeit (confidentiality) Maßnahmen zur Gewährleistung der Integrität (integrity) Maßnahmen zur Gewährleistung der Verfügbarkeit (availability) Maßnahmen zur Gewährleistung der Zurechenbarkeit (accountability) Maßnahmen zur Gewährleistung der Authentizität (authenticity) Maßnahmen zur Gewährleistung der Zuverlässigkeit (reliability) . Die Auswahl systemspezifischer Maßnahmen hängt in hohem Maße vom Typ des zu schützenden IT-Systems ab.

Wirksame Informationssicherheit verlangt im Allgemeinen eine Kombination von verschiedenen Sicherheitsmaßnahmen.3.2. . 4. Erkennen von Verletzungen.2 Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen) ermittelt. 47 . dass im vorhergehenden Schritt . geplanter Sicherheitsmaßnahmen: Bei der Auswahl von Sicherheitsmaßnahmen zur Verminderung der Risiken wird vorausgesetzt.1 Liste existierender bzw..) In der Regel stehen verschiedene mögliche Sicherheitsmaßnahmen zur Auswahl. muss auf den Ergebnissen der Risikobewertung basieren. kann im Einzelfall eine Kosten-/Nutzen-Analyse bzw. Diese Auswahl wird von einer Reihe von Faktoren beeinflusst: • • • der Stärke der einzelnen Maßnahmen ihrer Benutzerfreundlichkeit und Transparenz für die Anwender/innen der Art der Schutzfunktion (Verringerung von Bedrohungen. wobei auf die Ausgewogenheit von technischen und nicht-technischen Maßnahmen zu achten ist. 4. Um die sowohl aus Sicherheits. Bei einer Grundschutzanalyse werden die vorhandenen Maßnahmen im Rahmen des Soll-Ist-Vergleiches (vgl.1. die als Ergebnis eine Aufstellung aller existierenden oder bereits geplanten Schutzmaßnahmen mit Angaben über ihren Implementierungsstatus und ihren Einsatz liefern soll. die die Risiken auf ein definiertes und beherrschbares Maß reduzieren.als auch aus Wirtschaftlichkeitsüberlegungen effizienteste Lösung zu finden.6 Identifikation bestehender Sicherheitsmaßnahmen)..die bereits existierenden Sicherheitsmaßnahmen aufgelistet wurden.1] 2. Ergebnisse der Risikobewertung: Die Auswahl der Sicherheitsmaßnahmen.der Risikoanalyse .5.2 Ausgangsbasis für die Auswahl von Maßnahmen ISO Bezug: 27002 4. Im Fall einer detaillierten Risikoanalyse erfolgt dies im Rahmen der "Identifikation bestehender Schutzmaßnahmen" (vgl.2.2. [eh Teil 1 . ein direkter Vergleich einzelner Sicherheitsmaßnahmen ( trade-off analysis) notwendig sein.1.

1. dass Sicherheitsmaßnahmen einen oder mehrere der folgenden Aspekte abdecken können: • • • • • • • Vorbeugung (präventive Maßnahmen) Aufdeckung (detektive Maßnahmen) Abschreckung Schadensbegrenzung Wiederherstellung eines früheren Zustandes Bildung von Sicherheitsbewusstsein Risikoüberwälzung Welche dieser Eigenschaften notwendig bzw. wünschenswert ist. Es ist aber auch darauf zu achten. Generell ist festzuhalten. desto qualifizierter ist im Allgemeinen die für den Auswahlprozess zur Verfügung stehende Information.3 Auswahl von Maßnahmen auf Basis einer detaillierten Risikoanalyse ISO Bezug: 27002 4. Umgekehrt kann eine Maßnahme gleichzeitig mehrere Sicherheitsanforderungen abdecken. In der Mehrzahl der Fälle wird es verschiedene Maßnahmen zur Erfüllung einer bestimmten Sicherheitsanforderung geben.[eh Teil 1 .5. hängt von den speziellen Umständen ab. die mehrere dieser Aspekte abdecken.1 Wurde eine detaillierte Risikoanalyse durchgeführt.2] 2. dass die Gesamtheit der ausgewählten Maßnahmen ein ausgewogenes Verhältnis der einzelnen Aspekte aufweist. 48 .2. so stehen für die Auswahl von geeigneten Sicherheitsmaßnahmen detailliertere und spezifischere Informationen zur Verfügung als im Fall einer Grundschutzanalyse. Je genauer und aufwändiger die Risikoanalyse durchgeführt wurde. die sich jedoch hinsichtlich ihrer Effizienz und ihrer Kosten unterscheiden. Welche der in Frage kommenden Maßnahmen tatsächlich ausgewählt und implementiert werden.1. ist vom spezifischen Fall abhängig. In der Regel wird man Maßnahmen bevorzugen. dass also nicht beispielsweise ausschließlich detektive oder ausschließlich präventive Maßnahmen zum Einsatz kommen.

1.1 Grundsätzlich ist die Auswahl von Sicherheitsmaßnahmen im Falle eines Grundschutzansatzes relativ einfach. [eh Teil 1 . findet sich etwa in den IT-Grundschutz-Standards und -Maßnahmenkatalogen des BSI (vgl. Eine sehr umfangreiche Sammlung von Grundschutzmaßnahmen.5. die kontinuierlich weiterentwickelt werden. geplanten Maßnahmen werden in eine Liste von noch zu realisierenden Maßnahmen zusammengefasst.3] 2. Die empfohlenen Maßnahmen werden mit den existierenden oder bereits geplanten Maßnahmen verglichen.[eh Teil 1 . Kapitel 4.4 Auswahl von Maßnahmen im Falle eines Grundschutzansatzes ISO Bezug: 27002 4. Die betreffenden Bedrohungen werden a priori. Standardwerke zur Auswahl von Maßnahmen: In diesem Sicherheitshandbuch werden die wichtigsten Grundschutzmaßnahmen für die öffentliche Verwaltung in Österreich angeführt.1.2.h. ohne weitere Risikoanalyse.1. In Maßnahmenkatalogen wird eine Reihe von Schutzmaßnahmen gegen die meisten üblichen Bedrohungen angeführt.2.5. d.4] 2.1 49 . als relevant für die durchführende Organisation angenommen.3 Grundschutzansatz dieses Handbuchs). Alternativ kann auch auf andere bestehende Kataloge zurückgegriffen werden. Die noch nicht existierenden bzw.1.5 Auswahl von Maßnahmen im Falle eines kombinierten Risikoanalyseansatzes ISO Bezug: 27002 4.

die Auswirkungen der ausgewählten Maßnahmen zu analysieren. dem des BSI entsprechende Schutzmaßnahmen ausgewählt und umgesetzt.2. in welchem Ausmaß die Maßnahmen eine Reduktion der Risiken bewirken . in welchem Maß sie akzeptiert oder aber abgelehnt oder umgangen werden. dass die zusätzlichen Maßnahmen mit dem ITGesamtkonzept und den bereits bestehenden Sicherheitsmaßnahmen verträglich sind. da die Wirksamkeit von Sicherheitsmaßnahmen stark davon abhängt. d.B. In diesem Stadium ist auch die Einbeziehung der betroffenen Benutzer/innen zu empfehlen. [eh Teil 1 .1.h. Damit soll gewährleistet werden. ob und inwieweit die Maßnahmen zu Behinderungen beim Betrieb des IT-Systems führen können Überprüfung der Vereinbarkeit der Maßnahmen mit geltenden rechtlichen Vorschriften und Richtlinien Bewertung.5. andererseits auch für hochschutzbedürftige Systeme bereits ein gewisses Maß an Schutz bieten. Die Akzeptanz von Maßnahmen steigt.6 Bewertung von Maßnahmen ISO Bezug: 27002 4. dass sie einander ergänzen und unterstützen und sich nicht etwa gegenseitig behindern oder in ihrer Wirkung schwächen.1 Unabhängig von der verfolgten Strategie ist es in jedem Fall notwendig.1. wenn ihre Notwendigkeit für die Benutzer/innen einsichtig ist. Zur Bewertung von Sicherheitsmaßnahmen ist wie folgt vorzugehen: • • • • • • 50 Erfassung aller Bedrohungen. die einerseits ein adäquates Sicherheitsniveau für Systeme der Schutzbedarfsklasse "niedrig bis mittel" gewährleisten.Im Falle eines kombinierten Ansatzes werden zunächst anhand dieses Handbuchs oder eines Grundschutzkataloges wie z.5] 2. Anschließend werden die noch fehlenden Sicherheitsmaßnahmen für IT-Systeme mit hohen bis sehr hohen Sicherheitsanforderungen ausgewählt. gegen die die ausgewählten Maßnahmen wirken Beschreibung der Auswirkung der Einzelmaßnahmen Beschreibung des Zusammenwirkens der ausgewählten und der bereits vorhandenen Sicherheitsmaßnahmen Überprüfung.

Auch Rahmenbedingungen können im Laufe der Zeit.Bevor die Maßnahmen umgesetzt werden.B. [eh Teil 1 .7] 2.6] 2. sollte die Leitungsebene entscheiden. Umweltbedingungen Auch durch das Umfeld vorgegebene Rahmenbedingungen. gesetzlicher oder sozialer Natur sein.1. Die Kosten für Sicherheitsmaßnahmen müssen in einem angemessenen Verhältnis zum Wert der zu schützenden Objekte stehen. einem Wandel unterliegen und sind daher regelmäßig zu überprüfen und zu hinterfragen.5.und/oder Software Weitere Einschränkungen können organisatorischer.2 Risikoakzeptanz 51 . die entweder durch das Umfeld vorgegeben oder durch das Management festgelegt werden. ob die Kosten für die Realisierung der Maßnahmen im richtigen Verhältnis zur Reduzierung der Risiken stehen und ob die Risiken auf ein akzeptables Maß beschränkt werden. [eh Teil 1 .1.1 Bei der Auswahl und Umsetzung von Sicherheitsmaßnahmen sind stets auch Rahmenbedingungen (constraints) zu berücksichtigen.5.7 Rahmenbedingungen ISO Bezug: 27002 4. durch soziale Veränderungen oder durch Veränderungen im technischen oder organisatorischen Umfeld.2. wie etwa die Lage eines Gebäudes. Technische Rahmenbedingungen z.1. klimatische Bedingungen und Platzangebot können die Auswahl von Sicherheitsmaßnahmen beeinflussen. Kompatibilität von Hard.2. Beispiele für solche Rahmenbedingungen sind: • • • • Zeitliche Rahmenbedingungen Etwa: Wie schnell ist auf ein erkanntes Risiko zu reagieren? Wann kann/muss eine Maßnahme realisiert sein? Finanzielle Rahmenbedingungen Im Allgemeinen werden budgetäre Einschränkungen existieren. personeller.

14. nicht-akzeptable bedürfen einer weiteren Analyse. ist wie folgt vorzugehen: Schritt 1: Quantifizierung des Restrisikos In diesem ersten Schritt ist das Restrisiko so exakt wie möglich zu ermitteln. Die Entscheidungsgrundlage dafür sollte in der (organisationsweiten) Informationssicherheitspolitik festgelegt sein (vgl. wie weit und mit welchen Kosten nicht-akzeptable Restrisiken weiter verringert werden können. 4. zu untersuchen.1. und zusätzliche. Schritt 3: Entscheidung über nicht-akzeptable Restrisiken Die weitere Behandlung von nicht-akzeptablen Restrisiken sollte stets eine Managemententscheidung sein.5 Akzeptables Restrisiko sowie 4.5 Akzeptables Restrisiko sowie 4.2.5. Schritt 2: Bewertung der Restrisiken Die verbleibenden Restrisiken sind als "akzeptabel" oder "nicht-akzeptabel" zu klassifizieren. akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken. [eh Teil 1 .6 Akzeptanz von außergewöhnlichen Restrisiken).1 Risikoanalysestrategien.1.2] 52 . eventuell mit hohen Kosten verbundene Maßnahmen auszuwählen. 14.2 Absolute Sicherheit ist nicht erreichbar . Schritt 4: Akzeptanz von außergewöhnlichen Restrisiken Ist eine weitere Reduktion des Restrisikos nicht möglich. Um zu entscheiden. ob dieses für die betreffende Organisation tragbar ist oder weitere Maßnahmen zu veranlassen sind.6 Akzeptanz von außergewöhnlichen Restrisiken ). Es besteht die Möglichkeit.1. 4. Kapitel 4. Kapitel 4. unwirtschaftlich oder aufgrund gegebener Rahmenbedingungen nicht wünschenswert.1 Risikoanalysestrategien. Die Alternative dazu ist eine bewusste und dokumentierte Akzeptanz des erhöhten Restrisikos. Akzeptable Restrisiken können in Kauf genommen werden.auch nach Auswahl und Umsetzung aller angemessenen Sicherheitsmaßnahmen verbleibt im Allgemeinen ein Restrisiko. Dabei bedient man sich am besten der Verfahren und Erkenntnisse aus der vorangegangenen Risikoanalyse. so besteht in begründeten Ausnahmefällen die Möglichkeit einer bewussten Akzeptanz dieses erhöhten Restrisikos. akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken.ISO Bezug: 27002 4. Das Vorgehen dabei und die Verantwortlichkeiten dafür sind in der Informationssicherheitspolitik festzulegen (vgl.

Investitionen in das System (Entwicklungs-. um die Risiken auf ein definiertes und beherrschbares Maß zu bringen.2. Verfügbarkeit oder Integrität des Systems oder darauf verarbeiteter Information gefährdet wird.2.3. Beschaffungs.2. wie weit die Aufgabenerfüllung der Organisation durch eine Verletzung der Vertraulichkeit.2.1 Während das Sicherheitsskonzept ganzheitlich Maßnahmen darstellt. sollen für jeweils spezifische Sicherheitsrichtlinien auf die einzelnen wichtigen Systeme eingehen. Typische Beispiele sind etwa eine PC-Sicherheitsrichtlinie.und Wartungskosten. Beschreibung der wichtigsten Komponenten Definition der wichtigsten Ziele und Funktionalitäten des Systems Festlegung der Informationssicherheitsziele des Systems Abhängigkeit der Organisation vom betrachteten IT-System.2.3.5. [eh Teil 1 .1] 2.3 Sicherheitsrichtlinien ISO Bezug: 27001 4.3.3] 2. [eh Teil 1 .1 Aufgaben und Ziele ISO Bezug: 27001 4.1 Eine Sicherheitsrichtlinie sollte Aussagen zu den sicherheitsrelevanten Bereichen eines Systems treffen: • • • • • Definition und Abgrenzung des Systems. eine InternetSicherheitsrichtlinie oder eine Richtlinie zum Einsatz mobiler Geräte.2 Inhalte ISO Bezug: 27001 4.5.2. Kosten für den laufenden Betrieb) 53 . dabei ist zu untersuchen.2. eine Netzsicherheitsrichtlinie.1 Für alle komplexen oder stark verbreiteten IT-Systeme sollten spezifische Sicherheitsrichtlinien erarbeitet werden.

3.4 Verantwortlichkeiten ISO Bezug: 27001 4.3.5. sondern ist regelmäßig auf Aktualität zu überprüfen und bei Bedarf entsprechend anzupassen.3 Fortschreibung der Sicherheitsrichtlinien ISO Bezug: 27001 4.2] 2.2. unveränderbares Dokument dar.5. dass die Liste der existierenden bzw. Risikoanalyse Sicherheitsrisiken Beschreibung der bestehenden und der noch zu realisierenden Sicherheitsmaßnahmen Gründe für die Auswahl der Maßnahmen Kostenschätzungen für die Realisierung und den laufenden Betrieb (Wartung) der Sicherheitsmaßnahmen Verantwortlichkeiten [eh Teil 1 . [eh Teil 1 .3. Insbesondere ist es von Bedeutung.1 Auch eine Sicherheitsrichtlinie stellt kein einmal erstelltes.2.1 54 .3] 2. Bedrohungen und Schwachstellen lt.• • • • • • • Risikoanalysestrategie Werte.2. noch umzusetzenden Sicherheitsmaßnahmen stets dem tatsächlich aktuellen Stand entspricht.2.3.

3 Organisation und Verantwortlichkeiten für Informationssicherheit). wie die ausgewählten Sicherheitsmaßnahmen umgesetzt werden. die/der sie mit der/dem IT-Sicherheitsbeauftragten abstimmen wird.und Sensibilisierungsmaßnahmen 55 . Er enthält eine Prioritäten. [eh Teil 1 . abhängig von Prioritäten und Ressourcen Budget Verantwortlichkeiten Schulungs.4] 2.4 Informationssicherheitspläne für jedes System ISO Bezug: 27001 4.Die Verantwortlichkeiten für die Erstellung und Fortschreibung der Sicherheitsrichtlinien sind im Einzelnen in der Informationssicherheitspolitik festzulegen (vgl. Letztere/r hat dafür Sorge zu tragen.5. dazu Kapitel 5.3 Ein Informationssicherheitsplan beschreibt. Im Detail sind für jedes System zu erstellen: • • • • eine Liste der vorhandenen sowie eine Liste der noch zu implementierenden Sicherheitsmaßnahmen. Im Allgemeinen wird diese Verantwortung bei der/dem für das gegenständliche System zuständigen Bereichs-IT-Sicherheitsbeauftragten liegen. dass die einzelnen Sicherheitsrichtlinien mit der organisationsweiten Informationssicherheitspolitik kompatibel sind und auch untereinander ein einheitliches.und Ressourcenplanung sowie einen Zeitplan für die Umsetzung der Maßnahmen. vergleichbares Niveau aufweisen.2.2. für jede dieser Maßnahmen sollte eine Aussage über ihre Wirksamkeit sowie möglicherweise notwendige Verbesserungen oder Verstärkungen getroffen werden eine Prioritätenreihung für die Implementierung der ausgewählten Sicherheitsmaßnahmen bzw.3. die Verbesserung bestehender Maßnahmen eine Kosten.und Aufwandsschätzung für Implementierung und Wartung der Maßnahmen Detailplanung für die Implementierung Diese soll folgende Punkte umfassen: • • • • • Prioritäten Zeitplan.

und Abnahmeverfahren und -termine Nachfolgeaktivitäten eine Bewertung des nach der Implementierung aller Maßnahmen zu erwartenden Restrisikos Weiters sollte der Sicherheitsplan auch die Kontrollmechanismen festlegen. Änderungen am Markt oder die Einführung neuer Applikationen Ereignisse. .bzw.2. die die Werte verändern können. um an veränderte System. [eh Teil 1 . etwa aufgrund von Preisänderungen oder der Verfügbarkeit neuer Technologien Voraussetzungen für eine effiziente und zielgerichtete Fortschreibung des Sicherheitskonzeptes sind: • • 56 die laufende Überprüfung von Akzeptanz und Einhaltung der Sicherheitsmaßnahmen die Protokollierung von Schadensereignissen ...) neue Möglichkeiten für Sicherheitsmaßnahmen. und Möglichkeiten des Eingriffes bei Abweichungen vom vorgesehenen Prozess oder bei notwendigen Änderungen definieren. die die Eintrittswahrscheinlichkeit von Bedrohungen verändern. wie etwa die Entwicklung neuer Techniken oder veränderte Einsatzbedingungen (Einsatzort.• • • Test. Anlässe für eine neue Untersuchung und das Fortschreiben des Konzeptes können sein: • • • • • Ablauf eines vorgeschriebenen oder vereinbarten Zeitraumes (z.5.4] 2. die den Fortschritt der Implementierung der ausgewählten Maßnahmen bewerten.5 Fortschreibung des Sicherheitskonzeptes ISO Bezug: 27001 4. IT-Ausstattung. die die Bedrohungslage verändern. wie etwa die Änderungen von Organisationszielen oder Aufgabenbereichen. Umfeldeigenschaften angepasst zu bleiben.4 Das Sicherheitskonzept muss laufend fortgeschrieben werden.2.B. jährliches Update) Eintritt von Ereignissen. wie etwa politische oder gesellschaftliche Entwicklungen oder das Bekanntwerden neuer Attacken Eintritt von Ereignissen.

dass • • • • • Verantwortlichkeiten rechtzeitig und eindeutig festgelegt werden. der Zeitplan eingehalten wird. die Kosten sich in dem vorher abgeschätzten Rahmen halten.2.1 Implementierung von Maßnahmen ISO Bezug: 27001 4.5] 2.• die Kontrolle der Wirksamkeit und Angemessenheit der Maßnahmen Ob eine neuerliche Risikoanalyse erforderlich ist oder lediglich die Auswahl der Maßnahmen überarbeitet wird. Als letzter Schritt der Umsetzung des Informationssicherheitsplans sind die implementierten Maßnahmen in ihrer tatsächlichen Einsatzumgebung auf ihre Auswirkungen zu testen und abzunehmen (Akkreditierung). Es empfiehlt sich. finanzielle und personelle Ressourcen rechtzeitig zugewiesen werden. die Umsetzung des Informationssicherheitsplans im Rahmen eines Projektes abzuwickeln. um die optimale Einhaltung und Akzeptanz der Maßnahmen bei den Anwenderinnen/ Anwendern zu erreichen.3. Dieser muss gut strukturiert. hängt vom Ausmaß der eingetretenen Veränderungen ab.3 Umsetzung des Informationssicherheitsplans Die korrekte und effiziente Implementierung von Sicherheitsmaßnahmen und ihr zielgerichteter Einsatz hängen in hohem Maße von der Qualität des im vorangegangenen Schritt erstellten Informationssicherheitsplans ab.2 57 . [eh Teil 1 .5] 2. die Maßnahmen korrekt umgesetzt werden.5.5. Bei der Umsetzung des Plans ist zu beachten. Gleichzeitig mit der Implementierung der Sicherheitsmaßnahmen sollten auch entsprechende Schulungs. [eh Teil 1 . genau dokumentiert und den tatsächlichen Anforderungen der betroffenen Institution angepasst sein.und Sensibilisierungsmaßnahmen gesetzt werden.

Die Abstimmung der einzelnen systemspezifischen Informationssicherheitspläne für die Gesamtorganisation obliegt in der Regel der/dem IT-Sicherheitsbeauftragten. Es wird empfohlen. dass ein Teil der Maßnahmen systemspezifisch sein wird. der • • • die Testmethoden die Testumgebung die Zeitpläne für die Durchführung der Tests beinhaltet. korrekte und aktuelle Dokumentation dieser Implementierungen zu legen. Dabei ist zu beachten. sind die einzelnen Maßnahmen zu implementieren. 58 .2.1 Auswahl von Maßnahmen). entsprechend der vorgegebenen Zeitpläne und Prioritäten. Sie/ er hat dafür Sorge zu tragen. Die durchgeführten Tests sind im Detail zu beschreiben und die Ergebnisse in einem standardisierten Testbericht festzuhalten. dass • • die systemübergreifenden. Schritt 1: Implementierung der Sicherheitsmaßnahmen Die Implementierung der ausgewählten Sicherheitsmaßnahmen hat anhand des Informationssicherheitsplans. Schritt 2: Testplan und Tests Tests sollen sicherstellen. zu erfolgen. für die Tests einen Testplan zu erstellen. auf ihre Übereinstimmung mit der Sicherheitspolitik zu überprüfen (Security Compliance Checking) und auf Korrektheit und Vollständigkeit zu testen. ein anderer Teil aber organisationsweit einzusetzen ist (vgl. Die Verantwortlichkeiten dafür sind im Detail festzulegen. sowie nicht redundant oder widersprüchlich sind die systemspezifischen Maßnahmen kompatibel sind und ein einheitliches. dass die Implementierung korrekt durchgeführt und abgeschlossen wurde. organisationsweiten Maßnahmen vollständig und angemessen.Sobald der Informationssicherheitsplan erstellt und verabschiedet wurde. dazu auch 2. angemessenes Sicherheitsniveau haben Besonderer Wert ist auf eine detaillierte.

2. weitere Verfahrensweisen zur Erstellung. 15. So weit wie möglich sollte bei der Klassifizierung und Behandlung solcher Dokumente auf die Vorgaben im Rahmen der Informationssicherheitspolitik der Organisation zurückgegriffen werden (vgl. Benutzung. Dabei sind zu prüfen: • • • die vollständige und korrekte Umsetzung der Sicherheitsmaßnahmen der korrekte Einsatz der implementierten Sicherheitsmaßnahmen die Einhaltung der organisatorischen Sicherheitsmaßnahmen im täglichen Betrieb Dokumentation Die Dokumentation der implementierten Maßnahmen stellt einen wichtigen Teil der gesamten Sicherheitsdokumentation dar und ist notwendige Voraussetzung für die Kontinuität und Konsistenz des Informationssicherheitsprozesses. Diese Verfahrensweisen sind ebenfalls entsprechend zu dokumentieren.5 Klassifizierung von Informationen). Vollständigkeit Hoher Detaillierungsgrad: Die Sicherheitsmaßnahmen sind so detailliert zu beschreiben. Aufbewahrung und Vernichtung von sicherheitsrelevanter Dokumentation zu entwickeln. Die wichtigsten Anforderungen an die Dokumentation sind: • • • Aktualität: Alle Sicherheitsmaßnahmen sind stets auf dem aktuellen Stand der Realisierung zu beschreiben. Gewährleistung der Vertraulichkeit: Dokumentation über Sicherheitsmaßnahmen kann unter Umständen sehr vertrauliche Information enthalten und ist daher entsprechend zu schützen.1 Security Compliance Checking und Monitoring) durchzuführen. zum anderen ausreichend Information für einen korrekten und effizienten Einsatz der Maßnahmen zur Verfügung steht. Verteilung. dazu auch Kap.Abhängig von der speziellen Bedrohungslage und der Art der Maßnahmen kann die Durchführung von Penetrationstests erforderlich sein. 59 • . dass zum einen eventuell bestehende Sicherheitslücken erkannt werden können. Schritt 3: Prüfung der Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) Security Compliance Checks sind sowohl im Rahmen der Implementierung der Maßnahmen als auch als wiederholte Aktivität zur Gewährleistung der Informationssicherheit im laufenden Betrieb (s. dazu 5. Es kann im Einzelfall notwendig sein.

Um das Sicherheitsbewusstsein aller Mitarbeiter/innen zu fördern und den Stellenwert der Informationssicherheit innerhalb einer Organisation zu betonen. die für die gesamte Organisation Gültigkeit haben) die wichtigsten Ergebnisse der Risikoanalysen (Bedrohungen. sollte ein umfassendes.1] 2. dass keine unauthorisierten Änderungen der Dokumentation erfolgen.3...2. Informationssicherheit zu einem integrierten Bestandteil der täglichen Arbeit zu machen.beabsichtigte oder unbeabsichtigte Beeinträchtigung der implementierten Maßnahmen nach sich ziehen könnten.2. Risiken. [eh Teil 1 . Im Rahmen einer Einführung sollten insbesondere folgende Punkte erläutert werden: • • • • • • die Informationssicherheitsziele und -politik der Organisation sowie deren Erläuterung die Bedeutung der Informationssicherheit für die Organisation Organisation und Verantwortlichkeiten im Bereich der Informationssicherheit die Risikoanalysestrategie die Sicherheitsklassifizierung von Daten • • 60 ausgewählte Sicherheitsmaßnahmen (insbesondere solche. Das Sensibilisierungsprogramm sollte systemübergreifend sein. Es ist Aufgabe der dafür verantwortlichen Person . Das Sensibilisierungsprogramm sollte folgende Punkte umfassen: • Information aller Mitarbeiter/innen über die Informationssicherheitspolitik der Organisation.die Anforderungen aus den einzelnen Teilbereichen und systemspezifische Anforderungen hier einfließen zu lassen und entsprechend zu koordinieren.• Konfigurations. .) die Pläne zur Implementierung und Überprüfung der Sicherheitsmaßnahmen .dies wird in der Regel die/der ITSicherheitsbeauftragte sein .2 Nur durch Verständnis und Motivation ist eine dauerhafte Einhaltung und Umsetzung der Richtlinien und Vorschriften zur Informationssicherheit zu erreichen.und Integritätskontrolle: Es ist sicherzustellen. die eine .6.2 Sensibilisierung (Security Awareness) ISO Bezug: 27002 5. Schwachstellen.2. organisationsweites Sensibilisierungsprogramm erstellt werden. 8. das zum Ziel hat.

Die organisationsweite Planung dieser Veranstaltungen sollte die/der IT-Sicherheitsbeauftragte übernehmen. 8.2. [eh Teil 1 . wann und wo solche Veranstaltungen nötig sind. z.3. Das Sensibilisierungsprogramm ist regelmäßig auf seine Wirksamkeit und Aktualität zu überprüfen und laufend an Veränderungen in der Informationssicherheitspolitik sowie an neue Technologien anzupassen.5 Über das allgemeine Sensibilisierungsprogramm hinaus sind spezielle Schulungen zu Teilbereichen der Informationssicherheit erforderlich.2] 2. wenn sich durch Sicherheitsmaßnahmen einschneidende Veränderungen. Angriff von außen ("Hacker").2.2.1. im Arbeitsablauf. 15. wie es der neue Arbeitsplatz verlangt. ergeben.B. um das vorhandene Wissen aufzufrischen und neue Mitarbeiter/innen zu informieren. Die Veranstaltungen zum Sensibilisierungsprogramm sollten in regelmäßigen Zeitabständen wiederholt werden.2. beförderte oder versetzte Mitarbeiter/in so weit in Fragen der Informationssicherheit geschult werden. 8.B. Auftreten eines Virus.3 Schulung ISO Bezug: 27002-5. folgende Maßnahmen beitragen: • • • regelmäßige Veranstaltungen zum Thema Informationssicherheit Publikationen schriftliche Festlegung der Berichtswege und Handlungsanweisungen im Falle eines vermuteten Sicherheitsproblems (z.2.2. Gegebenenfalls liefern Bereichs-IT-Sicherheitsbeauftragte Informationen. Darüber hinaus sollte jede/r neue. . Dabei ist insbesondere die Verantwortung des Managements für Informationssicherheit zu betonen ("Informationssicherheit als Managementaufgabe").) Das Sensibilisierungsprogramm sollte jede/n Mitarbeiter/in der Institution auf ihre/ seine Verantwortlichkeit für Informationssicherheit hinweisen.6.. Sicherheitsverstöße zu melden und zu untersuchen die Konsequenzen bei Nichteinhaltung von Sicherheitsvorgaben Zur Sensibilisierung der Mitarbeiter/innen können u. 61 .1.. 6.a.• • • die Auswirkungen von sicherheitsrelevanten Ereignissen für einzelne Anwender und für die gesamte Institution die Notwendigkeit.1.

Dazu zählen etwa: • • • • • • die/der IT-Sicherheitsbeauftragte und die Bereichs-IT-Sicherheitsbeauftragten die Mitglieder des Informationssicherheitsmanagement-Teams Mitarbeiter/innen. Applikationsverantwortliche) Mitarbeiter/innen. Projektleiter/innen) Mitarbeiter/innen mit spezieller Verantwortung für den Betrieb eines IT-Systems oder einer wichtigen Applikation (z. Netzwerksicherheit: Netzwerkinfrastruktur. LANs.B.und Softwaresicherheit: Dazu gehören etwa Identifikation und Authentisierung. 62 . Zugangs. Protokollierung. Organisation des Informationssicherheitsmanagements. die in besonderem Maße mit Informationssicherheit zu tun haben. Vergabe von Zutritts-.Personen.B.B. Verschlüsselung.B. die zu VERTRAULICH. Büroräumen und Versorgungseinrichtungen mit besonderer Betonung der Verantwortung der einzelnen Mitarbeiter/innen (z. regelmäßige Überprüfung von Sicherheitsmaßnahmen und ähnliches Bauliche Sicherheit: Schutz von Gebäuden. Behandlung von sicherheitsrelevanten Vorfällen. digitale Signaturen u. Business Continuity Planung Schulungs. Typische Beispiele für die Themen. die mit Aufgaben der IT-Sicherheitsverwaltung betraut sind (z. GEHEIM oder STRENG GEHEIM eingestuften Informationen Zugang haben Mitarbeiter/innen mit spezieller Verantwortung für die Systementwicklung (z.und Sensibilisierungsveranstaltungen zum Thema Informationssicherheit müssen zeitgerecht geplant und umgesetzt werden. Inter-/Intranets.ä. Berechtigungssysteme. die im Rahmen von Schulungsveranstaltungen behandelt werden sollten. um keine Sicherheitslücken durch mangelndes Wissen oder Sicherheitsbewusstsein entstehen zu lassen. Handhabung von Zutrittskontrollmaßnahmen. Wiederaufbereitung und Virenschutz. Brandschutz) Personelle Sicherheit Hardware. Besondere Betonung ist dabei auf die Schulung der korrekten Implementierung und Anwendung von Sicherheitsmaßnahmen zu legen.und Zugriffsrechten) Das Schulungsprogramm ist von jeder Organisation spezifisch für ihren Bedarf eigenen zu entwickeln. Serverräumen. sind: • • • • • • Sicherheitspolitik und -infrastruktur: Rollen und Verantwortlichkeiten. sind speziell dafür auszubilden und zu schulen.

dass dieses den Anforderungen der Informationssicherheitspolitik und der Sicherheitsrichtlinien genügt.und Zustandsbeschreibungen sowie standardisierter Vorgaben für Erfüllung und Dokumentation. Techniken zur Akkreditierung sind: • • • Prüfung der Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking).3.3 Überprüfung von Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) Tests Evaluation und Zertifizierung von Systemen Änderungen der eingesetzten Sicherheitsmaßnahmen oder der Betriebsumgebung können eine neuerliche Akkreditierung des Systems erforderlich machen. Die Kriterien. [eh Teil 1 . sollten in den zugehörigen Sicherheitsrichtlinien festgelegt werden.oder eine spezifische Anwendung davon . dass seine Sicherheit • • • in einer definierten Betriebsumgebung unter definierten Einsatzbedingungen für eine definierte vorgegebene Zeitspanne gewährleistet ist. vgl.3.[eh Teil 1 .4. wann eine Neuakkreditierung durchzuführen ist.4 Akkreditierung Unter Akkreditierung eines IT-Systems versteht man die durch eine unabhängige Instanz formal dokumentierte Sicherstellung. Erst nach erfolgter Akkreditierung kann ein solches System .6. Wir ein IT-System akkreditiert. ist insbesondere darauf zu achten.4] 63 . auch 2. Wesentlich bei der Akkreditierung ist die Anwendung standardisierter und damit vergleichbarer Vorgehens.6.in Echtbetrieb gehen.1 Implementierung von Maßnahmen und 2.3] 2.

2.4.sollen erkannt und entsprechende Gegenmaßnahmen eingeleitet werden.2.soweit definiert .liegen sollte. Weiters muss eine angemessene Reaktion auf alle sicherheitsrelevanten Änderungen sowie auf sicherheitsrelevante Ereignisse gewährleistet sein. 8 Das nach der Umsetzung des Informationssicherheitsplans erreichte Sicherheitsniveau lässt sich nur dann aufrechterhalten. das erreichte Sicherheitsniveau zu erhalten bzw. 2. unveränderbares Dokument. Aktualität und die Umsetzung in der täglichen Praxis überprüft werden. Generell gilt auch hier.4. in den einzelnen Sicherheitsrichtlinien detailliert festgelegt werden.sei es durch eine Veränderung der Bedrohungslage oder durch falsche Verwendung der implementierten Sicherheitsmaßnahmen . die Informationssicherheit im laufenden Betrieb aufrechtzuerhalten. 6. Ein Sicherheitskonzept ist kein statisches. Compliance. sondern muss stets auf seine Wirksamkeit. die Verantwortung für organisationsweite Sicherheitsmaßnahmen sowie die Gesamtverantwortung bei der/ dem IT-Sicherheitsbeauftragten. Die Verantwortlichkeiten für diese Aktivitäten müssen im Rahmen der organisationsweiten Informationssicherheitspolitik bzw. Verschlechterungen der Wirksamkeit von Sicherheitsmaßnahmen . 64 . die realisierten Maßnahmen müssen regelmäßig auf ihre Übereinstimmung mit der Informationssicherheitspolitik geprüft werden (Security Compliance Checking) und die IT-Systeme fortlaufend überwacht werden (Monitoring).1 Aufrechterhaltung des erreichten Sicherheitsniveaus ISO Bezug: 27001 4.4 Informationssicherheit im laufenden Betrieb Umfassendes Informationssicherheitsmanagement beinhaltet nicht zuletzt auch die Aufgabe. wenn Support. dass die Verantwortung für systemspezifische Maßnahmen bei den einzelnen BereichsIT-Sicherheitsbeauftragten . Ziel aller Follow-Up-Aktivitäten ist es. Monitoring sichergestellt sind: • • • Wartung und administrativer Support der Sicherheitseinrichtungen müssen gewährleistet sein. weiter zu erhöhen.

Die Wartung von Sicherheitseinrichtungen hat in Abstimmung mit den Verträgen.3. 8 Viele Sicherheitsmaßnahmen erfordern zur Gewährleistung ihrer einwandfreien Funktionsfähigkeit Wartung und administrativen Support.Von besonderer Wichtigkeit für die Aufrechterhaltung oder weitere Erhöhung eines einmal erreichten Sicherheitsniveaus ist eine permanente Sensibilisierung aller betroffenen Mitarbeiter/innen für Fragen der Informationssicherheit (vgl. [eh Teil 1 . Alle Wartungs. Backup und Restore sowie die Wartung von sicherheitsrelevanten Komponenten. dass • • • • die erforderlichen finanziellen und personellen Ressourcen zur Wartung von Sicherheitseinrichtungen zur Verfügung stehen organisatorische Regelungen existieren. Die Kosten für Wartungs. die mit den Lieferfirmen geschlossen wurden.2 Sensibilisierung (Security Awareness)).4. im Bereich Virenschutz).7. die Überprüfung der Parametereinstellungen und eventueller Rechte auf mögliche nichtautorisierte Änderungen.und Supportaktivitäten sollten nach einem detailliert festgelegten Plan erfolgen und regelmäßig durchgeführt werden. aber nicht ausschließlich. ist sicherzustellen. wenn verfügbar (besonders.4. dazu auch 2.1. die die Aufrechterhaltung der Informationssicherheitsmaßnahmen im laufenden Betrieb ermöglichen und unterstützen die Verantwortungen im laufenden Betrieb klar zugewiesen werden die Maßnahmen regelmäßig daraufhin geprüft werden. Um die Aufrechterhaltung eines einmal erreichten Sicherheitsniveaus zu gewährleisten. 6.und Supportaufgaben können im Einzelfall beträchtlich sein und sollten daher bereits bei der Auswahl der Sicherheitsmaßnahmen bekannt sein und in den Entscheidungsprozess mit einfließen. Zu diesen Aufgaben zählen etwa die regelmäßige Auswertung und Archivierung von Protokollen.1] 2.2.2 Wartung und administrativer Support von Sicherheitseinrichtungen ISO Bezug: 27001 4. zu erfolgen und darf nur durch dafür autorisierte Personen vorgenommen werden. ob sie wie beabsichtigt funktionieren 65 . die Reinitialisierung von Startwerten oder Zählern sowie Updates der Sicherheitssoftware.

1 Zielsetzung Zur Gewährleistung eines angemessenen und gleich bleibenden Sicherheitsniveaus ist dafür Sorge zu tragen. [eh Teil 1 . falls sich neue Schwachstellen zeigen Alle Wartungs. dass alle Maßnahmen so eingesetzt werden. Zeitpunkte Security Compliance Checks sollten zu folgenden Zeitpunkten bzw. ob • • • die Sicherheitsmaßnahmen vollständig und korrekt umgesetzt werden der korrekte Einsatz der implementierten Sicherheitsmaßnahmen gewährleistet ist (Stichproben!) die organisatorischen Sicherheitsvorgaben im täglichen Betrieb eingehalten und akzeptiert werden Weiters sind die getroffenen Maßnahmen regelmäßig auf Übereinstimmung mit gesetzlichen und betrieblichen Vorgaben zu überprüfen.1.• Maßnahmen verstärkt werden. -Projekte und Applikationen sowohl während der Planungsphase als auch im laufenden Betrieb und letztlich auch bei der Außerbetriebnahme sichergestellt sein.2. bei Eintreten folgender Ereignisse durchgeführt werden: 66 . Der regelmäßigen Auswertung dieser Protokolle kommt besondere Bedeutung für die gesamte Informationssicherheit zu. wie es im Sicherheitskonzept und im Informationssicherheitsplan vorgesehen ist. Dabei ist zu prüfen. 15.2.7.4.3 Überprüfung von Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) ISO Bezug: 27001 4.4.und Supportaktivitäten im Sicherheitsbereich sollten protokolliert werden. Die Prüfungen können durch externe oder interne Auditoren/Auditorinnen durchgeführt werden und sollten soweit möglich auf standardisierten Tests und Checklisten basieren. Dies muss für alle IT-Systeme.1] 2.

neue Applikationen oder die Verarbeitung von Daten einer höheren Sicherheitsklasse auf existierenden Systemen oder Änderungen in der Hardware-Ausstattung.7. seine Benutzer/innen und die Systemumgebung das im Informationssicherheitsplan festgelegte Sicherheitsniveau beibehalten.4. zu schützenden Werte und Sicherheitsmaßnahmen können möglicherweise signifikante Auswirkungen auf das Gesamtrisiko haben. Bedrohungen und Schwachstellen: 67 .2.1. Mögliche Gründe dafür sind eine Änderung der IT-Sicherheitsziele.4 Monitoring ist eine laufende Aktivität mit dem Ziel. in den Sicherheitsrichtlinien vorzugebenden Zeitspanne (z. Aus diesem Grund ist eine fortlaufende Überwachung folgender Bereiche erforderlich: • • Wert der zu schützenden Objekte: Sowohl die Werte von Objekten als auch. die Zahl der Hacking-Versuche über Internet oder die Wirksamkeit des Passwortmechanismus betreffen.B. daraus resultierend. jährlich) sowie bei signifikanten Änderungen. ob das IT-System.4 Fortlaufende Überwachung der IT-Systeme (Monitoring) ISO Bezug: 27002 4. [eh Teil 1 . Dazu wird ein Plan für eine kontinuierliche Überwachung der IT-Systeme im täglichen Betrieb erstellt.• • für neue IT-Systeme oder relevante neue Anwendungen: nach der Implementierung (vgl.2] 2. Schwachstellen. 15.1 Security Compliance Checking und Monitoring) für bereits in Betrieb befindliche IT-Systeme oder Applikationen: nach einer bestimmten. sollte das Monitoring durch die Ermittlung von Kennzahlen unterstützt werden. die eine rasche und einfache Erkennung von Abweichungen von den Sollvorgaben ermöglichen. Wo technisch möglich und sinnvoll. dazu auch Kap. Alle Änderungen der potentiellen Bedrohungen. die Sicherheitsanforderungen an das Gesamtsystem können im Laufe des Lebenszyklus eines IT-Projektes oder -Systems erheblichen Änderungen unterliegen. Solche Kennzahlen können beispielsweise die Systemverfügbarkeit. zu überprüfen.

Sicherheitsmaßnahmen: Die Wirksamkeit der implementierten Sicherheitsmaßnahmen ist laufend zu überprüfen. dass sie einen angemessenen und den Vorgaben der Sicherheitsrichtlinien entsprechenden Schutz bieten. Durch ein kontinuierliches Monitoring soll die Leitung der Institution ein klares Bild darüber bekommen. Neue potentielle Schwachstellen sind so früh wie möglich zu erkennen und abzusichern.3] 68 . können die Wirksamkeit der Sicherheitsmaßnahmen nachhaltig beeinflussen. Werden im Rahmen des kontinuierlichen Monitoring signifikante Abweichungen des tatsächlichen Risikos von dem im Sicherheitskonzept festgelegten akzeptablen Restrisiko festgestellt. Änderungen in den Werten der bedrohten Objekte. was durch die Sicherheitsmaßnahmen erreicht wurde (Soll-/IstVergleich). aber auch durch den Einsatz neuer Technologien.7.1. so sind entsprechende Gegenmaßnahmen zu setzen. [eh Teil 1 . ob die Ergebnisse den Sicherheitsanforderungen der Institution genügen sowie über den Erfolg einzelner spezifischer Aktivitäten zur Informationssicherheit. Es ist sicherzustellen. den Bedrohungen und den Schwachstellen.• Organisatorisch oder technologisch (hier insbesondere durch neue Technologien in der Außenwelt) bedingt können sowohl die Wahrscheinlichkeit des Eintritts einer Bedrohung als auch die potentielle Schadenshöhe im Laufe der Zeit starken Änderungen unterliegen und sind daher regelmäßig zu evaluieren.

des ISMS Schaffung von Awareness und Motivation für die Notwendigkeit der Einhaltung der Sicherheitsregeln Schaffung von Awareness und Motivation. so ist es zu planen.1 Verantwortung der Managementebene 3. 3. Wegen der immer höheren Abhängigkeit von Information gilt dies besonders für Risiken aus fehlender oder mangelhafter Informationssicherheit. Wird ein Informationssicherheits-Management-System (ISMS) eingerichtet. bewertet und durch Setzen geeigneter und nachhaltiger Maßnahmen auf einen minimalen und akzeptierten Rest reduziert werden. Dies bedeutet. dass die Managementebene für die Umsetzung folgender Aufgaben zu sorgen hat: • • • • • • • Erarbeitung einer Sicherheitspolitik Erarbeitung der Zielsetzungen und Detailaufgaben des ISMS Benennung von Rollen und verantwortlichen Personen Darstellung. Bewertung der Risiken.1 Es ist eine Managementverantwortung.1. Einschätzung. zu betreiben sowie zu kontrollieren und zu verbessern.3 Managementverantwortung und Aufgaben beim ISMS Dieses Kapitel nimmt Bezug auf ISO/IEC 27001 5 bis 8 .1 Generelle Managementaufgaben beim ISMS ISO Bezug: 27001 5. eingeschätzt. einen systematischen und dauerhaften Sicherheitsmanagementprozess zu etablieren. Zur Verantwortung der Managementebene gehört neben der Erreichung der geschäftlichen wie unternehmenspolitischen Ziele auch der angemessene Umgang mit Risiken. zu steuern und zu kontrollieren. Festlegung von Kriterien für akzeptable Restrisiken Schaffung von Awareness für die Bedeutung und den Nutzen eines angemessenen Informationssicherheitsniveaus bzw. über Schwachstellen und Sicherheitsvorfälle zu informieren und Verbesserungen vorzuschlagen 69 . Sie müssen so früh als möglich erkannt. zu implementieren.

Aus diesen Informationen sind von der Managementebene laufend Schlussfolgerungen zu ziehen und Entscheidungen zu treffen: welche Schwachstellen behoben wurden. angemessen sind. ob und welche Sicherheitsmaßnahmen zu adaptieren sind und welche Verbesserungsmöglichkeiten umgesetzt werden. wird ein/e Sicherheitsbeauftragte/r oder mehrere Sicherheitsbeauftragte benannt. Dies kann auch . ob und welche Sicherheitsmaßnahmen bzw. Sie kann diese Verantwortung allerdings nur dann effizient wahrnehmen. für die Sicherheit zum Geschäftsmodell gehört .auch finanziellen Auswirkungen. diese wiederum von Größe und Aufgaben der Organisation. Verfahren des ISMS noch wirksam bzw. hängt von seiner Komplexität ab.etwa bei großen Organisationen oder solchen. sowie ihre voraussichtliche Entwicklung Aufgetretene Schwachstellen oder Sicherheitsvorfälle Auswirkungen von tatsächlichen oder potenziellen Sicherheitsvorfällen auf kritische Geschäftsprozesse Potenzielle Gefährdungen aus veränderten Rahmenbedingungen und zukünftigen Entwicklungen Brauchbare Vorgehensweisen zur Informationssicherheit aus allgemeinen oder branchenüblichen Standards.im Rahmen einer eigenen Sicherheitsorganisation erfolgen. wenn sie stetig mit den essentiellen Informationen versorgt wird (analog dazu. Sehr kleine Organisationen werden fallweise unter der Leitung des Geschäftsführers/ der Geschäftsführerin punktuell externe Berater heranziehen. Unbeschadet davon bleibt die Gesamtverantwortung jedoch immer bei der Managementebene.• • • Bereitstellung ausreichender finanzieller und personeller Ressourcen für Einrichtung und dauerhaften Betrieb des ISMS sowie der Sicherheitsmaßnahmen Durchführung von Audits und Management-Reviews im Rahmen des ISMS Herbeiführung von Entscheidungen über Verbesserungsvorschläge. vergleichbaren Organisationen. im positiven Fall jeweils auch Sicherstellung von deren Umsetzung Wie der Sicherheitsprozess organisiert wird. bei größeren Einheiten wird sich ein Mitglied der Managementebene persönlich um das ISMS kümmern bzw. 70 . Arbeitsgruppen Es muss laufend überprüft werden. dass sie mit Geschäftskennzahlen versorgt werden muss): • • • • • • Sicherheitsanforderungen. welche mit Sicherheitsaufgaben betraut werden und diese ausschließlich oder zusätzlich zu anderen Aufgaben ausüben. die sich aus gesetzlichen oder vertraglichen Verpflichtungen ableiten Aktuelle Sicherheitsrisiken mitsamt ihren möglichen .

dass sie zwar die Risiken auf das akzeptierte Maß senken. Verbesserungsvorschläge gemacht. werden diese auch gelebt und Informationen über Schwachstellen gegeben bzw. die nie fertig wird. Es muss ebenso klar sein. Grenzen der Sicherheit: • • • Es muss klar sein.2. 71 . ist gar keine.1 Aufwand und Nutzen bei der Informationssicherheit Ein angestrebtes Sicherheitsniveau macht nur dann Sinn.336] 3. die niemand vorhersagen kann und die ein höheres Schadenspotenzial als das akzeptierte Restrisiko nach sich ziehen. Werden die Anwender/innen in die Planung und Umsetzung von Maßnahmen einbezogen. die Sicherheitsziele so zu definieren. zeitlichen und finanziellen Ressourcen auch erreicht werden kann.oft erhebliche . Nur wenn der Sinn von Sicherheitsmaßnahmen bzw. werden sie auch von sich aus Ideen einbringen und die Tauglichkeit von Sicherheitsmaßnahmen aus Sicht der täglichen Praxis beurteilen. dass Sicherheitsmaßnahmen . die als Folge eines schweren Sicherheitsvorfalls anfallen würden. sondern nur ein akzeptiertes Restrisiko. Daher macht es Sinn. Eine "starke" Sicherheitsmaßnahme. dann muss die Sicherheitsstrategie oder aber die Geschäftsprozesse bzw.Kosten verursachen.und Awarenessmaßnahmen zu sorgen.2. aber mit vertretbarem personellen. Ist das nicht möglich. die ihnen zugehörige Informationsverarbeitung geändert werden. Es können Verkettungen von Vorfällen auftreten. Diesen sind jene gegenüberstellen. -vorgaben und -anweisungen verstanden wird. dass es keine 100%ige Sicherheit geben kann.1 Bereitstellung von Ressourcen ISO Bezug: 27001 5. zeitlichen und finanziellen Aufwand erreicht werden können.Die Managementebene hat die Aufgabe.2 Ressourcenmanagement 3. die Mitarbeiter/innen zur aktiven Mitwirkung am Sicherheitsprozess zu motivieren und für diesbezüglich ausreichende Ausbildungs. wenn es sich wirtschaftlich vertreten lässt und mit den verfügbaren personellen. [Q: BSI M 2.

72 . dass sich Informationssicherheit . Ressourcen für die Organisation Erfahrungsgemäß ist die Benennung eines/einer IT-Sicherheitsbeauftragten eine sehr effiziente Sicherheitsmaßnahme.während dieser Zeit von ihren sonstigen Aufgaben so weit als möglich freigestellt werden. Wenn möglich sollten diese als IS-Management-Team formiert und . Daher ist es eher in kleineren Organisationen möglich.organisatorische Maßnahmen in vielen Fällen am effektivsten sind. da der tatsächliche Gewinn an Sicherheit immer geringer wird. bis er gar nicht mehr zunimmt.und Arbeitsaufwand für alle mit der Informationssicherheit befassten Mitarbeiter/innen.1 Richtlinien beim Datenaustausch mit Dritten ) Ressourcen für die Einrichtung des ISMS: IS-Management-Team Die sorgfältige Einrichtung und Planung des ISMS bedeutet einen erheblichen Zeit. ( siehe dazu 10. bei der die Anzahl an Sicherheitsvorfällen signifikant zurückgeht. In einem solchen Fall muss auf den Schutz der Informationen gegenüber Externen geachtet werden.vor allem durch technische Maßnahmen bewerkstelligen lässt. Für ad-hoc Beratungen. Größere Organisationen oder solche mit hohen Ansprüchen an Informationssicherheit. dass personelle Ressourcen und geeignete . dass er/sie die Sicherheitsaufgaben neben den eigentlichen Tätigkeiten ausübt. Überprüfungen oder Implementierungen kann es sich auch für kleine Organisationen lohnen. Die Informationssicherheit wird dadurch schneller in allen Organisationseinheiten umgesetzt und es gibt weniger Konflikte.Ab einem bestimmten Niveau rechnet sich der steigende Aufwand für angestrebte noch höhere Sicherheitsniveaus nicht mehr.8. Mit einem solchen Team werden unterschiedliche Organisationseinheiten in den Sicherheitsprozess einbezogen und Kompetenzen gebündelt. der dennoch in einem eher straffen Terminplan zu erledigen ist. werden entweder hauptamtliche Sicherheitsbeauftragte beschäftigen oder ISManagement-Teams aus mehreren Mitarbeitern/Mitarbeiterinnen. Die Erfahrung zeigt allerdings.zumindest ein Teil von ihnen . Ihm/ihr muss allerdings ausreichend Zeit für seine diesbezügliche Tätigkeit zugestanden werden. zusammenstellen. Weit verbreitet ist die Ansicht.oft sehr einfache . kurzfristig externe Sicherheitsexperten heranzuziehen. welche dies neben ihren eigentlichen Aufgaben wahrnehmen können. Selbstverständlich ist Sicherheitstechnik eine wichtige Lösung und häufig unentbehrlich. aber nur innerhalb eines geeigneten organisatorischen Rahmens und bedient von qualifizierten Menschen.insbesondere IT-Sicherheit .

73 . etc. ob die verwendeten Sicherheitsmaßnahmen die zugehörigen Geschäftsprozesse noch unterstützen. welche Alternativen eingesetzt werden könnten.Das IS-Management-Team kann sich etwa . mangelhaft gewartete IT-Einrichtungen. Ressourcen für Betrieb und Überprüfung Ein reibungsloser IT-Betrieb ist zwar eine Voraussetzung für Informationssicherheit. sind Quellen für plötzlich auftretende Fehler. in vielen Fällen aus Ressourcenmangel aber nicht gegeben. Überlastete IT-Mitarbeiter/innen. Zusätzlich kann es zu schleichender Demotivierung mit allen negativen Folgen führen. um die Wirksamkeit und Eignung der Sicherheitsmaßnahmen systematisch überprüfen zu können. welche die ohnehin problematische Situation verschärfen.aus den Bereichen zusammensetzen: • • • • • • • • • Informationssicherheit Fachabteilungen Haustechnik Revision IT. Dabei ist auch laufend zu bewerten: • • • ob der Aufwand jeweils noch im Einklang zum Sicherheitsnutzen steht. Datenschutz Personal Betriebsrat Finanz / Controlling Rechtsabteilung Für eine kontinuierliche Steuerung des Prozesses sollte ein solches IS-ManagementTeam regelmäßig zusammenkommen. fehlende Ausbildung. Daher sollte sich die Managementebene immer wieder vom Ablauf des Betriebs und der Situation der Mitarbeiter/innen überzeugen und bei Mängeln für deren rasche Behebung sorgen.je nach Größe und Art der Organisation . Weiters sind personelle. zeitliche und finanzielle Ressourcen erforderlich und bereitzustellen.

Laufende Information. die Folgen und Auswirkungen ihrer Tätigkeit im beruflichen und privaten Umfeld einzuschätzen. aber auch sicherheitsrelevanten Ziele wohl nur mit hinreichend ausgebildeten und informierten Mitarbeitern/Mitarbeiterinnen erreichen. was sie in kritischen Situationen tun bzw. um das ISMS selbst auf Konsistenz und Wirksamkeit zu überprüfen (Interne / externe Audits. ManagementReviews) und ggf. unterlassen sollen Ausreichende Kenntnisse und Fertigkeiten zur Durchführung ihrer Aufgaben Kenntnis der betrieblichen Abläufe Kenntnis der Ansprechpartner für Sicherheitsfragen oder -probleme Die Organisation wird ihre geschäftlichen. dass und warum bestimmte Sicherheitsmaßnahmen notwendig und sinnvoll sind Wissen bei den Mitarbeitern/innen über Erwartungen hinsichtlich Informationssicherheit Wissen bei den Mitarbeitern/innen. Schulung und positive Bewußtseinsbildung vermittelt Kompetenz und ermöglicht den Mitarbeitern/Mitarbeiterinnen. ausgeprägtes Sicherheitsbewußtsein bei den Mitarbeitern und Mitarbeiterinnen und deren ausreichende und weiterentwickelte Qualifikation. Dies wird in der Regel von einem/ einer entsprechend ausgebildeten Mitarbeiter/in in Zusammenwirken mit der Managementebene durchgeführt.2.2 Wirksame Informationssicherheitsmaßnahmen benötigen neben ihrer sachlichen Implementierung eine Sicherheitskultur der Organisation. [Q: BSI Standard 100-2] 3.Schließlich sind noch Ressourcen bereitzustellen.2 Schulung und Awareness ISO Bezug: 27001 5. Die mitgebrachten Kenntnisse und Erfahrungen decken jedoch nur einen Teil des Benötigten für die nunmehrige Tätigkeit ab und werden mit der Zeit weniger aktuell. Das beginnt selbstverständlich schon bei der Auswahl von Bewerbern bei der Einstellung und setzt dafür genaue und aktuelle Job-Beschreibungen voraus.2. Dies ist ein langfristiger und kontinuierlicher Prozeß mit vielschichtigen Effekten: • • • • • • • Überzeugung aller Mitarbeiter/innen. Verbesserungen einzuleiten. dass Informationssicherheit ein Erfolgsfaktor ist Überzeugung aller Mitarbeiter/innen. 74 .

Selbstverständlich gilt auch hier der Grundsatz der Angemessenheit: Schulungen sind kein Selbstzweck.und Awarenessprogramm aufgebaut und in Schritten durchlaufen. 75 . sondern ein Mittel zur Erreichung der geschäftlichen und sicherheitspolitischen Ziele und unterliegen wie jede andere Maßnahme einer Kosten-/Nutzen Relation.oder Administratorrechten Manipulation an Informationen oder Software Social Engineering Ausspähen von Informationen Es muss daher im vitalen Interesse der Managementebene liegen.Gefährdungen: Unzureichende Informationen und Kenntnisse können im Bereich der Informationssicherheit eine Reihe von Gefährdungen heraufbeschwören: • • • • Vertraulichkeits. Fehlerhafte Nutzung oder Administration von IT-Systemen) Nichtbeachtung von Sicherheitsmaßnahmen Sorglosigkeit im Umgang mit Informationen Mangelhafte Akzeptanz von Informationssicherheit Weiters kann aus unzureichender Information (etwa wenn dies als böse Absicht des Managements interpretiert wird) im Zusammenwirken mit stetiger Überlastung Frustration entstehen. Damit werden Unterschiede im Wissenstand einzelner Mitarbeiter/innen abgesehen von ausgesprochenen Spezialisierungen .und Awarenessmaßnahmen nachhaltig zu unterstützen.oder Integritätsverlust von Daten durch Fehlverhalten (unzureichende Kenntnis der Regelungen. Schulungs. unerlaubte Ausübung von Rechten. was mitunter zu vorsätzlichen Handlungen führen kann: • • • • • Unberechtigte IT-Nutzung Missbrauch von Benutzer. Schulung und Awareness für Informationssicherheit bei den Mitarbeitern/Mitarbeiterinnen bewusst zu sein und Schulungs.und Awarenessprogramm: Optimalerweise wird für umfassende und angemessene Kompetenz ein Schulungs. sich der Bedeutung von ausreichender Information.ausgeglichen.

Externe). ob eigene Mitarbeiter/innen die Schulungen durchführen oder externe Trainer/innen. Planung und Konzeption: Am Beginn des Programms steht die sorgfältige Planung .auch für weitere Programme . Lernbedarf identifizieren: auf Basis bisheriger Kenntnisse. Seminare etc. Findet die Schulung in den eigenen Räumen statt. ob standardisierte Seminare ("von der Stange") ausreichen (dazu sind auch deren Termine zu berücksichtigen). haben dafür meist mit geringerer Komplexität zu tun. Lernmethoden und -medien auswählen: eine wesentliche Entscheidung ist. da Schulungen. • • • • • • Lernziele definieren: Vor allem Sicherheitsziele der eigenen Organisation müssen vermittelt werden. Weiters ist zu klären. aber auch Basiswissen zu Informationssicherheit und Fertigkeiten für Verhalten in kritischen Situationen. soweit möglich. ob und inwieweit individuelle Schulungen notwendig sind oder ob z.vor allem bei E-Learning . Weiters .und Awarenessmaßnahmen definieren. Erfolgskriterien für das Schulungs. so dass dann aus Zeitmangel die Schulung gar nicht vollständig durchgeführt wird. erhebliche Kosten verursachen können und den Mitarbeitern/Mitarbeiterinnen erhebliche Zeit abverlangen. Lerninhalte festlegen: jedenfalls alle Regelungen und Verfahren für den jeweiligen Arbeitsplatz. Benutzer. Spezialisierung (etwa: neue Mitarbeiter/innen. Umfeld und Hintergründen. E-Learning eingesetzt werden kann. Zielgruppen für einzelne Schulungs. da diese unterschiedliche Bedürfnisse aber auch Zeitressourcen haben (etwa: Management. inkl. Stromanschluss. Javascript.diese zahlt sich wörtlich aus. Die generellen Anforderungen sind jedoch die gleichen wie bei größeren Einheiten. Spezialkenntnisse.und Awarenessprogramme. etc. neue Abläufe/ Systeme). Im IT-Bereich können Sicherheitsschulungen durchaus in IT-Schulungen integriert werden. Projektor.B. in der sie für ihre eigentlichen Aufgaben nicht zur Verfügung stehen. dann muss für die notwendige Infrastruktur (Konferenzraum. Hier besteht jedoch die Gefahr einer Überfrachtung. die bereits einmal durchgeführt wurden. Schulungs.Speziell kleine Organisationen werden sich jedoch mitunter auf das Aufspüren und Beheben individueller Kenntnislücken beschränken müssen. ActiveX) und ggf. Basiswissen. sollten auf ihren Erfolg und ihre künftige Brauchbarkeit .muss auf potenzielle Sicherheitsrisiken durch die Schulungsmedien geachtet werden (etwa aktive Inhalte wie Java.untersucht werden. deren Messung. darauf verzichtet oder nur dezidierte Internet-PCs dafür verwendet werden. 76 . sofern die Trainer hinreichend qualifiziert sind und der Sicherheit hinreichend Platz eingeräumt wird.und Awarenessprogramm definieren inkl. Administratoren.) gesorgt werden.

Im Fall externer Trainer muss darauf geachtet werden. da es zu keinen mißbräuchlichen Überwachungsaktionen kommen darf. Die Organisation sollte für jede/n Mitarbeiter/in im Personalakt festhalten. ist eine sorgfältige Terminplanung erforderlich. Nach der Schulungs-/Awarenessmaßnahme sollte ihr Erfolg und ihre Effizienz überprüft werden: • • • • • Wurden alle betroffenen Mitarbeiter/innen erreicht? Wurden die Inhalte verstanden? Waren die Mitarbeiter/innen mit der Schulungs-/Awarenessmaßnahmen zufrieden? Gibt es (sachlich begründeten) Bedarf für weitere Schulungen? Hat sich die Einstellung der Mitarbeiter/innen gegenüber Sicherheitsmaßnahmen positiv geändert? Dies ist allerdings nicht einfach zu ermitteln. Methoden. 77 . ggf.oder Weiterbildungsmaßnahme sollte jedem Teilnehmer/ jeder Teilnehmerin eine Teilnahmebestätigung übergeben werden. um den Erfolg nachzuprüfen. auch Zeit für die Erledigung der wichtigsten Aufgaben verbleiben. dass die Inhalte auch aufgenommen werden können. kann auch ein positives Absolvieren dargestellt werden. Die zu schulenden Mitarbeiter/innen müssen für die Zeit der Schulung möglichst von ihren angestammten Aufgaben freigestellt werden. muss ggf. welche Schulungs-/ Awarenessmaßnahmen absolviert wurden. können sein: • • • Fragebögen mit Bewertungen der Teilnehmer Fragebögen mit Fragen aus dem gelernten Stoff Diskussionsmeeting Management / Sicherheitsbeauftragte/r / Mitarbeiter/innen nach der Schulungs-/Awarenessmaßnahme Dokumentation von Schulungs-/Awarenessmaßnahmen: Am Schluss einer Aus. Wenn nicht anders möglich. dass sie im Zuge der Schulung nicht Kenntnis über sensible Informationen erhalten.Durchführung und Kontrolle: Damit möglichst alle vorgesehenen Mitarbeiter/innen effizient geschult werden. Die Lerneinheiten sollten jeweils zeitlich so gestaltet werden.

und Ergänzungskurse vorsehen. 1-2 Quizfragen Rundschreiben. ob Ziele. korrekt umgesetzt sind und von allen Beteiligten eingehalten werden. Schwachstellen und möglicher Abwehrmaßnahmen ist eine ständige Auffrischung und Erweiterung des Wissens über Informationssicherheit erforderlich. Zeitschriften mit sicherheitsrelevanten Themen Mitarbeiterzeitung. Vorgaben.Flankierende Schulungs. nach wie vor geeignet sind.13.und Awarenessmaßnahmen: Vor dem Hintergrund ständig neuer Anwendungen. .und Awarenessmaßnahmen: Abgesehen von "klassischen" Schulungs-/Awarenessmaßnahmen bieten sich zur kontinuierlichen Weiterbildung an: • • • • • • • • • Informationsforum zur Informationssicherheit im Intranet Anmeldebildschirm mit Sicherheitsinformationen resp. um die Informationssicherheitsziele zu erreichen. [Q: BSI B 1. Maßnahmen und Verfahren innerhalb der eigenen Organisation: • • • • 78 die gesetzlichen und normativen Vorschriften erfüllen. M 2. Poster und Broschüren interne Informationsveranstaltungen externe Seminare.3 Interne ISMS Audits Interne Audits dienen zur Überprüfung. Bedrohungen. Die Schulungsprogramme selbst müssen regelmäßig aktualisiert und an neue Gegebenheiten angepasst werden. E-Mails. IT-Systemen. Messen und Konferenzen E-Learning-Programme Planspiele zur Informationssicherheit Diskussionsmeetings (Round-Tables) Flankierende Schulungs.312] 3. einwandfrei funktionieren und wirksam sind. Daher sollte das Schulungsangebot sowohl für neue wie auch für erfahrene Mitarbeiter/innen in regelmäßigen Abständen Auffrischungs.

tiefer in die Themen eindringen und können jeweils nach und nach Teilbereiche der Organisation umfassen.1 Planung und Vorbereitung interner Audits ISO Bezug: 27001 6 Interne Audits sollten einmal pro Jahr durchgeführt werden und dabei nicht in Zeiten hoher Arbeitsbelastungen (Systemumstellungen.a. enthält: • • • • • Datum Zeit Thema Teilnehmer Erledigungsvermerk 79 . Betroffenen vorab bekannt gegeben wird. Die Managementebene muss den Auditprozess initiieren und mittragen sowie dafür sorgen. Weiterer Nutzen liegt im Erkennen von: • • • • Schulungs. Zertifizierungsaudits wesentlich umfassender erfolgen. Rechnungsabschlüsse.3.und Informationsbedarf der Führungskräfte und Mitarbeiter/innen Verbesserungspotenzial bei Geschäftsprozessen und Sicherheitsmaßnahmen Möglichkeiten zur Optimierung der Organisation sowie in der Motivation der Mitarbeiter/innen.) oder reduzierter Ressourcen (Urlaubszeit) fallen. Das Audit sollte nach einem Auditplan verlaufen.oder Zertifizierungsaudits. etc. da sie ihre Gedanken im Rahmen des Audits einbringen können und sollen 3.Interne Audits sind bei Akkreditierungen meist eine notwendige Vorleistung für extern durchgeführte Akkreditierungs. nach der der/die Auditor/in die Audit-Themen Punkt für Punkt durchgeht und die u.bzw. Damit können Schwachstellen besser erkannt und zielgerichtete Verbesserungen eingeleitet werden. Der Auditplan enthält eine konkrete Checkliste. PC) zur Verfügung gestellt werden. welcher der Managementebene sowie allen Beteiligten bzw. Interne Audits können im Vergleich zu zeitlich begrenzteren externen Akkreditierungs. dass den Auditoren/Auditorinnen und teilnehmenden Mitarbeitern/ Mitarbeiterinnen ausreichend Zeit und Sachressourcen (Konferenzraum.

Anforderung an Auditoren/Auditorinnen: Die Managementebene muss einen oder mehrere Auditoren/Auditorinnen benennen. ebenso die Anforderungen an die Ergebnisdokumentation. Analyse.und Sicherheitsziele sowie der wesentlichen Abläufe und Prozesse Kenntnisse der wesentlichen Themen der Informationssicherheit Schulung um Audits durchführen zu können (Methodik. Berichtswesen) Persönliche Fähigkeiten: • • • • • 80 Klare und verständliche mündliche und schriftliche Ausdrucksweise Aktives Zuhören Ausdauer. inkl. Bewertung. so ist für deren ausreichenden Schutz zu sorgen. für welche sie nicht verantwortlich sind Fachliche Qualifikationen: ausreichende Schul.Anforderungen an die Durchführung des Audits und die Verantwortlichkeiten sind festzulegen und zu dokumentieren. für das Audit relevante Normen (z. Werden im Zuge des Audits vertrauliche Dokumentationen benötigt. Belastbarkeit. welche Bedeutung die zu untersuchenden Bereiche haben und in welchem Status (Planung / Etablierung / Test / produktiver Betrieb) sie sich befinden. Festigkeit auch in Stresssituationen Einfühlungsvermögen zugleich mit Beharrlichkeit Erkennen von größeren Zusammenhängen und Konsequenzen aus Einzelinformationen .B. in denen sie nicht selbst tätig sind bzw. ISO 19011) Kenntnis der Unternehmens.und Berufsausbildung um die Geschäftsprozesse und Sicherheitsmaßnahmen zu verstehen Kenntnis der relevanten Gesetze und Normen. Fragetechnik. Bei der Planung des Auditprogramms ist zu priorisieren. ebenso müssen die Ergebnisse aus früheren Audits einfließen. an die allerdings Anforderungen zu stellen sind: Objektivität und Unparteilichkeit: • • • • • • • Auditoren/Auditorinnen dürfen nur Bereiche auditieren.

vor allem wann welche Mitarbeiter/innen zur Verfügung stehen sollen. Systembeschreibungen. Zunächst erklären die Auditoren/Auditorinnen die Zielsetzung des Audits. aber auch an den Vorgaben liegen.. Diese sind relevant für Verbesserungsmaßnahmen: das Problem kann an der Einhaltung. Systembeschreibungen.etwa indem zu Ideen und Beiträgen für Verbesserungsmaßnahmen ermuntert wird und diese notiert werden. um allfällige systematische Abweichungen aufzudecken.an deren Arbeitsplatz statt.wenn möglich . die relevanten Gesetze einzuhalten und Normen zu erfüllen? Welche Vorgaben sind vorhanden? Sind sie den befassten Personen bekannt und werden sie verstanden? Sind die Vorgaben vollständig und klar formuliert? Gehen aus den Vorgaben die Verantwortlichkeiten und Zuständigkeiten hervor? Beschreiben die Vorgaben jeweils geschlossene Workflows (Eingabe / Verarbeitung / Ausgabe-Ergebnis)? Gibt es Vorgaben zur Protokollierung von Abweichungen / Vorfällen? 81 .. Handbücher. Werden Abweichungen von einer Vorgabe erkannt. Damit werden auch allfällige Ängste vor Notizen genommen. Normen. mit aktuellen Themen zu beginnen. Sicherheitskonzept. . Es ist oft sinnvoll. so sollte nach weiteren Beispielen gefragt werden. .. Detailüberprüfungen finden meist im Gespräch mit den jeweils befassten Mitabeitern/Mitarbeiterinnen . Checkliste.. Mitglieder der Managementebene sollten nach Möglichkeit anwesend sein. Geschäftsziele. Sicherheitskonzept. Programm. Arbeitsanweisungen) durchgegangen und Fragen gestellt / beantwortet. Es ist zunächst zu hinterfragen: • • • • • • Sind die Vorgaben geeignet. Sicherheitspolitik. Es liegt am Auditor / an der Auditorin. Dabei werden die Unterlagen (Vorgaben.3. Dokumentationen. Inhaltliche Grundlage des internen Audits sind die Vorgaben (Gesetze.2 Durchführung interner Audits ISO Bezug: 27001 6 Auditoren/Auditorinnen und Beteiligte aus den zu auditierenden Organisationseinheiten haben sich vorbereitet (Auditplan. der vorläufige Zeitplan wird besprochen.).3. ein konstruktives und positives Klima zu schaffen . Meist beginnt ein Audit mit einem Gespräch der Auditoren/Auditorinnen und maßgeblichen Mitarbeitern/Mitarbeiterinnen.).

. . Diese dient aber nur als Leitfaden..)? Welche persönliche Meinung haben die befassten Mitarbeiter/innen von den Vorgaben? Halten sie die Vorgaben für sinnvoll? Welche Verbesserungsmaßnahmen schlagen die Mitarbeiter/innen vor? Die Fragenkomplexe werden mit Hilfe der Checkliste durchgegangen.• Wurden allfällige Verbesserungsmaßnahmen aus dem letzten Audit umgesetzt und wie? Der nächste Fragenkomplex betrifft ihre Einhaltung: • • • • • • • • • • Welche Nachweise sind vorgesehen. 82 . Sinnvoll ist es dabei. konnten solche anhand der Vorgaben behoben werden / mußte improvisiert werden? Gab es Änderungen bei den Vorgaben auf Grund von Sicherheitsvorfällen? Werden die jeweiligen Tätigkeiten in der Praxis dokumentiert und wie (Arbeitsaufzeichnungen... sollten allerdings gezielt eingesetzt werden. . situationsbezogen müssen ergänzende Fragen gestellt und beantwortet werden. bieten Feedback und können zu einer angeregteren Diskussion beitragen. erfolgte Behebung von Störungen.)? Welche dokumentierten Hinweise über die Wirksamkeit der Vorgaben / Maßnahmen gibt es (verhinderte Eindringversuche. Tagesprotokolle. dass ihre Fragen stets zum Zweck des Audits und keinesfalls zu ihrer eigenen Weiterbildung gestellt werden. wenn Vertiefung zum Verständnis notwendig wird oder sich ein Verdacht auf Abweichungen ergibt.). ob eine bestimmte Maßnahme gut oder weniger gut umgesetzt ist. . Auditoren/Auditorinnen müssen allerdings speziell darauf achten. nach den Gründen für entdeckte nicht eingehaltene Vorgaben zu fragen (nicht verstanden / Überlastung / mangelnde Information.. um die Einhaltung kontrollieren und überprüfen zu können? Gibt es Vorgaben. Schon bei der Frage-/Antwortdiskussion müssen die Auditoren/Auditorinnen auf Objektivität und Unparteilichkeit achten. die nicht angewendet werden? Gibt es umgekehrt durchgeführte Tätigkeiten. Die Erkenntnisse für die Auditoren/Auditorinnen ergeben sich aus den Antworten in Relation mit den schriftlichen Unterlagen. Meinungsäußerungen.. für die keine Vorgaben existieren? Wie exakt werden die Vorgaben bei der praktischen Tätigkeit eingehalten? Gab es Sicherheitsvorfälle.

etwa bei den subjektiv empfundenen Gründen für Abweichungen.Am Schluss der Durchführungsphase sollte wiederum ein Gespräch der Auditoren mit maßgeblichen Mitarbeitern/Mitarbeiterinnen und Managementvertretern stattfinden. Dabei wird den Teilnehmern für ihre Mitwirkung gedankt und eine Vorschau auf das Ergebnis geboten: • • • • Vorläufige Erkenntnisse aus der Befragung und den Unterlagen Zeitpunkt und Art der Berichtslegung (Erkenntnisse. Verantwortlichkeiten oder Zuständigkeiten für Prozesse fehlen oder sind falsch.3 Ergebnis und Auswertung interner Audits ISO Bezug: 27001 6 Die Erkenntnisse aus den Befragungen werden den einzelnen Vorgaben und Beschreibungen zugeordnet und von den Auditoren/Auditorinnen analysiert. Nicht benötigte Vorgaben. Empfehlungen) Allfällige Möglichkeiten zur Stellungnahme Termin für Schlussdokument und Schlusspräsentation 3. Bei Sicherheitsvorfällen musste improvisiert werden und die Vorgaben wurden nicht entsprechend modifiziert. Bedarf für Schulung und Awareness. Dabei ist auf Objektivität zu achten. welche Maßnahmen nach sich ziehen müssen: • • • • • • Wesentliche Vorgaben für Arbeitsabläufe fehlen. allgemeinen Verbesserung: • • • • Die Vorgaben sind zu wenig bekannt. Wesentliche vorgegebene Dokumentationen oder Protokolle werden nicht verfasst/geführt. Ungünstig formulierte Vorgaben mit hohem Schulungsaufwand. aber auch Erkenntnisse zur Erhöhung der Qualität bzw. Protokolle werden nicht ausgewertet. sind falsch oder mangelhaft.3. Vorgaben werden regelmäßig oder gar nicht eingehalten. Beispiele für Erkenntnisse. 83 .

Die nächste Stufe sind Schlussfolgerungen für das Gesamtsystem. Abweichungen und Trends zu finden.B. Empfehlungen zur Verbesserung von Prozessen und Maßnahmen. Der Bericht sollte kompakt. Schwachstellen bzw. ZIile der Organisation.• • Prozesse und Abläufe. aber auch Abweichungen an bestimmten Stellen in der Organisation. Er sollte nicht redundanterweise das System. Lücken im System. beispielsweise wie folgt: 84 . Wirkungsgrad der Maßnahmen. Tatsächliche (historische) oder künftige (potenzielle) Auswirkungen auf das Erreichen der Sicherheitsziele resp. indem etwa versucht wird. die Vorgaben oder Maßnahmen beschreiben. Grad ihrer Einhaltung. Interner Audit Bericht Der Bericht dient vor allem zur Dokumentation erkannter Schwachpunkte und als Checkliste für Verbesserungsmaßnahmen. sondern kann davon ausgehen. Bereitstellung besserer Arbeitsmittel. die sich durch mehrere Bereiche der Organisation ziehen: • • • • Gemeinsamkeiten bei mangelhaften Vorgaben (z. das diese in der Organisation bekannt sind. unverständliche Formulierung. Systematische Nichteinhaltungen. Single Points of Failure: Konzentration von Zuständigkeiten. die vereinfacht oder gar eingespart werden könnten. klar und verständlich formuliert sein und seine Gliederung für alle internen Audits möglichst gleich sein. komplizierte Beschaffung). sowie zu: • • Empfehlungen zur Verbesserung der Vorgaben und ihrer Einhaltung. Schließlich erfolgt die gesamtheitliche Auswertung nach: • • • • Vorhandensein und Qualität der Vorgaben.

Aussagen über die Wirksamkeit von Maßnahmen (wenn möglich) Empfehlungen für Maßnahmen (bei mangelhafter Erfüllung) mit Terminhorizonten bzw. welche das Bild verzerren würden. dass Stellungnahmen nur berücksichtigt werden. aber nicht zu lange Frist für die Stellungnahmen gesetzt werden und diese sollten nach Möglichkeit schriftlich erfolgen. Schlussbesprechung Vor der offiziellen Übergabe des Auditberichts an die Managementebene sollen die betroffenen Personen bzw. die Ziele der Organisation Zusammenfassung und Priorisierung der wichtigsten Verbesserungsvorschläge (betreffend Vorgaben wie Umsetzungen und Einhaltung) Zeithorizont für das nächste Audit (ggf. Stellen Gelegenheit erhalten. Es muss allen Beteiligten klar sein. außerplanmäßiges Nach-Audit bei schwerwiegenden Abweichungen) Stellungnahmen. Berichtsdatum. verwendete Unterlagen. allfällige Bereiche die nicht geprüft wurden Management Summary der wesentlichsten Erkenntnisse aus Gesamtsicht Jeweils pro auditierter Vorgabe: Bezeichnung. um falsche Darstellungen im Bericht zu korrigieren. Auditzeitraum. Immerhin kann es im Zuge des Audits zu Missverständnissen oder beim Verfassen des Berichts zu Darstellungen gekommen sein. nicht aber um etwa richtigerweise 85 . zu den Erkenntnissen Stellung zu nehmen. erfüllt / nicht erfüllt / nicht anwendbar im Einzelfall) Begründungen. Es sollte eine angemessene. Auditor/Auditorin. Inhalt Feststellungen (etwa: erfüllt / teilw. Eine probate Vorgehensweise besteht in der Vorab-Aussendung des Berichts oder der für die Betroffenen relevanten Teile als "Vorversion zur Stellungnahme". auditierte Organisationseinheit(en). allgemeine Verbesserungsvorschläge (wie Schulungsbedarf) Identifizierte Zuständigkeiten für die Umsetzung sowie als Gesamtergebnis am Schluss: • • • • • Eindruck der Auditoren/Auditorinnen über den Ablauf des Audits Zusammenfassung der wesentlichsten Erkenntnisse über alle Bereiche Schlussfolgerungen für das Sicherheitsniveau bzw.• • • • • • • Formalia (Anlass.

bei dem Mitarbeiter/innen für Nichteinhaltungen angeklagt werden. Begründete Stellungnahmen werden in die offizielle Version des Berichts eingearbeitet und diese dem Management übergeben. Diese Dokumentation . Abweichungen. dass das Ziel des Audits und der Schlussbesprechung die Optimierung von Vorgaben sowie Abläufen und des Sicherheitsniveaus ist und es sich keinesfalls um ein Tribunal handelt. Prüfergebnisse und -berichte sind in der Regel besonders vertraulich. Verbesserungsvorschläge. Bei größeren Meinungsverschiedenheiten kann auch ein Gespräch mit den Betroffenen sinnvoll sein. Nichteinhaltung von Vorgaben. daher entsprechend zu schützen. ergriffen werden oder aber die Ursachen beseitigt werden. erfüllte Vorgaben positiv herausstreichen aber auch seine Entschlossenheit zur Umsetzung wichtiger Verbesserungsmaßnahmen zum Ausdruck bringen. Jedenfalls sollte ein Ergebnisprotokoll geführt und der Auditdokumentation beigelegt werden. etc. Dabei muss vor allem seitens des Managements darauf geachtet werden. Dies hat ohne unbegründete Verzögerung zu erfolgen.4 Management-Review des ISMS Die Managementebene hat dafür zu sorgen. 3.ist die inhaltliche Grundlage für ein nun folgendes Management-Review. 86 . Die Managementebene soll zum Ergebnis Stellung nehmen. wenn es sich um relevante Schwachstellen handelt. Die betroffenen Organisationseinheiten haben die Gelegenheit für Stellungnahmen . wesentliche Erkenntnisse.insbesondere der Auditbericht . dass Maßnahmen zur Behebung von erkannten Schwachstellen. Schlussfolgerungen. An der Schlussbesprechung sollten maßgebliche Mitarbeiter/innen der auditierten Organisationseinheiten sowie Mitglieder der Managementebene teilnehmen.erkannte Schwachstellen oder Abweichungen wegzudiskutieren. Die Auditoren/Auditorinnen präsentieren dabei das Gesamtergebnis laut Auditbericht (Ablauf des Audits. nächstes Audit) und sprechen allfälligen Handlungsbedarf der Managementebene an. Bei der Schlussbesprechung kann seitens des Managements bereits ein Ausblick über die Umsetzung von Verbesserungsvorschlägen samt Zeithorizont gemacht werden.etwa betreffend Gründe für im Audit gemachte Feststellungen.

Aufwertung der Unternehmenskultur 3. Weiters kann die regelmäßige Durchführung von Management-Reviews eine notwendige Voraussetzung für Akkreditierungen darstellen. -konzept. einerseits den Sicherheitsprozess. ob es aktuell und nachhaltig zur Erreichung der Sicherheitsund Geschäftsziele geeignet und wirksam ist. wenn die Managementebene einen Überblick hat. inwieweit die Sicherheitsziele mit Hilfe der eingesetzten Sicherheitsstrategie und den dafür umgesetzten Maßnahmen tatsächlich erreicht werden konnten. so sind deren Ergebnisse eine gute Grundlage für Management-Reviews. Grundsätzliche Aussagen zu einer solchen Überprüfung und ihren Grundlagen sollten sich daher bereits in der Informationssicherheitsstrategie bzw. -maßnahmen. Somit muss die Managementebene das ISMS regelmäßig . andererseits die Umsetzung der Sicherheitsmaßnahmen auf ihre Angemessenheit. vorgaben und Abläufen hinsichtlich Praxistauglichkeit und Einsparungspotenzial Optimierung von Kompetenz. Werden regelmäßig interne oder externe Audits durchgeführt. Durchsicht der Dokumentation hinsichtlich Aktualität und Workshops (mit Ergebnisprotokollen) zur Diskussion von Problemen und Erfahrungen schon ausreichend sein.Eine erfolgreiche Steuerung mit den dafür notwendigen Entscheidungen ist allerdings nur möglich. Awareness der Mitarbeiter/innen. Wirksamkeit und Effizienz zu prüfen. Eine solche Überprüfung wird als Management-Review bezeichnet. Wie umfassend und damit aufwändig die Grundlagen sind.1 Management-Review Methoden ISO Bezug: 27001 7. Sicherheitspolitik finden. Sicherheitspolitik. In kleinen Organisationen können ansonsten jährliche Funktionsprüfungen der IT-Systeme.zumindest einmal jährlich .überprüfen. Abschätzen und Eliminieren von Fehlern und Schwachstellen Optimieren des Informationssicherheitsprozesses hinsichtlich Effizienz Verbesserung von Strategie. Wesentlich ist. Zielsetzungen sind dabei: • • • • • Erkennen. dass die Managementebene ein Bild über den aktuellen Stand des Sicherheitsniveaus und allfälligen Handlungsbedarf bekommt: 87 .4. hängt nicht zuletzt von der Größe und Komplexität der eigenen Organisation ab.1 Sie sollen geeignet sein.

2 Durchführung interner Audits Relevant für das Management-Review sind allerdings nicht nur aktuell erkannte Erhebungen zu Schwachstellen.2 Dies ist zur kontinuierlichen Anpassung an sich laufend ändernde innere wie äußere Rahmenbedingungen notwendig.4. Trends. Sicherheitsbeauftragte sowie maßgebliche Führungskräfte oder Spezialisten aus den betroffenen Bereichen (etwa der IT) teilnehmen. Maßnahmen oder Technologien die noch vor einigen Jahren als sicher galten. Relevante Aspekte: • • Gerade der IT-Bereich erweist sich als ausgesprochen schnelllebig. vergleichbaren Erhebungen betreffend Vorgaben und deren Erfüllung) Erkennen. Entwicklungen im Umfeld der eigenen Organisation (Gesetze. an dem Vertreter der Managementebene. 88 .• • • • Berichte von internen oder externen Audits (resp. [Q: BSI-Standard 100-2] 3. wenn man sich in trügerischer Weise darauf verläßt. Für die Durchführung ist es oft zielführend einen Workshop zu veranstalten. Angriffe) Für Fragestellungen im Detail zur Erhebung und zum Erkennen von Schwachstellen und Verbesserungsmöglichkeiten siehe 3.3.mitunter strategischen Ursachen erforscht und Entscheidungen zur Abhilfe getroffen werden. Auswertung von Sicherheitsvorfällen Allfällige Übungen und Tests zur Simulation von Sicherheitsvorfällen und deren Ergebnisse Ereignisse. Konzepte. Technologien. können zum heutigen Zeitpunkt sicherheitstechnisch völlig überholt sein und damit gefährliche Schwachstellen darstellen. Vorschriften oder Normen können erheblichen Einfluss auf die Geschäftsprozesse und damit auf das Sicherheitskonzept haben.1 Review der Strategie und des Sicherheitskonzepts ISO Bezug: 27001 7. Änderungen von relevanten Gesetzen.1. Dokumentation. sondern es müssen die .

[Q: BSI-Standard 100-2] 3. zeitliche und finanzielle Ressourcen zur Verfügung gestellt wurden. Outsourcing) müssen schon in der Planungsphase in das Sicherheitskonzept eingearbeitet werden.sollte regelmäßig untersucht werden: ob die tatsächlich angefallenen Kosten den ursprünglich geplanten Kosten entsprechen oder ob inzwischen ressourcenschonendere Sicherheitsmaßnahmen verfügbar sind und sinnvoll eingesetzt werden können. Beschwerden von Kunden oder Mitarbeitern können ein Indikator für Unzufriedenheit sein.2 Review der Sicherheitsmaßnahmen ISO Bezug: 27001 7. ob ausreichend personelle. nicht bekannt. Bewusstseinsbildung.4. Schulung bzw. Relevante Aspekte: • • • • Die Sinnhaftigkeit von Maßnahmen (Beitrag zum Erreichen von Sicherheitszielen) fällt in das Review der Sicherheitsstrategie Für ihre Umsetzung und Einhaltung ist entscheidend. mangelnde Motivation.wenn auch Kosten für die Informationssicherheit schwer zu ermitteln sind . Wurden Vorgaben nicht eingehalten. unverständlich. die in der Folge eine Gefahr von fahrlässigen oder vorsätzlichen störenden Handlungen heraufbeschwören und jedenfalls die Effizienz mindern. nicht eingehaltene Sicherheitsmaßnahmen liegt in fehlender Akzeptanz seitens der Mitarbeiter/ innen.1. Wirtschaftlichkeit der Sicherheitsstrategie und spezifischer Sicherheitsmaßnahmen . Sie kann nicht erzwungen werden. Klima des Improvisierens). des Sicherheitskonzepts sein.2 Dies ist zur Sicherstellung der Einhaltung von Maßnahmen bei sich laufend ändernde innere wie äußere Rahmenbedingungen notwendig. aber auch Feedbacks von Mitarbeitern/Mitarbeiterinnen. Umzug. Rückmeldungen über Fehler und Schwachstellen in den Prozessen (aus Audits. Der Grund für mangelhaft umgesetzte bzw. so ist zu klären ob es an den Vorgaben (fehlend. nicht eingehaltene Sicherheitsmaßnahmen können Planungsfehler oder gar unrealistische Annahmen oder Elemente der Sicherheitsstrategie bzw. Geschäftspartnern oder Kunden. [Q: BSI-Standard 100-2] 89 . basiert aber oft im Mangel an Information. unklar) oder im Bereich der für die Einhaltung Verantwortlichen liegt (Überlastung. neue Organisationsstruktur. Ein weiterer Hauptgrund für nicht umgesetzte resp.• • • Änderungen innerhalb der eigenen Organisation (neue IT-Systeme.

die Sicherheitsziele abgeändert werden. Ggf. Abläufen auf Grund des Reviews Verfügbarkeit von Ressourcen Schulungs. wenn Sicherheitsziele unter den bisherigen Rahmenbedingungen nicht oder nur umständlich (also mit hohem finanziellen oder personellen Aufwand) erreicht werden können./ Verbesserungspotenzial kann betreffen: • • • • • • • Aktualität der erkannten resp. Unter Umständen ist es sinnvoll. dass sie für die Entscheidungen und die Umsetzung von Maßnahmen geeignet sind. 90 . auf Grund von Veränderungen der eigenen Organisation oder des Umfelds bzw. dass die Sicherheitsziele. akzeptierten Risiken Änderungen von Prozessen.3. Verbesserungen des ISMS. Jedenfalls müssen die Ergebnisse des Management-Reviews so dokumentiert werden. Erfahrungen von Vorfällen. Es kann sich herausstellen.und Awarenessmaßnahmen. der Sicherheitsstrategie. B. schließt sich der Managementkreislauf wieder und es wird erneut mit der Planungsphase begonnen. Änderungs. ob / wann / welche Verbesserungsmaßnahmen umgesetzt werden. Motivationsförderung Aktualisierung von Dokumentationen Verbesserung der Methoden zur Messung der Wirksamkeit von Maßnahmen Schließlich sind im Rahmen des Verbesserungsprozesses Entscheidungen zu treffen. die Sicherheitsstrategie oder das Sicherheitskonzept geändert und die Informationssicherheitsorganisation den Erfordernissen angepasst werden sollten. Wenn solche Veränderungen vorgenommen und Verbesserungen dann umgesetzt werden.3 Ergebnisse sind bewertete Möglichkeiten für Änderungen resp. welche Ressourcen ihnen zugeordnet werden und unter welche Verantwortlichkeiten sie fallen. akzeptierten Risiken Wirksamkeit der erkannten resp. der Sicherheitspolitik und einzelner Sicherheitsmaßnahmen. grundlegende Änderungen an der IT-Umgebung vorzunehmen oder Geschäftsprozesse zu verändern. z.4.2 Management-Review Ergebnis und Auswertung ISO Bezug: 27001 7. müssen.

Der Verbesserungsprozess geschieht nicht losgelöst von den Aktivitäten. der Unterschied liegt in der Sicht auf die behandelten Aspekte und Abläufe (Risikominimierung). Zertifizierung. Vom Prinzip her ist der Verbesserungsprozess im Bereich der Informationssicherheit vergleichbar mit dem Verbesserungsprozess des Qualitätsmanagements (z.[Q: BSI-Standard 100-2] 3.B.4. 8. 3. zum anderen darf er nicht als administrativer Overhead gesehen werden. die vom Management und allen Mitarbeitern/Mitarbeiterinnen getragen und umgesetzt werden.5 Verbesserungsprozess beim ISMS Um das angestrebte und erreichte Sicherheitsniveau dauerhaft zu gewährleisten. 91 . Es handelt sich dabei nicht um eine periodisch wiederkehrende Vorgangsweise. Sicherheitspolitik Sicherheitskonzept Sicherheitsmaßnahmen Abläufe und Verfahren Dokumentation Wissensstand und Awareness bei allen Beteiligten Ein etablierter und dokumentierter Verbesserungsprozess ist zum einen Voraussetzung für Akkreditierung resp. nach ISO 9001). welche seine Grundlage bilden (Interne ISMS Audits sowie Management Review des ISMS).5. sondern vielmehr um die Summe kleinerer Schritte zur Verbesserung.1 Grundlagen für Verbesserungen ISO Bezug: 27001 4.1. müssen alle für die Informationssicherheit relevanten Bereiche einem kontinuierlichen Verbesserungsprozess unterzogen werden: • • • • • • Sicherheitsstrategie. Vorschlägen und externen Informationsquellen.2. 8. sondern soll alle Aktivitäten und die gesamte Organisation durchdringen.2 Verbesserungen basieren auf Erkenntnissen aus eigenen Betriebsabläufen. sondern umfasst vor allem die Umsetzung der dort identifizierten Verbesserungsmaßnahmen.

199] 3. Schulungen. Anpassung an neue Rahmenbedingungen Sicherheitsmaßnahmen: Eliminieren erkannter Schwachstellen.• • • • • • • • Ergebnisse (Berichte. Mitwirkung in Gremien Ein Fokus sollte sich auf die Ursachen für erkannte Abweichungen und Gefährdungen richten. Verbesserung. Protokolle) interner und externer Audits Ergebnisse (Berichte. 8. [Q: BSI M 2. dass Mitarbeitervorschläge ernsthaft behandelt werden. Fachtagungen.2.2 Entscheidungs. darüber hinaus wird die Motivation gestärkt wenn es zur Organisationskultur gehört. Verbesserung bei Anforderungen. Gerade Verbesserungsvorschläge der unmittelbar befassten Mitarbeiter/innen bieten ein oft unterschätztes Verbesserungs. Einsparungspotenzial. Beschwerden Vorschläge von Sicherheitsbeauftragten Vorschläge von Mitarbeitern/Mitarbeiterinnen Erfahrungen anderer vergleichbarer Organisationen Publizierte oder informelle Sicherheitswarnungen Informationen aus Fachpublikationen. Awareness Auswertung: Verbesserungen bei Protokollierung und Protokollauswertung 92 .und Handlungsbedarf ISO Bezug: 27001 8.5.3 Dieser ergibt sich für die Managementebene bei: • • • • • Sicherheitspolitik. Ebenso wertvoll erweisen sich gelebte Kontakte zu Sicherheitsbeauftragten anderer vergleichbarer Organisationen. Sicherheitskonzept: Aktualisierung. Protokolle) des Management-Reviews Dokumentierte Abwicklungen von Reklamationen bzw. Umstellung auf alternative Maßnahmen die effizienter sind.bzw. in der Praxis besser greifen oder weniger Ressourcen benötigen Implementierung: Verbesserung hinsichtlich korrekter Implementierung und Konfiguration Einhaltung: Organisatorische Maßnahmen.

Begleitende Kontrolle. Dabei kommen je nach Ursache in Frage: • • • • Anpassung organisatorischer Maßnahmen und Abläufe. Vornahme von technischen Veränderungen (etwa an Hard.bzw. Im Umsetzungsplan sollen Prioritäten abhängig vom jeweiligen Risiko gesetzt werden. allfällige Abänderungen. Kommunikation der umzusetzenden Maßnahmen und Verbesserungen und Abstimmung mit allen Betroffenen. Erkannte Fehler und Schwachstellen müssen ohne unnötigen Verzug eliminiert werden. Möglichst frühzeitige Prüfung der Wirksamkeit.oder Software bzw. Kommunikationseinrichtungen oder Netzwerken). dass eine Korrekturmaßnahme verworfen wird. Fertigstellung. dass in der Praxis festgestellte Abweichungen zum Sicherheitskonzept und den Anforderungen erneut auftreten. Dokumentation und Information des Managements über Fortschritt. über Schulungs. 93 .und Prüfkriterien: Optimierung der Prozesse. Awarenessprogramme bis hin zu disziplinären Maßnahmen oder Auswechseln von leitenden Personen. um die Wirksamkeit und Einhaltung von Sicherheitsmaßnahmen feststellen zu können Korrekturmaßnahmen: Sie sollen verhindern.inklusive Zeitpunkt und Zuständigkeiten für die Umsetzung. Für jede erkannte Abweichung sollte eine Korrekturmaßnahme vorgeschlagen und darüber entschieden werden .• Mess.auch für den Fall. Es müssen jeweils Entscheidungen der Managementebene erfolgen und dokumentiert werden . Planung von baulichen oder infrastrukturellen Veränderungen. Setzen von personellen Maßnahmen. Umsetzung der Korrekturmaßnahmen: • • • • • • • Alle erforderlichen Korrekturmaßnahmen in einem Umsetzungsplan inkl. Terminen festhalten. In der Folge sind jeweils die Verantwortlichen für die Umsetzung zu benennen und mit den notwendigen Ressourcen auszustatten.

. obwohl noch keine Schwachstellen wirksam geworden sind.5. Ursachen für mögliche Abweichungen von den Anforderungen des ISMS zu eliminieren. . sonst werden sie unwirtschaftlich.oder Risikolage (auf Grund neuer Risikoanalysen. Anforderungen an Vorbeugungsmaßnahmen müssen festgelegt werden. es sind Umsetzungsplan.5. Die Art der Maßnahmen entspricht weitgehend dem unter 3. sondern auch potenzielle Schwachstellen oder Abweichungen untersucht worden sein. bereitzustellende Ressourcen sowie begleitende Kontrolle und Dokumentation notwendig.2 dargestellten Entscheidungs. erfolgte Umsetzung von Konzeptänderungen oder Maßnahmen zwecks Korrektur und/oder Vorbeugung ist wiederum Gegenstand des ständigen Verbesserungsprozesses.h. bevor sie auftreten. benannte Verantwortliche. Sicherheitswarnungen.Vorbeugende Verbesserungsmaßnahmen: Diese werden auf Grund der Informationslage gemäß 3. D. womit sich der Zyklus schließt.) Ergebnisse von Tests Durchführung von Disaster Recovery Übungen Übungen zur Datenrekonstruktion heranzuziehen.und Handlungsbedarf. Ziel ist es.1 Grundlagen für Verbesserungen festgelegt. Dazu sind insbesondere auch Ergebnisse von: • • • • Geänderter Gefährdungs. Dabei ist wesentlich: • • • • • Die zu setzenden Maßnahmen müssen in Relation zu den möglichen Auswirkungen des erkannten Problempotenzials stehen.. Allerdings müssen zuvor nicht nur tatsächlich festgestellte. Managemententscheidungen. Ihre Umsetzung entspricht sinngemäß der für Korrekturmaßnahmen.199] 94 . [Q: BSI M 2. Die laufende bzw. Daher sind sie in vielen Fällen wirtschaftlicher als Korrekturmaßnahmen.

Das nachfolgende Kapitel beschreibt die drei heute meist verbreiteten Strategien zur Risikoanalyse . diese Risiken zu erkennen und zu bewerten und so das Gesamtrisiko zu ermitteln.1 Es ist empfehlenswert.detaillierte Risikoanalyse. in weiterer Folge dieses Risiko so weit zu reduzieren. eine Strategie zur Risikoanalyse festzulegen. wie die Ziele der Risikoanalyse . In einer Risikoanalyse wird versucht. Mögliche Risikoanalysestrategien sind: • Detaillierte Risikoanalyse: Für alle IT-Systeme wird eine detaillierte Risikoanalyse durchgeführt. Grundschutzansatz und kombinierter Ansatz . Ziel ist es.4 Risikoanalyse Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 4 ff " Risikobewertung und behandlung ".und stellt ihre Vor.Erkennen und Bewerten von Einzelrisiken und Gesamtrisiko erreicht werden sollen.1 Risikoanalysestrategien ISO Bezug: 27002 4. dass das verbleibende Restrisiko quantifizierbar und akzeptierbar wird.und Nachteile und ihre typischen Einsatzbereiche gegenüber. Eine wesentliche Voraussetzung für erfolgreiches Informationssicherheitsmanagement ist die Einschätzung der bestehenden Sicherheitsrisiken. so dass neben hohen Kosten auch die Gefahr besteht. Diese sollte für die gesamte Organisation gültig sein und festlegen. Grundschutzansatz: • 95 . Diese Methode führt zu effektiven und angemessenen Sicherheitsmaßnahmen. 4. benötigt jedoch viel Zeit und Aufwand. dass für kritische Systeme nicht schnell genug Schutzmaßnahmen ergriffen werden können.

Eine detaillierte Risikoanalyse umfasst die folgenden Schritte: 96 . 4. Grundschutzmaßnahmen ( Baseline Security Controls ) zum Einsatz.1 Eine detaillierte Risikoanalyse für ein IT-System umfasst die Identifikation der bestehenden Risiken sowie eine Abschätzung ihrer Größe. der zumindest im Bereich von Wochen.• Unabhängig vom tatsächlichen Schutzbedarf wird für alle IT-Systeme von einer pauschalisierten Gefährdungslage ausgegangen. Dazu werden die Werte (Assets). IT-Systeme der Schutzbedarfskategorie "hoch bis sehr hoch" sind einer detaillierten Risikoanalyse zu unterziehen. Dies erlaubt eine schnelle und effektive Auswahl von grundlegenden Sicherheitsmaßnahmen bei gleichzeitiger Gewährleistung eines angemessenen Schutzniveaus. dass der Grundschutzlevel für das betrachtete IT-System möglicherweise nicht angemessen sein könnte. Durch den Verzicht auf eine detaillierte Risikoanalyse spart diese Vorgehensweise Ressourcen und führt schnell zu einem relativ hohen Niveau an Sicherheit. Kombinierter Ansatz: In einem ersten Schritt wird in einer Schutzbedarfsfeststellung ( High Level Risk Analysis ) der Schutzbedarf für die einzelnen IT-Systeme ermittelt. da alle IT-Systeme mit hohem Schutzbedarf wirksam und angemessen geschützt werden. Für ITSysteme der Schutzbedarfskategorie "niedrig bis mittel" wird auf eine detaillierte Risikoanalyse verzichtet. Sie wird in den meisten Einsatzumgebungen die empfehlenswerte Strategie zur Risikoanalyse darstellen. Die erstmalige Durchführung einer detaillierten Risikoanalyse und die anschließende Erstellung eines Sicherheitskonzeptes erfordern einen Aufwand. Im Folgenden werden die drei angeführten Risikoanalysestrategien näher erläutert. möglicherweise auch von Monaten liegt. Als Sicherheitsmaßnahmen kommen sog.und des Risikoanalyseansatzes. Diese Option kombiniert die Vorteile des Grundschutz. Bedrohungen und Schwachstellen identifiziert und die daraus resultierenden Risiken ermittelt. und Maßnahmen für die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewählt werden können. auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden.2 Detaillierte Risikoanalyse ISO Bezug: 27002 4. Der Nachteil liegt darin.

Hard. Die Bedrohungsanalyse umfasst: • • die Identifikation möglicher Bedrohungen (Katastrophen.) die Ermittlung der Eintrittswahrscheinlichkeiten Schritt 5: Schwachstellenanalyse Eine Bedrohung kann nur durch die Ausnutzung einer vorhandenen Schwachstelle wirksam werden. Zu untersuchen sind dabei insbesondere die Bereiche Organisation. assets) Ziel dieses Schrittes ist die Erfassung aller bedrohten Objekte.. mögliche Schwachstellen des Systems zu identifizieren und ihre Bedeutung zu klassifizieren. Schritt 3: Wertanalyse (Impact Analyse) In diesem Schritt wird der Wert der bedrohten Objekte ermittelt. . Außenstehende. die sowohl aus Nachlässigkeit und Versehen als auch aus Absicht resultieren können. Die Wertanalyse umfasst im Einzelnen: • • • • die Festlegung der Bewertungsbasis für Sachwerte die Festlegung der Bewertungsbasis für immaterielle Werte die Ermittlung der Abhängigkeiten zwischen den Objekten die Bewertung der bedrohten Objekte und der möglichen Schäden (Impact Analyse) Schritt 4: Bedrohungsanalyse Die Objekte sind vielfachen Bedrohungen ausgesetzt. ob und in welchem Maße auch andere Objekte (z. Personal sowie Infrastruktur.Schritt 1: Abgrenzung des Analysebereiches Hier sind die zu analysierenden IT-Systeme zu spezifizieren und anzugeben. Schritt 2: Identifikation der bedrohten Objekte (Werte.B. Leasingpersonal. Fehlbedienung. bewusste Angriffe) und möglicher Angreifer/innen (Mitarbeiter/innen.und Software. Es ist daher erforderlich.. die innerhalb des im vorangegangenen Schritt festgesetzten Analysebereiches liegen. 97 . Gebäude und Infrastruktur) in die Analyse einbezogen werden sollen.

2. Alle Bewertungen müssen begründet werden. Ein derartiges Vorgehen erleichtert auch eine spätere Überarbeitung des Informationssicherheits-Konzeptes.B. dass alle der im Folgenden angeführten Schritte durchgeführt werden und die geforderten Ergebnisse liefern. Geplante neue Sicherheitsmaßnahmen müssen mit den existierenden kompatibel sein und eine wirtschaftlich und technisch sinnvolle Ergänzung darstellen.1 98 . 4.Schritt 6: Identifikation bestehender Sicherheitsmaßnahmen Zur Vermeidung unnötiger Aufwände und Kosten sind die bereits existierenden Sicherheitsmaßnahmen zu erfassen und auf ihre Auswirkungen hinsichtlich der Gesamtsystemsicherheit sowie auf korrekte Funktion zu prüfen. In der Folge werden die einzelnen Schritte einer Risikoanalyse detailliert behandelt. dazu führen. Es dürfen keine versteckten Annahmen gemacht werden. dass Bedrohungen unbetrachtet bleiben. Schritt 8: Auswertung und Aufbereitung der Ergebnisse Eine Auswertung und Aufbereitung des Ergebnisses schließt die Risikoanalyse ab. Das vorliegende Handbuch gibt Hinweise und Unterstützung zur Durchführung dieser Schritte. Bei der Durchführung einer Risikoanalyse sind folgende Prinzipien zu beachten: • • • • • Das gesamte Verfahren muss transparent gemacht werden.1 Abgrenzung des Analysebereiches ISO Bezug: 27002 4. Alle Schritte müssen so dokumentiert werden. um subjektive Einflüsse zu erkennen und so weit wie möglich zu vermeiden. Schritt 7: Risikobewertung In diesem Schritt werden die Einzelrisiken und das Gesamtrisiko ermittelt und bewertet. dass sie später auch für andere nachvollziehbar sind. die z. Der Aufwand für die Durchführung des Verfahrens sollte dem Wert der ITAnwendungen und den Werten der Institution im Allgemeinen angemessen sein. Wichtig ist. Die Wahl einer konkreten Risikoanalysemethode sowie ein etwaiger Einsatz von Tools zur Unterstützung dieser Analyse bleiben der durchführenden Institution überlassen.

) für den Betrieb eines IT-Systems oder die Abhängigkeit der Software von unversehrter und verfügbarer Hardware. 4.2. die innerhalb des festgestellten Analysebereiches liegen.2 Identifikation der bedrohten Objekte (Werte. Information Personen Fähigkeiten: etwa Herstellen eines Produktes oder Erbringen einer Dienstleistung immaterielle Güter: beispielsweise Image. Klimaanlage. Fähigkeiten und Leistungen einbezogen werden sollen. Beispiele dafür sind etwa die Erfordernis einer funktionsfähigen Infrastruktur (Stromversorgung. zu erfassen. Software und Daten des betrachteten IT-Systems beschränkt oder ob und in welchem Ausmaß andere Werte wie Gebäude und Infrastruktur. von denen der Betrieb des ITSystems und seine Anwendungen und damit die Funktionsfähigkeit der Organisation abhängen. Die Vertraulichkeit. Datenträger. Infrastruktur. Personen.Vor Beginn einer Risikoanalyse ist es erforderlich. was für diese schutzbedürftig ist. assets) ISO Bezug: 27002 4.1 In diesem Schritt sind alle bedrohten Objekte ( assets ). immaterielle Güter. ob sich die Analyse auf Hardware.. Vertrauen in die Institution oder gute Beziehungen zu anderen Organisationen Zwischen den bedrohten Objekten bestehen grundsätzlich komplexe Abhängigkeiten. also alle Objekte. Daten. Dazu zählen etwa: • • • • • physische Objekte: beispielsweise Gebäude. Unter den bedrohten Objekten einer Organisation ist alles zu verstehen. Dabei ist anzugeben. 99 . Integrität oder Verfügbarkeit eines Objektes setzt vielfach die Vertraulichkeit. den zu analysierenden Bereich genau abzugrenzen. Hardware.. . Paperware logische Objekte: beispielsweise Software. Integrität oder Verfügbarkeit eines anderen Objektes voraus.

3 Wertanalyse (Impact Analyse) ISO Bezug: 27002 4. der sich aus dem Verlust oder der Modifikation eines zu schützenden Objektes für die betroffene Organisation ergibt. dem Wiederbeschaffungswert eines Objektes. in welcher Tiefe und in welchem Detaillierungsgrad die einzelnen Objekte analysiert werden sollen. dem Wert. in vielen Fällen wird eine Zusammenfassung in Gruppen sinnvoll sein und beitragen. ob die Bewertung quantitativ oder qualitativ erfolgen soll.1 Zunächst ist zu entscheiden.Die Identifizierung der bedrohten Objekte sowie ihre nachfolgende Bewertung stellen wesentliche Voraussetzungen für ein erfolgreiches Informationssicherheitsmanagement dar. 4. den das Objekt für eine/n potentielle/n Angreifer/in hätte. Die Wertanalyse umfasst im Einzelnen: • • • • die Festlegung der Bewertungsbasis für Sachwerte die Festlegung der Bewertungsbasis für immaterielle Werte die Ermittlung der Abhängigkeiten zwischen den Objekten die Bewertung der bedrohten Objekte und der möglichen Schäden 4. 100 . Dabei ist es den Erfordernissen im Einzelfall anzupassen. Eine quantitative Bewertung kann etwa beruhen auf • • • • dem Zeitwert eines Objektes. den Analyseaufwand zu begrenzen.2.2.1 In diesem Schritt wird der Wert der im vorangegangenen Schritt identifizierten Objekte ermittelt.3.1 Festlegung der Bewertungsbasis für Sachwerte ISO Bezug: 27002 4. oder dem Schaden.

101 . dass die potentiellen Schäden den eigentlichen (Zeit. was die einzelnen Klassen bedeuten bzw. wie sie definiert sind. Beispiele hierfür sind etwa: • • 3-stufige Bewertung: gering .1 Auch für immaterielle Werte. die zu ihrer Verarbeitung bzw.B.1 Es ist wichtig. Eine quantitative Bewertung kann in diesem Fall beruhen auf • • dem Wert. da diese Einfluss auf die Bewertung der einzelnen zu schützenden Objekte haben kann. wie etwa Bewahrung des guten Rufes oder Gewährleistung der Vertraulichkeit. kann eine quantitative oder eine qualitative Bewertungsbasis festgelegt werden.Eine qualitative Bewertung erfolgt durch Einteilung in Klassen. auch die gegenseitige Abhängigkeit von Objekten festzustellen. Es ist zu beachten.oder Wiederbeschaffungs-)Wert beträchtlich übersteigen können.hoch 5-stufige Bewertung: unbedeutend . So ist etwa die Funktionsfähigkeit der Hardware abhängig von der Funktionsfähigkeit der Stromversorgung und eventuell der Klimaanlage.und Software. 4.3.2. Speicherung eingesetzt wird.mittel .2 Festlegung der Bewertungsbasis für immaterielle Werte ISO Bezug: 27002 4. 4. oder dem Schaden.3. den das Objekt für einen potentiellen Angreifer hätte (z.3 Ermittlung der Abhängigkeiten zwischen den Objekten ISO Bezug: 27002 4.sehr hoch Als Basis für eine qualitative Bewertung ist festzulegen.mittel .hoch . der sich aus einem Angriff auf das zu schützende Objekt für die betroffene Organisation ergibt.gering .2. Die Integrität von Information bedingt die Integrität und Verfügbarkeit der Hard. vertrauliche Information).

Einkauf. 4.3. etwa Finanzen. Im Rahmen der Risikoanalyse müssen diese identifiziert werden. im Rahmen der Analyse möglichst genaue Bewertungsbasen und Regeln vorzugeben und diese eventuell durch Beispiele zu illustrieren sowie möglichst viele unterschiedliche Personen nach ihrer Einschätzung zu befragen.. weiters ist ihre Schwere und Eintrittswahrscheinlichkeit abzuschätzen. kommen.2. Die Bewertung sollte durch die Applikations-/Projektverantwortlichen sowie die betroffenen Benutzer/innen vorgenommen werden.1 Lt. . erstellt eine Liste der zu bewertenden Objekte und gibt die Bewertungsbasen vor.4 Bewertung der bedrohten Objekte ISO Bezug: 27002 4. Die zu schützenden Objekte sind vielfältigen Bedrohungen ausgesetzt.4. Es ist Aufgabe derjenigen Person.1 Mit Ausnahme der Festsetzung von Zeit.. [ISO/IEC 13335] ist eine Bedrohung ein "möglicher Anlass für ein unerwünschtes Ereignis. die die Risikoanalyse durchführt. Durchführung: • • • • Die Person. Es ist daher notwendig. das zu einem Schaden für das System oder die Organisation führen kann". Unterstützung in der Bewertung kann von verschiedenen Abteilungen.4 Bedrohungsanalyse ISO Bezug: 27002 4.2. IT. die die Risikoanalyse durchführt. die einzelnen Bewertungen auf Plausibilität und Konsistenz zu prüfen und ein konsolidiertes Ergebnis zu erarbeiten.oder Wiederbeschaffungswert wird die Bewertung von bedrohten Objekten in der Regel sehr subjektiv sein. Ergebnis der Wertanalyse: Aufstellung der bedrohten Objekte und ihres Wertes für die Organisation. Bedrohungen sind charakterisiert durch: 102 .

die Größe des Schadens.4. fehlende Auswertung von Protokolldaten. aber auch Geltungssucht oder erhoffte Publicity sein.1 Bedrohungen werden nach Kategorien unterteilt: • • • • • Höhere Gewalt (etwa Blitzschlag.. die für die Einschätzung hilfreich sein können. die Häufigkeit des Auftretens. Feuer. Im Falle absichtlicher Bedrohungen ist zwischen Innentätern und Außentätern zu unterscheiden. der durch diese Bedrohung verursacht werden kann. Nichtbeachtung von Sicherheitsmaßnahmen) Technisches Versagen (etwa Ausfall von Versorgungs.) liegen statistische Daten vor. Wettbewerbsvorteile. defekte Datenträger) Vorsätzliche Handlungen 103 . wobei letztere wieder in absichtliche oder zufällige Bedrohungen zu unterteilen sind. Für einige umweltbedingte Bedrohungen (etwa Erdbeben. Die Bedrohungsanalyse umfasst im Einzelnen: • • die Identifikation möglicher Bedrohungen die Ermittlung der Eintrittswahrscheinlichkeiten 4.. die Motivation: Motivation für (absichtliche) Bedrohungen können etwa finanzielle Gründe.und Sicherheitseinrichtungen. Rache. Personalausfall) Organisatorische Mängel (etwa fehlende oder unzureichende Regelungen für Wartung.1 Identifikation möglicher Bedrohungen ISO Bezug: 27002 4. Dokumentation. Blitzschlag. fahrlässige Zerstörung von Geräten oder Daten.2. Test und Freigabe. Softwarefehler. mangelhafte Kennzeichnung von Datenträgern) Menschliche Fehlhandlungen (etwa fehlerhafte Systemnutzung oder -administration. .• • • • ihren Ursprung: Bedrohungen durch die Umwelt oder durch den Menschen. Erdbeben.

Es ist daher immer erforderlich. seiner Komponenten. dass keine derartige Liste vollständig sein kann. Statistiken. 4. wie beispielsweise: 104 . trojanische Pferde. alle wesentlichen Bedrohungen zu erfassen. Es ist jedoch zu betonen. die den Charakter von Checklisten haben. über Bedrohungskataloge hinaus auch die Möglichkeit weiterer Bedrohungen in Betracht zu ziehen. Auch die Eintrittswahrscheinlichkeit kann quantitativ oder qualitativ bewertet werden. und darüber hinaus auch Bedrohungen einem ständigen Wandel und einer ständigen Weiterentwicklung unterworfen sind. die ihrerseits eine Kombination aus Bedrohungen und Schwachstellen darstellen. Umweltfaktoren und organisationsspezifischen Einflüssen.(etwa Manipulation/Zerstörung von Geräten.). . Da eine quantitative Bewertung in vielen Fällen eine Genauigkeit vortäuschen könnte. mit welcher Wahrscheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird. In den IT-Grundschutzkatalogen des BSI gibt es eine umfangreiche Sammlung von so genannten "Gefährdungen". der Motivation und den vorausgesetzten Fähigkeiten und Ressourcen einer/ eines potentiellen Angreiferin/Angreifers. Nichtanerkennen einer Nachricht.1 In diesem Schritt der Risikoanalyse ist zu bestimmen.2. Diese ist abhängig von: • • • • der Häufigkeit der Bedrohung (Wahrscheinlichkeit des Auftretens anhand von Erfahrungen.2 Bewertung möglicher Bedrohungen ISO Bezug: 27002 4. Wiedereinspielen von Nachrichten. ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen. Viren. Abhören. Bewährt haben sich hier etwa drei. Manipulation an Daten oder Software. und in [ISO/IEC 27005].. Bei der Identifikation von möglichen Bedrohungen können Bedrohungskataloge hilfreich sein.bis fünfteilige Skalen. da andernfalls Sicherheitslücken bestehen bleiben können. die durch die ungenaue Methode der Schätzung nicht zu rechtfertigen ist. Maskerade) Es ist wichtig. Solche Kataloge finden sich etwa in [BSI 7105]. Einschätzung der Attraktivität und Verwundbarkeit des IT-Systems bzw..4.

4: sehr häufig 3: häufig 2: mittel 1: selten 0: sehr selten Diese allgemeinen Bedeutungen der Skalenwerte sind für den spezifischen Anwendungsbereich zu konkretisieren. der von ihnen bedrohten Objekte. 4.1 Unter einer Schwachstelle ( vulnerability ) versteht man eine Sicherheitsschwäche eines oder mehrerer Objekte.und Implementierungsfehler schwache Passwortmechanismen unzureichende Ausbildung.2.5 Schwachstellenanalyse ISO Bezug: 27002 4. und ihrer Eintrittswahrscheinlichkeiten. Typische Beispiele für Schwachstellen sind etwa: • • • • • • • Mangelnder baulicher Schutz von Räumen mit IT-Einrichtungen Nachlässige Handhabung von Zutrittskontrollen Spannungs. die durch eine Bedrohung ausgenützt werden kann. Beispiel: 4: einmal pro Minute 3: einmal pro Stunde 2: einmal pro Tag 1: einmal pro Monat 0: einmal im Jahr Ergebnis der Bedrohungsanalyse: Liste von Bedrohungen.oder Temperaturschwankungen bei Hardwarekomponenten kompromittierende Abstrahlung Spezifikations. mangelndes Sicherheitsbewusstsein 105 .

Eine Schwachstelle selbst verursacht noch keinen Schaden, sie ist aber die Voraussetzung, die es einer Bedrohung ermöglicht, wirksam zu werden und damit ein IT-System zu beeinträchtigen. Auf Schwachstellen, für die eine korrespondierende Bedrohung existiert, sollte daher sofort reagiert werden. Eine Schwachstellenanalyse ist die Überprüfung von Sicherheitsschwächen, die durch festgestellte Bedrohungen ausgenutzt werden können. Diese Analyse muss sowohl das Umfeld als auch bereits vorhandene Schutzmaßnahmen mit einbeziehen. Es ist wichtig, jede Schwachstelle daraufhin zu bewerten, wie leicht es ist, sie auszunutzen. Beispielhafte Auflistungen von Schwachstellen, die auf typische Problembereiche hinweisen, finden sich etwa in [ISO/IEC 27005], Annex D sowie in [BSI 7105].

Ergebnis der Schwachstellenanalyse:
Liste von potentiellen Schwachstellen mit Angaben darüber, wie leicht diese für einen Angriff ausgenützt werden können.

4.2.6 Identifikation bestehender Sicherheitsmaßnahmen
ISO Bezug: 27002 4.1

Sicherheitsmaßnahmen sind Verfahrensweisen, Prozeduren und Mechanismen, die eine oder mehrere der nachfolgenden Funktionen erfüllen:

• • • • • •

Vermeidung von Risiken, Verkleinerung von Bedrohungen oder Schwachstellen, Entdeckung unerwünschter Ereignisse, Eingrenzung der Auswirkungen eines unerwünschten Ereignisses, Überwälzung von Risiken oder Wiederherstellung eines früheren Zustandes.

Wirksame IT-Sicherheit verlangt im Allgemeinen eine Kombination von verschiedenen Typen von Maßnahmen.

106

Da die Sicherheitsmaßnahmen, die aufgrund einer Risikoanalyse ausgewählt werden, in der Regel zusätzlich zu bereits bestehenden Maßnahmen eingeführt werden sollen, ist es notwendig, alle bereits existierenden oder geplanten Sicherheitsmaßnahmen zu identifizieren und ihre Auswirkungen zu überprüfen, um unnötigen Aufwand zu vermeiden. Stellt sich heraus, dass eine bereits existierende oder geplante Maßnahme ihren Anforderungen nicht gerecht wird, so ist zu prüfen, ob sie ersatzlos entfernt, durch andere Maßnahmen ersetzt oder aus Kostengründen belassen werden soll. Im Rahmen dieses Schrittes sollte auch geprüft werden, ob die bereits existierenden Sicherheitsmaßnahmen korrekt zum Einsatz kommen. Falsch oder unvollständig eingesetzte Sicherheitsmaßnahmen stellen eine zusätzliche potentielle Schwachstelle eines Systems dar.

Ergebnis:
Aufstellung aller bereits existierenden oder geplanten Sicherheitsmaßnahmen mit Angaben über ihren Implementierungsstatus und ihren Einsatz.

4.2.7 Risikobewertung
ISO Bezug: 27002 4.1

Ein Risiko ist die Möglichkeit, dass eine Bedrohung unter Ausnutzung einer Schwachstelle Schaden an einem Objekt oder den Verlust eines Objektes und damit direkt oder indirekt einen Schaden verursacht. Ziel dieses Schrittes ist es, die Risiken, denen ein IT-System und seine Objekte ausgesetzt sind, zu erkennen und zu bewerten, um auf dieser Basis geeignete und angemessene Sicherheitsmaßnahmen auswählen zu können. Risiken sind eine Funktion folgender Parameter:

• • • •

Wert der bedrohten Objekte (Schadensausmaß), Möglichkeit, eine Schwachstelle durch eine Bedrohung auszunutzen, Eintrittswahrscheinlichkeit einer Bedrohung, bereits existierende oder geplante Sicherheitsmaßnahmen, die dieses Risiko reduzieren könnten. 107

Wie diese Größen miteinander verknüpft werden, um die Höhe der Einzelrisiken und des Gesamtrisikos zu bestimmen, ist abhängig von der gewählten Risikoanalysemethode. Wieder können quantitative oder qualitative Bewertungen vorgenommen oder aber beide Möglichkeiten kombiniert werden. [ISO/IEC 27005] gibt im Anhang vier Beispiele für Methoden zur Risikobewertung. Es ist zu beachten, dass jegliche Änderung an Werten, Bedrohungen, Schwachstellen oder Sicherheitsmaßnahmen bedeutenden Einfluss auf die Einzelrisiken und auf das Gesamtrisiko haben kann.

Ergebnis:
Quantitative oder qualitative Bewertung von Einzelrisiken und Gesamtrisiko für den betrachteten Analysebereich.

4.2.8 Auswertung und Aufbereitung der Ergebnisse
ISO Bezug: 27002 4.1

Der adäquaten Aufbereitung, Auswertung und Interpretation der Ergebnisse einer Risikoanalyse kommt wachsende Bedeutung zu. Da die Risikoanalyse auch als Grundlage für weitreichende weiterführende Entscheidungen dient, ist auf eine klare Darstellung der Situation sowie eine umfassende Ergebnisdarstellung zu achten. Hilfreich dabei sind graphische und tabellarische Darstellungen.

4.3 Grundschutzansatz
ISO Bezug: 27002 4.1, 4.2

Die im Rahmen dieses Handbuchs empfohlene Vorgehensweise zur Grundschutzanalyse folgt im Wesentlichen den Vorgaben zum IT-Grundschutz des BSI. In diesem Kapitel wird eine kurze Zusammenfassung des Verfahrens, angepasst an die Erfordernisse der öffentlichen Verwaltung in Österreich, gegeben. Details zum Verfahren finden sich im BSI-Standard 100-2 sowie den BSI-Katalogen zu Gefährdungen und Sicherheitsmaßnahmen. 108

4.3.1 Die Idee des IT-Grundschutzes
ISO Bezug: 27002 4.1, 4.2

Ziel des Grundschutzansatzes ist es, den Aufwand für die Erstellung eines Informationssicherheits-Konzeptes angemessen zu begrenzen. Dies wird dadurch erreicht, dass von einer pauschalisierten Gefährdungslage ausgegangen und damit auf eine detaillierte Risikoanalyse verzichtet wird. Die Auswahl der zu realisierenden Sicherheitsmaßnahmen erfolgt auf der Basis vorgegebener Kataloge. Die Vorteile dieser Vorgehensweise sind:

• •

Der Aufwand für die Risikoanalyse wird stark reduziert. Der Einsatz von Grundschutzmaßnahmen führt schnell zu einem relativ hohen Niveau an Sicherheit gegen die häufigsten Bedrohungen.

Zudem sind Grundschutzmaßnahmen meist stark verbreitet und damit relativ kostengünstig und schnell zu implementieren. Dem stehen folgende Nachteile gegenüber:

• •

Der Grundschutzlevel kann für das betrachtete System zu hoch oder zu niedrig sein. Ist er zu hoch, werden unnötige finanzielle und personelle Ressourcen verbraucht, ist er zu niedrig, bleiben unter Umständen untragbare Risiken bestehen. Aufgrund der fehlenden detaillierten Risikoanalyse kann unter Umständen eine angemessene Reaktion auf sicherheitsrelevante Hard- oder Softwareänderungen schwierig sein.

Die Wahl eines Grundschutzansatzes wird daher in folgenden Fällen empfohlen:

• •

Wenn feststeht, dass im betrachteten Bereich nur IT-Systeme mit niedrigem oder mittlerem ("normalem") Schutzbedarf zum Einsatz kommen. Falls in einem Bereich (IT-System, Abteilung, ...) noch keine oder offensichtlich zu schwache Sicherheitsmaßnahmen vorhanden sind, kann die Realisierung von Grundschutzmaßnahmen dazu beitragen, rasch ein relativ gutes Niveau an IT-Sicherheit zu erreichen. In diesem Fall sollte aber in einem nachfolgenden Schritt geprüft werden, ob das erreichte Niveau bereits ausreichend ist oder weitere Analysen und Maßnahmen erforderlich sind. 109

Als Teil eines umfassenden Risikoanalysekonzeptes ("kombinierter Ansatz"): Wird zunächst in einem ersten Schritt festgestellt, welche IT-Systeme besonders schutzbedürftig sind ("Schutzbedarfsfeststellung"), so besteht die Möglichkeit, den Arbeitsaufwand für die Risikoanalyse und die Auswahl spezifischer Sicherheitsmaßnahmen auf diese hochschutzbedürftigen Systeme zu konzentrieren. Für alle anderen Systeme können Grundschutzmaßnahmen eingesetzt werden, ohne damit unangemessene Sicherheitsrisiken einzugehen. Details dazu s. Kapitel Kombinierter Ansatz.

4.3.2 Grundschutzanalyse und Auswahl von Maßnahmen
ISO Bezug: 27002 4.1, 4.2

Im Folgenden wird ein reiner Grundschutzansatz beschrieben, d.h. es wird davon ausgegangen, dass entweder bereits eine Schutzbedarfsfeststellung erfolgt ist und damit die IT-Systeme identifiziert sind, für die der IT-Grundschutz zu konzipieren ist, oder dass bewusst (zunächst) ein reiner Grundschutzansatz gewählt wird. Ein kombinierter Ansatz und die Stellung des IT-Grundschutzes in einem solchen werden im nachfolgenden Kapitel beschrieben. Eine Grundschutzanalyse besteht im Wesentlichen aus den folgenden beiden Teilschritten: Schritt 1: Nachbildung eines IT-Systems oder eines IT-Verbundes (Kombination mehrerer IT-Systeme) durch vorhandene Bausteine ("Modellierung") Schritt 2: Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen

4.3.2.1 Modellierung
ISO Bezug: 27002 4.1, 4.2

Die Modellierung eines IT-Systems oder eines IT-Verbundes ist abhängig vom zugrunde liegenden Baustein- und Maßnahmenkatalog, da versucht werden muss, das System durch die vorhandenen Bausteine möglichst genau nachzubilden. Eine der umfassendsten und ausgereiftesten Sammlungen von Bausteinen und Maßnahmen stellen die Grundschutz-Standards und -Kataloge des BSI dar ( [BSI GSHB]). Anhand dieses Werkes soll nachfolgend die Modellierung eines ITVerbundes beschrieben werden. 110

Zentrale Aufgabe des Schrittes "Modellierung" ist es, den betrachteten IT-Verbund mit Hilfe der vorhandenen Bausteine des IT-Grundschutzes nachzubilden. Als Ergebnis wird ein Modell des IT-Verbundes erstellt, das aus verschiedenen, ggf. auch mehrfach verwendeten Bausteinen des Handbuchs besteht und eine Abbildung zwischen den Bausteinen und den sicherheitsrelevanten Aspekten des IT-Verbundes beinhaltet. Um die Abbildung eines im Allgemeinen komplexen IT-Verbunds auf die Bausteine des Handbuchs zu erleichtern, bietet es sich an, die Sicherheitsaspekte gruppiert nach bestimmten Themen zu betrachten.

Abbildung 1: Schichten des IT-Grundschutzmodells nach BSI Grundschutz Die Sicherheitsaspekte eines IT-Verbunds werden wie folgt den einzelnen Schichten zugeordnet:

• •

Schicht 1 umfasst sämtliche übergreifenden Sicherheitsaspekte, die für sämtliche oder große Teile des IT-Verbunds gleichermaßen gelten. Dies betrifft insbesondere übergreifende Konzepte und die daraus abgeleiteten Regelungen.Typische Bausteine der Schicht 1 sind unter anderem Informationssicherheitsmanagement, Organisation, Datensicherungskonzept und Computer-Virenschutzkonzept. Schicht 2 befasst sich mit den baulich-technischen Gegebenheiten, in der Aspekte der infrastrukturellen Sicherheit zusammengeführt werden. Dies betrifft insbesondere die Bausteine Gebäude, Räume, Schutzschränke und häuslicher Arbeitsplatz. Schicht 3 betrifft die einzelnen IT-Systeme des IT-Verbunds, die ggf. in Gruppen zusammengefasst wurden. Hier werden die Sicherheitsaspekte sowohl von Clients als auch von Servern, aber auch von Stand-alone-Systemen behandelt. In die Schicht 3 fallen damit beispielsweise die Bausteine Unix-System, Tragbarer PC, Windows NT Netz und TK-Anlage. 111

• •

Schicht 4 betrachtet die Kommunikations- und Vernetzungsaspekte der ITSysteme, wie etwa die Bausteine Netz- und Systemmanagement und Firewalls. Schicht 5 schließlich beschäftigt sich mit den eigentlichen IT-Anwendungen, die im IT-Verbund genutzt werden. In dieser Schicht können unter anderem die Bausteine E-Mail, WWW-Server, Faxserver und Datenbanken zur Modellierung verwendet werden.

Die in diesem Schritt zu leistende Aufgabe besteht darin, das reale IT-System durch die vorhandenen Bausteine möglichst genau nachzubilden. Abschließend sollte überprüft werden, ob die Modellierung des Gesamtsystems vollständig ist und keine Lücken aufweist. Es wird empfohlen, hierzu den Netzplan oder eine vergleichbare Übersicht über den IT-Verbund heranzuziehen und die einzelnen Komponenten systematisch durchzugehen. Jede Komponente sollte entweder einer Gruppe zugeordnet oder einzeln modelliert worden sein. Wichtig ist, dass nicht nur alle Hard- und Software-Komponenten in technischer Hinsicht nachgebildet sind, sondern dass auch die zugehörigen organisatorischen, personellen und infrastrukturellen Aspekte vollständig abgedeckt sind.

4.3.2.2 Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen
ISO Bezug: 27002 4.1, 4.2

Im zweiten Schritt der Grundschutzanalyse wird die Modellierung nach IT-Grundschutz als Prüfplan verwendet, um festzustellen, welche Standardsicherheitsmaßnahmen bereits umgesetzt wurden, bzw. welche nicht oder unzureichend umgesetzt wurden. Das SOLL besteht aus den in den einzelnen Bausteinen empfohlenen Maßnahmen. Der Vergleich mit den vorhandenen Maßnahmen ergibt als Resultat die Maßnahmen, die es noch für den IT-Grundschutz umzusetzen gilt. Der eigentliche Soll-Ist-Vergleich soll mittels Interviews und stichprobenartiger Kontrollen durchgeführt werden.

4.3.3 Vorgehen bei Abweichungen
ISO Bezug: 27002 4.1, 4.2

112

Für die Errichtung eines IT-Grundschutzes sollten zwar prinzipiell alle im Baustein vorgeschlagenen IT-Grundschutzmaßnahmen umgesetzt werden, es besteht jedoch die Möglichkeit, dass bei bestimmten Einsatzumgebungen empfohlene Grundschutzmaßnahmen nicht umgesetzt werden können oder sollten. Diese Abweichung von der Empfehlung ist dann zu dokumentieren und zu begründen. An dieser Stelle sollten auch eventuell vorhandene über den IT-Grundschutz hinausgehende IT-Sicherheitsmaßnahmen herausgearbeitet und dokumentiert werden.

4.3.4 Dokumentation der Ergebnisse
ISO Bezug: 27002 4.1, 4.2

Aus der beschriebenen Vorgehensweise soll als Ergebnis eine Liste von Maßnahmen, die es für die Erreichung des IT-Grundschutzes noch umzusetzen gilt. Zu jeder Maßnahme sollten

• • • •

der Umsetzungsgrad (ja/teilweise/nein/entbehrlich) sowie, soweit zu diesem Zeitpunkt bereits möglich, die Verantwortlichkeiten für die Umsetzung der Zeitpunkt für die Umsetzung und eine Kostenschätzung

angegeben werden. Für die Durchführung einer Grundschutzanalyse in einer komplexen Einsatzumgebung empfiehlt sich der Einsatz eines Tools. Bekanntestes Beispiel ist das im Auftrag des BSI entwickelte "IT-Grundschutz-Tool". Hierdurch ergeben sich komfortable Möglichkeiten zur Auswertung und Revision der Ergebnisse, beispielsweise die Suche nach bestimmten Einträgen, der Generierung benutzerdefinierter Reports sowie Statistikfunktionen.

4.4 Kombinierter Ansatz
ISO Bezug: 27002 4.1, 4.2

113

Die Stärken beider oben diskutierter Risikoanalysestrategien - Zeit sparende Auswahl kostengünstiger IT-Sicherheitsmaßnahmen durch Grundschutzanalysen und wirksame Reduktion hoher Sicherheitsrisiken durch detaillierte Risikoanalysen - kommen in einem sog. kombinierten Ansatz zum Tragen. Dabei wird zunächst ermittelt, welche IT-Systeme hohe oder sehr hohe Sicherheitsanforderungen haben, und welche niedrige bis mittlere haben (Schutzbedarfsfeststellung). Das Ergebnis dieses Schrittes ist eine Einteilung in zwei Schutzbedarfskategorien: "niedrig bis mittel" und "hoch bis sehr hoch". IT-Systeme der Schutzbedarfskategorie "niedrig bis mittel" werden einer Grundschutzanalyse unterzogen, während IT-Systeme der Schutzbedarfskategorie "hoch bis sehr hoch" einer detaillierten Risikoanalyse zu unterziehen sind, auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden. Alternativ dazu können auch etwa drei Schutzbedarfskategorien gewählt werden (s. Kap. 4.4.1, zweites Beispiel). Dabei werden IT-Systeme der Schutzbedarfskategorie "normal" einer Grundschutzanalyse unterzogen. IT-Systeme der Schutzbedarfskategorie "hoch" sind einer eingehenderen Betrachtung zu unterziehen. Wahlweise sind auch hier Grundschutzmaßnahmen (ev. in verstärktem Maße) anzuwenden, oder es ist eine detaillierte Risikoanalyse durchzuführen. ITSysteme der Schutzbedarfskategorie "sehr hoch" sind jedenfalls einer detaillierten Risikoanalyse zu unterziehen, auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden. Generell empfiehlt es sich, zunächst eine Grundschutzanalyse für alle Systeme durchzuführen anschließend eine eventuelle erforderliche detaillierte Risikoanalyse für Systeme höherer Schutzbedarfskategorien.

Vorteile eines kombinierten Ansatzes

• • • •

Die Vorgehensweise ermöglicht es, rasch einen relativ guten Sicherheitslevel für alle IT-Systeme zu realisieren. Die in der Schutzbedarfsfeststellung erarbeiteten Erkenntnisse können die Grundlage für eine Prioritätenreihung für die nachfolgenden Aktivitäten bilden. Der Aufwand kann auf hochsicherheitsbedürftige Systeme konzentriert werden. Das Verfahren findet im Allgemeinen hohe Akzeptanz, da es mit verhältnismäßig geringem Initialaufwand rasch sichtbare Erfolge bringt.

114

Empfehlung:
Aus diesen Gründen kann für die Mehrheit der Fälle empfohlen werden, als Risikoanalysestrategie einen kombinierten Ansatz zu wählen.

4.4.1 Festlegung von Schutzbedarfskategorien
ISO Bezug: 27002 4.1, 4.2

Voraussetzung für eine Schutzbedarfsfeststellung ist die Festlegung von Schutzbedarfskategorien. Die nachfolgende Tabelle gibt eine Orientierungshilfe für die Festlegung der Schutzbedarfskategorien und damit die Klassifizierung der Anwendungen anhand der maximal möglichen Schäden anhand von Grenzwerten. Diese sind jedoch nur als Beispiele zu sehen. Jede Organisation sollte für sich prüfen, ob diese Klassifizierung ihren Anforderungen entspricht und gegebenenfalls eigene Grenzwerte und Einordnungen festlegen. Weiters ist darauf hinzuweisen, dass die in der Tabelle angeführten sieben Schadenskategorien nicht vollständig sein müssen. Für alle Schäden, die sich nicht in diesen Kategorien abbilden lassen, ist ebenfalls eine Aussage zu treffen, wo die Grenze zwischen "niedrig bis mittel" und "hoch bis sehr hoch" zu ziehen ist. Kategorie "niedrig bis mittel" Kategorie "hoch bis sehr hoch" 1. Verstoß gegen Gesetze, • Verstöße gegen • Schwere Verstöße Vorschriften oder Verträge Vorschriften gegen Gesetze und Gesetze mit und Vorschriften geringfügigen (Strafverfolgung) Konsequenzen • Verletzungen von Geringfügige Verträgen mit hohen • Verletzungen von Konventionalstrafen Verträgen mit geringen oder Haftungsschäden Konventionalstrafen • Ein möglicher Ein möglicher Missbrauch • Missbrauch personenbezogener personenbezogener Daten hat erhebliche Daten hat nur Auswirkungen auf geringfügige die gesellschaftliche Auswirkungen auf Stellung oder die die gesellschaftliche wirtschaftlichen 115

Kategorie "niedrig bis mittel" Kategorie "hoch bis sehr hoch" Stellung oder die Verhältnisse der/des wirtschaftlichen Betroffenen (Verlust Verhältnisse der/des der Vertraulichkeit oder Betroffenen Integrität sensibler Daten) 2. Beeinträchtigung der Eine Beeinträchtigung • • Eine über Bagatellpersönlichen Unversehrtheit erscheint nicht möglich. verletzungen hinausgehende Beeinträchtigung der persönlichen Unversehrtheit kann nicht absolut ausgeschlossen werden. 3. Beeinträchtigung der • Es kann zu einer • Es kann zu Aufgabenerfüllung leichten bis maximal einer schweren mittelschweren BeeinBeeinträchtigung der trächtigung der Aufgabenerfüllung Aufgabenerfüllung bis hin zur kommen. Handlungsunfähigkeit der betroffenen • Eine Zielerreichung Organisation kommen. ist mit vertretbarem Mehraufwand möglich. • Bedeutende Zielabweichung in Qualität und/oder Quantität. 4. Vertraulichkeit der • Es werden nur Daten • Es werden auch Daten verarbeiteten Information der Sicherheitsklassen der Sicherheitsklassen OFFEN und VERTRAULICH, EINGESCHRÄNKT GEHEIM und/oder verarbeitet bzw. STRENG GEHEIM gespeichert. verarbeitet bzw. gespeichert. 5. Dauer der Verzichtbarkeit • Die maximal • Die maximal tolerierbare Ausfallszeit tolerierbare Ausfallszeit der Anwendung beträgt des Systems beträgt mehrere Stunden bis lediglich einige mehrere Tage. Minuten.

116

Kategorie "niedrig bis mittel" Kategorie "hoch bis sehr hoch" 6. Negative Außenwirkung Eine geringe • • Eine breite bzw. nur interne Beeinträchtigung des Beeinträchtigung Vertrauens in die des Ansehens oder Organisation oder Vertrauens ist zu ihr Ansehen ist zu erwarten. erwarten. 7. Finanzielle Auswirkungen • Der finanzielle Schaden • Der zu erwartende ist kleiner als (z.B.) finanzielle Schaden ist Euro 50.000.--. größer als (z.B.) Euro 50.000.--. Eine andere Möglichkeit besteht darin, drei Schutzbedarfskategorien zu definieren: Schutzbedarfskategorie "normal": Die Schadensauswirkungen sind begrenzt und überschaubar. Maßnahmen des ITGrundschutzes reichen im Allgemeinen aus. Diese Kategorie entspricht der obigen Kategorie "niedrig bis mittel". Schutzbedarfskategorie "hoch": Die Schadensauswirkungen können beträchtlich sein. Wahlweise können weiter (verstärkte) Grundschutzmaßnahmen eingesetzt oder eine detaillierte Risikoanalyse durchgeführt werden. Schutzbedarfskategorie "sehr hoch": Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. IT-Grundschutzmaßnahmen alleine reichen nicht aus, die erforderlichen Sicherheitsmaßnahmen sollten individuell auf Basis einer Risikoanalyse ermittelt werden. Schutzbedarfskategorie "hoch": Die nachfolgende Tabelle gibt eine Orientierungshilfe für die Festlegung der Schutzbedarfskategorien und damit die Klassifizierung der Anwendungen anhand der oben angeführten Einteilungen. Diese sind wiederum als Beispiele zu sehen. Jede Organisation sollte für sich prüfen, ob diese Klassifizierung ihren Anforderungen entspricht und gegebenenfalls eigene Grenzwerte und Einordnungen festlegen. Kategorie "normal" Kategorie "hoch" Kategorie "sehr hoch" 1. Verstoß • Verstöße gegen • Verstöße gegen • Schwere gegen Gesetze, Vorschriften und Vorschriften Verstöße gegen Vorschriften oder Gesetze mit und Gesetze Gesetze und Verträge geringfügigen mit erheblichen Vorschriften Konsequenzen Konsequenzen (Strafverfolgung) 117

Kategorie "normal"

2. Beeinträchtigung der persönlichen Unversehrtheit

3. Beeinträchtigung der Aufgabenerfüllung

Kategorie "sehr hoch" Geringfügige Verletzungen • • Verletzungen Verletzungen von Verträgen von Verträgen, von Verträgen mit hohen deren mit keinen Konventionalstrafen Haftungsschäden oder geringen ruinös sind • Ein möglicher Konventionalstrafen Missbrauch • Ein möglicher Ein möglicher personenbezogener Missbrauch Missbrauch Daten hat personenbezogener personenbezogener erhebliche Daten würde Daten hat nur Auswirkungen für die/den geringfügige auf die Betroffene/n den Auswirkungen gesellschaftliche gesellschaftlichen auf die Stellung oder gesellschaftliche oder die wirtschaftlichen Stellung wirtschaftlichen Ruin bedeuten. oder die Verhältnisse wirtschaftlichen der/des Verhältnisse Betroffenen. der/des Betroffenen. Eine • Eine • Gravierende Beeinträchtigung Beeinträchtigung Beeinträchtigungen erscheint nicht der persönlichen der persönlichen möglich. Unversehrtheit Unversehrtheit kann nicht sind möglich. absolut • Gefahr für Leib ausgeschlossen und Leben werden. Es kann zu • Es kann zu • Es kann zu einer einer leichten einer schweren sehr schweren bis maximal Beeinträchtigung Beeinträchtigung mittelschweren der der Beeinträchtigung Aufgabenerfüllung Aufgabenerfüllung der kommen. bis hin zur Aufgabenerfüllung Bedeutende Handlungsunfähigkeit • kommen. der betroffenen Zielabweichung Organisation Eine in Qualität und/ kommen. Zielerreichung oder Quantität. ist mit vertretbarem Mehraufwand möglich.

Kategorie "hoch"

118

1. Dauer der Verzichtbarkeit • 6. Beeinträchtigung ist zu erwarten.2 Schutzbedarfsfeststellung ISO Bezug: 27002 4. Kategorie "hoch" 4.000. Eine geringe • Eine breite • Eine bzw. 4.4. Stunde. GEHEIM gespeichert. Negative Außenwirkung • 7. Vertraulichkeit der verarbeiteten Information • 5. Die maximal Die maximal • • Die maximal tolerierbare tolerierbare tolerierbare Ausfallszeit der Ausfallszeit des Ausfallszeit des Anwendung Systems liegt Systems ist beträgt mehr als zwischen einer kleiner als eine 24 Stunden. Die Schutzbedarfsfeststellung erfolgt in 3 Schritten: • Schritt 1: Erfassung aller vorhandenen oder geplanten IT-Systeme 119 . ist zu erwarten. evtl.B. Der finanzielle • Der Schaden • Der finanzielle Schaden liegt bewirkt Schaden ist für unter (z.oder oder Vertrauens ist zu erwarten. gespeichert. finanzielle existenzbedrohend. gespeichert. oder STRENG verarbeitet bzw.--. Finanzielle Auswirkungen • Kategorie "sehr hoch" Es werden Es werden • • Es werden nur Daten der auch Daten auch Daten Sicherheitsklassen der Klasse der Klassen OFFEN und VERTRAULICH GEHEIM und/ EINGESCHRÄNKT verarbeitet bzw. ist jedoch nicht existenzbedrohend. nur interne Beeinträchtigung landesweite Beeinträchtigung des Ansehens breite des Ansehens oder Vertrauens Ansehens.2 Die Schutzbedarfsfeststellung bildet die Grundlage für eine Entscheidung über die weitere Vorgehensweise und ist daher mit entsprechender Sorgfalt durchzuführen.Kategorie "normal" 4. sogar existenzgefährdender Art. Verluste. Vertrauens.) Euro beachtliche die Institution 50. verarbeitet bzw. und 24 Stunden.

nach ihrem Sicherheitsbedarf vorsortiert werden. z. 4.B. wenn von Anwendungsstruktur und -ablauf vergleichbare Anwendungen auf diesen Systemen laufen. Zur Reduktion der Komplexität kann man gleiche IT-Systeme zu Gruppen zusammenfassen. Dies gilt insbesondere für PCs.2 Erfassung der IT-Anwendungen und Zuordnung zu den einzelnen IT-Systemen ISO Bezug: 27002 4.1. wie Rechner. die oft in großer Anzahl vorhanden sind. • • • deren Daten/Informationen und Programme den höchsten Bedarf an Vertraulichkeit haben.1. 4..2 Ziel dieses Schrittes ist es. Diese sollten anschließend . 120 . Bildschirm. Hierbei steht die technische Realisierung eines IT-Systems im Vordergrund. PC-Client. 4. Windows-Server). deren Daten/Informationen und Programme den höchsten Bedarf an Integrität aufweisen. Tastatur.soweit zu diesem Zeitpunkt bereits möglich . alle oder zumindest die wichtigsten auf dem betrachteten IT-System laufenden oder geplanten IT-Anwendungen zu erfassen. Dabei sind zuerst diejenigen Anwendungen des jeweiligen IT-Systems zu benennen.• • Schritt 2: Erfassung der IT-Anwendungen und Zuordnung zu den einzelnen ITSystemen Schritt 3: Schutzbedarfsfeststellung für jedes IT-System 4.2. Server. die die kürzeste tolerierbare Ausfallszeit haben.4. Windows-Server. nicht die einzelnen Bestandteile. aus denen das ITSystem zusammengesetzt ist.2.1 Erfassung aller vorhandenen oder geplanten IT-Systeme ISO Bezug: 27002 4. An dieser Stelle soll nur das System als solches erfasst werden (z. StandAlone-PC.B. Drucker etc.2 Zunächst werden die vorhandenen und geplanten IT-Systeme aufgelistet.4.

3 Grundschutzansatz beschriebenen Vorgehensweise durchzuführen. Dabei ist es unbedingt auch erforderlich.2 In dieser Phase soll die Frage beantwortet werden. eine den spezifischen Anforderungen der betroffenen Organisation entsprechende modifizierte Tabelle zu erstellen. so ist das gesamte IT-System in die Schutzbedarfskategorie "hoch" bzw. Wurde dagegen mindestens eine Applikation mit hohem oder sehr hohem Schutzbedarf ermittelt.2 Detaillierte Risikoanalyse dieses Handbuchs. Die Ermittlung des Schutzbedarfes erfolgt nach dem Maximum-Prinzip.1. so ist das gesamte System in die Schutzbedarfskategorie "normal" einzuordnen. 4. Die Auswahl einer konkreten Methode zur Risikoanalyse sowie der eventuelle Einsatz eines Tools zur Unterstützung dieser Analyse bleiben der durchführenden Institution überlassen. welche Schäden zu erwarten sind. 4.4.2 Für alle IT-Systeme der Schutzbedarfskategorie "niedrig bis mittel" bzw. 121 .4.3 Schutzbedarfsfeststellung für jedes IT-System ISO Bezug: 27002 4. Ist für alle auf einem System laufenden Anwendungen ein normaler Schutzbedarf erhoben worden.4.3 Durchführung von Grundschutzanalysen und detaillierten Risikoanalysen ISO Bezug: 27002 4. "sehr hoch" einzuordnen. Es ist aber empfehlenswert. Integrität oder Verfügbarkeit einer IT-Anwendung und/ oder der zugehörigen Informationen ganz oder teilweise verloren gehen. Die Realisierung von Grundschutzmaßnahmen bietet hier in der Regel einen ausreichenden Schutz. Alle IT-Systeme der Schutzbedarfskategorie "hoch bis sehr hoch" sind einer detaillierten Risikoanalyse zu unterziehen. die Applikations-/Projektverantwortlichen und die Benutzer/innen der betrachteten IT-Anwendungen nach ihrer Einschätzung zu befragen. Die zu erwartenden Schäden bestimmen den Schutzbedarf. 4. "normal" ist eine Grundschutzanalyse gemäß der in Kapitel 4.4. Details dazu finden sich in Kapitel 4. Als Orientierungshilfe für die Einordnung von IT-Anwendungen in Schutzbedarfskategorien kann die in 4. wenn Vertraulichkeit.1 angeführte Tabelle dienen.1.2.

2 Sicherheitsmaßnahmen können für gewöhnlich Risiken nur teilweise mindern. dessen Abdeckung wirtschaftlich nicht mehr vertretbar wäre. IT-Systeme der Schutzbedarfskategorie "sehr hoch" sind jedenfalls einer detaillierten Risikoanalyse zu unterziehen. Um ein organisationsweit einheitliches Niveau des Restrisikos zu gewährleisten. akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken) und festlegen. dieses erhöhte Restrisiko bewusst anzunehmen. diese Restrisiken so exakt wie möglich zu quantifizieren und sie dann bewusst zu akzeptieren. dass durch Kumulationseffekte oder gegenseitige Beeinflussungen eine Reihe von kleinen Einzelrisiken zu einem inakzeptablen Restrisiko führen kann.5 Akzeptables Restrisiko ISO Bezug: 27002 4. das höher ist als das generell akzeptable.4 Risikoanalysestrategien. ob mit (ev. Es ist notwendig. so ist für IT-Systeme der Schutzbedarfskategorie "hoch" zu überlegen. Diese sollten im Rahmen der Informationssicherheits-Politik definiert werden (vgl. Ist dies technisch nicht möglich oder unwirtschaftlich. verstärkten) Grundschutzmaßnahmen das Auslangen gefunden werden kann. 5. Die Entscheidung über die Akzeptanz von Restrisiken ist daher immer eine für das spezielle System zu treffende Managemententscheidung.Geht man von drei Schutzbedarfskategorien aus. so sollten zusätzliche Sicherheitsmaßnahmen vorgesehen und damit das Risiko weiter reduziert werden.2 Verbleibt nach Durchführung aller vorgesehenen Sicherheitsmaßnahmen ein Restrisiko. 4. diesen Prozess durch generelle Richtlinien zu unterstützen. 4.6 Akzeptanz von außergewöhnlichen Restrisiken ISO Bezug: 27002 4. Dieser Prozess wird als "Risikoakzeptanz" bezeichnet. oder eine detaillierte Risikoanalyse erforderlich ist. ist es hilfreich. Im Allgemeinen verbleibt ein Restrisiko. 122 . Dabei ist zu beachten. so besteht in begründeten Ausnahmefällen die Möglichkeit. welche Risiken die betroffene Organisation generell zu akzeptieren bereit ist.2.

123 .Die Entscheidung über die Akzeptanz eines außergewöhnlichen Restrisikos ist durch das Management zu treffen. die genauen Verantwortlichkeiten dafür sind in der Informationssicherheits-Politik festzulegen. Die Entscheidung ist schriftlich zu begründen und durch die Leitung der Organisation in schriftlicher Form zu akzeptieren.

Strategien. Ziel dieses Abschnittes ist es. das die sicherheitsbezogenen Ziele. Sie stellt ein Grundlagendokument dar.1 124 . etwa der E-Mail-Sicherheitsrichtlinie oder der Netzwerksicherheitsrichtlinie. die den Schutz der Informationen und der IT-Systeme innerhalb einer Organisation gewährleisten. Grundzüge der Business Continuity Planung Aktivitäten zur Überprüfung und Aufrechterhaltung der Sicherheit Verweise auf weitere Dokumente zum Thema Informationssicherheit. Diese sind: • • • • • • • • Informationssicherheitsziele und -strategien Erklärung der Leitungsebene über die Unterstützung der Ziele des Informationssicherheits-Managements (Management Commitment) Organisation und Verantwortlichkeiten für Informationssicherheit Risikoanalysestrategien. akzeptables Restrisiko und Risikoakzeptanz Klassifizierung von Daten Klassifizierung von IT-Anwendungen und IT-Systemen. konkret umgesetzt.5 Informationssicherheits-Politik Dieses Kapitel nimmt Bezug auf ISO/IEC 27001 4 ff "InformationssicherheitsManagementsystem" sowie ISO 27002 . Die Informationssicherheits-Politik bildet die Basis für die Entwicklung und die Umsetzung eines risikogerechten und wirtschaftlich angemessenen Informationssicherheits-Konzeptes.5 ff "Sicherheitspolitik". 27002 5. Das folgende Kapitel gibt eine Anleitung zur Erstellung einer derartigen Politik und legt die wesentlichen Inhalte fest. die Erarbeitung einer Informationssicherheits-Politik zu unterstützen. wie etwa Sicherheitsrichtlinien 5. Verantwortlichkeiten und Methoden langfristig und verbindlich festlegt. Die organisationsweite Informationssicherheits-Politik soll allgemeine Festlegungen treffen.1. Diese Richtlinien werden in den nachgeordneten Sicherheitsrichtlinien.1 Aufgaben und Ziele einer InformationssicherheitsPolitik ISO Bezug: 27001 4.

und gibt Anleitungen zur Erstellung dieses Dokumentes. Im Bereich der Privatwirtschaft wird die Erarbeitung einer organisationsweiten Informationssicherheits-Politik zumindest für große bis mittlere Unternehmen empfohlen. Die Informationssicherheits-Politik wird offiziell verabschiedet und in Kraft gesetzt. 5.1 Informationssicherheitsziele und -strategien 125 . ressortspezifische Informationssicherheits-Politik zu erstellen. Abhängig von der Unternehmensstruktur und den strategischen Zielen kann die Erstellung einer Informationssicherheits-Politik auch für kleinere Unternehmen empfehlenswert sein. Über die angeführten Themenbereiche hinaus können organisationsspezifisch weitere wichtige Sicherheitsthemen in die Informationssicherheits-Politik aufgenommen werden. Die Informationssicherheits-Politik enthält ein explizites Statement des Managements über die Unterstützung der Informationssicherheitsziele (Management Commitment). Jede/r Mitarbeiter/in muss Kenntnis über die wichtigsten Inhalte der Informationssicherheits-Politik haben. Die direkt mit Informationssicherheit beschäftigten Mitarbeiter/innen müssen im Besitz einer aktuellen Version der Informationssicherheits-Politik sein. 5.2 Inhalte der Informationssicherheits-Politik Der folgende Abschnitt beschreibt. Dabei gilt: • • • • • Die Informationssicherheits-Politik wird als schriftliches Dokument erstellt und bildet die Grundlage des Informationssicherheits-Managements. welche Themenbereiche im Rahmen der Informationssicherheits-Politik in jedem Fall angesprochen werden sollten. Das Management unterstützt und fördert die Aktivitäten zum Informationssicherheits-Management. abgeleitet werden.2. Die Informationssicherheits-Politik legt Leitlinien fest. Integrität und Verfügbarkeit der Information in einer Organisation sicherzustellen. etwa auf Behördenoder Abteilungsebene. Geltungsbereich Im Bereich der öffentlichen Verwaltung ist zumindest auf Ressortebene eine eigene.Eine organisationsweite Informationssicherheits-Politik hat die Aufgabe. die Vertraulichkeit. Bei Bedarf können aus dieser weitere Informationssicherheits-Politiken. schreibt aber keine Implementierung vor.

bezugnehmend auf die spezifischen Aufgaben und Projekte . die mit dieser Politik erreicht werden sollen.zu formulieren. Zur Präzisierung dieser Ziele sind nützlicherweise folgende Fragen zu stellen: • • 126 Welche Informationen sind besonders schützenswert? Welche Auswirkungen hätte eine gravierende Verletzung der Sicherheit dieser Informationen (Verlust von Vertraulichkeit.1.ISO Bezug: 27002 6. Integrität und/oder Verfügbarkeit)? . Vollständigkeit und Authentizität der Informationen (Integrität der IT) Rechtzeitigkeit (Verfügbarkeit der Daten und Services) Sicherung der investierten Werte Sicherstellung der Kontinuität der Arbeitsabläufe Reduzierung der im Schadensfall entstehenden Kosten (Schadensvermeidung und Schadensbegrenzung) Gewährleistung des besonderen Prestiges Neben diesen eher allgemein gültigen Zielen sind die organisationsspezifischen Sicherheitsziele . Verträge und Regelungen (etwa des Datenschutzgesetzes. insbesondere in Bezug auf Vertraulichkeit.1 Schritt 1: Festlegung der wesentlichen Informationssicherheitsziele Im Rahmen der Erstellung der Informationssicherheits-Politik sind zunächst die spezifischen Sicherheitsziele der Organisation zu erarbeiten. Dies erfordert: • • • • • • • • Vertraulichkeit der verarbeiteten Informationen Einhaltung aller Gesetze. von SLAs und Normen) Korrektheit. Beispiele für solche Ziele sind: • • • Gewährleistung der Erfüllung von aus gesetzlichen Vorgaben resultierenden Anforderungen Gewährleistung des Vertrauens der Öffentlichkeit in die betroffene Organisation bzw. des Informationssicherheitsgesetzes. die öffentliche Verwaltung im Allgemeinen Hohe Verlässlichkeit des Handelns. Richtigkeit und Rechtzeitigkeit.

2 Management Commitment 127 . Integrität oder Verfügbarkeit dieser Informationen ab? Welche essentiellen Aufgaben der betreffenden Organisation können bei Kompromittierung dieser Informationen nicht mehr durchgeführt werden? Welche essentiellen Aufgaben der betreffenden Organisation können ohne ITUnterstützung nicht mehr durchgeführt werden? Schritt 2: Festlegung des angestrebten Sicherheitsniveaus In diesem Schritt ist festzulegen. Beispiele für Strategien für das Informationssicherheits-Management sind: • • • • • • • eine klare Zuordnung aller Verantwortlichkeiten im InformationssicherheitsProzess die Einführung eines QM-Systems die Entwicklung von Sicherheitsrichtlinien für die wichtigsten Systeme. Schritt 3: Ausarbeitung von Strategien für das InformationssicherheitsManagement Die Sicherheitsstrategie legt fest. welches Sicherheitsniveau in Bezug auf • • • Vertraulichkeit Integrität und Verfügbarkeit angestrebt werden soll. Eine organisationsweite Informationssicherheits-Politik kann und soll lediglich eine High-Level-Beschreibung der gewählten Strategien beinhalten. 5. Services und Anwendungen die Etablierung eines organisationsweiten Incident Handling Plans Orientierung an internationalen Richtlinien und Standards Informationssicherheit als integraler Bestandteil des gesamten Lebenszyklus eines IT-Systems die Förderung des Sicherheitsbewusstseins aller Mitarbeiter/innen. Detailbeschreibungen sind Aufgabe der nachgeordneten Sicherheitsrichtlinien. wie die definierten Sicherheitsziele erreicht werden können.• • • Welche wesentlichen Entscheidungen hängen von der Genauigkeit.2.

Es ist zu betonen. Auf der Ebene der Bundesverwaltung ist zusätzlich in jedem Ressort die Person einer/eines Informationssicherheitsbeauftragten gemäß Informationssicherheitsgesetz einzurichten. unten) die Bereichs-IT-Sicherheitsbeauftragten und die Applikations-/Projektverantwortlichen. Die Organisation des ISM ist für jede Institution . Dazu zählen insbesondere die Unterstützung der Ziele und Prinzipien der Informationssicherheit und die Erklärung ihrer Übereinstimmung mit den Geschäftszielen und -strategien. Genauso ist es möglich. dass es sich bei diesen Funktionen bzw. die im Folgenden näher beschrieben werden. 6.spezifisch festzulegen und in der Informationssicherheits-Politik festzuschreiben.1. Weiters werden für diesen Bereich durch das IKT-Board verbindliche Regelungen zur IKT-Sicherheit vorgegeben. die . In diesem Fall ist auf eine genaue Trennung der Kompetenzen und Verantwortlichkeiten Bedacht zu nehmen.entsprechend ihrer Größe.ISO Bezug: 27002 6.2.3 Die Leitungsebene soll im Rahmen der Informationssicherheits-Politik ein klares Bekenntnis zur Bedeutung der Informationssicherheit für die Institution abgeben.durchaus auch von mehreren Personen wahrgenommen werden können. die Rollen und Verantwortlichkeiten aller in den Informationssicherheits-Prozess involvierten Personen klar zu definieren.1. Gremien.abhängig von der Größe und den Sicherheitsanforderungen einer Organisation . um Rollen handelt. dass eine Person eine dieser 128 .1. Struktur und Aufgaben . Zentrale Aufgaben im Informationssicherheits-Management-Prozess übernehmen dabei • • • • das Informationssicherheits-Management-Team die IT-Sicherheitsbeauftragten (zur Wahl der Bezeichnung s. 5.2. ist es erforderlich.3 Organisation und Verantwortlichkeiten für Informationssicherheit ISO Bezug: 27002 6.3 Um eine Berücksichtigung aller wichtigen Aspekte und eine effiziente Erledigung sämtlicher anfallender Aufgaben zu gewährleisten.

Gremien kurz beschrieben. Dabei ist aber unbedingt darauf zu achten. 129 . um diese Rolle gegenüber der Rolle der/des Informationssicherheitsbeauftragten gemäß Informationssicherheitsgesetz abzugrenzen. Gesetz zukommen.1. Nachfolgend werden die wichtigsten typischen Aufgaben und Verantwortlichkeiten dieser Funktionen bzw.und Sensibilisierungsveranstaltungen die Gewährleistung der Informationssicherheit im laufenden Betrieb sowie die Verwaltung der für Informationssicherheit zur Verfügung stehenden Ressourcen.1 Die/der IT-Sicherheitsbeauftragte ISO Bezug: 27002 6. Die/der IT-Sicherheitsbeauftragte kann einzelne Aufgaben delegieren.3 Die/der IT-Sicherheitsbeauftragte ist die zentrale Ansprechperson für alle Informations.Rollen zusätzlich zu anderen Aufgaben übernimmt.3. So könnte beispielsweise ein Systemadministrator als Bereichs-IT-Sicherheitsbeauftragte/r für dieses System agieren. Anmerkung: Die Bezeichnung "IT-Sicherheitsbeauftragte/r" für die Person einer/ eines zentralen Sicherheitsverantwortlichen wurde zum einen gewählt. der/dem ganz spezifische Aufgaben lt. auf die speziellen Aufgaben und Anforderungen der betreffenden Organisation abgestimmte Beschreibung ist im Rahmen der organisationsweiten Informationssicherheits-Politik zu geben. Eine detaillierte. dass ausreichend Zeit für die sicherheitsrelevanten Tätigkeiten zur Verfügung steht und es zu keinen Kollisionen von Verantwortlichkeiten oder Interessen kommt. die Gesamtverantwortung für die Informationssicherheit verbleibt aber bei dieser Person.2. Zu den Pflichten der/des IT-Sicherheitsbeauftragten gehören: • • • • • die verantwortliche Mitwirkung an der Erstellung des InformationssicherheitsKonzeptes die Gesamtverantwortung für die Realisierung der ausgewählten Sicherheitsmaßnahmen die Planung und Koordination von Schulungs. weil es sich um einen in vielen Institutionen sowohl des Behörden.und IT-Sicherheitsfragen innerhalb einer Organisation und trägt die fachliche Verantwortung für diesen Bereich. zum anderen.als auch des Privatwirtschaftsbereiches eingeführten Begriff handelt. 5.

Daher sollte diese Rolle in jedem Fall . 5.3.2. eventuell zusätzlich zu anderen Aufgaben.1.3 130 . zugeordnet sein. Vorgaben und Richtlinien zur Informationssicherheit. Generell ist zu empfehlen.also auch bei kleinen Organisationen .3.1. Zusammensetzung des Teams: Die genaue Festlegung der Zusammensetzung sowie der Aufgaben und Verantwortlichkeiten des Informationssicherheits-Management-Teams haben im Rahmen der Informationssicherheits-Politik zu erfolgen.2 Das Informationssicherheits-Management-Team ISO Bezug: 27002 6.3 Die Bereichs-IT-Sicherheitsbeauftragten ISO Bezug: 27002 6.Der Funktion der/des IT-Sicherheitsbeauftragten kommt eine zentrale Bedeutung zu. 5.2. dass die/der IT-Sicherheitsbeauftragte sowie ein/e Vertreter/in der IT-Anwender/innen dem Informationssicherheits-Management-Team angehören.3 Das Informationssicherheits-Management-Team ist verantwortlich für die Regelung der organisationsweiten Informationssicherheitsbelange sowie für die Erarbeitung von Plänen. Zu den Aufgaben des Teams zählen typischerweise: • • • • • • die Festlegung der Informationssicherheitsziele der Organisation die Entwicklung einer organisationsweiten Informationssicherheits-Politik Unterstützung und Beratung bei der Erstellung des InformationssicherheitsKonzeptes die Überprüfung des Konzeptes auf Erreichung der Informationssicherheitsziele die Förderung des Sicherheitsbewusstseins in der gesamten Organisation sowie die Festlegung der personellen und finanziellen Ressourcen für Informationssicherheit.definiert und klar einer Person.

des Projekts die Klassifizierung der verarbeiteten Daten.4 Applikations-/Projektverantwortliche ISO Bezug: 27002 6. Ein Bereich kann beispielsweise ein IT-System oder eine Betriebssystemplattform sein.3 Für jede IT-Anwendung und jedes IT-Projekt ist die fachliche Gesamtverantwortung und damit auch die Verantwortung für deren Sicherheit klar festzulegen. 5. die Vergabe von Zugriffsrechten sowie organisatorische und administrative Maßnahmen zur Gewährleistung der ITSicherheit in der Projektentwicklung und im laufenden Betrieb. können diese von einer einzelnen Person oft nicht mehr abgedeckt werden.2. auch eine Zuordnung nach Abteilungen oder Betriebsstandorten ist denkbar.3. Wenn mehrere unterschiedliche Systemplattformen zum Einsatz kommen. Diese haben die fachliche Verantwortung für alle IT-Sicherheitsbelange in einem bestimmten Bereich.und Qualitätsanforderungen der Applikation bzw. Zu den Aufgaben einer/eines Applikations.1. Bereichs-IT-Sicherheitsbeauftragte zu definieren.Die Komplexität moderner IT-Systeme erfordert zur Gewährleistung eines angemessenen Sicherheitsniveaus tief gehende Systemkenntnisse.oder Projektverantwortlichen zählen insbesondere • • • • die Festlegung der Sicherheits. Daher wird es in vielen Fällen empfehlenswert sein. Zu den Aufgaben einer/eines Bereichs-IT-Sicherheitsverantwortlichen zählen • • • • • • die Mitwirkung bei den ihren/seinen Bereich betreffenden Teilen des Informationssicherheits-Konzeptes die Erarbeitung eines detaillierten Plans zur Realisierung der ausgewählten Sicherheitsmaßnahmen die Umsetzung dieses Plans die regelmäßige Prüfung der Wirksamkeit und Einhaltung der eingesetzten Sicherheitsmaßnahmen im laufenden Betrieb Information der/des IT-Sicherheitsbeauftragten über bereichsspezifischen Schulungsbedarf sowie Meldungen an die/den IT-Sicherheitsbeauftragten bei sicherheitsrelevanten Ereignissen. 131 .

2. Information der Bundesministerin bzw. 132 . muss ihre/seine spezifischen Pflichten und Verantwortlichkeiten im Rahmen der Informationssicherheit kennen und erfüllen. 5.6 Weitere Pflichten und Verantwortungen im Bereich Informationssicherheit ISO Bezug: 27002 6. per Gesetz festgelegte Rolle: die/den Informationssicherheitsbeauftragte/n. falls erforderlich. der Informationssicherheitsverordnung und der sonstigen Informationssicherheitsvorschriften die periodische Überprüfung der Sicherheitsvorkehrungen für den Schutz von (lt.1. Lieferanten und Vertragspartnern festzulegen. auch wenn sie/er nicht direkt in den Bereich Informationssicherheit involviert ist. Aufgaben der/des Informationssicherheitsbeauftragten sind: • • • • • • • die Überwachung der Einhaltung der Bestimmungen des Informationssicherheitsgesetzes. des Bundesministers des jeweiligen Ministeriums in Angelegenheiten der Informationssicherheit sowie Erstattung von Verbesserungsvorschlägen.3. 1 Z1 und 2 Informationssicherheitsgesetz.Neben den oben beschriebenen Rollen gibt es im Bereich der Bundesverwaltung eine spezielle.3.5 Die/der Informationssicherheitsbeauftragte ISO Bezug: 27002 6. Die/der Informationssicherheitsbeauftragte ist Mitglied der Informationssicherheitskommission.2.3 Auf Ressortebene sind gemäß Informationssicherheitsgesetz Informationssicherheitsbeauftragte zu bestellen.1. 5. Jede/r Mitarbeiter/in. Ebenso sind die Rechte und Pflichten von externen Personen. Informationssicherheitsgesetz) klassifizierten Informationen die Berichterstattung darüber an die Informationssicherheitskommission Behebung von erkannten Mängeln Sicherheitsüberprüfung von betroffenen Personen gemäß §3 Abs.3 Sicherheit ist nicht ausschließlich Angelegenheit der damit per Definition betrauten Personen.

Dazu wird in einer Risikoanalyse das Gesamtrisiko ermittelt.2 Methodisches Risikomanagement ist zur Erarbeitung eines vollständigen und organisationsweiten Informationssicherheits-Konzeptes unerlässlich. dieses Risiko so weit zu reduzieren. dass die Gesamtverantwortung für die Datenschutzbelange bei der Geschäftsführung verbleibt und nicht delegiert werden kann. 15. Um Risiken zu beherrschen. in denen personenbezogene Daten lt. Datenschutzgesetz (DSG 2000)). akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken ISO Bezug: 27002 4. Details zur Risikoanalyse sind in Abschnitt Risikoanalyse enthalten. ist es sinnvoll. ist es zunächst erforderlich sie zu kennen und zu bewerten. Im folgenden Abschnitt werden die wichtigsten Punkte. Es ist aber zu betonen.1.3. die datenschutzbezogenen Aufgaben zu konzentrieren und die erforderlichen Tätigkeiten zuzuordnen. Weiters ist die Vorgehensweise bei der Akzeptanz von außergewöhnlichen Restrisiken zu definieren.4 Auch wenn die Einrichtung einer/eines Datenschutzbeauftragten gesetzlich nicht gefordert ist (vgl.1.Im Rahmen der organisationsweiten Informationssicherheits-Politik sind daher auch die Aufgaben und Verantwortlichkeiten folgender Personenkreise zu definieren: • • • • • Management/Behördenleitung ("Sicherheit als Managementaufgabe") Datenverarbeitungs(DV)-Entwicklung und technischer Support Dienstnehmer/innen Leasingpersonal. 5.3.7 Informationssicherheit und Datenschutz ISO Bezug: 27002 6. Ziel ist es. externe Mitarbeiter/innen Lieferanten und Vertragspartner 5. die im Rahmen der Informationssicherheits-Politik zum Thema Risikoanalyse festgelegt werden sollten. in Organisationen. DSG 2000 verarbeitet werden.4 Risikoanalysestrategien. dass das verbleibende Restrisiko quantifizierbar und akzeptierbar wird. 133 . In der Informationssicherheits-Politik sollen die Risikoanalysestrategie der Organisation sowie das akzeptable Restrisiko festgelegt werden.2. aufgeführt.2.

so dass auf eine detaillierte Risikoanalyse verzichtet und eine Grundschutzanalyse (s. der Schutzbedarf für die einzelnen Prozesse. auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden. • Schritt 2: Festlegung des akzeptablen Restrisikos Nach Durchführung aller ausgewählten Sicherheitsmaßnahmen verbleibt im Allgemeinen ein Restrisiko. Detaillierte Risikoanalyse: Für alle Geschäftsprozesse und die sie unterstützenden IT-Systeme wird eine detaillierte Risikoanalyse durchgeführt. In der Informationssicherheits-Politik sind diese akzeptablen Restrisiken so exakt wie möglich zu quantifizieren.) durchgeführt werden kann. • Kombinierter Ansatz: In einem ersten Schritt wird in einer Schutzbedarfsfeststellung (High Level Risk Analysis). so sind die betroffenen Geschäftsprozesse und IT-Systeme einer detaillierten Risikoanalyse zu unterziehen. Bei hohem Schutzbedarf können wahlweise Grundschutzmaßnahmen eingesetzt oder eine detaillierte Risikoanalyse durchgeführt werden. dass der Grundschutzlevel für die vorhandenen Geschäftsprozesse und IT-Systeme möglicherweise nicht angemessen sein könnte.Schritt 1: Festlegung der anzuwendenden Risikoanalysestrategie Man kann drei Varianten zur Risikoanalysestrategie einer Organisation unterscheiden: • Grundschutzansatz: Unabhängig von den tatsächlichen Sicherheitsanforderungen werden für alle IT-Systeme Standardsicherheitsmaßnahmen ("Grundschutzmaßnahmen") eingesetzt. Bei normalem Schutzbedarf wird von einer pauschalisierten Gefährdungslage ausgegangen. Diese Vorgehensweise spart Ressourcen und führt schnell zu einem relativ hohen Niveau an Sicherheit. o. Der Nachteil liegt darin. Besteht sehr hoher Schutzbedarf. ausgehend von den Geschäftsprozessen. Diese Option kombiniert die Vorteile des Grundschutzansatzes mit denen einer detaillierten Risikoanalyse und stellt heute die allgemein empfohlene Vorgehensweise dar. benötigt jedoch viel Zeit und Aufwand. 134 . die sie unterstützenden Systeme und die verarbeiteten Informationen ermittelt. Diese Methode gewährleistet die Auswahl von effektiven und angemessenen Sicherheitsmaßnahmen. Dies erlaubt eine schnelle und effektive Auswahl von grundlegenden Sicherheitsmaßnahmen bei gleichzeitiger Gewährleistung eines angemessenen Schutzniveaus. dessen Abdeckung wirtschaftlich nicht mehr vertretbar wäre.

2 Die Klassifizierung der verarbeiteten. Informstionssicherheitsgesetz gesetzlich festgelegt für "klassifizierte Informationen. gespeicherten und übertragenen Informationen in Bezug auf ihre Vertraulichkeit und die Datenschutzanforderungen ist wesentliche Voraussetzung für die spätere Auswahl adäquater Sicherheitsmaßnahmen. die in Abweichung von der generellen Sicherheitspolitik in Kauf genommen werden sollen. Diese Klassen sind lt.1 Festlegung von Klassifizierungsstufen bzgl.2. so besteht in begründeten Ausnahmefällen die Möglichkeit einer bewussten Akzeptanz des erhöhten Restrisikos. Im Bereich der Bundesverwaltung sind die unten angeführten hierarchischen Klassen definiert. 5. sowie die Verantwortlichkeiten dafür festzulegen.2. welche Auswirkungen ein Missbrauch der Information auf die Institution haben kann. die Österreich im Einklang mit völkerrechtlichen Regelungen erhalten hat".2.5.5 Klassifizierung von Informationen ISO Bezug: 27002 7.Schritt 3: Festlegung der Vorgehensweise zur Akzeptanz von außergewöhnlichen Restrisiken Verbleibt nach Durchführung aller im Sicherheitsplan vorgesehenen Maßnahmen ein Restrisiko. Vertraulichkeit (Vertraulichkeitsklassen) Die Vertraulichkeitsklassen können als Maß dafür gesehen werden. das höher ist als das generell akzeptable und dessen weitere Reduktion technisch nicht möglich oder unwirtschaftlich wäre. In der Sicherheitspolitik sind • • das Vorgehen bei Risiken. 135 . Daher sind in der Informationssicherheits-Politik entsprechende Sicherheitsklassen zu definieren und weiters die Verantwortlichkeiten für die Durchführung der Klassifizierung festzulegen.1 Definition der Sicherheitsklassen ISO Bezug: 27002 7. 5.

Nicht nur die Einstufung in eine zu niedrige Vertraulichkeitsklasse ist mit potentiellen Gefahren verbunden. 20. im Allgemeinen mit weniger Klassen (meist 3 oder 4) das Auslangen finden. sofern es nicht bereits diesbezügliche Regelungen gibt. 3 B-VG genannten Interessen schaffen. [Anmerkung: Alle mit Aufgaben der Bundes-. soweit gesetzlich nicht anderes bestimmt ist. • • • • EINGESCHRÄNKT: Die unbefugte Weitergabe der Informationen würde den in Art. auch die leichtfertige Einstufung in eine zu hohe Vertraulichkeitsklasse ist zu vermeiden. in denen nicht zwingende Gründe für ein anderes Klassifizierungsschema bestehen. Allerdings werden Organisationen der Privatwirtschaft. Im Rahmen der Informationssicherheits-Politik sollte darauf hingewiesen werden. da etwa die Behandlung von geheimen Daten durchwegs mit erheblichem Aufwand verbunden ist. 20.und Gemeindeverwaltung betrauten Organe sowie die Organe anderer Körperschaften des öffentlichen Rechts sind. Abs. . im wirtschaftlichen Interesse einer Körperschaft des öffentlichen Rechts. Ordnung und Sicherheit.. deren Geheimhaltung im Interesse der Aufrechterhaltung der öffentlichen Ruhe.] VERTRAULICH: Die Informationen stehen nach anderen Bundesgesetzen unter strafrechtlichem Geheimhaltungsschutz und ihre Geheimhaltung ist im öffentlichen Interesse gelegen. der umfassenden Landesverteidigung.. Landes. dass die Klassifizierung der Daten sehr sorgfältig vorzunehmen ist. der auswärtigen Beziehungen. STRENG GEHEIM: Die Informationen sind geheim und ihr Bekannt werden würde überdies eine schwere Schädigung der in Art. Aus Gründen der Kompatibilität wird die Anwendung des genannten Schemas in denjenigen Bereichen. In den übrigen Verwaltungsbereichen und in der Privatwirtschaft ist es jeder Organisation überlassen.HINWEIS: Im Sinne der Kompatibilität und Einheitlichkeit erscheint diese Klassifizierung auch für andere Daten im Bereich der Bundesverwaltung sinnvoll. sofern sie nicht besonders strenge Sicherheitsanforderungen haben. Nicht-klassifizierte Informationen werden nachfolgend auch als "OFFEN" bezeichnet. zur Verschwiegenheit über alle ihnen ausschließlich aus ihrer amtlichen Tätigkeit bekannt gewordenen Tatsachen verpflichtet. 20. 136 . Abs. 3 B-VG genannten Interessen wahrscheinlich machen. in ihrer Informationssicherheits-Politik eine für ihre Zwecke adäquate Definition von Vertraulichkeitsklassen vorzunehmen. empfohlen. zur Vorbereitung einer Entscheidung oder im überwiegenden Interesse der Parteien geboten ist (Amtsverschwiegenheit). GEHEIM: Die Informationen sind vertraulich und ihre Preisgabe würde zudem die Gefahr einer erheblichen Schädigung der in Art. 3 BVG genannten Interessen zuwiderlaufen. Abs.

so sind die Daten auch dahingehend zu klassifizieren. Weiters ist festzulegen. • 5. 5. politische Meinungen.Klassifizierung von Daten in Bezug auf Datenschutz Werden personenbezogene Daten verarbeitet. SENSIBEL: Daten über rassische und ethnische Herkunft. Deklassifizierung erfolgt und wie klassifizierte Information gekennzeichnet wird. Die/der für die Information verantwortliche Mitarbeiter/in wird oft als "Dateneigner" oder "Data Owner" bezeichnet. wenn diese keine eindeutigen Vorgaben gemacht hat. religiöse oder philosophische Überzeugungen. Dies kann in den einzelnen Organisationen unterschiedlich sein und auch von IT-System zu IT-System differieren. von jener Person in der Organisation. deren Daten verwendet werden). die diese Information von außen erhält.als auch für den privatwirtschaftlichen Bereich. von der diese Information stammt. dass die Klassifizierung einer Information von jener Person vorzunehmen ist. Die nachfolgende Klassifizierung gemäß Datenschutzgesetz (DSG 2000) gilt sowohl für den Behörden. Gewerkschaftszugehörigkeit.1 Im Rahmen der Informationssicherheits-Politik ist generell festzulegen.2. • • NUR INDIREKT PERSONENBEZOGEN: Der Personenbezug der Daten kann mit rechtlich zulässigen Mitteln nicht bestimmt werden. Gesundheit oder Sexualleben von natürlichen Personen. wer die Klassifizierung der Daten vorzunehmen hat.2 Festlegung der Verantwortlichkeiten und der Vorgehensweise für klassifizierte Informationen ISO Bezug: 27002 7.3 Erarbeitung von Regelungen zum Umgang mit klassifizierten Informationen 137 . oder. Als allgemeine Richtlinie kann gelten.5. deren Identität bestimmt oder bestimmbar ist. in welcher Form die Klassifizierung bzw.2.2. PERSONENBEZOGEN: Angaben über Betroffene (Anmerkung ad Betroffene: Jede vom Auftraggeber verschiedene natürliche oder juristische Person oder Personengemeinschaft.5.

2. Werden in einer Organisation häufig klassifizierte Informationen verarbeitet und gespeichert. Versendung durch Post oder Kurier. durch wen.6 Klassifizierung von IT-Anwendungen und IT-Systemen. wie die Information in Abhängigkeit von den Sicherheitsklassen zu behandeln ist. in dem u. durch wen) Backup (Klartext.a. so empfiehlt sich die Erarbeitung eines eigenständigen Dokumentes.2 5. 138 .2 In diesem Schritt ist festzulegen. etwaige Vorschriften zur Verschlüsselung) Übermittlung klassifizierter Information (mündliche Weitergabe. persönliche Weitergabe. Grundzüge der Business Continuity Planung ISO Bezug: 27002 7. die Verfügbarkeit der wichtigsten Applikationen und Systeme innerhalb eines definierten Zeitraumes zu gewährleisten sowie Vorkehrungen zur Schadensbegrenzung im Katastrophenfall zu treffen ("Gewährleistung eines kontinuierlichen Geschäftsbetriebes"). unter welchen Bedingungen) Deklassifizierung klassifizierter Information (wann. Vorschriften zur Verschlüsselung) Registrierung klassifizierter Information Ausdruck klassifizierter Information (auf welchem Drucker. durch wen) Weitere Informationen zum Umgang mit klassifizierten Informationen siehe Kapitel 7.ISO Bezug: 27002 7. elektronische Übertragung.2 Ziel der Business Continuity Planung ist es. über welche Verbindungen. folgende Fragen behandelt werden: • • • • • • • • • Kennzeichnung klassifizierter Information (sowohl elektronischer als auch nichtelektronischer) Verwahrung klassifizierter Information (Zugriffsberechtigungen.2. chiffriert. Schutz der Backup-Medien) Aufbewahrung / Wiederverwendung / Vernichtung von Datenträgern mit klassifizierter Information Weitergabe klassifizierter Information (an wen.2.

welche auch die Anforderungen in Katastrophenfällen berücksichtigt: • K-Fall sicher (K2 bis K4): Die IT-Anwendung ist derart konzipiert. Zusätzlich zu den vier genannten Kategorien ist noch die Zusatzqualität „K-Fall sicher“ definiert. sondern muss in den entsprechenden weiteren Aktivitäten erfolgen. Die Business Continuity Planung selbst ist nicht Bestandteil der InformationssicherheitsPolitik. dass ein Wiederaufsetzen eines definierten Notbetriebes in der Zero-Risk-Umgebung umgehend möglich ist. dass bei Ausfall einer IT-Komponente der Betrieb durch redundante Auslegung ohne Unterbrechung fortgesetzt werden kann. Betriebsverfügbarkeitskategorie 4 – Redundante Standorte: Die IT-Infrastruktur sowie die darauf aufsetzende IT-Anwendung ist auf zwei Standorte verteilt. Nachfolgend ein Beispiel für ein solches Klassifizierungsschema – basierend auf den Katastrophenvorsorge.und Ausfallssicherheitsüberlegungen im IT-Bereich des Bundeskanzleramtes [K-Fall]: • • • • Betriebsverfügbarkeitskategorie 1 – Keine Vorsorge (unkritisch): Für die IT-Anwendung werden keine besonderen Vorkehrungen getroffen. so dass bei Betriebsunterbrechung des einen Standortes die IT-Anwendung uneingeschränkt am zweiten Standort weiter betrieben werden kann.Dabei wird unterschieden zwischen der Aufrechterhaltung der Betriebsverfügbarkeit im Fall von Störungen oder Bedienungsfehlern (im Folgenden auch als Business Contingency Planung bezeichnet) sowie der Gewährleistung eines Notbetriebes und des geordneten Wiederanlaufs im Katastrophenfall (Katastrophenvorsorge. 139 . Die Sicherung wird an einen externen Ort ausgelagert. ein Datenverlust ist auszuschließen. KPlanung). dass zumindest ein Notbetrieb in einer Zero-Risk-Umgebung möglich ist. Eine Behinderung in der Wahrnehmung der Aufgaben der betroffenen Verwaltungsstelle entsteht durch den Ausfall bzw. Datenverlust nicht. Im Rahmen der Informationssicherheits-Politik sind die Verfügbarkeitsklassen für IT-Anwendungen und die diesen Anwendungen zugrunde liegenden IT-Systeme sowie der darauf verarbeiteten oder gespeicherten Informationen zu definieren. Betriebsverfügbarkeitskategorie 2 – Offline Sicherung: Es sind die gängigen Sicherungsmaßnahmen für die IT-Anwendung vorgesehen. Die IT-Anwendung kann bei technischen Problemen erst nach deren Behebung am ursprünglichen Produktivsystem in Betrieb genommen werden. Es ist ein Datenverlust bzw. Dazu werden die Daten je nach Aktualisierungsgrad laufend in die Zero-Risk-Umgebung transferiert und der Betrieb der IT-Anwendung derart gestaltet. Betriebsverfügbarkeitskategorie 3 – Redundante Infrastruktur: Die Infrastruktur für die IT-Anwendung ist derart ausgelegt. Ausfall der IT-Anwendung unbestimmter Dauer denkbar.

1. organisatorische Regelungen …) gegeben werden.1. Informationen über spezielle Sicherheitsmaßnahmen oder -systeme.2 Informationssicherheit ist kein durch einmalige Anstrengungen erreichbarer und dann unveränderbarer Zustand. Für nähere Informationen und für Klassifizierungsbeispiele siehe 14.3 Life Cycle der Informationssicherheits-Politik 5.1. Betroffenen abgestimmt wird. Die Zusatzoption „K-Fall sicher“ in Verbindung mit Betriebsverfügbarkeitskategorie 1 ist nicht sinnvoll.1. 5. Umfassendes InformationssicherheitsManagement beinhaltet vielmehr auch die Aufgabe. Es ist daher wichtig. Die Informationssicherheits-Politik muss daher Leitlinien und Kennzahlen zur Bewertung der Sicherheit hinsichtlich Angemessenheit.1 Erstellung der Informationssicherheits-Politik ISO Bezug: 27002 5. Informationssicherheit im laufenden Betrieb kontinuierlich zu überprüfen und aufrechtzuerhalten.7 Überprüfung und Aufrechterhaltung der Sicherheit ISO Bezug: 27002 5.3.1 Definition von Verfügbarkeitsklassen 5.2.1 Abschließend sollte ein Verweis auf die wichtigsten Dokumente zum Informationssicherheits-Management (Sicherheitsrichtlinien.1 Die Informationssicherheits-Politik soll von allen Mitarbeiterinnen/Mitarbeitern getragen werden.8 Dokumente zur Informationssicherheit ISO Bezug: 27002 5. 5.2. dass bei ihrer Erstellung alle wesentlichen Kräfte der Organisation beteiligt werden und das Dokument mit Vertreterinnen/ Vertretern aller Beteiligten bzw.In Summe ergibt eine derartige Einstufung die Verfügbarkeitsklassen 1 bis 4 und K2 bis K4. 140 . Wirksamkeit und Ordnungsmäßigkeit der eingesetzten Maßnahmen sowie deren Übereinstimmung mit der Informationssicherheits-Politik und dem Informationssicherheits-Konzept vorgeben.

5. 5. also allen Mitarbeiterinnen/Mitarbeitern der Organisation.Zunächst ist eine verantwortliche Person für die Erstellung der Informationssicherheits-Politik zu nominieren. in Kraft gesetzt und jedem Mitarbeiter/jeder Mitarbeiterin zur Verfügung gestellt. Wo nötig.. Weiters sollen Vertreter/innen folgender Bereiche an der Erstellung der organisationsweiten Informationssicherheits-Politik mitarbeiten bzw. Wesentliche Voraussetzung für eine erfolgreiche Implementierung und Umsetzung der Informationssicherheits-Politik ist. Geheimhaltungsverpflichtungen von externen Personen. Dazu sollten in der Folge die für die einzelnen Personengruppen wichtigsten Richtlinien und Vorgaben der Informationssicherheits-Politik zusammengefasst und jeder/jedem Betroffenen in schriftlicher Form zur Kenntnis gebracht werden.3. aber auch etwa externen Mitarbeiterinnen/Mitarbeitern und Lieferanten. die/der IT-Sicherheitsbeauftragte sein.1 Die Informationssicherheits-Politik wird von der Leitung der Organisation offiziell verabschiedet.3.3 Regelmäßige Überarbeitung 141 . soweit bereits definiert. sind das Einverständnis mit diesen Vorgaben und die Kenntnis der daraus erwachsenden Verpflichtungen auch durch eine Unterschrift bestätigen zu lassen (etwa Verpflichtung auf das Datengeheimnis.. bekannt sein. Ergänzungen zu Dienstverträgen.). Im Allgemeinen wird dies. in den Abstimmungsprozess miteinbezogen werden: • • • • • • • IT-Abteilung Anwender/innen Bereichs-IT-Sicherheitsbeauftragte Personalabteilung Gebäudeverwaltung und Infrastruktur Revision Budgetabteilung Die wesentlichen Inhalte der Informationssicherheits-Politik müssen allen Betroffenen und Beteiligten.1.2 Offizielle Inkraftsetzung der Informationssicherheits-Politik ISO Bezug: 27002 5. dass sie die volle und für jede/n Beteiligte/n sichtbare Unterstützung durch das Management erhält. .

nach dem die Informationssicherheits-Politik spätestens überprüft und aktualisiert werden sollte. in der Organisationsstruktur oder in den Bedrohungen. 142 .ISO Bezug: 27002 5. Als Richtwert hierfür kann ein Zeitraum von zwei bis drei Jahren angesehen werden. dennoch ist auch sie regelmäßig auf ihre Aktualität und Übereinstimmung mit den tatsächlichen Anforderungen zu überprüfen und bei Bedarf entsprechend anzupassen. Kommt es jedoch zwischenzeitlich zu gravierenden Änderungen im ITSystem. Die Verantwortung dafür ist dezidiert festzulegen. so ist eine sofortige Überarbeitung der Informationssicherheits-Politik in die Wege zu leiten. Im Allgemeinen wird sie bei der für die IT-Sicherheit beauftragten Person liegen.2 Zwar stellt die Informationssicherheits-Politik ein langfristiges Dokument dar.1.

• • • Die Management-Ebene wird über mögliche Risiken und Konsequenzen aufgrund mangelhafter Informationssicherheit informiert. dass die Management-Ebene die Sicherheitsmaßnahmen auch selbst vorbildlich lebt. Abgesehen von der Bereitstellung dafür notwendiger finanzieller und personeller Ressourcen müssen klare Ziele und Richtlinien vorgegeben und die jeweiligen Rollen und Verantwortlichkeiten festgesetzt werden.6 Organisation Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 6 ff " ". dass die Informationssicherheit nach innen und außen gewährleistet ist. Sie initiiert und steuert den Informationssicherheits-Prozess innerhalb der Organisation. Sie übernimmt die Gesamtverantwortung für Informationssicherheit. je nach Organisationsform und Geschäftsbereich. Dazu hat die Management-Ebene die Aufgabe. Voraussetzung dafür ist eine aktive Rolle der ManagementEbene bei Implementierung. Sicherheitsexperten und Interessensgruppen.1 Interne Organisation ISO Bezug: 27002 6.1. Dies kann auch. 6. dass alle Geschäftsbereiche zielgerichtet und ordnungsgemäß funktionieren und dass Risiken frühzeitig erkannt und minimiert werden. in verschiedenen Regelwerken festgelegt sein. Kontrolle und Weiterentwicklung der Informationssicherheitsmaßnahmen sowie Etablierung und Pflege von Kontakten zu Behörden.1 Die oberste Management-Ebene jeder Behörde und jedes Unternehmens ist dafür verantwortlich.1 In der Folge werden zunächst die Grundsätze und Maßnahmen des Informationssicherheits-Managements innerhalb der Organisation dargestellt. hängt also weitgehend vom Engagement und der Unterstützung des Managements ab. Folgendes zu veranlassen: 143 . Ob Informationssicherheit erreicht und erhalten wird. Letztlich kommt es aber auch darauf an.Verantwortung ISO Bezug: 27002 6.1.1 Management . 6. Mit der steigenden Abhängigkeit der Geschäftsprozesse von der Informationstechnik steigen auch die Anforderungen.

Dabei ist eine intensive Beteiligung der Führungsebene im "Managementprozess Informationssicherheit" erforderlich. Darstellung der Sicherheitsanforderungen. Finanzmittel) erreichbar sind. Zeit. dass bisweilen den Aussagen unbeteiligter Dritter mehr Gewicht bemessen wird als denen eigener Kollegen/ Kolleginnen. [Q: BSI-Standard 100-2] 6. Letztere bieten zusätzlich zum Fachlichen bei der notwendigen Sensibilisierung auch den Nutzen. Etablierung von Mechanismen. steuern und kontrollieren. Identifikation von Informationssicherheits-Zielen. Erarbeitung. die sich aus gesetzlichen und vertraglichen Vorgaben ergeben.• • • • • • • • Ermitteln der Sicherheitsrisiken für die Organisation und die Informationen sowie damit verbundene Auswirkungen und Kosten. um die Wirksamkeit der Maßnahmen der Informationssicherheits-Politik zu überprüfen. die Aufgabe "Informationssicherheit" wird allerdings typischerweise an eine/n IT-Sicherheitsbeauftragte/n delegiert.1 Die Management-Ebene muss den Sicherheitsprozess initiieren. Die Management-Ebene muss allerdings die Informationssicherheitsziele so definieren. dass sie in allen Bereichen mit den verfügbaren Ressourcen (Personal.1.1.1. Hilfestellungen kann die Management-Ebene dabei von branchentypischen Standard-Vorgehensweisen zur Informationssicherheit und externen Beratern/ Beraterinnen erhalten. Integration der Maßnahmen in die Prozesse der Organisation. Überprüfung und Genehmigung der Informationssicherheits-Politik. um das Informationssicherheits-Niveau aufrecht zu erhalten.Gremien ISO Bezug: 27002 6. Etablierung von Mechanismen. 144 .1 Zusammenwirken verantwortliches Management Mitarbeiter/innen . Darstellung der Auswirkungen von Sicherheitsvorfällen auf die kritischen Geschäftsprozesse. Die Verantwortung für Informationssicherheit verbleibt auch dort.

Fachverfahren und Projekte integriert wird. Dementsprechend sind die Zuständigkeiten und Verantwortlichkeiten bezüglich Informationssicherheitsthemen zu klären. Die oberste Management-Ebene ist somit diejenige Instanz. Idealerweise sollten dabei folgende Prinzipien eingehalten werden: • • • • • Die Initiative für Informationssicherheit geht von der Management-Ebene aus. Die Gesamtverantwortung für Informationssicherheit verbleibt bei der obersten Management-Ebene. Allerdings wird rechtzeitige Information über mögliche Risiken beim Umgang mit Informationen. Die Aufgabe "Informationssicherheit" wird durch die Management-Ebene aktiv unterstützt. die die Entscheidung über den Umgang mit Risiken trifft und die entsprechenden Ressourcen zur Verfügung stellen muss. Abhängig von Größe und Struktur der Organisation kann dies durch bestehende oder speziell eingerichtete Managementorgane oder -gremien umgesetzt werden.Nur so kann das Informationssicherheits-Management sicherstellen. Daher sollten diese die Management-Ebene über mögliche Risiken und Konsequenzen aufgrund mangelhafter Informationssicherheit regelmäßig informieren. speziell wenn es bereits zu einem Sicherheitsvorfall gekommen ist. [Q: BSI-Standard 100-2] 145 . Geschäftsprozessen und IT von der Management-Ebene häufig als Bringschuld der IT. Die Management-Ebene muss sich dafür einsetzen. um unter dem überall herrschenden Erfolgsdruck von den jeweiligen Fachverantwortlichen in jede wesentliche Aktivität eingebunden zu werden. Die Management-Ebene übernimmt auch im Bereich Informationssicherheit eine Vorbildfunktion. dass Informationssicherheit in alle relevanten Geschäftsprozesse bzw. der Sicherheitsprozess muss aber von allen Beschäftigten in einer Organisation mitgetragen und mitgestaltet werden. Die Management-Ebene benennt die für Informationssicherheit zuständigen Mitarbeiter/innen und stattet diese mit den erforderlichen Kompetenzen und Ressourcen aus. Die Leitungsebene trägt zwar die Verantwortung für die Erreichung der Sicherheitsziele. vor allem dass sie selbst die vorgegebenen Sicherheitsregeln beachtet. dass keine untragbaren Risiken bestehen und Ressourcen an der richtigen Stelle investiert werden. Die Management-Ebene trägt die Verantwortung für Prävention und Behandlung von Sicherheitsrisiken. dass sie von solchen Informationen umfassend und rechtzeitig erreicht wird. Der/Die IT-Sicherheitsbeauftragte braucht hierbei erfahrungsgemäß die volle Unterstützung der Management-Ebene. Dies enthebt die Management-Ebene jedoch nicht von ihrer Verantwortung.oder Sicherheitsexperten gesehen.

Maßnahmen. Schaffung und Förderung von Awareness und Etablierung von Ausbildungs.1. 146 . Diese Rollen werden dann qualifizierten Mitarbeitern/ Mitarbeiterinnen zur Ausführung übertragen. Abstimmung und Beschlusslagen für die erforderlichen Maßnahmen. Risikomanagement. Schlussfolgerungen und Verbesserungsmaßnahmen aus Informationssicherheits-Vorfällen (in der eigenen oder auch anderen Organisationen) Wie viele und welche Personen mit Informationssicherheit befasst sind. Beschaffenheit und Struktur der jeweiligen Organsiation ab. Aktivitäten im Rahmen einer solchen Zusammenarbeit sind: • • • • • • • Abgleichen der Sicherheitsaktivitäten mit der Informationssicherheits-Politik. Administratoren.Damit können alle wichtigen Aspekte berücksichtigt und die Aufgaben effizient und effektiv erledigt werden. Wenn nötig sollten auch Fachexperten (Recht.und Schulungsmaßnahmen für Informationssicherheit. Dazu sind Rollen innerhalb der Organisation festzulegen und diesen entsprechende Aufgaben zuzuordnen.6. wenn kein Einklang mit der Informationssicherheits-Politik erstellbar ist. Meistens umfasst die Koordination der Informationssicherheit die Zusammenarbeit von Managern/Managerinnen. muss der Informationssicherheits-Prozess organisationsweit umgesetzt werden.2 Koordination ISO Bezug: 27002 6. Benutzern/Benutzerinnen. Bewertung der Eignung und Wirksamkeit der Sicherheitsmaßnahmen. Zumindest sollte es jedoch eine/einen Sicherheitsbeauftragten als zentralen Ansprechpartner für die Koordination des InformationssicherheitsProzesses geben. Entwicklern sowie Auditoren und Sicherheitspersonal. Identifikation von bestehenden oder sich verändernden Bedrohungen. denen die Informationen und informationsverarbeitenden Einrichtungen ausgesetzt sind.2 Um das angestrebte Sicherheitsniveau zu erreichen. Personalwesen) eingebunden werden.1. hängt selbstverständlich von der Größe.

damit die Zuständigkeit jederzeit deutlich erkennbar ist. Die Fachverantwortlichen als die "Eigentümer" von Informationen und Anwendungen müssen sicherstellen.mehrere befasste Personen. für welche Informationen. Anwendungen und ITKomponenten sollten alle Verantwortlichen und deren Vertreter/innen namentlich genannt sein. Siehe dazu auch : 5. Bei komplexeren Informationen. Jede/r Mitarbeiter/in ist dabei für das verantwortlich. Vorgaben und Richtlinien aus. Um den direkten Zugang zur obersten Management-Ebene sicherzustellen.etwa in größeren Organisationen . der/die Leiter/in IT zusammen mit dem Informationssicherheits-Management für die Ausarbeitung von Sicherheitsvorgaben für die IT-Komponenten. Hierfür sollte immer eine konkrete Person (inklusive Vertreter/ in) und keine abstrakte Gruppe benannt werden. es sei denn. kann ein IS-Management-Team aufgebaut werden. sollten diese Rollen als Stabsstelle organisiert sein.1. Der/Die Sicherheitsbeauftragte soll direkt einem/einer für Informationssicherheit verantwortlichen Manager/Managerin berichten.3 Um zu einer umfassenden Gesamtsicherheit zu gelangen. Umgekehrt sollten natürlich alle Mitarbeiter/innen wissen. ist die Beteiligung aller Mitarbeiter/innen einer Organisation an der Umsetzung der notwendigen Sicherheitsmaßnahmen erforderlich.Gibt es . wer für Informationen. die Administratoren für deren korrekte Umsetzung und die Benutzer/innen für den sorgfältigen Umgang mit den zugehörigen Informationen. Anwendungen und IT-Komponenten sowie für deren Sicherheit verantwortlich ist.3 Organisation und Verantwortlichkeiten für Informationssicherheit [Q: BSI-Standard 100-2] 6. was in seinem/ihrem Einflussbereich liegt. Es muss festgelegt werden. Anwendungen und IT-Komponenten sie in welcher Weise verantwortlich sind. Beispielsweise ist die Leitungsebene der Organisation verantwortlich für alle grundsätzlichen Entscheidungen bei der Einführung einer neuen Anwendung.2.1. dass 147 . Anwendungen und Systemen. Unbeschadet davon ist jede/r Mitarbeiter/in für die Aufrechterhaltung der Informationssicherheit an seinem/ihrem Arbeitsplatz und in seiner/ihrer Umgebung verantwortlich. es ist explizit anders geregelt. Es regelt die übergreifenden Belange der Informationssicherheit und arbeitet Pläne.3 Definierte Verantwortlichkeiten für Informationssicherheit ISO Bezug: 27002 6.

USB-Sticks.1. PDA's. Installation und Benutzung von Komponenten wie auch etwa externen Laufwerken.3 Organisation und Verantwortlichkeiten für Informationssicherheit [Q: BSI-Katalog M 2. täglich.225] 6.2. B. Freigabe.• • • • • • der Schutzbedarf der Informationen.und Kompatibilitätstest Freigabe Installation Lizenzverwaltung Deinstallation . monatlich) überprüft wird die Aufgaben für die Umsetzung der Sicherheitsmaßnahmen klar definiert und zugewiesen werden der Zugang bzw. Anwendungen und IT-Komponenten korrekt festgestellt wurde die erforderlichen Sicherheitsmaßnahmen umgesetzt werden dies regelmäßig (z.1. also je nach Eigenschaften und Sicherheitsrelevanz: • • • • • • • 148 Erstellung eines Anforderungskataloges Auswahl eines geeigneten Produktes Funktions. wie mit eventuellen Restrisiken umgegangen wird. schriftlich dokumentiert werden Die Fachverantwortlichen müssen zusammen mit dem InformationssicherheitsManagement entscheiden. Mobiltelefonen und Software. Anwendungen und ITKomponenten geregelt ist Abweichungen.4 Beschaffung. welche die Informationssicherheit gefährden. Installation und Betrieb von informationsverarbeitenden Komponenten aller Art muss koordiniert und genehmigt sein. Siehe dazu auch : 5. Die Regelung muss den gesamten Lebenszyklus der jeweiligen Komponente umfassen. wöchentlich.4 Benutzungsgenehmigung für Informationsverarbeitung ISO Bezug: 27002 6. Zugriff zu den Informationen. Dies betrifft die geregelte Abnahme.

Die Installation und Benutzung nicht freigegebener IT-Komponenten muss verboten und die Einhaltung dieses Verbotes regelmäßig kontrolliert werden.216] 149 . zu erarbeitende Installationsanweisungen Während des Genehmigungsverfahrens sollten außerdem Installationsbzw. Da sie praktisch sind und in vielen Fällen von der ManagementEbene benutzt werden.3.1 Mobile IT-Geräte Jedenfalls muss vor Genehmigung von den Komponenten bekannt sein: • • • • ihre Funktionstüchtigkeit ihre Sicherheitseigenschaften mögliche durch ihren Einsatz entstehende Sicherheitsrisiken allfällige Einsatzbedingungen. Siehe dazu auch: 11. Vor der Inbetriebnahme neuer Komponenten sind (sofern erforderlich) die Administratoren bzw.1.und Software-Komponenten [Q: BSI-Katalog M 2. bis 12.• Entsorgung / Vernichtung Notwendigkeit zur Koordination und Genehmigung betrifft auch Wartungsaktivitäten an bestehenden sicherheitsrelevanten Einrichtungen. die Benutzer/ innen in deren Anwendung zu schulen.7.2 Nutzungsverbot privater Hard. wenn sich Änderungen auf die Sicherheit des Gesamtsystems auswirken könnten. Statt dessen müssen exakte Policies ihrer Verwendung und notwendiger Maßnahmen (etwa Verschlüsselung) definiert und umgesetzt werden.1 Nutzungsverbot nicht-freigegebener Software.3. sowie 12. wer der Eigentümer der Information ist. wenn sie auch Geschäftsinformationen verarbeiten sollen (weit verbreitet sind Kalender und Telefonlisten auf PDA's bzw. sind generelle Verbote ihres Einsatzes zunehmend schwieriger umzusetzten. in denen auch alle sicherheitsrelevanten Einstellungen dokumentiert sind.6 (ff) Testen von Software.1. Mobiltelefonen): Diese können erhebliche Schwachstellen bedeuten. Ebenfalls muss die allfällige Verwendung von persönlichen oder privaten Informationsverarbeitungs-Einrichtungen geregelt werden. Auch nach der Erstinstallation von Komponenten müssen diese weitergepflegt werden. und 12. Siehe dazu auch : • • • • 12. weiters ist bei diesen dann oft unklar.11 Deinstallation von Software. Konfigurationsanleitungen erarbeitet werden.

diese entsprechend zu behandeln. die von den externen Mitarbeitern/Mitarbeiterinnen unterzeichnet werden. Sie muss klar formuliert sein und aktuell gehalten werden. etwa Strafzahlungen bzw. 150 . In dem Fall. Haftungen.6.5 Externe Mitarbeiter/innen oder Subunternehmen benötigen und erhalten häufig für die Erfüllung ihrer Aufgaben Zugang zu vertraulichen Informationen oder erzielen Ergebnisse. Aus diesem Grund muss sie den geltenden Gesetzen und Bestimmungen für die Organisation in dem speziellen Einsatzbereich entsprechen und diese berücksichtigen. In diesen Fällen müssen sie rechtlich bindend verpflichtet werden. in welche Gerichtsbarkeit die Vertraulichkeitsvereinbarung fällt. ob die Vertraulichkeit für unbeschränkten Zeitraum sicherzustellen ist welche Aktionen bei Beendigung dieser Vereinbarung vorgenommen werden müssen. z. der überlassenden Organisation allfällige Regelungen für den Gebrauch und die Weitergabe von vertraulichen Informationen an weitere Partner. B. Hierüber sind Vertraulichkeitsvereinbarungen (Non-Disclosure-Agreements) abzuschließen. etwa Pflicht zur Überbindung der Vertraulichkeitsvereinbarung welche Konsequenzen bei Verletzung der Vereinbarung eintreten.1. In einer Vertraulichkeitsvereinbarung sollte beschrieben sein: • • • • • • • • • welche Informationen vertraulich behandelt werden müssen für welchen Zeitraum diese Vertraulichkeitsvereinbarung gilt bzw.1. die vertraulich behandelt werden müssen. In der Vertraulichkeitsvereinbarung kann auch auf die relevanten Sicherheitsrichtlinien und weitere Richtlinien der Organisation hingewiesen werden. sollten diese neben der Vertraulichkeitsvereinbarung auch die ITSicherheitsrichtlinien für die Nutzung der jeweiligen IT-Systeme unterzeichnen. geistigem Eigentum geregelt sind welche Verwendung der Informationen zulässig ist allfällige Kontrollrechte des Urhebers bzw. Eine Vertraulichkeitsvereinbarung bietet die rechtliche Grundlage für die Verpflichtung externer Mitarbeiter/innen zur vertraulichen Behandlung von Informationen.5 Vertraulichkeitsvereinbarungen ISO Bezug: 27002 6. dass externe Mitarbeiter/innen Zugang zur organisationsinternen ITInfrastruktur haben. Vernichtung oder Rückgabe von Datenträgern wie die Eigentumsrechte an Informationen resp.

eingewiesen werden können.oder Telekombetreiber) ist insbesondere bei Notfällen. Dies ist eine Aufgabe des Incident Handlings (siehe dazu 13. Daher sollen zum einen rechtzeitig Pläne. Muster siehe: Anhang C. kann die Organisation auf neue Gegebenheiten (etwa Vorschriften) angepasst werden. Arbeits. resp. Expertengremien. Best Practices und anderer Bereiche erhöht. 151 . zu bekommen.7 Rasche Kontaktaufnahme mit zuständigen Behörden oder Versorgungseinrichtungen (Feuerwehr. der in der Regel viel umfassender ist. Damit wird nicht nur der eigene Wissensstand betreffend Technologien. Behandlung von Sicherheitsvorfällen gefunden werden. Elektrizitäts und Gasversorgungsunternehmen sowie Internet. Gefährdungen.1.1.Es kann sinnvoll sein.1. Damit können beispielsweise Vorsorgemaßnahmen vorab abgestimmt oder relevante Neuerungen bekanntgegeben werden.zu verwenden. damit rasch und zuverlässig die richtigen Ansprechpartner kontaktiert und ggf. In solchen Gremien sind meist rasch und unkompliziert Sicherheitswarnungen und Informationen über bereits erprobte Behebungsmaßnahmen. ggf. Weiters können über solche geeignete Gremien oder Foren neue oder zusätzliche Ansprechpartner für Problemlösungen bzw. Aufsicht. Sicherheitsvorfällen oder Verdacht auf kriminelle Handlungen von entscheidender Bedeutung.5 Vereinbarung betreffend die Überlassung von Daten [Q: BSI-Katalog M 3.4 Alarmierungsplan). auch informelle Beziehungen zu solchen Institutionen gepflegt werden. die Kontakte mit ihnen gepflegt werden. aber auch Wasser-.6 Kontaktpflege mit Behörden und Gremien ISO Bezug: 27002 6. In diesem Fall muss klar definiert werden. in welchen aktiv mitgearbeitet oder lediglich Ergebnisse beobachtet werden. Polizei.bzw. Sinnvoll ist auch die Teilnahme oder Mitgliedschaft in Interessens-. resp. Produkten. bzw. Dazu ist es sinnvoll.1. welche Vereinbarung für welche Fälle notwendig ist. 6.6. sondern ein gemeinsamer Wissensstand mehrerer Partner aufgebaut. einen Überblick über passende Gremien und Interessensgruppen zu haben und zu entscheiden.je nach Einsatzzweck . Verfahren und Kontaktlisten erstellt werden. verschiedene Vertraulichkeitsvereinbarungen . generell Zugang zu Expertenwissen.55] 6. Zum anderen sollten regelmäßige.

Terminverzug bei der Umsetzung von Sicherheitsmaßnahmen.7 Unabhängige Audits der Sicherheitsmaßnahmen ISO Bezug: 27002 6.1. 6. oder es müssen geeignete Vertraulichkeitsvereinbarungen abgeschlossen werden.Allerdings ist zu beachten. Dies umfasst: • • • • • • • • • • • • neue Geschäftsprozesse neue Anwendungen neue Hard-. dass sensible Informationen auch gegenüber Gremien oder Kontaktpersonen geschützt bleiben müssen. und bleibt nicht ohne Weiteres dauerhaft bestehen. Infrastruktur und Umfeld sind immer wieder Änderungen unterworfen. Büros.1.oder Schadensfälle aber auch: Planungsänderungen. Software neue oder veränderte Infrastrukturen (Gebäude.8 Das angestrebte Sicherheitsniveau wird in der Regel nicht auf einmal bzw. mit einer einzelnen Maßnahme erreicht. Entweder dürfen sie also nicht verwendet werden. Organisation. 152 . Netzwerke) veränderte Organisationen (Outsourcing) neue Mitarbeiter/innen in Schlüsselpositionen oder: neue oder veränderte Gefährdungen (Nachbarfirmen mit Gefährdungspotenzialen) neue Angriffstechnologien veränderte Vermögenswerte und damit neuer Schutzbedarf Kenntnis von neuen Schwachstellen bereits eingetretene Sicherheitsvor. Leitungen.

Schwachstellen und Mängeln Abgleich. konfiguriert sind ob Auswertungen (etwa von Protokollen) tatsächlich durchgeführt werden und Auffälligkeiten beachtet werden 153 . insbesondere bei Änderungen in der Organisation. ob die Sicherheitsmaßnahmen gemäß Sicherheitskonzept umgesetzt sind oder werden ob technische Maßnahmen korrekt implementiert bzw. wirksam. Ziel der Prüfung ist nicht Überwachung der Mitarbeiter/innen als Selbstzweck oder gar deren Bloßstellung. inwieweit sie umgesetzt sind (vorhanden. Keinesfalls sollten Personen als Prüfer tätig sein. dokumentiert) und auch gelebt werden. sondern: • • • • Suche nach und Eliminierung von Fehlerquellen. Ressourceneinsatz und Kosten zu prüfen. Geprüft werden die Maßnahmen laut Sicherheitskonzept: • • • ob damit die angestrebten Sicherheitsziele erreicht werden können ob sie zum Zeitpunkt der Prüfung noch umsetzbar. aktuell und vollständig sind ob bzw. Termintreue. die am Sicherheitskonzept mitgewirkt haben. Durchführung der Prüfungen: Die laufenden Umsetzungsaktivitäten selbst sind hinsichtlich Umsetzungsstatus. Solche Prüfungen sollten: • • • vom Management initiiert und begleitet sein regelmäßig durchgeführt werden (zumindest einmal pro Jahr) aber auch zwischenzeitlich und unangekündigt erfolgen. Sie sollte durch eine weitgehend unabhängige und kompetente Stelle (Revisionsabteilung oder spezialisierte externe Gutachter) erfolgen: • • • damit nicht nur die unternehmenseigene Sichtweise zum Tragen kommt die Ergebnisse nicht angezweifelt werden können und die Gelegenheit zum Einbringen zusätzlicher Expertise genutzt werden kann.Prüfziel und Prüfzweck: Dies erfordert die regelmäßige Überprüfung (Audit) aller Sicherheitsmaßnahmen.

ob nicht wirtschaftlichere Maßnahmen möglich sind) Schlußfolgerungen aus Sicherheitsvorfällen Verhindern. wenn sich die Information auch aus Quellen der normalen Tätigkeit gewinnen lässt). Auch hier ist darauf zu achten. die zeitlich bzw. Sicherheitsmaßnahmen. Selbstverständlich muss dafür gesorgt sein. Sicherheitskonzept und dokumentierte Sicherheitsmaßnahmen. Immerhin bedeutet sie eine Zusatzbelastung für die Mitarbeiter/innen. Sicherheitskonzept.• • • • • • • Erkennen von schwachen oder nicht wirksamen Sicherheitsmaßnahmen von nicht eingehaltenen Sicherheitsanweisungen und den Ursachen dafür von neuen oder veränderten Bedrohungen Anpassungsbedarf für das Sicherheitskonzept bzw. was auf Grund der Ergebnisse der Prüfung geschehen soll. dass sich Sicherheitsvorfälle wiederholen Aufzeigen von Verbesserungs. Die Durchführung der Prüfung muss vom Management wie jedes andere Projekt koordiniert und begleitet werden. Ansonsten würden womöglich bekannte Schwachstellen oder gar Vorfälle verschwiegen oder heruntergespielt. bisweilen auch räumlich ausreichend unterzubringen ist. dass das Management regelmäßig über Verlauf. entsprechende Vertraulichkeitsvereinbarungen abgeschlossen werden. dass sensible Informationen geschützt bleiben müssen bzw. Daher muss ihnen der Nutzen dargestellt und allfällige Ängste vor Schuldzuweisungen genommen werden. Solche dürfen nur von autorisierten Personen verwendet werden und sind selbst vor Missbrauch zu schützen. Jedenfalls ist dem Management ein Prüfbericht vorzulegen: • • 154 Was wurde jeweils im Einzelnen geprüft und von wem Was war die Prüfgrundlage (z. Dies gilt insbesondere auch für eingesetzte Prüfwerkzeuge. Norm) . Maßnahmen auf Grund der Prüfergebnisse: Es ist vorab zu definieren. die Sicherheitsziele zu erreichen.B. (Eignung. vorläufige Erkenntnisse und allfällige Probleme der Prüfung informiert wird. Es sollte einerseits auf Effizienz geachtet werden (etwa Vermeiden unnötiger ad-hoc Listen und Aufstellungen. Basis für die Prüfung sind primär Sicherheitspolitik. andererseits darf kein Bereich ungeprüft bleiben.und Korrekturmaßnahmen Wesentlich für den Erfolg der Prüfung im Sinne eines Verbesserungspotenzials ist die Akzeptanz und Offenheit seitens aller Beteiligter. Fortschritt.

Verbesserungsmaßnahmen einzuleiten sind. um angemessene Konsequenzen einzuleiten. Netzwerk-.• • • • Was war im Einzelnen das zu erreichende Prüfziel Inwieweit wurde es erreicht oder welche Abweichungen / Unregelmäßigkeiten wurden festgestellt War jeweils die Implementierung / Konfigurierung / Dokumentation korrekt Wie sind allfällig erkannte Schwachstellen / Unregelmäßigkeiten / neue Gefahren zu quantifizieren und welcher Handlungsbedarf ergibt sich daraus Es ist dann die Pflicht des Managements. Dazu wird ein Umsetzugsplan verabschiedet wobei festgehalten wird: • • • Zeitaufwand und Fertigstellungstermine Verantwortlichkeiten für die Umsetzung Zur Verfügung gestellte Ressourcen Die Umsetzung der Verbesserungsmaßnahmen ist dann Gegenstand des nächsten Audit. zusätzliche Kontrollmechanismen. Verantwortung und Ressourcen für ihre Umsetzung. [Q: BSI-Katalog M 2. welche Konsequenzen zu ziehen bzw. Softwareänderungen. Optimalerweise . Kommunikationsionfrastrukturanpassung Zu jeder festgestellten Abweichung soll eine Verbesserungsmaßnahme vorgeschlagen werden . sollte der jeweilige Vorgesetzte informiert werden. Werden unzulässige Aktivitäten von Mitarbeitern/Mitarbeiterinnen entdeckt. auf Basis der Ergebnisse entsprechende Verbesserungsmaßnahmen einzuleiten.existiert in der Organisation ein periodischer Verbesserungsprozess.inklusive Zeitpunkt.199] 155 . veränderte Leitungsführungen Technik: Hard-. Schließlich entscheidet die Management-Ebene auf Basis der Prüfergebnisse. Verbesserungsmaßnahmen abhängig von der Ursache können sein: • • • • • ISMS: Anpassung der Sicherheitspolitik oder des Sicherheitskonzepts Organisation: Abänderung organisatorischer Maßnahmen.bei regelmäßigen Prüfungen . Schulungs.oder gar disziplinäre Maßnahmen Infrastruktur: Bauliche Veränderungen. veränderte Zugriffsberechtigungen Personal: Awareness-. im Rahmen dessen die Korrekturmaßnahmen dokumentiert. umgesetzt und ihrerseits wieder überprüft werden.

6. diese aber nicht wiederholt werden.ob und inwieweit die eigene Organisation betroffen ist . Die Sprache sollte auch für nicht technisch versierte Leser verständlich sein. Jede Änderung an den Sicherheitszielen. Um deren Niveau zu halten.1. Regelmäßige Management-Berichte Für die Management-Ebene sind nicht so sehr die Details. verwiesen. Auf Aspekte.1. Verzögerungen. Dies gilt auch für die aktuelle Situation der Informationssicherheit. sondern die Eckdaten relevant: • • • • Ergebnisse von Audits und Überprüfungen Berichte von Not. die bereits in anderen Berichten erörtert wurden. den Implementíerungen und ím Umfeld wirkt sich auf das Sicherheitsniveau aus. Ad-Hoc Management-Berichte Im Anlassfall sollten ad-hoc Berichte erarbeitet werden.oder Sicherheitsvorfällen Berichte über den Status des Informationssicherheits-Prozesses (Erledigungen. Änderungen. sollte ggf. etwa: • • • • • 156 unerwartete Sicherheitsprobleme neue Gefährdungspotenziale neue Gesetze Probleme die mit den vorgesehenen Ressourcen nicht gelöst werden können In Massenmedien dargestellte Vorfälle .8 Berichtswesen ISO Bezug: 27002 6. Probleme. künftige Planungen) Verbesserungsvorschläge Dies sollte in regelmäßigen aber kurzen und übersichtlichen Berichten an die Management-Ebene erfolgen. ist laufend dieses laufend zu bewerten und der Informationssicherheits-Prozess zu steuern. daher muss die Management-Ebene darüber informiert werden. Ressourcenbedarf.8 Die Management-Ebene benötigt für ihre Entscheidungen aussagekräftige und aufbereitete Informationen.

heißen Application Service Provider (ASP): • E-Mail 157 .2. einer Website Wachdienst Dienstleistungen mit Bezug zur IT-Sicherheit ausgelagert heißen Security Outsourcing oder Managed Security Services: • • • • ausgelagerter Firewall-Betrieb Netzwerküberwachung Virenschutz Betrieb eines Virtual Private Networks (VPN) Dienstleister. einer Applikation.1 6. Ressourcenbedarfs und der jeweiligen Priorität.200] 6. Ob dies in den Räumlichkeiten des Auftraggebers oder in einer externen Betriebsstätte des Outsourcing-Dienstleisters geschieht.1 Outsourcing ISO Bezug: 27002 6. 10.2 Zusammenarbeit mit Externen ISO Bezug: 27002 6. Beispiele: • • • Nutzung und Betrieb von Hardware und Software Betrieb eines Rechenzentrums.2.inklusive einer Schätzung des damit verbundenen Aufwands bzw. wenn zu den aufgezeigten Punkten auch klar formulierte Vorschläge für Maßnahmen dargestellt werden . dass Arbeits.1.Abgesehen von bloßen Kenntnisnahmen ist das Ziel solcher Berichte meist eine Entscheidung der Management-Ebene. [Q: BSI-Katalog M 2. ist nicht erheblich.oder Geschäftsprozesse einer Organisation ganz oder teilweise zu externen Dienstleistern ausgelagert und von diesen durchgeführt werden. die auf ihren eigenen Systemen Anwendungen für ihre Kunden betreiben.2 Outsourcing bedeutet. Diese wird nur dann erreicht.

[Q: BSI B 1. Der Ablauf eigener Geschäftsprozesse wird nun vom Dienstleister gesteuert und es entsteht eine Abhängigkeit von dessen Qualität. spricht man von Application Hosting. besteht nach wie vor ein Trend zu verstärkter Auslagerung.1 158 . Sicherheitmaßnahmen sowie die Gestaltung vertraglicher Regelungen zwischen Auftraggeber und Dienstleister. Die Erwartung an Outsourcing von Geschäftsprozessen oder Produktionen sind unter Anderem: • • • • Konzentration auf Kernkompetenz (Core Business) Kostenersparnis (etwa IT-Systeme samt Personal) Entlastung eigener Ressourcen Flexibilität der Prozesse Obwohl auch einige Outsourcing-Projekte gescheitert sind. Wesentlich sind daher beim Outsourcing die Kenntnis und Behandlung der Gefährdungen bzw.2 Gefährdungen beim Outsourcing ISO Bezug: 27002 6. Meist sind Auftraggeber und Dienstleister über das Internet oder ein VPN miteinander verbunden. Eine Herausforderung für die Informationssicherheit liegt darin.2. dass die Informationssysteme und Netzwerke der eigenen Organisation und ihrer Dienstleister miteinander verbunden werden.11] 6. existenzgefährdenden Risiken für die auftraggebende Organisation.2.• • • SAP-Anwendungen Archivierung Web-Shops Sind die Anwendungen Eigentum des Kunden. Damit ergeben sich eine Reihe von potenziell höchst gefährlichen bzw.

die Ausgestaltung der Wertschöpfungskette und betrifft viele weitere wesentliche Belange eines Organisationsmanagements. technischer und auch menschlicher Ebene existieren und sind nachfolgend in den einzelnen Gefährdungskatalogen aufgeführt.Die Gefährdungslage eines Outsourcing-Vorhabens ist ausgesprochen vielschichtig. Die Entscheidung über das Auslagern einer speziellen Aktivität beeinflusst nachhaltig die strategische Ausrichtung der Organisation.und Freigabeverfahren Ungesicherter Akten. Die Gefährdungen können parallel auf physikalischer. die Definition ihrer Kernkompetenzen. um Fehlentwicklungen der eigenen Organisation frühzeitig zu erkennen und zu verhindern.und Zugriffsrechten Fehlerhafte Outsourcing-Strategie Unzulängliche vertragliche Regelungen mit einem externen Dienstleister Unzureichende Regelungen für das Ende des Outsourcing-Vorhabens Abhängigkeit von einem Outsourcing-Dienstleister Störung des Betriebsklimas durch ein Outsourcing-Vorhaben Mangelhafte IT-Sicherheit in der Outsourcing-Einführungsphase Schwachstellen bei der Anbindung an einen Outsourcing-Dienstleister Unzureichendes Notfallvorsorgekonzept beim Outsourcing Menschliche Fehlhandlungen 159 . müssen zuvor die organisationseigenen Werte und Informationen entsprechend ihrer strategischen Bedeutung für die Organisation beurteilt und klassifiziert werden. Um die jeweils existierenden Risiken quantitativ bewerten zu können.und Datenträgertransport Unzureichendes Sicherheitsmanagement Ungeeignete Verwaltung von Zugangs. Es sollten daher alle Anstrengungen unternommen werden. • • • • • • • • • • • • • • • • • • Höhere Gewalt Ausfall eines Wide Area Netzwerkes Organisatorische Mängel Fehlende oder unzureichende Regelungen Unerlaubte Ausübung von Rechten Fehlendes oder unzureichendes Test.

oder Integritätsverlust von Daten durch Fehlverhalten Technisches Versagen Schlechte oder fehlende Authentifikation Ausfall eines Kryptomoduls Ausfall der Systeme eines Outsourcing-Dienstleisters Vorsätzliche Handlungen Missbrauch von Fernwartungszugängen Missbrauch von Administratorrechten Social Engineering Vertraulichkeitsverlust schützenswerter Informationen Integritätsverlust schützenswerter Informationen Weitergabe von Daten an Dritte durch den Outsourcing-Dienstleister [Q: BSI B 1. ob und in welcher Form ein OutsourcingVorhaben umgesetzt wird.3 Outsourcing Planungs. müssen die sicherheitsrelevanten Gesichtspunkte herausgearbeitet werden.2. Für jedes Teilsystem und für die Schnittstellenfunktionen muss das definierte Sicherheitsniveau gewährleistet sein. Outsourcing zieht wirtschaftliche. die sich ausschließlich im Einflussbereich des Outsourcing-Dienstleisters befinden.• • • • • • • • • • • • Vertraulichkeits.und Betriebsphasen ISO Bezug: 27002 6.11] 6. technische. organisatorische und sicherheitsrelevante Aspekte nach sich und bedingt vorab: • 160 Unternehmensstrategie . Phase 1: Strategische Planung des Outsourcing-Vorhabens: Schon bei der Entscheidung. als auch aus Komponenten beim Auftraggeber. In der Regel gibt es in diesem Fall Schnittstellen zur Verbindung der Systeme.1 Ein ausgelagerter IT-Verbund kann sowohl aus Komponenten bestehen.2.

wo dies tatsächlich möglich ist. etwa durch gute Auslastung großer Installationen. ob Auslagerungen von Aufgaben rechtlich möglich bzw. wie bestehende IT-Systeme oder IT-Verbünde abgegrenzt und getrennt werden können. Routineabläufe)? Wie können weiterhin Anforderungen an die IT gestellt werden? Was geschieht mit bisher selbst entwickelten IT-Anwendungen? Wesentlich ist zunächst die Klärung. Datenübertragung vom und zum Dienstleister erzeugt neue Gefährdungen.verbunden sein kann: • • • • • • Outsourcing kann in der Regel nicht einfach rückgängig gemacht werden. Ein gewisser Know-How Transfer zum Dienstleister lässt sich (auch mit "wasserdichten" Vertraulichkeitsvereinbarungen) nicht verhindern. Daher sollte eine Sicherheitsanalyse durchgeführt werden. wenn er dabei auch noch einen Gewinn lukriert. Selbstverständlich gibt es viele Fälle.bei gleicher oder gar besserer Qualität. IT-Dienstleistungen auszulagern ist die Erwartung von Kostensenkungen . dass die Verantwortung für Produkte oder Dienstleistungen bei der eigenen Organisation verbleibt. mitunter aber durch Auslagern mit höherem Risiko . Konzessionen. Im Rahmen des Outsourcing werden neue Prozesse und Arbeitsabläufe entworfen. Es muss vorab abgeschätzt werden. es entsteht eine langfristige Bindung an den Dienstleister. • Die IT-Sicherheit sollte keinesfalls bei den strategischen Überlegungen vernachlässigt werden.sowie weiteren Risiken . Es muss klar sein. um festzustellen. auf Grund von Auflagen schwierig sein werden (etwa gesetztlich festgeschriebene Kompetenzen. Sie verliert die alleinige und vollständige Kontrolle darüber. Meist ist es notwendig. Der Dienstleister hat Zugriff auf Informationen und IT-Ressourcen der eigenen Organisation. eingeführt und durchgeführt und bewirken Änderungen des Sicherheitskonzepts und der Implementierungen. Einschaltung von Aufsichtsbehörden). wieso das dem Dienstleister gelingen wird. Gewerbeberechtigungen. da bei dessen Mitarbeitern/Mitarbeiterinnen entsprechendes Wissen entsteht. damit Teile davon ausgelagert werden können: • • IT-Strukturanalyse Schutzbedarfsfeststellung 161 .• • • • • Machbarkeitsstudie mit den Rahmenbedingungen Kosten-Nutzen-Schätzung Welche Anwendungen sollen ausgelagert werden (Kerngeschäft. Ein häufiger Grund. dass Mitarbeiter/innen oder Subunternehmer des Dienstleisters zeitweise in den Räumlichkeiten der eigenen Organisation arbeiten müssen.

Geschäftsprozessen. Auch nach erfolgter Auswahl wird eine weitere Verfeinerung der Sicherheitsanforderungen bis hin zu den Umsetzungsschritten notwendig sein. um dann konkret genug zu sein. Kommunikationsverbindungen. Notwendige Einräumung von Zutritts. müssen die wesentlichen übergeordneten Sicherheitsanforderungen für das Outsourcing-Vorhaben festgelegt werden. Aufzeigen der Auswirkungen relevanter Gesetze und Vorschriften. Anwendungen. Diese werden zunächst beginnend mt den gewünschten Sicherheitsniveaus in den betroffenen Bereichen immer weiter verfeinert. [Q: BSI M 2. Diese müssen identifiziert und beschrieben werden. Systemen. Anwendungen. etwa bei länderübergreifendem Outsourcing oder wenn einer oder beide Partner weltweit tätig sind. Risikoanalyse) durchgeführt werden. Dies kann erheblichen Aufwand verursachen. Es entstehen Schnittstellen zwischen den nun im Verbund wirkenden Aufgaben. Chancen und Risiken sowie den Erfahrungen. An diese Schnittstellen müssen technische und organisatorische Sicherheitsanforderungen gestellt werden. Räume) hinsichtlich Vertraulichkeit. einen geeigneten Dienstleister auszuwählen.• Feststellung des Handlungsbedarfs sowie der Kosten für umzusetzende Maßnahmen Bei hohem Schutzbedarf wichtiger Systeme oder Anwendungen muss eine ergänzende Sicherheitsanalyse (z. 162 . Folgende Aspekte sind in der Regel zu berücksichtigen: • • • • • • • Welches Mindestniveau (IT-Grundschutz) ist von beiden Parteien zu erfüllen? Sowohl Dienstleister wie eigene Organisation müssen über ein Sicherheitskonzept verfügen und dieses umgesetzt haben. Mit dem ausgelagerten Betrieb ergeben sich neue Sicherheitsanforderungen sowohl an den auszuwählenden Dienstleister wie auch an die eigene Organisation. Meist wird ein zusätzliches Restrisiko bei der eigenen Orgtanisation verbleiben.250] Phase 2: Definition der wesentlichen Sicherheitsanforderungen: Wenn die Entscheidung zum Outsourcing gefallen ist. Schließlich erfolgt die Dokumentation der Outsourcing-Strategie mit Zielen. B. Strukturanalyse und Schutzbedarfsfeststellung (IT-Systeme. Integrität und Verfügbarkeit müssen erfolgen.und Zugriffsrechten für den Dienstleister. Diese Sicherheitsanforderungen sind die Basis für das Ausschreibungsverfahren.

anders sein als das der eigenen Organisation) Anforderungen an die Informationssicherheit Kriterien zur Messung von Servicequalität und Sicherheit Anforderungen an die Qualifikation der Mitarbeiter/innen.und Signaturverfahren). Audits . Anforderungen an die Verfügbarkeit von Diensten und IT-Systemen (Service Levels. Spezielle Anforderungen an Hard-/ Software (etwa zertifizierte Produkte beim Dienstleister). durch unabhängige Dritte). Vorgaben zur Absicherung der Kommunikation zwischen Dienstleister und eigener Organisation (Verschlüsselungs. Anforderungen an die Protokollierung und Auswertung von Protokolldateien. Sicherstellung. Vorgaben an die Mandantenfähigkeit und ggf. Personal und Technik durch das zu erreichende Sicherheitsniveau (etwa auch Alarmierungen. Anforderungen zur Qualitätssicherung (etwa Messungen von Reaktionszeiten.ggf. etwa da langfristige Abhängigkeiten entstehen. dass diese dann tatsächlich tätig sind und dass es geeignete Vertreter/innen gibt 163 .251] Phase 3: Auswahl des Outsourcing-Dienstleisters: Ihr kommt eine besondere Bedeutung zu. Organisation. Verfügbarkeit). Lastverteilung etwa bei Web-Servern). dass sich geeignete Dienstleister bewerben. sind: • • • • • • • möglichst detailliertes Anforderungsprofil darauf basierendes Pflichtenheft Eine bedarfsgerechte Ausschreibung sollte enthalten: Beschreibung des Outsourcing-Vorhabens (Aufgabenbeschreibung und Aufgabenteilung) Beschreibung des geforderten Qualitätsniveaus (dieses kann ggf. Spezifizieren von gewünschten Verfahren für die Kontrolle und Überwachung (etwa unangekündigte Kontrollen vor Ort. [Q: BSI M 2. Benennung von Sicherheitsbeauftragten beim Dienstleister). Trennung von Hard.und Software (etwa keine Systeme anderer Mandanten im gleichen Raum des Dienstleisters. Kritische Erfolgsfaktoren dafür.• • • • • • • • Beschreibung der Anforderungen an Infrastruktur. exklusiv genutzte Hardware in Käfigen).

• • Bei ausländischen Dienstleistern: Festlegung der Sprache für die gemeinsame Kommunikation und Sicherstellung.253] Phase 5: Erstellung eines IT-Sicherheitskonzepts für den ausgelagerten IT-Verbund: Auftraggeber und Outsourcing-Dienstleister müssen ein detailliertes Sicherheitskonzept. Kontrolle der Leistungen. die vereinbarten Leistungen und Ziele so genau und eindeutig wie möglich vertraglich festzuhalten. sind oftmals mit deutlichen Kostenerhöhungen für den Auftraggeber verbunden. wer für die fachlichen Inhalte verantwortlich ist und welche Mitwirkungspflichten dem Auftraggeber obliegen. Verwertungsrechte. erstellen. Diese Verträge werden häufig als Service Level Agreements (SLA) bezeichnet. Sicherheitsüberprüfung. Umgang mit vertraulichen Informationen. kann und sollte sich der Auftraggeber ein Mitspracherecht einräumen lassen. In diesem Vertrag müssen auch die genauen Modalitäten der Zusammenarbeit geklärt sein: Ansprechpartner. Weitergabe von Information an Dritte etc. welches Personal der Dienstleister einsetzen wird (Qualifikation. Insbesondere ist zu klären. Ausgestaltung der IT-Sicherheitsvorkehrungen. IT-Anbindung. Daher kann es notwendig sein. Vorliegen von Sicherheitsüberprüfungen der Mitarbeiter/ innen des Dienstleisters Zu beachten ist. Ggf. Nachträgliche Konkretisierungen und Ergänzungen des Vertrages. 164 . der die gewünschten Leistungen inklusive Qualitätsstandards und Fristen im Einklang mit der vorhandenen Gesetzgebung festschreibt. Reaktionszeiten. das auch ein Notfallvorsorgekonzept enthält. Dabei ist es empfehlenswert. Auch die Erstellung des IT-Sicherheitskonzeptes selbst sollte Vertragsbestandteil sein. die aufgrund unterschiedlicher Interpretationen der beschriebenen Leistungen notwendig werden. diese nur gegen Vertraulichkeitsvereinbarung an den sich bewerbenden Dienstleister zu übermitteln.252] Phase 4: Vertragsgestaltung: Auf Basis des Pflichtenheftes muss nun ein Vertrag mit dem Partner ausgehandelt werden. [Q: BSI M 2. Sprachkenntnisse). [Q: BSI M 2. dass aus detallierten Sicherheitsanforderungen Schlüsse auf die eigenen Sicherheitsmechanismen und ihre Wirksamkeit gezogen werden können. dass diese von allen befassten Mitarbeitern/ Mitarbeiterinnen (auch den eigenen) auch in Detailaspekten beherrscht wird Notwendigkeit bzw.

um Angriffe frühzeitig zu erkennen Einsatz von Datei-Integrität-Prüfungssystemen. nach erfolgreichen Angriffen. für die das "Vier-Augen-Prinzip" anzuwenden ist Hard-/Software Einsatz gehärteter Betriebssysteme. ob es vorhanden und ausreichend ist. aus welchem die Sicherheit im Zusammenspiel der Einzelsysteme hervorgeht.Bei Outsourcing-Projekten ergeben sich viele technische und organisatorische Details erst im Laufe der Planung und der Migration der Systeme. Jeder Beteiligte muss ein Sicherheitskonzept in seinem jeweiligen Einflussbereich erstellen und umsetzen (im Fall des Netzproviders sind die Schnittstellen relevant). um eine möglichst umfassende Protokollierung zu ermöglichen 165 . Darüber hinaus muss dann ein IT-Sicherheitskonzept für das Gesamtsystem erstellt und mit den Teilkonzepten abgestimmt werden.prüfen. Outsourcing-Dienstleister 3. Netzprovider (Anbindung zwischen den Outsourcing-Parteien . durch externe Dritte . um Angriffe möglichst zu erschweren Einsatz von Intrusion-Detection-Systemen (IDS). B. Sicherheitskonzepte für Outsourcing-Vorhaben unterscheiden sich in einigen Punkten von solchen für eigene Systeme. Daher wird das Sicherheitskonzept für das Outsourcing-Vorhaben in den wenigsten Fällen gleich vollständig und endgültig sein. Einige Themen und Aspekte für das OutsourcingSicherheitskonzept: Organisation • • • • • • Umgang mit Daten und schützenswerten Betriebsmitteln wie Druckerpapier und Speichermedien. sondern muss während der Migration stetig weiterentwickelt und konkretisiert werden.zuständig für die Netzanbindung ist in der Regel der Outsourcing-Dienstleister). da in der Regel 3 technische Parteien beteiligt sind: • • • 1. da während dieser mit Sicherheitsvorfällen gerechten werden muss. Am Sicherheitskonzept des Outsourcing-Dienstleisters ist der Auftraggeber nicht direkt beteiligt. Outsourcing-Auftraggeber 2. um Veränderungen z. zu erkennen Einsatz von Syslog.und Timeservern. sollte aber in einem Audit . insbesondere Regelungen zum Anfertigen von Kopien und Löschen/Vernichten Festlegung von Aktionen. Besondere Aufmerksamkeit ist dabei auch auf die Migrationsphase der Aufgaben und Systeme zum Dienstleister zu richten.ggf.

beim Outsourcing-Dienstleister sowie für die Schnittstellen zwischen Auftraggeber und Dienstleister (z. B. Verbot von Gruppen-IDs für Personal des Dienstleisters Kommunikation • • • • • Absicherung der Kommunikation (z. getrennte Backup-Medien für jeden Klienten. durch Verschlüsselung. Daher sind genaue Anweisungen seitens des Auftraggebers erforderlich: 166 . Router. Notfallvorsorgekonzepte müssen für die Systeme beim Auftraggeber. Dienstqualität. Eskalationsstrategien. Ansprechpartnern und Abläufen Erstellen von Detailregelungen für die Datensicherung (z. Abläufen und organisatorische Regelungen Notfallvorsorge Beim Outsourcing-Betrieb ist auch die Notfallvorsorge auf unterschiedliche Parteien aufgeteilt und die IT-Komponenten sind verteilt. Detailgrad) für Kontrollen und Messung von Sicherheit. dass das Personal des Dienstleisters meist keine inhaltlichen Kenntnisse über die Anwendungen besitzt. B. um sensitive Daten zu schützen Authentisierungsmechanismen Detailregelungen für weitere Netzanbindungen Detailregelungen für den Datenaustausch Kontrollen und Qualitätssicherung Detailregelungen (z. die auf seinen Systemen betrieben werden. unangekündigte Kontrollen vor Ort. Zuständigkeiten. Vertretungsregelungen. B. aber Fehler beheben soll oder muss. Telekommunikationsprovider) existieren und detailliert beschreiben: • • • • Regelung und Dokumentation von Zuständigkeiten. Verfügbarkeit. B. Virenschutz) Erstellen von Arbeitsanweisungen mit konkreten Anordnungen für bestimmte Fehlersituationen Konzeption von regelmäßig durchzuführenden Notfallübungen Eine besodere Problematik kann sich dadurch ergeben.• • Einsatz kaskadierter Firewallsysteme zur Erhöhung des Perimeterschutzes auf Seiten des Dienstleisters Sorgfältige Vergabe von Benutzer-Kennungen. Zeitintervalle. elektronische Signatur) zwischen Dienstleister und Auftraggeber. Netzverbindung.

ggf.und Einführungsphase als Teil des gesamten Vorhabens betrachtet werden: • • • in dieser Phase sind zahlreiche Betriebsfremde involviert es müssen Abläufe etabliert. Die kann der Dienstleister meist nicht selbst abschätzen und muss daher rechtzeitig mit dem Auftraggeber Kontakt aufnehmen. angepasst werden Bei Tests in Phasen großer Arbeitsbelastung werden gerne "quick and dirty" Lösungen gewählt. verboten sind auf welche anwendungsspezifischen Informationen zurückgegriffen werden kann ob und welche Schutzmaßnahmen für solche Informationen einzuhalten sind welche Anprechpartner beim Auftraggeber für anwendungsspezifische Probleme zur Verfügung stehen Ein weiteres Problem kann sich durch Fortpflanzung eines Anwendungsfehlers auf andere Anwendungen ergeben. 167 . werden Kopien von Produktionsdaten ohne weiteren Schutz verwendet). die selten sehr sicher sind (z. [Q: BSI M 2. zusätzlich mit externen Experten. In einem zu erarbeitenden vorläufigen Sicherheitskonzept müssen die Test. die deshalb einer sorgfältigen Planung bedarf.254. M 6. die in das IT-Sicherheitskonzept eingearbeitet werden müssen. Phase 5 wird in der Regel erst nach Beendigung der Migrationsphase abgeschlossen werden können. zumindest sollte es aus einem Sicherheitsexperten bestehen und hat die Aufgaben: • Zusammenstellung eines gemischten Teams aus Mitarbeitern/Mitarbeiterinnen des Auftraggebers und des Outsourcing-Dienstleisters. In der eigenen Organisation sollte ein Sicherheitsmanagement-Team speziell für die Umstellungsphase eingerichtet werden und schon vor der Umstellung für sicheren ITBetrieb während der Migrationsphase sorgen.oder Übergangsphase.• • • • • wie bei Fehlern vorzugehen ist welche Aktionen erlaubt resp. Aufgaben übertragen Systeme neu eingerichtet bzw. Seine Größe hängt vom Vorhaben ab.83] Phase 6: Migration . weil sich während der Migration der IT-Systeme und Anwendungen immer wieder neue Erkenntnisse ergeben.B.Übergang der Anwendungen und Systeme zum Dienstleister: Besonders sicherheitskritisch ist die Migrations.

beispielsweise in der Behandlung von Fehlfunktionen und sicherheitsrelevanten Vorkommnissen eingestellt hat. entsteht eine Gefahr des Social Engineering (z. Festlegen der Verantwortlichkeiten für die Umstellungsphase . ggf. vertragliches Mitspracherecht des Auftraggebers). Planung der Produktionsumstellung. Anpassung auf neue Gegebenheuten durch das Outsourcing. die der Dienstleister übernehmen soll. Da sie dabei mit neuen und unbekannten Ansprechpartnern konfrontiert sind. auf Vollständigkeit und Aktualität. Einweisung des Dienstleisters auf die relevanten Abläufe. Auswahl geeigneter interner Mitarbeiter/innen für die Test-. einer Mitarbeiterin des Sicherheitsteams des Dienstleisters). Einführungsphase und den späteren Betrieb (ggf. Planung und Durchführung der erforderlichen Tests und Abnahmeprozeduren. Laufende Überprüfung. Prüfung der Dokumentation. B. Applikationen und ITSysteme des Auftraggebers. dass die vorgesehenen Mitarbeiter/innen zur Verfügun stehen (ggf. Störungen durch Tests und dabei auftretende Fehler müssen einkalkuliert werden.mit klaren Führungsstrukturen und eindeutigen Ansprechpartnern auf beiden Seiten .• • • • • • Erarbeiten eines Sicherheitskonzeptes für die Umstellungsphase.auch auf oberer Management-Ebene. Bis sich bei allen Beteiligten die notwendige Routine. Erreichbarkeitszeiten Dokumentation der Systemkonfigurationen inkl. Mitarbeiter/innen zu zusätzlichen Bereitschaftsdiensten heranzuziehen. Urlaubssperren). • • • • In der Einführungsphase des Outsourcing-Vorhabens und der ersten Zeit des Betriebs muss dem Notfallkonzept besondere Aufmerksamkeit geschenkt werden. Nach der Umstellung / Migration muss das Sicherheitskonzept auf Basis der Erfahrungen und Änderungen während der Umstellungsphase aktualisiert werden: • • • 168 Konkrete Darstellung aller Sicherheitsmaßnahmen Ansprechpartner und Zuständigkeiten mit Namen und notwendigen Kontaktdaten. Anruf eines vermeintlichen Mitarbeiters bzw. ob durch Erkenntnisse aus der Umstellung Verträge (Service Level Agreements) oder vorgesehene Sicherheitsmaßnahmen angepasst werden müssen. Ressourcenplanung und Tests. ohne die laufenden Systeme zu vernachlässigen. sind ggf. Schulung der Mitarbeiter/innen des Auftraggebers über Abläufe und Verhalten während und nach der Umstellung. Sicherstellung. Einstellungen sicherheitsrelevanter Parameter .

• Schulungen für das Personal auf den Regelbetrieb [Q: BSI M 2. Gweschäftsprozesse durch den OutsourcingDienstleister sind Maßnahmen zur Gewährleistung der IT-Sicherheit im laufenden Betrieb notwendig und müssen bereits im Vorfeld . B.inklusive Notfall und Eskalationsszenarien . geplante Projekte. die dem Auftraggeber nicht gemeldet wurden. Dies sollte in einem OursourcingBetriebskonzept erfolgen. vorgesehene Tests und Systemänderungen) 169 . ob sie noch aufeinander abgestimmt sind und das gewünschte Sicherheitsniveau gewährleisten Auswirkungen von Änderungen im Einflussbereich des Dienstleisters und Information darüber an den Auftraggeber Im Rahmen des ausgelagerten Betriebs sind weiters durchzuführen: Regelmäßige Kontrollen • • • • • • • • Durchführung der vereinbarten Audits Umsetzungsstand der vereinbarten Sicherheitsmaßnahmen Wartungszustand von Systemen und Anwendungen Rechtezuweisung durch den Dienstleister Einsatz von Mitarbeitern/Mitarbeiterinnen. Kontrollbedarf entstehen allerdings Besonderheiten: • • • Regelmäßige Aktualisierungen von Richtlinien und Dokumentationen Regelmäßige Überprüfungen der Sicherheitskonzepte aller Beteiligten. Sicherheit (z. Verfügbarkeit. personelle/organisatorische Änderungen. Die einzelnen Aufgaben unterscheiden sich zwar nicht grundsätzlich vom Betrieb innerhalb der eigenen Organisation. B. Gesetzesänderungen. z. Qualitätsniveau Datensicherung Regelmäßige Abstimmungen Informationsaustausch zwischen den Partnern über mögliche Auswirkungen auf die Dienstleistung bzw. Vertretungen Performance.bzw.geplant worden sein.255] Phase 7: Planung und Sicherstellen des laufenden Betriebs: Nach Übernahme der Systeme bzw. durch die Verteilung auf mehrere Partner und zusätzlichem Abstimm.

256] 170 . Ausweitung des Dienstleistungsportfolios. Wiedereinspielen von Datensicherungen Beherrschung von Sicherheitsvorfällen [Q: BSIM 2. gestiegener Ressourcenbedarf) Regelmäßige Übungen und Tests • • • Reaktion auf Systemausfälle (Teil.• • • • Information über aufgetretene Probleme wechselseitiges Feedback und Aufzeigen von Verbesserungspotenzialen Motivation der Mitarbeiter/innen (etwa positive Beispiele einer gelungenen Kooperation) Änderungswünsche (Hardware. Software.oder Totalausfälle) Wiederanlauf.

[Q: CASES Leitfaden "Klassifikation"] 7. in einem Verzeichnis aufzulisten. sie zu klassifizieren. IT-Systeme. Räume. Betriebsmittel. Räume und Netze erfasst.und Kommunikationsdienste. Vereinbarungen.1. Protokolle.h. 171 . Pläne. Verträge. Datenträger d) Rechen. Versorgungseinrichtungen e) Mitarbeiter / Mitarbeiterinnen mit ihren Qualifikationen und Erfahrungen f) Immaterielle Werte.. Forschungsergebnisse. Schulungsunterlagen. wie zB Ruf und Image der Organisation.1 Inventar der Vermögenswerte (Assets) mittels Strukturanalyse ISO Bezug: 27002 7.7 Vermögenswerte und Klassifizierung von Informationen Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 7 ff "Management von Vermögenswerten".1 Vermögenswerte Unter Vermögenswerten sind gemäß ISO 27002 ganz allgemein zu verstehen: • • • • • • a) Informationen (Daten. jeweils dazu eine/n Eigentümer/in /sowie Verantwortliche/n zu benennen und Regeln für den sicheren Umgang damit aufzustellen. zu identifizieren. Verfahrensanleitungen. Das heißt vereinfacht: Alles was für eine Organisation einen Wert darstellt.) b) Software (System-. Checklisten. d. Zuerst werden geschäftskritische Informationen und Anwendungen ermittelt und die betroffenen IT-Systeme.1. Anwendungssoftware) c) Gebäude. Fahrzeuge. Kommunikationsnetze) erhoben. Dazu ist es zunächst notwendig. Hardware.1 Mittels Strukturanalyse werden die Geschäftsprozesse und die dafür benötigten Assets (Informationen. Einrichtungen. 7. Die folgenden Maßnahmen sollen die Vermögenswerte der Organisation schützen. Handbücher.. Anwendungen. Dokumentationen.

abstrakte Anwendungen losgelöst von konkreten technischen Komponenten zu erfassen.klassische Vorgehensweise ist. ähnlichen administrativen und infrastrukturellen Rahmenbedingungen unterworfen. Damit wird die Strukturanalyse hinsichtlich Datenmenge und Komplexität handhabbar. Aktivitäten für eine Strukturanalyse: • • • • • Erfassung Geschäftsprozesse. Erfassung der baulichen Gegebenheiten.B. 172 . Anwendungen und Informationen im Geltungsbereich. Eine weitere Vereinfachung des Vorgangs kann sich ergeben. zunächst die IT-Systeme zu erheben. für die Inventarisierung. wenn als Datenquellen bereits aktuelle Datenbanken oder Übersichten vorhanden und nutzbar sind (z. Stattdessen sollten Objekte zu Gruppen zusammengefasst werden. Netzplanerhebung Dabei ist es oft nicht zweckmäßig ist. sie dienen ähnlichen Anwendungen. Erhebung von IT-Systemen. jedes Objekt einzeln zu erfassen. ähnlich in das Netz eingebunden (z. IT-Systeme am gleichen Switch). ähnlich konfiguriert. das Konfigurationsmanagement oder die Gestaltung von Geschäftsprozessen). Es kann daher auch zweckmäßig sein.B. haben den gleichen Schutzbedarf. zuerst die Anwendungen und ausgehend davon die weiteren betroffenen Objekte zu ermitteln. Allerdings ist es dabei schwierig. Oft lassen sich dann die Anwendungen anhand der betrachteten IT-Systeme leichter ermitteln. Erhebung von Datenträgern und Dokumenten. wenn sie folgende Ähnlichkeiten aufweisen: • • • • • • vom gleichen Typ.

welche Geschäftsprozessen und Fachaufgaben in Organisationen (z. Für die geeignete Granularität ist zwischen einerseits einer für die Feststellung des Schutzbedarfs nötige Detaillierung. können auch Server zu Gruppen zusammengefasst werden). Bei allen Teilaufgaben sollten jeweils Objekte zu Gruppen zusammengefasst werden. die für die betrachteten Geschäftsprozesse oder Fachaufgaben erforderlich sind und ein jedenfalls ein Mindestniveau an: • • • Geheimhaltung (Vertraulichkeit) oder Korrektheit und Unverfälschtheit (Integrität) oder Verfügbarkeit 173 . in großen Informationsverbünden. Abgesehen von der zuvor beschriebenen Gruppenbildung beschränkt sich die Strukturanalyse auf Anwendungen und Informationen. Überdies können damit auch Kosten gespart werden. [Q: BSI-Standard 100-2] 7.B.Ausgehend von jedem Geschäftsprozess bzw. die sich jedoch gemäß obigem Schema in eine überschaubare Anzahl von Gruppen aufteilen lassen (Dies gilt analog auch für Räume und andere Objekte.1 Anwendungen sind Verfahren. Ein wichtigste Beispiel ist die Zusammenfassung von Clients. andererseits der optimalen Effizienz zu optimieren.1.1 Erfassung Geschäftsprozessen. Behörden. wo viele Server die gleiche Aufgaben wahrnehmen. Die Teilaufgaben der Strukturanalyse werden nachfolgend beschrieben und durch ein begleitendes Beispiel erläutert. Durch eine möglichst hohe Standardisierung innerhalb einer IT-Umgebung wird außerdem die Zahl potentieller Sicherheitslücken reduziert. Eine Stichprobe aus einer Gruppe repräsentiert dann in der Regel den Sicherheitszustand der Gruppe. jeder Fachaufgabe im Geltungsbereich sind die damit zusammenhängenden Anwendungen und Informationen zu identifizieren. Sicherheitsmaßnahmen für einen solchen Bereich können ohne Unterscheidung verschiedenster Schwachstellen umgesetzt werden. Eine ausführliche Version des Beispiels findet sich in den Hilfsmitteln zum IT. Anwendungen und Informationen ISO Bezug: 27002 7.Gruppierung Bei technischen Komponenten wird durch konsequente Gruppenbildung auch die Administration wesentlich vereinfacht wird. In der Regel gibt es in einer Orgtanisation viele Clients.Grundschutz auf den BSI-Webseiten. wenn dies sinnvoll und zulässig ist. weil es dann nur wenige Grundkonfigurationen gibt.1.1. Unternehmen) unterstützen.

1 174 .erfordern. Dabei sollte mit den Servern begonnen werden. • • • • Es ist also für jede Fachaufgabe festzustellen. Denn es ist es angesichts der steigenden Komplexität oft schwierig. Ergänzt wird die Erhebung mit den Clients und . Für Datenschutzbeauftragte / IT Sicherheitsbeauftragte: Vermerk. die für die Anwendung bzw.1. Abhängigkeiten zwischen Geschäftsprozess / Fachaufgabe und einer konkreten Anwendung darzustellen.mitunter mobilen . an ihnen orientiert die darauf laufenden Anwendungen zusammenzutragen.. Um dies sicherzustellen. sollten bei der Erfassung der Anwendungen die Benutzer bzw.1. Wurden alternativ zuerst die IT-Systeme erfasst. welche Netzkomponenten welche Anwendungen unterstützen. empfiehlt es sich oft. [Q: BSI-Standard 100-2] 7. IT-Abteilungen und Anwendungsverantwortlichen. welche Anwendungen für ihre Abwicklung notwendig sind und auf welche Daten dabei zugegriffen wird.ggf.2 Erfassung von Datenträgern und Dokumenten ISO Bezug: 27002 7. vervollständigt werden.für den Geschäftsprozess Verantwortlichen nach ihrer Einschätzung befragt werden . die Nutzung geeigneter Software.1. Schließlich wird noch ermittelt.EinzelplatzSystemen. pro erfasster Anwendung: • • • • Zwecks spätere Zuordnungensollten die Anwendungen durchnummeriert werden. in gemeinsamen Meeting der Fach. ob die beschriebene Anwendung personenbezogene Daten speichert und/oder verarbeitet (Schutzbedarf der Information ergibt Schutzbedarf der Anwendung) Unterstützte Geschäftsprozesse Verantwortliche und Benutzer/innen der Anwendung (Ansprechpartner/innen für Sicherheitsfragen) Es empfiehlt sich natürlich eine tabellarische Darstellung bzw.

Netzdrucker.und Backup-Datenträger.und sonstige Handbücher. Allerdings werden Systeme betrachtet und nicht einzelne Bestandteile (CPU. Client mit mit Betriebssystemangabe. 175 . etc.1 In ebenso tabellarischer Form wird eine Liste der vorhandenen und geplanten ITSysteme aufgestellt. Im Vordergrund steht dabei die technische Realisierung eines IT-Systems. wenn sie nicht mit einer bestimmten Anwendung oder einem IT-System verknüpft sind. USB-Sticks. es sei denn sie werden im normalen Betrieb mit unterschiedlichen Systemen verbunden (etwa externe Laufwerke). Smartphones für den mobilen Einsatz. Datenträger für den Austausch mit externen Kommunikationspartnern. Jedoch sind sie dann gesondert in der Strukturanalyse zu erfassen. Ausgedruckte Notfall. Beispiele für gesondert erfasste Datenträger und Dokumente: • • • • • • Archiv. beispielsweise Einzelplatz-PC. Wartung. Externe Festplatten. Telekommunikationsanlagen. Mikrofilme Empfehlenswert ist auch die Erfassung der Abhängigkeiten zwischen Anwendungen. [Q: BSI-Standard 100-2] 7.1. Bildschirm). Auch dafür sollten möglichst Gruppen gebildet und ur Datenträger und Dokumente mit einem Mindest-Schutzbedarf berücksichtigt werden. so sind beispielsweise Informationen über den Lagerbestand Voraussetzungen für die Verarbeitung von Bestellungen. Fehlersuche und Instandsetzung von IT-Systemen notwendig. Eine vollständige.1.3 Erhebung der IT-Systeme ISO Bezug: 27002 7. Server bzw. Dabei bedeutet der Begriff IT-System umfasst dabei nicht nur Computer im engeren Sinn. sondern auch aktive Netzkomponenten. wichtige Verträge. korrekte und aktuelle Auflistung der IT-Systeme ist auch für deren Überprüfung.Bei der Erfassung der Anwendungen sollten auch Datenträger und Dokumente mitbetrachtet und können wie Anwendungen behandelt werden.1.

WLAN Access Points). die nicht im Netzplan aufgeführt sind. WLANs. Benutzer/innen. Wurden ITSysteme im Netzplan zu einer Gruppe zusammengefasst. im Test. ATM) etc. 176 . bei Gruppen: Anzahl der zusammengefassten IT-Systeme. Plattform (z. Beschreibung (Typ und Funktion).1. Kürzel oder Bezeichnung des IT-Systems. aus der die Zusammenhänge zwischen den wichtigen Anwendungen und den entsprechenden IT-Systemen hervorgehen.1. Netzdrucker etc. können sie weiterhin als ein Objekt behandelt werden. Netzverbindungen zwischen diesen Systemen: LANs (Ethernet. welche dem IT-System zuzuordnen sind (Datenverarbeitung und/ oder -transfer). Informationen pro IT-System: • • • • • • • • eindeutige Nummerierung.4 Netzplan ISO Bezug: 27002 7. insbesondere also auch solche. (vgl 7.1. Anwender/innen bzw. Hardware-Architektur/Betriebssystem). Aufstellungsort .1 Ein Netzplan ist eine grafische Übersicht über die im Geltungsbereich eingesetzten Komponenten und deren Vernetzung.1. aktive Netzkomponenten (wie Switches. Anwendungen. in Planung). Auch dafür sollten nach Möglichkeit bereits existierende Datenbanken oder Übersichten über die vorhandenen oder geplanten IT-Systeme genutzt werden.und Server-Computer). auch solche. [Q: BSI-Standard 100-2] 7. Administratoren des IT-Systems. Backbone-Techniken (FDDI.Zu erfassen sind sowohl die vernetzten als auch die nicht vernetzten IT-Systeme. Token-Ring).1 ). die nicht im Netzplan aufgeführt sind. Status (in Betrieb. Netzpläne oder ähnliche grafische Übersichten sind auch aus betrieblichen Gründen in den meisten Institutionen vorhanden. Ergebnis ist eine Übersicht. Für die Informationssicherheit sind folgende Objekte relevant: • • IT-Systeme ( Client. B. Router.

ISDN aber auch Funkstrecken. Es empfiehlt sich.5 Erfassung der Gebäude und Räume 177 .B. WLAN.B. B. Bluetooth.). Der Netzplan sollte möglichst in elektronischer Form mit Hilfe geeigneter Tools erstellt und gepflegt werden. sollten ebenfalls im Netzplan dargestellt werden. zuständiger Administrator. B. Netzadresse Für die Netzverbindungen zwischen den Objekten bzw.Raumnummer). Virtuelle IT-Systeme. wie Virtuelle LANs (VLANs) oder Virtuelle Private Netze (VPNs). virtuelle Netzverbindungen. X. Router. verkabeltes LAN. Kommunikationsanbindung (z.. externe Netzanbindungen (z.B. vorhandenene Kommunikationsschnittstellen (z. B. anch außen wird eingetragen: • • • • Art der Verkabelung bzw..1.. Kürzel oder Bezeichnung als Referenz zur Grafik. Ggf. kann dafür ein separater Netzplan die Übersichtlichkeit verbessern. Jedes dargestellte Objekt sollte auch in einem zugehörigen Katalog eingetragen werden mit folgenden Elementen: • • • • • • • • eindeutige Nummerierung. Standort (Gebäude. Datenbank-Server für bestimmte Anwendung Nr. WLAN. auf den unteren Schichten verwendete Netzprotokolle (z. etc). Lichtwellenleiter. Mobilfunk sowie Standleitungen zu entfernten Gebäuden oder Liegenschaften etc.• Verbindungen nach außen (z. etc). TCP/IP). Internet mit Name des Providers). B.. Internet-Zugänge über DSL-Modems. Typ und Funktion (z. Virtuelle Netze. Betriebssystem. vollständige Bezeichnung (Hostname. wenn ihre logischen (virtuellen) Strukturen wesentlich von den physischen abweichen. [Q: BSI-Standard 100-2] 7. z. Bereiche mit unterschiedlichem Schutzbedarf zu kennzeichnen. Identifikationsnummer). LAN. Plattform (Hardware. maximale Datenübertragungsrate. Art der Netzanbindung. Ethernet. Internet.1.

in denen IT-Systeme aufgestellt oder die für den IT-Betrieb genutzt werden: • • • • • Räume.6 Aktualisierung der Strukturanalyse ISO Bezug: 27002 7. Dazu gehören Betriebsgelände. Daher ist es of sinnvoll. einen Plan über die Liegenschaften. aber auch Aktenordner und Mikrofilme) aufbewahrt werden. eine je nach Gegebenheiten eine mehr oder weniger umfangreiche Übersicht bzw.1. Räume sowie die Wegstrecke zwischen diesen.ISO Bezug: 27002 7. 178 . da dies meist aufwändig ist. in denen schutzbedürftige Informationen (Datenträger. [Q: BSI-Standard 100-2] 7. die weit verstreut sind oder mit anderen Nutzern geteilt werden müssen. Die Folge ist. Dabei sollte auch die Art der in den Räumen jeweils verarbeiteten Informationen nachvollziehbar sein. über die Kommunikationsverbindungen laufen.1.1 In der Regel werden die IT.1. Viele Organisationen nutzen ein Gebäude oder eine Etage allen. die ausschließlich dem IT-Betrieb dienen (wie Serverräume. Etagen. den Plan zu aktualisieren.und Netzwerkstrukturen ständig an neue Anforderungen der Organisation angepasst.1. innerhalb derer die betrachteten Geschäftsprozesse und Fachaufgaben betrieben werden. im Netzplan nachgezogen. zu erstellen. Datenträgerarchive). dass die Aufzeichnungen dann nicht auf dem aktuellen Stand sind. weitere Räume. in denen IT-Systeme untergebracht sind sind wie Räume zu erfassen. sowie Wegstrecken. vor allem die Räume. In der Praxis werden oft nur größere Änderungen an der IT-Struktur einzelner Bereiche zum Anlass genommen. Räume. aber häufig nutzen Organisationen Liegenschaften.1 In ein Sicherheitskonzept müssen alle Liegenschaften und Gebäude einbezogen werden. Schutzschränke. Gebäude. Oft sind Geschäftsprozesse und Fachaufgaben auch in fremden Räumlichkeiten angesiedelt. Nicht in jedem Fall werden solche Änderungen umgehend in den Aufzeichnungen der Erhebung bzw. in denen unter anderem IT-Systeme betrieben werden (wie Büroräume).

2 Eigentum von Vermögenswerten ISO Bezug: 27002 7. Insbeseondere ist er/ sie für die Klassifikation des Vemögenswertes und die darauf anzuwendenden Sicherheitsregeln und -maßnahmen verantwortlich. der/die die Verantwortung für die Verwaltung dieses Vermögenswertes und somit für dessen Sicherheit trägt. jeder Art von Vermögenswert ein Eigentümer zugewiesen. ob wirklich alle relevanten Komponenten ermittelt wurden . Existierende Informationen über die enthaltenen IT-Systeme sichten und gegebenenfalls aktualisieren und vervollständigen. im Zuge von Audits mit den tatsächlich vorhandenen Strukturen und Objekten abzugleichen und gegebenenfalls auf den neuesten Stand zu bringen: • • • • • Existierende Übersichten. Dazu muss er/sie jedoch auch ausreichende und entsprechende Befugnisse besitzen. sondern ein/e Manager/ in bzw. die vorliegenden Aufzeichnungen periodisch oder anlässlich größerer Änderungen bzw. Es muss sichergestellt sein. [Q: BSI-Standard 100-2] 7. Zu beachten ist jedoch. 179 .1. Dabei ist normalerweise nicht der Eigentümer oder Inhaber im rechtlichen Sinn gemeint. Beauftragte/r.1. Existierende Informationen über die enthaltenen Kommunikationsverbindungen sichten und gegebenenfalls aktualisieren und vervollständigen.Eine häufige Vorgehensweise besteht darin. Einige Programme zum zentralisierten Netz. Dazu sollten auch die IT-Verantwortlichen und Administratoren der einzelnen Anwendungen bzw. Ebenso sollte das Ergebnis von automatischen bzw. aktualisieren oder neu erstellen. indem sie beispielsweise akive Komponenten automatisch erkennen. Netzpläne.und Systemmanagement unterstützen Objeklisten bzw. Existierende Iinformationen über Liegenschaften. dass dieser Netzverkehr nicht zu Beeinträchtigungen des IT-Betriebs führt. dass solche Funktionen emporär zusätzlichen Netzverkehr erzeugen. grafische Darstellungen und Netzpläne sichten. die sich zum Zeitpunkt des Erkennungslaufes nicht in Betrieb befunden haben. Netze konsultiert werden. Gebäude und Wegstrecken sichten und gegebenenfalls aktualisieren und vervollständigen. Dazu wird in der Organisation jedem Vemögenswert bzw.etwa solche. halb-automatischen Erkennungen stets daraufhin geprüft werden. Diese ggf.2 Zu jedem Vermögenswert (Asset) muss es eine klar definierte Verantwortlichkeit geben.

Jede/r Mitarbeiter/in ist für das verantwortlich. Anwendungen und Systemen.1. • • 180 der Schutzbedarf der Informationen. Anwendungen und ITKomponenten festgelegt werden. aber der Eigentümer kann Mitarbeiter/innen oder Berater mit der Verwaltung und Ausarbeitung der Regeln beauftragen und genehmigt schießlich die vorgeschlagenen Regeln.1 Verantwortiche für Vermögenswerte (Assets) ISO Bezug: 27002 7.225] 7. es ist explizit anders geregelt). Bei komplexeren Informationen. . was in seinem/ihrem Einflussbereich liegt (es sei denn.2. die Aufgaben für die Umsetzung der Sicherheitsmaßnahmen klar definiert und zugewiesen werden. Anwendungen und IT-Komponenten sollten alle Verantwortlichen und deren Vertretungen namentlich genannt sein. Dazu müssen sie allerdings wissen.Diese Verantwortung kann zwar nicht delegiert werden. der Leiter der IT zusammen mit dem Informationssicherheitsmanagement für die Ausarbeitung von Sicherheitsvorgaben für die IT-Komponenten.2 Aufgaben der Eigentümer und Verantwortlichen ISO Bezug: 27002 7. wer für diese und deren Sicherheit verantwortlich ist.1. damit die Zuständigkeit jederzeit deutlich erkennbar ist.2. Beispielsweise ist die Leitungsebene der Organisation verantwortlich für alle grundsätzlichen Entscheidungen bei der Einführung einer neuen Anwendung. die Administratoren für deren korrekte Umsetzung und die Benutzer/innen für den sorgfältigen Umgang mit den zugehörigen Informationen.1.2 Die Fachverantwortlichen als Eigentümer von Informationen und Anwendungen müssen die Sicherheitsmaßnahmen zu deren Schutz sicherstellen. für welche Informationen.1.2 Grundsätzlich ist die Beteiligung und Mitwirkung aller Mitarbeiter/innen einer Organisation an der Umsetzung der erforderlichen Sicherheitsmaßnahmen erforderlich. [Q: BSI M 2. Anwendungen und IT-Komponenten sie in welcher Weise verantwortlich sind. Anwendungen und IT-Komponenten korrekt festgestellt wird. Es muss jedoch konkret und exakt für alle Informationen. Dazu sollte immer eine konkrete Person (inklusive Vertretung) und keine abstrakte Gruppe benannt werden. [Q: CASES Leitfaden "Klassifikation"] 7.

Bedeutend ist in diesem Zusammenhang auch eine Clear Desk Policy. sollte eine PC-Richtlinie erstellt werden. Kompromittierung etc.3. dies regelmäßig überprüft wird.1. [Q: BSI M 2. dass diese nur gemäß ihrer vorgesehenen Bestimmung verwendet und vor Verlust.1. Speziell Administratoren und IT-Verantwortliche müssen mit den ihnen eingeräumten. 11. Beschädigung. Selbstverständlich gehört dazu auch ein generell sorgfältiger und schonender Umgang mit Geräten wie etwa PC's.1 Um einen sicheren und ordnungsgemäßen Einsatz von Personalcomputern in größeren Organisationen zu gewährleisten.225] 7. ist die Richtlinie um diese meist weiter einschränkenden Punkte zu erweitern. Zugriff zu den Informationen. in der verbindlich vorgeschrieben wird.• • • • die erforderlichen Sicherheitsmaßnahmen umgesetzt werden. Diebstahl.1 Herausgabe einer PC-Richtlinie ISO Bezug: 27002 7. die Informationssicherheit gefährdende Abweichungen schriftlich dokumentiert werden. welche Randbedingungen eingehalten werden müssen und welche IT-Sicherheitsmaßnahmen zu ergreifen sind.3 Benutzer/innen von Informationen und den sie verarbeitenden Einrichtungen sind dafür verantwortlich.3. 15.1.3 Zulässige Nutzung von Vermögenswerten ISO Bezug: 27002 7. Anwendungen und ITKomponenten geregelt ist. 7.2. der Zugang bzw.dies gilt auch für Notfälle und Ausnahmesituationen. Diese PC-Richtlinie soll zumindest den Einsatz von unvernetzten PCs regeln. Die veranwortliche Entscheidung obliegt der Management-Ebene.3. 181 . Die Fachverantwortlichen müssen zusammen mit dem Management über eine Vorgehensweise befinden. um Kompromittierungen von gedruckten Informationen zu vermeiden. geschützt werden.1. oft weitreichenden Privilegien sorgfältig und nur im vorgesehen Ausmaß umgehen . wie mit eventuellen Restrisiken umgegangen werden soll.3. werden PCs vernetzt betrieben oder als intelligente Terminals genutzt.

Geltungsbereich: In diesem Teil muss verbindlich festgelegt werden.2.1 182 . für welche Teile des Unternehmens bzw. Es kann je nach Schutzbedarf auch über die ITGrundschutzmaßnahmen hinausgehen.3. welche Inhalte für eine solche PC-Richtlinie sinnvoll sind.1. Möglicher inhaltlicher Aufbau einer PC-Richtlinie: • • • • • Zielsetzung und Begriffsdefinitionen: Dieser erste Teil der PC-Richtlinie soll dazu dienen. Gleichzeitig werden die für das gemeinsame Verständnis notwendigen Begriffe definiert und eine einheitliche Sprachregelung geschaffen. Die PC-Richtlinie muss regelmäßig .Im Folgenden wird grob umrissen. 11. 15. die PC-Anwender/innen für IT-Sicherheit zu sensibilisieren und zu motivieren. welche ITSicherheitsmaßnahmen von dem/der IT-Benutzer/in einzuhalten bzw. wer im Zusammenhang mit dem PC-Einsatz welche Verantwortung trägt. um alle relevanten betriebsinternen Regelungen aufzuführen.aktualisiert werden.3 Regelungen für Telearbeit .2 Einführung eines PC-Checkheftes ISO-Bezug: 27002 7. Es ist dafür Sorge zu tragen. Dabei sind insbesondere die Funktionen IT-Benutzer/innen. Umzusetzende und einzuhaltende IT-Sicherheitsmaßnahmen: Im letzten Teil der PC-Richtlinie ist festzulegen.3.3. Datenschutz-/IT-Sicherheitsbeauftragte.3. Verantwortungsverteilung: In diesem Teil wird definiert. [eh SYS 5. Rechtsvorschriften und interne Regelungen: Hier wird auf wichtige Rechtsvorschriften (z. das Datenschutzgesetz 2000 und das Urheberrechtsgesetz ) hingewiesen. Darüber hinaus kann diese Stelle genutzt werden. Sind Telearbeiter/innen im Unternehmen bzw. 11. Bereichs-IT-Sicherheitsbeauftragte und Applikations-/Projektverantwortliche zu unterscheiden.insbesondere im Hinblick auf die ITSicherheitsmaßnahmen . dass jede/r PC-Benutzer/in ein Exemplar dieser Richtlinie besitzt und dass die Einhaltung regelmäßig überprüft wird.7.1] 7.2. sollte die PC-Richtlinie um die dafür spezifischen Regelungen ergänzt werden. der Behörde die PC-Richtlinie gilt. dazu Kapitel 11. Vgl. PC-Administratoren. Vorgesetzte.3.1. umzusetzen sind. in der Behörde beschäftigt.B.

3. des PCBenutzers. planmäßige Zeitpunkte für die Datensicherungen. Einsatzgebiet (z. eingesetzte Hard.und Software. Aufstellungsort des PC. Diese Maßnahme bietet sich in erster Linie für kleine und mittlere Organisationen an. große Organisationen führen und verwalten diese Dokumentationen im Allgemeinen zentral.3 11. durchgeführte Wartungen und Reparaturen.3 Geeignete Aufbewahrung tragbarer IT-Systeme ISO Bezug: 27002 7. kann ein PC-Checkheft eingeführt werden.Um die durchgeführten IT-Sicherheitsmaßnahmen am PC zu dokumentieren. Zeitpunkt von Passwort-Änderungen.B. in dem der/die PC-Nutzer/in die wichtigsten Angaben zum Gerät dokumentiert. Kundendienst Inland) Erlaubnis (Laptop) aus dem Betriebsräumen zu entfernen Beschreibung der Konfiguration.1.)).o.7. Kommt ein PC-Checkheft zum Einsatz.1 183 . durchgeführte Revisionen. Passwort-Änderungen und Viren-Checks durchführt (sofern dies nicht zentral erfolgt (s. [eh SYS 5. zur Verfügung stehendes Zubehör. Das Führen eines solchen PC-Checkheftes erleichtert Kontrolltätigkeiten und unterstützt eine notwendige Selbstkontrolle der PC-Benutzerin bzw. damit sie/er regelmäßig Datensicherungen. so sollte es folgende Informationen enthalten: • • • • • • • • • • • • • • • Name der PC-Benutzerin bzw. Ansprechpartner für Problemfälle und Zeitpunkte der durchgeführten Datensicherungen.1. des PC-Benutzers.2] 7. durchgeführte Viren-Kontrollen. Zugangsmittel.

Bietet das Gerät eine Möglichkeit zum Anketten. es nicht etwa im Taxi. im Flugzeug oder im Hotelzimmer zu vergessen. am Flughafen. Insbesondere der Akku. also beispielsweise in einem Schrank oder Schreibtisch. wenn sie sich im vermeintlichen sicheren Büro befinden. Weil ein tragbares IT-Systeme besonders leicht zu transportieren und zu verbergen ist. Ebenso sollten mobile Endgeräte vor schädlichen Umwelteinflüssen geschützt werden. Auch deshalb sollten IT-Geräte aber auch ihre Akkus nicht in geparkten Autos zurückgelassen werden. jedenfalls sollte das Gerät nur so kurz als möglich in einem Kraftfahrzeug aufbewahrt werden (keinesfalls über Nacht). sollte das Gerät von außen nicht sichtbar sein (Abdecken oder Einschließen in den Kofferraum).auch dann.1 Mobile ITGeräte Einige Hinweise für die mobile Nutzung: Schutz vor Diebstahl und Verlust: • • • • • • • Das Gerät sollte gar nicht oder nur in einem minimalen Zeitraum unbeaufsichtigt sein.7.Tragbare IT-Systeme wie Laptops. aber auch das Display können anderenfalls beschädigt werden. sondern in einem Schrank verschlossen werden. Bei mobilem Einsatz müssen die Benutzer/innen versuchen. oder angekettet werden. wo möglich. um unerlaubte Nutzung zu verhindern. die tragbaren ITSysteme auch außer Haus sicher aufzubewahren. so ist entweder dieser Raum nach Möglichkeit auch bei kurzzeitigem Verlassen zu verschließen oder das Gerät mitzunehmen. sollte sie genutzt werden. also beispielsweise vor Feuchtigkeit durch Regen oder Spritzwasser. wird das mobile IT-System in einem fremden Büro vor Ort benutzt. in Hotelzimmern sollte das mobile IT-System nicht offen herumliegen. Schutz vor Beschädigung: • • Ein mobiles IT-System sollte nie extremen Temperaturen ausgesetzt werden. Vergleiche 11. 184 . PDAs oder Mobiltelefone sind durch ihre Bauform immer beliebte Ziele für Diebstähle und müssen sicher aufbewahrt werden . sollte das Gerät außerhalb der Nutzungszeiten weggeschlossen werden. Zur Beaufsichtigung des Geräts gehört auch. Zusätzlich ist ein Zugriffschutz zu aktivieren oder das Gerät auszuschalten. bei Aufbewahrung eines tragbaren PC oder PDA in einem Kraftfahrzeug.

3.1. Dabei ist jedoch darauf zu achten. für den Transport ein schützendes Behältnis zu verwenden. Grundsätzlich sollte für alle IT-Komponenten. M 1. etc.oder Wachdienste. Es ist empfehlenswert.7.• Mobile IT-Systeme sind heute zwar robust.3 Datenträger und IT-Komponenten sind meist innerhalb der Liegenschaft(en) der eigenen Organisation hinreichend vor Mißbrauch und Diebstahl geschützt.33. Aufbewahrung. Für einen ausreichenden Schutz muss die Mitnahme von Datenträgern und IT-Komponenten klar geregelt werden. Datenträger außer Haus mitnehmen darf. Oft sollen sie aber auch außer Haus eingesetzt werden. bei Dienstreisen oder Telearbeit. dass solche Kontrollen nicht in unnötig schikanöse Durchsuchungen ausarten. Die Art und der Umfang der anzuwendenden IT-Sicherheitsmaßnahmen für extern eingesetzte IT-Komponenten hängt einerseits vom Schutzbedarf der darauf gespeicherten IT-Anwendungen und Daten und andererseits von der Sicherheit der Einsatz.B. sinwieweit die Regelungen für die Mitnahme von Datenträgern und IT-Komponenten eingehalten werden. 185 . da sowohl die Scharniere als auch der Bildschirm bei einem Sturz leicht beschädigt werden können. Datenträger außer Haus mitgenommen werden dürfen. Bei Laptops sollte beispielsweise das Gerät zusammengeklappt werden. Grundsätzlich ist es immer empfehlenswert. die extern eingesetzt werden sollen. in größeren Organisationen) Zurittskontrollen durch Portier. Gibt es (z. eine entsprechende Genehmigung eingeholt werden müssen. Dabei muss festgelegt werden: • • • welche IT-Komponenten bzw.34] 7. wer IT-Komponenten bzw. Aufbewahrungsorte ab. aber dennoch sollten sie auch bei kürzeren Transportwegen möglichst stoßgeschützt befördert werden.4 Mitnahme von Datenträgern und IT-Komponenten ISO Bezug: 27002 .1.). z.bzw. das die wichtigsten Hinweise und Vorsichtsmaßnahmen zur geeigneten Aufbewahrung und zum sicheren Transport der Geräte enthält. welche grundlegenden IT-Sicherheitsmaßnahmen dabei beachtet werden müssen (Virenschutz. [Q: BSI M 1. kann mittels Stichproben kontrolliert werden. Verschlüsselung sensitiver Daten. B. für die Benutzer mobiler IT-Systeme ein Merkblatt zu erstellen.

1.1 Das Mikrofon bzw. Bei Dienstreisen sollten sie nicht unbeaufsichtigt bleiben oder in Fahrzeugen zurückgelassen werden (siehe auch 7.3. IT-Systeme oder Datenträger. die Kamera benutzen kann (und nicht nur in Einzelfällen eine Freigabe durch den Systemadministrator erfolgen soll). Wartung und Weitergabe von extern eingesetzten IT-Systemen sollte geregelt werden. müssen die Zugriffsrechte so gesetzt sein. das 186 . etwa: • • • • • • • IT-Systeme müssen stets sicher aufbewahrt werden. die Videokamera eines vernetzten Rechners kann von denjenigen benutzt werden. müssen diese . Liegenschaften sind die Benutzer/ innen für den Schutz der ihnen anvertrauten IT verantwortlich und darauf sowie auf zu ergreifende Vorsichtsmaßnahmen sind sie hinzuweisen. dass jede/r Benutzer/in das Mikrofon bzw. die sensitive Daten enthalten. ob Zugriffsrechte und Eigentümer bei einem Zugriff auf die Gerätedatei verändert werden. 10.1. Diese Mechanismen sollten auch genutzt werden.3.und ausgeschaltet werden kann. Die Verwaltung.5. Es ist zu prüfen.5 Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Videokameras ISO Bezug: 27002 7. die Zugriffsrechte auf die entsprechende Gerätedatei haben.wenn möglich ausgeschaltet oder physikalisch vom Gerät getrennt werden.3.1. wann und von wem welche IT-Komponenten außer Haus eingesetzt wurden. dass es keine Unbefugten benutzen können.Außerhalb der organisationseigenen Büros bzw. Der Zugriff auf die Gerätedatei sollte nur möglich sein.1. Falls das Mikrofon bzw.218] 7. 9. Es sollte protokolliert werden. solange jemand an dem IT-System arbeitet. den Bildschirm) integriert ist und nur durch Software ein. IT-Systeme wie Laptops oder Mobiltelefone und deren Anwendungen können im Allgemeinen durch PINs oder Passwörter abgesichert werden. Falls dies der Fall ist oder falls gewünscht ist. sollten möglichst komplett verschlüsselt werden.8. Wenn die Benutzung eines vorhandenen Mikrofons oder einer Kamera generell verhindert werden soll. muss die Systemadministration ein Kommando zur Verfügung stellen. die Kamera in den Rechner (bzw.3 Geeignete Aufbewahrung tragbarer IT-Systeme ). Bei Mitnahme ins Ausland: unerlaubter Import von Verschlüsselungstechnik Es ist mit der Offenlegung der Daten vor Zollbeamten zu rechnen [Q: BSI M 1.

[eh SYS 5.7. ihr nachträglicher Ausbau) (Physischer) Verschluss von Laufwerken (z.1.3.abhängig von der Art der Wechselmedien und dem zugrunde liegenden Betriebssystem . .8 Wechselmedien.6 Absicherung von Wechselmedien ISO Bezug: 27002 7.• • • nur aktiviert werden kann.eine Reihe von Möglichkeiten zur Verfügung. wenn jemand an dem IT-System angemeldet ist.1. nur durch diese/n Benutzer/in aktiviert werden kann und die Zugriffsberechtigungen dem/der Benutzer/in nach dem Abmelden wieder entzieht. Verbote.6] 7...3. ermöglichen raschen und einfachen Transfer von Daten und Programmen. 10.1. Als derartige Risiken wären unter anderem zu nennen: • • • unkontrolliertes Booten von Geräten etwa von USB-Sticks.) und organisatorische Maßnahmen (Kontrollen. bringen aber auch eine Reihe von Risiken mit sich. dass in vielen Fällen eine völlige Sperre der Wechselmedien entweder technisch nicht möglich oder aber aus betrieblichen Gründen nicht durchsetzbar ist. Hier sind zusätzliche personelle (Anweisungen. CD-ROM-. USB Festplatten oder CD-ROM. . durch Einsatz von Diskettenschlössern). ZIPDisketten. Wünschenswert wäre es auch. Es ist aber zu betonen... Zur Verringerung dieser Bedrohungen stehen . die unten beispielhaft angeführt werden. . Laufwerke (bzw. unautorisierte Installation von Software und unberechtigte Kopien von Daten auf Wechselmedien (Verlust der Vertraulichkeit).B. etc. wie etwa USB-Sticks. CD-ROMs. (Logische) Sperre von Schnittstellen: 187 . USB-Festplatten.) erforderlich. 10. Maßnahmen zur Sicherung von Wechselmedien: • • • Verzicht auf USB-... Mikrofon und Kamera nach einer voreingestellten Zeitspanne ohne Aktivität automatisch abzuschalten (Timeout)..

die mit bestimmten kryptografischen Schlüsseln versehen worden sind. es ist aber zu bedenken.2 188 . Diese Vorgehensweise bietet einen relativ hohen Grad an Sicherheit (insbesondere an nachträglichen Nachweismöglichkeiten). Benutzern und Systemverantwortlichen stark reduzieren. etwa über das Internet oder mittels Attachments von Mails möglich ist.4 Wechselmedien und externe Datenspeicher. Solche Regeln könnten etwa Beschränkungen auf die Verwendung bestimmter Dateitypen sein. dass die Benutzer diese Einstellungen nicht mehr verändern können. Es ist auch zu bedenken. Häufige Übersiedlungen.B. Regeln: In vielen Fällen ist die Benutzung externer Speichermedien durchaus erlaubt. Hier sind entsprechende Vorkehrungen zu treffen. Konfigurationsänderungen etc. Es muss jedoch auch sichergestellt werden. können die Akzeptanz dieser Maßnahme bei Benutzerinnen bzw. [eh SYS 5. ist die parallele Schnittstelle oft für den Anschluss eines Druckers offen zu halten). dass bei IT-Systemen im Netzwerk ein Laden von Treibern etc.• • • • Viele Betriebssysteme bieten die Möglichkeit. Die jeweiligen Regeln müssen allen Benutzern bekannt gegeben werden und deren Einhaltung kontrolliert werden. Dabei ist allerdings zu beachten. Schnittstellen zu sperren. zulassen. die Zugriffe ausschließlich auf Datenträger. Deaktivierung im BIOS: Das BIOS bietet Möglichkeiten um nur von bestimmten Laufwerken zu booten.1.2 Klassifizierung von Informationen ISO Bezug: 27002 7. dass damit die Flexibilität der Systeme stark eingeschränkt wird. jedoch bestimmten Regeln unterworfen. Diese wird verplombt. Es sollte hierbei jedenfalls das Booten von Wechselmedien im BIOS deaktiviert werden.7.B. Verschlüsselung: Es existieren verschiedenste Produkte.3] 7.Vergleiche Kapitel 11. SCSISchnittstellen) und oft auch aus betrieblichen Gründen nicht durchführbar ist (z. dass dies nicht immer technisch möglich (z. Gegebenenfalls Verblenden und Verplomben von Schnittstellen Nach Anschluss aller erforderlichen Schnittstellen wird die Rückseite des Gerätes mit einer speziellen Abdeckung verblendet. so dass etwaige Manipulationen ersichtlich sind.

Integrität und Verfügbarkeit des Assets wieder. deren Teilbereiche ja von unterschiedlichen Eigentümern interpretiert werden. [Q: CASES Leitfaden "Klassifikation"] 189 . Die Klassifikation ist ein umfassender Ansatz. Die Herausforderungen bei Klassifikation sind zunächst die richtige Einschätzung der jeweiligen Sicherheitsklasse.und Datenschutzkriterien ist unter 5. Dokumentation und Umsetzung der Regeln für die richtige Verwendung von Informationen duch ihren jeweiligen Eigentümer. Ein Leitfaden zur Klassifizierung nach Vertraulichkeits. aber auch die Gewährleistung einer vollständigen und stimmigen Klassifikation. Daher sollten Standardmethoden verwendet werden.5 Klassifizierung von Informationen beschrieben.Klassifikation dient zur Identifizierung. bei dem die einzelnen Assets durch ihre Klassen repräsentiert werden.2. Bei der Klassifikation wird jedem Vermögenswert (Asset) eine bestimmte Sicherheitsklasse zugeordnet. Jede solche Sicherheitsklasse gibt die Anforderungen bezüglich Vertraulichkeit. Somit muss nicht für jedes Asset eine eigene Liste mit Regeln erstellt werden.

1 Regelungen für eigene Mitarbeiter/innen angeführt. Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000) § 15 "Datengeheimnis". sowie dem Informationssicherheitsgesetz für den Bereich der öffentlichen Verwaltung). IT-Sicherheit kann auch bei besten technischen Maßnahmen nur funktionieren. Aus diesen Gründen ist der Schulung und Sensibilisierung für Fragen der ITSicherheit eine besondere Bedeutung zuzumessen.2 gibt einige spezielle Regelungen für Fremdpersonal. § 14 "Datensicherheitsmaßnahmen" und § 13 "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland".oder Fehlerquellen dar. Im Folgenden werden in Kapitel 8.1. 8.1 Regelungen für Mitarbeiter/innen 8. die Vorgaben in der täglichen Praxis umzusetzen.B. die teilweise sinngemäß auch für Fremdpersonal gelten. Vorschriften und Regelungen ISO Bezug: 27002 8. Die Mitarbeiter/innen stellen eine der wichtigsten Ressourcen einer Organisation dar. 190 .8 Personelle Sicherheit Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 8 ff "Personelle Sicherheit".3 schließlich führt Maßnahmen zur Sensibilisierung und Schulung im Bereich IT-Sicherheit auf. Darüber hinaus ist es auch notwendig. sich mit den Möglichkeiten und potentiellen Problemen von Mitarbeiterinnen/Mitarbeitern auseinander zu setzen ("Know your Employee"). Andererseits stellen Mitarbeiter/innen auch potentielle Angriffs.1.1 Verpflichtung der Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze. Kapitel 8. Vorschriften und interner Regelungen zu verpflichten.3 Bei der Einstellung von Mitarbeiterinnen/Mitarbeitern sind diese zur Einhaltung einschlägiger Gesetze (z. wenn die Mitarbeiter/innen ein ausgeprägtes Sicherheitsbewusstsein haben und bereit und fähig sind. Kapitel 8.

1. falls vorgesehen (vgl. Anzuführen sind dabei sowohl die allgemein aus der organisationsweiten IT-Sicherheitspolitik abzuleitenden Verpflichtungen als auch spezielle Verantwortlichkeiten auf Grund der Tätigkeit. dass alle sicherheitsrelevanten Aufgaben und Verantwortlichkeiten explizit in diese Beschreibungen aufgenommen werden.2 Aufnahme der sicherheitsrelevanten Aufgaben und Verantwortlichkeiten in die Stellenbeschreibung ISO Bezug: 27002 8. Kap. Bereichs-ITSicherheitsbeauftragte.3. Neben der Verpflichtung auf die Einhaltung von Gesetzen und Vorschriften empfiehlt es sich insbesondere. Dabei ist es sinnvoll.3.1.1.1 Bei der Erstellung von Stellenbeschreibungen ist dafür Sorge zu tragen. 10. für die Mitarbeiter/innen an zentraler Stelle zur Einsichtnahme vorzuhalten. 8. Dies gilt in besonderem Maße für Mitarbeiter/innen mit speziellen Sicherheitsaufgaben (Mitglieder des IT-SicherheitsmanagementTeams. Applikations-/Projektverantwortliche).10 Remote Access und Anhang C) 8.1 191 .1. nicht nur die Verpflichtung durchzuführen.1.1.Damit sollen neue Mitarbeiter/innen mit den bestehenden Vorschriften und Regelungen zur IT-Sicherheit bekannt gemacht und gleichzeitig zu deren Einhaltung motiviert werden. sondern auch die erforderlichen Exemplare der Vorschriften und Regelungen auszuhändigen und gegenzeichnen zu lassen bzw. Datenschutzbeauftragte. die dann auch in eine entsprechende Verpflichtungserklärung aufzunehmen sind: • • • Clear Desk Policy. 8. Regelungen zu folgenden Bereichen zu treffen.6.7 Clear Desk Policy) Einhaltung von PC-Benutzungsregeln (vgl.1 Herausgabe einer PCRichtlinie) Einhaltung der Regeln für die Benutzung des Internet (s. 7. IT-Sicherheitsbeauftragte. 8.2.3 Vertretungsregelungen ISO Bezug: 27002 8.

3 Scheidet ein/e Mitarbeiter/in aus. Dienstreise) und auch unvorhersehbare Fälle (Krankheit. für Personen eine/n kompetente/n Vertreter/in zu benennen oder zu schulen. Dies ist besonders im Bereich der Informationsverarbeitung von Bedeutung. Daher muss vor Eintritt eines solchen Falles geregelt sein.Vertretungsregelungen haben den Sinn. die auf Grund ihres Spezialwissens nicht kurzfristig ersetzbar sind. Es sollte vermieden werden. so sollten einige Punkte beachtet werden. Es muss festgelegt sein. Hier ist es von besonders großer Bedeutung. Stellt sich heraus. Ist es in Ausnahmefällen nicht möglich. für vorhersehbare (Urlaub. welcher Aufgabenumfang im Vertretungsfall von wem wahrgenommen werden soll.oder Projektstand hinreichend dokumentiert ist.U. Für die Vertretungsregelungen sind folgende Randbedingungen einzuhalten: • • • • • • • Die Übernahme von Aufgaben im Vertretungsfall setzt voraus. Unfall.und Zutrittsberechtigungen nur im Vertretungsfall erhalten. dass es Personen gibt. 8. so bedeutet deren Ausfall eine gravierende Gefährdung des Normalbetriebes. Die/der Vertreter/in darf die erforderlichen Zugangs.4 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeiterinnen/Mitarbeitern ISO Bezug: 27002 8. Kündigung) des Personenausfalls die Fortführung der Aufgabenwahrnehmung zu ermöglichen. da dafür meist Spezialwissen sowie eine zeitgerechte Einarbeitung unkundiger Mitarbeiter/innen unbedingt erforderlich sind. welche externen Kräfte für den Vertretungsfall eingesetzt werden können. Die/der Vertreter/in muss so geschult werden. sollte frühzeitig überlegt werden. wer wen in welchen Angelegenheiten mit welchen Kompetenzen vertritt. dass Vertretungsregeln u. dass sie/er die Aufgaben jederzeit übernehmen kann. eine/n Vertreter/in zu schulen.1. dass der Verfahrens. Dies wären: 192 . vorgesehene Mehraugenprinzipien unterlaufen.6 Kryptographische Maßnahmen). Im Zusammenhang mit der Verwendung von kryptographischen Systemen ist auch über ein Verfahren zur Offenlegung von kryptographischen Schlüsseln im Rahmen des Kryptokonzeptes zu achten (siehe auch Kapitel 12. zB wenn sich zwei kollektiv Berechtigte wechselseitig vertreten.

dass alle Verschwiegenheitserklärungen weiterhin in Kraft bleiben und keine im Rahmen der Tätigkeit erhaltenen Informationen weitergegeben werden dürfen. Betriebsmittel oder Zugangsmöglichkeiten verbleiden. auf denen die einzelnen Aktivitäten der/des Ausscheidenden vorgezeichnet sind. zu löschen.1. Es ist sicherzustellen. ausgeliehene IT-Geräte (z.bzw. so ist der Notlaufplan zu aktualisieren. sind über das Ausscheiden der/des Mitarbeiterin/Mitarbeiters zu unterrichten. Speichermedien. Sämtliche mit Sicherheitsaufgaben betrauten Personen. ausgesprochen werden.5 Geregelte Verfahrensweise bei Versetzung eines Mitarbeiters ISO Bezug: 27002 8. 8.B.und Zugriffsrechte auf IT-Systeme sowie darüber hinaus auch das Verbot.• • • • • • • • • • • Vor dem Ausscheiden ist eine Einweisung der/des Nachfolgerin/Nachfolgers durchzuführen. mittels eines gemeinsamen Passwortes). Wurde in Ausnahmefällen eine Zugangsberechtigung zu einem IT-System zwischen mehreren Personen geteilt (z. Dokumentationen) zurückzufordern. Optional kann sogar für den Zeitraum zwischen Aussprechen der Kündigung und dem Ausscheiden der Entzug sämtlicher Zugangs. tragbare Rechner. Dies betrifft auch die externen Zugangsberechtigungen via Datenübertragungseinrichtungen. Nach Möglichkeit sollte eine Neuvergabe der User-ID an eine/n andere/n Mitarbeiter/in vermieden/ausgeschlossen werden. und diese Nachfolgenden für ihre Tätigkeiten zur Verfügung stehen. die sie/er vor Verlassen der Behörde bzw. Insbesondere sind die Behörden. Ausgeschiedenen Mitarbeiterinnen/Mitarbeitern ist der unkontrollierte Zutritt zum Behörden. insbesondere zu Räumen mit IT-Systemen zu verwehren. schützenswerte Räume zu betreten. Firmenausweise einzuziehen. Als ein praktikables Hilfsmittel haben sich Laufzettel erwiesen.3 193 . Von der/dem Ausscheidenden sind sämtliche Unterlagen. Vor der Verabschiedung sollte noch einmal explizit darauf hingewiesen werden.oder Firmengelände. insbesondere der Portierdienst. Es sind sämtliche für die/den Ausscheidende/n eingerichteten Zugangsberechtigungen und Zugriffsrechte zu entziehen bzw. des Unternehmens zu erledigen hat. so ist nach Ausscheiden einer der Personen die Zugangsberechtigung zu ändern. Ist die ausscheidende Person ein/e Funktionsträger/in in einem Notlaufplan.B. dass bei Ausscheidenden keine Unterlagen. ausgehändigte Schlüssel.

Datenträgern und IT-Komponenten haben.2. die bei solchen Problemen konkrete Hilfe und Lösungsmöglichkeiten anbieten kann. Dies gilt insbesondere für Großraumbüros. ein positives Betriebsklima zu erreichen..1. In vielen Fällen kann es hilfreich sein..6 Gewährleistung eines positiven Betriebsklimas ISO Bezug: 27002 8.2 Jede/r Mitarbeiter/in sollte vor ihrer/seiner Abwesenheit ihre/seine Unterlagen und den persönlichen Arbeitsbereich verschließen: Schreibtisch.7 Clear Desk Policy ISO Bezug: 27002 8. Weiters ist bei der Ausstattung von Arbeitsplätzen darauf zu achten. Hierzu besteht eine Reihe von Regelungen und Normen. Unterlagen und Zubehör verschlossen werden können.1 Ein positives Betriebsklima motiviert die Mitarbeiter/innen einerseits zur Einhaltung von IT-Sicherheitsmaßnahmen und bewirkt andererseits die Reduzierung von fahrlässigen oder vorsätzlichen Handlungen (vgl. deren Nichtbeachtung u. 8. die eine Störung des IT-Betriebs herbeiführen können. Daher sollte auch unter ITSicherheitsaspekten versucht werden. Schrank. 194 . PC und Telefon.) Zugriff zu Schriftstücken. ihre Mitarbeiter/innen und eventuelle potentielle Probleme zu kennen ("Know your Employee"). Reinigungspersonal. dass keine unberechtigten Personen (Besucher/innen. in denen Datenträger. Dokumentationen.Bei Versetzung einer/eines Mitarbeiterin/Mitarbeiters oder einer wesentlichen Änderung ihrer/seiner Tätigkeit sind ihre/seine Zugangsberechtigungen sowie Zugriffsrechte auf Übereinstimmung mit den neuen Anforderungen zu überprüfen und gegebenenfalls anzupassen.2. §126a zu Datenbeschädigung). Dazu gehören etwa verschließbare Schreibtische oder Schränke. wenn eine Anlaufstelle zur Verfügung steht. unbefugte Mitarbeiter/innen. 8. Ursache für eine unzureichende Aufgabenerfüllung können oftmals persönliche Probleme einer/eines Arbeitnehmerin/Arbeitnehmers sein. Dazu gehört auch die ergonomische Gestaltung des Arbeitsplatzes. die Wichtigkeit einer ergonomischen Gestaltung des Arbeitsplatzes sei aber hier nochmals betont.1. aber auch in den anderen Fällen ist dafür Sorge zu tragen. eventuell zu Sicherheitsproblemen führen kann.a. dass die Einhaltung von IT-Sicherheitsmaßnahmen unterstützt wird. Ergonomie ist nicht Gegenstand dieses Handbuches. Daher ist es für jede Organisation wichtig.

3 Wird ein PC von mehreren Benutzerinnen/Benutzern genutzt und besitzen die einzelnen Benutzer/innen unterschiedliche Zugriffsrechte auf im PC gespeicherte Daten oder Programme.1 Verpflichtung der Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze.1. Kapitel 8.1.ist vorzusehen. auf alle gespeicherten Daten zuzugreifen.etwa die Verschlüsselung von ausgewählten Daten oder Zugriffsbeschränkungen zu Protokollfiles . Eine regelmäßige Kontrolle von Administratoren . dass erheblicher Missbrauch möglich wäre. so ist die Abmeldung der/des Benutzerin/ Benutzers aus Gesichtspunkten der Ordnungsmäßigkeit dennoch vorzuschreiben. Es soll regelmäßig darüber belehrt werden.die Befugnisse von Administratoren eingeschränkt werden können. dass die Befugnisse nur für die erforderlichen Administrationsaufgaben verwendet werden dürfen. 8.in Abhängigkeit vom eingesetzten System .weit gehende und oftmals allumfassende Befugnisse.etwa durch Auswertung von Protokollen durch Revisoren . 8.Ist eine Clear Desk Policy-Regelung in einer Organisation vorgesehen. Das hierfür eingesetzte Personal muss sorgfältig ausgewählt werden. sie ggf. sich bei Verlassen des Arbeitsplatzes abzumelden. ohne deren Aufgabenerfüllung zu beeinträchtigen. wenn jede/r Benutzer/in sich nach Aufgabenerfüllung bzw. so kann der erforderliche Schutz mittels einer Zugriffskontrolle nur dann erreicht werden. Darüber hinaus sollte geprüft werden. an einem PC unter der Identität einer/eines Anderen weiterzuarbeiten. so ist jegliche sinnvolle Zugriffskontrolle unmöglich.1 Administratoren von IT-Systemen und ihren Vertreterinnen/Vertretern muss vom Betreiber großes Vertrauen entgegengebracht werden können. Vorschriften und Regelungen ) aufgenommen werden.1.1. zu verändern und Berechtigungen so zu vergeben. bei Verlassen des Arbeitsplatzes am PC abmeldet. so sollte die Einhaltung dieser Regelung in die Verpflichtungserklärung jeder/jedes Mitarbeiterin/ Mitarbeiters (vgl. wieweit durch technische Maßnahmen . Sie haben . Administratoren und ihre Vertreter/innen sind in der Lage.1. Ist es einer/einem Dritten möglich.8 Benennung eines vertrauenswürdigen Administrators und Vertreterin/Vertreters ISO Bezug: 27002 8. 195 .9 Verpflichtung der PC-Benutzer/innen zum Abmelden ISO Bezug: 27002 8. Ist keine Zugriffskontrolle realisiert. Daher sind alle PC-Benutzer/innen zu verpflichten.

dass sie nicht offen über ihnen bekannte Schwachstellen und Sicherheitslücken berichten. besteht die Gefahr. Beispielsweise ist eine Anweisung.10 Kontrolle der Einhaltung der organisatorischen Vorgaben ISO Bezug: 27002 8. bestehende Probleme zu vertuschen. Wenn die Mitarbeiter/innen dies befürchten müssen. die Ursachen für diese Probleme festzustellen und Lösungen aufzuzeigen. dass diese nicht mit den Arbeitsabläufen vereinbar ist oder durch die Mitarbeiter/innen nicht umgesetzt werden kann.2. nur die Symptome zu beseitigen. unsinnig. kommt es nicht darauf an. sondern versuchen.1. Es ist daher sinnvoll. wenn zum Drucken nur ein weit entfernter Netzdrucker zur Verfügung steht. Vielmehr ist es wichtig.Ist absehbar. Kontrollen sollten vor allen Dingen darauf ausgerichtet sein. Wenn bei Kontrollen Mängel festgestellt werden. während einer Kontrolle mit den Beteiligten über mögliche Problemlösungen zu sprechen und entsprechende Abhilfen vorzubereiten. vertrauliche Schreiben nicht unbeaufsichtigt am Drucker liegen zu lassen. kann an Stelle des Abmeldens auch eine manuelle oder nach einer gewissen Zeit automatische Aktivierung der Bildschirmsperre erfolgen. 8. Diese können beispielsweise in der Änderung bestehender Regelungen oder in der Hinzunahme technischer Maßnahmen bestehen.1. dass dies allen Beteiligten als Ziel der Kontrollen erkennbar ist und dass dabei keine Personen bloßgestellt werden oder als "Schuldige" identifiziert werden. Wenn Mitarbeiter/innen eine Regelung ignorieren oder umgehen.11 Geregelte Verfahrensweise bei vermuteten Sicherheitsverletzungen ISO Bezug: 27002 8.1. Für die Akzeptanz von Kontrollen ist es wichtig.3 Mittels Protokollauswertung oder durch Stichproben ist in angemessenen Zeitabständen zu überprüfen. Mängel abzustellen. dass nur eine kurze Unterbrechung der Arbeit erforderlich ist. 8. ist das meist ein Zeichen dafür.3 196 . ob die Benutzer/innen eines IT-Systems die organisatorischen Vorgaben (etwa Verpflichtung zur Abmeldung nach Aufgabenerfüllung oder Verbot der Weitergabe von Passwörtern) auch tatsächlich einhalten.

1 Kurzfristig oder einmalig zum Einsatz kommendes Fremdpersonal ist wie Besucher/innen zu behandeln.3 Externe Mitarbeiter/innen.2 197 . die über einen längeren Zeitraum in einer oder für eine Organisation tätig sind und ev. 8.2 Regelungen für den Einsatz von Fremdpersonal 8.2.h. des Unternehmens erlaubt ist etc.Die Vorgehensweise zur Untersuchung angeblicher (bewusster oder versehentlicher) Verletzungen von Sicherheitsvorgaben sowie potentielle Konsequenzen .3 Beaufsichtigung oder Begleitung von Fremdpersonen ISO Bezug: 27002 8. Vorschriften und Regelungen ISO Bezug: 27002 8.6 Portierdienst ). Vorschriften und internen Regelungen zu verpflichten.1.sollen festgelegt.im Falle interner Mitarbeiter/innen können dies beispielsweise disziplinäre Maßnahmen sein. (vgl.2 Verpflichtung externer Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze. 8.2. 8.2.1. dass also etwa der Aufenthalt in sicherheitsrelevanten Bereichen nur in Begleitung von Mitarbeiterinnen/ Mitarbeitern der Behörde bzw. d.1. Eine derartig geregelte Verfahrensweise kann einerseits infolge der abschreckenden Wirkung zur Prävention von Sicherheitsverletzungen dienen und gewährleistet andererseits eine korrekte und faire Behandlung von Personen. sind ebenfalls schriftlich auf die Einhaltung der geltenden einschlägigen Gesetze. vom Management verabschiedet und allen Mitarbeiterinnen/Mitarbeitern bekannt sein. denen Sicherheitsverletzungen angelastet werden. im Falle externer Mitarbeiter/innen etwa vertraglich abgeleitete Konsequenzen . In Anhang B werden Beispiele für die Formulierung derartiger Verpflichtungserklärungen gegeben. dazu etwa 9.2. Zugang zu vertraulichen Unterlagen und Daten bekommen könnten.1 Regelungen für den kurzfristigen Einsatz von Fremdpersonal ISO Bezug: 27002 8.

Siehe auch 8. außer in Räumen.über hausinterne Regelungen und Vorschriften zur IT-Sicherheit sowie die organisationsweite IT-Sicherheitspolitik zu unterrichten. die ausdrücklich dafür vorgesehen sind.und Reinigungspersonal) sollten. sollte man eine/n Kollegin/Kollegen ins Zimmer oder den/die Besucher/in zu einer/einem Kollegin/Kollegen bitten. Wartungs.6 Portierdienst ).so weit es zur Erfüllung ihrer Aufgaben und Verpflichtungen erforderlich ist . 8.B.2 Externe Mitarbeiter/innen sind . Für den häuslichen Arbeitsplatz gilt. eine/n Fremde/n allein im Büro zurückzulassen. Wird es erforderlich.Fremde (Besucher/innen. Die Notwendigkeit dieser Maßnahmen ist den Mitarbeiterinnen/Mitarbeitern zu erläutern und ggf.7.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter/innen ISO Bezug: 27002 8. Ist es nicht möglich.4 Information externer Mitarbeiter/innen über die ITSicherheitspolitik ISO Bezug: 27002 8. Tastaturschloss). 8.7 Clear Desk Policy . in einer Dienstanweisung festzuhalten. Kap.2 Geeignete Einrichtung eines häuslichen Arbeitsplatzes und 11.4 Zutrittskontrolle und 9.1.3 Regelungen für Telearbeit ).2 198 . dass Familienmitglieder und Besucher/innen sich nur dann alleine im Arbeitsbereich aufhalten dürfen. sollte zumindest der persönliche Arbeitsbereich abgeschlossen werden: Schreibtisch. Reinigungspersonal) ständig zu begleiten oder zu beaufsichtigen.3 Sicherheitssensibilisierung und -schulung 8. Fremdpersonen (z. Handwerker/innen.7.3. Eine Dokumentation über den Aufenthalt von Fremdpersonen kann in einem Besucherbuch geführt werden.1. nicht unbeaufsichtigt sein (siehe auch 9. Schrank und PC (Schloss für Diskettenlaufwerk.1. 11.2. wenn alle Arbeitsunterlagen verschlossen aufbewahrt sind und die IT über einen aktivierten Zugangsschutz gesichert ist (vgl.2.2.

insbesondere zu IT-Sicherheitsfragen. Ohne eine entsprechende Einweisung kennen sie ihre Ansprechpartner/innen bzgl.2.2 Durch unsachgemäßen Umgang mit IT-Anwendungen hervorgerufene Schäden können vermieden werden. so kann an Stelle der Schulung auch die Aufforderung stehen. auch 8. Die Einarbeitung bzw. sich selbstständig einzuarbeiten. Dies betrifft sowohl die Nutzung von Standardprogrammpaketen als auch von speziell entwickelten IT-Anwendungen. Einweisung sollte zumindest folgende Punkte umfassen: • • • Planung der notwendigen Schulungen. welche IT-Sicherheitsmaßnahmen durchzuführen sind und welche IT-Sicherheitspolitik die Behörde bzw.3. Daraus können Störungen und Schäden für den IT-Einsatz erwachsen. Vorstellung aller Ansprechpartner/innen. das Unternehmen betreibt. Eine wesentliche Voraussetzung dazu ist allerdings die Bereitstellung ausreichender Einarbeitungszeit. Daher kommt der geregelten Einarbeitung neuer Mitarbeiter/innen eine entsprechend hohe Bedeutung zu. Darüber hinaus müssen auch bei umfangreichen Änderungen in einer IT-Anwendung Schulungsmaßnahmen durchgeführt werden.2 199 . Sie wissen nicht. Stehen leicht verständliche Handbücher zu IT-Anwendungen bereit.3.Neuen Mitarbeiterinnen/Mitarbeitern müssen interne Regelungen.3 Schulung und Sensibilisierung zu IT-Sicherheitsmaßnahmen ). arbeitsplatzbezogene Schulungsmaßnahmen (s.1. 8.2 Schulung vor Programmnutzung und 8.2 Schulung vor Programmnutzung ISO Bezug: 27002 8.3 Schulung und Sensibilisierung zu IT-Sicherheitsmaßnahmen ISO Bezug: 27002 8. 8. 8.3. Erläuterung der hausinternen Regelungen und Vorschriften zur IT-Sicherheit und der organisationsweiten IT-Sicherheitspolitik.2.1.3. IT-Sicherheit nicht. dass die Benutzer/ innen vor der Übernahme IT-gestützter Aufgaben ausreichend geschult werden. Gepflogenheiten und Verfahrensweisen im IT-Einsatz bekannt gegeben werden. Daher ist es unabdingbar. wenn die Benutzer/innen eingehend in die ITAnwendungen eingewiesen werden.

Schulungsthemen zur IT-Sicherheit soweit möglich in andere Schulungskonzepte der betreffenden Organisation. Zusätzlich sind Verhaltensregeln zu vermitteln. ist jede/r Einzelne zum sorgfältigen Umgang mit der IT zu motivieren. auch durch praktische Hinweise z. Integrität und Verfügbarkeit. Um dies zu verhindern. die Verständnis für die IT-Sicherheitsmaßnahmen wecken. Eine solche Einbindung hat den Vorteil. Die produktbezogenen IT-Sicherheitsmaßnahmen 200 . die in einem IT-Sicherheitskonzept erarbeitet wurden und von den einzelnen Mitarbeiterinnen/Mitarbeitern umzusetzen sind. Das Aufzeigen der Abhängigkeit der Organisation und damit der Arbeitsplätze von dem reibungslosen Funktionieren der IT-Systeme ist ein geeigneter Einstieg in die Sensibilisierung. dass ITSicherheit unmittelbar als Bestandteil des IT-Einsatzes wahrgenommen wird. Jede/ r Mitarbeiter/in ist auf die Notwendigkeit der IT-Sicherheit hinzuweisen. Es sollte versucht werden. wenn alle beteiligten und betroffenen Personen einen angemessenen Kenntnisstand über ITSicherheit allgemein und insbesondere über die Gefahren und Gegenmaßnahmen in ihrem eigenen Arbeitsgebiet haben. Darüber hinaus sollte jede/r Benutzer/in dazu motiviert werden. da viele ITSicherheitsmaßnahmen erst nach einer entsprechenden Schulung und Motivation effektiv umgesetzt werden können. zu integrieren.Umfassende IT-Sicherheit kann nur dann gewährleistet werden. Dieses ist in Schulungskonzepten darzulegen und zu dokumentieren. sich auch in Eigeninitiative Kenntnisse anzueignen. insbesondere unter den Gesichtspunkten Vertraulichkeit. in hausinternen Publikationen. im Intranet oder am "Schwarzen Brett". Die mitarbeiter/innenbezogenen IT-Sicherheitsmaßnahmen Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden. Angesichts des Umfangs der möglichen Schulungsthemen und der Bedeutung der IT-Sicherheit ist bei der Auswahl der Schulungsinhalte ein koordiniertes Vorgehen erforderlich.B. durch geeignete Schulungsmaßnahmen hierfür die nötigen Voraussetzungen zu schaffen. Dieser Teil der Schulungsmaßnahmen hat große Bedeutung. Darüber hinaus ist der Wert von Informationen herauszuarbeiten. Diese Sensibilisierungsmaßnahmen sind in regelmäßigen Zeitabständen zu wiederholen. Insbesondere sollen folgende Themen in der Schulung zu IT-Sicherheitsmaßnahmen vermittelt werden: • • • Sensibilisierung für IT-Sicherheit Die überwiegende Zahl von Schäden im IT-Bereich entsteht durch Nachlässigkeit. evtl. etwa in die ITAnwenderschulung. Es liegt in der Verantwortung der Organisationsleitung.

wie mit Viren umzugehen ist. so sind die Mitarbeiter/innen in die Handhabung dieser Verfahren ausreichend einzuarbeiten. Kap. Mögliche Inhalte dieser Schulung sind (siehe Kap. etc. Dies können neben Passwörtern zur Anmeldung. Besonders bedeutend ist dies für den PC-Bereich. Ebenso sind die Randbedingungen. Die Bedeutung der Datensicherung und deren Durchführung Die regelmäßige Datensicherung ist eine der wichtigsten ITSicherheitsmaßnahmen in jedem IT-System. der Pausenschaltung durch Bildschirmschoner auch Möglichkeiten der Verschlüsselung von Dokumenten oder Datenfeldern sein.1 Regelungen des Passwortgebrauches und 11. herauszuarbeiten (vgl. Hinweise und Empfehlungen über die Strukturierung und Organisation von Dateien. in dem jede/r Benutzer/in selbst die Datensicherung verantwortlich durchführen muss. ist allen Beteiligten bekannt zu geben.2 Regelungen des Gebrauchs von Chipkarten ). können die Vergabe von Zugriffsrechten erleichtern und den Aufwand für die Datensicherung deutlich reduzieren.. Token. Bürgerkarte . die inhärent mit einem Softwareprodukt verbunden sind und bereits im Lieferumfang enthalten sind. die anwendungsspezifische Daten enthalten.3.5 Datensicherung) der Organisation und die von jeder/jedem Einzelnen durchzuführenden Datensicherungsaufgaben.• Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden. digitale Signaturen oder Checksummenverfahren). die einen wirksamen Einsatz von Zugangscodes und Zugangskontrollmedien erst ermöglichen. 201 .6. Das Verhalten bei Auftreten eines Schadprogramms auf einem PC Hier soll den Mitarbeiterinnen/Mitarbeitern vermittelt werden. 10.) für die IT-Sicherheit erläutert werden.) und Zugangskontrollmedien (Karten.. Zugangscodes für Voicemail. wann welchen Kommunikationspartnerinnen/ Kommunikationspartnern welche Datenträger übermittelt werden dürfen. Werden bestimmte IT-gestützte Verfahren zum Schutz der Daten während des Austausches eingesetzt (wie etwa Verschlüsselung. Schutz vor Schadprogrammen und Schadfunktionen): • • • • • • Wirkungsweise und Arten von Schadprogrammen Vorbeugende Maßnahmen Erkennen des Schadprogrammbefalls Sofortmaßnahmen im Verdachtsfall Maßnahmen zur Eliminierung des Schadprogrammes • • Der richtige Einsatz von Zugangscodes und Zugangskontrollmedien Hierbei sollen die Bedeutung von Zugangscodes (Passwörtern. Vermittelt werden sollen das Datensicherungskonzept (s. auch 11. Der geregelte Ablauf eines Datenträgeraustausches Die Festlegung. PINs.

5 Aktionen bei Auftreten von Sicherheitsproblemen (Incident Handling Pläne)) Vorbeugung gegen Social Engineering Die Mitarbeiter/innen sollen auf die Gefahren des Social Engineering hingewiesen werden. Widerspruch. die die IT-Benutzer/innen in die Lage versetzt. sollten Mitarbeiter/innen regelmäßig darauf hingewiesen werden. Löschung. Dazu gehören die Erläuterung der Fluchtwege.).2. Richtigstellung.4 Betreuung und Beratung von IT-Benutzerinnen/ITBenutzern ISO Bezug: 27002 8. . Die typischen Muster solcher Versuche. Datensicherheitsmaßnahmen sowie Übermittlung und Überlassung von Daten. Diese Probleme können aus Hardwaredefekten. fehlerhaften Softwareinstallationen.3. die vorhandene Informationstechnik sachgerecht einzusetzen. bedarf es einer Betreuung und Beratung der IT-Benutzer/innen für die im laufenden Betrieb auftretenden Probleme. die mit personenbezogenen Daten (sowohl in IT-Systemen als auch in Akten) arbeiten müssen. die Identität von Gesprächspartnerinnen/Gesprächspartnern zu überprüfen und insbesondere am Telefon keine vertraulichen Informationen weiterzugeben. sollten bekannt gegeben werden.. die Verhaltensweisen bei Feuer. sich dagegen zu schützen. Da Social Engineering oft mit der Vorspiegelung einer falschen Identität einhergeht. der Umgang mit Feuerlöschern. Die Einweisung in Notfallmaßnahmen Sämtliche Mitarbeiter/innen (auch nicht unmittelbar mit IT befasste Personen wie Portier oder Wachpersonal) sind in bestehende Notfallmaßnahmen einzuweisen.3. aber auch aus Bedienungsfehlern resultieren. Mitarbeiter/innen. 8. das Notfall-Meldesystem (wer als Erstes wie zu benachrichtigen ist) und der Umgang mit dem Disaster Recovery Handbuch.• • • • Der Umgang mit personenbezogenen Daten An den Umgang mit personenbezogenen Daten sind besondere Anforderungen zu stellen. 202 . ebenso wie die Methoden. Dies betrifft etwa Meldepflichten. regelmäßige Schulungen und gegebenenfalls praktische Übungen sind vorzusehen (vgl.. den Umgang mit den Rechten von Betroffenen (Auskunft.2 Neben der Schulung. sind für die gesetzlich erforderlichen Sicherheitsmaßnahmen zu schulen. Richtiges Verhalten bei Auftreten von Sicherheitsproblemen (IHP) Die in den Incident Handling-Plänen (IHPs) festgelegten Aufgaben und Verantwortlichkeiten aller Mitarbeiter/innen bei Auftreten sicherheitsrelevanter Ereignisse sind allen betroffenen Mitarbeiterinnen/Mitarbeitern bekannt zu machen. auch 8. über gezieltes Aushorchen an vertrauliche Informationen zu gelangen.

Unter sicherheitsrelevanten Ereignissen sind dabei zu verstehen: • • • • • • • • Angriffe und (vermutete) Angriffsversuche gegen ein IT-System (vermutete) Sicherheitsschwächen Funktionsstörungen von Systemen (etwa durch maliziöse Software) Incident Handling-Pläne sollen in schriftlicher Form und verbindlich festlegen: wie auf sicherheitsrelevante Ereignisse zu reagieren ist. 8. 8.In größeren Behörden bzw.1.und Administrationspersonals 203 . Untersuchung sicherheitsrelevanter Vorfälle. die Verantwortlichkeiten für die Meldung bzw.3. Gegenmaßnahmen treffen müssen. die sicherheitsrelevante Vorfälle behandeln bzw.6 Schulung des Wartungs. die einzuhaltenden Meldewege.2. Es muss für jede/n Benutzer/in klar ersichtlich sein. an wen sie/er sich in Problemfällen zu wenden hat.3.5 Aktionen bei Auftreten von Sicherheitsproblemen (Incident Handling Pläne) ISO Bezug: 27002 8. Dabei hat sich die Wahl einer besonders leicht zu merkenden Telefonnummer besonders bewährt.1 Die Aufgaben und Verantwortlichkeiten aller Mitarbeiter/innen bei Auftreten von sicherheitsrelevanten Ereignissen sollten im Rahmen der organisationsweiten ITSicherheitspolitik (High-Level-Beschreibung) sowie spezieller "Incident HandlingPläne" (IHPs) sowohl für einzelne Bereiche als auch für die gesamte Organisation festgelegt werden (vgl. Unternehmen kann es daher sinnvoll sein. Die Einrichtung eines Helpdesk kann sich insbesondere bei einer hohen Zahl dezentraler Systeme wie PCs als vorteilhaft erweisen.3 Erstellung eines Incident Handling Plans und Richtlinien zur Behandlung von Sicherheitsvorfällen dieses Handbuches). die Protokollierung und Dokumentation sicherheitsrelevanter Vorfälle sowie die Ausbildung von Personen. eine zentrale Stelle mit der Betreuung der IT-Benutzer/innen zu beauftragen und diese allen Mitarbeiterinnen/Mitarbeitern bekannt zu geben ("Helpdesk"). dazu auch 13. IHPs sind allen betroffenen Mitarbeiterinnen/Mitarbeitern bekannt zu machen.

2. Verständliche Bedienungsanleitungen.2 Der Einsatz neuer Medien und Geräte . einfache Fehler selbst erkannt und behoben.2.und Administrationspersonal sollte mindestens so weit geschult werden. was solche Regelungen umfassen sollten. Sicherheitshinweise und ggf. 204 . Fax (Stand-alone-Gerät) • Festlegung einer/eines Fax-Verantwortlichen. Tätigkeiten im Normalbetrieb bis zur Erkennung von Problemen eigenhändig durchgeführt.3.erleichtert die Kommunikation. dass • • • • • • alltägliche Administrationsarbeiten selbst durchgeführt. 8. Alle Mitarbeiter/innen sind daher auf die Besonderheiten der Handhabung von solchen Geräten hinzuweisen und für potentielle Gefahren zu sensibilisieren. auch Dienstanweisungen sind den Mitarbeiterinnen/Mitarbeitern zur Kenntnis zu bringen und verfügbar zu halten.ISO Bezug: 27002 8. die Eingriffe von externem Wartungspersonal nachvollzogen und Manipulationsversuche oder unbefugte Zugriffe auf die Systeme erkannt werden können.dazu zählen Fax und Router genauso wie etwa Anrufbeantworter und Voice Mail .8 Einweisung in die Regelungen der Handhabung von Kommunikationsmedien ISO Bezug: 27002 8. Im Folgenden werden einige Beispiele angeführt.2 Das Wartungs. Datensicherungen selbsttätig durchgeführt. Sie sind den jeweiligen technischen Anforderungen und Möglichkeiten anzupassen. die/der für die Verteilung eingehender Fax-Sendungen zuständig ist und als Ansprechpartner/in in FaxProblemfällen fungiert. bringt aber auch neue potentielle Gefährdungen der Vertraulichkeit und Integrität von Informationen mit sich.

Fernzugänge Information über mögliche Gefährdungen.3. wer das Faxgerät benutzen darf. dass unnötige brennbare Materialien (Ausdrucke. Auswirkungen verschiedener Konfigurationen auf die Betriebssicherheit des Routers.auch nur kurzfristiger . Verbot des Versendens von vertraulichen Informationen per Fax (oder besondere technische und organisatorische Vorkehrungen für diesen Fall.• • • • • • Festlegung. Anrufbeantworter • • • • Regelung über den Einsatz von Sicherungscodes für die Fernabfrage Vermeidung schutzbedürftiger Informationen auf Anrufbeantwortern. Abschalten nicht benötigter Leistungsmerkmale. ggf. überzählige Handbücher. die die Nutzung eines Schutzschrankes umfasst.7 Beschaffung und Einsatz geeigneter Schutzschränke ) sind die Benutzer/innen in die korrekte Bedienung einzuweisen. einzuhaltende Sicherheitsmaßnahmen und Regelungen beim Betrieb eines Routers. Verwendung einheitlicher Fax-Deckblätter. Insbesondere ist einzufordern. Druckerpapier) nicht im Serverschrank aufbewahrt werden sollen. Dies sollte auch bei Neuübertragung einer Aufgabe erfolgen.3. 8.vgl.Nichtbenutzung verschlossen wird. auch 9. wie zum Beispiel das Nichtverwerfen von Codeschlössern. Im Falle eines Serverschrankes ist darauf hinzuweisen.5. Kontrolle von Einzelsendenachweisen. Regelmäßiges Abhören und Löschen aufgezeichneter Gespräche. dass der Schutzschrank bei . 205 . Beispiele für zu vermittelnde Punkte sind: • • Korrekter Umgang mit dem Schloss des Schutzschrankes: Dabei ist auf typische Fehler hinzuweisen.3 Nach der Beschaffung eines Schutzschrankes (Serverschrank oder Datensicherungsschrank .9 Einweisung in die Bedienung von Schutzschränken ISO Bezug: 27002 8. Schlüsselhinterlegung und Vertretungsregelung sind aufzuzeigen. Die Regelungen zur Schlüsselverwaltung. wie etwa telefonische Ankündigung eines derartigen Fax).

Gegebenenfalls ist sporadisch zu kontrollieren. bei Bedarf disloziert gelagert werden. ob im Serverschrank Wasser kondensiert ist.• • Datensicherungsträger des Servers sollten in einem anderen Brandabschnitt bzw. 206 . Wird ein klimatisierter Serverschrank eingesetzt. sollten dessen Öffnungszeiten minimiert werden. disloziert ausgelagert ist. Eine Aufbewahrung im Serverschrank ist daher ungeeignet und nur dann zulässig. wenn eine Kopie der Datensicherungsbestände in einem anderen Brandabschnitt bzw.

. Stromversorgung. des Gebäudes sind sicherheitsrelevant? Im Folgenden werden eine Reihe von grundlegenden Sicherheitsmaßnahmen angeführt. Welche davon in einem konkreten Fall zum Einsatz kommen. Lüftungsschächten etc. Infrastruktur (Wasser-. Räume für technische Infrastruktur.. welche? Wer hat Zutritt zum Gebäude? Gibt es eine physische Zutrittskontrolle? Ist ein Portierdienst eingerichtet? Stärke und Schutz/Überwachung von Wänden. Datenträgerarchiv. Kommunikationsverbindungen. Die in diesem Abschnitt beschriebenen Maßnahmen dienen dem Schutz von Informationssystemen mittels baulichen und infrastrukturellen Vorkehrungen. wenn ja. ist abhängig von Größe und Schutzbedarf der Organisation.). Dabei sind verschiedene Schutzebenen zu betrachten. Die nachfolgenden Fragen können bei der Beurteilung der baulichen und infrastrukturellen Sicherheit hilfreich sein: • • • • • • • Lage des Gebäudes (Befindet es sich auf einem eigenen gesicherten Grundstück? Wie sind die benachbarten öffentlichen Verkehrsflächen beschaffen?) Steht das Gebäude der betreffenden Organisation zur Alleinbenützung zur Verfügung oder gibt es andere Mitbenutzer. Fenstern.bzw. dass die Bedingungen bzw. Serverräume. Türen. USV. Nach Möglichkeit sollten bauliche und infrastrukturelle Maßnahmen bereits in der Planungs. Bauphase Berücksichtigung finden. 207 . ein nachträglicher Einbau ist meist teuer oder gar unmöglich. ..9 Physische und umgebungsbezogene Sicherheit Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 9 ff "Physische und umgebungsbezogene Sicherheit". Klimaanlage.) Welche Bereiche des Grundstückes bzw. Gebäude oder Räume (Büros. Auflagen von etwaigen Versicherungen eingehalten werden.. Weiters ist zu beachten. wie etwa Grundstücke.

unter Umständen auch die Durchführung eines Anschlages erleichtern.1. die angeführten Beispiele sollen lediglich einen Hinweis auf existierende.und Nachteile sind entsprechend abzuwägen. möglicherweise zur Anwendung kommende Normen geben und ein detailliertes Einarbeiten in die Materie erleichtern.2 Anordnung schützenswerter Gebäudeteile 208 . Bahn. Die Nähe zu optimalen Verkehrswegen wird in vielen Fällen als Vorteil angesehen werden.1 Bauliche und infrastrukturelle Maßnahmen 9. In der Nähe von Gewässern und in Niederungen ist mit Hochwasser zu rechnen.oder Eisenbahnen kann es zu Störungen von Datenleitungen und CRT-Bildschirmen kommen. neben den üblichen Aspekten wie Raumbedarf und Kosten auch Umfeldgegebenheiten. 9. können durch Unfälle beschädigt werden. 9. die Einfluss auf die Iinformationssicherheit haben. Bundesstraße.. Eisenbahn. S. durch Evakuierung oder großräumige Absperrung) beeinträchtigt werden.Wo sinnvoll bzw. zu berücksichtigen: • • • • • • • In Zusammenhang mit Schwächen in der Bausubstanz kann es durch Erschütterungen naher Verkehrswege (Straße. Austritt schädlicher Stoffe) die Verfügbarkeit des Gebäudes (z.1. Bei Überbauten von U-.da diese Verkehrswege auch potentielle Fluchtwege darstellen können . empfiehlt es sich. Vor. an dem ein Gebäude angemietet werden oder entstehen soll. für Gebäude in Einflugschneisen von Flughäfen besteht Gefahr durch einen eventuellen Flugzeugabsturz.B. Streunende Haustiere können Fehlalarme von Bewegungsmeldern verursachen und Personen gefährden. UBahn) zu Beeinträchtigungen der IT kommen..) liegen. In der Nähe von Kraftwerken oder Fabriken kann durch Unfälle oder Betriebsstörungen (Explosion. kann aber . Dabei handelt es sich nicht um eine vollständige Aufzählung aller für einen Bereich relevanten Normen und auch nicht um verbindliche Einsatzempfehlungen. In der Nähe von Sendeeinrichtungen kann es zu Störungen der IT kommen. hilfreich werden in den nachfolgenden Maßnahmenbeschreibungen Normen beispielhaft herausgegriffen und angeführt. die direkt an Hauptverkehrstrassen (Autobahn. . Gebäude.1 Geeignete Standortauswahl ISO Bezug: 27002 Bei der Planung des Standortes.

1. "Freilandschutz"). Räume im Erdgeschoss mit schlecht einsehbaren Höfen sind durch Einbruch und Sabotage gefährdet. 209 . Vandalismus und höhere Gewalt (Verkehrsunfälle in Gebäudenähe) gefährdet. Dazu gehören: • • • Sicherungen bei einstiegsgefährdeten Türen oder Fenstern. diese Aspekte schon in die Bauplanung für ein neues Gebäude oder in die Raumbelegungsplanung bei Einzug in ein bestehendes einzubeziehen.Schützenswerte Räume oder Gebäudeteile sollten nicht in exponierten oder besonders gefährdeten Bereichen untergebracht sein.zu öffentlichen Verkehrsflächen hin . dass schutzbedürftige Räume oder Bereiche im Zentrum eines Gebäudes besser untergebracht sind als in dessen Außenbereichen.3 Einbruchsschutz ISO Bezug: 27002 Die gängigen Maßnahmen zum Einbruchsschutz sollten den örtlichen Gegebenheiten entsprechend angepasst werden. Sicherung von Kellerlichtschächten. Besteht die Möglichkeit. Dazu zählen etwa: • • • Zäune und Mauern Tore. so können zusätzliche bauliche und technische Sicherheitsmaßnahmen getroffen werden ("Perimeterschutz". Als Faustregel kann man sagen. auch das Umfeld des Gebäudes in das Sicherheitskonzept einzubeziehen (etwa bei einer eigenen.sind durch Anschlag. Räume im Erdgeschoss . Insbesondere ist zu beachten: • • • • Kellerräume sind durch Wasser gefährdet. Räume unterhalb von Flachdächern sind durch eindringendes Regenwasser gefährdet. besondere Schließzylinder. ausschließlich der betreffenden Organisation gehörigen Liegenschaft). Optimal ist es. Schranken und Fahrzeugsperren Kameraüberwachung und Bewegungsmelder 9. Zusatzschlösser und Riegel.

Generelle Festlegung der Zutrittskontrollpolitik: Hier wird grundsätzlich festgelegt. Solche Zeitabhängigkeiten können etwa sein: Zutritt nur während der Arbeitszeit oder befristeter Zutritt bis zu einem fixierten Datum.1. sollte auch beim IT-Einsatz der Grundsatz der Funktionstrennung berücksichtigt werden. Operator. welche Maßnahmen zum Einbruchsschutz beachtet werden müssen. 210 . Gebäude. 9. Kundinnen/ Kunden. Verschluss von Personen. Um die Zahl der zutrittsberechtigten Personen zu einem Raum möglichst gering zu halten.4 Zutrittskontrolle Die Überwachung des Zutritts zu Gebäuden. Rechnerräume. ob zeitliche Beschränkungen der Zutrittsrechte erforderlich sind.). organisatorische und personelle Maßnahmen.. Bestimmung einer/eines Verantwortlichen für Zutrittskontrolle: Diese/r vergibt die Zutrittsberechtigungen an die einzelnen Personen entsprechend den in der Sicherheitspolitik festgelegten Grundsätzen.und Geräteschutz fest. Das Zutrittskontrollkonzept legt die generellen Richtlinien für den Perimeter-. einbruchgesicherte Notausgänge. Kommunikationseinrichtungen und die Haustechnik sein. .) Zutritt zu welchen Bereichen benötigen. Fachabteilungsmitarbeiter/innen. Gebäude. Angehörige von Lieferfirmen etc. Räume mit Peripheriegeräten (Drucker. In Anhang A sind relevante ÖNORMEN zum Einbruchsschutz angeführt.und Lastenaufzügen außerhalb der Dienstzeit.. Dazu gehören: • • • • • Festlegung der Sicherheitszonen: Zu schützende Bereiche können etwa Grundstücke. Ein Zutrittskontrollsystem vereinigt verschiedene bauliche. Dokumentation der Vergabe und Rücknahme von Zutrittsberechtigungen Definition von Zeitabhängigkeiten: Es ist zu klären. Rechenzentren und sicherheitssensiblen Geräten zählt zu den wichtigsten physischen Schutzmaßnahmen. Die einzelnen Bereiche können unterschiedliche Sicherheitsstufen aufweisen. So verhindert beispielsweise eine getrennte Lagerung von Ersatzteilen für IT-Systeme und Datenträgern den unerlaubten Zugriff von Wartungstechnikerinnen/Wartungstechnikern auf die Datenträger. Den Mitarbeiterinnen/Mitarbeitern ist durch Regelungen bekannt zu geben. welche Personengruppen (etwa RZMitarbeiter/innen.• • • Verschluss von nichtbenutzten Nebeneingängen. Archive.

. dass im Brandfall die Mitarbeiter/innen schnellstmöglich die gefährdeten Zonen verlassen können. um Warteschlangen auch zu Stoßzeiten (Arbeitsbeginn. Karten oder biometrische Methoden erfolgen soll. Festlegung der Rechteprüfung: Im Zutrittskontrollkonzept ist festzulegen. sowie welche Aktionen bei versuchtem unerlaubten Zutritt zu setzen sind. Eine solche Maßnahme bietet Schutz gegen jemanden. .) und bei Austritt einer Mitarbeiterin bzw.) notwendig? Welche Maßnahmen sind bei unautorisierten Zutrittsversuchen zu setzen? Ist eine Nullsummenprüfung (Anmerkung .. Voraussetzung für eine Nullsummenprüfung ist die Installation von Vereinzelungsmechanismen) erforderlich ? Ist das Auslösen eines "stillen Alarms" vorzusehen? Durch Eingabe einer vereinbarten Kennung.Nullsummenprüfung: Feststellung der Anzahl der im geschützten Bereich befindlichen Personen durch Vergleich der Zu. die Wartung und die regelmäßige Revision des Zutrittskontrollsystems in vertretbarer Relation zum möglichen Sicherheitsrisiko? Ist die Kapazität des Zutrittskontrollsystems der Größe der Organisation angepasst? Insbesondere ist eine ausreichende Zahl von Kontrollstellen und eventuellen Vereinzelungsmechanismen vorzusehen. Schleusen. den laufenden Betrieb. Sperrmöglichkeiten bei Verlust oder Duplizierung des Zutrittskontrollmediums (Schlüssel. Weiters sind folgende Fragen zu klären: • • • • Sind beim Betreten und/oder Verlassen eines geschützten Bereiches Vereinzelungsmechanismen (Drehtüren. wird ein Alarm an einer entfernten Überwachungsstelle (Portier... Dabei bedarf es einer sorgfältigen Abwägung zwischen den Sicherheitsinteressen des Systembetreibers und den Schutzinteressen der Privatsphäre der/des Einzelnen. Karte. Festlegung der Beweissicherung: Hier ist zu bestimmen. Polizei) ausgelöst.. zu welchen Zeiten und unter welchen Randbedingungen eine Rechteprüfung erfolgen muss..• • • • Festlegung der Zutrittskontrollmedien: Es ist festzulegen. wo. sicherzustellen. PINs). Behandlung von Ausnahmesituationen: Es ist u. ob die Identifikation bzw.a. . .und Authentisierungssysteme wie Zugangscodes (Passwörter. Stehen die Kosten für die Installation. der den Zugang zu geschützten Bereichen gewaltsam erzwingen will. eines Mitarbeiters. welche Daten bei Zutritt zu und Verlassen von einem geschützten Bereich protokolliert werden.) zu vermeiden. etwa einer zusätzlichen Ziffer zur üblichen PIN. • • • 211 .und Abgänge. die Authentisierung durch Überwachungspersonal (persönlich oder mittels Überwachungskameras) oder durch automatische Identifikations.

zu restriktive Handhabung. die Regeln zu verletzen.Das Zutrittskontrollkonzept sollte bereits vor der Systemauswahl so detailliert wie möglich feststehen und weitgehend stabil bleiben. Reserveschlüssel sind vorzuhalten und gesichert aufzubewahren. Wartezeiten. Zu beachten ist: • • • • • • Ist eine Schließanlage vorhanden.und Muster-Verordnung 2000 wurde eine neue Musteranwendung "MA002 Zutrittskontrollsysteme" geschaffen (s. Ersatz. Aufbewahrung. Austausch von Schließgruppen etc. Nicht ausgegebene Schlüssel und die Reserveschlüssel sind gegen unbefugten Zugriff geschützt aufzubewahren. überflüssige bürokratische Abläufe) können dazu führen. so sind für schutzbedürftige Bereiche eigene Schließgruppen zu bilden. Anhang C. Mit der Standard. Beim Ausscheiden von MitarbeiterinnenMitarbeitern sind alle Schlüssel einzuziehen (Aufnahme der Schlüsselverwaltung in den Laufzettel). einzelne Räume aus der Schließgruppe herauszunehmen und mit Einzelschließung zu versehen. wie bei Verlust einzelner Schlüssel zu reagieren ist (Meldung. Überarbeitungen werden jedoch notwendig. 9.). dass auch grundsätzlich sicherheitsbewusste Mitarbeiter bereit sind.5 Verwaltung von Zutrittskontrollmedien ISO Bezug: 27002 Für alle Schlüssel eines Gebäudes ist ein Schließplan zu fertigen. Die Herstellung. Austausch des Schlosses. Mängel im Zutrittskontrollsystem (häufige Fehlalarme. 212 . Kostenerstattung. die die Meldung beim Datenverarbeitungsregister erleichtert und daher für die Anwenderin bzw. Bei Zuständigkeitsänderungen von Mitarbeiterinnen/Mitarbeitern sind deren Schließberechtigungen zu prüfen und Schlüssel gegebenenfalls einzuziehen. Ausfälle. ggf. den Anwender hilfreich sein kann.1. bei • • • Feststellung von Sicherheitsmängeln Erweiterungen des sicherheitsrelevanten Bereiches schlechter Benutzerakzeptanz: Die Akzeptanz durch die Benutzer ist ein entscheidendes Kriterium. Es sind Vorkehrungen zu treffen. Verwaltung und Ausgabe von Schlüsseln ist zentral zu regeln.2 Musteranwendung MA002 Zutrittskontrollsysteme). Die Ausgabe der Schlüssel erfolgt gegen Quittung und ist zu dokumentieren.

die die Anfertigung eines Schlüssels nur unter Vorliegen definierter Bedingungen (etwa schriftliche Zustimmung einer/eines Verantwortlichen) erlauben. eines Besuchers bei der/dem Besuchten Rückfrage. dass bei der Durchführung des Portierdienstes einige Grundprinzipien beachtet werden.• • Schlösser und Schlüssel zu besonders schutzbedürftigen Bereichen (zu denen nur sehr wenige Schlüssel ausgegeben werden sollten) können bei Bedarf getauscht werden. Dem Portier müssen die Mitarbeiter/innen bekannt sein. so genannte Multifunktionschipkarten. Scharfschaltung der Alarmanlage. 9. 9. ab wann dieser Mitarbeiterin bzw. Die Aufgabenbeschreibung muss verbindlich festschreiben. • • • • • • Der Portier beobachtet bzw. Voraussetzung ist allerdings. diesem Mitarbeiter der Einlass zu verwehren ist.B. Der Portier hält vor Einlassgewährung einer Besucherin bzw. um so illegal nachgefertigten Schlüsseln die Funktion zu nehmen. ist auch der Portier zu unterrichten. Die Besucherin bzw. bzw. Das Gleiche gilt sinngemäß auch für alle anderen Zutrittskontrollmedien wie Magnetstreifen.1. sowie die Ausgabe von Besucherausweisen oder Besucherbegleitscheinen zu erwägen. in dem der Zutritt von Fremdpersonen zum Gebäude dokumentiert werden kann. Unbekannte Personen haben sich beim Portier zu legitimieren.oder Geschäftsschluss. kontrolliert alle Personenbewegungen am Eingang zum Gebäude bzw.1. der Besucher wird zu der/dem Besuchten begleitet oder am Eingang abgeholt. Abhängig von der Sensibilität des Bereiches sind die Führung eines Besucherbuches.oder Chipkarten. sicherheitsrelevanten Bereich. Gebäudesicherung nach Dienst. Kontrolle der Außentüren und Fenster). welche Aufgaben dem Portier im Zusammenspiel mit weiteren Schutzmaßnahmen zukommen (z. Scheidet ein/ e Mitarbeiter/in aus. Abhängig von der Sensibilität des zu schützenden Bereiches können auch gesperrte Schließsysteme zum Einsatz kommen.7 Einrichtung einer Postübernahmestelle 213 .6 Portierdienst ISO Bezug: 27002 Die Einrichtung eines Portierdienstes hat weit reichende positive Auswirkungen gegen eine ganze Reihe von Gefährdungen.

so ist von der Dienst habenden Mitarbeiterin bzw. gebracht werden. 9. Portier. Schutzmauer Freiland Sicherungsmaßnahmen z.B. dürfen erst nach Rücksprache mit der/dem namentlich angeführten Empfänger/in oder einer/ einem berechtigten Vertreter/in übernommen werden.) bei der/dem Empfänger/in rückzufragen.. so ist die Sendung nicht anzunehmen. vom Dienst habenden Mitarbeiter (z. Wird außerhalb der Amts. Solche Regeln können etwa sein: • • • • Pakete.8 Perimeterschutz ISO Bezug: 27002 Sofern es die Gegebenheiten und die Infrastruktur es zulassen sollten bereits auf dem Grundstück der Organisation zusätzliche Sicherheitseinrichtungen installiert werden. . um äußeren Gefährdungen entgegenzuwirken.ä. die von einem Botendienst o. Schutz durch Bewachungsunternehmen äußere Zutrittskontrollmechanismen z. entsprechende Geländegestaltung.oder Botendienst bzw. ob eine Sendung erwartet wird.B. Personen. 214 . von einer Privatperson gebracht werden. Videoüberwachung. des Grundstückes können folgende Vorkehrungen sinnvoll sein: • • • Einfriedung des Grundstückes z. Operator.B. Ist dies nicht der Fall oder ist die/ der Empfänger/in nicht erreichbar.bzw. Detektionssensorik. Zaunanlage. in dem die Verhältnismäßigkeiten der einzelnen Schutzmaßnahmen aufeinander abgestimmt sind.. sind nicht zu übernehmen. Pakete. geeignete Beleuchtung. Für größere Organisationseinheiten ist die Beschaffung von Geräten zum Durchleuchten von Postsendungen zu erwägen. Je nach Art und Topologie der Infrastruktur bzw.1. Bürostunden ein Brief oder ein Paket abgegeben.B.ISO Bezug: 27002 Die Übernahme von Briefen und Paketen sollte durch eine zentrale Stelle unter Beachtung von für die betreffende Organisation adäquaten Sicherheitsregeln erfolgen. die ohne namentlich angeführten Empfänger/in an die Organisation adressiert sind und von einem Paket.und/oder Fahrzeugschleusen Entscheidend ist. dass der Perimeterschutz in ein stimmiges Gesamtschutzkonzept eingebettet ist.

Gardinen und dergleichen. Es ist empfehlenswert. die allgemeinen und speziellen Bestimmungen des Arbeitnehmerschutzes und die Arbeitsstättenverordnung bei der Errichtung und beim Betrieb zu beachten. dass die Arbeitgeber/innen und Arbeitnehmer/ innen alle Maßnahmen zu ergreifen haben. die die Entstehung und Ausbreitung von Bränden verhindern und die Bekämpfung von Bränden gewährleisten. (Adresse siehe Anhang D) 9. Fußbodenbeläge. Sie ist von der Menge und vom Heizwert der Stoffe abhängig. IT-Geräte und Leitungen stellen ebenso eine Brandlast dar wie Möbel. insbesondere • • Bundes-Bedienstetenschutzgesetz ArbeitnehmerInnenschutzgesetz und die dazu ergangenen Verordnungen.9. Brandverhütungsstellen und/oder Brandschutzexpertinnen/Brandschutzexperten können und sollen bei der Brandschutzplanung hinzugezogen werden.1 Einhaltung von Brandschutzvorschriften und Auflagen Die gesetzlichen Brandschutzvorschriften und die Auflagen der zuständigen Baubehörde sowie der örtlichen Feuerwehr sind unbedingt einzuhalten. um das Risiko einer Brandentstehung zu minimieren.2 Raumbelegung unter Berücksichtigung von Brandlasten Eine Brandlast entsteht durch alle brennbaren Stoffe. 9.2. die ins Gebäude eingebracht werden. Grundsätzlich ist davon auszugehen. Ebenso ist es notwendig. 215 . wie sie zum Beispiel in den Publikationen des Verbands der Schadensversicherer (VdS) in Deutschland zu finden sind.2 Brandschutz Brandschutz stellt die Gesamtheit aller Maßnahmen dar. weitere Hinweise zum Brandschutz zu beachten. In Anhang A sind eine Reihe von wichtigen Normen zum Thema Brandschutz angeführt.2.

. Organisatorische Maßnahmen umfassen personenbezogene Unterweisungen (keine Zigaretten in den Papierkorb. Entsprechende Richtlinien und Normen (etwa ÖNORM B 3836 und B 3850 .3 Organisation Brandschutz Brandschutz umfasst sowohl präventive Maßnahmen. Datenträgern etc.a.2. Maßnahmen zur Brandbekämpfung und Evakuierung beinhalten u. Ersatz leicht entzündlicher Arbeitsstoffe) als auch organisatorischer Natur sein.2.. Die Brandschutzordnung ist im Falle von erhöhtem Brandschutz zu erstellen und umfasst die zur Brandverhütung erforderlichen technischen und organisatorischen Vorkehrungen und Maßnahmen. 216 . dass Trassen durch Brandwände und Decken führen. Ausschalten von Kaffeemaschinen bei Dienstende. keine Verwendung von Heizstrahlern. Um die Nachinstallation zu erleichtern.B. 9.) sowie die Erstellung einer Brandschutzordnung. • • • • Bestellung von Brandschutzbeauftragten Unterweisung der Arbeitnehmer/innen über die Verwendung der Feuerlöscheinrichtungen Ausarbeitung eines Evakuierungsplanes regelmäßige Brandschutzübungen 9. Sie ist allen Bediensteten jährlich einmal nachweislich zur Kenntnis zu bringen. Decke zu schotten (wieder zu verschließen).Bei der Unterbringung von IT-Geräten. sollte eine vorherige Beachtung der vorhandenen Brandlasten im gleichen Raum und in den benachbarten Räumen erfolgen. .4 Brandabschottung von Trassen Bei Gebäuden mit mehreren Brandabschnitten lässt es sich kaum vermeiden. als auch Maßnahmen zur Brandbekämpfung und Evakuierung. So sollte etwa das Datenträgerarchiv nicht in der Nähe von oder über einem Papierlager oder Räumen mit erhöhter Brandlast untergebracht sein. Präventive Maßnahmen können sowohl technischer (z. Die Durchbrüche sind nach Verlegung der Leitungen entsprechend dem Brandwiderstandswert der Wand bzw. die die Möglichkeit einer Brandentstehung minimieren sollen. können geeignete Materialien verwendet werden. siehe Anhang A ) sind dabei zu beachten.

B.B. Wichtige ÖNORMEN dazu werden in Anhang A angeführt. Beleg.Brandabschottungen sind bautechnische Maßnahmen. Brandschutztüren verzögern die Ausbreitung eines Brandes.und Lieferanteneingängen).B. Im Regelfall ist bei der Bildung eines Brandabschnittes bezüglich der Tür eine geringere Brandwiderstandsklasse gefordert als bei der Brandwand (meistens F90 für Wände und T30 für Türen).oder Datenträgerarchiv vorzusehen. 217 . in den jeweiligen Bauordnungen der Länder.5 Verwendung von Brandschutztüren und Sicherheitstüren Brandschutztüren sind Brandschutzabschlüsse. Die Nichtabschottung von nachträglichen Verkabelungen ist ein immer wieder anzutreffender Schwachpunkt von baulichem Brandschutz. Bei der Trassenplanung sollte die für den Brandschutz verantwortliche Person hinzugezogen werden. Die angeführten Themenbereiche finden u. bieten gegenüber normalen Bürotüren Vorteile: • • Sicherheitstüren (einbruchhemmende Türen) bieten auf Grund ihrer Stabilität einen höheren Schutz gegen Einbruch (z. Wichtig ist neben einer Zulassung des Systems auch eine genaue Einhaltung der Verarbeitungsanleitungen. bei Keller. bei Leitungs. welche hinsichtlich ihrer Brandwiderstandsdauer der ÖNORM B 3850 entsprechen müssen. Brandschutztüren auf Verkehrswegen sind bei Vorhandensein einer Brandmeldeanlage an diese anzuschließen. Es sind hier verschiedene Systeme wie z.a.2. die einen Durchbruch durch einen Brandabschnitt über eine bestimmte Zeitdauer gegen Durchtritt eines Brandes abdichten (z. 9. Brandschutzziegel.oder Kabeldurchführungen). Ansonsten sollten bei solchen Türen Feststellanlagen mit oder ohne eigene Branderkennung (Brandmelder) installiert werden. Sicherheitstüren. um ein Aufkeilen zu verhindern. Stahlblechtüren.2. wie z. Der Einsatz von Sicherheitstüren ist über den von der Feuerwehr vorgeschriebenen Bereich hinaus (vgl.1 Einhaltung von Brandschutzvorschriften und Auflagen) besonders bei schutzbedürftigen Räumen wie Serverraum. 9.B. Brandschutzkissen oder Spachtelmassen am Markt. den Arbeitnehmerschutzvorschriften und in den behördlichen Vorschreibungen und Genehmigungen ihren Niederschlag.

je nach Größe des Überwachungsbereiches.B. bzw. 9. ständig besetzten Stelle auflaufen. 218 . bis spätestens 2010 umgebaut werden und eine Interventionsschaltung aufweisen. durch Keile offen gehalten werden. Dringen nun Rauchpartikel. Derartige Brandmeldeanlagen können mit einer TUS-Leitung (Tonfrequentes Übertragungssystem) direkt mit der Feuerwehr verbunden sein oder intern auf einer kompetenten. Alternativ können Türen mit einem automatischen Schließmechanismus und Anschluss an die Brandmeldeanlage. Entsprechend den Anschlussbedingungen müssen künftig alle neuen Brandmeldeanlagen über eine Interventionsschaltung verfügen. 9. gelangen während der Überprüfungszeit eine oder mehrere weitere Meldungen zur Brandmeldeanlage. werden diese sofort an die Feuerwehr weitergeleitet. Bereits in Betrieb befindliche Brandmeldeanlagen mit einem TUS-Anschluss müssen. was bedeutet. ändert sich der Stromfluss.7 Brandmelder Brandmelder dienen zur Früherkennung von Brandgefahren und werden in automatische und nichtautomatische Melder unterschieden.2. dass Brand. eingesetzt werden. Wird diese Brandmeldung in der vorgesehenen Zeit nicht quittiert. dass nach dem ersten Brandalarm 3 bis 6 Minuten Zeit verbleiben um die Meldung zu überprüfen.und Rauchschutztüren auch tatsächlich geschlossen und nicht (unzulässigerweise) z. Derartige Anlagen werden von der Behörde vorgeschrieben und sind nach der TRVB S 123 (Brandmeldeanlagen) und TRVB S 114 (Anschaltebedingungen von Brandmeldeanlagen an öffentliche Feuerwehren) zu errichten. in die Kammer ein. Bei automatischen Brandmeldern unterscheidet man: Ionisationsrauchmelder Bei Ionisationsrauchmeldern erfolgt die Branderkennung durch die Änderung des Stromflusses in der Ionisationskammer. welche an einer Brandmeldeanlage hängen oder als Einzelmelder fungieren. Dieser Stromfluss wird durch Ionisation der Luft in der Messkammer erzeugt. Sie sind jährlich durch eine Wartungsfirma und alle 2 Jahre durch eine autorisierte Prüfstelle zu überprüfen. der im Alarmfall aktiviert wird.6 Brandmeldeanlagen Brandmeldeanlagen (BMA) dienen zur Überwachung eines bestimmten. besonders gefährdeten Bereiches oder eines gesamten Gebäudes.2. welche Träger der ionisierten Luftmoleküle sind.Es ist dafür zu sorgen.

Streulichtmelder Die Erkennungsgröße ist bei diesem Melder die Streuung eines definierten Lichtstrahles durch eindringenden Rauch.2. 219 . Der Sofortbekämpfung von Bränden kommt also ein sehr hoher Stellenwert zu. Diese Sofortbekämpfung ist nur möglich. Sie können auch bei starken Luftbewegungen eingesetzt werden und haben eine große Überwachungsfläche.8 Handfeuerlöscher (Mittel der Ersten und Erweiterten Löschhilfe) Die meisten Brände entstehen aus kleinen.an die Feuerwehr weitergeleitet. Flammenmelder Bei Flammenmeldern erfolgt die Branderkennung durch die von Bränden ausgehende Strahlung.ohne Verzögerung . Nichtautomatische Brandmelder: Druckknopfmelder Durch Drücken des Melders wird die Brandmeldung über die Brandmeldeanlage direkt .Aerosolbildung) Raumhöhen Überwachungsflächen 9. Besonders in Büros findet das Feuer reichlich Nahrung und kann sich sehr schnell ausbreiten. Dabei ist die räumliche Nähe zu schützenswerten Bereichen und Räumen wie Serverraum. anfangs noch gut beherrschbaren Brandherden. ein Temperaturanstieg herangezogen.oder Differentialmelder) Als Kriterium wird entweder eine definierte Maximaltemperatur bzw. Teeküchen .B. wenn entsprechende Handfeuerlöscher in der jeweils geeigneten Brandklasse ( ÖNORM EN 2:1993 02 01 ) in ausreichender Zahl und Größe im Gebäude zur Verfügung stehen. Raum mit technischer Infrastruktur oder Belegarchiv anzustreben. Wärmemelder (Maximal. Bei der Auswahl der Brandmelder sind folgende Kriterien zu beachten • • • • • • Art des Brandverlaufes Rauchentwicklung Rascher Temperaturanstieg Täuschungsanfälligkeit (z.

Sprinkleranlagen Sprinkleranlagen sind automatisch wirkende Löschanlagen mit dem Löschmittel Wasser. Bei der Planung ist neben der brandschutztechnisch richtigen Auslegung die erstickende Wirkung des CO2 als wesentlicher Faktor zu berücksichtigen. Wirkfläche und Löschwasserbevorratung) ist die Brandbelastung des jeweils betroffenen Bereiches zu berücksichtigen. Dadurch wird der Austritt von Wasser durch den Sprinklerkopf freigegeben. Bei entsprechenden Brandschutzübungen sind die Mitarbeiter/innen in der Handhabung der Handfeuerlöscher zu unterweisen. Die Feuerlöscher müssen so angebracht werden. sollten Kohlendioxyd-Löscher (Brandklasse B) zur Verfügung stehen. z. Die Einleitung des CO2 darf erst nach ausreichender Verzögerung zum Zwecke des Verlassens des Bereiches erfolgen. CO2-Löschanlagen CO2-Löschanlagen sind Gaslöschanlagen mit dem Löschmittel CO2.9 Löschanlagen Löschanlagen der verschiedensten Ausführungen sind meistens mit einer Brandmeldeanlage gekoppelt und werden im Bedarfsfall von dieser selbständig ausgelöst. 9. Rechner.2.Pulverlöscher mit Eignung für Brandklasse E bis 1000 V sind für elektrisch betriebene Peripheriegeräte geeignet. für elektronisch gesteuerte Geräte. Die Auslösung des Löschmittels muss händisch unterbrechbar sein. Die Auslösung der Anlage erfolgt durch thermische Zerstörung der Sprinklerkopfabschlüsse (im Normalfall alkoholgefüllte Glasviolen). Diese werden meistens von der Behörde bei Vorlage einer erhöhten Brandgefährdung vorgeschrieben. um Entstehungsbrände effizient zu bekämpfen bzw. Bei der Auslegung der Anlage (Löschwasserleistung. (ehemals) Halonlöschanlagen 220 . Es muss daher nach Branderkennung eine sofortige Alarmierung der betroffenen Personen und eine Schließung des Flutungsbereiches erfolgen. Die Beschäftigten haben sich über die Standorte der nächsten Feuerlöscher zu informieren.B. eine Ausbreitung zu unterbinden. dass sie im Brandfall leicht erreichbar sind. Dabei ist zu beachten: • • • • Die Feuerlöscher müssen regelmäßig geprüft und gewartet werden.

9. Die Einhaltung des Rauchverbotes ist zu kontrollieren. Vorgefundene Missstände müssen dazu Anlass geben. Schaumlöschanlagen Schaumlöschanlagen sind Löschanlagen mit dem Löschmittel Schaum. welche ähnlich wie Sprinkleranlagen funktionieren. Brandabschottungen werden bei Arbeiten beschädigt und nicht ordnungsgemäß wiederhergerichtet. aber auch Belegarchiv).B. Als Ersatz werden natürliche oder chemische Löschmittel sowie prinkleranlagen verwendet. Dieses Rauchverbot dient gleicherweise dem vorbeugenden Brandschutz wie der Betriebssicherheit von IT mit mechanischen Funktionseinheiten.bis zweimal im Jahr Brandschutzbegehungen angekündigt oder unangekündigt . 9.erfolgen. sollte ein Rauchverbot erlassen werden.2. durch Möbel und Papiervorräte.12 Rauchschutzvorkehrungen 221 .Seit 2004 gilt in der EU ein Verbot von Halon betriebenen Löschgeräten (FCKW. Datenträgerarchiv. dass im täglichen Betrieb die Vorschriften und Regelungen zum Brandschutz immer nachlässiger gehandhabt werden .2.2. Zulässige Brandlasten werden durch anwachsende Kabelmengen oder geänderte Nutzungen überschritten. 9. z. die Zustände und deren Ursachen unverzüglich zu beheben. in denen Brände oder Verschmutzungen zu hohen Schäden führen können. Im Wiederholungsfall oder bei besonders eklatanten Verstößen gegen die Brandschutzvorschriften sind auch entsprechende Sanktionen vorzusehen. welches die Ozonschicht zerstört) .11 Rauchverbot In Räumen mit IT oder Datenträgern (Serverraum. Brandabschnittstüren werden durch Keile offen gehalten.oft bis hin zur völligen Ignoranz. Einige Beispiele dazu: • • • • Fluchtwege werden blockiert. Aus diesem Grund sollten ein.10 Brandschutzbegehungen Die Erfahrungen zeigen.

dass z. stimmen erfahrungsgemäß nach einiger Zeit nicht mehr mit den tatsächlichen Gegebenheiten überein. die ggf. bei Rauchentwicklung selbsttätig geschlossen werden und die Rauchausbreitung verhindern Lüftungsanlage eine Ablüftung von Rauch vornehmen kann Lüftungs. für die eine Elektroinstallation ausgelegt wurde. Verteilern etc. Klimaanlage. Mit Betätigung des Not-AusSchalters wird dem Brand eine wesentliche Energiequelle genommen. Es ist also unerlässlich. in denen elektrische Geräte in der Weise betrieben werden. Beleuchtung etc. Ein umfassender Rauchschutz ist daher vorzusehen. 222 .B. bei Änderungen der Raumnutzung und bei Änderungen und Ergänzungen der technischen Ausrüstung (IT.3 Stromversorgung. 9. Andernfalls kann die Neuinstallation von Einspeisung.Im Brandfall geht von der damit verbundenen Rauchentwicklung sowohl für Mensch als auch für IT-Gerätschaften eine erhebliche Gefahr aus. was bei kleinen Bränden zu deren Verlöschen führen kann. Das kann durch Umrangierung von Leitungen geschehen. anzupassen. 9.3. In diesem Sinne ist zu gewährleisten.1 Angepasste Aufteilung der Stromkreise Die Raumbelegung und die Anschlusswerte. Maßnahmen gegen elektrische und elektromagnetische Risiken 9. dass • • • • rauchdichte Brandschutztüren verwendet werden (vgl.2 Not-Aus-Schalter Bei Räumen.und Klimaanlage selbsttätig auf Rauchentwicklung reagieren 9. Zumindest ist aber die Gefahr durch elektrische Spannungen beim Löschen des Feuers beseitigt.) die Elektroinstallation zu prüfen und ggf. durch hohe Gerätedichte oder durch Vorhandensein zusätzlicher Brandlasten ein erhöhtes Brandrisiko besteht. ist die Installation eines Not-Aus-Schalters nach Möglichkeit vorzusehen.2 Brandschutz ) Rauchschutztüren verwendet werden. Leitungen.3. durch deren Abwärme. erforderlich werden.

3. Cache-Speicher im Netz-Server). schaltet sich die USV selbsttätig zu und übernimmt die Versorgung. dass auch die USV abgeschaltet und nicht nur von der externen Stromversorgung getrennt wird (siehe auch 9. beim Stromausfall ein großes Datenvolumen verloren gehen würde und nachträglich nochmals erfasst werden müsste. dass dieser Not-Aus-Schalter auch unnotwendigerweise versehentlich oder absichtlich betätigt werden kann.3 Zentrale Notstromversorgung In Bereichen.dies kann sowohl für die Versorgung von IT-Anlagen als auch der Infrastruktur gelten . dass lokale unterbrechungsfreie Stromversorgungen (USV) nach Ausschalten der externen Stromversorgung die Stromversorgung selbsttätig übernehmen und die angeschlossenen Geräte unter Spannung bleiben. wo die Verfügbarkeitsanforderungen es zulassen. 9. Dies ist insbesondere dann sinnvoll. In einzelnen Fällen. mit Lagehinweis außen an der Tür) oder außerhalb des Raumes neben der Tür angebracht werden.3. Erst wenn dieses ausfällt. dass ein geordnetes Herunterfahren angeschlossener Rechner möglich ist. Daher ist bei der Installation eines Not-Aus-Schalters zu beachten. Zwei Arten der USV sind zu unterscheiden: Off-Line-USV: Hierbei werden die angeschlossenen Verbraucher im Normalfall direkt aus dem Stromversorgungsnetz gespeist.4 Lokale unterbrechungsfreie Stromversorgung). Diese wird in der Regel als Diesel-Notstrom-Aggregat realisiert.4 Lokale unterbrechungsfreie Stromversorgung Mit einer unterbrechungsfreien Stromversorgung (USV) kann ein kurzzeitiger Stromausfall überbrückt werden oder die Stromversorgung solange aufrechterhalten werden.Zu beachten ist. Dabei ist allerdings zu bedenken. wenn die Stabilität der Stromversorgung nicht ausreichend gewährleistet ist.3. in denen die Stromversorgung bei Ausfällen des öffentlichen Netzes über einen längeren Zeitraum aufrechtzuerhalten ist . 9.B. kann die Notstromversorgung auch in Form einer zweiten Energieeinspeisung aus dem Netz eines zweiten Energieversorgungsunternehmens (EVU) realisiert werden. 223 . • • • • wenn im Rechner umfangreiche Daten zwischengespeichert werden (z. Der Not-Aus-Schalter sollte innerhalb des Raumes neben der Eingangstür (evtl. bevor sie auf nichtflüchtige Speicher ausgelagert werden.ist eine zentrale Notstromversorgung vorzusehen.

um die angeschlossene IT geordnet herunterfahren zu können. Überspannungen zu glätten. d. 10 bis 15 Minuten ausgehen.3.• On-Line-USV: Hier ist die USV ständig zwischen Netz und Verbraucher geschaltet. ist eine regelmäßige Wartung der USV vorzusehen.B. Im Falle von Veränderungen ist zu überprüfen. Falls die Möglichkeit besteht. Bei der Dimensionierung einer USV kann man i. durch Anschluss an eine zentrale USV).ä. entsprechend dem Zeitbedarf der IT und der Kapazität der USV. Dachstuhlbrand u. 9.entsprechend den Angaben des Herstellers . sollte der Stromausfall länger andauern. 224 . von einer üblichen Überbrückungszeit von ca. Weiters ist zu beachten: • • • Die USV ist regelmäßig . Die meisten modernen USV-Geräte bieten Rechnerschnittstellen an.2 Not-Aus-Schalter zu beachten. TK-Anlagen) kann die erforderliche Überbrückungszeit auch mehrere Stunden betragen.5 Blitzschutzeinrichtungen (Äußerer Blitzschutz) Die direkten Auswirkungen eines Blitzeinschlages auf ein Gebäude (Beschädigung der Bausubstanz. ob die vorgehaltene Kapazität der USV noch ausreichend ist.B. R. Um die Schutzwirkung aufrechtzuerhalten. ein rechtzeitiges automatisches Herunterfahren (Shut-down) einleiten können.3. Die Wirksamkeit der USV ist regelmäßig zu testen. so dass nach Abwarten dieser Zeitspanne noch 5 Minuten übrig bleiben. Für spezielle Anwendungsfälle (z. Die gesamte Stromversorgung läuft immer über die USV. Beide USV-Arten können neben der Überbrückung von Totalausfällen der Stromversorgung und Unterspannungen auch dazu dienen. so stellt dies eine Alternative zur lokalen USV dar.) lassen sich durch die Installation einer Blitzschutzanlage verhindern.zu warten. Die Mehrzahl aller Stromausfälle ist innerhalb von 5 bis 10 Minuten behoben. In diesem Zusammenhang ist auch 9. die nach einer vorher festgelegten Zeit. die Stromversorgung unterbrechungsfrei aus einer anderen Quelle zu beziehen (z.

Dies ist nur durch einen Überspannungsschutz möglich (siehe dazu 9. 1500 V und ist auf die Vorschaltung eines Grobschutzes angewiesen. dass sie auch für empfindliche Bauteile mit Halbleiterbauelementen ungefährlich sind. Potentialausgleich: Nur wenn alle Schutzeinrichtungen sich auf das gleiche Potential beziehen. Mittelschutz: Der Mittelschutz begrenzt die verbleibende Überspannung auf ca. abhängig vom Umfeld (andere Stromverbraucher) und von der geographischen Lage. dessen hohe Kosten dem Schutzgut gegenüber gerechtfertigt sein müssen). der Überspannungsschutz. wie sie durch direkten Blitzschlag entstehen. Bei Nachinstallationen ist darauf zu achten.7 Schutz gegen elektromagnetische Einstrahlung 225 . ist ein optimaler Schutz möglich. ein recht hohes zerstörerisches Potential. ersetzt werden. Weiters ist zu beachten: • • Blitz. Der Überspannungsschutz wird in der Regel in drei voneinander abhängigen Stufen aufgebaut: • • • Grobschutz: Geräte für den Grobschutz vermindern Überspannungen.6 Überspannungsschutz (Innerer Blitzschutz) Je nach Qualität und Ausbau des Versorgungsnetzes des Energieversorgungsunternehmens und des eigenen Stromleitungsnetzes.3.Über diesen "Äußeren Blitzschutz" hinaus ist fast zwingend der "Innere Blitzschutz". 6000V.6 Überspannungsschutz (Innerer Blitzschutz) .und Überspannungsschutzeinrichtungen sollten periodisch und nach bekannten Ereignissen geprüft und ggf.d. Überspannungen durch Blitz haben i.R. ob ein äußerer Blitzschutz vorhanden ist oder nicht. um Mikroelektronikgeräte zu stören oder zu zerstören. dass der Potentialausgleich mitgeführt wird. während Überspannungen anderer Ursachen geringer sind. erforderlich. und begrenzen sie auf ca. Für die Auswahl des Grobschutzes ist es bedeutend. Denn der äußere Blitzschutz schützt die elektrischen Betriebsmittel im Gebäude nicht.3. 9. 9. Feinschutz: Geräte für den Feinschutz senken Überspannungen so weit herab.3. können durch Induktion oder Blitzschlag Überspannungsspitzen im Stromversorgungsnetz entstehen. aber trotzdem ausreichen können.

usw. die entsprechend vertrauliche Daten verarbeiten oder übertragen und bei denen die Gefahr einer kompromittierenden Abstrahlung besteht.bei Monitoren bis zu mehreren hundert Metern .8 Schutz gegen kompromittierende Abstrahlung Überall dort. So weit möglich. Als nachträgliche Maßnahmen bleiben etwa: • • die Verwendung von Schutzschränken mit speziellen Filtern und Türdichtungen oder die Abschirmung durch beschichtete Wände. von denen elektromagnetische Störungen ausgehen können (Schweißgeräte.) oder atmosphärische Entladungen. so weit baulich.. sind etwa: • Auswahl des Standortes (innerhalb eines Gebäudes): Bereits eine geeignete Aufstellung von IT-Komponenten.aufgefangen und analysiert werden können. Bildschirme. Daher sollten. Mögliche Ursachen für solche Störstrahlungen sind Radarstrahlung. Drucker. sollten solche Störquellen bereits bei der Planung berücksichtigt bzw. In der Nähe befindliche führende Leitungen (Heizkörper. Tastaturen.) können diese Abstrahlung beträchtlich verstärken. Rundfunk. kann das potentielle Risiko durch kompromittierende Abstrahlung in erheblichem Maße verringern. Hochspannungsleitungen. Maschinen. technisch und organisatorisch möglich. potentiell gefährdete 226 .. Abwehrmaßnahmen Möglichkeiten.3. wo Information elektronisch übertragen. ausgeschaltet werden. . Wasserleitungen. verarbeitet oder dargestellt wird. Anmerkung: Diese Maßnahme behandelt den Schutz gegen Störstrahlung im täglichen Umfeld. Fax-Geräte und ähnliche Geräte geben elektromagnetische Wellen ab. Mobilfunk-. ist die Gefahr der kompromittierenden Abstrahlung gegeben.und Fernsehsender. die noch in einer Entfernung von mehreren Metern .Die Funktion informationstechnischer Geräte kann durch die elektromagnetische Strahlung benachbarter Einrichtungen beeinträchtigt werden. Richtfunkanlagen. Modems. Anlagen mit starken Elektromotoren. den Verlust der Vertraulichkeit von Daten durch kompromittierende Abstrahlung zu verhindern. Graphikkarten. Schutz gegen einen elektromagnetischen Puls (EMP) als Folge kriegerischer Handlungen gehen über den mittleren Schutzbedarf hinaus und sind daher nicht Gegenstand des vorliegenden Handbuches. LAN-Komponenten. 9.

Weiters ist eine Aufstellung in der Nähe von führenden Leitungen (Heizungsrohre. In diesem Zusammenhang sind die Möglichkeiten von Side-Channel-Attacken (Differential Power Analysis .DPA.DEMA ) zu berücksichtigen.oder Gebäudeebene möglich. etc. Eine Raumschirmung schützt im Allgemeinen auch gegen Störstrahlung von außen.) zu vermeiden. . Dabei werden Wände. kryptographische Anwendungen. wird am Markt angeboten. z.) ist deren Schutzbedarf immens. sondern um einen Codenamen ohne besondere Bedeutung handelt. Differential Electro-Manetic Analysis . [Anmerkung:: Für die Bedeutung des Wortes TEMPEST werden verschiedene Erklärungen genannt. "Transient Electromagnetic Pulse Emanation Surveillance Technology" oder "Transient Electromagnetic Pulse Emanations Standard". Dieses Feld erzeugt auf in unmittelbarer Umgebung des Leiters verlegten Kabeln Spannungen und Ströme. das mit einem transparenten Metallfilm beschichtet ist. Solche abstrahlsichere Hardware-Komponenten werden in Anlehnung an den englischen Fachausdruck meist als "tempest-proof" oder "tempest-gehärtet" bezeichnet. Auch das Überkoppeln auf Leitungen ist eine Auswirkung von kompromittierender elektromagnetischer Strahlung. aus denen das Signal des ursächlichen Leiters wiedergewonnen werden kann. Böden und Decken entsprechend abgeschirmt. Wasserleitungen. so ist der elektrische Leiter mit einem elektromagnetischen Feld umgeben. die möglichst weit entfernt von Straßenfronten und Gebäuden mit Fremdfirmen sind. "Temporary Emission and Spurious Transmission".• • • Komponenten in Räumen untergebracht werden. ob es sich um eine analoge oder digitale Nachrichtenübertragung handelt. Es wird auch die Meinung vertreten. Gerade bei sicherheitsrelevanten Anwendungen (Zugangssystemen. Heizkörper.] Schirmung von Räumen und Gebäuden: Anstelle eines Schutzes auf Geräteebene ist . Wird ein Signal leitungsgebunden übertragen. dass es sich nicht um ein Akronym. Selbst bei der Verwendung von kleinsten Geräten wie beispielsweise Kryptomodulen oder Smart Cards ist auf deren kompromittierende Strahlung zu achten.bei entsprechenden Gegebenheiten .. Auch Spezialglas. In beiden Fällen kann mit recht einfachen Maßnahmen das ursprüngliche Signal wiederaufbereitet werden. da selbstverständlich Fenster in den Schutz mit einzubeziehen sind.B. Schirmung von Geräten: Diese erfolgt durch die Verwendung spezieller Materialien.. Überlagerung der kompromittierenden Abstrahlung: Durch Senden von Stördaten in einer bestimmten Frequenzbreite können die Emissionen der DV-Geräte überlagert werden.auch ein Schutz auf Raum. Demnach sind bereits bei der Anschaffung von Geräten jene mit entsprechenden Gegenmaßnahmen zu bevorzugen. Dabei spielt es keine Rolle. Geeignete Schutzmaßnahmen sind: 227 .

oder Twisted-PairKabeln Achten auf hochwertige Schirmung der Kabel (vorzugsweise ist doppelte Schirmung zu verwenden . die in ungeschützter Umgebung eingesetzt werden. die Verwendung geeigneter Werkstoffe (Bodenbeläge. Aus diesem Grund wird für Komponenten.Kombination aus Folien.4. Zieht man allerdings in Betracht.1 Lagepläne der Versorgungsleitungen Es sind genaue Lagepläne aller Versorgungsleitungen (Strom. Gefahrenmeldung. .9 Schutz gegen elektrostatische Aufladung Elektrostatische Aufladungen können Schäden an Bauteilen.und Geflechtschirmung) Verlegung parallel geführter Kabel in ausreichendem Abstand zueinander Verringerung des Signal-Oberwellengehaltes durch elektrische Filterung (besonders bei digitalen Übertragungen) Vorzugsweise Verwendung von Lichtwellenleitern (Gefahr des Übersprechens deutlich geringer aber in Folge mechanischer Beschädigungen des Kabels ebenfalls möglich) 9.).. Gas.3.• • • • • Wahl geeigneter Kabeltypen wie beispielsweise Koaxial. eine relativ hohe Widerstandsfähigkeit gegen elektrostatische Aufladung gefordert..hier stellen insbesondere Teppichböden eine Gefahrenquelle dar . dass abhängig von Bodenbeschaffenheit .und Schuhwerk die elektrostatische Aufladung von gehenden Personen 10 kV und mehr betragen kann. 9. Programmstörungen oder Datenverluste verursachen. Solche Maßnahmen sind etwa: • • • • die Gewährleistung einer relativen Luftfeuchtigkeit von mindestens 50%. Telefon. etc. so zeigt sich die Notwendigkeit von Maßnahmen zur Vermeidung und Eliminierung elektrostatischer Aufladungen. der Einsatz von Antistatikmitteln.) im Gebäude und auf dem dazugehörenden Grundstück zu führen und alle die Leitungen betreffenden Sachverhalte aufzunehmen: 228 . Wasser.4 Leitungsführung 9. Erdungsmaßnahmen.

Dies kann auf verschiedene Weise erreicht werden.2 Materielle Sicherung von Leitungen und Verteilern In Räumen mit Publikumsverkehr oder in unübersichtlichen Bereichen eines Gebäudes und zugehöriger Bereiche ist es sinnvoll.8 Schutz gegen kompromittierende Abstrahlung . vorhandene Kennzeichnung. Gefahrenpunkte und vorhandene und zu prüfende Schutzmaßnahmen. Verlegung der Leitungen in mechanisch festen und abschließbaren Kanälen. Verschluss von Verteilern und bei Bedarf zusätzlich elektrische Überwachung von Verteilern und Kanälen. Nur so kann das Risiko. Vgl. auf ein Mindestmaß reduziert werden. die Störung schneller zu beheben. Die Pläne sind gesichert aufzubewahren. da sie schützenswerte Informationen beinhalten. Nagetierschutz. dass Leitungen bei Arbeiten versehentlich beschädigt werden. evtl. Es muss möglich sein.3. 229 . der Zugriff darauf ist zu regeln.• • • • • • genaue Führung der Leitungen (Einzeichnung in bemaßte Grundriss. dazu auch 10. so weit möglich und zweckmäßig). Weiters ist zu beachten: • • • Alle Arbeiten an Leitungen sind rechtzeitig und vollständig zu dokumentieren.4. Leitungen und Verteiler zu sichern. Die Verantwortlichkeiten für Aktualisierung und Aufbewahrung der Pläne sind festzulegen. etwa: • • • • • • Verlegung der Leitungen unter Putz. Verlegung der Leitungen in Stahl. 9. sich anhand der Pläne einfach und schnell ein genaues Bild der Situation zu machen.und Lagepläne). Nutzung der Leitungen (Nennung der daran angeschlossenen Netzteilnehmer. genaue technische Daten (Typ und Abmessung).2.oder Kunststoffpanzerrohren.5 Dokumentation und Kennzeichnung der Verkabelung und 9. Eine Schadstelle ist schneller zu lokalisieren.

Gewährleisten.4. Herkömmliche Kupferleitungen bieten ein potentielles Ziel für aktive und passive Angriffe. Kurzschließen der freien Leitungen an beiden Kabelenden und in allen berührten Verteilern. die die Zutrittsrechte. dass nicht mehr benötigte Leitungen bei ohnehin anstehenden Arbeiten im Netz entfernt werden. 230 .3. Auftrennen aller Rangierungen und Verbindungen der freien Leitungen in den Verteilern (so weit möglich).und Fußbodenkanälen) nicht möglich. Auflegen der freien Leitungen auf Erde (Masse) an beiden Kabelenden und in allen berührten Verteilern. Ein potentielles Angriffsziel stellen aber die Schnittstellen (etwa Verstärker) dar. Vgl.Bei Verschluss sind Regelungen zu treffen. dazu auch 9.3 Entfernen oder Kurzschließen und Erden nicht benötigter Leitungen Nicht mehr benötigte Leitungen sollten nach Möglichkeit entfernt werden.4 Auswahl geeigneter Kabeltypen Bei der Auswahl von Kabeln ist neben der Berücksichtigung von übertragungstechnischen Anforderungen und Umfeldbedingungen auch die Frage nach den Sicherheitsanforderungen zu stellen. 9. Abhilfe kann hier entweder die Verwendung mehrfach geschirmter Leitungen oder der Einsatz von Lichtwellenleitern bringen. bei dadurch entstehenden Masse-Brumm-Schleifen ist nur einseitig zu erden. Ist dies auf Grund der damit verbundenen Beeinträchtigung des Dienstbetriebes (Öffnen von Decken. Lichtwellenleiter sind unempfindlich gegen elektrische und elektromagnetische Störungen und bieten Schutz gegen (aktives und passives) Wiretapping auf der Leitung.8 Schutz gegen kompromittierende Abstrahlung . 9. sind folgende Maßnahmen sinnvoll: • • • • • Kennzeichnen der nicht benötigten Leitungen in der Revisionsdokumentation und Löschen der Eintragungen in der im Verteiler befindlichen Dokumentation.5 Geeignete Aufstellung und Aufbewahrung zu finden. die Verteilung der Schlüssel und die Zugriffsmodalitäten festlegen. hier sind bei Bedarf entsprechende Schutzvorkehrungen zu treffen. Fensterbank. Weitere Angaben zur geeigneten Aufstellung und Aufbewahrung von IT-Systemen sind unter Kapitel 9.4.

ist dafür ein entsprechendes Kabel zu wählen. Ist dies nicht zu vermeiden.4. dass erkennbare Gefahrenquellen umgangen werden. dass Kabel nicht in Fußbodenkanälen durch deren Bereiche führen.in der Regel in geringer Deckenhöhe verlaufenden Trassen erhalten. Ist dies nicht möglich und ist der Betriebserhalt aller auf der Trasse liegenden Kabel erforderlich. dass sie vor direkten Beschädigungen durch Personen. Ist der Betriebserhalt nur für einzelne Kabel erforderlich. Grundsätzlich sollen Trassen nur in den Bereichen verlegt werden.und Kabelverlegung zu berücksichtigen. Ein übersichtlicher Aufbau der Trassen erleichtert die Kontrolle. In Tiefgaragen ist darauf zu achten.oder Fahrbereich liegen. Besser ist es. In Produktionsbetrieben ist mit hohen induktiven Lasten und daraus resultierenden Störfeldern zu rechnen. Bei einzelnen Kabeln (ohne Rohr) ist der Einbau von Kabelabdeckungen sinnvoll.4 Brandabschottung von Trassen ) zu versehen. 9.9. Auch diese sind bei der Trassen. Fahrzeuge und Maschinen geschützt sind. 10 cm über der Trasse ein Warnband zu verlegen.a. die ausschließlich dem/der Benutzer/in zugänglich sind. Bei gemeinsam mit Dritten genutzten Gebäuden ist darauf zu achten. ist der entsprechende Trassenbereich mit Brandabschottung (s. Bereiche mit hoher Brandgefahr sind zu meiden. 9.5 Schadensmindernde Kabelführung Bei der Planung von Kabeltrassen ist darauf zu achten. Fußboden. sie an den Bereichsgrenzen enden zu lassen.4.und Fensterbank-Kanalsysteme sind gegenüber den fremdgenutzten Bereichen mechanisch fest zu verschließen. dass Kabel nicht im Lauf. dass durch Trassen im Fahrbereich die zulässige Fahrzeughöhe nicht unterschritten wird.2. Für den Schutz der Kabel gilt sinngemäß das Gleiche wie bei der Brandabschottung.6 Vermeidung von wasserführenden Leitungen 231 . sind die Kabel den zu erwartenden Belastungen entsprechend durch geeignete Kanalsysteme zu schützen. Bei Erdtrassen ist ca. Trassen und einzelne Kabel sollen immer so verlegt werden. Der Standort von Geräten sollte so gewählt werden. und dass Fremdpersonen keinen unautorisierten Zugriff zu den .

. Kühlwasserleitungen. erhöhen sollen. Optional können Wassermelder mit automatisch arbeitenden Magnetventilen eingebaut werden. Verteilerschränke. sollen durch eine geeignete Aufstellung auch die Lebensdauer und Zuverlässigkeit der Technik sowie die Ergonomie des Systems verbessert werden. Günstig ist es. deren Ablauf außerhalb des Raumes führt.3 : z. die die Sicherheit des Systems gewährleisten bzw..) Server ( 9.1 Geeignete Aufstellung eines Arbeitsplatz-ITSystems : PCs. Server) befinden. Über diese Sicherheitsaspekte (die naturgemäß den Schwerpunkt des vorliegenden Handbuches bilden) hinaus. da so ein eventueller Leitungsschaden früher entdeckt wird.B. Zuleitungen zu Heizkörpern sollten mit Absperrventilen. Dabei wird unterschieden zwischen: • • • Arbeitsplatz-IT-Systemen ( 9. Sind Wasserleitungen unvermeidbar. wie sie für die mittlere Datenverarbeitung typisch sind.B. Telearbeitsplätze.2 Geeignete Aufstellung eines Servers : neben Datenbankservern. Außerhalb der Heizperiode sind diese Ventile zu schließen. 9. Löschwasserleitungen und Heizungsrohre sein.. möglichst außerhalb des Raumes/ Bereiches. versehen werden. etc. . eine selbsttätige Entwässerung.5 Geeignete Aufstellung und Aufbewahrung Bei der Aufstellung eines IT-Systems sind verschiedene Voraussetzungen zu beachten. Kommunikationsservern. sind davon auch Telekommunikationsanlagen umfasst) Netzwerkkomponenten ( 9. Im Folgenden werden generelle Hinweise für die Aufstellung von IT-Systemen und Komponenten gegeben. Als zusätzliche oder alternative Maßnahme empfiehlt sich ggf.5.. Notebooks. Die einzigen wasserführenden Leitungen sollten. kann als Minimalschutz eine Wasserauffangwanne oder -rinne unter der Leitung angebracht werden.2.In Räumen oder Bereichen. Modems. in denen sich IT-Geräte mit zentralen Funktionen (z.5. wenn unbedingt erforderlich.) 232 . Router. dazu den Flur zu nutzen. Diese Magnetventile sind außerhalb des Raumes/Bereiches einzubauen und müssen stromlos geschlossen sein. sollten wasserführende Leitungen aller Art vermieden werden.

dass eine generelle Klassifikation aller IT-Komponenten in eine der oben genannten Gruppen nicht möglich ist.5.). 9. das System sollte so weit möglich und erforderlich. die auf die Bedürfnisse des speziellen Falles abzubilden sind. Die unten angeführten Maßnahmen sind daher als allgemeine Hinweise zu verstehen.6 Serverräume): 233 .5. ist es zwingend erforderlich. Diese kann realisiert werden als: • Serverraum (vgl. Notebooks oder Terminals zu verstehen. Bei der Aufstellung eines Arbeitsplatz-IT-Systems sollten .2 Geeignete Aufstellung eines Servers Unter Servern sind in diesem Zusammenhang etwa Datenbank-. falls die Möglichkeit besteht. 9. diese in einer gesicherten Umgebung aufzustellen.1 Geeignete Aufstellung eines Arbeitsplatz-IT-Systems Unter Arbeitsplatz-IT-Systemen sind etwa PCs. Integrität und Verfügbarkeit im Betrieb von Servern sicherzustellen. . aber auch TK-Anlagen zu verstehen.unter anderem folgende Voraussetzungen beachtet werden: • • • der Standort in der Nähe eines Fensters oder einer Tür erhöht die Gefahr des Beobachtens von außerhalb.Wie für das gesamte Handbuch zutreffend und bereits in der Einleitung ausgeführt..8 Schutz gegen kompromittierende Abstrahlung ).. physisch gesichert sein (Diebstahlschutz. Es ist festzuhalten.3.und Kommunikationsserver. Programm.5. wird auch hier nicht auf den Bereich des klassischen Rechenzentrums eingegangen. Um Vertraulichkeit. 9.und herstellerspezifische Anforderungen bestehen und diese zudem über die Maßnahmen für den mittleren Schutzbedarf hinausgehen und damit den Rahmen der vorliegenden Arbeit sprengen würden. das System sollte nicht in unmittelbarer Nähe der Heizung aufgestellt werden (Vermeidung von Überhitzung. 9. da hier im Allgemeinen sehr produkt. versperrbare Diskettenlaufwerke. vgl. ein Fax direkt vom PC zu versenden. oder aber als Teil eines Arbeitsplatz-IT-Systems. aber auch kompromittierender Abstrahlung.zusätzlich zu den von den Herstellern festgeschriebenen Vorgaben und Hinweisen sowie ergonomischen Gesichtspunkten . So kann ein Fax etwa als Standalone-Gerät betrachtet werden.

B.• Raum zur Unterbringung von Servern.5.7 Beschaffung und Einsatz geeigneter Schutzschränke . Router und Verteilerschränke zu verstehen. Steht ein Modem direkt an einem Arbeitsplatz-IT-System zur Verfügung. auch 9. vgl. muss dieser auf der unsicheren Seite der Firewall aufgestellt werden.5. 9..6 Serverräume und 9.5.) schützen.7 Beschaffung und Einsatz geeigneter Schutzschränke ): Serverschränke dienen zur Unterbringung von IT-Geräten und sollen den Inhalt sowohl gegen unbefugten Zugriff als auch gegen die Einwirkung von Feuer oder schädigenden Stoffen (Staub. durch Versperren des Raumes. wodurch Sicherheitslücken entstehen können. Sollen mit einem Modempool weitere externe Zugänge zu einem durch eine Firewall geschützten Netz geschaffen werden. Um den Missbrauch von Netzwerkkomponenten zu verhindern.. dass der Zugriff zum Server auch im Vertretungsfall geregelt möglich ist. Im Serverraum ist im Allgemeinen kein ständig besetzter Arbeitsplatz eingerichtet. und unautorisierte Zugriffe auch in Ausnahmesituationen nicht vorkommen können. Serverschrank.3 Geeignete Aufstellung von Netzwerkkomponenten Unter Netzwerkkomponenten sind beispielsweise Modems.1 Geeignete Aufstellung eines Arbeitsplatz-IT-Systems ). . Wenn über ein Modem oder einen Modempool Zugänge zum internen Netz geschaffen werden. durch die Kosten verursacht. ist darauf zu achten. 234 . dass keine Umgehung einer bestehenden Firewall geschaffen wird. Viren eingeschleppt oder Interna nach außen transferiert werden können. dass nur Berechtigte physikalischen Zugriff darauf haben. er wird nur sporadisch und zu kurzfristigen Arbeiten betreten. Details zu den technischen und organisatorischen Sicherheitsmaßnahmen bei Serverräumen und Serverschränken finden sich in 9. Datenträgern in kleinem Umfang sowie weiterer Hardware (etwa Drucker oder Netzwerkkomponenten). muss sichergestellt werden. wenn kein separater Serverraum zur Verfügung steht (vgl. Gase.5. So bedeutet etwa der Missbrauch eines Modems zum einem die Durchführung unbefugter Datenübertragungen. Eine Vertretungsregelung muss sicherstellen. zum anderen das unbefugte Ändern oder Auslesen der Modem-Konfiguration. 9.5. Generell ist zu beachten: • • Der Zugang und Zugriff zu Servern darf ausschließlich autorisierten Personen möglich sein. so ist der physikalische Zugriff darauf abzusichern (z. serverspezifischen Unterlagen.

7 Beschaffung und Einsatz geeigneter Schutzschränke sind zu beachten. personenbezogene und/oder sensible Daten ( Definitionen s. Dabei ist auch auf die besonderen Gegebenheiten in verschiedenen Zielgebieten und in speziellen Situationen (etwa bei einer besonders eingehenden Zollkontrolle) hinzuweisen. Teil 1. Nach Möglichkeit sollten die Zeiten. so ist die Installation eines Zugriffsschutzes (über Passwort oder Chipkarte) sowie einer Festplatten. Da die Umfeldbedingungen bei mobilem Einsatz meist außerhalb der direkten Einflussnahme der Benutzerin / des Benutzers liegen. minimiert werden.etwa als Merkblätter an die Mitarbeiter/innen verteilt werden.4 dieses Handbuches [KIT S01] ) gespeichert und verarbeitet.5. Kapitel 2. muss sie/er versuchen.6 Serverräume und 9. die bei der mobilen Nutzung zu beachten sind: • • • • Die Benutzer/innen mobiler IT-Geräte sind über die potentiellen Gefahren bei Mitnahme und Nutzung eines solchen Gerätes außerhalb der geschützten Umgebung eingehend zu informieren und zu sensibilisieren. auch 7. geheime und/ oder streng geheime bzw.Netzwerkkomponenten sollten wie Server in einem gesicherten Serverraum oder einem Schutzschrank aufgestellt sein. So weit möglich sollten solche Informationen in schriftlicher Form . dass die Zulässigkeit von Verschlüsselungstechnologien in den einzelnen Staaten unterschiedlich geregelt ist. sollten auch Disketten und Streamerbänder ausschließlich chiffrierte Daten enthalten. so sollten diese keinesfalls unbeaufsichtigt (etwa im Hotel oder in einem Wagen) zurückgelassen werden.1 Herausgabe einer PC-Richtlinie ).5. Werden auf mobilen IT-Geräten eingeschränkte.2. 235 . Die entsprechenden Maßnahmen 9. so etwa Notebooks. vertrauliche. in denen das Gerät unbeaufsichtigt bleibt. Handhelds und Personal Assistants. Hierfür können nur einige Hinweise gegeben werden.5.1.oder Dateiverschlüsselung dringend zu empfehlen (vgl. mobile IT-Geräte auch außer Haus sicher aufzubewahren. Eine Vertretungsregelung muss sicherstellen. dass der Zugriff zu Netzwerkkomponenten auch im Vertretungsfall geregelt möglich ist und unautorisierte Zugriffe auch in Ausnahmesituationen nicht vorkommen können. 9. Dabei ist zu beachten.4 Nutzung und Aufbewahrung mobiler IT-Geräte Unter mobilen IT-Geräten sind alle für einen mobilen Einsatz geeigneten Geräte zu verstehen. Palmtops. Auch hier ist sicherzustellen: • • Der Zugang und Zugriff zu Netzwerkkomponenten darf ausschließlich autorisierten Personen möglich sein. So weit möglich. werden in Ausnahmefällen unverschlüsselte Disketten oder Streamerbänder im mobilen Einsatz verwendet.3.

Weitere Maßnahmen dazu finden sich in Kapitel Betriebsmittel und Datenträger . Darüber hinaus können dort auch Datenträger (in kleinerem Umfang) sowie zusätzliche Hardware. vorhanden sein. Der Diebstahl setzt dann den Einsatz von Werkzeug voraus.• • • • Werden mobile IT-Geräte in einem Kraftfahrzeug aufbewahrt. Das Verschließen des Gerätes in einem Schrank behindert Gelegenheitsdiebe. Das Abdecken des Gerätes oder das Einschließen in den Kofferraum bieten Abhilfe. er wird nur sporadisch und zu kurzfristigen Arbeiten betreten. Einige neuere Geräte bieten zusätzlich die Möglichkeit zum Anketten des Gerätes. In Hotelräumen sollte ein mobiles IT-Gerät nicht offen aufliegen. dass im Serverraum auf Grund der Konzentration von IT-Geräten und Daten ein deutlich höherer Schaden eintreten kann als beispielsweise in einem Büroraum. so sollte das Gerät von außen nicht sichtbar sein. Alternativ oder ergänzend kann auch eine verschlüsselte Speicherung der Daten vorgenommen werden. 9. 9. sollte zusätzlich das Gerät ausgeschaltet werden. Zu beachten ist jedoch.5. Beschriebene Datenträger sollten bis zum Transport in entsprechenden Behältnissen (Schrank. so ist dieser Raum nach Möglichkeit auch bei kurzzeitigem Verlassen zu verschließen. Wird der Raum für längere Zeit verlassen. Im Serverraum ist kein ständig besetzter Arbeitsplatz eingerichtet. Tresor) verschlossen aufbewahrt werden.5 Sichere Aufbewahrung der Datenträger vor und nach Versand Vor dem Versand eines Datenträgers ist zu gewährleisten.B. Die für den Transport oder für die Zustellung Verantwortlichen (z.5. um über das Bootpasswort die unerlaubte Nutzung zu verhindern. dass für den Zeitraum zwischen dem Speichern der Daten auf dem Datenträger und dem Transport ein ausreichender Zugriffsschutz besteht. Wird ein mobiles IT-Gerät in fremden Büroräumen vor Ort benutzt.6 Serverräume Ein Serverraum dient zur Unterbringung eines oder mehrerer Server sowie serverspezifischer Unterlagen. Poststelle) sind auf die sachgerechte und sichere Aufbewahrung und Handhabung von Datenträgern hinzuweisen. 236 . wie etwa Protokolldrucker oder Klimatechnik.

Je nach angestrebter Schutzwirkung sind bei der Auswahl geeigneter Schutzschränke folgende Hinweise zu beachten: • Schutz gegen Feuereinwirkung: Bei Schutzschränken unterscheidet man bezüglich Schutz gegen Feuereinwirkung die Güteklassen S60 und S120 nach ÖNORM EN 1047-1. Die Kürzel bedeuten im Einzelnen: P = Papier aller Art.3. gegen unbefugten Zugriff schützen.5.4 Zutrittskontrolle 9. zur Anwendung zu bringen.2 Not-Aus-Schalter 9.3. Durch Zusätze in der Klassifizierung werden die zu schützenden Datenträger bezeichnet.6. Besondere Beachtung ist dabei folgenden Maßnahmen zu widmen: • • • • • • • • • • • • • 9.2.6 Fernanzeige von Störungen 9. Magnetbänder.3.4. Filme). 120 Minuten während eines normierten Testes für die geschützten Datenträger verträgliche Temperaturen erhalten bleiben.2.2.4 Lokale unterbrechungsfreie Stromversorgung 9.2 Raumbelegung unter Berücksichtigung von Brandlasten 9. D = Datenträger (z. die im vorliegenden Kapitel 1 beschrieben werden.7 Klimatisierung 8.Für den Schutz von Serverräumen sind die entsprechenden baulichen und infrastrukturellen Maßnahmen.1.6.6.8 Handfeuerlöscher 9.2. ob in ihnen bis zu einer Beflammungszeit von 60 bzw.3 Beaufsichtigung oder Begleitung von Fremdpersonen 9. In diesen Güteklassen werden die Schutzschränke darauf geprüft.B. 237 .4 Geschlossene Fenster und Türen 9.11 Rauchverbot 9.7 Beschaffung und Einsatz geeigneter Schutzschränke Schutzschränke können ihren Inhalt gegen die Einwirkung von Feuer bzw.5 Alarmanlage 9.6 Überspannungsschutz (Innerer Blitzschutz) 9.6 Vermeidung von wasserführenden Leitung 9.6.

da der Schutzwert des Schrankes und seine spezifische Zulassung beeinträchtigt werden können. Dazu sollte vor der Beschaffung eines Schutzschrankes festgelegt werden. die bei DIS-Schränken am höchsten ist. Serverschränke: 238 .V. Hilfestellung bei der Bewertung des Widerstandswertes verschiedener Schutzschränke gibt das VDMA-Einheitsblatt 24990. Es sollte auch Raum für zukünftige Erweiterungen mit eingeplant werden.RAL: Deutsches Institut für Gütesicherung und Kennzeichnung e. jedoch ist davon auszugehen. sollten in der Wand oder im Boden verankert werden. Bei Schutzschränken. welche Arten von Datenträgern in ihm aufbewahrt werden sollen.• DIS = Disketten und Magnetbandkassetten einschließlich aller anderen Datenträger. so können Datensicherungsschränke nach RAL-RG 626/9 verwendet werden. die auf Grund ihrer geringen Größe relativ einfach weggetragen werden könnten. Bonn ] geeignet sein. sollte eine Vorrichtung zum automatischen Schließen der Türen im Brandfall vorgesehen werden. Schutzschränke.und Anlagenbau e. welche Geräte bzw. dass solche Schränke damit Schutz gegen Feuer für einen gewissen Zeitraum bieten. Bei der Auswahl von Schutzschränken ist auch die zulässige Deckenbelastung am Aufstellungsort zu berücksichtigen. Sind Zugriffsschutz und Brandschutz in Kombination erforderlich. Zu beachten bleibt. dass im Brandfall der Betrieb eines in einem Serverschrank untergebrachten Servers nicht aufrechterhalten werden kann. Nach diesen Auswahlkriterien für den Schutzwert des Schutzschrankes ist als Nächstes die Ausstattung des Schrankes bedarfsgerecht festzulegen. Die Unterschiede zwischen den Klassen liegen in der Isolationsleistung. Nachrüstungen sind in der Regel schwierig. Schutz gegen unbefugten Zugriff: Der Schutzwert gegen unbefugten Zugriff wird neben der mechanischen Festigkeit des Schutzschrankes entscheidend durch die Güte des Schlosses beeinflusst. in dem Sicherheitsmerkmale von Schutzschränken kurz beschrieben werden. so dass Datenträger nicht zerstört werden. Die Innenausstattung des Schutzschrankes ist dieser Festlegung angemessen auszuwählen. die zum Schutz vor Feuer und Rauch dienen. (VDMA) und RALRG 627 für Wertschränke. Die Schließung sollte lokal durch Rauchgasmelder und/oder extern durch ein Signal einer Brandmeldeanlage (soweit vorhanden) ausgelöst werden können.V. Weitere relevante Normen und Informationen sind VDMA 24992 für Stahlschränke des Verbandes deutscher Maschinen. Für den IT-Grundschutz sollten Wertschränke nach RAL-RG 627 [Anmerkung . Für den IT-Grundschutz sollten bei Schutz gegen Feuer Schutzschränke der Güteklasse S60 ausreichend sein.

B. Verschluss von Schutzschränken: Generell sind Schutzschränke bei Nichtbenutzung zu verschließen. Andernfalls muss zumindest eine Lüftung vorhanden sein.B. so ist auch bei kurzfristigem Verlassen des Raumes der Schutzschrank zu verschließen. werden auch als Serverschränke bezeichnet. bei Wechsel des Benutzers. Zu beachten ist. ist empfehlenswert. Bandlaufwerke vorgesehen werden. So ist zum Beispiel ein ausziehbarer Boden für die Tastatur wünschenswert. Zugriff auf die Protokollausdrucke zu gewähren. in denen wichtige IT-Komponenten (also im Regelfall Server) untergebracht sind. persönliche Daten. sogar als Einzigen. Dazu ist zu beachten. das im Brandfall die Stromzufuhr der Geräte unterbricht (auf der Eingangs. dass Administratoren Arbeiten sitzend durchführen können. sofern diese vorhanden ist). ggf. ihnen. dass der Code einem Unbefugten bekannt wurde und mindestens einmal alle zwölf Monate. dass eine Hinterlegung im zugehörigen Schutzschrank sinnlos ist. Die entsprechenden Geräte sollten dann im Schrank mit untergebracht werden. dass die Ausstattung ergonomisch gewählt ist. Werden Arbeiten. so muss der Code für diese Schlösser geändert werden nach der Beschaffung. Die jeweils gültigen Codes von Codeschlössern sind aufzuzeichnen und gesichert zu hinterlegen. unterbrochen. Die Ausstattung des Schrankes mit einem lokal arbeitenden Brandfrüherkennungssystem. Der Code darf nicht aus leicht zu ermittelnden Zahlen (z. die ein Öffnen des Schutzschrankes erfordern. 239 . Es ist also nicht sinnvoll. Die Protokollierung der Aktionen am Server dient auch zur Kontrolle der Administratoren.und der Ausgangsseite der USV. Nicht im gleichen Schrank untergebracht werden sollten Backup-Datenträger und Protokolldrucker. Backup-Datenträger würden im Falle einer Beschädigung des Servers vermutlich ebenfalls beschädigt. Je nach Nutzung des Schrankes können auch eine Klimatisierung und/oder eine USV-Versorgung erforderlich sein. der in einer Höhe angebracht wird. damit Administrationsarbeiten vor Ort durchgeführt werden können. • • • • • Werden Schutzschränke mit mechanischen oder elektronischen Codeschlössern verwendet. nach Öffnung in Abwesenheit des Benutzers. In diesen sollte außer für den Server und eine Tastatur auch Platz für einen Bildschirm und weitere Peripheriegeräte wie z. damit Administrationsarbeiten am Server ungehindert durchgeführt werden können. wenn der Verdacht besteht.Schutzschränke. arithmetische Reihen) bestehen.

bei deren Umbau. Gefahrenmeldung. Mit geordnet ist gemeint. Vorschriften. für verschlossene Verteiler die Schlüssel verfügbar sind und die Schlösser funktionieren. Rohrpost etc.1. Wasser. Gas. zugestellt werden. Diese Regelwerke tragen dazu bei. Datennetze.6. 9. z.B. interne Versorgungsnetze wie Telefon. Verteiler nicht mit Möbeln. Mit möglich ist gemeint. so ist abzuwägen. Die Zugriffsmöglichkeiten können durch unterschiedliche Schlüssel und entsprechende Schlüsselverwaltung geregelt werden (siehe dazu 9.2 Regelungen für Zutritt zu Verteilern Die Verteiler (z. 240 . Geräten. Der Zutritt zu den Verteilern aller Versorgungseinrichtungen (Strom. Bei der Planung und Errichtung von Gebäuden. was im Notfall einen schnelleren Zugriff erlauben würde. Telefon. dass • • • Verteiler nicht bei Malerarbeiten mit Farbe oder Tapeten so verklebt werden. Paletten etc.4 Zutrittskontrolle ). für Energieversorgung. In Anhang A werden einige dieser Normen beispielhaft angeführt.1 Einhaltung einschlägiger Normen und Vorschriften Für nahezu alle Bereiche der Technik gibt es Normen bzw. Telefon) sind nach Möglichkeit in Räumen für technische Infrastruktur unterzubringen.B.B. der ÖNORM und des ÖVE. 9. Verteiler sollten verschlossen sein und dürfen nur von den für die jeweilige Versorgungseinrichtung zuständigen Personen geöffnet werden.Wenn der Schutzschrank neben einem Codeschloss ein weiteres Schloss besitzt. oder getrennt hinterlegt werden. wer welchen Verteiler öffnen darf. dass technische Einrichtungen ein ausreichendes Maß an Schutz für den/die Benutzer/in und Sicherheit für den Betrieb gewährleisten.6 Weitere Schutzmaßnahmen 9. beim Einbau technischer Gebäudeausrüstungen (z. dass festgelegt ist. Die dort geforderten Maßnahmen sind zu berücksichtigen. so dass es für eine/n Angreifer/in schwieriger ist. dass sie nur noch mit Werkzeug zu öffnen oder unauffindbar sind. sich Zugriff zu verschaffen.) im Gebäude muss möglich und geordnet sein.6. ob Code und Schlüssel gemeinsam hinterlegt werden.oder Datennetze) und bei Beschaffung und Betrieb von Geräten sind entsprechende Normen und Vorschriften unbedingt zu beachten.

in denen ein Raum nicht besetzt ist.7 Clear Desk Policy ). ist der Verschluss des Büros nicht möglich. 8. Schrank und PC (Schloss für Diskettenlaufwerk.B. um den Einblick zu verhindern oder so zu gestalten. IT in Räumen oder Gebäudebereichen unterzubringen. Terrassen) sind in Zeiten.1. um seine Aktivitäten gezielter und damit Erfolg versprechender vorbereiten zu können. 241 . Hinweise. dass z. je nach Fassadengestaltung. so sind geeignete Maßnahmen zu treffen. Auch nach innen gehende Türen nicht besetzter Räume sollten im Allgemeinen abgeschlossen werden. in Großraumbüros. In manchen Fällen.B. Tastaturschloss. der zum Gebäude Zutritt hat. der Bildschirm gelöscht wird und das Booten des Rechners die Eingabe eines Passwortes verlangt. dass die Nutzung nicht offenbar wird. Solche Bereiche sollten nach Möglichkeit keinen Hinweis auf ihre Nutzung tragen. Datenträgerarchiv.B. In diesem Fall sollte alternativ jede/r Mitarbeiter/in vor ihrer/seiner Abwesenheit Unterlagen und den persönlichen Arbeitsbereich (Schreibtisch.1.2 Anordnung schützenswerter Gebäudeteile ). auch in den höheren Etagen bieten sie einem/einer Einbrecher/in auch während der Betriebszeiten eine ideale Einstiegsmöglichkeit. Ist es unvermeidbar. Bei laufendem Rechner kann auf das Abschließen der Türen verzichtet werden. Ersatzteillager. Verteilungen der Stromversorgung. 9. Dabei ist darauf zu achten. Dadurch wird verhindert. Schalträume. die für Fremde leicht von außen einsehbar sind (siehe auch 9.9.und Erdgeschoss und.a. wenn eine Sicherungsmaßnahme installiert ist. dass Unbefugte Zugriff auf darin befindliche Unterlagen und IT-Einrichtungen erlangen. Während normaler Arbeitszeiten und sichergestellter kurzer Abwesenheit der Mitarbeiterin/des Mitarbeiters kann von einer zwingenden Regelung für Büroräume abgesehen werden. nicht nur ein Fenster einer ganzen Etage mit einem Sichtschutz versehen wird. Klimazentrale.6. Im Keller. zu schließen. Rechenzentrum. Serverraum.6. mit der die Nutzung des Rechners nur unter Eingabe eines Passwortes weitergeführt werden kann (passwortunterstützte Bildschirmschoner). "Rechenzentrum" oder "EDV-Archiv" geben einem potentiellen Angreifer.3 Vermeidung von Lagehinweisen auf schützenswerte Gebäudeteile Schützenswerte Gebäudeteile sind z. z. Türschilder wie z. Telefon) verschließen (s.B.4 Geschlossene Fenster und Türen Fenster und nach außen gehende Türen (Balkone.

Die zuständigen Personen sind über die im Alarmfall einzuleitenden Schritte zu unterrichten. 9. werden oft in ge. entdeckt werden. Diebstahl frühzeitig erkennen und Gegenmaßnahmen einleiten. Diese arbeiten völlig selbstständig.6 Fernanzeige von Störungen IT-Geräte und Supportgeräte. dass Störungen. meist durch ihre Auswirkungen auf die IT. Räume für technische Infrastruktur u. kommen als Minimallösung lokale Melder in Betracht. ist zu überlegen. Datenträgerarchive. Feuer. Serverraum). Funktionsstörungen einer USV oder der Ausfall eines Klimagerätes seien als Beispiele für solche "schleichenden" Gefährdungen angeführt. Die Alarmierung erfolgt vor Ort oder mittels einer einfachen Zweidrahtleitung (evtl. Einbruch. die sich in ihrem Frühstadium auf die IT noch nicht auswirken und einfach zu beheben sind. dass keine schutzbedürftigen Gegenstände wie Unterlagen oder Datenträger offen aufliegen. die keine oder nur seltene Bedienung durch eine Person erfordern. erst zu spät.6. Um die Schutzwirkung aufrechtzuerhalten. Telefonleitung) an anderer Stelle.ä. Ist keine Alarmanlage vorhanden oder lässt sich die vorhandene nicht nutzen. ob zumindest die Kernbereiche der IT (Serverräume. wenn die Inbetriebnahme des Gerätes die Eingabe eines Passwortes verlangt und sichergestellt ist.und verschlossenen Räumen untergebracht (z. Es muss auf jeden Fall sichergestellt werden. dass die Passworteingabe keinesfalls umgangen werden kann.6. geprüft werden. dies erfordert jedoch zusätzlichen organisatorischen Aufwand. 9.Bei ausgeschaltetem Rechner kann auf das Verschließen des Büros verzichtet werden. ohne Anschluss an eine Zentrale.5 Alarmanlage Ist eine Alarmanlage für Einbruch oder Brand vorhanden und lässt sich diese mit vertretbarem Aufwand entsprechend erweitern. Besonders wirksam ist "Stiller Alarm mit Rückfrage".B. So lassen sich Gefährdungen wie Feuer.) in die Überwachung durch diese Anlage mit eingebunden werden sollen. ist eine regelmäßige Wartung und Funktionsprüfung der Alarmanlage vorzusehen. Das führt dazu. 242 . Weiters ist zu beachten: • • • Die Alarmanlage muss regelmäßig gewartet bzw.

Dazu muss das Klimagerät allerdings an eine Wasserleitung angeschlossen werden.6. Die technischen Möglichkeiten reichen dabei von einfachen Kontakten. so dass der Einbau einer Klimatisierung erforderlich wird. in denen sich Wasser sammeln und stauen kann oder in denen fließendes oder stehendes Wasser nicht oder erst spät entdeckt wird und in denen das Wasser Schäden verursachen kann. auf die man sich verlassen muss. Zusätzlich ist zu beachten.und Wärmeaustausch eines Raumes manchmal nicht aus.9 Videounterstützte Überwachung 243 . Deren Aufgabe ist es. etc. Werden darüber hinaus Forderungen an die Luftfeuchtigkeit gestellt.Durch eine Fernanzeige ist es möglich. reicht der normale Luft. Keller. bis zu Rechnerschnittstellen mit dazugehörigem Softwarepaket für die gängigen Betriebssysteme.6 Vermeidung von wasserführenden Leitungen ist zu beachten. ohne sie ständig prüfen oder beobachten zu können. um eine Korrosion von IT-Bauteilen durch vorbeigeführte Luft aus der Klimaanlage zu vermeiden. über die eine Warnlampe eingeschaltet werden kann.7 Klimatisierung Um den zulässigen Betriebstemperaturbereich von IT-Geräten zu gewährleisten. insbesondere bei Umbauarbeiten in bestehenden Räumen und Gebäuden. 9. 9.und Entfeuchtung auch diese erfüllen. So ist etwa bei baulichen Maßnahmen. dass die Luftumwälzung durch eine Klimaanlage auch Emissionen aus der Umgebung in die Nähe von empfindlichen ITKomponenten bringen kann.6. sollten mit einer selbsttätigen Entwässerung und ggf. Viele Geräte. solche Störungen früher zu erkennen. kann ein Klimagerät durch Be. Lichtschächte und Heizungsanlagen.6. a. mit Wassermeldern ausgestattet sein. haben heute einen Anschluss für Störungsfernanzeigen. Über die Schnittstellen ist es oft sogar möglich.4. säurefrei sind. die Raumtemperatur durch Kühlung unter dem von der IT vorgegebenen Höchstwert zu halten. Zu diesen Bereichen gehören u. Um die Schutzwirkung aufrechtzuerhalten ist eine regelmäßige Wartung der Klimatisierungseinrichtung vorzusehen. dass Kleber. darauf zu achten. 9.8 Selbsttätige Entwässerung Alle Bereiche. Anstriche. 9. Lufträume unter Doppelböden. jederzeit den aktuellen Betriebszustand der angeschlossenen Geräte festzustellen und so Ausfällen rechtzeitig begegnen zu können.

Abschnitt 1.4 Zutrittskontrolle ) Aufstellung und Anordnung von Geräten ( Abschnitt 9. sind diese umgehend auf den aktuellen Stand zu bringen. Bei geeigneter Aufstellung ist auch die von Überwachungskameras ausgehende Abschreckung ein Vorteil derartiger Systeme.3 Einbruchsschutz ) Zutrittskontrollen ( 9. Derartige Überwachungssysteme stellen eine sinnvolle Ergänzung der bestehenden Maßnahmen (vgl. 9.2 Strategie und Planung ) . In diesem Zusammenhang sind die im Kapitel 1 „Bauliche und infrastrukturelle Maßnahmen“ getroffenen Maßnahmen von besonderer Bedeutung.ä.).Zur besseren Absicherung der Infrastruktur sollte bei Bedarf auf ein videounterstütztes Überwachungssystem zurückgegriffen werden.5 Geeignete Aufstellung und Aufbewahrung ) Weiters ist zu beachten: • 244 Verfügbarkeitsanforderungen ( Abschnitt 7.6.6 ) dar. Die Wahl der Aufstellungsplätze der Kameras sollte unter Beiziehung der Betriebsrätin/des Betriebsrates und unter Berücksichtigung des Datenschutzes erfolgen. In diesem Zuge sind auch alle im Umlauf befindlichen Kopien der Pläne durch aktualisierte Kopien zu ersetzen.1. Aus diesem Katalog sollten folgende Punkte besonders beachtet werden: • • • • geeignete Standortwahl ( 9. Im Zuge der Konzeption und Installation müssen Personal sowie zusätzliche technische und infrastrukturelle Vorkehrungen zur Auswertung vorgesehen werden. 9.11 Vorgaben für ein Rechenzentrum Ein Rechenzentrum gilt als schützenswert und sollte daher im Sinne eines Sicherheitsbereiches konzipiert sein.1. Nach jedem Eingriff der eine Aktualisierung der Pläne erforderlich macht (bauliche Maßnahmen o.10 Aktualität von Plänen Sämtliche Pläne sind aktuell zu halten und an geeigneten Stellen zu deponieren.6.1 Geeignete Standortauswahl ) ausreichender Einbruchsschutz ( 9.1.

Der IT-Sicherheits-ManagementProzess ist daher ein integraler Bestandteil der organisationsweiten ITSicherheitspolitik (vgl.1 Etablierung eines IT-Sicherheits-Management-Prozesses ISO Bezug: 27002 10. Die Umsetzung der in diesem Kapitel angeführten Maßnahmen soll dies gewährleisten.1. Überwachung der Implementierung und des laufenden Betriebes der ausgewählten Maßnahmen. Dabei handelt es sich um einen kontinuierlichen Prozess.und Lenkungsaufgabe zur Umsetzung eines wirksamen Prozesses mit dem Ziel. Festlegung der IT-Sicherheitsanforderungen. 10. Ermittlung und Analyse von Bedrohungen und Risiken. Verfügbarkeit.10 ff " Management der Kommunikation und des Betriebs ".2 Erarbeitung einer organisationsweiten ITSicherheitspolitik . ein umfassendes. Integrität. Zu den Aufgaben des IT-Sicherheitsmanagements gehören: • • • • • Festlegung der IT-Sicherheitsziele. 245 .1 Methodisches Sicherheitsmanagement ist zur Gewährleistung umfassender und angemessener IT-Sicherheit unerlässlich. angemessenes und konsistentes Informationssicherheitsniveau für die gesamte Organisation herzustellen und zu erhalten. 10. Festlegung geeigneter Sicherheitsmaßnahmen. und in dem Zusammenhang auch [IKTB-170902-8] ).1 IT-Sicherheitsmanagement Informationssicherheitsmanagement steht für eine kontinuierliche Planungs. 10. Dieser Prozess ist zumindest auf Ebene der Gesamtorganisation zu etablieren.10 Sicherheitsmanagement in Kommunikation und Betrieb Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 .1. -strategien und -politiken der Organisation. Authentizität und Zuverlässigkeit von IT-Systemen gewährleisten soll. Zurechenbarkeit. über eine Durchführung auf der Ebene einzelner Organisationseinheiten ist im Einzelfall zu entscheiden. der die Vertraulichkeit.

1] 246 . In Kapitel 2. Abbildung 1: Aktivitäten im Rahmen des IT-Sicherheitsmanagements [eh SMG 1.• • Förderung des Sicherheitsbewusstseins innerhalb der Organisation sowie Entdecken von und Reaktion auf sicherheitsrelevante Ereignisse.1 Informationssicherheitsmanagement-Prozess werden die zur Etablierung eines umfassenden Informationssicherheits-Management-Prozesses erforderlichen Schritte detailliert beschrieben. Die folgende Graphik zeigt die wichtigsten Aktivitäten im Rahmen des Informationssicherheitsmanagements und die eventuell erforderlichen Rückkopplungen zwischen den einzelnen Stufen.

1. die unter Berücksichtigung gegebener Randbedingungen grundlegende Ziele. Ressorts in der öffentlichen Verwaltung werden auf Basis des IKT-BoardBeschlusses [IKTB-170902-8] explizit zur Umsetzung einer Sicherheitspolitik angehalten.1. In diesem Zusammenhang sei auch auf die österreichische Sicherheits. "Entwicklung einer organisationsweiten Informationssicherheits-Politik" des vorliegenden Handbuchs. die als langfristig gültiges Dokument zu betrachten ist. Jede Organisation sollte eine in schriftlicher Form vorliegende IT-Sicherheitspolitik erarbeiten. Verantwortlichkeiten und Methoden für die Gewährleistung der IT-Sicherheit festlegen.10. die für alle Einsatzbereiche der Informationstechnologie innerhalb einer Organisation zur Anwendung kommen und folgende Inhalte umfassen: • • • • • • • Grundsätzliche Ziele und Strategien Organisation und Verantwortlichkeiten für IT-Sicherheit Risikoanalysestrategien. [eh SMG 1.2] 10.3 Erarbeitung von IT-Systemsicherheitspolitiken 247 .und Verteidigungsdoktrin – Teilstrategie IKT-Sicherheit [OESVD-IT] hingewiesen. Strategien. akzeptables Restrisiko und Risikoakzeptanz Klassifikation von Daten Organisationsweite Richtlinien zu Sicherheitsmaßnahmen Disaster Recovery Planung Nachfolgeaktivitäten zur Überprüfung und Aufrechterhaltung der Sicherheit Details und Anleitungen zur Erstellung einer organisationsweiten ITSicherheitspolitik finden sich in Kapitel 5.1 Als organisationsweite IT-Sicherheitspolitik bezeichnet man die Leitlinien und Vorgaben innerhalb einer Organisation. Die organisationsweite Informationssicherheits-Politik soll allgemeine Festlegungen treffen.2 Erarbeitung einer organisationsweiten Informationssicherheits-Politik ISO Bezug: 27001 4.

1.1. welche • • • • • • • • • • • • • • • die grundlegenden Vorgaben und Leitlinien zur Sicherheit in diesem System definiert.1 Für jedes IT-System sollte eine IT-Systemsicherheitspolitik erarbeitet werden.3 248 . Bedrohungen und Schwachstellen lt. Details über die ausgewählten Sicherheitsmaßnahmen beschreibt und die Gründe für die Auswahl der Sicherheitsmaßnahmen dargelegt.4 Festlegung von Verantwortlichkeiten ISO Bezug: 27002 10. [eh SMG 1. 10. "Entwicklung einer organisationsweiten Informationssicherheits-Politik" des vorliegenden Handbuchs.1.ISO Bezug: 27001 4.1. Die IT-Systemsicherheitspolitik sollte Aussagen zu folgenden Bereichen treffen: Definition und Abgrenzung des Systems.3] 10. Beschreibung der wichtigsten Komponenten Definition der wichtigsten Ziele und Funktionalitäten des Systems Festlegung der IT-Sicherheitsziele des Systems Abhängigkeit der Organisation vom betrachteten IT-System Investitionen in das System Risikoanalysestrategie Werte. Risikoanalyse Sicherheitsrisiken Beschreibung der bestehenden und der noch zu realisierenden Sicherheitsmaßnahmen Gründe für die Auswahl der Maßnahmen Kostenschätzungen für die Realisierung und Wartung (Aufrechterhaltung) der Sicherheitsmaßnahmen Verantwortlichkeiten Details und Anleitungen zur Erstellung von IT-Systemsicherheitspolitiken finden sich in Kapitel 5.

Wartungs. Zugangs. trojanische Pferde. Nähere Erläuterungen dazu finden sich in den nachfolgenden Maßnahmenbeschreibungen.2 Erarbeitung einer organisationsweiten Informationssicherheits-Politik und 5 Entwicklung einer organisationsweiten Informationssicherheits-Politik ). Datenträger. Diese Festlegung erfolgt zweckmäßig im Rahmen der organisationsweiten IT-Sicherheitspolitik (vgl.. Abnahme und Freigabe von Software. Notfallvorsorge und Vorgehensweise bei Verletzung der Sicherheitspolitik. Anwendungsentwicklung. 10.und Zugriffsberechtigungen. . Dokumentation von IT-Verfahren. Würmer. Software. darüber hinaus detaillierte Regelungen zu folgenden Bereichen zu treffen: • • • • • • • • • • • • • • • Datensicherung.) Revision. IT-Konfiguration.und Betriebsmittelverwaltung. Es empfiehlt sich. Datenarchivierung. ist es erforderlich. Schutz gegen Software mit Schadensfunktion (Viren. Datenschutz.Um eine Berücksichtigung aller wichtigen Sicherheitsaspekte und eine effiziente Erledigung sämtlicher anfallender Aufgaben zu gewährleisten. Zutritts-. die Rollen aller in den IT-Sicherheitsprozess involvierten Personen klar zu definieren. Weiters ist zu beachten: • Die Regelungen sind den betroffenen Mitarbeiterinnen/Mitarbeitern in geeigneter Weise bekannt zu geben. 249 . Datenübertragung.und Reparaturarbeiten.. Kauf und Leasing von Hardware und Software.1.

1. Vorgaben hierfür können aus den Aufgaben selbst oder aus gesetzlichen Bestimmungen resultieren.5 Funktionstrennung ISO Bezug: 27002 10. Datenerfassung und Zahlungsanordnungsbefugnis.5] 10.1. dass meistens operative Funktionen nicht mit kontrollierenden Funktionen vereinbar sind. 10. die Bekanntgabe zu dokumentieren. Sollte bei dieser Zuordnung eine Person miteinander unvereinbare Funktionen wahrnehmen müssen. Programmierung und Test bei eigenerstellter Software. Netzadministration und Revision. welche Funktionen nicht miteinander vereinbar sind.1. so ist dies in einer entsprechenden Dokumentation über die Funktionsverteilung besonders hervorzuheben.4 Im Rahmen der Zuordnung von Aufgaben und Verantwortlichkeiten ist auch festzulegen. also auch nicht von einer Person gleichzeitig wahrgenommen werden dürfen ("Funktionstrennung"). Revision und Zahlungsanordnungsbefugnis. Nach der Festlegung der einzuhaltenden Funktionstrennung kann die Zuordnung der Funktionen zu Personen erfolgen. Beispiele dafür sind: • • • • • Rechteverwaltung und Revision. [eh SMG 1. ungeklärte Zuständigkeiten und Widersprüche zu verhindern.6 Einrichtung von Standardarbeitsplätzen 250 .4] 10. [eh SMG 1. Die getroffenen Regelungen sind regelmäßig zu aktualisieren. Die dabei getroffenen Festlegungen sind zu dokumentieren und bei Veränderungen im IT-Einsatz zu aktualisieren.3. Es empfiehlt sich. Insbesondere wird deutlich.• • • Sämtliche Regelungen sind in der aktuellen Form an einer Stelle vorzuhalten und bei berechtigtem Interesse zugänglich zu machen. um Missverständnisse.1.

das sie am Arbeitsplatz vorfinden. Der Aufwand für die Dokumentation des IT-Bestandes wird reduziert. Sie wird durch fachkundiges Personal durchgeführt.ISO Bezug: 27002 10.1. Bei Fragen zu Hard. 251 . Ausfallzeiten werden somit minimiert. Die einheitliche Arbeitsumgebung erleichtert Wartung und Support.2002 [IKTB-170902-7] wird die Verwendung und Umsetzung einer sicheren Initialkonfiguration bei der Auslieferung von Systemen im Bundesbereich empfohlen. IT-Management: Die Beschaffung größerer Stückzahlen gleicher Komponenten ermöglicht Preisvorteile. Ergonomie. Die Einrichtung von Standardarbeitsplätzen ist in mehrfacher Hinsicht vorteilhaft: IT-Sicherheit: • • • • • Standardarbeitsplätze sind leichter in Sicherheitskonzepte einzubinden. Durch gleiche IT-Ausstattung entfallen "Neidfaktoren" zwischen den einzelnen Benutzerinnen/Benutzern. Dadurch soll das Vertrauen in das Grundsystem gestärkt werden. Geschwindigkeit und Wartbarkeit. Systemadministration bei Installation und Wartung: • • • Eine gewissenhaft geplante und getestete Installation kann fehlerfrei und mit geringem Arbeitsaufwand installiert werden.und Software können sich Anwender/innen gegenseitig helfen.1 Ein Standardarbeitsplatz ist gekennzeichnet durch einheitliche Hardware und Software sowie deren Konfiguration. Schulung: Die Teilnehmer/innen werden in dem Umfeld geschult. Zuverlässigkeit.09. Die Planung und Einrichtung erfolgt üblicherweise unter den Aspekten der Aufgabenstellung. Der Einsatz nicht zulässiger Software ist einfacher festzustellen. IT-Nutzer/innen: • • Bei Gerätewechsel ist keine erneute Einweisung in die IT-Konfiguration erforderlich. In Anlehnung an den IKT-Board Beschluss vom 17.

7 Akkreditierung von IT-Systemen ISO Bezug: 27002 10. wann eine Neuakkreditierung durchzuführen ist.1. vgl. Techniken zur Akkreditierung sind: • • • Prüfung der Maßnahmen auf Übereinstimmung mit der IT-Sicherheitspolitik (Security Compliance Checking).8 Change Management ISO Bezug: 27002 10.1.7] 10. Erst nach erfolgter Akkreditierung kann das System . 15 Security Compliance Checking und Monitoring Tests Evaluation und Zertifizierung von Systemen Änderungen der eingesetzten Sicherheitsmaßnahmen oder der Betriebsumgebung können eine neuerliche Akkreditierung des Systems erforderlich machen. auch Kap. sollten in der ITSystemsicherheitspolitik festgelegt werden.1. Die Kriterien. Dabei ist insbesondere darauf zu achten.6] 10. unter bestimmten Einsatzbedingungen und für eine bestimmte vorgegebene Zeitspanne gewährleistet ist.5 252 . [eh SMG 1. dass die Sicherheit des Systems • • • in einer bestimmten Betriebsumgebung. 12.oder gegebenenfalls eine spezifische Anwendung . dass es den Anforderungen der ITSystemsicherheitspolitik genügt.2 Für jedes IT-System ist sicherzustellen.2.in Echtbetrieb gehen.[eh SMG 1.3.

Alle Änderungen und die dazugehörigen Entscheidungsgrundlagen sind schriftlich zu dokumentieren.oder Softwareänderungen in einem IT-System geplant. Im Rahmen des Konfigurationsmanagements ist sicherzustellen.1.2 Es ist dafür Sorge zu tragen. Integrität oder Verfügbarkeit und Änderungen bei Bedrohungen oder Schwachstellen.3] 10. Dazu gehören zum Beispiel: • • • • • • Änderungen des IT-Systems (neue Applikationen. [eh T2 6.). so sind die Auswirkungen auf die Gesamtsicherheit des Systems zu untersuchen. 10.. dass Änderungen an einem IT-System nicht zu einer Verringerung der Effizienz von einzelnen Sicherheitsmaßnahmen und damit einer Gefährdung der Gesamtsicherheit führen. die sich aus Änderungen am IT-System ergeben. dass auf alle sicherheitsrelevanten Änderungen angemessen reagiert wird. Eine Änderung des IT-Systems oder seiner Einsatzbedingungen kann also • • Änderungen in der Umsetzung des Informationssicherheitsplans die Erstellung eines neuen Sicherheitskonzeptes 253 . Änderungen in der Bewertung der eingesetzten IT.B. nach einem Umzug. Benutzergruppen). Abhängig von der Bedeutung des Systems und dem Grad der Änderung kann eine neuerliche Durchführung vorangegangener Aktivitäten im Sicherheitsprozess (vgl.Aufgabe des Change Managements ist es. räumliche Änderungen. neue Netzwerkverbindungen.1 Etablierung eines IT-Sicherheits-Management-Prozesses erforderlich werden. neue Sicherheitsanforderungen zu erkennen. der notwendigen Vertraulichkeit.8. etwa externe oder anonyme.. z.1. Änderungen in der Aufgabenstellung oder in der Wichtigkeit der Aufgabe für die Institution.1. . neue Hardware. Änderungen in der Benutzerstruktur (neue.1 Reaktion auf Änderungen am IT-System ISO Bezug: 27002 10. Sind signifikante Hardware.

10.10 Lizenzverwaltung und Versionskontrolle von Standardsoftware ) Für komplexe Eigenentwicklungen empfiehlt sich die Erstellung eines "SoftwarePflege. 12.6 Software-Pflege.2 Dokumentation Die im Folgenden angeführten Maßnahmen geben grobe Richtlinien zu den Anforderungen an die Dokumentation. 12.3.1. 10.1 Dokumentation von Software ISO Bezug: 27002 10.8 Installation und Konfiguration von Software ) und Standardsoftware einer Lizenzverwaltung und Versionskontrolle unterliegt (vgl.7 Abnahme und Freigabe von Software ).3.1.2] 10. 10.2. vgl.1. [eh BET 3. 12.2.5.9 Sicherstellen der Integrität von Software ).und Änderungskonzeptes" (SWPÄ-Konzept. den [IT-BVM] sowie den [Common Criteria] .7. 12. • • • • Es ist sicherzustellen. die freigegebene Software(version) nur unverändert installiert werden kann (vgl. dass nur abgenommene und freigegebene Software installiert wird (vgl. Installation und Konfiguration entsprechend den Installationsanweisungen erfolgen (vgl.• • eine neue Risikoanalyse oder sogar die Überarbeitung der organisationsweiten Informationssicherheits-Politik erforderlich machen.1. Die Ausführungen orientieren sich an den [AVB-IT] .2.5.8.1. [eh BET 3.1] 10.1.1. 12. In den genannten Dokumenten finden sich auch weitere Details. 12.2 Software-Änderungskontrolle ISO Bezug: 27002 10.1. 12.4 254 .2 Software-Änderungskontrolle (Software Change Control) ist der Teil des Change Managements. der sich auf die Gewährleistung der Integrität von Software bei Änderungen bezieht. Dabei wird insbesondere auf die sicherheitsspezifischen Fragen im Rahmen der Dokumentation eingegangen.und -Änderungskonzept (SWPÄ-Konzept )).1.

• • die Sicherheitseigenschaften der Software sowie den Beitrag der/des Endbenutzerin/Endbenutzers zur Gewährleistung der Sicherheit bei der Verwendung der Software zu verstehen. Dies kann und sollte auch vertraglich festgelegt werden (vgl. Dabei ist zu achten auf: • • die Vollständigkeit und Korrektheit der gelieferten Dokumentation und die laufende Aktualisierung der Dokumentation während der gesamten Nutzungsdauer der Software. Die Benutzerdokumentation hat alle für die laufende Arbeit notwendigen Abläufe so zu beschreiben.Für jede Softwarekomponente ist die Verfügbarkeit der zu ihrer Nutzung erforderlichen und/oder zweckmäßigen Dokumentation sicherzustellen. Die Benutzerdokumentation sollte in deutscher Sprache vorliegen. Daneben hat die Dokumentation typische und vorhersehbare Fehlersituationen und deren Behebung zu beschreiben. Aus sicherheitstechnischer Sicht soll die Benutzerdokumentation der/dem Endbenutzer/in helfen. dass sie für eine eingeschulte Person verständlich sind. 255 . etwa [AVB-IT] ). Die Dokumentation muss zumindest beinhalten: • • • • Benutzerdokumentation Dokumentation für Installation und Administration Darüber hinaus können je nach Bedarf folgende Anforderungen bestehen: technische Dokumentation Entwicklungsdokumentation Benutzerdokumentation: Bei der Benutzerdokumentation (in den [IT-BVM] als "Anwendungshandbuch" bezeichnet) handelt es sich um Information über die Software. die die/der Entwickler/in der/dem Benutzer/in zur Verwendung bereitstellt.

1] 10. Änderung und Wartung von Software für den Fall der Handlungsunfähigkeit des Softwareherstellers und den Fall der Einstellung der Weiterentwicklung oder Wartung sicherstellen.2. Sie soll Administratoren helfen.insbesondere bei der Entwicklung von Individualsoftware . Daneben hat die Dokumentation typische und vorhersehbare Fehlersituationen und deren Behebung zu beschreiben. dass sie für eine eingeschulte Person verständlich sind.Ebenso empfiehlt sich eine Vereinbarung über die Lieferung der Dokumentation zusätzlich in maschinenlesbarer Form. Darüber hinaus muss sie Richtlinien zur konsistenten und wirksamen Nutzung der Sicherheitseigenschaften der Software enthalten und darlegen.4. bei der der Sourcecode nicht mitgeliefert wird. 12. wie solche Eigenschaften zusammenwirken. Dokumentation für Installation und Administration: Bei dieser Dokumentation handelt es sich um Information über die erforderlichen Maßnahmen zur Aufnahme des Betriebs. Diese soll die Möglichkeit einer weiteren Fehlerbehebung. Aus sicherheitstechnischer Sicht muss die Administratordokumentation die sicherheitsspezifischen Funktionen darlegen.1. sollte nach Möglichkeit .1. so dass diese an definierten Arbeitsplätzen während der Arbeit abgerufen werden kann. die für Administratoren von Bedeutung sind.Sourcecodehinterlegung vereinbart werden. zu konfigurieren und zu bedienen. die Software in einer sicheren Art und Weise zu installieren. Technische Dokumentation: Diese muss den zum Zeitpunkt der Installation der Software üblichen Standards entsprechen und so gestaltet sein. 256 . dass sie für eine/n mit ähnlichen Komponenten vertraute/n Expertin/Experten verständlich und verwertbar ist.2 Sourcecodehinterlegung ISO Bezug: 27002 10. [eh ENT 2. Die Dokumentation für die Installation und Administration (im Folgenden kurz als "Administratordokumentation". zur Durchführung und Überwachung des Betriebs und zur Unterbrechung und Beendigung des Betriebs. in den [IT-BVM] als "Betriebshandbuch" bezeichnet) hat alle für die Installation und die laufende Verwaltung des Systems notwendigen Abläufe so zu beschreiben.3 Im Falle einer Lieferung von Software.

1 Sourcecodehinterlegung (Muster. auf die Aktualität aller Komponenten sowie der Dokumentation ist zu achten. Es ist eine Aufstellung der versiegelt hinterlegten Gegenstände sowie eine Anweisung über die Handhabung des Datenträgers und die Installation der Software beizulegen.) von der/ dem Auftragnehmer/in versiegelt und bei der/dem Auftraggeber/in oder einer/einem vertrauenswürdigen Dritten (z.) ein oder stellt sie/er entgegen anders lautenden Vereinbarungen die Weiterentwicklung und/oder Wartung der Software ein.2] 10. Testprogramme. übersetzt sie in Maschinencode und nimmt die Installation auf dem System vor. die hinterlegten Datenträger zu entnehmen und entweder ein sachkundiges Unternehmen mit den erforderlichen weiteren Arbeiten (Wartung. Die Hinterlegung muss bei jeder Lieferung einer neuen Version wiederholt werden.4 257 . Tritt beim Hersteller Handlungsunfähigkeit (etwa Liquidation. 10. Anhang B.1. Fehlerbehandlung usw. Testverfahren. der auf dem System der/des Auftraggeberin/Auftraggebers gelesen werden kann.2. Fehlerbehebung.. Programm und Datenflusspläne.1.Durchführung: Die/der Auftragnehmer/in (SW-Hersteller) stellt die Software auf einem Datenträger.. Ein Vorschlag zur Formulierung einer entsprechenden vertraglichen Vereinbarung findet sich in den [AVB-IT] (s.) zu beauftragen oder diese selbst durchzuführen. Der Datenträger muss die in maschinenlesbarer Form vorliegende Dokumentation enthalten.. Eröffnung eines Konkursverfahrens. Nach der Installation wird der Datenträger mit dem Quellencode samt der dazugehörigen Dokumentation (Inhalt und Aufbau des Datenträgers. .B.7. aus AVB-IT) ). so ist die/der Auftraggeber/in berechtigt. [eh ENT 2. Notar/in) hinterlegt. in der Quellensprache bereit.3 Dokumentation der Systemkonfiguration ISO Bezug: 27002 10.. . Dabei ist zu beachten: • • • • Der Datenträger muss die Software in den ursprünglichen Programmiersprachen zum Zeitpunkt der Installation einschließlich aller seitherigen Änderungen enthalten.

Kap.1 Sichere Initialkonfiguration und Zertifikatsgrundeinstellung . wie die Dokumentation der Datensicherung zu erfolgen hat (vgl.2. ist generell eine so genannte Vertrauenseinstellung im Zuge der Neuinstallation/-konfiguration vorzunehmen. Speziell im Bundesbereich ist gemäß [IKTB-170902-7] eine definierte sichere Initialkonfiguration zu verwenden.3] 10. Die Unterlagen sind gesichert aufzubewahren. Steuerung. Dies gilt insbesondere für Änderungen an Systemverzeichnissen und -dateien. 10.5 Dokumentation und Kennzeichnung der Verkabelung ) als auch die logische Netzkonfiguration zu dokumentieren. [eh ENT 2. Nur eine aktuelle Dokumentation der Systemkonfiguration ermöglicht im Notfall einen geordneten Wiederanlauf des IT-Systems. Eine entsprechend dokumentierte Initialkonfiguration wird im Rahmen des Online-Angebotes des Chief Information Office des Bundes zur Verfügung stehen. die für jedes IT-System zumindest folgendes umfassen soll: 258 . Dabei ist zu beachten: • • • • Die Dokumentation muss aktuell und verständlich sein.2 Einrichtung und Dokumentation der zugelassenen Benutzer/innen und Rechteprofile ) und der Stand der Datensicherung. Um das Vertrauen in Betriebssysteme zu sichern.2. Deren Anwendung ist allerdings auch generell zu empfehlen. damit auch ein/ e Vertreter/in die Administration jederzeit weiterführen kann.4 Dokumentation der Datensicherung ISO Bezug: 27002 10.1 In einem Datensicherungskonzept muss festgelegt werden. Bei Installation neuer Betriebssysteme oder bei Updates sind die vorgenommenen Änderungen besonders sorgfältig zu dokumentieren.Planung.5 Datensicherung ). Kontrolle und Notfallvorsorge des IT-Einsatzes basieren auf einer aktuellen Dokumentation des vorhandenen IT-Systems. so dass ihre Verfügbarkeit im Bedarfsfall gewährleistet ist. In diesem Zusammenhang: siehe auch 11.2. Bei einem Netzbetrieb sind sowohl die physikalische Netzstruktur (vgl.5. Zur Gewährleistung einer ordnungsgemäßen und funktionierenden Datensicherung ist eine Dokumentation erforderlich. 10. Möglicherweise kann durch die Aktivierung neuer oder durch die Änderung bestehender Systemparameter das Verhalten des IT-Systems (insbesondere auch von Sicherheitsfunktionen) maßgeblich verändert werden.5. Dazu gehören auch die Zugriffsrechte der einzelnen Benutzer/innen (siehe 11.

der Datenträger.• • • • • • das Datum der Datensicherung. Nennung der daran angeschlossenen Netzteilnehmer/ innen. genaue Führung von Kabeln und Trassen in der Liegenschaft (Einzeichnung in bemaßte Grundriss. der Aktualität und der Lesbarkeit. die für die Datensicherung eingesetzte Hard.1.5 Dokumentation und Kennzeichnung der Verkabelung ISO Bezug: 27002 10.2.3 Für Wartung. die einer/einem sachverständigen Dritten eine Wiederherstellung eines Datensicherungsbestandes erlaubt. der benötigten Parameter und der Vorgehensweise. Instandsetzung und für erfolgreiche Überprüfung der Verkabelung ist eine gute Dokumentation und eindeutige Kennzeichnung aller Kabel erforderlich. technische Daten von Anschlusspunkten. auf dem die Daten gesichert wurden. 9. nutzungsorientierte Kabelkennzeichnung.und Software.2. Die Güte dieser Revisionsdokumentation ist abhängig von der Vollständigkeit. der Datensicherungsumfang (welche Dateien/Verzeichnisse wurden gesichert).). nach der die Datenrekonstruktion zu erfolgen hat. .1. In dieser Dokumentation (auch Bestandsplan genannt) sind alle das Netz betreffenden Sachverhalte aufzunehmen: • • • • • • • • genauer Kabeltyp. erstellt werden. Fehlersuche. Nutzung aller Leitungen. [eh ENT 2. Darüber hinaus bedarf es einer Beschreibung der Vorgehensweise.und Lagepläne). Belegungspläne aller Rangierungen und Verteiler. auf dem die Daten im operativen Betrieb gespeichert sind.6] 10.und Software (mit Versionsnummer) und die bei der Datensicherung gewählten Parameter (Art der Datensicherung usw. Trassendimensionierung und -belegung. Standorte von Zentralen und Verteilern mit genauen Bezeichnungen. 259 . Auch hier muss eine Beschreibung der erforderlichen Hard. der Datenträger.

Es sollen. Alle weitergehenden Informationen sind in einer Revisionsdokumentation aufzuführen. Tatsächliche Lageinformationen sind immer in maßstäbliche Pläne einzuzeichnen. Verteiler-. Nur bestehende und genutzte Verbindungen sind darin aufzuführen. dazu auch 9.B. die Ausgabe von Material. Es ist z. dass alle Arbeiten am Netz rechtzeitig und vollständig derjenigen/demjenigen bekannt werden. Es muss möglich sein.6 Neutrale Dokumentation in den Verteilern ISO Bezug: 27002 10. Diese Dokumentation ist möglichst neutral zu halten. andere Informationen können in Tabellenform geführt werden. die den aktuellen Stand von Rangierungen und Leitungsbelegungen wiedergibt. die/der die Dokumentation führt.1. vorhandene und zu prüfende Schutzmaßnahmen. Da diese Dokumentation schutzwürdige Informationen beinhaltet. Vgl.4.1.4] 10. ist eine Aufteilung der Informationen sinnvoll.3 In jedem Verteiler sollte sich eine Dokumentation befinden. soweit nicht ausdrücklich vorgeschrieben (z. denkbar.1 Lagepläne der Versorgungsleitungen [eh ENT 2.5] 260 . ist sicherzustellen. Wichtig dabei ist eine eindeutige Zuordnung aller Angaben untereinander. Leitungs-. [eh ENT 2. sich anhand dieser Dokumentation einfach und schnell ein genaues Bild über die Verkabelung zu machen. 9.B. die Vergabe von Fremdaufträgen oder die Freigabe gesicherter Bereiche von der Mitzeichnung dieser Person abhängig zu machen. und Raumnummern reichen in vielen Fällen aus. ist sie sicher aufzubewahren und der Zugriff darauf zu regeln.2. Da es mit zunehmender Größe eines Netzes nicht möglich ist. für Brandmeldeleitungen) keine Hinweise auf die Nutzungsart der Leitungen gegeben werden. Es ist auf Aktualität. Um die Aktualität der Dokumentation zu gewährleisten. Vollständigkeit und Korrektheit dieser Information zu achten. alle Informationen in einem Plan unterzubringen.2.• • Gefahrenpunkte.

die Erhöhung der Flexibilität sowie der Wettbewerbsfähigkeit einer Organisation sind nur einige Beispiele. der auf seinen eigenen Systemen einzelne Anwendungen oder Software für seine Kunden betreibt (E-Mail. die Freisetzung interner Ressourcen für andere Aufgaben. Outsourcing kann sowohl Nutzung und Betrieb von Hardware und Software. Web-Shops. Outsourcing ist ein Oberbegriff. aber auch Dienstleistungen betreffen. Das Auslagern von Geschäfts. jedoch gehören im Gegensatz zum ASP-Modell die Anwendungen noch dem jeweiligen Kunden.3 Dienstleistungen durch Dritte (Outsourcing) ISO Bezug: 27002 10.und Produktionsprozessen ist ein etablierter Bestandteil heutiger Organisationsstrategien. Beispiele sind die Auslagerung des Firewall-Betriebs. Speziell in den letzten beiden Jahrzehnten hat sich der Trend zum Outsourcing enorm verstärkt. Auftraggeber und Dienstleister sind dabei über das Internet oder ein VPN miteinander verbunden. Beim Auslagern von IT-gestützten Organisationsprozessen werden die IT-Systeme und Netze der auslagernden Organisation und ihres Outsourcing-Dienstleisters in der Regel eng miteinander verbunden. Es gibt aber inzwischen auch publizierte Beispiele für gescheiterte OutsourcingProjekte.10. Ebenso findet auf personeller Ebene ein intensiver Kontakt statt. einer Webseite oder des Wachdienstes. der Zugriff auf spezialisierte Kenntnisse und Ressourcen. Beim Application Hosting ist ebenfalls der Betrieb von Anwendungen an einen Dienstleister ausgelagert. der oftmals durch weitere Begriffe ergänzt wird: Tasksourcing bezeichnet das Auslagern von Teilbereichen.oder Geschäftsprozesse einer Organisation ganz oder teilweise zu externen Dienstleistern ausgelagert. Werden Dienstleistungen mit Bezug zur IT-Sicherheit ausgelagert. keine Anschaffungsoder Betriebskosten für IT-Systeme). wird von Security Outsourcing oder Managed Security Services gesprochen.2 Beim Outsourcing werden Arbeits. wo der Auftraggeber den Outsourcing-Vertrag gekündigt hat und die ausgelagerten Geschäftsprozesse wieder in Eigenregie betreibt (Insourcing). die Möglichkeit einer Kostenersparnis (z. Beschaffung). Typische Beispiele sind der Betrieb eines Rechenzentrums.und Produktionsprozesse. einer Applikation. Die Gründe für Outsourcing sind vielfältig: die Konzentration einer Organisation auf ihre Kernkompetenzen. so dass Teile von internen Geschäftsprozessen unter Leitung und Kontrolle eines externen Dienstleisters ablaufen. und dieser scheint auch für die nächste Zukunft ungebrochen. Unter Application Service Provider (ASP) versteht man einen Dienstleister. Archivierung. wird im Folgenden nur noch der Oberbegriff Outsourcing verwendet. SAP-Anwendungen. die Straffung der internen Verwaltung. Da die Grenzen zwischen klassischem Outsourcing und reinem ASP in der Praxis zunehmend verschwimmen. Virenschutz oder der Betrieb eines Virtual Private Networks (VPN). Durch die enge Verbindung zum Dienstleister und 261 . B. die Überwachung des Netzes. ob die Leistung in den Räumlichkeiten des Auftraggebers oder in einer externen Betriebsstätte des Outsourcing-Dienstleisters erbracht wird. Dabei ist es unerheblich. die verbesserte Skalierbarkeit der Geschäfts.

ist zunächst kostenintensiv und mit Risiken verbunden.2 Gefährdungen beim Outsorcing 10. Dazu zählen ebenfalls geeignete Maßnahmen zur Kontrolle der vertraglich vereinbarten Ziele und Leistungen sowie der IT-Sicherheitsmaßnahmen. ob einzelne Aufgabenbereiche ausgelagert wurden. siehe dazu Kapitel 6. Eine gute Planung des Outsourcing-Vorhabens ist daher wichtig. In der Regel bleibt der Auftraggeber weiterhin gegenüber seinen Kunden oder staatlichen Stellen voll verantwortlich für Dienstleistungen oder Produkte. betriebswirtschaftliche Aspekte mit Kosten-Nutzen-Abschätzung.die entstehende Abhängigkeit von der Dienstleistungsqualität ergeben sich Risiken für den Auftraggeber. technischen und organisatorischen Randbedingungen auch die sicherheitsrelevanten Aspekte bedacht werden. Gesetze könnten beispielsweise das Auslagern bestimmter Kernaufgaben einer Institution generell verbieten oder zumindest weitreichende Auflagen enthalten und die Beteiligung von Aufsichtsbehörden vorschreiben. 262 .1 Festlegung einer Outsourcing-Strategie ISO Bezug: 27002 10. Dabei darf die Bedeutung der rechtlichen Rahmenbedingungen nicht unterschätzt werden.2. welche Aufgaben oder IT-Anwendungen generell für Outsourcing in Frage kommen. Nach ersten strategischen Überlegungen muss zunächst geklärt werden. Dabei müssen neben den wirtschaftlichen. Abhängigkeiten. Folgende Gesichtspunkte sollten betrachtet werden: • • • Unternehmensstrategie (Flexibilität. (Beispielsweise könnten sensitive Organisationsinformationen gewollt oder ungewollt nach außen preisgegeben werden. durch die im schlimmsten Fall sogar die Geschäftsgrundlage des Unternehmens oder der Behörde vital gefährdet werden können. unabhängig davon. zukünftige Planungen). Machbarkeitsstudie mit Zusammenstellung der Rahmenbedingungen. Die Gefährdungslage eines Outsourcing-Vorhabens ist ausgesprochen vielschichtig.2 Die Bindung an einen Outsourcing-Dienstleister erfolgt auf lange Sicht.) Der Betrachtung von Sicherheitsaspekten und der Gestaltung vertraglicher Regelungen zwischen Auftraggeber und Outsourcing-Dienstleister kommt im Rahmen eines Outsourcing-Vorhabens somit eine zentrale Rolle zu. Den Schwerpunkt dieses Bausteins bilden daher Maßnahmen.3. die sich mit ITSicherheitsaspekten des Outsourcing beschäftigen.

Die Bindung an den Dienstleister erfolgt unter Umständen sehr langfristig. damit Auftraggeber und Auftragnehmer beide von dem Vertragsverhältnis profitieren. Bei dieser Rechnung stellt sich vielleicht heraus. Für die technische Umsetzung des Outsourcing-Vorhabens ist es notwendig. Die Folgen der notwendigen Umstellungen müssen geklärt und abgeschätzt werden.als selbstverständlich erachtet. denen im Outsourcing-Szenario eine entscheidende Rolle zukommt. Stellt sich heraus. die er . ist beim Outsourcing leider oft das Gegenteil zu beobachten. die von Anfang an vertraglich fixiert worden sind. Je nach Outsourcing-Vorhaben betrifft dies dann auch Daten mit hohem Schutzbedarf. dass eine seriöse Leistungserbringung zu den versprochenen niedrigen Kosten höchst unwahrscheinlich ist.im Gegensatz zum OutsourcingDienstleister . Dies gilt sowohl für technische als auch organisatorische Sicherheitsaspekte. Der Dienstleister hat Zugriff auf Daten und IT-Ressourcen des Auftraggebers. sollte sich die Mühe machen nachzurechnen. Dadurch ergibt sich automatisch ein erhöhtes Gefahrenpotenzial. um seinen Gewinn zu maximieren. zu welchen Kosten ein Dienstleister die vereinbarte Leistung erbringen muss. Im Rahmen eines Outsourcing-Vorhabens müssen neue Prozesse und Arbeitsabläufe entworfen. Die Praxis lehrt jedoch. weil der Auftraggeber Leistungen erwartet. Generell ist nämlich zu bedenken: • • • • • • Die Entscheidung zum Outsourcing ist in der Regel nicht einfach zu revidieren. obwohl ihr eine zentrale Bedeutung zukommt. eingeführt und durchgeführt werden. sind Nachbesserungen in der Regel ohne hohe zusätzliche Kosten nicht zu erwarten. dass zwischen Auftraggeber und Dienstleister Daten übertragen werden. Während IT-ManagerInnen in der Regel sehr kritisch und kostenbewusst sind und Versprechungen von Herstellern und Beratern mit großer Skepsis begegnen. Dieser Punkt ist erfahrungsgemäß der am häufigsten unterschätzte. Für jeden Outsourcing-Dienstleister besteht ein nicht zu unterschätzender Interessenskonflikt: Einerseits muss er die Dienstleistung möglichst kostengünstig erbringen. andererseits erwartet der Auftraggeber hohe Dienstleistungsqualität. Auch dadurch ergibt sich ein erhöhtes Gefahrenpotenzial. seine IT-Kosten signifikant senken zu können. der über Outsourcing nachdenkt. In der Regel ist es erforderlich. dass die Dienstleistungsqualität unzureichend ist. dass Mitarbeiter oder Subunternehmer des Outsourcing-Dienstleisters (und damit Betriebsfremde) zeitweise in den Räumlichkeiten des Auftraggebers arbeiten müssen. Allzu leicht verfällt hier der Auftraggeber den Werbeaussagen der Dienstleister in der frohen Erwartung. dass höchstens die Dienstleistungen in der Zukunft erbracht werden. 263 . Jeder IT-Manager. Flexibilität und kundenfreundliches Verhalten. Der Outsourcing-Auftraggeber verliert dadurch die alleinige und vollständige Kontrolle über Daten und Ressourcen.Die IT-Sicherheit wird leider häufig zu Beginn der Planung vernachlässigt.

regelmäßig die Flut an Sicherheitshinweisen. Die Auswirkungen eines Outsourcing-Vorhabens auf die Aufgabenerfüllung. das Geschäftsmodell und das Dienstleistungs. ob und wie diesen begegnet werden soll.Um die Outsourcing-Strategie festzulegen. kann festgelegt werden. B. muss daher immer eine individuelle Sicherheitsanalyse durchgeführt werden. wie bestehende IT-Systeme abgegrenzt und getrennt werden können. erweitert werden. beispielsweise können Systeme. Anforderungen an die IT selbst zu bestimmen und zu kontrollieren in ausreichendem Maße erhalten werden. • • • Vorteil: Es besteht die Möglichkeit. Das Management darf bei der Entwicklung einer erfolgversprechenden. Vorteil: Es besteht mehr Flexibilität. Updatemeldungen und Bug-Reports auszuwerten. neue Dienstleistungen (z. ihre Relevanz zu erkennen und bei Bedarf rasch die richtigen Schritte einzuleiten. von ITSystemen) auch neue Sicherheitsprobleme ergeben. durch Diversifikation oder Ausweitung der Produktpalette) zu etablieren. Die Ergebnisse der Sicherheitsanalyse gehen unmittelbar in die Kosten-Nutzen-Abschätzung ein. Die nachfolgenden Hinweise beleuchten Vor. da der Dienstleister Spezialisten beschäftigt.und Nachteile von Outsourcing mit Bezug zur IT-Sicherheit. Insbesondere an die Weiterentwicklung und Pflege selbstentwickelter IT-Systeme und Anwendungen sollte gedacht werden. In der Folge muss das festgelegte Sicherheitsniveau jedoch auch für das ausgeweitete Angebot sichergestellt werden. Fixe Kosten können so in variable umgewandelt werden. In dieser frühen Projektphase wird das Sicherheitskonzept naturgemäß nur Rahmenbedingungen beschreiben und keine detaillierten Maßnahmen enthalten. Sollen Standardabläufe oder Kerngeschäftsprozesse ausgelagert werden? Wichtig ist in diesem Zusammenhang. dass die Fähigkeit. Sind die sicherheitsrelevanten Gefährdungen analysiert worden. damit Teile davon ausgelagert werden können. Schlussendlich wird dennoch ein gewisses Restrisiko durch den Outsourcing-Auftraggeber zu tragen sein.oder Produktportfolio müssen ebenfalls berücksichtigt werden. Vorteil: Im Idealfall kann durch das Outsourcing-Vorhaben ein besseres ITSicherheitsniveau erreicht werden. so dass dadurch auch neue. da dies vom Outsourcing-Dienstleister unter Umständen auch kurzfristig eingekauft werden kann. B. Nur so kann letztendlich festgestellt werden. Security-Bulletins. sicherheitskritische Anwendungen betrieben werden können. Ressourcen oder der Personalbedarf schneller angepasst bzw. 264 . In Folge können sich jedoch durch die Erweiterungen (z. Gerade in der IT-Sicherheit ist es sehr zeitaufwändig und benötigt viel technisches Wissen. langfristigen Outsourcing-Strategie den Blick nicht nur auf die Einsparung von Kosten richten.

• • • • • Zunehmende Komplexität der angebotenen Hard. können sich gravierende Sicherheitsprobleme ergeben. eine Neugestaltung ihrer IT-Systeme und Anwendungen gegen interne Widerstände durchzusetzen. Vorteil: Von einigen Institutionen wird Outsourcing häufig als vielleicht einzige Möglichkeit gesehen. Der Outsourcing-Dienstleister muss immer an der Diskussion beteiligt werden. können sich Sicherheitslücken ergeben. Nachteil: Der Aufwand für die Kontrolle der Dienstleistungsqualität darf nicht unterschätzt werden. Eine umfassende Kosten-Nutzen-Analyse jedes Outsourcing-Vorhabens ist essentiell für den strategischen und wirtschaftlichen Erfolg. Ist zusätzlich intern nicht mehr das Fachwissen vorhanden. Sollten hierbei Defizite festgestellt werden. Der dann entstehende Kostendruck führt oftmals zu Einsparungen bei der IT-Sicherheit. immer kürzere Produktzyklen.und Softwarelösungen. Der strategische Wert der folgenden Ressourcen muss unter den Rahmenbedingungen des Outsourcing-Vorhabens eingeschätzt werden: • • Know-how MitarbeiterInnen 265 . steigende Vernetzung und steigende Anforderungen der Nutzer machen es zudem außerordentlich schwierig. alle Parameter zu kennen und auch richtig einzuschätzen. immer wieder die richtige Balance zwischen Sicherheit und "mehr Funktionalität" zu finden. Urlaub) oder verlassen die Institution. weil es keinen gleichwertigen Vertreter gibt. so können dadurch gravierende ITSicherheitslücken entstehen. Nachteil: Eine Ausweitung des Dienstleistungsangebots oder die Erweiterung von IT-Systemen ist nicht mehr allein eine Entscheidung des eigenen Managements. können diese schwierig und zeitaufwendig zu beheben sein. Stehen sie einmal nicht zur Verfügung (Krankheit. vor allem wenn es zu Meinungsverschiedenheiten zwischen Auftraggeber und Dienstleister kommt. Dienstleister kompensieren nicht selten günstige Konditionen bei Vertragsabschluss durch hohe Forderungen bei späteren Sonderwünschen oder neuen Anforderungen des Auftraggebers. Dienstleister hingegen können in der Regel auf mehrere gleich qualifizierte ExpertInnen zurückgreifen. Im Zuge des Outsourcings soll eine heterogene Systemlandschaft aufgeräumt und standardisiert werden. die sich gegenseitig vertreten können. Wenn Fragen der IT-Sicherheit dann nicht zeitnah gelöst werden. Nachteil: Wenn das Know-how der vom Outsourcing-Dienstleister eingesetzten SpezialistInnen nicht angemessen ist. werden Sicherheitslücken womöglich nicht einmal entdeckt. um das Sicherheitsniveau beim Outsourcing-Dienstleister zu kontrollieren. Vorteil: Gerade in Unternehmen oder Behörden mit kleiner IT-Abteilung haben einzelne MitarbeiterInnen oft einen hohen Stellenwert. Es ist daher wichtig.

wie und ob die gewünschten IT-Sicherheitsanforderungen durch die anbietenden Dienstleister geleistet werden können (siehe auch 10. Dabei sind Sicherheitsanforderungen an den Outsourcing-Dienstleister selbst. die benutzte Technik (inklusive Kommunikationswege und -dienste).3.2 Wenn eine Outsourcing-Strategie festgelegt wurde. Chancen und Risiken des Outsourcing-Vorhabens sollten eindeutig beschrieben werden.5 Erstellung eines IT-Sicherheitskonzepts für das OutsourcingVorhabenbeschrieben. dass das Festlegen von IT-Sicherheitsanforderungen ein iterativer Prozess ist: • • Zunächst werden die gewünschten IT-Sicherheitsanforderungen durch den Auftraggeber spezifiziert. 10.• IT-Systeme und Anwendungen Bei der Kosten-Nutzen-Analyse können Studien und Erfahrungsberichte anderer Institutionen wertvolle Informationen liefern. die im Rahmen eines laufenden Outsourcing-Vorhabens gemachten Erfahrungen in die Dokumentation der Outsourcing-Strategie zu integrieren. das auf den hier formulierten Anforderungen aufbaut und nach Auswahl des Dienstleisters ausgearbeitet wird.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben ISO Bezug: 27002 10. Die Erstellung eines detaillierten Sicherheitskonzeptes. Es sollte dabei auch auf Fehlentscheidungen und daraus abgeleitete Empfehlungen für die Zukunft hingewiesen werden. 266 .3. Abschließend ist die Outsourcing-Strategie zu dokumentieren. aber auch an die eigene Organisation zu stellen. müssen die ITSicherheitsanforderungen so konkret ausgearbeitet werden.3 Wahl eines geeigneten OutsourcingDienstleisters). Es ist zu bedenken. Die Ziele.3. Danach wird in der Angebotsphase abgeglichen. Es empfiehlt sich unter diesem Gesichtspunkt außerdem. dass auf ihrer Basis der geeignete Dienstleister ausgesucht werden kann. wird in 10.

Kommunikationsverbindungen. Beispielsweise könnten folgende Punkte in Abhängigkeit vom Outsourcing-Vorhaben detailliert werden: • Anforderungen an sicherheitskritische organisatorische Prozesse (z. Natürlich sind auch relevante Gesetze und Vorschriften zu beachten.1 Festlegung einer Outsourcing-Strategie) erfolgen. Im Rahmen der IT-Sicherheitsanforderungen ist festzulegen. Geschäftsprozess. Dies hängt entscheidend von der Sicherheitsstrategie und bereits vorhandenen Systemen und Anwendungen ab. Die Anforderungen an Infrastruktur.3.• Ist ein Dienstleister ausgewählt. Systemen. Zutrittsrechte. In der Endphase dieses Abstimmungsprozesses müssen dann auch die Sicherheitsanforderungen für die konkrete Umsetzung definiert werden. in denen Auftraggeber oder Dienstleister länderübergreifend oder weltweit operieren. so muss mit diesem die weitere Verfeinerung der IT-Sicherheitsanforderungen (z. basierend auf den eingesetzten Betriebssystemen oder Sicherheitsmechanismen) erarbeitet werden. Es genügt hier oftmals die Verpflichtung auf ein Sicherheitsniveau. müssen diese detailliert beschrieben werden. B. IT-Systemen). Zugriffsrechte auf Daten und Systeme) dem Outsourcing-Dienstleister vom Auftraggeber eingeräumt werden. aufwendig sein. das diesem Sicherheitshandbuch entspricht. 267 . Integrität und Verfügbarkeit erfolgen (siehe auch 10. die relevanten IT-Verbünde genau abzugrenzen (z. Sollten darüber hinausgehende Anforderungen bestehen. Es muss eine Ist-Strukturanalyse von IT-Systemen und Anwendungen (siehe auch 10. Zusätzlich müssen sowohl Outsourcing-Dienstleister als auch der Auftraggeber selbst ein ITSicherheitskonzept besitzen und dieses umgesetzt haben. B. nach Fachaufgabe. Es muss eine Schutzbedarfsfeststellung (z.3. Dies kann besonders in Fällen. Zeitrestriktionen für den Alarmierungsplan) können spezifiziert werden. Es ist wichtig. von Anwendungen. Räumen) bezüglich Vertraulichkeit. so dass alle Schnittstellen identifiziert werden können.1 Festlegung einer OutsourcingStrategie). B. B. welche Rechte (z. Organisation. Personal und Technik müssen beschrieben werden. B. • Generell ergeben sich für Outsourcing-Szenarien folgende Mindestsicherheitsanforderungen: • • • • Die Umsetzung der Anforderungen des Sicherheitshandbuchs ist eine Minimalforderung an beide Outsourcing-Parteien. An die Schnittstellen können dann entsprechende technische Sicherheitsanforderungen gestellt werden.

Spezielle ITSicherheitsanforderungen müssen jedoch eventuell an das von Dienstleistern umsetzbare IT-Sicherheitsniveau angepasst werden. Host-Kenntnissen) beim Outsourcing-Dienstleister benannt werden muss Der Einsatz zertifizierter Produkte (z.und Signaturverfahren können fest vorgegeben werden. Es kann beispielsweise gefordert werden. Zeitintervalle. Beispielsweise kann festgelegt werden. gemäß Common Criteria) beim Outsourcing-Dienstleister kann gefordert werden. Vorgaben an die Mandantenfähigkeit sowie die diesbezügliche Trennung von Hard. dass keine IT-Systeme des Auftraggebers in Räumen untergebracht werden dürfen. dass ein IT-Sicherheitsbeauftragter / eine IT-Sicherheitsbeauftragte mit speziellen Kenntnissen (z. B. Qualität oder auch Abläufen und organisatorischen Regelungen können festgelegt werden. Zuständigkeiten. Allgemeine Anforderungen bezüglich Kontrolle und Messung von Sicherheit. auf die sich auch geeignete Dienstleister bewerben. Gewünschte Verfahren oder Mechanismen für die Kontrolle und Überwachung. für Web-Server mit Kundenzugriff bei sehr vielen Kunden) vorgegeben werden. Beispielsweise kann in diesem Zusammenhang der Grad und die Methode der Lastverteilung (z. Audits (unter Umständen durch unabhängige Dritte) können spezifiziert werden. Spezielle Verfahren zur Absicherung der Kommunikation zwischen Dienstleister und Auftraggeber wie Einsatz von Verschlüsselungs. 10. wie unangekündigte Kontrollen vor Ort.und Software können formuliert werden.• • • • • • • • Spezielle Anforderungen an bestimmte Rollen können festgelegt werden. Anforderungen an die Protokollierung und Auswertung von Protokolldateien können festgelegt werden.3. Anforderungen an die Verfügbarkeit von Diensten und IT-Systemen können gestellt werden. Die Ausschreibung sollte die 268 . B. z.3 Wahl eines geeigneten Outsourcing-Dienstleisters ISO Bezug: 27002 10. B. Generell bilden die festgelegten IT-Sicherheitsanforderungen eine der Grundlagen für die Wahl eines geeigneten Outsourcing-Dienstleisters. Nur so kann eine bedarfsgerechte Ausschreibung erfolgen. B.2 Bei der Wahl eines geeigneten Outsourcing-Dienstleisters sind ein möglichst detailliertes Anforderungsprofil und ein darauf basierendes Pflichtenheft entscheidende Erfolgsfaktoren. in denen bereits Systeme anderer Mandanten des Dienstleisters stehen.

z. dass diese sehr viele Auftraggeber und Projekte haben. die Haftungsgrenzen beeinflussen kann. In Einzelfällen kann es notwendig sein. die Detailanforderungen bezüglich Sicherheit nur gegen eine Vertraulichkeitsvereinbarung (Non-Disclosure-Agreement) an Dienstleister herauszugeben. so dass ein einzelner Auftraggeber nur einer unter vielen ist und keine bevorzugte Stellung einnimmt.• • Beschreibung des Outsourcing-Vorhabens (Aufgabenbeschreibung und Aufgabenteilung) sowie Beschreibungen zum geforderten Qualitätsniveau. andere Haftungsregelungen. Bei kleinen Unternehmen könnte das Insolvenzrisiko höher sein. die Konkurrenten des Auftraggebers sind) zu achten.3. ist eine sinnvolle Forderung. Die Größe des Dienstleisters kann bei der Auswahl ein Argument sein. B. Ein Qualitätsnachweis bzw. Weiterhin müssen den potenziellen Dienstleistern auch möglichst detailliert • • die IT-Sicherheitsanforderungen und die Kriterien zur Messung von Servicequalität und Sicherheit mitgeteilt werden (siehe 10. B. im Partnerunternehmen bzw.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben). da dies darauf hinweist. da dies z. durch die landesspezifische Gesetzgebung zugelassene und verwendbare Sicherheitsmechanismen. Der Dienstleister sollte Referenzen für ähnliche OutsourcingVorhaben aufweisen können. enthalten. Die Eigentümerstruktur sollte recherchiert werden. welches nicht zwangsläufig dem Niveau des Auftraggebers entsprechen muss. da sich daraus Hinweise auf existierende oder geplante Sicherheitsmechanismen ableiten lassen. Das Anforderungsprofil hängt stark von der Art des Outsourcing-Vorhabens ab. Spionagerisiko. eine Zertifizierung. Die Kundenstruktur sollte beachtet werden. Dazu gehören beispielsweise: fremde Gesetzgebung. Als wichtige grundsätzliche Bewertungskriterien für Dienstleister und dessen Personal können gelten • • • • • • Bei ausländischen Dienstleistern müssen besondere Aspekte bedacht werden. 269 . nach ISO/IEC 27001 oder ISO 9000. Dabei ist auf Interessenskonflikte durch Geschäftsbeziehungen zu Konkurrenten des Auftraggebers und auf die Unabhängigkeit von bestimmten Herstellern (z. B. andere Sicherheitskultur. in welchem Wirtschaftssektor der Anbieter seine Stärken hat. um mögliche Einflussfaktoren im Vorfeld abzuklären. Bei großen Unternehmen ist zu bedenken. Zulieferer. Die Organisationsform eines Dienstleisters kann in Betracht gezogen werden.

2 Nachdem ein Outsourcing-Dienstleister ausgewählt wurde. müssen alle Aspekte des Outsourcing-Vorhabens vertraglich in sogenannten Service Level Agreements (SLAs) festgehalten und geregelt werden. desto sorgfältiger und detaillierter muss der Vertrag zwischen Auftraggeber und Dienstleister ausgehandelt werden.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben). Die Aspekte. ob die vorhandenen Sprachkenntnisse für die Klärung von Detailproblemen ausreichen. Umfang und Detaillierungsgrad der vertraglichen Regelungen hängen immer vom speziellen Outsourcing-Projekt ab. eine solche durchgeführt werden kann. Die Anzahl der verfügbaren MitarbeiterInnen muss bewertet werden. 270 . Entsprechend dem erforderlichen Sicherheitsniveau für das OutsourcingVorhaben sollte in die Bewertung der Angebote mit aufgenommen werden. dass die im Angebot genannten MitarbeiterInnen auch später tatsächlich eingesetzt werden. sind als Hilfsmittel und Checkliste bei der Vertragsgestaltung zu sehen. ob eine Sicherheitsüberprüfung der MitarbeiterInnen vorliegt bzw. Dabei sollten auch die Vertretungsregelungen und die Arbeitszeiten hinterfragt werden. dass viele Personen aus Angst. Die Erfahrungen zeigen. Je höher der Schutzbedarf der ausgelagerten IT-Systeme und Anwendungen ist. die im Folgenden beschrieben werden. Bei der Wahl ausländischer Partner muss eine gemeinsame Sprache für die Kommunikation zwischen den eigenen MitarbeiterInnen und denen des Dienstleisters festgelegt werden. sich zu blamieren. Der Dienstleister sollte auf Einhaltung des Sicherheitshandbuchs und auf die vom Auftraggeber vorgegebenen Sicherheitsanforderungen verpflichtet werden (siehe 10.3.• Auskünfte über die aktuelle wirtschaftliche Lage sowie Erwartungen an die zukünftige Geschäftsentwicklung der Dienstleister sollten eingeholt werden. ein IT-Sicherheitskonzept inklusive eines Notfallvorsorgekonzepts zu erstellen und Sicherheitsmaßnahmen sowie Systeme und Anwendungen zu dokumentieren.4 Vertragsgestaltung mit dem Outsourcing-Dienstleister ISO Bezug: 27002 10. • • • • Die Qualifikation der MitarbeiterInnen muss in die Bewertung der Angebote einfließen. lieber zu wichtigen Fragen schweigen.2 Regelungen für den Einsatz von Fremdpersonal). Es ist nach der Projektvergabe darauf zu achten.3. 10. wenn sie ihre Sprachfähigkeiten als nicht perfekt einschätzen. Dazu gehört natürlich. Auch an die MitarbeiterInnen eines Dienstleisters sind diverse Anforderungen zu stellen (siehe auch 8. Hierbei sollte auch hinterfragt werden. dass der Outsourcing-Dienstleister sich verpflichtet. Art.

Nachträgliche Konkretisierungen und Ergänzungen des Vertrages. Zutrittskontrolle. Benennung von AnsprechpartnerInnen mit den nötigen Befugnissen regelmäßige Abstimmungsrunden Archivierung und Löschung von Datenbeständen (insbesondere bei Beendigung des Vertragsverhältnisses) Zugriffsmöglichkeiten des Dienstleisters auf IT-Ressourcen des Auftraggebers: Wer greift wie auf welches System zu? Wie sind die Zuständigkeiten und Rechte? Zutritts. B. alle vereinbarten Leistungen so genau und eindeutig wie möglich vertraglich festzuhalten.und Zugriffsberechtigungen für MitarbeiterInnen des Dienstleisters zu den Räumlichkeiten und IT-Systemen des Auftraggebers Zutritts. Arbeitsabläufen und Zuständigkeiten • • • • • • Verfahren zur Behebung von Problemen. z. Supportzeiten. Auch die Erstellung des IT-Sicherheitskonzeptes selbst sollte Vertragsbestandteil sein. Dadurch lassen sich später Streitigkeiten zwischen den Parteien vermeiden. auch eine genaue quantitative Leistungsbeschreibung vertraglich zu fixieren. zu Verfügbarkeitsanforderungen. B. Rechenleistung.. die aufgrund unterschiedlicher Interpretationen der beschriebenen Leistungen notwendig werden.und Zugriffsberechtigungen für Mitarbeiterinnen des Auftraggebers zu den Räumlichkeiten und IT-Systemen des Dienstleisters 271 . Generell wäre eine allgemeine Verpflichtung auf die Einhaltung des Sicherheitshandbuchs zwar zufriedenstellend. zur Verfügung stehendem Speicherplatz. .Zusätzlich zur allgemeinen Leistungsbeschreibung empfiehlt es sich jedoch immer. die aus Sicherheitssicht geregelt werden sollten: Infrastruktur • Absicherung der Infrastruktur des Dienstleisters (z.. Brandschutz. es empfiehlt sich jedoch immer. Reaktionszeiten. wer für die fachlichen Inhalte verantwortlich ist und welche Mitwirkungspflichten dem Auftraggeber obliegen. Anzahl der MitarbeiterInnen. Insbesondere ist zu klären. sind oftmals mit deutlichen Kostenerhöhungen für den Auftraggeber verbunden. Im Folgenden findet sich eine Themenliste von Aspekten.) Organisatorische Regelungen/ Prozesse • • Festlegung von Kommunikationswegen und Ansprechpartnern Festlegung von Prozessen.

ob der Dienstleister bereits bestehende Verträge mit Dritten (Hardwareausstattung. Die Einbindung Dritter. Serviceverträge.Personal • • • • • • • • • • • Gestaltung der Arbeitsplätze von externen MitarbeiterInnen (Einhalten von Computerarbeitsplatzrichtlinien) Festlegung und Abstimmung von Vertretungsregelungen Verpflichtung zu Fortbildungsmaßnahmen Notfallvorsorge Kategorien zur Einteilung von Fehlern und Störfällen nach Art. Haftung. Subunternehmer und Unterauftragnehmer des Dienstleisters ist zu regeln. Es sollte beispielsweise geklärt sein. Software und Schnittstellen sind festzulegen. kann der Auftraggeber von derartigen Vorkommnissen gänzlich überrascht werden. Es ist auch zu klären. ob bzw. Die Eigentums. sondern sinnvolle Regelungen festzulegen. juristische Rahmenbedingungen • • • Eine Verpflichtung auf die Einhaltung von geltenden Normen und Gesetzen sowie der vereinbarten Sicherheitsmaßnahmen und sonstigen Rahmenbedingungen ist vertraglich zu regeln. wie bei einem Streik des Personals des Dienstleisters die Verfügbarkeit von Daten und Systemen sichergestellt werden kann. 272 . In der Regel empfiehlt es sich nicht.und Urheberrechte an Systemen. welche Systeme redundant ausgelegt sein müssen Von besonderer Bedeutung können Regelungen im Fall höherer Gewalt sein. diese grundsätzlich auszuschließen. Besonders wenn Dienstleister und Auftraggeber unterschiedlichen Branchen angehören oder ihren Sitz in verschiedenen Ländern haben. Ebenso sind Vertraulichkeitsvereinbarungen (Non-Disclosure-Agreements) vertraglich zu fixieren. Schwere und Dringlichkeit erforderliche Handlungen beim Eintreten eines Störfalls Reaktionszeiten und Eskalationsstufen Mitwirkungspflicht des Auftraggebers bei der Behebung von Notfällen Art und zeitliche Abfolge von regelmäßigen und adäquaten Notfallübungen Art und Umfang der Datensicherung Vereinbarung.) übernimmt. Softwarelizenzen etc.

Skripte. können spezifiziert werden. dass aus Kostengründen andere Sicherheitsmaßnahmen vernachlässigt werden. wenn der Auftraggeber durch das Ausmaß des Schadensereignisses seiner Geschäftsgrundlage beraubt wird und im schlimmsten Fall durch die Schadensfolgen die Zahlungsunfähigkeit eintritt. Prozeduren. dass Schadensersatzzahlungen nur das allerletzte Mittel sind und nicht dazu führen dürfen. Die Bedeutung von Schadensersatzzahlungen und juristischen Konsequenzen sollte dabei nicht überschätzt werden. • • Wie wird beispielsweise ein Imageschaden gemessen? Mandantenfähigkeit • Die notwendige Trennung von IT-Systemen und Anwendungen verschiedener Kunden muss vereinbart werden. Regelungen für das Ende des Outsourcing-Vorhabens. B. Haftungsfragen im Schadensfall sind zu klären. zurückzugeben. Auf ein ausreichend flexibles Kündigungsrecht ist zu achten. Alle vorhandenen Daten inklusive Datensicherungen sind ebenfalls zurückzugeben oder (je nach Vereinbarung) zu vernichten. für einen Wechsel oder bei Insolvenz des Dienstleisters. Die Aufteilung von Risiken zwischen Auftraggeber und Dienstleister muss bedacht werden. • Kann ein Schaden nachgewiesen bzw. Zu bedenken sind nämlich die folgenden Punkte • Quantifizierbarkeit des Schadens Wie ist es zu bewerten. z. Sicherheit lässt sich nicht mit juristischen Mitteln erzielen. Der Auftragnehmer ist zu verpflichten. nach Beendigung des Auftrags alle Hardund Software inklusive gespeicherter Daten. der Verursacher überführt werden (z. wenn diese die Zahlungsfähigkeit des Dienstleisters übersteigen und dieser Insolvenz anmeldet.• • • • • • Die Weiterverwendung der vom Dienstleister eingesetzten Tools. Nachweis von Spionage oder Manipulationen)? Es ist immer zu bedenken. wenn gravierende Pflichtverletzungen aufgedeckt werden. die nur zufällig nicht zu einem größeren Schaden geführt haben? • Insolvenz des Dienstleisters Das Recht auf Schadensersatzzahlungen ist wertlos. Sanktionen oder Schadensersatz bei Nichteinhaltung der Dienstleistungsqualität müssen festgelegt werden. B. Nachfolgend fallen dann mindestens Kosten für den Umzug zu einem neuen Dienstleister an. • Katastrophale Schäden Eine Konventionalstrafe kommt zu spät. Batchprogramme ist für den Fall der Beendigung des Dienstleistungsverhältnisses zu regeln. 273 . die dem Auftraggeber gehören.

Mitarbeit oder Hilfestellung des Auftraggebers. sich neuen Anforderungen anzupassen. dezidierte Hardware) vereinbart werden. h. Dabei sind folgende Punkte einzubeziehen: • • • • • Regelungen für Updates und Systemanpassungen Trennung von Test. • Änderungsmanagement und Testverfahren • • • • • Es müssen Regelungen gefunden werden. In diesem Zusammenhang ist auch die Betreuung und Weiterentwicklung bereits vorhandener Systeme zu regeln. Es ist festzulegen. diese auf Verschwiegenheit zu verpflichten. dass die vom Dienstleister eingesetzten Mitarbeiter nicht für andere Auftraggeber eingesetzt werden. Es kann auch sinnvoll sein. Der Zeitrahmen für die Behebung von Fehlern ist festzulegen. Falls notwendig. gestiegene Anforderungen oder knapp werdende Ressourcen reagiert wird. Testverfahren für neue Soft. Abnahmeund Freigabeprozeduren) 274 . wenn beispielsweise gesetzliche Vorgaben geändert wurden.und Produktionssystemen Zuständigkeiten bei der Erstellung von Testkonzepten Festlegen von zu benutzenden Testmodellen Zuständigkeiten bei Auftraggeber und Dienstleister bei der Durchführung von Tests (z. die es ermöglichen. diese in seinem Sinne weiterzuentwickeln. • Es ist sicherzustellen. muss vereinbart werden. Eine kontinuierliche Verbesserung der Dienstleistungsqualität und des ITSicherheitsniveaus sollte bereits in den SLAs festgeschrieben werden. der damit die Fähigkeit verliert. dass Daten des Auftraggebers unter keinen Umständen anderen Kunden des Outsourcing-Dienstleisters zugänglich werden. Nicht selten übernimmt der Dienstleister selbstentwickelte Systeme oder Software vom Auftraggeber. Dies gilt insbesondere. wie auf Systemerweiterungen. dass der Auftraggeber immer in der Lage ist.und Hardware sind zu vereinbaren. so dass die eingesetzten MitarbeiterInnen nicht mit anderen MitarbeiterInnen des Dienstleisters auftraggeberbezogene Informationen austauschen dürfen. muss die physikalische Trennung (d. dass Probleme bei anderen Kunden nicht die Abläufe und Systeme des Auftraggebers beeinrächtigen. Der Evolutionspfad von Systemen muss daher geregelt werden. Falls notwendig.• • Es ist sicherzustellen. B.

B. das nach Beauftragung eines Dienstleisters erarbeitet wird. Einsichts-. Wenn unabhängige Dritte Audits oder BenchmarkTests durchführen sollen. Verfügbarkeit) Kontrollen • • Dienstleistungsqualität und IT-Sicherheit müssen regelmäßig kontrolliert werden. Aufsichtsbehörden) müssen auch beim Outsourcing-Dienstleister die entsprechenden Kontrollmöglichkeiten (z.3. dass sich viele technische und organisatorische Details erst im Laufe der Planung und bei Migration der Systeme ergeben.5 Erstellung eines IT-Sicherheitskonzepts für das Outsourcing-Vorhaben ISO Bezug: 27002 10. die berücksichtigt werden müssen: • Am Outsourcing-Vorhaben sind aus technischer Sicht in der Regel drei Parteien beteiligt: • • Outsourcing-Auftraggeber Outsourcing-Dienstleister 275 . Outsourcing-Projekte sind dadurch gekennzeichnet. Generell unterscheiden sich IT-Sicherheitskonzepte für Outsourcing-Vorhaben nur wenig von IT-Sicherheitskonzepten für selbstbetriebene IT-Systeme. Der Auftraggeber muss die dazu notwendigen Auskunfts-. B. Es ergeben sich jedoch folgende Besonderheiten.) Genehmigungsverfahren für die Durchführung von Tests Festlegung zumutbarer Qualitätseinbußen während der Testphase (z. die beim Auftraggeber Prüfungen durchführen müssen (z. wird daher in den wenigsten Fällen gleich vollständig und endgültig sein und muss während der Migrationsphase von allen Beteiligten stetig weiterentwickelt und konkretisiert werden. muss dies bereits im Vertrag geregelt sein. Allen Institutionen. B. 10. ohne dass der Auftraggeber sich vorbereiten konnte. Durch unerwartete Fehler dabei werden wichtige Anwendungen gestört. Zutrittsund Zugangsrechte besitzen. Dieses kann unter anderem auf Grundlage dieses Sicherheitshandbuchs erstellt sein. Zutrittsrechte. Dateneinsicht) eingeräumt werden. Das IT-Sicherheitskonzept.2 Für jedes Outsourcing-Vorhaben muss ein IT-Sicherheitskonzept existieren.• • • Informationspflicht und Absprache vor wichtigen Eingriffen ins System (Negativbeispiel: Der Dienstleister spielt ein neues Betriebssystem auf dem Server ein.

sollte aber in einem Audit prüfen.4 Vertragsgestaltung mit dem Outsourcing-Dienstleister genannten Sicherheitsanforderungen bilden dabei die Basis für das IT-Sicherheitskonzept. Die Verantwortlichkeiten und Hierarchien für die Migrationsphase sind festzulegen.3. welches die Sicherheit im Zusammenspiel der Einzelsysteme betrachtet. Damit sind ITSicherheitskonzepte erforderlich: • • • • • • für den Einflussbereich des Outsourcing-Dienstleisters. 276 . ob es vorhanden und ausreichend ist. Die verschiedenen Teil-Konzepte müssen zwischen Auftraggeber und Dienstleistern abgestimmt werden. Zusätzlich zu den Einzelkonzepten ist ein IT-Sicherheitskonzept für das Gesamtsystem zu erstellen. Dabei ist es wichtig. um spezielles Know-how verfügbar zu machen. dass klare Führungsstrukturen geschaffen und auf beiden Seiten eindeutige AnsprechpartnerInnen definiert werden. Dabei ist der Auftraggeber am ITSicherheitskonzept des Outsourcing-Dienstleisters nicht direkt beteiligt. Nur so kann sichergestellt werden. Erfahrungsgemäß ist der Übergang (Migration) von Aufgaben und IT-Systemen vom Auftraggeber zum Outsourcing-Dienstleister eine Projektphase. wobei beispielsweise die Maßnahmen konkretisiert und Ansprechpartner namentlich festgelegt werden.• Netzprovider. Dieses kann auch durch externe ExpertInnen verstärkt werden. für den Einflussbereich des Auftraggebers sowie für die Schnittstellen und die Kommunikation zwischen diesen Bereichen. der Netzprovider stellt die Anbindung zwischen den Outsourcing-Parteien bereit. welches auch das spezielle Outsourcing-Vorhaben umfasst. dass im Zweifelsfall mit entsprechendem Nachdruck gehandelt werden kann. Für die Migrationsphase muss eine IT-Sicherheitskonzeption erstellt werden. Die in 10. Jeder Beteiligte muss ein eigenes IT-Sicherheitskonzept erstellen und umsetzen. Für das Audit kann der Auftraggeber dabei auch auf externe Dritte zurückgreifen. Aus diesem Grund müssen im Sicherheitskonzept Regelungen und Maßnahmen zur Migration behandelt werden: • • • Es ist ein gemischtes Team aus MitarbeiterInnen des Auftraggebers und des Outsourcing-Dienstleisters zu bilden. Zusätzlich ist darauf zu achten.3. Die Zuständigkeit für die Netzanbindung fällt dabei in der Regel dem Outsourcing-Dienstleister zu. in der verstärkt mit Sicherheitsvorfällen zu rechnen ist.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhabenund 10. Aufbauend auf den dort beschriebenen grundlegenden Anforderungen muss im ITSicherheitskonzept die detaillierte Ausgestaltung erfolgen. dass auf beiden Seiten Verantwortlichkeiten auch auf hohen Ebenen definiert werden.

Dazu ist im Vorfeld zu überprüfen. müssen ausreichend dokumentiert sein. Es sind geeignete interne MitarbeiterInnen für die Test-. die der Dienstleister übernehmen soll. da sich erfahrungsgemäß während der Migrationsphase immer Änderungen ergeben. Bis sich bei allen Beteiligten die notwendige Routine. eventuell erforderliche Zuordnungsbegriffe wie Kundennummern) dokumentiert. 277 . Einführungsphase und den späteren Betrieb auszuwählen. AnsprechpartnerInnen und Zuständigkeiten werden mit Namen und notwendigen Kontaktdaten (Telefon. Während der Migration muss ständig überprüft werden. Die Prüfung der Dokumentation auf Vollständigkeit muss dabei ebenso bedacht werden wie das Anpassen der vorhandenen Dokumentation auf die veränderten Randbedingungen durch das Outsourcing-Vorhaben. In der Einführungsphase des Outsourcing-Vorhabens und der ersten Zeit des Betriebs muss dem Notfallkonzept besondere Aufmerksamkeit geschenkt werden. Anruf eines vermeintlichen Mitglieds des Sicherheitsteams des Dienstleisters). Zusätzlich müssen Störungen durch notwendige Tests einkalkuliert werden. Zeiten der Erreichbarkeit. dass das ITSicherheitskonzept aktualisiert wird. Der Dienstleister muss die relevanten Abläufe. ob die vorgesehenen MitarbeiteInnenr zur Verfügung stehen. Dies bedeutet insbesondere: • • Alle Sicherheitsmaßnahmen müssen konkretisiert werden. Vertraglich kann sich ein Auftraggeber natürlich auch ein Mitspracherecht bei der Personalauswahl des OutsourcingDienstleisters einräumen lassen.• • • • • • • Die erforderlichen Tests müssen geplant und durchgeführt werden. Anwendungen und IT-Systeme. Applikationen und IT-Systeme des Auftraggebers genau kennen lernen und dahingehend eingewiesen werden. Die Dokumentation neuer Systeme oder Teilsysteme muss dabei ebenfalls sichergestellt sein. Der störungsfreie Betrieb ist durch genaue Ressourcenplanung und Tests sicherzustellen. Die MitarbeiterInnen des Auftraggebers sind zum Verhalten während und nach der Migrationsphase zu schulen. ob die SLAs oder die vorgesehenen IT-Sicherheitsmaßnahmen angepasst werden müssen. Nach Abschluss der Migration muss sichergestellt werden. In der Regel sind die MitarbeiterInnen dabei mit neuen und unbekannten AnsprechpartnerInnen konfrontiert. Abnahmeprozeduren erarbeitet und die Produktionseinführung geplant werden. beispielsweise in der Behandlung von Fehlfunktionen und sicherheitsrelevanten Vorkommnissen eingestellt hat. Dies birgt die Gefahr des Social Engineering (z. B. sind verstärkt MitarbeiterInnen zu Bereitschaftsdiensten zu verpflichten. Die produktiven Systeme dürfen dabei nicht vernachlässigt werden.

zu erkennen Einsatz von Syslog. nach erfolgreichen Angriffen. Verbot von Gruppen-IDs für Personal des Dienstleisters 278 . dass alle Ausnahmeregelungen. insbesondere Regelungen zum Anfertigen von Kopien und Löschen/Vernichten Festlegung von Aktionen. Im Folgenden sind einige Aspekte und Themen aufgelistet. um eine möglichst umfassende Protokollierung zu ermöglichen Einsatz kaskadierter Firewallsysteme zur Erhöhung des Perimeterschutzes auf Seiten des Dienstleisters sorgfältige Vergabe von Benutzer-Kennungen. und den organisatorischen. wobei auch die eingestellten sicherheitsrelevanten Parameter zu erfassen sind. die im ITSicherheitskonzept im Detail beschrieben werden sollten. infrastrukturellen und personellen Sicherheitsmaßnahmen können Maßnahmen aus folgenden Bereichen sinnvoll sein: Organisation • • • • • • • • Umgang mit Daten und schützenswerten Betriebsmitteln wie Druckerpapier und Speichermedien.und Timeservern. Das Personal ist durch Schulungsmaßnahmen auf den Regelbetrieb vorzubereiten. Als letzte Aufgabe muss das Outsourcing-Vorhaben nach der Migrationsphase in den sicheren Regelbetrieb überführt werden. wie z.• • Die Systemkonfigurationen ist zu dokumentieren. die der Motivation der Sicherheitsmaßnahmen dient. erweiterte Zugriffsrechte. um Angriffe möglichst zu erschweren Einsatz von Intrusion-Detection-Systemen (IDS). Da die Details eines IT-Sicherheitskonzeptes direkt vom Outsourcing-Vorhaben abhängen. ist die Liste als Anregung zu verstehen und erhebt keinen Anspruch auf Vollständigkeit. aufgehoben werden. B. B. Dabei ist vor allem darauf zu achten. für die das "Vier-Augen-Prinzip" anzuwenden ist Hard-/Software Einsatz gehärteter Betriebssysteme. um Veränderungen z. Neben einem Überblick über die Gefährdungslage. um Angriffe frühzeitig zu erkennen Einsatz von Datei-Integrität-Prüfungssystemen. die während der Migrationsphase notwendig waren.

B.3. Zuständigkeiten.9.Kommunikation • • • • Absicherung der Kommunikation (z.6 Notfallvorsorge beim Outsourcing beschrieben.6 Notfallvorsorge beim Outsourcing ISO Bezug: 27002 10. Netzverbindung. Abläufen und organisatorische Regelungen Notfallvorsorge • Das Notfallvorsorgekonzept ist in 10. Telekommunikationsprovider) existieren. B.1 Richtlinien bei Verbindung mit Netzen Dritter (Extranet)) Detailregelungen für den Datenaustausch (siehe 10. 10. B. unangekündigte Kontrollen vor Ort. Die Besonderheiten beim Outsourcing-Betrieb ergeben sich dadurch. welche Aspekte bereits im Service Level Agreement geregelt werden sollten. Router.3.8. dass auch die Notfallvorsorge auf unterschiedliche Parteien aufgeteilt ist und durch die Verteilung der IT-Komponenten auch zusätzliche Komponenten neu hinzukommen. Detailgrad) für Kontrollen und Messung von Sicherheit.4 Vertragsgestaltung mit dem Outsourcing-Dienstleister sind einige Hinweise gegeben. Zeitintervalle. In 10. Im Notfallvorsorgekonzept müssen diese Vorgaben genau spezifiziert und im Detail beschrieben werden: • Zuständigkeiten.1 Richtlinien beim Datenaustausch mit Dritten) Kontrollen und QS • Detailregelungen (z.3. 279 . beim Outsourcing-Dienstleister sowie für die Schnittstellen zwischen Auftraggeber und Dienstleister (z. elektronische Signatur) zwischen Dienstleister und Auftraggeber. Dienstqualität.2 Für die Notfallvorsorge beim Outsourcing gelten grundsätzlich die gleichen Anforderungen wie beim nicht ausgelagerten Betrieb von IT-Systemen. durch Verschlüsselung. um sensitive Daten zu schützen Authentisierungsmechanismen Detailregelungen für weitere Netzanbindungen (siehe 10. Generell müssen Notfallvorsorgekonzepte für die Systeme beim Auftraggeber. AnsprechpartnerInnen und Abläufe müssen klar geregelt und vollständig dokumentiert werden.

Die IT-Sicherheit hängt in Notfällen entscheidend von der Qualität der Arbeitsanweisungen für das Personal des Outsourcing-Dienstleisters ab. Programmfehler. Durch das Notfallvorsorgekonzept müssen dem Outsourcing-Dienstleister daher genaue Anweisungen zur Verfügung gestellt werden. Reboot einer Maschine). Verarbeitung eines falschen Datensatzes. muss der Outsourcing-Dienstleister unter Umständen eine Fehlerbehebung herbeiführen. Ein Fehlverhalten einer Anwendung kann technische Ursachen haben (z. B. Besonders bei Problemen mit komplizierten Anwendungen oder bei umfangreichen Batch-Prozessen sind häufig Kenntnisse erforderlich. 280 . benötigt der Outsourcing-Dienstleister detaillierte und umfangreiche Anweisungen sowie Listen mit Ansprechpartnern auf Seiten des Auftraggebers. die regelmäßig durchgeführt werden müssen. B. ohne umfangreiche Kenntnisse über das System zu besitzen. falsche Parametereinstellung). dem Dienstleister Informationen bezüglich des Schutzbedarfs der betroffenen Daten und Systeme zur Verfügung zu stellen. Es kann dabei auch sinnvoll sein. die nur beim Auftraggeber vorhanden sind. muss erarbeitet werden. Aktionen zu definieren. Ein Konzept für Notfallübungen. Datenträger voll. Meist ist aber dennoch eine Kooperation mit dem Auftraggeber notwendig. Eskalationsstrategien. getrennte Backup-Medien für jeden Klienten. Bei technischen Fehlern ohne Auswirkungen auf andere Anwendungen wird der Outsourcing-Dienstleister den Fehler zwar selbst beheben können. die explizit verboten sind (z. die auf den IT-Systemen betrieben werden. Netzprobleme) oder anwendungsspezifische (z. um ungewünschte Seiteneffekte auf Applikationsebene zu verhindern.• • • • Detailregelungen für die Datensicherung sind zu erstellen (z. Wichtig ist in diesem Fall auch. Vertretungsregelungen. damit er richtig reagieren kann. Virenschutz). Verfügbarkeit. Oftmals werden die Systeme des Auftraggebers von Personal des Dienstleisters betrieben. B. damit mit angemessener Umsicht gehandelt werden kann. Die Verantwortung für die Anwendung liegt dennoch ausschließlich beim Auftraggeber. Liegen anwendungsspezifische Probleme vor. das keine Detailkenntnisse über die Anwendungen besitzt. Tritt ein Fehler in der Anwendung auf. wie er dabei vorgehen darf. B. Detaillierte Arbeitsanweisungen mit konkreten Anordnungen für bestimmte Fehlersituationen sind zu erstellen.

wie z. Trojanische Pferde anwendbar. Logische Bomben: Programme. Dies sind Programme. 281 . Bei den meisten über E-Mail verbreiteten "Viren" handelt es sich eigentlich um Würmer. in andere Programme oder Dateien eingebettete Programmroutinen. deren Schadensfunktion von einer logischen Bedingung gesteuert wird.4 Schutz vor Schadprogrammen und Schadfunktionen ISO Bezug: 27002 10. dazu auch [NSA-EEC1] ) Das nachfolgende Kapitel beschäftigt sich vorwiegend mit dem Schutz gegen Viren und Würmer. Würmer: Selbständige. Trojanische Pferde dienen vor allem dazu. die sich in einem System (vor allem in Netzen) ausbreiten. Computer auszuspionieren. Die angeführten Maßnahmen sind großteils auch gegen andere Arten von Software mit Schadensfunktion. selbstreproduzierende Programme. die sich selbst reproduzieren und dadurch von dem/der Anwender/in nicht kontrollierbare Manipulationen in Systembereichen. Integrität und/oder Verfügbarkeit von Daten oder Programmen. ohne Selbstreproduktion.B. (vgl.4 Computer-Viren (im Rahmen dieses Handbuchs der Einfachheit halber als Viren bezeichnet) gehören zu den "Programmen mit Schadensfunktionen" ("maliziöse Software"). die . E-Mail zum Problem. Zu den Programmen mit Schadensfunktionen gehören: Viren: Nicht-selbständige. wird heute zunehmend die Verbreitung über Internet bzw. Verbreitung: Während früher Viren meist durch den Austausch verseuchter Datenträger verbreitet wurden. die zur Vereinfachung im Folgenden generell als "Viren" bezeichnet werden. die verdeckte Funktionen enthalten und damit durch Löschen. Trojanische Pferde: Selbständige Programme mit verdeckter Schadensfunktion. beispielsweise dem Datum oder einer bestimmten Eingabe.10. Damit verursachen sie zusätzliche Arbeit und Kosten und haben einen negativen Einfluss auf die Vertraulichkeit.schon durch ihr massenhaftes Auftreten und ihre rasante Verbreitung großes Aufsehen erregen und zu hohen Schäden führen. an anderen Programmen oder deren Umgebung vornehmen.unabhängig von der eigentlichen Schadensfunktion . Überschreiben oder sonstige Veränderungen unkontrollierbare Schäden an Programmen und Daten bewirken können.

1] 10. . sondern auch die Abstimmung dieser Maßnahmen aufeinander. 11. bei dem in jeder Stufe angemessene und aufeinander abgestimmte Schutzmaßnahmen realisiert werden.5. Je mehr bzw. desto geringer wird das allgemeine Risiko. bzw. einer Verringerung des Schadens im Falle eines Befalls. • • 282 Regelmäßige Durchführung einer Datensicherung (vgl.4.10. 10.5 ).5.4.1 Erstellung eines Virenschutzkonzepts ISO Bezug: 27002 10. [eh SYS 4.1.7 Um für ein komplexes IT-System oder eine gesamte Organisation einen effektiven Virenschutz zu erreichen. Die nachfolgenden Maßnahmen geben eine Reihe von generellen Empfehlungen zum Virenschutz. die an die Erfordernisse der betroffenen Institution anzupassen sind. 10. Für die Effizienz des Virenschutzkonzeptes sind dabei nicht nur die ausgewählten Maßnahmen selbst von Bedeutung. je exakter die Empfehlungen umgesetzt werden. Die nachfolgend angeführten Maßnahmen dienen einer Vorbeugung gegen Virenbefall bzw. Die anzuwendenden Maßnahmen sind daher vor dem Hintergrund des Gesamtsystems und der jeweils gültigen Policy vorzuschreiben. Schutzmaßnahmen sind zu treffen: • • • auf Ebene der Firewall auf Server-Ebene auf Client-Ebene Neben den technischen Schutzmaßnahmen sind auch organisatorische und personelle Maßnahmen erforderlich. Allerdings können ggf bestimmte (auch notwendige / vorgesehene) Funktionen nicht mehr oder zumindest weniger produktiv durchgeführt werden.2 Generelle Maßnahmen zur Vorbeugung gegen Virenbefall ISO Bezug: 27002 10. um einem Virenbefall soweit wie möglich vorzubeugen. ist ein mehrstufiges Schutzkonzept erforderlich. Sichere Aufbewahrung der Sicherheitskopien von Datenträgern (vgl.1 ). im Falle eines Virenbefalls den Schaden möglichst zu begrenzen.4.4.

die Programme beinhalten) und bei allen ausgehenden Datenträgern. gleich zentral abgeblockt werden.3 Datenträgeraustausch ). um ihre Wirkung entfalten zu können. das Booten von externen Datenträgern (CD.und ausgehenden Dateien über externe Netzwerke (EMails. Die Unterteilung der Festplatte in mehrere Partitionen kann die Rekonstruktion von Daten nach einem Virus-Schaden erleichtern (Anmerkung: Dies gilt auch bei einem Headcrash).• • • • • • • Setzen eines Schreibschutzes bzw.EXE).) ganz zu unterbinden.1 Viele Schadfunktionen (Nachladen von Code aus dem Internet. die auch über entsprechende Sicherheitsfunktionen verfügen. die im täglichen Arbeitsablauf nicht als Anhänge von E-Mails vorkommen. *. Überprüfung aller vorinstallierten Neugeräte und gewarteten Geräte. in der BootReihenfolge die System-Festplatte an erster Stelle einzustellen bzw. Daher ist durch eine restriktive Politik bei den Filterregeln der Firewalls eine wesentliche Erhöhung der Sicherheit erreichbar. um die Sicherheit des Gesamtsystems nicht zu gefährden.u.4. *. Gateways bieten meist auch Möglichkeiten ohne teure Zusatzprodukte Maßnahmen zu setzen. Internet) (s. etc.3 Empfohlene Virenschutzmaßnahmen auf Firewall-Ebene ISO Bezug: 27002 10.2] 10.7. Als vorbeugende Maßnahme gegen Virenbefall empfiehlt es sich.B. "Private" Insel-Lösungen auf einzelnen Arbeitsplatz-Rechnern sollten nicht zugelassen werden. Für Probleme sollte ein zentraler Ansprechpartner (E-Mail-Adresse. Nutzung von nur einmal beschreibbaren Medien bei allen Datenträgern. *.WSH. auch 10. auf die nicht geschrieben werden muss (gilt insbesondere für Datenträger. Dies gilt in besonderem Maße für E-Mail-Programme. Überprüfung aller ein.4. Dabei können Dateitypen (z. Überprüfung aller ein.). 283 .und Fax-Nummer) benannt werden. Übermittlung von vertraulichen Informationen aus dem geschützten Netz) benötigen definierte Verbindungswege in das Internet (Ports.BAT. die der Verbreitung von Schadprogrammen entgegenwirken.VBS.und ausgehenden Datenträger (vgl. DVD. *. Telefon. • [eh SYS 4. USB-Stick. Adressen). Es sollten nur vertrauenswürdige Programme zugelassen sein.

B. 10.8 Auswahl und Einsatz von Virenschutzprogrammen ). empfiehlt sich die Installation dezentraler Virenschutzprogramme. das im Hintergrund läuft (resident) und bei bekannten Viren Alarm schlägt. durch unbedachte oder gewollte Handlungen den Rechner zu gefährden. 11. dass seine/ihre Mail nicht zugestellt werden konnte.2 • • • 284 Aktivierung aller vorhandenen Sicherheitsfunktionen des Rechners (PasswortSchutz.4] 10.4. dazu auch 10. Content Vectoring Protocol) möglich.4. die den Verkehr auf Viren und auch den Content der Mails scannen können. Mailprogramm. Sollten Informationen geblockt werden. Einsatz eines aktuellen Virenschutzprogrammes mit aktuellen Signatur-Dateien.1. um beispielsweise auch Schutz bei verschlüsselter Kommunikation zu erreichen.1 Auf E-Mail-Servern und allen Servern die zum Datenausgetausch genutzt werden sollten Virenschutzprogramme zur zentralen Überprüfung des E-Mail-Verkehrs und der ausgetauschten Dateien installiert werden (vgl.4.5 Empfohlene Virenschutzmaßnahmen auf Client-Ebene und Einzelplatzrechnern ISO Bezug: 27002 10. Dabei kann Mail mittels Virenscanner verschiedener Hersteller überprüft werden und . Bildschirmschoner mit Passwort.Der Einsatz spezieller Rechner.). damit während der Abwesenheit der berechtigten Benutzerin bzw. etc. ist in Form einer erweiterten Gatewayfunktionalität oder der Einbindung über eigene Protokolle (z. . [eh SYS 4.7.4 Empfohlene Virenschutzmaßnahmen auf Server-Ebene ISO Bezug: 27002 10.4.durch das Filtern entsprechender Textbegriffe die Ausbreitung neuer Schadsoftware gestoppt werden. Dabei ist auf eine regelmäßige Aktualisierung der eingesetzten Programme zu achten. dem/der Absender/in einer solchen E-Mail eine automatisierte Nachricht zukommen zu lassen.) Aktivierung der Anzeige aller Dateitypen im Browser bzw.sogar vor dem Vorliegen der neuen Virensignaturen . (Auch wenn am Mail-Server bereits ein Virenschutzprogramm zum Einsatz kommt.4. des berechtigten Benutzers Unbefugte keine Möglichkeit haben.3] 10. [eh SYS 4. empfiehlt es sich.2.4.

keine Aktivierung von Anwendungen über Internet. ob der Text der Nachricht auch zum/ zur Absender/in passt (englischer Text von deutscher Partnerin bzw.6. JavaScript) und Skript-Sprachen (z. Visual Basic Script. Kein "Doppelklick" bei ausführbaren Programmen (*. Excel. Daher sollte in Schulungen regelmäßig auf die Gefahr von Viren. Durch den Einsatz eines Firewall-Produkts auf den Einzelplatzrechnern (Personal Firewalls).).4.5] 10. Absendern prüfen. welche Programme auf das Internet zugreifen dürfen. Vorsicht bei mehreren E-Mails mit gleichlautendem Betreff.). etwa über das Intranet oder in Form interner Publikationen. Erkennung von Viren durch den Benutzer ISO Bezug: 27002 10. vertrauenswürdigen Absenderinnen bzw. sind empfehlenswert. die keine Informationen über die aufrufenden Programme hat. Erkennen potentieller Gefahren bei eingehender E-Mail und Abwehrmaßnahmen: • • • Bei E-Mail auch von vermeintlich bekannten bzw. 285 . VBS) aus unbekannten Quellen etc. 10. Sofern möglich: Wahl der höchsten Stufen in den Sicherheitseinstellungen von Internet-Browsern (Deaktivieren von aktiven Inhalten (ActiveX.BAT.4. deutschem Partner.B. Die Ausführung von aktiven Inhalten in E-Mail-Programmen immer unterbinden (entsprechende Optionen setzen). Auch laufende Informationen zu diesem Thema.15 ).1. 10. Java. zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc. die regeln.VBS.) und ob die Anlage (Attachment) auch erwartet wurde.EXE) oder ScriptSprachen (*. wirkungsvoll ergänzt (vgl. die Möglichkeiten zu ihrer Erkennung und Vermeidung sowie die notwendigen Handlungsanweisungen im Falle eines (vermuteten) Virenbefalls hingewiesen werden.• • • • • Aktivierung des Makro-Virenschutzes von Anwendungsprogrammen (MS Word.6 Vermeidung bzw. Keine Nutzung von Applikationsverknüpfungen für Anwendungen mit potentiell aktivem Code (MS-Office) im Browser. [eh SYS 4. etc.2 Die Sensibilisierung der Endanwender/innen für die Virenproblematik stellt eine wichtige Komponente beim Schutz gegen Viren dar. Powerpoint. (sofern sie nicht bereits auf Firewall-Ebene gefiltert wurden). kann der Schadsoftware ebenfalls gezielt entgegen gewirkt werden. etc. *. Dadurch wird die zentrale Firewall.) und Beachtung von Warnmeldungen.4.COM. *.

deren Attachments sollten auf keinen Fall von dem/der Endanwender/in geöffnet werden. Nur vertrauenswürdige E-Mail-Attachments öffnen (z. Es handelt sich nämlich meist um irritierende und belästigende Mails mit Falschmeldungen (Hoax oder "elektronische Ente". Freunde. Im Privatbereich und ev. "Quarantänebereiche" einzurichten. Bekannte oder Kolleginnen/Kollegen folgen. Die Konfiguration der E-Mail-Clients sollte so eingestellt sein. dass ein/e Endanwender/in unabsichtlich Viren verteilt. • • • Vermeidung aktiver Inhalte in E-Mails. Keine unnötigen E-Mails mit Scherz-Programmen und ähnlichem versenden.B. sondern direkt nur an den IT-Sicherheitsbeauftragten senden. B. in denen die Mails von Spezialistinnen bzw.SCR). Kettenbrief). MS Word) oder Scripts eingesetzt werden. Dazu sind sog. Auch eine E-Mail im HTML-Format kann aktive Inhalte mit Schadensfunktion enthalten. etc. einen Computer-Virus enthalten können. In Bereichen. dass verdächtige E-Mails in entsprechend sicherer Umgebung geöffnet und analysiert werden können. Mails oder Anhängen an Freundinnen bzw. dass Attachments nicht automatisch geöffnet werden. Maßnahmen bei ausgehender E-Mail: Durch Beachtung der nachfolgenden Maßnahmen kann die Gefahr reduziert werden.) sowie Bildschirmschonern (*. 286 . in letzter Konsequenz sogar nach telefonischer Absprache). wie sie diese Spezialistinnen/Spezialisten erreichen oder Mails an solche Bereiche weiterleiten können. wo dies entweder aufgrund gesetzlicher Vorschriften oder kommerzieller Überlegungen nicht möglich ist. Es ist zu beachten. da diese evtl. dass die Art des DateiAnhangs (Attachment) bei Sabotageangriffen oft getarnt ist und über ein Icon nicht sicher erkannt werden kann. Bei der Verwendung des HTML-Formates ist ebenfalls Vorsicht geboten. Spezialisten untersucht und weiterbehandelt werden können. Keinen Aufforderungen zur Weiterleitung von Warnungen. Benutzer/innen müssen wissen. Außerdem sollten als E-Mail-Editor keine Programme mit der Funktionalität von Makro-Sprachen (z. ist dafür zu sorgen. um der Gefahr einer Vireninfektion zu begegnen.• • • • Vorsicht auch bei Dateien von Anwendungsprogrammen (Office. auch in Teilen des kommerziellen Bereiches wird ein sofortiges Löschen von offensichtlich unsinnigen oder sonst wie verdächtigen Mails empfehlenswert sein. Empfohlene Verhaltensregeln im Verdachtsfall: Verdächtige E-Mails bzw.

Mit einem aktuellen Virenschutzprogramm sollten vor der Installation die Dateien immer überprüft werden. Bei Abweichungen von der vorgegebenen Größe oder Prüfsumme ist zu vermuten. 14.1. 287 . um Benutzerdaten auszuspähen. Tabellen.und Präsentations-Dateien. Daher sollten solche Dateien sofort gelöscht werden. zu verändern oder zu löschen. sollte nach einem Download immer überprüft werden.) Makro-Viren bzw. auch angegebenen Prüfsumme. Gepackte (komprimierte) Dateien sollten erst entpackt und auf Viren überprüft werden. PDF.4. die bei anonymen Webspace-Providern eingerichtet werden.• Gelegentlich prüfen. sowie einer evtl. ob E-Mails im Ausgangs-Postkorb stehen.und anderen Anwendungsprogrammen (Text-. etc. dass zu entpackende Dateien nicht automatisch gestartet werden. die aus dem Internet abgerufen werden. vorgenommen worden sind. • • • • Programme sollten nur von vertrauenswürdigen Seiten geladen werden. Die Angabe der Größe von Dateien. also insbesondere von den Originalseiten der Ersteller/innen. Je nach vorliegendem Schadprogramm sind Verfahren zur differenzierten EMail-Filterung (z. weiterzuleiten. dürfen diese Systeme allenfalls kurzzeitig deaktiviert werden. Ausweichwege für die Kommunikation und Vertretungsregeln festzulegen. Verhalten bei Downloads aus dem Internet: Daten und Programme. 13.6. stellen hierbei eine besondere Gefahr dar.B. Private Homepages. die zuständigen Funktionen oder Personen zu definieren. keine Attachments. dass auch Dateien von Office. dass unzulässige Veränderungen.6] 10.3 • • Die Informationswege für Notfälle sind zu planen. Scripts mit Schadensfunktion enthalten können. Größenbeschränkung. die nicht von dem/der Benutzer/in selbst verfasst wurden. nur Post-Eingang. damit nach wie vor Warnungen möglich sind. stellen einen Hauptverbreitungsweg für Viren und Trojanische Pferde dar. Da EMail mittlerweile das zentrale Informationsmedium geworden ist. Installierte Entpackungsprogramme sollten so konfiguriert sein. [eh SYS 4.7 Erstellung von Notfallplänen im Fall von Vireninfektionen ISO Bezug: 12. Filterung von bestimmten Betreffs) vorzubereiten und auch zu testen. meist durch Viren. Es muss darauf hingewiesen werden.

dass bei Vorliegen eines neuen Virus die Updates der Virenschutzprogramme möglichst rasch auf Servern. Man kann daher eine Infektion mit bekannten Viren grundsätzlich vermeiden. da sie nur die zu ihrem Erstellungszeitpunkt bekannten Viren berücksichtigen. dass Virenschutzprogramme mit der Zeit ihre Wirksamkeit verlieren.4.1 Zum Schutz vor Viren können unterschiedliche Wirkprinzipien genutzt werden. dass man durch das Virenschutzprogramm eine genauere Information über den jeweils entdeckten Virus erhält. Daher ist eine regelmäßige Aktualisierung des Virenschutzprogramms erforderlich. wenn auch eingeschränkte. Ein gutes Virenschutzprogramm muss daher nicht nur in der Lage sein. sollten mit der Entfernung Spezialistinnen bzw. Die Betriebsart des Virenschutzprogramms hat entscheidenden Einfluss auf die Akzeptanz bei den Anwenderinnen/Anwendern und damit auf die tatsächlich erreichte Schutzfunktion. sondern sie auch möglichst exakt identifizieren. Von Vorteil ist. Die entsprechenden Verteilwege und Maßnahmen sind vorzubereiten und selbstverständlich auch regelmäßig zu testen. [eh SYS 4. Funktionsfähigkeit hergestellt werden kann. Hierbei ist zu beachten. Ein weiterer Vorteil ist. sind alternative Verfahren zur zeitnahen Warnung vorzusehen (z. Für den Notfall sind Backup. SMS. welche Rechner in welcher Reihenfolge in betriebsbereiten Zustand zu bringen sind. Zu beachten ist. Wenn immer möglich. viele Viren zu finden. Gateways und Clients eingestellt werden. dass die Qualität dieser Entfernungsroutinen sehr unterschiedlich ist. dass neu erhaltene Software oder Datenträger schon vor dem ersten Einsatz geprüft werden können.und Restore-Strategien zu erarbeiten. die festlegen. Lautsprecherdurchsagen). haben sich in der Vergangenheit als effektivstes und wirksamstes Mittel in der Viren-Bekämpfung erwiesen. die Speichermedien nach bekannten Viren durchsuchen . ob und welche Schadensfunktionen vorhanden sind.4. Zahlreiche Programme bieten auch die Möglichkeit einer Entfernung gefundener Viren an. 288 . Die bekannten Viren sind durch Spezialistinnen bzw.• • • Es muss sichergestellt sein. Programme. so dass man weiß.7] 10. B. notfalls auch durch Fax. neu hinzugekommene jedoch meist nicht erkennen können. Sollten durch einen neuen Virus die üblichen Informationswege nicht verfügbar sein.8 Auswahl und Einsatz von Virenschutzprogrammen ISO Bezug: 27002 10. Ebenso wie andere Programme können sie durch Aufruf (transient) oder im Hintergrund (resident) genutzt werden. damit in kürzester Zeit eine. Spezialisten analysiert worden. Spezialisten betraut werden.

Sinnvoll ist eine Funktionalität. insbesondere müssen alle sehr stark verbreiteten Viren erkannt werden. Das Programm sollte Viren auch in komprimierter Form finden. sondern auch andere unberechtigte Veränderungen an Dateien. Auf diese Weise können nicht nur Verseuchungen mit bisher unbekannten Viren erkannt werden. Das Programm sollte über eine Protokollierungsfunktion verfügen. die es erlaubt.B. Nach Möglichkeit muss das Produkt als residentes Programm eine permanente Virenkontrolle ermöglichen. Das Programm muss seine eigene Virenfreiheit feststellen. Es verrichtet seine Tätigkeit. Beim residenten Betrieb wird das Virenschutzprogramm beim Start des Rechners in den Speicher geladen und verbleibt dort aktiv bis zum Ausschalten. die folgende Daten festhält: • • • • • Versionsstand des Programms. Hierbei werden zum Schutz vor Veränderung von den zu prüfenden Dateien oder Systembereichen (z. Angabe aller benutzten Parameter. Gefundene Viren müssen mit einer vollständigen Pfad-Angabe angezeigt werden. die regelmäßig kontrolliert werden.Beim transienten Betrieb wird das Programm aufgerufen. durchsucht die eingestellten Teile des Computers. erkannte Viren zu entfernen. wobei gängige Komprimierungsfunktionen wie PKZIP unterstützt werden sollten. Anzahl und Identifikation der Dateien und Objekte. das Schreiben von Texten. Boot. ohne dass der/die Anwender/in dabei mitwirkt. ohne weitere Schäden an Programmen oder Daten zu verursachen.B. beendet seine Arbeit danach und macht den Speicher wieder frei. Im Wesentlichen sollte ein Virenschutzprogramm folgende Eigenschaften erfüllen: • • • • • • • • Der Umfang der erkannten Viren sollte möglichst groß sein und dem aktuell bekannten Bestand entsprechen. er/sie kann inzwischen seine/ihre eigentliche Arbeit. z. Eine weitere präventive Maßnahme ist der Einsatz von ChecksummenPrüfprogrammen . Prüfergebnis mit Prüfumfang. Datum und Uhrzeit der Überprüfung. 289 . ausführen. die nicht geprüft werden konnten. Meist löst der/die Anwender/in den Aufruf aus. Eine ständige Aktualisierung bezüglich neuer Viren muss vom Hersteller sichergestellt sein. bevor die Suchfunktion ausgeführt wird.und Partition-Sektor) Prüfsummen berechnet.

Erneute Überprüfung der Festplatte mit dem Viren-Suchprogramm. Booten des Rechners von einer einwandfreien. Wechselplatten. sollten fachkundige Betreuer/innen (Administrator. so ist der/die Ersteller/in der Datei zu unterrichten. Bereichs-IT-Sicherheitsverantwortliche/r.2 Generelle Maßnahmen zur Vorbeugung gegen Virenbefall ).4. vorher Boot-Reihenfolge im BIOS-Setup ändern. Warnung an andere IT-Benutzer/innen. unerklärliches Systemverhalten. dann sollte der Hersteller informiert werden. Ist die Quelle auf Original-Datenträger zurückzuführen. wenn es feststellt. [eh SYS 4. veränderte Dateiinhalte. etc. Überprüfen des Rechners mit einem aktuellen Virenschutzprogramm um festzustellen.4. ohne dass etwas abgespeichert wurde).9 Verhaltensregeln bei Auftreten eines Virus ISO Bezug: 27002 10. siehe 10. Darüber hinaus sind jeweils Beschreibungen von Sofortmaßnahmen und Maßnahmen zum Entfernen des Virus anzugeben. nicht auffindbare Dateien. Falls dies nicht möglich ist. 290 . so sind zur Feststellung des Virus und zur anschließenden Beseitigung folgende Schritte durchzuführen. dass ein Rechner von einem Virus befallen ist (z.) auf Virenbefall und Entfernung eventuell vorhandener Viren. wenn ein Datenaustausch vom infizierten Rechner erfolgte. ob tatsächlich ein Virus aufgetreten ist und um welchen Virus es sich ggf. Gibt es Anzeichen. Programmdateien werden länger. Grundregel: Falls möglich. Untersuchung aller anderen Datenträger (USB-Sticks.• • Das Programm sollte eine Warnung ausgeben. handelt. die Quelle der Vireninfektion festzustellen. Liegt die Quelle in Dateien oder E-Mail. geprüften Notfall-CD (evtl.4. 13 teilw. sollten folgende Schritte durchgeführt werden: • • • • • • • • Beenden der laufenden Programme und Abschalten des Rechners.B. Das Programm sollte eine Liste der erkennbaren Viren und ihre Beschreibung beinhalten. Entfernen des Virus abhängig vom jeweiligen Virustyp. ständige Verringerung des freien Speicherplatzes.1. Es sollte versucht werden. Helpdesk) zu Hilfe geholt werden.8] 10. dass es offensichtlich nicht aktualisiert wurde.

291 . mit einem Warnsystem für Computerviren und sonstigen schädigenden Inhalten eine Informationsbasis und ein Verteilsystem für derartige Informationen geschaffen. Dabei genügt es oft nicht. Darüber hinaus sind die Verantwortlichkeiten für die regelmäßig durchzuführenden Aktualisierungen innerhalb der Organisation zu definieren.6 Sicherungskopie der eingesetzten Software ) zu rekonstruieren. Bereits bei der Beschaffung von Virenschutzprogrammen ist daher für die Aktualisierbarkeit und die Versorgung von entsprechenden Updates durch den Hersteller Sorge zu tragen.at zur Behandlung beziehungsweise Verhinderung von Sicherheitsvorfällen im Bereich der Informations. so muss versucht werden.Sollte der Virus Daten gelöscht oder verändert haben.10] 10. sich nur auf die periodischen Updates des Virenschutzprogramm-Herstellers zu verlassen. 10. Java-Applets oder Scripting-Programmen ermöglichen. die eine ähnlich wirksame Erkennung von Schadfunktionen in ActiveX-Controls. [eh SYS 4. Anschließend ist das wiederhergestellte System noch einmal auf Schadsoftware zu überprüfen.4. besonders wichtig.9] 10. sowie Informationen über empfohlene aktive und passive Gegenmaßnahmen.a.4. Neben der Aktualisierung der eingesetzten Software ist auch die Information über neue Computerviren.11 Schutz vor aktiven Inhalten ISO Bezug: 27002 10.AT) eingerichtet. die Daten aus den Datensicherungen und die Programme aus den Sicherungskopien der Programme (vgl.und Kommunikationstechnologien betrieben. Dieses wird in Kooperation mit CERT.10 Warnsystem für Computerviren – Aktualisierung von Virenschutzprogrammen Im Zusammenhang mit Computerviren ist die permanente Aktualität des verwendeten Virenschutzprogrammes von größter Wichtigkeit. [eh SYS 4. die durch die Übertragung aktiver Inhalte zu den Rechnern im zu schützenden Netz entstehen. Dabei wird u.2 Eines der größten Probleme bei der Konzeption eines Sicherheitsgateways (Firewall) ist die Behandlung der Probleme. Derzeit existieren noch keine brauchbaren Programme.4. wie sie im Bereich der Computer-Viren möglich ist. Im Bereich der öffentlichen Verwaltung wurde ein eigenes Government Computer Emergency Response Team (GovCERT.5. welches den geeigneten Stellen der öffentlichen Verwaltung und der Wirtschaft zur Verfügung steht.

dass auch aktive Inhalte außerhalb von Webseiten gefiltert werden müssen. Aktive Inhalte werden über spezielle Tags innerhalb einer HTML-Seite eingebunden. dass es auf Grund von Schwachstellen in den Browsern Angreifern möglich sein kann.jar (Java-Archive) haben. die auch ohne spezielle Initiierung durch den/die AnwenderIn Programme vom Server laden müssen. Dezentrale Abwehr auf den angeschlossenen Clients Die Ausführung aktiver Inhalte sollte normalerweise durch entsprechende Einstellungen im Browser unterbunden werden.Die Größe der Gefährdung. In der Regel werden aktive Inhalte anhand der entsprechenden Tags aus einer HTML-Seite erkannt und gelöscht. Um diese Eigenschaft trotz der Verwendung eines Paketfilters vollständig unterstützen zu können. dass wegen der komplexen Möglichkeiten der aktuellen HTMLSpezifikation oft nicht alle zu löschenden Tags von den Sicherheitsproxies erkannt werden. Idealerweise sollte ein Browser die Möglichkeit bieten. Browser-Profile bei Mozilla Firefox). B. dass ein JavaFilter auch alle von den verwendeten Browsern unterstützten Dateiendungen für Java-Dateien kennen muss. Es sollte unbedingt beachtet werden. um kaum zu kontrollierende IP-Verbindungen aufbauen zu können.class verschickt werden müssen. so dass keine potenziell schädlichen Programme mehr auf den Client-Rechnern eintreffen. Die Umsetzung einer WhitelistStrategie für aktive Inhalte wird von verschiedenen Browsern in unterschiedlicher Weise und mehr oder weniger gut unterstützt (Beispiele: Zonenmodell des Microsoft Internet Explorers. Zusätzliches Schadenspotenzial resultiert auch aus der Möglichkeit. lässt sich anhand des folgenden Beispiels darstellen: Ein Java-Applet bzw. Ist das der Fall. entsprechende 292 . Ähnliche Probleme existieren im Zusammenhang mit Flash-Objekten. der Browser darf gemäß der Java-Spezifikationen eine Netzverbindung zu dem Server aufbauen. Die Kontrolle aktiver Inhalte kann auf verschiedene Weise geschehen: • • Zentrale Filterung der aktiven Inhalte auf der Firewall Sämtliche als schädlich eingestuften Inhalte werden von einer Komponente der Firewall gefiltert. die Ausführung bestimmter Typen aktiver Inhalte getrennt für einzelne Server oder Domains freigeben oder verbieten zu können. oder sie werden durch einen Textbaustein ersetzt. Diese zur Zeit noch recht wenig benutzte Möglichkeit ist eine zentrale Voraussetzung. Dabei ist allerdings zu beachten. die Endung . die von aktiven Inhalten für die Rechner im zu schützenden Netz ausgeht. Stattdessen können auch komprimierte Dateien eingesetzt werden. beispielsweise in HTML-E-Mails. Das bedeutet. dass beispielsweise Java-Applets nicht notwendigerweise als Datei mit der Endung . Weiterhin ist problematisch. JavaScript aus Java heraus auszuführen. wenn Netz-Computer (NC) oder ähnliches eingesetzt werden sollen. müssen sehr viel mehr Ports freigeschaltet werden oder es muss ein dynamischer Paketfilter eingesetzt werden. . Das Problem besteht dabei darin.NET Assemblies und anderen aktiven Inhalten. der dem Anwender einen Hinweis über die Tatsache der Filterung gibt. können JavaApplets verwendet werden. von dem es geladen worden ist. die z.

Werden ausschließlich signierte aktive Inhalte zugelassen. hängt in erster Linie vom Schutzbedarf der betreffenden Clients ab. die in Zusammenarbeit mit dem Anbieter der aktiven Inhalte die Signatur erstellt. Bei allen drei Optionen ist eine Sensibilisierung der Benutzer zusätzlich notwendig. dass die Einstellungen auf den Clients bei allen unter Punkt 2 und 3 genannten Schutzvorkehrungen nicht versehentlich oder absichtlich vom Benutzer deaktiviert oder umgangen werden können.• Einschränkungen zu umgehen. die auf dem Client-Rechner installiert werden und dort meist mehrere Funktionen wahrnehmen. angewiesen ist. 293 . Zudem muss sichergestellt werden. Aufgrund der Vielzahl von Software-Schwachstellen in den Browsern können die Sicherheitseinstellungen umgangen werden. Solche Verbindungsaufnahmen können dann meist entweder automatisch anhand festgelegter Regeln oder im Einzelfall vom Benutzer selbst erlaubt oder verboten werden. da der Nutzer auf die Vertrauenswürdigkeit der Signaturstelle. dass die richtige Konfiguration dieser Programme zusätzlichen Administrationsaufwand erfordert. die dafür ausschlaggebend waren. die durch aktive Inhalte automatisch heruntergeladen wurden. In einigen Fällen bieten sie auch sogenannte "Sandboxen". so bietet dies eine erhöhte Sicherheit vor Schadfunktionen. so dass der intendierte Schutz tatsächlich nicht oder nicht in vollem Umfang existiert. Allerdings muss berücksichtigt werden. Personal Firewalls sind Programme. Beispielsweise bieten einige Personal Firewalls die Möglichkeit einer Überwachung anderer Programme. Acitve-X Objekte und mit Einschränkungen auch Javascript können mit einer digitalen Signatur versehen werden. Die Entscheidung. Installation von Anti-Viren-Software und Personal Firewalls auf den Clients Anti-Viren-Produkte können vor Viren. die Integrität und Authentizität des jeweiligen aktiven Inhalts zu schützen. die die Ausführung aktiver Inhalte kontrollieren und auf unbedenkliche Operationen beschränken können. Sie bieten meist neben der Funktion eines lokalen Paketfilters weitere Funktionen an. Selbst die vollständige Deaktivierung der Ausführung aktiver Inhalte bietet aber nur einen begrenzten Schutz vor bösartigen aktiven Inhalten. wie mit aktiven Inhalten in Webseiten umgegangen wird. die das System gefährden. Diese Sicherheit ist jedoch nur indirekt. Die Signatur dient dazu. Die Entscheidung für eine bestimmte Vorgehensweise und die Gründe. sollten nachvollziehbar dokumentiert werden. Makroviren und Trojanischen Pferden schützen. die versuchen eine Netz-Verbindung aufzubauen. und dass Personal Firewalls selbst Sicherheitslücken aufweisen können. Java-Applets. Sie bieten einen guten Schutz vor bereits bekannten Schadprogrammen. Personal Firewalls bieten zusammen mit Anti-VirenProgrammen einen recht guten Schutz vor bösartigen aktiven Inhalten.

12 Sicherer Aufruf ausführbarer Dateien ISO Bezug: 27002 10. dass ein angemessenes Sicherheitsniveau erreicht wurde [eh SYS 8. Eine ergänzende Sicherheitsanalyse wird empfohlen. Anwendungen aktive Inhalte zwingend nötig sind. Epfehlungen für normalen Schutzbedarf: • • • Allgemein: Deaktivierung aktiver Inhalte im Browser und Freischaltung nur für vertrauenswürdige Websites. Oft lassen sich aktive Inhalte bei gleichwertiger Funktionalität durch serverseitig dynamisch erzeugte Webseiten ersetzen. Falls für bestimmte. sind dafür zu gravierend.5] 10. sollte kritisch hinterfragt werden.Eine zu "liberale" Einstellung oder gar eine generelle Freigabe aktiver Inhalte ist auch bei normalem Schutzbedarf nicht zu empfehlen. ob die Verwendung der aktiven Inhalte wirklich notwendig ist. Bei Neuentwicklungen browserbasierter Anwendungen oder bei einer Weiterentwicklung einer bestehenden Anwendung.4.4 294 . die aktive Inhalte im Browser benötigt. Die möglichen Schäden. Virenscanner auf dem Client Eine Filterung aktiver Inhalte auf dem Sicherheitsgateway mit Freischaltung für vertrauenswürdige Websites (Whitelist) Zusätzlich Filterung von Cookies (Whitelist) Die Kriterien. Virenscanner auf dem Client Eine Filterung aktiver Inhalte auf dem Sicherheitsgateway mit Freischaltung für vertrauenswürdige Websites (Whitelist) Epfehlungen für hohen Schutzbedarf: • • • • • • Deaktivierung aktiver Inhalte im Browser und Freischaltung nur für vertrauenswürdige Websites. um sicher zu stellen. die durch bösartige aktive Inhalte in Verbindung mit Schwachstellen in Webbrowsern oder im unterliegenden Betriebssystem entstehen können. sollten sie nur für die betreffenden Server freigegeben werden. sollten deutlich restriktiver sein als bei normalem Schutzbedarf. für welche Websites aktive Inhalte freigeschaltet werden.

z. dass diese Applikationen Schaden anrichten. die das jeweils aktuelle Arbeitsverzeichnis enthalten. Dies betrifft vor allem sehr komplexe Anwendungen wie zum Beispiel Webserver. nicht mit Administrator-Rechten gestartet werden. nur über ein entsprechendes Programm angesehen werden. Im Weiteren muss sichergestellt werden. freigegebene Version ausgeführt werden kann. dass er die Privilegien des Benutzers erhält. Relative Verzeichnisangaben. auf das er Schreibrechte hat. in denen nach den ausführbaren Dateien gesucht werden soll. Ein Angreifer könnte sonst eine modifizierte Datei mit dem selben Namen in ein Verzeichnis kopieren. dass jeder Prozess nur so viele Rechte erhält wie unbedingt notwendig sind. . Diese Dienste dürfen. . Auch bereits getestete Software kann die Sicherheit beeinträchtigen. . Hierfür eignen sich ebenfalls Benutzerkonten mit eingeschränkten Privilegien. dürfen nur in separaten Bereichen verwendet werden. B. Ein Schreibzugriff darf nur Administratoren gestattet werden Ausführbare Dateien für die Schreibrechte benötigt werden. wie Textdateien.exe. wenn möglich. die für einen späteren Einsatz auf einem Produktivsystem getestet werden soll. unter Unix oder Linux beispielsweise durch chroot-Umgebungen. muss nachgedacht werden. Dasselbe gilt für neue Software.1.bat. der die Datei ausführt. weil sie sich in der Entwicklung befinden. Um dies zu verhindern. Hierfür können beispielsweise separate Testsysteme eingesetzt werden oder spezielle Benutzerkonten ohne weitere Privilegien.Ausführbare Dateien können direkt gestartet werden. Im Gegensatz hierzu können Anwendungsdaten. dass nur die gewünschte.vbs. So kann bei einem erfolgreichen Angriff der eintretende Schaden begrenzt werden. dürfen ausführbare Dateien nur lesbar sein. Nur so kann verhindert werden. in der entsprechenden Reihenfolge in der PATH-Variable eingetragen. dürfen als Angabe in der PATH- 295 . Unter Windows sind ausführbare Dateien an ihrer Dateiendung (beispielsweise .com. Es muss sichergestellt werden. . (Siehe auch 12. dass nur freigegebene Versionen ausführbarer Dateien und keine eventuell eingebrachten modifizierten Versionen (insbesondere Trojanische Pferde) aufgerufen werden. die den eintretenden Schaden begrenzen können. Die Anzahl der angegebenen Verzeichnisse sollte gering und überschaubar gehalten werden. könnte die modifizierte statt die gewünschte Datei ausgeführt werden Bei vielen Betriebssystemen werden die Verzeichnisse. Wird beim Aufruf in den Verzeichnissen nach der Datei gesucht. Schon beim Start von Anwendungen muss sichergestellt werden.7 Abnahme und Freigabe von Software) Ein Angreifer könnte eine ausführbare Datei soweit verändern. Über klare Trennungen von Rechten.cmd) und unter Unix oder Linux durch Dateirechte (x-Flag) erkennbar.

können verschiedene Regelungen getroffen werden. Wichtig ist aber auf jeden Fall. Dies führt allerdings erfahrungsgemäß zu großen Akzeptanzproblemen seitens der Kunden und der MitarbeiterInnen. 296 . wenn E-Mail-Anhänge ausgeführt werden oder die E-Mail HTML-basiert ist (siehe unten). Ausführbare Dateien sollen nur in dafür vorgesehenen Verzeichnissen gespeichert sein. Prinzipiell können E-Mails Anhänge in beliebiger Art und Menge beigefügt werden. oder ob die Informationen nicht genauso gut als Text in die E-Mail direkt eingefügt werden kann. Das Betriebssystem bzw. zumindest nachfragt. Ansonsten sollten Dateien in möglichst "ungefährlichen" Formaten weitergegeben werden. die als potentiell problematisch eingeschätzt werden.13 Vermeidung gefährlicher Dateiformate ISO Bezug: 27002 10. Die größere Gefahr sind aber Anhänge. ein Attachment anzuhängen. 10. Durch ein Zuviel an Anhängen kann die Verfügbarkeit eines EMail-Clients oder des E-Mail-Servers beeinträchtigt werden. ob es wirklich nötig ist. dass als nächstes eine EMail mit solchen Attachments zu erwarten ist.. In den in einer PATH-Variable enthaltenen Verzeichnissen darf nur der jeweilige Eigentümer Schreibrechte erhalten. Für den Umgang mit Dateiformaten. Dies muss regelmäßig überprüft werden. Besser ist es im allgemeinen.Variable nicht enthalten sein. diese am E-Mail-Gateway herauszufiltern. Gefährlich wird es erst. Vor dem Absenden einer E-Mail sollte sich jeder überlegen. die ausführbaren Code enthalten und damit ungeahnte Nebeneffekte auslösen können. wie Makros oder Skripte. den Empfänger mit einer kurzen E-Mail darauf hinzuweisen. der E-Mail-Client sollte außerdem so eingerichtet sein. Eine rein textbasierte E-Mail ohne Anhänge ist dabei ungefährlich. indem die Gefährdungspotenziale durch entsprechende Konfiguration und Sicherheitswerkzeuge minimiert werden. sollte überlegt werden. das Öffnen aller als problematisch eingestuften Dateiformate zu verbieten bzw. sondern das Programm vor der Ausführung warnt bzw. nicht ausführen. dass Dateien zunächst nur in Viewern oder anderen Darstellungsprogrammen angezeigt werden. dass alle Betroffenen sich der Problematik bewusst sind und entsprechend vorsichtig mit diesen Dateiformaten umgehen. einerseits die MitarbeiterInnen für die Problematik zu sensibilisieren und zum Mitdenken anzuregen und sie andererseits technisch zu unterstützen. Die restriktivste Form ist es. die eventuell in den Dateien enthaltenen Programmcode. ob die Datei geöffnet werden soll. dass Anhänge nicht versehentlich gestartet werden können. Wenn sich die Versendung von Dateien in "gefährlichen" Formaten nicht vermeiden lässt.4 E-Mail ist einer der wichtigsten Übertragungswege für Computer-Viren und Würmer.4. Der E-Mail-Client sollte so eingestellt sein.

SCR). Besonders kritisch sind alle ausführbaren Programme (wie .COM. SDW.JS oder *. • • Als weitgehend harmlos gelten bisher ASCII-.JS. Star Office oder Open Office mit integrierter Makrosprache.BAT grundsätzlich mit einem einfachen.). dass die enthaltenen Dateien problematisch sein können). weil nicht alle E-Mail-Clients dieses Format anzeigen können. Außerdem sollte die Möglichkeit überprüft werden. Beispielsweise sollten Dateitypen wie *.oder VisualBasic-Skript-Code enthalten können. wenn sie aktiviert wird Mit Zusatzmaßnahmen als vertretbar angesehen werden können: HTML. nicht makrofähigen Texteditor geöffnet werden. die ungeplante Nebenwirkungen haben. . innerhalb deren aber eventuelle ComputerViren keinen Schaden auslösen können.Im Folgenden werden einige Einschätzungen verschiedener Dateiformate gegeben. dass bereits bei der Anzeige solcher E-Mails auf dem Client ungewollte Aktionen ausgelöst werden. PDF (dabei ist darauf zu achten. ebenso wie Perl. . JPEG-formatierte Dateien. in eingehenden E-Mails enthaltene aktive Inhalte herauszufiltern. SXW usw.DOC.PPT. Powerpoint (. beispielsweise an der Firewall. bzw. Dadurch wird die Datei zunächst in einem Editor dargestellt und nicht der Registrierungsdatenbank hinzugefügt. wenn ein JavaScript-Filter oder andere Sicherheitsvorkehrungen eingesetzt werden. mit der diese zwar geöffnet werden. . Vorsichtshalber sollte für alle diese Dateitypen eine "ungefährliche" Standardapplikation festgelegt werden. Registrierungsdateien (. z. Durch Kombination verschiedener Sicherheitslücken in E-Mail-Clients und Browsern ist es in der Vergangenheit immer wieder zu Sicherheitsproblemen mit HTMLformatierten E-Mails gekommen Generell sollten möglichst keine HTML-formatierten E-Mails oder solche mit aktiven Inhalten zu versenden.BAT unter Windows. Excel. dass der PDF-Reader auf dem Endgerät als Standard installiert ist und nicht Adobe Acrobat). dass bei Registrierungsdateien (.REG) sowie Bildschirmschoner (.VBS. B.PIF) oder Skript-Sprachen (. B.EXE. . Andererseits kann dies aber auch dazu führen. Windows-Betriebssysteme sollten außerdem so konfiguriert sein. ein Hersteller seinem Produkt neue Features hinzufügt. *. ZIP (hier sollten die Benutzer allerdings gewarnt werden.XLS. • Immer mehr E-Mails sind heutzutage auch HTML-formatiert. Dies ist einerseits oft lästig. GIF-.VBS. RTF (mit COM-Object-Filter). da HTML-Mails eingebetteten JavaScript.REG) als Standardvorgang Bearbeiten statt Zusammenführen eingestellt ist. wenn z. bei denen HTML-formatierte EMails als solche zu erkennen sind. Weiterhin sollten E-Mail-Clients gewählt werden. Word. damit der Benutzer diese nicht unbewusst öffnet.oder Shellskripte unter Unix). ein Tüftler solche Nebenwirkungen herausfindet. Als möglicherweise gefährlich sollten die folgenden Dateiformate behandelt werden: alle Dateiformate von Office-Paketen wie Microsoft Office. 297 . Diese können sich allerdings jederzeit ändern. . .

wo sie mit besonderen Sicherheitsvorkehrungen vom Empfänger eingesehen werden können (je nach E-Mail-Aufkommen kann dies allerdings einen nicht akzeptablen Aufwand mit sich bringen). Zeitintervall: z. Empfehlenswert ist die Erstellung eines Datensicherungskonzeptes (vgl. die bei der regelmäßigen Datensicherung berücksichtigt werden.5. Verzeichnisse festzulegen. nicht direkt an die Benutzer weitergeleitet werden.B. Partitionen bzw. wöchentlich.5 Datensicherung Unabdingbare Voraussetzung für jeden Business Continuity Plan ist die Planung und Durchführung einer ordnungsgemäßen Datensicherung. Abhängig von der Menge und Wichtigkeit der laufend neu gespeicherten Daten und vom möglichen Schaden bei Verlust dieser Daten ist Folgendes festzulegen: • • 298 Umfang der zu sichernden Daten: Am einfachsten ist es.2 Entwicklung eines Datensicherungskonzeptes ).1 Regelmäßige Datensicherung ISO Bezug: 27002 10.: Sicherung der selbsterstellten Dateien und der individuellen Konfigurationsdateien. mit Hilfe von serverseitigen Tools in ein reines Textformat umgewandelt und danach mit einem entsprechenden Hinweis an die Benutzer weitergeleitet werden (dabei können allerdings Informationen verloren gehen). monatlich . Grundsätzlich sollten alle Benutzer für diese Problematik sensibilisiert sein. täglich.Generell sollte eine Vorgabe innerhalb einer Organisation zum Umgang mit HTMLformatierten E-Mails erstellt werden. 10. Es sind Regelungen zu treffen.B.5. sondern an einen besonderen Arbeitsplatz. Eine geeignete Differenzierung kann die Übersichtlichkeit vergrößern sowie Aufwand und Kosten sparen helfen. Z. In den meisten Rechnersystemen können diese weitgehend automatisiert erfolgen.1 Zur Vermeidung von Datenverlusten müssen regelmäßige Datensicherungen durchgeführt werden. ob diese • • • unverändert an die Benutzer weitergeleitet und die Benutzer für den verantwortungsvollen und vorsichtigen Umgang mit solchen E-Mails geschult und sensibilisiert werden.5. 10. welche Daten von wem wann gesichert werden. 10. Beim Empfang von HTML-formatierten E-Mails sollte festgelegt werden.

nachts.B. um ggf. DVDs. zum Beispiel sofort nach Erstellung wichtiger Dateien oder mehrmals täglich. Wechselplatten. Auch die Information der Benutzer/innen darüber. Falls bei vernetzten Rechnern nur die Server-Platten gesichert werden. Bänder. Benutzer/in) Zuständigkeit für die Überwachung der Sicherung. Sie braucht dann von der regelmäßigen Datensicherung nicht erfasst zu werden. Eine inkrementelle Sicherung kann häufiger erfolgen. Alle Benutzer/innen sollten über die Regelungen zur Datensicherung informiert sein. wie lange die Daten wiedereinspielbar sind. Die Vereinbarkeit mit dem laufenden Betrieb ist sicherzustellen. verbleibender Platz auf den Speichermedien) Dokumentation der erstellten Sicherungen (Datum. das heißt. Werden zum Beispiel bei wöchentlicher Komplettsicherung nur zwei Generationen aufbewahrt. ist wichtig. auf Unzulänglichkeiten (zum Beispiel zu geringes Zeitintervall für ihren Bedarf) hinweisen oder individuelle Ergänzungen vornehmen zu können (zum Beispiel zwischenzeitliche Spiegelung wichtiger Daten auf der eigenen Platte). etc. Die seit der letzten Sicherung erstellten Daten können nicht wiedereingespielt werden.• • • • • • • Zeitpunkt: z. Speichermedien (abhängig von der Datenmenge): z. Werden zwischen zwei Komplettsicherungen mehrere inkrementelle Sicherungen durchgeführt. Wiederaufbereitung der Datenträger (Löschung vor Wiederverwendung) Zuständigkeit für die Durchführung (Systemadministration. nur die seit der letzten Komplettsicherung neu erstellten Daten werden gesichert. Beschriftung der Datenträger) Wegen des großen Aufwands können Komplettsicherungen in der Regel höchstens einmal täglich durchgeführt werden. freitags abends Anzahl der aufzubewahrenden Generationen: z. Für eingesetzte Software ist in der Regel die Aufbewahrung der Originaldatenträger und deren Sicherungskopien ausreichend. dass die zu sichernden Daten regelmäßig von den Benutzerinnen und Benutzern oder automatisch dorthin überspielt werden. außerdem die Freitagabend-Sicherungen der letzten zwei Monate. insbesondere bei automatischer Durchführung (Fehlermeldungen.B.B. ist sicherzustellen. um die Wiedereinspielung vorzunehmen. gewählte Parameter. können auch jeweils nur die seit der letzten inkrementellen Sicherung neu erstellten Daten gesichert werden. Daher und zur Senkung der Kosten sollen zwischen den Komplettsicherungen regelmäßig inkrementelle Sicherungen durchgeführt werden. bleiben in Abhängigkeit vom Zeitpunkt des Verlustes nur zwei bis drei Wochen Zeit. Bei täglicher Komplettsicherung werden die letzten sieben Sicherungen aufbewahrt. Art der Durchführung der Sicherung. 299 .

Minimaldatensicherungskonzept (Beispiel): • Software: Sämtliche Software. die diese Faktoren berücksichtigt und gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist. für die noch kein Datensicherungskonzept erarbeitet wurde. eine Lösung zu finden.1 Die Verfahrensweise der Datensicherung wird von einer großen Zahl von Einflussfaktoren bestimmt. 300 .2 Übungen zur Datenrekonstruktion ).5.2 Entwicklung eines Datensicherungskonzeptes ISO Bezug: 27002 10. das Datenvolumen.2] 10. Weiters ist dafür Sorge zu tragen. Diese Lösung muss auch jederzeit aktualisierbar und erweiterbar sein.5. dass alle betroffenen ITSysteme im Datensicherungskonzept berücksichtigt werden und das Konzept stets den aktuellen Anforderungen entspricht. Ein möglicher Aufbau eines Datensicherungskonzeptes ist in Anhang B angeführt. Das IT-System. also sowohl Eigenentwicklungen als auch Standardsoftware. Ein Beispiel soll dies erläutern.3 Festlegung des Minimaldatensicherungskonzeptes ISO Bezug: 27002 10.5. pauschal behandelt werden. [eh BCP 1. in denen eingehende Untersuchungen und die Erstellung eines Datensicherungskonzeptes zu aufwendig sind. die Änderungsfrequenz der Daten und die Verfügbarkeitsanforderungen sind einige dieser Faktoren.5. Für die Gewährleistung einer funktionierenden Datensicherung müssen praktische Übungen zur Datenrestaurierbarkeit verpflichtend vorgesehen sein (siehe 14.[eh BCP 1. die generell für alle IT-Systeme gültig ist und damit auch für neue ITSysteme.2. ist einmalig mittels einer Vollsicherung zu sichern. Weiterhin ist damit eine Grundlage gegeben. welche Minimalforderungen zur Datensicherung eingehalten werden müssen.1 Für eine Organisation ist festzulegen. Einzelne Punkte eines Datensicherungskonzeptes werden in den nachfolgenden Maßnahmen näher ausgeführt.1] 10. Damit können viele Fälle. Im Datensicherungskonzept gilt es.

3] 10.2 Beim Einsatz kryptographischer Verfahren darf die Frage der Datensicherung nicht vernachlässigt werden. Chipkarte. z. die dauerhaft auf kryptographische Schlüssel zugreifen müssen.6.4 Datensicherung bei Einsatz kryptographischer Verfahren ISO Bezug: 27002 10. ob und wie die benutzten kryptographischen Schlüssel gespeichert werden sollen. Es gibt unterschiedliche Methoden der Schlüsselspeicherung: • • • die Speicherung zu Transportzwecken auf einem transportablen Datenträger.3.B. Hierbei ist grundsätzlich zu beachten: 301 . muss auch überlegt werden. USB-Stick (dient vor allem zur Schlüsselverteilung bzw. Protokolldaten: Sämtliche Protokolldaten sind mindestens einmal monatlich mittels einer Vollsicherung im Drei-Generationen-Prinzip zu sichern.5. Neben der Frage. wie sinnvollerweise eine Datensicherung der verschlüsselten Daten erfolgen sollte.• • • Systemdaten: Systemdaten sind mindestens einmal monatlich mit einer Generation zu sichern. kryptographische Schlüssel zu speichern. siehe 12. [eh BCP 1. Trotzdem kann es aus verschiedenen Gründen notwendig sein. also z. die Schlüsselhinterlegung als Vorbeugung gegen Schlüsselverlust oder im Rahmen von Vertretungsregelungen. die Konfigurationsdaten der eingesetzten Kryptoprodukte zu sichern. Daneben ist es auch zweckmäßig. Datensicherung der Schlüssel Es muss sehr genau überlegt werden. zur Kommunikationsverschlüsselung. zum Schlüsselaustausch.7 Key-Management ).B. ob und wie die benutzten kryptographischen Schlüssel gespeichert werden sollen. Anwendungsdaten: Alle Anwendungsdaten sind mindestens einmal monatlich mittels einer Vollsicherung im Drei-Generationen-Prinzip zu sichern.1. die Speicherung in IT-Komponenten.5. da jede Schlüsselkopie eine potentielle Schwachstelle ist. 12.

d. die die Schlüssel bei Angriffen automatisch löscht. aufbewahrt werden. Damit eine unautorisierte Nutzung ausgeschlossen ist. zur Archivierung von Daten oder zur Generierung von Kommunikationsschlüsseln eingesetzt werden. Als weitere Variante kann auch das Vier-Augen-Prinzip bei der Schlüsselspeicherung benutzt werden.B.• • • Kryptographische Schlüssel sollten so gespeichert bzw. Datensicherung der verschlüsselten Daten Besondere Sorgfalt ist bei der Datensicherung von verschlüsselten Daten bzw. sollten sie auf jeden Fall in verschlüsselter Form gespeichert werden. dass auch noch nach Jahren Daten auftauchen. sondern meist alle Daten unbrauchbar. Von Kommunikationsschlüsseln und anderen kurzlebigen Schlüsseln sollten keine Kopien erstellt werden. dass die Datenträger regelmäßig aufgefrischt werden und jederzeit noch die technischen Komponenten zum Verarbeiten dieser zur Verfügung stehen. also die Speicherung eines Schlüssels in Schlüsselhälften oder Schlüsselteilen. Hierbei muss nicht nur sichergestellt werden. Falls sie in Software gespeichert werden. Hierbei ist zu bedenken. In diesem Fall ist es unter Umständen weniger aufwendig. als bei jedem Schlüsselverlust alle Kommunikationspartner zu informieren. sollten auf jeden Fall Sicherungskopien angefertigt werden. dass Unbefugte sie nicht unbemerkt auslesen können. Falls jedoch für die Schlüsselspeicherung eine reine Softwarelösung gewählt wurde. also z. diese unverschlüsselt zu speichern und dafür entsprechend sicher zu lagern. Von langlebigen Schlüsseln. eine ausreichend gesicherte Möglichkeit der Schlüsselhinterlegung zu schaffen. die nicht im Archiv gelagert waren. Beispielsweise könnten Schlüssel in spezieller Sicherheitshardware gespeichert werden. wenn keine Chipkarte o. sind nicht nur einige Datensätze. Bei der langfristigen Archivierung von Daten kann es daher sinnvoller sein. Die verwendeten Kryptomodule sollten vorsichtshalber immer archiviert werden. in Tresoren. beim Einsatz von Verschlüsselung während der Datenspeicherung notwendig. ist das Risiko des Schlüsselverlustes (etwa durch Bitfehler oder Festplattendefekt) erhöht. dies im Allgemeinen mit leicht zu brechenden Verfahren tun. Die Langzeitspeicherung von verschlüsselten oder signierten Daten bringt viele zusätzliche Probleme mit sich. dass die meisten Standardanwendungen.B. Treten hierbei Fehler auf.ä. dass die verwendeten kryptographischen Algorithmen und die Schlüssellänge noch dem Stand der Technik entsprechen. bei denen Schlüssel oder Passwörter in der Anwendung gespeichert werden. verwendet wird. sondern auch. da die Erfahrung zeigt. 302 . sollten auch von privaten Signaturschlüsseln im Allgemeinen keine Kopien existieren. die z.h.

5] 10.7.1. Die gewählte Konfiguration sollte dokumentiert sein. wenn möglich disloziert .1 ) kann es notwendig sein das Datenarchiv an einem gänzlich anderen Ort zu halten. Zu beachten sind auch die Anforderungen aus 10.ä. [eh BCP 1. so dass eine Entwendung ausgeschlossen werden kann. o.1 Backup-Datenträger unterliegen besonderen Anforderungen hinsichtlich ihrer Aufbewahrung: • • • Der Zugriff auf diese Datenträger darf nur befugten Personen möglich sein.5. dass der Datenbestand eines derartigen Notfallarchivs nicht aufgrund der gleichen Schadensursache zerstört wird.6 Sicherungskopie der eingesetzten Software ISO Bezug: 27002 10.auf jeden Fall in einem anderen Brandabschnitt.5 Geeignete Aufbewahrung der Backup-Datenträger ISO Bezug: 27002 10. Je nach Anforderungen und geforderte Ausfallsicherheit (Katastrophenvorsorge – vgl. Damit wird sichergestellt.5.5.1 303 .2 Datenträgerverwaltung .5. deren Konfigurationsdaten zu sichern. und dass im Falle der Unzugänglichkeit der Infrastruktur (beispielsweise aufgrund von Verschüttungen.4] 10. damit sie nach einem Systemversagen oder einer Neuinstallation schnell wieder eingerichtet werden kann. Ein ausreichend schneller Zugriff im Bedarfsfall muss gewährleistet sein. Für den Katastrophenfall müssen die Backup-Datenträger räumlich getrennt vom Rechner . [eh BCP 1.aufbewahrt werden.) der Datensicherungsbestand zur Verfügung steht. 14.Datensicherung der Konfigurationsdaten der eingesetzten Produkte Bei komplexeren Kryptoprodukten sollte nicht vergessen werden.

Von den Originaldatenträgern von Standardsoftware bzw. von der Originalsoftware bei Eigenentwicklungen ist sofern möglich eine Sicherungskopie zu erstellen, von der bei Bedarf die Software wieder eingespielt werden kann. Die Originaldatenträger und die Sicherungskopien sind getrennt voneinander aufzubewahren. Es ist darauf zu achten, dass der physikalische Schreibschutz des Datenträgers ein versehentliches Löschen oder Überschreiben der Daten verhindert Ein unerlaubter Zugriff, z.B. zur Erstellung einer Raubkopie, muss ausgeschlossen sein. [eh BCP 1.6]

10.5.7 Beschaffung eines geeigneten Datensicherungssystems
ISO Bezug: 27002 10.5.1 Ein Großteil der Fehler, die beim Erstellen oder Restaurieren einer Datensicherung auftreten, sind Fehlbedienungen. Daher sollte bei der Beschaffung eines Datensicherungssystems nicht allein auf dessen Leistungsfähigkeit geachtet werden, sondern auch auf seine Bedienbarkeit und insbesondere auf seine Toleranz gegenüber Benutzerfehlern. Bei der Auswahl von Sicherungssoftware sollte darauf geachtet werden, dass sie die folgenden Anforderungen erfüllt:

• • • •

Die Datensicherungssoftware sollte ein falsches Medium ebenso wie ein beschädigtes Medium im Sicherungslaufwerk erkennen können. Sie sollte mit der vorhandenen Hardware problemlos zusammenarbeiten. Es sollte möglich sein, Sicherungen automatisch zu vorwählbaren Zeiten bzw. in einstellbaren Intervallen durchführen zu lassen, ohne dass hierzu manuelle Eingriffe (außer dem eventuell notwendigen Bereitstellen von Sicherungsdatenträgern) erforderlich wären. Es sollte möglich sein, einen oder mehrere ausgewählte Benutzerinnen oder Benutzer automatisch über das Sicherungsergebnis und eventuelle Fehlermeldungen per E-Mail oder ähnliche Mechanismen zu informieren. Die Durchführung von Datensicherungen inklusive des Sicherungsergebnisses und möglicher Fehlermeldungen sollten in einer Protokolldatei abgespeichert werden. Die Sicherungssoftware sollte die Sicherung des Backup-Mediums durch ein Passwort oder, je nach Vertraulichkeitsanforderungen, durch Verschlüsselung unterstützen. Weiters sollte sie in der Lage sein, die gesicherten Daten in komprimierter Form abzuspeichern.

304

• • • •

Durch Vorgabe geeigneter Include- und Exclude-Listen bei der Datei- und Verzeichnisauswahl sollte genau spezifiziert werden können, welche Daten zu sichern sind und welche nicht. Es sollte möglich sein, diese Listen zu Sicherungsprofilen zusammenzufassen, abzuspeichern und für spätere Sicherungsläufe wieder zu benutzen. Es sollte möglich sein, die zu sichernden Daten in Abhängigkeit vom Datum ihrer Erstellung bzw. ihrer letzten Modifikation auszuwählen. Die Sicherungssoftware sollte die Erzeugung logischer und physischer Vollkopien sowie inkrementeller Kopien (Änderungssicherungen) unterstützen. Die zu sichernden Daten sollten auch auf Festplatten und Netzlaufwerken abgespeichert werden können. Die Sicherungssoftware sollte in der Lage sein, nach der Sicherung einen automatischen Vergleich der gesicherten Daten mit dem Original durchzuführen und nach der Wiederherstellung von Daten einen entsprechenden Vergleich zwischen den rekonstruierten Daten und dem Inhalt des Sicherungsdatenträgers durchzuführen. Bei der Wiederherstellung von Dateien sollte es möglich sein auszuwählen, ob die Dateien am ursprünglichen Ort oder auf einer anderen Platte bzw. in einem anderen Verzeichnis wiederhergestellt werden. Ebenso sollte es möglich sein, das Verhalten der Software für den Fall zu steuern, dass am Zielort schon eine Datei gleichen Namens vorhanden ist. Dabei sollte man wählen können, ob diese Datei immer, nie oder nur in dem Fall, dass sie älter als die zu rekonstruierende Datei ist, überschrieben wird, oder dass in diesem Fall eine explizite Anfrage erfolgt.

Falls mit dem eingesetzten Programm die Datensicherung durch ein Passwort geschützt werden kann, sollte diese Option genutzt werden. [eh BCP 1.7]

10.5.8 Datensicherung bei mobiler Nutzung eines IT-Systems
ISO Bezug: 27002 9.2.5, 10.5.1, 10.7.1, 10.8.1 teilw, 11.7.1 IT-Systeme im mobilen Einsatz (z.B. Laptops, Notebooks) sind in aller Regel nicht permanent in ein Netz eingebunden. Der Datenaustausch mit anderen IT-Systemen erfolgt üblicherweise über Datenträger oder über temporäre Netzanbindungen. Letztere können beispielsweise durch Remote Access oder direkten Anschluss an ein LAN nach Rückkehr zum Arbeitsplatz realisiert sein. Anders als bei stationären Clients ist es daher bei mobilen IT-Systemen meist unvermeidbar, dass Daten zumindest zeitweise lokal anstatt auf einem zentralen Server gespeichert werden. Dem Verlust dieser Daten muss durch geeignete Datensicherungsmaßnahmen vorgebeugt werden. Generell bieten sich folgende Verfahren zur Datensicherung an: 305

Datensicherung auf externen Datenträgern:
Der Vorteil dieses Verfahrens ist, dass die Datensicherung an nahezu jedem Ort und zu jeder Zeit erfolgen kann. Nachteilig ist, dass ein geeignetes Laufwerk und genügend Datenträger mitgeführt werden müssen und dass für den/die Benutzer/ in zusätzlicher Aufwand für die ordnungsgemäße Handhabung der Datenträger entsteht. Die Datenträger sollten eine ausreichende Speicherkapazität besitzen, so dass der/ die Benutzer/in nicht mehrere Datenträger pro Sicherungsvorgang in das Laufwerk einlegen muss. Bei unverschlüsselter Datenhaltung ergibt sich außerdem die Gefahr, dass Datenträger abhanden kommen und dadurch sensitive Daten kompromittiert werden können. Die Datenträger und das mobile IT-System sollten möglichst getrennt voneinander aufbewahrt werden, damit bei Verlust oder Diebstahl des ITSystems die Datenträger nicht ebenfalls abhanden kommen. Nach Rückkehr zum Arbeitsplatz müssen die Datensicherungen auf den Datenträgern in das Backup-System oder in das Produktivsystem bzw. die zentrale Datenhaltung der Organisation eingebracht werden.

Datensicherung über temporäre Netzverbindungen
Wenn die Möglichkeit besteht, das IT-System regelmäßig an ein Netz anzuschließen, beispielsweise über Remote Access, kann die Sicherung der lokalen Daten auch über die Netzanbindung erfolgen. Vorteilhaft ist hier, dass der/die Benutzer/in keine Datenträger verwalten und auch kein entsprechendes Laufwerk mitführen muss. Weiterhin lässt sich das Verfahren weitgehend automatisieren, beispielsweise kann die Datensicherung beim Einsatz von Remote Access nach jedem Einwahlvorgang automatisch gestartet werden. Entscheidend bei der Datensicherung über eine temporäre Netzverbindung ist, dass deren Bandbreite für das Volumen der zu sichernden Daten ausreichen muss. Die Datenübertragung darf nicht zu lange dauern und nicht zu übermäßigen Verzögerungen führen, wenn der/die Benutzer/in gleichzeitig auf entfernte Ressourcen zugreifen muss. Bei manchen Zugangstechnologien (z.B. Modem, Mobiltelefon) bedeutet dies, dass nur geringe Datenmengen pro Sicherungsvorgang transportiert werden können. Einige Datensicherungsprogramme bieten daher die Möglichkeit an, lediglich Informationen über die Änderungen des Datenbestands seit der letzten Datensicherung über die Netzverbindung zu übertragen. In vielen Fällen kann hierdurch das zu transportierende Datenvolumen stark reduziert werden. Eine wichtige Anforderung an die zur Datensicherung verwendete Software ist, dass unerwartete Verbindungsabbrüche erkannt und ordnungsgemäß behandelt werden. Die Konsistenz der gesicherten Daten darf durch Verbindungsabbrüche nicht beeinträchtigt werden. 306

Bei beiden Verfahren zur Datensicherung ist es wünschenswert, das Volumen der zu sichernden Daten zu minimieren. Neben dem Einsatz verlustfreier Kompressionsverfahren, die in viele Datensicherungsprogrammen integriert sind, können auch inkrementelle oder differentielle Sicherungsverfahren zum Einsatz kommen Hierdurch erhöht sich jedoch u.U. der Aufwand für die Wiederherstellung einer Datensicherung. [eh BCP 1.8]

10.5.9 Verpflichtung der Mitarbeiter/innen zur Datensicherung
ISO Bezug: 27002 8.2.2, 10.5.1 Da die Datensicherung eine wichtige IT-Sicherheitsmaßnahme darstellt, sollten die betroffenen Mitarbeiter/innen - vorzugsweise in schriftlicher Form - zur Einhaltung des Datensicherungskonzeptes bzw. des Minimaldatensicherungskonzeptes verpflichtet werden. Eine regelmäßige Motivation zur Datensicherung und Kontrolle auf Einhaltung ist empfehlenswert. [eh BCP 1.9]

10.6 Netzsicherheit
Zur Unterstützung der System-/Netzwerkadministration ist der Einsatz von entsprechenden Tools (z.B. CAD-Programmen, speziellen Tools für Netzpläne, Kabelmanagementtools im Zusammenhang mit Systemmanagementtools o.ä.) empfehlenswert. Eine konsequente Aktualisierung aller Informationen bei Umbauten oder Erweiterungen ist ebenso zu gewährleisten wie eine eindeutige und nachvollziehbare Dokumentation (vgl. auch 9.4.1 Lagepläne der Versorgungsleitungen). Gerade im Zusammenhang mit dem Absichern von Netzwerken gibt es eine Reihe weiterführender Literatur. Exemplarisch sei an dieser Stelle „The 60 Minute Network Security Guide“ der NSA [NSA-SD7] genannt.

10.6.1 Sicherstellung einer konsistenten Systemverwaltung
ISO Bezug: 27002 6.1.2, 10.10.1,10.10.2, 10.10.4, 11.1.1, 11.5.2, 12.4.1 In vielen komplexen IT-Systemen gibt es eine Administratorrolle, die keinerlei Beschränkungen unterliegt. Durch fehlende Beschränkungen ist die Gefahr von Fehlern oder Missbrauch besonders hoch.

307

Um Fehler zu vermeiden, soll unter dem Super-User-Login nur gearbeitet werden, wenn es notwendig ist. Andere Arbeiten soll auch der Administrator nicht unter der Administrator-Kennung erledigen. Insbesondere dürfen keine Programme anderer Benutzer/innen unter der Administrator-Kennung aufgerufen werden. Ferner sollte die routinemäßige Systemverwaltung (z.B. Backup, Einrichten einer/eines neuen Benutzerin/Benutzers) nur menügesteuert durchgeführt werden können. Für alle Administratoren sind zusätzliche Benutzerkennungen einzurichten, die nur über die eingeschränkten Rechte verfügen, die die Administratoren zur Aufgabenerfüllung außerhalb der Administration benötigen. Für Arbeiten, die nicht der Administration dienen, sollen die Administratoren ausschließlich diese zusätzlichen Benutzerkennungen verwenden. Falls das Betriebssystem erlaubt, sollte der Administrator grundsätzlich nicht als Superuser, sondern unter seiner persönlichen Benutzerkennung einsteigen und erst dann in die Superuser-Rolle wechseln. Bekannte Kennungen, wie etwa root, guest oder administrator, sind zu löschen, stillzulegen oder nach Bedarf zu modifizieren. Bekannte Passwörter (Firmenkennungen und Firmen-Passwörter) sind zu löschen bzw. zu ändern, insbesondere bei Netzwerkkomponenten (Router, Switches, ...). Alle durchgeführten Änderungen sollten dokumentiert werden, um diese nachvollziehbar zu machen und die Aufgabenteilung zu erleichtern. [eh SYS 6.1]

10.6.2 Ist-Aufnahme der aktuellen Netzsituation
ISO Bezug: 27002 6.2.1, 7.1.1, 10.6.2, 11.4 Die Bestandsaufnahme der aktuellen Netzsituation ist Voraussetzung für

• •

eine gezielte Sicherheitsanalyse des bestehenden Netzes sowie für die Erweiterung eines bestehenden Netzes.

Hierzu ist eine Ist-Aufnahme mit einhergehender Dokumentation der folgenden Aspekte, die z.T. aufeinander aufbauen, notwendig:

• • •
308

Netztopographie, Netztopologie, verwendete Netzprotokolle,

• •

Kommunikationsübergänge im LAN und zum WAN sowie Netzperformance und Verkehrsfluss.

Unter der Topographie eines Netzes wird die rein physikalische Struktur eines Netzes in Form der Kabelführung verstanden. Im Gegensatz dazu handelt es sich bei der Netztopologie um die logische Struktur eines Netzes. Die Topographie und Topologie eines Netzes sind nicht notwendig identisch. [eh SYS 6.3]

10.6.3 Analyse der aktuellen Netzsituation
ISO Bezug: 27002 7.1.1, 10.6.2, 11.4, 11.4.7, 12.6.1 Diese Maßnahme baut auf den Ergebnissen der Ist-Aufnahme nach 10.6.2 IstAufnahme der aktuellen Netzsituation auf und erfordert spezielle Kenntnisse im Bereich der Netztopologie, der Netztopographie und von netzspezifischen Schwachstellen. Darüber hinaus ist Erfahrung bei der Beurteilung der eingesetzten individuellen IT-Anwendungen hinsichtlich Vertraulichkeit, Integrität bzw. Verfügbarkeit notwendig. Eine Analyse der aktuellen Netzsituation besteht im Wesentlichen aus einer Strukturanalyse, einer Schutzbedarfsfeststellung und einer Schwachstellenanalyse.

Strukturanalyse
Diese besteht aus einer Analyse der nach 10.6.2 Ist-Aufnahme der aktuellen Netzsituation angelegten Dokumentationen. Die Strukturanalyse muss von einem Analyseteam durchgeführt werden, das in der Lage ist, alle möglichen Kommunikationsbeziehungen nachzuvollziehen oder auch herleiten zu können. Als Ergebnis muss das Analyseteam die Funktionsweise des Netzes verstanden haben und über die prinzipiellen Kommunikationsmöglichkeiten informiert sein. Häufig lassen sich bei der Strukturanalyse bereits konzeptionelle Schwächen des Netzes identifizieren.

Detaillierte Schutzbedarfsfeststellung
Bei besonders schutzwürdigen Applikationen sind in einer detaillierten Schutzbedarfsfeststellung zusätzlich die Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität in einzelnen Netzbereichen bzw. Segmenten zu berücksichtigen.

309

Hierzu ist es notwendig festzustellen, welche Anforderungen auf Grund der verschiedenen IT-Verfahren bestehen und wie diese auf die gegebene Netzsegmentierung Einfluss nehmen. Als Ergebnis muss erkenntlich sein, in welchen Netzsegmenten besondere Sicherheitsanforderungen bestehen.

Analyse von Schwachstellen im Netz
Basierend auf den bisher vorliegenden Ergebnissen erfolgt eine Analyse der Schwachpunkte des Netzes. Hierzu gehört insbesondere bei entsprechenden Verfügbarkeitsanforderungen die Identifizierung von nicht redundant ausgelegten Netzkomponenten (SinglePoint-of-Failures). Weiterhin müssen die Bereiche benannt werden, in denen die Anforderungen an Verfügbarkeit, Vertraulichkeit oder Integrität nicht eingehalten werden können bzw. besonderer Aufmerksamkeit bedürfen. Zudem ist festzustellen, ob die gewählte Segmentierung hinsichtlich Bandbreite und Performance geeignet ist. Es ist zu beachten, dass diese Maßnahme insbesondere in der Designphase für ein neues Netz oder einen neuen Netzteil sinnvoll ist, Änderungen in bestehenden Netzen können aus wirtschaftlichen Aspekten oft sehr schwierig sein. [eh SYS 6.4]

10.6.4 Entwicklung eines Netzkonzeptes
ISO Bezug: 27002 10.6.1, 11.4 Um den Anforderungen bezüglich Verfügbarkeit (auch Bandbreite und Performance), Vertraulichkeit und Integrität zu genügen, muss der Aufbau, die Änderung bzw. die Erweiterung eines Netzes sorgfältig geplant werden. Hierzu dient die Erstellung eines Netzkonzeptes. Die Entwicklung eines Netzkonzeptes unterteilt sich in einen analytischen und einen konzeptionellen Teil:

Analyse
Zunächst ist zu unterscheiden, ob ein bestehendes Netz zu erweitern bzw. zu verändern ist oder ob das Netz vollständig neu aufgebaut werden soll.

310

Im ersten Fall sind vorab die Maßnahmen 10.6.2 Ist-Aufnahme der aktuellen Netzsituation und 10.6.3 Analyse der aktuellen Netzsituation zu bearbeiten. Im zweiten Fall entfallen diese Maßnahmen. Stattdessen sind die Anforderungen an die Netzkommunikation zu ermitteln sowie eine Schutzbedarfsfeststellung des zukünftigen Netzes durchzuführen. Zur Ermittlung der Kommunikationsanforderungen ist der zukünftig zu erwartende Daten- und Verkehrsfluss zwischen logischen oder organisatorischen Einheiten festzustellen, da die zu erwartende Last die Segmentierung des zukünftigen Netzes beeinflussen muss. Die notwendigen logischen bzw. physikalischen Kommunikationsbeziehungen (dienste-, anwender-, gruppenbezogen) sind ebenfalls zu eruieren und die Kommunikationsübergänge zur LAN/LAN-Kopplung oder über ein WAN zu ermitteln. Die Schutzbedarfsanforderungen des Netzes werden aus denen der geplanten oder bereits bestehenden IT-Verfahren abgeleitet. Daraus werden physikalische und logische Segmentstrukturen gefolgert, so dass diesen Anforderungen (z.B. hinsichtlich Vertraulichkeit) durch eine Realisierung des Netzes Rechnung getragen werden kann. Zum Beispiel bestimmt der Schutzbedarf einer IT-Anwendung die zukünftige Segmentierung des Netzes. Schließlich muss versucht werden, die abgeleiteten Kommunikationsbeziehungen mit den Schutzbedarfsanforderungen zu harmonisieren. Unter Umständen sind hierzu Kommunikationsbeziehungen einzuschränken, um dem festgestellten Schutzbedarf gerecht zu werden. Abschließend sind die verfügbaren Ressourcen zu ermitteln. Hierzu gehören sowohl Personalressourcen, die erforderlich sind, um ein Konzept zu erstellen und umzusetzen bzw. um das Netz zu betreiben, als auch die hierfür notwendigen finanziellen Ressourcen. Die Ergebnisse sind entsprechend zu dokumentieren.

Konzeption
Im nächsten Schritt sind die Netzstruktur und die zu beachtenden Randbedingungen zu entwickeln. Dabei sind neben den oben genannten Gesichtspunkten auch die künftig zu erwartenden Anforderungen (z.B. hinsichtlich Bandbreite) sowie die örtlichen Gegebenheiten zu berücksichtigen. Die Erstellung eines Netzkonzeptes erfolgt analog 10.6.2 Ist-Aufnahme der aktuellen Netzsituation und besteht danach prinzipiell aus den folgenden Schritten, wobei diese Schritte nicht in jedem Fall streng aufeinander folgend ausgeführt werden können. In einigen Teilen beeinflussen sich die Ergebnisse der Schritte gegenseitig, so dass eine regelmäßige Überprüfung und Konsolidierung der Teilergebnisse vorgenommen werden muss. 311

• • •

Konzeption der Netztopographie und der Netztopologie, der physikalischen und logischen Segmentierung Konzeption der verwendeten Netzprotokolle Konzeption von Kommunikationsübergängen im LAN und WAN

[eh SYS 6.5]

10.6.5 Entwicklung eines Netzmanagementkonzeptes
ISO Bezug: 27002 10.6.1, 10.10 Netzmanagement umfasst die Gesamtheit der Vorkehrungen und Aktivitäten zur Sicherstellung des effektiven Einsatzes eines Netzes. Hierzu gehört beispielsweise die Überwachung der Netzkomponenten auf ihre korrekte Funktion, das Monitoring der Netzperformance und die zentrale Konfiguration der Netzkomponenten. Netzmanagement ist in erster Linie eine organisatorische Problemstellung, deren Lösung mit technischen Mitteln - einem Netzmanagementsystem lediglich unterstützt werden kann. Abzugrenzen vom Netzmanagement ist das Systemmanagement, welches sich in erster Linie mit dem Management verteilter Systeme befasst. Hierzu gehören beispielsweise eine zentrale Verwaltung der Benutzer/innen, Softwareverteilung, Management der Anwendungen usw. In einigen Bereichen, wie z.B. dem Konfigurationsmanagement (dem Überwachen und Konsolidieren von Konfigurationen eines Systems oder einer Netzkomponente) sind Netz- und Systemmanagement nicht klar zu trennen. In der ISO/IEC-Norm 7498-4 bzw. als X.700 der ITU-T [ITU-T] ist ein Netz- und Systemmanagement-Framework definiert. Vor der Beschaffung und dem Betrieb eines solchen Netzmanagementsystems ist im ersten Schritt ein Konzept zu erstellen, in dem alle Sicherheitsanforderungen an das Netzmanagement formuliert und angemessene Maßnahmen für den Fehleroder Alarmfall vorgeschlagen werden. Dabei sind insbesondere die folgenden Bestandteile eines Netzmanagementkonzeptes bei der Erstellung zu berücksichtigen und in einem Gesamtzusammenhang darzustellen:

• • • • •
312

Performancemessungen zur Netzanalyse (siehe 10.6.3 Analyse der aktuellen Netzsituation ), Reaktionen auf Fehlermeldungen der überwachten Netzkomponenten, Fernwartung / Remote-Control, insbesondere der aktiven Netzkomponenten, Generierung von Trouble-Tickets und Eskalation bei Netzproblemen, Protokollierung und Audit (Online und/oder Offline),

• • •

Einbindung eventuell vorhandener proprietärer Systeme bzw. von Systemen mit unterschiedlichen Managementprotokollen (z.B. im Telekommunikationsbereich), Konfigurationsmanagement aller im Einsatz befindlichen IT-Systeme, Verteilter Zugriff auf die Netzmanagementfunktionalitäten. (Für die Administration oder für das Audit kann ein Remotezugriff auf die Netzmanagementfunktionalitäten notwendig sein. Hier ist insbesondere eine sorgfältige Definition und Vergabe der Zugriffsrechte notwendig.)

[eh SYS 6.6]

10.6.6 Sicherer Betrieb eines Netzmanagementsystems
ISO Bezug: 27002 10.6.1, 10.6.2 Für den sicheren Betrieb eines Netzmanagementtools oder eines komplexen Netzmanagementsystems, welches beispielsweise aus mehreren verschiedenen Netzmanagementtools zusammengesetzt sein kann, ist die sichere Konfiguration aller beteiligten Komponenten zu überprüfen und sicherzustellen. Hierzu gehören die Betriebssysteme, auf denen das oder die Netzmanagementsysteme betrieben werden, die zumeist notwendigen externen Datenbanken für ein Netzmanagementsystem, das verwendete Protokoll und die aktiven Netzkomponenten selbst. Vor dem Betrieb eines Netzmanagementsystems muss die Ermittlung der Anforderungen an den Betrieb und die Erstellung eines Netzmanagementkonzeptes stehen (siehe 10.6.5 Entwicklung eines Netzmanagementkonzeptes ). Für den sicheren Betrieb eines Netzmanagementsystems sind folgende Daten relevant:

• • • •

Konfigurationsdaten des Netzmanagementsystems, die sich in entsprechend geschützten Verzeichnissen befinden müssen. Konfigurationsdaten der Netzkomponenten (Metakonfigurationsdateien), die sich ebenfalls in entsprechend geschützten Verzeichnissen befinden müssen. Passwortdateien für das Netzmanagementsystem. Hierbei ist beispielsweise auf die Güte des Passwortes und die Möglichkeit einer verschlüsselten Speicherung des Passwortes zu achten. Eine Administration der aktiven Netzkomponenten über das Netz sollte dann eingeschränkt werden und eine Administration über die lokalen Schnittstellen erfolgen, wenn die Erfüllung der Anforderungen an Vertraulichkeit und Integrität der Netzmanagementinformationen nicht gewährleistet werden kann. In diesem Fall ist auf ein zentrales Netzmanagement zu verzichten.

[eh SYS 6.7]

313

10.6.7 Sichere Konfiguration der aktiven Netzkomponenten
ISO Bezug: 27002 10.6.1, 11.4.4, 11.7.2 Neben der Sicherheit von Serversystemen und Endgeräten wird die eigentliche Netzinfrastruktur mit den aktiven Netzkomponenten in vielen Fällen vernachlässigt. Gerade zentrale aktive Netzkomponenten müssen jedoch sorgfältig konfiguriert werden. Denn während durch eine fehlerhafte Konfiguration eines Serversystems nur diejenigen Benutzer/innen betroffen sind, die die entsprechenden Dienste dieses Systems nutzen, können bei einer Fehlkonfiguration eines Routers größere Teilnetze bzw. sogar das gesamte Netz ausfallen oder Daten unbemerkt kompromittiert werden. Im Rahmen des Netzkonzeptes (siehe 10.6.4 Entwicklung eines Netzkonzeptes ) sollte auch die sichere Konfiguration der aktiven Netzkomponenten festgelegt werden. Dabei gilt es insbesondere Folgendes zu beachten:

• • •

Für Router und Layer-3-Switching muss ausgewählt werden, welche Protokolle weitergeleitet und welche nicht durchgelassen werden. Dies kann durch die Implementation geeigneter Filterregeln geschehen. Es muss festgelegt werden, welche IT-Systeme in welcher Richtung über die Router kommunizieren. Auch dies kann durch Filterregeln realisiert werden. Sofern dies von den aktiven Netzkomponenten unterstützt wird, sollte festgelegt werden, welche IT-Systeme Zugriff auf die Ports der Switches und Hubs des lokalen Netzes haben. Hierzu wird die MAC-Adresse des zugreifenden ITSystems ausgewertet und auf ihre Berechtigung hin überprüft.

Für aktive Netzkomponenten mit Routing-Funktionalität ist außerdem ein geeigneter Schutz der Routing-Updates erforderlich. Diese sind zur Aktualisierung der Routing-Tabellen erforderlich, um eine dynamische Anpassung an die aktuellen Gegebenheiten des lokalen Netzes zu erreichen. Dabei kann man zwei verschiedene Sicherheitsmechanismen unterscheiden:

Passwörter Die Verwendung von Passwörtern schützt die so konfigurierten Router vor der Annahme von Routing-Updates durch Router, die nicht über das entsprechende Passwort verfügen. Hierdurch können also Router davor geschützt werden, falsche oder ungültige Routing-Updates anzunehmen. Der Vorteil von Passwörtern gegenüber den anderen Schutzmechanismen ist ihr geringer Overhead, der nur wenig Bandbreite und Rechenzeit benötigt. Kryptographische Prüfsummen

314

Prüfsummen dienen zur Wahrung der Integrität von gültigen Routing-Updates, bzw. Message Authentication Codes schützen vor deren unbemerkten Veränderungen. Dies wird in der Regel bereits durch das Routing Protokoll gewährleistet. Vgl. auch den NSA „Router Security Configuration Guide“ [NSA-CIS2] . [eh SYS 6.8]

10.6.8 Festlegung einer Sicherheitsstrategie für ein ClientServer-Netz
ISO Bezug: 27002 6.2.3, 8.2.2, 8.3.3, 10.1, 10.6, 10.9, 10.10, 11.1, 11.2, 11.4.1, 11.5, 11.7.1 Nachfolgend wird eine methodische Vorgehensweise aufgezeigt, mittels derer eine umfassende Sicherheitsstrategie für ein Client-Server-Netz entwickelt werden kann. Abhängig vom verwendeten Betriebssystem und den eingesetzten Konfigurationen ist für die jeweilige Ausprägung individuell zu entscheiden, welche der beschriebenen Schritte anzuwenden sind. In der Sicherheitsstrategie muss aufgezeigt werden, wie ein Client-Server-Netz für die jeweilige Organisation sicher aufgebaut, administriert und betrieben wird. Nachfolgend werden die einzelnen Entwicklungsschritte einer solchen Strategie vorgestellt:

Definition der Client-Server-Netzstruktur Im ersten Schritt sind die logische Struktur des Client-Server-Netzes, insbesondere die Zuordnung der Server und der Netz-Domänen festzulegen. Nach Möglichkeit sollte auf die Verwendung von Peer-to-Peer-Funktionalitäten verzichtet werden, da diese die Sicherheit des Client-Server-Netzes beeinträchtigen können. Sofern sich dies jedoch nicht vermeiden lässt, sind verbindliche Regelungen für die Nutzung von Peer-to-Peer-Funktionalitäten zu treffen. Regelung der Verantwortlichkeiten Ein Client-Server-Netz sollte von geschulten Netzadministratoren nebst Stellvertreterinnen/Stellvertretern sicher betrieben werden. Diese allein dürfen Sicherheitsparameter im Netz verändern. Sie sind z.B. dafür zuständig, auf den Servern den entsprechenden Verantwortlichen Administrationsrechte und -werkzeuge zur Verfügung zu stellen, damit diese die Vergabe von Dateiund Verzeichnisberechtigungen, die Freigabe der von anderen benötigten Verzeichnisse bzw. Anwendungen, den Aufbau von Benutzergruppen und -accounts sowie die Einstellung der Systemrichtlinien für Benutzer/innen, Zugriffskontrolle und Überwachung vornehmen können. Die Verantwortlichkeiten der einzelnen Benutzer/innen im Client-Server-Netz sind unter Schritt 11 dargestellt. 315

Festlegung von Namenskonventionen Um die Verwaltung des Client-Server-Netzes zu erleichtern, sollten eindeutige Namen für die Rechner, Benutzergruppen und die Benutzer/innen verwendet werden. Zusätzlich sollten Namenskonventionen für die Freigabenamen von Verzeichnissen oder Druckern eingeführt werden. Sollen keine Rückschlüsse auf den Inhalt eines freigegebenen Verzeichnisses möglich sein, sind entsprechende Pseudonyme zu verwenden. Festlegung der Regeln für Benutzeraccounts Vor der Einrichtung von Benutzeraccounts sollten die Restriktionen, die für alle bzw. für bestimmte dieser Accounts gelten sollen, festgelegt werden. Dies betrifft insbesondere die Regelungen für Passwörter und für die Reaktion des Systems auf fehlerhafte Login-Vorgänge. Einrichtung von Gruppen Zur Vereinfachung der Administration sollten Benutzeraccounts, für die die gleichen Anforderungen gelten, zu Gruppen zusammengefasst werden. Benutzerrechte sowie Datei-, Verzeichnis- und Freigabeberechtigungen und ggf. weitere vordefinierte Funktionen werden dann den Gruppen und nicht einzelnen Benutzeraccounts zugeordnet. Die Benutzeraccounts erben die Rechte und Berechtigungen der Gruppen, denen sie angehören. So ist es z.B. denkbar, alle Mitarbeiter/innen einer Abteilung in einer Gruppe zusammenzufassen. Eine Zuweisung von Benutzerrechten und -berechtigungen an einzelne Benutzer/ innen sollte nur erfolgen, wenn dies ausnahmsweise unumgänglich ist. Festlegung von Benutzerrechten Rechte gestatten einem/einer Benutzer/in die Ausführung bestimmter Aktionen auf dem System. Sie beziehen sich auf das gesamte System, sind keinem speziellen Objekt zugeordnet und können die Berechtigungen für ein Objekt außer Kraft setzen, da ein Recht Vorrang vor allen Datei- und Verzeichnisberechtigungen haben kann. Festlegung der Vorgaben für Protokollierung Bei der Konfiguration der Protokollierung ist zu beachten, dass ein Mehr an Protokollierung nicht unbedingt auch die Sicherheit des überwachten Systems erhöht. Protokolldateien, die nicht ausgewertet werden oder die auf Grund ihres Umfangs nur mit großem Aufwand auswertbar sind, führen nicht zu einer besseren Kontrolle der Systemabläufe, sondern sind letztlich nutzlos. Aus diesen Gründen sollte die Protokollierung so eingestellt werden, dass sie im Normalfall nur die wirklich bedeutsamen Ereignisse aufzeichnet. Dabei sind selbstverständlich die gesetzlichen Vorgaben, insbesondere die Anforderungen aus dem Datenschutzgesetz, vorrangig zu beachten (vgl. dazu auch Kapitel 10.10 Protokollierung und Monitoring ). Regelungen zur Datenspeicherung

316

• Auch die Endbenutzer/innen müssen in einem Client-Server-Netz bestimmte Verantwortlichkeiten übernehmen. So können beispielsweise zwei Hauptverzeichnisse \Projekte und \Benutzer angelegt werden. bestimmte Benutzerdaten nur auf der lokalen Festplatte abzulegen. das Hinterlegen und den Wechsel von Passwörtern und die Durchführung von Datensicherungen. In der Regel beschränken sich diese Verantwortlichkeiten jedoch auf die Vergabe von Zugriffsrechten auf die eigenen Dateien. Dies gilt analog für die Freigabe von Druckern. Dies können zum Beispiel Verantwortlichkeiten sein für • • • • die Auswertung der Protokolldateien auf den einzelnen Servern oder Clients. Eine generelle Empfehlung ist hier nicht möglich. muss jeweils im konkreten Einzelfall festgelegt werden.• • • Es ist festzulegen. welche Verantwortung die einzelnen Administratoren im Client-Server-Netz übernehmen müssen. Schulung Abschließend muss festgelegt werden. welche Verzeichnisse und ev. dass Benutzerdaten nur auf einem Server abgelegt werden. So ist denkbar. Insbesondere die Administratoren sind hinsichtlich der Verwaltung und der Sicherheit des Systems gründlich zu schulen. Eine Datenspeicherung auf der lokalen Festplatte ist bei diesem Modell nicht erlaubt.und projektspezifischen Daten untereinander sowie von den Programmen und Daten des Betriebssystems durchzusetzen. sofern ihnen Rechte zur Ausführung administrativer Funktionen gegeben werden. Es ist festzulegen. Vergabe der Zugriffsrechte Es ist festzulegen. Verantwortlichkeiten für Administratoren und Benutzer/innen im ClientServer-Netz Neben der Wahrnehmung der Netzmanagementaufgaben (siehe Pkt. Erst nach ausreichender Schulung kann der Echtbetrieb aufgenommen werden. welche Dateien für den Betrieb freizugeben und welche Zugriffsrechte ihnen zuzuweisen sind. unter denen dann die Dateien und Verzeichnisse der Projekte bzw. welche Benutzer/innen zu welchen Punkten geschult werden müssen. die Vergabe von Zugriffsrechten. sollte eine geeignete Verzeichnisstruktur festgelegt werden. Benutzer/innen in jeweils eigenen Unterverzeichnissen abgelegt werden. Möglich ist aber auch. mit der eine projekt. 2) müssen weitere Verantwortlichkeiten festgelegt werden. 317 . wo Benutzerdaten gespeichert werden. Nach welcher Strategie verfahren werden soll. sofern diese explizit festgelegt und nicht von Voreinstellungen des übergeordneten Verzeichnisses übernommen werden.und benutzerbezogene Dateiablage unterstützt wird. Einrichtung von Projektverzeichnissen Um eine saubere Trennung von benutzer.

sollte WEP nicht mehr eingesetzt werden. so dass die Schlüssel manuell administriert werden müssen. Die steigende Zahl von portablen Computern (Notebooks. Smartphones etc. Da WEP-Schlüssel in kürzester Zeit kompromittiert werden können. Folgende Maßnahmen sind zu beachten.9 Wireless LAN (WLAN) ISO Bezug: 27002 10. Dessen Bekanntgabe an Knoten. h. Somit soll die Option des Sendens der SSID deaktiviert werden. Weiterhin sieht WEP kein dynamisches Schlüsselmanagement vor.4 Drahtlose Netzwerke bzw. Weiters ist sie laufend etwaigen Veränderungen im Einsatzumfeld anzupassen. statischer Schlüssel verwendet. Geeignete Verschlüsselungsoptionen aktivieren: Verschlüsselungsoptionen wie WiFi Protected Access (WPA). d. Der Einsatz von Richtantennen hilft dabei die unbeabsichtigte räumliche Ausstrahlung zu unterbinden. Testen des Umkreises: Der mögliche Empfang im Umkreis der Organisation muss überprüft werden. sofern die 318 .10] 10. Bei unerwünschten Reichweiten müssen entsprechende Gegenmaßnahmen ergriffen werden. ist zu verhindern. in jeder WLAN-Komponente in einem Netz muss derselbe WEP-Schlüssel eingetragen sein. PDAs. Zum einen bieten sie Flexibilität bei der Arbeitsplatzgestaltung und zum anderen sind für deren Aufbau keine aufwendigen Verkabelungsarbeiten notwendig. wenn es um die Installation und Konfiguration eines WLANs geht: • • • • Geeignete Positionierung und Ausrichtung der Zugriffspunkte und Antennen: Die Ausstrahlung soll über die Organisationsgrenzen hinweg weitgehend verhindert werden. über den Knoten an das Netz verbinden. die diese eindeutige SSID nicht kennen. um nicht durch die Einführung von WLANs die Sicherheit des gesamten lokalen Netzwerkes zu kompromittieren.2 (teilw. Bei der Schlüssellänge ist es sinnvoll den Schlüssel mit der größten Länge zu wählen.) unterstreicht die Forderung nach einem WLAN. so genannte Wireless LAN (WLAN) – Lösungen ergänzen zunehmend LAN Netzwerke. Bei WEP wird nur ein einziger. Deaktivieren des Sendens der Service Set ID: Die Service Set ID (SSID) ist ein Name des WLANs. Sicherheitstechnisch entstehen neue Gefährdungen und es sind einige Maßnahmen zu beachten.). bieten Schutz vor Zugriffen durch Dritte.Die so entwickelte Sicherheitsstrategie ist zu dokumentieren und im erforderlichen Umfang den Benutzerinnen/Benutzern des Client-Server-Netzes mitzuteilen. 11.6. [eh SYS 6.6.

Damit so etwas überhaupt funktioniert. Die verwendbaren Schlüssellängen sollten demnach bei der Anschaffung der WLAN-Komponenten bereits berücksichtigt werden.1X ist. Es besteht meist die Möglichkeit den gemeinsamen geheimen Schlüssel auch über Passwörter festzulegen. WPA2 möglich. ist er anfällig gegenüber Wörterbuch.1X eine Schnittstelle zwischen Client. der dafür sorgt. Dieser Standard ist zur portbasierten Netzzugangskontrolle in kabelbasierten Netzen entworfen worden. die Schlüssel zum Schutz der Kommunikation oder zur Authentisierung mindestens alle drei bis sechs Monate zu wechseln. Dieser Schlüssel wird als Pairwise Master Key (PMK) bezeichnet. wenn der Nutzer sich erfolgreich dem Netz gegenüber authentisiert hat. auf Access Points und Clients konfiguriert werden. dass regelmäßig und insbesondere nach einer erfolgreichen Authentifizierung des WLAN-Clients am Access Point ein neuer Schlüssel (PMK) bereitgestellt wird.11i (WPA2) kommt CCMP als kryptographisches Verfahren zur Integritätssicherung und zur Verschlüsselung der Nutzdaten hinzu. WPA2-PSK verwendet werden. ist zu empfehlen. Grundsätzliche Idee in IEEE 802. Dynamische Schlüssel: Eine höhere Sicherheit bietet ein Mechanismus zur dynamischen Schlüsselverwaltung und -verteilung. Für diese Schlüsselverwaltung und -verteilung greift IEEE 802. Bei IEEE 802. als Pre-Shared Key (PSK) bezeichnet.11i auf einen anderen Standard zurück und zwar auf IEEE 802. Netzelement und einem Authentisierungssystem. Sollte WPA-PSK bzw. spezifiziert IEEE 802. alle Kommunikationspartner müssen daher einen gemeinsamen Schlüssel konfiguriert haben. Diese Passwörter werden über Hash-Funktionen in den PMK umgerechnet. dass die Freischaltung eines Netzports erst dann erfolgt. Dictionary-Attacken.bzw. TKIP und CCMP sind symmetrische Verfahren. das die Nutzung dynamischer kryptographischer Schlüssel statt ausschließlich statischer bei WEP erlaubt. Diese Schnittstelle basiert auf dem Extensible Authentication Protocol (EAP) und einer Adaptierung dieses Protokolls für die Übertragung auf Layer 2 in LAN (als EAP over LAN. Die Nutzung der PSK ist in der Kombination mit WPA bzw. Der Pairwise Master Key (PMK) kann über zwei verschiedene Wege auf die beteiligten WLANKomponenten gelangen: • • Statische Schlüssel: Der PMK kann (analog zu WEP) manuell als ein statischer Schlüssel.1X. Hat ein solcher PSK eine zu geringe Komplexität (im Sinne der Länge des Schlüssels und der Zufälligkeit der Zeichen). Ab einer gewissen Größe eines WLANs ist das Ausrollen eines neuen Schlüssels mit erheblichen Problemen verbunden. Hand in Hand geht damit die Festlegung einer Funktion zur Schlüsselverwaltung und -verteilung.verwendeten Endgeräte dies zulassen. Daher sollten diese Passwörter eine hohe Komplexität und eine Länge von mindestens 20 Stellen besitzen. 319 . EAPOL bezeichnet). Die Authentisierung erfolgt also auf Schicht 2. Bei WPA wird TKIP eingesetzt.

SNMP Community String. Dies bietet über WEP/ WEP+/WPA/o. Kapitel 10. da die Standardpasswörter Angreiferinnen bzw.10 ). 320 . Darüber hinaus sind zusätzliche Maßnahmen sinnvoll (z. Direkten Zugriff auf das Intranet über das WLAN sperren: Ist der Zugang über WLAN nicht durch starke Methoden der Authentifikation der Knoten und Verschlüsselung gesichert. Weiterführende Informationen. um den Arbeitsaufwand gering zu halten. Nutzung eines Virtual Private Networks (VPN): Im WLAN sollte möglichst ein VPN etabliert werden. In Ergänzung zu diesen allgemeine Informationen zu WLANs in der Verwaltung wurde von der Stabsstelle IKT-Strategie des Bundes (CIO) die so genannte „Checkliste WLAN“ [IKT-CLWLAN] veröffentlicht. Angreifern durchaus bekannt sind (vgl. Diese Erweiterung berücksichtigt aktuelle Weiterentwicklungen und Marktveränderungen im Bereich WLAN. Dies sollte nach Möglichkeit genutzt werden. Ändern von Standardeinstellungen (Passwörtern): Standardeinstellungen der Zugriffspunkte – etwa Service Set ID (SSID).• • • • • • • Generell sollten in regelmäßigen Abständen. Einsatz einer zusätzlichen Firewall: Eine Firewall zwischen dem Zugriffspunkt und dem eigentlichen Netzwerk kann die Sicherheit erhöhen. etwa nach IEEE 802.B. speziell aber nicht nur für die Organisationen der öffentlichen Verwaltung.6.B. Der Wechsel der Schlüsselinformationen an allen WLAN-Komponenten sollte bereits während der Planungsphase genau getestet werden. MAC-Adressfilterung am Zugriffspunkt: Der Zugang zu Zugriffspunkten kann bei vielen Geräten auch über die MACAdresse kontrolliert werden. sind den von der Stabsstelle IKT-Strategie des Bundes (CIO) herausgegebenen Empfehlungen zur Verwendung von WLANs zu entnehmen [IKT-WLAN] . Administrator-Passwort – sind werksseitig voreingestellt und müssen sofort geändert werden. 11. Bei größeren Installationen sollte hierfür eine geeignete Funktion in der zentralen WLAN-Management-Lösung enthalten sein. VPN .3. die Schlüsselinformationen bei allen WLAN-Komponenten ausgetauscht werden. mindestens jedoch vierteljährlich. Authentifikation der Knoten: Möglichkeiten der Authentifikation der Knoten sind zu aktivieren. wodurch die vertraulichen Inhalte mittels IPSEC oder SSL/TLS geschützt werden.: [IKT-WLAN] [IKT-CLWLAN] ). hinausgehend eine Ende-zu-Ende Verschlüsselung. Für den Bereich der Öffentlichen Verwaltung sind entsprechende Vorgaben und WLAN-Policies der Stabsstelle IKT-Strategie des Bundes (CIO) zu beachten (z.siehe weiter unten). ist er als RAS anzusehen (vgl.1 Regelungen des Passwortgebrauches ). Die darin enthaltene Checkliste ermöglicht ein einfaches und pragmatisches Anwenden der Empfehlungen. um dadurch eventuell auftretende Schwierigkeiten zu erkennen.1X.ä.

B.2 Im Folgenden ist mit Remote Access generell jede Art von Fernzugriff auf Geschäftsinformationen (mit zB auch Mobile-Computing. da prinzipiell nicht nur ein Informationsfluss von außen in das zu schützende Netz stattfinden kann. öffentliches Netz gemeint.h.10 Remote Access (VPN) . Darüber hinaus gefährdet die Möglichkeit remote. zur Fernwartung).B. wenn dies unbedingt erforderlich ist. 11. nicht anschließbare und bedingt anschließbare Teile segmentiert werden muss. lässt aber auch neue Gefährdungen entstehen. für Telearbeit einzelner Mitarbeiter/innen). die Integrität und die Verfügbarkeit der lokalen Rechner und dadurch indirekt auch die Vertraulichkeit der lokalen Daten. Generell lassen sich für den Einsatz von entfernten Zugängen im Wesentlichen folgende Szenarien unterscheiden: • • • • das Anbinden einzelner stationärer Arbeitsplatzrechner (z. zur Unterstützung von Mitarbeiterinnen/ Mitarbeitern im Außendienst oder auf Dienstreise). d.6. das Anbinden mobiler Rechner (z. verschiedenen Standorten einer Institution oder auch zu Kunden erreicht. 11.Geräten) über ein unsicheres resp. sondern auch in die andere Richtung. als ob eine direkte LAN-Koppelung bestehen würde.4. Befehle auf Rechnern im lokalen Netz ausführen zu lassen.14] 10. Dies gilt insbesondere für Anschlüsse an das Internet.2. 321 . das Anbinden von ganzen LANs (z. zur Anbindung von lokalen Netzen von Außenstellen oder Filialen). Dies wird meist mittels einer VPN-Verbindung zwischen einzelnen IT-Systemen. der Managementzugriff auf entfernte Rechner (z.7.B. inwieweit das zu schützende Netz in anschließbare.Konzeption ISO Bezug: 10. sich mit einem lokalen Rechner an ein entferntes Rechnernetz zu verbinden und dessen Ressourcen zu nutzen. Ein zu schützendes Teilnetz sollte daher nur dann an ein anderes Netz angeschlossen werden. von einem entfernten Rechner aus (z. aus dem Internet).B.6.B.[eh SYS 6. Durch Remote Access wird es einem/einer Benutzer/in ermöglicht.2. Dabei ist auch zu prüfen. Die Vernetzung vorhandener Teilnetze mit globalen Netzen wie dem Internet führt zu einem neuen Informationsangebot.

Integrität. ihre Remote-Zugriffe auch zu kontrollieren.Für diese Szenarien bieten VPN-Technolgien eine einfache Lösung: entfernte Benutzer/innen verbinden sich über das Internet mit Hilfe von VPN-Clients mit dem Firmennetz. Der Absicherung der VPN. Im Rahmen des Systemzugangs müssen weitere Kontrollmechanismen angewandt werden. RAS-System eindeutig zu identifizieren sein.bzw. auch für entfernte Benutzer/innen durchgesetzt werden. RAS-Verbindung Nutzdaten übertragen werden. da hier in der Regel keine Verbindungs.bzw. Dazu müssen die Berechtigungen und Einschränkungen. Der reibungslose Ablauf von Geschäftsprozessen kann bei Totalausfall oder bei Verbindungen mit nicht ausreichender Bandbreite unter Umständen beeinträchtigt werden. Unter dem Gesichtspunkt der Sicherheit sind für entfernte Zugänge folgende Sicherheitsziele zu unterscheiden: • • • • Zugangssicherheit: Entfernte Benutzer/innen müssen durch das VPN. 322 . Durch die Nutzung von alternativen oder redundanten VPN-(bzw. um den Systemzugang für entfernte Benutzer/innen reglementieren zu können (z. RAS-Kommunikation kommt jedoch eine besondere Bedeutung zu. Dies gilt insbesondere für entfernte Zugänge.B. die im lokalen Netz geltenden Sicherheitsanforderungen bezüglich Kommunikationsabsicherung (Vertraulichkeit.bzw. Authentizität) durchsetzbar sein.oder RAS-Verbindungen übertragen werden. RAS)Zugängen kann diese Gefahr bis zu einem gewissen Grad verringert werden. da zur Abwicklung der Kommunikation verschiedene Kommunikationsmedien in Frage kommen. zeitliche Beschränkungen oder Einschränkung auf erlaubte entfernte Verbindungspunkte). Verfügbarkeit: Wird der entfernte Zugang im produktiven Betrieb genutzt. Ihre Identität muss jeweils durch einen Authentisierungsmechanismus bei jedem Verbindungsaufbau zum lokalen Netz sichergestellt werden. die für lokale Netzressourcen durch befugte Administratoren festgelegt wurden. so ist die Verfügbarkeit des Zugangs von besonderer Bedeutung. Zugriffskontrolle: Sind die entfernten Benutzer/innen authentisiert. so muss das System in der Lage sein. Kommunikationssicherheit: Bei einem Remote-Zugriff auf lokale Ressourcen sollen im Allgemeinen auch über die aufgebaute VPN. die das Internet als Kommunikationsmedium nutzen. Alternative Möglichkeiten die heute nur mehr wenig genutzt werden sind RAS-Zugänge über Standleitungen oder Modem-Einwahl. die in der Regel nicht dem Hoheitsbereich des Betreibers des lokalen Netzes zuzurechnen sind. Generell sollen auch für Daten.oder Bandbreitengarantien gegeben werden. die über VPN.

10. Neben den Geschäftsprozessen müssen auch die Anwendungen. Festlegung der BenutzerInnen: Es ist zu klären. die die jeweiligen Prozesse unterstützen. VPN (RAS)-spezifischer Sicherheitsregeln. folgende Fragen zu klären: • • • Festlegung der Geschäftsprozesse: Als erstes muss geklärt werden. Ziel der Anforderungsanalyse ist es einerseits. die zunächst als Einzelkomponenten abgesichert werden sollten. Im Rahmen der Anforderungsanalyse sind u. für welche Geschäftsprozesse das Virtuelle Private Netz (VPN) genutzt und welche Informationen darüber kommuniziert werden sollen. MitarbeiterInnen auf Dienstreise.(oder RAS-)Verbindung zwischen einzelnen IT-Systemen. End-to-End. verschiedenen Standorten einer Institution oder auch zu Kunden eingerichtet wird. Aus den Ergebnissen müssen die benötigten Anforderungen ermittelt und gemäß ihrer Bedeutung für das Unternehmen oder die Behörde priorisiert werden. B.6. AußendienstmitarbeiterInnen..6. Festlegung der Anwendungszwecke: Es gibt viele unterschiedliche Nutzungsszenarien für VPNs. welche Arten von BenutzerInnen mit welchen Berechtigungen und welchen Vorkenntnissen das VPN nutzen sollen (z. die Anbindung einzelner Mitarbeiter oder ganzer Standorte. 11. welche der betroffenen Anwendungen zeitkritisch oder bandbreitenintensiv sind.1 Durchführung einer VPN-Anforderungsanalyse ISO Bezug: 27002 10.und End-to-Site-VPNs). B. wie diese sicher identifiziert und authentisiert werden sollen. sollte eine Anforderungsanalyse durchgeführt werden.Ein VPN (RAS)-System besteht aus mehreren Komponenten. Dabei ist auch zu klären. betrachtet werden.7] 10. welche Einsatzzwecke unterstützt werden sollen und welche VPN-Typen dafür eingesetzt werden (z. MitarbeiterInnen einer Zweigstelle). [eh Teil 2 5. wie die Durchführung von Fernwartungstätigkeiten.a. Hierbei muss auch erfasst werden.2. alle im konkreten Fall in Frage kommenden Einsatzszenarien zu bestimmen und andererseits daraus Anforderungen an die benötigten Hardwareund Software-Komponenten abzuleiten. 323 .4 Bevor eine VPN. Zusätzlich zu der Absicherung der Systemkomponenten muss jedoch auch ein VPN (RAS)-Sicherheitskonzept erstellt werden. Daher muss geklärt werden. das sich in das bestehende Sicherheitskonzept eingliedert: das VPN (RAS)System muss einerseits bestehende Sicherheitsforderungen umsetzen und erfordert andererseits das Aufstellen neuer. Site-toSite-. Durch das Aufstellen und Durchspielen von Nutzungsszenarien können spezielle Anforderungen an die VPN-Architektur oder die VPN-Komponenten aufgedeckt werden.

sondern auch die Protokolle. Besitzen die betroffenen Anwendungen einen höheren Schutzbedarf bezüglich der Verfügbarkeit. Im Weiteren muss geklärt werden. wer für die Administration und den Betrieb des VPNs zuständig ist . empfiehlt es sich. Bei der VPN-Anforderungsanalyse sollte entschieden werden. Je nach Konfiguration können dadurch alle IT-Systeme eines Netzes auf alle IT-Systeme oder nur auf bestimmte IT-Systeme der anderen Netze zugreifen. Beispielsweise können E-Mails übertragen. 324 . die nicht unter der eigenen Kontrolle stehen und somit nicht beeinflusst werden können. Um Informationen mit hohem Schutzbedarf bezüglich Vertraulichkeit und/oder Integrität zu übertragen. welche Applikationen eingesetzt werden dürfen.und zwar auf beiden Seiten des VPNs. dass Netzfreigaben nur über SMB statt NFS eingebunden werden dürfen. dass zu jeder Zeit ausreichend schnell Informationen über das VPN ausgetauscht werden können. wenn das VPN ausfällt oder wenn Anzeichen für einen Sicherheitsvorfall entdeckt werden. da VPNs oft über Netze aufgebaut werden. wer zu benachrichtigen ist. Verfügbarkeit: Besonders bei einer Standortvernetzung wird häufig gewünscht. welche Applikationen über ein VPN genutzt werden dürfen und welche nicht. von wo über das jeweilige VPN auf welches Netz und auf welche IT-Systeme zugegriffen werden darf. mit denen die Informationen übertragen werden können. Dateien kopiert oder auf einen Webserver zugegriffen werden. Bei der Durchführung einer VPN-Anforderungsanalyse sollte daher festgelegt werden. Es sollte daher festgelegt werden. Vertraulichkeit und Integrität: Je nach Schutzbedarf bezüglich der Vertraulichkeit und Integrität werden häufig besondere Anforderungen an das VPN gestellt. das über entsprechendes Wissen verfügt. die im Allgemeinen durch zusätzliche Sicherheitsmaßnahmen abgedeckt werden können. Beispielsweise kann festgelegt werden. Neben diesen klassischen Diensten kann auch auf einem Terminalserver gearbeitet oder über VoIP telefoniert werden. Es muss nicht nur entschieden werden. Beschränkung der Netze: Mit VPNs können verschiedene Netze durch Nutzung einer sicheren Verbindung zu einem logischen Netz zusammengefasst werden. Hierfür muss Fachpersonal vorhanden sein. sollte dies bei der Anforderungsanalyse berücksichtigt werden. gemäß den Common Criteria zertifizierte VPN-Komponenten einzusetzen. Erhöhte Anforderungen an die Verfügbarkeit lassen sich bei VPNs nicht immer durch technische Sicherheitsmaßnahmen abdecken.• • • • • Regelung von Zuständigkeiten: Auch VPN-Komponenten müssen durch fachkundiges Personal administriert und gewartet werden. In vielen Fällen existieren hierzu übergeordnete Regelungen oder Richtlinien. die bei der Beschaffung und beim Betrieb von VPN-Komponenten berücksichtigt werden müssen. Auswahl der genutzten Applikationen und -protokolle: Über ein VPN können unterschiedliche Arten von Informationen versendet und empfangen werden.

10. Die Anforderungen für die geplanten Szenarien sind zu dokumentieren und mit den Netzadministratoren und dem technischen Personal abzustimmen. Dies betrifft beispielsweise Zugriffe auf Terminalserver oder die Telefonie über VoIP. Verfügbarkeit. Bei einer Wählverbindung könnte anhand der Ländervorwahl gefiltert werden.2 Entwicklung eines VPN-Konzeptes ISO Bezug: 27002 10. Da VPN-Verbindungen oft über ein WAN aufgebaut werden. Dies kann auch technisch unterstützt werden.2. Geographische Beschränkungen: Ein VPN kann dazu dienen. auf Applikationen in einem entfernten Netz zuzugreifen. müssen für zeitkritische Anwendungen spezielle Voraussetzungen berücksichtigt werden. Beispielsweise könnte nur der IP-Adressbereich eines oder weniger Provider zugelassen werden. Für die VPN-Anforderungsanalyse sollten die benötigten Bandbreiten. An kleine Vertriebsbüros werden beispielsweise meist andere Anforderungen bezüglich Verfügbarkeit gestellt als an Unternehmenszentralen.6.6. 11.4 Ein VPN-Konzept kann grob in drei Teilbereiche unterteilt werden: • • • Organisatorisches Konzept Technisches Konzept Sicherheitskonzept 325 . Besonders bei der Vernetzung von mehreren Standorten kommt häufig nicht jeder Liegenschaft die gleiche Priorität zu. dass diese technischen Zugriffsbeschränkungen nicht absolut zuverlässig sind. sondern können auch differenziert auf einzelne Standorte oder Anwendungszwecke angewendet werden. Vertraulichkeit.1] 10. sollte festgelegt werden. von wo auf das LAN zugegriffen werden darf. [eh SYS 7. dass sich mobile Mitarbeiter von beliebigen Orten unterwegs ins Institutions-LAN einwählen können.• • Bandbreite und Verzögerung: Ein VPN ermöglicht es. Wenn dies aber nicht gewünscht wird. Als Lösungsansatz könnten die verschiedenen Anwendungszwecke zum Beispiel bezüglich ihrer Anforderungen an Bandbreite. Zu beachten ist jedoch. besonders im Hinblick auf die verfügbare Bandbreite und Verzögerungen bei der Übertragung. Diese Punkte müssen nicht zwangsläufig pauschal für die gesamte Institution betrachtet. die zulässige Verzögerung sowie gegebenenfalls weitere Qualitätsmerkmale des Netzes berücksichtigt werden. Ebenso bestehen an End-to-End-VPNs andere Anforderungen als an Site-to-Site-VPNs. Zusätzlich müssen also den Benutzern entsprechende organisatorische Vorgaben gemacht werden. Integrität und Dienstgüte (Quality of Service oder kurz QoS) klassifiziert werden.

das festlegt. Je nach geplantem Einsatzszenario kann es zweckmäßiger sein. ist dafür geeignet. Hotel-Business-Center oder öffentliche Verkehrsmittel gehören. Nachweis bestimmter Kenntnisse (z.und Zugriffsberechtigungen müssen dokumentiert und bei Änderungen fortgeschrieben werden. Hotel-Foyers. wie und von wem die Benutzerkonten und die Zugriffsberechtigungen verwaltet und administriert werden (Berechtigungskonzept). die dann adaptiert werden können. welche Voraussetzungen für die Mitgliedschaft in einer Gruppe erfüllt werden müssen. die im Rahmen der Teilkonzepte beantwortet werden müssen. die beschreiben. B. Teilnahme an Schulungen) und eine Zustimmung durch Vorgesetzte. Die Gruppenzugehörigkeit von einzelnen BenutzerInnen sollte durch ein entsprechendes Anforderungsprofil geregelt werden. Überwachung). Die Betriebsorte von VPN-Clients unterliegen häufig nicht der Kontrolle des LAN-Betreibers und besitzen daher auch ein besonderes Gefährdungspotenzial. an dem die technischen Voraussetzungen zum VPN-Verbindungsaufbau vorhanden sind. Daher müssen Regelungen getroffen werden. Verwaltung. Es empfiehlt sich. B. Oft existieren schon ähnliche Regelungen. für den VPN-Zugang unterschiedliche Benutzergruppen mit verschiedenen Berechtigungen zu definieren. B. für die Erlaubnis zur Nutzung von Internet-Zugängen. eine Negativliste von besonders ungeeigneten Standorten zu führen. B. B. Wie die Erlaubnis zum entfernten Zugriff reglementiert werden soll. Gegenüber stationären Clients kommen bei mobilen Clients weitere Gefährdungen hinzu. damit von dort VPN-Verbindungen in das LAN der Institution erlaubt werden können. Dazu können z. Wartungsarbeiten). Mögliche Voraussetzungen sind der Einsatzzweck (z. von welchen Standorten aus VPN-Verbindungen zum Ziel-LAN aufgebaut werden dürfen. in Bezug auf Sicherheit und technischer Ausstattung) der entfernte Arbeitsplatz genügen muss. Die erteilten Zugangs. Je nach organisatorischer Struktur müssen die Verantwortlichkeiten existierender Rollen erweitert oder neue Rollen geschaffen werden Es muss festgelegt werden. muss jeweils innerhalb der Institution entschieden werden. Überprüfung. wie und durch wen diese erfolgt. Telearbeit. Für feste entfernte Standorte (wie Telearbeitsplätze) müssen Anforderungen festgelegt werden. welchen Ansprüchen (z. Außendienst-Tätigkeiten. z. 326 . regeln: • • • Es sollten die Verantwortlichkeiten für das jeweilige VPN festgelegt werden (Installation. Ein per Extranet angebundener Lieferant muss beispielsweise andere Zugriffrechte als eine angebundene Zweigstelle haben.Im Folgenden werden jeweils die wesentlichen Fragestellungen aufgezeigt. Das Konzept kann eine anfängliche sowie eine periodisch wiederkehrende Überprüfung der Räumlichkeiten und dortigen Technik vorsehen und regeln. Das organisatorische Konzept sollte folgende Punkte beinhalten bzw. Je nach konkreter Situation ergibt sich naturgemäß ein speziell auf die jeweiligen organisatorischen und technischen Gegebenheiten zugeschnittener zusätzlicher Abstimmungsbedarf. Nicht jeder Ort.

die tatsächlich für die Benutzer erforderlich sind. Haben externe Zulieferer oder Kunden eine Anbindung an das VPN. Für die VPNAdministration sollten deshalb Verfahren festgelegt werden. Aus den Sicherheitszonen heraus dürfen nur die Zugriffe erlaubt werden. kann dies unter Umständen die Kompromittierung des gesamten LANs nach sich ziehen. B. Ebenso müssen auch die Administratoren sowohl für die eingesetzten Produkte gründlich ausgebildet als auch über VPNSicherheitsrisiken und Sicherheitsmaßnahmen aufgeklärt werden. Da beim entfernten Zugriff auf ein LAN besondere Sicherheitsrisiken durch die meist ungesicherte Umgebung eines VPN-Clients bestehen.• • • • • • • Wird die Sicherheit von VPN-Zugängen verletzt. 327 .3. Der Schutzbedarf für das VPN muss ermittelt werden. Bei Fremdbetrieb eines VPNs müssen die Anforderungen aus 10. -betrieb zurückgegriffen wird. Allerdings ist es nicht immer vorteilhaft oder erwünscht. Viele Dienstleister verfügen über hohe Kompetenz und Erfahrung in Bezug auf die Planung. wie sich eine Nichtverfügbarkeit des Systems auswirkt und welche Ausfallzeiten hingenommen werden können. sondern auch für die Suche nach Informationen über aktuelle VPN-Sicherheitslücken. den kompletten Betrieb eines VPNs aus der Hand zu geben. Dieser leitet sich aus dem Schutzbedarf der darüber übertragenen Informationen sowie der damit verbundenen IT-Komponenten ab. müssen in der VPN-Sicherheitsrichtlinie die Rechte und Pflichten von VPN-BenutzerInnen festgelegt werden. Im Rahmen dieser Schulung sollen die BenutzerInnen einerseits für die spezifischen VPNGefährdungen sensibilisiert und andererseits im Umgang mit den technischen Geräten und der Software unterrichtet werden. so müssen unterschiedliche Sicherheitszonen definiert werden. die Konzeption von Maßnahmen zur Steigerung der Informationssicherheit beim VPN-Betrieb und die Einarbeitung in neue Komponenten. Überprüfung der durchgeführten Veränderung). müssen die Benutzer über deren ordnungsgemäße Handhabung informiert werden. die Sicherheitsregelungen einzuhalten. Durchführung. Outsourcing beachtet werden. Ein weiterer wichtiger Punkt bei der Konzeption ist die grundsätzliche Frage. Um einem Missbrauch vorzubeugen. ob eine Eigenrealisierung bzw. In diesem Zusammenhang muss auch ermittelt werden. wie Änderungen an der VPN-Konfiguration durchzuführen sind (Beispiel: Beantragung. sollte jede/ rjede VPN-Benutzer/in eine besondere Schulung erhalten. Die Anforderungen an die VPN-Sicherheitsmechanismen (z. Authentisierung und Integritätssicherung) müssen definiert werden. Überprüfung der geplanten Konfiguration. die beschreiben. ob starke Kryptographie an allen beteiligten Standorten rechtlich eingesetzt werden darf. Den Administratoren muss nicht nur für den Betrieb des VPNs ausreichend Zeit zur Verfügung stehen. Diese müssen entsprechend verbindlich verpflichtet werden. Eigenbetrieb des VPNs notwendig ist oder ob auf Fremdrealisierung bzw. Hierbei muss hinterfragt werden. Falls Authentisierungstoken zum Einsatz kommen sollen. Einrichtung und den Betrieb von VPNs.

TLS/SSL-Verschlüsselung: Zur Verschlüsselung kann auch TLS/ SSL eingesetzt werden. Modems) erwogen werden. jedoch in unterschiedlicher Zahl und Ausprägung zur Verfügung.und Software Alle Dienste und Protokolle. Paketfilter bzw. interne Firewall) in das produktive Netz zugegriffen werden kann. regeln: • • • • • Es sollte beschrieben sein. Für einen zeitkritischen Datenverkehr werden eventuell QoS (Quality of Service). Es müssen geeignete Verschlüsselungsverfahren zum Schutz der Daten festgelegt werden.und SoftwareKomponenten technisch realisiert ist. 328 . Die Komponenten werden lediglich durch ihre Funktion definiert. Dazu muss ein geeignetes Verfahren ausgewählt werden. wie diese Zugangspunkte an das LAN angeschlossen werden. sowie die darüber zugreifbaren Ressourcen sind zu dokumentieren. Im Rahmen der Sicherheitskonzeption sind alle VPN-Zugangspunkte zum lokalen Netz zu erfassen und es ist zu beschreiben. da die Verschlüsselung transparent erfolgt und die Endsysteme nicht belastet werden. die über den VPN-Zugang zugelassen werden. Relevant sind hier unter anderem: • • • Tunneling: Die Kommunikation kann auf niedriger Protokollebene verschlüsselt werden (so genanntes Tunneling). Das Sicherheitskonzept muss aufbauend auf der aktuellen Netzstruktur analysieren. Die Bildung von Zugangsnetzen erfordert dabei die Anschaffung und Wartung zusätzlicher Hard. Es sollte überlegt werden. die standardmäßig TLS/SSL-gesicherte Kommunikation unterstützen. wie das VPN durch Hardware. aus denen nur kontrolliert (über Router. MPLS (Multi Protocol Label Switching) oder dedizierte Leitungen benötigt. welche Teilnetze bei Nutzung eines VPN-Zugangs erreichbar sind. Die Auswahl ist davon abhängig. dedizierte Zugangsnetze (Access Networks) zu bilden. und die dafür verwendeten Zugangsprotokolle sind zu beschreiben. die die Einwahl in das LAN ermöglichen. Im Rahmen einer nachgeschalteten Analyse vorhandener Systemkomponenten und am Markt beschaffbarer neuer Komponenten können die Elemente des Konzeptes tatsächlichen Geräten und Software-Produkten zugeordnet werden Alle potentiellen VPN-Endpunkte. Verschlüsselung durch Netzkoppelelemente: Neben der Absicherung der Kommunikation durch Software kann auch der Einsatz von verschlüsselnden Netzkoppelelementen (Router.Das technische Konzept sollte folgende Punkte beinhalten bzw. Diese sind besonders für den stationären Einsatz und zur Anbindung mehrerer Rechner sinnvoll. Dies gilt besonders für Zugriffe auf Webserver oder E-Mail-Server über Browser. Die herkömmlichen VPNs stellen solche Verfahren standardmäßig. welche Applikationen eingesetzt werden sollen. Zu beachten ist jedoch. wenn von der Verschlüsselung auf niedriger Protokollebene aus bestimmten Gründen kein Gebrauch gemacht werden kann.

Die VPN-spezifischen Vorgaben können in den vorhandenen Richtlinien ergänzt oder in einer eigenen Richtlinie zusammengefasst werden. wer in der Institution VPN-Komponenten installieren. Alle VPN-BenutzerInnen sollten darauf hingewiesen werden. Dazu sind auch eine Vielzahl von Randbedingungen festzulegen wie z. B. End-to-Site). ob die Verbindung über dedizierte CarrierLeitungen realisiert werden muss. • • • welche Informationen über VPNs übertragen werden dürfen. Die korrekte Umsetzung der in der VPN-Sicherheitsrichtlinie beschriebenen Sicherheitsmaßnahmen sollte regelmäßig kontrolliert werden. Um einen stabilen Betrieb und eine kontinuierliche Verbesserung gewährleisten zu können. Es muss entschieden werden. 329 . Die aus den Monitoring-Systemen gewonnenen Erkenntnisse tragen wesentlich zur Feinabstimmung des VPN-Betriebs bei Das VPN-Sicherheitskonzept sollte folgende Punkte beinhalten bzw. anhand der Anforderungen muss entschieden werden. wo die VPN-Komponenten benutzt werden dürfen. Diese Entscheidung hat in der Regel erheblichen Einfluss auf die Kosten. Diese VPN-spezifischen Sicherheitsrichtlinien müssen konform zum generellen Sicherheitskonzept und den allgemeinen Sicherheitsrichtlinien der Institution sein. konfigurieren und benutzen darf. End-to-End. sollten geeignete Monitoring-Systeme eingeplant werden. Auch bei direkten Einwahlverfahren beispielsweise über analoge Telefonnetze oder ISDN ist eine Verschlüsselung zum Schutz der Daten erforderlich. • • • • auf welche anderen internen oder externen Netze oder IT-Systeme über ein VPN zugegriffen werden darf. regeln: • • Für den Einsatz von VPN-Komponenten in Behörden und Unternehmen müssen geeignete Sicherheitsrichtlinien aufgestellt werden. damit dieser weitere Schritte unternehmen kann Administratoren. geschult werden. dass bei einem Verdacht auf Sicherheitsprobleme ein Sicherheitsverantwortlicher hierüber informiert werden muss. Es gibt verschiedene Arten von VPNs (Site-to-Site. Sie müssen regelmäßig auf Aktualität überprüft und gegebenenfalls angepasst werden. Es sollte beschrieben sein. welcher VPN-Typ realisiert werden soll. aber auch BenutzerInnen von VPN-Komponenten sollten über VPN-Gefährdungen und die zu beachtenden Sicherheitsmaßnahmen informiert bzw.• • • dass die Netzkoppelelemente sorgfältig konfiguriert und gewartet werden müssen. Für alle VPN-Komponenten sollten Sicherheitsmaßnahmen und eine StandardKonfiguration festgelegt werden.

BenutzerInnen sollten darauf hingewiesen werden. wer für die Administration der unterschiedlichen VPN-Komponenten zuständig ist. Ungeeignete Standorte können je nach Einsatzzweck z. • welche Schritte bei (vermuteter) Kompromittierung des VPN-Clients zu unternehmen sind. und • alle Freigaben von Verzeichnissen oder Diensten deaktiviert oder zumindest durch gute Passwörter geschützt sind. und wann welche Informationen zwischen den Zuständigen fließen müssen. nur durch die hierfür benannten Administratoren. In einer solchen BenutzerInnenrichtlinie sollten dann kurz die Besonderheiten bei der VPN-Nutzung beschrieben werden. die auch als Grundlage für die Schulung der Administratoren dienen kann. fremd-administrierte IT-Systeme können ebenso ungeeignet sein. eine vorhandene Personal Firewall nicht abgeschaltet werden darf • • die Konfiguration der VPN-Clients nicht von den BenutzerInnen verändert werden darf. Darin sollte festgelegt sein. dass • • • • • • • keine sicherheitsrelevanten Konfigurationen verändert werden dürfen. Außerdem sollte die BenutzerInnenrichtlinie Angaben dazu enthalten. So ist es durchaus üblich.• Um BenutzerInnen nicht mit zu vielen Details zu belasten. Hotel-Business-Center oder öffentliche Verkehrsmittel sein. welche Schnittstellen es zwischen den am Betrieb beteiligten Administratoren gibt. es sei denn mit von dafür freigegebenen Passwort-Speicher-Tools stets ein Virenscanner aktiviert sein muss. Passwörter nicht auf dem Client gespeichert werden dürfen. Daneben sollte eine VPN-spezifische Richtlinie für Administratoren erstellt werden. B. wie z. z. beispielsweise Verschlusssachen. • unter welchen Rahmenbedingungen sie sich an einem internen oder externen VPN anmelden dürfen. in Form eines Merkblattes. kann es sinnvoll sein. dass klar beschrieben wird. dass für den Betrieb der serverseitigen Komponenten eine andere 330 . welche Daten im VPN genutzt und übertragen werden dürfen und welche nicht. Hotel-Foyers. dass VPNs nur von geeigneten Standorten und mit von der Institution dafür zugelassenen ITKomponenten aufgebaut werden dürfen. BenutzerInnen sollten für VPN-Gefährdungen sowie für Inhalte und Auswirkungen der VPN-Richtlinie sensibilisiert werden. Hierzu gehört vor allem der Umgang mit klassifizierten Informationen. B. wie mit Client-seitigen Sicherheitslösungen umzugehen ist. an welche anderen internen und externen Netze oder IT-Systeme der VPNClient gekoppelt werden darf. vor allem. wer zu benachrichtigen ist. Wichtig ist auch. B. Dazu gehört beispielsweise. eine eigene VPN-BenutzerInnenrichtlinie zu erstellen.

2] 10. Dementsprechend unterscheiden sich die Anforderungen der Institutionen und müssen bei der Auswahl von VPN-Produkten berücksichtigt werden. Regelmäßige Auswertung von Protokolldateien.3 Auswahl einer geeigneten VPN-Systemarchitektur ISO Bezug: 27002 10. Inbetriebnahme von Ersatzsystemen. dass sie den Inhalt der VPN-Sicherheitsrichtlinie gelesen haben und die darin definierten Anweisungen auch einhalten. Typische VPN-Nutzungsszenarien: Nachfolgend werden einige Einsatzszenarien.2. Die VPN-Planung muss der Leitungsebene zur Entscheidung vorgelegt werden. Alle Entscheidungen müssen nachvollziehbar dokumentiert werden.10. zumindest auf den Servern.Organisationseinheit zuständig ist als für die Betreuung der VPN-Clients oder für das Identitäts. Alle VPN-AnwenderInnen. • Mobile MitarbeiterInnen: 331 . B. sollten mit ihrer Unterschrift bestätigen. Maßnahmen bei Kompromittierung des VPNs. wie beispielsweise die Vernetzung unterschiedlicher Standorte und die Anbindung mobiler Mitarbeiter oder Telearbeitern an das interne Netz. Die VPN-Richtlinie für Administratoren sollte weiterhin die wesentlichen Kernaspekte zum Betrieb einer VPN-Infrastruktur umfassen. • • • • • • • Festlegung einer sicheren VPN-Konfiguration und Definition von sicheren Standard-Konfigurationen. Ohne diese schriftliche Bestätigung sollte niemand VPNs nutzen dürfen. [eh SYS 7. wie z.und Berechtigungsmanagement. aufzubewahren. beispielsweise in der Personalakte. 11.4 Unternehmen und Behörden haben vielfältige Anforderungen an Netze.6. beschrieben. egal ob BenutzerInnen oder Administratoren. Die unterschriebenen Erklärungen sind an einem geeigneten Ort. geeignete Verwaltung aller VPN-Komponenten.6. in denen VPNs üblicherweise eingesetzt werden. Auswahl und Einrichtung von Kryptoverfahren inklusive Schlüsselmanagement.

Zusätzlich müssen die Netze und die Client-Systeme der Standorte mittels Sicherheitsgateways gegen Angriffe aus dem Internet gesichert werden. häufig über ein unsicheres öffentliches Transportnetz verbunden. z.und Partner-Anbindung:: Häufig sollen Kunden oder Partner an das interne Netz einer Institution angebunden werden. muss gewährleistet werden. dass sich die MitarbeiterInnen von beliebigen Arbeitsorten. so dass diese aus einem nur eingeschränkt vertrauenswürdigen Netz. In beiden Fällen bestehen • • 332 . Hierbei werden die vertrauenswürdigen LANs.• • • Mobile MitarbeiterInnen arbeiten an wechselnden Arbeitsplätzen in unterschiedlichen Umgebungen und benötigen dabei unter Umständen einen Fernzugriff auf Daten im LAN innerhalb der Institution. Die IT-Systeme des Telearbeitsplatzes sollten zentral administriert werden. h. B. sollen externe Datenbanken abgefragt werden. B. Beispielsweise könnten alle IT-Systeme. Die Endgeräte der Mitarbeiter sind typischerweise Laptops oder PDAs. z. Die Fernwartung (Wartung. Neben der Absicherung solcher Verbindungen muss auch die Sicherheit des Endgeräts sowie dessen Einsatzumgebung beachtet werden. abgerufen werden können. d. Telearbeitsplatz: Bei der Anbindung eines Telearbeitsplatzes greift ein Client-System von einem festen Arbeitsort außerhalb der Büroumgebung auf das interne Netz einer Institution zu. • Aus dem vertrauenswürdigen Netz heraus. • Auf internen Systemen soll durch externe Firmen Software entwickelt werden. Fernwartung: Bei der Durchführung von Fernwartungstätigkeiten sind privilegierte Administratorzugänge auf interne Systeme erforderlich. Standortvernetzung:: Bei der Standortvernetzung werden Teilnetze an unterschiedlichen Standorten einer Institution miteinander verbunden. Folgende Szenarien sind typisch Es sollen bestimmte interne Informationen bereitgestellt werden. Support und Betrieb) interner Systeme kann durch eigene oder fremde MitarbeiterInnen durchgeführt werden. die unter eigener Kontrolle stehen. auf die Kunden oder Partner zugreifen können. Je nach Aufgabengebiet kann es sein. öffentliche Netze. einem Hotel oder Flughafen. von "innen". Da die IT-Systeme der Kunden oder der Partner nicht unter der Kontrolle der Institution stehen. d. Kunden. von "außen". In diesem Szenario ist besonders der Transportkanal abzusichern. ins interne Netz einwählen möchten. dass mit einem Sicherheitsgateway (Firewall) vom LAN der Institution getrennt ist. Die Kommunikation zwischen Telearbeitsrechner und LAN erfolgt normalerweise über unsichere. dass nur auf die freigegebenen Ressourcen zugegriffen werden kann. in einem separaten Netz betrieben werden. um Waren aussuchen und bestellen zu können. h.

Der initiierende Endpunkt wird als VPN-Client bezeichnet. die IT-Systeme zu warten. VPN-Typen VPNs können eingesetzt werden. denkbar. Werden fremde MitarbeiterInnen beauftragt. Je nachdem. zu dem die Verbindung aufgebaut wird.und End-to-Site-VPNs unterschieden. Typische Verwendungen für End-to-End-VPNs sind: 333 . die Datenflusskontrolle und die Verfügbarkeit der Anbindung. je nach Anwendungsgebiet. wird zwischen Site-to-Site-. über einen geschützten Kanal an ein zentrales LAN anzubinden. End-to-End-VPN End-to-End-VPNs werden meist für die Nutzung einzelner Anwendungen verwendet. verschlüsselt übertragen werden. Outsourcing berücksichtigt werden.hohe Anforderungen an die Authentisierung des entfernten Benutzers. um die Kommunikation einzelner Protokolle und Anwendungen zu schützen. Bei den VPN-Endpunkten muss für eine sichere Authentisierung gesorgt werden. VPNs werden häufig auch verwendet. Der Transportkanal wird durch VPN-Gateways in den angeschlossenen Netzen gesichert. Die Signalisierung und der Medientransport einer VoIPVerbindung könnten ebenfalls in einem VPN-Tunnel gebündelt und verschlüsselt werden. Es werden netzübergreifende Zugriffe benötigt. fungiert als VPN-Server. welche Systeme den Endpunkt der VPN-Verbindung darstellen.3. müssen die Empfehlungen aus10. um gemeinsame Anwendungen betreiben bzw. Die Vernetzung der einzelnen VPN-Endpunkte untereinander muss anhand der Ergebnisse der Anforderungsanalyse durchgeführt werden. Derjenige Endpunkt. das unabhängig vom WLAN ist. nutzen zu können. die sich in unsicheren Netzen befinden. beispielsweise eines RADIUS-Servers. Unterstützen beispielsweise die vorhandenen WLAN-Komponenten selbst keine sichere Verschlüsselung. damit nur Berechtigte sich über das VPN einwählen können. VPN-Endpunkte Bei den VPN-Endpunkten wird grundsätzlich zwischen VPN-Server und VPNClient unterschieden. Ein derartiger VPNClient greift oft sehr stark in das installierte Betriebssystem ein. Eine typische Verwendung für Verbindungen zwischen LANs ist die Anbindung von Außenstellen oder Filialen an das institutionsinterne Netz. Die parallele Installation mehrerer unterschiedlicher VPN-Clients auf einem Endgerät sollte daher vermieden werden. VPN-Endpunkte lassen sich entweder per Software oder per Hardware realisieren. um entfernte physische Netze zu einem logischen zusammenzufassen oder um einzelne Endgeräte. End-to-End. könnte die gesamte WLAN-Kommunikation mit einem VPN. • • Site-to-Site-VPN Mit Site-to-Site-VPNs werden Netze gekoppelt. auch der Einsatz eines Authentisierungsservers. Die Verbindungen lassen sich auf spezielle Systeme und Dienste beschränken. Hierbei ist. Bei MitarbeiterInnenn im Außendienst besteht der VPN-Client in der Regel aus einer Software-Applikation auf einem mobilen IT-System.

• Fernwartung dedizierter Systeme. MPLS). Solche VPNs werden für Zugriffe eines Clients auf mehrere Anwendungen verwendet. End-to-Site-VPN (Remote-Access-VPN) End-to-Site-VPNs werden auch als Remote-Access-VPN (RAS-VPN) bezeichnet. VPN-Varianten werden häufig auch nach dem eingesetzten VPN-Protokoll benannt.3. Berechtigungen auf Administrator. bei der Zugriffe auf Administratorebene erforderlich sind. die nur über spezielle Einwahl-Knoten erreicht werden können. wenn die VPN-Verbindung zwischen verschiedenen Standorte durch vertrauenswürdige externe VPN-Dienstleister gewährleistet wird. B. Dadurch wird Zugriff auf das gesamte Netz benötigt.bzw. • Zugriffe auf einzelne Anwendungen oder Datenbanken. die vor unberechtigtem Zugriff geschützt sind. so dass meist VPN-Software auf dem Client-System und ein VPN-Gateway im LAN den Transportkanal sichern. Für mobile NutzerInnen stellen Dienstleister zudem VPNs über Gateway-Router bereit. 334 . wie beispielsweise TLS/SSL-VPN oder IPSec-VPN. Systemebene auf dem Terminalserver sind dafür normalerweise nicht erforderlich. Zusätzlich werden zwei grundlegende VPN-Varianten unterschieden: Trusted-VPN und SecureVPN. • Integration von Geschäftspartnern oder Kunden in Teilbereiche des zentralen Datennetzes einer Institution. Outsourcing berücksichtigt werden. VPNs werden als Trusted-VPN bezeichnet.bzw. • VPN-Varianten Der Begriff VPN wird oft als Synonym für verschlüsselte Verbindungen verwendet. wie beispielsweise spezielle Funktionen des genutzten Transportprotokolls. Systemebene häufig nicht erforderlich. Dabei werden die Daten aus dem vertrauenswürdigen Netz in der Regel unverschlüsselt über einen dedizierten Kommunikationskanal zu einem Gateway-Router des Anbieters geleitet. • Zugriffe über Terminalserver. Durch Fernzugriff auf ein entferntes System können viele dort installierte Anwendungen genutzt werden. die auf unterschiedlichen IT-Systemen im LAN einer Institution liegen. Die Bildung des VPNs erfolgt durch logische Abschottung des VPN-Datenverkehrs vom übrigen Datenverkehr (z. ein Trusted-VPN zur Verfügung zu stellen. sollte zusätzlich Kapitel 10. Hierbei sind Berechtigungen auf Administrator. TelearbeiterInnen und mobile BenutzerInnen werden in der Regel mit End-to-Site-VPNs in das LAN integriert. mittels Multiprotocol Label Switching. Wird ein externer Dienstleister beauftragt. Zur Absicherung des Transportkanals können jedoch auch andere Methoden eingesetzt werden.

handelt es sich um eine Sonderform eines Trusted-VPNs. Diese Lösung wird auch als Secure-VPN bezeichnet. Diese Komponenten können oft auf handelsüblicher Hardware mit Standardbetriebssystemen installiert werden. nachträglich spezielle HardwareVerschlüsselungsmodule zur Steigerung der Performance einzubauen. So bietet ein Trusted-VPN zum Beispiel keinen Schutz gegen Innentäter des Anbieters. die im eigenen Verantwortungsbereich des VPN-Nutzers liegt. Werden für die Realisierung des VPNs dedizierte Carrier-Leitungen eingesetzt. Auch in diesem Fall müssen vertrauliche Daten vor der Übertragung durch Verschlüsselung geschützt werden. ob das gewählte VPN-Produkt ein dediziertes VPN-Gerät. ein Kombi-Gerät oder eine softwarebasierte VPN-Lösung auf Standard-IT-Systemen (z. wie beispielsweise Inhaltsfilterung auf Anwendungsebene. Manche Kombi-Geräte bieten die Möglichkeit. Application Level Gateways. VPNs auf Basis von Standard-IT-Systemen: VPN-Geräte können mit frei verfügbaren oder kommerziellen SoftwareKomponenten selbst zusammengestellt werden. die über eine VPN-Funktionalität verfügen oder entsprechend erweitert werden können. dass sie für den VPN-Einsatz optimiert sind und die sichere Konfiguration vereinfacht wird. Bei einer intensiven VPN-Nutzung ist daher zu prüfen. dass die unterschiedlichen Funktionalitäten gemeinsam an einer Stelle administriert werden können. ob aus Gründen der Verfügbarkeit oder des Durchsatzes eigenständige VPN-Komponenten vorzuziehen sind.Für vertrauliche Daten sind Trusted-VPNs ohne zusätzliche Verschlüsselung auf der Anwendungsschicht nicht geeignet. da beispielsweise das Betriebssystem bereits gehärtet ist. Für die vertrauliche Datenkommunikation empfiehlt sich daher ein Secure-VPN. Die Abhängigkeit von Dritten in Bezug auf Vertraulichkeit kann vermieden werden. wenn die Kommunikation an den Endpunkten der Verbindung durch Verschlüsselung geschützt wird. Zusammengestellte VPN-Geräte bieten eine hohe Flexibilität und 335 . die im eigenen Verantwortungsbereich des VPN-Nutzers liegt. da die Sicherheit solcher Verbindungen ausschließlich in Händen des VPN-Dienstleisters liegt. Kombi-Geräte: Integrierte VPN-Geräte können beispielsweise Router und andere Komponenten von Sicherheitsgateways (z. VPN-Appliances haben den Vorteil. ALGs) darstellen. Linux mit IPSec) sein soll: • • • Dedizierte VPN-Gateways (Appliances): Diese VPN-Produkte dienen ausschließlich der Realisierung von VPNVerbindungen und bieten keine darüber hinausgehenden Funktionalitäten. B. B. Kombi-Geräte haben neben den finanziellen Aspekten oft den Vorteil. Die Verschlüsselung kann an den VPN-Endpunkten auf Transportebene (Secure-VPN) oder auf Anwendungsebene erfolgen. VPN-Geräte Grundsätzlich muss eine Entscheidung darüber getroffen werden. Die Kombination verschiedener Funktionalitäten auf einem Gerät kann jedoch zu Lasten der Performance gehen.

Ein weiterer Nachteil ist. Wichtig ist dabei. um geheime und öffentliche Schlüssel für die kryptographischen Mechanismen verwalten. Daraus können sich Sicherheitsrisiken beim Einsatz eines zusammengestellten VPNGerätes ergeben. Remote-Zugriffe sollten durch eine starke Authentisierung abgesichert werden. QoS): Im Zusammenhang mit Netzübergängen ist der Begriff Dienstgüte als Überwachung und Steuerung der Kommunikation zu verstehen. Übertragungssicherung: Zur Übertragungssicherung kommen Funktionen zum Einsatz. Bei der Planung und Realisierung des VPNs muss außerdem die Integration der VPN-Endpunkte in ein Sicherheitsgateway berücksichtigt werden. dass das Produkt sichere kryptographische Mechanismen bietet. Es muss möglich sein. die festgelegten Zugriffsrechte auf den VPN-Komponenten abbilden zu können. verteilen und eventuell auch erzeugen zu können. Hardware. Folgende Sicherheitsgrundfunktionen müssen bei der Auswahl von VPN-Produkten erfüllt werden: • • • • Identifikation. welche die Vertraulichkeit und Integrität der Daten sichern. Betriebssystem. VPN-Software) kontaktiert werden müssen. die dem Stand der Technik entsprechend. Dienstgüte (Quality of Service. Schlüsselmanagement: Zum Schlüsselmanagement müssen geeignete Funktionen vorhanden sein. dass bei Support-Anfragen meist unterschiedliche Ansprechpartner für die einzelnen Komponenten des VPNGerätes (z. von Systemen gegenüber BenutzerInnen und von BenutzerInnen gegenüber Systemen. Die Installation und Integration der benötigten Komponenten kann jedoch fehlerträchtig sein. B. Die ausgewählten Produkte sollten dabei möglichst flexibel sein und eine nahtlose Integration verschiedenster Techniken ermöglichen. Authentisierung und Autorisierung: Hierunter fallen die Identifikation und Authentisierung von Systemen untereinander. Es sollten ausreichend starke anerkannte Authentisierungsverfahren vorhanden sein. verschiedene Benutzerkennungen mit unterschiedlichen Rechteprofilen einzurichten. Es muss außerdem möglich sein. 336 . Ein geeignetes Produkt muss die bei der VPNKonzeption ermittelten Anforderungen erfüllen können und eine Priorisierung von geschäftskritischen Applikationen ermöglichen. Außerdem muss die Authentizität der Kommunikationspartner gewährleistet werden.sind für viele Anwendungsfälle gut geeignet. die über ein Sicherheitsgateway erfolgen darf.

Hotline) an. bei Problemen sofort zu helfen? Zuverlässigkeit/Ausfallsicherheit • • • • Ist das Produkt einfach wartbar? Bietet der Hersteller regelmäßige Software-Updates an? Wird für das Produkt ein Wartungsvertrag angeboten? • • • • • • • Wie zuverlässig und ausfallsicher ist das Produkt? Bietet der Hersteller auch Hochverfügbarkeitslösungen an? Ist das Produkt im Dauerbetrieb einsetzbar? Benutzerfreundlichkeit Lässt sich das Produkt einfach installieren. konfigurieren und nutzen? Genügt das Produkt den geltenden Ergonomievorschriften? Ist insbesondere für den VPN-Client die Benutzerführung so gestaltet. durch modularen Systemaufbau. gemeinsame Benutzerverwaltung für alle VPN-Zugänge)? Wartbarkeit • • • Kann das Produkt den Ansprüchen an die Performance gerecht werden? Bietet das Produkt Funktionen zur Lastverteilung? • Können im Rahmen der Wartungsverträge maximale Reaktionszeiten für die Problembehebung festgelegt werden? • Bietet der Hersteller einen kompetenten technischen Kundendienst (CallCenter. Neben den hier aufgeführten Kriterien müssen weitere spezifische Anforderungen erarbeitet werden. der in der Lage ist. die aus den geplanten konkreten Einsatzszenarien resultieren. detaillierte Fehlermeldungen)? Ist die Nutzung des VPN-Clients so konfigurierbar. B. B.Die nun folgende Liste gibt einen Überblick über mögliche allgemeine Bewertungskriterien. einfaches Einbinden neuer VPN-Server. dass die BenutzerInnen möglichst wenig mit technischen Details belastet werden? Ist die Sicherheit dabei trotzdem immer gewährleistet? 337 . durch kontextsensitive Hilfen. • • Allgemeine Kriterien Performance und Skalierbarkeit • Können die Produkte die zu übertragenen Informationen komprimieren und dekomprimieren? • Kann das Produkt einem zukünftigen Wachstumsbedarf gerecht werden (z. erhebt jedoch keinen Anspruch auf Vollständigkeit und kann um weitere allgemeine Anforderungen erweitert werden. ohne Abstriche in der Sicherheit in Kauf nehmen zu müssen (z. dass auch ungeübte BenutzerInnen damit arbeiten können. Online-Dokumentation.

wie sich das System nach einem kritischen Fehler verhalten soll? Kann z. unsichere oder inkonsistente Konfigurationen hingewiesen wird oder diese verhindert werden? • Wird neben der graphischen Administrationsoberfläche auch eine kommandozeilenbasierte Schnittstelle angeboten? • Sind die administrativen Funktionen durch eine adäquate Zugriffskontrolle geschützt? Protokollierung • • • • • • Bietet das Produkt geeignete Funktionen zur Protokollierung an? Ist konfigurierbar. dienstorientiert)? 338 . die sich intuitiv bedienen lässt? Ist die administrative Schnittstelle so gestaltet. B. dass nach einem kritischen Fehler automatisch ein Neustart durchgeführt oder der Administrator benachrichtigt wird? Administration Enthält die mitgelieferte Produktdokumentation eine genaue Darstellung aller technischen und administrativen Details? • Kann die Administration über eine graphische Benutzeroberfläche erfolgen. verbindungsorientiert. wie detailliert die Protokollierung erfolgt und welche Arten von Ereignissen aufgezeichnet werden? Werden durch die Protokollierung alle relevanten Daten erfasst? Ist die Protokollierung in der Weise möglich. dass die Daten nach unterschiedlichen Kategorien erfasst werden können (z. B.und Software zusammen (Betriebssysteme. Treiber)? Ist das VPN mit gängigen Systemmanagementsystemen kompatibel? Verhalten im Fehlerfall Bleibt die Sicherheit des VPN-Zugangs auch nach einem kritischen Fehler gewährleistet? • Kann konfiguriert werden. eingestellt werden.• • Funktion Installation und Inbetriebnahme • • • • • • • Kann die Installation der VPN-Client-Software automatisiert mit vorgegebenen Konfigurationsparametern erfolgen? Ist die Installation der VPN-Client-Software auch für weniger versierte MitarbeiterInnen durchführbar? Können wichtige Konfigurationsparameter vor Veränderungen durch BenutzerInnen geschützt werden? Arbeitet das Produkt mit gängiger Hard. dass auf fehlerhafte. benutzerorientiert. Einsteckkarten . protokollorientiert.

angepasst werden? Kommunikation und Datenübertragung Unterstützt das VPN-Produkt LAN-seitig alle relevanten Netzwerktechnologien (z. Kanalbündelung für ISDN. L2F. B. B. Ethernet. PPTP. ausreichend? • Unterstützt das VPN-Produkt die gängigen Protokolle für den entfernten Zugang über Telekommunikationsnetze (z. B. technologieabhängige Mechanismen (z. X. die sich gleichzeitig in den VPN-Server einwählen können. • Kann die Protokollierung an die spezifischen Bestimmungen des Datenschutzes. ISDN. B.25)? • Ist die Anzahl der VPN-Clients. beim Auftreten bestimmter Ereignisse den Administrator zu informieren oder auch geeignete Schutzmaßnahmen automatisch durchzuführen? Beispielsweise ist es oft sinnvoll. B. SLIP)? • Unterstützt das VPN-Produkt die gängigen Dienstprotokolle für den entfernten Zugriff (z. insbesondere hinsichtlich Übertragungsformat und Übertragungsprotokoll? • Bietet das Produkt die Möglichkeit an. sondern auch auf entfernten Rechnern (zentrales Protokoll)? Werden für die entfernte Speicherung gängige Verfahren angeboten. die für und in der Institution gelten. syslog)? Können die Protokolldaten abgesichert übertragen werden? • Bietet das Produkt leicht bedienbare Funktionen zur Auswertung der Protokolldaten an? • Kann die Protokollierung mit dem eingesetzten Systemmanagementsystem zusammenarbeiten. PPP. so dass auch Fremdsysteme zur Protokollierung benutzt werden können (z. IPSec. analoge Telefonleitung. SSL) unterstützt? • Bietet das VPN-Produkt je nach verwendeter Zugangstechnologie zusätzliche. Rückruf des VPN-Clients durch den VPN-Server) an? Sicherheit: Kommunikation. TCP/IP)? • Werden für den Internet-basierten Zugriff die gängigen Tunnel-Protokolle (z. ATM)? • Unterstützt das VPN-Produkt WAN-seitig alle geplanten Zugangstechnologien (z.• Können die Protokolldaten nicht nur lokal gespeichert werden. B. ein Benutzerkonto zu sperren. Authentisierung und Zugriff • • Sind die Protokolldaten mit einem Zugriffsschutz versehen? • • • • Bietet das Produkt geeignete Funktionen zur gesicherten Datenübertragung an? Erfolgt die Absicherung der Kommunikation durch standardisierte Mechanismen? 339 . B. Mobiltelefon. wenn mehrere fehlgeschlagene Authentisierungsversuche in Folge für das jeweilige Benutzerkonto festgestellt werden.

3] 10. Analog kann auch der Erfüllungsgrad einer Anforderung durch das jeweilige Produkt in mehrere Stufen eingeteilt werden. SecureID. 340 . Die Entscheidung muss daher gut überlegt sein. inwieweit sie diese Anforderungen erfüllen.6. RADIUS? Ist es möglich.6. Es ist zu erwarten.B. so müssen die am Markt erhältlichen Produkte dahingehend untersucht werden. 11.• • • • • • • Sind alle verwendeten kryptographischen Verfahren etabliert.11 Remote Access (VPN) . MOA-ID) einzubinden? Sind alle Anforderungen an das zu beschaffende Produkt dokumentiert. Vor der Installation muss überprüft werden.Implementierung ISO Bezug: 27002 10. dass neue Authentisierungsmechanismen nachträglich integriert werden können? Erlaubt das VPN die Nutzung eines oder mehrerer gängiger externer Authentisierungsdienste. Auf der Grundlage der durchgeführten Produktbewertung kann dann eine fundierte Kaufentscheidung getroffen werden. da spätere Änderungen oft mit hohen Kosten oder auch mit Sicherheitseinbußen verbunden sind. ob die ausgewählten Produkte tatsächlich die Anforderungen ausreichend erfüllen und kompatibel mit den vorgesehenen Technologien sind. [eh SYS 7. TACACS+. Die Auswahl der VPN-Geräte stellt einen wesentlichen Aspekt für den reibungslosen Betrieb eines VPNs dar. dass nicht jedes Produkt alle Anforderungen gleichzeitig oder gleich gut erfüllt. bevor ihnen Zugang zu lokalen Ressourcen gewährt wird? Können mehrere Authentisierungsmechanismen miteinander verknüpft werden? Ist die Systemarchitektur so aufgebaut. B. sobald die erforderlichen Komponenten dafür beschafft worden sind (vgl.2. Grundvoraussetzung für den sicheren VPN-Betrieb ist.4 Mit dem Aufbau eines VPNs kann begonnen werden. zusätzliche externe Authentisierungsdienste (z. dass die Installation und Konfiguration aller Komponenten gewissenhaft erfolgt und sich mit den gewählten VPN-Produkten auch tatsächlich die geforderten Sicherheitsfunktionen umsetzen lassen. z. voranstehende Maßnahmen)). und entsprechen sie dem Stand der Technik? Erlaubt die Produktarchitektur eine nachträgliche Installation neuer Sicherheitsmechanismen? Bietet das Produkt geeignete Funktionen zur Authentisierung der BenutzerInnen. Daher sollten die einzelnen Anforderungen entsprechend ihrer Relevanz für die Institution gewichtet werden.

Dies kann vor allem dann schwierig sein. dürfen nur von qualifiziertem IT-Personal installiert werden. Abweichungen von der festgelegten Systemarchitektur (beispielsweise zusätzliche Verbindungen) müssen hierbei begründet und dokumentiert werden. 10. die für die IT-Komponenten zu beachten sind. Es dürfen in dieser Phase also keine Verbindungen zu anderen Netzen vorhanden sein. B. ob die nötigen Personalressourcen für eine VPN-Installation auch in anderen Ländern zur Verfügung stehen. wenn die zu vernetzenden Standorte geografisch weit voneinander entfernt sind. Beispielsweise muss geklärt werden. Die korrekte Funktion jeder einzelnen Komponente muss überprüft werden (z. 10. 341 . Selbsttests oder Lasttests). beispielsweise Laptops von AußendienstmitarbeiterInnenn. sollten im Rahmen der Installation einesVPN-Systems folgende Punkte Beachtung finden: • • • • • Während der Installationsphase sollten weder BenutzerInnen noch Dritte auf das VPN oder Teile davon zugreifen dürfen. z. 11. Dies betrifft besonders IT-Systeme. Firmware-Updates eingespielt werden. auf denen ein Standard-Betriebssystem installiert ist und das als VPN-Endpunkt betrieben wird (Beispiel: Linux-System mit VPN-Unterstützung). auf denen die VPN-Komponenten eingesetzt werden. Die Qualität der Dokumentation spielt im Hinblick auf die kontinuierliche Verbesserung des VPNs eine wesentliche Rolle.10.1 Sichere Installation des VPN-Systems ISO Bezug: 27002 10. Die Installation und Konfiguration der VPN-Komponenten ist zu dokumentieren. für die Konfiguration des Betriebssystems. Daher sind zunächst die generellen Sicherheitsmaßnahmen für jedes dieser Betriebssysteme umzusetzen. bei denen die Konfiguration der Plattform vom Hersteller vorgegeben ist und nicht geändert werden kann (VPNAppliances). Der Einsatz solcher VPN-Geräte spart einerseits Zeit und es wird im Gegensatz zu einer individuellen Lösung weniger fachkundiges IT-Personal benötigt. dass die Installation aller VPN-Komponenten durch qualifiziertes Personal durchgeführt wird. wie sie in den jeweiligen Bausteinen der IT-Grundschutz-Kataloge beschrieben werden. Es muss sichergestellt werden. B.Zusätzlich muss die Sicherheit der IT-Systeme gewährleistet werden.6. durch Funktionsprüfungen bzw. Dies kann entweder durch eine separate Installationsdokumentation erfolgen oder aber durch eine Bestätigung. Andererseits muss beim Einsatz von Appliances den Vorgaben des Herstellers vertraut werden. Es gibt auch VPN-Komponenten. dass die Installation mit den Planungsvorgaben übereinstimmt.4 Zusätzlich zu den generellen Sicherheitsmaßnahmen. Bei den eingesetzten Produkten müssen vor der Inbetriebnahme alle aktuellen sicherheitsrelevanten Patches bzw.11. Auch VPN-Endpunkte auf mobilen IT-Systemen.6.2.

Ebenfalls ist es empfehlenswert. Nach Abschluss der Installation ist die korrekte Funktion des Gesamtsystems zu überprüfen (Abnahme und Freigabe der Installation). Das Ändern eines Konfigurationsparameters bei einer Komponente kann im Zusammenspiel mit den anderen Komponenten zu Sicherheitslücken. Vielmehr wird die Konfiguration üblicherweise fortlaufend geändert. Unabhängig davon. Es ist Aufgabe der für das VPN zuständigen Administratoren.4 Alle VPN-Komponenten müssen sorgfältig konfiguriert werden. neue Nutzungsszenarien.6.11. kann nicht davon ausgegangen werden. muss es in einer vom Produktivnetz getrennten Umgebung aufgebaut und entsprechend getestet werden. Bei allen durchgeführten Tests ist darauf zu achten.2 Sichere Konfiguration des VPN-Systems ISO Bezug: 27002 10. 11. dass jeweils nur 342 . Beispielsweise sollten die Verschlüsselung der Verbindung sowie die eingesetzten Authentisierungsfunktionen mittels eines Netzanalyse-Tools überprüft werden Bevor das System in den Produktiveinsatz genommen wird. dass nur die zum Test befugten Personen Zugriff auf das VPN erhalten. Der Verlust der Vertraulichkeit von Informationen oder der Datenintegrität ist ebenfalls denkbar. ob es sich bei VPN-Komponenten um dedizierte Hardware (Appliances) oder softwarebasierte Systeme handelt. Diese muss das System in einen sicheren Betriebszustand überführen. durch Personaländerungen. Systemerweiterungen).2. so kann mit der in der Folge beschriebenen sicheren Konfiguration des VPNs begonnen werden. B. Für den reibungslosen Betrieb des VPNs sind die in 10.• • Für jede sicherheitsrelevante Einstellung muss ein Funktionstest der Sicherheitsmechanismen durchgeführt werden. Da die Konfiguration eines VPN-Systems in der Regel Veränderungen unterworfen ist (z. Die dabei gewonnenen Erkenntnisse und Korrekturmaßnahmen müssen angemessen dokumentiert und in das Feinkonzept eingearbeitet werden. Ist die grundlegende Installation erfolgt.6. da es durch eine ungeeignete Konfiguration von VPN-Komponenten zu einem Verlust der Verfügbarkeit des Netzes oder Teilen davon kommen kann. die einmal eingestellt und nie wieder verändert wird. Fehlfunktionen und/oder Ausfällen führen. damit anschließend der laufende Betrieb aufgenommen werden kann.12 Sicherer Betrieb des VPN-Systems erwähnten Handlungsweisen essenziell. bereits in der Testumgebung Performance-Messungen und einen Testlauf der Schlüsselverteilung durchzuführen. dass es genau eine sichere (und statische) Konfiguration gibt. [eh SYS 7. Da ein VPN aus mehreren Komponenten und deren Konfiguration besteht.6.4] 10. ergibt sich eine erhöhte Komplexität der Gesamtkonfiguration. spielt daher die korrekte Konfiguration der beteiligten Komponenten eine wesentliche Rolle.

. Hier muss auch regelmäßig überprüft werden. 11. Im einfachsten Fall besteht die Notfallkonfiguration darin. Alle Änderungen und die jeweils aktuelle Einstellungen müssen nachvollziehbar dokumentiert sein. eine erste Betriebskonfiguration einzustellen. 11.7. Standardpasswörter müssen durch eigene. Sie dienen dazu. den Zugang zum VPNSystem zu sperren.11. ob neu bekannt gewordene Sicherheitslücken Anpassungen erfordern. Hier sollten möglichst restriktive Einstellungen gelten. Die Grundeinstellungen. 11.5.2 Sichere Konfiguration des VPN-Systems) der beteiligten Hard.B. 12.eine sichere Anfangskonfiguration durch die Administratoren eingestellt werden.ausgehend von der Default-Konfiguration . die vom Hersteller oder Distributor einer VPN-Komponente vorgenommen werden. für jede der definierten Situationen eine adäquate Notfallkonfiguration festzulegen. die das geplante Sicherheitskonzept umsetzt. In der Regel werden durch die Notfallplanung mehrere Notfallsituationen definiert. sind nicht unbedingt auf Sicherheit. Generell kann zwischen den folgenden Konfigurationskategorien unterschieden werden: • • • • Die Default-Konfiguration ergibt sich durch die vom Hersteller voreingestellten Werte für die Konfigurationsparameter.und Softwarekomponenten. Zusätzlich müssen alle organisatorischen Abläufe definiert 343 .4.1 Sichere Installation des VPN-Systems) und Konfiguration (vgl.6. 10. Voraussetzungen hierfür sind die sichere Installation (vgl. Schließlich sollten sichere Notfallkonfigurationen im Rahmen der Notfallplanung definiert und dokumentiert werden.6. Der erste Schritt bei der Grundkonfiguration muss daher sein.11. [eh SYS 7.6. die Grundeinstellungen zu überprüfen und entsprechend den Vorgaben der Sicherheitsrichtlinie anzupassen.2.sichere Versionen der Systemkonfiguration definiert werden und das System von einer sicheren Konfiguration in die nachfolgende sichere Konfiguration überführt wird.12 Sicherer Betrieb des VPN-Systems ISO Bezug: 27002 10.6. Die sicheren Betriebskonfigurationen ergeben sich aus den jeweiligen Konfigurationen im laufenden Betrieb.5] 10.3 VPNs sind aufgrund der übertragenen Daten attraktive Ziele für Angreifer und müssen daher sicher betrieben werden. 11. auch bei eingeschränkter Betriebsfähigkeit die Sicherheit aufrechtzuerhalten. sondern auf eine einfache Installation und Inbetriebnahme optimiert.6.10. um z. so dass nur die berechtigten Administratoren Veränderungen vornehmen können. ausreichend komplexe Passwörter ersetzt werden Nach der Installation und vor der Inbetriebnahme muss . Es empfiehlt sich.

B. die Sicherheit der VPN-Clients und die Sicherheit der Datenübertragung. damit die übertragenen Daten geschützt sind. Insbesondere mobile Clients sind hier einer besonderen Gefahr ausgesetzt. dass die angestrebte Systemsicherheit nur gewährleistet werden kann. die den Schutz des Clients gewährleisten können. müssen für diesen Fall spezielle Mechanismen. so sind sofort die vorher festgelegten Maßnahmen zu ergreifen. Weiterhin ist zu beachten. dass dadurch auch die Sicherheit des LANs beeinträchtigt wird. da diese physikalisch besonders leicht anzugreifen sind (Diebstahl. wenn auch die physikalische Sicherheit der beteiligten Hardware-Komponenten sichergestellt ist. Für jede Verbindungsaufnahme ist immer die Benutzer-Authentisierung über den gewählten Mechanismus durchzuführen. Da VPN-Clients in der Regel in nicht vollständig kontrollierten Umgebungen betrieben werden. Meldewege und Zuständigkeiten). Revision: Das VPN-System sollte in regelmäßigen Abständen einer Revision unterzogen werden. Im Umfeld des Servers sind folgende Empfehlungen für den sicheren Betrieb zu berücksichtigen: • • • • • • • Der VPN-Zugang sollte durch den Einsatz von Protokollierungs. so besteht die Gefahr. Die Sicherheit eines VPN-Systems lässt sich grob in drei Bereiche aufteilen: • • • die Sicherheit des VPN-Servers. muss die Konsistenz der Authentisierungsdaten sichergestellt sein. Sie sollten dabei nach Möglichkeit durch eine Software zur Auswertung von Protokollierungsdaten unterstützt werden. Werden Sicherheitsvorfälle festgestellt. Vandalismus). Für jede Verbindung sollte die Absicherung der Kommunikation durch eines der im VPN-Sicherheitskonzept erlaubten Verfahren erzwungen werden.und Management-Werkzeugen einer ständigen Überwachung unterliegen. Ist ein Client kompromittiert. Die Rollen Administrator und Revisor dürfen nicht der gleichen Person zugeordnet werden.und umgesetzt worden sein (z. Verfahren und Maßnahmen zum Einsatz kommen. Damit eine geregelte Benutzer-Authentisierung beim VPN-Zugriff möglich ist. Dies kann durch zentrale Verwaltung der Daten (Authentisierungsserver) oder durch periodischen Abgleich geschehen. Die Bestimmungen des Datenschutzes sind zu beachten. 344 . Die im Rahmen der Überwachung gesammelten Informationen sollten regelmäßig durch geschulte Administratoren kontrolliert werden.

Entfernte Rechner stellen jedoch erhöhte Anforderungen an das Systemmanagement. Andererseits können so einfach Software-Updates (Viren-Datenbanken. Dies erlaubt einerseits die Überwachung der Clients im Rahmen der Aufrechterhaltung des laufenden Betriebes. Auch VPN-Clients sollten in das Systemmanagement einbezogen werden. Es muss weiter davon ausgegangen werden. Es sollte überlegt werden. dass protokolliert werden muss. Hierzu bietet sich eine Festplattenverschlüsselung an. dass die Daten nicht nur über das Telekommunikationsnetz eines Anbieters 345 . für VPNClients feste IP-Adressen zu benutzen und diese nicht dynamisch zu vergeben.B. Da mobile VPN-Clients größeren Risiken ausgesetzt sind als stationäre. da diese nicht permanent mit dem Netz verbunden sind. Anderenfalls ist es meist nicht möglich festzustellen. so dass die Rechner regelmäßig auf (unzulässige) Konfigurationsveränderungen untersucht werden müssen. sollte der Regelsatz durch einen Administrator vorinstalliert werden. um eine neue Regel zu definieren.13 ff ) filtern PC-Firewalls die Pakete der Netzkommunikationsprotokolle. welcher VPN-Client eine bestimmte Aktion ausgeführt hat. mit dem die Verbindung aufgebaut werden soll. sollte überlegt werden. um sicherzustellen. Falls TCP/IP als Protokoll verwendet wird. Da es für den/die Benutzer/in jedoch in vielen Fällen schwierig ist. Hierzu wird bei jedem Zugriff.Für den sicheren Betrieb von VPN-Clients sind daher folgende Aspekte zu berücksichtigen: • • Die Grundsicherheit des IT-Systems muss gewährleistet sein. Anwendungsprogramme) auf geregeltem Weg eingespielt werden. Die Filterregeln können jedoch meist dynamisch durch den/die Benutzer/in erzeugt werden. Ähnlich wie herkömmliche Firewalls (siehe Kapitel 10. welchem VPNClient zu welchem Zeitpunkt eine bestimmte Netzadresse zugewiesen wurde. Dieses Vorgehen bedeutet zwar einen höheren administrativen Aufwand (Wartung der Zuordnungstabellen). dass von abhanden gekommenen Geräten weder Daten ausgelesen noch unbefugt eine VPNVerbindung aufgebaut werden kann. erlauben. eine Auswahl an möglichen Reaktionen (z. Der Nachteil bei einer dynamischen Vergabe der Netzadressen besteht darin. • • • • Die Kommunikationsverbindung zwischen VPN-Client und VPN-Server wird in der Regel über Netze von Dritten aufgebaut. soweit dies möglich ist. erlaubt jedoch eine eindeutige Zuordnung von Netzadresse und Rechner. Insbesondere beim Zugriff über Internetverbindungen ist die Installation von Viren-Schutzprogrammen auf allen VPN-Clients notwendig. ablehnen. auf den VPN-Clients so genannte PC-Firewalls einzusetzen und so vor unberechtigten Zugriffen aus dem Internet durch Dritte zu schützen. für den noch keine Regel vorliegt. bedingte Verarbeitung) angeboten. Die dabei benutzten Netzkomponenten unterliegen meist nicht der Kontrolle durch den Betreiber des LANs. sollten sie durch zusätzliche Maßnahmen gesichert werden.6. zwischen erlaubten und unberechtigten Zugriffen zu unterscheiden.

Diese sind besonders für den stationären Einsatz und zur Anbindung mehrerer Rechner sinnvoll.4. IPsec) standardmäßig. Verschlüsselung durch Netzkoppelelemente Neben der Absicherung der Kommunikation durch Software kann auch der Einsatz von verschlüsselnden Netzkoppelelementen (Router.B. E-Mail-Verschlüsselung: Für den Austausch von E-Mails über unsichere Kanäle kann die Nutzung von EMail-Verschlüsselung sinnvoll sein [eh SYS 7. wenn von der Verschlüsselung auf niedriger Protokollebene aus bestimmten Gründen kein Gebrauch gemacht werden kann. Dies gilt insbesondere beim Zugriff auf ein LAN aus dem Ausland. siehe auch 11.6.übertragen werden. sondern dass auch die Netze von Kooperationspartnern des Telekommunikationsanbieters benutzt werden. Die herkömmlichen VPN-Systeme stellen solche Verfahren (z. die standardmäßig SSLgesicherte Kommunikation unterstützen.5 346 . Um diesen Anforderungen an den Schutz der Daten gerecht zu werden. 11. Um dem Schutzbedarf der so übertragenen Daten gerecht zu werden. Dazu muss ein geeignetes Verfahren ausgewählt werden. Zu beachten ist jedoch. SSL/TLS-Verschlüsselung: Zur Verschlüsselung kann auch SSL/TLS eingesetzt werden. um die Authentizität und Integrität der Daten sicherzustellen. die Vertraulichkeit der Daten sicherstellen. Modems) erwogen werden.6. müssen Sicherheitsmaßnahmen getroffen werden.B.6] 10.2 Einsatz geeigneter Tunnel-Protokolle für die VPN-Kommunikation ).2. Daher gilt für die Datenübertragung: • • Die Nutzung der Datenverschlüsselung für alle übertragenen Daten ist für den sicheren Betrieb zwingend erforderlich. die z. dass die Geräte sorgfältig konfiguriert und gewartet werden müssen. Dies gilt besonders für Zugriffe auf WWWServer oder E-Mail-Server über WWW-Browser. j edoch in unterschiedlicher Zahl und Ausprägung zur Verfügung.13 Entwicklung eines Firewallkonzeptes ISO Bezug: 27002 10.4. Es sollten Signaturmechanismen eingesetzt werden. da die Verschlüsselung transparent erfolgt und die Clients und Server nicht belastet werden. Relevant sind hier unter anderem: • • • • Tunneling: Die Kommunikation kann auf niedriger Protokollebene verschlüsselt werden (so genanntes Tunneling. können verschiedene Sicherungsmechanismen für VPN-Verbindungen benutzt werden.

daher dürfen auf einer Firewall nur die dafür erforderlichen Dienste verfügbar sein und keine weiteren Dienste wie wie z. in der IT-Sicherheitspolitik und dem IT-Sicherheitskonzept der Organisation eingebettet sein. Die Firewall muss • • • • auf einer umfassenden Sicherheitspolitik aufsetzen (vgl. muss eine geeignete Firewall eingesetzt werden. Dafür muss sichergestellt sein. also z. Der Anschluss an ein Fremdnetz darf erst dann erfolgen. Damit eine Firewall effektiven Schutz bieten kann. ein Webserver. über eine gesicherte Konsole. Um die Sicherheit des zu schützenden Netzes zu gewährleisten. B. dass mit dem gewählten Firewallkonzept sowie den personellen und organisatorischen Randbedingungen alle Risiken beherrscht werden können.. werden als “Firewalls” bezeichnet.1 Erstellung einer Internet-Sicherheitspolitik ).9. Die Aufgaben und Anforderungen an die Firewall müssen in der InternetSicherheitspolitik festgelegt werden. korrekt installiert und korrekt administriert werden. angeboten werden angeboten werden. dürfen nur unter Verwendung ausreichender Sicherheitseinrichtungen mit Fremdnetzen verbunden werden. müssen folgende grundlegende Bedingungen erfüllt sein.B. Es müssen Regelungen getroffen werden. dass die Firewall die einzige Schnittstelle zwischen den beiden Netzen darstellt. 10. Ein administrativer Zugang zur Firewall darf nur über einen gesicherten Weg möglich sein. die zeitweise oder dauernd an Produktionsnetze angeschlossen sind.IT-Systeme.oder mehrstufigen System bestehen. Eine Firewall darf ausschließlich als schützender Übergang zum internen Netz eingesetzt werden. Eine Konsole sollte in einem Serverraum aufgestellt sein 347 . müssen einige grundlegende Voraussetzungen erfüllt sein: • • • Jede Kommunikation zwischen den beiden Netzen muss ausnahmslos über die Firewall geführt werden. dass keine weiteren externen Verbindungen unter Umgehung der Firewall geschaffen werden dürfen. wenn überprüft worden ist. die im Allgemeinen aus einem zwei. Damit eine Firewall einen wirkungsvollen Schutz eines Netzes gegen Angriffe von außen bietet. Diese Sicherheitseinrichtungen. eine verschlüsselte Verbindung oder ein separates Netz.

.4 Zutrittskontrolle und 9. Es ist zu entscheiden. da zu viele WWW-Server auch als Proxies nutzbar sind. 9.6 Serverräume ). ob besonders sensible Daten im Netz besser und kostengünstiger durch organisatorische als durch technische Maßnahmen geschützt werden sollen.5. 348 . in dem die Firewall betrieben wird. aber nicht vor allen. zusammen mit den Netzwerkeinrichtungen wie Routern einer besonderen Zugangskontrolle zu unterwerfen (vgl.. so dass eine Sperrung bestimmter IP-Adressen leicht umgangen werden kann. Die Filterung von aktiven Inhalten ist unter Umständen nur teilweise erfolgreich. Eine Einschränkung der Internetzugriffe auf festgelegte Webserver ist in der Realität unmöglich. Zeit. Damit könnte ein/e Innentäter/in jemandem Externen den Zugriff auf interne Rechner ermöglichen. kann aber keine Aussagen zum eigentlichen Inhalt der E-Mail machen. Sobald Benutzer/innen eine Kommunikation über eine Firewall herstellen dürfen. Alleine die Auswertung der angefallenen Protokolldaten nimmt erfahrungsgemäß viel Zeit in Anspruch. Der zeitliche Aufwand für den Betrieb einer Firewall darf nicht unterschätzt werden.. In diesem Zusammenhang ist auch der Raum. Die Benutzer/innen des lokalen Netzes sollten durch den Einsatz einer Firewall möglichst wenig Einschränkungen hinnehmen müssen. dass eine E-Mail mit ordnungsgemäßen Befehlen zugestellt wurde. Richtung und Benutzer getrennt) festgelegt werden können. Beim Aufbau einer Firewall und der Erarbeitung einer Firewall-Sicherheitspolitik sollte man sich daher die Grenzen einer Firewall verdeutlichen: • • • • Es werden Protokolle überprüft.1. Diese Verbindungen müssen gegebenenfalls sehr detailliert (bis hin zu einer individuellen Angabe von IP-Adresse.). Dienst. Das Firewallkonzept muss sich permanent an Betriebserfahrungen der Firewall sowie aktuellen Entwicklungen orientieren und bei Bedarf unverzüglich angepasst werden. Eine Protokollprüfung bestätigt beispielsweise. Jede Sicherheitspolitik muss konzeptionell auf bestmögliche Reduktion des eventuellen Schadensfalles ausgelegt sein (Betrieb von Teilnetzen. Für die Konzeption und den Betrieb einer Firewall muss geeignetes Personal zur Verfügung stehen.• • • • • • Eine Firewall baut auf einer für das zu schützende Netz definierten Sicherheitspolitik auf und gestattet nur die dort festgelegten Verbindungen. nicht die Inhalte. Eine Firewall kann das interne Netz vor vielen Gefahren beim Anschluss an das Internet schützen. frühzeitiger Einsatz von Routern. Ein Firewall-Administrator muss fundierte Kenntnisse über die eingesetzten IT-Komponenten besitzen und auch entsprechend geschult werden. können sie über das verwendete Kommunikationsprotokoll beliebige andere Protokolle tunneln.

wenn innerhalb der Firma auch Firewalls eingesetzt werden. 349 . so begünstigt dies Fehler bei Konfiguration und Administration. Fehler in der Konfiguration können zu Sicherheitslücken oder Ausfällen führen. zur Bildung von abgesicherten Teilnetzen. Es kann nicht verhindert werden. Außerdem gibt es immer wieder Implementationsfehler von Protokollen auf Endgeräten. dass Angreifer die Komponenten der Firewall mit Hilfe von Schwachstellenscannern analysieren. zu langsamer Prozessor). Eine Firewall schützt nicht vor Social Engineering. so kann dies die Geschwindigkeit des Internetzugriffes stark beeinträchtigen. Dies ist aber mit dem herkömmlichen Protokoll SMTP alleine nicht realisierbar. Wenn die Komponenten desrFirewall falsch dimensioniert sind. Wenn ein/e Angreifer/in z. Eingebaute Hintertüren in der verwendeten Software können eventuell auch durch eine Firewall hindurch ausgenutzt werden. wenn die Absender zweifelsfrei nachweisbar sind. zu schwach dimensioniert (zu wenig Arbeitsspeicher. Die Filterung von Spam-Mails ist noch nicht ausgereift. Firewalls schützen nicht vor allen Denial-of-Service-Attacken. die Anbindung zum Provider lahm legt. ob eine E-Mail vom Empfänger erwünscht ist oder nicht.B. Die korrekte Konfiguration der Komponenten der Firewall ist oft sehr anspruchsvoll. Keine Firewall kann zweifelsfrei feststellen. kann die Verfügbarkeit beeinträchtigt werden. # Eine Firewall kann nicht gegen die bewusste oder unbewusste Missachtung von Sicherheitsrichtlinien und -konzepten durch die Anwender schützen. auf dem ein HTTP-Sicherheitsproxy läuft. kann auch die beste Firewall nicht helfen. Beispielsweise ist es möglich. Im Extremfall kann die Software der Firewall selbst Hintertüren enthalten.B. Spam-Mails dürften erst dann verschwinden.• • • • • • • • • • • • • • • Die Filtersoftware ist häufig noch unausgereift. dass nicht alle Arten der Adressierung erfasst werden. die eine Firewall nicht abfangen kann. Wird beispielsweise der Rechner. Gerade in größeren Firmen ist dies problematisch. Eine Firewall kann zwar einen Netzübergang sichern. Ist die Dokumentation der technischen Ausstattung der Firewall durch den Hersteller mangelhaft. z. Eine Firewall schützt nicht vor dem Missbrauch freigegebener Kommunikation durch Innentäter ("Insider-Angriffe"). sie hat aber keinen Einfluss auf die Sicherheit der Kommunikation innerhalb dieser Netze! Auch die speziell unter Sicherheitsaspekten entwickelten Komponenten von Firewalls können trotz großer Sorgfalt Programmierfehler enthalten. durch Hintereinanderschaltung von verschiedenen Firewalls eine erhöhte Sicherheit zu erlangen. Leider ermöglichen viele Firewalls es nicht. Zudem können URL-Filter durch Nutzung von "Anonymizern" umgangen werden. Firewalls können nur begrenzt gegen eine absichtliche oder versehentliche Fehlkonfiguration der zu schützenden Clients und Server schützen.

1. an das interne Netz angeschlossen. der Wartung und der Validierung Laufende Beobachtung und Wartung Periodische Sicherheitsüberprüfung durch befugte Externe zu nicht angekündigten Zeitpunkten mindestens einmal im Quartal ("Screening". Vorschriften und Regelungen ) Bestimmung der Sicherheitsverantwortlichen (Datenschutz-/ITSicherheitsbeauftragte/r (soweit nicht bereits nominiert) und Bereichs-ITSicherheitsbeauftragte/r ("Internet-Sicherheitsbeauftragte/r") Definition der angebotenen und anzufordernden Dienste Analyse der Hard.3. Diskette. vgl.2. 11. 10.6.1 Verpflichtung der Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze. CD-ROM. Trojanische Pferde) in das vertrauenswürdige Netz eingeschleppt werden. [KIT S04] ): • • • • • • • • • • Festlegen der Sicherheitspolitik sowie der Benutzerordnung durch organisatorisch und technisch Verantwortliche in Zusammenarbeit mit Benutzervertretern/Benutzervertreterinnen (vgl.6. B.. z. die von Mitarbeitern auch extern benutzt werden. 12. 11. so kann auf diese Weise Schadsoftware (Viren. USB-Stick in das vertrauenswürdige Netz eingeschleppt werden. auch 8. Eine Firewall schützt auch nicht davor.6.1 Bei der Installation einer Firewall sind folgende Schritte in der angegebenen Reihenfolge zu setzen (vgl.15 Sicherer Betrieb einer Firewall ) sowie Weitermeldung der erhobenen Fakten an die/den Vorgesetzte/n 350 .• • # Werden mobile Endgeräte (Laptop.). 10. PDA etc.2.14 Installation einer Firewall ISO Bezug: 27002 10. 10. Würmer. Überprüfung der Installation durch Querlesen der Definitionen und Funktionskontrolle Dokumentation der Installation zum Zweck der Nachvollziehbarkeit.und Softwarevoraussetzungen im internen Netz Auswahl geeigneter Produkte Installation und Konfiguration der Firewall Der administrative Zugang zur Sicherheitseinrichtung darf nur über einen gesicherten Weg möglich sein. [eh SYS 8.4.2] 10. dass Schadprogramme auf Austauschmedien.6.

4. Aus.6. durch Lesen der entsprechenden Newsletter) sowie entsprechende Weiterbildung Durch eine angemessene Stellvertreterregelung (und eine entsprechende Schulung der Stellvertreter/innen) ist eine kontinuierliche Administration zu gewährleisten. 13. Funktionen etc.1. ob neue Zugänge unter Umgehung der Firewall geschaffen wurden.• • • Revision der Behebung der bei den Sicherheitstests erhobenen Mängel Sammlung der relevanten Projekterfahrungen als Grundlage für eine Weiterentwicklung der Internet-Sicherheitspolitik und des Firewallkonzeptes. 15. 351 . Administration Die Administration einer Firewall umfasst die nachfolgend angeführten Aufgaben: • • • • • • • Anlegen und Entfernen von Benutzerinnen/Benutzern. 14.3] 10.2 Für einen sicheren Betrieb einer Firewall sind eine fachgemäße Administration sowie eine regelmäßige Überprüfung auf die korrekte Einhaltung der umgesetzten Sicherheitsmaßnahmen (Screening) erforderlich.6. Im Bereich der öffentlichen Verwaltung sollten diese Projekterfahrungen an die IKT Koordinierungsstelle weitergegeben werden. 11. 15. Profilen.und Weiterbildung des administrierenden Personals [eh SYS 8.1. Ändern von Berechtigungen.15 Sicherer Betrieb einer Firewall ISO Bezug: 27002 10.5.1. Es sollte in zyklischen Abständen kontrolliert werden.1. Alle Sicherheitskontrollen sollten zumindest teilweise auch durch Externe vorgenommen werden.1. 12. 13.6.B.2. Kontrolle und Auswertung der Logfiles Einschränken und Beenden des Internetzugangs Weiterleitung sicherheitsrelevanter Beobachtungen an die in der Sicherheitspolitik definierten Instanzen Benachrichtigung der zuständigen Instanzen bei Entdecken von Angriffen aus dem Internet Verfolgen der aktuellen Entwicklungen im Bereich Sicherheit (z.4.2. Filtern etc. 11. Insbesondere müssen die für den Betrieb der Firewall getroffenen organisatorischen Regelungen regelmäßig oder zumindest sporadisch auf ihre Einhaltung überprüft werden.

Dabei ist zu testen. da die Gefahr besteht. eine Firewall regelmäßig (etwa einmal pro Quartal) durch eine geeignete Instanz kontrollieren zu lassen. was nicht ausdrücklich erlaubt ist. die nicht explizit erlaubt sind. Diese Kontrollen sollten vorzugsweise durch eine vertrauenswürdige externe Instanz erfolgen. dass nur die Dienste zugelassen werden. keine Möglichkeit haben Dienste des Internets zu benutzen. ist verboten" realisiert sein. So darf z. die neutralen Beobachtern mit hoher Wahrscheinlichkeit auffallen. Dies könnte z. dass alle Verbindungen. (Vgl. auch Screening. Es muss die Regel "Alles.Regelmäßige Überprüfung Zusätzlich zu den regelmäßigen Wartungsaktivitäten ist es erforderlich. die in der Sicherheitspolitik vorgesehen sind. Sicherheitsrelevante Änderungen erfordern zusätzlich "ad hoc"-Kontrollen.B. Dies muss auch bei einem völligen Ausfall der FirewallKomponenten gelten. dürfen sich Administrator und Revisor nur über einen vertrauenswürdigen Pfad authentisieren.) Eine derartige Prüfung ist wie folgt durchzuführen: • • • • • • • • • • Überprüfung der Installation von außen interne Überprüfung der Internet-Sicherheitspolitik interne Überprüfung der Konfiguration interne Durchführung eventuell notwendiger Korrekturen erneute Prüfung von außen Dabei sind die folgenden Punkte zu beachten: Alle Filterregeln müssen korrekt umgesetzt sein. Um ein Mitlesen oder Verändern der Authentisierungsinformationen zu verhindern. blockiert werden. eine verschlüsselte Verbindung oder ein separates Netz erfolgen.B. Im Fehlerfall ist die Firewall abzuschalten. Es müssen in regelmäßigen Abständen Integritätstests der eingesetzten Software durchgeführt werden. ein/e Benutzer/in. 352 . direkt über die Konsole. die/der keinen Eintrag in einer Access-Liste hat. dass Firewall-Administratoren durch Gewöhnungseffekte und Routinearbeit bestimmte Sicherheitslücken übersehen könnten. Security Compliance Checking. Die Defaulteinstellung der Filterregeln und die Anordnung der Komponenten müssen sicherstellen.

die nicht benötigt werden. Falls nachträgliche Änderungen der Sicherheitspolitik erforderlich sind.4. Eine der Möglichkeiten ist die Filterung durch eine Firewall. Die Access-Listen sind die wesentlichen Daten für den Betrieb der Firewall und müssen besonders gesichert werden. 10.16 Firewalls und aktive Inhalte ISO Bezug: 27002 10. die für die Funktionsfähigkeit der Firewall nötig sind. entfernt werden.6. vorhanden sein. dass für den sicheren Betrieb der Firewall relevante Dateien wie Access-Listen.10. Das Verbleiben von Software muss dokumentiert und begründet werden. die verhältnismäßig einfach auch auf den Rechnern der Anwender/innen durchgeführt werden kann.11 Schutz vor aktiven Inhalten [eh SYS 8. Der Einsatz dieser Programme muss ausführlich dokumentiert und begründet werden. damit keine alten oder fehlerhaften Access-Listen bei einem Neustart benutzt werden. 11.4. sondern auch das weit schwieriger zu lösende Problem der Erkennung von ActiveX-Controls. Die Kontrolle aktiver Inhalte kann auf verschiedene Weise geschehen. 10. Bei einem Ausfall der Firewall muss sichergestellt sein.2. Passwortdateien oder Filterregeln auf dem aktuellsten Stand sind. dass in dieser Zeit keine Netzverbindungen aus dem zu schützenden Netz heraus oder zu diesem aufgebaut werden können.5] 353 . Diese sollten auch aus dem Betriebssystem-Kern entfernt werden. Hierunter fällt nicht nur die Erkennung und Beseitigung von Viren.4] 10. [eh SYS 8. müssen diese streng kontrolliert und insbesondere auf Seiteneffekte überprüft werden. der durch eine/n Angreifer/in provoziert wird. Java-Applets oder Scripting-Programmen mit einer Schadfunktion.7 Eines der größten Probleme bei der Konzeption einer Firewall ist die Behandlung der Probleme. Insbesondere darf kein automatischer Neustart möglich sein.6. Beim Wiedereinspielen von gesicherten Datenbeständen muss darauf geachtet werden.6. Beispielsweise sollten die Software für die graphische Benutzeroberfläche sowie alle Treiber. Siehe dazu: 10. 11. die durch die Übertragung aktiver Inhalte zu den Rechnern im zu schützenden Netz entstehen.• • • • Die Firewall muss auf ihr Verhalten bei einem Systemabsturz getestet werden. Auf den eingesetzten Komponenten dürfen nur Programme. und die AccessListen müssen auf einem schreibgeschützten Medium speicherbar sein.

und Verschlüsselung auf den Endgeräten. So könnte eine Hardwarelösung im Paketfilter als Schlüsselgerät arbeiten. sind insbesondere Hardwarelösungen basierend auf symmetrischen kryptographischen Verfahren eine einfache und sichere Lösung. wenn entsprechende Mechanismen schon in den unteren Schichten des Protokolls vorgesehen würden. Hierbei wäre es sinnvoll. Zunächst sollte aber unterschieden werden zwischen • • Verschlüsselung auf der Firewall bzw.6.4. damit Unbefugte keinen Zugriff darauf nehmen können. 11. kann der Aufbau von virtuellen privaten Netzen (VPNs) sinnvoll sein. Zum Aufbau von verschlüsselten Verbindungen können eine Vielzahl von Hard.B. von Benutzerinnen/Benutzern bedarfsabhängig eingesetzt wird. der/die einen externen Informationsserver unter seine/ihre Kontrolle gebracht hat. 354 .7.3 Da im Internet die Daten über nicht vorhersagbare Wege und Knotenpunkte verschickt werden. sollten die versandten Daten möglichst nur verschlüsselt übertragen werden. Die Ver. die verschlüsselte Kommunikation nicht belauschen.2.4. Dafür sollten alle Verbindungen von und zu diesen Partnern verschlüsselt werden. Dies ist insbesondere dann sinnvoll. Entschlüsselung kann auf verschiedenen Geräten erfolgen.2.17 Firewalls und Verschlüsselung ISO Bezug: 27002 10. Verschlüsselung auf der Firewall: Um mit externen Kommunikationspartnern Daten über ein offenes Netz auszutauschen und /oder diesen Zugriff auf das eigene Netz zu geben. 10. Zudem kann ein/e Angreifer/in.4.10.und Softwarelösungen eingesetzt werden. die zum Aufbau sicherer Teilnetze eingesetzt werden. 11. 12. Die Integration der Verschlüsselung auf dem Application Gateway hat dagegen den Vorteil einer leichteren Benutzerverwaltung. Sollen hierbei nur wenige Liegenschaften miteinander verbunden werden.bzw.6. die z.6. wenn keine unverschlüsselte Kommunikation über dieses Gerät gehen soll. auf Netzkoppelelementen.

U.6.B. Die Verschlüsselung von Daten stellt andererseits aber auch ein großes Problem für den wirksamen Einsatz von Firewalls dar. 10. Wenn die Übertragung verschlüsselter Daten über die Firewall zugelassen wird (z. die eine Ende-zu-Ende-Verschlüsselung ermöglichen. Hierfür wird zum Beispiel häufig das frei verfügbare Programmpaket PGP (Pretty Good Privacy) eingesetzt. Eine generelle Empfehlung für oder gegen den Einsatz von Verschlüsselung über oder an der Firewall kann nicht gegeben werden. insbesondere bei der Versendung von E-Mails. [eh SYS 8.B.6.6. Auch die Protokollierungsmöglichkeiten werden durch eine Verschlüsselung stark eingeschränkt. in Hinblick auf Viren oder andere Schadprogramme zu kontrollieren. Eine erste ad-hoc-Lösung könnte darin bestehen. 10. Für eine vertrauenswürdige Datenübertragung mit ausgewählten Partnern im Internet sollten telnet und ftp Programme eingesetzt werden. die eine Verschlüsselung der übertragenen Daten (z. Eine temporäre Entschlüsselung auf einer Filterkomponente zu Analysezwecken ist weder praktikabel noch wünschenswert.Verschlüsselung auf den Endgeräten: Zum Schutz der Vertraulichkeit bestimmter Daten.h. bietet sich auch der Gebrauch von Mechanismen an.2. den Filtern.3.B. die Nutzdaten z. von bestimmten internen Rechnern den Aufbau von SSL/TLS-Verbindungen zu erlauben.18 Einsatz von Verschlüsselungsverfahren zur Netzkommunikation ISO Bezug: 27002 10. Andererseits sind die Daten selbst dann geschützt. d. SSL/ TLS). durch den Einsatz von S/MIME.6] 10. nur zu ausgewählten Zielsystemen. sind Filter auf der Anwendungsschicht nicht mehr in der Lage. z.7. dies hängt von den Anforderungen im Einzelfall ab.1. wenn ein/e Angreifer/in das Application Gateway unter seine/ihre Kontrolle gebracht hat.B. Die Verschlüsselung auf den Endsystemen wird auf absehbare Zeit noch applikationsgebunden sein. mittels SSH oderSSL/TLS) unterstützen. 12.3 355 . u.2. SSL oder PGP.

Kommunikationsnetze transportieren Daten zwischen IT-Systemen. Dabei werden die Daten selten über eine dedizierte Kommunikationsleitung zwischen den an der Kommunikation beteiligten Partnern übertragen. Vielmehr werden die Daten über viele Zwischenstationen geleitet. Je nach Kommunikationsmedium und verwendeter Technik können die Daten von den Zwischenstationen unberechtigt abgehört werden, oder auch von im jeweiligen Vermittlungsnetz angesiedelten Dritten (z.B. bei der Verwendung des Ethernetprotokolls ohne Punkt-zu-PunktVernetzung). Da die zu übertragenden Daten nicht von unberechtigten Dritten abgehört, verändert oder zur späteren Wiedereinspeisung in das Netz (ReplayAttacke) benutzt werden sollen, muss ein geeigneter Mechanismus eingesetzt werden, der dies verhindert. Verschlüsselung der Daten mit - wenn nötig gegenseitiger Authentifizierung der Kommunikationspartner kann diese Gefahr (je nach Stärke des gewählten Verschlüsselungsverfahrens sowie der Sicherheit der verwendeten Schlüssel) reduzieren. In der Regel kommunizieren Anwendungen miteinander, um anwendungsbezogene Informationen auszutauschen. Die Verschlüsselung der Daten kann nun auf mehreren Ebenen erfolgen:

• • •

Auf Applikationsebene: Die kommunizierenden Applikationen müssen dabei jeweils über die entsprechenden Ver- und Entschlüsselungsmechanismen verfügen. Auf Betriebssystemebene: Die Verschlüsselung wird vom lokalen Betriebssystem durchgeführt. Jegliche Kommunikation über das Netz wird automatisch oder auf Anforderung verschlüsselt. Auf Netzkoppelelementebene: Die Verschlüsselung findet zwischen den Netzkoppelelementen (z.B. Router) statt.

Die einzelnen Mechanismen besitzen spezifische Vor- und Nachteile. Die Verschlüsselung auf Applikationsebene hat den Vorteil, dass die Verschlüsselung vollständig der Kontrolle der jeweiligen Applikation unterliegt. Ein Nachteil ist, dass zur verschlüsselten Kommunikation nur eine mit demselben Verschlüsselungsmechanismus ausgestattete Partnerapplikation in Frage kommt. Weiterhin können entsprechende Authentifizierungsmechanismen zwischen den beiden Partnerapplikationen zur Anwendung kommen. Im Gegensatz dazu findet die Verschlüsselung im Fall der Verschlüsselung auf Betriebssystemebene transparent für jede Applikation statt. Jede Applikation kann mit jeder anderen Applikation verschlüsselt kommunizieren, sofern das Betriebssystem, unter dem die Partnerapplikation abläuft, über den Verschlüsselungsmechanismus verfügt. Nachteilig wirkt sich hier aus, dass bei einer Authentifizierung lediglich die Rechner gegenseitig authentifiziert werden können, und nicht die jeweiligen Partnerapplikationen. 356

Der Einsatz von verschlüsselnden Netzkoppelelementen besitzt den Vorteil, dass applikations- und rechnerseitig keine Verschlüsselungsmechanismen vorhanden sein müssen. Die Verschlüsselung ist auch hier transparent für die Kommunikationspartner, allerdings findet die Kommunikation auf der Strecke bis zum ersten verschlüsselnden Netzkoppelelement unverschlüsselt statt und birgt damit ein Restrisiko. Authentifizierung ist hier nur zwischen den Koppelelementen möglich. Die eigentlichen Kommunikationspartner werden hier nicht authentifiziert. Werden sensitive Daten über ein Netz (auch innerhalb des Intranets) übertragen, empfiehlt sich der Einsatz von Verschlüsselungsmechanismen. Bieten die eingesetzten Applikationen keinen eigenen Verschlüsselungsmechanismus an oder wird das angebotene Verfahren als zu schwach eingestuft, so sollte von der Möglichkeit der betriebssystemseitigen Verschlüsselung Gebrauch gemacht werden. Hier bieten sich z.B. Verfahren wie SSL/TLS an, die zur transparenten Verschlüsselung auf Betriebssystemebene entworfen wurden. Je nach Sicherheitspolitik können auch verschlüsselnde Netzkoppelelemente eingesetzt werden, etwa um ein virtuelles privates Netz (VPN) mit einem Kommunikationspartner über das Internet zu realisieren. Entsprechende Softwaremechanismen sind in der Regel auch in Firewall-Systemen verfügbar. Erfolgt der Zugang auf sensible Daten über einen externen Zugang, so sind kryptographische Einmalverfahren mit einer Besitzkomponente einzusetzen. Wegen der einheitlichen Administrierbarkeit wird empfohlen für den Zugang die Bürgerkarte/ Dienstkarte und MOA-ID zu verwenden [IKTB-140605-01] . Beim Einsatz von verschlüsselter Kommunikation und gegenseitiger Authentifizierung sind umfangreiche Planungen im Rahmen der Sicherheitspolitik eines Unternehmens bzw. einer Behörde nötig. Im Rahmen der hier angesprochenen Kommunikationsverschlüsselungen sind insbesondere folgende Punkte zu beachten:

• • • • • •

Welche Verfahren sollen zur Verschlüsselung benutzt werden bzw. werden angeboten (z.B. in Routern)? Unterstützen/Nutzen die eingesetzten Verschlüsselungsmechanismen existierende oder geplante Standards (IPSec, IPv6, IKE; SSL, TLS); vergleiche dazu auch 10.8.6 Geeignete Auswahl eines E-Mail-Clients/Server zu Zugang zu E-Mail. Sind gemäß der Sicherheitspolitik ausreichend starke Verfahren und entsprechend lange Schlüssel gewählt worden? Werden die Schlüssel sicher aufbewahrt? Werden die Schlüssel in einer sicheren Umgebung erzeugt, und gelangen sie auf sicherem Weg zum notwendigen Einsatzpunkt (Rechner, Softwarekomponente)? Sind Schlüssel-Recovery-Mechanismen nötig?

357

Ähnliche Fragestellungen sind bei der Nutzung von Zertifikaten zur Authentifizierung von Kommunikationspartnern zu beachten. Im Bereich der öffentlichen Verwaltung sind außerdem bezüglich der Verschlüsselung des E-Mail-Verkehrs entsprechende Vorgaben, wie etwa die Vorgabe der Eigenschaften von Verschlüsselungszertifikaten gemäß des IKT-BoardBeschlusses [IKTB-181202-1] zu beachten. [eh SYS 8.17]

10.7 Betriebsmittel und Datenträger
In diesem Kapitel werden generelle Richtlinien zum Umgang mit Betriebsmitteln und Datenträgern gegeben. Der Umgang mit Datenträgern und den darauf gespeicherten Informationen ist in der "InformationssicherheitsPolitik" einer Organisation festzulegen (vgl. dazu 5.2.5 Klassifizierung von Informationen ). Diese Klassifikation und die damit verbundene Festlegung der Verantwortlichkeiten und Vorgehensweisen stellen eine wesentliche Grundlage für die IT-Sicherheit einer Organisation dar. Insbesondere sei darauf hingewiesen, dass einerseits die Klassifizierung der Daten national durch das Datenschutzgesetz 2000 (DSG 2000) sowie durch das Informationssicherheitsgesetz (InfoSiG) geregelt wird. International bzw. im EURaum ist der "Beschluss des Rates vom 19. März 2001 über die Annahme der Sicherheitsvorschriften des Rates" (2001/264/EG) einzuhalten, der die Verbindung zwischen den nationalen Klassifizierungen und Richtlinien darstellt. Dies ist gegebenenfalls in der Informationssicherheits-Politik zu berücksichtigen.

10.7.1 Betriebsmittelverwaltung
ISO Bezug: 27002 7.1, 10.7.2 Betriebsmittel für den IT-Einsatz sind alle erforderlichen Mittel wie Hardwarekomponenten (Rechner, Tastatur, Drucker, ...), Software (Systemsoftware, Individualprogramme, Standardsoftware u.ä.), Verbrauchsmaterial (Papier, Toner, Druckerpatronen), Datenträger (Magnetbänder, Disketten, Streamertapes, Festplatten, Wechselplatten, CD-ROMs u.ä.). Die Betriebsmittelverwaltung umfasst folgende Aufgaben:

• •
358

Beschaffung, Prüfung vor Einsatz,

• • •

Kennzeichnung, Bestandsführung und Außerbetriebnahme.

Beschaffung:
Neben reinen Wirtschaftlichkeitsaspekten kann durch ein geregeltes Beschaffungsverfahren auch die Neu- und Weiterentwicklung im Bereich der Informationstechnik stärker berücksichtigt werden. Eine zentrale Beschaffung sichert auch die Einführung und Einhaltung eines "Hausstandards" und vereinfacht damit die Schulung der Mitarbeiter/innen und die Wartung.

Prüfverfahren vor Einsatz:
Mit einem geregelten Prüfverfahren vor Einsatz der Betriebsmittel lassen sich unterschiedliche Gefährdungen abwenden. Beispiele dafür sind:

• • • •

Überprüfung der Vollständigkeit von Lieferungen (z.B. Handbücher), um die Verfügbarkeit aller Lieferteile zu gewährleisten, Test neuer PC-Software sowie neuer vorformatierter Datenträger mit einem Virensuchprogramm, Testläufe neuer Software auf speziellen Testsystemen, Überprüfung der Kompatibilität neuer Hardware- und Softwarekomponenten mit den vorhandenen.

Bestandsführung:
Alle wesentlichen Betriebsmittel sollten mit eindeutigen Identifizierungsmerkmalen gekennzeichnet werden. Zusätzlich sollten die Seriennummern vorhandener Geräte wie Bildschirm, Drucker, Festplatten etc. dokumentiert werden, damit sie nach einem Diebstahl identifiziert werden können. Für die Bestandsführung müssen die Betriebsmittel in Bestandsverzeichnissen aufgelistet werden. Ein solches Bestandsverzeichnis muss Auskunft geben können über Identifizierungsmerkmale, Beschaffungsquellen, Lieferzeiten, Verbleib der Betriebsmittel, Lagerhaltung, Aushändigungsvorschriften, Wartungsverträge und Wartungsintervalle.

359

Eine ordnungsgemäße Bestandsführung erleichtert nicht nur die Verbrauchsermittlung und Veranlassung von Nachbestellungen, sondern ermöglicht auch Vollständigkeitskontrollen, die Überprüfung des Einsatzes von nicht genehmigter Software oder die Feststellung der Entwendung von Betriebsmitteln. Im Bundesbereich gibt es Vorschriften über die Bestandsführung, die "Richtlinien für die Inventar- und Materialverwaltung (RIM)". Die dort vorgesehenen Aufzeichnungen reichen für einen sicheren EDV-Betrieb nicht aus. Die für den sicheren Betrieb zuständige Organisationseinheit muss daher eigene, entsprechend erweiterte Aufzeichnungen führen. [eh SYS 2.1]

10.7.2 Datenträgerverwaltung
ISO Bezug: 27002 10.7.1 Die Datenträgerverwaltung stellt einen Teil der Betriebsmittelverwaltung dar. Ihre Aufgabe ist es, den Zugriff auf Datenträger im erforderlichen Umfang und in angemessener Zeit zu gewährleisten. Neben den in 10.7.1 Betriebsmittelverwaltung angeführten Maßnahmen ist für die Verwaltung von Datenträgern zusätzlich zu beachten:

• • •

Die äußerliche Kennzeichnung von Datenträgern soll deren schnelle Identifizierung ermöglichen, jedoch für Unbefugte keine Rückschlüsse auf den Inhalt erlauben (z.B. die Kennzeichnung eines Datenträgers mit dem Stichwort "Gehaltsdaten"), um einen Missbrauch zu erschweren. Eine festgelegte Struktur von Kennzeichnungsmerkmalen (z.B. Datum, Ablagestruktur, lfd. Nummer) erleichtert die Zuordnung in Bestandsverzeichnissen. Für eine sachgerechte Behandlung von Datenträgern sind die Herstellerangaben zu beachten. Hinsichtlich der Aufbewahrung von Datenträgern sind einerseits Maßnahmen zur Lagerung (magnetfeld-/staubgeschützt, klimagerecht) und andererseits Maßnahmen zur Verhinderung des unbefugten Zugriffs (geeignete Behältnisse, Schränke, Räume) zu treffen. Versand und Transport: Die Verpackung des Datenträgers ist an seiner Schutzbedürftigkeit auszurichten. Hier sind die in der InformationssicherheitsPolitik festzulegenden Regeln umzusetzen (etwa Versand nur in verschlossenen/versiegelten Behältnissen, durch Kurierdienst, in chiffrierter Form, etc.). Der Datenträger darf über die zu versendenden Daten hinaus keine "Restdaten" enthalten. Dies kann durch physikalisches Löschen erreicht werden (s. auch unten "Wiederaufbereitung").

360

• •

Vor Versand oder Weitergabe wichtiger Datenträger sollte eine Sicherungskopie erstellt werden. Das Anfertigen von Kopien ist zu dokumentieren und die Kopien sind als solche zu kennzeichnen. Wiederaufbereitung: Eine geregelte Vorgehensweise für die Löschung bzw. Wiederaufbereitung von Datenträgern verhindert den Missbrauch der gespeicherten Daten. Vor der Wiederverwendung von Datenträgern, die schutzwürdige Daten enthalten haben, müssen diese Daten in irreversibler Form gelöscht werden. Außerbetriebnahme, Reparaturtausch: Datenträger, die schutzwürdige Daten enthalten und außer Betrieb genommen oder im Zuge einer Reparatur ausgetauscht werden sollen, sind mechanisch zu zerstören (vgl. dazu auch ÖNORM S 2109 Akten- und Datenvernichtung sowie 12.7 Wartung ).

Für den Fall, dass von Dritten erhaltene Datenträger eingesetzt werden, sind Regelungen über deren Behandlung vor dem Einsatz zu treffen. Werden zum Beispiel Daten für PCs übermittelt, sollte generell ein Viren-Check des Datenträgers erfolgen. Dies gilt entsprechend auch vor dem erstmaligen Einsatz neuer Datenträger. Es ist empfehlenswert, nicht nur beim Empfang, sondern auch vor dem Versenden von Datenträgern diese auf Viren zu überprüfen. Vgl. dazu auch Kap. 10.4 Virenschutz . [eh SYS 2.2]

10.7.3 Datenträgeraustausch
ISO Bezug: 27002 10.7.3, 10.8.2, 10.8.3

Kennzeichnung der Datenträger beim Versand
Neben den in 10.7.2 Datenträgerverwaltung dargestellten Umsetzungshinweisen ist bei einer ausreichenden Kennzeichnung von auszutauschenden Datenträgern darauf zu achten, dass Absender/in und (alle) Empfänger/innen unmittelbar zu identifizieren sind. Die Kennzeichnung muss den Inhalt des Datenträgers eindeutig für den/die Empfänger/in erkennbar machen. Es ist jedoch bei schützenswerten Informationen wichtig, dass diese Kennzeichnung für Unbefugte nicht interpretierbar ist. Darüber hinaus sollten die Datenträger mit den für das Auslesen notwendigen Parametern gekennzeichnet werden. Das Versanddatum, eventuelle Versionsnummern oder Ordnungsmerkmale können gegebenenfalls nützlich sein.

361

Regelung des Datenträgeraustausches
Sollen zwischen zwei oder mehreren Kommunikationspartnern Datenträger ausgetauscht werden, so sind zum ordnungsgemäßen Austausch einige Punkte zu beachten. Zum Beispiel:

Die Adressierung muss eindeutig erfolgen, um eine fehlerhafte Zustellung zu vermeiden. So sollte neben dem Namen der Empfängerin bzw. des Empfängers auch die Organisationseinheit und die genaue Bezeichnung der Behörde/ des Unternehmens angegeben sein. Entsprechendes gilt für die Adresse der Absenderin oder des Absenders. Dem Datenträger sollte (optional) ein Datenträgerbegleitzettel beigelegt werden, der Absender/in, Empfänger/in, Art des Datenträgers, Seriennummer, Identifikationsmerkmale für den Inhalt des Datenträgers, Datum des Versandes, ggf. Datum bis wann der Datenträger spätestens den/die Empfänger/in erreicht haben muss, sowie Parameter, die zum Lesen der Informationen benötigt werden (z.B. Bandgeschwindigkeit) enthält. Bei regelmäßigem Austausch von Datenträgern zwischen den gleichen Partnern empfiehlt es sich, dafür stets die gleichen Datenträger zu verwenden, so dass bei einem ev. Fehler bei der Wiederaufbereitung (vgl. 10.7.2 Datenträgerverwaltung ) die potentiellen Auswirkungen möglichst gering gehalten werden. Abhängig von den Regelungen der Informationssicherheits-Politik sind Datenträger, die Daten hoher Vertraulichkeitsstufen enthalten, beim Transport durch Dritte entweder zu verschlüsseln, oder in entsprechend versperrten Behältnissen zu transportieren

Nicht vermerkt werden sollte,

• • •

welches Passwort für die eventuell geschützten Informationen vergeben wurde, welche Schlüssel ggf. für eine Verschlüsselung der Informationen verwendet wurde, welchen Inhalt der Datenträger hat.

Der Versand des Datenträgers kann (optional) dokumentiert werden. Für jede stattgefundene Übermittlung ist dann in einem Protokoll festzuhalten, wer wann welche Informationen erhalten hat. Je nach Schutzbedarf beziehungsweise Wichtigkeit der übermittelten Informationen ist der Empfang zu quittieren und ein Quittungsvermerk dem erwähnten Protokoll beizufügen. Es sind jeweils Verantwortliche für den Versand und für den Empfang zu benennen.

362

[eh SYS 2.3]

10.8 Informationsaustausch / E-Mail
Der Austausch von Informationen zwischen Organisationen und Organisationseinheit bedarf der Entwicklung geeigneter Richtlinien und der Anwendung sicherer Verfahren zum Schutz der ausgetauschten Informationen und der dabei verwendeten Datenträger. Austauschvereinbarungen mit den Kommunikationspartnern und die einschlägigen Gesetze sind dabei einzuhalten

10.8.1 Richtlinien beim Datenaustausch mit Dritten
ISO Bezug: 27002 6.2.2, 6.2.3, 10.8.1, 10.8.2 Beim regelmäßigen Datenaustausch mit Dritten ist die Festlegung von Richtlinien bzw. der Abschluss von Vereinbarungen mit allen Beteiligten sinnvoll. Dabei spielt es keine Rolle, wie der Datenaustausch selbst erfolgt (Datenträgeraustausch, EMail, etc.). In einer derartigen Vereinbarung können Angaben zu folgenden Punkten enthalten sein:

• • • • • • • • •

Bestimmung der Verantwortlichen Benennung von Ansprechpartnerinnen bzw. Ansprechpartnern (in technischen, organisatorischen und sicherheitstechnischen Belangen) existiert ein Non-Disclosure-Agreement (NDA) Festlegung der Datennutzung welche Anwendungen und Datenformate sind zu verwenden wie und wo erfolgt die Prüfung auf Virenfreiheit wann dürfen Daten gelöscht werden Regelung des Schlüsselmanagements, falls erforderlich Einhaltung einschlägiger Gesetze (bspw. Datenschutzgesetz 2000 (DSG 2000) , etc.)

Weitere Punkte, die in eine solche Vereinbarung aufgenommen werden sollten, finden sich in 10.7.2 Datenträgerverwaltung und 10.7.3 Datenträgeraustausch [eh SYS 1.9]

363

10.8.2 Festlegung einer Sicherheitspolitik für E-Mail-Nutzung
ISO Bezug: 27002 10.4, 10.8, 10.9, 11.4 Vor der Freigabe von E-Mail-Systemen sollte festgelegt werden, für welchen Einsatz E-Mail vorgesehen ist. Abhängig davon differieren auch die Ansprüche an Vertraulichkeit, Verfügbarkeit, Integrität und Verbindlichkeit der zu übertragenden Daten sowie des eingesetzten E-Mail-Programms. Es muss geklärt werden, ob über E-Mail ausschließlich unverbindliche oder informelle Informationen weitergegeben werden sollen oder ob einige oder sogar alle der bisher schriftlich bearbeiteten Geschäftsvorfälle nun per E-Mail durchgeführt werden sollen. Bei letzterem ist zu klären, wie Anmerkungen an Vorgängen wie Verfügungen, Abzeichnungen oder Schlusszeichnungen, die bisher handschriftlich angebracht wurden, elektronisch abgebildet werden sollen. Weiters ist festzulegen, ob und in welchem Rahmen eine private Nutzung von E-Mail erlaubt ist. Die Organisation muss eine E-Mail-Sicherheitspolitik festlegen, in der folgende Punkte beschrieben sind:

• • • • • •

Wer einen E-Mail-Anschluss erhält, welche Regelungen von den Mail-Administratoren und den E-MailBenutzerinnen/Benutzern zu beachten sind (vgl. 10.8.3 Regelung für den Einsatz von E-Mail und anderen Kommunikationsdiensten ), bis zu welchem Vertraulichkeits- bzw. Integritätsanspruch Informationen per EMail versandt werden dürfen , ob und unter welchen Rahmenbedingungen eine private Nutzung von E-Mail erlaubt ist, wie die Benutzer/innen geschult werden und wie jederzeit technische Hilfestellung für die Benutzer/innen gewährleistet wird.

Durch organisatorische Regelungen oder durch die technische Umsetzung sind dabei insbesondere die folgenden Punkte zu gewährleisten:

• •

Für Organisationen im öffentlichen Bereich sind die im Rahmen der InternetPolicy [IKT-IPOL] enthaltenen E-Mail Richtlinien [IKT-MPOL] gemäß IKT-BoardBeschluss vom 17.09.2002 [IKTB-170902-1] umzusetzen. Die E-Mail-Progamme der Benutzer/innen müssen durch die Systemadministration so vorkonfiguriert sein, dass ohne weiteres Zutun der Benutzer/innen maximale Sicherheit erreicht werden kann (siehe auch 10.8.7 Sichere Konfiguration der Mailclients ).

364

• • • • •

• •

Für E-Mail-Adressen sind Namenskonventionen festzulegen. Insbesondere ist darauf zu achten, dass Sonderzeichen (Umlaute, ...) vermieden werden, da diese inhaltlich nicht einheitlich codiert sind. (vgl. E-Mail Richtlinien [IKTMPOL] im Rahmen der Internet-Policy [IKT-IPOL] gemäß [IKTB-170902-1] für Organisationen der öffentlichen Verwaltung zur Anwendung empfohlen) Für E-Mail-Adressen in Behörden bzw. in Organisationen der öffentlichen Verwaltung ist die in der anzuwendenden E-Mail-Policy enthaltene NamingPolicy empfohlen. (gemäß [IKTB-170902-1] ). Neben personenbezogenen E-Mail-Adressen können auch organisations- bzw. funktionsbezogene E-Mail-Adressen eingerichtet werden. Dies ist insbesondere bei zentralen Anlaufstellen wichtig. Die Übermittlung von Daten darf erst nach erfolgreicher Identifizierung und Authentisierung des Senders beim Übertragungssystem möglich sein. Die Benutzer/innen müssen vor erstmaliger Nutzung von E-Mail in die Handhabung der relevanten Applikationen eingewiesen werden. Die organisationsinternen Benutzerregelungen zur Dateiübermittlung müssen ihnen bekannt sein. Zur Beschreibung des Absenders werden bei E-Mails so genannte Signatures (Absenderangaben) an das Ende der E-Mail angefügt. Der Inhalt einer Signature sollte dem eines Briefkopfs ähneln, also Name, Organisationsbezeichnung und Telefonnummer u.ä. enthalten. Eine Signature sollte nicht zu umfangreich sein, da dies nur unnötig Übertragungszeit und Speicherplatz kostet. Die Behörde bzw. das Unternehmen sollte einen Standard für die einheitliche Gestaltung von Signatures festlegen. Von den eingesetzten Sicherheitsmechanismen hängt es ab, bis zu welchem Vertraulichkeitsanspruch Dateien per E-Mail versandt werden dürfen. Es ist grundsätzlich festzulegen, ob Mails bzw. Attachments in verschlüsselter Form übertragen werden dürfen. Dies erhöht zwar die Sicherheit gegen unautorisiertes Lesen oder Verändern, erschwert aber die Suche nach Viren oder macht sie gänzlich unmöglich. Ist der Einsatz von Verschlüsselungsverfahren prinzipiell erlaubt, so sollte geregelt werden, ob und wann übertragene Dateien verschlüsselt werden müssen (siehe auch 12.6 Einsatz kryptographischer Maßnahmen ). Gleichermaßen ist festzulegen, ob und in welcher Form kryptographische Mechanismen zur Überprüfung der Integrität von Daten (MACs, Digitale Signaturen, ...) eingesetzt werden dürfen bzw. müssen. Es ist zentral festzulegen, welche Applikationen für die Verschlüsselung bzw. den Einsatz von elektronischen Signaturen von den Benutzerinnen/Benutzern zu verwenden sind. Diese müssen den Benutzerinnen/Benutzern zur Verfügung gestellt werden, die wiederum in deren Anwendung unterwiesen werden müssen. Für Organisationen der Öffentlichen Verwaltung sind die „Richtlinien für EMail Zertifikate in der Verwaltung“ [IKT-MZERT] gemäß IKT-Board Beschluss [IKTB-230903-17] zu beachten. Es sollte festgelegt werden, unter welchen Bedingungen ein- oder ausgehende E-Mails zusätzlich ausgedruckt werden müssen. 365

• •

Die Dateiübertragung kann (optional) dokumentiert werden. Für jede stattgefundene Übermittlung ist dann in einem Protokoll festzuhalten, wer wann welche Informationen erhalten hat. Bei der Übertragung personenbezogener Daten sind die gesetzlichen Vorgaben zur Protokollierung zu beachten. Ob und wie ein externer Zugang zu E-Mail Diensten technisch und organisatorisch realisiert werden soll, ist zu prüfen und muss festgelegt werden. Technisch ist ein E-Mail-Zugang von Außen geeignet abzusichern, z.B. VPN, etc. In Organisationen der öffentlichen Verwaltung ist gemäß IKT-Board Beschluss [IKTB-110903-8] die Möglichkeit der Identifikation und Authentifikation mittels Bürgerkarte zu beachten.

E-Mails, die intern versandt werden, dürfen das interne Netz nicht verlassen. Dies ist durch die entsprechenden administrativen Maßnahmen sicherzustellen. Beispielsweise sollte die Übertragung von E-Mails zwischen verschiedenen Liegenschaften einer Organisation über eigene Standleitungen und nicht über das Internet erfolgen. Durch heutige Techniken (z.B. VPN) entfällt diese Forderung, wenn Nachrichten entsprechend verschlüsselt werden. [eh SYS 8.7]

10.8.3 Regelung für den Einsatz von E-Mail und anderen Kommunikationsdiensten
ISO Bezug: 27002 10.4, 10.8, 10.9, 11.2.4, 11.4, 15.2 Für den Einsatz von E-Mails sind u.a. folgende Punkte zu beachten:

• • • • •
366

Die Adressierung von E-Mail muss eindeutig erfolgen, um eine fehlerhafte Zustellung zu vermeiden. Innerhalb einer Organisation sollten Adressbücher und Verteilerlisten gepflegt werden, um die Korrektheit der gebräuchlichsten Adressen sicherzustellen. Durch den Versand von Testnachrichten an neue EMail-Adressen ist die korrekte Zustellung von Nachrichten zu prüfen. Für alle nach außen gehenden E-Mails ist eine Signatur (Absenderangabe am Ende der Mail) zu verwenden. Ausgehende E-Mails sollten protokolliert werden, da E-Mails auch "verschwinden" können. Die Betreffangabe (Subject) des Kommunikationssystems sollte immer ausgefüllt werden, z.B. entsprechend der Betreffangabe in einem Anschreiben. Die Korrektheit der durchgeführten Datenübertragung sollte überprüft werden. Die Empfängerseite sollte den korrekten Empfang überprüfen und der Senderseite bestätigen. Verwendung residenter Virenscanner für ein- bzw. ausgehende Dateien: Vor dem Absenden bzw. vor der Dateiübermittlung sind die ausgehenden Dateien explizit auf Viren zu überprüfen.

Erfolgt über die E-Mail auch eine Dateiübertragung, so sollten die folgenden Informationen an den/die Empfänger/in zusätzlich übermittelt werden:

ggf. Art der eingesetzten Software für Verschlüsselung bzw. Elektronischen Signatur. Jedoch sollte nicht vermerkt werden: welches Passwort für die eventuell geschützten Informationen vergeben wurde, • welche Schlüssel ggf. für eine Verschlüsselung der Informationen verwendet wurde. Regelmäßiges Löschen von E-Mails: E-Mails sollten nicht unnötig lange im Posteingang gespeichert werden. Sie sollten entweder nach dem Lesen gelöscht werden oder in Benutzerverzeichnissen gespeichert werden, wenn sie erhalten bleiben sollen. Viele Mailprogramme löschen E-Mails nicht sofort, sondern transferieren sie in spezielle Ordner. Benutzer/innen müssen darauf hingewiesen werden, wie sie E-Mails auf ihren Clients vollständig löschen können.

• • • • • •

Art der Datei (z.B. MS Word), Kurzbeschreibung über den Inhalt der Datei, Hinweis, dass Dateien auf Viren überprüft sind, ggf. Art des verwendeten Packprogramms (z.B. PKZIP)

Bei den meisten E-Mail-Systemen werden die Informationen unverschlüsselt über offene Leitungen transportiert und können auf diversen Zwischenrechnern gespeichert werden, bis sie schließlich ihre/n Empfänger/in erreichen. Auf diesem Weg können Informationen leicht manipuliert werden. Aber auch der/die Versender/ in einer E-Mail hat meistens die Möglichkeit, seine/ihre Absenderadresse (From) beliebig einzutragen, so dass grundsätzlich gilt, dass man sich nicht auf die Echtheit der Absenderangabe verlassen und sich nur nach Rückfrage oder bei Benutzung von Digitalen Signaturen der Authentizität des Absenders sicher sein kann. In Zweifelsfällen sollte daher die Echtheit des Absenders durch Rückfrage oder durch den Einsatz von Verschlüsselung und/oder Digitalen Signaturen (vgl. 12.6 Einsatz kryptographischer Maßnahmen ) überprüft werden. Es ist allerdings zu beachten, dass verschlüsselte Nachrichten im Allgemeinen nicht zentral auf Viren überprüft werden können (dazu wäre die zentrale Hinterlegung der notwendigen Schlüssel erforderlich). Es ist daher in der E-Mail-Sicherheitspolitik festzulegen, ob verschlüsselte Nachrichten zugelassen sind und wie damit zu verfahren ist. Wenn verschlüsselte Nachrichten nicht zugelassen sind, können diese etwa durch eine Poststelle (s. 10.8.5 Einrichtung eines Postmasters ) geblockt werden.

367

Es ist festzulegen, ob und gegebenenfalls in welchem Rahmen eine private Nutzung von E-Mail-Diensten zulässig ist. Diese Festlegung sollte im Rahmen einer Betriebsvereinbarung oder bei Abschluss des Arbeitsvertrages getroffen werden. Weiters sind auch die zulässigen Kontrollmaßnahmen des/der Arbeitgebers/ Arbeitgeberin (Protokollierung, Auswertung, ...) und die möglichen Sanktionen bei Verstößen gegen die getroffenen Vereinbarungen zu regeln. Alle Regelungen und Bedienungshinweise zum Einsatz von E-Mail sind schriftlich zu fixieren und sollten den Mitarbeiterinnen/Mitarbeitern jederzeit zur Verfügung stehen. Die Benutzer/innen müssen vor dem Einsatz von Kommunikationsdiensten wie E-Mail geschult werden, um Fehlbedienungen zu vermeiden und die Einhaltung der organisationsinternen Richtlinien zu gewährleisten. Insbesondere müssen sie hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen beim Versenden bzw. Empfangen von E-Mail sensibilisiert werden. Zur Vermeidung von Überlastung durch E-Mail sind die Mitarbeiter/innen über potentielles Fehlverhalten zu belehren. Sie sollten dabei ebenso vor der Teilnahme an E-Mail-Kettenbriefen, vor Spams, der unnötigen Weiterverbreitung von Virenwarnungen sowie vor der Abonnierung umfangreicher Mailinglisten gewarnt werden. Benutzer/innen müssen darüber informiert werden, dass Dateien, deren Inhalt Anstoß erregen könnte, weder verschickt noch auf Informationsservern eingestellt noch nachgefragt werden dürfen. Außerdem sollten Benutzer/innen darauf verpflichtet werden, dass bei der Nutzung von Kommunikationsdiensten

• • •

die fahrlässige oder gar vorsätzliche Unterbrechung des laufenden Betriebes unter allen Umständen vermieden werden muss (vgl. dazu § 126a zu Datenbeschädigung (StGB) ). Zu unterlassen sind insbesondere Versuche, ohne Autorisierung Zugang zu Netzdiensten - welcher Art auch immer - zu erhalten, Informationen, die über die Netze verfügbar sind, zu verändern, in die individuelle Arbeitsumgebung einer Netznutzerin bzw. eines Netznutzers einzugreifen oder unabsichtlich erhaltene Angaben über Rechner und Personen weiterzugeben. die Verbreitung von für die Allgemeinheit irrelevanten Informationen unterlassen werden muss. Die Belastung der Netze durch ungezielte und übermäßige Verbreitung von Informationen sollte vermieden werden. Eindringversuche an internen/externen Netzen/Geräten zu unterlassen sind, die Verbreitung von redundanten Informationen vermieden werden sollte.

368

8. Damit Unbefugte nicht über den Mailserver auf Nachrichteninhalte zugreifen können. muss der Mailserver gegen unbefugten Zugriff gesichert sein (vgl. Es muss ein Postmaster-Account eingerichtet werden. ob die Verbindung mit den benachbarten Mailservern. Nähere Details dazu sind auch unter dem Punkt 10. Für den ordnungsgemäßen Betrieb sind Administratoren und Stellvertreter zu benennen und zum Betrieb des Mailservers und des zugrunde liegenden Betriebssystems zu schulen. insbesondere dem Mailserver des Mail-Providers. Spooldateien). Der Mailserver muss hierbei sicherstellen. ist der Zugriff auch für die lokalen Benutzer/innen zu unterbinden. Der Mailserver nimmt von anderen Mailservern E-Mails entgegen und leitet sie an die angeschlossenen Benutzer/innen oder Mailserver weiter. 11.Für den Bereich der öffentlichen Verwaltung wurde im Rahmen des IKT-Boards als Bestandteil der "Internet-Policy" [IKT-IPOL] eine "E-Mail-Policy" [IKT-MPOL] beschlossen und zur Anwendung empfohlen [IKTB-170902-1] .B. Weiters reicht der Mailserver die gesendeten E-Mails lokaler Benutzer/innen an externe Mailserver weiter. dass sowohl die lokale Kommunikation als auch die Kommunikation auf Seiten des öffentlichen Netzes abgesichert wird.3. 11. sowie die Handhabe von E-Mail-Zertifikaten nach den "Richtlinien für E-Mail-Zertifikate in der Verwaltung" [IKT-MZERT] der Stabsstelle IKT-Strategie des Bundes (CIO) zu richten.4.8.5 Einrichtung eines Postmasters ).6.1.6 Geeignete Auswahl eines E-Mail-Clients/Server zu finden.8.9. 10. [eh SYS 8.2.8. 10. und 369 . Darüber hinaus sind im Bereich öffentliche Verwaltung der Externe Zugang zu E-Mail-Diensten unter Beachtung des IKT-Board Beschlusses [IKTB-110903-8] zu gestalten.4. noch stabil ist.. Dafür sollte er gesichert (in einem Serverraum oder Serverschrank) aufgestellt sein. Auf die Bereiche. dazu § 126a zu Datenbeschädigung (StGB) ). 10. Die E-Mails werden vom Mailserver bis zur Weitergabe zwischengespeichert.4 Sicherer Betrieb eines Mail-Servers ISO Bezug: 27002 10. Viele Internetprovider und Administratoren archivieren zusätzlich die einund ausgehenden E-Mails. Auf die Mailboxen der lokal angeschlossenen Benutzer/innen dürfen nur diese Zugriff haben. dass lokale E-Mails der angeschlossenen Benutzer/innen nur intern weitergeleitet werden und nicht in das öffentliche Netz gelangen können.8] 10. • Es muss regelmäßig kontrolliert werden.1 Der sichere Betrieb eines Mailservers setzt voraus. in denen E-Mails nur temporär für die Weiterleitung zwischengespeichert werden (z. 14. an den alle unzustellbaren E-Mails und alle Fehlermeldungen weitergeleitet werden (siehe auch 10.

Daher sollten entsprechende Filterregeln sehr genau definiert werden. ist zusätzlich die auf Basis des IKT-Board-Beschlusses [IKTB-170902-1] empfohlene E-Mail-Policy anzuwenden. damit der Filterung keine erwünschten E-Mails zum Opfer fallen. Über Filterregeln können für bestimmte E-Mail-Adressen der Empfang oder die Weiterleitung von E-Mails gesperrt werden. muss mit dem Provider ein Dienstleistervertrag im Sinne des § 11 Datenschutzgesetz (DSG 2000) abgeschlossen werden. Spam auszugrenzen. indem beispielsweise aus jeder Spam-Mail eine neue dedizierte Filterregel abgeleitet wird. Es ist festzulegen. als Spam-Relay verwendet zu werden. Eingehende E-Mails sollten am Firewall oder am Mailserver auf Viren und andere schädliche Inhalte wie aktive Inhalte (z.6 Geeignete Auswahl eines E-Mail-Clients/Server zu beachten. sondern über einen oder mehrere Mailclients direkt auf den Mailserver eines Providers zugreift. Es sollte jederzeit kurzfristig möglich sein.6. die von Mitarbeiterinnen/Mitarbeitern der Organisation stammen. Dafür sollte ein Mailserver so konfiguriert werden.B. um sich vor Spam-Mail zu schützen. Dies kann z. dass er E-Mails nur für die Organisation selber entgegennimmt und nur E-Mails verschickt. Java-Applets) überprüft werden (vgl. Wenn eine Organisation keinen eigenen Mailserver betreibt. z. Entsprechende Filterlisten sind im Internet verfügbar bzw. sinnvoll sein.B. können von verschiedenen Herstellern der Kommunikationssoftware bezogen werden. Für Organisationen der öffentlichen Verwaltung. Ein Mailserver sollte davor geschützt werden. Die Benutzernamen auf dem Mailserver sollten nicht aus den E-Mail-Adressen unmittelbar ableitbar sein. 370 .B. welche Protokolle und Dienste am Mailserver erlaubt sind.• ob der für die Zwischenspeicherung der Mail zur Verfügung stehende Plattenplatz noch ausreicht. Umfang und Inhalt der Protokollierung der Aktivitäten des Mail-Servers sind festzulegen. Auch über die Filterung anderer Header-Einträge kann versucht werden. welche einen eigenen Mailserver unterhalten. ihn abzuschalten. Demnach sind auch Maßnahmen und Empfehlungen aus 10. Hierbei muss mit Bedacht vorgegangen werden. da ansonsten kein weiterer Nachrichtenaustausch möglich ist.16 Firewalls und aktive Inhalte ). auch 10. insbesondere sollten von der Verfügbarkeit des Mailservers keine weiteren Dienste abhängig sein. eigenes Produktionssystem sein. bei Verdacht auf Manipulationen. Der Mailserver sollte ein abgeschlossenes.8. um mögliche Angriffe auf Benutzeraccounts zu erschweren.

5.4.) Überprüfung. 12. Ablage in speziellen Quarantänebereichen.1 In größeren Organisationen sollte zum reibungslosen Ablauf des E-Mail-Dienstes ein "Postmaster" benannt werden.8..9] 10. E-Mail.. Setzen von Maßnahmen. Freigabe durch Sicherheitsbeauftragte nach Rücksprache und Begründung). die versuchen sollten die Fehlerquellen zu beheben. automatische Löschung nach einer vorgegebenen Zeitspanne. Pflege der Adresstabellen.4. Anlaufstelle bei Mailproblemen für Endbenutzer/innen sowie für die Betreiber von Gateway. für die betreffende Organisation oder für ein IT-System speziell erstellte Richtlinien gelten). Dieser nimmt folgende Aufgaben wahr: • • • • • • • Bereitstellen der Maildienste auf lokaler Ebene. Verständigung des/der Absenders/Absenderin bzw.10.5 Einrichtung eines Postmasters ISO Bezug: 27002 10. 13. 12. muss nach Ablauf einer vordefinierten Frist vernichtet werden. ob die externen Kommunikationsverbindungen funktionieren. wenn der Inhalt einer E-Mail (zur Gänze oder teilweise) nicht einem gültigen Dokumentenaustauschformat entspricht (etwa Blocken der Nachricht. 10. falls ein Virus gefunden wurde (Verhinderung einer Weiterleitung.6 Geeignete Auswahl eines E-Mail-Clients/Server 371 . ob der gesamte Inhalt einer E-Mail einem gültigen Dokumentformat genügt (als Grundlage können hier die Richtlinien über Dokumentenaustauschformate (s. Zuständige Betreuer/innen (ev. Speicherung in einem Zwischenbereich.[eh SYS 8. Verständigung der betroffenen Benutzer. [eh SYS 8. 14.10] 10.8.8. die unzustellbar bleibt. Überprüfung. . Überprüfung der Attachments auf Viren. Setzen von Maßnahmen.1. [KIT T05] bzw. der/die Absender/in ist mittels einer entsprechenden Fehlermeldung zu informieren. ev. Empfängers/Empfängerin.und Relaydiensten. Hotline oder Helpdesk) sollten jederzeit von den Benutzerinnen/Benutzern telefonisch erreicht werden können. 10. • Alle unzustellbaren E-Mails und alle Fehlermeldungen müssen an den Postmaster weitergeleitet werden.6tw.

Zugang von Außen: Der uneingeschränkte Zugang von außen ist nur über eine geeignete Verschlüsselung einzurichten (z. 10. Die Verschlüsselungen und Signaturen müssen jedenfalls CMS kompatibel sein. Derartige Anforderungen werden im Detail in der für Organisationen der öffentlichen Verwaltung zu beachtenden E-Mail-Policy des Chief Information Office des Bundes behandelt. Darüber hinaus gilt es die existierende WEBMAIL-Policy (sowie vorhandene Checklisten) zu beachten. 10.1. Nachweis der Standardkonformität: . dass die eingesetzten Clients und Server entsprechende Interfaces zu diesen Verzeichnisdiensten aufweisen.8.8. Dafür wird folgender Standard im Rahmen der E-Mail-Policy für die öffentliche Verwaltung vorgeschrieben: LDAP V3 [RFC 4511] Sicherheit: Für die E-Mail-Sicherheit ist S/MIME V3 einzusetzen.5 Gemäß den Vorgaben der E-Mail-Strategie des Bundes müssen E-MailProgramme (E-Mail-Clients und E-Mail-Server) unter dem Gesichtspunkt offener internationaler Standards gewählt werden. PGP kann für die Vertraulichkeit in einer Übergangszeit in manchen Bereichen notwendig bleiben.B. TLS oder IPsec mit einer symmetrischen Schlüssellänge von mindestens 100 Bit). Im Bereich der öffentlichen Verwaltung ist für den externen E-Mail-Zugang auch der IKT-Board Beschluss [IKTB-110903-8] zu berücksichtigen. IMAP [RFC 3501]. 10. SMTP [RFC 5321] Adress-Verwaltung: Die Verwaltung von E-Mail-Adressen und Attributen erfolgt in Verzeichnisdiensten. Mailzugänge über Web-Interfaces müssen zumindest verschlüsselt sein (Standard SSL bzw. Eine komfortable Umsetzung erfordert.4. in dem die Verwendung der Bürgerkarte zur Identifikation und Authentifikation empfohlen wird. Die durch den IKT-Board-Beschluss [IKTB-170902-1] für die Organisationen der öffentlichen Verwaltung empfohlene E-Mail-Policy schreibt dabei die Einhaltung der folgenden Mindesteigenschaften vor: • • • • • 372 Kommunikation: Für die Kommunikation zwischen Clients und Servern im E-Mailverkehr sowie für die Kommunikation zwischen E-Mail-Servern selbst sind folgende Protokolle festgelegt: POP3 [RFC1939].8.8. Für die öffentliche Verwaltung ist die "Richtlinie für E-Mail Zertifikate in der Verwaltung" [IKTMZERT] zu beachten [IKTB-230903-17] .2. die auch die End-ToEnd Authentifizierung sicherstellt. Für die Signatur von Attachments sind als Signaturformate PKCS#7 oder XML zu verwenden. VPN oder IPSEC). Die dabei eingesetzten Schlüssellängen der symmetrischen Schlüsselkomponenten müssen mindestens 100 Bit betragen.ISO Bezug: 27002 10.

Jede/r. Für weitere detaillierte Vorschriften.2.7. das E-Mail-Passwort auszulesen. Insbesondere sollten bei der Konfiguration der E-Mail-Clients folgende Punkte berücksichtigt werden: • • Das E-Mail-Passwort darf keinesfalls dauerhaft vom E-Mail-Programm gespeichert werden.8.Für die Bereiche der öffentlichen Verwaltung wird ein Testmailservice angeboten. Damit kann der Nachweis der Konformität der Systeme mit den geforderten Standards und der Einhaltung der Mindestantwortzeiten erbracht werden. dass sie die Konfiguration nicht selbsttätig ändern dürfen.7 Sichere Konfiguration der Mailclients ISO Bezug: 27002 10. dass ohne weiteres Zutun der Benutzer/innen maximale Sicherheit erreicht werden kann. unter fremdem Namen E-Mails zu verschicken bzw. die für die Organisationen der öffentlichen Verwaltung gemäß dem IKT-Board-Beschluss [IKTB-170902-1] anwendbar sind.3. Dieses dient zur Kompatibilitätsfeststellung der eingesetzten Systeme sowohl nach innen als auch nach außen. u.4. hat so die Möglichkeit. 10. dass keine internen E-Mail-Adressen weitergegeben werden.8. 10. 12.3. Als Reply-Adresse ist die E-Mail-Adresse der Benutzerin bzw.U. Dabei wird das Passwort auf der Client-Festplatte abgelegt. 10. Bei der Konfiguration von E-Mail-Clients kann auf produktbezogene und aktuelle von vertrauenswürdigen Stellen veröffentlichte Leitlinien zurückgegriffen werden (z.4.4.2.1.8.2.4. 10. die/der Zugriff auf den Mailclient hat.19] 10. um sicherzustellen.8.8.5 373 . sowie auf die "EMail-Policy" [IKT-MPOL] der Stabsstelle IKT-Strategie des Bundes (CIO) verwiesen. [eh SYS 8. 10.11] 10.7. [eh SYS 8. sogar im Klartext oder nur schwach verschlüsselt.8.8 Verwendung von WebMail externer Anbietern ISO Bezug: 27002 7.1 Die E-Mail-Progamme der Benutzer/innen müssen durch den Administrator so vorkonfiguriert sein.1. Die Benutzer/innen sind darauf hinzuweisen. des Benutzers einzustellen. [NSA-ECC1] ).B. sei auf die entsprechenden Kapitel der "Internet Policy" [IKT-IPOL] . 15. 11.2.

usw. anfallender Kosten. über eine verschlüsselte Verbindung (z.23] 374 . Verfügbarkeit. dem Einsatz von Spam-Filtern. SSL/TLS) auf die Mailbox zuzugreifen können E-Mails elektronisch signiert und/oder verschlüsselt werden findet eine Identitätsprüfung von Neukunden statt wird der Service durch fachkundiges und sicherheitstechnisch geschultes Personal realisiert (Social Engineering Attacks: beispielsweise soll das Erfragen des Passwortes durch einen fingierten Anruf am Helpdesk nicht möglich sein) eine Virenprüfung der E-Mails sollte anbieterseitig gewährleistet sein Spam-Filter sollten zur Verfügung stehen Bei der Verwendung von Web-Mail sollte der/die Anwender/in Folgendes beachten (vgl.3. auch 10. Es ergeben sich auch Unterschiede bezüglich Mailbox-Größen. 11.8.) [eh SYS 8. In diesem Zusammenhang wird der Zugang zu den E-Mail-Konten in der Regel via Web-Mail angeboten.B.Eine Vielzahl von externen Maildiensteanbietern stellen ihre Services oft kostenlos (evtl.1 Regelungen des Passwortgebrauches ) Zugriffe auf das Web-Mail-Konto dürfen nur über verschlüsselte Verbindungen erfolgen (SSL/TLS) trotz eines vorhandenen anbieterseitigen Virenschutzes sollten Attachments clientseitig auf Viren geprüft werden Beenden des Web-Mail-Dienstes nur über den vorgesehenen Ausstiegsmechanismus (Log-Out-Button. bei dem der/die Anwender/in die E-Mail-Dienste ohne jegliche clientseitige Software sondern nur unter Verwendung des Browsers nutzen kann. Diesbezüglich ist eine genaue Durchsicht der Allgemeinen Geschäftsbedingungen (AGB) des jeweiligen Anbieters vorzunehmen. wie etwa: • • • • • • ist es möglich. Die Anbieter derartiger Webmaildienste unterscheiden sich nicht nur hinsichtlich ggf. in Verbindung mit Werbung) zur Verfügung. etc. Darüber hinaus sind die gebotenen Sicherheitsvorkehrungen zu beachten.6 Geeignete Auswahl eines E-Mail-Clients/Server ): • • • • Wahl eines geeigneten Passwortes (vgl.

Dabei sind gegenseitige (stichprobenartige) Überprüfungen der vereinbarten und einzuhaltenden Sicherheitsmaßnahmen sinnvoll. ausgetauscht) welche Sicherheitsmaßnahmen müssen gewährleistet werden wie sind weitere Vertragspartner in die Vereinbarung einzubinden Regelung über das Vorgehen beim Auftreten von Sicherheitslücken (betrifft Informationspflicht. Data Connection Agreement – DCA) sollen detaillierte Angaben zu folgenden Punkten enthalten sein: • • • • • • • • • • • Bestimmung der Verantwortlichen Haftungs. Vorgehen bei Netzwerktrennung.9. [eh SYS 8. Hackerangriff. auch bei Virenbefall. 10. organisatorischen und sicherheitstechnischen Belangen) welche Dienste werden zur Verfügung gestellt (z. E-Commerce.) eventuell Non-Disclosure-Agreement (NDA) Festlegung der Datennutzung Benennung von Ansprechpartnerinnen/Ansprechpartnern (in technischen. ftp.und Schadensersatzregeln (z. http. In einer derartigen Vereinbarung (sog. Vereinbarungen notwendig. die von Systemen über das öffentliche Internet angeboten werden.B. ist sicher zu stellen.) Sicherheitslücken müssen von allen Beteiligten vor dem Netzzusammenschluss beseitigt werden.9. etc.B. etc.) welche Plattformen werden unterstützt Richtlinien zur Protokollierung (wer protokolliert was/wann und wie werden Protokolldaten ggf.1 Richtlinien bei Verbindung mit Netzen Dritter (Extranet) ISO Bezug: 27002 10. DIe Integrität und die Verfügbarkeit der Informationen.9 Internet-.21] 375 .1 Zunehmend werden die nach außen hin abgeschotteten und abgesicherten Netzwerke von Organisationen zu einem Verbund zusammengeschlossen (Extranet). Web. E-Government Aus der immer weiter verbreiteten Nutzung von E-Commerce und E-Government ergeben sich Anforderungen an die Sicherheit der Systeme Applikationen und Transaktionen. etc. Für diesen Schritt sind als Grundlage von allen Beteiligten einzuhaltende Richtlinien bzw.10.

Schutz der lokalen Netzkomponenten gegen Angriffe auf deren Verfügbarkeit (insbesondere gilt dies auch für Informationsserver.4 Eine Internet-Sicherheitspolitik stellt eine IT-Systemsicherheitspolitik im Sinne von Kapitel5 Entwicklung einer organisationsweiten InformationssicherheitsPolitik des vorliegenden Handbuchs dar. das ICMP-Protokoll bzw.3. Sie muss mit der organisationsweiten Informationssicherheits-Politik der Behörde bzw. die Informationen aus dem internen Bereich für die Allgemeinheit zur Verfügung stellen).9. 10. (Die Verfügbarkeit dieser Informationen muss aber gegenüber dem Schutz der lokalen Rechner und Informationen zurückstehen!).2 Erstellung einer Internet-Sicherheitspolitik ISO Bezug: 27002 10. Schutz einer Firewall gegen Angriffe aus dem externen Netz. Die Erstellung der Internet-Sicherheitspolitik umfasst im Wesentlichen folgende Schritte (vgl. Verfügbarkeit der Informationen des externen Netzes im zu schützenden internen Netz.9. des Unternehmens kompatibel sein.10.1. Schutz der lokal übertragenen und gespeicherten Daten gegen Angriffe auf deren Vertraulichkeit oder Integrität. Routingprotokolle missbrauchen.) 376 . (Da die Anzahl der potentiellen Angreifer/innen und deren Kenntnisstand bei einer Anbindung an das Internet als sehr hoch angesehen werden muss. die auf IP-Spoofing beruhen oder die Source-Routing Option. 10.6. ist dieses Sicherheitsziel von besonderer Bedeutung. Schutz vor Angriffen.2 Erarbeitung einer organisationsweiten InformationssicherheitsPolitik ) : • • • • • • • • • • • Festlegung der Sicherheitsziele Auswahl der Kommunikationsanforderungen Diensteauswahl organisatorische Regelungen Beispiele für Sicherheitsziele sind: Schutz des internen Netzes gegen unbefugten Zugriff von außen. aber auch gegen Manipulationen aus dem internen Netz. Schutz vor Angriffen durch das Bekannt werden von neuen sicherheitsrelevanten Softwareschwachstellen. 11.

Alle anderen Dienste müssen verboten werden. vom dienstlichen Aufgabenbereich der Benutzerin bzw. nur über einen Internet-Service-Provider oder auch über einen Modempool)? Welcher Datendurchsatz ist zu erwarten? Diensteauswahl Im dritten Schritt wird aus den Kommunikationsanforderungen abgeleitet. für die noch keine expliziten Regeln festgelegt wurden. welche Arten der Kommunikation mit dem äußeren Netz zugelassen werden. Es muss unterschieden werden zwischen denjenigen Diensten. In der Sicherheitspolitik muss für jeden Dienst explizit festgelegt werden. die für die Benutzer/ innen im zu schützenden Netz. • • welche Dienste für welche Benutzer/innen und/oder Rechner zugelassen werden sollen und für welche Dienste Vertraulichkeit und/oder Integrität gewährleistet werden müssen. nach innen hereingelassen werden? Welche Informationen sollen verdeckt werden (z. Einmalpasswörter oder Chipkarten)? Welche Zugänge werden benötigt (z. dürfen nicht zugelassen werden.B. Es muss festgelegt werden. Dies muss auch die Voreinstellung sein: Alle Dienste. Es sollten nur die Dienste zugelassen werden. ob und welche der übertragenen Nutzinformationen gefiltert bzw. die unbedingt notwendig sind. welche Dienste im zu sichernden Netz erlaubt und welche verboten werden müssen.B. zur Kontrolle auf Viren). des Benutzers sowie von ihrem/seinem Problembewusstsein ab. Die Entscheidung darüber. hängt von der Qualität der Firewall.Im nächsten Schritt ist festzulegen.B. und denjenigen. die für externe Benutzer/innen zugelassen werden. 377 .bzw.B. Bei der Auswahl der Kommunikationsanforderungen müssen speziell die folgenden Fragen beantwortet werden: • • • • • Welche Informationen dürfen nach außen hindurch. die interne Netzstruktur oder die Benutzernamen)? Welche Authentisierungsverfahren sollen benutzt werden (z. überprüft werden sollen (z. zu welchen Diensten ein/e Benutzer/in im Internet Zugang erhalten kann.

Die Benutzer/innen müssen über ihre Rechte.3 Organisation und Verantwortlichkeiten für Informationssicherheit ).B. Warnungen auszugeben oder evtl. welche Aktionen bei einem Angriff gestartet werden. 5. s. Die Aufgaben und Kompetenzen für die betroffenen Personen und Funktionen müssen eindeutig festgelegt sein.2. Ausnahmeregelungen. Die Protokollierung muss den datenschutzrechtlichen Bestimmungen entsprechen. es sollte eine ausreichende Anzahl von Verbindungsmöglichkeiten vorgesehen werden. Daneben müssen je nach Organisationsstruktur und -größe ein oder mehrere Verantwortliche für die Pflege der angebotenen Kommunikationsdienste benannt werden. wie beispielsweise: • • • • • • • Es müssen Verantwortliche sowohl für die Erstellung als auch für die Umsetzung und die Kontrolle der Einhaltung der Internet-Sicherheitspolitik benannt werden (z. Bereichs-IT-Sicherheitsbeauftragte. Jede spätere Änderung muss streng kontrolliert werden und insbesondere auf Seiteneffekte überprüft werden. d. und die entsprechenden Maßnahmen einleiten.B. 378 . ob z. verbotene Verbindungen aufzubauen. Jeder Internetdienst birgt Gefahren.B. welche Informationen protokolliert werden und wer die Protokolle auswertet. Es ist zu klären. die dem/der Benutzer/in mögliche Risiken aufzeigt und ihr/sein Problembewusstsein fördert. insbesondere auch über den Umfang der Nutzdaten-Filterung. der/die Angreifer/in verfolgt werden soll oder ob die Netzverbindungen nach außen getrennt werden sollen. ob ein Angriff vorliegt. sondern auch frühzeitig erkannt werden können. häufigen fehlerhaften Passworteingaben auf einem Application-Gateway oder Versuchen. müssen Verantwortliche bestimmt sein. Benutzern eingesetzten Kommunikationsclients betreut werden.h. Angriffe können über die Auswertung der Protokolldateien erkannt werden. Angriffe auf eine Firewall sollten nicht nur erfolgreich verhindert.Die Sicherheitspolitik sollte so beschaffen sein. für Tests). dass sie auch zukünftigen Anforderungen gerecht wird. sogar Aktionen auszulösen. die entscheiden können. Es ist daher eine Schulung erforderlich. umfassend informiert werden. wie z. Es müssen sowohl alle korrekt aufgebauten als auch die abgewiesenen Verbindungen protokolliert werden.B. oder Web-Server müssen auch die von den Benutzerinnen bzw. Die Firewall sollte aber auch in der Lage sein. Neben dem Serverbetrieb wie Mail-. müssen vorgesehen werden. Es muss festgelegt werden. Da hiermit starke Eingriffe in den Netzbetrieb verbunden sein können. insbesondere für neue Dienste und kurzzeitige Änderungen (z. Darüber hinaus sind eine Reihe von organisatorischen Regelungen erforderlich. auf Grund von vordefinierten Ereignissen. die nicht auf technischer Ebene durch eine Firewall abgefangen werden können.

1] 10.B. WWW-Server sind für Hacker/innen sehr attraktive Ziele.bzw.1. 10. Vor dem Einrichten eines WWW-Servers sollte in einer WWW-Sicherheitsstrategie beschrieben werden. Daher muss der Absicherung eines WWW-Servers ein hoher Stellenwert eingeräumt werden. Eine wichtige Informationsquelle für Sicherheitshinweise zur WWW-Nutzung stellt die "World Wide Web Security FAQ" (unter http://www. Anhand der in der WWW-Sicherheitsstrategie festgelegten Anforderungen kann dann regelmäßig überprüft werden. um rechtzeitig Vorsorge dagegen treffen zu können. Hierbei ist die Absicherung eines WWW-Servers ebenso zu betrachten wie die der WWW-Clients und der Kommunikationsverbindungen zwischen diesen. ob die getroffenen Maßnahmen ausreichend sind. insbesondere hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen? Welche Dateien dürfen aufgrund ihres Inhaltes nicht auf dem WWWServer eingestellt werden (z. 379 . welche Dienste genutzt und welche angeboten werden sollen. welche Sicherheitsmaßnahmen in welchem Umfang umzusetzen sind.9. weil die Inhalte vertraulich sind.3 Festlegung einer WWW-Sicherheitsstrategie ISO Bezug: 27002 10. In der WWW-Sicherheitsstrategie muss neben einer Sicherheitsstrategie für den Betrieb eines WWW-Servers auch eine Sicherheitsstrategie für die WWW-Nutzung enthalten sein. da einem erfolgreichen Angriff oft sehr große Publizität zuteil wird.3 Vor der Nutzung von WWW-Diensten ist zunächst in einem Konzept darzustellen.9. WWW-Sicherheitsstrategie für den Betrieb eines WWW-Servers In der Sicherheitsstrategie für den Betrieb eines WWW-Servers sollten die folgenden Fragen beantwortet werden: • • • • • Wer darf welche Informationen einstellen? Welche Randbedingungen sind beim Betrieb eines WWW-Servers zu beachten? Wie werden die Verantwortlichen geschult.[eh SYS 8. Behördenpolitik entsprechen)? Welche Zugriffsbeschränkungen auf den WWW-Server sollen realisiert werden? Teil einer Sicherheitsstrategie muss auch die regelmäßige Informationsbeschaffung über potentielle Sicherheitslücken sein.org/Security/Faq/ ) dar. nicht zur Veröffentlichung zulässig sind oder nicht der Firmen.9.w3.

Nach dem Download von Dateien sind diese explizit auf Viren zu überprüfen. dürfen weder auf WWW-Servern eingestellt noch nachgefragt werden. dass ohne weiteres Zutun der Benutzer/innen maximale Sicherheit erreicht werden kann (siehe auch 10.12] 10. soweit dies nicht durch eine zentrale Überprüfung gewährleistet wird. Es muss festgelegt werden.9. [eh SYS 8. Die Benutzer/innen müssen vor der WWW-Nutzung geschult werden.9. deren Inhalt Anstoß erregen könnte.5 Sicherheit von WWWBrowsern ). sowohl in der Nutzung ihrer WWW-Browser als auch des Internets. 10.9. Alle Regelungen und Bedienungshinweise zur WWW-Nutzung sind schriftlich zu fixieren und sollten den Mitarbeiterinnen/Mitarbeitern jederzeit zur Verfügung stehen. Insbesondere müssen sie hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen sensibilisiert werden. welche Inhalte als anstößig gelten.1. um Fehlbedienungen zu vermeiden und die Einhaltung der organisationsinternen Richtlinien zu gewährleisten.4 Sicherer Betrieb eines WWW-Servers ISO Bezug: 27002 10.9.WWW-Sicherheitsstrategie für die WWW-Nutzung In der Sicherheitsstrategie für die WWW-Nutzung sollten die folgenden Fragen beantwortet werden: • • • • Wer erhält WWW-Zugang? Welche Randbedingungen sind bei der WWW-Nutzung zu beachten? Wie werden die Benutzer/innen geschult? Wie wird technische Hilfestellung für die Benutzer/innen gewährleistet? Durch organisatorische Regelungen oder durch die technische Umsetzung sind dabei insbesondere folgende Punkte zu gewährleisten: • • • Die Browser der Benutzer/innen müssen durch den Administrator so vorkonfiguriert sein. Dateien.3 380 .

13] 381 . Ein/e Angreifer/in könnte sonst durch Ausnutzung eines Fehlers diese mit den Rechten des HTTP-Servers manipulieren. dass diese/r Benutzer/in keine Schreibrechte auf die Protokolldateien besitzt.B. damit sie sicher betrieben werden können. Er muss üblicherweise mit root-Privilegien gestartet werden. verschiedene Dienste gehören auf verschiedene Rechner (beispielsweise ein WWW-Server und ein E-Mail-Server). Je nach Art des WWW-Servers bieten sich unterschiedliche Möglichkeiten zum Schutz an. [NSA-SD2] . [eh SYS 8. d.9. Hierfür sollte ein eigener Benutzeraccount wie wwwserver eingerichtet werden. d. sollte aber nach dem Start so schnell wie möglich mit den Rechten einer/eines weniger privilegierten neuen Benutzerin/ Benutzers weiterarbeiten. [NSA-SD5] u. Das Betriebssystem und die Software müssen so konfiguriert sein. Ein WWW-Server sollte insbesondere keine unnötigen Netzdienste enthalten. nach starker Authentisierung (bei Zugriff aus dem LAN) oder über eine verschlüsselte Verbindung (bei Zugriff aus dem Internet) erfolgen. [NSA-SD4] .h. Die Kommunikation mit dem WWW-Server sollte durch einen Paketfilter auf ein Minimum beschränkt werden. Weiterhin sollte der WWW-Server vor dem Internet durch einen Firewall-Proxy oder aber zumindest durch einen Paketfilter abgesichert werden. Die Administration des WWW-Servers sollte nur über eine sichere Verbindung erfolgen. Daher sollte ein WWW-Server.ä.). nur mit eingeschränkten Rechten ausgestattet sein sollte. entsprechend den folgenden Vorgaben installiert werden: • • • • • • Auf einem WWW-Server sollte nur ein Minimum an Programmen vorhanden sein. dass der eigentliche Serverprozess des WWW-Servers. da ein Fehler auf dem WWW-Server sonst Zugriffe auf interne Daten ermöglichen könnte. das Betriebssystem sollte auf die unbedingt erforderlichen Funktionalitäten reduziert werden und auch sonst sollten sich nur unbedingt benötigte Programme auf dem WWW-Server befinden. nämlich der http-Daemon. Für die verschiedensten Server-Produkte sind teilweise detaillierte Leitlinien zu deren sicheren Konfiguration verfügbar (vgl. Wichtig ist. Der Zugriff auf Dateien oder Verzeichnisse muss geschützt werden (siehe 10. Er darf sich nicht zwischen Firewall und internem Netz befinden.6 Schutz der WWW-Dateien ).h. Solange der Rechner nicht entsprechend konfiguriert ist. [NSA-SD3] .WWW-Server sind attraktive Ziele für Angreifer und müssen daher sehr sorgfältig konfiguriert werden. darf er nicht ans Netz genommen werden. Allen diesen Möglichkeiten gemeinsam ist allerdings. der Informationen im Internet anbietet. die Administration sollte direkt an der Konsole. dass der Rechner optimal gegen Angriffe geschützt wird. z.

Java-Applets o. etc.B. MakroViren und trojanische Pferde. 10.5 Sicherheit von WWW-Browsern ISO Bezug: 27002 10. vgl. Eine Gefährdung der lokalen Daten geht beispielsweise von Programmen aus.9. Bei der Konfiguration des Browsers ist darauf zu achten. Ursachen dafür können sein: • • • falsche Handhabung durch die Benutzer/innen unzureichende Konfiguration der benutzten Browser (also der Programme für den Zugriff auf das WWW) Sicherheitslücken in den Browsern.1.3.10.4.oder Excel-Dokumenten). Auch innerhalb von Dokumenten oder Bildern können Befehle enthalten sein. [NSA-SD8] . [NSASD10] . ActiveX-Programme..). 11. 382 . die zugehörigen Anwendungen nicht automatisch gestartet werden. produktspezifische Konfigurationsleitlinien zu verwenden (z. Die Benutzer/innen dürfen sich nie darauf verlassen. Laden von Dateien und/oder Programmen: Beim Laden von Dateien und/oder Programmen können eine Vielzahl von Sicherheitsproblemen auftreten. die automatisch beim Betrachten ausgeführt werden und zu Schäden führen können (z. die aus dem Internet geladen werden und ohne Nachfrage auf dem lokalen Rechner ausgeführt werden (z. dass die geladenen Dateien oder Programme aus vertrauenswürdigen Quellen stammen.B. dass bei Dateitypen. sollten die im Folgenden beschriebenen Maßnahmen umgesetzt werden. 10. die bekanntesten sind sicherlich Viren. die Makro-Viren enthalten können. Makro-Viren in Word.9. Um solche Probleme zu vermeiden.B. Beim Zugriff auf das World Wide Web (WWW) können verschiedene Sicherheitsprobleme auf den angeschlossenen Arbeitsplatzrechnern auftreten.6.9.ä.16 Firewalls und aktive Inhalte ). Aktuelle Virenschutzprogramme sollten auf allen Rechnern mit Internetzugang installiert sein und automatisch ausgeführt werden. Darüber hinaus kann es auch sinnvoll sein.1.

Zusatzprogramme benötigt. dass sie selber dafür verantwortlich sind.1. beim Dateiladen alle entsprechenden Vorsichtsmaßnahmen zu ergreifen. z.7 Abnahme und Freigabe von Software . bestimmte Dateiformate zu verarbeiten. sind eigenständige Programme. Insbesondere dürfen nur getestete und zugelassene Programme installiert werden (vgl.h. Selbst wenn über die Firewall automatisch die geladenen Informationen auf Viren überprüft werden.Alle Benutzer/innen müssen darauf hingewiesen werden. im Allgemeinen anzeigen. In Zweifelsfällen ist die IT-Administration hinzuzuziehen. in der Dateiendung und Programm verknüpft sind. d. Dann müssen alle zu einem Plug-In gehörenden Dateien im Plug-In-Verzeichnis des Browsers manuell gelöscht werden. dazu auch 12. Daher sollten alle nicht benötigten Plug-Ins entfernt werden. in manchen Fällen auch abspielen.B. Der Aufruf eines solchen Zusatzprogramms wird über eine Konfigurationsdatei des Browsers gesteuert. dass diese keine Makro-Befehle ausführen können (Schutz vor Makro-Viren. Plug-Ins und Zusatzprogramme Nicht alle Browser können alle Dateiformate direkt verarbeiten.6 Vermeidung bzw. DLL-Dateien). Zusatzprogrammen für einen WWW-Browser sind dieselben Vorsichtsmaßnahmen wie beim Laden von Dateien und/oder Programmen zu beachten. 383 . Kapitel 10. die in der Lage sind. Erkennung von Viren durch den Benutzer ). die von Installationsprogrammen ins Plug-In-Verzeichnis geladen werden und bei Aufruf des entsprechenden Dateiformates vom Browser ausgeführt werden. Zusatzprogramme. Es dürfen keine Programme installiert werden. Vor der Installation sollten auf Stand-alone-Rechnern Tests auf die Schadensfreiheit der Programme durchgeführt werden. Das ist nicht immer einfach: Viele Deinstallationsroutinen erkennen Plug-Ins nicht und nicht alle Browser bieten eine Übersicht über die installierten Plug-Ins.4.1. Bei Plug-Ins handelt es sich um Bibliotheksdateien (z.1 Nutzungsverbot nicht-freigegebener Software ). Beim Hinzufügen von Plug-Ins bzw. Bei einigen Dateiformaten werden zusätzlich noch Plug-Ins bzw. bleiben die Benutzer/innen verantwortlich für die Schadensfreiheit von geladenen Dateien oder Programmen.B.8 Installation und Konfiguration von Software und 12. Bei Viewern von Office-Dokumenten sollte darauf geachtet werden. 12. Plug-Ins verbrauchen natürlich auch Speicherplatz und verlängern die Startzeit des Browsers. denen man nicht unbedingt vertrauen kann. vgl. Viewer. Grundsätzlich müssen bei der Installation von Programmen natürlich die organisationsinternen Sicherheitsregeln beachtet werden.3.

diese regelmäßig gelöscht werden.B. Allerdings kann ein WWW-Anbieter hiermit auch Benutzerprofile erstellen. Um das Anlegen von Cookie-Dateien zu verhindern. Hier ist insbesondere zu überprüfen. Auch hier muss sichergestellt werden. das regelmäßige Löschen der Cookies über eine Batch-Datei zu steuern. Wo dies nicht möglich ist. mit denen sich das Anlegen von Cookies verhindern lässt. die beispielsweise bei jedem Systemstart oder jeder Benutzeranmeldung die alten Cookie-Dateien löscht. sondern auch lokal. Hotlists und Cache. Ansonsten kann es hilfreich sein. 384 . welche Anbieter welche Informationen über die Benutzer/innen sammeln. Diese Option muss immer aktiviert werden. die die Benutzer/innen vor der Annahme von Cookies warnen. Es sollten vorzugsweise Browser eingesetzt werden. hängt vom eingesetzten Betriebssystem und der Browser-Variante ab. dass nur Befugte darauf Zugriff haben können.txt oder Verzeichnissen wie cookies . wo das nicht möglich ist.Cookies: In so genannten Cookie-Dateien werden auf dem Rechner der Benutzerin bzw. Um dies zu verhindern. kann auch eine leere CookieDatei angelegt werden und mit einem Schreibschutz versehen werden. ob der Browser weder den Schreibschutz zurücksetzen kann noch dadurch einen Absturz verursacht. z. wo auf ihren lokalen Rechnern solche Daten gespeichert werden und wie sie diese löschen können. Cookies finden sich meist im Konfigurationsverzeichnis des benutzten WWW-Browsers in Dateien wie cookie. Dies gilt insbesondere auch für die von Browsern angelegten Dateien über History. Lassen sich die Benutzer/innen vor der Annahme von Cookies warnen. des Benutzers Informationen über abgerufene WWW-Seiten. Datensammlungen: Nicht nur extern werden Daten über die Internetnutzung der verschiedenen Benutzer/innen gesammelt. Passwörter und Benutzerverhalten gespeichert. sollten zumindest solche Browser eingesetzt werden. für zielgruppenorientierte Werbung. Damit können WWW-Anbieter beim nächsten Besuch der/des jeweiligen Benutzerin/Benutzers spezielle Informationen für diese/n anbieten oder dieser/diesem passwortgesichert nur bestimmte Dienste zugänglich machen. Die Benutzer/innen müssen informiert werden. so dass damit auch transparent wird. Inwieweit dies effektiv ist. bekommen sie mit der Warnung auch den zu erwartenden Inhalt des Cookies angezeigt. sollte das Anlegen von Cookie-Dateien verhindert werden oder.

History Datenbank: History Datenbanken enthalten eine vollständige Sammlung über alle Aktivitäten. History Datenbank (s. Informationen über Newsserver Visiten: Aus den meisten Browsern heraus kann direkt auf Newsserver zugegriffen werden. Informationen über Benutzer/innen.h. Adressen. der die Anfrage gestartet hat. 385 . URL Liste (Liste der letzten aufgerufenen URLs). da auf einem ProxyServer alle externen WWW-Zugriffe aller Mitarbeiter/innen protokolliert werden. Dadurch verbraucht die History Datenbank auch schnell sehr viel Speicherplatz und sollte regelmäßig aufgeräumt werden. Angaben über betrachtete Bilder.). Damit kann für ein Benutzerprofil festgestellt werden.Diese Dateien sind auf Proxy-Servern besonders sensibel. da bestimmte Einträge erhalten bleiben müssen.)..). Ein schlecht administrierter Proxy-Server kann daher massive Datenschutz-Verletzungen nach sich ziehen.u.u. Zu diesen Informationen gehören: • • • • • • • • Favoriten. abgerufene WWW-Seiten. sondern durch vorbereitete Kopien einer leeren History Datenbank ersetzt werden. inklusive der IP-Adresse des Clients.). Von den meisten Browsern werden viele Informationen über den/die Benutzer/innen und sein/ihr Nutzerverhalten gesammelt. Die Dateien der History Datenbank sollten nicht einfach gelöscht werden. die mit einem Browser durchgeführt worden sind. welche Newsgruppen und welche News ein Benutzer gelesen hat. d. und die anderseits in ihrer Masse den verfügbaren Speicherplatz mit überflüssigen Informationen blockieren. Newsserver Visiten (s. Cookie Liste. betrachtete vertrauliche interne Dokumente etc. evtl.u. von denen diese/r einerseits vielleicht nicht will. und der nachgefragten URL. Informationen im Cache (s. Manche Browser speichern auch den vollständigen Inhalt aller gelesenen News. dass sie weitergegeben werden.u. die im Browser gespeichert und evtl. auch weitergegeben werden (s.

aktiv auf die Festplatte des Client zuzugreifen (ActiveX. um einen möglichen Missbrauch zu verhindern. birgt im Zusammenhang mit ActiveX und Java gewisse Sicherheitsrisiken. Dies führt aber zu einer Verlagerung des Sicherheitsrisikos vom Server auf den Client. Organisation. Daher sind in Java und ActiveX verschiedene Sicherheitsmechanismen eingebaut. z.Informationen über Benutzer/innen: In einem Browser werden auch diverse Informationen über Benutzer/innen gespeichert und evtl. allerdings sind bereits mehrfach Sicherheitslücken gefunden worden. seit der Cache das letzte Mal gelöscht wurde. Das Sicherheitskonzept von ActiveX basiert darauf. Informationen im Cache: Viele Browser erzeugen in einem Cache-Verzeichnis große Mengen an Dateien. dass der/ die Anwender/in dem Anbieter und einer authentifizierten dritten Stelle im World Wide Web vertraut.bzw. allerdings nicht eigenständig. für die Browser-Benutzung einen Alias zu verwenden. ActiveX erlaubt unter bestimmten Bedingungen die Nutzung lokaler Ressourcen. Wenn auf mit SSL/TLS gesicherte WWW-Seiten zugegriffen wird. Dieses Vertrauen ist problematisch. empfiehlt es sich. Java. kann dies unter anderem dazu dienen. die den Text und die Bilder aller besichtigten Web-Seiten enthalten. Der Cache dient dazu. 386 . Daher sollten solche Seiten von vornherein nicht im Cache abgelegt werden. E-Mail-Adresse. Die Benutzung von Browsern. so dass sich in einem nicht regelmäßig gelöschten Cache schnell Dutzende Megabyte Datenmüll ansammeln. Manche Browser löschen diese Daten. auch weitergegeben. wenn Web-Seiten eines unbekannten oder eines neuen Anbieters aufgerufen werden. ActiveX-Programme werden über den Browser statt auf dem Server auf der Client-Seite ausgeführt. Java). Bei Java ist ein solcher Zugriff ebenfalls möglich. die in jeder weiteren Sitzung absolut nutzlos sind. Realname. Aus diesen Daten lassen sich darüber hinaus auch Benutzerprofile erstellen. Um nicht mit Werbe-E-Mail überflutet zu werden. um das mehrfache Laden von Informationen einer Seite während einer Sitzung zu verhindern. Daher sollte der Cache ebenso wie der Verlaufsordner regelmäßig gelöscht werden. sensible Informationen wie Kreditkartennummern verschlüsselt über das Internet zu übertragen.B. jedoch nur wenn der/die Anwender/in dies explizit gestattet. Zugriff auf Client-Festplatte: Bei einigen Browsern wird WWW-Servern die Möglichkeit gegeben. die Zugriffe auf Dateien des Client gestatten.

nur nach Rückfrage gestartet werden können. zunächst noch unbekannte Sicherheitsprobleme auftreten!). Java und JavaScript sollten diese generell abgeschaltet werden. Neuere Browser unterstützen die Benutzung diverser Sicherheitsprotokolle. Verschlüsselung: Da im Internet alle Daten im Klartext übertragen werden. Die entsprechenden Möglichkeiten sollten daher in den Konfigurationsdateien entfernt werden bzw. zumindest SSL/TLS sollte unterstützt werden.B. Hierbei wäre es sinnvoll. beliebige Daten im MIME-Format zu lesen. News-Reader und Mail-Clients bieten häufig die Möglichkeit. keine Möglichkeit zum Verändern lokaler Daten) sollten auf jeden Fall genutzt werden. inwieweit zur sicheren Übertragung von Daten über das Internet neuere Protokolle wie IPsec. Beim Surfen im Internet sollte die automatische Ausführung von Programmen verhindert werden (z. dass die Vertraulichkeit und Integrität sicherheitsrelevanter Daten nicht beeinträchtigt werden können. über die Option Disable Java) und nur bei vertrauenswürdigen Servern wieder eingeschaltet werden. sich über neu bekannt gewordene Schwachstellen zu informieren und entsprechende Gegenmaßnahmen zu ergreifen. Nutzung vorhandener Sicherheitsfunktionalitäten: Die vorhandenen Sicherheitsfunktionalitäten der Browser (Rückfrage vor dem Ausführen von Programmen. der Einsatz neuer Versionen (Achtung: gerade in neuen Versionen können ev. die zu einem automatischen Starten von Programmen auf dem lokalen Rechner führen. Sicherheitslücken in den WWW-Browsern: In den meisten Browsern sind bereits gravierende Sicherheitslücken gefunden worden. Es ist zu überlegen. sowie zusätzliche organisatorische und administrative Maßnahmen. Es ist daher sehr wichtig. Zugriff nur auf eingeschränkte Dateisysteme. wenn entsprechende Mechanismen schon in den unteren Schichten des Protokolls vorgesehen würden. neue. Java und JavaScript unbedingt notwendig ist. Falls die Benutzung von ActiveX. sollten sensible Daten nur verschlüsselt übertragen werden. 387 . sollten diese nur auf Rechnern zugelassen sein. Mögliche Gegenmaßnahmen sind das Einspielen von Patches zur Beseitigung bekannter Sicherheitslücken. die gegenüber anderen internen Rechnern so abgeschottet sind. Auch in diesen Daten können Befehle enthalten sein.Auf Grund der bestehenden Probleme mit ActiveX. HTTPS oder SSL/TLS eingesetzt werden können.

1 388 . dass die dargestellten Regelungen zur Kenntnis genommen wurden und bei Benutzung der Kommunikationsdienste beachtet werden. um wiederholte Zugriffe auf dieselben externen WWW-Seiten zu vermeiden. [eh SYS 8.6 Schutz der WWW-Dateien ISO Bezug: 27002 10.9.Regelungen: Ein Großteil der oben beschriebenen Maßnahmen liegt im Verantwortungsbereich der Benutzer/innen. dass die Nutzung von Internetdiensten mit nicht unerheblichen Kosten verbunden ist. in dem solche Informationen strukturiert abgelegt werden können. im Internet gesammelte Informationen den anderen Mitarbeiterinnen und Mitarbeitern zur Verfügung zu stellen. Die Inhalte der Internet-Sicherheitsrichtlinie und der Benutzerordnung sind den Benutzerinnen und Benutzerin in einer Schulung darzulegen.3. dass • • • die Konfiguration der WWW-Programme nicht eigenmächtig geändert werden darf. da deren Umsetzung wie beispielsweise die Aktivierung bestimmter Optionen nicht ständig durch die Systemadministration überprüft werden kann. Jede/r Benutzer/in sollte durch Unterschrift bestätigen. Es empfiehlt sich vor der Zulassung von Benutzerinnen/Benutzern zu Internet-Diensten. Dementsprechend sollte darauf geachtet werden. die aufgeführten Sicherheitsrichtlinien zu beachten.14] 10. Dafür sollte im internen Netz ein spezieller Bereich vorgesehen werden. wer die Ansprechpartner bei Sicherheitsproblemen sind. Es sollten alle Benutzer/innen darauf hingewiesen werden. diese auf eine Benutzerordnung zu verpflichten. Daher sollte jede/r Benutzer/in vor der Nutzung von InternetDiensten durch entsprechende Anweisungen verpflichtet werden. In dieser Benutzerordnung sollten die zur Verfügung stehenden Kommunikationsdienste kurz erläutert und alle relevanten Regelungen aufgeführt werden.4. welche Daten protokolliert werden.9. 11. Weiterhin müssen die Benutzer/innen darauf hingewiesen werden.

Die Schreib.abhängig von den Sicherheitsanforderungen . nämlich dem Schutz vor unbefugtem Zugriff lokaler Benutzer und dem Schutz vor unbefugtem Zugriff von außen über das Web. Teilnetze oder Domänen beschränkt werden. . Schutz vor unbefugtem Zugriff Der Zugriff auf Dateien oder Verzeichnisse eines WWW-Servers ist zu schützen. unbefugten Zugang zu erschweren. die Scripts unter einer Benutzer-ID auszuführen. CD-ROM oder Festplatte mit Schreibschutz) gespeichert werden. die Konfigurationsdateien zu schützen. so müssen die dazu benutzten Programme (beispielsweise CGI-Skripte. Generelle Aspekte Falls das Webangebot nicht nur aus statischen HTML-Dateien besteht. um zu verhindern. Um sicherzustellen. ist es. Generell muss zwischen zwei verschiedenen Aspekten unterschieden werden. sondern bestimmte Inhalte dynamisch erzeugt werden. alle anderen Dateien sind statisch. können statische Daten auf einem schreibgeschützten Speichermedium (z. Eine Möglichkeit. dass WWW-Dateien überhaupt von Unbefugten geändert werden können. sollten aber nicht auf dem WWW-Server selber bearbeitet werden.B. Um zu verhindern. Diese können auf verschiedene Arten geschützt werden: • Der Zugriff kann auf frei wählbare IP-Adressen. da sonst alle Zugangsrestriktionen leicht ausgeschaltet werden können. 389 .und Leserechte der WWW-Dateien sollten als lokale Dateien nur berechtigten Benutzerinnen/Benutzern Zugang erlauben.Die Dateien und Verzeichnisse auf einem WWW-Server müssen gegen unbefugte Veränderungen. Dies trifft insbesondere auf Systemprogramme und die WWW-Seiten zu. dass keine Dateien auf dem WWW-Server unbemerkt abgeändert werden können.U. Schutz vor unbefugten Veränderungen Auf einem typischen WWW-Server ändern sich nur die Protokolldateien ständig. sollten über alle statischen Dateien und Verzeichnisse Prüfsummen gebildet und regelmäßig überprüft werden. WWW-Seiten werden zwar regelmäßig aktualisiert. Java Server Pages) besonders sorgfältig programmiert werden.gegen unbefugten Zugriff geschützt werden. dass auf diesem Weg ein unbefugter Zugriff oder gar eine Kompromittierung des Servers erfolgen kann. Insbesondere ist es wichtig. die nur Zugang zu ausgewählten Dateien hat. aber auch u.

7 Einsatz von Stand-alone-Systemen zur Nutzung des Internets ISO Bezug: 27002 7. So gibt es bei einigen Produkten und Betriebssystemen die Möglichkeiten.9. Hierfür bieten die verschiedenen Betriebssysteme unterschiedliche Möglichkeiten mit jeweils spezifischen Gefährdungen für die Vertraulichkeit und Integrität der Daten auf diesem Rechner. die nur mit dem Internet vernetzt sind und keine weitere Netzverbindung zu einem LAN haben.6. zu verringern.18] 10.8 Sichere Nutzung von E-Commerce bzw. ist es sinnvoll Rechner einzusetzen. dass bei der Installation der Internet-Zugangssoftware keine unnötigen Programme installiert werden.15] 10.1.3 Um die Gefährdungen. die durch Angriffe aus dem Internet auf lokale Daten oder Rechner im LAN entstehen.3. Die Dateien können verschlüsselt abgelegt werden und die zugehörigen kryptographischen Schlüssel werden nur dem Zielpublikum bekannt gegeben.9.9. über die Daten sowohl ins Internet geschickt als auch von dort abgeholt werden können.• • • Es können benutzerspezifische Kennungen und Passwörter vergeben werden. Zugriffskontrolle wäre auch durch eine SSL/TLS-Verbindung mit clientseitigen Zertifikaten zur Authentifizierung möglich.9.1.6.1 390 . durch die Installation von Server-Programmen den Rechner zu einem vollständigen Internet-Server zu machen. 10.2. Die Installation der TCP/IP-Software bietet eine vollständige bidirektionale Verbindung zum Internet. E-Government Applikationen ISO Bezug: 27002 10. 10. Generelles zu Zertifikaten in der Öffentlichen Verwaltung siehe [IKTB-110903-3] und [IKTB-281003-19] . 10. Wichtig ist es zu beachten. [eh SYS 8. [eh SYS 8.

Der für derartige Internet-Anwendungen genutzte Rechner sollte einem/einer festen Benutzer/in zugeordnet sein – öffentlich zugängliche Internet-PCs sollten dafür nicht herangezogen werden.) zu achten. Zertifizierung nach ÖNORM A7700) überprüft werden. Kapitel 10. 10. Zur Verringerung der Länge der Signaturstrings ist die Verwendung von elliptischen Kurven anzuraten. Im Falle notwendiger spezieller Software (z. sowohl "ae" als auch "ä" einzurichten [IKTB-110504-01] .B.9. Updates. Bei E-Government Anwendungen ist beim Server-Zertifikat auf die Verwaltungseigenschaft(vgl.B: ÖNORM A7700 "Sicherheitstechnische Anforderungen an Webapplikationen" sind zu berücksichtigen Bei Anwendungen mit sehr hohem Schutzbedarf soll die Erfüllung dieser Anforderungen durch unabhängige Dritte (z. 10.9. Clientseitig sind Virenschutzmaßnahmen zu treffen (vgl. Um dem Missbrauch reservierter Domänen in abgewandelter Form vorzubeugen.5 Sicherheit von WWW-Browsern ). Über generelle Empfehlungen hinaus (vgl. Für elektronische Bescheide wird das Bescheidschema empfohlen [IKTB-230904-01] 391 • • • • • . Die Verwendung von verschlüsselten Verbindungen mittels SSL/TLS ist bei E-Commerce und E-Government Anwendungen immer vorauszusetzen (vgl. Bei diesen Anwendungen sollte in der Regel ein hohes Maß an Sicherheit gewahrt werden.: Online-Banking-Software) ist diese nur von vertrauenswürdigen Quellen zu beziehen und es ist auf dessen Aktualität (bzgl. Die MOA Dienste sind für diese Kurven vorbereitet [IKTB-110505-03] . diese in beiden Schreibweisen z. Einschlägigen Richtlinien und Normen (z. "Richtlinien für Zertifikate für das E-Government (EGovernment OID)" [IKT-ZERT] ) und auf eine geeignete Zertifikatshierarchie zu achten [IKTB-110504-02] . Internet-Shopping oder das Angebot von Behörden wie etwa FINANZOnline. sind auch die folgenden Empfehlungen und Kriterien in diesem Zusammenhang zu beachten: • • • • • • Die Anwendung muss die Anforderungen an Datenschutz und Datensicherheit erfüllen. externe Audits.5 Sicherheit von WWW-Browsern ) Zu diesem Thema veröffentlicht die Operative Unit des Chief Information Office ein Papier zur Kategorisierung von SSL/TLS-Verbindungen. Werden bei SSL/TLS Zertifikate zur Authentisierung des Servers verwendet.4 ). sicherheitsrelevanter Patches. etc. Beispielhafte Applikationen in diesem Sinne wären Online-Banking. so ist auf deren Gültigkeit sowie auf die Übereinstimmungen zwischen Server und den Angaben im Zertifikat zu achten.E-Commerce und E-Government Anwendungen ergänzen zunehmend das Angebot im Internet.B.B. wird empfohlen für Domänen mit Umlauten.

9 Portalverbundsystem in der öffentlichen Verwaltung Bezug: Österreich Der Portalverbund ist ein Zusammenschluss von Verwaltungsportalen zur gemeinsamen Nutzung der bestehenden Infrastruktur. für EKIS und für eine Reihe weiterer wichtiger Anwendungen verschiedener Ressorts. deren Sicherheitsvorgaben nach österreichischer Rechtslage wirksam sind.22] 10. Generell haben sich Portale. dass mehrere Anwendungen über einen Punkt zugänglich sind. Diese Portalstruktur ist für Organwalter und gesetzliche Vertretungen für den jeweils eigenen Wirkungsbereich . Ländern. dass diese das Portalverbundprotokoll unterstützen. Portale zwischen den Verwaltungen bilden die technische Basis für das zentrale Melderegister. Bei der Umsetzung von Anwendungsportalen ist darauf zu achten.B. Der Vorteil eines Portals ist. Seitens des IKT-Boards werden zusätzliche Anmerkungen zur Verständlichkeit angefügt: • • • • • • • Soweit symmetrische Schlüssel angewendet werden. Städten und Gemeinden eingesetzt.mit einheitlichen Attributen versehene . Seitens der Arbeitsgruppe (Bund / Länder) wurde ein Protokoll ( Spezifikation Portal Verbund Protokoll PVP [IKT-PVP] ) und eine Struktur ( Spezifikation LDAP-gv.at [IKT-LDAP] ) zum Portalverbund vorgeschlagen.[eh SYS 8. dies mit ClientIdentifikation via Zertifikat durchzuführen.nicht jedoch für Bürger/innen anwendbar. Diese wurde im Rahmen des IKTBoard Beschlüsse [IKTB-040402-3] und [IKTB-051102-1] zur Verwendung in der öffentlichen Verwaltung empfohlen. Im Portalverbund wird durch . SAP und ESS) ist auf die entsprechende Sicherheitsklasse des Zugangs zu achten [IKTB-270705-01] . Weitere Portalkopplungsstrukturen werden nur nach vorheriger Abstimmung zwischen Bund. die an andere Portale koppeln.Zertifikate die Sicherheit einerseits aber auch die Offenheit gegenüber dem Markt andererseits erreicht. sind die Schlüssellängen mit mindestens 100 Bit zu wählen.9. 392 . Die Benutzer/innen sind dabei entsprechend der Organisations-Zugehörigkeit zu erfassen [IKTB-240304-01] . Bei Zugriff auf Verwaltungsanwendungen (z. Für die Zertifikate von Server und Client sind Zertifizierungsdienste zu verwenden.

10.1. Die im Folgenden angeführten Anforderungen an die Protokollierung stellen Mindestanforderungen dar.Für die Signatur und die Identifikation wird empfohlen die Module für Sicherheitstechniken für Online Verfahren (MOA-ID.20] 10. Demnach sind bei der Administration von IT-Systemen die folgenden Aktivitäten vollständig zu protokollieren: • • Systemgenerierung und Modifikation von Systemparametern: Da auf dieser Ebene in der Regel keine systemgesteuerten Protokolle erzeugt werden.2. [eh SYS 8.5 Art und Umfang von Protokollierungen hängen von den speziellen Anforderungen des IT-Systems und der darauf befindlichen Applikationen und Daten ab und sind im Einzelfall sorgfältig festzulegen. 10.10. Neben den Protokollen für den Portalverbund ist eine einheitliche Vorgehensweise in den Bereichen • • • • Verwendbare Verschlüsselungsverfahren Zertifikatsspezifikationen Keystoreformate und Zertifikatsmanagement anzuwenden.10. die mit der Systemdokumentation korrespondieren sollten. In Hinblick auf die Verwendung von Zertifikaten in der Öffentlichen Verwaltung werden besonders in den IKT-Board Beschlüssen [IKTB-110903-3] und [IKTB-281003-19] entsprechende Dokumente und Richtlinien beschlossen und zur Anwendung empfohlen (siehe dazu auch Richtlinien der IKT-Stabsstelle für ServerZertifikate [IKT-SZERT] ).1 Erstellung von Protokolldateien ISO Bezug: 27002 10.10 Protokollierung und Monitoring 10. 10. Einrichten von Benutzerinnen und Benutzern: 393 . MOA-SS/SP) einzubinden. [IKTB-161203-01] Im Rahmen der Anwendungen des Bundes werden diese dann auch zur Sicherung der Konvergenz verwendet. wie sie für die meisten Systeme Gültigkeit haben.10.1. bedarf es entsprechender detaillierter manueller Aufzeichnungen. 10.6.

und Verfahrensfreigaben.und Softwarekomponenten eine zentrale Bedeutung zu. besteht eine erhöhte Notwendigkeit zur Protokollierung. Um eine ordnungsgemäße Auswertung der Protokolldaten zu ermöglichen ist zu beachten: • • • Die Speicherung der Protokolldaten hat in einer nicht manipulierbaren Form zu erfolgen (die Daten dürfen nicht gezielt verändert. das betreffende IT-System zu benutzen. kommt einer vollständigen Protokollierung eine besondere Bedeutung zu (vgl. Nicht-personenbezogene IDs sind zu vermeiden. Restore) mit der Anfertigung von Kopien bzw. Das Überschreiben eines bestimmten protokollierten Ereignisses durch ein gezieltes Auffüllen des Speichers der Protokolldaten mit "unverdächtigen" Daten muss zuverlässig verhindert werden. kommt der vollständigen Protokollierung aller "auffälligen Abnormitäten" beim Einloggen und der Benutzung von Hard. Diese Protokolle sind Grundlage praktisch jeder Revisionsmaßnahme. wer die Anweisung zur Einrichtung bestimmter Benutzerrechte erteilt hat. Versuche unbefugten Einloggens und Überschreitung von Befugnissen: Geht man von einer wirksamen Authentisierungsprozedur und sachgerechten Befugniszuweisungen aus. unbefugt gelöscht oder zerstört werden können). Erstellung von Rechteprofilen: Im Rahmen der Protokollierung der Benutzerverwaltung kommt es insbesondere auch darauf an aufzuzeichnen. Einspielen und Änderung von Anwendungssoftware: Die Protokolle repräsentieren das Ergebnis der Programm. Änderungen an der Dateiorganisation: Im Hinblick auf die vielfältigen Manipulationsmöglichkeiten. um feststellen zu können. Durchführung von Datensicherungsmaßnahmen: Da derartige Maßnahmen (Backup.B. Benutzer/innen in diesem Sinne ist auch Systemadministratoren. Datenbankmanagement). 394 . Sonstiger Aufruf von Administrations-Tools: Die Benutzung aller Administrations-Tools ist zu dokumentieren. z. wem von wann bis wann durch wen das Recht eingeräumt worden ist.• • • • • • Es ist vollständig zu protokollieren. dem Überschreiben von Datenbeständen verbunden sind und häufig in "Ausnahmesituationen" durchgeführt werden. die sich bereits bei Benutzung der "Standard-Dateiverwaltungssysteme" ergeben. da sie eine personenbezogene Auswertung unmöglich machen. ob Unbefugte sich Systemadministrator-Rechte erschlichen haben.

• Die Entscheidung. deren Daten im protokollierten Datenbestand enthalten sind. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen.und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden.10.1] 10. Unter anderem ist dazu Protokoll zu führen. die auf den protokollierten Datenbestand zugegriffen haben. da ein zu großer Umfang an Daten die Auswertung der Daten erschweren oder sogar unmöglich machen kann.das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes . § 14 (DSG 2000) (Datensicherheitsmaßnahmen) ist je nach Art der verwendeten personenbezogenen Daten und nach Umfang und Zweck der Verwendung. haben Datenschutz-/ IT-Sicherheitsbeauftragte oder Applikationsverantwortliche in Übereinstimmung mit gesetzlichen Vorgaben (etwa Datenschutzgesetz (DSG 2000) ) und der organisationsweiten IT-Sicherheitspolitik zu treffen.10. wie insbesondere Änderungen.3 Lt. Protokoll. im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können. welche Daten zu protokollieren sind. oder zum Zweck der Kontrolle jener Personen. die mit ihrem Ermittlungszweck . Abfragen und Übermittlungen. [eh SYS 10. 395 . aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung.2 Datenschutzrechtliche Aspekte bei der Erstellung von Protokolldateien ISO Bezug: 27002 10. sich auf die tatsächlich relevanten Informationen zu beschränken. Dabei ist es wichtig. das mit mindestens fünfjähriger Freiheitsstrafe bedroht ist. dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind. es sei denn. sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen.unvereinbar sind. damit tatsächlich durchgeführte Verwendungsvorgänge. dass es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens handelt. dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind.

§14 Z4 DSG 2000 (DSG 2000) ). Davon darf in jenem Ausmaß abgewichen werden.10. Diese Pflichten gelten nur für den Gebrauch von personenbezogenen Daten. durch die anschließende Löschung der Protokolldaten ein übermäßiges Anwachsen der Protokolldateien zu verhindern.10. dass diese Daten nur für Zwecke.Aufbewahrungsfristen Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist. Die nachfolgenden Auswertungskriterien dienen als Beispiele.10. kann ihre Auswertung auch durch den Administrator erfolgen. Dem/der Datenschutz-/IT-Sicherheitsbeauftragten ist jedenfalls eine derartige Auswertung vorzulegen.2] 10. Je nach Art der Protokolldaten kann es sinnvoll sein.5.1.4. 10.10. ist sicherzustellen. 15. § 14 (DSG 2000) ). sind nicht betroffen. Protokollierungen von nicht-personenbezogenen Daten. die mit ihrem Ermittlungszweck vereinbar sind. wenn die protokollierten Daten in regelmäßigen Abständen durch einen Revisor ausgewertet werden.3. Die regelmäßige Kontrolle dient darüber hinaus auch dem Zweck. diese auf externen Datenträgern zu archivieren. Da Protokolldateien in vielen Fällen personenbezogene Daten beinhalten. Ist es personell oder technisch nicht möglich.B. der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes verwendet werden dürfen (vgl. die Installation eines Servers.2. 15. Aufzeichnungen über den Datendurchsatz eines Systems. 10.2 Die Protokollierung sicherheitsrelevanter Ereignisse ist als Sicherheitsmaßnahme nur wirksam.3 Kontrolle von Protokolldateien ISO Bezug: 27002 10. etc. Für diesen Fall bleibt zu beachten. die Hinweise auf eventuelle Sicherheitslücken. dass damit eine Kontrolle der Tätigkeiten des Administrators nur schwer möglich ist. Manipulationsversuche und Unregelmäßigkeiten erkennen lassen: 396 . sind Protokollund Dokumentationsdaten drei Jahre lang aufzubewahren.3. die Rolle eines unabhängigen Revisors für Protokolldateien zu implementieren.10.1. 10. als der von der Protokollierung oder Dokumentation betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird (lt. wie z. [eh SYS 10.

Weiters ist zu beachten: • • • • Die Verantwortung für die Auswertung der Protokolldaten ist genau festzulegen. In besonders sicherheitskritischen Fällen sollte das Vier-Augen-Prinzip zur Anwendung kommen. Konfiguration des Netzes)? Bei der Auswertung der Protokolldateien sollte besonderes Augenmerk auf alle Zugriffe gelegt werden.4 Rechtliche Aspekte bei der Erstellung und Auswertung von Protokolldateien zur E-Mail. Dieses Werkzeug sollte wählbare Auswertungskriterien zulassen und besonders kritische Einträge (z. Passwörter zu erraten)? Häufen sich unzulässige Zugriffsversuche (Hinweis auf Versuche zur Manipulation)? Gibt es auffällig große Zeitintervalle. Es ist sicherzustellen. in denen anscheinend kein Benutzerwechsel stattgefunden hat (Hinweis darauf. Die Meldewege im Fall von Auffälligkeiten sind festzulegen. die Dienste des Netzes zu verhindern bzw. [eh SYS 10. ein Werkzeug zur Auswertung zu benutzen. Wenn regelmäßig umfangreiche Protokolldateien ausgewertet werden müssen. ist es sinnvoll. dass das konsequente Abmelden nach Arbeitsende nicht vollzogen wird)? Gibt es auffallend lange Verbindungszeiten in öffentliche Netze hinein? Wurde in einzelnen Netzsegmenten oder im gesamten Netz eine auffällig hohe Netzlast oder eine Unterbrechung des Netzbetriebes festgestellt (Hinweis auf Versuche. dass die Aktivitäten von Administratoren ausreichend kontrolliert werden können. Diese Sicherstellung kann durch technische oder organisatorische Maßnahmen erfolgen. mehrfacher fehlerhafter Anmeldeversuch) hervorheben. in denen keine Protokolldaten aufgezeichnet wurden (Hinweis auf eventuell gelöschte Protokollsätze)? Ist der Umfang der protokollierten Daten zu groß (eine umfangreiche Protokolldatei erschwert das Auffinden von Unregelmäßigkeiten)? Gibt es auffällig große Zeitintervalle.3] 10.und Abmeldens außerhalb der Arbeitszeit (Hinweis auf Manipulationsversuche)? Häufen sich fehlerhafte Anmeldeversuche (Hinweis auf den Versuch.10.B.und Internetnutzung Bezug: Österreich 397 .• • • • • • • • Liegen die Zeiten des An. zu beeinträchtigen oder auf eine ungeeignete Konzeption bzw. die unter Administratorkennungen durchgeführt wurden.

Eine geringfügige private oder halbprivate Nutzung im Rahmen des normalen menschlichen Sozialverhaltens sollte zugelassen bzw. etc. • • Der Hauptgrund werden die Kosten sein. Die Erläuterungen zu den Bestimmungen ( 1574 der Beilagen zu den Stenographischen Protokollen des Nationalrates XX. insb.B. Gemäß § 9 Abs. bei Behörden mit sehr hohen Ansprüchen an Sicherheit und Geheimhaltung). Begrenzung des Rechts zur Installation ausführbarer Programme. Einrichtung von kontrollierten Umgebungen zur Ausführung fragwürdiger Programme. Ein Arbeitgeber. f Bundes-Personalvertretungsgesetz (PVG) ist bei der Einführung von Systemen zur automationsunterstützten Ermittlung. 398 .) durch den Arbeitgeber ist ein Problem. und zwar die direkten Kosten (Bandbreite. Ein totales Verbot privater Nutzung sollte nur in Extremfällen ausgesprochen werden (z. Trojanern und anderer schädlicher Software lässt sich mit Hilfe geeigneter technischer Mittel stark reduzieren. interpretiert werden muss. Speicherplatz) als auch der Verlust an Produktivität. dass kein Recht der Arbeitnehmer/innen besteht. die über die Ermittlung von allgemeinen Angaben zur Person oder über die Ermittlung von fachlichen Voraussetzungen hinausgehen. E-Mail etc. Trojanern und anderer schädlicher Software liegen. welche die Menschenwürde berühren. sollte sich über die Gründe im Klaren sein. Virenscanner.Die Überwachung des Fernmeldeverkehrs (Telefon.und Staatsanwaltschaftsdienstgesetz (RStDG) . § 29n Vertragsbedienstetengesetz 1948 (VBG) und § 76g Richter. Die Rechte des Arbeitgebers auf Schutz seiner IKT-Einrichtungen (insb. Gebrauch von Virenscannern) bleiben unberührt. die durch private Kommunikation verursacht werden. die vom Arbeitgeber zur Verfügung gestellten Ressourcen privat zu nutzen. Gemäß § 79e Beamten-Dienstrechtsgesetz 1979 (BDG 1979) . Die Gefahr von Virenbefall. wobei die Frage. mit dem Dienststellenausschuss das Einvernehmen herzustellen. ist die Einführung und Verwendung von Kontrollmaßnahmen und technischen Systemen.2 lit. der die private Nutzung von Internetdiensten einschränken will. für das es derzeit noch keine klare Lösung gibt. Verarbeitung und Übermittlung von personenbezogenen Daten der Bediensteten. Ein weiterer Grund für die Beschränkung privater E-Mail-Kommunikation kann im Schutz vor Viren. welche Maßnahmen die Menschenwürde berühren. Es muss aber auch gesagt werden. Gebrauch von stabiler Systemsoftware. ignoriert werden. Private Kommunikation genießt prinzipiell den Schutz des Fernmeldegeheimnisses und des Grundrechtes auf Datenschutz. GP ) verweisen auf die Judikatur zu § 96 Arbeitsverfassungsgesetz (ArbVG) . unzulässig. Eine Vereinbarung zu diesem Thema ist wünschenswert.

. Zahl 120. Solange keine zuverlässigen Verfahren für E-Mail-Zustellbestätigungen existieren.10.1. Falls ein dienstliches Interesse an der Verwendung von E-Mail für nicht unmittelbar dienstliche Zwecke besteht (z. mit der sich nachvollziehen lässt.10.599/8-DSK/98).10. 10. 399 .3. Diese Entscheidung lässt sich auch auf E-Mail übertragen. [eh SYS 10.2 Eine angemessene Durchführung von Protokollierung. die der Sache nach oder auf Wunsch des/der Bediensteten vertraulich zu behandeln sind.. Datum. Zusendung von Informationen durch die Personalvertretung).6. die im Rahmen des E-Governments tätig sind.1. Der protokollierte Posteingang wiederum macht es unseriösen Elementen schwer. werden rasch auf ein ernstes Problem stoßen: Den Nachweis von Zustellungen per E-Mail. Eine Aufzeichnung und Speicherung aller E-Mails (oder auch nur von Teilen. § 26 Bundes-Personalvertretungsgesetz (PVG) statuiert eine Geheimhaltungspflicht der Mitglieder der Personalvertretung über alle ihnen von einzelnen Bediensteten gemachten Mitteilungen.B. Eine Erfassung von Telefondaten. aber auch die Beamtinnen und Beamten bei ihrer Tätigkeit unterstützen. 15. wie z.4] 10. sollte derartige Mail von jeglicher Kontrolle ausgenommen werden.5 Audit und Protokollierung der Aktivitäten im Netz ISO Bezug: 27002 10. falsche Behauptungen aufzustellen ("Ich habe alles rechtzeitig mit E-Mail beantragt.Oktober 1998. 10. 10.3. Weiters darf Mail an die Personalvertretung durch den Arbeitgeber nicht inhaltlich kontrolliert werden. begründet der protokollierte Postausgang zumindest den Anschein einer korrekten Versendung durch die Behörde. Uhrzeit. Audit und Revision ist ein wesentlicher Faktor der Netzsicherheit. der Betreffzeile.10.Behörden. mit wem ein Personalvertreter telefonisch in Kontakt war.5.").2.2. widerspricht daher dem Datenschutzgesetz (Entscheidung der Datenschutzkommission vom 6.B. 15. Absender/in und Empfänger/in) kann die oben genannten Probleme verschärfen.

Weiterhin sollten folgende Vorkommnisse protokolliert werden: • • Hardware-Fehlfunktionen. Typische Fälle. die übertragenen fehlerhaften Pakete an einer Netzkomponente. sicherheitskritische Zugriffe auf Netzkomponenten und Netzmanagementkomponenten mit oder ohne Erfolg. Eine Auswertung solcher Protokolle mit geeigneten Hilfsmitteln erlaubt beispielsweise einen Rückschluss.B. Dies kann online oder offline erfolgen.B. Zugriffe auf aktive Netzkomponenten (wer hat sich wann angemeldet?). sind z.bzw.Protokollierung: Eine Protokollierung innerhalb eines Netzmanagementsystems oder an bestimmten aktiven Netzkomponenten erlaubt es. 400 . Beim Audit liegt die Fokussierung auf der Überwachung von sicherheitskritischen Ereignissen. einem Netzmanagementsystem) in Echtzeit betrachtet und ausgewertet. der insbesondere sicherheitskritische Ereignisse betrachtet. wieder ausgeschaltet?). Bei einem Online-Audit werden die Ereignisse mit Hilfe eines Tools (z. Verteilung der Netzlast über die Betriebsdauer eines Tages oder eines Monats und die allgemeine Performance des Netzes. gewisse (im Allgemeinen zu definierende) Zustände für eine spätere Auswertung abzuspeichern. Bei einem Offline-Audit werden die Daten protokolliert oder aus einer bestehenden Protokolldatei extrahiert. ein unautorisierter Zugriff auf eine Netzkomponente oder die Performance eines Netzes zu bestimmten Zeiten. oder die Erkennung von systematischen Angriffen auf das Netz. Zusätzlich werden beim Audit häufig auch Daten über Nutzungszeiträume und anfallende Kosten erhoben. Dabei sind für ein Audit insbesondere folgende Vorkommnisse von Interesse: • • • • Daten über die Betriebsdauer von IT-Systemen (wann wurde welches IT-System ein. die zu einem Ausfall eines IT-Systems führen können. Audit: Unter einem Audit wird die Verwendung eines Dienstes verstanden. ob die Bandbreite des Netzes den derzeitigen Anforderungen genügt. Bei der Protokollierung fallen zumeist sehr viele Einträge an. die protokolliert werden können. unzulässige Änderungen der IP-Adresse eines IT-Systems (in einem TCP/IPUmfeld). so dass diese oft nur mit Hilfe eines Werkzeuges sinnvoll ausgewertet werden können.

Dadurch wird ein hohes Sicherheitsrisiko erzeugt. Ob falsch eingegebene Passwörter. Dabei werden für das Online-Audit die sicherheitskritischen Ereignisse gefiltert und dem Auditor sofort zur Kenntnis gebracht. Administrator und Auditor) vorgenommen werden. um Unregelmäßigkeiten beim Betrieb der IT-Systeme aufzudecken und die Arbeit der Administratoren zu kontrollieren. Revision: Bei der Revision werden die beim (Offline-) Audit gesammelten Daten von einem/einer oder mehreren unabhängigen Mitarbeitern/Mitarbeiterinnen (4Augen-Prinzip) überprüft. Die mit einem Netzmanagementsystem möglichen Protokollierungs. 401 . oder spezifische Datensammler einzusetzen.und Audit-Funktionen sind in einem sinnvollen Umfang zu aktivieren. Dabei ist auch zu überlegen. die sich von den gültigen Passwörtern meist nur um ein Zeichen bzw. wer die Protokolle und Audit-Daten auswertet.Ein Audit kann sowohl online als auch offline betrieben werden. Neben Performance-Messungen zur Überwachung der Netzlast sind dabei insbesondere die Ereignisse (Events) auszuwerten. der ggf. Hierbei muss eine angemessene Trennung zwischen Ereignisverursacher und auswerter (z. Dafür müssen Ereignisse in geeignete Kategorien eingeteilt werden. mit denen sicherheitskritische Ereignisse überwacht und ausgewertet werden können. Bei einem Online-Audit werden entsprechend kategorisierte Ereignisse direkt dem Auditor mitgeteilt. Auf keinen Fall dürfen Benutzer-Passwörter im Rahmen eines Audits oder einer Protokollierung gesammelt werden. Bei einem Offline-Audit werden die Daten aus den Protokolldateien oder speziellen Auditdateien mit Hilfe eines Werkzeuges für Auditzwecke aufbereitet und durch den Auditor überprüft. sofort Maßnahmen einleiten kann.und Offline-Audit empfohlen. dass die datenschutzrechtlichen Bestimmungen eingehalten werden. ist im Einzelfall zu entscheiden. Im letzteren Fall können Maßnahmen zur Einhaltung oder Wiederherstellung der Sicherheit nur zeitverzögert eingeleitet werden. protokolliert werden.B. damit der zuständige Administrator oder Auditor auf wichtige Ereignisse sofort reagieren kann und nicht unter einer Flut von Informationen den Überblick verliert. um eine Vertauschung zweier Zeichen unterscheiden. Im Allgemeinen wird eine Mischform aus Online. Es muss weiterhin festgelegt werden. falls es zu einem unberechtigten Zugriff auf diese Informationen kommt. ob eine Rollentrennung erforderlich ist. Weiterhin ist darauf zu achten. die von einem Netzmanagementsystem generiert werden. Zusätzlich werden weniger kritische Ereignisse offline ausgewertet.

6.2. anormales Verhalten von Benutzerinnen/Benutzern ("Anomalie Intrusion Detection Systeme") oder bekannte Befehlsmuster ("Misuse Intrusion Detection Systeme")) Speicherung der analysierten Daten Einleitung von Gegenmaßnahmen: Generierung von Warnmeldungen und Setzen von Gegenmaßnahmen Im Unterschied zu Firewalls. Dies umfasst folgende Teilaufgaben: • • • • Erfassung von Ereignissen: Sammlung der wesentlichen Ereignisdaten aus Netzpaketen oder Protokolldateien Analyse der erfassten Ereignisse: Untersuchung der gespeicherten Aktivitäten auf Auffälligkeiten (z.10. [eh SYS 10. insbesondere in sensiblen Bereichen. dass eine sinnvolle Auswertung möglich ist.oder Auditdateien müssen regelmäßig ausgewertet werden.6] 402 . 10. Eindringversuche zu erkennen. sollten die Auswertungsintervalle daher angemessen.1.2. weiterzumelden und gegebenenfalls Gegenmaßnahmen einzuleiten. Intrusion Detection Systeme können andere Sicherheitsmaßnahmen. Sie können sehr schnell sehr umfangreich werden. 15.5 Aufgabe von Intrusion Detection Systemen ist die Überwachung bzw. 10. beitragen.4.10.5] 10. mit dem Ziel.oder Auditdateien auf ein auswertbares Maß zu beschränken.B. unterstützen Intrusion Detection Systeme die Erkennung unberechtigter Zugriffsversuche sowohl externer als auch interner Benutzer/innen innerhalb eines lokalen Netzes.Die Protokoll. sie können jedoch zu einer weiteren Erhöhung der Sicherheit. 10. [eh SYS 10. die die Anbindung eines Netzwerkes an ein Fremdnetz (etwa Internet) absichern. wie Authentisierung.1.10. 10. Um die Protokoll.10. aber dennoch so kurz gewählt werden.6 Intrusion Detection Systeme ISO Bezug: 27002 10. Analyse des Datenverkehrs bzw. Zugriffsschutzsysteme und Firewalls nicht ersetzen.6.1. der Aktivitäten auf IT-Systemen.

Auch verteilte Dateisysteme und zentrale Authentisierungsdienste sind auf Zeitsynchronizität angewiesen. oder wenn bei Anwendungen. Falls die Zeitserver-Infrastruktur im Internet genutzt werden soll. die eine vorher festgelegte maximale Zeitdifferenz überschreiten. nicht übernommen werden. die über mehrere Rechner verteilt sind. richtig korrelieren zu können. Im Zweifelsfall sollte dieser Lösung der Vorzug gegeben werden.10. über das Protokoll NTP (Network Time Protocol Version 4. dass alle bei einem Vorgang betroffenen Rechner eine korrekte Systemzeit besitzen.7 Zeitsynchronisation ISO Bezug: 27002 10. Insbesondere bei der Auswertung von Protokollierungsinformationen ist dies von zentraler Bedeutung.) zurückgegriffen wird. An der Firewall sollte NTP in diesem Fall nur für den NTP-Proxy-Server freigeschaltet werden. Alternativ kann ein Rechner im internen Netz mit einem Funkuhr-Modul ausgestattet als lokaler Zeitserver eingesetzt werden.ud Vermessunsswesen einen solchen Dienst an. In Österreich bietet beispielsweise das Bundesamt für Eich. Windows-Rechner in einer Active Directory Infrastruktur gleichen zudem die Systemzeit mit dem Domänencontroller ab. Im Internet existiert eine verteilte Infrastruktur von öffentlichen NTP Zeitservern. RFC 5905) auf einen externen Zeitserver zuzugreifen. bevor sie die empfangenen Zeit-Informationen übernimmt und an die anderen Rechner im Netz weitergibt. öffentliche NTP-Zeitserver. Falls für die Zeitsynchronisation auf externe Quellen (Funkuhren.10. Da NTP ein Klartextprotokoll ohne kryptographische Sicherungen ist. etc. Für die korrekte Einstellung der Systemzeit bieten die meisten Betriebssysteme die Möglichkeit. Insbesondere in Netzen mit hohem Schutzbedarf sollten keinesfalls alle Geräte individuell per NTP direkt Anfragen an Zeitserver im Internet stellen.10. muss sichergestellt werden.6 In vielen Situationen ist es bei vernetzten Systemen wichtig. beispielsweise um Fehlermeldungen. die auf einen Angriff über das Netz hindeuten. Die Software des lokalen Zeit-Servers beziehungsweise NTP-Proxys muss eine Plausibilitätsprüfung vornehmen. so sollte dafür ein eigener Rechner vorgesehen werden. Ein Beispiel für eine solche Plausibilitätsprüfung ist. 403 . Die Rechner im lokalen Netz synchronisieren ihre Systemuhr dann mit dem lokalen NTP-Proxy. Synchronisationsprobleme auftreten. dass sprunghafte Änderungen. sollte es nur innerhalb des eigenen Netzes eingesetzt werden. der als einziger die NTP-Informationen von den ausgewählten Zeitservern bezieht. dass die empfangenen Zeit-Informationen nicht ungeprüft übernommen werden.

.vorzugsweise im Rahmen der IT-Systemsicherheitspolitik .1 Grundsätzliche Festlegungen zur Rechteverwaltung ISO Bezug: 27002 10. Änderung eingehalten werden (Authentisierung. ev.) und welche Objekte (z. Umgesetzt werden die Zugriffsrechte durch die Rechteverwaltung des IT-Systems.B.B.getroffen werden ("Zugriffskontrollpolitik"): • • • • • • • welche Subjekte (z. Revision. 11.. Programme. 4-Augen-Prinzip).B.. 11. Netzwerken.11 Zugriffskontrolle..1.6 Folgende grundsätzliche Festlegungen zur Rechteverwaltung in einem IT-System sollten . wie erfolgen Identifikation und Authentisierung.) unterliegen der Rechteverwaltung. wer darf Rechte einsehen.. .). Ausführen.B. Administrator und Auditor. Daten. .. Schlüssel. vergeben bzw. 11. 11.) können zwischen Subjekten und Objekten existieren.).5. Benutzer/innen. Lesen. Programmen und Daten nur berechtigten Personen oder Prozessen und nur im Rahmen der festgelegten Regeln möglich ist. 11.2. Personen.1 Zugriffskontrollpolitik Durch organisatorische und technische Vorkehrungen ist sicherzustellen. welche Rollen sind miteinander unvereinbar (z...1. ändern. Berechtigungssysteme. Prozesse. IT-Anwendungen..1. 11. welche Arten von Rechten (z. welche Rollen müssen durch die Rechteverwaltung definiert werden (z. widerspruchsfrei und überschaubar sein. Benutzer/in und Revision. dass der Zugriff zu IT-Systemen.und Passwortverwaltung Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 11 ff "Zugriffskontrolle".B. 11.1. 404 . Die Rechteverwaltung muss vollständig.4. Administrator. welche Regeln müssen bei Vergabe bzw.. . Schreiben.

den darauf durchgeführten Aufgaben sowie der betroffenen Organisation abhängig sein. Diese sollen über die gesamte Lebensdauer des Zugriffsrechtes wirken. wenn kein Zugriff mehr benötigt wird.4 Die Vergabe und Verwaltung von Zugriffsrechten wird in hohem Maße vom spezifischen IT-System.2. also vom erstmaligen Einrichten neuer Benutzer / Benutzerinnen bis zur Entfernung. [ eh SYS 1.1 ] 11. Datenerfasser/in oder Sachbearbeiter/in.2. da damit Systemkontrollen außer Kraft gesetzt werden können. 405 . Dies umfasst: • • • • • • Dokumentation der zugelassenen Benutzer/Innen und zugehöriger Rechteprofile Einrichten der Zugriffsrechte Erarbeiten von Richtlinien für die Zugriffs. Zugangskontrolle Geeignete Auswahl von Authentikations-Mechanismen Sichererer Umgang mit IDs und Passworten Aufteilung von Administratortätigkeiten 11. denen bestimmte Rechte zugeordnet werden. Rollen zu definieren. 11. Es gibt jedoch einige Grundregeln.bzw. deren Einhaltung generell empfohlen wird: • Die Rechteverwaltung darf nur durch eine/n Berechtigte/n und nur im Rahmen der in der Zugriffskontrollpolitik festgelegten Regeln durchgeführt werden. Datensicherer/in.Definition von Rollen: Viele IT-Systeme lassen es zu. Solche Rollen können etwa sein: Administrator.1 Vergabe und Verwaltung von Zugriffsrechten ISO Bezug: 27002 11.2 Benutzerverwaltung Wesentlich sind Verfahren zur geordneten und dokumentierten Erteilung von Zugriffsrechten auf Informationssysteme. Besonders relevant ist dabei die Kontrolle über privilegierte Zugriffsrechte.

1 11. ebenso jede/r Verantwortliche für ihren/seinen Bereich. Vorname. Es muss ein geregeltes Verfahren für den temporären Entzug von Zugriffsrechten (z. vorgesehen sein. Projekt. für jede Benutzergruppe zunächst die erforderlichen Daten zu erfassen. Organisationseinheit.B. eines Mitarbeiters sind deren/dessen Kennung und die zugehörigen Rechte unverzüglich zu deaktivieren bzw.. Vorschlag für die Benutzer/innen.2.) bestehen. also Kennungen. Erreichbarkeit (z. Es sollte ein Formblatt existieren.4 Regelungen für die Einrichtung von Benutzerinnen/Benutzern bzw. Nicht mehr aktive Benutzerkennungen dürfen nicht für Nachfolger/innen reaktiviert werden. Gruppenkennung. wie es für die Aufgabenwahrnehmung notwendig ist ("Need-to-know-Prinzip"). Zusätzlich sollte in definierten Abständen eine Suche nach "toten Benutzerkennungen".B. Jede/r Benutzer/in soll ihre/seine Rechte innerhalb einer Anwendung einsehen können. wenn diese nicht durch Konventionen vorgegeben sind. Karenz.. systembezogen zu definierenden Zeitraum nicht benutzt wurden. Telefon. zu löschen. die seit einem längeren.B. eindeutige Identifikation zumindest des jeweiligen Berechtigungssystems.bzw.2.• • • • • • • Grundsätzlich sollten immer nur so viele Zugriffsrechte vergeben werden.2 Einrichtung und Dokumentation der zugelassenen Benutzer/innen und Rechteprofile ISO Bezug: 27002 11. Raum).2 ] 11. Personelle und aufgabenbezogene Änderungen müssen innerhalb der Rechteverwaltung unverzüglich berücksichtigt werden. Benutzergruppen bilden die Voraussetzung für eine angemessene Vergabe von Zugriffsrechten und für die Sicherstellung eines geordneten und überwachbaren Betriebsablaufs. [ eh SYS 1. z. Bei Ausscheiden einer Mitarbeiterin bzw. .: • • • • • 406 Name. um von jedem/jeder Benutzer/in bzw. ggf. . bei Urlaub.

B. ggf. Zustimmung von Vorgesetzten. Kürzel Organisationseinheit plus lfd.und Nachnamen (z. es dürfen nicht mehrere Benutzer/innen unter derselben Kennung arbeiten. Plattenvolumen. Dokumentation: Die Dokumentation dient der Übersicht über die zugelassenen Benutzer/innen.). Zeitpunkt und Grund der Einrichtung. Für sensible IT-Systeme bzw. auch 11. Zeitpunkt und Grund der Einrichtung. die zugelassenen Gruppen mit den zugehörigen Benutzerinnen/Benutzern.und Gruppennamen festzulegen. Anonymisierte bzw. die jedoch nicht öffentlich.nachname) oder eigene Benutzer-IDs (z. Zugriffsberechtigungen (für bestimmte Verzeichnisse. Remote-Zugriffe. bei denen personenbezogene Zugriffssicherheit erforderlich ist.3. muss danach gewechselt werden (s. wie zum Beispiel eine Kombination aus Vor. das einem/einer neuen Benutzer/in für die erstmalige Systemnutzung mitgeteilt wird. Anwendungen. Namenskonventionen für die Benutzer. Restriktionen auf Zeiten. Endgeräte.• • • ggf. des Benutzers. Dies sollte vom System initiiert werden. ggf. Ein Passwort.3 ] 407 . Es ist sinnvoll. Erreichbarkeit der Benutzerin bzw. sondern einem eingeschränkten Benutzerkreis zugänglich sein sollen. Benutzergruppen und Rechteprofile und ist Voraussetzung für Kontrollen. Angaben über die geplante Tätigkeit im System und die dazu erforderlichen Rechte sowie die Dauer der Tätigkeit. zulässig. der Abweichungen). etc. Befristungen. Dokumentiert werden sollen insbesondere • • die zugelassenen Benutzer/innen mit folgenden Mindestangaben: zugeordnetes Rechteprofil (ggf. Nummer). Abweichungen vom verwendeten Standard-Rechteprofil). generische Benutzerkennungen sind nur bei unbedenklichen Inhalten. [ eh SYS 1. eingeschränkte Benutzerumgebung. Bei all diesen Aufzeichnungen ist auf Aktualität und Vollständigkeit zu achten.1 Regelungen des Passwortgebrauches). muss jedem/jeder Benutzer/in eine eigene Benutzerkennung zugeordnet sein. Begründung für die Wahl des Rechteprofils (und ggf. vorname. Befristungen.B.

h.2 Es sind Vorkehrungen zu treffen. des Benutzers ist diese/r über die Weitergabe des Passworts in Kenntnis zu setzen und ein neues Passwort von ihr/ ihm zu vergeben. d. wobei jeder im Notfall Zugriffsberechtigte nur einen Teil besitzt. [ eh SYS 1. so ist dieses an einem geeigneten. indem Passwörter in mehrere Teile zerlegt werden. die in Notfällen bei Abwesenheit einer Mitarbeiterin bzw. geschehen.B. Nichtverfügbarkeit der Chipkarte einer/einem Berechtigten den Zugang zum System zu ermöglichen. geschützten Ort (z. Notfällen ISO Bezug: 27002 11.3 Organisatorische Regelungen für Zugriffsmöglichkeiten in Vertretungs. Nach der Rückkehr der Benutzerin bzw.11. Beim Einsatz von Chipkarten zur Authentisierung sind Vorkehrungen zu treffen.B.oder Krankheitsfall) ihrer/ seiner Vertretung Zugriff auf das IT-System bzw. Abhängig von den Personalisierungsmöglichkeiten vor Ort ist dafür Sorge zu tragen. Generell sollte in Applikationen und IT-Systemen eine Stellvertreterregelung schon eingebaut sein. dieses hinterlegte Passwort zu nutzen. im Urlaubs. bei momentaner Inoperabilität bzw. dass eine zeitgerechte Neuausstellung der Karte oder eine Ausstellung einer temporär gültigen Karte möglich ist oder aber Ersatzkarten zur Verfügung stehen. von zwei Personen gleichzeitig. damit keine Weitergabe von Passwörtern in Abwesenheitsfällen benötigt wird. in einem Tresor) zu deponieren und bei jeder Änderung des Passwortes zu aktualisieren (regelmäßige Prüfung auf Aktualität erforderlich!). die es erlauben. Ist vom System technisch kein Vier-Augen-Prinzip vorgesehen. ein Passwort zu hinterlegen.7 ] 408 .bzw. Wird es notwendig.2. Außerdem ist die Weitergabe des Passworts und deren Dauer zu dokumentieren. die Daten ermöglichen. Je nach den technischen Möglichkeiten können auch "Einmalpasswörter" oder Passwörter mit begrenzter Benutzungsdauer vergeben werden. eines Mitarbeiters (z. so sollte dies nach dem Vier-Augen-Prinzip. so lässt sich dieses auch organisatorisch nachbilden. Ist es in Einzelfällen doch notwendig.

sind ebenso zu vermeiden wie Standardausdrücke wie TEST. Allerdings sind sie diesbezüglich mit verständlichen Anweisungen zu unterstützen.11. KfzKennzeichen. in denen mit streng vertraulichen Informationen gearbeitet wird.und Zeichenmuster. Kompromittierung oder Diebstahl von Informationen bzw. Für Benutzer/innen mit umfangreichen Rechten. Regelungen zum Passwortgebrauch sind in hohem Maße abhängig vom betroffenen IT-System.1 Erfolgt die Authentisierung in einem IT-System über Passwörter. Lieferant sollte dazu nach allen voreingestellten Benutzerkennungen und Passwörtern befragt werden. eine Regelung zum Passwortgebrauch einzuführen. wie ABCDEF. SYSTEM und Tastatur. Es ist zu prüfen.3 Verantwortung der Benutzer / Benutzerinnen Die Benutzer / Benutzerinnen sind verantwortlich. Dafür ist es empfehlenswert. Voreingestellte Passwörter (z. Firmen. werden die Anforderungen im Allgemeinen höher liegen. Im Folgenden werden jedoch einige Grundregeln gegeben. Passwörter mit spezieller.oder Abteilungsbezeichnungen. ob das Berechtigungssystem alle Stellen des Passwortes oder nur Teile davon überprüft. in Bereichen. • • • • Das Passwort sollte mindestens 6 Zeichen lang sein.1 Regelungen des Passwortgebrauches ISO Bezug: 27002 11. die Benutzer/innen diesbezüglich zu unterweisen und die Einhaltung zu kontrollieren. das kein Buchstabe ist (Sonderzeichen oder Zahl). dem Schutzbedarf der darauf laufenden Anwendungen bzw. bzw. die Mechanismen gegen unbefugten Zugriff. etc. 123456. Innerhalb des Passwortes sollte mindestens ein Zeichen verwendet werden. der gespeicherten Daten sowie den auf dem System realisierten technischen Möglichkeiten. Der Hersteller bzw. die eine Art Mindeststandard für die Wahl und die Handhabung von Passwörtern darstellen. so ist die Sicherheit der Zugriffsrechteverwaltung des Systems entscheidend davon abhängig. von Außenstehenden leicht zu erratender Bedeutung. Geburtsdaten. wie etwa Administratoren.3.B.3. des Herstellers bei Auslieferung von Systemen) müssen umgehend durch individuelle Passwörter ersetzt werden. QWERTZ. etc. 409 • . dass das Passwort korrekt gewählt und verwendet wird. 11. wie Namen. Einrichtungen wirksam zu halten.

Die Passwörter sollten im System zugriffssicher und nicht im Klartext gespeichert werden.B. mittels Einwegverschlüsselung. so ist für die Sicherheit dieser Aufzeichnungen besonders Sorge zu tragen. also Passwörter. Das Passwort muss regelmäßig gewechselt werden. Wird es doch aufgeschrieben.) sollte mit technischen Mitteln verhindert werden ("Stopwortliste"). Dazu sollten alle alten Passwörter bzw. Falls IT-technisch möglich. Für die Erstanmeldung neuer Benutzer/innen sollten Einmalpasswörter vergeben werden. z. Das Passwort sollte nach Möglichkeit nicht schriftlich fixiert werden. z.3.5 ] 11. Bei der Eingabe darf das Passwort nicht auf dem Bildschirm angezeigt werden. sollten folgende Randbedingungen eingehalten werden: • • • • Die Wahl von Trivialpasswörtern (s.o.2 Bildschirmsperre 410 . die nur vom Systemadministrator aufgehoben werden kann. Ist das Passwort unautorisierten Personen bekannt geworden. eine größere Anzahl zum Vergleich herangezogen werden ( Passwort Historie ). Nach einer vorgegebenen Anzahl von Fehlversuchen (meist 3) ist eine vordefinierte Aktion zu setzen. • • • • [ eh SYS 1.• • • • • • • Passwörter dürfen nicht auf programmierbaren Funktionstasten gespeichert werden. so ist ein sofortiger Passwortwechsel durchzuführen. Das Passwort muss geheim gehalten werden und sollte nur dem/der Benutzer/in persönlich bekannt sein. alle 90 Tage. Die Wiederholung alter Passwörter beim Passwortwechsel sollte vom IT-System verhindert werden. Die Eingabe des Passwortes sollte unbeobachtet stattfinden. Bei der Authentisierung in vernetzten Systemen sollten Passwörter verschlüsselt übertragen werden. aber auch eine Sperre des Gerätes oder ein Timeout.B. Der Passwortwechsel sollte vom System regelmäßig initiiert werden. Jede/r Benutzer/in muss sein eigenes Passwort jederzeit ändern können. Eine solche Aktion kann etwa eine Sperre der Benutzer-ID sein. die nach einmaligem Gebrauch gewechselt werden müssen. eine Warnmeldung oder Ähnliches.

Beim Einsatz von Chipkarten soll gewährleistet sein. 411 . Als weiteres Leistungsmerkmal sollte die Bildschirmsperre eine automatische Aktivierung bei längerer Pausenzeit aufweisen.4 Fernzugriff Neben der Sicherheit von Serversystemen und Endgeräten wird die eigentliche Netzinfrastruktur mit den aktiven Netzkomponenten in vielen Fällen vernachlässigt. des Benutzers zusätzlich ein Zugriffsschutz für das IT-System gewährleistet. Ein solcher Schutz ist zum einen durch Passwörter. [ eh SYS 1. um eine dynamische Anpassung an die aktuellen Gegebenheiten des lokalen Netzes zu erreichen.3. Beim Entfernen der Chipkarte ist entweder die Bildschirmsperre zu aktivieren. die auf dem Bildschirm aktuell vorhandenen Informationen zu verbergen. können bei einer Fehlkonfiguration eines Routers größere Teilnetze bzw. die die entsprechenden Dienste dieses Systems nutzen.8 ] 11.3. Gerade zentrale aktive Netzkomponenten müssen jedoch sorgfältig konfiguriert werden.2. zum anderen durch kryptographische Prüfsummen erreichbar. um auf Daten und Anwendungen unabhängig vom Standort dieser Institution zugreifen zu können. 11. Die Aktivierung der Bildschirmsperre sollte erfolgen. wenn der/die Benutzer/in den Arbeitsplatz für eine kurze Zeit verlässt.3 Unter einer Bildschirmsperre versteht man die Möglichkeit. Behörden und Unternehmen müssen Fernzugriffsmöglichkeiten auf ihre IT-Systeme einrichten. oder der/die Benutzer/in auszuloggen. Diese sind zur Aktualisierung der Routing-Tabellen erforderlich. wird bei der Abwesenheit der Benutzerin bzw. Verfügt das Softwareprodukt außerdem über eine Passwort-Abfrage. dass die Bildschirmsperre nur mittels Chipkarte und PIN wieder aufgehoben werden kann. Für aktive Netzkomponenten mit Routing-Funktionalität ist außerdem ein geeigneter Schutz der Routing-Updates erforderlich. Denn während durch eine fehlerhafte Konfiguration eines Serversystems nur diejenigen Benutzer betroffen sind.ISO Bezug: 27002 11. sogar das gesamte Netz ausfallen oder Daten unbemerkt kompromittiert werden.

um die Kommunikationsverbindung zwischen dem Endgerät und dem Netz der Institution vor unbefugtem Mitlesen zu schützen. Die Verbindung zwischen dem Endgerät und der Zentrale führt in der Regel über das Internet. um so die Risiken durch Nachlässigkeit zu reduzieren.5. sollte sich der Fernzugriff des betroffenen Benutzers durch die Institution kurzfristig sperren lassen. Für mittlere und große Netze. Verwaltungsbereiche) aufgeteilt sind. Vertrauensstellungen) oder ein zentraler Verzeichnisdienst eingerichtet und gepflegt werden.4. 11. besteht in vielen Fällen das Problem. 412 . 11.1 Nutzung eines Authentisierungsservers beim Fernzugriff ISO Bezug: 27002 11.7 Für Netzwerke mit vielen Benutzern bzw.4. 11. Wurde ein Endgerät entwendet oder gestohlen.Diese Fernzugriffsmöglichkeiten können mit unterschiedlichen Endgeräten (Desktop. die vor allen Dingen die Möglichkeit der Spionage und des Verlusts von Daten sowie der Sabotage der ITSysteme der Institution betreffen. auf das wiederum über DSLAnschlussleitungen. um die auf dem Endgerät gespeicherten Daten vor Verlust und gegen Vertraulichkeitsverletzungen zu schützen Einsatz eines kryptografisch gesicherten VPN. müssen hier Querberechtigungen (Cross-Zertifikate. 11. WiMax oder öffentliche Telefonnetze zugegriffen werden kann. Smartphone) realisiert werden. UMTS. WLAN. Zusätzlich sollte eine Anwenderrichtlinie den Benutzer auf seine Sorgfaltspflichten hinweisen. dass in jedem Verwaltungsbereich eine getrennte Verwaltung der Benutzerdaten durchgeführt wird.6. Mit dem Gewinn an Flexibilität sind Risiken verbunden. Laptop. die organisatorisch meist in mehrere Teilnetze (Domänen. Sollen sich Benutzer/innen auch an fremden Teilnetzen anmelden können. Benutzerinnen sollte auf die Effizienz der Benutzerverwaltung auch für Fernzugriffe geachtet werden. Zu den wichtigsten Maßnahmen gehören: • • • eine erfolgreiche Authentifizierung des Benutzers gegenüber seinem Endgerät und dem Netz der Institution Verschlüsselung der Daten auf dem Endgerät und eine regelmäßige Sicherung der Daten im Netz der Institution.

Durch die Verwendung von zentralen Authentisierungsservern kann erreicht werden. als sie von den Betriebssystemen standardmäßig unterstützt werden. Der Anmeldeprozess muss dazu die Nutzung externer Authentisierungsserver unterstützen und die Netzadresse des zu benutzenden Authentisierungsservers muss in den Konfigurationsdaten des Anmeldeprozesses korrekt eingetragen sein. Der Zugang zum (Access-)Netz wird nach erfolgreicher Überprüfung gewährt. Einmalpasswörter.und Token-basierte Mechanismen zu nennen.Insbesondere im Kontext mit Fernzugriffen haben sich hier spezielle Authentisierungssysteme herausgebildet. Der/die Benutzer/in gibt ihr/sein Authentisierungsgeheimnis ein. Will sich ein/e Benutzer/in nun am System anmelden . Das Programm zur Systemanmeldung wendet sich zur Überprüfung der von dem/der Benutzer/in eingegebenen Authentisierungsdaten an den Authentisierungsserver. Der Authentisierungsserver verifiziert die Benutzerdaten und signalisiert dem Anmeldeprozess das Ergebnis der Überprüfung. 413 . die auf einem Display angezeigt werden und welche der/die Benutzer/in als Passwort angeben muss.B. Prinzipiell besitzen diese Systeme folgenden Aufbau: • • • Die Authentisierungsdaten der Benutzer/innen werden durch einen zentralen Server verwaltet. der diese an den/die Benutzer/in weiterleitet. Dies kann je nach verwendetem System ein Passwort oder ein Einmalpasswort in den unterschiedlichsten Ausprägungen (Nummern.eine so genannte "Challenge" an den Prozess zurück. Zur Kommunikation zwischen Anmeldeprozess und Authentisierungsserver wird in der Regel ein abgesichertes Protokoll eingesetzt. Text) sein. Hier sind insbesondere Chipkarten. eines Benutzers. Der Anmeldeprozess leitet die Daten (meist transparent für Benutzer/innen) an den Authentisierungsserver weiter. Der Authentisierungsserver sendet . Je nach System erzeugen diese z.laufen grob vereinfacht folgende Schritte ab: • • • • • Findet ein Verbindungsaufbau mit dem Anmeldeprozess statt. die auch für den "normalen" Authentisierungsprozess bei der Systemanmeldung genutzt werden können.sofern ein "Challenge-Response" Verfahren zum Einsatz kommt .gleichgültig ob sie/er dazu eine RAS-Verbindung benutzt oder sich direkt im LAN befindet . kontaktiert dieser den Authentisierungsserver und informiert ihn über den eingegangenen Verbindungswunsch einer Benutzerin bzw. dass einerseits die Authentisierungsdaten konsistent verwaltet werden und andererseits bessere Authentisierungsmechanismen genutzt werden können.

Hard. Da über eine VPN-Verbindung die direkte Anbindung an ein LAN erfolgt.Für mittlere und große Netze wird die Verwendung von Authentisierungsservern insbesondere bei Fernzugriffen empfohlen.4. das zur Absicherung einer VPN-Verbindung zu benutzen ist. • • • von den Sicherheitsanforderungen an die Stärke der Verfahren (hierdurch werden beispielsweise die Schlüssellängen bestimmt). nachdem die Kommunikationspartner authentisiert wurden. Wird die Verbindung über das Internet aufgebaut. hängt von verschiedenen Faktoren ab. dass er einerseits performant erreicht werden kann.3 Wird über ein Virtual Private Network (VPN) auf ein LAN zugegriffen. werden die Daten über die Netze der beteiligten Internetdienstanbieter (und eventuell deren Kooperationspartner) geleitet. wie beispielsweise das Tunneling.10 Remote Access) Die Wahl des Verfahrens. Die Absicherung wird durch das Verschlüsseln und gegebenenfalls Signieren der ausgetauschten Datenpakete erreicht. 10.7.und Software unterstützten Verfahren. [ eh SYS 7.7 ] 11. Berücksichtigt werden muss jedoch. Ein Authentisierungsserver muss so im Netz platziert werden. (vgl. aber andererseits auch vor unberechtigten Zugriffen geschützt ist. da diese eine wesentlich höhere Sicherheit bei der Benutzer-Authentisierung bieten. so erfolgt der Zugriff typischerweise über eine externe Datenverbindung. Integrität und Authentizität gewährleistet ist.4.2 Einsatz geeigneter Tunnel-Protokolle für die VPNKommunikation ISO Bezug: 27002 11.6. dass die Vertraulichkeit. von den durch die VPN. 12. So wird beispielsweise bei einer direkten Einwahl (Direct Dial-In) das Netz eines Telekommunikationsanbieters benutzt. von den auf Protokollebene einsetzbaren Verfahren (siehe unten). muss der zur Datenübertragung benutzte Netzpfad so abgesichert werden. Generell gilt: 414 . Im VPN-Umfeld haben sich verschiedene Verfahren und Mechanismen zur Absicherung der Kommunikationsverbindung herausgebildet. u. dass auch diese Server administriert und gewartet werden müssen. 11.A.

Diese können vom VPN-Produkt genutzt werden. es ist aber zu überlegen. Mobilfunk immer seltener verwendet.• • Ein VPN-Produkt bietet in der Regel eine Auswahl von unterstützten Standardverfahren zur Kommunikationsabsicherung an. Für den sicheren Einsatz sind eine Reihe von Regelungen zu treffen. SSL/TLS).B.4. bei Übermittlung personenbezogener Daten).4. [ eh SYS 7. Die zum Datentransport benutzten Protokolle bieten selbst schon Sicherheitsmechanismen an. wer das Modem benutzen darf. und es gibt nach wie vor noch Modemzugänge. um Passwort-Attacken zu entdecken. sollten diese im sinnvollen Rahmen genutzt werden.1 Modems werden angesichts der besseren Möglichkeiten durch Breitband-Internet bzw. So ist etwa festzulegen: • • • • wer die/der Verantwortliche für den sicheren Betrieb des Modems ist (beispielsweise im Stand-alone Einsatz der IT-Benutzer/innen. Der sichere Einsatz eines Modems bedingt weiters einige administrative Maßnahmen: 415 . die bei erfolglosen Login-Versuchen eingegebenen Passwörter mitzuprotokollieren. in welchen Fällen vertrauliche Informationen bei der Übertragung verschlüsselt werden müssen. ob erfolgreich oder erfolglos. Korrekt eingegebene Passwörter sollten nicht mitprotokolliert werden. Hier sollte eine möglichst breite Unterstützung von Verfahren angestrebt und entsprechende Standards angewendet werden (beispielsweise IPSEC. Alternativ kann das VPN-Produkt auch eigene Verfahren anbieten. Einige der hier angeführten Grundsätze gelten allerdings auch für solche. in welchen Fällen durchgeführte Datenübertragungen zu protokollieren sind (z.3 Einsatz von Modems und ISDN-Adaptern ISO Bezug: 27002 11. Bietet die Kommunikationssoftware Protokollierungsfunktion an. in vernetzten Systemen der Administrator). Alle Login-Vorgänge. Die Sicherheitsmechanismen basieren auf unterschiedlichen kryptographischen Verfahren.8 ] 11. müssen protokolliert werden.

die in Modems integriert sein können. die für die Datenübertragung berechtigt sind. und es anschließend ausgeschaltet bzw. dass auf einfache Weise unautorisierte Anrufer/innen abgewiesen werden können (siehe auch 11. -partnerinnen bekannt gegeben werden.4.• • • • • Die Telefonnummer eines Modem-Zugangs darf nur den Kommunikationspartnern bzw. dazu 11. Bei einem Stand-aloneSystem kann dies dadurch realisiert sein. Dann darf ein Zugriff auf die Kommunikationssoftware nur den Benutzerinnen/Benutzern möglich sein. wie etwa Passwortmechanismen oder Callback-Funktionen (vgl.4. Es muss außerdem darauf geachtet werden.4 Geeignete Modem-Konfiguration). wenn regelmäßig Übertragungen großer Datenmengen innerhalb einer Organisation mit verstreuten Liegenschaften durchgeführt werden sollen. dass nach der Datenübertragung auch das Kommunikationsprogramm zu beenden ist. Ein externes Modem kann einfach ausgeschaltet werden. Sie darf nicht im Telefonverzeichnis der Organisation erscheinen. Bei einem im Netzserver integrierten Modem muss dies über die Konfiguration sichergestellt werden. Diese OnlineVerschlüsselung bedingt einen geringeren organisatorischen Aufwand als das Verschlüsseln der Daten mittels Zusatzprodukten. dass das Modem die Telefonverbindung unterbricht.11 ] 416 . wie es für die Datenübertragung eingesetzt wird. Außerdem müssen alle Benutzer/innen darauf hingewiesen werden. können Benutzer/innen von ihren Arbeitsplatzrechnern auf das Modem zugreifen. [ eh SYS 6. die übertragenen Daten zu verschlüsseln. um den Zugang vor Einwählversuchen zu schützen. Ist ein Modem in einen Netzserver integriert. von der Leitung getrennt wird. Einige Modems bieten auch die Möglichkeit. Die vielfach angebotene Callback-Funktion bietet unter Sicherheitsgesichtspunkten den Vorteil. dass das Modem nur solange mit dem Telefonnetz verbunden ist. ohne sich einzuloggen. Außerdem müssen regelmäßig die Einstellungen des Modems und der Kommunikationssoftware überprüft werden sowie die durchgeführten Datenübertragungen protokolliert werden. Es muss sichergestellt sein. sobald der/die Benutzer/in sich vom System abmeldet. dass nach einem Zusammenbruch der Modem-Verbindung externe Benutzer/innen automatisch vom IT-System ausgeloggt werden. Es ist darauf zu achten. Die Anschaffung eines Modems mit Verschlüsselungsoption ist vorteilhaft. Sicherheitsmechanismen bei Modems: Es gibt vielfältige Sicherheitsmechanismen.5 Aktivierung einer vorhandenen Callback-Option). Andernfalls kann der/die nächste Anrufer/in unter dieser Benutzerkennung weiterarbeiten. dass die eingesetzten Algorithmen stets dem Stand der Technik entsprechen.

Fernkonfiguration des Modems: Manche Modems können so eingestellt werden. wenn verhindert werden soll. Es ist wichtig. die dies verhindert und erzwingt. dazu auch 11.7. Zum Problem der Fernwartung über Modems siehe 12.3 Fernwartung. wie die im folgenden beschriebenen Funktionen umgesetzt sind und ob durch fehlerhafte Konfiguration Sicherheitslücken entstehen können.3. so dass sie jederzeit mit der aktuellen Einstellung verglichen werden können. Eine Einstellung.1 Regelungen des Passwortgebrauches) gewählt werden. dass Anrufe manuell entgegengenommen werden müssen. Nachfolgend werden einige sicherheitsrelevante Konfigurationen vorgestellt: Auto-Answer: Es kann eingestellt werden.5 Aktivierung einer vorhandenen Callback-Option). dass das Modem einen ankommenden Ruf automatisch nach einer einzustellenden Anzahl von Klingelzeichen entgegennimmt. Außerdem sollten sie auf Papier ausgedruckt werden. Die Basis-Befehlssätze der verschiedenen Modems stimmen größtenteils überein.4 Geeignete Modem-Konfiguration ISO Bezug: 27002 11. dass von außen unbemerkt eine Verbindung aufgebaut werden kann.4. Die gewählten Einstellungen sollten im nichtflüchtigen Speicher des Modems gespeichert werden. den Befehlssatz des eingesetzten Modems daraufhin zu überprüfen. Passwortgeschützte Speicherung von (Rückruf-)Nummern: Bei der Speicherung von Telefonnummern oder Rückrufnummern im nichtflüchtigen Speicher des Modems können diese bei vielen Modellen durch ein Passwort geschützt werden. Daher sollte der Zugang zum Modem nur befugten Personen möglich sein 417 . dass sie von entfernten Modems fernkonfiguriert werden können. Ansonsten ist ein Callback-Mechanismus einzusetzen (siehe 11. Bei einigen Modems wird nach Eingabe eines bestimmten Befehls eine Liste der Rufnummern mit den zugehörigen Passwörtern angezeigt. herstellerabhängigen Hayes-Standard (auch AT-Standard genannt). dass diese Möglichkeit ausgeschaltet ist.11. Größere Abweichungen gibt es in den erweiterten Befehlssätzen. sollte gewählt werden.4. Es ist darauf zu achten.4.2 Die meisten Modems arbeiten nach dem nicht normierten. Wenn diese Möglichkeit vorhanden ist. sollte sie genutzt und die Passwörter entsprechend den Sicherheitsanforderungen (vgl.

trennt das Modem. wenn es einen Anruf erhält. dass ein nicht autorisierter Anrufer diesen Modemzugang missbrauchen kann. dieses anzuwählen und damit den Callback abzufangen. da der Mechanismus sonst in eine Endlosschleife führt.[ eh SYS 6. den richtigen Moment abzupassen.2 Viele Modems bieten die Option eines automatischen Rückrufs (Callback). ist es für einen Angreifer wesentlich schwieriger.4. Es ist sicherzustellen. wenn feste Kommunikationspartner/innen sich automatisch einwählen können sollen. Dadurch wird verhindert. dass der automatische Rückruf nur auf einer Seite aktiviert ist. dass nur in der Zentrale festgelegte Nummern zurückgerufen werden. Es ist darauf zu achten. unter der sie sich zurückrufen lassen möchten. [ eh SYS 6. Anmerkung: Privilegierte Benutzer/innen können ev. die Nummer einzugeben. Callback sollte auf der passiven Seite aktiviert sein. Ein Callback kann außer durch das Modem auch von der Applikation ausgelöst werden. und kein "Overrulen" durch den Anrufer möglich ist. Ist diese Option aktiviert.4. Wenn das Modem ein Callback auslöst.12 ] 11.5 Aktivierung einer vorhandenen Callback-Option ISO Bezug: 27002 11. Callback ist immer dann einzusetzen.13 ] 418 . sofort nach dem erfolgreichen Verbindungsaufbau die Leitung und ruft eine voreingestellte Nummer zurück. sollte das Callback von der Applikation und nicht vom Modem ausgelöst werden. Hier sollte darauf geachtet werden. wenn das Modem den Callback starten will. kann ein Angreifer versuchen. in dem Moment. dass mit dem automatischen Rückruf auch die Kosten der Datenübertragung übernommen werden. solange er nicht unter der voreingestellten Nummer erreichbar ist. Wenn die Applikation den Callback durchführt. dass die voreingestellten Rufnummern des Callback sporadisch kontrolliert und aktualisiert werden. von der Dateien abgerufen oder auf der Dateien eingespielt werden. also auf der Seite. Wenn die eingesetzte Applikation diese Option bietet. Zu beachten ist. die Möglichkeit haben.

11. Um dem entgegenzuwirken ist die Verwendung von geprüften Initialkonfigurationen zu bevorzugen. Im Bundesbereich ist gemäß dem IKT-Board Beschluss [IKTB-170902-7] eine definierte sichere Initialkonfiguration zu verwenden.4 Bei Neuinstallationen von Betriebssystemen und Software berücksichtigen die standardmäßigen und herstellerseitigen Grundeinstellungen kaum sicherheitstechnische Aspekte. Dazu gehört insbesondere sowohl der Schutz der Betriebssystemsoftware selbst als auch der Schutz einzelner Daten und Programme vor unberechtigter Benutzung (Verletzung der Vertraulichkeit von Informationen). Somit werden im Zuge von Standardkonfigurationen zur Verfügung stehende Sicherheitsmechanismen oft nicht aktiviert. vorübergehender oder dauerhafter Unbrauchbarmachung und Zerstörung (Verletzung der Verfügbarkeit von Informationen und Programmen). Verfälschung (Verletzung der Integrität von Daten). Eine entsprechend dokumentierte Initialkonfiguration wird im Rahmen des Online-Angebotes des Chief Information Office des Bundes zur Verfügung stehen. Benutzern und Anwendungen den komfortablen Zugang zur Hardware und anderen Betriebsmitteln des Computersystems zu ermöglichen. Derartige Konfigurationen sollten sowohl für das Betriebssystem (vorrangig) aber auch für die verwendete Software von der Administration zur Verfügung gestellt werden.5. 11. bieten grundsätzliche Fehlkonfigurationen potentielle Sicherheitsrisken. 419 . bzw.5 Zugriff auf Betriebssysteme Die Hauptaufgabe eines Betriebssystems besteht bis heute darin. Neben diesen Grundfunktionen muss ein Betriebssystem grundlegende Sicherheitskonzepte durchsetzen.5.1 Sichere Initialkonfiguration und Zertifikatsgrundeinstellung ISO Bezug: 27002 11. 11.5.

durch einen definierten Satz an als vertrauenswürdig anerkannten Zertifikaten ersetzt werden. Nach IKT-Board-Beschluss [IKTB-040402-2] sind alle in der Bundesverwaltung auszuliefernden Arbeitsstationen initial so auszuliefern. Demnach sollten in der Initialkonfiguration alle im Zertifikatsspeicher vorkonfigurierten Wurzelzertifikate (vertrauenswürdige Stammzertifikate) entfernt werden.5. sollte das Setup. Meist kann ausgewählt werden. mit denen sich die Benutzer/innen oder die Systemadministration vertraut machen sollten. Teilweise können sogar verschiedene Passwörter für diese Prüfungen benutzt werden.5.1) genügen. Dieser kann verhältnismäßig einfach überwunden werden. 420 . in Internet-Programmen (zum Beispiel Browsern) ist eine Vielzahl von „vertrauenswürdigen“ Zertifizierungsstellen. wenn in den Arbeitsstationen die Mechanismen des Widerrufs hinreichend umgesetzt sind. 5. deren Zertifikaten dadurch explizit vertraut wird. Auf keinen Fall sollten aber ungeschulte Benutzer/innen BIOS-Einträge verändern.oder Administrator-Passwort immer aktiviert werden. Um zu verhindern. Anderen Zertifizierungsdiensten kann im bereichs-/ressortübergreifenden Datenverkehr nur dann dass Vertrauen im System implizit gegeben werden. 11. denn der/die Anwender/in hat in der Regel keine Informationen über die Vertrauenswürdigkeit der Zertifizierungsstellen bzw. explizit ausgesprochen werden. Dies stellt ein Sicherheitsrisiko dar.4 Moderne BIOS-Varianten bieten eine Vielzahl von Sicherheitsmechanismen an. die der EU Signaturrichtlinie (Art. sollte aber auf jeden Fall benutzt werden. dass Unbefugte die BIOS-Einstellungen ändern. • Passwortschutz: Bei den meisten BIOS-Varianten kann ein Passwortschutz aktiviert werden.Zertifikatsgrundeinstellung Voreingestellt in Betriebssystemen bzw. dass keinem Zertifizierungsdienst automatisch vertraut wird. bzw. ob deren Zertifikate zwischenzeitlich bereits kompromittiert wurden.8 ] 11. wenn keine anderen Zugriffsschutzmechanismen zur Verfügung stehen. Das implizite Vertrauen kann allen Zertifizierungsdiensten und den zugeordneten Diensten.2 Nutzung der BIOS-Sicherheitsmechanismen ISO Bezug: 27002 11. da hierdurch schwerwiegende Schäden verursacht werden können.5. ob das Passwort vor jedem Rechnerstart oder nur vor Zugriffen auf die BIOS-Einstellungen überprüft werden soll. wenn dies in der allgemeinen Strategie explizit festgehalten ist. [ eh SYS 5.

wer solche Daten lesen. Daten mit besonderem Schutzbedarf können in den unterschiedlichsten Bereichen anfallen. dass immer als Erstes von der Festplatte gebootet wird. Generell sollte die Wirksamkeit der Umstellung der Boot-Reihenfolge durch einen Boot-Versuch geprüft werden. so dass gesetzte Sicherheitsattribute ignoriert werden.E_ bzw. bei Fax oder E-Mail. 421 .• • Mit einigen (leider wenigen) BIOS-Varianten kann zusätzlich der Zugriff auf USBPorts (bzw. daher sollten in allen diesen Bereichen Festlegungen existieren.B. Für diese gelten je nach ihrer Kategorisierung unterschiedliche Beschränkungen im Umgang mit ihnen. noch Diskettenlaufwerke) durch ein Passwort geschützt werden. auf denen diese gespeichert oder verarbeitet werden. um das unbefugte Einspielen von Software oder das unbemerkte Kopieren von Daten zu verhindern.4 ] 11. Diskette) im Laufwerksschacht vergessen wird.E. spart Zeit und schont das CD-Laufwerk. Daher ist es wichtig. _C. Ohne eine solche Umstellung der Boot-Reihenfolge können auch weitere Sicherheitsmaßnahmen wie etwa Zugriffsschutzmechanismen umgangen werden. Dazu gehört auch die regelmäßige Überprüfung auf Korrektheit und Vollständigkeit der Daten. Virenschutz. Virus-Warnfunktion: Wird diese Funktion aktiviert.B. verlangt der Rechner vor einer Veränderung des Bootsektors bzw. da einige Controller die interne Reihenfolge außer Betrieb nehmen und eine getrennte Einstellung erfordern. die einen höheren Schutzbedarf haben oder besonderen Restriktionen unterliegen. finanzrelevante. Je nach verwendetem BIOS und Betriebssystem muss auch das Booten von anderen austauschbaren Datenträgern wie USB-Ports verhindert werden. z. z. Ein Beispiel hierfür ist das Starten eines anderen Betriebssystems. personenbezogene. Beispielsweise sollte also _C. vertrauliche oder Copyright-geschützte Daten. alle Mitarbeiter auf die für diese Daten geltenden Restriktionen hinzuweisen. des MBR (Master Boot Record) eine Bestätigung. Dies schützt vor der Infektion mit Boot-Viren.A_ eingestellt werden (Annahme. Dies sollte benutzt werden. [ eh SYS 5. Der Schutzbedarf von Daten wirkt sich natürlich unmittelbar auf alle Medien aus. falls versehentlich eine CD (resp. bearbeiten bzw. Darüber hinaus gibt es aber in vielen Bereichen Daten. ggf. Boot-Reihenfolge: Die Boot-Reihenfolge sollte so eingestellt sein. dass es ein CD-Laufwerk E gibt). weitergeben darf. ob diese durchgeführt werden darf.6 Zugriff auf Anwendungen und Informationen Grundsätzlich sollten Mitarbeiter/innen natürlich sorgfältig mit allen Informationen umgehen.

Viele Informationen. die die Beziehungen zusammenarbeitender Organisationen beeinträchtigen können oder aus deren Kenntnis ein Dritter (z. Copyright-Vermerke oder Lizenzbedingungen kopiert werden dürfen. Weitergabe und Vernichtung besondere Vorschriften und Regelungen gelten. kryptographischen Schlüsseln Authentisierung durch Besitz: beispielsweise von Schlüsseln oder Karten . noch Dateien oder Software ohne Berücksichtigung evtl. diejenigen Daten. Neben den allgemeinen Sorgfaltspflichten können auch hier für diese Daten bei der Speicherung. Ein besonderes Augenmerk muss auch auf alle Informationen gelegt werden. 11. also z.2. versteht man unter "Authentisierung" den Nachweis der angegebenen Identität.1 Wahl geeigneter Mittel zur Authentisierung ISO Bezug: 27002 11. • • • Geschäftskritische Informationen müssen vor Verlust. Codes.6.6.17 ] 11. Grundsätzlich gibt es drei Arten der Authentisierung: • • 422 Authentisierung durch Wissen: etwa durch Eingabe von Passwörtern. bei deren Verlust die Organisation handlungsunfähig wird. Verarbeitung. dass weder Dokumente. B. Dazu gehören alle geschäftsrelevanten Daten. Die Wahl eines geeigneten Authentisierungsverfahrens ist von entscheidender Bedeutung für die Sicherheit des Gesamtsystems und muss daher den Sicherheitsanforderungen und den technischen Möglichkeiten gemäß getroffen werden.4. unterliegen Copyright-Vermerken oder Weitergaberestriktionen ("Nur für den internen Gebrauch"). [Q: BSI M 2. B. Alle Mitarbeiter/ innen müssen darauf hingewiesen werden. Längerfristig gespeicherte oder archivierte Daten müssen regelmäßig auf ihre Lesbarkeit getestet werden. Jede Organisation sollte eine Übersicht darüber haben. welche Daten als geschäftskritisch einzustufen sind. welche die Grundlage für die Aufgabenerfüllung bilden.1 Während unter "Identifikation" die Bestimmung der Identität eines Subjektes bzw. Konkurrenzunternehmen) finanzielle Vorteile ziehen kann. Manipulation und Verfälschung geschützt werden. aber auch Anwendungen. Nicht mehr benötigte Informationen müssen zuverlässig gelöscht werden. Objektes zu verstehen ist (meist durch Angabe eines Namens oder einer User-ID).3.

gemäß der Empfehlung des IKT-Boards [IKTB-140102-1] . Diese Module stehen auch der Wirtschaft frei zur Verfügung [IKTB-110504-1] . Im Bereich der öffentlichen Verwaltung wird die Verwendung von so genannten Dienstkarten. Nach der Auswahl eines geeigneten Authentisierungsverfahrens sind Regelungen über die Handhabung der Authentifikationsmitteln zu treffen (vgl.als technisches Mittel der Wahl angesehen werden. unter Verwendung geeigneter Basisdienste. Für die Signatur und die Identifikation wird empfohlen die Module für Onlineverfahren (MOA-ID. Biometrie kann allerdings noch nicht in allen Bereichen der Identifikation und Authentifikation – im Speziellen im Sinne eines authentischen Identitätsnachweises .. Stimmerkennung. Die Stabsstelle IKT-Strategie des Bundes hat im Rahmen des IKT-Board Beschlusses [IKTB-110903-10] . MOA-SS/SP) zu verwenden [IKTB-161203-01] . Weiters besteht die Möglichkeit.2 Regelungen des Gebrauchs von Chipkarten). 423 . dazu auch 11. die folgenden allgemeinen Umsetzungsrichtlinien beschlossen: • Eine hohe Funktionsstärke (SOF high) ist derzeit und in absehbarer Zukunft nicht erreichbar. ob bei Verfahren der öffentlichen Verwaltung. Fingerabdruck. Die Sicherheit der einzelnen Authentisierungsverfahren ist sehr unterschiedlich und im Einzelfall immer zu hinterfragen. In vielen Fällen kommen Kombinationen der drei angeführten Prinzipien (etwa Authentisierung durch Wissen und Besitz) zur Anwendung. . das gemäß dem IKT-Board Beschluss festgelegte Konzept Bürgerkarte zur Authentisierung von Benutzerinnen/Benutzern anzuwenden ist. Unterschriftendynamik. treten. daher ist vorerst nur limitierter Einsatz der Biometrie möglich.B. zur Identifikation bzw. Darüber hinaus ist generell zu prüfen. Gemäß dem IKT-Board Beschluss [IKTB-260701-1] soll sogar anstelle eines konventionellen Sigle-Sign-On die Identifikation mit der Bürgerkarte.• Authentisierung durch Eigenschaften oder Verhaltensmerkmale (biometrische Verfahren): z. Authentisierung vorzusehen sein. besonders im Hinblick auf den Einsatz der Biometrie in Bereichen der öffentlichen Verwaltung. Biometrie: In der Diskussion um Mittel der Authentifikation rückt auch Biometrie zunehmend in den Mittelpunkt.1 Regelungen des Passwortgebrauches und 11.6.. in Verbindung mit der Bürgerkarte so genannte Single Sign-On Funktionalitäten zu realisieren.3.

4 ] 11. Daten. da Wachzustand und Bewusstsein zurzeit in biometrischen Systemen nicht mit vertretbarem Aufwand technisch kontrollierbar sind). 11.1 Für Anwendungen im Sicherheitsbereich kommen intelligente Speicherkarten (Karten mit fest verdrahteter Sicherheitslogik) sowie Mikroprozessor-Karten (Karten mit Speicher und CPU. Chipkarten haben unter Sicherheitsaspekten im Wesentlichen zwei Funktionen zu erfüllen. Zutrittskontrolle zu Anlagen und Räumen vor allem über Sekundärmechanismen (z. Anwendungen müssen zurzeit in kontrollierter Umgebung ablaufen. Sie dienen 424 . Verifikationsanwendungen mit biometrischen Daten unter Kontrolle des Inhabers/der Inhaberin und mit amtlicher Bestätigung (Signatur) zur breiten Anwendung sind derzeit möglich und können eingesetzt werden. etc. Derzeit praktikable Anwendungen für Biometrie sind z.2 Regelungen des Gebrauchs von Chipkarten ISO Bezug: 27002 11.B. Dies gilt auch für Anwendungen mit Identifikationszuordnung in beschränkten Gruppen (im Normalfall etwa bis zu 100 Personen). die durch die Behörde bestätigt (signiert) sind.• • • • Standards für biometrische Merkmale. ev.6.6. daher können zentrale Datenbanken nicht sinnvoll eingesetzt werden. [ eh SYS 1.4. auch mit Co-Prozessor) zum Einsatz. die eine dauerhafte (etwa 10-jährige) Sicherheit gewährleisten.: • • • Personendokumente mit biometrischen Daten auf dem Dokument.B.) muss die Möglichkeit der Kontrolle des Verifikationsprozesses haben. Anwendungen können im Bereich der Verifikation und der Komfortsteigerung einen wesentlichen Beitrag leisten. sind noch nicht vorhanden. Zuordnung von Chipkarten zu Personen (dies ist vom Willensakt der Auslösung einer Funktion zu trennen.2. Computer. Die Identifikationsanwendung außerhalb der erkennungsdienstlichen Aufgaben ist noch nicht technologisch rechtfertigbar. Der Machtgeber für das Identifikationsobjekt (z.B. biometrisches Merkmal und Karte als Träger der Referenzdaten) oder in beschränkten Populationen.

Ein Aufbewahren der PIN gemeinsam mit der Karte oder gar ein Notieren der PIN auf der Karte ist unbedingt zu vermeiden. Die Chipkarten sollten immer mit dem Namen der Trägerin bzw. Für Details zur Sicherheit von Chipkarten sei auf die Literatur verwiesen .6 Kryptographische Maßnahmen). 425 . Zugangscodes (etwa zu IT-Systemen). Verwendung kartenspezifischer Schlüssel und geeignete Implementierung von kryptographischen Algorithmen). zur Chiffrierung. Signatur. Signaturschlüssel zur Generierung elektronischer Unterschriften (vgl.) als Security Modul (zur Durchführung von Sicherheitsfunktionen) z.B.• • als Trägermedium für vertrauliche Daten z. des Trägers versehen werden. so sind eine Reihe von kryptographischen und systemtechnischen Gegenmaßnahmen zu setzen (etwa Schlüsseldiversifizierung. Authentisierung.. Wenn erforderlich. Generierung von Sessionkeys oder zur Durchführung von Transaktionen Entscheidender Vorteil der Chipkarte gegenüber anderen Medien ist.. Übertragbare Chipkarten ohne Namen sollten gar nicht oder nur in sicherheitstechnisch belanglosen Bereichen eingesetzt werden. Ist mit solchen Angriffen zu rechnen. PINs (Personal Identification Number) geschützt.also in einem geschützten Bereich .oder Zugriffskontrolle. Prüfungsergebnisse.) darstellen. wo eine PIN zusammen mit biometrischen Merkmalen herangezogen wird. Generierung von elektronischen Signaturen. Im Folgenden werden einige Grundregeln gegeben. Neben der Qualität der Karte selbst kommt auch der Wahl und der Handhabung der PIN entscheidende Bedeutung für die Sicherheit des Gesamtsystems zu. etc. .im Folgenden wird der Einsatz von Chipkarten in sicherheitsrelevanten Applikationen behandelt.B. Kap. Denkbar ist auch eine Multifaktor-Authentisierung. 12. Dadurch kann die PIN zur leichteren Handhabe verkürzt werden. sind die Mitarbeiter/innen in entsprechenden Verpflichtungserklärungen zur Einhaltung dieser Regelungen zu verpflichten. dass die Speicherung der vertraulichen Daten und die Durchführung von sicherheitskritischen Funktionen innerhalb der Karte . Angriffe gegen diesen geschützten Bereich erfordern einen sehr hohen technologischen Aufwand. Der Zugriff auf Daten und Funktionen von Chipkarten ist heute im Allgemeinen durch sog. Diese sind in hohem Maße abhängig vom Schutzbedarf des betroffenen Systems und der Art der Anwendung.erfolgen kann. die eine Art Mindeststandard für die Handhabung von Karten und PINs in sicherheitsrelevanten Anwendungen (etwa Zutritts. persönliche Daten (medizinische Daten. • • • Keine unautorisierte Weitergabe der Karte: Chipkarten stellen in der Regel ein persönliches Sicherheitsmedium dar und sollten daher sicher verwahrt und keinesfalls an andere Personen weitergegeben werden. Chiffrierschlüssel. Die PIN muss geheim gehalten werden und darf nur dem/der Benutzer/in persönlich bekannt sein.

PINs dürfen nicht auf programmierbaren Funktionstasten gespeichert werden. Die Eingabe der PIN sollte unbeobachtet stattfinden. ist eine Möglichkeit des Entsperrens vorzusehen.5.3 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen ISO Bezug: 27002 11.6. Dies erfolgt durch eine von der PIN unterschiedliche (und meist deutlich längere) Geheimzahl ("Supervisor PIN". Dies verhindert die unberechtigte Nutzung des Programms. 11. "Secure PIN-Pads" zum Einsatz kommen. bei denen die Übertragung der PIN technisch oder mittels kryptographischer Verfahren geschützt wird. Zusätzlich ergibt sich bei der Wahl der einzusetzenden Chipkarte. unkontrollierbaren Umgebungen sollten sog. ob eine Übertragung der PIN zwischen Tastatur und Karte im Klartext aus Sicherheitsgründen vertretbar ist.• • • • • • Die Länge der PIN hängt von Art und Schutzbedarf der Anwendung ab und liegt im Allgemeinen zwischen 4 und 8 Stellen. die entweder dem/der Benutzer/in selbst oder einer/einem Sicherheitsverantwortlichen bekannt sein kann. dass speziell in Verbindung mit Anwendungen der öffentlichen Verwaltung. "Personal Unblocking Key" (PUK)). Da sich Chipkarten in der Regel nach einer festgelegten Anzahl von PINFalscheingaben (meist 3) selbst sperren . Die Wahl von Trivial-PINs ist zu vermeiden. [IKTB-040901-1] ).3. Im Folgenden seien einige dieser Funktionen kurz erläutert: • Passwortschutz bei Programmaufruf: Das Programm kann nur gestartet werden. diese den Security Layer unterstützen (vgl.dies stellt eines der wichtigsten Sicherheitsfeatures der Karte dar -.1. Es ist zu prüfen. [ eh SYS 1. wenn vorher ein Passwort korrekt eingegeben wurde.6 Standardprodukte im PC-Bereich bieten oft eine Reihe von nützlichen ITSicherheitsfunktionen. 426 . 11. Für Anwendungen mit hohem Sicherheitsbedarf in ungeschützten bzw.6 ] 11. mögliche Schäden verringern können. deren Güte im Einzelnen unterschiedlich sein kann. die aber Unbefugte behindern bzw. Bei der Eingabe darf die PIN nicht auf einem Bildschirm oder Display angezeigt werden.

[ eh SYS 3.4 ] 427 . sondern mit einer anderen Kennung versehen. Damit wird verhindert. 10. ob die zwischengespeicherten Daten nach dem regulären Programmende wieder gelöscht wurden (vgl. Gegebenenfalls ist jedoch zu überprüfen.1 Verifizieren der zu übertragenden Daten vor Weitergabe). Kap. eine Datei verschlüsselt abzuspeichern. Die Inhalte der Datei sind damit nur denjenigen zugänglich. die nach dieser automatischen Speicherung eingetreten sind. so wird die zweite Datei nicht gelöscht. zu der im angegebenen Pfad eine Datei gleichen Namens existiert. dass versehentlich eine Datei gleichen Namens gelöscht wird. Automatisches Anzeigen von Makros in Dateien: Diese Funktion soll das unbeabsichtigte Ausführen von Makros verhindern und damit Schutz vor Makro-Viren bieten (vgl. die über den verwendeten geheimen Chiffrierschlüssel verfügen. Automatische Speicherung von Zwischenergebnissen: Das Programm nimmt eine automatische Speicherung von Zwischenergebnissen vor. so dass ein Stromausfall nur noch die Datenänderungen betrifft. 12.4. Verschlüsselung von Dateien: Das Programm ist in der Lage. Dies verhindert den unerlaubten Zugriff mittels des Programms auf bestimmte Dateien.• • • • • Zugriffsschutz zu einzelnen Dateien: Das Programm kann nur dann auf eine geschützte Datei zugreifen.4 Schutz vor Schadprogrammen und Schadfunktionen). Für mobil eingesetzte IT-Systeme bieten sich insbesondere die Nutzung des Passwortschutzes bei Programmaufruf und die automatische Speicherung an. so dass eine unbefugte Kenntnisnahme verhindert werden kann. Je nach eingesetzter Software und damit vorhandenen Zusatzsicherheitsfunktionen kann der Einsatz dieser Funktionen sinnvoll sein. wenn das mit dieser Datei verknüpfte Passwort korrekt eingegeben wird. Automatische Sicherung der Vorgängerdatei: Wird eine Datei gespeichert.

Manipulation an Informationen oder Software. vorausgesetzt werden. Auch diese sollten angelehnt an das Lebenszyklus-Modell durchlaufen werden: • Planung und Konzeption der Einrichtung eines Arbeitsplatzes in fremder Umgebung. beispielsweise im Hotelzimmer. in der Eisenbahn oder beim Kunden. der Behörde wahrgenommen. Diebstahl von Geräten und/oder Datenträgern. PDA. nahezu überall arbeiten. Manipulation oder Zerstörung von Geräten oder Zubehör. Nichtbeachtung von Sicherheitsmaßnahmen. Daher sind Sicherheitsmaßnahmen zu ergreifen. Unzureichende Kontrolle der Sicherheitsmaßnahmen. Mobiltelefonen IT-Benutzer werden immer mobiler und können. die eine mit einem Büroraum vergleichbare Sicherheitssituation erreichen lassen. Ungesicherter Akten. wie sie in einer gewerblichen oder behördlichen Büroumgebung anzutreffen ist. Typische Gefährdungen bei mobilen Arbeitsplätzen sind: • • • • • • • • • • • • • Beeinträchtigungen durch wechselnde Einsatzumgebungen. Fehlende oder unzureichende Regelungen. Ungeeignete Entsorgung der Datenträger und Dokumente. Verlust. Daher werden dienstliche Aufgaben häufig nicht mehr nur in Räumen des Unternehmens bzw. Vertraulichkeitsverlust schützenswerter Informationen Auch für mobile Arbeitsplätze sind eine Reihe von Maßnahmen umzusetzen. Hitze).und Datenträgertransport. Sorglosigkeit im Umgang mit Informationen. In solchen Umgebungen kann aber nicht die infrastrukturelle Sicherheit. 428 . sondern an wechselnden Arbeitsplätzen in unterschiedlichen Umgebungen.7 Mobile Computing und Telarbeit Mobile IT-Arbeitsplätze mit Laptop. Ungeeigneter Umgang mit Passwörtern. Kälte. Umwelteinflüsse (Nässe. dank immer kleinerer und leistungsfähigerer Geräte.11.

mobile Telearbeit sowie Telearbeit in der Wohnung des Arbeitnehmers bzw. B. wie z. PDA. d. des Telearbeiters. Dabei ist auch zu klären. Telearbeit in Telearbeitszentren. der/die Arbeitnehmer/in arbeitet teilweise im Büro und teilweise zu Hause. die räumlich entfernt vom Standort des Arbeitgebers durchgeführt werden und deren Erledigung durch eine kommunikationstechnische Anbindung an die IT des Arbeitgebers unterstützt wird. personellen und technischen Sicherheitsmaßnahmen sind selbstverständlich ebenfalls vollinhaltlich zur Anwendung zu bringen. Laptop. unter welchen Rahmenbedingungen Mitarbeiter mit mobilen IT-Systemen Zugriff auf interne Daten ihrer Institution haben dürfen. Telearbeit Unter Telearbeit versteht man im Allgemeinen Tätigkeiten. Sorgfältige Entsorgung von Datenträgern und Ausdrucken (keinesfalls dürfen sie einfach in den Müll geworfen werden). Bei der letzteren unterscheidet man zwischen ausschließlicher Teleheimarbeit und alternierender Telearbeit.h.. der Arbeitnehmerin. Bei Formen der Telearbeit. Alle übrigen für dieses IT-System erforderlichen organisatorischen. auch den Zugriff auf Daten in der Organisation ermöglicht. Mobiltelefon.). 429 .• • • Regelungen für alle Außentätigkeiten. die teilweise oder ganz im häuslichen Umfeld durchgeführt werden.B. den Telearbeitsrechner der Telearbeiterin bzw. welche den Austausch von Daten oder ggf. welche Informationen außerhalb der Räume der Organisation transportiert und bearbeitet werden dürfen und welche Schutzvorkehrungen dabei zu treffen sind. Die Maßnahmenempfehlungen dieses Kapitels umfassen vier Bereiche: • • • • die Organisation der Telearbeit. besteht in der Regel zwischen dem Arbeitsplatz zu Hause und der Organisation eine Telekommunikationsverbindung. die sich aus einem Einsatz eines IT-Systems im Bereich der Telearbeit ergeben. die Kommunikationsverbindung zwischen Telearbeitsrechner und Institution und den Kommunikationsrechner der Institution zur Anbindung des Telearbeitsrechners. Schaffung und Einhaltung von Regelungen über die Arbeitsumgebung und die sorgfältige und sichere Behandlung der mitgenommenen IT-Systeme (z. Es gibt unterschiedliche Formen von Telearbeit.. Die in diesem Kapitel aufgeführten Maßnahmenempfehlungen konzentrieren sich auf zusätzliche Sicherheitsanforderungen.

sollten sie vor allem über die spezifischen Gefährdungen und Maßnahmen der von ihnen benutzten Geräte aufgeklärt werden. Die Mitarbeiter/innen sollten auch darüber aufgeklärt werden. Da es bei mobilen IT-Systemen eine große Bandbreite von Varianten und Kombinationsmöglichkeiten gibt (von Handy über PDA zu Laptop mit WLANSchnittstelle). Zusätzlich sollte für die Benutzer/ innen ein kurzes und übersichtliches Merkblatt für die sichere Nutzung von mobilen IT-Systemen erstellt werden. Die Umfeldbedingungen bei mobilem Einsatz liegen zumeist außerhalb der direkten Einflussnahme der Benutzerin / des Benutzers. mobile IT-Systeme unterwegs zu schützen. Je kleiner und leichter IT-Systeme werden. Insbesondere sollte die Identitäten des Kommunikationspartner hinterfragt werden. die sich innerhalb geschützter Räumlichkeiten befinden. Immerhin gibt es eine Vielzahl von Möglichkeiten. als solche.1 Unter mobilen IT-Geräten sind alle für einen mobilen Einsatz geeigneten Geräte zu verstehen. Palmtops. wenn hierfür geeignete und freigegebene Sicherheitsmechanismen eingesetzt werden.und Sichtweite von Externen machen sollten. welche Informationen mit mobilen IT-Systemen unterwegs verarbeitet werden dürfen. Sie sind vielfältigeren Risiken ausgesetzt. sollte eine Sicherheitsrichtlinie erstellt werden. Handhelds und Personal Assistants sowie auch mobile Datenträger wie USB-Festplatten und -Sticks. 430 .7.1 Mobile IT-Geräte ISO Bezug: 27002 11. Ebenso sind bei der Nutzung von mobilen IT-Systemen diverse Punkte zu regeln: • Die Benutzer/innen müssen darüber informiert sein. dass sie vertrauliche Informationen unterwegs nicht mit jedem austauschen und dies unterwegs auch nicht in Hör.daher muss sie/er für möglichst sichere Aufbewahrung mobiler ITGeräte auch außer Haus sorgen.7. desto leichtfertiger wird erfahrungsgemäß damit umgegangen. so etwa Notebooks. in der alle umzusetzenden Sicherheitsmechanismen beschrieben sind. Die Daten sollten dementsprechend klassifiziert sein. Daher sollten Mitarbeiter/innen für den Wert mobiler ITSysteme und den Wert der darauf gespeicherten Informationen sensibilisiert werden. Damit diese Möglichkeiten auch genutzt werden.11. um Einschränkungen den Benutzern/ Benuzerinnen transparent zu machen Dienstgeheimnisse dürfen nur dann auf mobilen IT-Systemen verarbeitet werden. bevor detaillierte Auskünfte gegeben werden.

dass bei privater Nutzung eines Internetzugangs weniger sichere Seiten aufgerufen werden als für dienstliche Zwecke. Ein mobiles IT-System stellt einen Wert dar. Wartung und Weitergabe von mobilen IT-Systemen sollte klar geregelt werden. Dies gilt besonders für fremde Räumlichkeiten wie Hotelzimmer sowie Kraftfahrzeuge.oder Wohnräumen. Bei Mitnahme mobiler IT Geräte auf Auslandsreisen ist dies bereits im Vorfeld zu klären. Empfindlichkeit gegenüber zu hohen oder zu niedrigen Temperaturen). Konstruktionsdaten. Eine mögliche Alternative zu mitgenommenen Daten wären etwa zugriffsgeschützte Online-Festplatten am Server der eigenen Organisation. Hierfür gibt es eine Reihe von brauchbaren Produkten zur transparenten Laufwerks. die ein hohes Maß an Sicherheit verlangen (z. ob mobile Mitarbeiter/innen von unterwegs Zugriff auf interne Daten ihrer Institution erhalten sollen. sondern in einem Schrank 431 . beispielsweise für private Schreiben oder gar Spiele nach Feierabend. der potentielle Diebe/Diebinnen anlocken könnte. um einem Verlust oder Diebstahl vorzubeugen bzw. dass die Zulässigkeit von Verschlüsselungstechnologien in den einzelnen Staaten unterschiedlich geregelt ist. Bei jedem Wechsel des Besitzers/ der Besitzerin alle benötigten Zugangsmechanismen (z. Keinesfalls dürfen solche Geräte ohne ausdrückliche Zustimmung der Organisation Dritten zur Reparatur oder Software-Wartung übergeben werden oder unautorisert darauf irgendwelche Software installiert werden. personenbezogene oder sensible Daten) ist die Installation eines Zugriffsschutzes (über Passwort oder Chipkarte) unabdingbar sowie einer Festplatten-. Die Verwaltung.B. Falls dies vorgesehen ist. Aufbewahrung außerhalb von Büro.B. wie sie sorgfältig mit den mobilen IT-Systemen umgehen sollten. Beim Einsatz mobiler IT-Systeme ist zu klären. ob diese auch für private Zwecke benutzt werden dürfen. Insbesondere muss damit gerechnet werden. muss dieser Zugriff angemessen geschützt werden Es muss geklärt werden. Angebote. etwa dass bestimmte Verschlüsselungsprodukte nicht (auch nicht in installierter Form) importiert werden dürfen oder die verschlüsselten Daten den Zollbeamten offengelegt werden müssen. um eine lange Lebensdauer zu gewährleisten (z. Daher sollten mobile IT-Systeme möglichst nicht unbeaufsichtigt bleiben oder ungeschützt herumliegen. Dabei ist zu beachten. Die Benutzer sollten darauf hingewiesen werden.oder Containerverschlüsselung. Besondere Gegebenheiten können sich in verschiedenen Zielgebieten und in speziellen Situationen (etwa bei einer besonders eingehenden Zollkontrolle) ergeben. Akkupflege. B. Wirtschaftsdaten des Unternehmens. Containeroder Dateiverschlüsselung drigend zu empfehlen. Passwörter) gesichert weitergegeben werden.• • • • • • • Für Daten.

Alle Schutzmechanismen müssen aktiviert sein. sollten sie zumindest verdeckt werden. damit sie von außen nicht sichtbar sind. so sind die Sicherheitsregelungen der besuchten Organisation zu beachten. Wird der Raum für längere Zeit verlassen. PDA's und Mobiltelefone immer mehr zu unverzichtbaren Abeitsmitteln in Meetings gerade auch mit hochrangigen Besetzungen .geworden sind. um unkontrollierte Nutzung zu verhindern.4 teilweise ] 11. muss an allen Eingängen deutlich darauf hingewiesen werden. da Laptops. so ist dieser Raum nach Möglichkeit auch bei kurzzeitigem Verlassen zu verschließen. Notebook ISO Bezug: 27002 11. dass mobile IT-Systeme mitgebracht werden. In solchen Fällen sind die Geräte auszuschalten.7. Werden mobile IT-Systeme in fremden Büroräume mitgenommen. Da die Geräte immer kleiner werden. Wird ein mobiles IT-Gerät in fremden Büroräumen benutzt. Dies sollte dann auch regelmäßig kontrolliert werden. Allerdings wird ein solches Verbot zunehmend schwieriger durchsetzbar. für Besprechungsräume sinnvoll sein.1 Laptop. dass sie gar nicht mitgenommen werden dürfen. ob die Nutzung oder sogar das Mitbringen von mobilen IT-Systemen in allen oder bestimmten Bereichen einer Behörde oder eines Unternehmens eingeschränkt werden sollte.bzw.B. Dies kann z.1 432 . wenn sich das Gerät unmittelbar beim Besitzer/bei der Besitzerin befindet. Es kann aber auch sein. im Kofferraum eingeschlossen sein. Es sollte überlegt werden. da die Gefahr des bewussten oder unbewussten Abhörens der Raumgespräche über Mobiltelefone besteht.1.7. Für die Nutzung zu Hause (Telearbeit) bieten einige neuere Geräte zusätzlich die Möglichkeit zum Anketten des Gerätes. wird auch die Kontrolle zunehmend schwieriger. Der Diebstahl setzt dann den Einsatz von Werkzeug voraus. [ eh INF 5. Ist das nicht möglich. sondern etwa beim Portier abgegeben weden müssen. sollte zusätzlich das Gerät ausgeschaltet werden. Wenn die Sicherheitsrichtlinie der Institution es nicht zulässt.

CD-ROM. Verlust gespeicherter Daten. Unzureichender Umgang mit Passwörtern. Fahrlässige Zerstörung von Gerät oder Daten. WLAN). Typischerweise wird ein Laptop zeitweise allein. Er verfügt über eine Festplatte und meist auch über weitere Speichergeräte wie ein Disketten-. Ausfall der internen Stromversorgung. Kälte. ohne Anschluss an ein Rechnernetz betrieben. Unkontrollierter Einsatz von Datenträgern.der aufgrund seiner Bauart transportfreundlich ist und mobil genutzt werden kann. Diebstahl.Darunter versteht man einen PC.oder Fremdpersonal.oder DVDLaufwerke sowie über Schnittstellen zur Kommunikation über verschiedene Medien (beispielsweise Modem. Typische Gefährdungen für Laptops: • • • • • • • • • • • • • • • • Beeinträchtigungen durch wechselnde Einsatzumgebungen. Umwelteinflüsse (Nässe. USB. Verlust. Ein Laptop hat eine kompaktere Bauform als Arbeitsplatzrechner und kann über Akkus zeitweise unabhängig von externer Stromversorgung betrieben werden. Häufig wird er auch während der mobilen Nutzung über Modem oder Mobilfunk direkt mit externen Netzen. Unerlaubte Installation von Software. 433 . Hitze). verbunden. Unerlaubte Ausübung von Rechten. Software-Schwachstellen oder -Fehler. und von Zeit zu Zeit wird er zum Abgleich der Daten sowie zur Datensicherung mit dem Behörden. Manipulation oder Zerstörung von Geräten oder Zubehör. Ungeordneter oder unerlaubter Benutzerwechsel. Informationsverlust bei erschöpftem Speichermedium. insbesondere mit dem Internet. LAN. so dass er indirekt als Brücke zwischen dem LAN und dem Internet wirken kann. Gefährdung durch Reinigungs.oder Unternehmensnetz verbunden. Laptops können mit allen üblichen Betriebssystemen wie Windows oder Linux betrieben werden. Nichtbeachtung von Sicherheitsmaßnahmen. Firewire.

Fehler bei der Synchronisation. Die hier zu treffenden Maßnahmen sind in hohem Grade abhängig von dem eingesetzten Betriebssystem zu realisieren. Schadprogramme. Trojanische Pferde. Vertraulichkeitsverlust schützenswerter Informationen. Ebenso ist zu regeln.bzw. Darauf aufbauend ist die Laptop-Nutzung zu regeln und Sicherheitsrichtlinien dafür zu erarbeiten. • • • Richtlinien für die Nutzung von Laptops: Um Laptops sicher und effektiv in Behörden oder Unternehmen einsetzen zu können. Behördennetz gestattet wird. ob und in welcher Form bei mobiler Nutzung eine direkte Verbindung des Laptops mit dem Internet zulässig ist. Viren. sind im Folgenden aufgeführt. Unberechtigte Datenweitergabe. um Risiken durch Fehlbedienung oder absichtlichen Missbrauch der Laptops auszuschließen. Sorglosigkeit im Umgang mit Informationen.und Filmaufnahmen mit mobilen Endgeräten Maßnahmenempfehlungen für Laptops: Im Rahmen des Einsatzes von Laptops sind eine Reihe von Maßnahmen umzusetzen. Manipulation an Informationen oder Software. das auf den Sicherheitsanforderungen für die bereits vorhandenen IT-Systeme sowie den Anforderungen aus den geplanten Einsatzszenarien beruht.• • • • • • • • Fehlerhafte Nutzung. Dies umfasst beispielsweise. Dabei ist der Einsatz von Verschlüsselungsprodukten für tragbare IT-Systeme von besonderer Bedeutung.und Software-Komponenten sowie deren sichere Installation ist notwendig. Unberechtigte Privatnutzung. Unberechtigte Foto.und Bedienungsfehler. wer das System wann und wofür nutzen darf und ob und in welcher Weise ein Anschluss an das Unternehmens. da bei Laptops ein relativ hohes Diebstahlsrisiko besteht und die normalen 434 . sollte ein Konzept erstellt werden. Beschaffung von Laptops: Für die Beschaffung von Laptops müssen die aus dem Konzept resultierenden Anforderungen an die jeweiligen Produkte formuliert und basierend darauf die Auswahl der geeigneten Produkte getroffen werden Sichere Installation von Laptops: Eine sorgfältige Auswahl der Betriebssystem. Konfigurations. sowie die Maßnahmen. Die Schritte. die dabei zu durchlaufen sind. die in den jeweiligen Schritten beachtet werden sollten. beginnend mit der Konzeption über die Beschaffung bis zum Betrieb.

Die hier zu treffenden Maßnahmen sind ebenfalls abhängig vom eingesetzten Betriebssystem und sind daher im Rahmen der Umsetzung der entsprechenden Bausteine zu realisieren. Erst wenn dies sichergestellt ist.• • Funktionen der Zugangs. Laptops werden häufig über längere Zeit losgelöst vom Firmen. Bei einem Wechsel zwischen netzgebundenem und mobilem Betrieb müssen die Datenbestände zwischen dem Server und dem Laptop synchronisiert werden. Auch hier sind zusätzliche Maßnahmen erforderlich. wenn der Laptop unter der Kontrolle des Diebes steht. der direkt am Internet betrieben wurde. Zugleich sind allfällige Einfuhrbeschränkungen für Verschlüsselungsprodukte oder verschlüsselte Daten bei Auslandsreisen zu beachten. dass jederzeit erkennbar ist.oder Behördennetz Infektionsquellen ersten Grades darstellen. wenn eine Trennung der Rechte mehrerer Benutzer erforderlich ist. Notwendig ist auch die Änderung voreingestellter Passwörter . Um Angriffsversuche und missbräuchliche Nutzung erkennen zu können. Somit sind unter Umständen einerseits ihre Virendefinitionsdateien veraltet und sie sind andererseits einem hohen Infektionsrisiko ausgesetzt. wieder an das Unternehmens. so ist zunächst durch eine gründliche Überprüfung mit aktuellen Virensignaturen sicherzustellen.bzw.oder Behördennetz oder auch mit temporären Verbindungen zum Internet betrieben. ist es unabdingbar. dass der Anschluss an das Unternehmens.und Zugriffskontrolle ihre Wirksamkeit verlieren. Behördennetz über ein Virtual Private Network (VPN) erfolgt. um alle zu erwartenden Angriffe abzuwehren. Es muss dabei gewährleistet werden. Schutz vor Schadprogrammen und Aktualisierung der eingesetzten Viren-Schutzprogramme und Signaturen sind daher für Laptops ganz besonders wichtig. da Viren auch über verschlüsselte Kommunikationsverbindungen weiter verbreitet werden können. Um einen Überblick über die aktuell in das lokale Netz eingebundenen Laptops zu behalten und die Konfiguration aller Laptops 435 . Diese Geräte können sonst bei Anschluss an ein Firmen. die Software des Laptops auf aktuellem Stand zu halten und notwendige Sicherheitspatches zeitnah einzuspielen. Sicherer Betrieb von Laptops: Eine der wichtigsten IT-Sicherheitsmaßnahmen beim Betrieb heutiger Laptops ist die Installation und permanente Aktualisierung eines Virenschutzprogramms. sie durch eine restriktiv konfigurierte Personal Firewall gegen Angriffe aus dem Netz zu schützen. Dies gilt auch für den Fall. ob sich die aktuellste Version der bearbeiteten Daten auf dem Laptop oder im Netz befindet. Sichere Konfiguration der installierten Komponenten: Je nach Sicherheitsanforderungen müssen die beteiligten SoftwareKomponenten unterschiedlich konfiguriert werden. Der Virenschutz reicht alleine nicht aus. weil nur zu häufig jede Zugangskontrolle dadurch illusorisch ist. Behördennetz angeschlossen werden. sind bei Laptops vor allem organisatorische Maßnahmen (Hard. darf der Anschluss an das lokale Netz erfolgen. Soll ein Laptop.bzw. Sofern Laptops bei mobiler Nutzung direkt an das Internet angeschlossen werden. dass die verwendeten Passwörter allgemein bekannt sind. dass dieser Laptop nicht infiziert ist.und SoftwareManagement) notwendig. Ebenso ist es unbedingt erforderlich.

Adapter für andere Stromspannungen bzw. Diese sollen neben dem Erfassen und Verwalten von Terminen.203 ] 11. für Reisen bzw.3 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen. bearbeitung und -kommunikation beschrieben. dass keine schützenswerten Informationen mehr auf der Festplatte vorhanden sind.1. Diebstahl-Sicherungen vorzusehen.7. längerem Einsatz unterwegs das Ladegerät sowie ggf. um Adressen und Termine zu verwalten.1 Damit sind hier alle handtellergroßen. Aussonderung: Bei Übergabe von Laptops an andere Benutzer/Innen. 436 . bei denen die Dateneingabe über das Display erfolgt (mittels Stift). [ Q: BSI B 3. die typischerweise für StandardOffice Anwendungen von unterwegs verwendet werden. ist eine zentrale Verwaltung dieser Geräte wichtig. Je nach der in einem Gebäude oder Büroraum gegebenen physischen Sicherheit kann es auch sinnvoll oder sogar notwendig sein. Gegebenenfalls ist dazu auch eineSoftware-Reinstallation durchzuführen.7.6. bei denen die Dateneingabe über eine eingebaute Tastatur und/oder einen Touchscreen erfolgt. dazu gehören unter anderem: • • • Organizer. PDAs ohne eigene Tastatur.• • jederzeit nachvollziehen zu können. um den Laptop vor Diebstahl zu schützen. Bei mobiler Nutzung ist in jedem Fall für geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz zu sorgen. Der primäre Einsatzzweck ist das Erfassen und Verwalten von Terminen. sei es im Rahmen des normalen Betriebs oder auch bei ihrer Aussonderung. PDAs. Adressen und kleinen Notizen.2 PDA (Personal Digital Assistant) ISO Bezug: 27002 11. Adressen und kleinen Notizen auch die Bearbeitung von E-Mail ermöglichen. Weitere spezifische Maßnahmen für Einzelsysteme betreffen vor allem den Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern sowie die 11. Steckdosen im Ausland mitzuführen. ist darauf zu achten. Datensicherung von Laptops: Die Vorgehensweise und der erforderliche Umfang der Datensicherung richten sich nach dem Einsatzszenario des Laptops Nicht zuletzt sollte darauf geachtet werden. mobilen Endgeräte zur Datenerfassung.

Hitze). Tabellenkalkulations-. Verlust. Unerlaubte Installation von Software.• • PDAs mit integriertem Mobiltelefon.404 Mobiltelefon umzusetzen. werden in einigen Fällen private PDA's für dienstliche Zwecke genutzt.so darf die Behörde bzw. 11. E-Mail. PDAs werden aber auch zunehmend für sicherheitskritische Applikationen eingesetzt. Eine typische Anforderung an PDAs ist die Nutzung von Standard-OfficeAnwendungen auch unterwegs.B. Kalenderprogrammen angeboten. die damit eine eingebaute Schnittstelle zur Datenübertragung besitzen. die aber unter anderem für die Vorführung von Präsentationen geeignet sind.und MobiltelefonFunktionalitäten werden in zunehmendem Maß (in Gestalt der Smart Phones) kombiniert. bzw. Speicherung von Patientendaten oder die Führung von Kundenkarteien. was zusätzlich Datenschutzproblematiken aufwirft .und E-Mail Kontakte.bzw. Für sie gelten die Ausführungen des Kap. In der Praxis besteht eine besondere Problematik in der Vermischung von Daten der Organisation mit privaten Daten. Unkontrollierter Einsatz von Datenträgern (z. Diebstahl.1. 437 . Typische Gefährdungen für PDAs: • • • • • • • • • Beeinträchtigungen durch wechselnde Einsatzumgebungen. Es lässt sich mitunter gar nicht mehr zwischen privaten und dienstlichen Datenelementen unterscheiden.7. Beim Einsatz von Smartphones ist zusätzlich Baustein B 3. Die Übergänge zwischen den verschiedenen Gerätetypen sind fließend und außerdem dem ständigen Wandel der Technik unterworfen. Kälte. Unerlaubte Ausübung von Rechten. die wesentlich kleiner als normale Notebooks sind und daher beispielsweise weniger Peripheriegeräte und Anschlussmöglichkeiten bieten. Notebook. Zum Teil werden hierfür angepasste Varianten von Textverarbeitungs-. Manipulation oder Zerstörung von Geräten oder Zubehör. Anschaulichstes Beispiel hierfür sind der Kalender und das Adressbuch für Telefon. Umwelteinflüsse (Nässe. Sub-Notebooks. Fahrlässige Zerstörung von Gerät oder Daten. Ungeordneter oder unerlaubter Benutzerwechsel. Generierung von Einmalpasswörtern). B.1 Laptop. wie beispielsweise die Nutzung als Authentisierungstoken für Zugriffe auf Unternehmensnetze (z. das Unternehmen keine privaten Daten löschen (auch nicht virenverseuchte E-Mails). PDA. Speicherkarten). sogenannte Smartphones.

die in den jeweiligen Schritten beachtet werden sollten. Beschaffung: Für die Beschaffung von PDAs müssen die aus dem Konzept resultierenden Anforderungen an die jeweiligen Produkte formuliert und basierend darauf die Auswahl der geeigneten Produkte getroffen werden (siehe M 2.• • • • • • • • • • • • • • • • Ausfall des Geräts oder der internen Stromversorgung. Unzureichende Identifikationsprüfung von Kommunikationspartnern. Konfigurations. Unzureichender Umgang mit Passwörtern. Manipulation an Informationen oder Software. sollte ein Konzept erstellt werden. Software-Schwachstellen oder -Fehler. 438 . Informationsverlust bei erschöpftem Speichermedium.und Filmaufnahmen mit mobilen Endgeräten. Fehlerhafte Nutzung. Sorglosigkeit im Umgang mit Informationen.und Bedienungsfehler. Vertraulichkeitsverlust schützenswerter Informationen. Unberechtigte Datenweitergabe. Viren. Die Schritte. sind im Folgenden aufgeführt. Nichtbeachtung von Sicherheitsmaßnahmen. beginnend mit der Konzeption über die Beschaffung bis zum Betrieb. Unberechtigte Foto. die dabei zu durchlaufen sind.305 Geeignete Auswahl von PDAs ). das auf den Sicherheitsanforderungen für die bereits vorhandenen IT-Systeme sowie den Anforderungen aus den geplanten Einsatzszenarien beruht. Verlust gespeicherter Daten. Unberechtigte Privatnutzung. sowie die Maßnahmen. Fehler bei der Synchronisation. Schadprogramme. Darauf aufbauend ist die PDA-Nutzung zu regeln und Sicherheitsrichtlinien dafür zu erarbeiten. Abhören von Raumgesprächen über PDAs mit eingebautem Mobilfunk Maßnahmenempfehlungen für PDAs: Im Rahmen des PDA-Einsatzes sind eine Reihe von Maßnahmen umzusetzen. • • Konzept: Um PDAs sicher und effektiv in Behörden oder Unternehmen einsetzen zu können. Trojanische Pferde.

können in speziellen Verzeichnissen auf dem Benutzer-PC abgelegt werden. sicherheitsrelevante Konfigurationsänderungen durchzuführen. Software zum zentralen PDAManagement) unterschiedlich konfiguriert werden. Der Synchronisationsvorgang sollte nicht unbeobachtet ablaufen. Soweit technisch möglich. 439 . Dies betrifft vor allem die PDAs selber. dass je nach Art dieser Programme mit ihrem Ausführen eventuell ein Sicherheitsrisiko verbunden sein kann. so dass sie bei der nächsten Synchronisation automatisch auf den PDA transferiert werden. die Synchronisationsumgebung und gegebenenfalls spezielle Software zum zentralen PDA-Management. Der Zugriff auf diese Verzeichnisse sollte soweit wie möglich beschränkt werden. Betrieb: PDAs sind nicht dafür konzipiert. dass die voreingestellte Konfiguration geändert wird. TSL beherrschen. von den WWWSeiten eines bekannten bzw. Außerdem ist Augenmerk und Sensibilisierung auf allfällige Privat-PCs zu richten. also z. Dies kann nur durch entsprechende Regelungen und Sensibilisierung der Benutzer erreicht werden. (etwa nur für Administratoren zugreifbare Bereiche) Benutzer können also nicht daran gehindert werden.• • Konfiguration: Je nach Sicherheitsanforderungen müssen die beteiligten SoftwareKomponenten (PDA. Es sollten die Einstellungen regelmäßig kontrolliert und durch Administrationstools bei der Synchronisierung wieder auf die vorgegebenen Werte zurückgesetzt werden. Steckdosen im Ausland mitzuführen. Adapter für andere Stromspannungen bzw. für Reisen bzw. Einige der für PDAs verfügbaren Browser unterstützen auch aktive Inhalte. Dieser sollte SSL bzw. Synchronisationssoftware. dass die Benutzer möglichst wenig Einflussmöglichkeiten haben. Daten oder Programme. also Java. dass verschiedene Benutzer damit arbeiten sollen. Die Synchronisationssoftware sollte so konfiguriert werden. dass vor der Installation von Programmen eine Rückfrage beim Benutzer erfolgt. damit verschlüsselte Verbindungen hergestellt werden können. können entscheidende Hinweise enthalten. wenn diese aus einer vertrauenswürdigen Quelle kommen. die auf einem PDA installiert werden sollen. mit denen eventuell auch noch synchronisiert wird. vertrauenswürdigen Anbieters. B. Nicht zuletzt sollte darauf geachtet werden. ActiveX und/oder Javascript. Auch PDAs müssen mit aktuellen Virenschutz-Programmen ausgestattet sein. auch die Informationen. längerem Einsatz unterwegs das Ladegerät sowie ggf. welche Dateien jeweils transferiert werden. sollte neben einem E-Mail-Client ein Web-Browser installiert sein. Es ist explizit zu verbieten. sollten Sicherheitsmechanismen so gewählt und konfiguriert werden. Daher gibt es auch im allgemeinen keine ausgefeilten Mechanismen zur Rollentrennung.oder behördeninterne Server. Wie bei anderen IT-Systemen ist aber auch hier zu beachten. Wenn über PDAs Internet-Dienste genutzt werden sollen. Daher sollten aktive Inhalte im WWW-Browser im Regelfall abgeschaltet sein und nur aktiviert werden. beispielsweise für den Zugriff auf unternehmens.

Gebühreninformationen und ein persönliches Telefonbuch gespeichert werden. der SIM-Karte (SIM .Subscriber Identity Module).7. Es muss beachtet werden. Der Benutzer/ Die Benutzerin wird durch seine/ihre auf der SIM-Karte gespeicherten Kundennummer (IMSI International Mobile Subscriber Identity) identifiziert.7.[ Q: BSI B 3.1. die SIM-Karte hat und auch nutzt. Laptops zur Verfügung . 440 . das Mobilfunknetz zu nutzen (Identifikationsregister). vom "SIM-Toolkit" zum Herunterladen neuer Funktionen bis zum Speichern aller möglicher Daten: • • • • wo sich der Teilnehmer befindet und ob er sein Mobiltelefon eingeschaltet hat.International Mobile Equipment Identity). schwarze Listen). Sie ist zu unterscheiden von den Telefonnummern. ob das verwendete Gerät im Netz zugelassen ist. Damit kann zwischen Benutzer/In und Gerät unterschieden werden. Sie wird dem Teilnehmer beim Vertragsabschluss vom Netzbetreiber zugeteilt. Darüber hinaus können dort Kurznachrichten.1 Mobiltelefone sind inzwischen nicht mehr wegzudenkende Bestandteile der Kommunikationsinfrastruktur geworden und stellen in ihrer modernsten Ausprägung als Smart Phone bereits die Funktionalität von PDAs bzw.3 Mobiltelefon.229 ] 11. dass der Netzbereiber eine Reihe von Zugriffsmöglichkeiten auf das Telefon bzw. a. Auf der SIM-Karte wird u.und schaffen damit zusätzlich auch deren Sicherheitsrisiken. M 4. welche Geräte als defekt oder als gestohlen gemeldet sind (graue bzw. Hier wird auf die typischen Eigenschaften der Mobilfunk-Komponente eingegangen. ob der Teilnehmer überhaupt berechtigt ist. Das Mobilfunkgerät ist gekennzeichnet durch seine international eindeutige Seriennummer (IMEI . die Rufnummer gespeichert und die kryptographischen Algorithmen für die Authentisierung und Nutzdatenverschlüsselung implementiert.405. Damit ist es möglich. dass ein Teilnehmer mit seiner SIM-Karte verschiedene Mobilfunkgeräte nutzen kann. Ein Mobiltelefon besteht aus dem Mobilfunkgerät selbst und dem Identifikationsmodul. Smart Phone ISO Bezug: 27002 11.

Diebstahl Fahrlässige Zerstörung von Gerät oder Daten Manipulation oder Zerstörung von Geräten oder Zubehör Unerlaubte Ausübung von Rechten Unkontrollierter Einsatz von Datenträgern (z. Sie enthalten Angaben über Kommunikationspartner (z.und Bedienungsfehler. Typische Gefährdungen für Mobiltelefone: • • • • • • • • • • • • • • • • • • Umwelteinflüsse (Nässe.B.B. Fehler bei der Synchronisation Manipulation an Informationen oder Software (z. Konfigurations. unerlaubtes Akzeptieren fremder SIM-Karten) Sorglosigkeit im Umgang mit Informationen 441 . Rufnummern des Angerufenen). Hitze) Verlust. auf dem Weg werden üblicherweise auch Festnetz-Strecken genutzt. Speicherkarten) Unerlaubte Installation von Software (z. Die kryptographischen Algorithmen der SIM-Karte dienen zur Identifikation des Teilnehmers gegenüber dem Netzbetreiber und zur Verschlüsselung der Gesprächs. Übertragungsinhalte. Mobiltelefone können also durchaus sensitiv sein.B. Kälte. Apps) Ungeordneter oder unerlaubter Benutzerwechsel Ausfall des Geräts oder der Stromversorgung Nicht-Verfügbarkeit des Mobilfunknetzes Verlust gespeicherter Daten Informationsverlust bei erschöpftem Speichermedium Software-Schwachstellen oder -Fehler Nichtbeachtung von Sicherheitsmaßnahmen Unzureichender Umgang mit Passwörtern Fehlerhafte Nutzung. wo keine Verschlüsselung wirksam ist. aber auch auf Grund einer Anforderung der Strafverfolgung und Terrorismusbekämpfung. Zeitpunkt und Dauer der Verbindung und die Standorte.bzw.B. Es handelt sich aber nicht um End-toEnd Verschlüsselung bis zum Kommunikationspartner.• Verbindungsdaten für die Abrechnung der Dienste.

welche die Nachrichten an den jeweiligen Empfänger weiterleitet. über die mit minimalen Kosten Kurzmitteilungen versandt werden können. auf diese Weise eine große Anzahl von SMS-Nachrichten an ein Mobiltelefon zu senden. diese Telefone in einer Sammelaufbewahrung zu halten. der Speicherplatz reicht nicht aus und ernsthafte Anfragen kommen nicht durch. Trojanische Pferde. die vom Unternehmen oder der Behörde zur Verfügung gestellt werden. Die Auswirkungen von SMS-Spam sind wie bei E-Mail. Darüber hinaus 442 .• • • • • • • • • Phishing Attacken auf Passwörter oder PINs via SMS Schadprogramme. zur zuverlässigen Funktionsweise zu gewährleisten und Schutz geben Missbrauch zu beachten: • Kurzmitteilungen (SMS): Damit lassen sich Texte mit maximal 160 Zeichen von einem Mobiltelefon zum anderen oder auch an E-Mail-Adressen senden. Im Internet gibt es diverse WWW-Angebote. Mobiltelefone sicher einzusetzen. die die umzusetzenden Maßnahmen beschreibt. kann es sinnvoll sein. Betrieb: Zum sicheren Betrieb von Mobiltelefonen gehören unter anderem die Sicherstellung der Energieversorgung und bei Bedarf auch der Schutz vor Rufnummernermittlung gehören. Es ist ohne großen Aufwand möglich. Die Übertragung von Kurzmitteilungen erfolgt immer über die Kurzmitteilungs-Zentrale. beginnend mit der Planung über die Nutzung bis zur Notfallvorsorge: • • • Planung und Konzeption: Damit die Möglichkeiten. Die Mailbox bzw. Falls das Gerät zur Datenübertragung eingesetzt wird. in der Praxis auch tatsächlich genutzt werden. sollte eine Sicherheitsrichtlinie erstellt werden. Viren Vertraulichkeitsverlust schützenswerter Informationen Unzureichende Identifikationsprüfung von Kommunikationspartnern Unberechtigte Privatnutzung Unberechtigte Datenweitergabe Unberechtigte Foto.und Filmaufnahmen mit mobilen Endgeräten Abhören von Raumgesprächen mit Mobiltelefonen Auswertung von Verbindungsdaten bei der Nutzung von Mobiltelefonen Maßnahmenempfehlungen für Mobiltelefone: Für Mobiltelefone sind eine Reihe von Maßnahmen umzusetzen. Beschaffung: Bei häufiger und wechselnder dienstlicher Nutzung von Mobiltelefonen.

Beim Versand von Kurzmitteilungen über das Internet erfolgt im Allgemeinen überhaupt keine eindeutige Identifizierung. Sicherheitsmaßnahmen wie Verschlüsselung oder Signatur sind hierbei nicht möglich (außer über zusätzliche Module oder spezielle Geräte). bzw. im Schadensfall eine Zeit lang auf SMS zu verzichten.B. Je nach Inhalt einer empfangenen Kurzmitteilung ist es sinnvoll nachzufragen. wenn auch mitunter auf 160 Zeichen begrenzt. 443 . Damit muss auch mit den von Faxgeräten bekannten Problemen (lesbarer Empfang. Sie erfolgt maximal über die Rufnummer des Absenders und diese wird je nach Netzbetreiber bzw. weil eine falsche Rufnummer angegeben oder ein falscher Eintrag aus dem Telefonbuch als Empfänger ausgewählt wurde. dazu kommt noch dass der Speicherplatz des Mobiltelefons durch empfangene Faxe überlastet werden kann E-Mail: können über Mobiltelefone empfangen und verschickt werden. Faxe: können über Mobiltelefone können auch Faxe über SMS ins Festnetz versendet werden. erhält das Mobiltelefon eine eigene E-Mail-Adresse. Eine Identifikation des Absenders ist bei SMS nicht zuverlässig möglich. Wenn dieser Service vom Netzbetreiber eingerichtet worden ist. Wie Kurzmitteilungen und Faxe können auch E-Mails schnell den vorhandenen Speicherplatz ausschöpfen .und je nach Vertrag mit dem Netzbetreiber kann bei der E-Mail-Nutzung außerdem nur eine begrenzte Anzahl von E-Mails pro Monat gesendet oder empfangen werden . Das wird für Phishing-SMS ausgenützt. dass SMS-Nachrichten beim falschen Empfänger landen. Hiergegen hilft nur. Bestätigungen. Bei einigen Netzbetreibern können E-Mail-Dienste mit anderen Diensten kombiniert werden. Es passiert immer wieder. im Vorfeld die eigene Rufnummer nicht zu breit zu streuen. also z. Konfiguration des Mobiltelefons nicht immer mitübertragen. Auch wenn die Displays der Mobiltelefone klein sind. So können eingehende E-Mails von einem Sprachcomputer vorgelesen werden. Die potentiellen Sicherheitsprobleme und Maßnahmen sind die gleichen wie bei auf PC üblicher Nutzung von E-Mail . auf den Eintrag in Telefonbücher zu verzichten. hohe) Kosten. wenn diese den Restriktionen der SMS-Übertragung genügen. sollten die Empfängerangaben vor dem Absenden überprüft werden. Es können auch Faxe empfangen werden. ob diese wirklich vom angegebenen Absender stammt.• • entstehen dem Benutzer (evtl. Ausgehende E-Mails können ins Mobiltelefon gesprochen und als Audiodatei (WAV-Datei) versandt werden. an ein Faxgerät oder eine andere E-Mail-Adresse weitergeleitet werden.bei Überschreitung drohen erhebliche Kosten. richtige Zieladressen) gerechnet werden.

Displaysymbole oder Ähnliches) sollte bei dienstlich genutzten Mobiltelefonen unterbunden oder verboten werden. • Alle auf der SIM-Karte oder im Telefon gespeicherten Daten über SIMKartenleser bzw. Dies ist natürlich besonders ärgerlich. • Wenn ein Mobiltelefon kontinuierlich verfügbar sein soll. Infrarot (IrDA Infrared Data Association) oder Bluetooth erfolgen. und sich mobile Geräte oft automatisch untereinander verbinden. wenn es dringend benötigt wird oder dadurch wichtige Daten verloren gehen. ggf. auch mehrerer Mobiltelefone durchgeführt werden. Daher sollte eine Übersicht über entsprechende Fachbetriebe vorhanden sein. Reparatur: sollte nur von vertrauenswürdigen Fachbetrieben durchgeführt werden. als Modems für Internetzugang genutzt zu werden. • Der Ladezustand und die Funktionsfähigkeit des Mobiltelefon-Akkus sollten regelmäßig überprüft werden. Es ist zu beachten. • • Viele Händler bieten auch für die Dauer der Reparatur Ersatzgeräte an. Organizer): Diese kann über Einsteckkarte (PC-Card. entsprechende Software .uner Wahrung der Regelungen für die Datenübertragung . Klingeltöne. Das ist etwa dann unabdingbar. wenn Mobiltelefone im Rahmen von Alarmierungen eingesetzt werden (z. Softmodem. des Händlers darauf zu achten. Erfolgt dies gleichzeitig mit einer Kopplung an eine IT-Komponente der Organisation im Netzwerk. 444 . dass solche Dienstleistungen angeboten werden. Bei der Auswahl des Mobiltelefons bzw. • Herunterladen von Software oder Daten aus dem Internet (Apps. • Mobiltelefone bieten zunehmend die Möglichkeit. mindestens aber ein Ersatz-Akku mitgeführt werden. Alle Datenübertragungseinrichtungen sollten genehmigt sein und deren Nutzung klaren Regelungen unterliegen Nofallvorsorge: Ein Mobiltelefon kann aus verschiedenen Gründen ausfallen oder in seiner Funktionsfähigkeit gestört sein. die Einbruchmeldeanlage setzt Alarmmeldungen über Mobilfunk ab oder Notfallpersonal wird über Mobiltelefone benachrichtigt). ohne dass dies besonders auffällt (bei Windows-PCs wird meist ein kleines Icon in der Task-Leiste angezeigt).in einen PC eingelesen und dort verwaltet werden.B. dann entsteht eine unkontrollierbare Verbindung vom Netzwerk in die Außenwelt unter Umgehung des Firewall-Schutzes! Dafür ist entsprechende Sensibilisierung zu schaffen.• Kopplung zu anderen IT-Systemen (Notebook. dass bei Funkschnittstellen ein Abhörrisiko besteht. • • Die wichtigsten Einstellungen wie PINs und die Konfiguration von Sicherheitsmechanismen sollten schriftlich dokumentiert und entsprechend ihres Schutzbedarfs sicher aufbewahrt werden. PCMCIA). USB. sollte ein ErsatzMobiltelefon. Damit kann Datensicherung sowie Synchronisation.

über Schnittstellen externe Speichermedien anzuschließen.7. Viren. Vorher sollten sie selbstverständlich gesichert werden. Dienstliche Daten könnten unberechtigt auf Wechselmedien kopiert werden. Außerdem sollte die SIM-Karte entfernt werden. [ Q: BSI B 3. Verlust. Durch solche Laufwerke für Wechselmedien und externe Datenspeicher ergeben sich potentielle Sicherheitsprobleme: • • • Der PC könnte von solchen Laufwerken unkontrolliert gebootet werden. Trojanische Pferde) von solchen Laufwerken eingespielt werden. CD-/DVD-Writer. also z.7. Steckdosen im Ausland mitzuführen. manchmal noch mit Diskettenlaufwerken.B. sondern der PC kann auch mit Computer-Viren und anderen Schadprogrammen infiziert werden. soweit das noch möglich ist. Diebstahl: die SIM-Karte dieses Telefons sollte unverzüglich gesperrt werden.1 Handelsübliche PCs sind heute in der Regel mit CD-/DVD-ROM-Laufwerk bzw. ausgestattet. und Firewire-Festplatten. • Nicht zuletzt sollte darauf geachtet werden. die von neueren Betriebssystemen (z.1. DVDs) ISO Bezug: 27002 11. sollten alle personenbezogenen Daten. um Missbrauch und unnötige Kosten zu verhindern. der Anrufspeicher. -Festplatten.• Bevor das Mobiltelefon zur Reparatur gegeben wird. 445 . Zusätzlich besteht die Möglichkeit. für MicrosoftBetriebssysteme ab Windows 2000) automatisch erkannt werden. Beim Booten von Wechselmedien oder beim Installieren von Fremdsoftware können nicht nur Sicherheitseinstellungen außer Kraft gesetzt werden. die in die USB-Schnittstelle gesteckt werden.B.81 ] 11.4 Wechselmedien und externe Datenspeicher (USBSticks. für Reisen bzw. CDs. gespeicherte E-Mails und das Telefonbuch im Gerät gelöscht werden. Beispiele sind USB-Memory-Sticks bzw. -Platten. Es könnte unkontrolliert Software (auch Schadsoftware. Adapter für andere Stromspannungen bzw. M 5.404. längeren Einsatz unterwegs das Ladegerät sowie ggf.

Hierfür bieten sich verschiedene Vorgehensweisen an. ein "USBSchloss" zu verwenden oder die Schnittstelle durch andere mechanische 446 . von welchen Laufwerken gebootet werden kann.Diesen Gefahren muss durch geeignete organisatorische oder technische Sicherheitsmaßnahmen entgegengewirkt werden. Deaktivierung im BIOS bzw.84 Nutzung der BIOSSicherheitsmechanismen) kann dadurch das unkontrollierte Booten von Wechselmedien und mobilen Datenträgern unterbunden werden. dass die Schlösser herstellerseitig mit hinreichend vielen unterschiedlichen Schlüsseln angeboten werden. Bei der Beschaffung sollte sichergestellt werden. der Verzicht bei der Beschaffung) bietet zwar den sichersten Schutz vor den oben genannten Gefährdungen. Betriebssystem: Im BIOS bieten die meisten PCs Einstellmöglichkeiten dafür. In Verbindung mit einem PasswortSchutz der BIOS-Einstellungen (siehe auch M 4. Weiterhin können die vorhandenen Laufwerke und Schnittstellen bei modernen Betriebssystemen einzeln deaktiviert werden. dass keine Hardware-Änderungen erforderlich sind. Kontrolle der Schnittstellennutzung: Der Betrieb von externen Speichermedien wie USB-Memory-Sticks lässt sich nur sehr schwer verhindern. die zum Anschluss einer Maus nur die USB-Schnittstelle zur Verfügung stellen. deren spezifische Vor. Die entsprechenden Einstellungen im Betriebssystem können gegebenenfalls sogar zentral vorgenommen werden. Außerdem sollte darauf geachtet werden. mit denen die unkontrollierte Nutzung verhindert werden kann.B. Weiterhin ist zu berücksichtigen. dass der Ausbau unter Umständen die Administration und Wartung des IT-Systems behindert. Dadurch ist es in der Regel nicht sinnvoll. So werden beispielsweise Notebooks ausgeliefert. Nachteilig sind die Beschaffungskosten für die Laufwerksschlösser und der Aufwand für die erforderliche Schlüsselverwaltung. Dies erschwert die unberechtigte Nutzung. dass die Laufwerksschlösser für die vorhandenen Laufwerke geeignet sind und diese nicht beschädigen können. Verschluss von Laufwerken: Für einige Laufwerksarten gibt es abschließbare Einschubvorrichtungen. Betriebssystem hat den Vorteil. die Installation von Fremdsoftware oder das Kopieren auf Wechselmedien. Daher ist diese Lösung nur bei höherem Schutzbedarf oder besonderen Sicherheitsanforderungen sinnvoll. dass die Benutzer nicht über die Berechtigungen im Betriebssystem verfügen. wenn besondere Sicherheitsanforderungen bestehen. z. ist aber meist mit erheblichem Aufwand verbunden. Diese Lösung sollte in Betracht gezogen werden.und Nachteile im Folgenden kurz dargestellt werden: • • • • Ausbau von Laufwerken: Der Ausbau der Laufwerke für Wechselmedien (bzw. wenn die verwendete Schnittstelle auch für andere (erlaubte) Zusatzgeräte genutzt wird. um die Deaktivierung der Laufwerke rückgängig zu machen. muss sichergestellt sein. Die Deaktivierung der Laufwerke im BIOS bzw. Damit diese Vorgehensweise wirksam ist.

Kernelmodule geladen oder Einträge in Konfigurationsdateien (wie der Windows-Registry) erzeugt. über Vernetzung Daten auszutauschen. dass auschließlich Zugriffe auf dafür zugelassene mobile Datenträger möglich sind. wenn die Benutzer hin und wieder oder regelmäßig auf die Laufwerke zugreifen müssen. Auf technischer Ebene sollte dann lediglich das Booten von Wechselmedien im BIOS deaktiviert werden. Einzelheiten sind produkt. Computer-Viren oder Trojanische Pferde. Anderenfalls sollte der Zugriff wie oben beschrieben . 447 . Bei einigen Zusatzprogrammen zur Absicherung der USB. Beim Anschluss von Datenträgern an externen Schnittstellen werden oft vom Betriebssystem Treiber bzw. die Nutzung ist jedoch durch entsprechende Richtlinien reglementiert.und betriebssystemspezifisch. In diesem Fall sollten die Richtlinien für die Nutzung der Laufwerke und Speichermedien so explizit wie möglich definiert werden. Bei der Auswahl einer geeigneten Vorgehensweise müssen immer alle Laufwerke für Wechselmedien berücksichtigt werden. Die Installation und das Starten von Programmen. Verschlüsselung: Es gibt Produkte. Beispielsweise kann ein generelles Verbot ausgesprochen werden. Eine Lösung ist beispielsweise.• • Maßnahmen zu deaktivieren. die von Wechselmedien eingespielt wurden. die detektiert werden können. Besonderes Augenmerk ist auf den Schutz vor Schadprogrammen.durch technische Maßnahmen unterbunden werden.B. sondern schützt auch die Daten auf den mobilen Datenträgern bei Verlust oder Diebstahl. Dies schützt nicht nur vor unbefugtem Zugriff über manipulierte mobile Datenträger. Ausbau.3. dass nur noch mobile Datenträger gelesen und beschrieben werden können. aber ebenso auch alle Möglichkeiten.oder Firewire-Schnittstellen kann zusätzlich festgelegt werden. die dafür sorgen. Die Richtlinien müssen allen Benutzern bekannt gemacht und die Einhaltung kontrolliert werden. ob von externen Datenträgern nur gelesen werden kann. Richtlinien für die Nutzung: In vielen Fällen dürfen die Benutzer die eingebauten Laufwerke für Wechselmedien oder Speichermedien an externen Schnittstellen durchaus verwenden. die mit bestimmten kryptographischen Schlüsseln verschlüsselt worden sind. Verschluss oder Deaktivierung der Laufwerke im Betriebssystem kommen nicht in Frage. Diese rein organisatorische Lösung sollte nur dann gewählt werden. alle Laufwerke für Wechselmedien zu deaktivieren oder auszubauen. Wenn der PC über eine Verbindung zum Internet verfügt. zu richten. nur das Kopieren öffentlicher Text-Dokumente wird erlaubt. ist es nicht allein ausreichend. sollte untersagt und soweit wie möglich auch technisch unterbunden werden (siehe auch 12.1 Nutzungsverbot nicht freigegebener Software). Alternativ kann das Hinzufügen von Geräten überwacht werden. also insbesondere auch E-Mail und InternetAnbindungen. Die Nutzung von Schnittstellen sollte daher durch entsprechende Rechtevergabe auf Ebene des Betriebssystems oder mit Hilfe von Zusatzprogrammen geregelt werden. z.

. 11.2 Der häusliche Arbeitsplatz sollte von der übrigen Wohnung zumindest durch eine Tür abgetrennt sein und ausschließlich der beruflichen Tätigkeit dienen. sollten wichtige Fragen entweder durch Kollektivverträge.B.5. [ Q: BSI M 4. müssen die Benutzer über die Gefährdung durch Laufwerke für Wechselmedien informiert und sensibilisiert werden.4 ] 11. Aus dem Aspekt der Sicherheit entstehen insbesondere folgende zusätzliche Anforderungen: • • • Sichtschutz des Monitors.7. Insbesondere sollten folgende Punkte geregelt werden: • 448 Freiwilligkeit der Teilnahme an der Telearbeit. 13.2. Sicherheit und Gesundheitsschutz ausgewählt werden.1. um z.7.Damit die Sicherheitsmaßnahmen akzeptiert und beachtet werden. dass die IT für private Zwecke benutzt wird. falls er durch ein Fenster beobachtet werden könnte Überspannungsschutz Bereitstellung versperrbarer Behältnisse zur Aufbewahrung von Datenträgern und Dokumenten Dienstlich genutzte IT sollte vom Arbeitgeber bereitgestellt werden. per Dienstanweisung ausschließen zu können.3 Regelungen für Telearbeit ISO Bezug: 27002 9.1 ] 11. Die Einrichtung sollte unter Berücksichtigung von Ergonomie.5.7.7.2 Geeignete Einrichtung eines häuslichen Arbeitsplatzes ISO Bezug: 27002 9.2.2. Betriebsvereinbarungen oder zusätzlich zum Arbeitsvertrag getroffene individuelle Vereinbarungen zwischen Telearbeiter/innen und Arbeitgeber geklärt werden. [ eh SYS 9. 11.1 Da es bisher kein "Telearbeitsgesetz" mit eigenständigen gesetzlichen Regelungen gibt.

Personalrat und dem/der direkten Vorgesetzten der Telearbeiterin bzw. Einrichtung eines Bildschirmarbeitsplatzes) und der Arbeitsumgebung gelten wie in der Institution. dass jeweils eine Generation der Datensicherung bei der Institution zur Unterstützung der Verfügbarkeit hinterlegt wird.B. nicht freigegebene Software). Datensicherung: Der/die Telearbeiter/in ist zu verpflichten. des Telearbeiters begutachtet werden können.• • • • • Mehrarbeit und Zuschläge. die für die Telearbeit notwendigen ITSicherheitsmaßnahmen zu beachten und zu realisieren. So kann ein E-Mail-Anschluss zur Verfügung gestellt werden. Arbeitsmittel: Es kann festgeschrieben werden. für Strom und Heizung. Darüber hinaus sollte vereinbart werden. wie häufig E-Mails gelesen werden) und wie schnell darauf reagiert werden sollte.B. welche Arbeitsmittel Telearbeiter/innen einsetzen können und welche nicht genutzt werden dürfen (z. aber auch bei Arbeitsunfall oder Berufskrankheit). in welchen Abständen aktuelle Informationen eingeholt werden (z. Aufwendungen z.B. regelmäßig eine Datensicherung durchzuführen. Datenschutz: 449 . Dies sollte in Absprache mit dem/der Telearbeiter/in durch den/die in der Institution Verantwortlichen für den Arbeitsschutz. Im Sinne der IT-Sicherheit sollten zusätzlich folgende Punkte behandelt werden: • • • • • • Arbeitszeitregelung: Die Verteilung der Arbeitszeiten auf Tätigkeiten in der Institution und am häuslichen Arbeitsplatz muss geregelt sein und feste Zeiten der Erreichbarkeit am häuslichen Arbeitsplatz müssen festgelegt werden. Beendigung der Telearbeit. wenn der Telearbeitsrechner dies nicht erfordert.B. Die umzusetzenden IT-Sicherheitsmaßnahmen sind dem/der Telearbeiter/in in schriftlicher Form zu übergeben. dem/der Datenschutz-/IT-Sicherheitsbeauftragten sowie dem Betriebsbzw. Reaktionszeiten: Es sollte geregelt werden. Haftung (bei Diebstahl oder Beschädigung der IT. Am häuslichen Arbeitsplatz sollten dieselben Vorschriften und Richtlinien bezüglich der Gestaltung des Arbeitsplatzes (z. aber die Nutzung von anderen Internet-Diensten wird untersagt. IT-Sicherheitsmaßnahmen: Der/die Telearbeiter/in ist zu verpflichten. Aufwendungen für Fahrten zwischen Betrieb und häuslicher Wohnung. Weiters kann die Benutzung von Disketten (Gefahr von Viren) untersagt werden.

Paketdienst. diese Regelungen schriftlich festzulegen und jedem/jeder Telearbeiter/in auszuhändigen. Zutrittsrecht zum häuslichen Arbeitsplatz: Für die Durchführung von Kontrollen und für die Verfügbarkeit von Dokumenten und Daten im Vertretungsfall kann ein Zutrittsrecht zum häuslichen Arbeitsplatz (ggf. Transport von Dokumenten und Datenträgern: Die Art und Absicherung des Transports zwischen häuslichem Arbeitsplatz und Institution ist zu regeln.und Datenträgertransports zwischen häuslichem Arbeitsplatz und Institution ISO Bezug: 27002 9.5. Kurier. Datenkommunikation: Es muss festgelegt werden. in Versandtasche. per Einschreiben. Datenträger über welchen Transportweg (Postweg. mit vorheriger Anmeldung) vereinbart werden. Meldewege: Der/die Telearbeiter/in ist zu verpflichten. Es empfiehlt sich.7. 11. Entsprechende Merkblätter sind regelmäßig zu aktualisieren.) ausgetauscht werden dürfen. 10..4 Regelung des Dokumenten. mit Begleitschreiben oder mit Versiegelung) und welche Dokumente bzw. Darin sollten zumindest folgende Punkte betrachtet bzw.7. welche Schutzmaßnahmen beim Transport zu beachten sind (beispielsweise Transport in geschlossenem Behälter. Datenträger nur persönlich transportiert werden dürfen.. .8.2.• • • • Der/die Telearbeiter/in ist auf die Einhaltung einschlägiger Datenschutzvorschriften zu verpflichten sowie auf die notwendigen Maßnahmen bei der Bearbeitung von personenbezogenen Daten am häuslichen Arbeitsplatz hinzuweisen. welche Daten nicht oder nur verschlüsselt elektronisch übermittelt werden dürfen.2 Damit der Austausch von Dokumenten und Datenträgern zwischen häuslichem Arbeitsplatz und Institution sicher vollzogen werden kann. IT-sicherheitsrelevante Vorkommnisse unverzüglich an eine zu bestimmende Stelle in der Institution zu melden. [ eh SYS 9. ist eine Regelung über Art und Weise des Austausches aufzustellen. welche Daten auf welchem Weg übertragen bzw. geregelt werden: • • • 450 welche Dokumente bzw.2 ] 11. .

muss bei der Auswahl eines geeigneten Dokumentenaustauschverfahrens beachtet werden.7. [ eh SYS 9.6 Betreuungs. Die Schutzwirkung des abschließbaren Bereiches hat den Sicherheitsanforderungen der darin zu verwahrenden Unterlagen und Datenträger zu entsprechen.3 ] 11. Aus diesem Grund muss ein verschließbarer Bereich (Schrank.und Hardwareproblemen. deren Vertretung darauf Zugriff hat.und Wartungskonzept für Telearbeitsplätze ISO Bezug: 27002 11. 451 . Jeweils eine Generation der Backup-Datenträger sollte jedoch in der Institution aufbewahrt werden. dass nur der/die Telearbeiter/in selber bzw.7.Da Schriftstücke oftmals Unikate sind. [ eh SYS 9.7.2 Für die Telearbeitsplätze muss ein spezielles Betreuungs. Der Benutzerservice versucht (auch telefonisch) kurzfristig Hilfestellung zu leisten bzw.) verfügbar sein. Hingegen kann beim Datenträgeraustausch vorab eine Datensicherung erfolgen. 11. 10.ä.und Reparaturarbeiten ein. leitet Wartungs. Dieses sollte folgende Punkte vorsehen: • Benennen von problembezogenen Ansprechpartnern für den Benutzerservice: An diese Stelle wenden sich Telearbeiter/innen bei Software. Es ist sicherzustellen.7. Backup-Datenträger müssen im häuslichen Bereich verschlossen aufbewahrt werden. damit im Katastrophenfall der/die Vertreter/in auf die Backup-Datenträger zugreifen kann. Schreibtisch o. welchen Schaden der Verlust bedeuten würde. Die dienstlichen Unterlagen und Datenträger müssen außerhalb der Nutzungszeit darin verschlossen aufbewahrt werden.2.2 Dienstliche Unterlagen und Datenträger dürfen auch am häuslichen Arbeitsplatz nur dem/der autorisierten Mitarbeiter/in zugänglich sein.7.5 Geeignete Aufbewahrung dienstlicher Unterlagen und Datenträger ISO Bezug: 27002 9.und Wartungskonzept erstellt werden.4] 11.5.

3 Fernwartung) Transport der IT: Es sollte aus Gründen der Haftung festgelegt werden. sind die notwendigen Sicherheitsmaßnahmen sowie die erforderlichen Online-Zeiten zu vereinbaren. damit die Telearbeiter/innen zu diesen Zeiten den Zutritt zum häuslichen Arbeitsplatz gewährleisten können.7.3 Regelungen für Telearbeit).2 Für Telearbeit werden typischerweise verschiedene Möglichkeiten zur Kommunikation wie beispielsweise Telefon-. [ eh SYS 9.2. um den Missbrauch eines Fernwartungszugangs zu verhindern (vgl. Einführung von Standard-Telearbeitsrechnern: Wenn möglich sollten alle Telearbeiter/innen einer Institution einen definierten Standard-Telearbeitsrechner haben.und Internet-Anbindung. Fax. wer autorisiert ist. Dies verringert den konzeptionellen und administrativen Aufwand für den Aufbau eines sicheren Telearbeitsrechners und erleichtert Problemlösungen für den Benutzerservice. 11. Insbesondere ist ein Sicherungsverfahren festzulegen.7.7. Die Regelungen über die Nutzung der Kommunikationsmöglichkeiten bei Telearbeit sind schriftlich zu fixieren. Zu klären sind zumindest folgende Punkte: • 452 Datenflusskontrolle . auf welche Weise die vorhandenen Kommunikationsmöglichkeiten genutzt werden dürfen. 11.7 Geregelte Nutzung der Kommunikationsmöglichkeiten ISO Bezug: 27002 9. IT-Komponenten zwischen Institution und häuslichem Arbeitsplatz der Telearbeiterin bzw.5 ] 11.7. 12. Es muss auch geregelt werden. Diese Regelungen sind den Telearbeitern auszuhändigen.7. des Telearbeiters zu transportieren.5.und Datenträgertransport benötigt und daher vom Telearbeitsrechner unterstützt werden. Fernwartung: Falls der Telearbeitsrechner über Fernwartung administriert und gewartet werden kann. in der Sicherheitsrichtlinie zur Telearbeit (siehe 11.1. z.B. aber auch Postaustausch sowie Akten.• • • • Wartungstermine: Die Termine für vor Ort durchzuführende Wartungsarbeiten sollten frühzeitig bekannt gegeben werden. etwa ob private Nutzung erlaubt oder untersagt sein soll.

U. so besteht die Gefahr. • Der elektronische Versand welcher Informationen bedarf der vorherigen Zustimmung der Institution? Informationsgewinnung Welche elektronischen Dienstleistungen (Datenbankabfragen. Welche Optionen dürfen im Internet-Browser aktiviert werden? Welche Rahmenbedingungen und technischen Sicherheitsmaßnahmen müssen bei der Internet-Nutzung beachtet werden? Welche Sicherungsverfahren sollen im Internet-Browser aktiviert werden? 453 . IT-Sicherheitsmaßnahmen • • • • • Welche Dienste dürfen zur Datenübertragung genutzt werden? Welche Dienste dürfen explizit nicht genutzt werden? Welche Informationen dürfen an wen versendet werden? Welcher Schriftverkehr darf über E-Mail abgewickelt werden? • • • Für welche Daten sollen welche Verschlüsselungsverfahren eingesetzt werden? • Für welche Daten ist eine Löschung nach erfolgreicher Übertragung notwendig? Dies kann beispielsweise für personenbezogene Daten gelten. ob und in welchem Umfang eine handschriftliche Protokollierung vorzusehen ist. elektronische Recherchen) dürfen vom Telearbeitsrechner aus in Anspruch genommen werden? Beispielsweise können aus der Art der Abfragen u. Rückschlüsse auf Unternehmensstrategien gezogen werden. dass Viren importiert werden.• Falls der Telearbeitsrechner ein Fax-Modem besitzt oder wenn am Telearbeitsplatz ein Faxgerät vorhanden ist. so ist zu klären. • Von welchen Daten soll trotz der erfolgreichen Übertragung eine Kopie der Daten auf dem Telearbeitsrechner verbleiben? • Wird vor Versand oder nach Erhalt von Daten ein Viren-Check der Daten durchgeführt? • Für welche Datenübertragung soll eine Protokollierung erfolgen? Falls eine automatische Protokollierung nicht möglich sein sollte. ist festzulegen. Internet-Nutzung • • • • • Wird die Nutzung von Internet-Diensten generell verboten? Welche Art von Daten darf aus dem Internet geladen werden? Werden Daten von fremden Servern geladen. welche Informationen per Fax an wen übermittelt werden dürfen.

Entsprechend sind die notwendigen Rechte wie Lese.7.9 Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner. 11. die der/die Telearbeiter/in für seine/ihre Aufgaben nicht braucht.8 Regelung der Zugriffsmöglichkeiten von Telearbeiter/innen ISO Bezug: 27002 9.7. Auf Objekte.und Schreibrechte auf diese Objekte zuzuweisen.• Ist die Zustimmung der Institution erforderlich.7. ist eine anonyme Nutzung erforderlich.7. wenn der Telearbeiter sich am Informationsaustausch mittels Newsgruppen beteiligen will? Ggf. Erfordert die Telearbeit den Zugriff auf die IT der Institution (zum Beispiel auf einen Server). 11.2. muss zuvor festgelegt werden.6. Unterschriftenregelung • • • • Ist eine Unterschriftenregelung für die Kommunikation vorgesehen? Werden gesetzeskonforme elektronische Signaturen eingesetzt? Werden andere Authentisierungsverfahren für den Schriftverkehr genutzt? [ eh SYS 9. dass der Schaden.7 ] 11.Institution ISO Bezug: 27002 10.2. Programme.6 ] 11. 11. Damit soll erreicht werden.2. [ eh SYS 9. der auf Grund eines Hacker-Angriffs auf den Kommunikationsrechner entstehen kann. sollte er/sie auch nicht zugreifen können. Dies gilt sowohl für den Zugriff auf Daten wie auf in der Institution verfügbare IT-Komponenten. welche Objekte (Daten.2 454 . ITKomponenten) der/die Telearbeiter/in tatsächlich für die Erfüllung seiner/ihrer Aufgaben benötigt.5. minimiert wird.

455 . Sicherstellung der Authentizität der Daten: Bei der Übertragung der Daten zwischen Telearbeitsrechner und Institution muss vertrauenswürdig feststellbar sein. die nachträglich feststellen lassen. welche Daten wann an wen übertragen wurden. dazu §126a zu Datenbeschädigung).Erfolgt im Rahmen der Telearbeit eine Datenübertragung zwischen einem Telearbeitsrechner und dem Kommunikationsrechner der Institution. in dem der Ausfall einzelner Verbindungsstrecken nicht den Totalausfall der Kommunikationsmöglichkeiten bedeutet. Sicherstellung der Nachvollziehbarkeit der Datenübertragung: Um eine Kommunikation nachvollziehbar zu machen. Ebenso muss der Ursprung von Institutionsdaten zweifelsfrei auf die Institution zurückgeführt werden können. um absichtliche Manipulationen während der Datenübertragung erkennen zu können (vgl. falls das öffentliche Netz keine ausreichende Sicherheit bieten kann. dass Daten mit Absender "Telearbeitsrechner" auch tatsächlich von dort stammen. Generell muss die Datenübertragung zwischen Telearbeitsrechner und Institution folgende Sicherheitsanforderungen erfüllen: • • • • • Sicherstellung der Vertraulichkeit der übertragenen Daten: Es muss durch eine ausreichend sichere Verschlüsselung erreicht werden. werden dabei dienstliche Informationen üblicherweise über öffentliche Kommunikationsnetze übertragen. so dass eine Maskerade ausgeschlossen werden kann. Dazu gehört neben einem geeigneten Verschlüsselungsverfahren auch ein angepasstes Schlüsselmanagement mit periodischem Schlüsselwechsel. ob die Vertraulichkeit. Sicherstellung der Integrität der übertragenen Daten: Die eingesetzten Übertragungsprotokolle müssen eine zufällige Veränderung übertragener Daten erkennen und beheben. können Protokollierungsfunktionen eingesetzt werden. Bei Bedarf kann auch ein zusätzlicher Fehlererkennungsmechanismus benutzt werden. sind ggf. Auf eine redundante Einführung der Netzanbindung an den Telearbeitsrechner und die Schnittstelle der Institution kann ggf. sollte ein redundant ausgelegtes öffentliches Kommunikationsnetz als Übertragungsweg ausgewählt werden. Sicherstellung der Verfügbarkeit der Datenübertragung: Falls zeitliche Verzögerungen bei der Telearbeit nur schwer zu tolerieren sind. dass auch durch Abhören der Kommunikation zwischen Telearbeitsrechner und Kommunikationsrechner der Institution kein Rückschluss auf den Inhalt der Daten möglich ist. verzichtet werden. zusätzliche Maßnahmen erforderlich. ob die Kommunikation zwischen den richtigen Teilnehmern stattfindet. Integrität und Verfügbarkeit im öffentlichen Kommunikationsnetz gewahrt werden. Da weder die Institution noch die Telearbeiter/innen großen Einfluss darauf nehmen können. Dies bedeutet.

um aufgeschaltete Angreifer abzuwehren. muss es für den Kommunikationsrechner auch möglich sein.6. Eine Rechtevergabe darf ausschließlich Administratoren möglich sein.1. 11. ob Daten korrekt empfangen wurden. so können Quittungsmechanismen eingesetzt werden. also Administratoren. Nach mehrfachen Fehlversuchen ist der Zugang zu sperren. während der Datenübertragung eine erneute Authentisierung der Telearbeiterin bzw. Andererseits kann auch ein Zugriff auf Server in der Institution für die Telearbeiter/innen notwendig sein.7. ob der/die Empfänger/in die Daten korrekt empfangen hat.1.8 ] 11. aus denen hervorgeht.10. So ist denkbar. Rechteverwaltung und -kontrolle: . des Telearbeiters oder des Telearbeitsrechners anzustoßen.2 Je nach Art der Telearbeit und der dabei durchzuführenden Aufgaben gestaltet sich der Zugriff der Telearbeiter/innen auf Institutionsdaten anders. dass zwischen Telearbeiterinnen/Telearbeitern und Institution nur E-Mails ausgetauscht werden. Im Rahmen der Identifikation und Authentisierung der Benutzer/innen sollte auch zusätzlich eine Identifizierung der Telearbeitsrechner stattfinden (zum Beispiel über Rufnummern und CallbackVerfahren). müssen sich vor einem Zugriff auf den Rechner identifizieren und authentisieren.7. [ eh SYS 9. Rollentrennung: Die Rollen der Administratoren und der Benutzer/innen des Kommunikationsrechners sind zu trennen. Mitarbeiter/innen in der Institution und Telearbeiter/innen.10 Sicherheitstechnische Anforderungen an den Kommunikationsrechner ISO Bezug: 27002 10. Unabhängig von den Zugriffsweisen muss der Kommunikationsrechner der Institution im Allgemeinen folgende Sicherheitsanforderungen erfüllen: • • • 456 Identifikation und Authentisierung: Sämtliche Benutzer/innen des Kommunikationsrechners. Voreingestellte Passwörter sind zu ändern. Die Stärke der dazu erforderlichen Mechanismen richtet sich dabei nach dem Schutzbedarf der übertragenen Daten.• Sicherstellung des Datenempfangs: Ist es für die Telearbeit von Bedeutung. Ggf. 10.

die auf dem Kommunikationsrechner für die Telearbeiter/innen vorgehalten werden. um die Protokolldaten auszuwerten.11 Informationsfluss. müssen dem Minimalitätsprinzip unterliegen: alles ist verboten. Verschlüsselung: Daten.zu verschlüsseln.7. in dem ggf.7. Benutzer/in.9 ] 11. Protokollierung: Datenübertragungen vom.• • • • • Der Zugriff auf Dateien des Kommunikationsrechners darf nur im Rahmen der gebilligten Rechte erfolgen können. Voreingestellte Passwörter und kryptographische Schlüssel sind zu ändern. so muss sie ausreichend abgesichert werden. Dabei sollten Auffälligkeiten automatisch gemeldet werden. dass die Zugriffsmöglichkeiten auf das notwendige Mindestmaß beschränkt werden. Der Zugriff auf angeschlossene Rechner in der Institution und darauf gespeicherte Dateien ist zu reglementieren. Ist eine Fernadministration unvermeidbar.2 457 . [ eh SYS 9. Dabei ist darauf zu achten. so sind sämtliche Funktionalitäten zur Fernadministration zu sperren. der für die Aufgaben der Telearbeiter/innen notwendig ist. Vermeidung oder Absicherung von Fernadministration: Benötigt der Kommunikationsrechner keine Fernadministration.in Abstimmung mit der organisationsweiten IT-Sicherheitspolitik . Automatische Virenprüfung: Übertragene Daten sind einer automatischen Prüfung auf Viren zu unterziehen. Die Dienste selbst sind auf den Umfang zu beschränken. Bei Systemabsturz oder bei Unregelmäßigkeiten muss der Kommunikationsrechner in einen sicheren Zustand übergehen. Meldewege und Fortbildung ISO Bezug: 27002 11. Administrationsdaten sollten verschlüsselt übertragen werden. Administrationstätigkeiten sind zu protokollieren. die durch den Kommunikationsrechner zur Verfügung gestellt werden. kein Zugriff mehr möglich ist. sind bei entsprechender Vertraulichkeit . Adresse und Dienst zu protokollieren. dem Revisor sollten Werkzeuge zur Verfügung stehen. Minimalität der Dienste: Dienste. was nicht ausdrücklich erlaubt wird. Jegliche Fernadministration darf nur nach vorhergehender erfolgreicher Identifikation und Authentisierung stattfinden. zum und über den Kommunikationsrechner sind mit Uhrzeit. Dem Administrator bzw.

Zusätzlich sind die Telearbeiter/innen über Änderungen von IT-Sicherheitsmaßnahmen zu unterrichten. wenn der/die Telearbeiter/in ausschließlich zu Hause arbeitet. Dies ist wichtig.und Erreichbarkeitszeiten sowie die E-Mail-Adressen bzw. Folgende Punkte müssen darüber hinaus bei der Telearbeit geklärt werden: • • • • Wer ist Ansprechperson bei technischen und/oder organisatorischen Problemen in der Telearbeit? Wem müssen Sicherheitsvorkommnisse mitgeteilt werden? Wie erfolgt die Aufgabenzuteilung? Wie erfolgt die Übergabe der Arbeitsergebnisse? Treten technisch-organisatorische Probleme auf. Darüber hinaus ist der/die Telearbeiter/in so weit im Umgang mit dem Telearbeitsrechner zu schulen. Nach Bekanntgabe des Konzeptes müssen Telearbeiter/innen in die zu realisierenden Sicherheitsmaßnahmen eingewiesen und eventuell in ihrem Umgang geschult werden. Dies stellt dann ein Problem dar. müssen diese von dem/der Telearbeiter/in unverzüglich der Institution gemeldet werden. Weiters müssen die Arbeitskolleginnen und -kollegen über Anwesenheits. dass er/sie einfache Tätigkeiten (z. Die Beteiligung der Telearbeiter/innen an Umlaufverfahren für Hausmitteilungen.10 ] 458 . damit Frustrationen vermieden werden und ein positives Telearbeitsklima geschaffen wird und erhalten bleibt. dass ein Sicherheitskonzept für die Telearbeitsplätze erstellt wird. Druckerpatrone wechseln) wahrnehmen kann bzw. Da für die Telearbeit zum Teil andere IT-Sicherheitsmaßnahmen ergriffen werden müssen als für die Arbeit innerhalb der Institution. einfache Probleme selbstständig lösen kann. damit der/die Telearbeiter/in auch zukünftig über Planungen und Zielsetzungen in seinem/ihrem Arbeitsbereich informiert ist. einschlägige Informationen und Zeitschriften ist zu regeln.Damit der/die Telearbeiter/in nicht vom betrieblichen Geschehen abgeschnitten wird. Telefonnummern der Telearbeiter/innen in Kenntnis gesetzt werden. sollte der/die Vorgesetzte einen regelmäßigen Informationsaustausch zwischen Telearbeiter/innen und den Arbeitskolleginnen und -kollegen ermöglichen.B. Eine Lösung wäre eventuell das Einscannen wichtiger Schriftstücke. [ eh SYS 9. ist es notwendig. um sie dann dem/ der Telearbeiter/in per E-Mail zuzustellen.

wie Vertreter im unerwarteten Vertretungsfall Zugriff auf die Daten im Telearbeitsrechner oder am Telearbeitsplatz vorhandene Unterlagen nehmen kann. das entsorgt werden soll. wenn die Datenträger defekt sind. 11.7.7. Ist dies der Fall. da hier nicht unbedingt ersichtlich ist.3 Vertretungsregelungen hinaus sind im Falle der Vertretung von Telearbeitern und Telearbeiterinnen weitere Schritte notwendig. des Telearbeiters ist unabdingbar.13 Entsorgung von Datenträgern und Dokumenten ISO Bezug: 27002 10. Ergänzend dazu muss geregelt werden. 11. Während es aber innerhalb der eigenen Institution eingeübte Verfahren gibt. muss ein Informationsfluss zu seiner/ihrer Vertretung vorgesehen werden.12 Vertretungsregelung für Telearbeit ISO Bezug: 27002 8. Auch eine Dokumentation der Arbeitsergebnisse seitens der Telearbeiterin bzw. Ggf. schon alleine deshalb. wie zuverlässig diese ist. den Vertretungsfall probeweise durchzuspielen.1. damit das Gepäck noch tragbar bleibt. [ eh SYS 9. sind sporadische oder regelmäßige Treffen zwischen Telearbeiter/innen und ihren Vertretungen sinnvoll. Daher ist vor der Entsorgung ausgedienter Datenträger und Dokumente genau zu überlegen.7. Dies ist auch dann der Fall. wie alte oder unbrauchbare Datenträger und Dokumente entsorgt werden ist dies am häuslichen Arbeitsplatz oder unterwegs nicht immer möglich. Es empfiehlt sich. [Q: BSI M 2.7. wer die Entsorgung durchführt bzw.2.7.11. Da der/die Telearbeiter/in hauptsächlich außerhalb der Institution tätig ist.309 ] 459 .1. ob diese sensible Informationen enthalten könnten.1. da Experten auch hieraus wieder wertvolle Informationen zurückgewinnen können.2 Über die Maßnahme 8.1 Auch zu Hause oder unterwegs gibt es häufiger Material. Auch Shredder-Einrichtungen in fremden Institutionen sollten mit Vorsicht betrachtet werden. müssen die Datenträger und Dokumente im Zweifelsfall wieder mit zurück transportiert werden.11 ] 11.

460 . Weiters muss eine angemessene Reaktion auf sicherheitsrelevante Ereignisse gewährleistet sein. die IT-Sicherheit im laufenden Betrieb aufrechtzuerhalten. dass die Verantwortung für systemspezifische Maßnahmen bei den einzelnen Bereichs-IT-Sicherheitsbeauftragten liegen sollte. die von Beginn an in den Systementwicklungsprozess oder in den Auswahlprozess für ein Produkt integriert wurde. Von besonderer Bedeutung für die Aufrechterhaltung oder weitere Erhöhung eines einmal erreichten Sicherheitsniveaus ist eine permanente Sensibilisierung aller betroffenen Mitarbeiter/innen für Fragen der IT-Sicherheit (vgl. Die Anforderungen an die Sicherheit eines IT-Systems sollten bereits zu Beginn der Entwicklung ermittelt und abgestimmt werden. das erreichte Sicherheitsniveau aufrecht zu erhalten bzw. sondern muss stets auf seine Wirksamkeit. Sicherheit sollte daher integrierter Bestandteil des gesamten Lebenszyklus eines ITSystems bzw. eines Produktes sein. sowie auch ISO 27002 10 ff " Management der Kommunikation und des Betriebs ". dazu auch Kap. weiter zu erhöhen. Eine nachträgliche Implementierung von Sicherheitsmaßnahmen ist bedeutend teurer und bietet im Allgemeinen weniger Schutz als Sicherheit.sei es durch eine Veränderung der Bedrohungslage oder durch falsche Verwendung der implementierten Sicherheitsmaßnahmen . Die Verantwortlichkeiten für diese Aktivitäten müssen im Rahmen der organisationsweiten IT-Sicherheitspolitik bzw. Aktualität und die Umsetzung in der täglichen Praxis überprüft werden. Der IT-Sicherheitsprozess endet nicht mit der Umsetzung von Maßnahmen. Ziel aller Follow-Up-Aktivitäten muss es sein. unveränderbares Dokument. Umfassendes IT-Sicherheitsmanagement beinhaltet nicht zuletzt auch die Aufgabe.12 Sicherheit in Entwicklung. Verschlechterungen der Wirksamkeit von Sicherheitsmaßnahmen . Als Richtlinie kann auch hier gelten. 8. Ein IT-Sicherheitskonzept ist kein statisches. Entwicklung und Wartung von Informationssystemen ". die Verantwortung für organisationsweite IT-Sicherheitsmaßnahmen sowie die Gesamtverantwortung bei der bzw. Betrieb und Wartung eines IT-Systems Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 12 ff " Beschaffung.3 Sicherheitssensibilisierung und -schulung). beim Datenschutz-/IT-Sicherheitsbeauftragten.sollen erkannt und entsprechende Gegenmaßnahmen eingeleitet werden. der einzelnen ITSystemsicherheitspolitiken festgelegt werden.

] entwickelt. wenn nicht explizit angeführt. Das österreichische Vorgehensmodell wurde in Anlehnung an das international anerkannte deutsche Vorgehensmodell [Anmerkung:: Dieses wird seit sieben Jahren in vielen europäischen Ländern angewendet und wird laufend von der Bundesrepublik Deutschland gewartet und verbessert. die zwischen "IT-Systemen" und "IT-Produkten" unterscheiden. Im Gegensatz zu den ITSEC.Die in Kapitel 12. 12. Es teilt sich in vier Bereiche auf: Abbildung 1: Die vier Bereiche (Submodelle) des IT-BVM 461 . das im folgenden kurz beschrieben wird. auch wenn es sich im Einzelfall um ein Produkt (etwa Standardsoftware) oder eine Einzelkomponente handelt. der "Common Criteria" [Common Criteria] . wird in den folgenden Maßnahmenbeschreibungen der besseren Lesbarkeit halber. stets von "IT-Systemen" oder einfach "Systemen" gesprochen.1 Sicherheit im gesamten Lebenszyklus eines IT-Systems angeführten Maßnahmen orientieren sich am "Vorgehensmodell für die Entwicklung von IT-Systemen des Bundes" [IT-BVM] sowie teilweise an den Vorgaben der "Information Technology Security Evaluation Criteria" [ITSEC] bzw. wobei der gemeinsame Oberbegriff "Evaluierungsgegenstand" (EVG) lautet.1 Sicherheit im gesamten Lebenszyklus eines ITSystems In den [IT-BVM] wird ein an die Bedürfnisse der österreichischen Bundesverwaltung angepasstes Vorgehensmodell (V-Modell) für die Entwicklung von IT-Systemen vorgestellt.

SE . Weiters beschreibt es die Abhängigkeiten der Tätigkeiten untereinander und deren erzeugte Ergebnisse. die das Projekt steuern (wie z.Systemerstellung In diesem Bereich werden die Tätigkeiten beschrieben. Systemerstellung (SE) Der Bereich SE gliedert sich in sechs Phasen (Vierecke im Hintergrund). 462 .B.B. die zur eigentlichen Erstellung des EDV-Systems notwendig sind. Kostensteuerung. überhaupt erst möglich machen (z. die Ablage der Entwicklungsdokumente und des Programmcodes). Terminsteuerung usw.Projektmanagement Hier werden alle Tätigkeiten zusammengefasst.Qualitätssicherung Tätigkeiten. PM . die Änderungen leichter nachvollziehbar bzw. Jede Phase teilt sich in weitere Elementarphasen (Blöcke im Vordergrund) und diese wiederum in Aktivitäten (nicht abgebildet). Alle diese Bereiche sind eng miteinander verzahnt.Konfigurationsmanagement Dieser Bereich beinhaltet Tätigkeiten. QS . um eine hohe Qualität der EDV-Anwendung sicherzustellen.). KM . werden in der QS zusammengefasst.

Abbildung 2: Gliederung des Vorgehensmodells Es folgt eine kurze Beschreibung der Elementarphasen:

• • • • • • •

SE 1 - System-Anforderungsanalyse: Hier werden die Anforderungen an das Gesamtsystem erhoben. Unter dem Gesamtsystem versteht man nicht nur das IT-System, sondern auch das fachliche Umfeld, selbst wenn Teile davon später nicht mittels EDV abgedeckt werden. SE 2 - System-Entwurf: Der Grobentwurf des Gesamtsystems wird ermittelt und festgehalten SE 3 - SW-/HW-Anforderungsanalyse: In dieser Elementarphase konzentriert man sich bereits auf die Anforderungen der Software bzw. der Hardware. Bereiche, die nicht von der späteren ITAnwendung betroffen sind, werden hier nicht weiter untersucht. SE 4 - SW-Grobentwurf: Die Software wird grob gegliedert und beschrieben. SE 5 - SW-Feinentwurf: Die zuvor gebildete grobe SW-Struktur wird weiter verfeinert und beschrieben. SE 6 - SW-Implementierung: Die Softwarevorgaben werden in Programme bzw. Datenbanken umgesetzt. Erste Überprüfungen gegenüber dem SW-Feinentwurf werden durchgeführt. SE 7 - SW-Integration: Die einzelnen Softwareteile werden zu größeren Softwareeinheiten zusammengefügt und getestet. SE 8 - System integrieren: Die Software wird zum Gesamtsystem integriert. 463

SE 9 - Überleitung in die Nutzung: Das Gesamtsystem (EDV + Infrastruktur) wird am Bestimmungsort installiert und in Betrieb genommen.

Die Reihenfolge der Aktivitäten erscheint sequentiell. Dies entspricht der Vorstellung vom IT-Systemerstellungsprozess als einem strengen Top-down-Vorgehen. In der Regel sind jedoch Iterationen im Erstellungsprozess üblich. Die nachfolgende Abbildung zeigt eine schematisierte linearisierte Darstellung des logischen Ablaufs, der IT-Systemerstellung und deren Einbettung in das organisatorische Umfeld.

Abbildung 3: Randbedingungen zur IT-Systemerstellung 464

Das beschriebene Vorgehensmodell dient als Grundlage für die nachfolgenden Maßnahmen. Dabei werden die in den einzelnen Phasen für die IT-Sicherheit relevanten Maßnahmen herausgegriffen. Für weitere Details zum Vorgehensmodell sei auf das Gesamtkonzept ( [IT-BVM] ) verwiesen.

12.1.1 IT-Sicherheit in der System-Anforderungsanalyse
ISO Bezug: 27002 12.1.1, 12.2.3

Die Voruntersuchung besteht aus den Elementarphasen "SystemAnforderungsanalyse" und "System-Entwurf", die sich ihrerseits aus unterschiedlichen Aktivitäten zusammensetzen. In der System-Anforderungsanalyse, der ersten Elementarphase der Phase Voruntersuchung, werden die Anforderungen an das Gesamtsystem erhoben. Unter dem Gesamtsystem versteht man dabei nicht nur das IT-System, sondern auch das fachliche Umfeld, selbst wenn Teile davon später nicht mittels EDV abgedeckt werden. Der Anforderungskatalog kann etwa Aussagen zu folgenden Punkten enthalten:

• •

• • • •

Funktionale Anforderungen, die das System zur Unterstützung der Aufgabenerfüllung der Fachabteilung erfüllen muss. Die für die Fachaufgabe relevanten Einzelfunktionalitäten sollten hervorgehoben werden. IT-Einsatzumgebung: Diese wird einerseits beschrieben durch die Rahmenbedingungen, die durch die vorhandene oder geplante IT-Einsatzumgebung vorgegeben werden, und andererseits durch die Leistungsanforderungen, die durch das System an die Einsatzumgebung vorgegeben werden. Kompatibilitätsanforderungen zu anderen Programmen oder IT-Systemen, also Migrationsunterstützung und Aufwärts- und Abwärtskompatibilität. Performanceanforderungen: diese beschreiben die erforderlichen Leistungen hinsichtlich Durchsatz und Laufzeitverhalten. Für die geforderten Funktionen sollten möglichst genaue Angaben über die maximal zulässige Bearbeitungszeit getroffen werden. Interoperabilitätsanforderungen, d.h. die Zusammenarbeit mit anderen Produkten bzw. Systemen über Plattformgrenzen hinweg muss möglich sein. Alternativen zu Herstellermonopolen:

465

• • • • • •

Alternativen zu entstehenden Herstellermonopolen sind im Rahmen der SystemAnforderungsanalyse zu berücksichtigen. Speziell im Hinblick auf Kompatibilität und Austauschbarkeit im Notfall ist dies ein Beitrag zur Systemsicherheit. Als eine der Hauptschwierigkeiten wären beispielsweise proprietäre Protokolle zu identifizieren, die Probleme bei der Suche nach Ersatzsystemen darstellen. Aufgrund des IKT-Board-Beschlusses [IKTB-250602-1] sind derartige Alternativen bei Anschaffungen von Servern im Rahmen der öffentlichen Verwaltung empfohlen. (Vergleiche auch K-Fall-Vorgaben – 14.1.1 Definition von Verfügbarkeitsklassen ) Zuverlässigkeitsanforderungen: Diese betreffen die Stabilität des Systems, also Fehlererkennung und Toleranz sowie Ausfall- und Betriebssicherheit. Konformität zu Standards: Dies können internationale Normen, De-facto-Standards oder auch Hausstandards sein. Einhaltung von internen Regelungen und gesetzlichen Vorschriften, z.B. ausreichender Datenschutz bei der Verarbeitung personenbezogener Daten Anforderungen an die Benutzerfreundlichkeit, insbesondere an die Güte der Benutzeroberfläche sowie die Qualität der Benutzerdokumentation und der Hilfefunktionen. Anforderungen an die Wartbarkeit Obergrenze der Kosten: Dabei müssen nicht nur die unmittelbaren Entwicklungs- bzw. Beschaffungskosten für das System selber einbezogen werden, sondern auch Folgekosten, wie z.B. Wartungsaufwände, Personalkosten oder notwendige Schulungen. Aus den Anforderungen an die Dokumentation muss hervorgehen, welche Dokumente in welcher Güte (Vollständigkeit, Verständlichkeit) erforderlich sind. Bezüglich der Softwarequalität können Anforderungen gestellt werden, die von Herstellererklärungen über die eingesetzten Qualitätssicherungsverfahren, über ISO 9000 Zertifikate bis hin zu unabhängigen Softwareprüfungen nach ISO 12119 reichen.

• •

Zusätzlich zu den operationellen Anforderungen müssen die IT-Sicherheitsziele vorgegeben werden. Dies kann auf zwei Arten erfolgen:

• •

durch die Formulierung von Anforderungen an Vertraulichkeit, Integrität oder Verfügbarkeit (vgl. 14.1.1 Definition von Verfügbarkeitsklassen ) von bestimmten operationellen Funktionen oder verarbeiteten Informationen, anhand einer bereits vorgegebenen Sicherheitspolitik, die im Gesamtsystem durchgesetzt werden soll.

[ eh ENT 1.1 ]

466

12.1.2 Durchführung einer Risikoanalyse und Festlegung der IT-Sicherheitsanforderungen
ISO Bezug: 27002 12.1.1

Basierend auf den bereits definierten Anwenderanforderungen und Informationen über die Einsatzumgebung des Systems sind die für das System relevanten Bedrohungen zu ermitteln und die damit verbundenen Risiken zu bewerten. Zu möglichen Strategien und Vorgehensweisen zur Risikoanalyse s. Kap. 5 - Entwicklung einer organisationsweiten Informationssicherheitspolitik , des vorliegenden Sicherheitshandbuches. Die Ergebnisse der Risikoanalyse bilden die Grundlage für die Formulierung der Anforderungen an die IT-Sicherheit innerhalb der Anwenderforderungen (vgl. 12.1.1 IT-Sicherheit in der System-Anforderungsanalyse). Typische Sicherheitsanforderungen, die an ein gesamtes IT-System oder auch an eine Einzelkomponente oder ein Produkt möglicherweise gestellt werden, seien im Folgenden kurz erläutert (dabei wird im Folgenden wieder generell von "Systemen" gesprochen). Weitere Ausführungen finden sich in den [ITSEC] und den [Common Criteria] .

Identifizierung und Authentisierung: In vielen Systemen wird es Anforderungen geben, diejenigen Benutzer/innen zu bestimmen und zu überwachen, die Zugriff auf Betriebsmittel haben, die vom System kontrolliert werden. Dazu muss nicht nur die behauptete Identität der/des Benutzerin/Benutzers festgestellt, sondern auch die Tatsache nachgeprüft werden, dass die/der Benutzer/in tatsächlich die Person ist, die sie/er zu sein vorgibt. Dies geschieht, indem die/der Benutzer/in dem System Informationen liefert, die fest mit der/dem betreffenden Benutzer/in verknüpft sind. Dies können entweder personenbezogene oder personengebundene Informationen sein, s. dazu auch Kap. 11.1.1 Berechtigungssysteme, Schlüsselund Passwortverwaltung . Zugriffskontrolle: Bei vielen Systemen wird es erforderlich sein, sicherzustellen, dass Benutzer/ innen und Prozesse daran gehindert werden, Zugriff auf Informationen oder Betriebsmittel zu erhalten, für die sie kein Zugriffsrecht haben oder für die keine Notwendigkeit zu einem Zugriff besteht. Desgleichen wird es Anforderungen bezüglich der unbefugten Erzeugung, Änderung oder Löschung von Informationen geben. Beweissicherung:

467

Bei vielen Systemen wird es erforderlich sein sicherzustellen, dass über Handlungen, die von Benutzerinnen/Benutzern bzw. von Prozessen im Namen solcher Benutzer/innen ausgeführt werden, Informationen aufgezeichnet werden, damit die Folgen solcher Handlungen später der/dem betreffenden Benutzer/in zugeordnet werden können und die/der Benutzer/in für ihre/seine Handlungen verantwortlich gemacht werden kann. Protokollauswertung: Bei vielen Systemen wird sicherzustellen sein, dass sowohl über gewöhnliche Vorgänge als auch über außergewöhnliche Vorfälle ausreichend Informationen aufgezeichnet werden, damit durch Nachprüfungen später festgestellt werden kann, ob tatsächlich Sicherheitsverletzungen vorgelegen haben und welche Informationen oder sonstigen Betriebsmittel davon betroffen waren. Unverfälschbarkeit: Bei vielen Systemen wird es erforderlich sein, sicherzustellen, dass bestimmte Beziehungen zwischen unterschiedlichen Daten korrekt bleiben und dass Daten zwischen einzelnen Prozessen ohne Änderungen übertragen werden. Daneben müssen auch Funktionen bereitgestellt werden, die es bei der Übertragung von Daten zwischen einzelnen Prozessen, Benutzern und Objekten ermöglichen, Verluste, Ergänzungen oder Veränderungen zu entdecken bzw. zu verhindern, und die es unmöglich machen, die angebliche oder tatsächliche Herkunft bzw. Bestimmung der Datenübertragung zu ändern. Zuverlässigkeit: Bei vielen Systemen wird es erforderlich sein, sicherzustellen, dass zeitkritische Aufgaben genau zu dem Zeitpunkt durchgeführt werden, zu dem es erforderlich ist, also nicht früher oder später, und es wird sicherzustellen sein, dass zeitunkritische Aufgaben nicht in zeitkritische umgewandelt werden können. Desgleichen wird es bei vielen Systemen erforderlich sein, sicherzustellen, dass ein Zugriff in dem erforderlichen Moment möglich ist und Betriebsmittel nicht unnötig angefordert oder zurückgehalten werden. Übertragungssicherung: Dieser Begriff umfasst alle Funktionen, die für den Schutz der Daten während der Übertragung über Kommunikationskanäle vorgesehen sind:

• • • • •

Authentisierung Zugriffskontrolle Datenvertraulichkeit Datenintegrität Sende- und Empfangsnachweis

Über die ITSEC hinaus können weitere Sicherheitsanforderungen bestehen, wie etwa Datensicherung, Verschlüsselung gespeicherter Daten, Funktionen zur Wahrung der Datenintegrität oder datenschutzrechtliche Anforderungen. 468

Stärke der Mechanismen
Common Criteria definiert eine Stärke der Funktion (Strength of Function – SOF). Es handelt sich dabei um eine Charakterisierung von Sicherheitsfunktionen des Produkts, die den geringsten angenommenen Aufwand beschreibt, um die zugrunde liegenden Sicherheitsmechanismen durch einen direkten Angriff außer Kraft zu setzen. Es werden drei Stufen über das Angriffspotential definiert: niedrig: Die Stufe bietet angemessenen Schutz gegen zufälliges Brechen der Sicherheit durch Angreifer/innen, die über ein geringes Angriffspotential verfügen. mittel: Die Stufe bietet einen angemessenen Schutz gegen nahe liegendes oder absichtliches Brechen durch Angreifer/innen, die über ein mittleres Angriffspotential verfügen. hoch: Die Stufe bietet einen geeigneten Schutz gegen geplantes oder organisiertes Brechen der EVG-Sicherheit durch Angreifer/innen, die über ein hohes Angriffspotential verfügen. Ähnlich werden in ITSEC drei Stufen (niedrig, mittel, hoch) für die Stärke des Mechanismus definiert. [ eh ENT 1.2 ]

12.1.3 IT-Sicherheit in Design und Implementierung
ISO Bezug: 27002 12.1.1

System-Entwurf:
Diese Elementarphase des Entwicklungsprozesses bezieht sich auf die oberste Stufe der Definition und des Entwurfs eines IT-Systems oder Produktes. Dies erfolgt in Form einer Spezifikation auf hohem Abstraktionsniveau, die die grundlegende Struktur des Systems, seine externen Schnittstellen sowie seine Untergliederung in die wichtigsten Hardware- und Softwarekomponenten identifiziert. Bereits in dieser Elementarphase, in der die Systemarchitektur und ein Integrationsplan erarbeitet werden, ist auf eine adäquate Berücksichtigung der Sicherheitsanforderungen zu achten.

469

Aus Sicht der IT-Sicherheit ist es insbesondere wichtig, dass bereits im SystemEntwurf eine klare und wirksame Trennung zwischen IT-sicherheitsspezifischen, ITsicherheitsrelevanten und anderen Komponenten getroffen wird. Eine klare Trennung unterstützt die Sicherstellung der Korrektheit der weiteren Entwicklungsschritte und erleichtert eine eventuelle Evaluierung der Sicherheit des Systems (etwa nach [ITSEC] oder [Common Criteria] ). Dabei bedeuten:

• •

IT-sicherheitsspezifische Komponenten: Komponenten, die unmittelbar zur Durchsetzung der IT-Sicherheit beitragen IT-sicherheitsrelevante Komponenten: Komponenten, die nicht unmittelbar zur IT-Sicherheit beitragen, deren Fehlverhalten oder Missbrauch jedoch die Sicherheit gefährden kann.

Die Schnittstellen der IT-Sicherheitsmaßnahmen zu den beteiligten Architekturelementen müssen dokumentiert werden.

SW-Grobentwurf und SW-Feinentwurf:
Diese Elementarphasen des Entwicklungsprozesses beziehen sich auf die Verfeinerung des Systementwurfes bis hin zu einem Detaillierungsgrad, der als Basis für die Programmierung (und/oder Hardwarekonstruktion) verwendet werden kann. Aus Sicht der IT-Sicherheit sind hier insbesondere

• • •

die Abhängigkeiten der IT-Sicherheitsfunktionen, die Wechselwirkungen der IT-Sicherheitsmechanismen, die zur Realisierung der IT-Sicherheitsfunktionen gewählt wurden, und die Auswirkungen, die die Realisierung der IT-Sicherheitsfunktionen auf andere SW-Einheiten haben können,

zu untersuchen. Alle Schnittstellen der IT-sicherheitsspezifischen und der IT-sicherheitsrelevanten SW-Komponenten und -Module müssen mit ihrem Zweck und ihren Parametern beschrieben werden. Die Separierung vom nicht IT-sicherheitsrelevanten Teil muss sichtbar sein. Weiters ist festzustellen, ob und gegebenenfalls welche IT-sicherheitsspezifischen oder IT-sicherheitsrelevanten Anteile in anderen SW-Komponenten, -Modulen bzw. Datenbanken bei der Realisierung entstehen.

470

Implementierung und Tests:
Jede Komponente bzw. jedes Modul ist zunächst aus den Spezifikationen zu programmieren oder zu konstruieren. Diese Komponenten und Module müssen dann gegen ihre Spezifikationen geprüft und getestet werden. Anschließend werden einzelne Komponenten und Module zusammen in kontrollierter Form integriert, bis das komplette Syste